Arquitectura-de-seguridad-perimetral-y-en-sitio-para-sistemas-UNIX-caso--Unidad-de-servicios-de-computo-academico-de-la-Facultad-de-Ingenieria

•

Humanas / Sociais

Contenido de Estudio

30/9/2022

¡Este material tiene más páginas!

Entonces, ¿te gustó este material?

Ayude a animar a otros estudiantes a mejorar el contenido

¿Te gustó este material? ¡Compartir! 🧡

Ciencias Sociales

82.231 Materiales compartidos

Descarga la aplicación para disfrutar aún más

Lea materiales sin conexión, sin usar Internet. Además de muchas otras características!

Vista previa del material en texto

UNIVERSIDAD NACIONAL
AUTÓNOMA DE MÉXICO

FACULTAD DE INGENIERÍA

“ARQUITECTURA DE SEGURIDAD PERIMETRAL Y EN SITIO
PARA SISTEMAS UNIX
CASO: UNIDAD DE SERVICIOS DE CÓMPUTO ACADÉMICO DE
LA FACULTAD DE INGENIERÍA”

T E S I S

QUE PARA OBTENER EL TÍTULO DE:

INGENIERO EN COMPUTACIÓN

P R E S E N T A:

LETICIA ROJAS NAVA

DIRECTOR DE TESIS:

ING. RAFAEL SANDOVAL VÁZQUEZ

Ciudad Universitaria México, D.F. 2007

UNAM – Dirección General de Bibliotecas
Tesis Digitales
Restricciones de uso

DERECHOS RESERVADOS ©
PROHIBIDA SU REPRODUCCIÓN TOTAL O PARCIAL

Todo el material contenido en esta tesis esta protegido por la Ley Federal
del Derecho de Autor (LFDA) de los Estados Unidos Mexicanos (México).
El uso de imágenes, fragmentos de videos, y demás material que sea
objeto de protección de los derechos de autor, será exclusivamente para
fines educativos e informativos y deberá citar la fuente donde la obtuvo
mencionando el autor o autores. Cualquier uso distinto como el lucro,
reproducción, edición o modificación, será perseguido y sancionado por el
respectivo titular de los Derechos de Autor.

Agradecimientos

Armando:

Por haber puesto más que un grano de
arena en la realización de este trabajo
y tú inapreciable apoyo, compresión y
motivación en los momentos difíciles.

Eres la razón de no tener miedo al
mañana, porque te he visto ayer y me
encantas hoy
A mi Familia

A mis padres por ser quién aplaude
mis logros, por enseñarme la diferencia
entre el mal y el bien, pero sobre todo
por ser los mejores consejeros y amigos
que tengo.

A mis hermanos por enseñarme con su
entusiasmo ha no tener límites.

A la Universidad Nacional
Autónoma de México y a la
Facultad de Ingeniería por
ofrecerme la oportunidad de ser parte
de una sociedad interesada en la
generación de conocimientos para el
servicio y la mejora de mi país, a través
de la generación de mejores
profesionistas.

Amigos

Mi gratitud a todos mis amigos y
compañeros con quienes he compartido
durante varios años la enseñanza, la
diversión y el intercambio de
experiencias.

UNICA

Por se la institución que permitió la
colaboración y preparación del presente
trabajo, agradeciendo su valiosa ayuda
a los ingenieros: Noe Cruz Marín y
Rafael Sandoval Vázquez por
sus orientaciones en esta área.

A cada uno de los integrantes de
UNICA, en especial al DROS que
han sido un excelente grupo de trabajo
y por haber encontrado buenos amigos.

Arquitectura de Seguridad Perimetral y en Sitio para Sistemas UNIX

Prefacio
Objetivo

1 Fundamentos

1.1 Seguridad Informática…………………………………………………………………….… 1
1.1.1 Seguridad en sitio……………………………………………………………………... 1
1.1.2 Seguridad perimetral………………………………………………………………….. 2
1.1.3 Seguridad de la información…………………………………………………………... 3
1.2 Estrategias de Seguridad Informática…………………………………………………..……. 3
1.2.1 Menor privilegio………………………………………………………………..….... 3
1.2.2 Defensa a fondo…………….………………………………………………….…… 3
1.2.3 Punto de ahogo……………………………………………………….…………....... 4
1.2.4 Eslabón más débil…………………………………………………….…………….. 4
1.2.5 Postura de falla segura……………………………………………….……………… 4
1.2.6 Participación universal……………………………………………….…………….... 4
1.2.7 Simplicidad………………………………………………………………………...... 4
1.2.8 Seguridad a través de oscuridad……………………………………………………... 4
1.3 Amenazas deliberadas a la seguridad en las Tecnologías de la Información….……..………... 4
1.3.1 Interrupción…………………………………………………………….…………...... 5
1.3.2 Intercepción…………………………………………………………….…………...... 6
1.3.3 Modificación………………………………………………………………………...... 6
1.3.4 Fabricación………………………………………………………………………......... 6
1.3.5 Ataques pasivos……………………………………………………….……………… 7
1.3.6 Ataques activos……………………………………………………….…….………….7
1.3.6.1 Suplantación de identidad………………………………………………………. 8
1.3.6.2 Reactuación………………………………………………………….…………. 8
1.3.6.3 Modificación de mensajes………………………………………………………. 8
1.3.6.4 Degradación fraudulenta del servicio…………………………………………… 8
1.4 Niveles de seguridad informática ……………….…………………………………………... 8
1.4.1 TCSEC (Trusted Computer System Evaluation Criteria)…………………………... 10
1.5 ¿De quién nos protegemos? ……………………………………………………………….. 11
1.6 UNIX /Linux…………………………………………………………………………….... 12

2 Seguridad Perimetral

2.1 Fundamentos de la seguridad perimetral….…………………………………………… 13
2.2 Análisis de riesgos…..…………………………………………………………………. 13
2.3 Perímetro……………………………………………………………………………… 14
2.4 Routers de Frontera…………………………………………………………………… 15
2.4.1 El papel del router………………………………………………………… 15
2.4.2 El router como dispositivo de seguridad…………………………………... 15
2.5 Firewalls……………………………………………………………………………….. 15
2.5.1 Teoría referente a firewalls……………………………………………….... 16
2.5.1.1 Protocolo TCP/IP…………………………………………… 16
2.5.1.2 Servicios TCP, UDP e ICMP………………………………… 16
2.5.1.3 Saludo de tres vías (Three Way Handshake)………………….. 17
2.5.1.4 El concepto de estado.……………………………………….. 17
2.5.1.5 Inspección del estado……………………………………….... 18
2.5.2 Filtrado de Paquetes………………………………………………………. 18
2.5.2.1 Ventajas……………………………………………………… 19
2.5.2.2 Desventajas…………………………………………………... 19
2.5.2.3 Filtrado con PF (Packet Filter, OpenBSD)…………………… 19
2.5.3 Filtrado por estado de la conexión………………………………………… 20
2.5.3.1 Ventajas……………………………………………………… 20
2.5.3.2 Desventajas…………………………………………………... 20
2.5.4 Filtrado por contenido o aplicación…..………………………………......... 20
2.5.4.1 Ventajas……………………………………………………… 21
2.5.4.2 Desventajas…………………………………………………... 21
2.6 Sistemas Detectores de Intrusos…………………………………………………… 21
2.6.1 Conceptos………………………………………………………………… 21
2.6.2 Desarrollos comerciales y libres para los IDS………………….…………... 25
2.7 Sistemas Preventores de Intrusos………………………………………….……….. 26
2.8 Redes Virtuales Privadas VPN………………………………………….………….. 26
2.9 Proxy………………………………………………………………………………. 27
2.10 Software…………………………………………………………………………… 28
2.11 Zonas de Seguridad…………………………………………………………………28

3 Análisis de Riesgos, Políticas y Seguridad en Sitio

3.1 Análisis de Riesgos………………………………………………………………………… 31
3.1.1 OCTAVE………………………………………………………………...……. 32
3.1.2 Características de OCTAVE…………………………………………………… 33
3.1.3 Procedimiento para el análisis de riesgos con OCTAVE...….………………….. 34
3.1.4 Caso de Práctico: Site de Servidores, Unidad de Servicios de Cómputo Académico,
Facultad de Ingeniería, UNAM……………………………………………...… 36
3.1.5 Fase 1 Análisis de amenazas…………………………………………………… 38
3.1.6 Fase 2 Perfil de amenazas e identificación de vulnerabilidades…….…………… 40
3.1.7 Fase 3 Estrategias de protección y planes de seguridad……………………….... 43
3.1.7.1 Conclusiones…………………………………………………………… 49
3.2 Políticas de seguridad………………………………….…………………………………… 49
3.3 Políticas de administración de servidores UNIX…….....…………………………………… 50
3.3.1 Políticas de administración…………….…………………………………………….. 50
3.3.1.1 Sobre el inicio de sesión….…………………..………………………… 50
3.3.1.2 Sobre el apagado de servidores…………………………………….…… 51
3.3.1.3 Sobre los usuarios….…………………………………………………… 51
3.3.2 Políticas de seguridad………………………………………………………...……… 51
3.3.2.1 Sobre la atención a incidentes…..……………………………………..… 52
3.3.2.2 Sobre la restauración……...……….……………………….…………… 52
3.3.3 Políticas de respaldo………………………………………………………………… 52
3.3.4 Políticas de actualización…………………………………………….……………… 52
3.3.5 Políticas de configuración…………………………………………………………… 53
3.3.6 Políticas de ingreso de personal……………….……………………………….…….. 53
3.3.7 Políticas de recesión de contrato de personal….…………………………………..… 53
3.3.8 Políticas de contabilidad…………….………………………………….………..…... 53
3.3.9 Políticas de confidencialidad……….……………………………….…………….…. 54
3.3.10 Plan de contingencia….…………..………………………………….……………… 54
3.3.11 Seguridad en sitio…………………………………………………….…..………….. 55
3.3.12 Seguridad en sitio para el site de servidoresdel departamento de redes y operación de
servidores ………………………………………….………………………….. 56
3.3.12.1 Deshabilitando y removiendo programas y Servicios…………………… 56
3.3.12.2 Limitando el acceso a datos y archivos de configuración…….……..…… 56
3.3.12.3 Control de usuarios y privilegios.………………………….……………. 56
3.3.12.4 Mantenimiento de bitácoras………………………………..…………… 56
3.3.12.5 Actualizaciones…………………………………………….…………… 57
3.3.12.6 Guía para el fortalecimiento de la seguridad del servidor…...…………… 57
3.4 Herramientas sugeridas para la defensa del servidor………………….………..…………… 57
3.4.1 Antivirus………………………………………………………….…………… 57
3.4.2 Antirootkit.……………………………………………………….…………… 57
3.4.3 Firewall basado en host………………………………………...……………… 58
3.4.4 Sistema Detector de Intrusos basado en host……………………..…………… 58
3.4.5 Capacitación al personal…………………………………………..…………… 58

