TRABAJO PROFESIONAL LICENCIADO EN INFORMÁTICA EMILIO TAPIA LÓPEZ

Transcripción

1 UNIVERSIDAD NACIONAL AUTÓNOMA DE MÉXICO FACULTAD DE ESTUDIOS SUPERIORES CUAUTITLÁN EXPERIENCIA LABORAL EN EL CENTRO DE OPERACIONES DE SEGURIDAD INFORMÁTICA DE SCITUM S.A. DE C.V. TRABAJO PROFESIONAL QUE PARA OBTENER EL TÍTULO DE: LICENCIADO EN INFORMÁTICA P R E S E N T A : EMILIO TAPIA LÓPEZ ASESOR: M.I. GERARDO VIGIL SANABRIA CUAUTITLÁN IZCALLI, EDO. DE MEX. 2012

2

3 AGRADECIMIENTOS A la UNAM por permitirme ser orgullosamente parte de la comunidad universitaria con el mayor espíritu de superación. A mi familia por su paciencia, comprensión y apoyo. A Gabriela Galicia por su amor, comprensión, entrega y cariño, por motivarme en realizar todo reto que me propongo, por brindarme su ayuda incondicional para superar cualquier dificultad, por permitirme ser parte de su vida aceptándome como soy. A las excelentes y más cálidas personas en la DGTIC Rosario Salinas y Elizabeth Celiz, que en todo momento me apoyaron incondicionalmente para concretar este propósito. A mis compañeros en Scitum Adrian O., Nicolás O., y José de Jesús L., por compartir sus conocimientos, habilidades y tener la paciencia y disposición en instruir a aquellos de nuevo ingreso. A José Díaz Reyes y familia, Adrian Don Don y familia, Gerardo Will, Ernesto Villegas, Marisol Martínez, Carlos Téllez y Raymundo de la Rosa, por su invaluable amistad y motivación. A los profesores de la FES Cuautitlán por brindar las bases para desarrollarnos como profesionistas y en especial a mi asesor Gerardo Vigil Sanabria.

4 Índice INTRODUCCION... 1 MARCO HISTÓRICO 1. PERFIL CORPORATIVO DE SCITUM S.A. DE C.V Misión... 5 Visión... 5 Objetivo Servicios de seguridad ofrecidos por Scitum S.A. de C.V. a sus clientes Administración y monitoreo de dispositivos de seguridad perimetral Seguridad en correo electrónico y navegación Web Monitoreo de la seguridad en bases de datos y aplicaciones Estructura organizacional Dirección de Servicios Administrados Centro de Operaciones de Seguridad Roles y responsabilidades Operador Staff Operador Staff de aseguramiento de calidad Analista Mediador técnico de cuenta... 9 MARCO REFERENCIAL 2. CONCEPTOS, DEFINICIONES Y ALCANCES DE LA SEGURIDAD INFORMÁTICA Objetivos de la seguridad informática Principio de defensa en profundidad Servicios de seguridad de la información Auditabilidad Autenticación Confidencialidad Disponibilidad... 13

5 2.3.5 Integridad Sistema de gestión de seguridad de la información Aspectos éticos de la seguridad de la información Aspectos legales de la seguridad de la información Políticas, planes y procedimientos de seguridad Plan de contingencias Realización de pruebas y auditorias periódicas ZONAS DE SEGURIDAD EN REDES CORPORATIVAS Internet Intranets Extranets La zona desmilitarizada TECNOLOGÍAS DE VIRTUALIZACION EN REDES CORPORATIVAS Virtualización de sistemas Redes virtuales de área local Traducción de direcciones de red Túneles en Internet AMENAZAS A UN SISTEMA INFORMÁTICO Amenazas internas Amenazas externas VULNERABILIDADES DE UN SISTEMA INFORMÁTICO ATAQUES A UN SISTEMA INFORMÁTICO La primera generación: el ataque físico La segunda generación: el ataque sintáctico La tercera generación: el ataque semántico Fases de un ataque informático Tipos de ataques informáticos Ataques de acceso... 35

6 7.5.2 Ataques de modificación y repudiación Ataques de denegación de servicio y denegación de servicio distribuido Ataques de puerta trasera Ataques de engaño ó spoffing Ataques del hombre en medio Ataques de repetición Ataques de especulación de contraseña DISPOSITIVOS DE SEGURIDAD PERIMETRAL Firewalls Sistemas de Prevención de Intrusiones Sistemas de Detección de Intrusiones DESCRIPCIÓN DE LA EXPERIENCIA PROFESIONAL 9. DESEMPEÑO DE RESPONSABILIDADES BAJO NIVELES DE SERVICIO Concepto y definición de nivel de servicio Beneficios de los niveles de servicio Deficiencias al no contar con niveles de servicio Metodologías de procesos con ITIL Diseño del servicio Transición del servicio Operación del servicio Estrategia del servicio Mejora continua del servicio Operación de la seguridad informática bajo niveles de servicio Nivel de servicio de confiabilidad Nivel de servicio de continuidad Nivel de servicio de desempeño Nivel de servicio de disponibilidad Dictamen de cumplimiento de un nivel de servicio Penalización por incumplimiento de un nivel de servicio... 57

7 10. RESPONSABILIDADES ASIGNADAS AL OPERADOR DE STAFF Monitoreo, tipificación, notificación y documentación de eventos Evento de Actividad Sospechosa Evento de Incidente de Seguridad Evento de Requerimiento Evento de Control de Cambios Herramienta de Service Desk para el registro y seguimiento de eventos Asignación de prioridad y tiempo de respuesta del evento Matriz de escalación de eventos Elaboración de entregables Generación de reportes Actualización de bitácoras Respaldos de configuración Identificación, diagnostico y solución de fallas Interacción con el usuario Herramientas de troubleshooting ipconfig nbtstat netstat nslookup pathping ping tracert Investigación de fallas por capas del modelo OSI Revisión en la capa física Revisión en la capa de enlace Revisión en la capa de red Revisión en la capa de transporte Revisión en la capa de sesión Revisión en la capa de presentación Revisión en la capa de aplicación Estrategia de solución de fallas Identificación de síntomas y posibles causas... 82

8 Identificación del área afectada Identificación de cambios Selección de la causa más probable Plan de acción y posible impacto Realización de pruebas de la solución Documentación del proceso de solución RECOMENDACIONES CONCLUSIONES GLOSARIO ANEXO I BIBLIOGRAFÍA REFERENCIAS ELECTRÓNICAS... 97

9 INTRODUCCIÓN La información ha sido desde siempre un bien invaluable y protegerla ha sido una tarea de vital importancia. Actualmente se pueden hacer una infinidad de transacciones a través del uso de Internet y para muchas de ellas es imprescindible que se garantice un nivel de seguridad. La seguridad informática ha adquirido gran trascendencia, debido a las condiciones y cambios en los recursos tecnológicos como las nuevas plataformas de computación disponibles. La posibilidad de interconectarse a través de redes de datos, ha abierto nuevos horizontes que permiten explorar más allá de las fronteras de una organización. Esta situación ha llevado a la aparición de nuevas amenazas en los sistemas computarizados. El tema no está restringido únicamente a Internet ya que aun no utilizando esté servicio, una red está expuesta a distintos tipos de ataques. La seguridad de la información comprende distintos elementos que requieren funcionar de manera acoplada para lograr el aseguramiento óptimo de los datos. Existen básicamente tres áreas que componen las bases de la seguridad de la información para que esta funcione de la manera más adecuada, estos elementos son: confidencialidad, integridad y disponibilidad. La confidencialidad se refiere a mantener aquellos datos resguardados de tal manera que no se permita el acceso a los mismos por personas no autorizadas. Esta información que es confidencial en las organizaciones puede ser por ejemplo: planes estratégicos, información financiera, información personal, entre otras. Estos datos no solo deben ser protegidos de agentes externos, también se deben planificar políticas que internamente mantengan la información a la vista de la persona que este autorizada para su acceso. La integridad es el factor que permite garantizar que la información no puede ser cambiada o eliminada por personas no autorizadas, también se refiere a probar que los cambios que se realicen por las personas autorizadas se hagan con la debida aprobación para mantener los datos sincronizados de manera adecuada. 1

10 Tener la información segura no es útil si la misma no se puede obtener al momento de requerirse. Con el crecimiento exponencial de Internet no solo existe la preocupación de mantener la información segura, sino también que aquellas personas autorizadas puedan tener acceso a dicha información. El solo hecho de no tener una información al momento de requerirse puede ser tan grave como el no contar con ella. El elemento de disponibilidad también incluye la preparación ante los desastres naturales que puedan ocurrir y la habilidad de poder recuperarse rápidamente ante los mismos. Dadas las consideraciones anteriores, es válido pensar que cualquier organización que trabaje con computadoras y hoy en día más específicamente con redes de computadoras, debe tener normativas de seguridad que garanticen el buen uso de los recursos y de los contenidos, es decir, el buen uso de la información. El presente trabajo tiene la finalidad de informar acerca de los conocimientos adquiridos en tecnologías de la información empleadas en el área de seguridad informática perimetral y exponer la experiencia laboral obtenida. Al desempeñar el puesto de Operador de Staff en un Centro de Operaciones de Servicios Administrados de Seguridad Informática, se tiene como responsabilidades garantizar el cumplimiento de los objetivos de confidencialidad, integridad y disponibilidad de la información propiedad de los clientes que contratan los servicios de seguridad, resguardo y monitoreo de la información que la empresa Scitum S.A. de C.V. les provee las 24 horas los 365 días del año. En el contenido de la presente memoria de desempeño profesional se describen los aspectos históricos, técnicos, metodológicos y sociales que pude adquirir y desarrollar en el transcurso de mi estancia laboral en Scitum. En el marco histórico se describe el perfil corporativo de la empresa, los servicios ofrecidos a sus clientes, su estructura organizacional y los puestos de trabajo del equipo operativo del que forme parte activa. 2

11 En el marco referencial se informa acerca de conceptos y definiciones en relación a las tecnologías existentes en seguridad informática perimetral, así como de las amenazas, vulnerabilidades y tipos de ataques que existen en los ambientes corporativos de redes de datos. Finalmente en la descripción de la descripción de la experiencia profesional, se informa sobre las técnicas y metodologías empleadas para desarrollar las funciones operativas del puesto de Operador de Staff al cual se me asignó. También se describen las recomendaciones para desempeñar un puesto afín al área de seguridad informática y las conclusiones que se desprenden al realizar este trabajo. 3

12 MARCO HISTÓRICO 1. PERFIL CORPORATIVO DE SCITUM S.A. DE C.V. Scitum es una empresa mexicana fundada en el mes de marzo del año 1998 dedicada a la consultoría y servicios de seguridad informática administrada. Como resultado de la evolución y especialización de un grupo multidisciplinario de profesionales con amplia experiencia en tecnologías de la información, Scitum ha podido mantener su visión de ofrecer soluciones de alta calidad en servicios de seguridad de la información y servicios administrados, con lo cual se ha posicionado como una de las empresas con mayor liderazgo en el área de seguridad informática en el mercado de México y Latinoamérica. Scitum ha expandido su presencia hacia Centroamérica, Sudamérica y España, con oficinas propias y/o a través de aliados estratégicos. En los últimos años el crecimiento corporativo se ha dado en tasas anuales superiores al 50%. Hoy en día la planta laboral es superior a 400 empleados, y durante el año 2011 se duplicó la capacidad instalada de los centros de operación SOC y NOC (Security Operation Center y Network Operation Center). 4

13 Misión Mejorar la entrega de servicios de las áreas informáticas de seguridad, desempeño y disponibilidad, a través de la integración de tecnologías y servicios especializados de consultoría. Visión Consolidar un grupo de personas y un modelo de servicios profesionales que bajo los más altos estándares de calidad, permitan que se otorgue el reconocimiento de los clientes para así fijar una clara posición de liderazgo en el mercado abarcando México e Hispanoamérica. Objetivo Mantener la continuidad y eficiencia de la operación de seguridad del negocio de los clientes cumpliendo con los niveles de servicio acordados para lograr su satisfacción mediante el uso eficiente de herramientas tecnológicas de monitoreo con apego a los procesos y procedimientos definidos en la metodología de operación interna de Scitum. 1.1 Servicios de seguridad ofrecidos por Scitum S.A. de C.V. a sus clientes Los servicios de seguridad de la información que se ofrecen por medio de la página Web 1 de la empresa Scitum S.A. de C.V. son los siguientes: Administración y monitoreo de dispositivos de seguridad perimetral Este servicio ayuda a fortalecer la seguridad en el perímetro o en zonas específicas de la red, que son por naturaleza vulnerables. Incluye el monitoreo proactivo de eventos de seguridad que ayuden a identificar de manera anticipada, ataques a la infraestructura tecnológica del cliente, permitiendo ejecutar acciones de contención antes de que se materialicen en incidentes de seguridad, siendo este uno de los principales valores de la solución corporativa

14 1.1.2 Seguridad en correo electrónico y navegación Web En la actualidad las organizaciones enfrentan riesgos inherentes al uso de correo electrónico e Internet tales como: spam 2, phishing 3, virus en archivos adjuntos o fuga de información confidencial. Estos riesgos, aunados al gran volumen de recursos destinados a la protección y administración de dichos sistemas dieron como resultado un servicio que esta conformado por la implantación, monitoreo, gestión y soporte a la infraestructura tecnológica de mensajería electrónica y filtrado Web el cual permite minimizar los riesgos y costos, garantizando un adecuado uso de los recursos Monitoreo de la seguridad en bases de datos y aplicaciones Mediante la implantación de herramientas altamente especializadas y basados en una sólida metodología operativa es posible identificar, alertar y contener las amenazas específicamente dirigidas a comprometer la seguridad de bases de datos y aplicaciones basadas en interfaz Web. De esta forma, los clientes de Scitum profundizan en su esquema de seguridad el cual está enfocado a proteger las zonas donde el potencial de pérdida y nivel de criticidad de la información para el negocio son muy altos. En Scitum, además de los servicios anteriormente descritos, se fortalece la estrategia de seguridad integral a través del hackeo ético, pruebas de penetración, análisis de vulnerabilidades y análisis forense. 1.2 Estructura organizacional A continuación se describe las áreas bajo las cuales se supervisa y coordina las actividades del puesto de Operador Staff Dirección de Servicios Administrados Dentro de la estructura organizacional de la cual esta conformada la empresa Scitum S.A. de C.V. el área de Centro de Operaciones de Seguridad a la cual fui asignado para laborar con el 2 Spam: Recepción de correos electrónicos no solicitados de publicidad engañosa en grandes cantidades. 3 Phishing: Correos electrónicos fraudulentos que intentan estafar con información bancaria de un usuario. 6

15 puesto de Operador Staff, se encuentra supervisada jerárquicamente bajo la Dirección de Servicios Administrados como se muestra en la Fig.1. Cabe mencionar que esta Dirección supervisa las actividades de las siguientes Gerencias: Operaciones Soluciones de Servicios Metodologías y Procesos Niveles de Servicio y Calidad De entre las diversas funciones de la Dirección de Servicios Administrados una de las principales y más fundamentales es la capacitación de los colaboradores de nuevo ingreso a la empresa para orientarlos en la entrega de servicios de seguridad informática apegados al Sistema de Gestión de Seguridad de la Información implementado internamente En este contexto el objetivo es difundir y crear conciencia de la importancia de trabajar en un área donde la calidad en el servicio 4 es un aspecto de alto impacto, dado que el trato con el cliente ya sea directa o indirectamente es una constante en el desarrollo de las funciones de cualquier empleado. Esta área es también responsable de difundir y aplicar las políticas de seguridad que obligan a todos los colaboradores internos y externos a proteger los recursos informáticos de los que sea otorgada alguna responsabilidad, evitando el mal uso, modificación, destrucción o revelación de información no autorizada, de acuerdo a la normatividad aplicable. Dirección de Servicios Administrados Gerencia de Operaciones Gerencia de Soluciones de Servicios Gerencia de Metodologías y Procesos Gerencia de Niveles de Servicio y Calidad Figura 1. Organigrama de la Dirección de Servicios Administrados Scitum. 4 Calidad en el servicio: conjunto de características que un cliente puede apreciar y supervisar para determinar el grado de utilidad que responda a sus expectativas de precio, duración, prestación y facilidad de uso. 7

16 1.2.2 Centro de Operaciones de Seguridad El Centro de Operaciones de Seguridad es el área donde se realizan todas las actividades del flujo, proceso y aplicación de controles de seguridad que se brindan al cliente y donde un Operador Staff realiza sus funciones. La dirección y supervisión de esta área es gestionada por la Gerencia de Operaciones como se muestra en la Fig.2. Gerencia de Operaciones TAM Analista Q.A. Operador Staff Figura 2. Organigrama de la Gerencia de Operaciones Scitum. 1.3 Roles y responsabilidades Como miembro integrante del equipo de trabajo del Centro de Operaciones de Seguridad se debe asimilar que un rol se refiere a la descripción de un puesto de trabajo y las responsabilidades, actividades y autorizaciones concedidas. Los roles de las personas que integran este equipo de trabajo y las responsabilidades asignadas se describen a continuación: Operador Staff Monitorear, tipificar, notificar y documentar eventos de la operación. Elaborar documentos entregables de reportes, bitácoras y respaldos de configuración. Identificar, diagnosticar y apoyar en la solución de fallas en la infraestructura. 8

17 1.3.2 Operador Staff de aseguramiento de calidad (Quality Assurance) Supervisar las actividades de cambios, altas, bajas y respaldos de configuración. Supervisar la ejecución de las actividades generadas en cada turno. Explotar la información de las bitácoras para la elaboración de reportes operativos. Supervisar la adecuada, completa y ordenada documentación de todos los eventos relacionados a la operación de los clientes Analista Dar soporte técnico de las tecnologías administradas. Manejo de incidentes de seguridad y su contención final. Analizar y explotar la información de las bitácoras para encontrar correlaciones, prever problemas potenciales e implementar una acción en consecuencia. Coordinar las actividades de los Operadores y supervisar su desempeño. Generar, documentar, y entregar toda evidencia que valide el cumplimiento de los niveles de servicio Mediador técnico de cuenta (Technical Account Manager) Negociar cualquier desviación del contrato y seguimiento a pendientes. Dar seguimiento oportuno a posibles quejas y supervisar las acciones de mejora, seguimiento y solución ante algún problema suscitado. Coordinación de las actividades operativas del cliente. Garantizar que se cumplan los niveles de servicio contractuales para no incurrir en penalizaciones. 9

