Experiencia prctica en la instalacin, configuracin, administracin y planeamiento de la implementacin de Windows 2000 o Windows Server 2003 Experiencia con Active irectory 1.. !anora"a actual 1.#. El $elito in%or"&tico est& au"entan$o $e %recuencia ' $e severi$a$( !os meses recientes "an considerado un claro aumento en ata#ues criminales contra los sistemas informticos del mundo$ !a naturale%a del riesgo est cam&iando rpidamente y est llegando a ser ms y ms seria$ !os "ac'ers criminales se estn sofisticando y la proliferacin de conexiones de &anda anc"a de alta velocidad ( una cosa muy positiva en todos aspectos ( crea un am&iente en el cual un virus o un gusano puede esparcirse incre)&lemente rpido y afectar a negocios y a consumidores ms rpidamente y percepti&lemente #ue antes$ 1.). *a tecnolo+,a e-iste para los siste"as $e protecci.n pero la clave est& en la puesta en pr&ctica( *ientras #ue no "ay software inmune a estos ata#ues criminales, las computadoras se pueden instalar y mantener de manera de reducir al m)nimo el riesgo$ +ero "asta la fec"a "a sido demasiado dif)cil, complicado y desafiante administrar las "erramientas existentes de seguridad, muc"as de las cuales, cuando se implementan apropiadamente, son altamente eficaces en la prevencin o la atenuacin del impacto en la computadora atacada$ 1./. Microso%t est& tratan$o el pro0le"a $e co"ple1i$a$ 2o' ' en el %uturo( ,econocemos #ue *icrosoft puede desempe-ar un papel dominante en me.orar la seguridad de la computadora/ necesitamos continuar invirtiendo y entregando un nivel ms alto de seguridad, necesitamos simplificar la seguridad y conducir la inteligencia de las protecciones de seguridad ms profundas en nuestro software para reducir las demandas en los usuarios y los administradores$ !os clientes nos dicen #ue esperan #ue nosotros "agamos ms y nosotros estamos escuc"ando y tra&a.ando de maneras m0ltiples para innovar y tratar el pro&lema$ *os clientes nos 2an $ic2o que quieren que las 2erra"ientas3 las caracter,sticas ' las con%i+uraciones $e se+uri$a$ sean "&s %&ciles $e poner en pr&ctica ' "&s si"ples $e utili4ar3 ' que las protecciones $e se+uri$a$ sean intr,nsecas al so%t5are. urante este curso, "a&laremos de cmo *icrosoft est respondiendo a estas demandas y al contorno de acciones #ue estamos llevando a ca&o, integrando tecnolog)as de seguridad$
*as acciones espec,%icas incluir&n( !os procesos, las pol)ticas y las tecnolog)as me.oradas de la administracin de parc"es para ayudar a clientes a permanecer actuali%ados y seguros$ El otorgamiento de una direccin me.or y las "erramientas para asegurar sistemas$ Actuali%aciones a *icrosoft Windows1 2+ y Windows Server 2003 con las nuevas tecnolog)as de seguridad ,#ue "arn a Windows ms resistente a los ata#ues, incluso si los parc"es todav)a no existen ni se "an instalado$ 1.6. De%inir Se+uri$a$ $e !lata%or"a 3ay varias pautas, estndares y recomendaciones disponi&les #ue pueden ayudar a simplificar la tarea de asegurar su empresa$ *iremos algunos de 4stos detalladamente$ IT In%rastructure *i0rar' 7ITI*8 De%inition El gerenciamiento de la seguridad es responsa&le de la confidencialidad, la integridad y la disponi&ilidad de datos asociados a un servicio$ 5n n0mero de security issues tienen #ue ser cu&iertos por la administracin de disponi&ilidad/ - !os servicios de&en estar disponi&les slo para el personal autori%ado - !os datos de&en estar disponi&les solamente para el personal autori%ado y solamente en las "oras convenidas - !os servicios de&en ser recupera&les dentro de los parmetros convenidos de confidencialidad e integridad - !os servicios se de&en dise-ar y funcionar dentro de las pol)ticas de seguridad - !os contratistas de&en tener acceso al "ardware o al software Nota( +ara ms informacin, ir a "ttp/66www$itil$org6itil7e6itil7e7080$"tml ISO 199:: 7;ritis2 Stan$ar$ 99::8 e "ttp/66emea$&si9glo&al$com6:nformationSecurity6;verview6index$xalter <!a informacin es la sangre de todas las organi%aciones y puede existir en muc"as formas$ +uede ser impresa o escrita en papel, almacenada electrnicamente, transmitida por correo electrnico, mostrada en pel)culas o "a&lada en una conversacin$ En el am&iente de negocio competitivo de "oy, tal informacin est constantemente &a.o amena%a de muc"as fuentes$ =stas pueden ser internas, externas, accidentales o maliciosas$ >on el uso creciente de la nueva tecnolog)a, al almacenar, transmitir y recuperar la informacin, "emos a&ierto un gran n0mero y tipo creciente de amena%as?$ <3ay una necesidad de esta&lecer una pol)tica comprensiva de seguridad de la informacin dentro de todas las organi%aciones$ 5sted necesita asegurar la confidencialidad, integridad y disponi&ilidad de la informacin corporativa vital y de la informacin del cliente$ El estndar para :nformation Security *anagement System @:S*SA BS CCDD, ya "a sido rpidamente esta&lecido por los vendedores de software ms grandes del mundo?$ :S; ECCDD @Britis" Standard CCDDA proporciona un acercamiento sistemtico para administrar la informacin corporativa sensi&le$ +roporciona los re#uisitos para :nformation Security *anagement System$ Security *anagement System es un cdigo de prctica #ue incluye gente, procesos, y sistemas$ :S; ECCDD a&arca de las die% secciones$ >omo :S; ECCDD es un estndar, se recomienda #ue 4ste sea repasado para el detalle en cada una de las E0 clasificaciones de seguridad$ Nota( +ara ms informacin, ir a/ "ttp/66csrc$nist$gov6pu&lications6secpu&s6ot"erpu&s6reviso9fa#$pdf "ttp/66csrc$nist$gov6pu&lications6secpu&s6ot"erpu&s6reviso9fa#$pdf "ttp/66emea$&si9glo&al$com6:nformationSecurity6;verview6index$xalter Microso%t Operations Fra"e5or< >apE93F$.pg *icrosoft ;perations Gramewor' @*;GA proporciona la direccin t4cnica y la ayuda de consulta #ue permite a organi%aciones alcan%ar confia&ilidad, disponi&ilidad, soporta&ilidad y flexi&ilidad en sistemas de misin critica de los productos y tecnolog)as *icrosoft$ *;G proporciona la direccin operacional en forma de w"ite papers, gu)as de operaciones, "erramientas, las me.ores prcticas, casos de estudio, plantillas, "erramientas de soporte y servicios$ Estas gu)as estn dirigidas a gente, procesos, tecnolog)a y administracin de issues comple.os, am&ientes :H "eterog4neos y distri&uidos$ 1.9. In$ice $el presente cap,tulo >aso prctico isciplina de administracin de riesgos de seguridad efensa en profundidad ,espuesta a incidentes de seguridad E.emplos de ata#ues ,ecomendaciones ie% normas de seguridad inmuta&les 1.=. >aso pr&ctico A#u) se esta&lecer el fundamento empresarial de la seguridad$ Espec)ficamente, se tratar/ !as consecuencias de las infracciones de seguridad$ !a encuesta de >S:6GB: de 2003$ 1.:. Repercusi.n $e las in%racciones $e se+uri$a$ >apE90E$.pg !as infracciones de seguridad afectan a las organi%aciones de diversas formas$ >on frecuencia, tienen los resultados siguientes/ +4rdida de &eneficios +er.uicio de la reputacin de la organi%acin +4rdida o compromiso de la seguridad de los datos :nterrupcin de los procesos empresariales eterioro de la confian%a del cliente eterioro de la confian%a del inversor >onsecuencias legales/ en muc"os estados o pa)ses, la incapacidad de proteger un sistema tiene consecuencias legalesI un e.emplo es Sar&anes ;xley, 3:+AA, J!BA, >alifornia SB E38K$ - !as infracciones de seguridad tienen efectos de gran repercusin$ >uando existe una de&ilidad en la seguridad, ya sea real o slo una percepcin, la organi%acin de&e emprender acciones inmediatas para garanti%ar su eliminacin y #ue los da-os #ueden restringidos$ - *uc"as organi%aciones tienen a"ora servicios expuestos a los clientes, como los sitios We&$ !os clientes pueden ser los primeros en o&servar el resultado de un ata#ue$ +or lo tanto, es esencial #ue la parte de una compa-)a #ue se expone al cliente sea lo ms segura posi&le$ 1.1?. Encuesta $e >SI@F;I $e ??# >apE902$.pg El costo de la implementacin de medidas de seguridad no es trivialI sin em&argo, slo es una fraccin del costo #ue supone mitigar un incidente de seguridad$ !a encuesta ms reciente so&re seguridad y delitos informticos del :nstituto de seguridad de e#uipos y de la ;ficina Gederal de :nvestigacin @>S:6GB:, >omputer Security :nstitute6Gederal Bureau of :nvestigationA de Estados 5nidos, incluye cifras interesantes relativas a las p4rdidas financieras #ue suponen los ata#ues a e#uipos para las organi%aciones #ue los sufren$ !a encuesta demuestra #ue los ata#ues de denegacin de servicio @oS, enial ;f ServiceA y de ro&o de informacin son los responsa&les de las mayores p4rdidas$ En consecuencia, es importante sa&er #ue aun#ue el costo de la implementacin de sistemas de proteccin de la seguridad no es trivial, supone una fraccin del costo #ue conlleva mitigar los compromisos de la seguridad$ !a solucin de seguridad ms efectiva es la creacin de un entorno en niveles de modo #ue se pueda aislar un posi&le ata#ue llevado a ca&o en uno de ellos$ 5n ata#ue tendr)a #ue poner en peligro varios niveles para lograr su propsito$ Esto se conoce como defensa en profundidad$ Esta estructura de seguridad se explicar detalladamente ms adelante en esta presentacin$ 1.11. Disciplina $e a$"inistraci.n $e ries+os $e se+uri$a$ En este cap)tulo, se explicar la disciplina de administracin de riesgos de seguridad @S,*A$ Espec)ficamente, se tratar/ !os tres procesos de S,* son/ Evaluacin$ esarrollo e implementacin$ Guncionamiento$ !a evaluacin implica/ Evaluacin y valoracin de activos$ :dentificacin de riesgos de seguridad con SH,:E$ Anlisis y asignacin de prioridad a los riesgos de seguridad con ,EA$ Seguimiento, planeamiento y programacin de actividades relacionadas con los riesgos de seguridad$ El desarrollo e implementacin incluyen/ esarrollo de m4todos correctivos de seguridad$ +rue&a de los m4todos correctivos de seguridad$ ;&tencin de informacin de seguridad$ El funcionamiento incluye Lolver a valorar los activos nuevos y los #ue "an sufrido cam&ios, as) como los riesgos de seguridad$ Esta&ili%ar e implementar medidas preventivas nuevas o #ue "an cam&iado$ 1.1. !rocesos >apE903$.pg !a disciplina de administracin de riesgos de seguridad @S,*, Security Risk Management DisciplineA define los tres procesos principales #ue una organi%acin de&e implementar para llegar a ser segura y continuar si4ndolo$ !os tres procesos son/ Evaluaci.n/ esta fase implica la recopilacin de la informacin relevante del entorno de la organi%acin con el fin de reali%ar una estimacin de la seguridad$ e&e recopilar datos suficientes para anali%ar de forma efectiva el estado actual del entorno$ A continuacin, se de&e determinar si los activos de informacin de la organi%acin estn &ien protegidos de posi&les amena%as, y se de&e crear un plan de accin de seguridad, #ue se pone en prctica durante el proceso de implementacin$ Desarrollo e i"ple"entaci.n/ esta fase se centra en la puesta en marc"a de un plan de accin de seguridad destinado a implementar los cam&ios recomendados definidos en la fase de evaluacin$ Adems, se desarrolla un plan de contingencia de riesgos de seguridad$ Funciona"iento/ durante esta fase, se de&e modificar y reali%ar actuali%aciones en el entorno a medida #ue se necesiten para mantener su seguridad$ urante los procesos operativos, se llevan a ca&o estrategias de prue&as de la penetracin y de respuesta a incidentes, #ue ayudan a solidificar los o&.etivos de la implementacin de un proyecto de seguridad en la organi%acin$ Asimismo, tam&i4n se reali%an actividades de auditor)a y supervisin para mantener la infraestructura intacta y segura$ En la gu)a de *icrosoft Solutions para la proteccin de Windows 2000 Server @Microsoft Solutions Guide for Securing Windows 2000 ServerA en www$microsoft$com, se encuentran detalles adicionales de S,*$ 1.1#. Evaluaci.n( evaluar ' valorar >apE90F$.pg !a evaluacin de activos determina el valor reconocido de la informacin desde el punto de vista de #uienes la utili%an y el tra&a.o #ue conlleva su desarrollo$ !a evaluacin de activos tam&i4n implica determinar el valor de un servicio de red, por e.emplo, el de un servicio #ue proporciona a los usuarios de la red acceso saliente a :nternet, desde el punto de vista de #uienes utili%an dic"o servicio y lo #ue costar)a volver a crearlo$ !a valoracin determina cunto cuesta mantener un activo, lo #ue costar)a si se perdiera o destruyera y #u4 &eneficio lograr)an terceros si o&tuvieran esta informacin$ El valor de un activo de&e refle.ar todos los costos identifica&les #ue surgir)an si el activo se viera per.udicado$ Al determinar las prioridades en relacin a los activos, se pueden emplear valores ar&itrarios, como los mostrados en la diapositiva, o valores espec)ficos, como el costo monetario real$ !as organi%aciones de&en utili%ar la escala ms apropiada para resaltar el valor relativo de sus activos$ 1.1). >apE90M$.pg !a identificacin de los riesgos de seguridad permite a los miem&ros de los grupos de tra&a.o del proyecto aclarar las ideas e identificar posi&les riesgos para la seguridad$ !a informacin se recopila en forma de amena%as, vulnera&ilidades, puntos d4&iles y medidas preventivas$ El modelo SH,:E proporciona una estructura valiosa y fcil de recordar para identificar las amena%as y los posi&les puntos d4&iles$ !a suplantacin de identidades es la capacidad de o&tener y usar la informacin de autenticacin de otro usuario$ 5n e.emplo de suplantacin de identidad es la utili%acin del nom&re y la contrase-a de otro usuario$ !a alteracin de datos implica su modificacin$ 5n e.emplo ser)a alterar el contenido del coo'ie de un cliente$ El repudio es la capacidad de negar #ue algo "a ocurrido$ 5n e.emplo de repudio ser)a #ue un usuario cargue datos da-inos en el sistema cuando en 4ste no se puede reali%ar un seguimiento de la operacin$ !a divulgacin de informacin implica la exposicin de informacin ante usuarios #ue se supone #ue no de&en disponer de ella$ 5n e.emplo de divulgacin de informacin es la capacidad de un intruso para leer arc"ivos m4dicos confidenciales a los #ue no se le "a otorgado acceso$ !os ata#ues de denegacin de servicio privan a los usuarios del servicio normal$ 5n e.emplo de denegacin de servicio consistir)a en de.ar un sitio We& inaccesi&le al inundarlo con una cantidad masiva de solicitudes 3HH+$ !a elevacin de privilegios es el proceso #ue siguen los intrusos para reali%ar una funcin #ue no tienen derec"o a efectuar$ +ara ello, puede explotarse una de&ilidad del software o usar las credenciales de forma ileg)tima$ ;tros ata#ues podr)an ser llevados a ca&o 0nicamente con el propsito de #ue el sistema de destino incurra en gastos$ +or e.emplo, se podr)a montar un ata#ue contra un servicio de fax o un tel4fono celular para "acer un gran n0mero de llamadas internacionales #ue supongan un gran costo$ 1.1/. A"ena4as co"unes 1.1/.1. ABuiCn pue$e atacarD >apE928$.pg !os atacantes de todas las capacidades y motivaciones son peligrosos a la seguridad de la red interna, de diversas maneras/ Principiante !a mayor)a de los atacantes tienen solamente conocimiento &sico de sistemas pero son inmviles y peligrosos por#ue no entienden a menudo completamente las consecuencias de sus acciones$ !ntermedio$ !os atacantes con "a&ilidades intermedias generalmente estn intentando ganar respeto en comunidades de atacantes$ H)picamente, atacan &lancos prominentes y crean "erramientas automati%adas para atacar otras redes$ "van#ado$ !os atacantes altamente expertos presentan un desaf)o serio a la seguridad por#ue sus m4todos de ata#ue se pueden extender ms all de la tecnolog)a en intrusin f)sica e ingenier)a social, o enga-o de un usuario o administrador para ganar la informacin$ Aun#ue "ay relativamente pocos atacantes avan%ados, sus "a&ilidades y la experiencia los "acen los atacantes ms peligrosos a una red$ 1.1/.. Eulnera0ili$a$es >apE92D$.pg !os ata#ues ms acertados contra redes tienen 4xito explotando el campo com0n y las vulnera&ilidades o de&ilidades sa&idas$ Aseg0rese de entrenar a administradores y reconocer estas vulnera&ilidades para #ue lleguen a ser familiares con nuevas vulnera&ilidades cuando ellas se descu&ran$ 1.1/.#. A>."o ocurren los ataquesD >apE930$.pg !os ata#ues contra redes siguen a menudo el mismo patrn$ *4todos de dise-o para detectar, responder o prevenir ata#ues durante cada una de las siguientes etapas/ $ !ngreso En esta etapa, el atacante investiga a la organi%acin &lanco$ =l puede o&tener toda la informacin p0&lica so&re una organi%acin y sus empleados y reali%ar exploraciones completas en todas las computadoras y dispositivos #ue son accesi&les desde :nternet$ 2 Penetracin espu4s de #ue el atacante "aya locali%ado vulnera&ilidades potenciales, intenta aprovec"arse de una de ellas$ +or e.emplo, el atacante explota un Servidor We& #ue carece de la actuali%acin 0ltima de seguridad$ % &levacin del privilegio$ !uego #ue el atacante "a penetrado con 4xito la red, procura o&tener los derec"os a nivel sistema de Administrador$ +or e.emplo, mientras #ue explota el servidor We&, gana control de un proceso funcionando &a.o el contexto !ocalSystem$ Este proceso ser utili%ado para crear una cuenta administrador$ En general, seguridad po&re como resultado de usar las configuraciones por defecto, permite #ue un atacante o&tenga el acceso de red sin muc"o esfuer%o$ ' &(plotar espu4s de #ue el atacante "aya o&tenido las derec"as necesarias, 4l reali%a la "a%a-a o m4todo de romper la red$ +or e.emplo, el atacante elige desfigurar el sitio p0&lico We& de la organi%acin$ ) *over+up !a etapa final de un ata#ue es donde un atacante procura ocultar sus acciones para escapar a la deteccin o el procesamiento$ +or e.emplo, un atacante &orra entradas relevantes en arc"ivos log de la intervencin$ 1.16. Evaluaci.n( an&lisis ' esta0leci"iento $e priori$a$es $e los ries+os $e se+uri$a$( DREAD DREAD a-o >apacidad de reproduccin >apacidad de explotacin 5suarios afectados >apacidad de descu&rimiento E-posici.n al ries+o F !riori$a$ $el activo - >ate+or,a $e la a"ena4a El anlisis de riesgos de seguridad se utili%a para anali%ar los ata#ues, "erramientas, m4todos y t4cnicas #ue podr)an usarse para explotar una posi&le vulnera&ilidad$ El anlisis de riesgos de seguridad es un m4todo para la identificacin de riesgos y la evaluacin del posi&le da-o #ue podr)a ocasionarse$ El resultado de la evaluacin puede usarse para .ustificar medidas de proteccin de la seguridad$ 5n anlisis de riesgos de seguridad tiene tres o&.etivos principales/ identificar riesgos, cuantificar los efectos de las posi&les amena%as y proporcionar un e#uili&rio econmico entre la repercusin del riesgo y el costo de la medida preventiva$ !a informacin se recopila para estimar el grado de riesgo de modo #ue el grupo de tra&a.o pueda tomar decisiones fundadas en relacin a #u4 riesgos de seguridad de&en constituir el o&.eto principal de las estrategias correctivas$ Este anlisis se usa entonces para asignar prioridad a los riesgos de seguridad y permitir a la organi%acin destinar los recursos para tratar los pro&lemas de seguridad ms importantes$ 5na ve% identificada una amena%a, de&e clasificarse$ 5na solucin para ello es usar ,EA$ !a clasificacin de E a E0 se asigna en cinco reas/ da-os, capacidad de reproduccin, capacidad de explotacin, usuarios afectados y capacidad de descu&rimiento$ !a clasificacin se reali%a como promedio, con lo #ue ofrece una categor)a glo&al de amena%as$ >uanto mayor es la categor)a, ms grave es la amena%a$ Esta clasificacin proporciona una perspectiva de la prioridad relativa de cada riesgo en ve% de una cuantificacin real del mismo$ +ara ello se pede tomar esta categor)a y multiplicarla por el grado de imprescindi&ilidad de un sistema para conocer el riesgo #ue supone para 4ste$ 1.19. Ele"entos a prote+er >apE93E$.pg Adems de la proteccin f)sica enumerada en la ta&la, gran parte del papel de la seguridad es proteger la confian%a p0&lica y la confian%a en socios de negocio$ En las prcticas generalmente aceptadas de la conta&ilidad @JAA+A, este tipo de activo se conoce como voluntad, #ue se puede poner en estados financieros cuando venden a una compa-)a$ >onsiderar, por e.emplo, #ue un atacante atac el sitio We& de su organi%acin$ 5sted notifica a sus clientes #ue el atacante "a ro&ado la informacin privada de 5suarios del sitio We&, incluyendo sus direcciones y n0meros de tar.eta de cr4dito$ Adems de incurrir en p4rdidas financieras directas del negocio, su organi%acin tam&i4n sufre una p4rdida de confian%a por#ue se desdi&u.a la imagen de la compa-)a$ 1.1=. >apE90K$.pg !as tareas de seguimiento, planeamiento y programacin de riesgos de seguridad toman la informacin o&tenida en el anlisis de riesgos de seguridad y se utili%an para formular estrategias correctivas y de contingencia, adems de los planes para a&arcarlas$ !a programacin de riesgos de seguridad intenta definir un programa para las diversas estrategias correctivas, creadas durante la fase de generacin de un proyecto de seguridad$ Esta programacin tiene en consideracin la forma en #ue los planes de seguridad se aprue&an e incorporan a la ar#uitectura de informacin, adems de los procedimientos de operaciones diarias estndares #ue de&en implementarse$ 1.1:. >apE90C$.pg El desarrollo de m4todos correctivos para los riesgos de seguridad es un proceso en el #ue se toman los planes creados durante la fase de evaluacin y se usan para ela&orar una nueva estrategia de seguridad #ue impli#ue la administracin de la configuracin y las revisiones, la supervisin y auditor)a de los sistemas, y la creacin de directivas y procedimientos operativos$ A medida #ue se desarrollan las diversas medidas preventivas, es importante garanti%ar #ue se realice un seguimiento e informe minuciosos del progreso$ !a prue&a de las estrategias correctivas de los riesgos de seguridad tienen lugar despu4s de su desarrollo, una ve% reali%ados los cam&ios de administracin del sistema asociados y escrito las directivas y procedimientos para determinar su efectividad$ El proceso de prue&a permite al grupo de tra&a.o considerar cmo se pueden implementar dic"os cam&ios en un entorno de produccin$ urante el proceso de prue&a, las medidas preventivas se eval0an teniendo en cuenta la efectividad con respecto a cmo se consigue controlar el riesgo de seguridad y a los efectos indesea&les #ue se o&servan en otras aplicaciones$ 1.?. O0tenci.n >apE908$.pg El conocimiento de los riesgos de seguridad permite formali%ar el proceso para recopilar la informacin so&re cmo el grupo de tra&a.o protegi los activos y documenta las vulnera&ilidades y puntos d4&iles #ue se descu&rieron$ >uando el departamento de tecnolog)a de la informacin @:H, :nformation Hec"nologyA re0ne nueva informacin relativa a la seguridad, dic"a informacin se de&e capturar y volver a implementar para garanti%ar la mxima eficacia, continuada de las medidas preventivas de seguridad #ue protegen los activos de la organi%acin$ Adems, se de&e implantar un programa de aprendi%a.e destinado a los grupos empresariales$ Este programa de aprendi%a.e puede tomar la forma de cursos instructivos o de &oletines dise-ados para ad#uirir conciencia de la seguridad$ 5na organi%acin de&e definir un proceso formal de administracin de riesgos #ue determinar cmo se inician y eval0an las medidas preventivas, y en #u4 circunstancias se de&e avan%ar de un paso a otro en cada riesgo de seguridad o con.unto de riesgos$ 1.1. Funciona"iento( reevaluaci.n $e los activos ' los ries+os >apE90D$.pg !as organi%aciones son dinmicas y su plan de seguridad tam&i4n de&e serlo$ Se de&e actuali%ar la evaluacin de riesgos peridicamente$ Asimismo, valorar