4 Diseño de la Arquitectura de Seguridad Perimetral y en Sitio para servidores UNIX.
Caso Práctico: Servidores del Departamento de Redes y Operación de Servidores.

4.1 Problemática actual. ………………………………………………………………..……… 59
4.1.1 Problemática a nivel de red……………………………………………………….... 59
4.1.2 Problemática a nivel de servidor………………………………………………...….. 60
4.2 Diseño de la arquitectura de seguridad perimetral y en sitio para servidores UNIX………… 61
4.2.1 Estructura de red…………………………….…………………………………….... 61
4.2.2 Servicios…………………………………………………………………………..… 63
4.2.3 Proyecto………………………………………………………………………….…. 64
4.2.3.1 Seguridad perimetral……………………………………………………… 64
4.2.3.1.1 Firewall perimetral en granja de servidores…………………………… 64
4.2.3.1.2 Estadísticas del servicio de red………………………………………... 64
4.2.3.2 Seguridad en sitio………………………………………………………… 65
4.2.3.2.1 Aplicación de la guía para el fortalecimiento de la seguridad en el servidor
4.2.3.2.2 Firewall local…………………………………………………………. 66
4.2.3.2.3 Mantenimiento de bitácoras………………………………………….. 66
4.2.3.2.4 Desarrollo del sistema detector de intrusos para servidores UNIX….... 66
4.2.3.2.4.1 Módulo de procesos del sistema..…………………………..... 67
4.2.3.2.4.2 Módulo de servicios…………………………………………. 67
4.2.3.2.4.3 Módulo de puertos…………………………………………... 68
4.2.3.2.4.4 Módulo de software…………………………………………. 68
4.2.3.2.4.5 Módulo de usuarios…………………………………………. 69
4.2.3.2.4.6 Módulo de almacenamiento……….………………………… 71
4.2.3.2.4.7 Módulo de integridad de archivos..………………………...… 71
4.2.4 Comparación………………………………………………………………………... 72

5 Implantación de la arquitectura de seguridad perimetral y en sitio para servidores unix.

5.1 Publicación de Políticas………………………..………………………………………….... 74
5.2 Implantación de las zonas de seguridad…………………………………………………..... 75
5.2.1 Requerimientos……………………………………………………………………. 75
5.2.2 Instalación del firewall………………………………………………………..…… 76
5.2.3 Pruebas al esquema de seguridad perimetral…..………………………………….... 80
5.2.4 Estadísticas……………………………………………………………………...… 82
5.2.4.1 Ancho de banda………………………………………………………….. 82
5.2.4.2 Por servicio……………………………………………………………...... 84
5.3 Sistema Detector de Intrusos..…………………………………………………………........ 85
5.3.1 Requerimientos……………………………………………………………………. 85
5.3.2 Instalación………………………………………………………………………… 86
5.3.3 Alertas de IDS………………………………………………………....…………... 87
Conclusiones…………………………………………………..……………………………..... 89
Recomendaciones………………………………………………..…………………………… 91
Apéndices
5.1 Anexo A. El estado de las conexiones………………………………………........ 92
5.2 Anexo B. Metodología de OCTAVE……………………………………………. 94
Glosario………………………………………………………………………………………. 102
Bibliografía…………………………………………………………………………………... 106
Mesografía…………………………………………………………………………………… 107

Tablas y Figuras
i

Índice de figuras

1. Fundamentos

1.1 Flujo normal de la información………………………………………………………..… 5
1.2 Flujo Interrumpido de la información…………………………………………………… 6
1.3 Flujo Interceptado de la información……………………………………...........……......... 6
1.4 Flujo modificado por entidad sin autorización……………………………….…………... 6
1.5 Flujo fabricado por entidad sin autorización…………………………….............................. 7
1.6 Concepto de Monitor de referencia…………………………………………………....... 94

2. Seguridad Perimetral

2.1 Proceso de Análisis de Riesgos……………………….………………………...…………. 14
2.2 Firewall……………………………………………….……..……………………………. 15
2.3 Banderas para el Three Way Handshake………...……….………………………..………… 17
2.4 Maquina Virtual de Inspección de Estado…………….…………………………………... 18
2.5 Elementos básicos para los IDS……………………….………………………………….. 22
2.6 Modelo general de un detector de usos indebidos………………………………….……... 23
2.7 Modelo general de un detector de anomalías…………………………………...…..…….. 23
2.8 Esquema general de un Sistema de Detección de Intrusiones…………………………….. 23
2.9 Túnel creado por una conexión a una VPN…………………………………….………… 27
2.10 Estados TCP para el Three Way Handshake……………………………………………. 110

3 Análisis de Riesgos, Políticas y Seguridad en Sitio

3.1 Enfoque de OCTAVE…………………………………………………………………… 33
3.2 Fases del análisis de Riesgos con OCTAVE……………………………………………… 36
3.3 Organigrama de la Unidad de Servicios de Cómputo Académico…………………..…….. 37
3.4 Pasos para desarrollar el plan de contingencia de los sistemas informáticos………………. 55

4 Diseño de la Arquitectura de Seguridad Perimetral y en Sitio para servidores UNIX.
Caso Práctico: Servidores del Departamento de Redes y Operación de Servidores.

4.1 Diagrama de la topología de la red para la Unidad de Servicios de Cómputo Académico..... 60
4.2 Propuesta para el Diagrama de la topología de la red para la Unidad de Servicios de Cómputo
Académico……………………………………………………………………..…………. 62
4.3 Módulo de Procesos del Sistema………………………………………………………….. 67
4.4 Módulo de Servicios del Sistema………………………………………………………….. 67
4.5 Módulo de Puertos……………………………………………………………………….. 68
4.6 Módulo de Software……………………………………………………………………… 68
4.7 Módulo de Usuarios……………………………………………………………………… 70
4.8 Módulo de Almacenamiento……………………….……………………………...……… 71
4.9 Módulo de Integridad de los Archivos……………………………………………………. 73

5 Implantación de la arquitectura de seguridad perimetral y en sitio para servidores unix.

5.1 Equipo necesario para la implantación y características generales……...………………..… 75
5.2 Registro de conexiones de entrada……………………………………..……............…...… 80
5.3 Monitoreo del Ancho de Banda antes del segmento 132.248.54.0……….………………... 83
5.4 Monitoreo del Ancho de Banda del site con el esquema de Seguridad………………..….... 83
5.5 Generación de estadísticas por Servidor…………………………………………………... 85
5.6 Generación de estadísticas por Servicio………………………………………………..…. 85
5.7 Monitoreo del puerto 443 del servidor de correo en el intervalo de un mes…….............…. 86
5.8 Protocolos utilizados por el IDS……………………………………………….………… 88
5.9 Alertas registradas por el IDS……………………………………………………….…… 88
Tablas y Figuras
ii

Índice de Tablas

2. Seguridad Perimetral

2.1. Sistemas de Detección de Intrusiones……………………..……………..………… 22
2.2. Técnicas de Análisis……………………………..………………..………………... 24
2.3. Software NIDS…………………………………..………………..……………….. 25
2.4. Software HIDS…………………………………..…………….………….……….. 25
2.5. Tipos de VPN……………………………………………..……..……………...… 27
2.6. Ventajas del Uso de zonas de Seguridad…………………..……………..………… 29

3. Análisis de Riesgos, Políticas y Seguridad en Sitio

3.1. Fases del análisis de Riesgos de Seguridad……………………..………………......... 32
3.2. Áreas Prácticas de Seguridad en OCTAVE’S……………………………………..... 34
3.3. Fase 1 Análisis de Riesgos OCTAVE………………………………..…………...… 34
3.4. Fase 2 Análisis de Riesgos OCTAVE…………………………..…………………... 35
3.5. Fase 3 Análisis de Riesgos OCTAVE………………………….………………...…. 35
3.6. Criterios para el Evaluación de Impactos…………………………..……………...... 38
3.7. Activos Críticos…………………………………………………………………..... 38
3.8.Información, sistemas y aplicaciones…………………………………...…………... 39
3.9. Perfil de amenazas y vulnerabilidades…………………………………..….…..….... 40
3.10. Frecuencia para la Probabilidad de ocurrencia de una amenaza…………....……….. 40
3.11. Frecuencia para la evaluación del impacto ante la ocurrencia de una amenaza.…..…. 40
3.12. Indicadores para los motivos y los antecedentes históricos……………….……..….. 42
3.13. Matriz de prioridades de atención de riesgos……………………………...……..…. 42
3.14. Indicativos para la evaluación del perfil de amenazas……………………………..... 42
3.15. Evaluación de Riesgos………………………………………………………......….. 44
3.16. Estrategias de protección en las áreas prácticas estratégicas……………………...… 45
3.17. Estrategias de protección en las áreas prácticas operacionales…………………..… 46
3.18. Tipos de usuario en el DROS……………………………………………….…...… 50
3.19. Fase 1 Identificación de la Información de la Organización………………...…..….. 94
3.20. Fase 2 Creación de Perfiles de Activos…………………………………………....... 95
3.21. Fase 2 Examinar la infraestructura computacional en relación a los activos críticos... 97
3.22. Fase 3 Identificación y Análisis de Riesgos……………………………….……..…. 99
3.23. Fase 3 Desarrollo de Estrategias de Protección y planes de Mitigación…………..... 100

4. Diseño de la arquitectura de seguridad perimetral y en sitio para servidores UNIX.
Caso de Práctico: Servidores del Departamento de Redes y Operación de Servidores.

