UNIVERSIDAD CENTRAL DEL ECUADOR FACULTAD DE INGENIERÍA, CIENCIAS FÍSICAS Y MATEMÁTICA CARRERA DE INGENIERÍA INFORMÁTICA

UNIVERSIDAD CENTRAL DEL ECUADOR FACULTAD DE INGENIERÍA, CIENCIAS FÍSICAS Y MATEMÁTICA CARRERA DE INGENIERÍA INFORMÁTICA IMPLEMENTACIÓN DEL SISTEMA DE GESTIÓN Y ADMINISTRACIÓN DE SEGURIDAD PARA LA DIRECCIÓN DE TECNOLOGÍAS DE LA UNIVERSIDAD CENTRAL DEL ECUADOR (DTIC) TRABAJO DE GRADUACIÓN PREVIO A LA OBTENCIÓN DEL TÍTULO DE INGENIERO EN INFORMÁTICA AUTORES: Darwin Alfredo Chanaluisa Viera Andrés Leonardo Meza Castillo Jessica Valeria Tasipanta Chicaiza TUTOR: Ing. Jaime Salvador Quito-Ecuador 2012

DEDICATORIA Al concluir mis estudios universitarios, con gratitud imperecedera dedico esta tesis de grado a: Mis padres, Leonardo y Rocío, ejemplo maravilloso de fe, amor y sacrificio incomparable, meta y razón de mis ideales. A mi hermano David, compañero de juegos, alegrías y tristezas. A mi abuelito Miguel, que desde el cielo continúa cuidándome y guiándome por el camino del bien, siempre recordaré tus palabras y enseñanzas. A mi Nenuk@, gracias por tu apoyo incondicional, por brindarme fuerza y aliento en los momentos de flaqueza. A todos mis compañeros, maestros y a todos quienes contribuyeron con su experiencia, apoyo y estímulo en la realización de éste trabajo de grado y que hicieron posible que este sueño se haga realidad. Andrés ii

DEDICATORIA Todo el esfuerzo y las horas de trabajo en la elaboración del proyecto de tesis los dedico principalmente a mis padres por todo el apoyo incondicional que me han bridado desde el comienzo de mi existencia, por su ejemplo y responsabilidad, por ser simplemente mis grandiosos padres a los cuales amo muchísimo. A Carlos y Henry por ser mis hermanos, que de una u otra forma han permanecido junto a mí y me han brindado su ayuda incondicional. Darwin iii

DEDICATORIA Este proyecto de tesis les dedico a mis padres Sonia y Rafael por ser mi apoyo primordial en todo momento, por haberme inculcado valores como el respeto, la honestidad y la responsabilidad, por haber confiado en mí y darme la fuerza necesaria para culminar con éxito este trabajo de tesis; a mi hermana Susana por estar siempre junto a mí, por ser mi amiga incondicional; a mi novio Darwin por ser mi compañero inseparable en todo momento, por darme fuerza en momentos de decline y cansancio; los amo muchísimo.. Jessy iv

AGRADECIMIENTO El presente trabajo de graduación va dirigido con una expresión de gratitud para todos mis distinguidos maestros, especialmente al Ingeniero Jaime Salvador que con nobleza y entusiasmo aportó en la realización de la misma. Mi eterno agradecimiento al Ingeniero Ramiro Ríos y al Ingeniero Eduardo Suárez quienes aportaron con su experiencia en la redacción del presente trabajo. Un especial agradecimiento a mis compañeros de tesis Darwin y Jessy, fue todo un gusto trabajar junto a ustedes, hicimos un buen equipo y les deseo muchos éxitos en su vida profesional. Y a mí querida Universidad Central, porque en sus aulas recibí los más gratos recuerdos que nunca olvidaré. Andrés v

AGRADECIMIENTO Agradezco en primer lugar a mis padres por ser el gran ejemplo que constantemente guía mí vida, a mi padre por ser la persona que día a día forjo mi vida, a mi madre que con su amor fortaleció mi esfuerzo y dedicación, a mis hermanos por inculcarme las cosas buenas de la vida. A mis compañeros de tesis Jessy y Andrés que con su ayuda y esfuerzo me ayudaron a culminar con éxito este proyecto, principalmente a mi novia Jessy por brindándome fuerza y apoyo, y por permanecer siempre junto a mi; a mis maestros que de una u otra forma me brindaron toda su experiencia y sabiduría; y finalmente a mi querida Universidad Central del Ecuador que me abrió las puertas y me brindo el orgullo de pertenecer a ella. Darwin vi

