Seguridad en Sistemas Informáticos

Instituto Tecnológico de Cd. Victoria
Departamento de Sistemas y Computación
Seguridad en Sistemas Informáticos ATF-1401
___________________________________________________________________________________
OBJETIVO: El alumno efectúa auditorias de seguridad detectando amenazas y vulnerabilidades, pudiendo
establecer un plan de seguridad para la organización.
1.- Evaluación de la seguridad. (http://www.iso27000.es/iso27000.html)
1.1 Administración de la seguridad (Ciberseguridad)
Las noticias de ciberataques a ciudadanos, organizaciones, empresas y, hasta, instalaciones críticas de países como
plantas de energía química, centrales nucleares o fábricas de diferentes índoles se han vuelto habituales en los
diferentes medios de comunicación no sólo escritos, sino radio, televisión y, naturalmente, los medios electrónicos de
Internet.
La aparición de las TIC ”Tecnologías de la información y la comunicación ”, en el ámbito de las infraestructuras críticas ha
derivado en la aparición de unas nuevas formas de amenaza que podrían llegar a afectar gravemente a la población, de
modo que si no se gestionan adecuadamente podrían incluso llegar a aumentar el nivel de riesgo frente a ataques
deliberados basados en este tipo de tecnologías.
La ciberseguridad se relaciona frecuentemente con el concepto de ciberguerra; considerando el ciberespacio como
el quinto dominio de la guerra junto a la tierra, mar, aire y espacio. El nuevo modelo de computación se describe
en términos de nube como piedra angular de las nuevas infraestructuras tecnológicas de esta década así como
las tecnologías más disruptivas de la actualidad de impacto en las ciberamenazas y, en consecuencia, en las
ciberdefensas (realidad aumentada, geolocalización, Web en tiempo real, Internet de las cosas, …).
1.2 Entornos y Dominios de Seguridad.
Áreas o dominios contemplados. La norma se desarrolla en 11 áreas o dominios que recogen los 133 controles a seguir.
1+ Política de seguridad.
2+ Organización de la información de seguridad.
3+ Administración de recursos.
4+ Seguridad de los recursos humanos.
5+ Seguridad física y del entorno.
6+ Administración de las comunicaciones y operaciones.
7+ Control de accesos.
8+ Adquisición de sistemas de información, desarrollo y mantenimiento.
9+ Administración de los incidentes de seguridad.
10+ Administración de la continuidad de negocio.
11+ Marco legal y buenas prácticas.
1.3 Activos y Vulnerabilidades.
Administrador de Activos y Vulnerabilidades
Que es la Gestión de Activos?
Incluye el descubrimiento, la identificación y la clasificación de los activos, tales como servidores, estaciones de
trabajo, portátiles, etc., que son parte de cualquier empresa. Debido al hecho que la mayoría de la información
digital que conforma la base de cualquier proceso de Gobierno, GRC “Gestión de Riesgos y Cumplimiento ” se
resguarda en estos activos, es imperativo que las empresas los gestionen adecuadamente.
Que es la Gestión de Vulnerabilidades?
Consiste en la capacidad de descubrir las vulnerabilidades asociadas con los activos y proporciona los datos y
conocimientos necesarios para administrar las vulnerabilidades a través del uso de arreglos directos o de la aplicación
de controles compensatorios.
Características Principales
Descubrimiento de Activos preciso.
Repositorio único y centralizado para todos los activos y vulnerabilidades.
Capacidad de relacionar los activos con los controles.
Planificar Auditorias.
Analizar vulnerabilidades de forma remota.
Seguimiento a las correcciones.
Remediación de seguimiento.
Paneles de control y reportes.
Regino Infante Ventura
Cd. Victoria, Tamaulipas, México. 30 Septiembre 2015
Pagina: 1 de 25
Instituto Tecnológico de Cd. Victoria
Departamento de Sistemas y Computación
Seguridad en Sistemas Informáticos ATF-1401
___________________________________________________________________________________
1.4 Análisis y Evaluación del Riesgo.
+ Identifica, clasifica y valora en primer lugar, todos los activos relevantes de la empresa.
+ Por cada grupo de activos, estudia las amenazas, su probabilidad de ocurrencia y el impacto que pueden causar, en
función de su vulnerabilidad.
+ Establece las medidas de salvaguarda necesarias para reducir hasta un valor aceptable con un coste asumible, el riesgo
asociado a cada una de las amenazas.
+ Se establece el riesgo residual que se está dispuesto a aceptar.
1.5 Gestión del Riesgo (ISO 31000).
ISO 31000: 2009 proporciona principios y directrices genéricas sobre gestión de riesgos.
ISO 31000: 2009 puede ser utilizado por cualquier público, la empresa privada o de la comunidad, asociación, grupo o
individuo. Por lo tanto, la norma ISO 31000: 2009 no es específica a cualquier industria o sector.
ISO 31000: 2009 se puede aplicar a lo largo de la vida de una organización, y para una amplia gama de actividades,
incluidas las estrategias y decisiones, operaciones, procesos, funciones, proyectos, productos, servicios y activos.
ISO 31000: 2009 se puede aplicar a cualquier tipo de riesgo, cualquiera que sea su naturaleza, tanto si tiene
consecuencias positivas o negativas.
Aunque la norma ISO 31000: 2009 proporciona directrices genéricas, no es la intención de promover la uniformidad de la
gestión de riesgos en todas las organizaciones. El diseño e implementación de planes de gestión del riesgo y los marcos
tendrán que tomar en cuenta las diversas necesidades de una organización específica, sus objetivos particulares, el
contexto, la estructura, operaciones, procesos, funciones, proyectos, productos, servicios o activos y prácticas específicas
empleadas .
Se pretende que la norma ISO 31000: 2009 se utilizará para armonizar los procesos de gestión de riesgos en las normas
existentes y futuras. Proporciona un enfoque común en apoyo de las normas de control de riesgos y / o sectores
específicos, y no sustituye a esas normas.
2.- Seguridad básica en Redes.
La rápida expansión y popularización de Internet ha convertido a la seguridad en redes en uno de los tópicos más
importantes dentro de la Informática moderna. Con tal nivel de interconexión, los virus, los hackers y crackers
acampan a sus anchas, aprovechando las deficientes medidas de seguridad tomadas por administradores y usuarios .
Es por ello de suma importancia que el profesional sea capaz de enfrentar de forma eficiente el reto que implica
mantener la seguridad de una red. Las ventajas de las redes en Informática son evidentes, pero muchas veces se
minusvaloran ciertos riesgos, circunstancia que a menudo pone en peligro la seguridad de los sistemas. Nos
encontramos ante una realidad en la cual, la inmensa mayoría de las empresas operan a través de la Red, lo cual
pone de manifiesto, la necesidad apremiante de contar con profesionales que aporten soluciones que garanticen la
seguridad de la información. La Informática es la ciencia del tratamiento automático de la información, pero tanto o
más importante que su procesamiento y almacenamiento es la posibilidad de poder transmitirla de forma eficiente. La
información tiene un tiempo de vida cada vez menor y la rapidez con la que pueda viajar es algo crucial. Los últimos
avances en compresión y transmisión de datos digitales permiten hoy por hoy transferir cantidades enormes de
información a velocidades que hace tan solo unos años eran impensables. En este sentido las redes de computadoras
desempeñan un papel fundamental en la Informática moderna. Pero se debe tener en cuenta que la complejidad de
las grandes redes y su carácter público convierten la protección física de los canales de comunicación en algo
tremendamente difícil. Uno de los mayores obstáculos que han tenido que ser superados para que las redes pudieran
desarrollarse, ha sido encontrar lenguajes comunes para que computadoras de diferentes tipos pudieran entenderse.
En función del tipo de red con el que se trabaja, existirán diferentes clases de riesgos, lo cual conducirá
inevitablemente a medidas de diferente naturaleza para garantizar la seguridad en las comunicaciones. Por tanto se
hace importante señalar que no existe una solución universal para proteger una red, en la mayoría de los casos la
mejor estrategia suele consistir en tratar de colarnos nosotros mismos para poner de manifiesto y corregir
posteriormente los agujeros de seguridad que siempre encontraremos. Sin importar si están conectadas por cable o
de manera inalámbrica, las redes de computadoras cada vez se tornan más esenciales para las actividades diarias.
Tanto las personas como las organizaciones dependen de sus computadores y de las redes para funciones como
correo electrónico, contabilidad, organización y administración de archivos. Las intrusiones de personas no
autorizadas pueden causar interrupciones costosas en la red y pérdidas de trabajo. Los ataques a una red pueden ser
devastadores y pueden causar pérdida de tiempo y de dinero debido a los daños o robos de información o de activos
importantes. Los intrusos pueden obtener acceso a la red a través de vulnerabilidades del software, ataques al
hardware o incluso a través de métodos menos tecnológicos, como el de adivinar el nombre de usuario y la
contraseña de una persona. Por lo general, a los intrusos que obtienen acceso mediante la modificación del software o
la explotación de las vulnerabilidades del software se los denomina piratas informáticos. Una vez que el pirata
Regino Infante Ventura
Cd. Victoria, Tamaulipas, México. 30 Septiembre 2015
Pagina: 2 de 25
Instituto Tecnológico de Cd. Victoria
Departamento de Sistemas y Computación
Seguridad en Sistemas Informáticos ATF-1401
___________________________________________________________________________________
informático obtiene acceso a la red, pueden surgir cuatro tipos de amenazas:
+ Robo de información.
+ Robo de identidad.
+ Pérdida y manipulación de datos.
+ Interrupción del servicio.
2.1 Amenazas, Servicios de seguridad y Mecanismos de implantación.
Ataques y contramedidas en sistemas personales
Clasificación de los ataques en sistemas personales:
Digamos que se entiende por amenaza una condición del entorno del sistema de información (persona, máquina, suceso o
idea) que, dada una oportunidad, podría dar lugar a que se produjese una violación de la seguridad (confidencialidad,
integridad, disponibilidad o uso legítimo). Las amenazas a la seguridad en una red pueden caracterizarse modelando
el sistema como un flujo de información desde una fuente, como por ejemplo un fichero o una región de la memoria
principal, a un destino, como por ejemplo otro fichero o un usuario. Un ataque no es más que la realización de una
amenaza. Las cuatro categorías generales de amenazas o ataques son las siguientes:
1. Interrupción: un recurso del sistema es destruido o se vuelve no disponible. Este es un ataque contra la disponibilidad.
Ejemplos de este ataque son la destrucción de un elemento hardware, como un disco duro, cortar una línea de
comunicación o deshabilitar el sistema de gestión de ficheros.
2. Intercepción: una entidad no autorizada consigue acceso a un recurso. Este es un ataque contra la confidencialidad. La
entidad no autorizada podría ser una persona, un programa o un ordenador. Ejemplos de este ataque son pinchar una
línea para hacerse con datos que circulen por la red y la copia ilícita de ficheros o programas (intercepción de datos),
o bien la lectura de las cabeceras de paquetes para desvelar la identidad de uno o más de los usuarios implicados en
la comunicación observada ilegalmente (intercepción de identidad).