el plan de evaluacin de riesgos cada ve% #ue se realice un cam&io importante en el funcionamiento o en la estructura$ Es decir, si se efect0a una reorgani%acin o se traslada a un edificio nuevo o se cam&ia de proveedores o se activa un nuevo sitio We& o se reali%an otros cam&ios importantes, se de&en volver a evaluar los riegos y las posi&les p4rdidas mediante los pasos descritos anteriormente en la fase de evaluacin$ Es importante evaluar los riesgos de forma continuada$ Esto significa #ue nunca se de&e de.ar de &uscar nuevos riesgos ni de reevaluar peridicamente los riesgos existentes$ Si no se reali%a alguna de estas acciones, la administracin de riesgos no &eneficiar a la organi%acin$ !a frecuencia con #ue se de&e revisar el plan de administracin de riesgos y sus activadores de&e definirse en la directiva de seguridad de la organi%acin$ !a reevaluacin de activos y riesgos es esencialmente un proceso de administracin de cam&ios, pero tam&i4n se utili%a para reali%ar la administracin de la configuracin de seguridad$ Esto permite reducir el tra&a.o administrativo cuando se "an completado las medidas preventivas y las directivas de seguridad$ 1.. Funciona"iento( esta0ili4aci.n ' $esarrollo $e "e$i$as preventivas >apE9E0$.pg En general, la isciplina de Administracin de ,iesgos de Seguridad se &asa en los siguientes componentes de la gu)a de ciclo de vida de tecnolog)a de la informacin de *icrosoft/ isciplina de administracin de riesgos de *icrosoft Solutions Gramewor' @*SGA "ttp/66www$microsoft$com6tec"net6itsolutions6tec"guide6msf6msrmdEE$mspx @este sitio est en ingl4sA *odelo de riesgo para operaciones de *icrosoft ;perations Gramewor' @*;GA "ttp/66www$microsoft$com6tec"net6itsolutions6tec"guide6mof6mofris'$mspx @este sitio est en ingl4sA !a diapositiva muestra el modelo de riesgo para operaciones de *;G, #ue descri&e los pasos del proceso de administracin de riesgos/ identificar, anali%ar, planear, rastrear y controlar$ Se trata de un proceso continuado #ue implica la evaluacin y el anlisis continuados de los riesgos de seguridad$ En consecuencia, ser necesario implementar continuamente nuevas medidas preventivas o reali%ar cam&ios en las existentes, &asndose en esta nueva evaluacin$ espu4s de la implementacin de las medidas preventivas nuevas o #ue "an cam&iado, es importante mantener el proceso de las operaciones$ !as tareas #ue los administradores de seguridad o los administradores de redes tienen #ue reali%ar pueden incluir/ Administracin del sistema *antenimiento de cuentas Supervisin de servicios +rogramacin de tra&a.os +rocedimientos de copia de seguridad Estos procesos de implementacin de la esta&ili%acin y las medidas preventivas corresponden a las fases de esta&ili%acin y desarrollo del modelo de proceso *SG, #ue pueden encontrarse en "ttp/66www$microsoft$com6tec"net6itsolutions6tec"guide6msf6msfpm3E$mspx @este sitio est en ingl4sA$ 1.#. De%ensa en pro%un$i$a$ En este tema, se expondr la defensa en profundidad$ Espec)ficamente, se tratar/ ;rgani%acin de una estructura para la seguridad/ defensa en profundidad$ >mo se puede ver comprometida la seguridad de cada nivel del modelo de defensa en profundidad$ >mo proporcionar proteccin para cada nivel del modelo de defensa en profundidad$ +ara reducir riesgo en un am&iente, se de&e utili%ar una estrategia de la defensa9en9profundidad para proteger recursos contra amena%as externas e internas$ efensa en profundidad @llamado a veces seguridad en profundidad o seguridad de varias capasA se toma de un t4rmino militar usado para descri&ir las contramedidas de la seguridad para formar un am&iente co"esivo de seguridad sin un solo punto de falla$ !as capas de la seguridad #ue forman la estrategia de defensa9en9profundidad de&en incluir medidas protectoras #ue implementen desde sus routers externos completamente a la locali%acin de los recursos y a todos los puntos entre ellos$ +or capas m0ltiples se implementa seguridad, y se de&e ayudar a asegurar una capa si se compromete la misma, !as otras capas proporcionarn la seguridad necesaria para proteger los recursos$ +or e.emplo, el compromiso del firewall de una organi%acin no de&e proporcionar acceso del atacante a los datos ms sensi&les de la organi%acin$ >ada capa de&e proporcionar idealmente diversas formas de contramedidas para evitar #ue el mismo m4todo de ata#ue sea utili%ado en las diferentes capas$ Se de&e invertir en una proteccin multi9vendor contra virus si es posi&le$ Ham&i4n es necesario asegurarse de #ue la proteccin de virus est4 configurada en diversos puntos como gateway, server, clientes etc4tera$ 1.). Estructura $e or+ani4aci.n $e la se+uri$a$ >apE9EE$.pg +ara reducir al m)nimo la posi&ilidad de #ue un ata#ue contra una organi%acin tenga 4xito, se de&e utili%ar el mayor n0mero posi&le de niveles de defensa$ efender una organi%acin en profundidad implica el uso de varios niveles de defensa$ Si un nivel se ve comprometido, ello no conlleva necesariamente #ue tam&i4n lo est4 toda la organi%acin$ >omo directri% general, se de&e dise-ar y crear cada nivel de la seguridad &a.o el supuesto de #ue se "a conseguido infringir la seguridad$ ,eali%ar los pasos necesarios para proteger el nivel en el #ue se est4 tra&a.ando$ Adems, "ay muc"as formas de proteger cada nivel individual mediante "erramientas, tecnolog)as, directivas y la aplicacin de las recomendaciones$ +or e.emplo/ ,ivel de directivas- procedimientos y concienciacin/ programas educativos de seguridad para los usuarios ,ivel de seguridad f.sica/ guardias de seguridad, &lo#ueos y dispositivos de seguimiento ,ivel perimetral/ servidores de seguridad de "ardware, software o am&os, y creacin de redes privadas virtuales con procedimientos de cuarentena ,ivel de red de !nternet/ segmentacin de red, Seguridad :+ @:+SecA y sistemas de deteccin de intrusos de red ,ivel de /ost/ prcticas destinadas a refor%ar los servidores y clientes, "erramientas de administracin de revisiones, m4todos seguros de autenticacin y sistemas de deteccin de intrusos &asados en "osts$ ,ivel de aplicacin/ prcticas destinadas a refor%ar las aplicaciones y el software antivirus ,ivel de datos/ listas de control de acceso @A>!A y cifrado 1./. Descripci.n $e las $irectivas3 los proce$i"ientos ' el nivel $e concienciaci.n >apE9E2$.pg Jeneralmente, los usuarios no tienen en cuenta la seguridad cuando reali%an sus tareas diarias$ 5na directiva de seguridad para una organi%acin de&e definir/ El uso acepta&le$ El acceso remoto$ !a proteccin de la informacin$ !a copia de seguridad de los datos$ !a seguridad del per)metro$ !a seguridad de los dispositivos y "osts &sicos$ 5na directiva de&e comunicar consenso y proporcionar el fundamento para #ue el departamento de ,ecursos 3umanos act0e en el caso de #ue se infrin.a la seguridad$ Ham&i4n puede ayudar a demandar a #uienes logren infringir la seguridad$ 5na directiva de seguridad de&e proporcionar a la organi%acin un procedimiento de tratamiento de incidentes apropiado$ e&e definir/ !as reas de responsa&ilidad$ El tipo de informacin #ue de&e registrarse$ El destino de esa informacin$ Nu4 acciones emprender tras un incidente$ 5na directiva de seguridad adecuada suele ser el fundamento del resto de prcticas de seguridad$ >ada directiva de&e ser lo suficientemente general para poder aplicarse en distintas tecnolog)as y plataformas$ Al mismo tiempo, de&e ser lo suficientemente espec)fica para proporcionar a los profesionales de :H orientacin so&re cmo implementar la directiva$ El m&ito de la directiva de seguridad de una organi%acin depende del tama-o y comple.idad de 4sta$ En muc"as organi%aciones "ay conse.os disponi&les so&re cmo crear directivas de seguridad, por e.emplo, en "ttp/66www$sans$org6 y "ttp/66www$iss$net6 @estos sitios estn en ingl4sA$ 1.6. Directivas3 proce$i"ientos ' co"pro"iso $el nivel $e concienciaci.n !os intrusos pueden usar estratagemas sociales para aprovec"arse de los usuarios #ue no son conscientes de los pro&lemas de seguridad #ue pueden surgir en su lugar de tra&a.o o #ue los desconocen$ +ara los usuarios, muc"as medidas de seguridad parecen innecesarias y, por lo tanto, no las siguen$ *uc"os ata#ues implican el uso de estratagemas sociales$ >iertos artificios sociales se aprovec"an de la despreocupacin por la seguridad con #ue la mayor parte de los usuarios act0an en su vida diaria$ 5n intruso puede emplear su tiempo de ocio o de tra&a.o en intentar conocer a los usuarios y ganarse su confian%a$ Aun#ue un intruso formule preguntas aparentemente inofensivas, la informacin #ue o&tiene en con.unto le proporciona los medios para llevar a ca&o o iniciar un ata#ue$ 1.9. Directivas3 proce$i"ientos ' protecci.n $el nivel $e concienciaci.n +ara contrarrestar estas amena%as de estratagemas sociales, las organi%aciones de&en implementar procedimientos claros y precisos, y procesos #ue de&an cumplir todos los empleados, adems de entrenarlos en el uso de estas directivas$ >ada funcin #ue se desempe-e de&e tener instrucciones claras y documentadas$ Siempre se re#uieren programas de aprendi%a.e so&re seguridad para detallar estos procesos y procedimientos$ !as instrucciones de&en formar una imagen completa de la seguridad de modo #ue los usuarios entiendan la necesidad de disponer de seguridad en todos los niveles y en todas las ocasiones$ 5na directiva de seguridad com&ina las necesidades de seguridad y la cultura de una organi%acin$ Se ve afectada por el tama-o de la organi%acin y sus o&.etivos$ Algunas directivas pueden ser aplica&les a todos los sitios pero otras son espec)ficas de ciertos entornos$ 5na directiva de seguridad de&e e#uili&rar la posi&ilidad de control con la necesidad de productividad$ Si las directivas son demasiado restrictivas, los usuarios siempre encontrarn formas de omitir los controles$ 5na organi%acin de&e demostrar un compromiso en la administracin con respecto al grado de control definido en una directivaI de lo contrario, no se implementar correctamente$ 1.=. Descripci.n $el nivel $e se+uri$a$ %,sica >apE9E3$.pg 5n intruso con acceso a los componentes f)sicos puede omitir fcilmente muc"os procedimientos de seguridad$ 5n intruso puede utili%ar el tel4fono de una compa-)a o un dispositivo de mano$ Acciones como ver las listas de contactos o n0meros de tel4fono, enviar un mensa.e de correo electrnico o responder al tel4fono identificndose como su propietario, pueden facilitar al intruso la consecucin de su o&.etivo$ !os e#uipos porttiles de una compa-)a pueden contener a&undante informacin muy 0til para un intruso$ Es por ello #ue siempre de&en almacenarse de un modo seguro cuando no se est4n usando$ 1.:. >o"pro"iso $el nivel $e se+uri$a$ %,sica >apE9EF$.pg Si los intrusos o&tienen acceso f)sico a los sistemas, pasan a convertirse en efecto en sus propietarios$ En algunos casos, un ata#ue slo es un acto vandlico$ es"a&ilitar un sistema puede constituir un pro&lema importante, pero no es menos serio #ue el "ec"o de #ue un intruso pueda ver, cam&iar o eliminar datos #ue se piensa #ue son seguros$ El acceso f)sico a un sistema tam&i4n permite a un intruso instalar software$ El software puede pasar desaperci&ido y e.ecutarse en un sistema durante un per)odo considera&le, durante el #ue consigue recopilar datos esenciales de la compa-)a$ Esto puede resultar desastroso$ 1.