AGRADECIMIENTO En primer lugar agradezco a Dios, por ayudarme a terminar este proyecto, gracias por darme la fuerza y coraje para hacer este sueño realidad. A mis padres y a mi hermana por ser mi fuerza y apoyo incondicional. A todos mis maestros que durante mi formación me impartieron todos sus conocimientos, gracias por su paciencia y enseñanza. A mis compañeros de tesis Darwin y Andrés gracias por todo el esfuerzo y constancia, por haber logrado formar un grupo de trabajo unido y responsable; y finalmente, gracias a la prestigiosa Universidad Central del Ecuador porque en sus aulas me he formado y fortalecido. No me queda más que agradecer todos los buenos recuerdos vividos en las aulas de mi querida Universidad. Jessy vii

AUTORIZACIÓN DE LA AUTORÍA INTELECTUAL Nosotros, Chanaluisa Viera Darwin Alfredo; Meza Castillo Andrés Leonardo; Tasipanta Chicaiza Jéssica Valeria en calidad de autores del trabajo de tesis: IMPLEMENTACIÓN DEL SISTEMA DE GESTIÓN Y ADMINISTRACIÓN DE SEGURIDAD PARA LA DIRECCIÓN DE TECNOLOGÍAS DE LA UNIVERSIDAD CENTRAL DEL ECUADOR (DTIC), por la presente autorizamos a la UNIVERSIDAD CENTRAL DEL ECUADOR, hacer uso de todos los contenidos que nos pertenecen o de parte de los que contienen esta obra, con fines estrictamente académicos o de investigación. Los derechos que como autores nos corresponden, con excepción de la presente autorización, seguirán vigentes a nuestro favor, de conformidad con lo establecido en los artículos 5, 6, 8, 19 y demás pertinentes de la ley de la Propiedad Intelectual y su Reglamento. Quito, 01 de Octubre de 2012.. Chanaluisa Viera Darwin Alfredo 1721149324.... Meza Castillo Andrés Leonardo Tasipanta Chicaiza Jéssica Valeria 1721824256 1721114765 viii

CERTIFICACIÓN En calidad de Tutor del proyecto de Investigación: IMPLEMENTACIÓN DEL SISTEMA DE GESTIÓN Y ADMINISTRACIÓN DE SEGURIDAD PARA LA DIRECCIÓN DE TECNOLOGÍAS DE LA UNIVERSIDAD CENTRAL DEL ECUADOR (DTIC) presentado y desarrollado por Chanaluisa Viera Darwin Alfredo, Meza Castillo Andrés Leonardo y Tasipanta Chicaiza Jéssica Valeria, previo a la obtención del Título de Ingeniero Informático, considero que el proyecto reúne los requisitos necesarios. En la ciudad de Quito, a los 17 días del mes Septiembre de 2012. Ing. Jaime Salvador TUTOR ix

x

xi

xii

xiii

CONTENIDO DEDICATORIA... ii AGRADECIMIENTO... v CERTIFICACIÓN... ix CONTENIDO... xiv LISTA DE TABLAS... xxx LISTA DE GRÁFICOS... xxi RESUMEN... xxivv ABSTRACT... xxv INTRODUCCIÓN... 1 CAPÍTULO I. PRESENTACIÓN DEL PROBLEMA... 2 1.1. Planteamiento del Problema... 2 1.2. Formulación del Problema... 3 1.3. Interrogantes de la Investigación... 3 1.4. Objetivos de la Investigación... 4 1.4.1. Objetivo General... 4 1.4.2. Objetivos Específicos... 4 1.5. Alcance... 5 1.6. Justificación... 5 CAPÍTULO II. REVISIÓN BIBLIOGRÁFICA... 7 2.1. Antecedentes... 7 2.2. Fundamentación Teórica... 7 2.2.1. Conceptos Básicos en la Seguridad Informática... 7 2.2.2. Seguridad Informática... 9 2.2.2.1. Elementos de la Seguridad Informática... 9 2.2.2.2. Principios de la Seguridad Informática... 10 2.2.3. Prácticas de Seguridad de la Información... 11 2.2.3.1. Sistema de Gestión de Seguridad de la Información... 11 2.2.3.2. Normas para la Seguridad de la Información... 12 - Norma ISO 27001... 13 2.2.4. Mecanismos de Protección... 13 2.2.4.1. Seguridad de la Información y Gestión de Eventos... 14 2.2.4.2. Sistema de Detección Intrusos... 15 Clasificación de los IDS... 16 Escenarios para Monitorización de Seguridad... 19 2.3. Identificación de Variables... 22 xiv