3. Modificación: una entidad no autorizada no sólo consigue acceder a un recurso, sino que es capaz de manipularlo. Este
es un ataque contra la integridad. Ejemplos de este ataque son el cambio de valores en un archivo de datos, alterar un
programa para que funcione de forma diferente y modificar el contenido de mensajes que están siendo transferidos
por la red.
4. Fabricación: una entidad no autorizada inserta objetos falsificados en el sistema. Este es un ataque contra la
autenticidad. Ejemplos de este ataque son la inserción de mensajes espurios en una red o añadir registros a un
archivo. Estos ataques se pueden asimismo clasificar de forma útil en términos de ataques pasivos y ataques activos.
Ataques pasivos
* No altera la comunicación, sino que únicamente la escucha o monitoriza, para obtener información que está siendo
transmitida. Sus objetivos son la intercepción de datos y el análisis de tráfico, una técnica más sutil para obtener
información de la comunicación, que puede consistir en:
- Obtención del origen y destinatario de la comunicación, leyendo las cabeceras de los paquetes
monitorizados.
- Control del volumen de tráfico intercambiado entre las entidades monitorizadas, obteniendo así información
acerca de actividad o inactividad inusuales.
- Control de las horas habituales de intercambio de datos entre las entidades de la comunicación, para extraer
información acerca de los períodos de actividad.
* Son muy difíciles de detectar, ya que no provocan ninguna alteración de los datos. Sin embargo, es posible evitar
su éxito mediante el cifrado de la información y otros mecanismos que se verán más adelante.
Eavesdropping La interceptación o eavesdropping, también conocida por ''passive wiretapping'' es un proceso
mediante el cual un agente capta información que va dirigida a él; esta captación puede realizarse por
muchísimos medios: sniffing en redes ethernet o inalámbricas (un dispositivo se pone en modo promiscuo y
analiza todo el tráfico que pasa por la red), capturando radiaciones electromagnéticas (muy caro, pero permite
detectar teclas pulsadas, contenidos de pantallas, ...), etc.
El problema de este tipo de ataque es que en principio es completamente pasivo y en general difícil de detectar
mientras se produce, de forma que un atacante puede capturar información privilegiada y claves que puede
emplear para atacar de modo activo.
Para evitar que funcionen los sniffer existen diversas soluciones, aunque al final la única realmente útil es cifrar toda
la información que viaja por la red (sea a través de cables o por el aire). En principio para conseguir esto se
deberían emplear versiones seguras de los protocolos de uso común, siempre y cuando queramos proteger la
información. Hoy en día casi todos los protocolos basados en TCP permiten usar una versión cifrada mendiante
el uso del TLS.
Regino Infante Ventura
Cd. Victoria, Tamaulipas, México. 30 Septiembre 2015
Pagina: 3 de 25
Instituto Tecnológico de Cd. Victoria
Departamento de Sistemas y Computación
Seguridad en Sistemas Informáticos ATF-1401
___________________________________________________________________________________
Ataques activos
Estos implican algún tipo de modificación del flujo de datos transmitido o la creación de un falso flujo de datos, pudiendo
subdividirse en cuatro categorías:
- Suplantación de identidad: el intruso se hace pasar por una entidad diferente. Normalmente incluye alguna
de las otras formas de ataque activo. Por ejemplo, secuencias de autenticación pueden ser capturadas y repetidas,
permitiendo a una entidad no autorizada acceder a una serie de recursos privilegiados suplantando a la entidad que
posee esos privilegios, como al robar la contraseña de acceso a una cuenta.
- Repetición: uno o varios mensajes legítimos son capturados y repetidos para producir un efecto no
deseado, como por ejemplo ingresar dinero repetidas veces en una cuenta dada.
- Modificación de mensajes: una porción del mensaje legítimo es alterada, o los mensajes son retardados o
reordenados, para producir un efecto no autorizado. Por ejemplo, el mensaje "Ingresa un millón de pesos en la cuenta
A" podría ser modificado para decir "Ingresa un millón de pesos en la cuenta B".
- Interrupción: o degradación fraudulenta del servicio, impide o inhibe el uso normal o la gestión de recursos
informáticos y de comunicaciones. Por ejemplo, el intruso podría suprimir todos los mensajes dirigidos a una
determinada entidad o se podría interrumpir el servicio de una red inundándola con mensajes espurios. Entre estos
ataques se encuentran los de denegación de servicio, consistentes en paralizar temporalmente el servicio de un
servidor de correo, Web, FTP, etc.
2.2 Seguridad en IP v4 “32 bits”: SSL/TLS e IP v6 “128 bits ”: protocolos Ipsec.
Los protocolos de IPsec actúan en la capa de red, la capa 3 del modelo OSI. Otros protocolos de seguridad para
Internet de uso extendido, como SSL “Secure Sockets Layer ”, TLS ”Transport Layer Security ” y SSH “Secure
SHell ” operan de la capa de transporte (capa 4 del modelo OSI) hacia arriba. Esto hace que IPsec sea más
flexible, ya que puede ser utilizado para proteger protocolos de la capa 4, incluyendo TCP y UDP, los protocolos
de capa de transporte más usados. Una ventaja importante de IPsec frente a SSL y otros métodos que operan
en capas superiores, es que para que una aplicación pueda usar IPsec no hay que hacer ningún cambio,
mientras que para usar SSL y otros protocolos de niveles superiores, las aplicaciones tienen que modificar su
código.
2.3 Infraestructura de clave pública PKI “Public Key Infrastructure ”.
En criptografía, una infraestructura de clave pública es una combinación de hardware y software, políticas y procedimientos
de seguridad que permiten la ejecución con garantías de operaciones criptográficas como el cifrado, la firma digital o el
no repudio de transacciones electrónicas.
El término PKI se utiliza para referirse tanto a la autoridad de certificación y al resto de componentes, como para referirse,
de manera más amplia, al uso de algoritmos de clave pública en comunicaciones electrónicas. Este último significado es
incorrecto, ya que no se requieren métodos específicos de PKI para usar algoritmos de clave pública.
2.4 El sellado temporal (time-stamping).
Es un mecanismo en línea que permite demostrar que una serie de datos han existido y no han sido alterados desde un
instante específico en el tiempo. Este protocolo se describe en el RFC 3161 y está en el registro de estándares de
Internet.
Una autoridad de sellado de tiempo actúa como tercera parte de confianza testificando la existencia de dichos datos
electrónicos en una fecha y hora concretos.
Pasos para generar un sello de tiempo
Un usuario quiere obtener un sello de tiempo para un documento electrónico que él posee.
Un resumen digital (técnicamente un hash) se genera para el documento en el ordenador del usuario.
Este resumen forma la solicitud que se envía a la autoridad de sellado de tiempo TSA ”Time Stamp Authority ”.
La TSA genera un sello de tiempo con esta huella, la fecha y hora obtenida de una fuente fiable y la firma electrónica de la
TSA.
El sello de tiempo se envía de vuelta al usuario.
La TSA mantiene un registro de los sellos emitidos para su futura verificación.
Regino Infante Ventura
Cd. Victoria, Tamaulipas, México. 30 Septiembre 2015
Pagina: 4 de 25
Instituto Tecnológico de Cd. Victoria
Departamento de Sistemas y Computación
Seguridad en Sistemas Informáticos ATF-1401
___________________________________________________________________________________
Dónde se aplica
Factura electrónica.
Protección de la propiedad intelectual.
Registro electrónico / libros financieros / apuestas / pedidos
Trazas seguras.
Transacciones seguras en comercio electrónico.
Voto electrónico.
Visado electrónico.
Transparencia en Gobierno, ...
2.5 Redes Privadas Virtuales: VPN.
Una red privada virtual, RPV, o VPN Virtual Private Network, es una tecnología de red que permite una extensión segura
de la red local (LAN) sobre una red pública o no controlada como Internet. Permite que la computadora en la red envíe
y reciba datos sobre redes compartidas o públicas como si fuera una red privada con toda la funcionalidad, seguridad
y políticas de gestión de una red privada.1 Esto se realiza estableciendo una conexión virtual punto a punto mediante
el uso de conexiones dedicadas, cifrado o la combinación de ambos métodos.
Ejemplos comunes son la posibilidad de conectar dos o más sucursales de una empresa utilizando como vínculo Internet,
permitir a los miembros del equipo de soporte técnico la conexión desde su casa al centro de cómputo, o que un
usuario pueda acceder a su equipo doméstico desde un sitio remoto, como por ejemplo un hotel. Todo ello utilizando
la infraestructura de Internet.
La conexión VPN a través de Internet es técnicamente una unión wide area network (WAN) entre los sitios pero al usuario
le parece como si fuera un enlace privado, de allí la designación "virtual private network".
2.6 AntiVirus.
En informática son programas cuyo objetivo es detectar o eliminar virus informáticos. Con el transcurso del tiempo, la
aparición de sistemas operativos más avanzados e internet, ha hecho que los antivirus hayan evolucionado hacia
programas más avanzados que no sólo buscan detectar virus informáticos, sino bloquearlos, desinfectar archivos y
prevenir una infección de los mismos. Actualmente son capaces de reconocer otros tipos de malware, como spyware,
gusanos, troyanos, rootkits, etc.
3.- Protección en la Red.
3.1 Seguridad: firewalls “Perimetrales o de RED y de HOST”.
Un cortafuegos (firewall) es una parte de un sistema o una red que está diseñada para bloquear el acceso no autorizado,
permitiendo al mismo tiempo comunicaciones autorizadas.
Se trata de un dispositivo o conjunto de dispositivos configurados para permitir, limitar, cifrar, descifrar, el tráfico entre los
diferentes ámbitos sobre la base de un conjunto de normas y otros criterios.
Los cortafuegos pueden ser implementados en hardware o software, o en una combinación de ambos. Los
cortafuegos se utilizan con frecuencia para evitar que los usuarios de Internet no autorizados tengan acceso a
redes privadas conectadas a Internet, especialmente intranets. Todos los mensajes que entren o salgan de la
intranet pasan a través del cortafuegos, que examina cada mensaje y bloquea aquellos que no cumplen los
criterios de seguridad especificados. También es frecuente conectar el cortafuegos a una tercera red, llamada
DMZ “zona desmilitarizada”, en la que se ubican los servidores de la organización que deben permanecer
accesibles desde la red exterior.
Netfilter es un framework disponible en el núcleo Linux que permite interceptar y manipular paquetes de red. Dicho
framework permite realizar el manejo de paquetes en diferentes estados del procesamiento. Netfilter es también el
nombre que recibe el proyecto que se encarga de ofrecer herramientas libres para cortafuegos basados en Linux.
El componente más popular construido sobre Netfilter es iptables, una herramienta de cortafuegos que permite no
solamente filtrar paquetes, sino también realizar traducción de direcciones de red (NAT) para IPv4 o mantener
registros de log. El proyecto Netfilter no sólo ofrece componentes disponibles como módulos del núcleo sino que
también ofrece herramientas de espacio de usuario y librerías.
Iptables es el nombre de la herramienta de espacio de usuario mediante la cual el administrador puede definir políticas de
filtrado del tráfico que circula por la red. El nombre iptables se utiliza frecuentemente de forma errónea para referirse a
toda la infraestructura ofrecida por el proyecto Netfilter. Sin embargo, el proyecto ofrece otros subsistemas
independientes de iptables tales como el connection tracking system o sistema de seguimiento de conexiones, que
permite encolar paquetes para que sean tratados desde espacio de usuario. iptables es un software disponible en
prácticamente todas las distribuciones de Linux actuales.