18 MARCO REFERENCIAL 2. CONCEPTOS, DEFINICIONES Y ALCANCES DE LA SEGURIDAD INFORMÁTICA La seguridad de redes 5 implica las diversas medidas o controles usados para proteger los componentes y recursos de una red informática incluidos datos, medios e infraestructura de amenazas cuyos efectos pueden conllevar daños sobre la información, comprometer su confidencialidad, autenticidad o integridad, disminuir el rendimiento de los equipos incluyendo hardware, software, firmware 6 y aquella información que procesan, almacenan y comunican. Un enfoque pleno de la seguridad en redes contempla tres elementos esenciales: una estimación precisa de las amenazas, el uso de las mejores herramientas de codificación disponibles y el despliegue de productos efectivos de control de acceso a la red. Lo más importante es que la seguridad en una red sólo puede lograrse garantizando que todos los recursos se usen de acuerdo con una política corporativa prescrita. Es prudente que las organizaciones establezcan políticas para protegerse de las amenazas a su seguridad. Estas políticas incluyen un plan de contingencias para el respaldo de información, permitiendo el acceso a aquellas áreas o niveles de un sistema sólo a determinados usuarios garantizado por los requisitos de sus trabajos y a personal para monitorear o probar la seguridad de una red y la encriptación de datos. De todas esas medidas ninguna se compara con hacer conscientes a los usuarios de las razones de esas políticas y de su papel en la seguridad de la organización. Una organización debe entender la seguridad informática como un proceso y no como un producto que pueda comprar o instalar como se observa en la Fig.3. Se trata, por lo tanto, de un ciclo iterativo, en el que se incluyen actividades como la valoración de riesgos, prevención, detección y respuesta ante incidentes de seguridad. 5 GÓMEZ VIEITES, Álvaro, Enciclopedia de la Seguridad Informática, Alfaomega, México, 2007, pp Firmware: Programa que se imprime dentro de los circuitos electrónicos de algún dispositivo y que no puede ser modificado por el usuario. 10

19 Reducir la posibilidad de que se produzcan incidentes de seguridad Revisión y actualización de las medidas de seguridad implantadas (auditoría) Facilitar la rápida detección de incidentes de seguridad Conseguir la rápida recuperación de los daños Minimizar el impacto en el sistema de información Figura 3. La seguridad informática como proceso. 2.1 Objetivos de la seguridad informática Entre los principales objetivos de la seguridad informática se pueden destacar los siguientes: Minimizar y gestionar los riesgos y detectar posibles problemas y/o amenazas a la seguridad y vulnerabilidades de los sistemas. Garantizar la adecuada utilización de los recursos y de las aplicaciones de un sistema. Limitar las pérdidas y conseguir la adecuada recuperación del sistema en caso de un incidente de seguridad. Cumplir con el marco legal y con los requisitos impuestos por los clientes en sus contratos. 2.2 Principio de defensa en profundidad El principio de Defensa en Profundidad como se ilustra en la Fig.4, consiste en el diseño e implementación de varios niveles de seguridad dentro del sistema informático de la organización. De este modo, si una de las barreras es traspasada por los atacantes, conviene disponer de medidas de seguridad adicionales que dificulten y retrasen su acceso a información confidencial o al control de recursos críticos como la seguridad perimetral y de servidores dedicados. Por este motivo, no conviene a las empresas descuidar la seguridad interna en los sistemas, de modo que dependan de la seguridad perimetral en la conexión de la organización a redes 11

20 externas como Internet. Así, por ejemplo, se puede reforzar la seguridad interna mediante una configuración robusta de los servidores, con medidas como la actualización de parches para eliminar vulnerabilidades conocidas, la desactivación de servicios innecesarios o el cambio de las contraseñas y cuentas configuradas por defecto de fábrica en cada equipo. Encriptación de datos sensibles Gestión de usuarios Configuración robusta de equipos Segmentación de redes (LAN, VLAN ) Seguridad perimetral (firewall, IDS ) Figura 4. Principio de Defensa en Profundidad. 2.3 Servicios de seguridad de la información Para poder alcanzar los objetivos de la seguridad informática, es necesario contemplar una serie de servicios o funciones de seguridad de la información tales como son: Auditabilidad El servicio de auditabilidad permite registrar y monitorizar la utilización de los distintos recursos del sistema por parte de los usuarios que han sido previamente autenticados y autorizados. De este modo, es posible detectar situaciones o comportamientos anómalos por parte de los usuarios, además de llevar un control del rendimiento del sistema en cuanto al tráfico cursado, información almacenada y volumen de transacciones realizadas Autenticación La autenticidad de un equipo que se conecta a una red o intenta acceder a un determinado servicio puede ser unilateral, cuando se garantiza la identidad del equipo (usuario o terminal 12

21 que se intenta conectar a la red) o mutua, en el caso de que la red o el servidor también se autentica de cara a la computadora, usuario o terminal que establece la conexión Confidencialidad Debe garantizar que la información transmitida a través de redes de comunicaciones o almacenada en computadoras o dispositivos de respaldo, sólo podrá ser leída por su legítimo destinatario. Si el contenido de la información cae en manos de terceras personas, éstas no podrán acceder o interpretar el mensaje original Disponibilidad La disponibilidad del sistema informático también es una cuestión de especial importancia para garantizar el cumplimiento de sus objetivos, ya que se debe diseñar un sistema lo suficientemente robusto frente a ataques e interferencias como para garantizar su correcto funcionamiento, de manera que pueda estar permanentemente a disposición de los usuarios que deseen acceder a sus servicios Integridad La función de integridad se encarga de garantizar que un mensaje o archivo no ha sido modificado desde su creación o durante su transmisión a través de una red informática. De este modo, es posible detectar si se ha añadido o eliminado algún dato en un mensaje o archivo almacenado, procesado o transmitido por un sistema o red informática. 2.4 Sistema de gestión de seguridad de la información La seguridad informática, no sólo en México sino a nivel mundial, es uno de los temas que mayor importancia comienza a tener en la actualidad, visto ya sea desde las necesidades de promoverla así como de implementarla. Esto no implica en forma única y específica a Internet sino a todo lo que hace referencia a la preservación, respeto y buen manejo de la información dentro de un sistema informático. Para ello es vital aclarar que el valor protegido, tanto tangible como intangible, será siempre la información. Sin embargo, al día de hoy no es un tema fácil de entender, dado que se tiene pensado que la seguridad informática sólo debe aplicarse a casos 13

22 específicos y no a un todo empresarial. Para gestionar la seguridad de la información, es preciso contemplar toda una serie de tareas y procedimientos que permitan garantizar los niveles de seguridad exigibles en una organización, teniendo en cuenta que los riesgos no se pueden eliminar totalmente, pero si se pueden gestionar Aspectos éticos de la seguridad de la información La ética de redes se refiere a estándares específicos de conducta moral para los usuarios en el uso responsable de dispositivos y recursos de redes. Este tema es importante porque la gente es usualmente el eslabón más débil en cualquier esquema de seguridad de redes y pueden identificarse con nuevas ideologías que contradicen las políticas de la compañía. Cuando se encuentran en una situación cuestionable los usuarios deben ser conscientes de que un comportamiento correcto o equivocado será considerado responsabilidad de sus acciones. El como ser ético es definido desde varios aspectos, principalmente por los códigos de ética estipulados por instituciones dedicadas al tema de seguridad informática e incluso por autoridades no gubernamentales 7 dedicadas a promover el uso de tecnologías de la información. Dentro de los cánones a seguir para poder brindar un servicio de seguridad informática adecuado se contemplan los siguientes aspectos: Proteger a la sociedad, a la comunidad y a la infraestructura. Actuar en forma honorable, honesta, justa, responsable y legal. Proveer servicios diligentes y competitivos. Actuar siempre protegiendo y promoviendo el crecimiento de la profesión. Las autoridades gubernamentales que establecen políticas y costumbres en materia de tecnologías de la información entienden como un comportamiento no ético en Internet cualquiera de las siguientes acciones: 7 HAGUE, Clyde, et al., Manual de preparación para el examen Certified Information Security Manager 2012, ISACA, E.U.A., 2011, pp

23 Conseguir accesos no autorizados a los recursos de Internet. Entorpecer el uso intencionalmente de Internet. Gasto de recursos en forma innecesaria. Destruir la integridad de la información basada en computadoras. Comprometer la privacidad de los usuarios. Un organismo no gubernamental como la División de Investigación e Información de Redes define como no ético: cualquier actividad que intencionalmente o por negligencia perturba el uso pretendido de las redes: gasta recursos por tales acciones como: gente, ancho de banda o computadoras; destruye la integridad de la información con base en las computadoras; compromete la privacidad de los usuarios, ó consume recursos no planeados para el control y la erradicación Aspectos legales de la seguridad de la información En lo que respecta al mundo se requiere de un ambiente de obligatoriedad especificada a través de disposiciones y sanciones, es decir: las normas jurídicas. La relación entre la seguridad informática y el Derecho, se ciñe a las preocupaciones existentes en materia de implementación, todas ellas en torno de los siguientes lineamientos: Programas de cómputo bajo licencia de uso. Responsabilidad del personal de proteger la integridad de la información. Evitar que la información confidencial de la empresa sea revelada a terceros. Protección de secretos industriales. Responsabilidad del personal al hacer uso de equipo de cómputo para fines laborales. La situación a solventar con los aspectos legales son sólo dos: Promover una cultura jurídica en materia de tecnologías de la información que impacte en un robustecimiento de las normas jurídicas existentes. Fortalecer la normatividad interna de las empresas con apego siempre a Derecho. 8 GALLO, Michael, Comunicación entre computadoras y tecnologías de redes, Thomson, México, 2002, pp

24 2.5 Políticas planes y procedimientos de seguridad Las políticas de gestión de la seguridad de la información están constituidas por el conjunto de normas reguladoras, procedimientos, reglas y buenas prácticas que determinan el modo en que todos los activos y recursos, incluyendo la información, son gestionados, protegidos y distribuidos dentro de una organización. Política de seguridad se puede definir como una declaración de intenciones que cubran la seguridad de los sistemas informáticos y que proporcionan las bases para definir y delimitar responsabilidades para las diversas actuaciones técnicas y organizativas que se requieran. Las políticas definen el qué se debe proteger en el sistema, mientras que los procedimientos de seguridad describen el cómo se debe conseguir dicha protección. Plan de seguridad es un conjunto de decisiones que definen cursos de acción futuros, así como los medios que se van a utilizar para conseguirlos. Procedimiento de seguridad es la definición detallada de los pasos a ejecutar para llevar a cabo determinadas tareas. Los procedimientos de seguridad permiten aplicar e implantar las políticas de seguridad que han sido aprobadas por la organización. CID Políticas Planes Procedimientos Tareas / Operaciones Registros / Evidencias Figura 5. Políticas Planes y Procedimientos de Seguridad. La Fig.5 muestra jerárquicamente los objetivos fundamentales de la gestión de la seguridad de la información, (Confidencialidad, Integridad y Disponibilidad). Una vez fijados los objetivos fundamentales es necesario definir las políticas de seguridad así como los planes y procedimientos de actuación para conseguir su implantación en la organización. 16

25 Los procedimientos de seguridad se descomponen en tareas y operaciones concretas las cuales pueden generar una serie de registros y evidencias que facilitan el seguimiento, control y supervisión del funcionamiento del Sistema de Gestión de Seguridad de la Información. Permiten implementar las políticas de seguridad definidas, describiendo cuáles son las actividades que se tienen que realizar en el sistema, en que momento o lugar, quiénes serían los responsables de su ejecución y cuáles serían los controles aplicables para supervisar su correcta ejecución. Dentro de los procedimientos de seguridad se contempla la planificación de tareas administrativas: administración de las cuentas de usuario, de controles de acceso a los recursos lógicos, realización y supervisión de las copias de seguridad, seguimiento de eventos de seguridad, entre otros. Un grupo de procedimientos esta relacionado con la instalación, configuración y mantenimiento de los distintos elementos de seguridad como: firewalls, servidores proxy, antivirus, Sistemas de Detección de Intrusiones (IDS), Sistemas de Protección de Intrusiones (IPS), filtrado de Contenido Web y de correo electrónico Plan de contingencias La definición e implantación de un plan de contingencias constituye un elemento fundamental para poder garantizar una respuesta adecuada frente a desastres y situaciones catastróficas, asegurando la integridad y recuperación de la información afectada. Este plan de recuperación debe especificar los objetivos y prioridades a tener en cuenta por la organización para la continuidad de su negocio para restaurar el funcionamiento de sistemas, recuperar datos, aplicaciones y servicios básicos utilizados. Para ello se deben contemplar las siguientes medidas: Disponibilidad de un Centro Alternativo de Reserva para la ubicación de los principales recursos informáticos (servidores y bases de datos corporativas). Existencia de líneas de respaldo para las comunicaciones. Sistemas de almacenamiento RAID en los servidores. Implantación de clusters de servidores con balanceo de carga. Herramientas para llevar a cabo una replicación de los documentos y las bases de datos, que puede ser síncrona, asíncrona o periódica. 17

26 2.6 Realización de pruebas y auditorias periódicas La realización de pruebas y auditorias periódicas de seguridad constituyen un elemento de gran importancia para poder comprobar la adecuada implantación de las políticas de seguridad. Así, es conveniente llevar a cabo una revisión realizando las siguientes pruebas de seguridad: Análisis de posibles vulnerabilidades del sistema informático, empleando herramientas para tratar de localizar de forma automática algunas de las más conocidas. Sondeos de seguridad que complementen el análisis de vulnerabilidades con tareas de detección y revisión de la instalación y configuración de los equipos de seguridad perimetral. Pruebas de intrusión en las que no solo se detecten las vulnerabilidades, sino que se trate de explotar las que se hayan identificado para tratar de comprometer un sistema. Otras pruebas de seguridad que contemplan aspectos humanos y organizativos, recurriendo a técnicas como la ingeniería social 9 para tratar de descubrir información sensible o determinados detalles sobre la configuración y el funcionamiento del sistema. El análisis y evaluación de riesgos, en el que se pretende determinar cuál es el nivel de riesgo asumido por la organización a partir del análisis de posibles amenazas y vulnerabilidades. Por otra parte, también conviene estudiar la respuesta de la organización ante ataques simulados y determinados tipos de incidentes de seguridad, de forma que se pueda comprobar la adecuada ejecución de las tareas y la disponibilidad de recursos previstos en los planes de contingencia. Así mismo en los trabajos de auditoria se debería revisar el nivel de cumplimiento de los compromisos contractuales. Con las auditorias y revisiones periódicas se analizan las medidas de seguridad deseables, diseñadas y aprobadas por la organización y las que realmente se han implantado y están cumpliéndose de forma adecuada en el momento del estudio. Con esta información se puede llevar a cabo una actualización de los elementos de las políticas de seguridad. 9 Ingeniería Social: Estrategias empleadas por un medio humano para estimar amenazas simulando ataques a la seguridad con el fin de identificar áreas vulnerables y efectos del ataque a una organización. 18

27 3. ZONAS DE SEGURIDAD EN REDES CORPORATIVAS No todos los usuarios de una red requieren acceso a todos los recursos de la misma. El termino zona de seguridad 10 describe métodos de diseño que aíslan un sistema de otro o una red de otra red. Puede ser posible aislar unas redes de otras usando hardware y software para ello. Al hablar de zonas de seguridad en una red, es bueno pensar en ellas como áreas separadas. Al interactuar con dispositivos que pertenecen a la infraestructura de red de un cliente, algunas veces se puede ingresar en áreas que cualquiera puede entrar. Para otras áreas, se limita el acceso para propósitos específicos. Al establecer zonas de seguridad en una red se permite aislar sistemas de usuarios no autorizados creando un ambiente bastante seguro para la organización. Las siguientes cuatro zonas son las que pueden encontrase comúnmente en topologías de redes corporativas: Internet Intranets Extranets La zona desmilitarizada 3.1 Internet Internet se ha vuelto una ventaja para individuos y negocios pero crea un desafío para la seguridad de la información. En este ambiente se debe tener un bajo nivel de confianza en las personas que usan Internet debido a que este recurso les provee de un alto grado de anonimato. Una prioridad fundamental es salvaguardar la información que se desee con las precauciones más extremas. Muchas veces los datos que viajan desde una red interna pueden significar la existencia de un problema en comparación con los datos que provienen de redes externas como se muestra en la Fig.6. Al examinarse los datos que viajan desde una red corporativa hacia una red externa donde se tienen indicios de tráfico malicioso, se analiza esta actividad desde una perspectiva relativamente nueva en seguridad de la información que se conoce como extrusión. 10 DULANEY, Emmett, CompTIA Security+ Deluxe Study Guide, Wiley, E.U.A., 2009, pp

28 Figura 6. Conexión típica de red LAN hacia Internet. 3.2 Intranets Las Intranet son redes privadas implementadas y administradas por una organización (véase Fig.7). Puede pensarse en una Intranet como un Internet que no tiene comunicación con redes fuera de la compañía; el acceso a los sistemas y recursos dentro de la Intranet son de carácter interno. Las Intranet usan las mismas tecnologías empleadas por Internet. Pueden conectarse a Internet pero no pueden ser accedidas por usuarios de redes externas que no sean autorizados por la compañía. Se concede acceso a la Intranet a los usuarios autenticados dentro de la red corporativa o a los usuarios en sitos remotos pertenecientes a la organización. Figura 7. Red Corporativa de Intranet. 20

29 3.3 Extranets Las Extranets extienden a las Intranets para incluir conexiones externas a la red corporativa. Los usuarios pueden ser vendedores, proveedores, o empresas filiales que necesitan del acceso a la red corporativa por razones legítimas. Una extranet permite conexiones vía una Red Privada Virtual (Virtual Private Network) que utiliza un canal de comunicaciones seguro a través de Internet. Este tipo de red proporciona una conexión entre dos organizaciones. La conexión puede hacerse a través de Internet y requerirá de un protocolo de túnel para lograr una comunicación segura como se muestra en la Fig.8. Conexión Privada o VPN en Internet LAN Asociado LAN Corporativa Figura 8. Red Corporativa de Extranet entre dos compañías. 3.4 La zona desmilitarizada Una zona desmilitarizada o DMZ (Demilitarized Zone) es una área dónde se puede poner un servidor para ser públicamente consultado por personas en las que no se confía, como se puede observar en la Fig.9. Al aislar un servidor en una zona desmilitarizada se puede ocultar el acceso a otras áreas de la red interna. Esto puede lograrse gracias a la implementación de firewalls para aislar otros segmentos de red y transmitir en tres direcciones: a la red interna, a redes externas e Internet y la información que se desea compartir y hacer pública en la zona desmilitarizada. Al establecer una zona desmilitarizada se asume que la persona que accede al recurso no necesariamente es alguien a quien pueda confiársele otra información. En esta topología de red el resto de la infraestructura no es visible a los usuarios externos y con ello se minimizan drásticamente las amenazas de intrusión en la red interna. 21