2.3.1. Variable Independiente... 22 2.3.2. Variable Dependiente... 22 2.4. Hipótesis... 23 2.5. Metodología de la Investigación... 23 2.5.1. Diseño de la Investigación... 23 2.5.1.1. Selección de la Metodología... 23 2.5.1.2. Descripción de la Metodología... 24 2.5.2. Diseño Experimental... 25 CAPITULO III. SELECCIÓN DE LA SOLUCIÓN... 27 3.1. Productos SIEM... 27 3.1.1. Comparación de Sistemas de Seguridad de Información y Gestión de Eventos... 27 3.2. Plan de Diseño y Capacidad de Solución de la Herramienta OSSIM... 30 3.2.1. Capas de OSSIM... 31 3.2.1.1. Capa Inferior... 32 3.2.1.2. Capa Intermedia... 33 3.2.1.3. Capa Superior... 34 3.2.2. El Proceso de Detección... 34 3.2.2.1. Detectores... 34 3.2.2.2. Capacidad e Incapacidad de Detección... 35 3.2.2.3. PostProceso... 35 3.2.3. Arquitectura... 36 3.2.4. Funcionalidad... 38 3.2.4.1. Detector de Patrones... 38 3.2.4.2. Detector de Anomalías... 39 3.2.4.3. Sistema de Colección y Normalización... 40 3.2.4.4. Políticas de priorización... 40 3.2.4.5. Valoración de Riesgos... 41 3.2.4.6. Motor de Correlación... 42 3.2.4.7. Monitores... 44 3.2.4.8. Consola Forense... 45 3.2.4.9. Cuadro de Mandos... 45 3.3. Herramientas Importantes que incluye OSSIM... 46 3.3.1. Spade... 48 3.3.2. ARPWatch... 48 3.3.3. P0f... 48 3.3.4. PADS... 49 xv

3.3.5. Nessus... 49 3.3.6. Snort... 50 3.3.7. Tcptrack... 51 3.3.8. Ntop... 51 3.3.9. Nagios... 51 3.3.10. Osiris... 52 3.3.11. OCS-NG... 52 3.3.12. OSSEC... 52 CAPITULO IV. DESCRIPCIÓN TÉCNICA... 54 4.1. Administración del Servidor... 54 4.1.1. OSSIM-Server... 54 4.1.1.1. Conexiones... 54 4.1.1.2. Colección... 55 4.1.1.3. Asignación de Funciones... 57 4.1.1.4. Normalización... 58 4.1.1.5. Políticas de Priorización... 59 4.1.1.6. Correlación... 59 4.1.1.7. Valoración de Riesgos... 68 4.1.2. Frameworkd... 71 4.1.2.1. Listener... 71 4.1.2.2. Lanzamiento de Plugin Externo... 72 4.1.2.3. Actualización de Incidencias... 73 4.1.2.4. Respuesta... 74 4.1.2.5. Cálculo de Métricas de Riesgo... 74 4.1.2.6. Administración de Backups... 75 4.2. Sensor... 76 4.2.1. Agentes... 76 4.2.2. Plugins... 77 4.2.2.1. Tipos de Plugins... 77 4.2.3. Tipos de Eventos... 78 4.2.3.1. Evento normalizado... 78 4.2.3.2. Eventos MAC... 79 4.2.3.3. Eventos del Sistema Operativo... 80 4.2.3.4. Eventos de Servicios... 80 4.2.4. Archivos... 81 4.2.5. Métodos de Recolección... 81 4.2.5.1. Syslog... 81 xvi

