Descarga la aplicación para disfrutar aún más
Vista previa del material en texto
UNIVERSIDAD NACIONAL AUTÓNOMA DE MÉXICO FACULTAD DE INGENIERÍA “ARQUITECTURA DE SEGURIDAD PERIMETRAL Y EN SITIO PARA SISTEMAS UNIX CASO: UNIDAD DE SERVICIOS DE CÓMPUTO ACADÉMICO DE LA FACULTAD DE INGENIERÍA” T E S I S QUE PARA OBTENER EL TÍTULO DE: INGENIERO EN COMPUTACIÓN P R E S E N T A: LETICIA ROJAS NAVA DIRECTOR DE TESIS: ING. RAFAEL SANDOVAL VÁZQUEZ Ciudad Universitaria México, D.F. 2007 UNAM – Dirección General de Bibliotecas Tesis Digitales Restricciones de uso DERECHOS RESERVADOS © PROHIBIDA SU REPRODUCCIÓN TOTAL O PARCIAL Todo el material contenido en esta tesis esta protegido por la Ley Federal del Derecho de Autor (LFDA) de los Estados Unidos Mexicanos (México). El uso de imágenes, fragmentos de videos, y demás material que sea objeto de protección de los derechos de autor, será exclusivamente para fines educativos e informativos y deberá citar la fuente donde la obtuvo mencionando el autor o autores. Cualquier uso distinto como el lucro, reproducción, edición o modificación, será perseguido y sancionado por el respectivo titular de los Derechos de Autor. Agradecimientos Armando: Por haber puesto más que un grano de arena en la realización de este trabajo y tú inapreciable apoyo, compresión y motivación en los momentos difíciles. Eres la razón de no tener miedo al mañana, porque te he visto ayer y me encantas hoy A mi Familia A mis padres por ser quién aplaude mis logros, por enseñarme la diferencia entre el mal y el bien, pero sobre todo por ser los mejores consejeros y amigos que tengo. A mis hermanos por enseñarme con su entusiasmo ha no tener límites. A la Universidad Nacional Autónoma de México y a la Facultad de Ingeniería por ofrecerme la oportunidad de ser parte de una sociedad interesada en la generación de conocimientos para el servicio y la mejora de mi país, a través de la generación de mejores profesionistas. Amigos Mi gratitud a todos mis amigos y compañeros con quienes he compartido durante varios años la enseñanza, la diversión y el intercambio de experiencias. UNICA Por se la institución que permitió la colaboración y preparación del presente trabajo, agradeciendo su valiosa ayuda a los ingenieros: Noe Cruz Marín y Rafael Sandoval Vázquez por sus orientaciones en esta área. A cada uno de los integrantes de UNICA, en especial al DROS que han sido un excelente grupo de trabajo y por haber encontrado buenos amigos. Arquitectura de Seguridad Perimetral y en Sitio para Sistemas UNIX Prefacio Objetivo 1 Fundamentos 1.1 Seguridad Informática…………………………………………………………………….… 1 1.1.1 Seguridad en sitio……………………………………………………………………... 1 1.1.2 Seguridad perimetral………………………………………………………………….. 2 1.1.3 Seguridad de la información…………………………………………………………... 3 1.2 Estrategias de Seguridad Informática…………………………………………………..……. 3 1.2.1 Menor privilegio………………………………………………………………..….... 3 1.2.2 Defensa a fondo…………….………………………………………………….…… 3 1.2.3 Punto de ahogo……………………………………………………….…………....... 4 1.2.4 Eslabón más débil…………………………………………………….…………….. 4 1.2.5 Postura de falla segura……………………………………………….……………… 4 1.2.6 Participación universal……………………………………………….…………….... 4 1.2.7 Simplicidad………………………………………………………………………...... 4 1.2.8 Seguridad a través de oscuridad……………………………………………………... 4 1.3 Amenazas deliberadas a la seguridad en las Tecnologías de la Información….……..………... 4 1.3.1 Interrupción…………………………………………………………….…………...... 5 1.3.2 Intercepción…………………………………………………………….…………...... 6 1.3.3 Modificación………………………………………………………………………...... 6 1.3.4 Fabricación………………………………………………………………………......... 6 1.3.5 Ataques pasivos……………………………………………………….……………… 7 1.3.6 Ataques activos……………………………………………………….…….………….7 1.3.6.1 Suplantación de identidad………………………………………………………. 8 1.3.6.2 Reactuación………………………………………………………….…………. 8 1.3.6.3 Modificación de mensajes………………………………………………………. 8 1.3.6.4 Degradación fraudulenta del servicio…………………………………………… 8 1.4 Niveles de seguridad informática ……………….…………………………………………... 8 1.4.1 TCSEC (Trusted Computer System Evaluation Criteria)…………………………... 10 1.5 ¿De quién nos protegemos? ……………………………………………………………….. 11 1.6 UNIX /Linux…………………………………………………………………………….... 12 2 Seguridad Perimetral 2.1 Fundamentos de la seguridad perimetral….…………………………………………… 13 2.2 Análisis de riesgos…..…………………………………………………………………. 13 2.3 Perímetro……………………………………………………………………………… 14 2.4 Routers de Frontera…………………………………………………………………… 15 2.4.1 El papel del router………………………………………………………… 15 2.4.2 El router como dispositivo de seguridad…………………………………... 15 2.5 Firewalls……………………………………………………………………………….. 15 2.5.1 Teoría referente a firewalls……………………………………………….... 16 2.5.1.1 Protocolo TCP/IP…………………………………………… 16 2.5.1.2 Servicios TCP, UDP e ICMP………………………………… 16 2.5.1.3 Saludo de tres vías (Three Way Handshake)………………….. 17 2.5.1.4 El concepto de estado.……………………………………….. 17 2.5.1.5 Inspección del estado……………………………………….... 18 2.5.2 Filtrado de Paquetes………………………………………………………. 18 2.5.2.1 Ventajas……………………………………………………… 19 2.5.2.2 Desventajas…………………………………………………... 19 2.5.2.3 Filtrado con PF (Packet Filter, OpenBSD)…………………… 19 2.5.3 Filtrado por estado de la conexión………………………………………… 20 2.5.3.1 Ventajas……………………………………………………… 20 2.5.3.2 Desventajas…………………………………………………... 20 2.5.4 Filtrado por contenido o aplicación…..………………………………......... 20 2.5.4.1 Ventajas……………………………………………………… 21 2.5.4.2 Desventajas…………………………………………………... 21 2.6 Sistemas Detectores de Intrusos…………………………………………………… 21 2.6.1 Conceptos………………………………………………………………… 21 2.6.2 Desarrollos comerciales y libres para los IDS………………….…………... 25 2.7 Sistemas Preventores de Intrusos………………………………………….……….. 26 2.8 Redes Virtuales Privadas VPN………………………………………….………….. 26 2.9 Proxy………………………………………………………………………………. 27 2.10 Software…………………………………………………………………………… 28 2.11 Zonas de Seguridad…………………………………………………………………28 3 Análisis de Riesgos, Políticas y Seguridad en Sitio 3.1 Análisis de Riesgos………………………………………………………………………… 31 3.1.1 OCTAVE………………………………………………………………...……. 32 3.1.2 Características de OCTAVE…………………………………………………… 33 3.1.3 Procedimiento para el análisis de riesgos con OCTAVE...….………………….. 34 3.1.4 Caso de Práctico: Site de Servidores, Unidad de Servicios de Cómputo Académico, Facultad de Ingeniería, UNAM……………………………………………...… 36 3.1.5 Fase 1 Análisis de amenazas…………………………………………………… 38 3.1.6 Fase 2 Perfil de amenazas e identificación de vulnerabilidades…….…………… 40 3.1.7 Fase 3 Estrategias de protección y planes de seguridad……………………….... 43 3.1.7.1 Conclusiones…………………………………………………………… 49 3.2 Políticas de seguridad………………………………….…………………………………… 49 3.3 Políticas de administración de servidores UNIX…….....…………………………………… 50 3.3.1 Políticas de administración…………….…………………………………………….. 50 3.3.1.1 Sobre el inicio de sesión….…………………..………………………… 50 3.3.1.2 Sobre el apagado de servidores…………………………………….…… 51 3.3.1.3 Sobre los usuarios….…………………………………………………… 51 3.3.2 Políticas de seguridad………………………………………………………...……… 51 3.3.2.1 Sobre la atención a incidentes…..……………………………………..… 52 3.3.2.2 Sobre la restauración……...……….……………………….…………… 52 3.3.3 Políticas de respaldo………………………………………………………………… 52 3.3.4 Políticas de actualización…………………………………………….……………… 52 3.3.5 Políticas de configuración…………………………………………………………… 53 3.3.6 Políticas de ingreso de personal……………….……………………………….…….. 53 3.3.7 Políticas de recesión de contrato de personal….…………………………………..… 53 3.3.8 Políticas de contabilidad…………….………………………………….………..…... 53 3.3.9 Políticas de confidencialidad……….……………………………….…………….…. 54 3.3.10 Plan de contingencia….…………..………………………………….……………… 54 3.3.11 Seguridad en sitio…………………………………………………….…..………….. 55 3.3.12 Seguridad en sitio para el site de servidoresdel departamento de redes y operación de servidores ………………………………………….………………………….. 56 3.3.12.1 Deshabilitando y removiendo programas y Servicios…………………… 56 3.3.12.2 Limitando el acceso a datos y archivos de configuración…….……..…… 56 3.3.12.3 Control de usuarios y privilegios.………………………….……………. 56 3.3.12.4 Mantenimiento de bitácoras………………………………..…………… 56 3.3.12.5 Actualizaciones…………………………………………….…………… 57 3.3.12.6 Guía para el fortalecimiento de la seguridad del servidor…...…………… 57 3.4 Herramientas sugeridas para la defensa del servidor………………….………..…………… 57 3.4.1 Antivirus………………………………………………………….…………… 57 3.4.2 Antirootkit.……………………………………………………….…………… 57 3.4.3 Firewall basado en host………………………………………...……………… 58 3.4.4 Sistema Detector de Intrusos basado en host……………………..…………… 58 3.4.5 Capacitación al personal…………………………………………..…………… 58 4 Diseño de la Arquitectura de Seguridad Perimetral y en Sitio para servidores UNIX. Caso Práctico: Servidores del Departamento de Redes y Operación de Servidores. 4.1 Problemática actual. ………………………………………………………………..……… 59 4.1.1 Problemática a nivel de red……………………………………………………….... 59 4.1.2 Problemática a nivel de servidor………………………………………………...….. 60 4.2 Diseño de la arquitectura de seguridad perimetral y en sitio para servidores UNIX………… 61 4.2.1 Estructura de red…………………………….…………………………………….... 61 4.2.2 Servicios…………………………………………………………………………..… 63 4.2.3 Proyecto………………………………………………………………………….…. 64 4.2.3.1 Seguridad perimetral……………………………………………………… 64 4.2.3.1.1 Firewall perimetral en granja de servidores…………………………… 64 4.2.3.1.2 Estadísticas del servicio de red………………………………………... 