Regino Infante Ventura
Cd. Victoria, Tamaulipas, México. 30 Septiembre 2015
Pagina: 5 de 25
Instituto Tecnológico de Cd. Victoria
Departamento de Sistemas y Computación
Seguridad en Sistemas Informáticos ATF-1401
___________________________________________________________________________________
Vease tambien el Firewall de Windows con seguridad avanzada en un equipo local.
Beneficios de un Firewall
Los Firewalls manejan el acceso entre dos redes, y si no existiera, todos las computadoras de la red estarían expuestos a
ataques desde el exterior. Esto significa que la seguridad de toda la red, estaría dependiendo de que tan fácil fuera
violar la seguridad local de cada maquina interna.
El Firewall es el punto ideal para monitorear la seguridad de la red y generar alarmas de intentos de ataque, el
administrador será el responsable de la revisión de estos monitoreos.
Otra causa que ha hecho que el uso de Firewalls se halla convertido en uso casi imperativo es el hecho que en los últimos
años en Internet han entrado en crisis el número disponible de direcciones IP, esto ha hecho que las intranets adopten
direcciones sin clase, las cuales salen a Internet por medio de un "traductor de direcciones", el cual puede alojarse en
el Firewall.
Los Firewalls también son importantes desde el punto de vista de llevar las estadísticas del ancho de banda "consumido"
por el trafico de la red, y que procesos han influido más en ese trafico, de esta manera el administrador de la red
puede restringir el uso de estos procesos y economizar o aprovechar mejor el ancho de banda disponible.
Los Firewalls también tienen otros usos. Por ejemplo, se pueden usar para dividir partes de un sitio que tienen distintas
necesidades de seguridad o para albergar los servicios WWW y FTP.
Limitaciones de un Firewall
La limitación más grande que tiene un Firewall sencillamente es el hueco que no se tapa y que coincidentemente o no, es
descubierto por un intruso. Los Firewalls no son sistemas inteligentes, ellos actúan de acuerdo a parámetros
introducidos por su diseñador, por ende si un paquete de información no se encuentra dentro de estos parámetros
como una amenaza de peligro simplemente lo deja pasar. Más peligroso aún es que ese intruso deje Back Doors,
abriendo un hueco diferente y borre las pruebas o indicios del ataque original.
Otra limitación es que el Firewall "NO es contra humanos", es decir que si un intruso logra entrar a la organización y
descubrir passwords o los huecos del Firewall y difunde esta información, el Firewall no se dará cuenta.
El Firewall tampoco provee de herramientas contra la filtración de software o archivos infectados con virus, aunque es
posible dotar a la máquina, donde se aloja el Firewall, de antivirus apropiados.
Finalmente, un Firewall es vulnerable, él NO protege de la gente que está dentro de la red interna. El Firewall trabaja mejor
si se complementa con una defensa interna. Como moraleja: "cuanto mayor sea el tráfico de entrada y salida
permitido por el Firewall, menor será la resistencia contra los paquetes externos. El único Firewall seguro (100%) es
aquel que se mantiene apagado".
1.
2.
Demos de Fireawall
http://demo.cyberoam.com/
Usuario:guest Contraseña:guest
http://fortigate.com/login
Usuario:demo Contraseña:demo
3.2 Intrusion Detection System: IDS.
Sistemas de Detección de intrusos y Snort.
Un IDS es una herramienta de seguridad que intenta detectar o monitorizar los eventos ocurridos en un determinado
sistema informático en busca de intentos de comprometer la seguridad de dicho sistema.
Introducción a los sistemas IDS y Snort
Un IDS o Sistema de Detección de Intrusiones es una herramienta de seguridad que intenta detectar o monitorear los
eventos ocurridos en un determinado sistema informático o red informática en busca de intentos de comprometer la
seguridad de dicho sistema.
Los IDS buscan patrones previamente definidos que impliquen cualquier tipo de actividad sospechosa o maliciosa sobre
nuestra red o host.
Los IDS aportan a nuestra seguridad una capacidad de prevención y de alerta anticipada ante cualquier actividad
sospechosa. No están diseñados para detener un ataque, aunque sí pueden generar ciertos tipos de respuesta ante
éstos.
Los IDS: aumentan la seguridad de nuestro sistema, vigilan el tráfico de nuestra red, examinan los paquetes analizándolos
en busca de datos sospechosos y detectan las primeras fases de cualquier ataque como pueden ser el análisis de
nuestra red, barrido de puertos, etc.
Tipos de IDS
1. HIDS (Host IDS)
Protege contra un único Servidor, PC o host. Monitorizan gran cantidad de eventos, analizando actividades con una gran
precisión, determinando de esta manera qué procesos y usuarios se involucran en una determinada acción. Recaban
información del sistema como ficheros, logs, recursos, etc, para su posterior análisis en busca de posibles incidencias.
Regino Infante Ventura
Cd. Victoria, Tamaulipas, México. 30 Septiembre 2015
Pagina: 6 de 25
Instituto Tecnológico de Cd. Victoria
Departamento de Sistemas y Computación
Seguridad en Sistemas Informáticos ATF-1401
___________________________________________________________________________________
Todo ello en modo local, dentro del propio sistema. Fueron los primeros IDS en desarrollar por la industria de la seguridad
informática.
2. NIDS (Net IDS)
Protege un sistema basado en red. Actúan sobre una red capturando y analizando paquetes de red, es decir, son sniffers
del tráfico de red. Luego analizan los paquetes capturados, buscando patrones que supongan algún tipo de ataque.
Bien ubicados, pueden analizar grandes redes y su impacto en el tráfico suele ser pequeño. Actúan mediante la utilización
de un dispositivo de red configurado en modo promiscuo (analizan, “ven ” todos los paquetes que circulan por un
segmento de red aunque estos nos vayan dirigidos a un determinado equipo). Analizan el trafico de red, normalmente,
en tiempo real. No sólo trabajan a nivel TCP/IP, también lo pueden hacer a nivel de aplicación.
Otros tipos son los híbridos.
Por el tipo de respuesta podemos clasificarlos en:
Pasivos: Son aquellos IDS que notifican a la autoridad competente o administrador de la red mediante el sistema que sea,
alerta, etc. Pero no actúa sobre el ataque o atacante.
Activos: Generan algún tipo de respuesta sobre el sistema atacante o fuente de ataque como cerrar la conexión o enviar
algún tipo de respuesta predefinida en nuestra configuración.
Snort puede funcionar de las dos maneras.
Arquitectura de un IDS
Normalmente la arquitectura de un IDS, a grandes rasgos, está formada:
1. La fuente de recogida de datos. Estas fuentes pueden ser un log, dispositivo de red, o como en el caso de los IDS
basados en host, el propio sistema.
2. Reglas que contienen los datos y patrones para detectar anomalías de seguridad en el sistema.
3. Filtros que comparan los datos snifados de la red o de logs con los patrones almacenados en las reglas.
4. Detectores de eventos anormales en el tráfico de red.
5. Dispositivo generador de informes y alarmas. En algunos casos con la sofisticación suficiente como para enviar alertas
vía mail, o SMS.
Esto es a modo general. Cada IDS implementa la arquitectura de manera diferente.
Un IPS “Sistema de Prevención de Intrusos o Intrusion Prevention System ”, es un dispositivo de seguridad de red que
monitorea el tráfico de red y/o las actividades de un sistema, en busca de actividad maliciosa. Entre sus principales
funciones, se encuentran no sólo la de identificar la actividad maliciosa, sino la de intentar detener esta actividad.
Siendo ésta última una característica que distingue a este tipo de dispositivos de los llamados IDS Sistemas de
Detección de Intrusos o Intrusion Detection Systems.
Entre otras funciones (como en el caso del IDS) se tiene que puede alertar al administrador ante la detección de
intrusiones o actividad maliciosa, mientras que es exclusivo de un Sistema de Prevención de Intrusos (IPS) establecer
políticas de seguridad para proteger al equipo o a la red de un ataque.
De ahí que se diga que un IPS protege a una red o equipo de manera proactiva mientras que un IDS lo hace de
manera reactiva.
Otras funciones importantes de estos dispositivos de red, son las de grabar información histórica de esta actividad y
generar reportes.
Los IPS se clasifican en cuatro difrentes tipos:
1. Basados en Red Lan (NIPS): monitorean la red lan en busca de tráfico de red sospechoso al analizar la actividad por
protocolo de comunicación lan.
2. Basados en Red Wireless (WIPS): monitorean la red inalámbrica en busca de tráfico sospechoso al analizar la actividad
por protocolo de comunicación inalámbrico.
3. Análisis de comportamiento de red (NBA): Examina el tráfico de red para identifica amenazas que generan tráfico
inusual, como ataques de denegación de servicio ciertas formas de malware y violaciones a políticas de red.
4. Basados en Host (HIPS): Se efectúa mediante la instalación de paquetes de software que monitoran un host único en
busca de actividad sospechosa.
Los IPS categorizan la forma en que detectan el tráfico malicioso:
Detección basada en firmas: como lo hace un antivirus.
Detección basada en políticas: el IPS requiere que se declaren muy específicamente las políticas de seguridad.
Detección basada en anomalías: en función con el patrón de comportamiento normal de tráfico.
Detección basada en firmas
Una firma tiene la capacidad de reconocer una determinada cadena de bytes en cierto contexto, y entonces lanza una
Regino Infante Ventura
Cd. Victoria, Tamaulipas, México. 30 Septiembre 2015
Pagina: 7 de 25
Instituto Tecnológico de Cd. Victoria
Departamento de Sistemas y Computación
Seguridad en Sistemas Informáticos ATF-1401
___________________________________________________________________________________
alerta. Por ejemplo, los ataques contra los servidores Web generalmente toman la forma de URLs. Por lo tanto se
puede buscar utilizando un cierto patrón de cadenas que pueda identificar ataques al servidor web. Sin embargo,
como este tipo de detección funciona parecido a un antivirus, el administrador debe verificar que las firmas estén
constantemente actualizadas.
Detección basada en políticas
En este tipo de detección, el IPS requiere que se declaren muy específicamente las políticas de seguridad. Por ejemplo,
determinar que hosts pueden tener comunicación con determinadas redes. El IPS reconoce el tráfico fuera del perfil
permitido y lo descarta.
Detección basada en anomalías
Este tipo de detección tiende a generar muchos falsos positivos, ya que es sumamente difícil determinar y medir una
condición ‘normal’. En este tipo de detección tenemos dos opciones:
1. Detección estadística de anormalidades: El IPS analiza el tráfico de red por un determinado periodo de tiempo y crea
una línea base de comparación. Cuando el tráfico varía demasiado con respecto a la línea base de comportamiento,
se genera una alarma.
2. Detección no estadística de anormalidades: En este tipo de detección, es el administrador quien define el patrón
«normal» de tráfico. Sin embargo, debido a que con este enfoque no se realiza un análisis dinámico y real del uso de
la red, es susceptible a generar muchos falsos positivos.