4.2.5.2. SNMP... 82 CAPITULO V. IMPLEMENTACIÓN DEL SISTEMA... 83 5.1. Guía de Instalación del Sistema AlienVault (Ossim)... 83 5.1.1. Componentes... 83 5.1.1.1. Detectores... 83 5.1.1.2. Colectores... 83 5.1.1.3. SIEM... 84 5.1.1.4. Logger... 84 5.1.1.5. Interfaz Web... 84 5.1.2. Perfiles de Instalación... 85 5.1.2.1. Sensor... 85 5.1.2.2. Servidor... 86 5.1.2.3. Framework... 86 5.1.2.4. Database... 86 5.1.2.5. All-in-one... 86 5.1.3. Requerimientos... 87 5.1.3.1. Requerimientos Iniciales... 87 5.1.3.2. Requerimientos de Hardware... 87 5.1.3.3. Requerimientos de Red... 87 5.1.4. Instalación AlienVault... 88 5.1.4.1. Selección del Tipo de Instalación... 89 5.1.4.2. Selección del Idioma para la Instalación... 89 5.1.4.3. Configuración de la Red... 92 5.1.4.4. Configuración Zona Horaria... 95 5.1.4.5. Particiones de Disco... 96 5.1.4.6. Configuración de la Interfaz Modo Promiscuo... 100 5.1.4.7. Configuración Postfix... 101 5.1.4.8. Configuración Plugins AlienVault... 102 5.1.4.9. Instalación Servidor... 104 5.1.4.10. Instalación Sensor... 105 5.1.4.11. Instalación Framework... 108 5.2. Configuraciones del Sistema AlienVault (Ossim)... 110 5.2.1. Configuraciones Básicas... 110 5.2.1.1. Activar / Desactivar Plugins... 111 5.2.1.2. Configuración Plugins... 111 5.2.1.3. Configurar las interfaces Listening... 112 5.2.1.4. Cambiar el perfil del sistema... 112 xvii

5.2.2. Configuraciones de red... 114 5.2.2.1. Establecer el nombre de host... 114 5.2.2.2. Interfaz de red... 114 5.2.2.3. Configuración Local del Firewall... 115 5.2.3. Configuración del Switch... 115 5.2.4. Actualización del Sistema AlienVault... 116 5.2.5. Configuración de NTOP... 117 5.2.6. Configuración de OpenVAS... 117 5.2.6.1. Crear un usuario administrador para OpenVAS... 120 5.2.6.2. Registro del usuario Administrador en el Framework... 120 5.2.6.3. Configuración de los componentes de AlienVault... 123 5.2.7. Configuración OSVDB... 124 5.2.7.1. Instalación... 125 5.2.7.2. Actualizaciones OSVDB... 125 CONCLUSIONES Y RECOMENDACIONES... 127 Conclusiones... 127 Recomendaciones... 128 MARCO DE REFERENCIA... 130 ANEXO 1: Pruebas y Resultados... 130 A1.1. Situación Actual... 130 A1.2. Diseño de la Arquitectura Propuesta... 131 A1.3. Configuración de las tarjetas de red... 132 A1.4. Activos Monitorizados... 132 A1.5. Puertos TCP configurados... 134 A1.6. Pruebas de Correlación (Alarmas)... 135 A1.7. Monitor de servicios... 140 A1.8. Análisis de Vulnerabilidad... 141 ANEXO 2: Manual de Usuario... 144 A2.1. Inicio de sesión... 144 A2.2. Incidencias... 146 A2.2.1. Alarmas... 146 - Gestionar Alarmas... 147 - Reportes... 148 A2.2.2. Tickets... 149 - Abrir Nuevos Tickets... 149 A2.2.3. Base del Conocimiento... 150 - Crear Documentos... 151 xviii

- Ver Documentos... 152 - Editar documento... 152 - Eliminar documento... 152 - Cambio de Propietario...153 - Adjuntar archivos... 153 - Documentos de enlace... 153 A2.3. Análisis... 154 A2.3.1. Eventos de Seguridad (SIEM)... 154 A2.3.2. Vulnerabilidades... 155 - Trabajos de Escaneo... 157 A2.4. Detección... 160 A2.4.1. NIDS... 160 A2.4.2. HIDS... 161 A2.5. Informes... 162 A2.6. Activos... 164 A2.6.1. Ingreso Manual de Activos... 164 A2.6.2. Búsqueda Automática de Activos... 166 A2.6.3. Búsqueda de Activos Ingresados en el servidor... 167 A2.6.4. Modificar un activo... 168 A2.7. Inteligencia... 170 A2.7.1. Directivas... 170 - Nueva regla de correlación... 170 A2.8. Conocimiento Situación... 174 A2.8.1. Red... 174 A2.8.2. Disponibilidad... 176 A2.9. Configuración... 178 A2.9.1. Principal... 178 A2.9.2. Usuarios... 179 - Configuración...179 - Actividad de Usuario... 181 A2.9.3. Componentes AlienVault... 182 - Sensores SIEM... 182 A2.9.4. Colección... 184 - Sensores... 184 - Origen de Datos... 185 ANEXO 3: Glosario de Términos... 188 BIBLIOGRAFIA:... 204 xix