30 Red Privada Figura 9. Red Corporativa de Zona Desmilitarizada. 22

31 4. TECNOLOGÍAS DE VIRTUALIZACION EN REDES CORPORATIVAS Se pueden tener varias perspectivas para lograr el diseño solido de una red segura aunque algunos pueden involucrar riesgo y dinero. Cuando se forma parte de un área operativa de seguridad en redes con diversos clientes y por consiguiente diferentes topologías de red, se puede aprender a distinguir las capas de seguridad que protegen los sistemas de conexiones menos seguras para ocultar recursos y servicios de red. Actualmente existen nuevos métodos y técnicas, así como el uso y aplicación de herramientas para diseñar redes seguras. Es importante recordar que después de implantar un diseño de seguridad, se debe volver a revisar para analizar los posibles riesgos. Muchas de las tecnologías relativamente nuevas están disponibles para ayudar a mantener un sistema lo menos vulnerable posible con un costo adicional muy bajo. Las cuatro tecnologías de virtualización de sistemas y redes 11 con las que se tiene mayor relación y con las que se adquieren conocimientos técnicos para ser aplicados en la operación diaria por parte del personal de reciente ingreso son 12 : La virtualización de sistemas. Las redes virtuales de área local (Vitual Local Area Netwotks). La traducción de direcciones de red (Network Address Translation). Los túneles por Internet. 4.1 Virtualización de sistemas Las tecnologías de virtualización permiten tomar cualquier dispositivo físico y esconder sus características de los usuarios. En esencia permite ejecutar múltiples procesos en un solo dispositivo para hacerles parecer como si fueran entidades autónomas. Por ejemplo, las computadoras pueden trabajar bajo un sistema operativo y ejecutar múltiples ventanas virtuales de sistemas operativos comerciales o de desarrollo libre en diferentes versiones de distribución. Gracias a la virtualización, el equipo puede ejecutar múltiples versiones de aplicaciones informáticas y sistemas operativos. 11 DOHERTY, Jim, et al., Introducción a Redes CISCO, Anaya Multimedia, España, 2008, pp SHIMONSKI J., Robert, CompTIA Network+ Certification Study Guide, Syngress, E.U.A., 2009, pp

32 Así como una computadora puede ser virtualizada también puede serlo un servidor que puede alojar múltiples máquinas lógicas. Usando un servidor para hacer la función de muchos de ellos, puede ganarse una reducción inmediata en los costos en términos de adquisición de hardware, software e infraestructura. 4.2 Redes virtuales de área local Una red virtual de área local o VLAN (Virtual Local Area Network) permite crear grupos de usuarios y sistemas para segmentarlos en la red interna. Esta fragmentación permite esconder segmentos de la red y controlar el acceso. Las VLAN (ver Fig.10) pueden emplearse para administrar las rutas que los datos toman para ser transmitidos de un punto a otro y son una buena forma de administrar el tráfico de la red en una determinada zona. En una red de área local, los equipos pueden comunicarse entre sí y no se necesita ningún dispositivo retransmisor como los routers 13. Cuando la red de área local crece también crece el número de transmisiones, pero encogiendo el tamaño de la red al segmentarse en grupos más pequeños, se reduce el tamaño de los dominios de transmisión. Las ventajas al hacer esto incluye el reducir el alcance de las transmisiones mejorando el funcionamiento y administración de la red y decrementando la dependencia en la topología física. Sin embargo, el beneficio importante es que las VLAN pueden aumentar la seguridad de los usuarios cuyo nivel de sensibilidad de datos es similar y puedan ser segmentados juntos. Red Corporativa Computadoras y usuarios agrupados lógicamente Figura 10. Red Corporativa segmentada en VLANs. 13 Router: dispositivo de encaminamiento que facilita la interconexión de distintas redes de computadoras. 24

33 4.3 Traducción de direcciones de red La traducción de direcciones de red o NAT (Network Address Translation) es un método de segmentar una red para ayudar a incrementar la seguridad. Originalmente, las NAT (véase Fig.11) extendían el número de direcciones de Internet utilizables. Ahora estas permiten a una organización presentar una sola dirección IP de cara a Internet para todas las conexiones de computadoras de la red interna. El servicio de NAT proporciona las direcciones IP a los host o sistemas en la red y rastrea la comunicación hacia la red interna y el tráfico que sale de ella hacia Internet. Una compañía que usa NAT presenta una sola conexión a la red, esta conexión puede hacerse a través de un router o un servidor de NAT. La única información que un intruso podría conseguir es que la conexión tiene una sola dirección IP. El NAT esconde eficazmente la red interna del mundo exterior, haciendo más difícil determinar qué sistemas existen del otro lado del router. El servidor de NAT opera eficazmente como un firewall para la red. La mayoría de los routers soportan NAT y son una forma de proporcionar funciones de un firewall simple y barato para redes pequeñas. La mayoría de las implementaciones del NAT asignan direcciones IP privadas para equipos en la red interna y usa direcciones IP públicas sólo para el NAT que traduce y comunica con el mundo externo, es decir Internet. Red interna (Direccionamiento de red privado) Red externa (Dirección real) Enlace hacia Internet Figura 11. Conexión hacia internet de una red por NAT. 25

34 4.4 Túneles en Internet Un túnel en Internet se refiere a crear una conexión virtual dedicada entre dos sistemas o redes. Como se muestra en la Fig.12, el túnel se crea entre las dos puntas terminales del enlace encapsulando los datos mutuamente con un protocolo de transmisión. Los protocolos de túnel normalmente incluyen seguridad en los datos así como encriptación enviando los datos por una red pública encapsulando la información en paquetes seguros. La mayoría de los túneles son redes privadas virtuales (VPN) y para cada punto terminal esto se percibe como una sola conexión. Red Privada Virtual o túnel a través de Internet Figura 12. Conexión VPN a través de internet. 26

35 5. AMENAZAS A UN SISTEMA INFORMÁTICO Al implementar políticas de seguridad en una organización se requiere de una evaluación de riesgos de amenazas 14 internas y externas a la información y a la red, como se muestra en la Fig.13. Es poco recomendable implementar un ambiente de seguridad alto para proteger la compañía del exterior si las amenazas provienen principalmente del interior. Las medidas de seguridad externas no prevendrán daño potencial o pérdida de información en un ataque de naturaleza interna. Fraude Internas Amenazas Externas Desastres naturales Falsificación Falla de Sistema Sistema afectado Fuego Inundación Terremoto Sabotaje Espionaje Atacante Victima Figura 13. Amenazas internas y externas a un sistema en una organización. 5.1 Amenazas internas La mayoría de las amenazas internas involucran abusos financieros como fraudes, mal uso, alteración y robo de propiedad de la información. Estos tipos de amenazas, sobre todo en un ambiente del uso constante de tecnologías de la información, pueden ser difíciles de descubrir e investigar. Este tipo de abusos ocurren típicamente al realizarse pequeñas transacciones durante largos períodos de tiempo. Tanto las políticas como los sistemas de seguridad deben detectar y mitigar estas posibilidades. Investigar y hacer las recomendaciones pertinentes a los niveles directivos en la implementación de cambios, procedimientos y políticas de seguridad, 14 DULANEY, Emmet, CompTIA Security+ Deluxe Study Guide, opc. cit., pp

36 son tareas importantes que un profesionista en seguridad de la información posiblemente realizará. Usualmente la investigación realizada por los auditores financieros e informáticos para esclarecer estos casos, implican un coste adicional al daño perpetrado a la compañía. Desde la perspectiva de la seguridad de la información, la materialización de una amenaza en un ataque satisfactorio es el resultado de fallas en los controles de la seguridad. 5.2 Amenazas externas Las amenazas externas están aumentando en un grado alarmante. Hace varios años, muchos de los incidentes eran causados principalmente por diversión y solo involucraban destrucción de datos y archivos. Al día de hoy, muchas compañías realizan múltiples operaciones a través de Internet o en entornos de redes privadas como pueden ser: ordenes de compra, procesos de pagos, registro de embarques, manejo de inventarios, bases de datos en línea y administración de información importante que requiere del uso de sistemas computacionales en red. Estos sistemas se conectan a otros sistemas que contienen información corporativa privada, secretos comerciales, planes estratégicos y muchos otros tipos de información valiosa. Desafortunadamente, cuando estos sistemas son comprometidos se afecta directamente el giro del negocio. Generalmente los incidentes ocurren donde las brechas de seguridad permanecían abiertas durante años y las compañías involucradas no tenían conocimiento que esto estuviese sucediendo. Esta es una de las causas por las que se puede generar interés en crear o aprovechar este tipo de brechas de seguridad. 28

37 6. VULNERABILIDADES DE UN SISTEMA INFORMÁTICO Las vulnerabilidades de un sistema o red 15 describen las debilidades y los métodos más comunes que se utilizan para perpetrar ataques a la seguridad de la familia de protocolos TCP/IP. Actualmente existen utilerías de software que automáticamente identifican victimas potenciales así como sus vulnerabilidades. Estas herramientas usan interfaces de usuario gráficas que requieren muy poca especialización técnica por parte del atacante. En el campo laboral de un especialista en seguridad de la información existe una estrecha relación con el funcionamiento de las capacidades de seguridad del software y de los dispositivos utilizados en este ámbito de desarrollo profesional. Usualmente el proceso de autenticación de un sistema (ver Fig.14) se considera como un parámetro fiable de seguridad. Cuando la ventana de autenticación aparece lo únicamente necesario para que la computadora sea vulnerable es elegir el botón de Cancelar y aun así se proporcionaran la mayoría de las capacidades de red y acceso local a algunos servicios. Servidor de autenticación Figura 14. Proceso de autenticación de usuario. El protocolo de comunicaciones en red TCP/IP que se utiliza actualmente por muchas redes corporativas fue diseñado para permitir la comunicación en un ambiente seguro. Este protocolo era principalmente experimental y durante su fase de investigación fue primeramente utilizado por escuelas y agencias gubernamentales. Aunque es robusto en cuanto a su manejo de errores, por su naturaleza no es seguro. Muchos ataques de red modernos ocurren a través de TCP/IP. 15 SHIMONSKI J., Robert, Eleventh Hour Network+ Study Guide, Syngress, E.U.A., 2010, pp

38 Los sistemas operativos y programas de software han sido vulnerables a ataques provenientes de ambientes de red externos e internos. Los fabricantes de este software contrarrestan las anomalías liberando parches de actualizaciones pero siempre alguien desarrolla una nueva manera de corromper estos archivos. En el pasado se escondían las vulnerabilidades de seguridad de los productos; ahora son publicadas y se proporcionan soluciones tan pronto cuando se descubren. Esta situación ayuda sin duda a los hackers, quienes conocen que estos cambios no se harán durante algún tiempo en muchos sistemas de cómputo. 30

39 7. ATAQUES A UN SISTEMA INFORMÁTICO Un ataque ocurre cuando un individuo o grupo de individuos no autorizados intentan acceder, modificar, o dañar un sistema o ambiente de red. La principal razón en las diferencias en los ataques 16 es que estos ocurren de muchas maneras y por diferentes razones. A través de los años se han desarrollado formas cada vez más sofisticadas de ataque para explotar vulnerabilidades en el diseño, configuración y operación de los sistemas. Las generaciones de ataques existentes en la red a lo largo del tiempo se pueden clasificar en tres categorías. 7.1 La primera generación: el ataque físico Eran ataques que se centraban en los componentes electrónicos: computadoras y cables. El objetivo de los protocolos distribuidos y de la redundancia es la tolerancia frente a un punto único de fallo. Son mayormente problemas para los que actualmente se conoce la solución. 7.2 La segunda generación: el ataque sintáctico Son ataques contra la lógica operativa de las computadoras y las redes, donde se pretende explotar las vulnerabilidades de los programas, de los algoritmos de cifrado y de los protocolos, así como permitir la denegación del servicio prestado. En este caso se conoce el problema y se está trabajando en encontrar soluciones cada vez más eficaces. 7.3 La tercera generación: el ataque semántico Se basan en la manera en que los humanos asocian algún significado a un determinado contenido. También pueden llevarse a cabo modificando información que se encuentre en desuso. Esta generación de ataques se lleva a su extremo si se modifica el contenido de los datos de los programas de computadora, que son incapaces de cotejar o sospechar de su veracidad. Su solución pasará no sólo por el análisis técnico, sino también por el humano. 16 NORTHCUTT, Stephen, et al., Inside Network Perimeter Security, SANS, E.U.A.,

40 Los ataques pueden estar motivados por diversos objetivos incluyendo fraude, extorsión, robo, venganza, conexión de dispositivos móviles y accesos no autorizados a un sistema o anulación de un servicio y pueden provenir principalmente de dos fuentes: Usuarios autentificados a sistemas dentro de la red interna de la empresa, como por ejemplo empleados internos o colaboradores externos. Atacantes externos a la ubicación física de la organización, accediendo remotamente la red interna de la empresa. 7.4 Fases de un ataque informático Los ataques contra redes de computadoras y sistemas informáticos suelen constar de las etapas o fases que se presentan a continuación: Descubrimiento y exploración del sistema informático. Búsqueda de vulnerabilidades en el sistema. Explotación de las vulnerabilidades. Corrupción o compromiso del sistema: mediante la modificación de programas y archivos para dejar instaladas puertas traseras; creación de cuentas de usuario con privilegios administrativos que faciliten el acceso del atacante al sistema afectado. Eliminación o modificación de pruebas que revelan el ataque y compromiso del sistema en registros de actividad del equipo. Para poder llevar a cabo un ataque los intrusos deben disponer de medios técnicos, conocimientos y herramientas adecuadas, contar con una motivación o finalidad y se tiene que dar además una oportunidad que facilite el desarrollo del ataque. Estos tres factores como se puede observar en la Fig.15, constituyen lo que se denomina el Triangulo de la Intrusión. 32

41 Fallos en la seguridad de la red y/o de los equipos Oportunidad Intrusión en la red o sistema Motivo Diversión Lucro Personal Medios Conocimientos técnicos Herramientas Figura 15. El Triangulo de la Intrusión. En cuanto a los medios y herramientas disponibles en la actualidad para llevar a cabo los ataques, se pueden citar los siguientes: Escaneo de puertos. Sniffers. Exploits. Backdoor kits. Rootkits. Auto-rooters. Password crackers. Generadores de virus y otros programas malignos. Herramientas que facilitan la ocultación y suplantación de direcciones IP. Protocolos criptográficos como PGP, SSH, SSL o IPsec. 7.5 Tipos de ataques informáticos La mayoría de los ataques se diseñan para aprovecharse de debilidades potenciales de las aplicaciones utilizadas por usuarios o pueden estar presentes en los protocolos de comunicación usados en las redes. Muchos tipos de ataques requieren un alto nivel de 33

42 sofisticación y son raros, pero como Operador Staff es necesario saber de ellos para que en caso de ocurrir, se pueda identificar lo que esta sucediendo en la red (véase Fig.16). Los distintos tipos de ataques informáticos se pueden categorizar como ataques activos, los cuales producen cambios en la información y en la situación de los recursos del sistema y ataques pasivos, que se limitan a registrar el uso de los recursos y/o a acceder a la información guardada o transmitida por el sistema de información. Sin tener en cuenta como es que ocurre, generalmente el propósito del ataque es lograr uno o más de los siguientes objetivos: En un ataque de acceso alguien quiere acceder a los recursos de una organización sin contar con los permisos necesarios. Durante un ataque de modificación ó repudiación alguien desea modificar la información en los sistemas. Un ataque de denegación de servicio es un esfuerzo por desestabilizar la red y sus servicios. Cuando el sistema se satura al responder peticiones de comunicación ilegitimas se puede impedir que usuarios autorizados tengan acceso a los servicios. Figura 16. Distintos tipos de ataques a la Seguridad de la Información. 34

43 7.5.1 Ataques de acceso Un ataque de acceso es un intento de obtener el permiso y/o la autorización suficientes para hacer uso de información restringida y resguardada por diversos medios. Este tipo de ataques se enfocan en quebrantar la confidencialidad de la información y pueden originarse tanto interna como externamente; pueden ocurrir incluso cuando es posible un acceso físico a la información. Los métodos comúnmente utilizados en este tipo de ataque capturan la información que se encuentra en ruta entre dos sistemas Ataques de modificación y repudiación Los ataques de modificación involucran la eliminación, inserción, o alteración de información de una manera no autorizada donde se pretende que parezca genuina al usuario. Estos ataques pueden ser difíciles de descubrir. Son similares a los ataques de acceso donde el atacante por ejemplo, debe conseguir primero los datos de acceso a un servidor. Los defacements 17 de sitios Web son una forma común de ataques de modificación que involucran cambios en páginas electrónicas con fines adversos a su función original. Un ataque de repudiación es una variante de un ataque de modificación. Los ataques de repudiación hacen que los datos o la información parezcan ser no válidos. Son bastante fáciles de lograr porque muchos sistemas de correo electrónico no verifican que los mensajes que salen sean válidos. Tanto los ataques de repudiación como los ataques de modificación usualmente comienzan como ataques de acceso Ataques de denegación de servicio y denegación de servicio distribuido Los ataques de Denegación de Servicio (Denial of Service) impiden el acceso a los recursos por parte de usuarios autorizados. Un atacante puede intentar destruir un sitio Web de comercio electrónico para impedir o negar su uso por clientes legítimos. No existe un solo tipo de ataque de Denegación de Servicio como tal, en cambio existen una variedad de métodos similares que tienen el mismo propósito. En un ataque de Denegación de Servicio los servidores se encuentran muy saturados respondiendo a peticiones falsas, hasta que llega un 17 Defacement: Modificación de una página Web sin autorización del dueño de la misma. 35