Se podría mencionar un apartado a cerca de las estraegias utilizadas a fin de decubrir nuevos tipos de ataque; entrando en
esta clasificación los honey pots.
Detección honey pot (jarra o tarro de miel): funciona usando un equipo que se configura para que llame la atención de los
hackers.
Detección honey pot (jarra de miel)
Aquí se utiliza un distractor. Se asigna como honey pot un dispositivo que pueda lucir como atractivo para los atacantes.
Los atacantes utilizan sus recursos para tratar de ganar acceso en el sistema y dejan intactos los verdaderos
sistemas. Mediante esto, se puede monitorizar los métodos utilizados por el atacante e incluso identificarlo, y de esa
forma implementar políticas de seguridad acordes en nuestros sistemas de uso real.
3.3 Seguridad en dispositivos de internetworking.
El término internetworking es utilizado para definir los elementos que se encargan de la union de diferentes redes en
cualquier nivel del modelo OSI (fisico, enlace, red, etc) de tal forma, que desde los niveles superiores se vea como
una red homogenea aunque difieran en el medio fisico(Ethenet, Token Ring, FDDI) o en la pila de protocolos utilizados
(TCP, DECNET, etc). Los disposiyivos basicos de internetworking son:
+ Repetidores Y Amplificadores.
+ Puentes (BRIDGES).
+ Conmutadores Lan O Switch.
+ Router Y Switch Capa 3 (ATM, Frame Relay, Ppp Y X.25).
+ Gateway O Pasarela.
+ Host (PC, Impresora, Telefono Ip, Servidores, Ipad, Etc)
3.3.1 Switches o conmutadores: seguridad basada en puerto.
Caracteristicas a considerar en loa switches: Tipo de medio a utilizar (Cobre o Fibra), cantidad y velocidad de los
puertos, Autosensables o no, administrados o no, PoE, Tamaño máximo del clúster, Vlan's, niveles de prioridad,
Normas, MIB “ Management Information Base” SNMP “Simple Network Management Protocol”.
3.3.2 Routers: ACL’s. Utilización de ACLs en routers.
Definición
En el ámbito de los dispositivos routers, las ACLs son listas de condiciones que se aplican al tráfico que viaja a través de la
interfaz del router.
Las ACL indican al router qué tipo de paquetes aceptar o rechazar en base a las condiciones establecidas en ellas y que
permiten la administración del tráfico y aseguran el acceso, bajo esas condiciones, hacia y desde una red.
La aceptación y rechazo se pueden basar en la dirección origen, dirección destino, protocolo de capa superior y números
de puerto.
Por lo tanto, una ACL es un grupo de sentencias que define cómo se procesan los paquetes que:
+ Entran a las interfaces de entrada.
+ Se reenvían a través del router.
Regino Infante Ventura
Cd. Victoria, Tamaulipas, México. 30 Septiembre 2015
Pagina: 8 de 25
Instituto Tecnológico de Cd. Victoria
Departamento de Sistemas y Computación
Seguridad en Sistemas Informáticos ATF-1401
___________________________________________________________________________________
+ Salen de las interfaces de salida del router.
En principio si las ACL no están configuradas en el router, todos los paquetes que pasen a través del router tendrán acceso
a todas las partes de la red.
Es posible crear ACL en protocolos de red enrutados, como el Protocolo de Internet (IP) y el Intercambio de paquetes de
internetwork (IPX), entre otros. Se debe definir una ACL para cada protocolo enrutado habilitado en la interfaz.
Además, se necesita crear una ACL por separado para cada dirección, una para el tráfico entrante y otra para el saliente.
Como hemos comentado, las ACL se definen según el protocolo, la dirección o el puerto. Por ejemplo, si el router tiene dos
interfaces configuradas para IP, IPX y AppleTalk, se necesitan 12 ACLs separadas. Una ACL por cada protocolo,
multiplicada por dos por dirección entrante y saliente, multiplicada por dos por el número de interfaces.
Se puede configurar una ACL por protocolo, por dirección y por interfaz.
•Una ACL por protocolo: para controlar el flujo de tráfico de una interfaz, se debe definir una ACL para cada protocolo
habilitado en la interfaz.
•Una ACL por dirección: las ACL controlan el tráfico en una dirección a la vez de una interfaz. Deben crearse dos ACL por
separado para controlar el tráfico entrante y saliente.
•Una ACL por interfaz: las ACL controlan el tráfico para una interfaz, por ejemplo, Fast Ethernet 0/0.
Las ACL no actúan sobre paquetes que se originan en el mismo router. Las ACL se configuran para ser aplicadas al tráfico
entrante o saliente.
•ACL de entrada: los paquetes entrantes se procesan antes de ser enrutados a la interfaz de salida.
•ACL de salida: los paquetes entrantes se enrutan a la interfaz de salida y luego son procesados a través de la ACL de
salida.
Objetivos de las ACL
En resumen, los objetivos que se persiguen con la creación de ACL son:
+ Limitar el tráfico de red y mejorar el rendimiento de la red. Al restringir el tráfico de vídeo, por ejemplo, las ACL pueden
reducir ampliamente la carga de la red y en consecuencia mejorar el rendimiento de la misma.
+ Controlar el flujo del tráfico. Las ACL pueden restringir el envío de las actualizaciones de enrutamiento. Si no se
necesitan actualizaciones debido a las condiciones de la red, se preserva el ancho de banda.
+ Proporcionar un nivel básico de seguridad para el acceso a la red. Por ejemplo, las ACL pueden permitir que un host
acceda a una parte de la red y evitar que otro acceda a la misma área. Por ejemplo, el host-1 se le permite el acceso a
la red de
+ Producción, y al host-2 se le niega el acceso a esa red.
+ Establecer qué tipo de tráfico se envía o se bloquea en las interfaces del router. Por ejemplo, permitir que se envíe el
tráfico relativo al correo electrónico, y se bloquea el tráfico de ftp.
+ Otorgar o denegar permiso a los usuarios para acceder a ciertos tipos de archivos, tales como FTP o HTTP.
Funcionamiento de las ACL
Para explicar el funcionamiento utilizaremos el software Cisco IOS.
El orden de las sentencias ACL es importante .
+ Cuando el router está decidiendo si se envía o bloquea un paquete, el IOS prueba el paquete, verifica si cumple o no
cada sentencia de condición, en el orden en que se crearon las sentencias .
+ Una vez que se verifica que existe una coincidencia, no se siguen verificando otras sentencias de condición .
Por lo tanto, Cisco IOS verifica si los paquetes cumplen cada sentencia de condición de arriba hacia abajo, en orden.
Cuando se encuentra una coincidencia, se ejecuta la acción de aceptar o rechazar y ya no se continua comprobando
otras ACL.
Por ejemplo, si una ACL permite todo el tráfico y está ubicada en la parte superior de la lista, ya no se verifica ninguna
sentencia que esté por debajo.
Si no hay coincidencia con ninguna de las ACL existentes en el extremo de la lista se coloca por defecto una sentencia
implícita deny any (denegar cualquiera). Y, aunque la línea deny any no sea visible sí que está ahí y no permitirá que
ningún paquete que no coincida con alguna de las ACL anteriores sea aceptado. Se puede añadir de forma explícita
por aquello de 'verla' escrita y tener esa tranquilidad.
Veamos el proceso completo:
1. Cuando entra una trama a través de una interfaz, el router verifica si la dirección de capa 2 (MAC) concuerda o si es una
trama de broadcast.
2. Si se acepta la dirección de la trama, la información de la trama se elimina y el router busca una ACL en la interfaz
Regino Infante Ventura
Cd. Victoria, Tamaulipas, México. 30 Septiembre 2015
Pagina: 9 de 25
Instituto Tecnológico de Cd. Victoria
Departamento de Sistemas y Computación
Seguridad en Sistemas Informáticos ATF-1401
___________________________________________________________________________________
entrante.
3. Si existe una ACL se comprueba si el paquete cumple las condiciones de la lista.
4. Si el paquete cumple las condiciones, se ejecuta la acción de aceptar o rechazar el paquete.
5. Si se acepta el paquete en la interfaz, se compara con las entradas de la tabla de enrutamiento para determinar la
interfaz destino y conmutarlo a aquella interfaz. Luego el router verifica si la interfaz destino tiene una ACL.
6. Si existe una ACL, se compara el paquete con las sentencias de la lista y si el paquete concuerda con una sentencia, se
acepta o rechaza el paquete según se indique.
7. Si no hay ACL o se acepta el paquete, el paquete se encapsula en el nuevo protocolo de capa 2 y se envía por la
interfaz hacia el dispositivo siguiente.
Creación de ACL
Utilizamos la herramienta de simulación Packet Tracer y una topología de red muy sencilla, formada por un router, dos
switch y 2PCs, cada uno de ellos en una subred.
Trabajaremos desde el modo de configuración global: (config)#
Hay dos tipos de ACL y utilizan una numeración para identificarse:
•ACL estándar: del 1 al 99
•ACL extendida: del 100 al 199
ACLs estándar: sintaxis
Las ACL estándar en un router Cisco siempre se crean primero y luego se asignan a una interfaz.
Tienen la configuración siguiente:
Router(config)# access-list numACL permit|deny origen [wild-mask]
El comando de configuración global access-list define una ACL estándar con un número entre 1 y 99.
Se aplican a los interfaces con:
Router (config-if)# ip access-group numACL in|out
•In: tráfico a filtrar que ENTRA por la interfaz del router
•out : tráfico a filtrar que SALE por la interfaz del router.
•wild-mask: indica con 0 el bit a evaluar y con 1 indica que el bit correspondiente se ignora. Por ejemplo, si queremos
indicar un único host 192.168.1.1 especifico: 192.168.1.1 con wild-mask 0.0.0.0 y si queremos especificar toda la red
clase C correspondiente lo hacemos con 192.168.1.0 y wild-mask 0.0.0.255.
Para la creación de ACL estándar en importante:
•Seleccionar y ordenar lógicamente las ACL.
•Seleccionar los protocolos IP que se deben verificar.
•Aplicar ACL a interfaces para el tráfico entrante y saliente.
•Asignar un número exclusivo para cada ACL.
Ejemplo 1
Supongamos que queremos crear en un Router0 una ACL con el número 1 (numACL) que deniegue el host 192.168.1.2.
Desde configuración global:
Router0(config)# access-list 1 deny 192.168.1.2 0.0.0.0
Si queremos eliminar una ACL:
Router0(config)# no access-list
Para mostrar las ACL:
Router0# show access-list
Standard IP access list 1
deny host 192.168.1.2
permit any
Recordar que para salir del modo de configuración global (config) hay que escribir 'exit'.
Ahora hay que utilizar el comando de configuración de interfaz para seleccionar una interfaz a la que aplicarle la ACL:
Router0(config)# interface FastEthernet 0/0
Por último utilizamos el comando de configuración de interfaz ip access-group para activar la ACL actual en la interfaz
como filtro de salida:
Router0(config-if)# ip access-group 1 out
Regino Infante Ventura
Cd. Victoria, Tamaulipas, México. 30 Septiembre 2015
Pagina: 10 de 25
Instituto Tecnológico de Cd. Victoria
Departamento de Sistemas y Computación
Seguridad en Sistemas Informáticos ATF-1401
___________________________________________________________________________________
Ejemplo 2
Tenemos la siguiente topología de red.