#?. !rotecci.n en el nivel $e se+uri$a$ %,sica Se puede utili%ar una amplia variedad de t4cnicas para proteger una instalacin$ El grado de seguridad f)sica disponi&le depende del presupuesto$ Es fcil mantener estndares elevados cuando se tra&a.a con un modelo "ipot4tico$ Sin em&argo, en el mundo real, las soluciones de&en idearse en funcin del sitio, los edificios y las medidas de seguridad empleadas$ !a lista de la diapositiva presenta algunas de las maneras en #ue puede proteger una instalacin$ !a $e%ensa en pro%un$i$a$ comien%a por aplicar una seguridad f)sica a todos los componentes de la infraestructura$ Si alg0n individuo no autori%ado tiene acceso f)sico al entorno, 4ste no se puede considerar seguro$ +or e.emplo, un t4cnico de mantenimiento podr)a cam&iar un disco con errores en una matri% ,A:E #ue contenga datos de clientes$ Es posi&le #ue el disco se pueda reparar$ !os datos estn a"ora en manos de un tercero$ El primer paso es separar los servidores de los operadores "umanos y los usuarios$ Hodas las salas de servidores de&en estar cerradas con llave$ El acceso a las salas de servidores de&e estar controlado y registrado estrictamente$ Algunos de los mecanismos de control de acceso #ue pueden aplicarse incluyen el uso de placas de identificacin y sistemas &iom4tricos$ 5n empleado de confian%a de&e organi%ar de antemano el acceso y autori%arlo$ Si no existen salas especiales para los servidores, 4stos se de&en proteger en ca&inas o, al menos, cerrarse &a.o llave en los armarios$ !a mayor parte de los armarios de servidores se puede a&rir con una llave estndar de modo #ue no de&e confiar 0nicamente en las cerraduras #ue vengan de f&rica$ Hodas las salas de servidores de&en disponer de alg0n tipo de mecanismo contra incendios/ los incendios provocados constituyen una amena%a #ue re#uiere una medida preventiva$ El acceso de&e ser supervisado por guardias de seguridad o mediante un circuito cerrado de televisin @>>HLA$ !as gra&aciones de v)deo de >>HL se pueden usar con fines de auditor)a y la presencia de cmaras puede servir para prevenir accesos oportunistas$ Henga en cuenta #ue en la mayor parte de las ocasiones, #uienes consiguen infringir la seguridad son individuos #ue curiosean sin malas intenciones, no piratas informticos especiali%ados #ue persiguen un fin da-ino$ El acceso f)sico se extiende a las consolas de administracin remotas, adems de a los servidores$ Oo tiene sentido proteger directamente el acceso a los monitores y los teclados si los servicios de terminal pueden tener acceso a los servidores desde cual#uier lugar de la red interna$ Esta directri% se aplica a las soluciones de monitor de v)deo de teclado @PL*, 0ey1oard 2ideo MonitorA :+ y tam&i4n al "ardware de administracin remota$ :gualmente, es importante limitar las oportunidades #ue puedan facilitar #ue los usuarios, con &uenas intenciones o no, infecten o pongan en peligro un sistema$ Nuitar los dispositivos de entrada de datos como las unidades de dis#uete y de >9,;* de los sistemas #ue no los re#uieran$ +or 0ltimo, comprue&ar #ue todo el "ardware de red est f)sicamente protegido$ Si los servidores estn protegidos en una sala o armario con cerradura, los enrutadores y conmutadores ad.untos tam&i4n de&en estar protegidos f)sicamente$ e lo contrario, un intruso puede llegar fcilmente "asta un e#uipo porttil o de escritorio, y atacar a los servidores desde dentro del per)metro$ 5na ve% ms, se de&e controlar la administracin de los dispositivos de redI de lo contrario, pueden utili%arse para perpetrar un ata#ue contra el resto de la infraestructura$ 1.#1. Descripci.n $el nivel peri"etral >apE9EM$.pg El per)metro de red es el rea de una red #ue est ms expuesta a un ata#ue del exterior$ !os per)metros de red se pueden conectar a numerosos entornos diferentes, #ue van desde socios comerciales a :nternet$ >ada organi%acin usa criterios distintos para definir su per)metro$ !os criterios pueden incluir algunas o todas las conexiones descritas en la diapositiva$ 1.#. >o"pro"iso $e la se+uri$a$ $el nivel $e per,"etro >apE9EK$.pg !a mayor)a de los expertos en seguridad se centran en el rea desde la #ue ca&e esperar #ue se origine un ata#ue, como :nternet$ Sin em&argo, los intrusos tam&i4n son conscientes de #ue 4sta ser la solucin #ue pro&a&lemente utilice e intentarn atacar la red desde alg0n otro lugar$ Es muy importante #ue todas las entradas y salidas de la red sean seguras$ Es impro&a&le #ue uno sea el responsa&le de la implementacin de seguridad de los socios comercialesI por lo tanto, no se puede confiar completamente en todo el acceso #ue se origine en ese entorno$ Adems, no se tiene control del "ardware de los usuarios remotos, lo #ue constituye otro motivo para no confiar en el mismo$ !as sucursales podr)an no contener informacin confidencial y, por lo tanto, es posi&le #ue tengan una implementacin menos segura$ Sin em&argo, podr)an tener v)nculos directos a la oficina principal #ue un intruso podr)a usar$ Es importante considerar la seguridad de la red en con.unto, no slo en reas individuales$ 1.##. !rotecci.n $el nivel $e per,"etro >apE9EC$.pg !a proteccin de los per)metros se puede llevar a ca&o principalmente con servidores de seguridad$ !a configuracin de un servidor de seguridad puede ser dif)cil desde el punto de vista t4cnico$ +or lo tanto, los procedimientos de&en detallar claramente los re#uisitos$ !os sistemas operativos recientes de *icrosoft1 Windows1 facilitan el &lo#ueo de los puertos de comunicacin innecesarios para reducir el perfil de ata#ue de un e#uipo$ !a traduccin de direcciones de red @OAH, ,etwork "ddress 3ranslationA permite a una organi%acin disimular las configuraciones de direcciones :+ y de puertos internos para impedir #ue usuarios malintencionados ata#uen los sistemas internos con informacin de red ro&ada$ !os mecanismos de seguridad del per)metro pueden ocultar tam&i4n los servicios internos, incluso a#uellos #ue estn disponi&les externamente, de modo #ue un intruso nunca se comuni#ue de forma directa con ning0n sistema #ue no sea el servidor de seguridad desde :nternet$ >uando los datos salen del entorno #ue est &a.o la responsa&ilidad de uno, es importante #ue se encuentren en un estado #ue garantice su seguridad y #ue lleguen intactos a destino$ Esto se puede conseguir mediante protocolos de t0nel y cifrado, con el fin de crear una red privada virtual @L+O, 2irtual Private ,etworkA$ El protocolo de t0nel #ue emplean los sistemas de *icrosoft es el +rotocolo de t0nel punto a punto @++H+, Point+to+Point 3unneling ProtocolA, #ue utili%a >ifrado punto a punto de *icrosoft @*++E, Microsoft Point+to+Point &ncryptionA, o +rotocolo de t0nel de nivel 2 @!2H+, 4ayer 2 3unneling ProtocolA, #ue utili%a el cifrado de :+Sec$ >uando los e#uipos remotos esta&lecen comunicacin a trav4s de una L+O, las organi%aciones pueden seguir pasos adicionales para examinar esos e#uipos y garanti%ar #ue cumplan una directiva de seguridad predeterminada$ !os sistemas #ue esta&lecen la conexin se a)slan en un rea independiente de la red "asta #ue se completan las compro&aciones de seguridad$ !os sistemas del per)metro tam&i4n de&en tener usos claramente definidos$ Blo#uear o des"a&ilitar cual#uier otra funcionalidad$ Girewall de Windows, #ue se incluye con Windows 2+ y Windows Server 2003, puede extender la proteccin del per)metro a los usuarios remotos$ !a proteccin del per)metro de una red es el aspecto ms importante para parar un ata#ue del exterior$ Si un per)metro sigue siendo seguro, la red interna se de&e proteger contra ata#ues externos$ Se enumeran a&a.o algunas maneras de implementar la defensa del per)metro/ +ac'et Giltering, :nspeccin de pa#uetes, :ntrusion etection 1.#). Descripci.n $el nivel $e re$ interna >apE9E8$.pg !os ata#ues no provienen slo de or)genes externos$ Hanto si los ata#ues internos son genuinos como si son meros accidentes, muc"os sistemas y servicios se da-an desde dentro las organi%aciones$ Es importante implementar medidas internas de seguridad orientadas a las amena%as mal intencionadas y accidentales$ 1.#/. >o"pro"iso $e la se+uri$a$ $el nivel $e re$ interna >apE9ED$.pg El acceso a los sistemas y recursos de red internos permite a los intrusos o&tener acceso fcilmente a los datos de la organi%acin$ *ediante el acceso a la infraestructura de red tam&i4n pueden supervisar la red e investigar el trfico #ue se est transportando$ !as redes totalmente enrutadas, aun#ue "acen #ue la comunicacin sea ms fcil, permiten a los intrusos tener acceso a los recursos de la misma red independientemente de si se encuentran o no en ella$ !os sistemas operativos de red tienen instalados muc"os servicios$ >ada servicio de red constituye un posi&le medio de ata#ue$ 1.#6. !rotecci.n en el nivel $e re$ interna 5no puede tener una serie de redes en su organi%acin y de&e evaluar cada una individualmente para asegurarse de #ue est asegurada apropiadamente$ Se enumeran a&a.o algunas maneras de implementar defensas de red/ L!AO Access >ontrol !ists, :nternal Girewall, Auditing, :ntrusion etection +ara proteger el entorno de la red interna, se de&e re#uerir #ue cada usuario se autenti#ue de forma segura en un controlador de dominio y en los recursos a los #ue tenga acceso$ 5tili%ar la autenticacin mutua, de modo #ue el cliente tam&i4n cono%ca la identidad del servidor, con el fin de impedir la copia accidental de datos a los sistemas de los intrusos$ Segmentar f)sicamente los conmutadores, es decir, crear particiones de la red para impedir #ue toda ella est4 disponi&le desde un 0nico punto$ Se puede crear particiones si se utili%an enrutadores y conmutadores de red independientes o si crean varias redes virtuales de rea local @L!AO, 2irtual 4ocal "rea ,etworkA en el mismo conmutador f)sico$ >onsiderar cmo se van a administrar los dispositivos de red, como los conmutadores$ +or e.emplo, el grupo de tra&a.o de red podr)a utili%ar Helnet para tener acceso a un conmutador o enrutador y reali%ar cam&ios de configuracin$ Helnet pasa todas las credenciales de seguridad en texto sin cifrar$ Esto significa #ue los nom&res y las contrase-as de los usuarios son accesi&les para cual#uiera #ue pueda rastrear el segmento de red$ Esto puede constituir una de&ilidad importante de la seguridad$ >onsiderar permitir 0nicamente el uso de un m4todo seguro y cifrado, como SS3 de s"ell o acceso de terminal serie directo$ Ham&i4n se de&en proteger adecuadamente las copias de seguridad de las configuraciones de dispositivos de red$ !as copias de seguridad pueden revelar informacin so&re la red #ue resulte 0til a un intruso$ Si se detecta una punto d4&il, se pueden utili%ar copias de seguridad de la configuracin de los dispositivos para reali%ar una restauracin rpida de un dispositivo y revertir a una configuracin ms segura$ ,estringir el trfico aun#ue est4 segmentado$ +uede utili%ar 802$E2 para proporcionar un acceso cifrado y autenticado tanto en las !AO inalm&ricas como en las estndar$ Esta solucin permite utili%ar cuentas de Active irectory y contrase-as o certificados digitales para la autenticacin$ Si se utili%an certificados, se tendr #ue integrar una infraestructura de clave p0&lica @+P:, Pu1lic 0ey !nfrastructureA, en Servicios de Windows >ertificate ServerI para las contrase-as o certificados, tam&i4n necesitar un servidor ,A:5S integrado en el Servicio de autenticacin :nternet @:AS, !nternet "ut/entication ServiceA de Windows$ En Windows Server 2003 se incluyen :AS y Servicios de >ertificate Server$ :mplementar tecnolog)as de cifrado y firma, por e.emplo la firma de :+Sec o &lo#ue de mensa.es de servidor @S*B, Server Message 5lockA, con el fin de impedir a los intrusos rastrear los pa#uetes de la red y reutili%arlos$ 1.#9. Descripci.n $el nivel $e 2ost >apE920$.pg Es pro&a&le #ue los sistemas de una red cumplan funciones espec)ficas$ Esto afectar a la seguridad #ue se les apli#ue$ 1.#=. >o"pro"iso $e la se+uri$a$ $el nivel $e 2ost >apE92E$.pg Se puede atacar a los "osts de red con funciones #ue se sa&e #ue estn disponi&les de forma predeterminada, aun#ue el servidor no las necesita para reali%ar su funcin$ !os intrusos tam&i4n podr)an distri&uir virus para emprender un ata#ue automati%ado$ El software instalado en sistemas de e#uipos podr)a tener puntos d4&iles #ue los intrusos pueden aprovec"ar$ Es importante permanecer informado de todos los pro&lemas de seguridad del software de su entorno$ 1.