Defensa Red Intern A

UNIVERSIDAD TCNICA DEL NORTE
FACULTAD DE INGENIERA EN CIENCIAS APLICADASM

CARRERA DE INGENIERA EN ELECTRNICA Y REDES
DE COMUNICACIN
TRABAJO DE GRADO PREVIO A LA OBTENCIN DEL TTULO DE

INGENIERA EN ELECTRNICA Y REDES DE COMUNICACIN
TEMA:
DISEO DEL MODELO DE SEGURIDAD DE DEFENSA EN
PROFUNDIDAD EN LOS NIVELES DE USUARIO, RED INTERNA Y RED
PERIMETRAL, APLICANDO POLTICAS DE SEGURIDAD EN BASE A
LA NORMA ISO/IEC 27002 PARA LA RED DE DATOS DEL GAD
MUNICIPAL DE OTAVALO
AUTOR: ANDREA YOMAIRA ZURA CHAL

DIRECTOR: MSc. EDGAR MAYA
IBARRA - ECUADOR
2015

BIBLIOTECA UNIVERSITARIA
AUTORIZACIN DE USO Y PUBLICACIN
A FAVOR DE LA UNIVERSIDAD TCNICA DEL NORTE
1 IDENTIFICACIN DE LA OBRA
La Universidad Tcnica del Norte dentro del proyecto Repositorio Digital Institucional,
determin la necesidad de disponer de textos completos en formato digital con la finalidad
de apoyar los procesos de investigacin, docencia y extensin de la Universidad.
Por medio del presente documento dejo sentada mi voluntad de participar en este
proyecto, para lo cual pongo a disposicin la siguiente informacin:
DATOS DE CONTACTO
CDULA DE IDENTIDAD:
1003193065
APELLIDOS Y NOMBRES:
ZURA CHAL ANDREA YOMAIRA
DIRECCIN:
AZAYA ISLA SAN CRISTBAL 2-08 Y AMBATO ESQUINA.
EMAIL:
chazy_agav@yahoo.com
TELFONO FIJO:
062 545 388
TELFONO MVIL:
0985 481 957
DATOS DE LA OBRA
TTULO:
DISEO DEL MODELO DE SEGURIDAD DE DEFENSA EN

PROFUNDIDAD EN LOS NIVELES DE USUARIO, RED
INTERNA Y RED PERIMETRAL, APLICANDO POLTICAS DE
SEGURIDAD EN BASE A LA NORMA ISO/IEC 27002 PARA
LA RED DE DATOS DEL GAD MUNICIPAL DE OTAVALO
AUTOR (ES):
ZURA CHAL ANDREA YOMAIRA
FECHA:
MAYO DEL 2015
PROGRAMA:
TITULO
POR
PREGRADO
EL
QUE
INGENIERA
EN
OPTA:
COMUNICACIN
ASESOR:
MSC. EDGAR MAYA
POSGRADO
ELECTRNICA
REDES
DE
II
2 AUTORIZACIN DE USO A FAVOR DE LA UNIVERSIDAD

Yo, Zura Chal Andrea Yomaira, con cdula de identidad Nro.100319306-5, en calidad
de autor y titular de los derechos patrimoniales de la obra o trabajo de grado descrito
anteriormente, hago entrega del ejemplar respectivo en formato digital y autorizo a la
Universidad Tcnica del Norte, la publicacin de la obra en el Repositorio Digital
Institucional y uso del archivo digital en la Biblioteca de la Universidad con fines
acadmicos, para ampliar la disponibilidad del material y como apoyo a la educacin,
investigacin y extensin; en concordancia con la Ley de Educacin Superior Artculo 144.
3 CONSTANCIAS
El autor manifiesta que la obra objeto de la presente autorizacin es original y se la
desarroll, sin violar derechos de autor de terceros, por lo tanto la obra es original y que
es el titular de los derechos patrimoniales, por lo que asume la responsabilidad sobre el
contenido de la misma y saldr en defensa de la Universidad en caso de reclamacin por
parte de terceros.
III

FACULTAD DE INGENIERA EN CIENCIAS APLICADAS
CESIN DE DERECHOS DE AUTOR DEL TRABAJO A FAVOR DE LA UNIVERSIDAD

TCNICA DEL NORTE
Yo, Zura Chal Andrea Yomaira, con cdula de identidad Nro.1003193065, manifiesto mi
voluntad de ceder a la Universidad Tcnica del Norte los derechos patrimoniales
consagrados en la Ley de Propiedad Intelectual del Ecuador, artculos 4, 5 y 6, en calidad
de autor (es) de la obra o trabajo de grado denominado: DISEO DEL MODELO DE
SEGURIDAD DE DEFENSA EN PROFUNDIDAD EN LOS NIVELES DE USUARIO, RED
INTERNA Y RED PERIMETRAL, APLICANDO POLTICAS DE SEGURIDAD EN BASE A
LA NORMA ISO/IEC 27002 PARA LA RED DE DATOS DEL GAD MUNICIPAL DE
OTAVALO, que ha sido desarrollado para optar por el ttulo de: Ingeniera Electrnica y
redes de Comunicacin en la Universidad Tcnica del Norte, quedando la Universidad
facultada para ejercer plenamente los derechos cedidos anteriormente. En mi condicin
de autor me reservo los derechos morales de la obra antes citada. En concordancia
suscribo este documento en el momento que hago entrega del trabajo final en formato
impreso y digital a la Biblioteca de la Universidad Tcnica del Norte.
IV

DECLARACIN
Yo, Andrea Yomaira Zura Chal con cdula de identidad nro. 1003193065, estudiante de
la carrera de Ingeniera en Electrnica y Redes de Comunicacin, libre y voluntariamente
declaro que el presente trabajo de investigacin, es de mi autora y no ha sido realizado,
ni calificado por otro profesional, para efectos acadmicos y legales ser de mi
responsabilidad.

CERTIFICACIN
Certifico, que el presente trabajo de titulacin DISEO DEL MODELO DE SEGURIDAD

DE DEFENSA EN PROFUNDIDAD EN LOS NIVELES DE USUARIO, RED INTERNA Y
RED PERIMETRAL, APLICANDO POLTICAS DE SEGURIDAD EN BASE A LA NORMA
ISO/IEC 27002 PARA LA RED DE DATOS DEL GAD MUNICIPAL DE OTAVALO. fue
desarrollado en su totalidad por la Srta. Andrea Yomaira Zura Chal, bajo mi supervisin.
VI

DEDICATORIA
Dedico este Proyecto de Titulacin a mis padres; Esthela quien ha inculcado en m su

perseverancia y responsabilidad, Eddy quien m ha brindado fortaleza en cada una de mis
decisiones; a ellos quienes han estado conmigo en cada una de las etapas de mi vida,
entregndome apoyo incondicional su en las buenas y malas; a ellos quienes me han
brindado los mejores concejos para seguir adelante, en especial me han ayudado a
culminar con este objetivo alentndome a seguir siempre adelante pese a todas las
cadas.
A mis tas, quienes han estado presentes en cada momento; quienes han sido un pilar
fundamental en mi vida.
Especialmente dedico este trabajo a mi hijo Josue, el motor de mi vida, por quien sigo
siempre adelante. A Danny, que se ha convertido en un gran compaero de vida, quien
me ha ayudado y alentado en la culminacin de este trabajo.
Andrea Yomaira Zura Chal
VII

AGRADECIMIENTOS
Agradezco, a Dios por guiar mi camino y darme perseverancia a lo largo de estos aos, a
mis padres y a toda mi familia por el incondicional apoyo que me han brindado en todo
momento, a los docentes de la Universidad Tcnica del Norte quienes con su
conocimiento han aportado en mi formacin profesional y personal, al MSc. Edgar Maya
por haberme guiado en la culminacin de este trabajo.
Andrea Yomaira Zura Chal
VIII
NDICE DE CONTENIDO
AUTORIZACIN DE USO Y PUBLICACIN .................................................................................. II

CESIN DE DERECHOS DE AUTOR DEL TRABAJO A FAVOR DE LA UNIVERSIDAD
TCNICA DEL NORTE ................................................................................................................... IV
DECLARACIN ............................................................................................................................... V
CERTIFICACIN ............................................................................................................................ VI
DEDICATORIA ............................................................................................................................... VII
AGRADECIMIENTOS ................................................................................................................... VIII
NDICE DE CONTENIDO................................................................................................................ IX
NDICE DE FIGURAS ..................................................................................................................XVII
NDICE DE TABLAS .....................................................................................................................XXI
NDICE DE ECUACIONES .........................................................................................................XXIII
RESUMEN ................................................................................................................................. XXIV
ABSTRACT ................................................................................................................................. XXV
PRESENTACIN ....................................................................................................................... XXVI
CAPTULO I ..................................................................................................................................... 1
1 FUNDAMENTOS TERICOS ....................................................................................................... 1
1.1 CONCEPTOS BSICOS DE SEGURIDAD EN REDES ........................................................... 1
1.1.1 INFORMACIN ....................................................................................................................... 1
1.1.2 SEGURIDAD DE INFORMACIN .......................................................................................... 1
1.1.2.1 PILARES FUNDAMENTALES DE LA SEGURIDAD DE INFORMACIN ........................ 2
1.1.2.2 IDENTIFICACIN DE RIESGOS EN LA SEGURIDAD DE LA INFORMACIN ............... 2
1.1.2.2.1 AMENAZAS PARA LA SEGURIDAD DE INFORMACIN ............................................... 3
1.1.2.2.2 VULNERABILIDADES EN LA SEGURIDAD DE LA INFORMACIN .............................. 3
1.1.2.2.3 ATAQUES PRODUCIDOS EN LA SEGURIDAD DE LA INFORMACIN ....................... 4
1.2 DEFENSA EN PROFUNDIDAD ................................................................................................. 5
1.2.1 POLTICAS, PROCEDIMIENTOS Y EDUCACIN ................................................................ 6
1.2.1.1 NORMA ISO/IEC 27002 ....................................................................................................... 6
1.2.1.1.1 ESTRUCTURA DE LA NORMA ....................................................................................... 6
IX
1.2.1.1.2 CLUSULAS ..................................................................................................................... 7

1.3 SEGURIDAD FSICA ............................................................................................................... 17
1.3.1 PRINCIPIOS DE PROTECCIN EN LA SEGURIDAD FSICA ............................................ 18
1.3.1.1 CONTROL DE ACCESO ................................................................................................... 18
1.3.1.2 RESTRINGIR EL ACCESO FSICO .................................................................................. 18
1.3.1.3 PROTEGER EL CABLEADO ESTRUCTURADO .............................................................. 18
1.4 RED PERIMETRAL .................................................................................................................. 18
1.4.1 FIREWALL ............................................................................................................................ 19
1.4.1.1 CARACTERSTICAS DE UN FIREWALL .......................................................................... 20
1.4.1.2 FUNCIONAMIENTO DE UN FIREWALL ........................................................................... 20
1.4.2 SISTEMAS DE DETECCIN (IDS) ..................................................................................... 20
1.4.2.1 CLASIFICACIN DE LOS IDS ......................................................................................... 21
1.4.3 ZONA DESMILITARIZADA (DMZ) ....................................................................................... 21
1.4.3.1 CARACTERSTICAS DE UNA DMZ .................................................................................. 22
1.5 RED INTERNA ......................................................................................................................... 23
1.5.1 RECOMENDACIONES PARA MANTENER SEGURA NUESTRA RED LOCAL ................. 23
1.5.1.1 RED DE ACCESO LOCAL VIRTUAL (VLAN) ................................................................... 23
1.5.1.2 LISTAS DE ACCESO (ACL) .............................................................................................. 27
1.5.1.3 SECURE SHELL ( SSH) .................................................................................................... 29
CAPTULO II .................................................................................................................................. 32
2 LEVANTAMIENTO DE INFORMACIN EN LA RED DE DATOS DEL GOBIERNO
AUTNOMO DESCENTRALIZADO MUNICIPAL DE OTAVALO ................................................ 32
2.1 DESARROLLO DE LA METODOLOGA DE LA INVESTIGACIN ........................................ 32
2.1.1 PLANTEAMIENTO DEL PROBLEMA DE INVESTIGACIN ............................................... 33
2.1.2 PLANTEAMIENTO DE OBJETIVOS..................................................................................... 34
2.1.2.1 OBJETIVO GENERAL ....................................................................................................... 35
2.1.2.2 OBJETIVOS ESPECFICOS .............................................................................................. 36
2.1.3 ESTABLECIMIENTO DE LA JUSTIFICACIN .................................................................... 36
2.1.4 PLANTEAMIENTO DEL ALCANCE ...................................................................................... 37
2.2 ESTUDIO DE LA METODOLOGA DE ANLISIS DE SEGURIDAD ...................................... 39
X
2.2.1 OSSTMM ............................................................................................................................... 39

2.2.1.1 PROPSITO ...................................................................................................................... 40
2.2.1.2 MBITO ............................................................................................................................. 40
2.2.1.3 FASES ................................................................................................................................ 41
2.2.1.3.1 FASE DE REGLAMENTACIN ...................................................................................... 41
2.2.1.3.2 FASE DE DEFINICIN ................................................................................................... 41
2.2.1.3.3 FASE DE INFORMACIN .............................................................................................. 41
2.2.1.3.4 FASE INTERACTIVA DE PRUEBAS DE CONTROLES ................................................ 41
2.2.2 ANLISIS DE RIESGOS EN LA RED DE DATOS DEL GAD MUNICIPAL DE OTAVALO
SIGUIENDO LA METODOLOGA DE OSSTMM ........................................................................... 41
2.2.2.1 PROCESO ........................................................................................................................ 42
2.2.2.1.1 SEGURIDAD OPERACIONAL ....................................................................................... 42
2.2.2.1.2 CONTROLES .................................................................................................................. 43
2.3.2 PROCESO DE CUATRO PUNTOS ...................................................................................... 46
2.3.2.1 DIAGRAMA DE FLUJO ...................................................................................................... 48
2.3.3 DETERMINACIN DEL RIESGO ......................................................................................... 48
2.3.3.1 SEGURIDAD FSICA ......................................................................................................... 49
2.3.3.2 SEGURIDAD DE COMUNICACIONES ............................................................................. 49
2.3.4 RESULTADO ........................................................................................................................ 50
CAPTULO III ................................................................................................................................. 52
3 DISEO E IMPLEMENTACIN DEL MODELO DE SEGURIDAD DEFENSA EN
PROFUNDIDAD ............................................................................................................................ 52
3.1 DISEO DEL MODELO DE DEFENSA EN EL NIVEL DE USUARIO .................................... 52
3.1.1 ELABORACIN DEL MANUAL DE POLTICAS Y PROCEDIMIENTOS DE SEGURIDAD
DE LA INFORMACIN EN BASE A LA NORMA ISO/IEC 27002 ................................................. 52
3.2 DISEO DEL MODELO DE DEFENSA EN EL NIVEL PERIMETRAL .................................... 99
3.2.1 IDS/ IPS ................................................................................................................................. 99
3.2.1.1 SOFTWARES DE SISTEMAS DE DETECCIN Y PREVENCIN DE INTRUSOS. ........ 99
3.2.1.1.1 SURICATA ................................................................................................................... 100
3.2.2 FIREWALL .......................................................................................................................... 104
XI
3.2.2.1 CARACTERSTICAS DEL EQUIPO ................................................................................ 105

3.2.2.2 CONFIGURACIN DE POLTICAS DE SEGURIDAD EN FIREWALL SHOPOS UTM . 106
3.2.3 ZONA DESMILITARIZADA (DMZ) ...................................................................................... 111
3.3 DISEO DEL MODELO DE DEFENSA EN EL NIVEL DE RED INTERNA .......................... 115
3.3.1 DISEO DEL MODELO DE RED ...................................................................................... 115
3.3.1.1 SWITCHES DE CAPA DE ACCESO ............................................................................... 116
3.1.2 SWITCHES DE CAPA DISTRIBUCIN.............................................................................. 128
3.3.1.3 SWITCHES DE CAPA NCLEO .................................................................................... 130
3.4 PRUEBAS DE FUNCIONAMIENTO ..................................................................................... 132
3.4.1 DETECCIN DE VULNERABILIDADES ............................................................................ 132
3.4.1.1 ATAQUES O INTRUSIONES POR CAPAS .................................................................... 132
3.4.1.1.2 CAPA DE RED .............................................................................................................. 137
3.4.1.1.3 CAPA DE TRANSPORTE ............................................................................................. 141
3.4.1.1.4 CAPA DE SESIN ........................................................................................................ 143
3.4.1.1.5 CAPA DE APLICACIN ................................................................................................ 145
CAPTULO IV ............................................................................................................................... 147
4 PRESUPUESTO REFERENCIAL ............................................................................................ 147
4.1 CLCULO .............................................................................................................................. 147
4.1.1 SOPHOS UTM 320 NETWORK PROTECTION ................................................................. 147
4.1.1.1 COSTO TOTAL DE LA SOLUCIN (CTS) ...................................................................... 148
4.1.2 SURICATA IDS-IPS ............................................................................................................ 154
4.1.2.1 COSTO TOTAL DE LA SOLUCIN (CTS) ...................................................................... 154
4.2. RESULTADO ........................................................................................................................ 158
4.3 CONCLUSIONES Y RECOMENDACIONES ........................................................................ 158
4.4 CONCLUSIONES.................................................................................................................. 159
4.5 RECOMENDACIONES ......................................................................................................... 160
4.6 BIBLIOGRAFIA ..................................................................................................................... 163
ANEXO A ..................................................................................................................................... 167
A.1 CANAL HUMANO .................................................................................................................. 167
A.1.1. SEGURIDAD OPERACIONAL .......................................................................................... 167
XII
A.1.1.1 VISIBILIDAD ................................................................................................................... 167