44 momento en el que no tienen tiempo de atender peticiones legítimas. Los servidores no sólo pueden estar físicamente saturados, el mismo resultado puede ocurrir si el ataque consume todo el ancho de banda disponible. Dos de los tipos más comunes de ataques de Denegación de Servicio son el ping de la muerte y el desborde de buffer 18 en memoria. El ping de la muerte ataca un servidor enviando paquetes ICMP que son más grandes de lo que el sistema puede manejar. Un ataque de desborde de buffer en memoria, como su nombre lo indica, intenta poner más datos de los que se puede procesar, usualmente se envían largas cadenas de caracteres que debe procesar el buffer de memoria del equipo servidor. En un ataque de Denegación de Servicio Distribuido (Distributed Denial of Service) se explotan múltiples sistemas de computadoras para dirigir el ataque contra una organización. Un atacante puede cargar un programa con las instrucciones del ataque hacia docenas o incluso cientos de sistemas de computadora. El programa se sitúa inactivo en estas computadoras hasta que se reciba una señal desde una computadora maestra. La señal coordina a los sistemas lanzando un ataque simultáneo hacia la red o servidor comprometido. Maestro Zombis Servidor Victima Figura 17. Ataque de Denegación de Servicio Distribuido. La Fig.17 ilustra un ataque en ejecución y el sistema maestro coordinando el ataque. El sistema maestro puede ser otro usuario inadvertido de la misma red. Los sistemas que son controlados desde la computadora que dirige el ataque son llamados zombis, estos sistemas 18 Buffer: Zona de memoria RAM utilizada por un programa o servicio del sistema operativo para guardar datos y realizar distintas operaciones. Si se produce un desborde en esta zona, el programa o servicio afectado podrá perder el control y comprometer la seguridad. 36

45 llevan a cabo las instrucciones del programa de ataque que en ellos se aloja por la computadora maestra. El software corre automática y autónomamente en las computadoras zombis y es conocido como botnet. Lo más desagradable de este tipo de ataque es que las computadoras usadas pueden pertenecer a usuarios de una red de área local. El ataque no genera ninguna señal de advertencia de mal funcionamiento del equipo. Cuando el ataque está completo el botnet puede quitarse autónomamente del sistema o infectar a usuarios inadvertidamente con un virus que destruya el disco duro mientras elimina cualquier evidencia de su existencia Ataques de puerta trasera Un ataque de puerta trasera (ver Fig.18) puede ser un ataque de acceso o de modificación. Existen herramientas para crear ataques de puerta trasera en los sistemas. Afortunadamente muchos antivirus convencionales detectan y bloquean este tipo de ataques. El término ataque de puerta trasera puede tener dos significados. El término de puerta trasera originalmente se refiere a solucionar problemas en el diseño y desarrollo de los sistemas. Durante el desarrollo de un sistema operativo o aplicación, los programadores agregan puertas traseras de mantenimiento. Las puertas traseras les permiten examinar funcionalidades dentro del código mientras está en ejecución. Las puertas traseras son removidas del código antes de pasar el producto final a producción. Cuando un fabricante de software descubre una puerta trasera que no ha sido removida, se libera una actualización o parche de mantenimiento para cerrarla. Estos parches son comunes cuando un nuevo producto sale a la venta. El segundo tipo de puerta trasera se refiere a obtener el acceso a un sistema e insertar un programa que cree una entrada para el atacante, lo cual puede permitirle identificarse con un cierto nombre de usuario sin una contraseña y obtener privilegios de administrador. 37

46 Atacante Programa de puerta trasera Victima Figura 18. Ataque de puerta trasera Ataques de engaño ó spoffing Un ataque de spoofing o engaño es un esfuerzo por alguien para hacerse pasar como una entidad legitima. Este tipo de ataque normalmente es considerado como un ataque de acceso y puede ocurrir a cualquier nivel de red. Un ataque común de spoofing, consiste en la implantación de un programa de inicio de sesión falso. El programa solicita el nombre de usuario y contraseña en una interfaz gráfica idéntica a la del sistema operativo del equipo victima. No importando lo que el usuario escriba, el programa indicaría un intento de inicio de sesión no válido y después de repetidos intentos, se transfiere el control en el acceso al programa de inicio de sesión real. El programa de engaño escribe los datos de usuario y contraseña en un archivo en el disco duro del sistema victima que se recupera después. Los ataques de spoofing más populares hoy en día son el IP spoofing y el DNS spoofing. Con el IP spoofing, la meta es hacer que los datos parezcan provenir de un equipo válido cuando en realidad no es así, de esta manera se engaña a la dirección IP del equipo que envía la información. Con el DNS spoofing, a un servidor de DNS se le da información sobre un nombre de servidor que parece ser legítimo cuando no lo es. Con esto se puede enviar a los usuarios a un sitio Web que parezca ser el original, redireccionar correos electrónicos o hacer cualquier otro tipo de redireccionamiento donde los datos de un servidor de DNS se usan para determinar un destino. Este ataque se conoce también como envenenamiento de DNS ó DNS poisoning. 38

47 Intento 1 Intento 2 Cliente real Solicitud de autenticación Respuesta de datos no válidos Atacante Solicitud de autenticación Servidor real Respuesta de inicio de sesión Cliente válida Servidor real El atacante se retira pero obtiene un nombre de real usuario y contraseña válidos Figura 19. Ataque de spoofing en un inicio de sesión. La Fig.19 muestra un ataque de spoofing que ocurre como parte del proceso de identificación de usuario y el inicio de sesión requerido en una red de computadoras. El atacante personifica al servidor de identificación de usuario de cara al cliente que intenta iniciar una sesión. No importa lo que el cliente intenta hacer, el sistema de identificación de usuario fallará en el proceso de inicio de sesión. Cuando este proceso es terminado por el usuario el sistema personificado del servidor falso se desconecta del cliente. Al intentar el proceso nuevamente, el usuario se conecta al servidor legítimo con los mismos datos de autenticación y se establece una sesión legítima. Entretanto el atacante ya cuenta con un nombre de usuario y contraseña válidos Ataques del hombre en medio Los ataques de hombre en medio tienden a ser bastante sofisticados. Este tipo de ataque también es un ataque de acceso, pero puede usarse como punto de partida para un ataque de modificación. El método usado en estos ataques es colocar clandestinamente un software en el equipo del atacante y el servidor de modo que ni los administradores del sistema ni los usuarios tengan noción de esto. El software intercepta los datos enviados al servidor, éste le responde al software como si se estuviera comunicando con el cliente legítimo y el flujo de información continúa. El software de ataque graba la información para que después alguien pueda ver, alterar, o comprometer la seguridad del sistema y de la sesión de usuario. Si los datos son modificados se hacen pasar como legítimos en la comunicación que existe entre los equipos involucrados. 39

48 Cliente Atacante (hombre en medio) Servidor Figura 20. Ataque del hombre en medio entre un cliente y un servidor. La Fig.20 ilustra un ataque del hombre en medio donde puede verse como entre el servidor y el cliente se asume que el sistema con el que se están comunicando es el legítimo. El hombre en medio parece ser una comunicación del servidor al cliente y del cliente al servidor. En años recientes, la amenaza de ataques del hombre en medio en las redes inalámbricas se ha incrementado. Debido a que ya no es necesario conectarse a una red por un medio cableado, un atacante puede estar fuera de un edificio corporativo interceptando paquetes de datos alterándolos y enviándolos por la misma red. Una solución a este problema es implementar un protocolo de autenticación inalámbrico seguro como WAP Ataques de repetición Estos ocurren cuando se captura información que viaja en una red. Un ataque de repetición puede ser un ataque de acceso o de modificación. En un ambiente distribuido, la información de nombre de usuario y contraseña para un inicio de sesión es enviada entre el cliente y el sistema de autenticación. El atacante puede capturar los datos y reenviarlos después. Esto puede ocurrir también con los certificados de seguridad Datos de inicio de sesión donde el atacante reenvía el certificado esperando ser validado por el sistema de autenticación y eludir cualquier susceptibilidad del ataque. Cliente Datos de inicio de sesión Datos de inicio de sesión Servidor Atacante Figura 21. Ataque de repetición en ejecución. 40

49 La Fig.21 muestra un atacante que presenta un certificado previamente capturado. En este ejemplo, el atacante recibe información legítima del cliente y la guarda. Después, el atacante intenta usar la información para entrar en el sistema. Si este ataque tiene éxito se tendrá todos los permisos y privilegios del certificado original. Ésta es la razón principal por la que la mayoría de los certificados contiene un único identificador de sesión y un registro de fecha y hora; si el certificado ha expirado se rechazará y debe crearse un registro en un log 19 de seguridad para notificar a los administradores del sistema o servidor en cuestión Ataques de especulación de contraseña Los ataques de especulación de contraseña ocurren cuando una cuenta de usuario es atacada repetidamente. Aunado a esto es necesaria la utilización de aplicaciones conocidas como decodificadores de contraseñas que envían posibles contraseñas de la cuenta de usuario de una manera sistemática. Los ataques se llevan a cabo para apoderarse de contraseñas y preparar un ataque de acceso o modificación. Existen dos tipos de ataques de especulación de contraseña: Ataque de fuerza bruta. Ataque de diccionario. Algunos sistemas identificarán si un nombre de usuario es válido pero la contraseña está equivocada, dando una pista al atacante acerca del nombre de usuario válido de una cuenta. De ser posible el proceso de autenticación debe aceptar conjuntamente el nombre de usuario y contraseña válidos o requerir iniciar de nuevo el proceso de autenticación completamente tras un intento fallido. 19 Los logs son registros en texto plano de los eventos que han ocurrido en un dispositivo o sistema y las acciones que se realizaron. 41

50 8. DISPOSITIVOS DE SEGURIDAD PERIMETRAL En las infraestructuras de redes corporativas de la actualidad existen tecnologías especializadas para brindar seguridad a diferentes niveles y para diferentes servicios. Debido a la gran cantidad de información que viaja en la red, es necesario para las empresas contar con el personal necesario, dedicado a monitorear y administrar la seguridad y el tráfico de la red. Por ello, un profesionista en seguridad informática debe considerar como tema crítico el adquirir los conocimientos básicos sobre la implantación y funcionamiento de los dispositivos de seguridad perimetral más comunes. Desde un punto de vista operacional, pueden definirse los siguientes puntos de acción de un sistema de seguridad informática para prevenir y evitar ataques en tres etapas: Prevención: implementada por dispositivos como los firewalls. Detección: a través de sistemas como los IDS. Respuesta: las acciones a tomar deben ser dirigidas por la parte humana, típicamente los administradores de la red. Todos estos equipos al trabajar en conjunto, proporcionan un entorno de red segura para los clientes y constituyen la base de los dispositivos de seguridad perimetral con los que un Operador Staff debe interactuar en el día a día del desempeño de sus funciones. Al formar parte del equipo de trabajo del Centro de Operaciones de Seguridad se puede apreciar que no todas las redes son creadas de la misma forma; igualmente, se percibe que no todas las redes se implementan físicamente siguiendo un mismo estilo. Para comprender los fundamentos bajo los cuales trabaja cada dispositivo y los diseños de red con las consideraciones de seguridad en mente, el profesional de la seguridad debe reforzar y profundizar en los conocimientos de un entorno de red segura en cuanto al estudio de tecnologías en seguridad existentes y tener una perspectiva básica sobre las estrategias de los ataques más comunes que se realizan. Como profesional de la seguridad, se aprende a familiarizarse con lo que se observa del tráfico que esta pasando en la red en el instante mismo en que sucede. Así mismo se debe conocer 42

51 los procesos de notificación necesarios y aplicar las medidas preventivas ante la incertidumbre y el temor sobre eventos que reflejen un comportamiento anómalo y desconocido de la red. Cuando una actividad sospechosa comienza a interferir con los servicios o el flujo normal del tráfico de red convirtiéndose en un incidente de seguridad, debe actuarse con rapidez realizando las acciones correspondientes de bloqueo y contención del tráfico observado en el segmento de red ó sistema. 8.1 Firewalls Comúnmente los firewalls son las primeras líneas de defensa perimetral en una red, comercialmente se pueden encontrar como soluciones de hardware y/o software. Son dispositivos que realizan el filtrado de los paquetes de datos a partir de reglas definidas por el administrador de la red corporativa, teniendo en cuenta las direcciones IP fuente y/o destino y el servicio de red al que se corresponden. Su propósito básico es aislar una red corporativa de otras redes, esto significa que es el dispositivo autónomo primario instalado para separar y analizar el tráfico entre redes internas y externas permitiendo o denegando el acceso a Internet y servicios de la empresa de manera selectiva obligando a los usuarios internos y externos a cumplir las restricciones y permisos impuestos. De este modo el firewall permite establecer dos zonas de trabajo independientes: la zona fiable o de confianza correspondiente a los equipos de la red corporativa interna, en contraposición con la zona no fiable en la que se ubicarían todos los equipos de redes externas conforme se muestra en la Fig.22. El firewall también puede ser configurado para facilitar la conexión de usuarios remotos a través de túneles seguros utilizando protocolos de redes privadas virtuales. Es posible trabajar con dos paradigmas de seguridad en los dispositivos firewall: Se permite cualquier servicio, excepto aquellos que expresamente se hayan prohibido. Se prohíbe cualquier servicio excepto aquellos que expresamente hayan sido permitidos. 43

52 Túnel seguro ZONA NO FIABLE (UNTRUST) Firewall Zona 1 Internet Router Frontera Sensor IPS Zona 2 Usuario VPN Servidores Correo ZONA FIABLE (TRUST) Zona 3 Figura 22. Topología típica de una red protegida por firewall. El segundo paradigma es el más recurrente aunque resulta más incomodo para los usuarios de la red. En este caso sólo se abren determinados puertos en el firewall a medida que algunos servicios autorizados así lo requieran. Entre los principales servicios de seguridad que puede ofrecer un firewall se pueden destacar los siguientes: Bloqueo del tráfico no autorizado por la organización: servicios de Internet que se deseen restringir, bloqueo a determinadas direcciones IP y de servidores de ciertas páginas Web. Ocultamiento de los equipos internos de la organización, de forma que éstos puedan resultar invisibles ante posibles ataques provenientes del exterior. Registro en archivos de logs de todo el tráfico entrante y saliente de la red corporativa. Redirección del tráfico entrante hacía determinadas zonas especialmente vigiladas. Limitación del ancho de banda utilizado por tipo de tráfico o protocolo. Encriptación extremo a extremo para crear túneles seguros. Seguimiento del tráfico cursado proporcionando estadísticas sobre el ancho de banda consumido por la organización distribuido entre los distintos servicios y los distintos equipos de los usuarios. Monitorización de los ataques o intentos de intrusión; seguimiento del número y tipo de ataques desde el exterior; detección y bloqueo de las actividades de reconocimiento como el escaneo de puertos; protección frente a los intentos de intrusión y ataques más frecuentes; generación de alarmas, alertas e informes. 44

53 Seguidamente se presenta una lista de los puertos que conviene bloquear para los equipos externos a una red según la recomendación del Sans Institute: Servicios de conexión remota: telnet (23/tcp), SSH (22/tcp), FTP (21/tcp), rloguin (512/tcp, 513/tcp, 514/tcp). Protocolo NetBIOS en redes Windows, que permite la conexión a recursos compartidos en la red (carpetas, impresoras, discos duros): 137/udp, 138/udp, 139/tcp, 445/tcp y 445 udp. RPC y el servicio NFS de redes UNIX: Portmapper/rpcbind (111/tcp y 111/udp), NFS (2049/tcp y 2049/udp), lockd (4045/tcp y 4045/udp). Servicio X Windows (terminal gráfico en UNIX): del 6000/tcp hasta 6255/tcp. Servicios de directorio y nombres de dominio en máquinas que no actúan como servidores: DNS (53/udp), LDAP (389/tcp y 389/udp). Correo electrónico SMTP (25/tcp) bloqueado en todos los equipos que no actúan como servidores de correo, para evitar que puedan ser utilizados para el reenvío masivo de correos ( mail relays ); POP3 (109/tcp y 110/tcp); IMAP (143/tcp). Finger (79/tcp): ya que facilita información de los usuarios de un sistema y tiempo de conexión. Conviene deshabilitar o restringir su uso sólo a equipos de la red local. TFTP (69/udp): transferencia de archivos que no proporciona ninguna seguridad. echo replay (7/tcp) y chargen (19/tcp y udp) pueden utilizarse en ataques de DoS. Otros servicios que conviene bloquear desde el exterior: time (37/tcp y udp), NNTP (119/tcp), NTP (123/tcp y udp), LPD (515/tcp), syslog (514/udp), SNMP (161/tcp y udp, 162/tcp y udp), BGP (179/tcp), SOCKS (1080/tcp), puertos inferiores a 20/tcp y 20 udp. Servicios relacionados con las conexiones Web en máquinas que no actúan como servidores: HTTP (80/tcp, 8000/tcp, 8080/tcp, 8888/tcp...), SSL (443/tcp). 8.2 Sistemas de Prevención de Intrusiones Los IPS (Intrusion Prevention Systems) son otra posible línea de defensa contra los ataques a una red o sistema. Al ser su funcionamiento de carácter proactivo y defensivo, se pueden detener más ataques. Como se ilustra en la Fig.23, los IPS existen típicamente en los límites de la infraestructura de red. El IPS realiza determinaciones basadas en el contenido de los paquetes de datos y es capaz de responder ante los ataques cuando estos están ocurriendo. Al automatizar la respuesta ante un evento y el hecho de que estos dispositivos pasen de la detección a la prevención de ataques, se tiene la habilidad de bloquear el tráfico de entrada de 45

54 una o más direcciones IP desde donde se origina un ataque. Esto da a los IPS la habilidad de frenar un ataque en proceso y bloquear futuros ataques de la misma dirección IP. Sensor Red Interna IPS Canal Seguro de Administración BD Firmas y Logs Monitoreo SOC Figura 23. Sistema de Prevención de Intrusiones. 8.3 Sistema de Detección de Intrusiones Los IDS (Intrusion Detection System) son los dispositivos que monitorean e inspeccionan todo el tráfico de red de entrada y salida, detectan y reaccionan de forma automatizada ante patrones que pueden indicar actividad sospechosa o ataques en las redes y equipos informáticos. El IDS es una herramienta especializada que sabe como leer e interpretar el contenido de archivos de logs de sensores desplegados en distintos puntos de la red. A pesar de que otros dispositivos de seguridad perimetral pueden colectar la información necesaria para detectar y evitar ataques que pueden estarce generando o que ya se encuentren en ejecución, su función no ha sido programada para inspeccionar y detectar los tipos de tráfico o patrones de comportamiento de una red que correspondan a archivos de firmas 20 conocidas de ataques. La mayoría de las firmas se construyen al ejecutarse un exploit conocido varias veces, supervisando los datos como aparecen en la red y buscando patrones que se repiten en cada ejecución. Este método trabaja bastante bien al asegurarse de que la firma se compara de forma consistente con un intento de ataque en particular. Para ello, cada firma genera un aviso de la detección de cualquier actividad sospechosa mediante una serie de alarmas e informes. Si sucede una comparación entre la firma y el ataque relacionado, ésta es registrada en un log para futuras referencias. 20 Archivo de firma: Información contenida en un archivo de la base de datos del IDS sobre patrones de comportamiento que se comparan con los archivos existentes para determinar si un sistema esta infectado con algún virus o gusano. 46