#:. !rotecci.n en el nivel $e 2ost Se de&e evaluar cada "ost en su am&iente y crear las pol)ticas #ue limitan cada servidor solamente a esas tareas #ue se tienen #ue reali%ar$ Esto crea otra &arrera de seguridad #ue un atacante necesitar)a evitar antes de "acer cual#uier da-o$ Server 3ardening, 3ost :ntrusion etection, :+Sec Giltering, Auditing Hanto en los sistemas cliente como en los servidores, las t4cnicas de refuer%o dependern de la funcin del e#uipo$ En cada caso, se pueden utili%ar plantillas de seguridad y plantillas administrativas con directivas de grupo para proteger estos sistemas$ En los sistemas cliente, tam&i4n se pueden utili%ar directivas de grupo para restringir los privilegios de los usuarios y controlar la instalacin de software$ El uso de directivas de grupo para limitar las aplicaciones #ue un usuario puede e.ecutar impide #ue 4ste e.ecute de forma inadvertida cdigo de tipo >a&allo de Hroya$ En los sistemas de servidor, las t4cnicas de refuer%o tam&i4n incluyen la aplicacin de permisos OHGS, la configuracin de directivas de auditor)a, el filtrado de puertos y la reali%acin de tareas adicionales seg0n la funcin del servidor$ *antener el servidor y el cliente actuali%ados con respecto a las actuali%aciones tam&i4n me.ora la seguridad$ *icrosoft proporciona varias formas de aplicar revisiones a los sistemas, por e.emplo, mediante Windows 5pdate, Software 5pdate Service y *icrosoft Systems *anagement Server @S*SA$ !a utili%acin de un pa#uete antivirus actual y de un servidor de seguridad personal, como Girewall de Windows, disponi&le con Windows 2+ y con los sistemas operativos posteriores, puede reducir muc"o la parte expuesta a un ata#ue de un e#uipo cliente$ 1.)?. Descripci.n $el nivel $e aplicaci.n >apE922$.pg !as aplicaciones de red permiten #ue los clientes tengan acceso a los datos y los traten$ Ham&i4n constituyen un punto de acceso al servidor donde se e.ecutan las mismas$ ,ecordar #ue la aplicacin proporciona un servicio a la red$ Este servicio no de&e anularse con la implementacin de seguridad$ Examinar las aplicaciones desarrolladas internamente, adems de las comerciales, en &usca de pro&lemas de seguridad$ 1.)1. >o"pro"iso $e la se+uri$a$ $el nivel $e aplicaci.n >apE923$.pg !os intrusos cuyo inter4s son las aplicaciones pueden &lo#uear alguna para conseguir #ue su funcionalidad de.e de estar disponi&le$ !as aplicaciones pueden tener defectos #ue los atacantes pueden manipular para e.ecutar cdigo malintencionado en el sistema$ 5n intruso podr)a utili%ar en exceso un servicio de modo #ue se imposi&ilite su uso leg)timoI 4ste es un tipo de ata#ue de denegacin de servicio$ 5na aplicacin tam&i4n podr)a utili%arse para llevar a ca&o tareas para las #ue no est4 destinada, como enrutar correo electrnico$ 1.). !rotecci.n en el nivel $e aplicaci.n >omo otra capa de defensa, Application 3ardening es una parte esencial de cual#uier modelo de seguridad$ >ada aplicativo en una organi%acin de&e ser pro&ado a fondo para la conformidad de seguridad en un am&iente de prue&a antes de #ue se permita su puesta en produccin$ Lalidation >"ec's, Lerify 3H*! 6 >oo'ies Source, Secure ::S !as instalaciones de las aplicaciones slo de&er)an incluir los servicios y funcionalidad re#ueridos$ !as aplicaciones desarrolladas internamente se de&en evaluar para descu&rir vulnera&ilidades en la seguridad de una forma continuada y de&en desarrollarse e implementarse revisiones para cual#uier vulnera&ilidad #ue se identifi#ue$ !as aplicaciones #ue se e.ecutan en la red se de&en instalar de forma segura y se les de&en aplicar todas las revisiones y Service +ac's correspondientes$ e&e e.ecutarse software antivirus para ayudar a impedir la e.ecucin de cdigo malintencionado$ Si una aplicacin se ve comprometida, es posi&le #ue el intruso pueda tener acceso al sistema con los mismos privilegios con los #ue se e.ecuta la aplicacin$ +or lo tanto, e.ecutar los servicios y aplicaciones con el menor privilegio necesario$ Al desarrollar nuevas aplicaciones personali%adas, implementar las recomendaciones ms recientes de ingenier)a de seguridad$ 1.)#. Descripci.n $el nivel $e $atos >apE92F$.pg El nivel final lo constituyen los datos$ !os sistemas de e#uipos almacenan, procesan y ofrecen datos$ >uando los datos se procesan en un formato con significado, se convierten en informacin 0til$ !os datos sin formato y la informacin #ue se almacena en un sistema son o&.etivos de un posi&le ata#ue$ El sistema mantiene los datos en medios de almacenamiento masivo, generalmente en un disco duro$ Hodas las versiones recientes de *icrosoft Windows admiten varios sistemas de arc"ivos para almacenar y tener acceso a los arc"ivos en un disco$ 5no de estos sistemas, OHGS, se puede utili%ar en *icrosoft Windows OH1, Windows 2000, Windows 2+ y *icrosoft Windows ServerQ 2003$ +roporciona tanto permisos de arc"ivo como de carpeta para ayudar a proteger los datos$ OHGS admite caracter)sticas adicionales, como la auditor)a y el Sistema de arc"ivos de cifrado @EGS, &ncrypting 6ile SystemA, #ue se utili%a para implementar la seguridad en los datos$ 1.)). >o"pro"iso $e la se+uri$a$ $el nivel $e $atos >apE92M$.pg !os intrusos #ue o&tienen acceso a un sistema de arc"ivos pueden "acer un da-o enorme u o&tener gran cantidad de informacin$ +ueden ver arc"ivos de datos y documentos, algunos de los cuales tal ve% contengan informacin confidencial$ Ham&i4n pueden cam&iar o #uitar la informacin, lo #ue puede ocasionar varios pro&lemas a una organi%acin$ El servicio de directorio Active irectory utili%a los arc"ivos del disco para almacenar la informacin del directorio$ Estos arc"ivos se almacenan en una u&icacin predeterminada cuando el sistema se promueve a controlador de dominio$ >omo parte del proceso de promocin, ser)a aconse.a&le almacenar los arc"ivos en alg0n lugar diferente de la u&icacin predeterminada por#ue de este modo #uedar)an ocultos de los intrusos$ ado #ue los nom&res de los arc"ivos son conocidos @tienen el nom&re de arc"ivo OHS$ditA, si 0nicamente se reu&ican es pro&a&le #ue slo se consiga entorpecer el tra&a.o del intruso$ Si los arc"ivos de directorio se ven comprometidos, todo el entorno del dominio #ueda expuesto al riesgo$ !os arc"ivos de aplicacin tam&i4n se almacenan en disco y estn expuestos a un ata#ue, con lo #ue se ofrece a los intrusos la oportunidad de interrumpir la aplicacin o manipularla con fines malintencionados$ 1.)/. !rotecci.n en el nivel $e $atos EGS permite el cifrado de los arc"ivos cuando residen en el sistema de arc"ivos$ Se &asa en el formato OHGS del disco, #ue est disponi&le desde Windows 2000$ Es importante entender #ue EGS no cifra los arc"ivos mientras se estn transmitiendo a trav4s de una red$ El proceso de cifrado utili%a una clave para cifrar el arc"ivo y la tecnolog)a de claves p0&lica y privada para proteger dic"a clave$ OHGS tam&i4n proporciona seguridad en los arc"ivos y en las carpetas$ e este modo, se permite la creacin de listas de control de acceso para definir #ui4n "a o&tenido acceso a un arc"ivo y #u4 acceso tiene$ El aumento de la proteccin del nivel de datos de&e incluir una com&inacin de listas de control de acceso y cifrado$ Al cifrar un arc"ivo, 0nicamente se impide la lectura no autori%adaI no se evita ninguna accin #ue no re#uiera la lectura del arc"ivo, como la eliminacin$ +ara impedir la eliminacin, utilice listas de control de acceso$ +uesto #ue los datos son esenciales en muc"os negocios, es importante #ue su recuperacin sea un proceso conocido y pro&ado$ Si se reali%an copias de seguridad con regularidad, cual#uier alteracin o eliminacin de datos, ya sea accidental o malintencionada, puede recuperarse a partir de las copias de seguridad cuando corresponda$ 5n proceso confia&le de copia de seguridad y restauracin es vital en cual#uier entorno$ Adems, se de&en proteger las cintas de copia de seguridad y restauracin$ !as copias de las cintas de copia de seguridad y restauracin se de&e mantener en otro lugar, en una u&icacin segura$ El acceso no autori%ado a las cintas de copia de seguridad es igual de da-ino #ue infringir la seguridad f)sica de la infraestructura$ !as listas de control de acceso slo funcionan en documentos dentro del sistema de arc"ivos para el #ue se "ayan "a&ilitado$ 5na ve% #ue se "an copiado los documentos a otra u&icacin @por e.emplo, a la unidad de disco duro local de un usuarioA, no se sigue controlando el acceso$ Windows ,ig"ts *anagement Services @,*SA, #ue se incluye con Windows Server 2003, mueve la funcin de control de acceso al propio o&.eto de forma #ue dic"o control se aplica independientemente de dnde se almacene el documento f)sico$ ,*S tam&i4n ofrece a los creadores de contenido un mayor control so&re las acciones particulares #ue un usuario tiene permitido llevar a ca&oI por e.emplo, el destinatario puede tener concedido acceso para leer un documento, pero no para imprimir o copiar y pegarI en el correo electrnico enviado con *icrosoft ;ffice ;utloo'1 2003, el remitente del mensa.e puede impedir #ue los destinatarios reenv)en el mensa.e$ 1.)6. Respuesta a inci$entes $e se+uri$a$ En este tema, se explicar cmo responder a incidentes de seguridad$ Espec)ficamente, se tratar/ El uso de una lista de compro&acin de respuesta a incidentes$ !a contencin de los efectos de un ata#ue$ 1.)9. Deter"inaci.n $e Ries+os $e Se+uri$a$ >apE932$.pg +ara determinar riesgos de seguridad, puede ayudar el preguntarse Rcul ser)a el da-o al negocio siSR :ntente pensar en #u4 se pueden comprometer su red y cmo afectar el negocio$ =stos pueden incluir aplicativos de l)nea de negocio, datos del cliente, etc4tera$ 5na ve% #ue se "aya formulado una lista, identificar #u4 puede da-ar su negocio ms, si est comprometido$ !os da-os posi&les pueden incluir/ Hiempo muerto +4rdida de negocio ,eputacin da-ada >onfian%a del cliente 5so fraudulento de la informacin ,esponsa&ilidad !egal espu4s #ue usted "a determinado los posi&les riesgos, preg0ntese RT#u4 puedo yo "acer para atenuar el riesgoUR +ara ms informacin, ir a *icrosoft +ress &oo' Windows Security Resource 0it as) como en *icrosoft Solution for Securing Windows 2000 "ttp/66go$microsoft$com6fwlin'6U!in':dVEF83C 1.)=. Tecnicas $e Gac<in+ >apE933$.pg Gootprinting Scanning Enumeration Jaining Access +rivilege Escalation Buffer ;verflows S"ovel a S"ell :nteractive >ontrol >amouflaging :ntelligence Jat"ering :sland 3opping enial of Service Social Engineering !uego, mirar algunas t4cnicas comunes de "ac'ing$ >uanto ms se aprende so&re las t4cnicas usadas por el "ac'er, me.or se puede proteger una red contra estas t4cnicas$ Nota( Esto no es un manual de cmo atacar sistemas pero es en algo una descripcin de las t4cnicas usadas por los atacantes$ 1.)=.1. Tecnicas $e Gac<in+( Footprintin+ El uso de un atacante de "erramientas y de la informacin para crear un perfil completo de la postura de la seguridad de una organi%acin se conoce como footprinting$ +or e.emplo, antes de #ue un "ac'er ata#ue una red, el6ella #uiere conocer la informacin #ue incluye/ +resencia en :nternet6 extranet de la compa-)a !a pol)tica de la compa-)a con respecto al acceso remoto !a versin utili%ada de software en los servers @::S, Exc"ange etcA !os rangos :+ de los cuales es propietaria la organi%acion esaf)os t4cnicos "ec"os por la compa-)a !as fusiones o las ad#uisiciones #ue terminaron recientemente, estan en marc"a o pendientes 3ay muc"as "erramientas #ue pueden ayudar a un "ac'er a poner .unta toda la informacin so&re una compa-)a$ +uede ser tan simple como usar un Searc" Engine para encontrar la informacin tal como la #ue fi.a el detalle t4cnico de un administrador, usar al 5SEOEH o detalles incluidos en pu&licidad de una compa-)a$ *s informacin un atacante tiene antes de comen%ar su ata#ue y por lo tanto ms fcil ser para #ue apunten una de&ilidad espec)fica en la infraestructura$ 1.)