Ejemplo de lista control
Vamos a definir una ACL estándar que permita el trafico de salida de la red 192.168.1.0/24.
La primera cuestión que se plantea es ¿dónde instalar la ACL? ¿en qué router? ¿en qué interfaz de ese router?.
En este caso no habría problema porque solo tenemos un router, el Router0. Pero la regla siempre es instalar la ACL lo
más cerca posible del destino.
Router0#configure terminal
Router0(config)#access-list 1 permit 192.168.1.0 0.0.0.255
Router0(config)#interface S0/0/0
Router0(config-if)#ip access-group 1 out
Ahora borramos la ACL anterior y vamos a definir una ACL estándar que deniegue un host concreto.
Router0(config)#no access-list 1
Router0(config)#access-list 1 deny 192.168.1.10 0.0.0.0 Router0(config)
#access-list 1 permit 192.168.1.0 0.0.0.255
Router0(config)#interface S0/0/0
Router0(config-if)#ip access-group 1 out
ACLs extendidas
Las ACL extendidas filtran paquetes IP según:
•Direcciones IP de origen y destino
•Puertos TCP y UDP de origen y destino
•Tipo de protocolo (IP, ICMP, UDP, TCP o número de puerto de protocolo).
Las ACLs extendidas usan un número dentro del intervalo del 100 al 199.
Al final de la sentencia de la ACL extendida se puede especificar, opcionalmente, el número de puerto de protocolo TCP o
UDP para el que se aplica la sentencia:
•20 y 21: datos y programa FTP
•23: Telnet
•25: SMTP
•53: DNS
•69: TFTP
Definir ACL extendida, sintaxis:
Router(config)# access-list numACL {permit|deny} protocolo fuente
[mascara-fuente destino mascara-destino operador operando] [established]
•numACL: Identifica número de lista de acceso utilizando un número dentro del intervalo 100-199
•protocolo: IP, TCP, UDP, ICMP, GRE, IGRP
•fuente | destino: Identificadores de direcciones origen y destino
•mascara-fuente | mascara-destino: Máscaras de wildcard
•operador: lt, gt, eq, neq
•operando: número de puerto
•established: permite que pase el tráfico TCP si el paquete utiliza una conexión establecida. ◦Respecto a los protocolos:
◦Sólo se puede especificar una ACL por protocolo y por interfaz.
◦Si ACL es entrante, se comprueba al recibir el paquete.
◦Si ACL es saliente, se comprueba después de recibir y enrutar el paquete a la interfaz saliente.
Regino Infante Ventura
Cd. Victoria, Tamaulipas, México. 30 Septiembre 2015
Pagina: 11 de 25
Instituto Tecnológico de Cd. Victoria
Departamento de Sistemas y Computación
Seguridad en Sistemas Informáticos ATF-1401
___________________________________________________________________________________
◦Se puede nombrar o numerar un protocolo IP.
Asociar ACL a interfaz, sintaxis:
Router(config-if)# ip access-group num_ACL {in | out}
Ejemplo 1
En el esquema anterior, denegar FTP entre las subredes y permitir todo lo demás.
Router0(config)# access-list 101 deny tcp 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255 eq 21
Router0(config)# access-list 101 deny tcp 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255 eq 20
Router(config)# access-list 101 permit ip any any
Router(config)# interface F0/1
Router0(config-if)#ip access-group 101 in
Ejemplo 2
En el esquema anterior, denegar solo telnet a la subred 192.168.1.0.
Router0(config)# access-list 101 deny tcp 192.168.1.0 0.0.0.255 any eq 23
Router(config)# access-list 101 permit ip any any
Router(config)# interface F0/0
Router0(config-if)#ip access-group 101 out
Ubicación de las ACLs
Es muy importante el lugar donde se ubique una ACL ya que influye en la reducción del tráfico innecesario.
El tráfico que será denegado en un destino remoto no debe usar los recursos de la red en el camino hacia ese destino.
La regla es colocar las:
•ACL estándar lo más cerca posible del destino (no especifican direcciones destino).
•ACL extendidas lo más cerca posible del origen del tráfico denegado. Así el tráfico no deseado se filtra sin atravesar la
infraestrucra de red
3.4 Filtrado de E-mail.
Clientes de correo: Microsoft Outlook, Mozilla Thunderbird, Zimbra, PostBox, eMClient,...
Como ejemplo, el filtro creado busca en el asunto del mensaje la etiqueta [SPAM], insertada por el analizador de las
estafetas primarias, y lo envía a una carpeta creada para dichos mensajes.
Desde la puesta en marcha del buzon en automático de SPAM los filtros de correo para clasificar el SPAM son
innecesarios, haciendo más lento el acceso a su buzón. Recomendamos deshabilitar este filtro.
Las reglas o filtros de correo son utilidades del cliente de correo electrónico (Webmail, Outlook, Eudora, etc.) para
organizar los mensajes recibidos. De esta forma, podemos utilizar estos filtros o reglas, además de para organizar
nuestros mensajes en carpetas, para combatir el spam moviendo o eliminando aquellos mensajes que cumplan las
condiciones especificadas en las reglas o filtros.
Debe tener en cuenta que el INICIO DE SESIÓN SERÁ MÁS LENTO dependiendo de los correos recibidos y filtros o
reglas creadas, ya que debe comprobar si los correos recibidos cumplen alguna de las reglas indicadas. Por tanto,
cuantas más reglas o filtros creados, más tardará el cliente de correo en mostrar los mensajes.
Pasos para crear una regla para mensajes de correo electrónico con Outlook Express.
Paso 1. En el menú Herramientas, seleccione Reglas de mensaje y haga clic en Correo. Tenga en cuenta que no se
puede crear reglas de mensajes para cuentas de correo electrónico IMAP o HTTP.
Regino Infante Ventura
Cd. Victoria, Tamaulipas, México. 30 Septiembre 2015
Pagina: 12 de 25
Instituto Tecnológico de Cd. Victoria
Departamento de Sistemas y Computación
Seguridad en Sistemas Informáticos ATF-1401
___________________________________________________________________________________
Paso 2. Pulse sobre el botón Nueva... para crear una nueva regla. Para seleccionar las condiciones de la regla, seleccione
las casillas de verificación que desee en la sección Condiciones (bebe seleccionar La línea Asunto contiene las palabras
especificadas). El segundo paso es escoger la acción para la regla. Para ello seleccione Mover a carpeta seleccionada.
Regino Infante Ventura
Cd. Victoria, Tamaulipas, México. 30 Septiembre 2015
Pagina: 13 de 25
Instituto Tecnológico de Cd. Victoria
Departamento de Sistemas y Computación
Seguridad en Sistemas Informáticos ATF-1401
___________________________________________________________________________________
Paso 3. En la tercera sección (3. Descripción de la regla) encontrará el texto siguiente:
Aplicar esta regla después de la llegada del mensaje.
La línea Asunto contiene las palabras especificadas.
Moverlo a la carpeta especificada.
Debe seleccionar el primer hipervínculo (contiene las palabras especificadas) y rellenar con la etiqueta [SPAM] (que será
la equiqueta que llevarán los correos detectado como SPAM dentro del servicio de antinspam de la Universidad de Granada)
el apartado correspondiente. A continuación pulse sobre el botón Agregar.
Regino Infante Ventura
Cd. Victoria, Tamaulipas, México. 30 Septiembre 2015
Pagina: 14 de 25
Instituto Tecnológico de Cd. Victoria
Departamento de Sistemas y Computación
Seguridad en Sistemas Informáticos ATF-1401
___________________________________________________________________________________
Después haga clic en el segundo hipervínculo (especificada) y selecione la carpeta dentro de su bandeja de entrada de su
protocolo POP donde desea que se muevan los correos SPAM (en este ejemplo hemos creado una carpeta que hemos
nombrado SPAM y es la que elegimos).
Paso 4. Para finalizar ponemos nombre a la regla y tendremos una especificación tal como aparece en la siguiente imagen.
Depués pulsaremos sobre el botón Aceptar para terminar la creación de la regla. Esta regla se aplicará a todos los correos
que reciba desde este momento.
Regino Infante Ventura
Cd. Victoria, Tamaulipas, México. 30 Septiembre 2015
Pagina: 15 de 25
Instituto Tecnológico de Cd. Victoria
Departamento de Sistemas y Computación
Seguridad en Sistemas Informáticos ATF-1401
___________________________________________________________________________________
Notas: En caso de crear la regla y tener correos anteriores etiquetados com [SPAM], debe aplicar la regla para estos
correos, para ello debe pulsar sobre el botón Aplicar ahora... y, una vez en la pantalla siguiente, pulse sobre Aplicar
para aplicar la regla a los correos ya recibidos con POP.
Regino Infante Ventura
Cd. Victoria, Tamaulipas, México. 30 Septiembre 2015
Pagina: 16 de 25
Instituto Tecnológico de Cd. Victoria
Departamento de Sistemas y Computación
Seguridad en Sistemas Informáticos ATF-1401
___________________________________________________________________________________
3.5 Código seguro: discriminación código maligno. (Consultar: https://www.owasp.org/index.php/Main_Page)
¿Qué es? Es un código diseñado para soportar ataques de usuarios maliciosos.
Aunque, en verdad no existe elconcepto de software totalmente seguro. Y posiblemente eso noexistirá jamás, porque es
imposible predecir los razonamientos que un atacante experto podrá ingeniar en elfuturo para romper un sistema.
Las consecuencias de un ataque exitoso en una aplicación de la organización son muchas, como:
+ Pérdida de operatividad.
+ Deterioro de la imagen de la empresa.
+ Pérdidas monetarias.
+ Pérdida de Clientes.
+ Consecuencias legales.
3.6 Dispositivos móviles.
Dispositivo móvil (mobile device), también conocido como computadora de bolsillo o computadora de mano (palmtop o
handheld), es un tipo de computadora de tamaño pequeño, con capacidades de procesamiento, con conexión a Internet ,
con memoria, diseñado específicamente para una función, pero que pueden llevar a cabo otras funciones más generales.
Considerar redes, puertos y sistema sistema operativo.
4.- Seguridad Física.
Cuando hablamos de seguridad física nos referimos a todos aquellos mecanismos generalmente de prevención y detección;
destinados a proteger físicamente cualquier recurso del sistema; estos recursos son desde un simple teclado hasta una cinta
de backup con toda la información que hay en el sistema, pasando por la propia CPU de la máquina.
Dependiendo del entorno y los sistemas a proteger esta seguridad será más o menos importante y restrictiva, aunque
siempre deberemos tenerla en cuenta.
¿En qué consiste?
Disuasión: establecer límites.
Denegación: denegar el acceso directo a elementos físicos.
Detección: de las intrusiones.
Regino Infante Ventura
Cd. Victoria, Tamaulipas, México. 30 Septiembre 2015
Pagina: 17 de 25
Instituto Tecnológico de Cd. Victoria
Departamento de Sistemas y Computación
Seguridad en Sistemas Informáticos ATF-1401
___________________________________________________________________________________
Retraso: conseguir tiempo suficiente de respuesta.