55 Red Interna Figura 24. Sistema de Detección de Intrusiones. Un IDS como se observa en la Fig.24, almacena regularmente en una base de datos las firmas de ataques bien conocidos y puede comparar patrones de actividad y/o comportamiento del tráfico reciente o en curso que se observa en los logs de los equipos monitorizados, contra las firmas con las que se correspondan. En la arquitectura de un IDS podemos distinguir los siguientes elementos funcionales básicos representados en la Fig.25: Una fuente de información que proporciona eventos del sistema o red informática. Una base de datos de patrones de comportamiento considerados como normales, así como de los perfiles de distintos tipos de ataque. Un motor de análisis encargado de detectar evidencias de intentos de intrusión. Un módulo de respuesta capaz de llevar a cabo determinadas actuaciones a partir de las indicaciones del motor de análisis. Fuente de datos (eventos del sistema) Motor de Análisis Módulo de Respuesta Base de Datos Patrones de uso y tipos de ataques Alarmas e Informes Figura 25. Arquitectura de un Sistema de Detección de Intrusiones. 47

56 Un IDS es capaz de actuar de forma automática ante los incidentes detectados. Las respuestas pasivas se limitan a registrar las posibles intrusiones o usos anómalos, así como generar informes y alertas. Por su parte mediante las respuestas activas el IDS podría responder a la situación anulando conexiones o bloqueando el acceso a determinados equipos o servicios de la red para tratar de limitar las consecuencias del incidente y recolectar la evidencia generada del evento. No obstante los IDS también presentan algunas limitaciones como la generación de falsas alarmas ya sean incidentes no detectados (falsos negativos) o la generación de alertas de actividad no problemática (falsos positivos). 48

57 DESCRIPCIÓN DE LA EXPERIENCIA PROFESIONAL 9. DESEMPEÑO DE RESPONSABILIDADES BAJO NIVELES DE SERVICIO Un aspecto importante durante el proceso de capacitación de los colaboradores en Scitum, es el de asimilar el concepto y función de un nivel de servicio. Lo anterior es debido a que en lo referente a la ejecución de las responsabilidades operativas asignadas se deben de realizar siempre con apego al cumplimiento del nivel de servicio contractual. 9.1 Concepto y definición de nivel de servicio Una de las características de la condición humana es que siempre se quiere y se espera más por algún servicio adquirido y se espera de esta exigencia que cada vez mejore la calidad, independientemente de la entidad que lo proporcione. En el caso de los servicios de tecnologías de la información, si la disponibilidad de una aplicación clave es incrementada súbitamente más que nunca antes pronto los clientes ó usuarios finales se acostumbrarán a ese nivel y comenzarán a exigir un mayor nivel de disponibilidad. Si la exigencia no es cumplida, menospreciarán la labor del departamento o proveedor del servicio. Un nivel de servicio debe ofrecer un lenguaje en común entre las entidades involucradas documentando el acuerdo al que se llega a través de un proceso de negociación de manera clara, lo que elimina automáticamente las falsas expectativas (ver Fig.26). En otras palabras, un documento de acuerdo de nivel de servicio no sólo definirá las expectativas, sino también definirá una solución conjunta y aceptable sobre los indicadores de calidad de los servicios. Un acuerdo de nivel de servicio (Service Level Agreement) 21 se define como un pacto formal entre un proveedor y sus clientes. Puede formar parte de un contrato en el cual se especifican claramente los roles y responsabilidades de ambas partes y los puntos clave o parámetros a través de los cuales el cliente podrá medir la calidad y desempeño de los servicios contratados con el proveedor. 21 BRUTON, Noel, How to manage the IT help desk: a guide for user support and call center manager, Mc Graw Hill, E.U.A., 2002, pp

58 General Operación Entrega Introducción Horarios de servicio Disponibilidad partes del acuerdo firmas de conformidad breve descripción del acuerdo responsabilidades del cliente y del proveedor de tecnologías de la Información fechas de comienzo, fin y revisiones Alcance del acuerdo Descripción de los servicios Procedimientos de atención de solicitudes y cambios Matrices de escalamiento Confiabilidad Capacidad de entrega Tiempos de respuesta de transacciones Continuidad y seguridad Cobranza formulas períodos Reportes y revisión contenido frecuencia cubiertos Penalizaciones e incentivos Figura 26. Principales aspectos de un nivel de servicio. Dentro del documento de nivel de servicio también se especifica el proceso de medir e informar sobre la calidad en los servicios proporcionados por el proveedor a través de reportes y describe la compensación o sanción a la que proveedor se hará acreedor en el cumplimiento o falta del acuerdo. El énfasis debe estar en lograr un acuerdo y no en tomar posición por alguna de las partes como un medio de presión o chantaje. Se debe desarrollar y crear una relación verdaderamente fuerte entre el proveedor de servicios de tecnologías de la información y el cliente, para que se logre un acuerdo de beneficio mutuo. De otra forma se puede generar controversia y un ambiente de fijar posturas de víctima o culpable. Un acuerdo de nivel de servicio esta también orientado a mantener y mejorar la calidad de los servicios a través de un ciclo constante de monitoreo y mejora, con un enfoque hacia la satisfacción de los objetivos del negocio tanto del cliente como del proveedor del servicio. Puede fungir además como catalizador de actividades que erradiquen la entrega pobre de servicios de manera alineada al negocio. 50

59 9.1.1 Beneficios de los niveles de servicios Los principales beneficios de un nivel de servicio en acción son los siguientes: Los servicios de tecnologías de la información son diseñados para satisfacer la seguridad del negocio vía los requerimientos del cliente. Mejoran las relaciones con los clientes y permiten establecer relaciones de negocios solidas y adecuadas. Definen los controles con los que serán medidos. Definen claramente el alcance y las responsabilidades. Los clientes y el proveedor de servicios en tecnologías de la información tienen una expectativa clara y consistente del nivel de servicio requerido. Impulsa el análisis de los servicios a través de una revisión continua de la prestación de los mismos. Mejora la comunicación interna del personal de tecnologías de la información y la comunicación con los usuarios finales. Pueden utilizarse para facilitar la cobranza. Ayudan a demostrar el valor que los clientes están recibiendo por lo que pagan Deficiencias al no contar con niveles de servicio Los riesgos de no contar con niveles de servicio adecuados pueden provocar deficiencias en la operación del Centro de Operaciones de Seguridad, entre las cuales se pueden mencionar las siguientes: No hay calidad en los servicios. No se identifican fallas en la prestación de los servicios por parte de los proveedores. Falta total o parcial de la evidencia del cumplimiento de los servicios contratados. Responsabilidades poco claras entre los roles involucrados en la prestación del servicio. Parálisis operativa ante eventos graves que pueden derivar en fallas de los procesos clave e indisponibilidad de los servicios. 51

60 9.2 Metodologías de procesos con ITIL Como Operador Staff las responsabilidades asignadas para este puesto operativo se deben realizar con estricto apego a los procesos y procedimientos definidos en la metodología interna de operación. Todos los colaboradores en la empresa deben adquirir el compromiso de lograr el objetivo primordial de mantener la continuidad y eficiencia de la administración de la seguridad del negocio de los clientes, así como el cumplimiento de los niveles de servicio acordados. Para incrementar la calidad en la administración de los servicios de seguridad que se proporcionan al cliente aplicando lo que se conoce como las mejores prácticas 22, la metodología de procesos ITIL (Fig. 27) en su versión 3 ayuda a comprender los principios fundamentales de las prácticas para el manejo de servicios. Figura 27. ITIL adapta las tecnologías de la información a las necesidades del cliente. La Biblioteca de la Infraestructura de Tecnologías de la Información 23 (Infrastructure Technology Information Library) o comúnmente abreviada como ITIL (ver Fig.28), fue desarrollada en los años 80 como un conjunto de 30 libros publicados por la Agencia Central de Informática y Telecomunicaciones (Central Computer and Telecommunication Agency). Actualmente es regulada y patentada por el Ministerio de Comercio Gubernamental (Office Government of Commerce) del Reino Unido y se considera como el estándar en la gestión de servicios de tecnologías de la información. 22 Mejores prácticas: conjunto coherente de acciones que han tenido éxito en un determinado contexto y que en contextos similares se espera que rindan resultados similares. 23 VAN BON, Jan, Introduction to ITIL, 3ª. Ed. The Stationery Office, Reino Unido, 2007, pp

61 En el contenido de estas metodologías se resume un extenso conjunto de procedimientos de gestión ideados para ayudar a las organizaciones a lograr calidad y eficiencia en la operación de este tipo de servicios. En el año 2007 ITIL fue actualizada a la versión 3 y actualmente esta organizada en un compendio de 5 libros básicos que reflejan el cambiante mundo de negocios y la evolución de las organizaciones para ofrecer servicios mejorados. Los 5 libros de los cuales se compone la metodología ITIL muestran cada una de las 5 etapas del Ciclo de Vida del Servicio. Figura 28. Ciclo de vida del servicio según las metodologías ITIL. En este contexto es conveniente recordar que un servicio de tecnologías de la información es una combinación de procesos, personas y tecnologías a fin de entregar valor a los clientes facilitándoles los resultados que desean obtener del manejo y resguardo de la información sin afectar el costo o el riesgo del proceso del negocio. 53

62 A continuación se describe brevemente los objetivos funcionales de cada libro que compone la metodología de procesos de ITIL para la operación de servicios de tecnologías de la información en redes de datos y seguridad informática Diseño del servicio Esta metodología cubre principios de diseño y métodos para convertir los objetivos estratégicos de una organización en una cartera de servicios activos de transferencia de datos, telefonía y video en tiempo real, debido a que por la naturaleza de estos activos, las empresas ya no los mantienen, en su lugar los rentan a un proveedor de servicios. El diseño de servicios apropiados e innovadores incluye su arquitectura, procesos, políticas y documentación para cumplir con los requerimientos actuales y futuros del cliente Transición del servicio Ayuda a las organizaciones a gestionar los servicios e implementar los cambios en el entorno de producción con éxito. Sirve como guía para el desarrollo y mejora de las capacidades para la transición de nuevos servicios o modificados a la operación. El alcance de la transición del servicio incluye la coordinación de procesos, sistemas y funciones de los roles involucrados para construir, probar y desplegar la liberación intencional de la configuración de un dispositivo en producción Operación del servicio La operación del servicio incluye la ejecución de todas las actividades requeridas por el cliente y la obligación de entregar servicios de apoyo. Independientemente de como los procesos y la tecnología estén siendo gestionados, deben siempre estar sincronizados para entregar y dar soporte a los servicios contratados por el cliente. 54

63 9.2.4 Estrategia del servicio Esta metodología se centra en identificar el por qué debería hacerse algo, antes de preguntar el cómo para así operar de forma rentable a largo plazo y tener la habilidad de pensar y actuar de forma estratégica. El logro de objetivos requiere de una selección y revisión de la estrategia apropiada para proveer los servicios que el cliente necesita en forma prioritaria y los que no requieren de prioridad alguna, de este modo el enfoque en el uso de los servicios creará valor al negocio Mejora continua del servicio Proporciona las recomendaciones y los instrumentos necesarios para mantener el valor que los clientes perciben de los servicios a través de una mejor operación, eficacia y eficiencia de los procesos de tecnologías de la información. Así mismo se vale de combinar principios, prácticas y métodos de administración para mejorar la calidad y administración de cambios con el fin de aprender de los éxitos y fracasos. 9.3 Operación de la seguridad informática bajo niveles de servicio Al negociarse los acuerdos de nivel operativo y el apoyo contratados de conformidad entre el cliente y el prestador del servicio, el siguiente paso es garantizar que los servicios, procesos y sistemas cumplan con las políticas empresariales y los requisitos legales estipulados. Para llevar a cabo esta tarea, los niveles de servicio se supervisan bajo los siguientes rubros: Nivel de Servicio de Confiabilidad Nivel de Servicio de Continuidad Nivel de Servicio de Desempeño Nivel de Servicio de Disponibilidad 55

64 9.3.1 Nivel de servicio de confiabilidad Se refiere al porcentaje de tiempo en que el dispositivo o servicio realiza su función de la manera prevista sin incidentes por un período de tiempo especificado y bajo condiciones indicadas Nivel de servicio de continuidad Tiempo para restablecer el servicio después de una falla. Debe incluir un plan de continuidad y la manera de invocarlo Nivel de servicio de desempeño Típicamente indica la velocidad a la que se realiza el trabajo o tarea. Ejemplos típicos son el tiempo de respuesta en que un equipo es alcanzable y la tasa de transferencia en procesos de respaldo Nivel de servicio de disponibilidad Se refiere al tiempo en que el equipo o servicio está disponible para operar o realizar su función en relación a un período de tiempo. La disponibilidad impacta directamente en la satisfacción del cliente y en la reputación del negocio. 9.4 Dictamen de cumplimiento de un nivel de servicio Se determina un dictamen de cumplimiento cuando el cliente o beneficiario del servicio califica periódicamente el nivel de cumplimiento de los niveles de servicio acordados. Esta calificación debe estar apegada a lo definido contractualmente en el documento de niveles de servicio y se debe formalizar el cumplimiento o incumplimiento, a través de un documento oficial. Así mismo, la calidad de los servicios puede ser también medida en términos de: No cumplió con las expectativas. Solo cumplió con las expectativas. Excedió las expectativas. 56

65 El servicio excesivamente cumplió con las expectativas. Alguna otra escala que en común acuerdo entre proveedor y cliente. 9.5 Penalización por incumplimiento de un nivel de servicio Es la imposición de una sanción establecida en el contrato y se aplica en caso de incumplimiento de un nivel de servicio o compromiso contractual. Los parámetros a considerar bajo los cuales las sanciones pueden ser aplicadas pueden ser los siguientes: Establecer Niveles de Servicio alcanzables. Establecer Niveles de Servicio medibles. Definir indicadores y fórmulas de cálculo claras. Definir procesos de medición sencillos y que aporten valor al servicio. En la medida de lo posible, se deben establecer mecanismos o foros de aclaración ante puntos no previstos en el documento de nivel de servicio, dado que es más sencillo aclarar y conciliar las diferencias entre el proveedor del servicio y el cliente, que ante un órgano de arbitraje. Las sanciones o las penalizaciones no son un elemento de intimidación o advertencia, en realidad se trata de un elemento de balance entre dos posibilidades, el cumplimiento o incumplimiento. Tanto el cliente como el proveedor del servicio deben entender que forman una simbiosis a través de la cual se busca el cumplimiento de los objetivos de un proyecto. Entre más deducciones y/o sanciones existan en un proyecto o servicio, será más evidente la falta de una adecuada definición de los servicios y expectativas, lo que a la postre puede llevar al fracaso. 57

66 10. RESPONSABILIDADES ASIGNADAS AL OPERADOR DE STAFF Las principales responsabilidades asignadas al puesto de Operador de Staff en seguridad informática dentro de Situm S.A. de C.V. se describen a continuación Monitoreo, tipificación, notificación y documentación de eventos El monitoreo de una red identifica cuestiones de funcionalidad y conectividad que ayudan a incrementar la seguridad rastreando e identificando actividades que sean inusuales o que denoten indicios de un ataque o actividad sospechosa. Este proceso puede ocurrir en tiempo real o al analizar la información del tráfico registrado en los logs de los equipos. Como Operador Staff es muy importante tener claro cuales son los eventos que se pueden presentar durante la operación diaria del Centro de Operaciones de Seguridad, para ello durante el proceso de inducción y capacitación que se imparte previamente a ser contratado, la empresa Scitum S.A. de C.V. difunde información de conocimientos técnicos básicos que se requieren para el manejo de herramientas de monitoreo, del registro documental de los eventos y de las interfaces gráficas de administración de los dispositivos de seguridad perimetral, con el objetivo de que el personal operativo de nuevo ingreso identifique y documente correctamente los casos atendidos. En general, todo el personal debe estar en el entendido de comprender que un evento puede surgir del hecho de notificar a los roles internos y al cliente, sobre la detección de algún comportamiento inusual en la red. Así mismo, también puede surgir a través una solicitud directa de los administradores de la red del cliente. Las solicitudes que se reciben en el Centro de Operaciones de Seguridad son variadas y a veces rutinarias. Pueden ir desde la solicitud de un reporte mensual de la configuración de permisos de navegación de los usuarios, hasta la aplicación de cambios en la configuración de las políticas de seguridad en firewalls y sistemas de detección y prevención de intrusos, para permitir el funcionamiento de aplicaciones del cliente que requieren de la apertura de puertos de comunicación en los equipos de la infraestructura de datos y comunicaciones del cliente. 58

67 De la misma forma que la documentación de las configuraciones y cambios realizados en los dispositivos de seguridad perimetral es útil para solucionar problemáticas de la red, también es indispensable contar con los logs que se generan del registro de la actividad de la red, información que es procesada y almacenada por el software que corre en estos equipos. Los sistemas proveen de logs que proporcionan información en forma automática de los eventos que han se han registrado incluyendo actividades realizadas por los usuarios, por el sistema y problemas que se hayan presentado. Estos detalles hacen de los logs una valiosa fuente de información para determinar las causas de posibles fallas e identificar incidentes adversos. Una vez asimilada la información anterior pude ampliar mi perspectiva en cuanto al tipo de eventos ante los cuales me involucro durante el desarrollo de mis funciones y puedo manifestar la importancia del contenido de la información que es arrojada y resguardada por cada dispositivo de seguridad, creando una clara conciencia sobre el manejo e interpretación de esta información, la cual sirve de materia prima para la administración, gestión y control de la seguridad de la información de la red de un cliente. En los siguientes apartados se describe la clasificación de los tipos de eventos que se manejan, sus características generales y las actividades que realiza un Operador Staff en cada uno de ellos Evento de Actividad Sospechosa Un evento de actividad sospechosa consiste en la detección proactiva y anticipada de cualquier tráfico anormal en la red que no cumpla con las consideraciones de un umbral definido. El comportamiento y cantidad de información que fluye a través de un dispositivo de seguridad refleja los bloqueos, alertas, alarmas o cantidad excesiva de conexiones, entre uno o más sistemas pertenecientes a la red interna del cliente en relación a equipos de redes internas o externas. Seguidamente se presenta una relación de los principales indicadores que denotan una Actividad Sospechosa: Actividades previas de reconocimiento del sistema informático, como el escaneo de puertos, escaneo de vulnerabilidades, reconocimiento de versiones de sistemas operativos y aplicaciones. 59