=.. TCcnicas $e Gac<in+( Scannin+ >omo resultado del footprinting, un "ac'er puede identificar la lista de red y las direcciones :+ utili%adas en la compa-)a$ El siguiente paso lgico para un "ac'er es el scanning$ El uso de un atacante de "erramientas y de la informacin es para determinar #u4 sistemas estas vivos y accesi&les desde :nternet as) como #u4 puertos estn escuc"ando en cual#uier sistema dado$ >on ese conocimiento, el atacante puede apuntar los sistemas espec)ficos #ue funcionan con software o servicios espec)ficos usando exploit conocidos$ 1.)=.#. TCcnicas $e Gac<in+( Enu"eration Enumeration implica el uso de un atacante de "erramientas para o&tener la informacin detallada so&re un sistema remoto 9 por e.emplo servicios e.ecutndose, todos los s"ares, cuentas de usuario, grupos, miem&ros de un dominio, politicas de cuentas @loc'out, password age, etc$ 5n "ac'er t)picamente utili%a enumeration no intrusiva pro&ando si la informacin #ue o&tuvo es suficiente para un ata#ue$ Nota( ,estrictAnonymous V E es derrotado fcilmente por las ultimas "erramientas de enumeracin @OBHEnum2$E$exe, umpSecA ,estrictAnonymousV2 puede afectar la funcionalidad$ Es esencial pro&ar sistemas cr)ticos para asegurarse de #ue los cam&ios de la seguridad no afectarn sistemas de produccin de una manera negativa$ ,enon&rar las cuentas administrativas es un &uen punto para no utili%ar ,estrictAnonymous configurado con valor V2 o &lo#uear el acceso a puertos$ OetB:;S una variedad de "erramientas tienen la "a&ilidad de poder determinar cuentas administrativas &asadas en S: 6 ,: enumerados v)a #ueries OetB:;S$ !rop.sito( 5sar la informacin detallada acerca del sistema remoto, servicios, s"ares, cuentas de usuarios, grupos, informacin de controladores de dominio, pol)ticas de cuentas, etc, "a&ilita al atacante a utili%ar "erramientas con el intento de atacar la seguridad de cuentas y servicios en el o&.etivo$ 1.)=.). TCcnicas $e Gac<in+( !ort Re$irection >uando se tiene configurado un firewall para &lo#uear determinados puertos de acceso entrante, un "ac'er puede usar port redirection como camino de acceso a la red$ +ort redirection es utili%ado para escuc"ar en algunos puertos$ !os pa#uetes son redireccionados a destinos espec)ficos$ Nota( El +ort ,edirector tiene #ue instalarse en un servidor detrs de un firewall$ 5sar alg0n otro exploit @::S &uffer overflow, etc$A$ El resto de las pautas de seguridad atenuarn a menudo el riesgo de este tipo de ata#ue$ 5tili%ar una pol)tica :+Sec para permitir el acceso a los puertos a&iertos de las m#uinas espec)ficas$ El filtrado de ingreso parece ser usualmente la parte importante, pero el filtrado de egreso es importante tam&i4nW En otras pala&ras si un ::S Server solamente necesita "a&lar con un solo >;*X server en una *Y en un pu-ado de puertos, configurar una politica :+Sec para "acer cumplir esta pol)tica, no permitir al server ::S para comunicarse con cual#uier servidor en la red en cual#uier puerto, Zfiltro es trfico de salida tam&i4nW Ham&i4n, estar enterado del tipo de excedente de trfico en cual#uier puerto dado$ Si se ve el trfico :>*+ #ue de&e tener una carga 0til cero del octeto o contener una carga 0til M00' o de trfico de HGH+ en el puerto 80, eso de&e alertar, ms a0n si no es parte de sus operaciones estndares$ !rop.sito( espu4s #ue el atacante tiene identificado y accede al trafico del firewall #ue puede permitir trfico de entrada de un puerto origen M3, procurar instalar un software +ort ,edirector en el e#uipo dentro del firewall$ El +ort ,edirector tomar el trfico entrante destinado para un puerto @M3A y lo enviar a otro e#uipo detrs del firewall en otro puerto @338DA$ E1e"plo( G+ipe$exe [ "erramienta port redirection de linea de commandos >ontra"e$i$as( El +ort ,edirector tiene #ue instalarse de alguna manera en un servidor detrs del firewall usando otro exploit @::S &uffer overflow, etc$A$ El resto de las gu)as de seguridad atenuarn el riesgo de este tipo de ata#ue$ 5sar una pol)tica de :+Sec para permitir solamente el acceso a los puertos a&iertos de las m#uinas espec)ficas$ 1.)=./. TCcnicas $e Gac<in+( Gainin+ Access 3ay varias "erramientas disponi&les #ue pueden permitir a un "ac'er tomar control de un sistema$ +or e.emplo, Samdump y Brutus son crac'ers de passwords$ Samdump se utili%a extraer el "as"es del password de los arc"ivos SA*$ Brutus es un crac'er de password remoto$ Si un "ac'er consigue el acceso a una copia de una &ase de datos SA*, el "ac'er podr)a utili%ar l0p"tcrac' y extraer los usuarios y passwords exactos$ ATA>AR *A SAM MIENTRAS BUE ESTH EN *INEA !rop.sito( !os atacantes consiguen los password "as"es de la SA* en un sistema en l)nea para comprometer cuentas adicionales$ 5tili%an las "erramientas por e.emplo +Wdump2 #ue utili%a una t4cnica conocida como \!! in.ection] para inyectar cdigo malicioso en !SASS$E2E @a trusted processA$ !SASS puede solicitar password "as"es desencriptados para saltear la proteccin de S^SPE^$ E1e"plos( Samdump +wdumpE,2,3,3e !>3 6 !>F >ontra"e$i$as( S^SPE^ est "a&ilitado por defecto en Windows 2000 en modo 0 y encripta con "as"es de E28&it$ !a 'ey para desencriptar se guarda en registry$ 3erramientas recientes como +Wump3,3e _ !>3 @#ue usan +WumpA pueden sortear todas las protecciones de ] S^SPE^ en todos los modos para extraer los passwords$ Evitar #ue un atacante descargue "as"es es la me.or contramedida pero para el aseguramiento agregado "acer el siguiente/ esa&ilitar la posi&ilidad de guardar los !* "as"ed password en registry @"a&ilitado por defectoA$ >am&iar todos los passwords luego de "acer estoW ,e#uerir password comple.as @recomendado EM caracteres alfanum4ricos [e.$ W`abcd_e9A ATA>AR UNA >O!IA FUERA DE *INEA DE *A SAM !rop.sito( Existen numerosos exploits de ::S para o&tener una copia de la SA*$ El acceso f)sico incorrecto puede conceder el acceso a la SA* E.$ E, dis' olvidado en el Gloppy rive, administradores locales se olvidan de &lo#uear la consola$ ZEsto permite o&tener una copia de la SA* con el fin el conseguir "as"esW E1e"plo >3OH+W es una "erramienta #ue funciona con 5O:2 y ;S$ 5n 5O:2 &oot floppy est disponi&le y puede o&tener una copia de la SA*, S^SHE* y SE>5,:H^ en una ,A* drive para directamente ver y editar con >3OH+W$ Si la proteccin S^SPE^ est "a&ilitada @esto es por defecto en la SA* de Windows 2000A, >3OH+W no puede desencriptar los "as"es almacenados en la SA* pero puede escri&ir nuevos "as"es en esta SA* "a&ilitando al atacante el cam&io de password para una cuenta @e.$ administratorA$ >on esta cuenta, luego puede iniciar sesin y o&tener el resto de las password @usando +Wump3 etc$A$ >ontra"e$i$as Oo permitir la copia de la SA*$ es"a&ilitar el almacenamiento de !* "as"ed password en la SA*$ 3a&ilitar S^SPE^ en modo 2 o 3 para re#uerir una password un floppy #ue contenga la 'ey privada antes de poder iniciar sesion$ Si un atacante puede in"a&ilitar S^SPE^ y escri&ir una nueva password para el administrador en la SA*, todos los password "as"es del resto de las cuentas continuan encriptados y protegidos del ata#ue$ Notas( +ara des"a&ilitar el almacenamiento de !* "as" en la SA* refi4rase a la siguiente PB/ N2DDKMK Oew ,egistry Pey to ,emove !* 3as"es from A _ SA* "ttp/66support$microsoft$com6default$aspxUscidV'&IEO95SIN2DDKMK S^SPE^ fue dasarrollado para encriptar todos los password "as"es en la SA* para prevenir crac'ing fuera de l)nea @NEF3FCM Windows OH System Pey +ermits Strong Encryption of t"e SA*A "ttp/66support$microsoft$com6default$aspxUscidV'&IEO95SINEF3FCMA Oo "a&ilitado por defecto en OH F$0, "a&ilitado en modo 0 en Windows 2000$ 1.)=.6. TCcnicas $e Gac<in+( !rivile+e Escalation 5n "ac'er puede causar la mayor)a del da-o consiguiendo privilegios administrativos en una red$ 3ay varias utilidades #ue un "ac'er puede utili%ar para ganar privilegio administrativo$ +or e.emplo, la utilidad Jetadmin$exe es usada para otorgar a usuarios comunes privilegios administrativos agregando a estos usuarios al grupo de administradores$ Esta utilidad funciona con todas las cuentas excepto con la cuenta de Juest$ Es importante o&servar #ue cual#uier cuenta se "aya concedido el <e&ug +rograms rig"t?$ Siempre se podr e.ecutar satisfactoriamente Jetadmin$exe, incluso despu4s de la aplicacin del "otfix$ Esto es por#ue el <e&ug +rograms rig"t? "a&ilita al usuario a ad.untar cual#uier proceso$ El <e&ug +rograms rig"t? es inicialmente otorgado a Administradores y de&e ser utili%ado 0nicamente con usuarios altamente confia&les$ Ham&i4n, si Jetadmin$exe se e.ecuta con una cuenta #ue sea ya un miem&ro del grupo local de los administradores, continua funcionando @incluso luego de aplicar el "otfixA$ Nota( +ara mas informacin dirigirse a/ "ttp/66support$microsoft$com6default$aspxUscidV'&Ien9usIEFKDKM 1.)=.9. Tenicas $e Gac<in+( ;u%%er Over%lo5s Algunas "erramientas de ata#ue e.ecutan cdigo de &uffer overruns$ So&reescri&iendo segmentos espec)ficos de la memoria, el atacante puede volver a dirigir una llamada de la memoria dentro de un programa para llamar su propio cdigo en ve% del cdigo previsto$ Hal llamada funcionar)a en el contexto de seguridad del proceso #ue lo llama ms #ue el nivel de privilegio del usuario$ !rop.sito( !as "erramientas B; overflow un9c"ec'ed &uffers generan cdigo en aplicaciones de Server para causar \s"ellcode] y e.ecutarse @usualmente en contexto \S^SHE*] o \:WA*] si explota ::S 6 SN! etc$A E1e"plos( f:!!9W:O32$E2E Explota ::S $printer overflow ::SM"ac'$exe :S+>$E2E Exploits ::S $id# overflow 5nicodeloader$pl 3HH+;B>$!! SN! &uffer overflows >ontra"e$i$as( *antener al dia los "otfixes es"a&ilitar servicios innecesarios enegar protocolos no necesarios en router 6 firewall @filtrado ingreso6egresoA Emplear un sistema :S actuali%ado para denegar pedidos sospec"osos 6 conocidos como attac' signaturas$ 1.)=.=. TCcnicas $e Gac<in+( S2ovel a S2ell !rop.sito( 3erramientas de s"ell ,emoto "a&ilitan a los atacantes a acceder al \remote command s"ell] en el servidor destino$ !os atacantes usan remote s"ell para elevar sus privilegios$ E1e"plos( Oetcat Oc$exe prove una conexion raw a servidores remotos via H>+$ +uede funcionar como un servidor o un cliente >ryptcat, es igual #ue Oetcat pero encripta los datos via un canal H>+ Oc$exe E0$E$E$E0 M000 [e cmd$exe \s"ovel a s"ell] de un servidor comprometido de nuevo a una m#uina remota cliente #ue funciona escuc"ando en la direccin E0$E$E$E0 en el puerto M000 +SExec$exe ggED2$EK8$E$E cmd$exe ,e#uiere acceso administrativo ,e#uiere acceso a OetB:;S @H>+ E3DA Este comando contacta al servidor ED2$EK8$E$E , e.ecuta en forma remota >*$E2E y conecta con la <command s"ell? del cliente$ >ontra"e$i$as( Oetcat @nc$exeA puede esta&lecer una conexin H>+ al servidor destino en cual#uier +uerto #ue est4 escuc"ando y no sea utili%ado$ Es por eso #ue un filtrado apropiado en el firewall previene este tipo de ata#ue$ +oliticas :+Sec para "a&ilitar trafico entrante 0nicamente a los +uertos donde corren servicios es un m4todo efica% @slo "a&ilitar trafico en el puerto 80 en servidores ::S, denegar todo el trafico en otros puertosA 1.)