A.1.1.2 ACCESOS ....................................................................................................................... 168
A.1.1.3 CONFIANZA .................................................................................................................... 169
A.1.2 CONTROLES ...................................................................................................................... 169
A.1.2.1 AUTENTICACIN............................................................................................................ 170
A.1.2.2 INDEMNIZACIN ............................................................................................................ 170
A.1.2.3 RESISTENCIA ................................................................................................................. 171
A.1.2.4 SUBYUGACIN .............................................................................................................. 172
A.1.2.5 CONTINUIDAD ................................................................................................................ 172
A.1.2.6 NO REPUDIO .................................................................................................................. 173
A.1.2.7 CONFIDENCIALIDAD ..................................................................................................... 173
A.1.2.8 PRIVACIDAD ................................................................................................................... 174
A.1.2.9 INTEGRIDAD ................................................................................................................... 174
A.1.2.10 ALARMA ........................................................................................................................ 175
A.1.3 LIMITACIONES................................................................................................................... 175
A.1.3.1 VULNERABILIDAD .......................................................................................................... 175
A.1.3.2 DEBILIDAD ...................................................................................................................... 176
A.1.3.3 PREOCUPACIN ............................................................................................................ 176
A.1.3.4 EXPOSICIN................................................................................................................... 176
A.1.3.5 ANOMALAS .................................................................................................................... 177
A.2 CALCULO DE RAVS ............................................................................................................. 177
A.2.1 INTERPRETACIN DE RESULTADOS............................................................................. 179
ANEXO B ..................................................................................................................................... 180
B.1 SEGURIDAD FSICA ............................................................................................................. 180
B.1.1 SEGURIDAD OPERACIONAL ........................................................................................... 180
B.1.1.1 VISIBILIDAD .................................................................................................................... 180
B.1.1.2 ACCESOS ....................................................................................................................... 181
B.1.1.3 CONFIANZA .................................................................................................................... 181
B.1.2 CONTROLES ...................................................................................................................... 183
B.1.2.1 AUTENTICACIN............................................................................................................ 183
XIII
B.1.2.2 INDEMNIZACIN ............................................................................................................ 183

B.1.2.3 RESISTENCIA ................................................................................................................. 184
B.1.2.4 SUBYUGACIN .............................................................................................................. 185
B.1.2.5 CONTINUIDAD ................................................................................................................ 186
B.1.2.6 NO REPUDIO .................................................................................................................. 186
B.1.2.7 CONFIDENCIALIDAD ..................................................................................................... 187
B.1.2.8 PRIVACIDAD1 ................................................................................................................. 187
B.1.2.9 INTEGRIDAD ................................................................................................................... 187
B.1.2.10 ALARMA ........................................................................................................................ 188
B.1.3 LIMITACIONES................................................................................................................... 188
B.1.3.1 VULNERABILIDAD .......................................................................................................... 188
B.1.3.2 DEBILIDAD ...................................................................................................................... 189
B.1.3.3 PREOCUPACIN ............................................................................................................ 189
B.1.3.4 EXPOSICIN................................................................................................................... 190
B.1.3.5 ANOMALAS .................................................................................................................... 190
B.2 CALCULO DE RAVS ............................................................................................................. 190
B.2.1 INTERPRETACIN DE RESULTADOS............................................................................. 191
ANEXO C ..................................................................................................................................... 193
C.1 TELECOMUNICACIONES .................................................................................................... 193
C.1.1 SEGURIDAD OPERACIONAL ........................................................................................... 193
C.1.1.1 VISIBILIDAD .................................................................................................................... 193
C.1.1.2 ACCESOS ....................................................................................................................... 196
C.1.1.3 CONFIANZA .................................................................................................................... 197
C.1.2 CONTROLES ..................................................................................................................... 197
C.1.2.1 AUTENTICACIN ........................................................................................................... 197
C.1.2.2 INDEMNIZACIN ............................................................................................................ 198
C.1.2.3 RESISTENCIA ................................................................................................................. 198
C.1.2.4 SUBYUGACIN .............................................................................................................. 199
C.1.2.5 CONTINUIDAD ................................................................................................................ 199
C.1.2.6 NO REPUDIO .................................................................................................................. 199
XIV
C.1.2.7 CONFIDENCIALIDAD ..................................................................................................... 200

C.1.2.8 PRIVACIDAD ................................................................................................................... 200
C.1.2.9 INTEGRIDAD................................................................................................................... 202
C.1.2.10 ALARMA ........................................................................................................................ 202
C.1.3 LIMITACIONES .................................................................................................................. 203
C.1.3.1 VULNERABILIDAD .......................................................................................................... 203
C.1.3.2 DEBILIDAD ...................................................................................................................... 203
C.1.3.3 PREOCUPACIN............................................................................................................ 204
C.1.3.4 EXPOSICIN .................................................................................................................. 204
C.1.3.5 ANOMALAS .................................................................................................................... 204
C.2 CLCULO DE RAVS ............................................................................................................. 204
C.2.1 INTERPRETACIN DE RESULTADOS. ........................................................................... 206
ANEXO D ..................................................................................................................................... 207
D.1 REDES DE DATOS ............................................................................................................... 207
D.1.1 SEGURIDAD OPERACIONAL ........................................................................................... 207
D.1.1.1 VISIBILIDAD .................................................................................................................... 207
D.1.1.2 ACCESOS ....................................................................................................................... 211
D.1.1.3 CONFIANZA .................................................................................................................... 213
D.1.2 CONTROLES ..................................................................................................................... 214
D.1.2.1 AUTENTICACIN ........................................................................................................... 214
D.1.2.2 INDEMNIZACIN ............................................................................................................ 215
D.1.2.3 RESISTENCIA ................................................................................................................. 215
D.1.2.4 CONTINUIDAD ................................................................................................................ 216
D.1.2.5 NO REPUDIO .................................................................................................................. 216
D.1.2.6 CONFIDENCIALIDAD ..................................................................................................... 216
D.1.2.7 PRIVACIDAD ................................................................................................................... 217
D.1.2.8 INTEGRIDAD................................................................................................................... 217
D.1.2.9 ALARMA .......................................................................................................................... 218
D.1.3 LIMITACIONES .................................................................................................................. 218
D.1.3.1 VULNERABILIDAD .......................................................................................................... 218
XV
D.1.3.2 DEBILIDAD ...................................................................................................................... 218

D.1.3.3 PREOCUPACIN............................................................................................................ 219
D.1.3.4 EXPOSICIN .................................................................................................................. 219
D.1.3.5 ANOMALAS .................................................................................................................... 219
D.2 CALCULO DE RAVS ............................................................................................................. 219
ANEXO E ..................................................................................................................................... 221
E SIMULACIN RED INTERNA .................................................................................................. 221
E.1 TOPOLOGA .......................................................................................................................... 222
E.2 TABLA DE DIRECCIONAMIENTO ........................................................................................ 223
E.3 DESARROLLO ...................................................................................................................... 225
E.3.1 CONFIGURACIN DE ADMINISTRACIN BSICA DEL SWITCH ................................. 225
E.3.2. CONFIGURACIN DE EQUIPOS TERMINALES ............................................................ 226
E.3.3 CONFIGURACIN EN SWITCH CAPA ACCESO ............................................................ 226
E.3.4. CONFIGURACIN EN SWITCH CAPA DISTRIBUCIN ................................................ 229
E.3.5 CONFIGURACIN EN SWITCH CAPA NCLEO ............................................................ 230
E.3.6 CONFIGURACIN EN SWITCH ENLACES EXTERNOS ................................................ 232
E.3.7 CONFIGURACIN DE SEGURIDAD BSICA DEL SWITCH ........................................... 234
E.3.8 CONFIGURACIN DE SSH EN LOS SWITCHES ............................................................ 235
ANEXO F...................................................................................................................................... 236
F.1.1 ENLAZAR SURICATA CON SCIRIUS............................................................................... 241
F.1.2 ENLAZAR SURICATA CON ELASTICSEARCH ............................................................... 243
F.1.3 ENLAZAR SURICATA CON KIBANA ................................................................................ 243
F.2 ADMINISTRACIN DE REGLAS .......................................................................................... 244
F.2.1 CREAR FUENTES ............................................................................................................. 244
F.2.2 CREAR CONJUNTOS DE REGLAS ................................................................................. 245
ANEXO G ..................................................................................................................................... 246
G.1 MODELO DE TRPTICO DESTINADO A LOS USUARIOS DEL GADMO ........................... 246
XVI
NDICE DE FIGURAS
FIGURA 1.1: Incidentes producidos en la identificacin de riesgos ................................................ 2
FIGURA 1.2: Clasificacin de las amenazas de la seguridad de informacin ................................ 3
FIGURA 1.3: Clasificacin de las vulnerabilidades de la seguridad de informacin ....................... 4
FIGURA 1.4: Clasificacin de los ataques producidos en la seguridad de informacin ................. 5
FIGURA 1.5: Capas del modelo defensa en seguridad .................................................................. 5
FIGURA 1.6: Esquema del 1er dominio de la Norma ISO/IEC 27002:2009 .................................... 8
FIGURA 1.7: Esquema del 2do dominio de la Norma ISO/IEC 27002:2009 .................................... 8
FIGURA 1.8: Esquema de 3er dominio de la Norma ISO/IEC 27002:2009 .................................... 9
FIGURA 1.9: Esquema del 4to dominio de la Norma ISO/IEC 27002 ............................................ 9
FIGURA 1.10: Esquema del 5to dominio de la Norma ISO/IEC 27002:2009 ............................. 10
FIGURA 1.11: Esquema del 6to dominio de la Norma ISO/IEC 27002:2009 ............................... 11
FIGURA 1.12: Esquema de la primera parte del 7mo dominio de la Norma
ISO/IEC 27002:2009 ...................................................................................................................... 12
FIGURA 1.13: Esquema de la segunda parte del 7mo dominio de la Norma
ISO/IEC 27002:2009 ...................................................................................................................... 13
FIGURA 1.14: Esquema del 8vo dominio de la Norma ISO/IEC 27002:2009 ................................ 14
FIGURA 1.15: Esquema del 9no dominio de la Norma ISO/IEC 27002:2009 ................................ 15
FIGURA 1.16: Esquema del 10mo dominio de la Norma ISO/IEC 27002:2009 ............................. 16
FIGURA 1.17: Esquema del 11avo dominio de la Norma ISO/IEC 27002:2009 ............................. 17
FIGURA 1.18: Zona Desmilitarizada ............................................................................................. 22
FIGURA 1.19: Red de rea Local Virtual ..................................................................................... 24
FIGURA 1.21: Encapsulacin ISL ................................................................................................. 25
FIGURA 1.21: Modos de trabajo VTP ........................................................................................... 26
FIGURA 1.22: Formato de una ACL estndar. .............................................................................. 28
FIGURA 1.23: Formato de una ACL extendida. ............................................................................ 28
FIGURA 2.1: Pasos de la metodologa de investigacin ............................................................... 32
FIGURA 2.2: rbol de causas y efectos ........................................................................................ 33
FIGURA 2.3: rbol de Objetivos .................................................................................................... 35
FIGURA 2.4: Diagrama de Flujo OSSTMM ................................................................................... 48
XVII
FIGURA 2.5: Calculadora de RAVs oficial de OSSTMM ............................................................... 51

FIGURA 3.1: Anlisis FODA de SURICATA................................................................................ 100
FIGURA 3.2: Imagen oficial de IDS-IPS Suricata ........................................................................ 100
FIGURA 3.3: Ubicacin del IDS-IPS en la red. ........................................................................... 104
FIGURA 3.4: Topologa Actual del Firewall ................................................................................ 104
FIGURA 3.5: Cambio de clave y usuario del Firewall ................................................................. 107
FIGURA 3.6: Activacin de notificaciones de alerta .................................................................... 107
FIGURA 3.7: Activacin de SSH ................................................................................................. 108
FIGURA 3.8: Activacin de actualizaciones ................................................................................ 108
FIGURA 3.9: Activacin del envi automtico de backup ........................................................... 109
FIGURA 3.10: Activacin de envi de informes ejecutivos ......................................................... 109
FIGURA 3.11: Habilitar ICMP ...................................................................................................... 110
FIGURA 3.12: Creacin de grupos de usuarios .......................................................................... 110
FIGURA 3.13: Configuracin de reglas, acorde a los grupos de usuarios. ................................. 111
FIGURA 3.14: Topologa Actual de la granja de servidores........................................................ 114
FIGURA 3.15: Diseo red perimetral ........................................................................................... 115
FIGURA 3.16: Modelo Jerrquico de Redes ............................................................................... 116
FIGURA 3.17: Diseo de la capa de acceso en la red jerrquica ............................................... 119
FIGURA 3.18: Propuesta grfica de distribucin de VLANS a nivel de acceso .......................... 125
FIGURA 3.20: Diseo de la capa de distribucin en la red jerrquica ....................................... 129
FIGURA 3.21: Diseo de la capa ncleo en la red jerrquica ..................................................... 131
FIGURA 3.22: Ataques para cada capa del Modelo OSI ............................................................ 133
FIGURA 3.23: Activacin del IP forwarding ................................................................................. 133
FIGURA 3.24: Envenenamiento IP en usuario ............................................................................ 134
FIGURA 3.25: Envenenamiento IP en Gateway ......................................................................... 134
FIGURA 3.26: Captura de trfico en host atacante. .................................................................... 134
FIGURA 3.27: Anlisis de envenenamiento ARP en Wireshark ................................................. 135
FIGURA 3.28: Mitigacin ataque Arp Spoofing ........................................................................... 135
FIGURA 3.29: grfico estadstico de eventos producidos por ataque ARP Spoffing .................. 136
FIGURA 3.30: Resumen de alertas producidas .......................................................................... 136
XVIII
FIGURA 3.31: Detalle de alertas producidas............................................................................... 137

FIGURA 3.32: Saturacin de equipo mediante ICMP Flood ....................................................... 138
FIGURA 3.33: Grfica de flujo en Wireshark ............................................................................... 138
FIGURA 3.34: Mitigacin ataque ICMP Flood ............................................................................. 139
FIGURA 3.35: Resultado estadstico de Suricata ....................................................................... 139
FIGURA 3.36: Grfica de ubicacin de intrusiones ..................................................................... 140
FIGURA 3.37: Resumen de alertas de intrucin ......................................................................... 140
FIGURA 3.38: Detalle de alertas de intrucin.............................................................................. 141
FIGURA 3.39: Escaneo de puertos ............................................................................................. 142
FIGURA 3.40: Anlisis de puertos con Wireshark ....................................................................... 142
FIGURA 3.41: Mitigacin Ataque de escaneo de puertos ........................................................... 143
FIGURA 3.42: Resultado de alertas por escaneo de puertos .................................................... 143
FIGURA 3.43: Escaneo TCP SYN ............................................................................................... 144
FIGURA 3.44: Mitigacin ataque escaneo TCP SYN .................................................................. 144
FIGURA 3.45: Resultado de alerta ante intrusin TCP-SYN ...................................................... 145
FIGURA 3.46: Descarga desde un cliente de un archivo ejecutable .......................................... 145
FIGURA 3.47: Mitigacin ataques de descargas de archivos dudosos ...................................... 146
FIGURA 3.48: Grfico estadstico de descargas realizadas ....................................................... 146
FIGURA 3.49: Grfico estadstico de descargas realizadas ....................................................... 146
FIGURA A.1: Clculo del RAVS en Canal Humano .................................................................... 178
FIGURA B.1: Clculo del RAVS en Canal Seguridad Fsica ...................................................... 191
FIGURA C.1: Mapa de los protocolos de comunicacin ............................................................. 194
FIGURA C.2: Esquema de la topologa de las redes de telecomunicaciones ............................ 195
FIGURA C.3: Identificacin de sistemas operativos y sus versiones .......................................... 196
FIGURA C.4: Anlisis de Puertos ................................................................................................ 201
FIGURA C.5: Clculo del RAVS en Canal Seguridad Fsica ...................................................... 205
FIGURA D.1: Pgina Oficial del Municipio de Otavalo ................................................................ 209
FIGURA D.2: Resumen de puertos abiertos en la red ................................................................ 212
FIGURA D.3: Lista de sistemas operativos activos en la red ...................................................... 213
FIGURA D.4: Escaneos realizados en la red .............................................................................. 214
XIX
FIGURA D.5: Lista de puertos bloqueados en la red .................................................................. 217

FIGURA D.6: Clculo del RAVS en Canal Seguridad Fsica ...................................................... 220
FIGURA E.1: Topologa de Red .................................................................................................. 222
FIGURA E.2: Configuracin IP host de acceso ........................................................................... 226
FIGURA F.1: Pantalla de Inicio de SELKS .................................................................................. 236
FIGURA F.2: Estado de la interfaz que funcionar como snnifing .............................................. 237
FIGURA F.3: Configurar la interfaz snnifer ................................................................................. 237
FIGURA F.4: Estado de interfaz snnifer ...................................................................................... 238
FIGURA F.5: Comprobacin de la versin instalada de Suricata IDS-IPS ................................. 239
FIGURA F.6: Edicin del parmetro stream en el archivo suricata.yaml .................................... 239
FIGURA F.7: Edicin del parmetro flow-timeouts en el archivo suricata.yaml .......................... 240
FIGURA F.8: Edicin del parmetro detect-engine en el archivo suricata.yaml ......................... 240
FIGURA F.9: Edicin del parmetro max-pending en el archivo suricata.yaml ......................... 241
FIGURA F.10: Instalacin de Python-pip..................................................................................... 241
FIGURA F.11: Instalacin de Django y sus dependencias ........................................................ 241
FIGURA F.12: Puesta en Marcha Scirius .................................................................................... 242
FIGURA F.13: Archivo configuracin de ruta de reglas Scirius................................................... 242
FIGURA F.14: Edicin de variables elasticsearch ....................................................................... 243
FIGURA F.15: Puesta en Marcha elasticsearch .......................................................................... 243
FIGURA F.16: Edicin de variables kibana ................................................................................. 244
FIGURA F.17: Puesta en Marcha kibana .................................................................................... 244
FIGURA F.18: Insertar fuentes en SELKS .................................................................................. 245
FIGURA F.19: Crear reglas Suricata ........................................................................................... 245
XX
NDICE DE TABLAS
TABLA 1.1: Comparacin entre una red perimetral segura vs una red perimetral insegura ........ 19
TABLA 1.2: Clasificacin de los IDS ............................................................................................. 21
TABLA 1.3: Caractersticas de SSH ............................................................................................. 29
TABLA 1.4: Mtodos utilizados en la seguridad de los Datos ...................................................... 31
TABLA 2.1: mbito de OSSTMM .................................................................................................. 40
TABLA 2.2: Proceso de 4 puntos .................................................................................................. 46
TABLA 3.1: Comparacin de los diferentes softwares libres y comerciales de IDS/IPS. ............. 99
TABLA 3.2: Carca testicas de SURICATA ................................................................................. 101
TABLA 3.3: Caractersticas de los componentes de SELKS ...................................................... 102
TABLA 3.4: Requerimientos mnimos de instalacin de SELKS ................................................ 103
TABLA 3.5: Informacin tcnica del Firewall Astaro Security Gateway 320 .............................. 105
TABLA 3.6: Aplicaciones de Astaro Security Gateway 320 ........................................................ 106
TABLA 3.7: Descripcin de los servidores del GADMO ............................................................. 112
TABLA 3.8: Caractersticas de Switch Capa Acceso .................................................................. 117
TABLA 3.9: Segmentacin y Direccionamiento IP Capa de Acceso .......................................... 121
TABLA 3.10: Asignacin de ACL en funcin de la VLAN ........................................................... 126
TABLA 3.11: Caractersticas Switch Capa Distribucin .............................................................. 128
TABLA 3.12: Caractersticas switch 3com 5500 SFP 24P ........................................................ 130
TABLA 4.1: Gastos de adquisicin en licencias de software UTM ........................................... 149
TABLA 4.2: Costos de hardware e infraestructura ..................................................................... 149
TABLA 4.3: Costos adicionales de software ............................................................................... 150
TABLA 4.4: Costos de actualizacin y mantenimiento del hardware e infraestructura. ............. 151
TABLA 4.5: Costos de actualizacin y soporte del software. ..................................................... 151
TABLA 4.6: Gastos de adquisicin en licencias de software SELKS ....................................... 154
TABLA 4.7: Costos de hardware e infraestructura ..................................................................... 155
TABLA 4.8: Costos de actualizacin y mantenimiento del hardware e infraestructura. ............. 156
TABLA 4.9: Costos de actualizacin y soporte del software. ..................................................... 156
TABLA A.1: Resultados obtenidos en el segmento Visibilidad................................................... 168
TABLA A.2: Resultados obtenidos en el segmento Accesos ..................................................... 168
TABLA A.3: Resultados obtenidos en el segmento Confianza................................................... 169
XXI
TABLA A.4: Lista de Controles usados en OSSTMM 3.0 ........................................................... 169

