Seguridad De Redes

ANTECEDENTES.

Debido a que la tecnología avanza constantemente, la seguridad informática se ve en la misma necesidad de ir en paralelo con este avance.

Como es de esperarse este crecimiento se dio junto con los delitos cibernéticos los cuales son aplicados a través de numerosas técnicas, que igualmente los intrusos van depurando.

Esta diversidad de delitos va desde el engaño, soborno, extorsión, ataques realizados con dolo y mala fe que afectan a cualquier institución.

Estos delitos provocan grandes pérdidas a cualquier empresa o institución.

La municipalidad de Jerez ha superado varios problemas a lo largo de los últimos años, tratando de facilitar y brindar la información a sus vecinos (ciudadanos), y en la práctica del más eficiente manejo de la información, el inconveniente que tiene en el manejo de los datos es su propia seguridad y protección.

Para lo cual su arquitectura actual consta de veinte terminales de trabajo, sin ninguna topología de red, ni una apropiada conexión al Internet, las cuales no cuentan con una actualización de software, ni con la tecnología suficiente para mantener segura la información que se maneja dentro de la institución, como la que es enviada a los distintos puntos.

Objetivo de la propuesta

Concienciar a los usuarios de sistemas informáticos, redes, Internet o telecomunicaciones, que existe un gran riesgo en el uso irresponsable de dicha tecnología.

Recordar siempre que el menor del riesgo es el tener que volver a instalar el software de la computadora para restablecerla, de ahí en adelante el daño puede ir en aumento, sin contar el costo de horas hombre pérdidas.

Conocer las técnicas que se utilizan para explotar las vulnerabilidades que afectan las aplicaciones y sistemas operativos, que pueden afectar la información del registro.

Mejorar el sistema de seguridad que actualmente tiene la Municipalidad de Jerez, realizando lo siguiente: mejorando infraestructura, administración de su información, software, hardware, actualizando aplicaciones, etc.

JUSTIFICACION

Porque el cambio: (análisis de lo que se desea proteger y como).

Administración de la seguridad

• Análisis de amenazas

• Análisis de vulnerabilidad

• Plan integral de seguridad informática

• Políticas

• Estándares

• Procedimientos

• Clasificación de activos informáticos

• Integrar un grupo responsable de la seguridad informática

• Auditorias

ANALISIS DE RIESGO

A manera que en los últimos años a ocurrido mucha fuga de información y problemas de infraestructura describimos análisis de riesgos que podrían sufrir la información de dicha municipalidad.

Análisis de Vulnerabilidades Sistemas y Aplicaciones

El análisis de vulnerabilidades de sistemas y aplicaciones tiene como objeto detectar puntos débiles en la seguridad de los sistemas y aplicaciones que éstos soportan. Entendemos por puntos débiles, errores de programación o de configuración en las aplicaciones y sistemas operativos que puedan ser causa de vulnerabilidades susceptibles de ser explotadas por potenciales atacantes. Por tanto, será importante conocer cuáles son estos puntos débiles con el fin de implantar los controles adecuados para eliminarlos o evitar su explotación.

No todos los sistemas tienen la misma importancia dentro de la organización. Por esto, y porque el análisis de vulnerabilidades es una tarea que puede consumir mucho tiempo, deberá realizarse una selección de cuáles son los sistemas sobre los que se realizará el análisis. Objetivos típicos de este tipo de análisis serán los sistemas cuyo mal funcionamiento pueda causar un impacto importante en los procesos de la organización (e.g. Servidores principales) o aquellos que por su visibilidad están más expuestos a posibles ataques (e.g. Servidores con acceso público desde Internet). Deberá ser la organización objeto del análisis quien, con el asesoramiento del equipo de trabajo que efectúe el análisis, decida cuáles son los sistemas que deben ser analizados.

Análisis remoto

Se prestará especial atención a las vulnerabilidades que pueden ser explotadas remotamente, ya que éstas pueden suponer un mayor riesgo al no requerir de presencia física para su explotación. Dichas vulnerabilidades, habitualmente están asociadas a puertos de aplicación que esperan recibir conexiones remotas. El primer paso del análisis de vulnerabilidades, por tanto, será identificar cuáles son los puertos de los sistemas que son accesibles de forma remota. Un método para conseguir esta información será la realización de un escaneo de puertos.