=.:. TCcnicas $e Gac<in+( Interactive >ontrol !rop.sito( !lamados como \,AHs] @,emote Administration HoolsA$ =stas son "erramientas reales y cautelosas de Administracion ,emota contenidas en $exe llamados aleatoriamente @o camuflados en legitimos $exeA$ ZEso permite #ue un usuario remoto realice cual#uier accin remotamente v)a un puerto a su elecion sin un usuario local del sistema #ue lo "a&iliteW >aracter)sticas populares/ Peystro'e logging, dedicados a gra&ar password de servicios populares @A:*, :>N, Gile s"ares etc$A, tienen la "a&ilidad de crear file s"ares, transferir files, remote des'top, remote execution, re&oot system, etc$ E1e"plos( Su&C, B;2', OetBus, OH ,oot'it Su&C es el ms popular 6 OH ,oot'it es el ms avan%ado >ontra"e$i$as( +uesto #ue la mayor)a de los Hro.anos escuc"a en un puerto para "a&ilitar el acceso remoto del atacante, un filtrado apropiado de puertos ser)a lo indicado para prevenir este ata#ue$ !a mayor)a de los productos anti9virus detectarn a 4stos y sus variantes pero "ay literalmente millares de variantes nuevas #ue aparecen a cada "ora 5sualmente llegan como arc"ivos ad.untos v)a e9mailI por eso no "a&ilitar e9mail 6 internet &rowsing en servers y controlar los ad.untos a trav4s de ;utloo'6Exc"ange Email Security functionality, Software ,estriction +olicies, Giltros en los S*H+ gateway o mail server etc$ !a mayor)a de los Hro.anos intentan modificar ,un 6 ,un;nce y otras configuraciones de typo auto9run$ +uede utili%arse software de monitoreo como Oet:N #ue puede avisar por medio de alertas so&re eventos de modificacin de estas 'eys de registry$ Aplicando permisos de A>!s a estas 'eys, se puede reducir @pero no eliminarA estos ata#ues$ 1.)=.1?. Tecnicas $e Gac<in+( >a"ou%la+in+ espu4s #ue un "ac'er logra la entrada en una red, tratar de no de.ar rastros de su presencia y su paso a los Administradores$ 3ay varias "erramientas #ue un "ac'er puede utili%ar$ +or e.emplo, WinYapper y Elsave pueden ser utili%adas para &orrar registros de los logs de eventos$ OH ,oot'its es utili%ado a veces por un atacante$ En tal ata#ue, son reempla%ados ciertos arc"ivos con versiones modificadas$ >uando un administrador utili%a el e.ecuta&le, el atacante o&tiene informacin adicional para continuar su ata#ue$ Seme.antemente, los elementos espec)ficos de salida se pueden enmascarar por root'it para camuflar las "erramientas de ata#ue #ue se e.ecutan en el sistema$ 5n acercamiento com0n para detectar arc"ivos modificados es comparar la versin en el "as" de un arc"ivo limpio$ Es importante o&servar #ue la comparacin se de&e "acer en una m#uina limpia usando medios confia&les, pues es tam&i4n es posi&le #ue cual#uier utilidad del ata#ue "aya comprometido el sistema en cuestin$ !rop.sito( Alertar a el atacante #ue alguien est investigando$ Se puede utili%ar para e.ecutar programas destructivos en nom&re del Administrador o instalar &ac'door tro.ans$ E1e"plos( So&reescri&ir los comandos del sistema con comandos del tro.ano$ ,eempla%ar tlist$exe, 'ill$exe etc, con versiones especiales #ue no listen o detengan procesos del atacante$ So&reescri&ir >*$E2E con una versin del atacante$ >ontra"e$i$as( Jenerar las 'eys *M para todos los arc"ivos del sistema importantes y compro&ar "as"es con frecuencia$ >onfigurar una auditoria adecuada de arc"ivos$ 5sar permisos apropiados so&re los arc"ivos$
1.)=.11. TCcnicas $e Gac<in+( Intelli+ence Gat2erin+ SNIFFING !rop.sito( espu4s de utili%ar un sniffer el atacante est en condiciones de o&tener nom&res de cuentas y passwords #ue pasen por la red en texto plano$ +uede ser utili%ado para descu&rir otras redes 6 e#uipos #ue pueden estar comprometidos en un futuro$ +uede ser utili%ado para descu&rir otros sniffers$ Oetmon utili%a&roadcasts del protocolo B;OE$ !os e#uipos Windows por defecto responden pedidos A,+ @5nix puede restringir respuestas A,+A E1e"plos( Winump [ sniffer de l)nea de comandos para Windows es similar a H>+ump para 5nix Et"ereal [ J5: ;SS sniffer similar al networ' monitor Scoop!* [ dedicado a OH!* "as" sniffer !>3 [usado para captura de "as" >ontra"e$i$as( 5sar la ultima versin de OH!* L2 o Per&eros @recomendadoA en todos los e#uipos de la red$ 5sar :+Sec para encriptar el trafico de red$ 5sar redes switc"eadas para evitar la captura de pa#uetes$ 1.)=.1. TCcnicas $e Gac<in+( Islan$ Goppin+ :sland 3opping es una t4cnica de 3ac'ing en la cual el "ac'er incorpora una red de ordenadores d4&iles y despu4s se traslada a partes ms seguras de la red$ Esencialmente, estn utili%ando las mismas t4cnicas discutidas previamente para ampliar su influencia dentro de un am&iente dado de red$ 5na cosa es para un atacante comprometer un we& server sin inter4s y sin la seguridad apropiada$ Es algo muc"o ms atractivo la red corporativa entera donde existen datos ms interesantes para la compa-)a$ GASG >RAMMING +ermite al usuario conseguir el acceso al sistema sin romper la contrase-a insertando un 3as" capturado directamente en la memoria$ Esta t4cnica puede apresurar un ata#ue por#ue el atacante no necesita primero comprometer el password de una cuenta$ 1.)=.1#. TCcnicas $e Gac<in+( Social En+ineerin+ Es de naturale%a "umana$ Oosotros, como generali%acin, conseguir la satisfaccin de participar en el 4xito de otros$ !os atacantes ruegan a menudo esta opcin$ Oo reali%ando prcticamente accin alguna, o&tienen informacin #ue de otra manera no estar)a disponi&le$ 5n atacante social listo puede trampear a menudo a individuos en la organi%acin para divulgar la informacin #ue pertenece a los nom&res de servers, n0meros de mdem, direcciones :+, configuraciones de red, pol)ticas de password, nom&res de cuentas u otra informacin privilegiada #ue sea &eneficiosa en un ata#ue$ 1.)=.1). TCcnicas $e Gac<in+( Denial o% Service 5n atacante no tiene #ue acceder necesariamente a un sistema para causar pro&lemas significativos$ !os ata#ues enial of Service @oSA reali%an tareas en los servicios con el fin de evitar su normal funcionamiento$ !os e.emplos incluir)an todas las conexiones de red en un server o asegurarse #ue un mail Server reci&a ms mails de los #ue puede mane.ar$ !os ata#ues oS pueden ser un ata#ue directo o causado por virus, gusanos o Hro.an "orses$ !os o&.etivos de los ata#ues enial of service pueden ser/ >+5 Espacio en disco Anc"o de &anda de red >ual#uier recurso o servicio 1.):. *ista $e co"pro0aci.n $e respuestas a inci$entes >apE92K$.pg isponer de planes y procedimientos de respuesta a incidentes claros, completos y &ien compro&ados es la clave para permitir una reaccin rpida y controlada ante las amena%as$ +ara limitar el efecto de un ata#ue, es importante #ue la respuesta sea rpida y completa$ +ara #ue esto suceda, se de&e reali%ar una supervisin y auditor)a de los sistemas$ 5na ve% identificado un ata#ue, la respuesta al mismo depender del tipo de ata#ue$ >omunicar #ue el ata#ue se "a producido a todo el personal pertinente$ >ontener los efectos del ata#ue en la medida de lo posi&le$ Homar medidas preventivas para asegurar #ue el ata#ue no pueda repetirse$ >rear documentacin para especificar la naturale%a del ata#ue, cmo se identific y cmo se com&ati$ 1./?. >ontenci.n $e los e%ectos $e un ataque >uando un sistema sufre un ata#ue, se de&e apagar y #uitar de la red, y se de&e proteger el resto de los sistemas de la red$ !os servidores afectados se de&en conservar y anali%ar, y es necesario documentar las conclusiones$ +uede ser muy dif)cil cumplir las normas legales para la conservacin de prue&as mientras se contin0an las actividades cotidianas$ >on la ayuda de asesores legales, se de&e desarrollar un plan detallado #ue permita conservar las prue&as del ata#ue y #ue cumpla los re#uisitos legales de su .urisdiccin, de modo #ue pueda ponerse en prctica un plan cuando la red sufra un ata#ue$ 1./1. E1e"plos $e ataques En este tema, se descri&irn varios escenarios de ata#ue$ Espec)ficamente, se tratarn los escenarios siguientes/ 5n gusano ataca el puerto 5+ E3M 5n gusano del correo electrnico 5n ata#ue infecta un e#uipo antes de aplicar revisiones o correcciones 1./. Ataque $e un +usano al puerto UD! 1#/ +er)metro El servidor de seguridad de red de&e &lo#uearlo de acuerdo con su dise-o ,ed Buscar y detectar los sistemas vulnera&les esactivar las conexiones de red en los "osts vulnera&les 5tili%ar cuarentena de ,,AS para asegurar #ue los "osts de acceso telefnico tengan aplicadas las revisiones adecuadas 3ost 5tili%ar :+Sec para permitir el uso del puerto 5+ E3M entrante slo en los "osts #ue re#uieran ,+> 5tili%ar Girewall de Windows para &lo#uear el trfico entrante #ue no se desea #ue llegue a los "osts @en Windows 2+ y versiones posterioresA$ En este e.emplo, se "a producido la proliferacin de una variedad del virus Blaster$ Se pueden tomar medidas en diversos niveles del modelo de defensa en profundidad para impedir #ue un gusano ata#ue el puerto de +rotocolo de datagramas de usuario @5+, 5ser atagram +rotocolA E3M$ 1./#. Gusano $e correo electr.nico +er)metro Examinar todos los arc"ivos ad.untos en la puerta de enlace S*H+ ,ed 5tili%ar la cuarentena de ,,AS para compro&ar las revisiones aplicadas y las firmas de virus Aplicacin *icrosoft ;ffice D8 >ompro&ar #ue est4 instalada la actuali%acin de seguridad de *icrosoft ;utloo'1 D8$ ;ffice 2000$ >ompro&ar #ue est4 instalado al menos el Service +ac' 2 ;ffice 2+ y ;ffice 2003 !a configuracin predeterminada de %ona de seguridad es sitios restringidos @en lugar de :nternetA y las secuencias de comandos activas dentro de los sitios restringidos, tam&i4n estn des"a&ilitadas de forma predeterminada 5suarios Ense-ar a los usuarios #ue los arc"ivos ad.untos pueden ser peligrosos$ Si se reci&e un arc"ivo ad.unto #ue no se "a pedido, escri&ir a su autor para compro&ar el propsito antes de a&rirlo En los 0ltimos a-os "an aparecido muc"os virus relacionados con el correo electrnico$ Se pueden tomar medidas en varios niveles del modelo de defensa en profundidad para protegerse frente a los gusanos de correo electrnico$ Estas precauciones re#uieren programas de aprendi%a.e espec)ficos para #ue los usuarios cono%can el riesgo y sigan los procedimientos apropiados$ 1./). JGan entra$o en "i siste"a antes $e po$er aplicar nin+una revisi.nK +er)metro 3a&ilitar o &lo#uear el servidor de seguridad ,ed esconectar el ca&le de red 3ost :niciar el sistema e inicie sesin Se pueden necesitar credenciales administrativas locales si las almacenadas en cac"4 estn des"a&ilitadas Active Girewall de Windows para &lo#uear todo el trfico entrante Lolver a conectar el ca&le de red escargar e instalar las revisiones apropiadas ,einiciar el sistema esactivar Girewall de Windows seg0n la directiva Es posi&le #ue un ata#ue infecte un e#uipo antes de #ue se puedan aplicar las revisiones o correcciones$ +ara impedir #ue se produ%can da-os en otros e#uipos de la red mientras se lo repara, seguir estos pasos/ E$ esconectar el ca&le de red$ 2$ :niciar el sistema e iniciar sesin$ Se pueden necesitar credenciales administrativas locales si las almacenadas en cac"4 estn des"a&ilitadas$ 3$ Activar Girewall de Windows para &lo#uear todo el trfico entrante$ F$ Lolver a conectar el ca&le de red$ M$ escargar e instale la revisin$ K$ ,einiciar el sistema$ C$ esactive Girewall de Windows de acuerdo con la directiva$ 1.