4.1. Servicios ofrecidos por el Departamento de Redes y Servidores………………….... 63
4.2. Guía de Fortalecimiento para el fortalecimiento de la seguridad………………….... 65

5. Implantación de la arquitectura de seguridad perimetral y en sitio para servidores unix.

5.1. Equipo necesario para la implantación y características generales…………………… 75
5.2. Propuesta económica para la implementación de las zonas de seguridad………...…. 76
5.3. Requerimientos de Software para un Sistema Detector de Intrusos……………...…. 85
Prólogo
i

Prólogo

Cada vez son más los sucesos de intrusiones a las redes organizacionales. Los atacantes acceden a la
información confidencial, por medio de las redes informáticas, modificando dicha información,
robando bases de datos, entre otras muchas acciones que son perjudiciales. Es por esto, que la falta de
seguridad de las redes tiene un impacto negativo elevado por la consecuente pérdida de información y
disponibilidad, asociando una imagen negativa a la organización.
Uno de los problemas a los que nos enfrentamos, reside en que el verdadero impacto de un ataque o
intrusión deliberada no se vislumbra en forma inmediata, esto provoca que no se le adjudique al hecho
la gravedad que realmente tiene. De ahí la necesidad de contar con esquemas de seguridad perimetral
que permitan la detección de intrusos para poder disminuir los impactos hacia la organización.
A través de la red, los usuarios internos se vinculan a los servidores Web u otros servicios, éstos a su
vez, se vinculan a las redes internas o inclusive a redes de otros segmentos, dando la posibilidad a los
intrusos de realizar ataques externos. De esta manera un esquema de seguridad perimetral limitará en
gran medida que un intruso no se adentre en la red, además de aumentar la disponibilidad de los
servicios que ofrecen los distintos servidores.
La seguridad perimetral basa su filosofía en la protección de todo el sistema informático de una
organización desde "fuera", es decir, establecer una coraza que proteja todos los elementos sensibles
frente amenazas diversas como virus, gusanos, troyanos, ataques de denegación de servicio, robo o
destrucción de datos, de páginas web corporativas, etcétera.
Toda esta tipología de amenazas posibles ha fomentado una división de la protección perimetral en dos
vertientes: a nivel de red, en el que podemos encontrar los riesgos que representan los ataques de
crackers, las intrusiones o el robo de información en las conexiones remotas; y a nivel de contenidos, en
donde se engloban las amenazas que constituyen los virus, gusanos, troyanos, spyware, phishing y demás
clases de malware, el spam o correo basura y los contenidos web no apropiados para las organizaciones.
Introducción
ii

Introducción

El alcance de este trabajo de tesis se define con el esquema de seguridad perimetral que se ha
diseñado para el site de servidores de la Unidad de Servicios de Cómputo Académico (UNICA) de
la Facultad de Ingeniería, gestionado por el Departamento de Redes y Operación de Servidores
(DROS), dicho esquema de seguridad perimetral se implementó de manera transparente, sin
interferir en la productividad ni en el rendimiento de la red de la organización ni en el resto de
sistemas críticos (como firewalls y servidores de aplicaciones, correo o web).

El primer capítulo nos permite conocer los conceptos básicos de la seguridad informática y las
estrategias junto con los diversos niveles de seguridad que se manejan en estándares internacionales,
así como algunas de las amenazas y ataques a los que estamos expuestos. También se describe de
forma breve las ventajas que ofrece la plataforma Unix/Linux utilizada en el site de servidores.

Una vez conocidos los aspectos más importantes de la seguridad informática se presenta en el
capítulo 2 la definición de la seguridad perimetral y algunas herramientas (junto con su
funcionamiento y clasificación) útiles en la defensa del perímetro, como son los firewalls, routers,
VPN, Zonas de seguridad, proxys, sistemas detectores y preventores de intrusos.

En el capítulo 3, eje guía de este trabajo, se comienza a definir el proceso de análisis de riesgos a
través de la metodología OCTAVE para la organización y a partir de esto se generan políticas que
permitan mejorar los procedimientos existentes en el DROS. Finalmente en este capítulo se
comienza a definir otro rubro de la seguridad: la seguridad en sitio, destacando la importancia que
tiene este tema para la organización. También se describen las buenas prácticas y herramientas para
fortalecer la seguridad en sitio.

En el capítulo 4 se expone la problemática detectada con ayuda del análisis de riesgos realizado, y se
presenta el diseño para la arquitectura de seguridad perimetral en el site de servidores, determinando
los servicios y las necesidades que se tienen en la seguridad de sitio y perimetral para poder definir
los requerimientos de su implantación. Una vez detectados los requerimientos de seguridad en sitio
se presenta la herramienta desarrollada para la detección de eventos a nivel local.

Por último en el capítulo 5 se hacen las recomendaciones para la publicación de las políticas
desarrolladas en el capítulo 3 y se describen los requerimientos de hardware y software para
implementar la zonificación del cuarto de servidores y la forma en la que se instalaron dichas
herramientas.

Al final se presenta las conclusiones a las que se llegó y las recomendaciones que se dan para futuras
adecuaciones y mejoras a este proyecto de tesis.

Objetivo
iii

OBJETIVO

Proteger, gestionar y contabilizar la información que se transmite a través de los
servicios ofrecidos en el site de servidores de la Unidad de Servicios de Cómputo
Académico de la Facultad de Ingeniería de la UNAM, mediante el desarrollo e
implantación de un esquema de seguridad perimetral y en sitio.

Capítulo 1 Fundamentos

1
CAPÍTULO
1
FUNDAMENTOS

Toda organización debe estar a la vanguardia en los procesosde cambio; disponer de
información continua, confiable y en tiempo, constituye una ventaja fundamental, es por esto,
que la información se ha vuelto crítica, sensitiva y valiosa, generando la necesidad de proteger
los datos y su entorno.

Este capítulo tiene como objetivo hacer llegar en la forma más clara, breve y precisa la
conceptualización de la seguridad informática y los diversos ámbitos en los que se genera la
protección de la información.

En las secciones siguientes se definen las estrategias con las que cuenta la seguridad informática,
así como las amenazas existentes, los tipos de ataques y los niveles de seguridad.

1.1 Seguridad Informática

La preocupación por proteger la información contra los accesos no autorizados por parte de
enemigos reales, potenciales o imaginarios, ha sido una constante en la historia de la evolución
de la humanidad.

Con la aparición de los sistemas multiusuarios y multitareas surgen los problemas de la
seguridad informática, ya que al compartir los recursos (como impresoras, discos duros, escáner,
programas, archivos, etc.) a través de las redes de computadoras no seguras, se crean dominios
de intercambio de información, los cuales no comparten políticas o autoridad sobre la misma.
Obligando a proteger no solo la información, sino también los recursos físicos y lógicos de las
computadoras junto con los canales de transmisión en contra de los actos ilícitos. De la misma
forma se tiene que proteger los recursos de cómputo contra programas malignos como los
gusanos, virus, troyanos, software espía, bombas lógicas, entre otros.

La seguridad informática se puede definir como el conjunto de herramientas, procedimientos,
técnicas y reglas que nos ayudan a proteger los sistemas de información y de esa manera
garantizar la confidencialidad, autenticación, integridad, no repudio, control de acceso y
disponibilidad de la información.

1.1.1 Seguridad en sitio

Las computadoras ubicadas dentro de un algún segmento de red que no están protegidas se
transforman en una amplia plataforma de propagación. Basta con que una de ellas sea
Capítulo 1 Fundamentos

2
comprometida para que toda una red pueda quedar posteriormente a disposición de un atacante.
Es por esto, que se requieren prácticas destinadas a reforzar la seguridad de las computadoras
en sitio; los aspectos indispensables a considerar son:

•Sistemas operativos.- Actualmente los sistemas operativos presentan vulnerabilidades que
provienen desde el diseño o bien, se descubren posteriormente, es por eso, necesario tener los
sistemas operativos con las actualizaciones automáticas para recibir los updates de seguridad.

•Aplicaciones.- Existen aplicaciones que presentan vulnerabilidades, estas pueden tener
actualizaciones de seguridad, para ello se requiere estar informado.

•Navegación en Internet.- Tener limitado el uso de cookies y applets, y solo habilitarlos en
aquellos sitios que proporcionan un servicio necesario.

•Antivirus y antispyware.- Combinados o como dos programas independientes que nos permiten
tener las actualizaciones sobre los virus y software espía.

• Correo electrónico.- Es un factor de riesgo, asumir automáticamente que cualquier e-mail
proviene de quien dice venir, y que su contenido no provocará daño al sistema.