El objetivo del escaneo de puertos será averiguar qué puertos (típicamente TCP o UDP) están a la escucha en un sistema determinado, y por tanto, pueden recibir conexiones remotas. Es esta una información de suma importancia, ya que una gran parte de las vulnerabilidades asociadas a aplicaciones, tienen que ver con las posibilidades de conexión remota de las mismas. La técnica básica para saber el estado de un puerto es tratar de realizar una conexión contra el mismo y analizar el resultado, pudiendo obtenerse tres valores para el estado de un puerto:

• Abierto: El puerto está a la escucha y listo para recibir conexiones.

• Cerrado: El puerto no está a la escucha

•Filtrado: Existe algún dispositivo (típicamente un cortafuegos/firewall) que no permite realizar conexiones contra el puerto

Existen diferentes técnicas de escaneo de puertos, muchas de ellas orientadas a tratar de evitar métodos de detección y seguridad de los sistemas objetivo, pero en el caso que nos ocupa pueden no ser relevantes, ya que deberá contarse con la aprobación y el permiso por escrito del propietario de los sistemas para realizar el escaneo y las acciones correspondientes, pudiendo realizar los escaneos y análisis sin necesidad de utilizar técnicas de camuflaje (stealth), salvo en el caso en que existan dispositivos de seguridad (como sistemas de prevención de intrusiones) que puedan invalidar los resultados de dichas pruebas.

Una vez establecido el alcance de los sistemas sobre los que se realizará el análisis, se deberá elegir la profundidad del mismo, es decir, deberá decidirse sobre qué puertos se realizarán las posteriores comprobaciones. Evidentemente, para que el análisis sea completo, debería comprobarse el estado de todos los puertos (tanto TCP como UDP1), pero dado que en ocasiones esto puede llevar más tiempo del que se tendrá disponible, en ciertos casos será posible reducir el número de puertos a analizar, bien porque se tenga la certeza de que el sistema sólo escucha en ciertos puertos, o porque existan dispositivos de filtrado que sólo permitan la conexión a puertos determinados. De esta forma, la complejidad del escaneo de puertos y el consiguiente análisis de vulnerabilidades se reducirá haciéndose mucho más manejable.

En este documento se hace referencia únicamente a redes de comunicaciones IP por corresponder a la gran mayoría de las existentes en este tipo de organizaciones. Si la red de la organización analizada estuviese soportada por otro protocolo, debería actuarse de forma análoga con las particularidades aplicables a dicho protocolo

Tras realizar el escaneo de puertos, dispondremos de la información referente a qué puertos tiene disponibles cada sistema para aceptar conexiones remotas. Cada uno de estos puertos estará asociado a un servicio y por tanto a una aplicación. El siguiente paso será averiguar cuáles son dichas aplicaciones y, si es posible, la versión de las mismas.

Conocer el software específico que está instalado en un sistema es una de las primeras labores que intentaremos abordar un potencial atacante, ya que con esta información, se pueden conocer cuáles son las vulnerabilidades que presentan las aplicaciones remotamente accesibles, y de esta forma acceder a los métodos de explotación de la vulnerabilidad (o exploits). El resultado de la ejecución de un exploit se materializa habitualmente en un compromiso del sistema, que puede ir desde la eventual destrucción de sus datos al acceso no lícito de sus recursos.

La identificación de software a partir de los puertos por los que escucha puede realizarse mediante las respuestas (banners) que proporciona el servicio ante una conexión entrante. No obstante, dado que los banners pueden (y deben) ser modificados por motivos de seguridad, esta no es una manera adecuada de realizar esta tarea. Existen multitud de aplicaciones, muchas de ellas de código libre (open source), que automatizan la tarea de identificar las aplicaciones asociadas a un puerto. Estas aplicaciones no se limitan a reconocer los banners de respuesta, sino que analizan las respuestas de la aplicación ante ciertas entradas, y en base a diferencias de implementación conocidas, son capaces de deducir, eso sí, con un grado de precisión variable, la aplicación y versión que está proporcionando el servicio en cuestión.

Este proceso (escaneo + identificación), es la forma en la que un posible atacante trabajaría, y es importante llevarlo a cabo con el fin de crear consciencia de qué información podría ser obtenida con estos medios. No obstante, desde el punto de vista del análisis de seguridad, y con el fin

...