64 4.2.3.2 Seguridad en sitio………………………………………………………… 65 4.2.3.2.1 Aplicación de la guía para el fortalecimiento de la seguridad en el servidor 4.2.3.2.2 Firewall local…………………………………………………………. 66 4.2.3.2.3 Mantenimiento de bitácoras………………………………………….. 66 4.2.3.2.4 Desarrollo del sistema detector de intrusos para servidores UNIX….... 66 4.2.3.2.4.1 Módulo de procesos del sistema..…………………………..... 67 4.2.3.2.4.2 Módulo de servicios…………………………………………. 67 4.2.3.2.4.3 Módulo de puertos…………………………………………... 68 4.2.3.2.4.4 Módulo de software…………………………………………. 68 4.2.3.2.4.5 Módulo de usuarios…………………………………………. 69 4.2.3.2.4.6 Módulo de almacenamiento……….………………………… 71 4.2.3.2.4.7 Módulo de integridad de archivos..………………………...… 71 4.2.4 Comparación………………………………………………………………………... 72 5 Implantación de la arquitectura de seguridad perimetral y en sitio para servidores unix. 5.1 Publicación de Políticas………………………..………………………………………….... 74 5.2 Implantación de las zonas de seguridad…………………………………………………..... 75 5.2.1 Requerimientos……………………………………………………………………. 75 5.2.2 Instalación del firewall………………………………………………………..…… 76 5.2.3 Pruebas al esquema de seguridad perimetral…..………………………………….... 80 5.2.4 Estadísticas……………………………………………………………………...… 82 5.2.4.1 Ancho de banda………………………………………………………….. 82 5.2.4.2 Por servicio……………………………………………………………...... 84 5.3 Sistema Detector de Intrusos..…………………………………………………………........ 85 5.3.1 Requerimientos……………………………………………………………………. 85 5.3.2 Instalación………………………………………………………………………… 86 5.3.3 Alertas de IDS………………………………………………………....…………... 87 Conclusiones…………………………………………………..……………………………..... 89 Recomendaciones………………………………………………..…………………………… 91 Apéndices 5.1 Anexo A. El estado de las conexiones………………………………………........ 92 5.2 Anexo B. Metodología de OCTAVE……………………………………………. 94 Glosario………………………………………………………………………………………. 102 Bibliografía…………………………………………………………………………………... 106 Mesografía…………………………………………………………………………………… 107 Tablas y Figuras i Índice de figuras 1. Fundamentos 1.1 Flujo normal de la información………………………………………………………..… 5 1.2 Flujo Interrumpido de la información…………………………………………………… 6 1.3 Flujo Interceptado de la información……………………………………...........……......... 6 1.4 Flujo modificado por entidad sin autorización……………………………….…………... 6 1.5 Flujo fabricado por entidad sin autorización…………………………….............................. 7 1.6 Concepto de Monitor de referencia…………………………………………………....... 94 2. Seguridad Perimetral 2.1 Proceso de Análisis de Riesgos……………………….………………………...…………. 14 2.2 Firewall……………………………………………….……..……………………………. 15 2.3 Banderas para el Three Way Handshake………...……….………………………..………… 17 2.4 Maquina Virtual de Inspección de Estado…………….…………………………………... 18 2.5 Elementos básicos para los IDS……………………….………………………………….. 22 2.6 Modelo general de un detector de usos indebidos………………………………….……... 23 2.7 Modelo general de un detector de anomalías…………………………………...…..…….. 23 2.8 Esquema general de un Sistema de Detección de Intrusiones…………………………….. 23 2.9 Túnel creado por una conexión a una VPN…………………………………….………… 27 2.10 Estados TCP para el Three Way Handshake……………………………………………. 110 3 Análisis de Riesgos, Políticas y Seguridad en Sitio 3.1 Enfoque de OCTAVE…………………………………………………………………… 33 3.2 Fases del análisis de Riesgos con OCTAVE……………………………………………… 36 3.3 Organigrama de la Unidad de Servicios de Cómputo Académico…………………..…….. 37 3.4 Pasos para desarrollar el plan de contingencia de los sistemas informáticos………………. 55 4 Diseño de la Arquitectura de Seguridad Perimetral y en Sitio para servidores UNIX. Caso Práctico: Servidores del Departamento de Redes y Operación de Servidores. 4.1 Diagrama de la topología de la red para la Unidad de Servicios de Cómputo Académico..... 60 4.2 Propuesta para el Diagrama de la topología de la red para la Unidad de Servicios de Cómputo Académico……………………………………………………………………..…………. 62 4.3 Módulo de Procesos del Sistema………………………………………………………….. 67 4.4 Módulo de Servicios del Sistema………………………………………………………….. 67 4.5 Módulo de Puertos……………………………………………………………………….. 68 4.6 Módulo de Software……………………………………………………………………… 68 4.7 Módulo de Usuarios……………………………………………………………………… 70 4.8 Módulo de Almacenamiento……………………….……………………………...……… 71 4.9 Módulo de Integridad de los Archivos……………………………………………………. 73 5 Implantación de la arquitectura de seguridad perimetral y en sitio para servidores unix. 5.1 Equipo necesario para la implantación y características generales……...………………..… 75 5.2 Registro de conexiones de entrada……………………………………..……............…...… 80 5.3 Monitoreo del Ancho de Banda antes del segmento 132.248.54.0……….………………... 83 5.4 Monitoreo del Ancho de Banda del site con el esquema de Seguridad………………..….... 83 5.5 Generación de estadísticas por Servidor…………………………………………………... 85 5.6 Generación de estadísticas por Servicio………………………………………………..…. 85 5.7 Monitoreo del puerto 443 del servidor de correo en el intervalo de un mes…….............…. 86 5.8 Protocolos utilizados por el IDS……………………………………………….………… 88 5.9 Alertas registradas por el IDS……………………………………………………….…… 88 Tablas y Figuras ii Índice de Tablas 2. Seguridad Perimetral 2.1. Sistemas de Detección de Intrusiones……………………..……………..………… 22 2.2. Técnicas de Análisis……………………………..………………..………………... 24 2.3. Software NIDS…………………………………..………………..……………….. 25 2.4. Software HIDS…………………………………..…………….………….……….. 25 2.5. Tipos de VPN……………………………………………..……..……………...… 27 2.6. Ventajas del Uso de zonas de Seguridad…………………..……………..………… 29 3. Análisis de Riesgos, Políticas y Seguridad en Sitio 3.1. Fases del análisis de Riesgos de Seguridad……………………..………………......... 32 3.2. Áreas Prácticas de Seguridad en OCTAVE’S……………………………………..... 34 3.3. Fase 1 Análisis de Riesgos OCTAVE………………………………..…………...… 34 3.4. Fase 2 Análisis de Riesgos OCTAVE…………………………..…………………... 35 3.5. Fase 3 Análisis de Riesgos OCTAVE………………………….………………...…. 35 3.6. Criterios para el Evaluación de Impactos…………………………..……………...... 38 3.7. Activos Críticos…………………………………………………………………..... 38 3.8.Información, sistemas y aplicaciones…………………………………...…………... 39 3.9. Perfil de amenazas y vulnerabilidades…………………………………..….…..….... 40 3.10. Frecuencia para la Probabilidad de ocurrencia de una amenaza…………....……….. 40 3.11. Frecuencia para la evaluación del impacto ante la ocurrencia de una amenaza.…..…. 40 3.12. Indicadores para los motivos y los antecedentes históricos……………….……..….. 42 3.13. Matriz de prioridades de atención de riesgos……………………………...……..…. 42 3.14. Indicativos para la evaluación del perfil de amenazas……………………………..... 42 3.15. Evaluación de Riesgos………………………………………………………......….. 44 3.16. Estrategias de protección en las áreas prácticas estratégicas……………………...… 45 3.17. Estrategias de protección en las áreas prácticas operacionales…………………..… 46 3.18. Tipos de usuario en el DROS……………………………………………….…...… 50 3.19. Fase 1 Identificación de la Información de la Organización………………...…..….. 94 3.20. Fase 2 Creación de Perfiles de Activos…………………………………………....... 95 3.21. Fase 2 Examinar la infraestructura computacional en relación a los activos críticos... 97 3.22. Fase 3 Identificación y Análisis de Riesgos……………………………….……..…. 99 3.23. Fase 3 Desarrollo de Estrategias de Protección y planes de Mitigación…………..... 100 4. Diseño de la arquitectura de seguridad perimetral y en sitio para servidores UNIX. Caso de Práctico: Servidores del Departamento de Redes y Operación de Servidores. 4.1. Servicios ofrecidos por el Departamento de Redes y Servidores………………….... 63 4.2. Guía de Fortalecimiento para el fortalecimiento de la seguridad………………….... 65 5. Implantación de la arquitectura de seguridad perimetral y en sitio para servidores unix. 5.1. Equipo necesario para la implantación y características generales…………………… 75 5.2. Propuesta económica para la implementación de las zonas de seguridad………...…. 76 5.3. Requerimientos de Software para un Sistema Detector de Intrusos……………...…. 85 Prólogo i Prólogo Cada vez son más los sucesos de intrusiones a las redes organizacionales. Los atacantes acceden a la información confidencial, por medio de las redes informáticas, modificando dicha información, robando bases de datos, entre otras muchas acciones que son perjudiciales. Es por esto, que la falta de seguridad de las redes tiene un impacto negativo elevado por la consecuente pérdida de información y disponibilidad, asociando una imagen negativa a la organización. Uno de los problemas a los que nos enfrentamos, reside en que el verdadero impacto de un ataque o intrusión deliberada no se vislumbra en forma inmediata, esto provoca que no se le adjudique al hecho la gravedad que realmente tiene. De ahí la necesidad de contar con esquemas de seguridad perimetral que permitan la detección de intrusos para poder disminuir los impactos hacia la organización. A través de la red, los usuarios internos se vinculan a los servidores Web u otros servicios, éstos a su vez, se vinculan a las redes internas o inclusive a redes de otros segmentos, dando la posibilidad a los intrusos de realizar ataques externos. De esta manera un esquema de seguridad perimetral limitará en gran medida que un intruso no se adentre en la red, además de aumentar la disponibilidad de los servicios que ofrecen los distintos servidores. La seguridad perimetral basa su filosofía en la protección de todo el sistema informático de una organización desde "fuera", es decir, establecer una coraza que