•Contraseñas.- No es posible memorizar buenas contraseñas, sin embargo, es necesario su
custodia y protección.

•Firewall.- Es una forma de proteger la computadora contra los ataques maliciosos, ya que
vigilan constantemente las conexiones a Internet e interrogan a quien intenta acceder a la
computadora.

1.1.2 Seguridad perimetral

Una definición, nos dice que: “es la acción de disuadir, frenar y/o detectar al intruso o extruso
antes o durante el ingreso o egreso al área protegida, mediante barreras físicas, lógicas y
preferiblemente la combinación de ambas”. Teniendo como ventaja la posibilidad de actuar en
concordancia y con suficiente tiempo para repeler la agresión. Sin embargo, la principal ventaja
de este tipo de seguridad es que permite al administrador concentrarse en los puntos de entrada,
por lo tanto no es necesario que se preocupe por todos y cada uno de los sistemas del interior.
Esto implica que cada paquete de tráfico transmitido debe de ser diseccionado, analizado y
aceptado o rechazado en función de su potencial riesgo de seguridad para nuestra red.

El problema es que da una sensación de seguridad total y nos lleva muy cotidianamente a
descuidar aspectos que son muy importantes, ya que el perímetro de red comprende todos los
puntos donde la red interna accede (o es accedida) a redes o a computadoras que no están
gestionadas por el equipo de tecnología de información de la organización. Esto incluye
conexiones a Internet, VPNs, conexiones remotas, etc.

Las amenazas posibles han fomentado una división de la protección perimetral en dos
vertientes: a nivel de red, en el que podemos encontrar los riesgos que representan los ataques
de intrusos o el robo de información en las conexiones remotas; y a nivel de contenidos, en
donde se engloban las amenazas que constituyen los virus, gusanos, troyanos, spyware, phishing y
Capítulo 1 Fundamentos

3
demás clases de malware, el spam (correo basura) y los contenidos web no apropiados para las
organizaciones.

1.1.3 Seguridad de la información

Cuando hablamos de seguridad de la información nos referimos a la prevención y protección, a
través de ciertos mecanismos de seguridad para evitar que ocurra de manera accidental o
intencional alguna transferencia, fusión, modificación o destrucción no autorizada de la
información. Estos mecanismos de seguridad son una colección de herramientas diseñadas para
la protección de los sistemas a fin de evitar amenazas de confiabilidad, integridad, autenticación,
no repudio y la disponibilidad de la información.

La seguridad de la información se define como la preservación de las siguientes propiedades:

 Confidencialidad: Aseguramiento de que la información es accesible sólo para
aquellos autorizados a tener acceso.

 Integridad: Garantía de la exactitud y completitud de la información y de los métodos
de su procesamiento.

 Disponibilidad: Aseguramiento de que los usuarios autorizados tienen acceso cuando
lo requieran a la información y sus activos asociados.

1.2 Estrategias de Seguridad Informática

En el ámbito de la seguridad informática existen una serie de principios básicos que es necesario
tener en cuenta al diseñar cualquier esquema ó política de seguridad, algunos tan fundamentales
como los que se describen a continuación.

1.2.1 Menor privilegio

El menor privilegio consiste en ofrecer el acceso requerido para adelantar la labor solicitada
exclusivamente. Es decir, otorgar los permisos estrictamente necesarios para efectuar las
acciones que se requieran. Ni más ni menos de lo solicitado.

1.2.2 Defensa a fondo

La defensa a fondo permite proteger los recursos informáticos a pesar de que algunas de las
capas de seguridad fueran comprometidas. Después de todo, un solo componente de seguridad
no puede garantizar la resistencia a un ataque.

Podemos decir que, es el perímetro mismo, la red interna y el factor humano, cada uno de estos
factores abarca varios componentes, que de manera independiente no proporcionan suficiente
seguridad. La clave esta en que cada componente complementa al otro de forma que se tiene
una estructura completa.

Capítulo 1 Fundamentos

4
1.2.3 Punto de ahogo

Se trata de establecer un único punto de acceso a nuestro sistema, de modo que cualquier
atacante que intente acceder al mismo tenga que pasar por él.No se trata de utilizar un sólo
mecanismo de seguridad, sino de "alinearlos" todos de modo que el usuario tenga que pasar por
ellos para acceder al sistema.

1.2.4 Eslabón más débil

La regla del eslabón más débil nos recuerda que la seguridad de un sistema es tan fuerte como el
componente o relación más débil que se identifique. Esta regla nos dice que nuestras decisiones
deben evitar introducir eslabones débiles, documentar aquellos existentes y continuamente
buscarlos.

1.2.5 Postura de falla segura

En la medida de lo posible, los sistemas deben tener una falla segura, es decir, si fallan deberán
hacerlo de modo que nieguen el acceso a los posibles atacantes. Por eso, para cumplir con el
principio, es habitual tomar como postura predeterminada en los accesos la de negación
preestablecida.

1.2.6 Participación universal

Para que cualquier sistema de seguridad funcione es necesaria la participación universal, o al
menos no la oposición activa, de los usuarios del sistema. Prácticamente cualquier mecanismo
de seguridad que establezcamos puede ser vulnerable si existe la participación voluntaria de
algún usuario autorizado para romperla.

1.2.7 Simplicidad

La simplicidad es una buena estrategia de seguridad. Por un lado permite un mantenimiento
fácil de los sistemas. Por otro lado, evita la existencia oculta de puertas traseras. La complejidad
permite esconder múltiples fallos. Los programas más largos y complejos son propensos a
contener múltiples fallos y puntos débiles.

1.2.8 Seguridad a través de oscuridad

Cuando se habla de seguridad a través de la oscuridad (security through obscurity) se refiere a la
seguridad que se basa en el desconocimiento y el ocultamiento de fallas del sistema en lugar de
preverlas y solucionarlas.

Sin embargo, un sistema no es más seguro al esconder sus posibles defectos o vulnerabilidades,
sino porque los conozcamos y los corrijamos estableciendo medidas de seguridad adecuadas.

1.3 Amenazas a la seguridad en las tecnologías de la Información

Podemos definir amenaza como cualquier situación con el potencial suficiente para causar
pérdida o daño a un sistema de cómputo. Se consideran fuente de amenazas a los desastres
Capítulo 1 Fundamentos

5
naturales, errores inadvertidos humanos, fallas internas de software o hardware. Las cuales se
describen a continuación

 Humanos.- La amenaza surge por ignorancia en el manejo de la información, por
descuido, por negligencia, por inconformidad. Por ejemplo: Una amenaza por
ignorancia se presenta cuando acaban de contratar a una persona en la empresa y
debido a que no lo capacitaron o desconoce los procesos para manejar la información
es capaz de perder o dañar la información.

 Errores de Hardware. – Esta amenaza se presenta por fallas físicas en algún dispositivo
que conforma a la computadora, generalmente causados por alguna variación de
frecuencia o de voltaje, ruido electromagnético, distorsión, etc.

 Errores en la red.- Cuando el flujo de la información que circulará por el canal de
comunicación, no ha sido bien calculado puede llegar a saturar dicho canal afectando la
disponibilidad de la red. O bien, la desconexión del canal por cualquier razón es otro
factor que afecta la red.

 Problemas de tipo lógico.- Cuando un diseño bien elaborado de un mecanismo de
seguridad, es mal implementado.

 Desastres.- Esta categoría surge de las fuerzas naturales tales como las inundaciones,
terremotos, incendios, etc. Estos fenómenos naturales repercuten con el
funcionamiento físico de las líneas de comunicación y con los sistemas de
comunicación.

Sin embargo, existen cuatro categorías de amenazas generales a los sistemas que explotan las
vulnerabilidades de los activos en el sistema, estas son: interrupción, intercepción, modificación
y fabricación, las cuales se describen a continuación.

1.3.1 Interrupción

La figura 1.1, representa como debe de ser el flujo de información, entre el transmisor y el
receptor, es decir, no debe existir ningún tipo de obstáculos para que la información llegue al
destinatario.

Figura 1.1.Flujo normal de la información

Mientras que en la figura 1.2 nos ejemplifica, cuando ocurre una interrupción, es decir, cuando
una parte o toda la información no esta siendo recibida por el receptor, se pierde, se hace no
disponible o inutilizable. Esta amenaza ocurre cuando algún recurso del sistema es destruido o
interrumpido, por ejemplo, el mal funcionamiento del manejador de archivos de un sistema
operativo, la falla de un dispositivo de hardware, el corte de una línea de comunicación, etc.

Transmisor Receptor
Flujo Normal
Capítulo 1 Fundamentos

Figura 1.2 Flujo Interrumpido de la información

1.3.2 Intercepción

Una intercepción significa que alguna parte no autorizada logra el acceso a un recurso del
sistema. Esta parte no autorizada puede ser una persona, un proceso, u otro sistema. Es un
ataque contra la confidencialidad de la información. Un ejemplo de intercepción puede ser el
copiado ilícito de algún archivo, o bien, la intervención de los canales de comunicación, o bien,
la lectura de las cabeceras de los paquetes para revelar la identidad de uno o más de los usuarios
implicados en la comunicación observada ilegalmente, conocido como intercepción de
identidad (ver figura 1.3).

Figura 1.3 Flujo Interceptado de la información

1.3.3 Modificación

Una amenaza por modificación se presenta cuando una entidad no autorizada logra tener acceso
a los recursos del sistema y puede manipular esos recursos, afectando la confiabilidad e
integridad de la información. (Ver figura 1.4). Por ejemplo, el cambio de valores en un archivo
de datos, alterar un programa para que funcione de forma diferente y modificar el contenido de
mensajes que están siendo transferidos por la red.