TABLA A.5: Resultados obtenidos en el control de Autenticacin ............................................. 170
TABLA A.6: Resultados obtenidos en el control de Indemnizacin .......................................... 171
TABLA A.7: Resultados obtenidos en el control de Resistencia ............................................... 171
TABLA A.8: Resultados obtenidos en el control de Continuidad .............................................. 172
TABLA A.9: Resultados obtenidos en el control de Confidencialidad ....................................... 173
TABLA A.10: Resultados obtenidos en el control de Privacidad ............................................... 174
TABLA A.11: Resultados obtenidos en el control de Integridad ................................................ 174
TABLA A.12: Resultados obtenidos en el control de Alarma .................................................... 175
TABLA A.13: Resultados obtenidos en Limitacin de Vulnerabilidad ........................................ 175
TABLA A.14: Resultados obtenidos en limitacin de Debilidad ................................................. 176
TABLA B.1: Resultados obtenidos en Seguridad Operacional: Visibilidad ................................ 180
TABLA B.2: Resultados obtenidos en seguridad operacional: Accesos .................................... 181
TABLA B.3: Resultados obtenidos en Seguridad Operacional: Confianza ................................ 182
TABLA B.4: Resultados obtenidos en Control de Autenticacin ................................................ 183
TABLA B.5: Resultados obtenidos en Control Indemnizacin................................................... 184
TABLA B.6: Resultados obtenidos en Control Resistencia ........................................................ 185
TABLA B.7: Resultados obtenidos en Control Continuidad ........................................................ 186
TABLA B.8: Resultados obtenidos en Control Integridad ........................................................... 187
TABLA B.9: Resultados obtenidos en Control Alarma ............................................................... 188
TABLA B.10: Resultados obtenidos en Control Alarma ............................................................. 189
TABLA C.1: Resultados obtenidos en Control Continuidad ........................................................ 199
TABLA C.2: Resultados obtenidos en Control Integridad ........................................................... 202
TABLA C.3: Resultados obtenidos en Control Alarma ............................................................... 202
TABLA C.4: Resultados obtenidos en Limitacin Debilidad ....................................................... 203
TABLA D.1: Informacin de Dominio Otavalo.gob.ec| ................................................................ 210
TABLA D.2: Resultados obtenidos en el Control Resistencia .................................................... 216
TABLA E.1: Tabla de direccionamiento ...................................................................................... 223
TABLA E.2: Distribucin VTP en switches de acceso ................................................................ 227
TABLA E.3: Distribucin VTP enlaces externos ......................................................................... 233
XXII
NDICE DE ECUACIONES
ECUACIN 4.1: Costo Total de Solucin.................................................................................... 148
ECUACIN 4.2: Costo Total de Implementacin ........................................................................ 148
ECUACIN 4.3: Costo Total Administrativo ................................................................................ 150
ECUACIN 4.4: Costos del recurso humano .............................................................................. 151
ECUACIN 4.5: Costo de administracin de la solucin ............................................................ 152
ECUACIN 4.6: Costo de operacin de la solucin. .................................................................. 152
ECUACIN 4.7: Costo de soporte de la solucin. ...................................................................... 153
ECUACIN 4.8: Costo Total de Capacitacin ............................................................................ 153
ECUACIN A.1: Seguridad Operacional .................................................................................... 167
ECUACIN A.2: Suma de prdida en los controles ................................................................... 170
ECUACIN A.3: Clculo de la Limitacin Preocupacin ............................................................ 176
XXIII
RESUMEN
El GAD Municipal de Otavalo proporciona distintos servicios de telecomunicaciones en
beneficio de la poblacin para ello posee una red de datos distribuida en red interna,
enlaces inalmbricos y acceso a las TICs tanto en el sector urbano como en el rural;
razn por la cual es importante que su infraestructura ofrezca alta disponibilidad y calidad
de servicio, soportando grandes cantidades de trfico, adems de poseer escalabilidad,
flexibilidad y seguridad.
El presente trabajo plantea un diseo de modelo de seguridad multicapa, conocido como
defensa en profundidad; el mismo que ser aplicado en tres niveles; en el nivel de usuario
se elabor un Manual de Normas y Procedimientos de seguridad de informacin en base
a la Norma ISO IEC 27002, el cual se socializo en conjunto con el administrador de red
hacia los usuarios; en el nivel de red interna se dise un modelo jerrquico basado en
el estudio por capas; y en la red perimetral mediante herramientas de deteccin de
intrusos basados en motores Suricata bajo una plataforma unificada denominada SELKS.
Adems mediante un presupuesto referencial se demostr que es posible migrar de una
solucin propietaria a una solucin bajo software libre; lo que permite minimizar costos y
aprovechar mejor los recursos.
XXIV
ABSTRACT
The Municipal GAD Otavalo provides various telecommunications services to the benefit
of people thus has a network of distributed data in internal network, wireless connections
and access to TIC's both urban areas as the rural; so it is important to provide high
availability infrastructure and service quality, supporting large amounts of traffic, besides
having scalability, flexibility and security.
This paper presents a design of multi-layered security model, known as defense in depth;
the same to be applied at three levels; at the user level a Manual of Policies and
Procedures Information Security is developed based on the ISO/IEC 27002, which
socialized along with the network administrator to users; in the internal network level
hierarchical model based on the study was designed layered; and in the perimeter network
by intrusion detection tools based on Suricata engines under a unified platform called
SELKS.
Also is performed the calculation of referential budget in which it was shown that it is
possible migrating from a proprietary solution to a solution under free software; enabling
you to minimize costs and better use of resources.
XXV
PRESENTACIN
El presente proyecto de titulacin consiste en la propuesta de polticas de seguridad en
base a los tres pilares fundamentales como
son la integridad, disponibilidad y
confidencialidad de la informacin frente a las amenazas externas e internas a las que la

red puede estar expuesta continuamente.
El proyecto inicia con la revisin de los fundamentos tericos en el que se har una
investigacin de la norma ISO/IEC 27002, la funcionalidad y aplicabilidad del Modelo de
seguridad Defensa en Profundidad.
En el segundo captulo se har el levantamiento de informacin de la situacin actual de
la red de datos del GAD Municipal de Otavalo, tanto de la red fsica como lgica y se
determinar las vulnerabilidades y amenazas a las que est expuesta.
Con la informacin obtenida en el levantamiento de informacin, a nivel de red interna se
propondr un diseo jerrquico y segmentado; en el nivel de Red Perimetral se aplicarn
en el Firewall diferentes polticas de seguridad tanto para la red interna como externa;
as tambin se considerar una Zona Desmilitarizada para los servidores, adems se
instalar un sistema de prevencin y deteccin de intrusos SURICATA bajo software
libre; en el nivel de acceso de usuarios se realizar un Manual de polticas y
procedimientos de
seguridad, el mismo que ser socializado conjuntamente con el
administrador de la red hacia los usuarios de las polticas que se establecieron durante el
desarrollo de este proyecto.
Una vez terminado el diseo del sistema se realizarn pruebas de simulacin de ataques
siguiendo los objetivos de un hacking tico, los mismos que permiten evaluar las
vulnerabilidades.
Se realizar un presupuesto referencial tomando en cuenta una comparacin de tener
una solucin licenciada y una solucin en software libre, as como tambin en el beneficio
en cuanto a prestaciones que tienen los equipos para soportar las configuraciones frente
a aquellos equipos que no.
Se efectuar las recomendaciones necesarias en los niveles de Seguridad Fsica, Host,
Aplicacin y Datos, adems se mencionar las conclusiones y recomendaciones que se
obtendrn a lo largo de la realizacin de este proyecto
XXVI
CAPTULO I
1 FUNDAMENTOS TERICOS
En este captulo se realizar un estudio de los fundamentos de la seguridad en

redes, se har una investigacin de la funcionalidad y aplicabilidad del Modelo de
seguridad Defensa en Profundidad, se resaltar la importancia de utilizar un
IDS/IPS as como tambin un estudio de la norma ISO/IEC 27002:2009, sin dejar
de analizar los fundamentos necesarios que nos permitirn realizar la
segmentacin de la red mediante VLANs.
1.1 CONCEPTOS BSICOS DE SEGURIDAD EN REDES
Es importante tener claros varios trminos que llevan a conceptualizar la seguridad de
redes; trminos que involucran activos, polticas, amenazas, vulnerabilidades, entre otros.
1.1.1 INFORMACIN
La informacin es uno de los activos ms importantes dentro de una institucin, por lo que
requiere una fuerte proteccin aplicando diferentes medidas de seguridad para asegurar
una adecuada operacin y continuidad del negocio.
La informacin es un activo que, como otros activos comerciales importantes, es esencial
para el negocio de una organizacin y en consecuencia necesita ser protegido
adecuadamente. (Carlos Andrs Gil, Jonathan Martnez, Julieth Veloza & Ray Alejandro
Mora, 2008)
1.1.2 SEGURIDAD DE INFORMACIN
Irwin Valera Romero afirma que la
Seguridad de los Sistemas de Informacin consiste en la proteccin de los sistemas de
informacin respecto al acceso no autorizados o modificacin de la informacin en el
almacenamiento, proceso y trnsito y contra la denegacin de servicio para los usuarios
autorizados, incluyendo aquellas medidas necesarias para detectar, documentar y
contrarrestar dichas amenazas.
Cabe recalcar que no es posible una seguridad absoluta, es decir que siempre existen
riesgos independiente de las medidas que se tomen.
1
1.1.2.1 PILARES FUNDAMENTALES DE LA SEGURIDAD DE INFORMACIN

La seguridad de la informacin segn ISO 27001 se caracteriza por mantener y preservar
la integridad, confidencialidad y disponibilidad de la informacin.
Segn La Recomendacin X.800 del CCITT (Comit Consultivo Internacional Telegrfico
y Telefnico) conceptualiza estos trminos as:
a. Integridad
Propiedad que garantiza que los datos no han sido alterados o destruidos de una manera
no autorizada.
b. Confidencialidad
Propiedad de una informacin que no est disponible ni es divulgada a personas,
entidades o procesos no autorizados.
c. Disponibilidad
Propiedad de ser accesible y utilizable a peticin por una entidad autorizada.
1.1.2.2 IDENTIFICACIN DE RIESGOS EN LA SEGURIDAD DE LA INFORMACIN
La identificacin de riesgos segn Javier Areito se define como el proceso que se encarga
de identificar y cuantificar la probabilidad que se produzcan amenazas y de establecer un
nivel aceptable de riesgo para la organizacin
Al identificar dichos riesgos, se producen diferentes incidentes no deseados para la
organizacin, los mismos que se presentan en la Figura 1-1.
FIGURA 1.1: Incidentes producidos en la identificacin de riesgos

Fuente: (Bertoln, 2008), Pg. 8
2
1.1.2.2.1 AMENAZAS PARA LA SEGURIDAD DE INFORMACIN

Una amenaza segn Lpez en su libro Seguridad Informtica, se entiende como la
presencia de uno o ms factores de diversa ndole (personas, mquinas o sucesos) que
de tener la oportunidad- atacarn al sistema producindole daos aprovechndose de
su nivel de vulnerabilidad. (Pg 13)
Clasificacin de la amenazas
Se pueden encontrar diferentes clasificacines, de acuerdo al cirterio de los auotres, para
este documento se ha tomado algunas de ellas y se las ha clasificado de tal maera que
se muetsra en la la Figura 1-2.
FIGURA 1.2: Clasificacin de las amenazas de la seguridad de informacin

Fuente: Realizada por Andrea Zura
1.1.2.2.2 VULNERABILIDADES EN LA SEGURIDAD DE LA INFORMACIN

Una vulnerabilidad no causa ningn dao por s misma, pero provocan debilidades que
pueden ser explotadas por una amenaza afectando algn activo de la entidad.
Es as que Bertoln, en su libro Seguridad de la informacin, describe a una vulnerabilidad
como
La potencialidad o posibilidad de ocurrencia de la materializacin de una amenaza sobre
dicho activo. Las vulnerabilidades asociadas a los activos, incluyen las debilidades en el
nivel fsico sobre la organizacin, los procedimientos, el personal, la gestin, la
administracin, los equipos, el software o la informacin. (2008). Pg. 23.
3
Clasificacin de las vulnerabilidades.

Se pueden encontrar diferentes clasificacines, de acuerdo al cirterio de los auotres, para
este documento se ha tomado algunas de ellas y se las ha clasificado de tal manera que
se muestra en la la Figura 1-3.
FIGURA 1.3: Clasificacin de las vulnerabilidades de la seguridad de informacin

1.1.2.2.3 ATAQUES PRODUCIDOS EN LA SEGURIDAD DE LA INFORMACIN

Un ataque es la explotacin de las vulnerabilidades encontradas en el diseo y
configuracin de un sistema dentro de una organizacin.
Clasificacin de los ataques.
Se pueden encontrar diferentes clasificacines, de acuerdo al criterio de los auotres, para
este documento se ha tomado algunas de ellas y se las ha clasificado de tal manera que
se muestra en la la Figura 1-4.
FIGURA 1.4: Clasificacin de los ataques producidos en la seguridad de informacin

1.2 DEFENSA EN PROFUNDIDAD

Este modelo de seguridad est compuesto por varias lneas de defensa para la proteccin
de uno de los activos ms importantes dentro de la empresa, como es la informacin,
modelo que viene desde entornos blicos en los que las estratgicas militares tenan
como objetivo hacer que el atacante pierda el esfuerzo inicial y en cada intento se
encuentre con una barrera ms por derribar. (Gadue, 2004).
Se observa en la Figura 1-5 la infraestructura de este modelo, en una serie de capas, en
las que los datos son el ltimo nivel al que el atacante podra acceder.
FIGURA 1.5: Capas del modelo defensa en seguridad

Fuente: Adaptado de (Montenegro).
5
Las capas que se muestran en el Figura 1-5, representa una barrera para el atacante en
su intento de llegar a su objetivo, los datos, de tal forma que si falla cualquiera de stas
haya defensas adicionales que reduzcan las amenazas y la posibilidad de llegar a su
objetivo.
1.2.1 POLTICAS, PROCEDIMIENTOS Y EDUCACIN
Es una capa dirigida a los usuarios del sistema dentro de la entidad, establece mtodos
para lograr concientizar a los usuarios sobre la responsabilidad y el cuidado que se debe
tener con los activos de informacin.
En el Manual de Normas y Polticas de Seguridad informtica de la Universidad de Oriente
UNIVO se conceptualiza a las polticas como:
Una forma de comunicacin con el personal, ya que las mismas constituyen un canal
formal de actuacin, en relacin con los recursos y servicios informticos de la
organizacin. Esta a su vez establece las reglas y procedimientos que regulan la forma
en que una organizacin previene, protege y maneja los riesgos de diferentes daos, sin
importar el origen de estos. (Pg. 8)
1.2.1.1 NORMA ISO/IEC 27002
La Serie ISO/IEC 27000 fue publicada en el ao 2000 y traducida al espaol en 2006;
es un conjunto de estndares no certificables que proporcionan un marco de gestin de
la Seguridad de Informacin, aplicable a cualquier tipo de organizacin, es dirigida a los
responsables de iniciar, implantar o mantener la seguridad de una organizacin.
Esta norma establece directrices y principios generales para iniciar, implementar,
mantener y mejorar la gestin de la seguridad de la informacin en una organizacin. Los
objetivos indicados en esta norma brindan una gua general sobre las metas aceptadas
comnmente para la gestin de la seguridad de la informacin. (NTE INEN-ISO/IEC
27002)
1.2.1.1.1 ESTRUCTURA DE LA NORMA
Esta norma contiene 11 secciones sobre controles de la seguridad que en conjunto tienen
un total de 39 categoras principales de la seguridad y una seccin de introduccin a una
evaluacin y el tratamiento del riesgo (NTE INEN-ISO/IEC 27002).
1.2.1.1.2 CLUSULAS
Cada clusula contiene una cantidad de categoras principales de la seguridad. Estas 11
clusulas (acompaadas por la cantidad de categoras principales de la seguridad incluida
en cada numeral) son: (NTE INEN-ISO/IEC 27002).
Polticas de seguridad.
Aspectos organizativos de la seguridad de la informacin
Gestin de activos.
Seguridad ligada a los recursos humanos.
Seguridad fsica y del entorno
Gestin de comunicaciones y operaciones.
Control de accesos.
Adquisicin, desarrollo y mantenimiento de los sistemas de informacin.
Gestin de incidentes en la seguridad de la informacin.
Gestin de la continuidad del negocio.
Cumplimiento.
De estos once dominios se derivan 39 objetivos de control que son los resultados que se
esperan alcanzar mediante la implementacin de los controles y 133 controles que son
las prcticas, procedimientos o mecanismos que reducen el nivel de riesgo.
a. Polticas De Seguridad
Tiene como objetivo dirigir y dar soporte a la gestin de la seguridad de la informacin;
as como tambin ayudar a proyectar las metas de seguridad dentro de la organizacin.
La poltica de seguridad debe ser redactada, documentada, aprobada y concientizada de
tal manera que sea clara y comprensible para los usuarios.
ste posee un objetivo de control y dos controles, los que se muestran a continuacin en
la Figura 1-6:
FIGURA 1.6: Esquema del 1er dominio de la Norma ISO/IEC 27002:2009

Fuente: Adaptada de NTE INEN ISO/IEC 27002
b. Aspectos organizativos de la seguridad de la informacin.