4.1 Ambientales:
Estática, humedad, temperatura y circulación de aire.
Protección del hardware
El hardware es frecuentemente el elemento más caro de todo sistema informático y por tanto las medidas encaminadas a
asegurar su integridad son una parte importante de la seguridad física de cualquier organización.
Problemas a los que nos enfrentamos:
+ Acceso físico
+ Desastres naturales
+ Alteraciones del entorno
Acceso físico
Si alguien que desee atacar un sistema tiene acceso físico al mismo todo el resto de medidas de seguridad implantadas se
convierten en inútiles.
De hecho, muchos ataques son entonces triviales, como por ejemplo los de denegación de servicio; si apagamos una
máquina que proporciona un servicio es evidente que nadie podrá utilizarlo.
Otros ataques se simplifican enormemente, p. ej. si deseamos obtener datos podemos copiar los ficheros o robar
directamente los discos que los contienen.
Incluso dependiendo el grado de vulnerabilidad del sistema es posible tomar el control total del mismo, por ejemplo
reiniciándolo con un disco de recuperación que nos permita cambiar las claves de los usuarios.
Este último tipo de ataque es un ejemplo claro de que la seguridad de todos los equipos es importante, generalmente si se
controla el PC de un usuario autorizado de la red es mucho más sencillo atacar otros equipos de la misma.
Para evitar todo este tipo de problemas deberemos implantar mecanismos de prevención (control de acceso a los
recursos) y de detección (si un mecanismo de prevención falla o no existe debemos al menos detectar los accesos no
autorizados cuanto antes).
Para la prevención hay soluciones para todos los gustos y de todos los precios:
+ Analizadores de retina,
+ Tarjetas inteligentes,
+ Videocámaras,
+ Vigilantes jurados,
En muchos casos es suficiente con controlar el acceso a las salas y cerrar siempre con llave los despachos o salas donde
hay equipos informáticos y no tener cableadas las tomas de red que estén accesibles.
Para la detección de accesos se emplean medios técnicos, como cámaras de vigilancia de circuito cerrado o alarmas,
aunque en muchos entornos es suficiente con qué las personas que utilizan los sistemas se conozcan entre si y sepan
quien tiene y no tiene acceso a las distintas salas y equipos, de modo que les resulte sencillo detectar a personas
desconocidas o a personas conocidas que se encuentran en sitios no adecuados.
Desastres naturales
Además de los posibles problemas causados por ataques realizados por personas, es importante tener en cuenta que
también los desastres naturales pueden tener muy graves consecuencias, sobre todo si no los contemplamos en
nuestra política de seguridad y su implantación.
Algunos desastres naturales a tener en cuenta:
+ Terremotos y vibraciones
+ Tormentas eléctricas
+ Inundaciones y humedad
+ Incendios y humos
Los terremotos son el desastre natural menos probable en la mayoría de organismos ubicados en España, por lo que no se
harán grandes inversiones en prevenirlos, aunque hay varias cosas que se pueden hacer sin un desembolso elevado y
que son útiles para prevenir problemas causados por pequeñas vibraciones:
•No situar equipos en sitios altos para evitar caídas,
•No colocar elementos móviles sobre los equipos para evitar que caigan sobre ellos,
•Separar los equipos de las ventanas para evitar que caigan por ellas o qué objetos lanzados desde el exterior los dañen,
•Fijar elementos críticos,
•Colocar los equipos sobre plataformas de goma para que esta absorba las vibraciones,
Regino Infante Ventura
Cd. Victoria, Tamaulipas, México. 30 Septiembre 2015
Pagina: 18 de 25
Instituto Tecnológico de Cd. Victoria
Departamento de Sistemas y Computación
Seguridad en Sistemas Informáticos ATF-1401
___________________________________________________________________________________
Otro desastre natural importante son las tormentas con aparato eléctrico, especialmente frecuentes en verano, que
generan subidas súbitas de tensión muy superiores a las que pueda generar un problema en la red eléctrica. A parte de
la protección mediante el uso de pararrayos, la única solución a este tipo de problemas es desconectar los equipos
antes de una tormenta (qué por fortuna suelen ser fácilmente predecibles).
En entornos normales es recomendable que haya un cierto grado de humedad, ya que en si el ambiente es
extremadamente seco hay mucha electricidad estática. No obstante, tampoco interesa tener un nivel de humedad
demasiadoa elevado, ya que puede producirse condensación en los circuitos integrados que den origen a un
cortocircuito. En general no es necesario emplear ningún tipo de aparato para controlar la humedad, pero no está de
más disponer de alarmas que nos avisen cuando haya niveles anómalos.
Otro tema distinto son las inundaciones, ya que casi cualquier medio (máquinas, cintas, routers ...) que entre en contacto
con el agua queda automáticamente inutilizado, bien por el propio líquido o bien por los cortocircuitos que genera en los
sistemas electrónicos. Contra ellas podemos instalar sistemas de detección que apaguen los sistemas si se detecta
agua y corten la corriente en cuanto estén apagados. Hay que indicar que los equipos deben estar por encima del
sistema de detección de agua, sino cuando se intente parar ya estará mojado.
Por último mencionaremos el fuego y los humos, que en general provendrán del incendio de equipos por sobrecarga
eléctrica. Contra ellos emplearemos sistemas de extinción, que aunque pueden dañar los equipos que apaguemos
(aunque actualmente son más o menos inocuos), nos evitarán males mayores. Además del fuego, también el humo es
perjudicial para los equipos (incluso el del tabaco), al ser un abrasivo que ataca a todos los componentes, por lo que es
recomendable mantenerlo lo más alejado posible de los equipos.
Alteraciones del entorno
En nuestro entorno de trabajo hay factores que pueden sufrir variaciones que afecten a nuestros sistemas que tendremos
que conocer e intentar controlar.
Deberemos contemplar problemas que pueden afectar el régimen de funcionamiento habitual de las máquinas como la
alimentación eléctrica, el ruido eléctrico producido por los equipos o los cambios bruscos de temperatura.
Electricidad
Quizás los problemas derivados del entorno de trabajo más frecuentes son los relacionados con el sistema eléctrico que
alimenta nuestros equipos; cortocircuitos, picos de tensión, cortes de flujo ...
Para corregir los problemas con las subidas de tensión podremos instalar tomas de tierra o filtros reguladores de tensión.
Para los cortes podemos emplear Sistemas de Alimentación Ininterrumpida (SAI), que además de proteger ante cortes
mantienen el flujo de corriente constante, evitando las subidas y bajadas de tensión. Estos equipos disponen de
baterias que permiten mantener varios minutos los aparatos conectados a ellos, permitiendo que los sistemas se
apaguen de forma ordenada (generalmente disponen de algún mecanísmo para comunicarse con los servidores y
avisarlos de que ha caido la línea o de que se ha restaurado después de una caida).
Por último indicar que además de los problemas del sistema eléctrico también debemos preocuparnos de la corriente
estática, que puede dañar los equipos. Para evitar problemas se pueden emplear esprais antiestáticos o ionizadores y
tener cuidado de no tocar componentes metálicos, evitar que el ambiente esté excesivamente seco, etc.
Ruido eléctrico
El ruido eléctrico suele ser generado por motores o por maquinaria pesada, pero también puede serlo por otros
ordenadores o por multitud de aparatos, y se transmite a través del espacio o de líneas eléctricas cercanas a nuestra
instalación.
Para prevenir los problemas que puede causar el ruido eléctrico lo más barato es intentar no situar el hardware cerca de
los elementos que pueden causar el ruido. En caso de que fuese necesario hacerlo siempre podemos instalar filtos o
apantallar las cajas de los equipos.
Temperaturas extremas
No hace falta ser un genio para comprender que las temperaturas extremas, ya sea un calor excesivo o un frio intenso,
perjudican gravemente a todos los equipos. En general es recomendable que los equipos operen entre 10 y 32 grados
Celsius. Para controlar la temperatura emplearemos aparatos de aire acondicionado.
Protección de los datos
Además proteger el hardware nuestra política de seguridad debe incluir medidas de protección de los datos, ya que en
realidad la mayoría de ataques tienen como objetivo la obtención de información, no la destrucción del medio físico que
la contiene.
Regino Infante Ventura
Cd. Victoria, Tamaulipas, México. 30 Septiembre 2015
Pagina: 19 de 25
Instituto Tecnológico de Cd. Victoria
Departamento de Sistemas y Computación
Seguridad en Sistemas Informáticos ATF-1401
___________________________________________________________________________________
En los puntos siguientes mencionaremos los problemas de seguridad que afectan a la transmisión y almacenamiento de
datos, proponiendo medidas para reducir el riesgo.
4.2 Energía:
Tierras físicas y pararrayos.
http://www.totalground.com/descargas/manuales/totalground/tierras_pararrayos/Manual_Tierras_Pararrayos.pdf
Un pararrayos es un instrumento cuyo objetivo es atraer un rayo ionizado del aire para conducir la descarga hacia tierra, de
tal modo que no cause daños a las personas o construcciones.
Dispositivos con fuentes de poder redundantes.
Servidores, Conmutadores, Ruteadores, Armarios,..
Redundancia de fuentes de alimentación.
Sistema de alimentación ininterrumpida (UPS): Son baterías que se conectan entre el servidor y la fuente de
suministro eléctrico, garantizando este por un tiempo determinado.
Generadores eléctricos: Funcionan generalmente con diesel y se conectan entre los UPS y la red de suministro
eléctrico. Estos motores se ponen en marcha cuando el suministro se corta por más de un tiempo determinado.
El suministro que generan estos motores, esta condicionado a la cantidad de combustible que contenga.
Líneas independientes de suministros: En los CPD grandes, se suelen tener al menos 2 conexiones diferentes e
independientes a la red de suministro eléctrico.
4.3 Lógicas:
Sistemas de detección y ataque.
4.4 Dispositivos biométricos de acceso físico.
Control de acceso físico
Los procesos de control de acceso implican:
+ Identificación: Qué presentamos para demostrar nuestra identidad.
+ Autenticación: Como se comprueba nuestra identidad.
+ Autorización: Que podemos hacer después.
4.5 Plan de contingencia y de continuidad del negocio.
Cuando hablamos de continuidad del negocio nos referimos a la capacidad de sobrevivir a las “cosas malas ” que pueden
tener un impacto negativo en la empresa: desde un brote de virus informático hasta un brote de virus biológico, y todos
los demás peligros entre ambos, como incendios, inundaciones, tornados, huracanes, terremotos y tsunamis. El
estándar internacional para la continuidad del negocio, ISO 22301, la define como la “capacidad [de una organización]
de continuar la prestación de productos o servicios en los niveles predefinidos aceptables tras incidentes de interrupción
de la actividad”.
La BCM “Business Continuity Management”, Gestión de la Continuidad del Negocio, es el proceso de lograr esta
capacidad y mantenerla, y conforma una parte vital de la gestión de seguridad de sistemas de información, que
ahora se conoce más comúnmente como seguridad cibernética.
Ahora bien, ¿cómo responder ante una contingencia? El presente artículo describe los puntos básicos de un BCM y
suministra una lista de recursos que tú y tu organización pueden utilizar para mejorar la capacidad de sobrevivir a
cualquier cambio imprevisible e indeseado.