68 Alarmas generadas en las consolas de monitoreo del tráfico que pasa por los Sistemas de Detección y Prevención de Intrusiones, firewalls, o en herramientas de monitoreo de la disponibilidad de los equipos. Registro de actividad extraña en los logs de servidores y dispositivos de red o incremento sustancial del número de entradas en los logs. Caída o mal funcionamiento de algún servidor o equipo critico de la red: reinicios inesperados, fallos en algunos servicios, aparición de mensajes de error, incremento anormal de la de la carga del procesador o del consumo de memoria del sistema. Notable caída en el rendimiento de la red o de algún servidor, debido a un incremento inusual del tráfico de datos. Cambios en la configuración de determinados equipos de la red: modificación de las políticas de seguridad y auditoria, activación de nuevos servicios, puertos abiertos que no estaban autorizados. Registros de actividad inusual en algunas cuentas de usuarios de red privada virtual (VPN) con conexiones en horarios extraños (por ejemplo en las noches, días de asueto o fines de semana), utilización de la misma cuenta desde distintos equipos a la vez, bloqueo reiterado de cuentas por fallos en la autenticación, ejecución inusual de determinados servicios desde algunas cuentas. Informes de los propios usuarios del sistema alertando de algún comportamiento extraño o de su imposibilidad de acceder a ciertos servicios. Detección de procesos extraños en ejecución dentro de un sistema, que inician a horas poco habituales o que consumen más recursos de los normales (altos niveles de consumo de ancho de banda) Evento de Incidente de Seguridad Por incidente de seguridad puede entenderse cualquier evento que pueda provocar la interrupción o degradación de los servicios ofrecidos por una red o sistema, o bien que pueda afectar a la confidencialidad, integridad o disponibilidad de la información. Un incidente de seguridad puede ser causado por un acto intencionado realizado por un usuario de la red interna del cliente o un atacante externo para utilizar, manipular, destruir o tener acceso a información y/o recursos de forma no autorizada. Puede ser la consecuencia de 60

69 un error o transgresión accidental o deliberada de las políticas y procedimientos de seguridad o un destre natural del entorno por inundación, incendio, tormenta o fallo eléctrico. Este tipo de evento puede generarse derivado de la materialización de una actividad sospechosa que se interpreta como un ataque que ha logrado transgredir las medidas de seguridad implementadas en la solución de equipos de seguridad perimetral. Para que una actividad sospechosa pueda madurar en un incidente de seguridad, es necesario que el ataque tenga un nivel de sofisticación y especialización bastante alto, por lo que es muy raro que se presente ya que requeriría de un pleno conocimiento de la red que se ataca y la función del sistema objetivo. El incidente de seguridad se debe documentar reflejando de forma clara y precisa los siguientes aspectos: Descripción del tipo de ataque. Hechos registrados de los eventos en los logs de los equipos. Daños producidos en el sistema informático. Decisiones y actuaciones del equipo de respuesta. Comunicaciones que se han realizado con terceros y los medios utilizados. Lista de evidencias obtenidas durante el análisis y la investigación. Comentarios e impresiones del personal involucrado. Posibles actuaciones y recomendaciones para reforzar la seguridad y evitar incidentes similares en el futuro. Una correcta y completa documentación del incidente facilitará el posterior estudio de cuales han sido las causas y consecuencias en el sistema y los recursos afectados del cliente. Por supuesto, es necesario evitar que personal no autorizado pueda tener acceso a esta documentación sensible Evento de Requerimiento Básicamente un requerimiento ofrece un canal de comunicación para que el cliente solicite y reciba la información necesaria sobre los servicios estándar de seguridad suministrados y obedece a la generación de reportes, consultas y quejas por parte del cliente, basados en la disponibilidad de los servicios en los cuales se consideran alguno de los siguientes rubros: 61

70 Navegación de usuarios. Actualización y envío de bitácoras de los dispositivos de seguridad perimetral. Soporte de protocolos de comunicación en dispositivos de seguridad perimetral. Validación del bloqueo a determinados sitios en Internet. Apoyo en la utilización y funcionamiento del uso de aplicaciones Web. Envió de la configuración de políticas restrictivas de seguridad. Cabe mencionar que la exigencia de un nivel de servicio relacionado a este tipo de evento, muestra una mayor flexibilidad debido a que el proceso de elaboración de un reporte necesita de la validación del Analista para la liberación y posterior envío al cliente. Depende también en gran medida, de la cantidad de información contenida en los logs para reportes que requieren de esta materia prima, misma que al momento de ser procesada e interpretada, requiere una gran cantidad de tiempo para su finalización Evento de Control de Cambios Un evento de control de cambios se refiere a un procedimiento planeado, autorizado y controlado, consistente en documentar y realizar la adición, modificación o eliminación de parámetros de configuración o remplazo físico de un dispositivo que proporcione servicios de seguridad perimetral que es administrado y monitoreado por el Centro de Operaciones de Seguridad. Dependiendo del grado de complejidad, criticidad y/o afectación a los servicios, el impacto de un cambio puede ser registrado en una escala de alto, medio o bajo a fin de establecer una evaluación inicial e informar al cliente y los roles internos involucrados, sobre la categoría y urgencia con la que se documentará el evento. De este modo, la información inicial requerida en la solicitud del cambio en cuanto a su tipificación y posible grado de afectación, quedará registrada para informar sobre la continuidad del flujo de información y operación de los procesos internos de comunicación de los equipos de la red del cliente. Para que un cambio de impacto medio o bajo quede aplicado de forma satisfactoria y funcional, el Operador Staff debe realizar las siguientes actividades: 62

71 Recibir la solicitud de control de cambios vía telefónica o correo electrónico por parte del cliente, junto con la información adicional que se envié para puntualizar algún detalle en específico sobre la aplicación del cambio. Someter a un proceso de autenticación a la persona de contacto que requiere el cambio, para validar que sea la autorizada por el cliente para solicitar este tipo de eventos. Conocer claramente las actividades en las que consiste el cambio, y en caso contrario esclarecer todas las dudas con el cliente y con los roles internos involucrados. Conocer la ubicación en la red del dispositivo en el que se aplicará el cambio. Solicitar al cliente la duración estimada de fecha y horario del cambio en caso de ser necesario. Notificar a los roles internos involucrados y al cliente, sobre la correcta o parcial (en caso de un cambio no concluido) aplicación del cambio, siendo la primer instancia de notificación, el Operador Staff Q.A. que se tenga asignado y así proceder a realizar la escalación del evento para evaluar una pronta solución. Documentar detalladamente todas las actividades en las que consistió el cambio en la herramienta de Service Desk identificando el impacto y la urgencia, así mismo se debe de adjuntar las evidencias que corroboren la correcta aplicación y funcionamiento del mismo o la problemática suscitada en el momento de la ejecución del cambio. Para cambios de alto impacto se debe tener además las siguientes consideraciones: Coordinar con el Analista, el envío por correo electrónico al cliente del plan de trabajo, que contempla un plan de contingencia y un plan de restauración de la configuración anterior del equipo, en caso de que el cambio no quede aplicado satisfactoriamente. Indagar con los roles internos involucrados de la matriz de escalación, de cuales son las implicaciones en la operación de los servicios y documentar esta información. Coordinar la planeación de una ventana de mantenimiento para evitar que se afecte en lo más mínimo a los servicios de comunicación y seguridad del cliente. Apegarse al plan de trabajo en cuanto a las actividades asignadas como Operador Staff y estar al pendiente del seguimiento de la información que se genere del cambio. Tener contemplado en la documentación del evento, aplicar el plan de configuración de respaldo, en caso de que el cambio no quede aplicado satisfactoriamente. Previo a la aplicación del cambio, deben realizarse pruebas en un equipo alterno de laboratorio para evaluar el comportamiento del cambio. 63

72 Validar la aplicación correcta del cambio con el cliente durante un período de evaluación y monitoreo para posteriormente dar por terminado el evento Herramienta de Service Desk para el registro y seguimiento de eventos Durante el proceso de capacitación a cada colaborador se le imparte un modulo formativo para adquirir los conocimientos técnicos sobre como interactuar con la herramienta interna de software de Service Desk o mesa de servicios, para el registro y seguimiento en tiempo y forma de todos y cada uno de los tipos de eventos que tienen lugar. La supervisión y administración de este activo de la empresa depende de la Dirección de Servicios Administrados. En esta aplicación se realiza la documentación y resguardo de evidencias de todos los eventos que se generen en cada una de las cuentas de los clientes a cargo del Centro de Operaciones de Seguridad, proporcionando a la Dirección de Servicios Administrados de uniformidad en la información así como de continuidad en la operación diaria. La información disponible conforma una buena base de conocimientos de los eventos más comunes y la manera de resolverlos, de tal forma que en base a la documentación existente, los eventos menos complejos se resuelven rápidamente y los verdaderamente difíciles llegaran a los expertos junto con la información y evidencias recabadas. En el área del Centro de Operaciones de Seguridad se utiliza una aplicación modular de Service Desk llamada Remedy en su versión 6.3 y es utilizada por el área de operaciones para el registro, seguimiento y control de los eventos derivados del monitoreo y/o solicitudes directas de los clientes. Para su acceso se requiere de un nombre de usuario y contraseña asignados mediante una cuenta de usuario personalizada para cada colaborador. Es posible tener acceso a la herramienta vía Internet para realizar consultas, las cuales pueden ser ejecutadas incluso por los clientes para el seguimiento de sus solicitudes. Remedy es una herramienta desarrollada por BMC para la automatización de flujos de trabajo. Su carácter modular permite que el registro y tipificación del evento se asigne de manera automática al Operador Staff con el que se haya iniciado la sesión de trabajo. Cuenta con las funciones necesarias para la generación automática de eventos relacionados a la posible 64

73 indisponibilidad por fallas en el medio o en la comunicación de los equipos de seguridad perimetral monitoreados. Todo evento en la operación es registrado en la herramienta al cual se le denomina ticket. Desde la creación hasta la solución y cierre bajo autorización del cliente, el ticket debe pasar por una serie de estados definidos en un ciclo de vida, donde en cada estado se realizan actividades específicas como muestra la Fig.29. Figura 29. Ciclo de vida del ticket de Service Desk. En cada estado del ticket, se reflejan las actividades que el personal operativo debe realizar en la solución de un evento y conjuntamente se debe documentar el flujo de información y la evidencia derivados de la atención del caso. Los estados de un ticket se describen a continuación: Nuevo: Este es el estado inicial el ticket donde es tipificado por el Operador Staff como alguno de los posibles tipos de eventos que se puedan presentar (actividad sospechosa, incidente de seguridad, requerimiento, o control de cambios). Se realiza un registro de la fecha y hora del evento que puede ser en automático o manual. Se especifica el nombre de la empresa del cliente al cual corresponde el ticket y se asignan los datos en automático de la persona de contacto a la cual notificar en caso de ser necesario, sobre la creación, tiempo estimado de duración y cierre del ticket. Se realiza una descripción breve de la forma en que da inicio el 65

74 evento, misma que puede ser una solicitud vía telefónica o por correo electrónico del cliente con la descripción del evento. Asignado: El estado de asignado es la primera transición de un ticket, en la cual se registra el nombre del Operador Staff que atiende el caso para futuras referencias. Se asigna el tiempo estimado de solución respetando el nivel de servicio asociado a cada tipo de evento. En curso: En este estado se realizan las modificaciones de configuración necesarias para completar la solicitud del cliente o las actividades realizadas en el proceder del evento que se esté tratando. En un control de cambios las modificaciones realizadas deben ser confirmadas y validar el correcto funcionamiento del cambio con el cliente, en caso de tratarse de otro tipo de evento solo se realizan los procedimientos contemplados para realizar la actividad. Por ejemplo en una actividad sospechosa se realiza la notificación al cliente para validar el bloqueo de la dirección IP interna o externa que este generando el tráfico no valido o con sospechas de no ser legítimo. Pendiente: Este estado es asignado al ticket a solicitud del cliente en caso de que se tengan que realizar y validar pruebas de funcionamiento de un control de cambios solicitado. También se asigna este estado a un ticket cuando la duración del evento se calendariza en una fecha y hora determinados o cuando algún dato no ha podido ser confirmado. Resuelto: El estado de Resuelto se asigna a un ticket cuando la actividad es autorizada por el cliente para proceder a su cierre. Cerrado: El estado de cerrado se realiza en automático en siete días después a la creación del ticket, si es que no se tiene alguna información adicional, en caso contrario se documenta la información y se deja en el estado de Pendiente hasta que por parte del cliente se evalué que el estado puede cambiar a Resuelto. 66

75 Asignación de prioridad y tiempo de respuesta del evento La asignación de prioridad y tiempo de solución de un evento 24 dependen en gran medida de la criticidad y urgencia implícitas en cada caso en particular como se puede apreciar en los ejemplos de la Fig.30. Por lo tanto, el Operador Staff debe ser capaz de asignar un tiempo estimado de solución y tipificar el evento desde su aparición, por lo que pueden cometerse errores al momento de levantar el evento en la herramienta de Service Desk. Es de suma importancia que no se pierda detalle en la documentación de las actividades que se deriven del evento, ya que los parámetros de tipificación pueden ser modificables tiempo después. Es más importante contar con la información completa del caso ya que esta se desarrolla de forma cronológica y de esta forma es como se exige que sea registrada. Muchas veces el tiempo de respuesta puede ser asignado acorde al nivel de servicio que se tenga asignado, pero en otras ocasiones este tiempo puede ser superado corriendo el riesgo de llegar a una posible penalización. Para un evento tipificado y que este próximo a consumir el tiempo de atención estipulado en el nivel de servicio, este se debe escalar al siguiente nivel jerárquico e informar al cliente de la situación por la cual el evento tomó más tiempo de solución, además de notificar sobre los detalles técnicos y metodológicos. Realizando las notificaciones pertinentes e informando a todas las personas involucradas acerca de las actividades realizadas en la solución que se busca de un evento, se evita que surjan inconformidades o quejas de falta de seriedad en un caso dado. 24 Manual de capacitación Scitum S.A. de C.V. 67

76 Prioridad Descripción Ejemplo Tiempo de Respuesta Problema que afecta una aplicación critica del Problemas de procesamiento, negocio, con plazos que se pueden vencer disponibilidad, con la red, software o Urgente (sensibles al tiempo), tiene impacto directo e hardware, (Servidor Caído). Inmediato inmediato sobre el usuario final, no hay solución interna y/o transitoria conocida y disponible. Problema que afecta aplicaciones críticas del Usuario no puede usar su computadora. Alta negocio, es sensible al tiempo, tiene impacto directo sobre el usuario final, pero una 10 a 20 min. configuración alterna esta disponible. Un problema que afecta la capacidad de los Cuestiones relacionadas al tiempo de Media usuarios de realizar operaciones normales, inhibe productividad pero hay alternativas de respuesta, la interpretación del usuario de la funcionalidad del sistema. (El usuario Menor a 1hr. configuración disponibles, el problema no es necesita ayuda con el uso de software). sensible al tiempo. Un problema que afecta documentación, procesos La afectación al negocio no es Baja o procedimientos, no tiene impacto en la capacidad de los usuarios de realizar operaciones inmediatamente identificable. (El usuario quiere acceso a una aplicación). 3 días normales y/o hay una configuración disponible. Figura 30. Ejemplos de asignación de prioridad y tiempo de respuesta Matriz de escalación de eventos Una matriz de escalación es un documento que proporciona la información necesaria a todo el personal operativo de los nombres y el rol de la persona a quien se deberá notificar o acudir para solicitar el apoyo necesario ante algún evento que no se pueda resolver. Esta información se organiza en base al diagrama jerárquico de los roles del equipo de trabajo del Centro de Operaciones de Seguridad. La acción de escalar un evento inicia desde el rol del Operador Staff Q.A. hasta el nivel gerencial de forma ascendente, dependiendo de la criticidad del evento. Se considera como escalación a la acción de informar sobre las causas de un evento hasta que se definan las acciones a realizar por parte de las personas notificadas. Las personas notificadas dentro de esta matriz deben realizar un diagnóstico, definir un plan de acción para la asignación de recursos estratégicos, logísticos y de negociación, definir diferentes opciones y/o escenarios para la solución y vigilar la calidad de la aplicación de las acciones de solución del evento. 68

77 Existen dos tipos de matrices de escalamiento dentro de la operación las cuales son: la matriz jerárquica y la matriz resolutoria. La matriz jerárquica debe garantizar que se definan las líneas de acción oportunas que minimicen el riesgo de incumplimiento de un nivel de servicio. También debe facilitar que el cliente conozca a quien escalar en caso de tener un problema relacionado con la prestación de los servicios contratados. La matriz resolutoria tiene como base el apoyo interno a nivel técnico para la solución de problemas escalados, se puede conformar por especialidad o experiencia del colaborador. Esta matriz debe garantizar que se acuda al personal interno calificado con el fin de solucionar un problema en el menor tiempo posible. Además la matriz de escalación ayuda a mejorar las siguientes tareas: Mejorar la comunicación entre los colaboradores. Evitar la duplicidad de esfuerzos. Realizar el trabajo apropiadamente y en tiempo. Evitar la cultura de la culpa Elaboración de entregables En la operación frecuentemente se genera información a fin de contar con documentos donde se registre evidencia de la solución de un caso. También se contempla el respaldo de las especificaciones físicas y funcionales de los equipos. Bajo este contexto, se le denomina entregable a cualquier documento que proporciona información que puede ser tangible, medible y verificable. Los entregables internos se utilizan para integrar el documento final que validará el cliente y habitualmente solo son necesarios para el equipo de trabajo. Los entregables externos son los que se crean para el cliente y grupos de interés. Los documentos generados demuestran el desempeño de los servicios de seguridad proporcionados, se sustentan por la evidencia e incluso pueden servir como indicadores de la calidad de los servicios. 69