Su objetivo es gestionar la seguridad de la informacin dentro de la organizacin,
mediante el diseo de una estructura organizativa que defina las responsabilidades que
en materia de seguridad tiene cada usuario o rea de trabajo relacionada con los sistemas
de informacin de cualquier forma.
ste posee dos objetivos de control y 11 controles, los que se muestran a continuacin
en la Figura 1-7:
FIGURA 1.7: Esquema del 2do dominio de la Norma ISO/IEC 27002:2009

8
c. Gestin de activos.
El objetivo es mantener una proteccin adecuada sobre los activos de la organizacin,
definiendo una clasificacin de los activos relacionados con los sistemas de informacin,
manteniendo un inventario actualizado que registre estos datos, y proporcionando a cada
activo el nivel de proteccin adecuado a su criticidad en la organizacin.
ste posee dos objetivos de control y 5 controles, los que se muestran a continuacin en
la Figura 1-8:
FIGURA 1.8: Esquema de 3er dominio de la Norma ISO/IEC 27002:2009

d. Seguridad ligada a los recursos humanos.

Tiene como objetivo administrar los recursos humanos de manera efectiva, mediante la
evaluacin y asignacin de las responsabilidades de seguridad de los empleados,
logrando con ello concientizarlos de los riesgos de errores humanos, robos, fraudes o mal
uso de las instalaciones de los servicios.
ste posee tres objetivos de control y 9 controles, los que se muestran en la a continuacin
en la Figura 1-9:
FIGURA 1.9: Esquema del 4to dominio de la Norma ISO/IEC 27002

9
e. Seguridad Fsica y del Entorno

Tiene como objetivo evitar accesos no autorizados, daos e interferencias contra los
locales y la informacin de la organizacin, riesgos o robos de los recursos; mediante la
organizacin adecuada de las reas de trabajo y de los activos en funcin de su criticidad.
ste posee dos objetivos de control y 13 controles, los que se muestran a continuacin
en la Figura 1-10:
FIGURA 1.10: Esquema del 5to dominio de la Norma ISO/IEC 27002:2009

f. Seguridad en las telecomunicaciones.

Su finalidad es mantener la integridad y disponibilidad de los servicios de informacin y
telecomunicacin, salvaguardando la informacin en las redes y protegiendo su
infraestructura de apoyo.
ste posee diez objetivos de control y 32 controles, los que se muestran a continuacin
en la Figura 1-11:
10
FIGURA 1.11: Esquema del 6to dominio de la Norma ISO/IEC 27002:2009

11
g. Control de accesos.
Su objetivo es controlar los accesos a la informacin evitando accesos no autorizados a los activos de la organizacin y protegiendo los servicios
de red
ste posee siete objetivos de control y 25 controles, los que se muestran a continuacin en la Figura 1-12 y Figura 1-13 :
FIGURA 1.12: Esquema de la primera parte del 7mo dominio de la Norma ISO/IEC 27002:2009
12
FIGURA 1.13: Esquema de la segunda parte del 7mo dominio de la Norma ISO/IEC 27002:2009
13
h. Adquisicin, desarrollo y mantenimiento de los sistemas de informacin.

Su principal objetivo es la administracin de la seguridad en el desarrollo, mantenimiento y operacin exitosa del sistema de informacin, evitando
prdidas, modificaciones o mal uso de los datos de usuario en las aplicaciones.
ste posee seis objetivos de control y 16 controles, los que se muestran a continuacin en la Figura 1-14:
FIGURA 1.14: Esquema del 8vo dominio de la Norma ISO/IEC 27002:2009

14
i. Gestin de incidentes en la seguridad de la informacin.

Tiene como objetivo comunicar los eventos en la seguridad de informacin, de manera
oportuna, efectiva y ordenada, estableciendo responsabilidades y procedimientos de
gestin.
En caso de haberse encontrado una accin inapropiada de una persona o
grupo dentro de la organizacin, se debe recolectar la evidencia, la misma que ser

retenida y presentada para tomar acciones legales.
ste posee dos objetivos de control y 5 controles, los que se muestran a continuacin en
la Figura 1-15:
FIGURA 1.15: Esquema del 9no dominio de la Norma ISO/IEC 27002:2009

j. Aspectos de seguridad de la informacin en la gestin de la continuidad del negocio.

Su principal finalidad es reaccionar frente a las interrupciones operacionales
de
actividades del negocio, protegiendo sus procesos crticos frente a grandes fallas y
desastres naturales.
15
ste posee un objetivo de control y 5 controles, los que se muestran a continuacin en la

Figura 1-16:
FIGURA 1.16: Esquema del 10mo dominio de la Norma ISO/IEC 27002:2009

k. Cumplimiento.
Su finalidad es evitar el incumplimiento de cualquier ley, estatuto, regulacin y de
cualquier requisito de seguridad, mediante el uso de asesores legales, los mismos que
aseguraran la conformidad legal de la organizacin, y garantizarn la alineacin de los
sistemas con poltica de seguridad de la organizacin.
16
ste posee tres objetivos de control y 10 controles, los que se muestran a continuacin
en la Figura 1-17:
FIGURA 1.17: Esquema del 11avo dominio de la Norma ISO/IEC 27002:2009

1.3 SEGURIDAD FSICA

Esta capa prcticamente incorpora a las capas superiores del modelo defensa en
profundidad, ya que de nada sirve contar con las mejores defensas en el rea de red
interna y perimetral, o los mejores antivirus para los host de la organizacin, si el cuarto
de equipos tiene las puertas abiertas para todos aquellos que deseen entrar, sean estas
personas autorizadas o no.
17
1.3.1 PRINCIPIOS DE PROTECCIN EN LA SEGURIDAD FSICA

Segn el artculo Minute Security Advisor - Basic Physical Security, publicado en mayo de
2002, hay tres principios simples a seguir: Control de acceso, restriccin del acceso fsico
y proteger el cableado estructurado.
1.3.1.1 CONTROL DE ACCESO
La mejor proteccin que puede tener una entidad es llevar un control estricto en cuanto a
la autenticacin del personal que ingresa a los cuartos de equipos, ya sea usando
biomtricos, libros de seguridad, entre otros; evitando de esta manera que se produzcan
ataques de denegacin de servicios, de modificacin de informacin.
1.3.1.2 RESTRINGIR EL ACCESO FSICO
Proteger los host, no solo del acceso hacia el lugar en donde se encuentran, sino tambin
protegerlos en caso de que accedan a ellos, de manera tal que hay que mantenerlos
seguros, ya sea bloquendolos, o con un candado de seguridad para las porttiles,
utilizando algn sistema de cifrado de archivos para evitar el robo de contraseas e
informacin.
1.3.1.3 PROTEGER EL CABLEADO ESTRUCTURADO
El cableado estructurado de red resulta uno de los puntos ms vulnerables, ya que si se
encuentra visible, cualquier persona puede cortarlo, causando as la detencin del trnsito
de los datos, si no cumple con todas las normas, con el tiempo puede causar serios
problemas en la transmisin de informacin.
1.4 RED PERIMETRAL
La seguridad perimetral en una red es la seguridad ms importante para detectar y
detener accesos no autorizados, salida de datos desde el interior y ataques desde el
exterior. El permetro est formado por dispositivos que se encuentran en la frontera de
nuestra red, los mismos que interactan con el exterior y con otras redes.
18
En la Tabla 1- 1 se puede observar las claras diferencias entre una red perimetral
insegura y una segura.
TABLA 1.1: Comparacin entre una red perimetral segura vs una red perimetral insegura
TIPO DE RED
Red Insegura
Red Segura
Tiene una red plana, sin tomar las

medidas necesarias de segmentacin.
Utilizan una base de datos para
realizar las publicaciones
de sus
servicios internos.
No
cuenta
con
dispositivos
Permite solo ciertos tipos de trfico a su

red, y rechaza conexiones a servicios
comprometidos
Proporcionar
un
nico
punto
de
interconexin con el exterior.
de Redirigir el trfico entrante a los sistemas
monitorizacin.
adecuados dentro de la intranet
No realiza filtrado de trfico entrante y

saliente.
Ocultar sistemas o servicios vulnerables

que no son fciles de proteger desde
Internet
No verifica malware o spam en el Auditar el trfico entre el exterior y el

correo electrnico.
interior
Los clientes acceden de forma remota

directamente a los servicios sin ningn
tipo de autenticacin.
Ocultar
informacin:
nombres
de
sistemas, topologa de la red, tipos de

dispositivos de red, cuentas de usuarios
internos.
Fuente: Elaborada por Andrea Zura
Nota. Se pueden clasificar a las redes como seguras o inseguras, de acuerdo a la

administracin que stas posean.
En una red perimetral se deben considerar los siguientes dispositivos:
1.4.1 FIREWALL
Segn Estrada (2011), un firewall es un dispositivo que, como la palabra lo indica hace
las veces de barrera, su misin es, de alguna forma bloquear el paso a cierto tipo de
informacin.(Pg. 187).
19
1.4.1.1 CARACTERSTICAS DE UN FIREWALL

Adems Estrada, en su libro Seguridad por niveles, menciona ciertas caractersticas de
los firewalls, las mismas que se mencionan a continuacin:
Tiene la capacidad de escuchar la totalidad del trfico que deseamos analizar.
Est en la capacidad de desarmar los encabezados de cada protocolo.
Tiene patrones estandarizados para comprender cada protocolo.
Cuenta con elementos de juicio, que permiten decidir que trfico pasa y qu no.
Posee una capacidad de enrutamiento, es decir puede trabajar como un Router. (Pg.
188-189)
1.4.1.2 FUNCIONAMIENTO DE UN FIREWALL
Los firewalls basan su funcionamiento en reglas, que verifican si cumplen o no con ellas
para luego tomar una decisin; es as que dichas reglas toman el nombre de polticas y
pueden ser: (Estrada, 2011)
Poltica restrictiva: Se deniega todo, excepto lo que se acepta explcitamente.
Poltica permisiva: Se acepta todo, excepto lo que se deniega explcitamente
1.4.2 SISTEMAS DE DETECCIN (IDS)
Un sistema de Deteccin de Intrusos es un programa utilizado para detectar acceso no
autorizado a una red, tcnica relativamente nueva que se agrega a los mtodos ya
conocidos de defensa, bsicamente para recolectar informacin utilizando plugins como
sensores que buscan patrones o firmas de ataques conocidos analizando el trfico de una
red. (Sarubbi, 2008).
20
1.4.2.1 CLASIFICACIN DE LOS IDS

En la Tabla 1-2, se hace un breve resumen de la clasificacin de los IDS/IPS.
TABLA 1.2: Clasificacin de los IDS
Clasificacin de los IDS
Segn el modo de Detectores de usos indebidos
anlisis
Detectores de anomalas
De red
Segn
el
tipo
de
sensores
De
mquina
Sistema Operativo
De aplicacin
Hardware
Segn el tiempo de Peridicos

ejecucin
Segn
el
De tiempo real
tipo
de Activos
respuesta
Pasivos
Centralizados
Segn la arquitectura
Distribuidos
Nota. Fuente: Salinas R. Revista del Instituto Tecnolgico de Informtica. Sistemas de

Deteccin de Intrusos.
1.4.3 ZONA DESMILITARIZADA (DMZ)
Dentro de una organizacin se cuenta con uno o varios servidores, dependiendo de las
funciones y las necesidades que tenga la misma, dichos servidores pueden contener
informacin muy confidencial, la cual debe ser protegida de usuarios externos a la entidad.
Para ello es necesario tener una zona DMZ o zona desmilitarizada que segn (Mathon,
2002)
Es una subred en la que estn disponibles servidores accesibles desde Internet,
tpicamente un relevo SMTP, un servidor WEB etc. Esta zona no debe incluir servidores
con datos de la red privada (controlador de dominio, servidor de archivos). Est
protegida al menos por un cortafuego que define las reglas de acceso a los servidores de
la DMZ para los usuarios de Internet.
21
En la figura 1-18, se puede observar una representacin grfica de una Zona

Desmilitarizada.
Red Local
Firewall
Enruteador
INTERNET
Zona
Desmilitarizada
FIGURA 1.18: Zona Desmilitarizada

Fuente: Adaptado de http://www.losdel4a.com/2013/02/la-frikada-de-losdel4a/ (2013)
1.4.3.1 CARACTERSTICAS DE UNA DMZ

Una DMZ, puede brindar ciertas caractersticas que ayudarn a mejorar la seguridad en
una red; las mismas que (Jorge A. Zrate Prez & Mario Farias Elinostales, 2006) las
describen as:
Filtrado de paquetes a cualquier zona
NAT, Mapeo Bidireccional
Colas de trfico y Prioridad
Salidas redundantes / balanceo de carga
Balanceo de carga a servicios
Filtrado de contenido (web-cache)
Monitoreo de trfico en interfaces va netflow
22
1.5 RED INTERNA

Existen varios riesgos dentro de la red local en una organizacin, especialmente con la
informacin que cruza a travs de ella.
1.5.1 RECOMENDACIONES PARA MANTENER SEGURA NUESTRA RED LOCAL
En caso de existir
varias redes en la organizacin, es recomendable realizar
evaluaciones individuales y minuciosas, en cada uno de los equipos de capa 2, y capa

3.
Realizar una copia de seguridad de la informacin importante para la institucin, en un
servidor de datos; el mismo que debera tener un dominio para su adecuada
administracin, contando con los permisos de usuarios que se admiten ha dicho
servidor.
Tener un firewall, ya sea fsico o lgico, el mismo que sea una barrera de separacin
entre la red interna y el internet, teniendo control sobre todos los accesos a internet por
parte de los usuarios de la red local, y el acceso hacia los datos ms sensibles de la
entidad.
Proteger todos los hosts de la red local, mediante un software antivirus actualizado.
Fomentar el uso adecuado de contraseas en los equipos de todos los usuarios de la
red interna.
Realizar el mantenimiento continuo y adecuado de los computadores, mantenindolas
actualizadas con el software del momento.
Adicionalmente a estas recomendaciones se debe tener una adecuada configuracin en
la red, para lo cual es necesario tener claro ciertos conceptos:
1.5.1.1 RED DE ACCESO LOCAL VIRTUAL (VLAN)
Reciben el nombre de LANs virtuales en el sentido de que la segmentacin de la red en
dominios de difusin se va a hacer independientemente de la topologa fsica que exista
por debajo. Con conmutadores VLAN podemos hacer que equipos que sin VLAN estaran
en el mismo dominio de difusin, pertenezcan a dominios de difusin separados. (Romero
Ternero, y otros, 2010)
23
En la Figura 1-19 se puede observar una red segmentada con diferentes LANs virtuales.
VLAN
VLAN
VLAN
FIGURA 1.19: Red de rea Local Virtual

Fuente: Adaptada de (Romero Ternero, y otros, 2010), Pg. 212.
Caractersticas de VLANs
De acuerdo a los autores del libro Redes Locales (Romero Ternero, y otros, 2010), stas
son las caractersticas de las VLANs.
Todos los dispositivos que conforman la red,
comparten el ancho de banda
proporcionado por el medio fsico.

Se crea una topologa virtual independiente de la topologa fsica.
Permiten agrupar a los usuarios en grupos de trabajo flexibles, sin importar su
ubicacin.
Funcionan en la capa de enlace de datos y capa de red del modelo OSI.
Para que se puedan comunicar entre las diferentes VLANs es necesario un equipo
de capa 3 para su enrutamiento. (Pg. 212-213).
Protocolos aplicados a las VLANs
Las VLANs al igual que cualquier otra tecnologa, debe seguir ciertas reglas que permiten
la transferencia de informacin de forma adecuada. Para su implementacin la IEEE ha
desarrollado el estndar 802.1Q en conjunto con el estndar 802.1P; adicionalmente
existen otros protocolos que son variantes del 802.1Q como el ISL (Inter Switch Link) y
el VTP (VLAN Trunk Protocol) de CISCO. (Guanoluisa, Semanate & Tello)
24
A continuacin se detallarn cada uno de esos protocolos:

a. IEEE 802.1Q
Este protocolo fue desarrollado por el grupo de trabajo 802 de IEEE, con la finalidad de
interconectar mltiples redes con enrutadores, compartiendo virtualmente el mismo medio
fsico.
Adicionalmente este estndar permite la comunicacin de VLANs de diferentes
fabricantes.
El estndar 802.1 Q establece un etiquetado de trama, el cual asigna de forma exclusiva
un identificador de VLAN en cada trama Ethernet entre la direccin origen y el campo de
longitud, el cual tiene 4 octetos, es decir, 32 bits. Dicho identificador es examinado por
cada switch antes de iniciar cualquier transmisin hacia otros equipos de red; una vez
iniciada la transmisin el switch elimina dicho identificador antes de que la trama se
transmita al host final. El formato de la trama fue publicado en el estndar IEEE 802.1Q
en el ao 1998. (Tanenbaum, 2003)
b.
ISL (Inter- Switch Link Protocol)
Es un protocolo propietario de Cisco, trabaja en topologas punto a punto, e interconecta

varios switches. Actualmente se encuentra en desuso.
ISL puede transportar cualquier protocolo de enlace, como por ejemplo PPP, Token Ring,
FDDI, ATM, Ethernet, entre otros, adems soporta PVST (Per VLAN Spanning Tree).
Cabe recalcar que una de las caractersticas de este protocolo es que no usa una VLAN
nativa.
FIGURA 1.21: Encapsulacin ISL

Fuente: Adaptada de http://tinyurl.com/paynrnd (Huertas, 2012)
25
c. VTP (Vlan Trunk Protocol)

Es un protocolo de enlace troncal de VLAN, propietario de CISCO, el cual fue creado para
resolver problemas operativos en la administracin de una red grande conmutada con
VLAN, ya que a medida que aumenta el nmero de switch la administracin en general
se vuelve un desafo.
La funcin principal de VTP es mantener la configuracin de VLAN de manera unificada
en todo un dominio administrativo de red comn, mediante la utilizacin de ramas de
enlace troncal para agregar, borrar y cambiar el nombre de las VLAN en un solo dominio.
(CCNA Exploration 4.0 Conmutacin y conexin inalmbrica)
Modos de operacin de VTP
El protocolo VTP opera en uno de tres modos posibles, los cuales se pueden observar
en la Figura 1-21. Por defecto el switch viene configurado en modo servidor.
FIGURA 1.21: Modos de trabajo VTP

Fuente: Adaptada de http://www.datuopinion.com/vtp (2011)
26
1.5.1.2 LISTAS DE ACCESO (ACL)

En el nivel de red es importante tener en cuenta las polticas de seguridad que se pueden
aplicar al trfico de red, utilizando listas de acceso para controlar el trfico que fluye a
travs de la red.
Una lista de acceso permite al conmutador impedir o autorizar cierto tipo de trfico,
adems permiten controlar que dispositivos de red pueden comunicarse en la red.
Una lista de acceso es una serie de sentencias de permiso o denegacin que se aplican
a direcciones o protocolos, que para ser aplicadas el switch necesita inspeccionar cada
uno de sus elementos y comprobar si coincide o no con cada una de las reglas definidas
en la ACL. (Ternero, 2004)
Tipos de ACL
Cisco define dos tipos de ACL:
a. Estndar
Son las listas de acceso ms simples, y permiten o deniegan el trfico desde las
direcciones IP origen. Especifican un par de direcciones direccin/wildcard1.
Se crean en el modo de configuracin global con el comando access-list seguido de un
nmero de 1 a 99. Adems se debe ubicar lo ms cerca posible del destino, debido a que
en sus especificaciones las direcciones de destino no se toman en cuenta.
Su configuracin se la resume en 3 simples pasos:
1. En modo de configuracin global se crea la ACL.
2. Se aplica la ACL en una interfaz, indicando la direccin del trfico al ser aplicado.
3. Verificar su funcionamiento.
Formato de una ACL estndar
Una lista de acceso estndar filtra los paquetes IP nicamente basndose en la direccin
de origen. As se muestra en la Figura 1-22.
Es una secuencia de 32 dgitos binarios que indican a un router que parte de una direccin de red debe
coincidir para llevar a cabo determinada accin, se utiliza al configurar sentencias de listas de control de
acceso (ACLs), al configurar el protocolo de enrutamiento OSPF. (Guiovanni, s.f.)
27
ACL ESTNDAR
Formato
Ejemplo
Access-list
N (0-99)
Condicin (permit/denny)
Direccin / Wildcard
access-list
15
permit
192.168.1.0 0.0.0.255
FIGURA 1.22: Formato de una ACL estndar.