Figura 1.4 Flujo modificado por entidad sin autorización

1.3.4 Fabricación

Esta amenaza permite que una entidad no autorizada pueda fabricar información falsa en un
sistema. Este es un ataque contra la autenticidad. Por ejemplo, la inserción de registros en una
Transmisor
Origen
Receptor
Destino
Entidad
Sin
autorización
Transmisor
Origen
Receptor
Destino
Entidad
Sin
autorización
Transmisor
Origen
Receptor
Destino
Capítulo 1 Fundamentos

7
base de datos ya existente, la inserción de mensajes espurios en una red. Como se muestra en la
figura 1.5, existe un tercer agente en la comunicación, él esta generando información falsa para
el receptor.

Figura 1.5 Flujo fabricado por entidad sin autorización

1.3.5 Ataques pasivos

Un ataque consiste en poner en acción la amenaza, o bien, cualquier acción que explota una
vulnerabilidad. Una clasificación general de los ataques los divide en dos: los ataque pasivos y
los activos.

Un ataque pasivo consiste en observar los comportamientos o leer la información, sin alterar o
modificar el estado del sistema o de la información. Este tipo de ataque solo afecta la
confidencialidad o privacidad del sistema o de la información. Recibe su nombre debido a que el
atacante no altera en ningún momento la información, solo observa, escucha, obtiene o
monitorea mientras esta siendo transmitida. Un ejemplo de este tipo de ataques es el análisis del
tráfico de los canales de comunicación.

Los objetivos de este tipo de ataques son la intercepción de datos y el análisis de tráfico, una
técnica más sutil para obtener información de la comunicación, que puede consistir en:

 Obtención del origen y destinatario de la comunicación, leyendo las cabeceras de los
paquetes monitorizados. Con ello sedetermina la localización y la identidad del emisor
y del receptor.

 Control del volumen de tráfico intercambiado entre las entidades monitorizadas,
obteniendo así información acerca de actividad o inactividad inusuales, conociendo la
frecuencia y longitud de los mensajes.

 Control de las horas habituales de intercambio de datos entre las entidades de la
comunicación, para extraer información acerca de los períodos de actividad.

Estos ataques son muy difíciles de detectar, ya que no provocan ninguna alteración de los datos.
Sin embargo, es posible evitar su éxito mediante el cifrado de la información y otros
mecanismos que se verán más adelante.

1.3.6 Ataques activos

Los ataques activos tienen la capacidad de modificar, eliminar o afectar la información y/o el
estado del sistema, afectando no solo la confidencialidad sino también la integridad y la
Transmisor
Origen
Receptor
Destino
Entidad
Falso Origen
Capítulo 1 Fundamentos

8
autenticidad de dicha información. Se nombran así debido a que implican algún tipo de
modificación del flujo de datos transmitido o la creación del mismo.

Pueden subdividirse en cuatro categorías: Suplantación de identidad, reactuación, modificación
de mensajes, degradación fraudulenta del servicio, las cuales serán descritas a continuación.

1.3.6.1 Suplantación de identidad

En este ataque el intruso se hace pasar por una entidad diferente. Normalmente incluye alguna
de las otras formas de ataque activo. Por ejemplo, secuencias de autenticación pueden ser
capturadas y repetidas, permitiendo a una entidad no autorizada acceder a una serie de recursos
privilegiados suplantando a la entidad que posee esos privilegios, como al robar la contraseña de
acceso a una cuenta. También es conocido como enmascaramiento.

1.3.6.2 Reactuación

En la reactuación uno o varios mensajes legítimos son capturados y repetidos para producir un
efecto no deseado, como por ejemplo ingresar dinero repetidas veces en una cuenta dada.

1.3.6.3 Modificación de mensajes

En este ataque, una porción del mensaje legítimo es alterada, o los mensajes son retardados o
reordenados, para producir un efecto no autorizado. Por ejemplo, el mensaje "Ingresa un millón
de pesos en la cuenta A" podría ser modificado para decir "Ingresa un millón de pesos en la
cuenta B".

1.3.6.4 Degradación fraudulenta del servicio

La degradación fraudulenta de los diferentes servicios impide o inhibe el uso normal o la gestión
de recursos informáticos y de comunicaciones. Por ejemplo, el intruso podría suprimir todos los
mensajes dirigidos a una determinada entidad o se podría interrumpir el servicio de una red
inundándola con mensajes espurios. Entre estos ataques se encuentran los de denegación de
servicio, consistentes en paralizar temporalmente el servicio de un servidor de correo, Web,
SQL, etc.

1.4 Niveles de seguridad informática

Para poder llevar a cabo las tareas necesarias para garantizar los niveles de seguridad exigibles en
una organización es necesario considerar que la seguridad es algo integral y entender que no es
un producto, sino un proceso en el cual se trata de minimizar los riesgos, amenazas y
vulnerabilidades que se pueden encontrar dentro de los sistemas de información con los que
cuenta la organización.

Para esto, existen diferentes estándares y normas que nos permiten gestionar la seguridad de la
información. A continuación se enumeran brevemente algunos de estos estándares o normas
detallando hacia el final la Trusted Computer System Evaluation Criteria.

 Norma UNE-ISO/IEC 17799:2005.-Establece la base común para desarrollar
normas de seguridad dentro de las organizaciones. Define once dominios de control
Capítulo 1 Fundamentos

9
que cubren por completo la Gestión de la Seguridad de la Información. Es una de las
más reconocidas a nivel internacional, ya que cuenta con 36 objetivos de control y 127
controles, sin embargo, no es certificable.

Los niveles de seguridad que presenta esta norma son:

 Lógica: Confidencialidad, integridad y disponibilidad del software y
datos de un Sistema de Gestión Seguridad de la Información (SGSI).
 Organizativa: Relativa a la prevención, detección y corrección de
riesgos.
 Física: Protección de elementos físicos de las instalaciones: servidores,
computadoras personales
 Legal: Cumplimiento de la legislación vigente. En España: LOPD (Ley
Orgánica de Protección de Datos).

Los once dominios de control que presenta esta norma son:

 Política de seguridad.
 Aspectos organizativos para la seguridad.
 Clasificación y control de activos.
 Seguridad ligada al personal.
 Seguridad física y del entorno.
 Gestión de comunicaciones y operaciones.
 Control de accesos.
 Desarrollo y mantenimiento de sistemas.
 Gestión de incidentes de seguridad de la información.
 Gestión de continuidad de negocio.
 Conformidad.

 Norma UNE 71502:2004(España).- Proporciona una base común para desarrollar
normas de seguridad dentro de las organizaciones, ya que contiene las especificaciones
para los Sistemas de Gestión de la Seguridad de la Información (SGSI). Es equivalente
a otros sistemas de gestión (ISO9000, ISO14000) e integrable con ellos, además es
certificable, pero no tiene equivalente ISO.

Se basa en la implementación de los controles descritos en la norma UNE-ISO/IEC
17799. Utiliza la metodología MAGERIT (Metodología de Análisis y Gestión de
Riesgos de los sistemas de Información de las administraciones Publicas)

 Common Criteria.- Reconocida internacionalmente (1986-1988).- Son una norma para
evaluar la seguridad de los producto de tecnología de la información basados en los
criterios europeos, norteamericanos y canadienses existentes para la evaluación de la
seguridad de las tecnologías de la información.

 ITSEC/ITSEM (Information Technology Security).-Reconocida por instituciones
de Normalización europeas, a partir de 1991.

 ISO/IEC 270001:2005 Es la norma principal de requerimientos del sistema de gestión
de seguridad de la información, la cual permitirá tener certificados por auditores
Capítulo 1 Fundamentos

10
externos los SGSI (Sistemas de Gestión Seguridad de la Información) de las
organizaciones.

Los puntos en los que se enfoca son:

 Introducción: generalidades e introducción al método PDCA, es decir, por sus
siglas en inglés: Planificar, Hacer, Verificar, Actuar.
 Campo de aplicación: se especifica el objetivo, la aplicación y el tratamiento de
exclusiones.
 Referencias normativas: otras normas que sirven de referencia.
 Términos y definiciones: breve descripción de los términos más usados en la
norma.
 Sistema de gestión de la seguridad de la información: cómo establecer,
implementar, monitorizar, revisar, mantener y mejorar el SGSI; requerimientos
de documentación y su control.
 Responsabilidades de la dirección: en cuanto a compromiso con el SGSI,
provisión de recursos y formación y concienciación del personal.
 Auditorías internas del SGSI: cómo realizar las auditorías internas de control.
 Revisión del SGSI por la dirección: cómo gestionar el proceso de revisión
constante del SGSI
 Mejora de SGSI: mejora continua, acciones correctoras y acciones preventivas.
 Resumen de controles: anexo que enumera los objetivos de control y controles
que se encuentran detallados en la norma ISO 17799:2005.
 Relación con los Principios de la OCDE: correspondencia entre los apartados
de la ISO 27001 y los principios de buen gobierno de la OCDE.
 Correspondencia con otras normas: tabla de correspondencia de puntos con
ISO 9001 y 14001.
 Bibliografía: normasy publicaciones de referencia.

1.4.1 TCSEC (Trusted Computer System Evaluation Criteria)

Criterios de Evaluación de Sistemas Informáticos Confiables, TCSEC por sus siglas en inglés,
fue publicado por el departamento de la Defensa de Estados Unidos, en 1985. Cuenta con
cuatro extensas divisiones jerárquicas de seguridad, cada división consiste en una o más clases
numeradas. Cada clase de criterios cubre cuatro categorías de evaluación: políticas de seguridad,
responsabilidad, confianza y documentación.