//. Reco"en$aciones En este tema, se enumerarn las recomendaciones para me.orar la seguridad$ Espec)ficamente, se tratar/ ,ecomendaciones de seguridad$ !ista de compro&acin de la seguridad$ 1./6. Reco"en$aciones $e se+uri$a$ efensa en profundidad Seguro por dise-o +rivilegios m)nimos Aprender de los errores cometidos *antener la seguridad 3acer #ue los usuarios se centren en la concienciacin de seguridad esarrollar y pro&ar planes y procedimientos de respuesta a incidentes Se de&er seguir el modelo de defensa en profundidad$ >ada nivel del modelo est protegido por los niveles contiguos y depende de todos los niveles #ue se implementan$ 3ay un compromiso constante entre la funcionalidad y la seguridad$ Am&os raramente se complementan$ Aun#ue #ui%s en alguna ocasin lo importante "aya sido la funcionalidad, a"ora se &usca definitivamente la seguridad$ As) se facilita una implementacin segura por dise-o$ El software y los sistemas son seguros de forma predeterminada y por dise-o, con lo #ue se simplifica la creacin de un entorno de red seguro$ !os procesos y las aplicaciones #ue se e.ecutan en un sistema logran este o&.etivo mediante un nivel definido de privilegios so&re el sistema$ A menos #ue se configuren de otro modo, los procesos iniciados, mientras un usuario est conectado al sistema, se e.ecutan con los mismos privilegios #ue tiene el usuario$ +ara impedir ata#ues accidentales, todos los usuarios del sistema de&en iniciar sesin en 4l con los privilegios m)nimos necesarios para reali%ar sus funciones$ !os virus se e.ecutan con los privilegios del usuario #ue "aya iniciado la sesin$ En consecuencia, los virus tendrn un m&ito muc"o ms amplio si el usuario inicia sesin como administrador$ !as aplicaciones y los servicios tam&i4n se de&en e.ecutar con los privilegios m)nimos necesarios$ Es muy importante #ue se entienda #ue la seguridad no es un o&.etivo/ es un medio$ 5n entorno nunca es completamente seguro$ Siguen apareciendo nuevos virus, revisiones y puntos d4&iles en los sistemas$ Aprenda de la experiencia y conserve una documentacin ex"austiva de todo lo #ue suceda$ +ara mantener la seguridad, implementar procedimientos de supervisin y auditor)a, y compro&ar #ue los resultados de estos procedimientos se procesan con regularidad$ isponer de planes y procedimientos de respuesta a incidentes claros, completos y &ien compro&ados, es la clave para permitir una reaccin rpida y controlada ante las amena%as$ 1./9. *ista $e co"pro0aci.n $e se+uri$a$ !a seguridad comien%a por el aprendi%a.e y la prctica$ Oo se de&e de.ar nada al a%ar ni permitir #ue los usuarios tomen sus propias decisiones so&re este tema$ ocumentar todo lo #ue ocurra y crear procedimientos y procesos para todas las funciones empresariales$ Siempre #ue los usuarios tengan #ue "acer algo, de&en disponer de un documento #ue les proporcione instrucciones paso a paso$ Homar la delantera manteni4ndose informado de los pro&lemas relacionados con la seguridad$ *icrosoft enviar &oletines de seguridad a trav4s del correo electrnico a los suscriptores$ *uc"os ata#ues se efect0an aprovec"ando defectos de seguridad para los #ue existe alguna revisin$ >ompro&ar #ue se dispone de las "erramientas de administracin de revisiones ms actuali%adas$ Oo olvidar reali%ar una defensa en profundidad$ :mplementar procedimientos de seguridad en todos los niveles del modelo, ya #ue unos dependen de otros$ !a seguridad de una red viene definida por su punto ms d4&il$ Oo de.ar .ams de recalcar la importancia de efectuar copias de seguridad con regularidad$ !a p4rdida o la modificacin de los datos puede resultar catastrfica para un negocio$ e&en llevarse a ca&o copias de seguridad "a&itualmente$ Almacenar siempre las copias de seguridad en un lugar donde no est4n los datos$ ,eali%ar tam&i4n procedimientos de restauracin peridicamente$ Averighar cmo podr)an atacar$ Se de&en conocer las "erramientas de ata#ue de un sistema y los virus$ :nvestigar dnde se producen los ata#ues y cmo$ !a encuesta so&re seguridad y delitos informticos de >S:6GB: puede ser un &uen lugar para comen%ar$ 1./=. Die4 nor"as $e se+uri$a$ in"uta0les En este tema final, se enumerarn las die% normas inmuta&les de seguridad$ >apE92C$.pg E$ >uando se elige e.ecutar un programa, se est tomando la decisin de conceder el control del e#uipo$ 5na ve% #ue se e.ecuta un programa, se puede reali%ar cual#uier accin, "asta un l)mite #ue viene determinado$ 2$ Al fin y al ca&o, un sistema operativo slo es un con.unto de unos y ceros #ue, al ser interpretados por el procesador, provocan #ue el e#uipo realice determinadas acciones$ Al cam&iar los unos y ceros, "ar algo diferente$ Tnde se almacenan los unos y cerosU +ues en el e#uipo, .unto con todo lo dems$ Son simplemente arc"ivos y, si se permite cam&iarlos a los otros usuarios #ue utili%an el e#uipo, se Rpierde la partidaR$ 3$ Si alguien dispone de acceso f)sico a un e#uipo, tiene control total so&re 4l y puede reali%ar cual#uier accin #ue desee, como modificar datos o ro&arlos, llevarse el "ardware o destruir f)sicamente el e#uipo$ F$ Si se administra un sitio We&, se tiene #ue limitar lo #ue pueden "acer en 4l los visitantes$ Slo se de&e permitir #ue se e.ecute un programa en el sitio si lo escri&e uno mismo o si se conf)a en #uien lo "a desarrollado$ +ero posi&lemente esto no sea suficiente$ Si el sitio We& es uno de los #ue se alo.an en un servidor compartido, se de&en tomar precauciones adicionales$ Alguien con no muy &uenas intenciones puede comprometer uno de los dems sitios del servidor y es posi&le #ue pueda extender su control al propio servidor y, por lo tanto, controlar todos los sitios #ue contenga, incluido el de uno$ M$ Si un intruso puede averiguar su contrase-a, podr iniciar sesin en el e#uipo y reali%ar en 4l todas las acciones #ue puede "acer uno$ 5tili%ar siempre una contrase-aI resulta incre)&le el n0mero de cuentas #ue tienen contrase-as en &lanco$ ^ elegir una comple.a$ Oo utili%ar el nom&re de un perro, fec"a de aniversario ni el nom&re de un e#uipo de f0t&ol favorito$ Oo emplear la pala&ra contrase7a$ K$ 5n administrador poco confia&le puede anular el resto de medidas de seguridad #ue "aya aplicado$ +uede cam&iar los permisos del e#uipo, modificar las directivas de seguridad del sistema, instalar software peligroso y suplantar a los usuarios, o reali%ar muc"as otras acciones diferentes$ +uede sa&otear prcticamente cual#uier medida de proteccin del sistema operativo, puesto #ue lo controla$ ^ lo #ue es peor, puede &orrar sus "uellas$ Si el administrador no es de confian%a, el sistema no tendr ninguna seguridad en a&soluto$ C$ *uc"os sistemas operativos y productos de software de criptograf)a dan la opcin de almacenar las claves criptogrficas en el e#uipo$ !a venta.a es la comodidad/ no "ay #ue ocuparse de la claveI pero esto es a costa de la seguridad$ !as claves se suelen disimular @es decir, se ocultanA y algunos de los m4todos para descu&rirlas son &astante &uenos$ +ero, al final, no importa lo &ien oculta #ue est4 la clave/ si se "alla en el e#uipo, es posi&le encontrarla$ Hiene #ue ser posi&le encontrarlaI despu4s de todo, el software puede encontrarla, as) #ue alguien suficientemente motivado tam&i4n podr$ Siempre #ue sea posi&le, se de&en guardar las claves en otro lugar$ 8$ !os detectores de virus comparan los datos de un e#uipo con un con.unto de firmas de virus$ >ada firma es caracter)stica de un virus en particular y, cuando el detector encuentra en un arc"ivo, en un mensa.e de correo electrnico o en alg0n otro lugar datos #ue coincidan con la firma, determina #ue "a encontrado un virus$ Sin em&argo, un detector de virus slo puede encontrar los virus #ue conoce$ Es vital mantener el arc"ivo de firmas del detector de virus actuali%ado por#ue cada d)a se crean virus nuevos$ D$ !a me.or forma de proteger la privacidad en :nternet es igual #ue en la vida normal/ con forma de actuar$ !eer las declaraciones de privacidad de los sitios We& #ue se visitan y reali%ar transacciones slo con a#uellos con cuyas prcticas se est de acuerdo$ Si preocupan los coo'ies, des"a&ilitarlos$ Especialmente, no explorar la We& de forma indiscriminada/ sa&emos #ue la mayor parte de las ciudades tienen una %ona #ue es me.or evitar, e :nternet es igual$ E0$ 5na seguridad perfecta re#uiere un grado de perfeccin #ue simplemente no existe en realidad y #ue no es pro&a&le #ue exista nunca$ Esto es cierto tanto en el software como en casi todos los campos de inter4s "umano$ El desarrollo de software es una ciencia imperfecta y casi todo el software tiene errores$ Algunos de ellos se pueden aprovec"ar para infringir la seguridad$ Esto es la realidad$ +ero aun#ue el software pudiera ser perfecto, con ello no se solucionar)a todo el pro&lema$ !a mayor parte de los ata#ues implican, en cierto grado, alguna manipulacin de la naturale%a "umana, en lo #ue se suele denominar estratagemas sociales$ Si se aumenta el costo y la dificultad de atacar la tecnolog)a de seguridad, #uienes tengan malas intenciones respondern cam&iando el modo de actuar y pasarn a centrarse en la persona #ue se encuentra tras la consola en lugar de en la tecnolog)a$ Es vital conocer la funcin de mantenimiento de una seguridad slidaI en caso contrario slo uno podr)a convertirse en el punto d4&il del &linda.e de los sistemas$ +ara ver el art)culo completo acerca de las die% normas inmuta&les de seguridad, dirigirse a/ "ttp/66www$microsoft$com6tec"net6columns6security6essays6E0imlaws$asp @este sitio est en ingl4sA !r&ctica 1( Ga0ilitar Fire5all $e Lin$o5s ' >on%i+urar Fire5all $e Lin$o5s para per"itir el acceso al puerto ##=: E.ercicio E/ >rear una conexin a escritorio remoto E$ :nicie sesion en Windows 2+ Windows Server 2003 2$ esde start [ ,un escri&a <mstsc$exe? y presione enter$ 3$ En el campo >omputer escri&a el nom&re o direccin :+ de la computadora remota$ F$ !uego presione el &otn >onnect$ M$ El sistema remoto le pedir credenciales$ E.ercicio 2/ >mo configurar Girewall de Windows para denegar la conexin$ Este e.ercicio lo de&er reali%ar en la computadora remota$ E$ Edite las propiedades de conexin del adaptador de red$ 2$ Seleccione el ta& <Advanced? 3$ !uego de.e una marca en el cuadro <:nternet >onnection Girewall? F$ Edite la configuracin del Girewall desde el &oton <Settings? M$ Lerifi#ue #ue no "ay servicios "a&ilitados$ K$ +resione dos veces en la opcin ;P C$ Lerifi#ue la conexin al escritorio remoto desde la otra computadora$ E.ercicio 3/ >mo configurar Girewall de Windows para permitir el uso del puerto 338D Este e.ercicio lo de&er reali%ar en la computadora remota$ E$ Edite la configuracin de Girewall presionando el &otn <Settings? 2$ 3aga una marca en el cuadro ,emote es'top$ 3$ +resione dos veces en ;P F$ Lerifi#ue la conexin al escritorio remoto desde otra computadora$ M$ Lerifi#ue la conexin a otros servicios$ 1./:. Resu"en $el capitulo >aso prctico isciplina de administracin de riesgos de seguridad efensa en profundidad ,espuesta a incidentes de seguridad E.emplos de ata#ues ,ecomendaciones ie% normas de seguridad inmuta&les Este capitulo "a sido una introduccin a los fundamentos de la implementacin de un entorno de e#uipo seguro$ =ste es un tema muy extenso y comple.o #ue re#uiere una atencin continuada y una me.ora constante de los conocimientos, procesos y procedimientos$ 1.6?. !asos si+uientes ;&tener aprendi%a.e de seguridad adicional Buscar seminarios de aprendi%a.e en l)nea/ "ttp/66www$microsoft$com6seminar6events6security$mspx @este sitio est en ingl4sA Buscar un >HE> local #ue ofre%ca cursos prcticos/ "ttp/66www$microsoft$com6mspress6latam6default$"tm :mplementar una solucin de administracin de revisiones Buscar informacin de orientacin y "erramientas/ "ttp/66www$microsoft$com6tec"net6security6topics6patc"6default$mspx @este sitio est en ingl4sA *antenerse informado so&re la seguridad/ Suscri&irse a &oletines de seguridad/ "ttp/66www$microsoft$com6security6security7&ulletins6alerts2$asp @este sitio est en ingl4sA ;&tener las directrices de seguridad de *icrosoft ms recientes/ "ttp/66www$microsoft$com6tec"net6security6&estprac6 @este sitio est en ingl4sA !os pasos siguientes incluyen ir al sitio We& de *icrosoft para/ ;&tener aprendi%a.e de seguridad adicional$ Buscar orientacin so&re la implementacin de una solucin de administracin de revisiones$ ;&tener la informacin so&re seguridad ms reciente$ 1.61. !ara o0tener "&s in%or"aci.n 3ay ms informacin t4cnica para profesionales de :H y desarrolladores en los sitios We& siguientes/ Sitio de seguridad de *icrosoft @todos los usuariosA/ "ttp/66www$microsoft$com6latam6seguridad Sitio de seguridad de Hec"Oet @profesionales de :HA/ "ttp/66www$microsoft$com6latam6tec"net6seguridad6default$asp Sitio de seguridad de *SO @desarrolladoresA$ "ttp/66msdn$microsoft$com6security @este sitio est en ingl4sA