Fuente: Adaptada de http://tinyurl.com/pjz5gzl (Ternero 2004)
b. Extendida
Una lista de acceso extendida filtra los paquetes IP basndose en varias condiciones,
sean estas por ejemplo el tipo de protocolo, las direcciones IP tanto de origen como de
destino, los puertos UDP y TCP origen y destino; entre otros.
Se crean en el modo de configuracin global con el comando access-list seguido de un
nmero de 100 a 199. Adems se debe ubicar lo ms cerca posible del origen del trfico
que se va a denegar; logrando as que el trfico no deseado se filtre sin necesidad de
atravesar la red.
Formato de una ACL extendida.
Una lista de acceso extendida filtra los paquetes considerando algunas condiciones. As
se muestra en la Figura 1-23.
ACL EXTENDIDA
Condicin
Puerto
deny
tcp
Direccin IP
Formato access-list N (100-199) (permit/denny) (TCP/UDP) Origen / Wildcard

Ejemplo
access-list
110
Direccin IP Operador Operadorando

Destino / Wildcard (eq-gt-eq-neq) Nmero de puerto
192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255
eq
80
FIGURA 1.23: Formato de una ACL extendida.

Fuente: Adaptada de http://tinyurl.com/pjz5gzl (Ternero 2004)
28
1.5.1.3 SECURE SHELL ( SSH)

El acceso a los routers o swtiches de forma remota, es uno de los mtodos ms utilizados
por los administradores de red, debido a su seguridad y facilidad; pero si no es configurado
de manera adecuada este podra ser el medio para que un agresor ingrese a la red y viole
la confidencialidad de la misma.
Existen algunos protocolos que le permiten al administrador ingresar de manera remota a
los equipos, por ejemplo Telnet, pero dicho protocolo es inseguro ya que enva el trfico
de la red sin ningn tipo de cifrado, por lo que cualquier individuo podra obtener la
contrasea de administracin e ingresar a las configuraciones de los equipos. Es por estas
razones que la recomendacin para el acceso remoto a los equipos es la de proteger las
lneas de administracin y despus configurar los dispositivos con un protocolo seguro
como SSH. (Smaldone, 2004).
Caractersticas de SSH
SSH es un protocolo diseado para reemplazar algunas herramientas de acceso remoto
inseguras, que proporciona ciertas caractersticas que se detalla en la Tabla 1-3:
TABLA 1.3: Caractersticas de SSH
SSH
Caracterstica
Descripcin
Se garantiza mediante el cifrado.
Confidencialidad
Se aplica un cifrado simtrico a los datos.

Se realiza un intercambio seguro de claves entre cliente y servidor.
Oculta ciertas caractersticas del trfico tal como la longitud real de los paquetes
Se realiza conjuntamente con el intercambio de claves mediante el

Autenticacin
algoritmo de Diffie-Hellmana.
La autenticidad de los datos se garantiza aadiendo a cada paquete un
cdigo MAC calculado con una clave secreta.
Comprime los datos intercambiados para reducir la longitud de los
Eficiencia
paquetes.
Negocia el algoritmo que se utilizar en cada sentido de la comunicacin.
Define mecanismos para intentar acortar el proceso de negociacin
29
Nota. SSH como protocolo seguro tienen 3 caractersticas principales, de las cuales dos
forman parte de los pilares fundamentales de la seguridad de informacin.
a
Diffie-Hellman: Algoritmo de cifrado de claves.
HOST
En esta capa, las amenazas se dan por software mal intencionado, vulnerabilidades que
son aprovechadas por los atacantes en contra del sistema, es por ello que se debe evaluar
cada host de la red, realizando escaneos constantes, actualizaciones de antivirus, as
como tambin un control y cambio permanente de contraseas; creando de esta manera
una barrera de seguridad para el atacante.
Se deben tomar ciertas consideraciones segn (Microsoft, 2004) para lograr un claro
objetivo de impedir el acceso al atacante hacia los host de la red, las mismas que se
detallan a continuacin:
La configuracin predeterminada de instalacin de los sistemas operativos, tales como
nombres de usuario y contraseas deben cambiarse de forma inmediata.
Conservar la confidencialidad de la informacin, es importante, por lo que se debe
cuidar el acceso y la autenticacin hacia los recursos de la red.
Desinstalar las aplicaciones innecesarias, optimizaran el recurso en cuanto a espacio
de disco, y permitir mayor rapidez de procesamiento.
La instalacin de softwares antivirus, firewall, IDS/IPS permitir asegurar los host.
APLICACIN
La inseguridad a nivel de aplicacin es realmente alta, debido a que en esta capa se dan
la mayora de los ciberataques, debido a que maneja mltiples protocolos como HTTP,
VoIP, SMTP, FTP, DNS, entre otros; protocolos que un atacante podra aprovechar para
obtener acceso a las aplicaciones que se estn ejecutando.
Existen algunas recomendaciones a considerar en esta capa, tales como la validacin del
cumplimiento de estndares, as como tambin el uso adecuado de los puertos utilizados
por los protocolos antes mencionados, el bloque de datos maliciosos, y de manera
especial el control de las operaciones de aplicaciones por parte del programador, que es
30
la persona encargada de proporcionar una proteccin adicional a sus aplicaciones.

(Microsoft, 2004)
DATOS
La informacin es el activo ms importante dentro de un organizacin, y a la vez es el
activo ms requerido por personas mal intencionadas, es por ello que el riesgo a este
nivel es alto. Por esta razn es indispensable tomar en cuenta ciertas medidas de
seguridad para cuidar este activo, tales como el cifrado de los datos, o la utilizacin de
firmas digitales, entre otras.
Mtodos que se deben estudiar detalladamente,
considerando las ventajas y desventajas que uno proporciona, para de sta manera saber
cul de ellos utilizar. (Microsoft, 2004)
En la Tabla 1-4, se detallar algunos de los mtodos ms utilizados. Cabe sealar que
este documento no se entrar en detalle de las caractersticas, prestaciones y
funcionamiento de los mismos.
TABLA 1.4: Mtodos utilizados en la seguridad de los Datos
Mtodos de seguridad en los Datos
Seguridad en el
comercio
Algoritmos de encriptacin
electrnico
Algoritmos
Algoritmos
Simtricos
Asimtricos
Seguridad en
la WEB
Algoritmo DES
EL GAMAL
Cyber cash
MD2
Algoritmo IDEA
DSA
PGP
MD4
Algoritmo RIJNDAEL
Modo
ECB
RSA
Modo
DiffieCBC
Hellman
Modo
CFB
Modo
OFB
Pohlig-Hellman
SET
MD5
SHA
SHA1
SSL
S-HTTP
HMAC
Nota. Los algoritmos de encriptacin se clasifican en simtricos y asimtricos, los mismos

que presentan ventajas y desventajas el uno del otro; entre las que se destaca que la gran
velocidad de cifrado y descifrado que presenta los simtricos frente a los asimtricos.
31
CAPTULO II
2 LEVANTAMIENTO DE INFORMACIN EN LA RED DE DATOS DEL GOBIERNO

AUTNOMO DESCENTRALIZADO MUNICIPAL DE OTAVALO
En este captulo se describir la situacin actual de la red de datos del GAD Municipal de
Otavalo tanto de la red fsica como lgica y se determinar las vulnerabilidades y
amenazas a las que est expuesta; con la ayuda del Manual de la Metodologa Abierta
de Testeo de Seguridad (OSSTMM 3.0).
2.1 DESARROLLO DE LA METODOLOGA DE LA INVESTIGACIN
Segn (Hernndez Sampieri, Fernndez Collado, & Baptista Lucio, Mxico) desarrollar
una metodologa de investigacin es afinar y estructurar ms formalmente la idea de
investigacin, desarrollando tres elementos: objetivos de investigacin, preguntas de
investigacin y justificacin de sta. Es as que en la Figura 2-1, se muestra el diagrama
del desarrollo de la metodologa de investigacin.
Planteamiento del problema de

investigacin
Planteamiento de objetivos
Establecimiento de la justificacin
Planteamiento del alcance
FIGURA 2.1: Pasos de la metodologa de investigacin

Fuente: Adaptada de http://slideplayer.es/slide/1540817/
32
2.1.1 PLANTEAMIENTO DEL PROBLEMA DE INVESTIGACIN

Una vez realizado el planteamiento de la idea principal de la investigacin, el siguiente
paso ser plantear el problema de investigacin, el cual es una estructuracin de esta
idea. Hay que tomar en cuenta que la base del desarrollo de dicho proyecto tiene su base
en este planteamiento. Es recomendable que la formulacin del planteamiento del
problema se la debe realizar en forma de pregunta, as:
Est la red de datos del GAD Municipal de Otavalo expuesta a ataques internos y
externos, debido a las vulnerabilidades de diseo, implementacin, configuracin y
administracin?
Una vez formulada la pregunta para el planteamiento del problema, es recomendable
realizar un rbol de causas y efectos, herramienta que permite identificar y representar de
manera grfica las repercusiones del problema:
FIGURA 2.2: rbol de causas y efectos

En la figura 2-2 se muestra grficamente el problema, que se lo ha denominado RED

CON VULNERABILIDAD ALTA; ubicando sobre el los efectos directos; despus se
colocarn un segundo y/o ms niveles de efectos derivados del primer nivel, todos unidos
por flechas.
33
En base a la pregunta planteada y al rbol de causas y efectos se procede a plantear el

problema:
En la actualidad las instituciones pblicas tienden a proporcionar distintos servicios de
telecomunicaciones en beneficio de la poblacin. El GAD Municipal de Otavalo no es la
excepcin, ya que posee una red de datos distribuida en red interna, enlaces inalmbricos
y acceso a las TICs tanto en el sector urbano como en el rural. Para lograr dicho objetivo,
en los ltimos aos han mejorado su infraestructura.
Ao tras ao se tiene un incremento en los usuarios de la red del GAD Municipal de
Otavalo, lo que trae como consecuencia dificultad en la administracin de la red ya que
no se ha tomado las consideraciones de segmentacin en la misma, causando cada en
la enlaces. Pero el aumento de los usuarios no solo ocasiona problemas de
administracin, sino tambin problemas en la seguridad de la informacin, a pesar de
que este tema ha sido tomado en cuenta y que no se ha presentado ningn tipo de
amenaza o ataque activo, se ha tomado como un mecanismo de seguridad, la adquisicin
de un Firewalls Sophos UTM, el cual se ha configurado con mnimas polticas de
seguridad basadas en la restriccin de pginas web para la intranet, polticas que no son
suficientes, para prevenir ataques de acceso, de modificacin, as como tambin ataques
de denegacin de servicios, entre otros; haciendo que la red sea aun vulnerable tanto
externa como internamente.
Debido a estos inconvenientes, ser necesario implementar mecanismos que permitan
contrarrestar estas vulnerabilidades, tomando en cuenta que el nivel de seguridad no solo
se debe considerar de forma interna sino fuera de ella, por lo que se debe segmentar la
red aplicando controles de listas de acceso hacia las VLANs, implementar el modelo de
seguridad basado en la Defensa en Profundidad en los niveles de usuario, red interna
y red perimetral; y considerar nuevas polticas de seguridad que ayudar a prevenir
ataques, detectndolos a tiempo y dando una respuesta oportuna para evitar daos
posteriores.
2.1.2 PLANTEAMIENTO DE OBJETIVOS.
Una vez planteado el problema, hay que considerar el planteamiento de los objetivos, que
son parte esencial de la investigacin. Para ello se proceder a realizar un rbol de
objetivos, el mismo que se realiza consecuentemente del rbol de causas y efectos, ya
que si los efectos son importantes, stos merecen una solucin.
34
FIGURA 2.3: rbol de Objetivos

En la figura 2-3 se muestra grficamente la solucin esperada al nuestro problema, la

mismas que se ha denominado RED CON VULNERABILIDAD BAJA; se expresa de
manera contraria al rbol de causas y efectos.
Con el planteamiento del problema y con la ayuda del rbol de objetivos se pueden
redactar los objetivos de la investigacin de ste proyecto, as:
2.1.2.1 OBJETIVO GENERAL
Realizar el diseo e implementacin del modelo de seguridad Defensa en Profundidad
en la red de datos del GAD Municipal de Otavalo, aplicando nuevas polticas de seguridad
en base a la norma ISO/IEC 27002, de manera que ataques externos e internos puedan
ser detectados y evitados oportunamente.
35
2.1.2.2 OBJETIVOS ESPECFICOS

Revisar la norma internacional ISO/IEC 27002, la misma que servir de base para el
diseo e implementacin de este proyecto.
Realizar el levantamiento de informacin de la situacin actual de la red lgica y fsica
del GAD Municipal de Otavalo.
Disear el modelo de seguridad Defensa en Profundidad en los niveles de acceso
de usuarios, red interna y red perimetral, mediante la proteccin multicapa que ste
propone, con la finalidad de que los ataques informticos sean bloqueados.
Implementar el modelo de seguridad Defensa de Profundidad, en el nivel perimetral
con el diseo de un sistema de prevencin de intrusos SURICATA bajo plataforma
Linux, la reubicacin de los servidores en una DMZ y la configuracin de polticas en
el firewall; en el nivel de red con el adecuado diseo de segmentacin con polticas
de acceso a las VLANs, y el nivel de acceso de usuarios con propuestas de polticas
de seguridad, mediante la norma internacional ISO/IEC 27002 con el fin de que la
confidencialidad, integridad y disponibilidad de la informacin sean preservadas.
Efectuar pruebas de simulacin de ataques en base a los objetivos de hacking tico,
evaluando y verificando la seguridad fsica y lgica de la red.
Realizar un presupuesto referencial de la implementacin del sistema de seguridad
defensa en profundidad para la red de datos del GAD Municipal de Otavalo.
2.1.3 ESTABLECIMIENTO DE LA JUSTIFICACIN
Para justificar la elaboracin de este proyecto, se debe sealar las razones prcticas y los
elementos especficos que se van a llevar a cabo durante el desarrollo del proyecto; en
base a esto se detalla a continuacin dicha justificacin:
Actualmente en nuestro pas existe un creciente avance tecnolgico, y con ello crecientes
formas de atacar las redes de datos, valindose de las debilidades y vulnerabilidades que
se encuentran en ellas, aprovechndose as de un activo importante como lo es la
informacin.
El GAD Municipal de Otavalo cuenta con una red de datos muy extensa, por la que cruza
la informacin utilizada en diferentes softwares aplicativos, los mismos que son usados
36
para brindar servicios a la comunidad; si esta informacin sufriera algn tipo de falla o
dao se tendra una perdida, no solo de informacin sino tambin una prdida econmica.
La implementacin de un sistema de seguridad basada en multicapas representa una
defensa para el atacante en su objetivo de acceder a los datos, de tal forma que si falla
alguno de los controles en una capa haya defensas adicionales que reduzcan la amenaza.
Es por ello que en este proyecto se profundizar en ciertas capas como lo son la red
perimetral, la red interna y finalmente el nivel de usuario.
La proteccin de la red perimetral es el aspecto ms importante para detener los ataques
externos. El GAD Municipal de Otavalo cuenta con un Firewall Sophos UTM, el cual est
destinado a proteger cada punto de acceso a la red, pero es necesario clasificar el tipo
de trfico que se permitir, y que tipo de trfico ser bloqueado; adems una Zona
Desmilitarizada ser importante ya que mantendr aisladas las redes LAN de las WAN,
de esta forma si los servicios son atacados no pasarn hacia la red interna protegiendo
as la confidencialidad de la informacin; considerar la instalacin de un IDS/IPS permitir
detectar los ataques en caso de que se produzcan.
Los riesgos en las redes internas en una entidad estn relacionados con los datos
confidenciales que se transmiten a travs ellas, es as que el tener una adecuada
segmentacin y con ello la examinacin del trfico admisible a su red y el bloquear lo que
no sea necesario; as como el considerar el uso de SSH para las comunicaciones
remotas, y la aplicacin de listas de acceso debido a que no todos los usuarios tienen los
mismos privilegios de acceso a las redes reducir las vulnerabilidades en este nivel.
El aprendizaje de los usuarios es una parte importante en ste modelo de seguridad ya
que por lo general el desconocimiento de la importancia de llevar la informacin con
responsabilidad puede llevar consigo varios riesgos, es por eso que la creacin de un
Manual de polticas y procedimientos en base a la norma ISO/IEC 27002, garantizar la
integridad, disponibilidad y confidencialidad de la informacin que cursa por la red,
protegindola de posibles ataques externos e internos.
2.1.4 PLANTEAMIENTO DEL ALCANCE
Para determinar el alcance del proyecto se debe delimitar de manera adecuada el campo
de accin de la investigacin, considerando la informacin obtenida en el estudio de la
situacin actual. En base a ello tenemos:
37
El presente proyecto de titulacin consiste en la propuesta de polticas de seguridad en