LISTA DE TABLAS Tabla 1: Principios de la Seguridad Informática... 11 Tabla 2: Mecanismos de Protección según su función... 14 Tabla 3: Comparación de Sistemas de Seguridad de Información y Gestión de Eventos... 28 Tabla 4: Herramientas IDS integradas en el sistema Ossim... 46 Tabla 5: Detectores integrados en el sistema Ossim... 47 Tabla 6: Monitores integrados en el sistema Ossim... 47 Tabla 7: Scanners integrados en el sistema Ossim... 47 Tabla 8: Syslog integrados en el sistema Ossim... 47 Tabla 9: Firewall del sistema Ossim... 47 Tabla 10: Servidores Web del sistema Ossim... 48 Tabla 11: Tipos de Funciones... 57 Tabla 12: Valores de prioridad de eventos específicos... 59 Tabla 13: Tipos de Correlación... 60 Tabla 14: Tipo de correlación de inventario... 64 Tabla 15: Archivos de instalación por defecto de Ossim... 66 Tabla 16: Puertos a los que está conectado el agente... 76 Tabla 17: Ejemplos de identificación de Plugins... 77 Tabla 18: Dos tipos de plugin que se utilizan en la correlación con el fin de generar alarmas... 78 xx

LISTA DE GRÁFICOS Gráfico 1: Proceso SGSI... 12 Gráfico 2: IDS basado en la Red (NIDS)... 17 Gráfico 3: IDS basado en el Host (HIDS)... 19 Gráfico 4: Sensor por fuera del Firewall... 20 Gráfico 5: Sensor en el Firewall... 21 Gráfico 6: Sensor por dentro del Firewall... 22 Gráfico 7: Cuadrante Mágico de Gartner para SIEM 2011... 29 Gráfico 8: Cuadrante Mágico de Gartner para SIEM 2012... 30 Gráfico 9: Capas del Sistema Ossim... 31 Gráfico 10: Capas del sistema Ossim en una Arquitectura Distribuida... 32 Gráfico 11: Arquitectura del sistema Ossim... 37 Gráfico 12: Niveles del sistema Ossim... 38 Gráfico 13: Representación con 3 niveles de correlación... 43 Gráfico 14: Tabla host_plugin_sid... 62 Gráfico 15: Seleccionar tipo de instalación... 89 Gráfico 16: Lenguaje Ossim... 90 Gráfico 17: País, territorio o área... 90 Gráfico 18: Elegir la distribución del teclado... 91 Gráfico 19: Elegir los perfiles... 92 Gráfico 20: Configurar dirección IP de la red... 92 Gráfico 21: Configurar la máscara de red... 93 Gráfico 22: Configurar el Gateway... 93 Gráfico 23: Configurar el servidor DNS... 94 Gráfico 24: Configurar nombre de la máquina (hostname)... 94 Gráfico 25: Ingresar el nombre del dominio... 95 Gráfico 26: Seleccionar la zona horaria... 95 Gráfico 27: Particionar el disco... 96 Gráfico 28: Método de particionado... 96 Gráfico 29: Esquema de particiones... 97 Gráfico 30: Tamaño particiones... 97 Gráfico 31: Tipo de la nueva partición... 98 xxi

Gráfico 32: Ubicación de la nueva partición... 98 Gráfico 33: Resumen de las particiones... 99 Gráfico 34: Resumen de las particiones... 99 Gráfico 35: Configuración de la Interfaz Modo Promiscuo... 100 Gráfico 36: Instalar el sistema base... 101 Gráfico 37: Configuración Postfix... 101 Gráfico 38: Configuración Plugins Detector... 102 Gráfico 39: Configuración Plugins Monitor... 103 Gráfico 40: Instalación Finalizada... 103 Gráfico 41: Ingreso IP base de datos del servidor... 104 Gráfico 42: Ingreso password de la base de datos... 105 Gráfico 43: Ingreso IP servidor AlienVault... 106 Gráfico 44: Agregar el sensor para AlienVault... 106 Gráfico 45: Ingresar el password del servidor AlienVault... 107 Gráfico 46: Instalación finalizada (VPN creado para el sensor)... 107 Gráfico 47: Ingreso dirección IP para la base de datos del servidor... 108 Gráfico 48: Ingreso del password la base de datos... 109 Gráfico 49: Ingreso del password de la base de datos... 109 Gráfico 50: Introducción de dirección IP del host o hosts que ejecuten el perfil servidor y framework... 110 Gráfico 51: Error OpenVAS primera tarea... 117 Gráfico 52: Eliminar el usuario de Ossim por defecto... 118 Gráfico 53: Solicitud de un nombre para el nuevo usuario... 118 Gráfico 54: Ingreso password... 118 Gráfico 55: Ingreso password... 119 Gráfico 56: Reglas en OpenVAS... 119 Gráfico 57: Guardar cambios... 119 Gráfico 58: Usuario correctamente añadido... 119 Gráfico 59: Solicitud de ingreso de contraseña del administrador... 120 Gráfico 60: Configuración Principal... 121 Gráfico 61: Opción Principal / Pestaña Avanzado... 121 Gráfico 62: Parámetros de configuración por defecto... 122 Gráfico 63: Configuración del escáner de vulnerabilidades... 122 Gráfico 64: Actualizar la configuración... 123 xxii