proteja todos los elementos sensibles frente amenazas diversas como virus, gusanos, troyanos, ataques de denegación de servicio, robo o destrucción de datos, de páginas web corporativas, etcétera. Toda esta tipología de amenazas posibles ha fomentado una división de la protección perimetral en dos vertientes: a nivel de red, en el que podemos encontrar los riesgos que representan los ataques de crackers, las intrusiones o el robo de información en las conexiones remotas; y a nivel de contenidos, en donde se engloban las amenazas que constituyen los virus, gusanos, troyanos, spyware, phishing y demás clases de malware, el spam o correo basura y los contenidos web no apropiados para las organizaciones. Introducción ii Introducción El alcance de este trabajo de tesis se define con el esquema de seguridad perimetral que se ha diseñado para el site de servidores de la Unidad de Servicios de Cómputo Académico (UNICA) de la Facultad de Ingeniería, gestionado por el Departamento de Redes y Operación de Servidores (DROS), dicho esquema de seguridad perimetral se implementó de manera transparente, sin interferir en la productividad ni en el rendimiento de la red de la organización ni en el resto de sistemas críticos (como firewalls y servidores de aplicaciones, correo o web). El primer capítulo nos permite conocer los conceptos básicos de la seguridad informática y las estrategias junto con los diversos niveles de seguridad que se manejan en estándares internacionales, así como algunas de las amenazas y ataques a los que estamos expuestos. También se describe de forma breve las ventajas que ofrece la plataforma Unix/Linux utilizada en el site de servidores. Una vez conocidos los aspectos más importantes de la seguridad informática se presenta en el capítulo 2 la definición de la seguridad perimetral y algunas herramientas (junto con su funcionamiento y clasificación) útiles en la defensa del perímetro, como son los firewalls, routers, VPN, Zonas de seguridad, proxys, sistemas detectores y preventores de intrusos. En el capítulo 3, eje guía de este trabajo, se comienza a definir el proceso de análisis de riesgos a través de la metodología OCTAVE para la organización y a partir de esto se generan políticas que permitan mejorar los procedimientos existentes en el DROS. Finalmente en este capítulo se comienza a definir otro rubro de la seguridad: la seguridad en sitio, destacando la importancia que tiene este tema para la organización. También se describen las buenas prácticas y herramientas para fortalecer la seguridad en sitio. En el capítulo 4 se expone la problemática detectada con ayuda del análisis de riesgos realizado, y se presenta el diseño para la arquitectura de seguridad perimetral en el site de servidores, determinando los servicios y las necesidades que se tienen en la seguridad de sitio y perimetral para poder definir los requerimientos de su implantación. Una vez detectados los requerimientos de seguridad en sitio se presenta la herramienta desarrollada para la detección de eventos a nivel local. Por último en el capítulo 5 se hacen las recomendaciones para la publicación de las políticas desarrolladas en el capítulo 3 y se describen los requerimientos de hardware y software para implementar la zonificación del cuarto de servidores y la forma en la que se instalaron dichas herramientas. Al final se presenta las conclusiones a las que se llegó y las recomendaciones que se dan para futuras adecuaciones y mejoras a este proyecto de tesis. Objetivo iii OBJETIVO Proteger, gestionar y contabilizar la información que se transmite a través de los servicios ofrecidos en el site de servidores de la Unidad de Servicios de Cómputo Académico de la Facultad de Ingeniería de la UNAM, mediante el desarrollo e implantación de un esquema de seguridad perimetral y en sitio. Capítulo 1 Fundamentos 1 CAPÍTULO 1 FUNDAMENTOS Toda organización debe estar a la vanguardia en los procesosde cambio; disponer de información continua, confiable y en tiempo, constituye una ventaja fundamental, es por esto, que la información se ha vuelto crítica, sensitiva y valiosa, generando la necesidad de proteger los datos y su entorno. Este capítulo tiene como objetivo hacer llegar en la forma más clara, breve y precisa la conceptualización de la seguridad informática y los diversos ámbitos en los que se genera la protección de la información. En las secciones siguientes se definen las estrategias con las que cuenta la seguridad informática, así como las amenazas existentes, los tipos de ataques y los niveles de seguridad. 1.1 Seguridad Informática La preocupación por proteger la información contra los accesos no autorizados por parte de enemigos reales, potenciales o imaginarios, ha sido una constante en la historia de la evolución de la humanidad. Con la aparición de los sistemas multiusuarios y multitareas surgen los problemas de la seguridad informática, ya que al compartir los recursos (como impresoras, discos duros, escáner, programas, archivos, etc.) a través de las redes de computadoras no seguras, se crean dominios de intercambio de información, los cuales no comparten políticas o autoridad sobre la misma. Obligando a proteger no solo la información, sino también los recursos físicos y lógicos de las computadoras junto con los canales de transmisión en contra de los actos ilícitos. De la misma forma se tiene que proteger los recursos de cómputo contra programas malignos como los gusanos, virus, troyanos, software espía, bombas lógicas, entre otros. La seguridad informática se puede definir como el conjunto de herramientas, procedimientos, técnicas y reglas que nos ayudan a proteger los sistemas de información y de esa manera garantizar la confidencialidad, autenticación, integridad, no repudio, control de acceso y disponibilidad de la información. 1.1.1 Seguridad en sitio Las computadoras ubicadas dentro de un algún segmento de red que no están protegidas se transforman en una amplia plataforma de propagación. Basta con que una de ellas sea Capítulo 1 Fundamentos 2 comprometida para que toda una red pueda quedar posteriormente a disposición de un atacante. Es por esto, que se requieren prácticas destinadas a reforzar la seguridad de las computadoras en sitio; los aspectos indispensables a considerar son: •Sistemas operativos.- Actualmente los sistemas operativos presentan vulnerabilidades que provienen desde el diseño o bien, se descubren posteriormente, es por eso, necesario tener los sistemas operativos con las actualizaciones automáticas para recibir los updates de seguridad. •Aplicaciones.- Existen aplicaciones que presentan vulnerabilidades, estas pueden tener actualizaciones de seguridad, para ello se requiere estar informado. •Navegación en Internet.- Tener limitado el uso de cookies y applets, y solo habilitarlos en aquellos sitios que proporcionan un servicio necesario. •Antivirus y antispyware.- Combinados o como dos programas independientes que nos permiten tener las actualizaciones sobre los virus y software espía. • Correo electrónico.- Es un factor de riesgo, asumir automáticamente que cualquier e-mail proviene de quien dice venir, y que su contenido no provocará daño al sistema. •Contraseñas.- No es posible memorizar buenas contraseñas, sin embargo, es necesario su custodia y protección. •Firewall.- Es una forma de proteger la computadora contra los ataques maliciosos, ya que vigilan constantemente las conexiones a Internet e interrogan a quien intenta acceder a la computadora. 1.1.2 Seguridad perimetral Una definición, nos dice que: “es la acción de disuadir, frenar y/o detectar al intruso o extruso antes o durante el ingreso o egreso al área protegida, mediante barreras físicas, lógicas y preferiblemente la combinación de ambas”. Teniendo como ventaja la posibilidad de actuar en concordancia y con suficiente tiempo para repeler la agresión. Sin embargo, la principal ventaja de este tipo de seguridad es que permite al administrador concentrarse en los puntos de entrada, por lo tanto no es necesario que se preocupe por todos y cada uno de los sistemas del interior. Esto implica que cada paquete de tráfico transmitido debe de ser diseccionado, analizado y aceptado o rechazado en función de su potencial riesgo de seguridad para nuestra red. El problema es que da una sensación de seguridad total y nos lleva muy cotidianamente a descuidar aspectos que son muy importantes, ya que el perímetro de red comprende todos los puntos donde la red interna accede (o es accedida) a redes o a computadoras que no están gestionadas por el equipo de tecnología de información de la organización. Esto incluye conexiones a Internet, VPNs, conexiones remotas, etc. Las amenazas posibles han fomentado una división de la protección perimetral en dos vertientes: a nivel de red, en el que podemos encontrar los riesgos que representan los ataques de intrusos o el robo de información en las conexiones remotas; y a nivel de contenidos, en donde se engloban las amenazas que constituyen los virus, gusanos, troyanos, spyware, phishing y Capítulo 1 Fundamentos 3 demás clases de malware, el spam (correo basura) y los contenidos web no apropiados para las organizaciones. 