78 Generación de reportes La generación de un reporte puede realizarse por varios motivos, (ver Anexo II) principalmente se listan los siguientes: Solicitud directa de navegación o tráfico por parte del cliente. Notificación del dictamen de una Actividad Sospechosa. Notificación del resultado de la aplicación de un Control de Cambios. Informe sobre un evento que afecto algún equipo de la Infraestructura. Informe mensual sobre eventos solicitados, disponibilidad de equipos y actividad Web Actualización de bitácoras Una bitácora se refiere a la ficha técnica donde se registran todas las características físicas y funcionales de un dispositivo, también se pueden especificar los parámetros actuales y transitorios de la configuración de hardware y software que sirven como marco de referencia ante la realización programada de algún cambio de alto impacto Respaldos de configuración Un respaldo de configuración es una actividad que se debe realizar obligatoriamente cada determinado período de tiempo definido por el cliente con el objetivo de garantizar que se tenga al alcance la última configuración conocida al realizar cambios no satisfactorios o donde se requiera regresar a los parámetros originales antes de realizar cualquier modificación al dispositivo Identificación, diagnostico y solución de fallas Se llama troubleshooting, al proceso de determinar las causas de errores que ocurran en la comunicación entre equipos conectados a la red y debe comenzar siguiendo una metodología básica, la cual consiste en la obtención y análisis de información acerca del funcionamiento y ubicación en la red de los equipos involucrados en un problema. Para ello se requiere conocer a fondo la topología de la red para aislar el punto donde se esté presentando la falla y descartar posibles lugares susceptibles de error uno por uno, hasta localizar la causa del 70

79 problema. El mantener una documentación adecuada y actualizada del diseño lógico de la red es esencial para poder realizar este proceso, así como tener un conocimiento básico de como fluyen los datos en cada una de las capas del modelo de referencia OSI (Open Systems Interconnect) y los servicios que operan en cada una de ellas Interacción con el usuario Para resolver una falla es necesario primeramente identificar el problema. Esto puede ser un reto cuando se trata de recabar información sobre un problema con diferentes usuarios de la red, ya que en una situación donde se reciben múltiples reportes de problemas al mismo tiempo, se debe determinar que componente de la red esta originando el evento; puede ser un elemento físico o un elemento lógico. Los modelos de solución de problemas utilizados en otras profesiones pueden también ser aplicados en fallas de las redes de datos. En la solución de un problema se debe obtener toda la información posible auxiliándose del planteamiento de preguntas estratégicas a los usuarios que reportan el problema dependiendo de la situación. En general se debe formular las siguientes preguntas que pueden servir como guía para esclarecer las causas de un evento donde se reporte una falla: Cuál es la naturaleza exacta del problema? Cuántas computadoras son afectadas por este problema? Cuándo es que el problema comenzó a ocurrir? Exactamente qué actividad se intentaba realizar cuando el problema ocurrió? Se estaba realizando alguna actividad adicional en el mismo tiempo? Qué mensajes de error se desplegaron, si es que estos aparecieron en pantalla? Alguien más que utilice los mismos servicios de red experimenta el mismo problema? Se ha podido siempre realizar la actividad que se intentaba en la computadora afectada? Cuándo fue la última vez que se pudo realizar la actividad asociada a la falla? Qué cambios han ocurrido desde la última vez que se pudo realizar la actividad? Para realizar un diagnostico o análisis de la información obtenida, se debe de organizar ésta de una manera lógica. Esto significa que se debe aprender a cernir y descartar la información 71

80 irrelevante y buscar patrones de comportamiento en los datos. Esto también involucra reconocer que prioridades asignar de acuerdo a factores tales como: quien es el afectado, cantidad de usuarios afectados, afectación en actividades de producción y frecuencia en la que ocurre la falla. Una vez formulada la solución, debe también ser priorizada de acuerdo al costo, tiempo requerido, duración de la implementación y efectos a largo plazo en el desempeño de la red Herramientas de troubleshooting Para realizar actividades de troubleshooting existen utilerías en la línea de comandos 25 integrada en Sistemas Operativos Windows y Linux que ayudan a precisar la naturaleza exacta de una falla. Con estos comandos se realizan pruebas básicas de conectividad para determinar si dos equipos se pueden comunicar. También se pueden reflejar aspectos sobre la ruta que sigue la comunicación de una computadora a otra u obtener información detallada acerca de la resolución de nombres de dominio. Los conceptos descritos en cada capa del modelo OSI y el entendimiento de estos comandos, permite efectuar un buen proceso de troubleshooting en las diferentes circunstancias de fallas que se deben diagnosticar. Los comandos más comunes con los que se tiene que trabajar en ambientes de redes de datos se describen a continuación ipconfig Este comando como se muestra en la Fig.31, describe la configuración de dirección lógica de IP, mascara de subred, número de dirección física y puerta de enlace predeterminada de todas las tarjetas de red que se encuentren instaladas localmente. 25 REYNDERS, Deon, Practical TCP/IP and Ethernet Networking, Elsevier, E.U.A., 2003, pp

81 Figura 31. Detalles del comando ipconfig nbtstat Este comando es similar a netstat, solo que aquí se muestra información del nombre configurado a una computadora sobre el protocolo NetBIOS (ver Fig.32). Las opciones que se encuentran dentro de este comando son sensibles a mayúsculas y minúsculas. Si se requiere saber que el sistema operativo de una computadora remota es Windows, al ejecutar este comando se desplegara la dirección física de la tarjeta del equipo remoto. Figura 32. Detalles del comando nbtstat. 73

82 netstat Este comando se utiliza cuando se necesita conocer las conexiones activas y la información de cada protocolo y puerto de comunicación asociado en una computadora que se esta comunicando con otra o que cuenta con puertos abiertos para ser utilizados (ver Fig.33). Los estados de conexión de un puerto pueden ser los siguientes: Listening: Significa que un puerto esta abierto y esperando una posible conexión. Established: Significa que una conexión esta activa. Time-Wait: Significa que se ha establecido una conexión pero no se ha recibido ningún dato en un lapso de tiempo, por lo que la conexión llegará a su fin. Close-Wait: Significa que una conexión activa acabó o esta llegando a su fin. Figura 33. Detalles del comando netstat nslookup Este comando es útil para probar y confirmar la existencia de una dirección electrónica en Internet. Comúnmente al aplicar este comando se dice que la dirección IP que resuelve el dominio de la página Web consultada es la que corresponde al servidor que se esta haciendo la petición de conexión (ver Fig.34). 74

83 pathping Figura 34. Detalles del comando nslookup. El comando pathping se considera como una versión mejorada del comando ping en combinación con las capacidades del comando tracert. Este comando (ver Fig.35) envía mensajes de solicitud de eco por ICMP a cada router que se encuentre en camino al equipo destino y calcula cuanto tiempo se toma cada equipo router en contestar proporcionando la siguiente información adicional: Tiempo que toma un paquete ping de ida y vuelta en alcanzar al equipo destino. Cantidad de tiempo que toma un paquete de ping en alcanzar un equipo router. Porcentaje de solicitudes de ping que se pierden en cada router. Porcentaje de solicitudes de ping que se pierden entre routers. Esta información puede indicar si es que un router en particular puede estar sobrecargado o funcionando mal. 75

84 Figura 35. Detalles del comando pathping ping El comando ping utiliza mensajes de eco del protocolo ICMP para comunicarse con otra computadora o equipo (ver Fig.36). Usualmente se utiliza para probar que exista conectividad del protocolo TCP/IP a nivel de la capa de red del modelo OSI y se puede ejecutar utilizando la dirección IP de los equipos, su nombre de host o de dominio. Figura 36. Detalles del comando ping. 76

85 tracert Este comando traza el camino que un paquete de datos recorre (ver Fig.37). La comunicación entre equipos pasa a través de routers considerados como saltos para alcanzar el equipo destino, se puede utilizar este comando para determinar en cual de estos equipos router es que el tráfico de datos se detiene o si el equipo esta fallando o si se encuentra sobrecargado. Figura 37. Detalles del comando tracert Investigación de fallas por capas del modelo OSI El propósito de este apartado es describir brevemente la funcionalidad de cada una de las siete capas del modelo de referencia OSI 26, que constituye en gran medida la base del conocimiento necesario para la comprensión de las arquitecturas de comunicaciones en redes de datos, así como exponer los pasos a seguir de la metodología propuesta en el presente capítulo en cuanto a la solución de fallas. Los principales beneficios de contar con un modelo en capas es que se puede tomar como un estándar para ayudar a aislar los aspectos clave de funcionalidades de equipos y protocolos por cada capa en específico. Al ser capaz de discernir en que capa se detiene el flujo de información, gradualmente se adquiere experiencia en identificar los tipos de componentes que pueden estar involucrados en cada caso particular. 26 DOHERTY, Jim, et al., Introducción a Redes CISCO, opc. cit., pp

86 Igualmente, cuando los protocolos de red son divididos en capas las comunicaciones fluyen de manera más eficaz, pero cuando esto no es así, la búsqueda de solución de una falla se facilita porque se tiene una mejor aprensión en delimitar la causa del problema en la capa específica. Sin duda modelo OSI ayuda al profesionista de seguridad informática a reforzar los conocimientos técnicos y reconocer síntomas de problemáticas para apoyar en el diagnostico de errores de comunicación y corrección de configuraciones. Utilizar este modelo como guía en la solución de fallas, permite determinar en que dispositivo se debe examinar las causas y dependiendo de la capa puede requerirse de diferentes técnicas para determinar la raíz del problema Revisión en la capa física En muchas maneras, la capa física es relativamente la más fácil de interpretar en la solución de posibles fallas, debido a que en ella se definen conceptos en relación con los dispositivos físicos y elementos tangibles tales como el diseño lógico y físico de la topología de la red, el tipo de señal de transmisión, tarjetas de red, cables, conectores, concentradores y repetidores. La mayoría de estos elementos son reconocibles a simple vista o al menos pueden ser representados mediante un dibujo sencillo o diagrama. En los diseños de topologías de red, es importante conocer las representaciones gráficas de los dispositivos de comunicaciones y de seguridad perimetral, así como las relaciones que existan con otras tecnologías que puedan figurar dentro de la red. Esto es de gran utilidad para identificar rápidamente segmentos de red y equipos críticos para comprender la totalidad del flujo de tráfico, para así determinar la ubicación exacta donde se puede iniciar una falla y las posibles rutas que esta comunicación intenta tener. Una forma fácil de determinar que un problema recae en la capa física es intentar establecer una conexión usando distintos protocolos de comunicación, ya que algunas veces, con este paso es posible determinar que la forma en que este configurado el protocolo TCP/IP no es la adecuada. Usualmente las revisiones del funcionamiento de estos parámetros deben realizarse con el apoyo de personal en sitio o en coordinación con el usuario que reporta la falla. 78

87 Revisión en la capa de enlace La primera función de la capa de enlace es recibir la información de la capa de red segmentada en datagramas y empaquetar estos datos en unidades llamadas tramas. Además ésta capa es responsable de entregar los datos libres de errores en tramas a la capa física y mantener la confiablidad del enlace físico entre dos computadoras. Dos dispositivos clave que operan en la capa de enlace del modelo OSI son los switches y bridges los cuales son útiles para segmentar una red y así controlar la cantidad de tráfico. Los bridges pueden separar una red en segmentos, pero no efectúan subredes físicas como los routers. Algunos tipos de switches pueden realizar funciones básicas de ruteo como dividir une red en redes virtuales de área local o VLAN. Una posible causa de un problema de infraestructura en esta capa puede ser una falla conicidad como loopback o looping. Esta ocurre cuando hay más de un equipo switch o bridge activo en un mismo segmento de red. Cuando estos equipos desconocen la ubicación de la computadora destino, envían la trama de datos al equipo switch o bridge más cercano. Esto resulta en múltiples copias de la trama de datos causando congestión innecesaria de la red. Como cada dispositivo detecta la trama enviada entre ellos mismos, se modifican sus tablas de ruteo para agregar la computadora destino impidiendo que los datos lleguen a ésta, repitiendo este proceso en un ciclo infinito Revisión en la capa de red En esta capa se alojan tanto el protocolo de direccionamiento IP de la pila de protocolos de TCP/IP, así como el ruteo en el cual se desarrolla el reconocimiento de direcciones de red y host destino, mapeando la trayectoria más eficiente para direccionar la información de una dirección a otra. En este sentido el trabajo del protocolo TCP es mover los datos hacia su destino de forma segura garantizando que lleguen completos, mientras que es función del protocolo IP el saber cual es el siguiente salto a través de la ruta seguida hacia su destino final. Los protocolos de ruteo dinámico más comunes que se encuentran en esta capa son el protocolo de información de ruteo (Routing Information Protocol) y el protocolo de la ruta más corta (Open Shortest Path First). 79

88 Los protocolos que existen en la capa de red, son también responsables de traducir direcciones lógicas. En el caso de TCP/IP, la dirección IP asignada a un equipo se debe traducir en una dirección física, la cual fue grabada en un chip dentro de la tarjeta de red por el fabricante. Es muy probable que se invierta una gran cantidad de tiempo realizando la búsqueda de la solución de una falla en esta capa, ya que es aquí donde realmente se gobierna la comunicación que existe entre dos computadoras. Una falla en la capa de red puede crear problemas de conexión donde un equipo aislado o una subred completa no se pueden comunicar con otro segmento de red debido ya sea a la falla física de un dispositivo o algún tipo de configuración errónea Revisión en la capa de transporte El principal propósito de la capa de transporte es asegurar la fiabilidad de una red. Aquí se debe revisar que cualquier dato enviado por una computadora llegue al destino deseado en buenas condiciones. También se necesita una forma de identificar los diferentes tipos de comunicación que pueden ser direccionados hacia varias aplicaciones que son servidas por la misma dirección IP por medio del uso de números de puertos. Por lo anterior la capa de transporte utiliza dos tipos de servicios orientados y no orientados a conexión. Un protocolo orientado a conexión como lo es TCP, ofrece un mejor control de errores, pero no puede enviar la información tan rápido porque necesita de la confirmación de que cada datagrama alcanza su destino exitosamente. Un protocolo no orientado a conexión como UDP carece de fiabilidad, pero tiene un mejor desempeño en la velocidad porque no necesita de confirmaciones en la entrega de cualquier datagrama que es enviado. La solución de fallas en la capa de transporte es muy similar al manejo que se da en la capa de aplicación, debido a que los protocolos de transporte TCP y UDP forman la base de los puertos que son utilizados por todas las aplicaciones de red Revisión en la capa de sesión En esta capa se lleva a cabo la tarea de establecer una sesión uno a uno entre la computadora que envía y la que recibe información. Establece y elimina diálogos entre las aplicaciones de 80

89 red que se envían información y sincronizan el flujo de los datos. También controla la forma en que se establece la transmisión de los datos de forma bidireccional, que puede ser desde ambos lados enviando y recibiendo información simultáneamente (full-duplex) o con la señal dirigiéndose en un solo sentido a la vez (half-duplex). La capa de sesión controla el flujo de información tal que los mensajes sean enviados claramente. El problema más frecuente en esta capa involucra transmisiones lentas de información en la red entre dos computadoras lo cual es causado por una computadora con una conexión en half-duplex en lugar de una conexión en full-duplex Revisión en la capa de presentación Como su nombre sugiere, esta capa es responsable de la forma en que los datos son presentados o formateados. La capa de presentación maneja cuestiones como la encriptación, que presenta los datos de tal forma que no puedan ser interpretados por personas no autorizadas y también maneja la compresión de estos en los formatos adecuados. En la computadora que recibe la información, la capa de presentación es responsable de convertir los datos en un formato legible para la capa de aplicación. Realmente no se presentan muchas problemáticas a resolver en esta capa, dado que muchas de las funcionalidades recaen en tecnologías estables que se han mantenido por décadas. Algunos ejemplos de problemáticas en esta capa pueden ser: Un archivo de imagen que se muestra distorsionada o corrupta cuando es enviada por correo electrónico de un usuario a otro. Mensajes de correo confusos o ilegibles enviados entre dos tipos distintos de servidores. Incapacidad para abrir, copiar o mover archivos entre dos tipos distintos de arquitecturas de red, como puede ser una red de tipo Microsoft y una de tipo Novell Revisión en la capa de aplicación La capa de aplicación es el nivel más alto del modelo de OSI y es con el que el usuario tiene más contacto, en ella se define como es que las aplicaciones de red interactúan con los protocolos de red. Es decir, los protocolos de la capa de aplicación aceptan los datos que el usuario introduce para ser transmitidos en la red, esto es, los datos que son creados por el 81

90 programa de aplicación que opera por encima de las capas de red. Los programas de aplicación, envían los datos a la capa de aplicación y es de esta capa que los datos son tomados para ser procesados y enviados hacia las capas inferiores. En esta capa tal vez se invierta poco tiempo y esfuerzo por que es la más visibles al usuario y la información obtenida puede no ser clara o exacta. Por ejemplo pueden presentarse situaciones donde se reporta por parte de un usuario, que un navegador de Internet no funciona correctamente, lo cual puede conducir al especialista a revisar aspectos que van desde la configuración del navegador hasta realizar un proceso de búsqueda de fallas en el ruteo de correos electrónicos de un servidor de correo Estrategia de solución de fallas Al realizar actividades troubleshooting un aspecto importante que el Operador Staff debe aprender, es como es aplicar una estrategia organizada que conduzca gradualmente a identificar, analizar y notificar las causas de un problema. Muchas veces, ante un evento reportado directamente por el cliente se puede estar en la situación de intentar solucionar la falla lo más pronto posible, actuando bajo presión con la exigencia constante de la restauración e inmediata utilización del servicio o equipo afectado. Si se actúa de forma apresurada, se puede cometer la omisión de algún procedimiento crucial u olvidarse de la táctica empleada para resolver el problema la siguiente vez que éste se presente. Al seguir organizadamente un conjunto de pasos para la solución de fallas, es posible agilizar el proceso de búsqueda de las causas que la originan. Con los siguientes pasos es posible realizar un buen proceso de solución de fallas Identificación de síntomas y posibles causas El primer paso es determinar exactamente que es lo que esta mal, asegurándose de que efectivamente exista un problema con el funcionamiento del equipo o red. Por ejemplo, si se realiza un incremento en el ancho de banda de la conexión a Internet del cliente, tal que la percepción por parte de un usuario de la transferencia de un archivo que usualmente tardaba 30 segundos y ahora no percibe que tarde tiempo alguno, puede ser interpretado como que la transferencia del archivo no se esta realizando. En este caso no existe error alguno, lo que 82