Gráfico 65: Ventana de configuraciones... 123 Gráfico 66: Sensor activo... 123 Gráfico 67: Opciones de escaneo de vulnerabilidades... 124 Gráfico 68: Configuración de resultados... 124 xxiii

RESUMEN Implementación del Sistema de Gestión y Administración de Seguridad para la Dirección de Tecnologías de la Universidad Central del Ecuador (DTIC) El sistema OSSIM de AlienVault es una distribución Linux que provee todas las capacidades de seguridad en un SIEM de código abierto, el cual permite la recopilación de eventos, la normalización, la correlación y respuesta a incidentes. Además permite la integración de datos de herramientas de seguridad existentes, ofrece la posibilidad de obtener una visibilidad de eventos de los activos en un mismo formato, lo cual permite relacionar y procesar la información para aumentar la capacidad de detección, priorizar los eventos según el escenario, y monitorizar el estado de seguridad de la red. OSSIM está construido sobre una plataforma de seguridad de gestión unificada que proporciona un framework común para la implementación, configuración y manejo de herramientas de seguridad. DESCRIPTORES: SISTEMA DE SEGURIDAD DE LA INFORMACIÓN / GESTIÓN DE EVENTOS / CORRELACIÓN DE EVENTOS DE SEGURIDAD INFORMÁTICA / VULNERABILIDADES DE LA RED INFORMÁTICA / SEGURIDAD DE LA INFORMACIÓN Y GESTIÓN DE EVENTOS / OSSIM. xxiv

ABSTRACT Implementation of the System of Management and Administration of Security for the Direction of Technologies of the Central University of the Ecuador (DTIC) The AlienVault's system, OSSIM, is a Linux distribution which provides all the security capabilities in an open source SIEM, which enables event collection, normalization, correlation and incident response. In adition, enables data integration of existing security tools, offers the possibility of obtaining a visibility of the events of assets in the same format, which allows correlate them and process information to increase the ability of detection, prioritize events according to the scenario and monitor the network's security. OSSIM is based on a unified management security platform that provides a common framework to implement, configurate and security management tools. DESCRIPTORS: SECURITY INFORMATION SYSTEM / EVENTS MANAGEMENT / COMPUTER SECURITY EVENT CORRELATION / VULNERABILITIES IN THE COMPUTER NETWORK / INFORMATION SECURITY AND EVENT MANAGEMENT / OSSIM. xxv

INTRODUCCIÓN En la actualidad la infraestructura computacional crece significativamente día tras día en comunicaciones, negocios, entretenimiento, educación y otras actividades que se realizan en las empresas. La Universidad Central del Ecuador, como muchas organizaciones cuenta con un alto crecimiento en su infraestructura tecnológica, sobre todo en su infraestructura de red, pero la forma en que se ha llevado la monitorización de la misma no ha cubierto las expectativas de los administradores. La gestión de la red de la Universidad Central del Ecuador, en la actualidad se basa en un conjunto de aplicaciones que se han implementado a lo largo del tiempo dependiendo de las necesidades de la misma, lo cual implica que el margen de errores en las configuraciones de los equipos de red aumente. Este proyecto está enfocado como una herramienta de apoyo para la Universidad Central del Ecuador, cuya expectativa a cumplirse es la de proporcionar un sistema que permita obtener una visibilidad de todos los eventos que ocurran en tiempo real, de tal forma que se garantice una red constantemente supervisada, una correlación de eventos y el procesamiento de la información permitiendo aumentar la capacidad de detección, priorizar los eventos según el contexto en que se producen, y monitorizar el estado de seguridad de la red, además proveer una colección detallada de herramientas para garantizar al administrador una vista de todos los aspectos relativos a la seguridad en su sistema. 1