1.1.3 Seguridad de la información Cuando hablamos de seguridad de la información nos referimos a la prevención y protección, a través de ciertos mecanismos de seguridad para evitar que ocurra de manera accidental o intencional alguna transferencia, fusión, modificación o destrucción no autorizada de la información. Estos mecanismos de seguridad son una colección de herramientas diseñadas para la protección de los sistemas a fin de evitar amenazas de confiabilidad, integridad, autenticación, no repudio y la disponibilidad de la información. La seguridad de la información se define como la preservación de las siguientes propiedades: Confidencialidad: Aseguramiento de que la información es accesible sólo para aquellos autorizados a tener acceso. Integridad: Garantía de la exactitud y completitud de la información y de los métodos de su procesamiento. Disponibilidad: Aseguramiento de que los usuarios autorizados tienen acceso cuando lo requieran a la información y sus activos asociados. 1.2 Estrategias de Seguridad Informática En el ámbito de la seguridad informática existen una serie de principios básicos que es necesario tener en cuenta al diseñar cualquier esquema ó política de seguridad, algunos tan fundamentales como los que se describen a continuación. 1.2.1 Menor privilegio El menor privilegio consiste en ofrecer el acceso requerido para adelantar la labor solicitada exclusivamente. Es decir, otorgar los permisos estrictamente necesarios para efectuar las acciones que se requieran. Ni más ni menos de lo solicitado. 1.2.2 Defensa a fondo La defensa a fondo permite proteger los recursos informáticos a pesar de que algunas de las capas de seguridad fueran comprometidas. Después de todo, un solo componente de seguridad no puede garantizar la resistencia a un ataque. Podemos decir que, es el perímetro mismo, la red interna y el factor humano, cada uno de estos factores abarca varios componentes, que de manera independiente no proporcionan suficiente seguridad. La clave esta en que cada componente complementa al otro de forma que se tiene una estructura completa. Capítulo 1 Fundamentos 4 1.2.3 Punto de ahogo Se trata de establecer un único punto de acceso a nuestro sistema, de modo que cualquier atacante que intente acceder al mismo tenga que pasar por él.No se trata de utilizar un sólo mecanismo de seguridad, sino de "alinearlos" todos de modo que el usuario tenga que pasar por ellos para acceder al sistema. 1.2.4 Eslabón más débil La regla del eslabón más débil nos recuerda que la seguridad de un sistema es tan fuerte como el componente o relación más débil que se identifique. Esta regla nos dice que nuestras decisiones deben evitar introducir eslabones débiles, documentar aquellos existentes y continuamente buscarlos. 1.2.5 Postura de falla segura En la medida de lo posible, los sistemas deben tener una falla segura, es decir, si fallan deberán hacerlo de modo que nieguen el acceso a los posibles atacantes. Por eso, para cumplir con el principio, es habitual tomar como postura predeterminada en los accesos la de negación preestablecida. 1.2.6 Participación universal Para que cualquier sistema de seguridad funcione es necesaria la participación universal, o al menos no la oposición activa, de los usuarios del sistema. Prácticamente cualquier mecanismo de seguridad que establezcamos puede ser vulnerable si existe la participación voluntaria de algún usuario autorizado para romperla. 1.2.7 Simplicidad La simplicidad es una buena estrategia de seguridad. Por un lado permite un mantenimiento fácil de los sistemas. Por otro lado, evita la existencia oculta de puertas traseras. La complejidad permite esconder múltiples fallos. Los programas más largos y complejos son propensos a contener múltiples fallos y puntos débiles. 1.2.8 Seguridad a través de oscuridad Cuando se habla de seguridad a través de la oscuridad (security through obscurity) se refiere a la seguridad que se basa en el desconocimiento y el ocultamiento de fallas del sistema en lugar de preverlas y solucionarlas. Sin embargo, un sistema no es más seguro al esconder sus posibles defectos o vulnerabilidades, sino porque los conozcamos y los corrijamos estableciendo medidas de seguridad adecuadas. 1.3 Amenazas a la seguridad en las tecnologías de la Información Podemos definir amenaza como cualquier situación con el potencial suficiente para causar pérdida o daño a un sistema de cómputo. Se consideran fuente de amenazas a los desastres Capítulo 1 Fundamentos 5 naturales, errores inadvertidos humanos, fallas internas de software o hardware. Las cuales se describen a continuación Humanos.- La amenaza surge por ignorancia en el manejo de la información, por descuido, por negligencia, por inconformidad. Por ejemplo: Una amenaza por ignorancia se presenta cuando acaban de contratar a una persona en la empresa y debido a que no lo capacitaron o desconoce los procesos para manejar la información es capaz de perder o dañar la información. Errores de Hardware. – Esta amenaza se presenta por fallas físicas en algún dispositivo que conforma a la computadora, generalmente causados por alguna variación de frecuencia o de voltaje, ruido electromagnético, distorsión, etc. Errores en la red.- Cuando el flujo de la información que circulará por el canal de comunicación, no ha sido bien calculado puede llegar a saturar dicho canal afectando la disponibilidad de la red. O bien, la desconexión del canal por cualquier razón es otro factor que afecta la red. Problemas de tipo lógico.- Cuando un diseño bien elaborado de un mecanismo de seguridad, es mal implementado. Desastres.- Esta categoría surge de las fuerzas naturales tales como las inundaciones, terremotos, incendios, etc. Estos fenómenos naturales repercuten con el funcionamiento físico de las líneas de comunicación y con los sistemas de comunicación. Sin embargo, existen cuatro categorías de amenazas generales a los sistemas que explotan las vulnerabilidades de los activos en el sistema, estas son: interrupción, intercepción, modificación y fabricación, las cuales se describen a continuación. 1.3.1 Interrupción La figura 1.1, representa como debe de ser el flujo de información, entre el transmisor y el receptor, es decir, no debe existir ningún tipo de obstáculos para que la información llegue al destinatario. Figura 1.1.Flujo normal de la información Mientras que en la figura 1.2 nos ejemplifica, cuando ocurre una interrupción, es decir, cuando una parte o toda la información no esta siendo recibida por el receptor, se pierde, se hace no disponible o inutilizable. Esta amenaza ocurre cuando algún recurso del sistema es destruido o interrumpido, por ejemplo, el mal funcionamiento del manejador de archivos de un sistema operativo, la falla de un dispositivo de hardware, el corte de una línea de comunicación, etc. Transmisor Receptor Flujo Normal Capítulo 1 Fundamentos 6 Figura 1.2 Flujo Interrumpido de la información 1.3.2 Intercepción Una intercepción significa que alguna parte no autorizada logra el acceso a un recurso del sistema. Esta parte no autorizada puede ser una persona, un proceso, u otro sistema. Es un ataque contra la confidencialidad de la información. Un ejemplo de intercepción puede ser el copiado ilícito de algún archivo, o bien, la intervención de los canales de comunicación, o bien, la lectura de las cabeceras de los paquetes para revelar la identidad de uno o más de los usuarios implicados en la comunicación observada ilegalmente, conocido como intercepción de identidad (ver figura 1.3). Figura 1.3 Flujo Interceptado de la información 1.3.3 Modificación Una amenaza por modificación se presenta cuando una entidad no autorizada logra tener acceso a los recursos del sistema y puede manipular esos recursos, afectando la confiabilidad e integridad de la información. (Ver figura 1.4). Por ejemplo, el cambio de valores en un archivo de datos, alterar un programa para que funcione de forma diferente y modificar el contenido de mensajes que están siendo transferidos por la red. Figura 1.4 Flujo modificado por entidad sin autorización 1.3.4 Fabricación Esta amenaza permite que una entidad no autorizada pueda fabricar información falsa en un sistema. Este es un ataque contra la autenticidad. Por ejemplo, la inserción de registros en una Transmisor Origen Receptor Destino Entidad Sin autorización Transmisor Origen Receptor Destino Entidad Sin autorización Transmisor Origen Receptor Destino Capítulo 1 Fundamentos 7 base de datos ya existente, la inserción de mensajes espurios en una red. Como se muestra en la figura 1.5, existe un tercer agente en la comunicación, él esta generando información falsa para el receptor. Figura 1.5 Flujo fabricado por entidad sin autorización 1.3.5 Ataques pasivos Un ataque consiste en poner en acción la amenaza, o bien, cualquier acción que explota una vulnerabilidad. Una clasificación general de los ataques los divide en dos: los ataque pasivos y los activos. Un ataque pasivo consiste en observar los comportamientos o leer la información, sin alterar o modificar el estado del sistema o de la información. Este tipo de ataque solo afecta la confidencialidad o privacidad del sistema o de la información. Recibe su nombre debido a que el atacante no altera en ningún momento la información, solo observa, escucha, obtiene o monitorea mientras esta siendo transmitida. Un ejemplo de este tipo de ataques es el análisis del tráfico de los canales de comunicación. Los objetivos de este tipo de ataques son la intercepción de datos y el análisis de tráfico, una técnica más sutil para obtener información de la comunicación, que puede consistir en: Obtención del origen y destinatario de la comunicación, leyendo las cabeceras de los paquetes monitorizados. Con ello sedetermina la localización y la identidad del emisor y del receptor. Control del volumen de tráfico intercambiado entre las entidades monitorizadas, obteniendo así información acerca de actividad o inactividad inusuales, conociendo la frecuencia y longitud de los mensajes. Control de las horas habituales de intercambio de datos entre las entidades de la comunicación, para extraer información acerca de los períodos de actividad. Estos ataques son muy difíciles de detectar, ya que no provocan ninguna alteración de los datos. Sin embargo, es posible evitar su éxito mediante el cifrado de la información y otros mecanismos que se verán más adelante. 