Los niveles de seguridad que presenta la TCSEC, en forma ascendente lo cual indica un mayor
grado de seguridad, son los siguientes:

 División D: Protección mínima
 División C: Protección Discreta
 División B: Protección Obligatoria
 División A: Protección Verificada

Capítulo 1 Fundamentos

1.5 ¿De quién nos protegemos?

La mayoría de ataques a nuestro sistema van a provenir en última instancia de personas que,
intencionadamente o no, pueden causarnos enormes pérdidas. Puede tratarse de personas que
intentan conseguir el máximo nivel de privilegio posible aprovechando alguno (o algunos) de los
riesgos o vulnerabilidades dentro de los sistemas de información, en otros casos intentarán
conocer nuestros hábitos de navegación, en otros el robo de información como pueden ser
contraseñas o números accesos confidenciales para portales financieros, etc., con lo cual
provoquen actos fraudulentos que involucren nuestra identidad.

La falta de protección a nuestros sistemas informáticos además de restar disponibilidad y
rendimiento a los recursos (memoria, capacidad de almacenamiento) puede generarnos
problemas legales. Por ejemplo, mediante la utilización de exploits o troyanos adecuados un
spammer (distribuidor de spam) puede distribuir sus mensajes no deseados desde otra
computadora sin que el propietario de la misma se entere, provocando problemas legales al
responsable de la computadora que distribuye estos mensajes.

A continuación, se describen brevemente los diferentes tipos de personas que de una u otra
forma pueden constituir un riesgo para nuestros sistemas; generalmente se dividen en dos
grandes grupos:

 Los atacantes pasivos.- Aquellos que fisgonean por el sistema pero no lo modifican o
destruyen .Generalmente los curiosos y los hackers. Este tipo de atacantes pueden
convertirse en atacantes activos
 Los atacantes activos.- Aquellos que dañan el objetivo atacado, o lo modifican en su
favor. Por ejemplo, los intrusos remunerados suelen ser atacantes pasivos si nuestra red
o equipo no es su objetivo, y activos en caso contrario.

Otro grupo se refiere al personal (es decir, personal autorizado que hace mal uso de los
privilegios o recursos asignados, o bien, el personal no autorizado que intenta ganar privilegios
adicionales), el cual trabaja directa o indirectamente con el sistema de información dentro de
una empresa, ya que puede llegar a ser ambos tipos de atacantes indistintamente, dependiendo
de la situación concreta.

Otro criterio para clasificación de atacantes o intrusos es el grado de conocimientos que
involucran sus ataques. Los protagonistas de los delitos informáticos son:

 Hackers.- Expertos en sistemas avanzados. Se centran en los sistemas informáticos y de
comunicaciones. Su objetivo principal es comprender los sistemas y el funcionamiento de
ellos. Normalmente son quienes alertan de un fallo en algún programa comercial, y lo
comunican al fabricante.

 Crackers.- Es un hacker con intenciones destructivas o delictivas, ya que viola la
seguridad de un sistema informático de forma similar a como lo haría un hacker, sólo que
a diferencia de este último, este individuo realiza la intrusión con fines de beneficio
personal o para hacer daño a su objetivo.

 Lamers.- Normalmente son individuos con ganas de hacer hacking, pero que carecen de
cualquier conocimiento.
Capítulo 1 Fundamentos

 Phreaker.- Este grupo es bien conocido en la red por sus conocimientos en telefonía, ya
que poseen conocimientos profundos de los sistemas de telefonía, tanto terrestres como
móviles.

 Newbie.- Es un novato o más particularmente es aquel que navega por Internet, tropieza
con una página de hacking y descubre que existe un área de descarga de programas de
hacking. Después se baja todo lo que puede y empieza a trabajar con los programas. Al
contrario que los Lamers, los Newbies aprenden el hacking siguiendo todos los pasos para
lograrlo.

 Script Kiddie.- Son el último eslabón. Se trata de simples usuarios de Internet, sin
conocimientos sobre hack o el crack en su estado puro. Se dedican a buscar programas de
hacking en la red y después los ejecutan sin leer primero los archivos “Readme” de cada
aplicación.

1.6 UNIX/Linux

Los sistemas operativos modernos cumplen con las funciones y prestaciones básicas, a los que
adicionalmente se les añaden componentes que los diferencian de los demás, es entonces
importante reconocer que cada sistema operativo tiene sus particularidades, así como sus
diferencias en robustez, estabilidad y potencia. Dentro de esta gama encontramos los sistemas
operativos derivados de UNIX, reconocidos a nivel mundial como eficientes y eficaces para el
manejo de la seguridad computacional.

Una de las ventajas de cualquier sistema UNIX es la portabilidad en cualquier arquitectura de
hardware, logrando ser flexible y estable, además de ser multitarea y multiusuario. Soporta una
especial atención a las comunicaciones, uso remoto de los equipos y distribución de recursos.

Linux es un sistema operativo gratuito y libre de distribución inspirado en el sistema UNIX,
hereda las ventajas descritas anteriormente, es por esto, que la Unidad de Servicios de Cómputo
Académico (UNICA) de la Facultad de Ingeniería de la UNAM y caso de estudio desarrollado
en el capítulo 4 de este trabajo; lo ha utilizado como plataforma de servicio y desarrollo de
aplicaciones, hasta la actualidad.

Este trabajo de tesis, en su caso práctico tiene como objetivo la protección de sistemas Linux, a
través de mecanismos de seguridad montados en una infraestructura de software libre, tanto en
aplicaciones como en sistemas operativos, esto derivado de las siguientes consideraciones:

 Linux puede tener menores costos de adquisición y producción que el software
propietario.
 Linux alivia la carga de gestionar el licenciamiento de software.
 Linux puede ser robusto y seguro.
 Linux puede ayudar a desalentar la piratería de software.
 Linux es una herramienta útil de enseñanza.

Capítulo 2 Seguridad Perimetral

13
CAPÍTULO
2
SEGURIDAD PERIMETRAL

2.1. Fundamentos de la Seguridad Perimetral

Una de las principales actividades de la seguridad informática es proteger el perímetro de red en la
organización, para tener una adecuada confianza en los sistemas del interior del perímetro.

El objetivo de este capitulo es ayudar a entender los fundamentos de la protección del perímetro, la
red y la infraestructura de la misma. Se describe el proceso del análisis de riesgos para determinar los
elementos críticos, así como las herramientas que nos permitirán implementar las políticas de
seguridad en la organización.

2.2. Análisis de riesgos

Para el diseño de la seguridad perimetral en una red es necesario llevar acabo un análisis de riesgos
basándose en la existencia de la infraestructura y determinando los lugares estratégicos para nuevos
dispositivos de seguridad, así como las actividades y procedimientos que se deberán seguir para
consolidar los objetivos.

Dentro de la arquitectura para la seguridad de red, es importante conocer acerca deldesarrollo y las
metas de la organización, ya que nos permitirá definir qué recursos deberán de ser protegidos,
porqué tienen que ser resguardados y cómo protegerlos mientras exista ese recurso, además de
contemplar quiénes podrán tener acceso a dichos recursos, etcétera.

El proceso de análisis de riesgo (ver figura 2.1), es una parte dentro del ciclo de vida de un esquema
de seguridad.

Los objetivos que persigue el análisis de riesgos de seguridad son:
 Analizar el tiempo, esfuerzo y recursos disponibles y necesarios para atacar los problemas.
 Determinar cuales son los activos existentes.
 Efectuar un minucioso análisis de los peligros identificados, exposiciones, debilidades y
amenazas potenciales.
Capítulo 2 Seguridad Perimetral

14
 Identificar, definir y revisar todos los controles de seguridad ya existentes.
 Determinar si es necesario incrementar las medidas de seguridad, los costos del riesgo y los
beneficios esperados.
 Reducir la probabilidad de que ocurra un evento.
 Proporcionar los elementos de seguridad y protección adecuada para que en el caso de que
acontezca un desastre, los costos en que se incurran no sean tan altos.

Figura 2.1 Proceso de Análisis de Riesgos

En el capítulo 3, de este trabajo, se detallan las actividades de un análisis de riesgos, así como el
método que se aplicará para el caso práctico a desarrollar.

2.3. Perímetro

El perímetro de red es toda la frontera de la red de área local. Los puntos de entrada y salida se
forman cuando la red de área local se conecta a otra red. Sin embargo, actualmente “perímetro”
tiene una definición más amplia que la que se ha indicado, normalmente se utiliza para describir el
borde exterior de la red, pero hoy en día significa cualquier lugar donde los sistemas de confianza se
encuentran con el tráfico de red desconfiable.

Presentando una definición muy general se puede decir que el perímetro de red es: “la porción o
porciones de red de una organización que están directamente conectadas a Internet, además de
cualquier red en zona desmilitarizada”.

Un perímetro puede incluir los siguientes aspectos:
 Routers de Frontera.
 Firewalls.
 Sistemas Detectores de Intrusos (IDS).
 Dispositivos de Redes Privadas Virtuales (VPN).
 Arquitectura de software.
 Zonas Desmilitarizadas (DMZ) y subredes.
 Sistemas Preventores de Intrusos (IPS).

Capítulo 2 Seguridad Perimetral

15
2.4. Routers de Frontera

El router se encarga de dirigir el tráfico interno y externo de nuestra red. El router de frontera es el
último dispositivo bajo nuestro control que distingue la red interna de las redes inseguras como lo
es Internet.

2.4.1. El papel del router

Los routers se sitúan entre dos redes y a la vez que encaminan los paquetes entre una red y otra
buscan los recorridos más "rápidos" o más precisos, pueden realizar un filtrado de paquetes,
comprobando las direcciones IP y los puertos.