base a los tres pilares fundamentales como son la integridad, disponibilidad y
confidencialidad de la informacin frente a las amenazas externas e internas a las que la
red puede estar expuesta continuamente.
El proyecto inicia con la revisin de los fundamentos tericos en el que se har una
investigacin de la norma ISO/IEC 27002, la funcionalidad y aplicabilidad del Modelo de
seguridad Defensa en Profundidad, se resaltar la importancia de instalar un IDS/IPS,
as como la reorganizacin de los servidores en una DMZ, sin dejar de analizar los
fundamentos necesarios que nos permitirn realizar la segmentacin de la red mediante
VLANs con polticas de acceso a las mismas.
Se realizar despus el levantamiento de informacin de la situacin actual de la red de
datos del GAD Municipal de Otavalo, tanto de la red fsica como lgica y se determinar
las vulnerabilidades y amenazas a las que est expuesta. En base a estos aspectos se
establecer los requerimientos de seguridad, lo que permitir disear un esquema que se
adapte a las necesidades de dicha entidad.
Con la informacin obtenida en el levantamiento de informacin, a nivel de red interna se
realizar el diseo de segmentacin previamente establecido, las configuraciones de
VLANs y listas de acceso a las mismas; en el nivel de Red Perimetral se aplicarn en el
Firewall diferentes polticas de seguridad tanto para la red interna como externa; as
tambin se considerar una Zona Desmilitarizada para los servidores, manteniendo as
aisladas las redes LAN de las WAN, de esta forma si los servicios son atacados no
pasarn hacia la red interna protegiendo de esta forma la informacin, de manera tal que
la entidad no corra el riesgo de comprometer la seguridad de su informacin; adems se
instalar un sistema de prevencin y deteccin de intrusos SURICATA bajo software
libre; el mismo que puede alcanzar grandes velocidades debido a que soporta
procesamiento Multi-Hilos; adems debido a que se puede reconocer automticamente
los protocolos, con un solo comando este IDS/IPS puede eliminar el MalWare lo que
permitir el bloqueo de ataques externos e internos; en el nivel de acceso de usuarios se
realizar un Manual de polticas y procedimientos de seguridad, el mismo que ser
socializado conjuntamente con el administrador de la red hacia los usuarios de las
polticas que se establecieron durante el desarrollo de este proyecto.
38
Una vez terminado el diseo y la implementacin del sistema se realizarn pruebas de

simulacin de ataques siguiendo los objetivos de un hacking tico, los mismos que
permiten evaluar las vulnerabilidades mediante la identificacin de debilidades
provocadas por una mala configuracin de las aplicaciones, analizar y categorizar dichas
debilidades explotables, proveer recomendaciones en base a las propiedades de la
organizacin, eliminar las vulnerabilidades y poder reducir el riesgo.
una solucin licenciada y una solucin en software libre, as como tambin en el beneficio
en cuanto a prestaciones que tienen los equipos para soportar las configuraciones frente
a aquellos equipos que no.
Se efectuar las recomendaciones necesarias en los niveles de Seguridad Fsica, Host,
Aplicacin y Datos, adems se mencionar las conclusiones y recomendaciones que se
obtendrn a lo largo de la realizacin de este proyecto.
2.2 ESTUDIO DE LA METODOLOGA DE ANLISIS DE SEGURIDAD
Existen un sinnmero de metodologas para realizar el anlisis del nivel de seguridad de
informacin dentro de una organizacin. En este caso de estudio se eligi la metodologa
de OSSTMM, a lo largo de este captulo se detallar su funcionalidad, caractersticas y
ventajas.
2.2.1 OSSTMM
Segn (Alvarado) OSSTMM representa uno de los estndares profesionales ms
completos y utilizados en Auditoras de Seguridad para analizar la Seguridad de los
Sistemas. Describe minuciosamente, las fases que habra que realizar para la ejecucin
de la auditoria.
Existen varias metodologas para analizar los riesgos dentro de una organizacin, a
continuacin se detallan las razones por las que se eligi a OSSTMM para este trabajo:
Este manual contempla el cumplimiento de normas y mejores prcticas como la
ISO/IEC 27002; siendo as el complemento para la realizacin de este trabajo.
Expresa con un valor numrico el nivel de seguridad de una organizacin.
Provee guas para el auditor de sistemas, destinadas a la certificacin de la
organizacin en cuanto a los requisitos del ISECOM.
39
Permite realizar un test que es vlido en un futuro.

Permite obtener un test certificado de OSSTMM; el mismo que sirve como prueba de
un testeo de OSSTMM minucioso, adems brinda una apropiada visin general,
dndole al cliente una declaracin precisa sobre el testeo.
2.2.1.1 PROPSITO
Su principal propsito es proveer de una metodologa cientfica para examinar la
organizacin, realizando pruebas sobre la seguridad de adentro hacia afuera.
Un segundo propsito es proveer guas para el auditor de sistemas, destinadas a la
certificacin de la organizacin en cuanto a los requisitos del ISECOM.
El Documento provee una serie de descripciones especficas para el desarrollo de un test
de seguridad operacional sobre todos los canales incluyendo aspectos fsicos, humanos,
telecomunicaciones, medios inalmbricos, redes de datos y cualquier otra descripcin de
una mtrica real. (Alvarado).
2.2.1.2 MBITO
El mbito debe abarcar toda la seguridad operativa, y comprometerse en las diferentes
reas o canales como lo describe el manual, y se observa en la Tabla 2-1:
TABLA 2.1: mbito de OSSTMM
Seguridad Fsicaa
Seguridad de Espectroa
Seguridad de Comunicacionesa
Comunicaciones
Humanob
Fsicob
Telecomunicacionesb
Inalmbricasb
Comprende el
Compren
Comprende
elemento
de
humano de la
comunicacin.
Datosb
Comprende
comunicaciones
redes
todos
elemento
electrnicas, seales, y
telecomunicacin,
sistemas
tangible
las emanaciones que se
digitales o analgicas.
electrnicos
de
la
las
de
Comprende todas las
el
todas
Redes
producen en el (EM).
seguridad
de
los
y redes de
datos.
Nota: La tabla fue adaptada de (Herzog, OSSTMM 3.0)

a
Clases: Son definidas como reas de estudio, de investigacin o de operacin.
Canales: son los medios especficos de la interaccin con los activos.

40
2.2.1.3 FASES
OSSTMM est conformada por cuatro fases:
2.2.1.3.1 FASE DE REGLAMENTACIN
Cada viaje comienza con una direccin. En la fase de regulacin, el auditor comienza la
auditora con una comprensin de los requisitos de auditora, el alcance y las limitaciones
a la auditora de este alcance. A menudo, el tipo de prueba se determina mejor despus
de esta fase. (Herzog, OSSTMM 3.0)
2.2.1.3.2 FASE DE DEFINICIN
El centro del test seguridad bsica requiere conocer el alcance en relacin a las
interacciones con los objetivos transmitidos a las interacciones con los activos. En esta
fase se definirn los aspectos. (Herzog, OSSTMM 3.0)
2.2.1.3.3 FASE DE INFORMACIN
El auditor va descubriendo informacin, donde la intencin es descubrir la mala gestin
de la informacin. En esta fase se considera la verificacin de procesos, de configuracin,
la validacin de propiedad, una revisin de segregacin y de exposicin, una exploracin
de la Inteligencia Competitiva. (Alvarado)
2.2.1.3.4 FASE INTERACTIVA DE PRUEBAS DE CONTROLES
Estas se centran en la penetracin y perturbacin. Es por lo regular la fase final de las
pruebas de seguridad, y esta no puede realizarse mientras las otras no se hayan
realizado. En esta fase se considera la verificacin de la cuarentena, la auditoria de
privilegios, la validacin de sobrevivencia, revisin de alertas y registros. (Alvarado)
2.2.2 ANLISIS DE RIESGOS EN LA RED DE DATOS DEL GAD MUNICIPAL DE
OTAVALO SIGUIENDO LA METODOLOGA DE OSSTMM
OSSTMM 3.0 especifica una metodologa de anlisis de riesgos utilizando mtricas
operacionales de seguridad; las mismas que permiten la realizacin de una prueba de
seguridad con mediciones exactas sobre el estado de la seguridad. Es as que con la
41
ayuda de dichas mtricas se cran los RAV2, que no son ms que una descripcin
imparcial y objetiva de una superficie de ataque.
2.2.2.1 PROCESO
El proceso de un anlisis de seguridad, se concentra en evaluar los tems de la estructura
presentada en OSSTMM 3.0, basados en el clculo del RAV.
2.2.2.1.1 SEGURIDAD OPERACIONAL
El primer paso ser calcular el RAV en la seguridad operacional, la misma que se define
como la medida de la visibilidad, accesos y confianza dentro del alcance. (Toth & Sznek,
2014)
Visibilidad
Componentes de la presencia de seguridad que pueden ser remotamente identificados.
(Herzog, OSSTMM 2.1)
Por ejemplo para realizar una auditora, en la seccin Humana se emplea a 50 personas;
sin embargo, slo 38 de ellos son interactivos a partir del vector de prueba y canal. Esto
hara una visibilidad de 38. (Herzog, OSSTMM 3.0)
Accesos
El acceso es el punto de entrada al nivel de seguridad. Un punto de acceso no requiere
ser una barrera fsica. Esto puede incluir, pero no se limita a, una pgina web, una
ventana, una conexin de red, ondas de radio, o cualquier cosa cuya ubicacin soporte la
definicin de casi-pblico o donde un computador interacta con otro por medio de una
red. (Herzog, OSSTMM 2.1)
Por ejemplo en una auditora fsica, si se tiene un edificio con 2 puertas y 5 ventanas
abiertas se trata de un Acceso de 7. Si se sierran todas las puertas y ventanas, a
continuacin, se trata de una Acceso de 0 ya que estos no son los puntos donde se puede
obtener la entrada. (Herzog, OSSTMM 3.0)
El RAV es una medicin de la escala de la superficie de ataque, la cantidad de interacciones no

controladas con un objetivo, que se calcula por el equilibrio cuantitativo entre las operaciones, limitaciones y
controles. (Herzog, OSSTMM 3.0)
42
Confianza
La confianza es una ruta especializada en relacin con el nivel de seguridad. La confianza
incluye la clase y cantidad de autenticacin, no-repudio, control de acceso,
contabilizacin, confidencialidad e integridad entre dos o ms factores dentro del nivel de
seguridad. (Herzog, OSSTMM 2.1)
Por ejemplo, un proxy que redirige todo el trfico de entrada a un equipo que procesa la
peticin sin verificar el origen, representara una confianza. (Toth & Sznek, 2014).
2.2.2.1.2 CONTROLES
Para continuar en el clculo del RAV, es importante definir los controles; los mismos que
son mecanismos de seguridad establecidos para proporcionar una seguridad y proteccin
durante las interacciones.
Autenticacin
La autenticacin es la medida por la cual cada interaccin en el proceso est
privilegiada. (Toth & Sznek, 2014)
Por ejemplo en una auditora en la Seccin Fsica, si se requiere tanto una tarjeta de
identificacin especial y un Biomtrico para acceder, a continuacin, se puede aadir 2
para la Autenticacin. Sin embargo, si el acceso slo requiere uno o el otro, entonces slo
se cuenta 1 a la Autenticacin. (Herzog, OSSTMM 3.0)
Indemnizacin
Es un compromiso entre el propietario del activo y la parte que interacta. Puede ser un
aviso legal para el caso en que una de las partes no cumpla con las reglas prefijadas; o
puede ser un seguro contratado a terceros para el caso que se produzcan fallas o prdidas
de algn tipo. (Toth & Sznek, 2014)
Por ejemplo en un seguro de bienes, que tiene como alcance 200 computadoras, una
pliza de seguro contra l se aplica a todas los 200 y por lo tanto se una cuenta de 200.
43
Subyugacin
Define las condiciones en las cuales ocurrirn las interacciones. Esto quita libertad en la
forma de interaccin pero disminuye los riesgos. (Toth & Sznek, 2014)
Por ejemplo en una auditoria de seccin Humana, Toth & Sznek recalcan en un proceso
de no repudio donde la persona debe firmar un registro y proporcionar un nmero de
identificacin para recibir un documento se encuentra bajo controles de subyugacin
cuando el proveedor del documento registra el nmero de identificacin, en lugar de que
lo haga el receptor para eliminar el registro de un nmero falso con un nombre falso.
Continuidad
Permite mantener la interaccin con los activos aun en caso de fallas. (Toth & Sznek,
2014)
Por ejemplo en una auditora fsica, si se descubre que una puerta de entrada a una tienda
se bloquea de forma que no hay alternativa de entrada y los clientes no pueden entrar,
entonces este acceso no tiene continuidad. (Herzog, OSSTMM 3.0)
Resistencia
Es el mecanismo que brinda proteccin a los activos en caso que las interacciones sufran
alguna falla. (Toth & Sznek, 2014)
Por ejemplo en una auditora de Seccin Fsica el control de 2 guardias de acceso a una
puerta, si uno se retira y la puerta no se puede abrir por el guardia restante, entonces
tiene la capacidad de resistencia.
No repudio
Herzog en el Manual de OSSTMM 2.1 define el no repudio como aquel que provee
garanta que ninguna persona o sistema responsable de la interaccin pueda negar
envolvimiento en la misma.
Confidencialidad
(Herzog, OSSTMM 2.1) Seala que la confidencialidad es la certeza que nicamente los
sistemas o partes involucradas en la comunicacin de un proceso tengan acceso a la
informacin privilegiada del mismo.
Un ejemplo claro de confidencialidad es la encriptacin. (Herzog, OSSTMM 3.0)
44
Privacidad
(Herzog, OSSTMM 2.1) Seala que la privacidad implica que el proceso es conocido
nicamente por los sistemas o partes involucradas.
Un ejemplo claro puede ser simplemente tomando la interaccin en un cuarto cerrado
lejos de otras personas. (Herzog, OSSTMM 3.0)
Integridad
Permite identificar cuando un activo ha sido modificado por alguien ajeno a la interaccin
en curso. (Toth & Sznek, 2014)
En una auditoria en las redes de datos, el cifrado puede proporcionar el control de la
integridad sobre el cambio del archivo en la transmisin. (Herzog, OSSTMM 3.0)
Alarma
Es la notificacin apropiada y precisa de las actividades que violan o intentan violar
cualquiera de las dimensiones de la seguridad. En la mayora de violaciones de seguridad,
la alarma es el nico proceso que genera reaccin. (Herzog, OSSTMM 2.1)
En una auditoria en las redes de datos, se cuenta cada servidor y el servicio que brinda:
cuenta como una alarma al ser monitoreado por el sistema de deteccin de intrusos.
Limitaciones
Las limitaciones son aquellos inconvenientes que se presentan en los controles, con el
objetivo de separar los activos y las amenazas. (Toth & Sznek, 2014)
Vulnerabilidad
Es una falla que puede permitir el acceso no autorizado a un activo o puede denegar
dicho acceso a alguien que si este autorizado.
Debilidad
Es una falla que reduce o anula los efectos de los controles de interaccin.
45
Preocupacin
Es una falla que reduce los efectos de los controles de proceso.
Exposicin
Es una accin injustificada que permite dejar visible, ya sea de forma directa o indirecta,
a un activo.
Anomala
Es un elemento desconocido y no se encuentra dentro de las operaciones normales. Por
lo general es sntoma de algn fallo pero que todava no se comprende.
2.3.2 PROCESO DE CUATRO PUNTOS
El proceso de los cuatro puntos son las instrucciones especficas y los medios utilizados
para llegar a los informes; asegurando de esta manera una revisin integral. Los cuatro
puntos que intervienen en dicho proceso se muestran y explican en la Tabla 2-2.
TABLA 2.2: Proceso de 4 puntos
PROCESO DE 4 PUNTOS
Fases
Descripcin
Etapas
Revisin
Descripcin
del
entorno
Estudiar
Induccin
entorno
de
deteccin activa
Interaccin
directamente con visibilidad

el
objetivo
observar
y Verificacin
las accesos
influyen
en
los
evitar falsos positivos o falsos negativos
reside el objetivo.
Auditora
que
Obtener detalles del canal de anlisis para
donde Logstica
Interactuar
organizacional
requerimientos de seguridad
el
Verificacin
Conocer las normas, leyes, polticas y cultura
Averiguar si existen controles que detecten

intrusiones que puedan filtrar o bloquear
intentos de anlisis.
de Enumerar los objetivos visibles dentro del

alcance.
de Determinar los puntos de acceso, la forma de
interaccin y el propsito de su existencia.
46
respuestas
Verificacin
obtenidas
de
confianza
Verificacin
de
Revisin
que
provengan
del
Verificacin
exposicin
objetivo.
Intervencin
del
entorno
que
la
procedencia
de
los
datos,
informacin, sistemas, etc.

de
Revisar
los
controles
que
aseguran
separacin entre la informacin personal y

organizacional
de
Buscar informacin, disponible de manera

abierta, que permita conocer detalles del
objetivo.
inteligencia
de informacin que contengan datos de negocio
cuarentena
recursos
condiciones normales
de Verificar
Verificacin
los
los niveles de seguridad en los procesos
Exploracin
negocios
Modificar
la
Comprobar el mantenimiento y efectividad de
de Revisar
los
indicadores
de Revisar el funcionamiento de los procesos en
segregacin
Analizar
acceso
establecidos
propiedad
Investigacin
exista
proceso
la configuracin
Validacin
donde
de Verificar la efectividad de controles de
procesos
Verificacin
objetivos,
informacin sin necesidad de autenticacin.
controles
Verificacin
Verificar las relaciones de confianza entre los
Auditora
privilegios
la
existencia
de
fuentes
de
que debieran ser confidenciales

de Verificar la efectiva separacin de elementos
hostiles
de Analizar el correcto uso de los sistemas de
autenticacin y autorizacin.
el Continuidad de Analizar la efectividad de los controles de
necesita
y negocio
objetivo
resistencia y continuidad.
observar
Verificar si la relacin entre las actividades
cmo responde.
Alerta y revisin realizadas y los registros almacenados es

de logs
correcta.
Fuente: adaptada de (Herzog, OSSTMM 3.0)
47
2.3.2.1 DIAGRAMA DE FLUJO

Define una metodologa aplicable a cualquier tipo de test y sobre cualquier canal. (Toth
& Sznek, 2014). Dicho diagrama se muestra en la Figura 2-4.
FIGURA 2.4: Diagrama de Flujo OSSTMM

Fuente: Obtenida de (Toth & Sznek, 2014)
Siguiendo este diagrama es posible obtener los datos que se requieren como entrada
para determinar el estado de la seguridad en un momento determinado. Previamente es
necesario clasificar la informacin obtenida segn las indicaciones de las secciones
siguientes.
2.3.3 DETERMINACIN DEL RIESGO
En esta etapa se determinar el riesgo de la organizacin siguiendo las diferentes reas
y medios especificados en el alcance de la metodologa de OSSTMM 3.0.
48
2.3.3.1 SEGURIDAD FSICA