1.3.6 Ataques activos Los ataques activos tienen la capacidad de modificar, eliminar o afectar la información y/o el estado del sistema, afectando no solo la confidencialidad sino también la integridad y la Transmisor Origen Receptor Destino Entidad Falso Origen Capítulo 1 Fundamentos 8 autenticidad de dicha información. Se nombran así debido a que implican algún tipo de modificación del flujo de datos transmitido o la creación del mismo. Pueden subdividirse en cuatro categorías: Suplantación de identidad, reactuación, modificación de mensajes, degradación fraudulenta del servicio, las cuales serán descritas a continuación. 1.3.6.1 Suplantación de identidad En este ataque el intruso se hace pasar por una entidad diferente. Normalmente incluye alguna de las otras formas de ataque activo. Por ejemplo, secuencias de autenticación pueden ser capturadas y repetidas, permitiendo a una entidad no autorizada acceder a una serie de recursos privilegiados suplantando a la entidad que posee esos privilegios, como al robar la contraseña de acceso a una cuenta. También es conocido como enmascaramiento. 1.3.6.2 Reactuación En la reactuación uno o varios mensajes legítimos son capturados y repetidos para producir un efecto no deseado, como por ejemplo ingresar dinero repetidas veces en una cuenta dada. 1.3.6.3 Modificación de mensajes En este ataque, una porción del mensaje legítimo es alterada, o los mensajes son retardados o reordenados, para producir un efecto no autorizado. Por ejemplo, el mensaje "Ingresa un millón de pesos en la cuenta A" podría ser modificado para decir "Ingresa un millón de pesos en la cuenta B". 1.3.6.4 Degradación fraudulenta del servicio La degradación fraudulenta de los diferentes servicios impide o inhibe el uso normal o la gestión de recursos informáticos y de comunicaciones. Por ejemplo, el intruso podría suprimir todos los mensajes dirigidos a una determinada entidad o se podría interrumpir el servicio de una red inundándola con mensajes espurios. Entre estos ataques se encuentran los de denegación de servicio, consistentes en paralizar temporalmente el servicio de un servidor de correo, Web, SQL, etc. 1.4 Niveles de seguridad informática Para poder llevar a cabo las tareas necesarias para garantizar los niveles de seguridad exigibles en una organización es necesario considerar que la seguridad es algo integral y entender que no es un producto, sino un proceso en el cual se trata de minimizar los riesgos, amenazas y vulnerabilidades que se pueden encontrar dentro de los sistemas de información con los que cuenta la organización. Para esto, existen diferentes estándares y normas que nos permiten gestionar la seguridad de la información. A continuación se enumeran brevemente algunos de estos estándares o normas detallando hacia el final la Trusted Computer System Evaluation Criteria. Norma UNE-ISO/IEC 17799:2005.-Establece la base común para desarrollar normas de seguridad dentro de las organizaciones. Define once dominios de control Capítulo 1 Fundamentos 9 que cubren por completo la Gestión de la Seguridad de la Información. Es una de las más reconocidas a nivel internacional, ya que cuenta con 36 objetivos de control y 127 controles, sin embargo, no es certificable. Los niveles de seguridad que presenta esta norma son: Lógica: Confidencialidad, integridad y disponibilidad del software y datos de un Sistema de Gestión Seguridad de la Información (SGSI). Organizativa: Relativa a la prevención, detección y corrección de riesgos. Física: Protección de elementos físicos de las instalaciones: servidores, computadoras personales Legal: Cumplimiento de la legislación vigente. En España: LOPD (Ley Orgánica de Protección de Datos). Los once dominios de control que presenta esta norma son: Política de seguridad. Aspectos organizativos para la seguridad. Clasificación y control de activos. Seguridad ligada al personal. Seguridad física y del entorno. Gestión de comunicaciones y operaciones. Control de accesos. Desarrollo y mantenimiento de sistemas. Gestión de incidentes de seguridad de la información. Gestión de continuidad de negocio. Conformidad. Norma UNE 71502:2004(España).- Proporciona una base común para desarrollar normas de seguridad dentro de las organizaciones, ya que contiene las especificaciones para los Sistemas de Gestión de la Seguridad de la Información (SGSI). Es equivalente a otros sistemas de gestión (ISO9000, ISO14000) e integrable con ellos, además es certificable, pero no tiene equivalente ISO. Se basa en la implementación de los controles descritos en la norma UNE-ISO/IEC 17799. Utiliza la metodología MAGERIT (Metodología de Análisis y Gestión de Riesgos de los sistemas de Información de las administraciones Publicas) Common Criteria.- Reconocida internacionalmente (1986-1988).- Son una norma para evaluar la seguridad de los producto de tecnología de la información basados en los criterios europeos, norteamericanos y canadienses existentes para la evaluación de la seguridad de las tecnologías de la información. ITSEC/ITSEM (Information Technology Security).-Reconocida por instituciones de Normalización europeas, a partir de 1991. ISO/IEC 270001:2005 Es la norma principal de requerimientos del sistema de gestión de seguridad de la información, la cual permitirá tener certificados por auditores Capítulo 1 Fundamentos 10 externos los SGSI (Sistemas de Gestión Seguridad de la Información) de las organizaciones. Los puntos en los que se enfoca son: Introducción: generalidades e introducción al método PDCA, es decir, por sus siglas en inglés: Planificar, Hacer, Verificar, Actuar. Campo de aplicación: se especifica el objetivo, la aplicación y el tratamiento de exclusiones. Referencias normativas: otras normas que sirven de referencia. Términos y definiciones: breve descripción de los términos más usados en la norma. Sistema de gestión de la seguridad de la información: cómo establecer, implementar, monitorizar, revisar, mantener y mejorar el SGSI; requerimientos de documentación y su control. Responsabilidades de la dirección: en cuanto a compromiso con el SGSI, provisión de recursos y formación y concienciación del personal. Auditorías internas del SGSI: cómo realizar las auditorías internas de control. Revisión del SGSI por la dirección: cómo gestionar el proceso de revisión constante del SGSI Mejora de SGSI: mejora continua, acciones correctoras y acciones preventivas. Resumen de controles: anexo que enumera los objetivos de control y controles que se encuentran detallados en la norma ISO 17799:2005. Relación con los Principios de la OCDE: correspondencia entre los apartados de la ISO 27001 y los principios de buen gobierno de la OCDE. Correspondencia con otras normas: tabla de correspondencia de puntos con ISO 9001 y 14001. Bibliografía: normasy publicaciones de referencia. 1.4.1 TCSEC (Trusted Computer System Evaluation Criteria) Criterios de Evaluación de Sistemas Informáticos Confiables, TCSEC por sus siglas en inglés, fue publicado por el departamento de la Defensa de Estados Unidos, en 1985. Cuenta con cuatro extensas divisiones jerárquicas de seguridad, cada división consiste en una o más clases numeradas. Cada clase de criterios cubre cuatro categorías de evaluación: políticas de seguridad, responsabilidad, confianza y documentación. Los niveles de seguridad que presenta la TCSEC, en forma ascendente lo cual indica un mayor grado de seguridad, son los siguientes: División D: Protección mínima División C: Protección Discreta División B: Protección Obligatoria División A: Protección Verificada Capítulo 1 Fundamentos 11 1.5 ¿De quién nos protegemos? La mayoría de ataques a nuestro sistema van a provenir en última instancia de personas que, intencionadamente o no, pueden causarnos enormes pérdidas. Puede tratarse de personas que intentan conseguir el máximo nivel de privilegio posible aprovechando alguno (o algunos) de los riesgos o vulnerabilidades dentro de los sistemas de información, en otros casos intentarán conocer nuestros hábitos de navegación, en otros el robo de información como pueden ser contraseñas o números accesos confidenciales para portales financieros, etc., con lo cual provoquen actos fraudulentos que involucren nuestra identidad. La falta de protección a nuestros sistemas informáticos además de restar disponibilidad y rendimiento a los recursos (memoria, capacidad de almacenamiento) puede generarnos problemas legales. Por ejemplo, mediante la utilización de exploits o troyanos adecuados un spammer (distribuidor de spam) puede distribuir sus mensajes no deseados desde otra computadora sin que el propietario de la misma se entere, provocando problemas legales al responsable de la computadora que distribuye estos mensajes. A continuación, se describen brevemente los diferentes tipos de personas que de una u otra forma pueden constituir un riesgo para nuestros sistemas; generalmente se dividen en dos grandes grupos: Los atacantes pasivos.