91 sucede es que el usuario supone un error al no observar el mismo comportamiento del sistema en la transferencia del archivo. Para identificar alguna falla se debe determinar los síntomas exactos del problema e indagar si es que el usuario, por ejemplo, no puede establecer una conexión a cualquier sitio en Internet o si es que un archivo adjunto que se transfiere desde una bandeja de correo electrónico no puede realizarse debido a algún cambio en el perfil de navegación de entre muchas otras causas posibles. Se debe realizar al usuario las preguntas adecuadas para obtener los detalles específicos del evento. Las imágenes de captura de pantalla de los mensajes de error que se presenten son bastante útiles también Identificación del área afectada Se debe identificar si la falla proviene de un solo usuario que tiene problemas de acceso a Internet, si se trata de una falla reportada en todo un segmento de red, o si es un evento que afecta a toda la red en general. Si todos los usuarios de una subred en particular están experimentando problemas de conectividad, se puede sospechar que la causa radique en la puerta de enlace predeterminada o la conexión de red entre esa subred y el resto de la red. Si el evento está restringido a un usuario en particular, probablemente se trata de una configuración errónea o mal funcionamiento del hardware Identificación de cambios Una vez que se determina cual es el problema, se debe intentar descubrir si algo ha cambiado y si esto pudiera ser la causa de una falla. Si una falla esta afectando a múltiples equipos, se debe investigar que es lo que ha cambiado en la red de la compañía; si es un evento aislado en un solo equipo, se debe cuestionar al usuario acerca de los cambios más recientes que se le hayan hecho. Muchas veces un problema se presenta de la nada, unos momentos más tarde, el problema puede ser esclarecido al obtenerse información de que se realizaron cambios pero no se difunde la notificación correspondiente en tiempo y forma. La comunicación entre los equipos de trabajo del cliente y del Centro de Operaciones de Seguridad es un aspecto de suma importancia. En cualquier evento que se presente se deben realizar las notificaciones previas sobre cambios en la configuración, funcionamiento o reemplazo de los equipos 83

92 pertenecientes a la red del cliente. Al saber que es lo que ha cambiado en la red, se tiene un punto de partida estable del cual iniciar un proceso de solución de fallas Selección de la causa más probable Basándose en la información obtenida en los tres pasos anteriores, y al emplear las herramientas de troubleshooting disponibles, se debe tratar de esclarecer la razón más aparente del problema en particular. De igual forma debe tenerse en mente que la primera conjetura puede ser incorrecta y que probablemente exista más de una causa. No se debe ser susceptible de desmotivación alguna, ya que el mismo proceso de selección y eliminación de las causas posibles se debe realizar tantas veces como sea necesario antes de encontrar la causa real de la falla Plan de acción y posible impacto Se debe pensar y actuar cuidadosamente acerca del impacto de cualquier paso de troubleshooting que se realice, especialmente si involucra actividades a realizar en cualquier dispositivo crítico en el que recaen grandes segmentos de red. Así mismo, al contar con un plan de acción, se debe tomar en cuenta las posibles ramificaciones que esta implementación pueda generar. Por ejemplo, se puede tomar la decisión de que se necesita detener o reiniciar los servicios de un servidor de publicación de páginas Web para resolver un evento que se presenta con un usuario con privilegios de administrador, pero se debe planear esto cuidadosamente dado que esto afectará directamente a los servicios Web que se proporcionen. Se debe ser incluso más cuidadoso al considerar cualquier cambio de configuración de un equipo, tanto que al ser realizado, no se generen problemas adicionales. No es deseable que se solucione un problema y que derivado de esta solución se presente otra falla de mayor complejidad. Una regla de gran importancia es respetar los procesos y procedimientos administrativos en la aplicación de cambios en dispositivos que se encuentren en producción bajo la autorización debida Realización de pruebas de la solución Al seleccionar una solución para corregir una falla, adicionalmente se debe realizar una revisión de la conectividad de los equipos críticos o aquellos involucrados en el inicio del problema, así 84

93 como verificar que las comunicaciones que se tengan configuradas en estos equipos, se estén realizando de manera normal para asegurarse de que no se haya generado inadvertidamente otra falla al implementar la solución aplicada Documentación del proceso de solución La documentación de cualquier evento en la operación es fundamental. Probablemente pueda pensarse que lo más importante es que cualquier problema quede solucionado cuanto antes y que nunca se olvidará del como se llego a una solución efectiva, siempre que ésta satisfaga completamente al cliente, especialmente si se trata de un evento en el que se tenía que trabajar durante varias horas e incluso días. La cuestión es que si no se tiene contemplado el documentar todas las actividades realizadas para la solución, se corre el riesgo de no recordar cual fue el seguimiento de todo el proceso realizado, ya que si el problema se repite no se pude garantizar que la solución se reproduzca con la misma precisión y puede ser que la falla no se presente exactamente de la misma forma. Es preciso documentar la información que se recopiló en cada uno de los pasos anteriores: como es que el problema se manifestó, los sistemas y/o equipos que fueron afectados, detalles acerca de la solución y el como fue implementada. La documentación es parte de la evidencia que se genera al emplear diversas técnicas de troubleshooting, ya que esta información respalda lo acontecido durante un evento. En el caso de servicios de tecnologías de la información, la evidencia se puede clasificar en dos tipos: Documental como parte de los procesos operativos. La que emana de los dispositivos que proporcionan servicios de seguridad. En dado caso, es muy importante no olvidar documentar los efectos secundarios que se produjeron como resultado de la aplicación de una corrección. Lo más recomendable es contemplar un tiempo para seguir el presente paso durante la búsqueda de la solución de una falla ya que de esta manera se puede optimizar tiempo, recursos y esfuerzos al encontrarse en una situación similar y con ello evitar generar todo el proceso desde el inicio para resolver el problema. 85

94 RECOMENDACIONES Durante mi formación académica en la Facultad de Estudios Superiores Cuautitlán Campo-4 de la Universidad Nacional Autónoma de México adquirí las bases y fundamentos necesarios para integrarme al campo laboral en materia de ambientes de redes de datos. Cabe mencionar que tuve la oportunidad de conocer la importancia de esta área durante la prestación del Servicio Social en el Programa de Resultados Electorales Preliminares (PREP 2009) del Instituto Federal Electoral. Sin embargo, si se tiene el interés de adquirir la experiencia y habilidades necesarias para implementar dispositivos de redes y explotar en forma practica la información teórica, es fundamental que se cuente con los medios necesarios para difundir el conocimiento y función de los dispositivos más frecuentemente visibles en las infraestructuras de red. Un tema fundamental que se debe contemplar dentro de los planes de estudio de la carrera de Informática, es en relación con la difusión de la existencia de tecnologías en seguridad de la información dentro de toda organización pública o privada, ya que el manejo de información sensible y sumamente importante, actualmente va de la mano con el incremento de los medios disponibles tanto impresos como electrónicos, para hacer o intentar hacer un uso indebido de este tipo de información, que como puede suponerse, será una constante durante el desarrollo de la sociedad de nuestro país y a nivel mundial. Es por lo anterior que los docentes en materias de redes de datos, deben considerar realizar prácticas de laboratorio donde se tenga un mayor acercamiento con este tipo de tecnologías, y de no ser posible el contacto con dispositivos de seguridad perimetral, incluir más el área de seguridad informática en actividades extracurriculares como ferias y cursos de cómputo, dado que durante mi experiencia como Operador Staff del Centro de Seguridad Informática en Scitum S.A. de C.V. pude percibir que el área de seguridad en redes es muy amplia y la cantidad de conocimientos necesarios demandan incluso de contar con alguna certificación que abale estos conocimientos, pero es así también de amplia la oferta laboral que existe en este ramo. 86

95 Para la realización de este tipo de medidas es igualmente necesaria la frecuente actualización de planes de estudio, material bibliográfico y hemerográfico en temas de seguridad informática, debido a que la demanda laboral exige cada vez más de profesionistas con una preparación superior a la que se exige año tras año, y las empresas actualmente ya no hacen distinciones sobre la procedencia de los egresados, sino más bien consideran las certificaciones en redes ó seguridad en redes con las que cuente un prospecto para ser contratado. Así también, es muy recomendable que se continúe fomentando la importancia del autoestudio en los alumnos por parte de los profesores, independientemente del área de interés en la que deseen desarrollarse como profesionistas informáticos. En lo personal considero que los conocimientos necesarios y la experiencia adquirida se logran de forma autodidacta al formar parte del campo laboral en las áreas afines a la carrera de Informática y esta aptitud enriquece la capacidad de superación personal y profesional. 87

96 CONCLUSIONES Durante la realización del presente informe de experiencia laboral tuve la oportunidad de reforzar los temas y conceptos con los que cotidianamente realizo las tareas que se me encomendaron para laborar en la empresa Scitum S.A. de C.V. como Operador Staff. Aun así, existen muchos otros tópicos más en materia de seguridad informática que se omitieron, con la finalidad de definir objetivamente los contenidos básicos sobre el entendimiento de la seguridad informática en redes de datos en un entorno de estructura de red corporativa. Para exponer algunos de los procedimientos que se realizan dentro del Centro de Operaciones de Seguridad, existen procesos y metodologías bastante complejas, para los que aun considero que no cuento con las habilidades, experiencia y conocimientos suficientes, por lo que es éste uno de los motivos que me impulsa a seguirme preparando como profesionista informático y dada la criticidad de la información que se maneja, no puedo permitirme cometer errores que tengan repercusión en los servicios que se brindan al cliente o que afecten a los intereses de la empresa. En algunas ocasiones ante la presencia de algún evento donde se detecta complejidad para la solución como puede ser un intento de intrusión, violación de medidas de seguridad o un cambio de configuración mal ejecutado, es preciso actuar de manera inmediata realizando las actividades pertinentes y considerando escalar el evento a las personas asignadas en caso de ser necesario, pero no deja de ser responsabilidad del Operador Staff el seguimiento y la asistencia técnica que se solicite por parte del equipo de trabajo, por lo que estas áreas de desempeño laboral suelen requerir de la disponibilidad de tiempo del personal para atender la operación de la manera más eficiente, lo cual es un aspecto muy importante a considerar si se desea adquirir habilidades y destrezas para la solución de fallas que puedan presentarse. Los retos de trabajar en áreas donde competencias laborales como: la capacidad de análisis, tolerancia a la presión, trabajo en equipo, satisfacción del cliente, sentido de urgencia y atención a los detalles, se hacen cada vez más frecuentes. Pero con la debida preparación ética, académica y social, es posible asimilar y manejar cualquier situación que pudiese tornarse adversa a nuestra cordura. 88

97 Es también deseable perfilarse al área de redes seleccionando asignaturas relacionadas al tema desde la formación académica, dado que en la actualidad existe gran cantidad de información en relación a la seguridad informática, con la salvedad de que mucho de este material se encuentra en idioma ingles y tiene un alto costo económico para adquirirlo. Esto también es el caso de los cursos de certificación existentes, por lo que la preparación personal y profesional, no deja nunca de ser un reto para el cual debemos hacer frente con gran ímpetu y constante dedicación. Finalmente quisiera exponer mi deseo de que el presente trabajo sirva como apoyo para todo aquel estudiante que desee o tenga la intención de desarrollarse como profesionista en el sector de redes de datos y tecnologías de la información en al área de seguridad informática. 89

98 GLOSARIO Ancho de banda: En comunicaciones digitales y operaciones de redes, el ancho de banda es la capacidad teórica de un canal de comunicación expresado en bits por segundo (bps), que se llama velocidad de datos. Análisis de vulnerabilidades: Consiste en realizar un escaneo mediante software diseñado para buscar e identificar debilidades en la capa de aplicación de una computadora o red revisando direcciones IP, puertos abiertos y aplicaciones corriendo. Se genera un reporte del estado del sistema operativo y las aplicaciones, en este proceso se puede causar un fallo en la aplicación o sistema operativo para intenta vulnerar el sistema haciendo uso de las debilidades encontradas. Análisis forense: Proporciona los principios y técnicas que facilitan la investigación de delitos informáticos mediante la identificación, captura, reconstrucción y análisis de las evidencias o rastros dejados posteriores a un ataque exitoso. Ataque de diccionario: Se utiliza un diccionario de palabras comunes para intentar encontrar la contraseña del usuario, además pueden automatizarse con el uso de herramientas de dominio público. Ataque de fuerza bruta: Es un esfuerzo aleatorio por identificar las contraseñas hasta que una comparación exitosa ocurra. Este tipo de ataque se realiza en un largo período de tiempo. Auto-rooters: Herramientas capaces de automatizar totalmente un ataque realizando toda la secuencia de actividades para localizar un sistema, escanear sus vulnerabilidades, explotar una determinada vulnerabilidad y obtener acceso al sistema comprometido. Backdoor kit: Programa que permite abrir y explotar puertas traseras en los sistemas. Dirección IP: Una dirección lógica de red asignada a una interfaz de un nodo de red y usada para identificar (localizar) en forma única el nodo dentro de la red. 90

99 DNS: (Domain Name System) Es una base de datos jerárquica de nombres de dominio que se distribuye a través de Internet y permite que los nombres se resuelvan en direcciones IP (y viceversa) para localizar servicios como servidores Web y de correo electrónico. Escaneo de puertos: Permite detectar los servicios instalados en un sistema. Exploits: Herramientas que buscan y explotan vulnerabilidades conocidas. Filtrado de contenido Web: Herramienta de software para facilitar la catalogación y bloqueo de contenidos digitales en Internet considerados adversos a las políticas de utilización de este recurso por medio del uso de listas blancas y listas negras de direcciones de páginas electrónicas. Hackeo ético: Se refiere a los métodos empleados por un hacker ético quien es un profesional en seguridad que aplica sus habilidades con propósitos de defensa. Esta persona obtiene acceso a los sistemas y redes con la autorización de la organización y no pretende causar ningún daño. Hacker: Término que se otorga al atacante de una red o sistema para demostrar y poner a prueba su inteligencia para burlar las dificultades de acceder desde Internet y obtener acceso a información confidencial. Host: Computadora de una red. Similar a un nodo de red, solo que el host normalmente implica una computadora, mientras que nodo se aplica generalmente a cualquier sistema de red incluyendo servidores. ICMP: (Internet Control Message Protocol) Protocolo de mensajes de Internet de la capa de red que informa de los errores y proporciona información relativa al procesamiento de paquetes IP. IPsec: (Internet Protocol Security) Versión mejorada para la seguridad del protocolo IP que permite establecer conexiones seguras en redes privadas virtuales sobre Internet mediante la creación de túneles seguros y autenticación de los equipos. 91

100 PGP: (Pretty Good Privacy) Herramienta desarrollada por Philip Zimmermman en 1991 para facilitar la utilización de algoritmos criptográficos en el correo electrónico. Password cracker: Aplicaciones que permiten averiguar las contraseñas de los usuarios del sistema comprometido. Puerto: (1) Conector físico que utilizan los equipos para comunicarse con otros dispositivos. (2) Numero que especifica un programa de aplicación de un equipo remoto con el que se desea comunicar el programa local. Rootkits: Programas para ocultar puertas traseras en los propios archivos ejecutables y servicios del sistema que son modificados para facilitar el acceso y posterior control por parte de un atacante. Servidor Proxy: Equipo que actúa de intermediario entre computadoras internas y redes externas a una organización, encargándose de realizar las peticiones a los servidores de Internet en nombre de los equipos internos. Los equipos y servidores de Internet no pueden conocer la identidad del equipo en nombre del cual actúa el proxy. Service Desk: Un servicio que ofrece una organización a sus clientes o empleados a través del teléfono o de Internet, que proporciona información, ayuda y consejos para solucionar problemas en materia de software, hardware y redes. Un centro de soporte y servicios es atendido por gente que puede resolver el problema por su cuenta o escalar la situación al personal especializado. Este a menudo es equipado con software para la gestión de las relaciones con el cliente donde se registran los eventos y se les da seguimiento hasta que se resuelvan. Sniffers: Dispositivos que capturan paquetes de datos que circulan por la red. Para ello también se podría utilizar un equipo conectado a la red con su tarjeta de red configurada en modo promiscuo, para procesar todo el tráfico que recibe aunque vaya dirigido a otros equipos. SSH: (Secure Shell) Protocolo que permite establecer una conexión TCP/IP segura hacia equipos remotos, con autenticación mutua robusta, encriptación y chequeo de la integridad de los datos transmitidos. 92

101 SSL: (Secure Sockets Layer) Protocolo desarrollado para garantizar la seguridad en el intercambio de datos entre un navegador y un servidor Web, siendo el más utilizado en transacciones comerciales para garantizar confidencialidad, autenticación e integridad de los mensajes intercambiados. TCP/IP: (Transmision Control Protocol / Internet Protocol) Arquitectura de comunicaciones que emplea Internet. Los protocolos más importantes que incluye son TCP (a nivel de transporte) e IP (a nivel de red). UDP: (User Datagram Protocol) Protocolo definido a nivel de transporte de TCP/IP que al contrario de TCP, es no orientado a conexión y no realiza control de errores. No proporciona ninguna detección o corrección de error extremo a extremo, y no retransmite ningún dato que no recibió. WPA2: (Wireless Application Protocol) Se refiere a la segunda versión de un protocolo diseñado para ser implementado en dispositivos inalámbricos cuyas funciones son equivalentes al protocolo TCP/IP en el sentido de proporcionar seguridad a los servicios de Internet. 93

102 ANEXO I EJEMPLO DE REPORTE DE NAVEGACION WEB La siguiente información constituye la materia prima para la elaboración de un reporte de navegación mensual en los registros de logs de un dispositivo de filtrado de contenido Web. Top 10 de sitios web más visitados del 01 al 30 de Septiembre de Gráfica 1. Top 10 de sitios Web más visitados del 01 al 30 de Septiembre Tabla 1. Detalle del Top 10 de sitios Web más visitados del 01 al 30 de Septiembre Host Category Page Views Total Bytes Requests none 12,977, G 12,977, % none 7,145, G 7,145, % 3 l.yimg.com Search Engines 1,671, G 1,767, % 4 News 1,524, G 13,915, % 5 Search Engines 1,363, G 8,489, % 6 urs.microsoft.com Computing & Internet 1,218, G 1,218, % 7 mw1.google.com Search Engines 852, G 852, % 8 crl.microsoft.com Computing & Internet 678, M 678, % 9 xrock101x.e.channel.livestream.com Streaming Media 654, M 654, % 10 Blogs & Forums 652, G 2,990, % Total 74,540, G 194,737, % 94