CAPÍTULO I. PRESENTACIÓN DEL PROBLEMA 1.1. Planteamiento del Problema Es de común conocimiento que los ataques informáticos a un sistema se encuentran en constante crecimiento debido, principalmente, al significativo aumento de la conectividad de equipos a redes privadas, públicas o internet. Equivalentemente a este crecimiento de hardware los indicadores de seguridad de un sistema también se incrementan en la medida en que se implementan controles y herramientas específicas para solucionar problemas relacionados a la seguridad de sistemas, redes y usuarios. Sin embargo, la implementación de varias soluciones de seguridad en una misma red con frecuencia conlleva un aumento significativo en la complejidad de administración de los dispositivos instalados en la misma, por lo cual el administrador de la red responsable de diferentes servidores y/o aplicaciones enfrenta un complejo problema el cual es la identificación de potenciales peligros de los sistemas que administra diariamente a partir de diversos dispositivos con formatos de reportes y archivos completamente distintos. De este modo se presentan situaciones en que la atención a un incidente de seguridad requiere la utilización de dos o más interfaces administrativas pertenecientes a distintas aplicaciones. La descentralización de los sistemas de información ha dado como resultado una complicación en la gestión de problemas relacionados a la segurid ad de la información ya que en la Universidad Central del Ecuador no existe un sistema centralizado de almacenamiento e interpretación de eventos de seguridad. El objetivo del proyecto es implementar una herramienta que ayude a la administración de eventos de seguridad mediante un motor de correlación y una colección detallada de herramientas de código abierto, las cuales 2

permiten al administrador de la red obtener una vista de todos los aspectos relativos a la seguridad de la información en la infraestructura informática. 1.2. Formulación del Problema El problema actual en seguridad informática, obedece a dos razones principalmente: la proliferación de Chackers que tratan de violar la seguridad para ingresar a los sistemas de información de las organizaciones ocasionando grandes daños a la información; y por otra parte el incorrecto control del acceso y manejo de la información, lo cual crea la necesidad de proteger la información contra cambios indeseados y proveer a los sistemas de un esquema de seguridad que permita ofrecer confiabilidad y autenticidad de la información sobre las redes y los medios de almacenamiento. Por lo cual, la pregunta formulada para el problema de seguridad informática en la red de la Universidad Central del Ecuador sería: Cómo visualizar eventos de seguridad en la red informática suscitados en la Universidad Central del Ecuador, en una misma pantalla de administración, mediante un sistema de código abierto existente que utilice en forma integrada herramientas para detección de vulnerabilidades? 1.3. Interrogantes de la Investigación - Qué producto(s) o sistema(s) utiliza actualmente la DTIC para realizar la gestión de seguridad informática en sus equipos? - Qué software existente se adapta a los lineamientos establecidos en la Universidad Central del Ecuador para identificar eventos de seguridad informática? - Cuáles son los equipos que pueden supervisarse por el sistema seleccionado? 3

- Cuáles son los ataques más importantes registrados a los activos disponibles en la actualidad? 1.4. Objetivos de la Investigación 1.4.1. Objetivo General Seleccionar, analizar, configurar e implementar un sistema que permita la monitorización de eventos de seguridad informática en la red de datos de la Universidad Central del Ecuador, integrando herramientas de software libre. 1.4.2. Objetivos Específicos - Identificar la situación actual de los procesos de monitorización de eventos de seguridad informática de la red de datos que realiza la Dirección de Tecnologías de la Información y Comunicación de la Universidad Central del Ecuador (DTIC-UCE). - Investigar y analizar las distintas herramientas de software libre que mejor se adapten a la monitorización de eventos de seguridad de la información en la red informática de la Universidad Central del Ecuador. - Configurar e Implementar un sistema que permita la monitorización de eventos de seguridad informática. - Monitorizar el tráfico de la red para detectar vulnerabilidades y anomalías a través de un conjunto de herramientas de código abierto. - Unificar todos los eventos de seguridad de la red provenientes de herramientas integradas en un sistema con una única consola de administración. 4