- Aquellos que fisgonean por el sistema pero no lo modifican o destruyen .Generalmente los curiosos y los hackers. Este tipo de atacantes pueden convertirse en atacantes activos Los atacantes activos.- Aquellos que dañan el objetivo atacado, o lo modifican en su favor. Por ejemplo, los intrusos remunerados suelen ser atacantes pasivos si nuestra red o equipo no es su objetivo, y activos en caso contrario. Otro grupo se refiere al personal (es decir, personal autorizado que hace mal uso de los privilegios o recursos asignados, o bien, el personal no autorizado que intenta ganar privilegios adicionales), el cual trabaja directa o indirectamente con el sistema de información dentro de una empresa, ya que puede llegar a ser ambos tipos de atacantes indistintamente, dependiendo de la situación concreta. Otro criterio para clasificación de atacantes o intrusos es el grado de conocimientos que involucran sus ataques. Los protagonistas de los delitos informáticos son: Hackers.- Expertos en sistemas avanzados. Se centran en los sistemas informáticos y de comunicaciones. Su objetivo principal es comprender los sistemas y el funcionamiento de ellos. Normalmente son quienes alertan de un fallo en algún programa comercial, y lo comunican al fabricante. Crackers.- Es un hacker con intenciones destructivas o delictivas, ya que viola la seguridad de un sistema informático de forma similar a como lo haría un hacker, sólo que a diferencia de este último, este individuo realiza la intrusión con fines de beneficio personal o para hacer daño a su objetivo. Lamers.- Normalmente son individuos con ganas de hacer hacking, pero que carecen de cualquier conocimiento. Capítulo 1 Fundamentos 12 Phreaker.- Este grupo es bien conocido en la red por sus conocimientos en telefonía, ya que poseen conocimientos profundos de los sistemas de telefonía, tanto terrestres como móviles. Newbie.- Es un novato o más particularmente es aquel que navega por Internet, tropieza con una página de hacking y descubre que existe un área de descarga de programas de hacking. Después se baja todo lo que puede y empieza a trabajar con los programas. Al contrario que los Lamers, los Newbies aprenden el hacking siguiendo todos los pasos para lograrlo. Script Kiddie.- Son el último eslabón. Se trata de simples usuarios de Internet, sin conocimientos sobre hack o el crack en su estado puro. Se dedican a buscar programas de hacking en la red y después los ejecutan sin leer primero los archivos “Readme” de cada aplicación. 1.6 UNIX/Linux Los sistemas operativos modernos cumplen con las funciones y prestaciones básicas, a los que adicionalmente se les añaden componentes que los diferencian de los demás, es entonces importante reconocer que cada sistema operativo tiene sus particularidades, así como sus diferencias en robustez, estabilidad y potencia. Dentro de esta gama encontramos los sistemas operativos derivados de UNIX, reconocidos a nivel mundial como eficientes y eficaces para el manejo de la seguridad computacional. Una de las ventajas de cualquier sistema UNIX es la portabilidad en cualquier arquitectura de hardware, logrando ser flexible y estable, además de ser multitarea y multiusuario. Soporta una especial atención a las comunicaciones, uso remoto de los equipos y distribución de recursos. Linux es un sistema operativo gratuito y libre de distribución inspirado en el sistema UNIX, hereda las ventajas descritas anteriormente, es por esto, que la Unidad de Servicios de Cómputo Académico (UNICA) de la Facultad de Ingeniería de la UNAM y caso de estudio desarrollado en el capítulo 4 de este trabajo; lo ha utilizado como plataforma de servicio y desarrollo de aplicaciones, hasta la actualidad. Este trabajo de tesis, en su caso práctico tiene como objetivo la protección de sistemas Linux, a través de mecanismos de seguridad montados en una infraestructura de software libre, tanto en aplicaciones como en sistemas operativos, esto derivado de las siguientes consideraciones: Linux puede tener menores costos de adquisición y producción que el software propietario. Linux alivia la carga de gestionar el licenciamiento de software. Linux puede ser robusto y seguro. Linux puede ayudar a desalentar la piratería de software. Linux es una herramienta útil de enseñanza. Capítulo 2 Seguridad Perimetral 13 CAPÍTULO 2 SEGURIDAD PERIMETRAL 2.1. Fundamentos de la Seguridad Perimetral Una de las principales actividades de la seguridad informática es proteger el perímetro de red en la organización, para tener una adecuada confianza en los sistemas del interior del perímetro. El objetivo de este capitulo es ayudar a entender los fundamentos de la protección del perímetro, la red y la infraestructura de la misma. Se describe el proceso del análisis de riesgos para determinar los elementos críticos, así como las herramientas que nos permitirán implementar las políticas de seguridad en la organización. 2.2. Análisis de riesgos Para el diseño de la seguridad perimetral en una red es necesario llevar acabo un análisis de riesgos basándose en la existencia de la infraestructura y determinando los lugares estratégicos para nuevos dispositivos de seguridad, así como las actividades y procedimientos que se deberán seguir para consolidar los objetivos. Dentro de la arquitectura para la seguridad de red, es importante conocer acerca deldesarrollo y las metas de la organización, ya que nos permitirá definir qué recursos deberán de ser protegidos, porqué tienen que ser resguardados y cómo protegerlos mientras exista ese recurso, además de contemplar quiénes podrán tener acceso a dichos recursos, etcétera. El proceso de análisis de riesgo (ver figura 2.1), es una parte dentro del ciclo de vida de un esquema de seguridad. Los objetivos que persigue el análisis de riesgos de seguridad son: Analizar el tiempo, esfuerzo y recursos disponibles y necesarios para atacar los problemas. Determinar cuales son los activos existentes. Efectuar un minucioso análisis de los peligros identificados, exposiciones, debilidades y amenazas potenciales. Capítulo 2 Seguridad Perimetral 14 Identificar, definir y revisar todos los controles de seguridad ya existentes. Determinar si es necesario incrementar las medidas de seguridad, los costos del riesgo y los beneficios esperados. Reducir la probabilidad de que ocurra un evento. Proporcionar los elementos de seguridad y protección adecuada para que en el caso de que acontezca un desastre, los costos en que se incurran no sean tan altos. Figura 2.1 Proceso de Análisis de Riesgos En el capítulo 3, de este trabajo, se detallan las actividades de un análisis de riesgos, así como el método que se aplicará para el caso práctico a desarrollar. 2.3. Perímetro El perímetro de red es toda la frontera de la red de área local. Los puntos de entrada y salida se forman cuando la red de área local se conecta a otra red. Sin embargo, actualmente “perímetro” tiene una definición más amplia que la que se ha indicado, normalmente se utiliza para describir el borde exterior de la red, pero hoy en día significa cualquier lugar donde los sistemas de confianza se encuentran con el tráfico de red desconfiable. Presentando una definición muy general se puede decir que el perímetro de red es: “la porción o porciones de red de una organización que están directamente conectadas a Internet, además de cualquier red en zona desmilitarizada”. Un perímetro puede incluir los siguientes aspectos: Routers de Frontera. Firewalls. Sistemas Detectores de Intrusos (IDS). Dispositivos de Redes Privadas Virtuales (VPN). Arquitectura de software. Zonas Desmilitarizadas (DMZ) y subredes. Sistemas Preventores de Intrusos (IPS). Capítulo 2 Seguridad Perimetral 15 2.4. Routers de Frontera El router se encarga de dirigir el tráfico interno y externo de nuestra red. El router de frontera es el último dispositivo bajo nuestro control que distingue la red interna de las redes inseguras como lo es Internet. 2.4.1. El papel del router Los routers se sitúan entre dos redes y a la vez que encaminan los paquetes entre una red y otra buscan los recorridos más "rápidos" o más precisos, pueden realizar un filtrado de paquetes, comprobando las direcciones IP y los puertos. El router no es solo un elemento físico para conectar una LAN a Internet (WAN), sino que es una muy buena opción a la hora de ampliar una LAN. Los routers traen de fábrica ciertos rangos de direcciones IP que se filtrarían automáticamente, aparte de las que nosotros le podremos asignar más adelante con las que no nos interesaría tener contacto por peligrosidad u otros. 2.4.2. El router como dispositivo de seguridad Normalmente el router se utiliza como la primera capa de protección en una arquitectura de seguridad general y, a veces, se utilizan en lugar de un firewall, especialmente en las redes pequeñas. Las capacidades de filtrado de los dispositivos de un firewall basado en router ha mejorado mucho, tanto en funcionalidad como en sencillez de uso. La implementación más común de un router en una arquitectura de seguridad general es como un dispositivo de análisis. 