El router no es solo un elemento físico para conectar una LAN a Internet (WAN), sino que es una
muy buena opción a la hora de ampliar una LAN. Los routers traen de fábrica ciertos rangos de
direcciones IP que se filtrarían automáticamente, aparte de las que nosotros le podremos asignar
más adelante con las que no nos interesaría tener contacto por peligrosidad u otros.

2.4.2. El router como dispositivo de seguridad

Normalmente el router se utiliza como la primera capa de protección en una arquitectura de
seguridad general y, a veces, se utilizan en lugar de un firewall, especialmente en las redes pequeñas.

Las capacidades de filtrado de los dispositivos de un firewall basado en router ha mejorado mucho,
tanto en funcionalidad como en sencillez de uso. La implementación más común de un router en una
arquitectura de seguridad general es como un dispositivo de análisis.

2.5. Firewalls

Un firewall es un dispositivo que tiene un conjunto de reglas especificas, con la cuales determina que
tráfico de red entra o sale de nuestra red. Generalmente es usado para interconectar una red privada
con Internet (ver figura 2.2). Sin embargo, también se utilizan para implementar el nivel de control
de acceso dentro de nuestra red, proporcionando un nivel de protección frente a un error.

Normalmente el firewall esta ubicado en la frontera de la red, ya que evita que los intrusos tengan
acceso a información confidencial, o bien, introducirse a nuevas redes.

Figura 2.2 Firewall

Capítulo 2 Seguridad Perimetral

16
2.5.1. Teoría referente a firewalls

Existen tres principales tecnologías de firewall:

 Filtrado de Paquetes (Primera generación).-Se basa en permitir o denegar el tráfico
basado en el encabezado de cada paquete. No guarda los estados de una conexión, es decir
no tiene el concepto de una sesión.

 Filtrado por estado (Stateful Application Inspection).- Permite abrir "puertas" a cierto
tipo de tráfico basado en una conexión y volver a cerrar la puerta cuando la conexión
termina. Mantiene un registro de las conexiones, las sesiones y su contexto.

 Filtrado por Aplicación (Full Application Inspection). - Es capaz de inspeccionar hasta
el nivel de aplicación. No solo la validez de la conexión sino todo el contenido de la trama.
Es considerado como el más seguro. Todas las conexiones van a través del firewall. Además
no permite conexiones directas y soporta autenticación a nivel de usuario.

2.5.1.1. Protocolo TCP/IP

Los sistemas en una red necesitan hablar el mismo lenguaje o protocolo. El protocolo apropiado
para esto es TCP/IP, el lenguaje primario de las comunicaciones de Internet. Para facilitar tales
comunicaciones, la información que se envía necesita ser segmentada en piezas manejables llamadas
paquetes. Las cabeceras de los paquetes son pequeños segmentos de información que identifican el
inicio de un paquete.

La porción IP de TCP/IP esta situado en el protocolo de Internet, el cual es responsable de
identificar los paquetes (por su dirección IP) y guiarlos a su destino. Los paquetes IP son dirigidos o
encaminados por los valores localizados en las cabeceras del paquete, su dirección destino, así como
otra información que describe el tipo de servicio que el paquete podría soportar, entre otros datos.

Cuando un paquete IP llega a un router, este revisa el destino del paquete para obtener el lugar a
donde el paquete quiere ir, si lo conoce, el paquete pasa al segmento de red apropiado.

2.5.1.2. Servicios TCP, UDP e ICMP

Los dos protocolos principales de la capa de transporte en el modelo del protocolo TCP/IP son
UDP (User Datagram Protocol) y TCP (Transmission Control Protocol). El primero ofrece una
transferencia de mensajes no fiable y no orientada a conexión y el segundo, una transferencia fiable
y orientada a conexión.

El protocolo TCP es orientado a conexión, es decir, se necesita establecer una conexión previa entre
las dos máquinas antes de poder transmitir algún dato, la información que envía el emisor llegará
siempre de forma correcta al destino ya que tiene la capacidad de retransmitir, y finalmente, será
necesario cerrar la conexión.

El protocolo UDP proporciona una comunicación muy sencilla entre las aplicaciones de dos
computadoras. No esta orientado a conexión. No se establece una conexión previa con el otro
extremo para transmitir un mensaje UDP. Los mensajes se envían y éstos pueden perderse o llegar
desordenados al destino.

Capítulo 2 Seguridad Perimetral

17
El protocolo ICMP (Internet Control Message Protocol) generalmente no se utiliza directamente por las
aplicaciones de usuarioen la red. Su utilidad es controlar si un paquete no puede alcanzar su destino,
o si su vida ha expirado, etc. Es decir, se usa para manejar mensajes de error y de control necesarios
para los sistemas de la red, informando con ellos a la fuente original para que evite o corrija el
problema detectado.

2.5.1.3. Saludos de tres vías (Three Way Handshake)

Para iniciar comunicación a través del protocolo TCP (comunicación orientada a conexión) se utiliza
lo que se conoce como Three Way Handshake (saludo de tres vías). Cuando una computadora “A“
envía un paquete a una computadora “B” con una bandera SYN (o sincronización) significa: “quiero
iniciar una nueva conversación”. Si la computadora “B” puede y quiere conversar con la
computadora “A”, regresa un paquete con una bandera SYN y una bandera ACK (confirmación),
que significa: “también quiero iniciar una conversación contigo, y admito que seré parte de tu
conversación”. Finalmente, la computadora “A” regresa una tercera parte del handshake, es decir, un
paquete con una bandera ACK que significa: “Yo también tomaré parte de tú conversación,
comencemos a hablar“. Con eso, comienza la transferencia de datos. (Ver figura 2.3)

Figura 2.3 Banderas para el Three Way Handshake

Los sistemas de filtrado de paquetes pueden usar esas banderas para determinar el estado del
reciente Three way handshake, y permitir si así se desea nuevas conexiones o no.

2.5.1.4. El concepto de estado

Básicamente, el estado es la condición de inicio de una sesión de comunicación dada. La definición
de esta condición de inicio para una computadora o una sesión, puede diferir grandemente,
dependiendo de la aplicación con que se están comunicando y los protocolos que están usando para
el intercambio de información.

Los dispositivos que rastrean el estado de la información, lo hacen a través de una tabla de estados.
Esta tabla de estados guarda las entradas que representan todas las sesiones de comunicación que el
dispositivo recibe. Cada entrada guarda una lista del estado de información que singularmente
identifica la sesión. La información podría incluir direcciones IP fuente y destino, banderas, la
sucesión y el reconocimiento numérico, etc.

Cuando los paquetes ingresan, el dispositivo compara la información del paquete con la información
de la tabla de estados para determinar si es parte de una sesión de comunicación existente. Si el
paquete se relaciona a una entrada de la tabla actual, se permitirá el paso. Esto es porque la
información contenida en la tabla de estados debe ser tan específica y detallada como sea posible,
para garantizar que los intrusos no podrán construir tráfico que pueda pasar la prueba de la tabla de
estados.

Capítulo 2 Seguridad Perimetral

18
2.5.1.5. Inspección del estado

Los firewall que implementan un motor de inspección de paquetes con estado (SPI, Stateful Packet
Inspection) combinan la velocidad y la flexibilidad de los filtros de paquetes con la seguridad de nivel
de aplicación, de los servidores Proxy de aplicaciones.

Figura 2.4 Máquina Virtual de Inspección de Estado

Este firewall funciona examinando cada paquete cuando pasa a través del firewall, y permite o deniega
el paquete en función de si forma parte de una conversación existente que ha pasado anteriormente
por el firewall o basándose en un conjunto de reglas muy parecidas a las reglas para el filtrado de
paquetes, como se ilustra en la figura 2.4.

2.5.2. Filtrado de Paquetes

El sistema de filtrado de paquetes se basa en la arquitectura de transferencia de datos existente, que
utiliza paquetes que contienen encabezados con direcciones de protocolo de Internet y puertos de
protocolos, para enviarlos a través de las redes a las ubicaciones esperadas.

El filtrado de paquetes examina el encabezado de cada paquete analizando la procedencia y el
destino de los datos, con lo cual puede determinar si acepta o rechaza la información.

El proceso de decisión se basa en un conjunto de reglas que ha definido el administrador del firewall.
Las reglas pueden basarse en información como:

 La dirección IP de origen, o el intervalo de direcciones IP.
 La dirección IP de destino, o intervalo de direcciones IP.
 El protocolo de red involucrado.
 El número de puerto que se utiliza.
 Puerto de origen.
 Puerto de destino.
 La acción a realizar cuando coincida con un grupo de reglas..

Capítulo 2 Seguridad Perimetral

19
2.5.2.1. Ventajas

Las ventajas que se obtienen de implantar un dispositivo de filtrado de paquetes son:
 Prácticamente no presenta ningún impacto sobre la velocidad de transmisión de la
información.
 Permite una rápida adaptación y puesta en marcha sobre prácticamente cualquier
infraestructura de red.
 Es una solución multiplataforma, compatible con cualquier sistema operativo.
 Puede tener la característica de transparencia para el usuario final.
 Es relativamente económico.
 Proporciona una buena administración del tráfico.

2.5.2.2. Desventajas

Dentro de las desventajas de implantar un dispositivo de filtrado de paquetes están:

 Permite conexiones directas con los hosts internos desde clientes externos.
 Susceptible a ataques que se producen una vez dentro del perímetro asegurado.
 No realiza un filtrado en la capa de aplicación del modelo de referencia OSI.
 De inicio no ofrece autenticación de usuario.