1.5. Alcance El presente proyecto consiste en la implementación de un sistema de administración de seguridad de la información en la red de la Universidad Central del Ecuador, el cual estará definido por los siguientes puntos: - El sistema permitirá ser el punto de ingreso para la visualización de los dispositivos de red. - Definir políticas de valoración de riesgos de una alerta a través de una contextualización de la red informática. - Cumplir los lineamientos definidos por la dirección de tecnologías (DTIC) de la Universidad Central del Ecuador. - Proveer un inventario de la Red, presentando las características más importantes de cada equipo los cuales serán monitorizados y gestionada su información desde un framework centralizado. - Permitir la configuración de usuarios conforme a las políticas que provea la dirección de tecnologías (DTIC). - Generar informes particulares de los eventos de seguridad suscitados en la red monitorizada. 1.6. Justificación La Red de la Universidad Central del Ecuador ha experimentado un crecimiento considerable en infraestructura física y lógica conforme el paso de los años, este incremento, al no contar con procedimientos y metodologías han desencadenado el surgimiento de problemas de seguridad no contemplados. 5

En la actualidad se ha desarrollado un incremento tecnológico capaz de realizar intrusiones a los sistemas actuales de protección dentro de la red, por lo cual se ha visto la necesidad de implementar un sistema de seguridad integral que cubra desde la detección de intrusos hasta la generación de informes de los mismos. Existen herramientas que permiten el monitoreo de la red en forma independiente, lo cual genera dificultad al administrador al no contar con un sistema de detección centralizado. La Dirección de Tecnologías de la Universidad Central del Ecuador al ser parte de una entidad pública establece la necesidad de uso de Software Libre. Por lo expuesto anteriormente, se generó la necesidad de configurar e implementar una herramienta de código abierto que garantice la detección y visualización de amenazas en la Red Informática de la Universidad Central del Ecuador. 6

CAPÍTULO II. REVISIÓN BIBLIOGRÁFICA 2.1. Antecedentes La infraestructura computacional en la actualidad se encuentra inmersa en varios problemas de seguridad de la información debido al incremento de amenazas de seguridad, lo cual merma el adecuado funcionamiento de los sistemas de información. Se tiene el conocimiento que no se puede tener seguridad al 100% en una red, pero aplicando algunas de las estrategias de protección actuales se podrá obtener una seguridad aceptable. La infraestructura informática de la Universidad Central del Ecuador cuenta con un gran crecimiento tecnológico lo cual ha llevado a que se dificulte la monitorización de todos los dispositivos de la red. Debido a estos antecedentes, la Dirección de Tecnologías de la Información y Comunicación de la Universidad Central del Ecuador (DTIC-UCE) ha decido implementar un sistema que le permita proveer una colección detallada de herramientas para garantizar al administrador una vista de todos los aspectos relativos a la seguridad en su sistema. 2.2. Fundamentación Teórica 2.2.1. Conceptos Básicos en la Seguridad Informática - Información: Consiste en datos seleccionados y ordenados con un propósito y valor para la organización, y requiere en consecuencia una protección adecuada. - Vulnerabilidad: En seguridad informática, la palabra vulnerabilidad hace referencia a una debilidad en un sistema permitiendo a un atacante violar la confidencialidad, integridad, disponibilidad, control 7

de acceso y consistencia del sistema o de sus datos y aplicaciones. Las vulnerabilidades son el resultado de fallos en el diseño del sistema. Además del resultado de las propias limitaciones tecnológicas, ya que no existe sistemas 100% seguros. - Amenaza: Es la posibilidad de ocurrencia de cualquier tipo de evento o acción que puede producir un daño sobre los elementos de un sistema, en el caso de la Seguridad Informática, los Elementos de Información. Las amenazas pueden ser causados por: - Usuarios: Es el mayor problema ligado a la seguridad de un sistema informático (porque no le importa, no se da cuenta o es a propósito). - Programas Maliciosos: Programas destinados a perjudicar o hacer un uso ilícito de los recursos del sistema. - Intrusos: Persona que consigue acceder a los datos o programas de los cuales no tiene acceso permitido (cracker, defacer, script kiddie, viruxer, etc.). - Siniestros: Una mala manipulación o una mal intención derivan a la pérdida del material o de los archivos. En el desarrollo de este proyecto de graduación se tomara como principal amenaza las acciones causadas por intrusos dentro de la red informática. - Ataque: Acción intencional e injustificada. Intento por romper la seguridad de un sistema o de un componente del sistema para tomar el control, desestabilizar o dañar otro sistema informático. 8