2.5. Firewalls Un firewall es un dispositivo que tiene un conjunto de reglas especificas, con la cuales determina que tráfico de red entra o sale de nuestra red. Generalmente es usado para interconectar una red privada con Internet (ver figura 2.2). Sin embargo, también se utilizan para implementar el nivel de control de acceso dentro de nuestra red, proporcionando un nivel de protección frente a un error. Normalmente el firewall esta ubicado en la frontera de la red, ya que evita que los intrusos tengan acceso a información confidencial, o bien, introducirse a nuevas redes. Figura 2.2 Firewall Capítulo 2 Seguridad Perimetral 16 2.5.1. Teoría referente a firewalls Existen tres principales tecnologías de firewall: Filtrado de Paquetes (Primera generación).-Se basa en permitir o denegar el tráfico basado en el encabezado de cada paquete. No guarda los estados de una conexión, es decir no tiene el concepto de una sesión. Filtrado por estado (Stateful Application Inspection).- Permite abrir "puertas" a cierto tipo de tráfico basado en una conexión y volver a cerrar la puerta cuando la conexión termina. Mantiene un registro de las conexiones, las sesiones y su contexto. Filtrado por Aplicación (Full Application Inspection). - Es capaz de inspeccionar hasta el nivel de aplicación. No solo la validez de la conexión sino todo el contenido de la trama. Es considerado como el más seguro. Todas las conexiones van a través del firewall. Además no permite conexiones directas y soporta autenticación a nivel de usuario. 2.5.1.1. Protocolo TCP/IP Los sistemas en una red necesitan hablar el mismo lenguaje o protocolo. El protocolo apropiado para esto es TCP/IP, el lenguaje primario de las comunicaciones de Internet. Para facilitar tales comunicaciones, la información que se envía necesita ser segmentada en piezas manejables llamadas paquetes. Las cabeceras de los paquetes son pequeños segmentos de información que identifican el inicio de un paquete. La porción IP de TCP/IP esta situado en el protocolo de Internet, el cual es responsable de identificar los paquetes (por su dirección IP) y guiarlos a su destino. Los paquetes IP son dirigidos o encaminados por los valores localizados en las cabeceras del paquete, su dirección destino, así como otra información que describe el tipo de servicio que el paquete podría soportar, entre otros datos. Cuando un paquete IP llega a un router, este revisa el destino del paquete para obtener el lugar a donde el paquete quiere ir, si lo conoce, el paquete pasa al segmento de red apropiado. 2.5.1.2. Servicios TCP, UDP e ICMP Los dos protocolos principales de la capa de transporte en el modelo del protocolo TCP/IP son UDP (User Datagram Protocol) y TCP (Transmission Control Protocol). El primero ofrece una transferencia de mensajes no fiable y no orientada a conexión y el segundo, una transferencia fiable y orientada a conexión. El protocolo TCP es orientado a conexión, es decir, se necesita establecer una conexión previa entre las dos máquinas antes de poder transmitir algún dato, la información que envía el emisor llegará siempre de forma correcta al destino ya que tiene la capacidad de retransmitir, y finalmente, será necesario cerrar la conexión. El protocolo UDP proporciona una comunicación muy sencilla entre las aplicaciones de dos computadoras. No esta orientado a conexión. No se establece una conexión previa con el otro extremo para transmitir un mensaje UDP. Los mensajes se envían y éstos pueden perderse o llegar desordenados al destino. Capítulo 2 Seguridad Perimetral 17 El protocolo ICMP (Internet Control Message Protocol) generalmente no se utiliza directamente por las aplicaciones de usuarioen la red. Su utilidad es controlar si un paquete no puede alcanzar su destino, o si su vida ha expirado, etc. Es decir, se usa para manejar mensajes de error y de control necesarios para los sistemas de la red, informando con ellos a la fuente original para que evite o corrija el problema detectado. 2.5.1.3. Saludos de tres vías (Three Way Handshake) Para iniciar comunicación a través del protocolo TCP (comunicación orientada a conexión) se utiliza lo que se conoce como Three Way Handshake (saludo de tres vías). Cuando una computadora “A“ envía un paquete a una computadora “B” con una bandera SYN (o sincronización) significa: “quiero iniciar una nueva conversación”. Si la computadora “B” puede y quiere conversar con la computadora “A”, regresa un paquete con una bandera SYN y una bandera ACK (confirmación), que significa: “también quiero iniciar una conversación contigo, y admito que seré parte de tu conversación”. Finalmente, la computadora “A” regresa una tercera parte del handshake, es decir, un paquete con una bandera ACK que significa: “Yo también tomaré parte de tú conversación, comencemos a hablar“. Con eso, comienza la transferencia de datos. (Ver figura 2.3) Figura 2.3 Banderas para el Three Way Handshake Los sistemas de filtrado de paquetes pueden usar esas banderas para determinar el estado del reciente Three way handshake, y permitir si así se desea nuevas conexiones o no. 2.5.1.4. El concepto de estado Básicamente, el estado es la condición de inicio de una sesión de comunicación dada. La definición de esta condición de inicio para una computadora o una sesión, puede diferir grandemente, dependiendo de la aplicación con que se están comunicando y los protocolos que están usando para el intercambio de información. Los dispositivos que rastrean el estado de la información, lo hacen a través de una tabla de estados. Esta tabla de estados guarda las entradas que representan todas las sesiones de comunicación que el dispositivo recibe. Cada entrada guarda una lista del estado de información que singularmente identifica la sesión. La información podría incluir direcciones IP fuente y destino, banderas, la sucesión y el reconocimiento numérico, etc. Cuando los paquetes ingresan, el dispositivo compara la información del paquete con la información de la tabla de estados para determinar si es parte de una sesión de comunicación existente. Si el paquete se relaciona a una entrada de la tabla actual, se permitirá el paso. Esto es porque la información contenida en la tabla de estados debe ser tan específica y detallada como sea posible, para garantizar que los intrusos no podrán construir tráfico que pueda pasar la prueba de la tabla de estados. Capítulo 2 Seguridad Perimetral 18 2.5.1.5. Inspección del estado Los firewall que implementan un motor de inspección de paquetes con estado (SPI, Stateful Packet Inspection) combinan la velocidad y la flexibilidad de los filtros de paquetes con la seguridad de nivel de aplicación, de los servidores Proxy de aplicaciones. Figura 2.4 Máquina Virtual de Inspección de Estado Este firewall funciona examinando cada paquete cuando pasa a través del firewall, y permite o deniega el paquete en función de si forma parte de una conversación existente que ha pasado anteriormente por el firewall o basándose en un conjunto de reglas muy parecidas a las reglas para el filtrado de paquetes, como se ilustra en la figura 2.4. 2.5.2. Filtrado de Paquetes El sistema de filtrado de paquetes se basa en la arquitectura de transferencia de datos existente, que utiliza paquetes que contienen encabezados con direcciones de protocolo de Internet y puertos de protocolos, para enviarlos a través de las redes a las ubicaciones esperadas. El filtrado de paquetes examina el encabezado de cada paquete analizando la procedencia y el destino de los datos, con lo cual puede determinar si acepta o rechaza la información. El proceso de decisión se basa en un conjunto de reglas que ha definido el administrador del firewall. Las reglas pueden basarse en información como: La dirección IP de origen, o el intervalo de direcciones IP. La dirección IP de destino, o intervalo de direcciones IP. El protocolo de red involucrado. El número de puerto que se utiliza. Puerto de origen. Puerto de destino. La acción a realizar cuando coincida con un grupo de reglas.. Capítulo 2 Seguridad Perimetral 19 2.5.2.1. Ventajas Las ventajas que se obtienen de implantar un dispositivo de filtrado de paquetes son: Prácticamente no presenta ningún impacto sobre la velocidad de transmisión de la información. Permite una rápida adaptación y puesta en marcha sobre prácticamente cualquier infraestructura de red. Es una solución multiplataforma, compatible con cualquier sistema operativo. Puede tener la característica de transparencia para el usuario final. Es relativamente económico. Proporciona una buena administración del tráfico. 2.5.2.2. Desventajas Dentro de las desventajas de implantar un dispositivo de filtrado de paquetes están: Permite conexiones directas con los hosts internos desde clientes externos. Susceptible a ataques que se producen una vez dentro del perímetro asegurado. No realiza un filtrado en la capa de aplicación del modelo de referencia OSI. De inicio no ofrece autenticación de usuario. 