2.5.2.3. Filtrado con PF (Packet Filter, OpenBSD)

Packet Filter es el sistema de OpenBSD para filtrar el tráfico IP y llevar a cabo la Traducción de
Direcciones de Red (NAT, Network Address Translation”). Además de estas funciones, PF también es
capaz de normalizar y acondicionar el tráfico IP y de proveer control del ancho de banda y la
priorización de paquetes.

Este sistema ha formado parte del núcleo GENERIC del sistema OpenBSD desde la versión 3.0 del
sistema. Dentro de las funcionalidades más importantes de PF están:

 El filtrado de paquetes.
 La traducción de direcciones de red.
 El redireccionamiento de paquetes.
 Normalización de paquetes.
 Marcado de paquetes.
 Reservas de direcciones y balanceo de cargas.

La acción de filtrar los paquetes es bloquear o permitir el paso de ellos de manera selectiva, a través
de la información existente en la capa 3 y 4 de las cabeceras de los paquetes.

Para poder realizar el filtrado de paquetes es necesario tener en cuenta que las reglas de filtrado se
evalúan por orden de secuencia, para posteriormente decidir una acción final sobre el paquete.
También es necesario conocer la sintaxis de las reglas que se desarrollarán para cumplir las políticas
de seguridad ya preestablecidas.

Capítulo 2 Seguridad Perimetral

20
2.5.3. Filtrado por estado de la conexión (Stateful Application inspection).

El filtrado por estado de la conexión permite guardar un registro de las conexiones existentes. El
firewall que maneje este tipo de filtrado es capaz de entender los protocolos de bajo nivel (IP, TCP,
UDP, ICMP), y puede entender otros protocolos de alto nivel como lo son FTP e IRC. Esto
permite al firewall tomar decisiones al instante sobre su configuración basándose en las necesidades
actuales de las conexiones. Debemos revisar los estados que el motor del sistema de filtrado del
firewall reconoce, estos estados están basados en las capacidades de registro de conexiones que tenga
el sistema operativo.

Para mayor detalle en cuanto el número y tipo de estados que puede presentar una conexión de TCP
revise el Anexo A.

2.5.3.1. Ventajas

Tienen dos ventajas principalmente frente a las tecnologías de filtrado de paquetes. El filtrado por
estado tiene una tabla de conexión. El firewall de filtrado de paquetes no mantienen un registro de las comunicaciones
pendientes, tiene que confiar en el formato del paquete específicamente. Es por eso que el
llevar una tabla de conexiones, permitirá al firewall utilizar más información para determinar
si permite el paso del paquete de una conversación ya aprobada, o representa el inicio de
una nueva.
 La segunda ventaja es su capacidad para mirar dentro de los datos de algunos tipos de
paquetes. Esto se ha convertido en una característica importante debido al número de
vulnerabilidades conocidas en protocolos comunes. Por ejemplo, con la inspección en los
protocolos FTP y SMTP el firewall que filtre por estado de conexión puede determinar la
validez del comando utilizado.
 Además permite un mayor rendimiento, como opera solo a nivel de sesión y no de
aplicación no tiene que inspeccionar todo el paquete de datos, y por lo tanto en el ancho de
banda global, así como el número de conexiones se optimizan, permitiendo un
procesamiento más rápido de cada paquete.

2.5.3.2. Desventajas

 No provee autenticación por usuario
 No revisa toda la trama del paquete, solo los encabezados.
 Susceptible a ataques que se producen una vez dentro del perímetro asegurado.

2.5.4. Filtrado por contenido o aplicación.

El filtrado por contenido analizan todo el paquete a nivel de aplicación (según el sistema OSI), o lo
que es lo mismo, controlan no solo los puertos o las sesiones, sino el protocolo que se utiliza para la
comunicación, evitando que puedan falsearse servicios.

Este filtrado tiene reglas más estrictas, a través de éstas determina si una conexión a una aplicación
requerida es permitida, describiendo solo conexiones para propósitos específicos, como el acceso a
Internet o el acceso a algún correo.

Capítulo 2 Seguridad Perimetral

21
Este filtrado se conoce como Application Gateway y se distingue por el uso de los proxies para servicios
como http, ftp, telnet, etc. Estos previenen el acceso directo a servicios al interior de la red, los
cuales se describen posteriormente.

2.5.4.1. Ventajas

 Permite controlar qué aplicaciones serán utilizadas
 No solo valida la conexión sino todo el contenido de la trama.
 No permite conexiones directas
 Soporta autenticación a nivel de usuario.
 Analiza los comandos de la aplicación dentro de la carga del paquete (payload)
 Mantiene bitácoras extensas de tráfico y actividad específica.

2.5.4.2. Desventajas

 Generalmente son más lentos (tienen que analizar todo).
 Se requiere más cantidad de hardware para analizar el tráfico del canal.
 Pueden no soportar ciertos tipos de conexión.

2.6. Sistemas Detectores de intrusos

Haciendo una analogía con un sistema de alarmas para ladrones, el Sistema Detector de Intrusos
(IDS) funciona de manera similar para nuestra red, ya que es usada para detectar y alertar eventos
maliciosos. El sistema podría formarse por muchos sensores diferentes colocados en puntos
estratégicos en nuestra red.

La detección de intrusiones es el proceso de monitorizar los eventos que ocurren en un sistema o
red, para analizarlos en busca de problemas de seguridad. Para poder llevar a cabo este proceso
existen sistemas especializados en la detección de eventos que podrían considerarse como de usos
indebidos y/o anomalías. Dichos sistemas se pueden clasificar dependiendo de su localización, del
tipo de análisis que realizan.

Existen dos categorías principales de IDS: los basados en host (conocidos como HIDS); y en red
(conocidos también como NIDS). Los primeros residen y protegen un host, mientras que los
basados en red residen en uno o más hosts dedicado en exclusiva a la investigación de la red, el cual
protege a todos los hosts conectados a la misma.

Los NIDS monitorean el tráfico de la red en busca de actividad sospechosa. Algunos de estos
sistemas residen en subredes que son directamente conectados al firewall, así como los puntos
críticos en la red interna.

2.6.1. Conceptos

Los Sistemas de Detección de Intrusiones están compuestos por tres elementos funcionales básicos:
fuente de Información, un motor de análisis y un mecanismo de respuesta. Dependiendo de cada
uno de los elementos se puede tener una clasificación de dichos sistemas, como se muestra en la
figura 2.5.

Capítulo 2 Seguridad Perimetral

Figura 2.5 Elementos básicos para los IDS

Según el tipo de fuente de datos con el que cuenta el sistema detector, podremos hacer una
clasificación, la cual se describe en la siguiente tabla.

SISTEMAS DE DETECCIÓN DE INTRUSIONES
FUENTE DE
INFORMACIÓN OBJETIVO VENTAJAS DESVENTAJAS EJEMPLOS
Host(IDS)
Reside y protege una
computadora, a través
de los registros de
auditoría de los
sistemas operativos
Puede alertar los
cambios inesperados
en sistemas de
archivos importantes
basados en sus firmas
almacenadas
Tiende a ser solo un
comprobador de
integridad de
archivos.
No son preactivos.
No detecta los
ataques antes de que
se produzcan
 Tripware
 Open Source
 AIDE
En
Red(NIDS)
Residen en una o más
computadoras, los
cuales están dedicados
en exclusiva a la
investigación de la red,
a través de la captura
de paquetes de red.
Puede alertar de un
ataque en potencia,
según una base de
datos de ataques o
con el estado de la
red.
No afecta el
rendimiento del resto
de las máquinas de la
red.
Puede ser
indetectable
Si no esta bien
implementado,
tiende a registrar más
errores que aciertos,
produciendo cierto
grado de
insatisfacción.
 Snort
 ISS Real
Secure
 Network
Flight
Recorder
 Bro
 Firestorm
 Prelude
En Aplicación
Registran la actividad
de una determinada
aplicación.
Se obtiene un control
sobre el
funcionamiento de la
aplicación.
Si la aplicación sufre
de un ataque de
negación de
servicios, se anulan
los registros.
 Bitácoras de
las
aplicaciones
y sistemas.
Tabla 2.1 Sistemas de Detección de Intrusiones.

Después del proceso de recopilación de información, se lleva a cabo el proceso de análisis. La
detección de intrusiones también se puede clasificar según los objetivos del motor de análisis. Los
dos tipos principales de análisis son:

Capítulo 2 Seguridad Perimetral

23
 Detección de usos indebidos: Para encontrar usos indebidos se comparan firmas con la
información recogida en busca de coincidencias. (ver figura 2.6).

Figura 2.6 Modelo general de un detector de usos indebidos

 Detección de anomalías: Para la detección de anomalías se manejan técnicas estadísticas que
definen de forma aproximada lo que es el comportamiento usual o normal. (ver figura 2.7).

Figura 2.7 Modelo general de un detector de anomalías

La figura 2.8 muestra un esquema general de detector de intrusiones de usos indebidos mediante
comparación de patrones y de anomalías.

Figura 2.8 Esquema general de un Sistema de Detección de Intrusiones

El objetivo principal de la etapa de análisis consiste en organizar y clasificar los datos sobre la
actividad del usuario y del sistema para identificar actividades de interés (mientras ocurre o posterior
al evento).

Capítulo 2 Seguridad Perimetral

24
TÉCNICAS DE ANÁLISIS

DETECCIÓN DE USOS INDEBIDOS DETECCIÓN DE ANOMALÍAS
Comportamientos no permitidos Actividades poco comunes
Información
necesaria
Amenazas, vulnerabilidades, ataques, políticas de
sistema o procedimientos.
Eventos generados por el sistema,
patrón de comportamiento
“normal”.
Requisitos
Bases de conocimientos con patrones fiables.
Una serie de eventos.
Un eficaz