En el rea de la seguridad fsica interviene el medio humano y fsico, en los cuales se
tendrn que evaluar los diferentes mdulos de los 4 puntos de interaccin que involucran
al proceso de OSSTMM.
Humano
El objetivo de realizar las pruebas de seguridad en este canal es verificar la concienciacin
sobre la seguridad personal y la medicin de la responsabilidad con el estndar de
seguridad requerido, esto incluye las polticas de la empresa, regulaciones de la industria,
o la legislacin regional. (Herzog, OSSTMM 3.0). Los resultados se pueden observar en
el Anexo A.
Fsico
El objetivo de realizar las pruebas de seguridad en este canal es intentar penetrar las
barreas fsicas y lgicas de la organizacin. Los resultados se pueden observar en el
Anexo B.
2.3.3.2 SEGURIDAD DE COMUNICACIONES
En el rea de la seguridad de comunicaciones
interviene la seccin de
telecomunicaciones y la de redes de datos, en los cuales se tendrn que evaluar los

diferentes mdulos de los 4 puntos de interaccin que involucran al proceso de OSSTMM.
Telecomunicaciones
Comprende todas las redes de telecomunicacin, digital o analgico, donde la interaccin
se lleva a cabo a travs de los telfonos y las lneas telefnicas. (Herzog, OSSTMM 3.0).
Tiene como objetivo monitorear las telecomunicaciones; mediante pruebas de controles
a nivel de red para bloquear actividades no autorizadas y las respuestas de registro y
tiempo de respuesta, como los filtros de acceso basados en llamadas de telfono (CLID),
de direcciones de red de usuario (NUA), o grupo cerrado de usuarios (CUG) y mediante
pruebas de controles a nivel de aplicacin; verificando que estn en su lugar para bloquear
actividades no autorizadas y las respuestas de registro y tiempo de respuesta. Los
resultados de dicha evolucin se muestran en el Anexo C.
49
Redes de Datos
Comprende todos los sistemas y redes de datos electrnicos donde la interaccin se lleva
a cabo a travs de redes de datos cableados. (Herzog, OSSTMM 3.0).
Tiene como objetivo monitorear los datos de entrada y salida de la red de comunicaciones
a travs de web, mensajera instantnea, chat, foros de discusin basados en la Web, o
por e-mail, con la finalidad de verificar si consigo traen cdigos maliciosos, conductas
inapropiadas. Los resultados de la evolucin se muestran en el Anexo D.
2.3.4 RESULTADO
Una vez calculados los valores de Seguridad Operacional, controles y limitaciones se
puede realizar un clculo de los RAVs, para medir el nivel de seguridad cuantitativamente,
es as que en la pgina oficial de OSSTMM se encuentra una calculadora de RAVs, en la
misma que se ingresan los datos obtenidos en las pruebas de penetracin realizadas, y
sta automticamente nos devolver los valores mediante algunas frmulas.
En la figura 2-5 se puede observar la imagen de la calculadora de RAVs oficial de la
OSSTMM.
50
Attack Surface Security Metrics

OSSTMM version 3.0
Fill in the w hite number fields for OPSEC, Controls, and Limitations w ith the results
of the security test. Refer to OSSTMM 3 (w w w .osstmm.org) for more information.
OPSEC
Visibility
Access
Trust
OPSEC
Total (P orosity)
0,000000
CONTROLS
True Controls
Class A
Missing
0,000000
Authentication
Indemnification
Full Controls
Resilience
0,000000
Subjugation
Continuity
True Coverage A
Total Class A
0,00%
Missing
True Coverage B
N on-Repudiation
0,00%
Confidentiality
Class B
P rivacy
Total True Coverage
Integrity
0,00%
Alarm
Total Class B
All Controls Total
Whole Coverage
0,00%
0,00%
True Missing
Item Value
Total Value
Limitations
Vulnerabilities
0,000000
0,000000
0,000000
Weaknesses
0,000000
0,000000
LIMIT AT IONS
Concerns
0,000000
0,000000
Security
Exposures
0,000000
0,000000
0,00
Anomalies
0,000000
0,000000
Total # Limitations
0,0000
True Protection
100,00
Actual Security:
100 ravs
OSSTMM RAV - Creative Commons 3.0 Attribution-NonCommercial-NoDerivs 2011, ISECOM
FIGURA 2.5: Calculadora de RAVs oficial de OSSTMM

Fuente: Obtenida de http://www.isecom.org/research/ravs.h
51
CAPTULO III
3 DISEO E IMPLEMENTACIN DEL MODELO DE SEGURIDAD DEFENSA EN

PROFUNDIDAD
Este captulo constar con el planteamiento de las normas y polticas de seguridad
establecidas en la norma ISO/IEC 27002, el diseo de la segmentacin de la red, de igual
manera los diseos del IDS/IPS, firewalls de acuerdo a los resultados obtenidos en el
levantamiento de informacin previa, adicionalmente se realizaran pruebas de simulacin
siguiendo los objetivos de un hacking tico, los mismos que permiten evaluar las
vulnerabilidades mediante la identificacin de debilidades provocadas por una mala
configuracin de las aplicaciones, analizar y categorizar dichas debilidades explotables y
proveer recomendaciones en base a las propiedades de la organizacin, eliminar las
vulnerabilidades y poder reducir el riesgo.
3.1 DISEO DEL MODELO DE DEFENSA EN EL NIVEL DE USUARIO
La educacin al usuario mediante normas y procedimientos es la base de seguridad en el
primer nivel del modelo Defensa en Profundidad; es por ello que, en esta seccin se
desarrollar una gua prctica para el desarrollo de normas de seguridad en el GADMO,
para crear confianza en las actividades de dicha entidad. (NTE INEN-ISO/IEC 27002,
2009)
3.1.1 ELABORACIN DEL MANUAL DE POLTICAS Y PROCEDIMIENTOS DE
SEGURIDAD DE LA INFORMACIN EN BASE A LA NORMA ISO/IEC 27002
Gracias a los resultados obtenidos en el Anlisis de Riesgos realizados en el captulo
anterior con la Metodologa OSTMM, se podr determinar la accin de gestin adecuada
y las prioridades para la gestin de los riesgos de la seguridad de la informacin, as como
para implementar los controles seleccionados para la proteccin contra estos riesgos.
(NTE INEN-ISO/IEC 27002, 2009)
En base a dichos resultados se ha propuesto crear esta gua de seguridad; la misma que
tiene por objetivo mantener y mejorar la gestin de la seguridad de la informacin en la
organizacin, as como tambin tener una concientizacin en los funcionarios del GADMO
del buen uso de la informacin, y el cumplimiento de requisitos legales, estatutos,
52
reglamentos y contractuales que debe cumplir la institucin, sus socios comerciales, los
contratistas y los proveedores de servicio, as como su entorno socio-cultural. (NTE
INEN-ISO/IEC 27002, 2009).
Una vez que se han identificado los requisitos y los riesgos de la seguridad y se han
tomado las decisiones para el tratamiento de los riesgos, es conveniente seleccionar e
implementar los controles para garantizar la reduccin de los riesgos hasta un nivel
aceptable. (NTE INEN-ISO/IEC 27002, 2009)
Se debe recordar que ningn conjunto de controles puede lograr la seguridad completa y
que se deberan implementar acciones adicionales de gestin para monitorear, valorar y
mejorar la eficiencia y la eficacia de los controles de la seguridad para apoyar las metas
de la organizacin. (NTE INEN-ISO/IEC 27002, 2009)
53
Gobierno Autnomo Descentralizado Municipal del Cantn Otavalo

Manual de Normas y
Procedimientos de Seguridad de la
Informacin
Versin:
Revisado por:
1.0
Ing. Luis Lpez
Ing. Marcelo Guerra
Aprobado por:
Wilman Garcs. Director TICs
Fecha de aprobacin:
I.
Introduccin
i.
Seguridad de la informacin
La seguridad de la informacin es la proteccin de la informacin contra una gran variedad de

amenazas con el fin de asegurar la continuidad del negocio, minimizar el riesgo para el
negocio y maximizar el retorno de inversin y oportunidades del negocio.
a.
Alcance
Implementar un conjunto apropiado de controles, incluyendo polticas, procesos,

procedimientos, estructuras organizacionales y funciones de software y hardware.
b.
Importancia
La seguridad de la informacin es importante para mantener la competitividad, el flujo de caja,

la rentabilidad, el cumplimiento legal y la imagen comercial de los procesos, los sistemas y
redes que son activos importantes del negocio.
54
Gobierno Autnomo Descentralizado Municipal del

Cantn Otavalo
PG. 2/45
N Revisin : 1
Manual de Normas y Procedimientos

de Seguridad de la Informacin
ii. Marco Referencial

a.
Evaluacin de riesgos
Los resultados de una evaluacin de riesgos ayudarn a guiar y a determinar la accin de

gestin adecuada y las prioridades para la gestin de los riesgos de la seguridad de la
informacin, as como para implementar los controles seleccionados para la proteccin contra
estos riesgos.
b.
Gestin del riesgo
Decidir los criterios para determinar si se pueden aceptar o no los riesgos; en caso de
aceptarlos la eleccin adecuada de controles, los mismos que se deberan seleccionar e
implementar de modo que satisfaga los requisitos identificados por una evaluacin de riegos.
iii. Polticas de seguridad

Es una forma de comunicacin con el personal, ya que las mismas constituyen un canal formal
de actuacin, en relacin con los recursos y servicios informticos de la organizacin. Esta a
su vez establece las reglas y procedimientos que regulan la forma en que una organizacin
previene, protege y maneja los riesgos de diferentes daos, sin importar el origen de estos.
55

Cantn Otavalo
PG. 3/45
N Revisin : 1

II.
OBJETIVO
Establecer un proceso eficaz para la gestin de los incidentes de la seguridad de la

informacin, mediante polticas, objetivos y actividades plasmado en un Manual de Normas y
Procedimientos, mismo que permitir una formacin, educacin y concienciacin adecuada
de todos los usuarios de los activos informticos del Gobierno Autnomo Descentralizado del
Cantn Otavalo.
III.
RESPONSABILIDADES
Es responsabilidad del coordinador del departamento de TICs desarrollar, mantener y

mejorar la gestin de la seguridad de la informacin en la institucin; as como tambin
divulgar mediante medios de difusin las polticas y procedimientos a todos los funcionarios,
consiguiendo as una educacin y concienciacin de la responsabilidad de mantener la
integridad, disponibilidad y confidencialidad de la informacin.
IV.
V.
VIGENCIA
El presente documento como manual de normas y procedimientos entrar en vigencia una

vez aprobado por las autoridades pertinentes del GADMO. Dicho manual debe ser
monitoreado, revisado y mejorado, donde sea necesario, para asegurar que se cumplan los
objetivos de la seguridad y del negocio de la organizacin.
56

Cantn Otavalo
PG. 4/45
N Revisin : 1

V. MARCO NORMATIVO
El presente documento se realiz en base a la Norma NTE INEN-ISO/IEC 27002; la misma
que establece directrices y principios generales para iniciar, implementar, mantener y mejorar
la gestin de la seguridad de la informacin en una organizacin. Los objetivos indicados en
esta norma brindan una gua general sobre las metas aceptadas comnmente para la gestin
de la seguridad de la informacin.
Cabe recalcar que ningn conjunto de controles puede lograr la seguridad completa y que se
deberan implementar acciones adicionales de gestin para monitorear, valorar y mejorar la
eficiencia y la eficacia de los controles de la seguridad para apoyar las metas de la
organizacin.
VI. ESTRUCTURA
Este documento se encuentra estructurado en base a los siguientes dominios y controles que
se tomaron de referencia de la Norma NTE INEN-ISO/IEC 27002:2009.
1.
Poltica de la seguridad
1.1.
Poltica de la seguridad de la informacin.
1.1.1.
Documento de la poltica de la seguridad de la informacin.
1.1.2.
Revisin de la poltica de la seguridad de la informacin.
2.
Organizacin de la seguridad de la informacin.
2.1.
Organizacin interna
2.1.1.
Asignacin de responsabilidades para la seguridad de la informacin.
2.2.
Partes Externas
2.2.1.
Identificacin de los riesgos relacionados con las partes externas
57

Cantn Otavalo
PG. 5/45
N Revisin : 1

3.
Gestin de activos
3.1.
Responsabilidad por los activos
3.1.1.
Inventario de activos
4.
Seguridad de los recursos humanos
4.1.
Durante la vigencia del contrato laboral
4.1.1.
Educacin, formacin y concienciacin sobre la seguridad de la informacin.
4.2.
Terminacin o cambio de la contratacin laboral
4.2.1.
Devolucin de activos
5.
5.1.
reas seguras
5.1.1.
Permetro de la seguridad fsica
5.1.2.
Controles de acceso fsico
5.1.3.
Seguridad de oficinas, recintos e instalaciones
5.1.4.
Proteccin contra amenazas externas y ambientales.
5.2.
Seguridad de los equipos
5.2.1.
Ubicacin y proteccin de los equipos
5.2.2.
Servicios de suministro
5.2.3.
Seguridad del cableado
5.2.4.
Mantenimiento de los equipos
6.
Gestin de comunicaciones y operaciones
6.1.
Procedimientos operacionales y responsabilidades
6.1.1.
Documentacin de los procedimientos de operacin
6.2.
Proteccin contra cdigo malicioso y mviles
6.2.1.
Controles contra cdigos maliciosos
6.3.
Respaldo
6.3.1.
Respaldo de la informacin
7.
Control del acceso
7.1.
Gestin del acceso de usuario
58

Cantn Otavalo
PG. 6/45
N Revisin : 1

7.1.1.
Registro de Usuario
7.1.2.
Gestin de contraseas para usuarios
7.2.
Responsabilidades de los usuarios
7.2.1.
Uso de contraseas
8. Adquisicin, desarrollo y mantenimiento de sistemas de informacin
8.1.
Procesamiento correcto en las aplicaciones
8.1.1.
Control de procesamiento interno
8.2.
Controles criptogrficos
8.2.1.
Poltica sobre el uso de controles criptogrficos
8.2.2.
Gestin de claves
8.3.
Seguridad de los archivos del sistema
8.3.1.
Control del software operativo
8.4.
Gestin de la vulnerabilidad tcnica
8.4.1.
Control de las vulnerabilidades tcnicas
9. Gestin de los incidentes de la seguridad de la informacin
9.1.
Gestin de los incidentes y las mejoras en la seguridad de la informacin
9.1.1.
Responsabilidades y procedimientos.
10.
Gestin de la continuidad del negocio
10.1.
Aspectos de la seguridad de la informacin en la gestin de la continuidad del
negocio.
10.1.1.
Continuidad del negocio y evaluacin de riesgos
11.
Cumplimiento
11.1.
Cumplimiento de los requisitos legales
11.1.1.
Derechos de propiedad intelectual
11.1.2.
Proteccin de los registros de una organizacin
11.1.3.
Proteccin de datos y privacidad de la informacin personal
59

Cantn Otavalo
PG. 7/45
N Revisin : 1

VII.
TRMINOS Y DEFINICIONES
Para el propsito de este documento se aplican los siguientes trminos y definiciones:

Activo
Amenaza
Es un componente o una parte de un sistema global al que la organizacin

asigna un valor y, por tanto, que requiere proteccin.
Es un peligro posible que podra explotar una vulnerabilidad.
Es un asalto a la seguridad del sistema derivado de una amenaza
Ataque
inteligente; es decir, un acto inteligente y deliberado para eludir los servicios

de seguridad y violar la poltica de seguridad de un sistema
Autenticidad
Es algo vlido y utilizable.

Es el conjunto de datos referentes a diversos temas y categorizados de
Base de Datos
diferente manera, pero que de una u otra forma estn entrelazados entre si
y se encuentran almacenados en un mismo contenido.
Confiabilidad
Confidencialidad
Control
Es el grado de garantas en que las prcticas se han realizado tal y como

se tena planeados.
Es el requisito que intenta que la informacin privada o secreta no se revele
a individuos no autorizados.
Medios para gestionar el riesgo, incluyendo polticas, procedimientos,
prcticas o estructuras.
Controles
Transforma el texto plano a datos ilegibles, para quienes no poseen los
criptogrficos
mtodos ni permisos para restaurarlos.

Es un espacio fsico cuya funcin principal es alojar equipos informticos
Data Center
con adecuados sistemas de energa, aire acondicionado y seguridad e

informtica y sus reas de soporte.
60

Cantn Otavalo
PG. 8/45
N Revisin : 1

Es un requisito necesario para garantizar que el sistema trabaje
Disponibilidad
puntualmente, con prontitud y que se deniegue el servicio a ningn usuario

no autorizado.
Gusanos
Hardware
Son programas que realizan copias de s mismos, alojndolas en

diferentes ubicaciones del computador.
Son todos los componentes fsicos, es decir, todo lo que se puede ver y
tocar.
Es la Comisin Electrotcnica Internacional; la misma que participa en el
IEC
desarrollo de las Normas Internacionales por medio de comits tcnicos

establecidos por la organizacin respectiva, para atender campos
particulares de la actividad tcnica.
Integridad
Interceptacin
Garantiza que la informacin del sistema no haya sido alterada por

usuarios no autorizados, evitando la prdida de consistencia.
Se
refiere a detener algo en su camino; interrumpir una va de
comunicacin; o apoderarse de algo antes de que llegue a su destino.

Es la Organizacin Internacional para la Estandarizacin, que regula una
ISO
serie de normas para fabricacin, comercio y comunicacin, en todas las

ramas industriales.
Medios pticos
Son dispositivos de almacenamiento para grandes sistemas electrnicos

de archivo.
Proporciona proteccin contra la interrupcin por parte de una de las
No repudio
entidades implicadas en la comunicacin, de haber participado en toda o

parte de la comunicacin
Programas
Programas diseados para entrar en el sistema operativo del computador,
dainos
causando daos significativos sin su conocimiento.
Responsabilidad
Es el requisito que permite que pueda trazarse las acciones de una

entidad de forma nica.
61
PG. 9/45

Cantn Otavalo
N Revisin : 1

Seguridad de la
informacin
Software
Prevencin de la confidencialidad, integridad y disponibilidad de la

informacin, adems, otras propiedades tales como autenticidad,
responsabilidad, no-repudio y confiabilidad pueden estar involucradas.
Son todos los programas y/o aplicaciones que permiten realizar tareas
especficas; no existen fsicamente, es decir, no se pueden ver ni tocar.
Software
Es un programa que detecta, previene y toma medidas para eliminar
Antivirus
programas de software malintencionados, como virus y gusanos.