2.5.2.3. Filtrado con PF (Packet Filter, OpenBSD) Packet Filter es el sistema de OpenBSD para filtrar el tráfico IP y llevar a cabo la Traducción de Direcciones de Red (NAT, Network Address Translation”). Además de estas funciones, PF también es capaz de normalizar y acondicionar el tráfico IP y de proveer control del ancho de banda y la priorización de paquetes. Este sistema ha formado parte del núcleo GENERIC del sistema OpenBSD desde la versión 3.0 del sistema. Dentro de las funcionalidades más importantes de PF están: El filtrado de paquetes. La traducción de direcciones de red. El redireccionamiento de paquetes. Normalización de paquetes. Marcado de paquetes. Reservas de direcciones y balanceo de cargas. La acción de filtrar los paquetes es bloquear o permitir el paso de ellos de manera selectiva, a través de la información existente en la capa 3 y 4 de las cabeceras de los paquetes. Para poder realizar el filtrado de paquetes es necesario tener en cuenta que las reglas de filtrado se evalúan por orden de secuencia, para posteriormente decidir una acción final sobre el paquete. También es necesario conocer la sintaxis de las reglas que se desarrollarán para cumplir las políticas de seguridad ya preestablecidas. Capítulo 2 Seguridad Perimetral 20 2.5.3. Filtrado por estado de la conexión (Stateful Application inspection). El filtrado por estado de la conexión permite guardar un registro de las conexiones existentes. El firewall que maneje este tipo de filtrado es capaz de entender los protocolos de bajo nivel (IP, TCP, UDP, ICMP), y puede entender otros protocolos de alto nivel como lo son FTP e IRC. Esto permite al firewall tomar decisiones al instante sobre su configuración basándose en las necesidades actuales de las conexiones. Debemos revisar los estados que el motor del sistema de filtrado del firewall reconoce, estos estados están basados en las capacidades de registro de conexiones que tenga el sistema operativo. Para mayor detalle en cuanto el número y tipo de estados que puede presentar una conexión de TCP revise el Anexo A. 2.5.3.1. Ventajas Tienen dos ventajas principalmente frente a las tecnologías de filtrado de paquetes. El filtrado por estado tiene una tabla de conexión. El firewall de filtrado de paquetes no mantienen un registro de las comunicaciones pendientes, tiene que confiar en el formato del paquete específicamente. Es por eso que el llevar una tabla de conexiones, permitirá al firewall utilizar más información para determinar si permite el paso del paquete de una conversación ya aprobada, o representa el inicio de una nueva. La segunda ventaja es su capacidad para mirar dentro de los datos de algunos tipos de paquetes. Esto se ha convertido en una característica importante debido al número de vulnerabilidades conocidas en protocolos comunes. Por ejemplo, con la inspección en los protocolos FTP y SMTP el firewall que filtre por estado de conexión puede determinar la validez del comando utilizado. Además permite un mayor rendimiento, como opera solo a nivel de sesión y no de aplicación no tiene que inspeccionar todo el paquete de datos, y por lo tanto en el ancho de banda global, así como el número de conexiones se optimizan, permitiendo un procesamiento más rápido de cada paquete. 2.5.3.2. Desventajas No provee autenticación por usuario No revisa toda la trama del paquete, solo los encabezados. Susceptible a ataques que se producen una vez dentro del perímetro asegurado. 2.5.4. Filtrado por contenido o aplicación. El filtrado por contenido analizan todo el paquete a nivel de aplicación (según el sistema OSI), o lo que es lo mismo, controlan no solo los puertos o las sesiones, sino el protocolo que se utiliza para la comunicación, evitando que puedan falsearse servicios. Este filtrado tiene reglas más estrictas, a través de éstas determina si una conexión a una aplicación requerida es permitida, describiendo solo conexiones para propósitos específicos, como el acceso a Internet o el acceso a algún correo. Capítulo 2 Seguridad Perimetral 21 Este filtrado se conoce como Application Gateway y se distingue por el uso de los proxies para servicios como http, ftp, telnet, etc. Estos previenen el acceso directo a servicios al interior de la red, los cuales se describen posteriormente. 2.5.4.1. Ventajas Permite controlar qué aplicaciones serán utilizadas No solo valida la conexión sino todo el contenido de la trama. No permite conexiones directas Soporta autenticación a nivel de usuario. Analiza los comandos de la aplicación dentro de la carga del paquete (payload) Mantiene bitácoras extensas de tráfico y actividad específica. 2.5.4.2. Desventajas Generalmente son más lentos (tienen que analizar todo). Se requiere más cantidad de hardware para analizar el tráfico del canal. Pueden no soportar ciertos tipos de conexión. 2.6. Sistemas Detectores de intrusos Haciendo una analogía con un sistema de alarmas para ladrones, el Sistema Detector de Intrusos (IDS) funciona de manera similar para nuestra red, ya que es usada para detectar y alertar eventos maliciosos. El sistema podría formarse por muchos sensores diferentes colocados en puntos estratégicos en nuestra red. La detección de intrusiones es el proceso de monitorizar los eventos que ocurren en un sistema o red, para analizarlos en busca de problemas de seguridad. Para poder llevar a cabo este proceso existen sistemas especializados en la detección de eventos que podrían considerarse como de usos indebidos y/o anomalías. Dichos sistemas se pueden clasificar dependiendo de su localización, del tipo de análisis que realizan. Existen dos categorías principales de IDS: los basados en host (conocidos como HIDS); y en red (conocidos también como NIDS). Los primeros residen y protegen un host, mientras que los basados en red residen en uno o más hosts dedicado en exclusiva a la investigación de la red, el cual protege a todos los hosts conectados a la misma. Los NIDS monitorean el tráfico de la red en busca de actividad sospechosa. Algunos de estos sistemas residen en subredes que son directamente conectados al firewall, así como los puntos críticos en la red interna. 2.6.1. Conceptos Los Sistemas de Detección de Intrusiones están compuestos por tres elementos funcionales básicos: fuente de Información, un motor de análisis y un mecanismo de respuesta. Dependiendo de cada uno de los elementos se puede tener una clasificación de dichos sistemas, como se muestra en la figura 2.5. Capítulo 2 Seguridad Perimetral 22 Figura 2.5 Elementos básicos para los IDS Según el tipo de fuente de datos con el que cuenta el sistema detector, podremos hacer una clasificación, la cual se describe en la siguiente tabla. SISTEMAS DE DETECCIÓN DE INTRUSIONES FUENTE DE INFORMACIÓN OBJETIVO VENTAJAS DESVENTAJAS EJEMPLOS Host(IDS) Reside y protege una computadora, a través de los registros de auditoría de los sistemas operativos Puede alertar los cambios inesperados en sistemas de archivos importantes basados en sus firmas almacenadas Tiende a ser solo un comprobador de integridad de archivos. No son preactivos. No detecta los ataques antes de que se produzcan Tripware Open Source AIDE En Red(NIDS) Residen en una o más computadoras, los cuales están dedicados en exclusiva a la investigación de la red, a través de la captura de paquetes de red. Puede alertar de un ataque en potencia, según una base de datos de ataques o con el estado de la red. No afecta el rendimiento del resto de las máquinas de la red. Puede ser indetectable Si no esta bien implementado, tiende a registrar más errores que aciertos, produciendo cierto grado de insatisfacción. Snort ISS Real Secure Network Flight Recorder Bro Firestorm Prelude En Aplicación Registran la actividad de una determinada aplicación. Se obtiene un control sobre el funcionamiento de la aplicación. Si la aplicación sufre de un ataque de negación de servicios, se anulan los registros. Bitácoras de las aplicaciones y sistemas. Tabla 2.1 Sistemas de Detección de Intrusiones. Después del proceso de recopilación de información, se lleva a cabo el proceso de análisis. La detección de intrusiones también se puede clasificar según los objetivos del motor de análisis. Los dos tipos principales de análisis son: Capítulo 2 Seguridad Perimetral 23 Detección de usos indebidos: Para encontrar usos indebidos se comparan firmas con la información recogida en busca de coincidencias. (ver figura 2.6). Figura 2.6 Modelo general de un detector de usos indebidos Detección de anomalías: Para la detección de anomalías se manejan técnicas estadísticas que definen de forma aproximada lo que es el comportamiento usual o normal. (ver figura 2.7). Figura 2.7 Modelo general de un detector de anomalías La figura 2.8 muestra un esquema general de detector de intrusiones de usos indebidos mediante comparación de patrones y de anomalías. Figura 2.8 Esquema general de un Sistema de Detección de Intrusiones El objetivo principal de la etapa de análisis consiste en organizar y clasificar los datos sobre la actividad del usuario y del sistema para identificar actividades de interés (mientras ocurre o posterior al evento). Capítulo 2 Seguridad Perimetral 24 TÉCNICAS DE ANÁLISIS DETECCIÓN DE USOS INDEBIDOS DETECCIÓN DE ANOMALÍAS Comportamientos no permitidos Actividades poco comunes Información necesaria Amenazas, vulnerabilidades, ataques, políticas de sistema o procedimientos. Eventos generados por el sistema, patrón de comportamiento “normal”. Requisitos Bases de conocimientos con patrones fiables. Una serie de eventos. Un eficaz
Compartir