La continuidad del negocio no es sólo para TI
La mayoría de las organizaciones de hoy son sumamente dependientes de la tecnología de la información (desde equipos
portátiles hasta servidores, de escritorio hasta tabletas y smartphones), pero queda claro que esta tecnología puede
verse afectada por una amplia gama de incidentes potencialmente desastrosos. Éstos van desde cortes en el suministro
de energía provocados por tormentas hasta la pérdida de datos causada por equivocaciones de los empleados o por
criminales informáticos.
Desde los albores de la TI, estaba claro que las organizaciones iban a necesitar estrategias para prepararse para dichos
incidentes, responder a ellos y recuperarse de ellos. Por ese motivo, gran parte de los primeros trabajos sobre el
manejo de incidentes de interrupción de la actividad provino de la comunidad de TI.
No obstante, con el paso del tiempo, la disciplina de “recuperación ante desastres ” evolucionó a “un proceso de gestión
holístico” que “identifica amenazas potenciales para la organización y el impacto que su materialización podría
ocasionar en las operaciones corporativas, y que proporciona un marco para crear resistencia corporativa de modo que
pueda dar una respuesta eficaz que proteja los intereses de sus grupos de interés, reputación, marcas y actividades de
Regino Infante Ventura
Cd. Victoria, Tamaulipas, México. 30 Septiembre 2015
Pagina: 20 de 25
Instituto Tecnológico de Cd. Victoria
Departamento de Sistemas y Computación
Seguridad en Sistemas Informáticos ATF-1401
___________________________________________________________________________________
creación de valor fundamentales”.
Una vez más, terminología ISO 22301. Hay que tener en cuenta que, aunque tu empresa no necesita tener certificación
ISO 22301 para sobrevivir a un desastre, algunas corporaciones desean conseguir esta certificación para mejorar su
programa de BCM y a la vez para ganar más mercado. Por ejemplo, es evidente que ciertas empresas esenciales para
la cadena de suministro de algunas industrias reciben más solicitudes por el seguro de continuidad del negocio en las
negociaciones contractuales, y su adherencia a ISO 22301 ciertamente contribuye a esta cuestión.
Un programa básico de BCM en cuatro pasos
Desafortunadamente, algunas empresas deben cerrar cuando las alcanza un desastre para el cual no estaban preparadas
adecuadamente. Es lamentable porque el camino para dicha preparación está bien documentado. Cualquier empresa
de cualquier tamaño puede mejorar las posibilidades de superar un incidente de interrupción de la actividad y quedar en
una pieza (con la marca intacta y sin merma en los ingresos) si sigue ciertas estrategias probadas y de confianza, más
allá de que desee obtener la certificación ISO 22301 o no.
Cuatro pasos principales:
1. Identifica y ordena las amenazas
Crea una lista de los incidentes de interrupción de la actividad que constituyan las amenazas más probables para la
empresa. No uses la lista de otro, porque las amenazas varían según la ubicación. Por ejemplo, aquí en San Diego,
donde vivo, hay un grado relativamente alto de sensibilización con respecto a los terremotos y a los incendios
forestales, por lo que muchas organizaciones llevaron a cabo un nivel básico de planificación para prepararse ante
desastres teniendo esos eventos en cuenta.
¿Pero qué ocurre donde se encuentra tu empresa? ¿Y qué pasa con la fuga de datos o la interrupción de la infraestructura
de TI, que pueden ocurrir en cualquier parte? ¿Qué pasa si un producto químico tóxico provoca que se cierren las
instalaciones por varios días? ¿Estás ubicado cerca de una vía ferroviaria? ¿De una autopista importante? ¿Cuánto
depende tu empresa de proveedores extranjeros?
En esta etapa, una buena técnica es reunir personas de todos los departamentos en una sesión de intercambio de ideas.
El objetivo de la reunión es crear una lista de escenarios ordenados por probabilidad de ocurrencia y por potencial de
causar un impacto negativo.
2. Realiza un análisis del impacto en la empresa
Necesitas determinar qué partes de tu empresa son las más críticas para que sobreviva. Una manera es comenzar
detallando las funciones, los procesos, los empleados, los lugares y los sistemas que son críticos para el
funcionamiento de la organización. De esto se puede ocupar el líder del proyecto de BCM; para ello, deberá entrevistar
a los empleados de cada departamento y luego elaborar una tabla de resultados que liste las funciones y las personas
principales y las secundarias.
A continuación determinarás la cantidad de “días de supervivencia ” de la empresa para cada función. ¿Cuánto puede
resistir la empresa sin que una función en particular provoque un impacto grave?
Luego, ordenarás el impacto de cada función en caso de que no esté disponible. Por ejemplo, Michael Miora, experto en
recuperación ante desastres, sugiere utilizar una escala de 1 a 4, donde 1 = impacto crítico en las actividades
operativas o pérdida fiscal, y 4 = sin impacto a corto plazo. Si luego se multiplica el Impacto por los “días de
supervivencia”, se puede ver cuáles son las funciones más críticas. Al principio de la tabla quedarán las funciones con
un impacto mayor y con sólo un día de supervivencia.
3. Crea un plan de respuesta y recuperación
I).- En esta etapa deberás catalogar datos clave sobre los bienes involucrados en la realización de las funciones
críticas, incluyendo sistemas de TI, personal, instalaciones, proveedores y clientes. Deberás incluir números de serie de
los equipos, acuerdos de licencia, alquileres, garantías, detalles de contactos, etc.
II).- Necesitarás determinar “a quién llamar” en cada categoría de incidente y crear un árbol de números telefónicos
para que se hagan las llamadas correctas en el orden correcto. También necesitas una lista de “quién puede decir qué
cosa” para controlar la interacción con los medios durante un incidente (considera quedarte con una estrategia de “sólo
el CEO (chief executive officer o Director ejecutivo)” si se trata de un incidente delicado).
III).- Deberán quedar documentados todos los acuerdos vigentes para mudar las operaciones a ubicaciones e
instalaciones de TI temporales, de ser necesario. No te olvides de documentar el proceso de notificación para los
miembros de la empresa en su totalidad y el procedimiento de asesoramiento para clientes.
IV).- Los pasos para recuperar las operaciones principales deberían ordenarse en una secuencia donde queden
explícitas las interdependencias funcionales. Cuando el plan esté listo, asegúrate de capacitar a los gerentes sobre los
detalles relevantes para cada departamento, así como la importancia del plan general para sobrevivir a un incidente.
Regino Infante Ventura
Cd. Victoria, Tamaulipas, México. 30 Septiembre 2015
Pagina: 21 de 25
Instituto Tecnológico de Cd. Victoria
Departamento de Sistemas y Computación
Seguridad en Sistemas Informáticos ATF-1401
___________________________________________________________________________________
4. Prueba el plan y refina el análisis
La mayoría de los expertos en BCM recomiendan probar el plan al menos una vez al año, con ejercicios, análisis paso a
paso o simulaciones. La prueba te permite sacar el mayor provecho a lo que invertiste en la creación del plan, y no sólo
te permite encontrar fallas y dar cuenta de los cambios corporativos con el transcurso del tiempo, sino que también
causa una buena impresión en la gerencia.
No cabe duda de que estos cuatro pasos significan un enorme trabajo, pero es una tarea que las empresas ignoran bajo su
propio riesgo. Si el proyecto parece demasiado desalentador para aplicar a la empresa completa, considera comenzar
por unos pocos departamentos o una sola oficina, si hay varias. Todo lo que vayas aprendiendo en el proceso se podrá
aplicar en mayor escala a medida que progreses. Evita a toda costa pensar que las cosas malas no suceden, porque sí
lo hacen. Sólo tienes que estar preparado. Y no pretendas que cuando ocurra algo no será tan malo, porque podría
serlo.
4.6 Gestión de respaldos.
Copias de seguridad (Backup) http://veritas.symantec.com
Definición: Hacer una copia de seguridad o backup es el proceso de copiar y archivar datos, de modo que puedan
ser usados para restaurar los originales en caso de pérdida
Existen varios tipos de backup. Las más comunes son:
Completo
Incremental
Diferencial
Es evidente que es necesario establecer una política adecuada de copias de seguridad en cualquier organización; al
igual que sucede con el resto de equipos y sistemas, los medios donde residen estas copias tendrán que estar
protegidos físicamente; de hecho quizás deberíamos de emplear medidas más fuertes, ya que en realidad es
fácil que en una sola cinta haya copias de la información contenida en varios servidores.
Lo primero que debemos pensar es dónde se almacenan los dispositivos donde se realizan las copias. Un error muy
habitual es almacenarlos en lugares muy cercanos a la sala de operaciones, cuando no en la misma sala; esto,
que en principio puede parecer correcto (y cómodo si necesitamos restaurar unos archivos) puede convertirse
en un problema serio si se produce cualquier tipo de desastre (como p. ej. un incendio). Hay que pensar que en
general el hardware se puede volver a comprar, pero una pérdida de información puede ser ireemplazable.
Así pues, lo más recomendable es guardar las copias en una zona alejada de la sala de operaciones; lo que se
suele recomendar es disponer de varios niveles de copia, una que se almacena en una caja de seguridad en un
lugar alejado y que se renueva con una periodicidad alta y otras de uso frecuente que se almacenan en lugares
más próximos (aunque a poder ser lejos de la sala donde se encuentran los equipos copiados).
Para proteger más aun la información copiada se pueden emplear mecanísmos de cifrado, de modo que la copia
que guardamos no sirva de nada si no disponemos de la clave para recuperar los datos almacenados.
Soportes no electrónicos
Otro elemento importante en la protección de la información son los elementos no electrónicos que se emplean para
transmitirla, fundamentalmente el papel. Es importante que en las organizaciones que se maneje información
confidencial se controlen los sistemas que permiten exportarla tanto en formato electrónico como en no
electrónico (impresoras, plotters, faxes, teletipos, ...).
Cualquier dispositivo por el que pueda salir información de nuestro sistema ha de estar situado en un lugar de
acceso restringido; también es conveniente que sea de acceso restringido el lugar donde los usuarios recogen
los documentos que lanzan a estos dispositivos.
Además de esto es recomendable disponer de trituradoras de papel para destruir todos los papeles o documentos
que se quieran destruir, ya que evitaremos que un posible atacante pueda obtener información rebuscando en
nuestra basura.
5.- Legislación Informática en México http://www.informatica-juridica.com/legislacion/mexico/
http://www.aliat.org.mx/BibliotecasDigitales/sistemas/Politica_y_legislacion_informatica.pdf
5.1 Delitos Informáticos.
O ciberdelito es toda aquella acción antijurídica y culpable, que se da por vías informáticas o que tiene como objetivo
destruir y dañar ordenadores, medios electrónicos y redes de Internet. Debido a que la informática se mueve más rápido
que la legislación, existen conductas criminales por vías informáticas que no pueden considerarse como delito, según la
"Teoría del delito", por lo cual se definen como abusos informáticos (los tipos penales tradicionales resultan en muchos
países inadecuados para encuadrar las nuevas formas delictivas1 ), y parte de la criminalidad informática. La
criminalidad informática consiste en la realización de un tipo de actividades que, reuniendo los requisitos que delimitan
Regino Infante Ventura
Cd. Victoria, Tamaulipas, México. 30 Septiembre 2015
Pagina: 22 de 25
Instituto Tecnológico de Cd. Victoria
Departamento de Sistemas y Computación
Seguridad en Sistemas Informáticos ATF-1401
___________________________________________________________________________________
el concepto de delito, sean llevados acabo utilizando un elemento informático.
5.2 Correo Electrónico.
Correo electrónico “e-mail”, es un servicio de red que permite a los usuarios enviar y recibir mensajes (también
denominados mensajes electrónicos o cartas digitales) mediante sistemas de comunicación electrónica. Para
denominar al sistema que provee este servicio en Internet, mediante el protocolo SMTP, aunque por extensión también
puede verse aplicado a sistemas análogos que usen otras tecnologías. Por medio de mensajes de correo electrónico se
puede enviar, no solamente texto, sino todo tipo de documentos digitales dependiendo del sistema que se use.
Escritura del mensaje
No se pueden mandar mensajes entre computadores personales o entre dos terminales de una computadora central. Los
mensajes se archivan en un buzón (una manera rápida de mandar mensajes). Cuando una persona decide escribir un
correo electrónico, su programa (o correo web) le pedirá como mínimo tres cosas:
Destinatario: una o varias direcciones de correo a las que ha de llegar el mensaje
Asunto: una descripción corta que verá la persona que lo reciba antes de abrir el correo
El propio mensaje. Puede ser sólo texto, o incluir formato, y no hay límite de tamaño
Además, se suele dar la opción de incluir archivos adjuntos al mensaje. Esto permite traspasar datos informáticos de
cualquier tipo mediante el correo electrónico.
Para especificar el destinatario del mensaje, se escribe su dirección de correo en el campo llamado Para dentro de la
interfaz (ver imagen de arriba). Si el destino son varias personas, normalmente se puede usar una lista con todas las
direcciones, separadas por comas o punto y coma.
Además del campo Para existen los campos CC y CCO, que son opcionales y sirven para hacer llegar copias del mensaje
a otras personas:
Campo CC (Copia de Carbón): quienes estén en esta lista recibirán también el mensaje, pero verán que no va dirigido a
ellos, sino a quien esté puesto en el campo Para. Como el campo CC lo ven todos los que reciben el mensaje, tanto el
destinatario principal como los del campo CC pueden ver la lista completa.
Campo CCO (Copia de Carbón Oculta): una variante del CC, que hace que los destinatarios reciban el mensaje sin
aparecer en ninguna lista. Por tanto, el campo CCO nunca lo ve ningún destinatario.
5.3 Contratos Electrónicos.
http://www.infoem.org.mx/sipoem/ipo_capacitacionComunicacion/pdf/pet_tesis_001_2009.pdf
La tecnología está influyendo de tal manera que ahora se celebran innumerables contratos por medios electrónicos, sin
que los contratantes se encuentren presentes, no obstante existe el consentimiento, aún cuando no haya documento ni
mucho menos una firma autógrafa, como antes se requería.
En un principio fue el comercio electrónico lo que empezó a proliferarse en nuestro medio, después fue en general la
contratación electrónica, lo cual motivó que el legislador realizara las reformas necesarias para actualizar el marco
jurídico aplicable a este tipo de negociaciones.
En cuanto a esto, el Dr. Edgar Elías Azar, señala lo siguiente: “La tendencia económica-empresarial hacia la globalización
ha influido sustancialmente al desarrollo del comercio electrónico. Su difusión con Internet han dado un alcance al
conocimiento y expansión de las nuevas tecnologías de la información y de la comunicación. México forma parte de
dicho acontecimiento. La contratación en nuestro país por medios electrónicos es una realidad que se desarrolla a
pasos asombrosos, desde su embrionario origen mercantil extendido al tráfico civil y hoy adentrado en todos los
espacios de nuestra vida diaria (trabajo, educación y ocio). La Red abierta Internet ha hecho posible que las personas y
las instituciones que habitamos el planeta constituyamos una comunidad global unida en el tiempo y en la distancia. En
este marco sociológico se sitúan las reformas producidas en nuestro Derecho, con el fin adaptar la legislación a esta
nueva realidad y dar seguridad al tráfico privado en el uso de medios electrónicos.
La reforma electrónica es acertada; pues su introducción implica un claro avance respecto del Derecho de Obligaciones y
contratos contenido en los códigos, al tiempo que un acercamiento con los lineamientos sentidos a nivel mundial más
recientes. Ello no obsta para que, nuestra disciplina presente dudas al intérprete y precisen del correspondiente
consenso judicial y dogmático futuro.
5.3.1 Firma Electrónica.
Los datos en forma electrónica consignados en un Mensaje de Datos, o adjuntados o lógicamente asociados al mismo
por cualquier tecnología, que son utilizados para identificar al Firmante en relación con el Mensaje de Datos e indicar
que el Firmante aprueba la información contenida en el Mensaje de Datos, y que produce los mismos efectos jurídicos
que la firma autógrafa, siendo admisible como prueba en juicio.
5.3.2 Código de Comercio.
Regino Infante Ventura
Cd. Victoria, Tamaulipas, México. 30 Septiembre 2015
Pagina: 23 de 25
Instituto Tecnológico de Cd. Victoria
Departamento de Sistemas y Computación
Seguridad en Sistemas Informáticos ATF-1401
___________________________________________________________________________________
Un código de comercio, es un conjunto unitario, ordenado y sistematizado de normas de Derecho mercantil, es decir, un
cuerpo legal que tiene por objeto regular las relaciones mercantiles.
En la actualidad, el Derecho mercantil se encuentra, en muchos casos, regulado no sólo en el código de comercio, sino en
una serie de leyes especiales, debido al proceso denominado descodificador. Sin embargo, existe también cierta
tendencia a redecodificar esas normativas especiales en un sólo cuerpo normativo o código y, en todo caso, en lo
relativo a su principios básicos.
http://www.diputados.gob.mx/LeyesBiblio/pdf/3_261214.pdf
TITULO SEGUNDO
De Comercio Electrónico
5.3.3 Código Civil Federal.
http://www.diputados.gob.mx/LeyesBiblio/pdf/2_241213.pdf
11. Fuentes de información
1.
ADAMS, Carlisle & Lloyd, Steve Understanding Public Key Infrastructure, MTP.
2.
ZWICKY, ELISABETH D Building Internet Firewalls, Reilly.
3.
NORTHCUTT, STHEPHEN Intrusion Signatures and Analysis, New Riders.
4.
GARFINKEL, SIMSON Web Security, Privacy & Commerce, 2nd Edition. O'Reilly, 2001.
5.
OPPLIGER ROLF Secure Messaging with PGP and S/MIME, Artech House, 2000.
6.
LUCENA LÓPEZ, Manuel José Criptografía y Seguridad en Computadores, Escuela Politécnica Superior
Universidad de Jaén.
7.
Código Penal Federal
12. PRÁCTICAS PROPUESTAS
• Instalar, analizar y operar una aplicación que permita analizar y evaluar riesgos.
• Instalar un servidor web que trabaje con el protocolo de capa de aplicación HTTPS.
• Realizar una práctica en internet en la que se compruebe el funcionamiento y la utilidad de una comunicación segura
mediante el uso de PKI “Public Key Infrastructure”.
• Realizar practica con gestor de correo electrónico (Thunderbird) que permita el sellado temporal de los mensajes.
• Instalación y configuración de una VPN “Virtual Private Network” estableciendo el servidor en algún lugar remoto
(casa de algún alumno) y el cliente en la clase a fin de comprobar que funciona la comunicación segura sobre una
infraestructura pública.
• Instalación y configuración de un Antivirus corporativo (software libre).
• Instalación y manejo de virus (Turkojan) en ambientes controlados (maquina virtual).
• Instalación y configuración de un Firewall corporativo (software libre).
• Instalación y configuración de un sistema de detección de intrusos (SNORT).
• Configuración de seguridad basada en puertos de switch (capa 2).
• Configuración de seguridad basada en listas de acceso en routers (capa 3).
• Implementación de listas blancas y negras en administradores de correo electrónico.
• Evaluación de vulnerabilidades en servidores web y de bases de datos (Monyog, SQLyog, Nmap).
Nmap es un programa de código abierto que sirve para efectuar rastreo de puertos. Fue creado
originalmente para Linux aunque actualmente es multiplataforma.Se usa para evaluar la seguridad de
sistemas informáticos, así como para descubrir servicios o servidores en una red informática, para ello
Nmap envía unos paquetes definidos a otros equipos y analiza sus respuestas.
Este software posee varias funciones para sondear redes de computadores, incluyendo detección de
equipos, [[servicio (informática)|servicios] y sistemas operativos. Estas funciones son extensibles mediante
el uso de scripts para proveer servicios de detección avanzados, detección de vulnerabilidades y otras
aplicaciones. Además, durante un escaneo, es capaz de adaptarse a las condiciones de la red incluyendo
latencia y congestión de la misma.
• Se sugiere el estudio de un caso real, en el que se elabore un documento donde se proponga una política general
de seguridad así como múltiples políticas especificas de seguridad, se diseñen o rediseñen los reglamentos relativos
a la operación de la organización que se esté analizando. Se deben describir metodológicamente cada uno de los
servicios de seguridad y sus mecanismos asociados, así como sus costos, con la finalidad de establecer un
presupuesto. Realizar un análisis de riesgos con MAGERIT o software equivalente, con el establecimiento de
resultados. Realizar una revisión/auditoria de seguridad donde se detecten las vulnerabilidades y las amenazas a las
que está expuesta la organización y la manera de solventar las vulnerabilidades para reducir el riesgo. Al final se
Regino Infante Ventura
Cd. Victoria, Tamaulipas, México. 30 Septiembre 2015
Pagina: 24 de 25
Instituto Tecnológico de Cd. Victoria
Departamento de Sistemas y Computación
Seguridad en Sistemas Informáticos ATF-1401
___________________________________________________________________________________
deberá agregar un escrito en el cual se trate de sensibilizar a la alta dirección acerca de la inversión en los
mecanismos de seguridad que se sugieren. Incluir conclusiones. Los detalles de este trabajo final quedan a
consideración del profesor.
13. Anexos
c:> copy /b NomArch.jpg + NomArch.zip
c:>copy /b NomArch.jpg + NomArch.exe NomArch.jpg.exe
/b Binario
/a ASCII
Para anexar archivos binarios, utilice el comando Copiar con el modificador /b. La sintaxis es la siguiente:
copy < source1 > /b + < source2 > /b < archivoDeDestino > [...]
-oCopiar /b < source1 > + < source2 > < archivoDeDestino > [...]
También puede combinar varios archivos en uno solo mediante caracteres comodín. Por ejemplo:
Copiar /b *.exe combin.exe
Nota: El modificador /b también es útil para combinar o anexar archivos ASCII que contienen caracteres de control
incrustado.
Para obtener más información, busque las palabras siguientes:
COPIA y tira y EOF
COPIAR y concatenar
COPY y XCOPY y combinación
Regino Infante Ventura
Cd. Victoria, Tamaulipas, México. 30 Septiembre 2015
Pagina: 25 de 25