Es un dispositivo que proporciona energa de respaldo cuando se d un
UPS
corte de energa en el suministro de la red elctrica, por un cierto periodo

de tiempo, evitando prdida de informacin.
Usuario
Es aquella persona que utiliza los recursos del sistema de informacin y/o
comunicacin,
Son
Virus
pequeos
programas
diseados
para
propagarse
de
una
computadora a otra e interferir con el funcionamiento de las mismas. Estos

pueden propagarse a menudo a travs de documentos adjuntos en
mensajes de correo electrnico y en las descargas de internet.
62

Cantn Otavalo
PG. 10/45
N Revisin : 1

VIII. DESARROLLO DE LAS POLTICAS DE SEGURIDAD

Dominio
Destinatarios
Objetivos de
Poltica de la seguridad de la informacin
Equipo de
Control:
Control:
trabajo de la
Documento de la poltica de la seguridad de la
informacin
Coordinacin
de TICs
Art. 1. La Coordinacin de TICs elaborar un Manual de Polticas de Seguridad de la

Informacin, en el que se explique el cumplimiento de los requisitos legales y reglamentos,
as como tambin, los requisitos de educacin, formacin y concienciacin sobre seguridad y
las consecuencias de las violaciones de dichas polticas.
Art. 2. El Manual de Polticas de Seguridad de la Informacin se deber comunicar de manera
pertinente, accesible y compresible para a todos los usuarios de los activos del GADMO.
Dominio
Objetivos de
Poltica de la seguridad de la informacin
Destinatarios
Control:
Control:
Equipo de
trabajo de la
Revisin de la poltica de la seguridad de la

informacin
Coordinacin
de TICs
Art.3. La Coordinacin de TICs deber asumir la responsabilidad de la revisin peridica de

los lineamientos y del Manual de Polticas de Seguridad de la Informacin, para garantizar
que ste siga siendo adecuado, suficiente y eficaz.
Art.4. Se definirn procedimientos programados para la revisin del Manual de Polticas de
Seguridad de la Informacin, adems se tomar en cuenta cambios significativos que pudieran
afectar el entorno de la organizacin, incidentes reportados por los usuarios, recomendaciones
de las autoridades y tendencias relacionadas con amenazas y vulnerabilidades
63

Cantn Otavalo
PG. 11/45
N Revisin : 1

Dominio
Destinatarios
Objetivos de Control:
Organizacin interna
Equipo de
Control:
Asignacin de responsabilidades para la

seguridad de la informacin.
trabajo de la
Coordinacin
de TICs
Art. 5. La Coordinacin de TICs deber definir claramente las responsabilidades de

proteccin de activos individuales y para ejecutar procesos especficos de seguridad.
Art. 6. De ser necesario aquellos individuos responsables de la seguridad, pueden delegar las
labores a otros. Sin embargo siguen siendo responsables y deben asegurarse de la correcta
ejecucin de las labores delegadas.
Dominio
Destinatarios
Partes Externas
Todos los
Control:
Identificacin de los riesgos relacionados con las
usuarios
partes externas
Art. 7. En caso de existir la necesidad de permitir el acceso de una parte externa a los
servicios de procesamiento de informacin, o a la informacin de la organizacin, se deber
definir el tipo de acceso fsico y lgico que tendr a oficinas, gabinetes de archivos, bases de
datos y sistemas del GADMO.
Art. 8. Se determinarn diferentes medios de control utilizados para identificar, verificar y
confirmar la autenticidad de la persona u organizacin externa que se vaya involucrar de
manera directa con los activos del GADMO.
Art. 9. El acceso de las partes externas a la informacin del GADMO no se deber brindar
hasta haber implementado los controles apropiados y, cuando es viable, haber firmado un
contrato que defina los trminos y condiciones, requisitos legales y reglamentarios, y
obligaciones para la continuacin del acceso.
64

Cantn Otavalo
PG. 12/45
N Revisin : 1

Dominio
Gestin de Activos
Destinatarios
Objetivos de
Responsabilidad por los activos
Todos los
Control:
Control:
usuarios
Inventario de activos
Art. 10. Se deber tener claramente identificados todos los activos de la direccin ya sean
estos informacin, activos fsicos, activos de software, servicios y personas; documentando
toda la informacin necesaria de los mismo, tal como, el tipo de archivo, el formato, la
ubicacin, la informacin de soporte, la informacin sobre las licencias y el valor para el
negocio.
Dominio
Destinatarios
Objetivos de
Durante la vigencia del contrato laboral
Todos los
Control:
Control:
usuarios
Educacin, formacin y concienciacin sobre la
Art. 11. Se emitir informacin adecuado en concienciacin y actualizaciones regulares sobre

las polticas y los procedimientos del GADMO, considerando las funciones laborales en las
que se desempean.
Art. 12. En caso de necesitarlo, ser responsabilidad de cada usuario solicitar capacitacin
al personal de la Coordinacin de TICs capacitaciones en el manejo de paquetes informticos
utilizados en los equipos, con el propsito de evitar fallas que pongan en riesgo la seguridad
de la informacin.
Art. 13. No ser permitido en ningn momento la instalacin, desinstalacin de software en
los equipos informticos sin previa consulta al personal autorizado en Mantenimiento.
Art. 14. Ser responsabilidad de cada usuario, realizar respaldos de sus datos, acorde a la
importancia de los mismos.
Art. 15. Se presentar notificaciones inmediatas a la coordinacin de TICs en caso de
cualquier falla en los sistemas, o por la mala manipulacin de software o hardware de los
equipos.
65

Cantn Otavalo
PG. 13/45
N Revisin : 1

Dominio
Destinatarios
Objetivos de
Terminacin o cambio de la contratacin laboral
Todos los
Control:
usuarios
Control:
Art. 16.
Devolucin de activos
Una vez culminado el contrato de trabajo, o cuando existe cambios de
responsabilidades se deber continuar durante un tiempo determinado con los trminos y

condiciones laborales, as como tambin con las responsabilidades contenidas en cualquier
acuerdo de confidencialidad.
Art. 17. Todos los empleados, contratistas o usuarios de terceras partes debern devolver
todos los activos pertenecientes al GADMO que se encuentren en su poder al finalizar su
contratacin laboral, contrato o acuerdo.
Art. 18. Se deber formalizar el proceso de terminacin para iniciar la devolucin de los
documentos corporativos, equipos, dispositivos mviles, tarjetas de crdito, tarjetas de
acceso, software, manuales e informacin almacenada en medios electrnicos.
Art. 19. Si un empleado, contratista o usuario de terceras partes utiliza un equipo del GADMO
o utiliza su propio equipo, se deber seguir los procedimientos necesarios para garantizar que
toda la informacin se transfiera al GADMO y se elimine con seguridad de tal equipo.
Dominio
Destinatarios
Objetivos de
reas seguras
Equipo de
Control:
Control:
trabajo de la
Permetro de la seguridad fsica
Coordinacin
de TICs
Art. 20. Se deber definir claramente los permetros de la seguridad y la ubicacin de cada
lugar que contenga servicios de procesamiento de informacin y protegerlos con paredes
externas, puertas con proteccin adecuada contra el acceso no autorizado con medidas de
control tales como barras, alarmas, relojes, biomtricos, etc.
Art. 21. Se deber establecer un rea de recepcin con personal u otro medio para controlar
el acceso fsico a los sitios con acceso restringido.
66

Cantn Otavalo
PG. 14/45
N Revisin : 1

Dominio
Destinatarios
Objetivos de
reas seguras
Equipo de
trabajo de la
Control:
Control:
Controles de acceso fsico
Coordinacin de
TICs
Art. 22. El ingreso al Data Center del GADMO ser, nica y exclusivamente al personal de la
Coordinacin de TICs. ste ser registrado con fecha y hora de entrada y salida.
Art. 23. Al personal de servicio de mantenimiento y/o soporte de terceras partes se le deber
dar acceso restringido al Data Center; es decir ste ser autorizado previamente por el
Coordinador de TICs, y ser monitoreado por el mismo.
Dominio
Destinatarios
Objetivos de
reas seguras
Directores
Control:
GADMO
Control:
Seguridad de oficinas, recintos e instalaciones
Art. 24. No se deber tener indicaciones, o seales visibles que identifiquen la presencia de
actividades de procesamiento de informacin.
Art. 25.
Las listas telefnicas internas que indican las ubicaciones de los servicios de
procesamiento de informacin sensible no deberan estar a la vista y acceso al pblico.

Art. 26. Se deber redisear y/o reubicar las oficinas y recintos de procesamiento de
informacin, evitando el acceso al pblico a los mismos y considerando para ello los
reglamentos y las normas pertinentes de seguridad y salud.
Dominio
Destinatarios
Objetivos de
reas seguras
Equipo de
trabajo
Control:
Control:
Proteccin contra amenazas externas y ambientales.
Coordinacin
TICs
Art. 27. El Data Center deber contar con protecciones fsicas contra daos por incendio,
inundacin, terremoto, explosin, manifestaciones sociales y otras formas de desastre natural
o artificial.
67
PG. 15/45

Cantn Otavalo
N Revisin : 1

Dominio
Destinatarios
Objetivos de
Seguridad de los equipos
Equipo de
trabajo
Control:
Control:
Coordinacin
TICs
Art. 28. Se deber aplicar proteccin contra rayos a todas las edificaciones del GAMO y
adaptar filtros protectores a las fuentes de energa entrantes y a las lneas de comunicacin.
Dominio
Destinatarios
Objetivos de
Todos los
Control:
Control:
usuarios
Art. 29. Se deber inspeccionar y someter a diferentes pruebas
regularmente todos los
servicios de suministro, sean estos, electricidad, calefaccin/ ventilacin y aire acondicionado;

para garantizar su funcionamiento reduciendo cualquier riesgo debido a su mal
funcionamiento o falla.
Art 30. Se deber revisar con regularidad la disponibilidad del Sistema de alimentacin
ininterrumpida (SAI) y generadores elctricos para dar soporte al funcionamiento continuo de
equipos que soportan operaciones crticas para el negocio.
Art. 31. Se deber evitar consumir alimentos y/o ingerir lquidos mientras
se manipula
equipos de cmputo, debido a que esto puede ocasionar dao en el equipo.

Art. 32. El usuario deber tener cuidado de no pisar o maltratar los cables de conexiones tanto
elctricos como de red.
Dominio
Destinatarios
Objetivos de
Equipo de
Control:
Control:
trabajo
Seguridad del cableado
Coordinacin
TICs
Art. 33. El cableado de red deber estar protegido contra interceptacin no autorizada o dao,
utilizando conductos o evitando rutas a travs de reas pblicas.
68

Cantn Otavalo
PG. 16/45
N Revisin : 1

Art. 34. Con el fin de evitar interferencia se deber mantener separados los cables de energa
de los cables de comunicaciones.
Art. 35. Se deber etiquetar claramente los equipos y cables, adicionalmente la elaboracin
de un plano de cableado ayudar a minimizar los errores en el manejo.
Dominio
Destinatarios
Todos los
Control:
Mantenimiento de los equipos
Usuarios
Art. 36. Todas las estaciones de trabajo que requieran mantenimiento por problemas en el
hardware y/o software debern ser reparados nicamente por los miembros del rea de
mantenimiento; los equipos que presenten fallas no deben ser manipulados por el usuario; de
ser as sern retirados del mismo.
Art 37. El personal del rea de mantenimiento deber llevar un registro de todas las fallas
reales o sospechosas y de todo el mantenimiento preventivo y correctivo.
Art. 38. Se deber implementar un calendario de mantenimiento preventivo, considerando la
informacin de garantas, licencias y fechas de adquisicin.
Dominio
Destinatarios
Objetivos de
Procedimientos operacionales y responsabilidades
Todos los
Control:
Control:
Usuarios
Documentacin de los procedimientos de operacin
Art. 39. Se debern elaborar manuales de procesamiento, los mismos que deben estar
documentados y disponibles para todos los usuarios que los necesiten.
Art. 40. Los procedimientos de operacin debern especificar instrucciones para la ejecucin
detallada de trabajo, incluyendo:
Procesamiento y manejo de informacin
Copias de respaldo
Requisitos de programacin
Instrucciones para el manejo de errores.
Contactos de soporte en caso de dificultades tcnicas
Procedimiento para el reinicio y recuperacin del sistema.
69

Cantn Otavalo
PG. 17/45
N Revisin : 1

Dominio
Destinatarios
Objetivos de
Proteccin contra cdigo malicioso y mviles
Todos los
Control:
Usuarios
Control:
Controles contra cdigos maliciosos
Art. 41. Se recomienda no descargar, adquirir o utilizar software de dudosa procedencia, o
de fuentes no confiables.
Art. 45. Todas las estaciones de trabajo, y servidores debern tener instalado software
antivirus activo y con sus respectivas actualizaciones.
Art. 43. Antes de usar archivos provenientes de medios pticos o electrnicos, y descargas
de correos electrnicos todos los usuarios debern realizar deteccin y reparacin de cdigos
maliciosos.
Dominio
Destinatarios
Objetivos de
Respaldo
Equipo de
Control:
trabajo
Coordinacin
Control:
Respaldo de la informacin
TICs
Art. 44. El responsable de software dentro de la Coordinacin de TICs, realizar copias de
seguridad, considerando el tipo de informacin y la frecuencia con la que se debe realizar los
respaldos acorde al tipo. Se ha clasificado de la siguiente manera:
Tipo de informacin
BDD SQL Server
Cdigo Fuente
Proyectos
Frecuencia
Diario
En cada cambio de versin
Mensual, o al realizarse
importantes.
Informes e Investigaciones Mensual
Actas,
Memorndums, Trimestral
Oficios
cambios
Art. 45. Los respaldos se debern almacenar nicamente en medios como: servidores, y
discos duros externos.
Art. 46. Las copias de seguridad se realizarn al terminar la jornada de trabajo. En caso de
ser automticas de igual manera al final de la jornada laboral se revisar que se hayan
completado con xito.
Art. 47. Trimestralmente, se debern realizar copias por duplicado, dichos respaldos sern
entregados la Direccin Administrativa para mayor seguridad.
70

Cantn Otavalo
PG. 18/45
N Revisin : 1

Dominio
Control del acceso
Destinatarios
Todos los
Control:
Registro de usuarios
Usuarios
Art. 48. Todos los usuarios de la red del GADMO debern contar con una identificacin de
usuario (ID), con la que se vincular y se responsabilizar de sus acciones con el uso de
sistemas o servicios de informacin
Art. 49. Los derechos de acceso a los usuario se delimitarn acorde a las funciones que
desempeen,
Art. 50. La coordinacin de TICs deber emitir a todos los usuarios una declaracin escrita de
sus derechos de acceso.
Art. 51. Todos los usuarios debern firmar sta declaracin, con lo que indicarn que
entienden las condiciones a dichos accesos emitidos.
Dominio
Control del acceso
Destinatarios
Todos los
Control:
Gestin de contraseas para usuarios.
Usuarios
Art. 52. Se establecer una contrasea temporal a todos los usuarios para ingreso a sistemas,
previo a la verificacin del ID; la misma que ser nica para cada individuo y no ser
descifrable.
Art. 53. Se exigir a los usuarios la firma de una declaracin para mantener confidenciales
las contraseas personales emitidas por la Coordinacin de TICs.
Art 54. Las contraseas emitidas por la Coordinacin son temporales, el usuario deber
cambiarlas inmediatamente.
Art. 55. La longitud mnima en una contrasea se establece en 6 caracteres; sean estos
alfanumricos y especiales.
Art. 56. El formato de la contrasea establece que tenga una letra mayscula, un alfanumrico,
un especial y que no sobrepase los 15 caracteres.
71

Cantn Otavalo
PG. 19/45
N Revisin : 1

Art. 57. Al tener contraseas predeterminadas por el proveedor, estas debern ser cambiadas
de inmediato despus de la instalacin del sistema o software.
Dominio
Control del acceso
Destinatarios
Objetivos de
Responsabilidades de los usuarios
Todos los
Control:
Control:
Usuarios
Uso de contraseas
Art. 58. El personal de trabajo de la Coordinacin de TICs emitir una charla de las buenas
prcticas de la seguridad en la seleccin y el uso adecuado de las contraseas.
Art 59. Evitar conservar registros de las contraseas en papeles o archivos que estn a la vista
de cualquier usuario
Art.60. Es responsabilidad del usuario el cambio peridico de contrasea, evitando la
reutilizacin de contraseas antiguas. En caso de no saber hacerlo pedir asesora en
Coordinacin de TICs.
Sobre el uso del servicio de Internet del GADMO
Art. 61. Tienen derecho a solicitar acceso al uso de los Servicios de Internet en el GADMO:
a) El Alcalde/sa, las Concejalas y Concejales.
b) Los Directores/as
c) Los Jefes/as Departamentales.
d) Los empleados de las diferentes dependencias de la Municipalidad.
e) Las personas particulares y miembros de Instituciones que trabajen como resultado de
acuerdos y convenios con la Municipalidad, siempre que lo soliciten con el respaldo escrito
de la autoridad pertinente.
Art. 62. Las personas facultadas para el uso del internet velarn por su efectiva, eficiente y
correcta utilizacin, caso contrario ser sancionado y se les quitar el derecho a ser usuarios
del mismo.
Art. 63. El uso del servicio de internet debe ser exclusivamente para actividades del GADMO.
72

Cantn Otavalo
PG. 20/45
N Revisin : 1

Art. 64. El GADMO podr suspender el servicio de internet o cancelar la cuenta de correo
electrnico por mal manejo, sin perjuicios de imponer las sanciones correspondientes segn la
gravedad de la falta.
De la asignacin de cuentas de correo electrnico institucional.
Art. 65. La utilizacin de las cuentas de correo se hace a travs de una cuenta electrnica
personal e intransferible para cada usuario creado para tal fin en el servidor de comunicaciones
de la Municipalidad.
Art. 66. Es responsabilidad grave de cada usuario proteger su clave de acceso personal a la
cuenta de correo, mantenindola en estricto secreto, con la finalidad de evitar que cualquier
otra persona la utilice para fines contrarios a lo establecido por este Manual de Normas y
Procedimientos.
Art. 66. Todo menaje enviado desde la direccin de correo electrnico del usuario es de total
responsabilidad del mismo, aunque no haya sido enviado personalmente por l.
Art. 67. El GADMO no se hace responsable por lo que se haga o diga en nombre de una
cuenta particular; por lo cual est prohibido el uso de cuentas por personas ajenas a su titular.
Por lo tanto, cada usuario debe:
a) No dar a conocer su clave secreta a ninguna personas, por ningn motivo, ni compartir su
acceso con otros usuarios.
b) No abandonar, ni alejarse fsicamente de su estacin de trabajo, sin antes cerrar sesin de
la cuenta de correo electrnico.
c) Procurar que nadie pueda fijarse en la secuencia de teclas que se pulsan al escribir la clave
de acceso
d) No escribir la contrasea en un papel, ni tenerla en lugares visibles o evidentes.
e) Deber notificar de manera fehaciente e inmediata a la Coordinacin de TICs, cualquier
uso no autorizado de su cuenta o cualquier otra vulneracin de su seguridad
73

Cantn Otavalo
PG. 21/45
N Revisin : 1

Art. 68. Es responsabilidad grave de cada usuario utilizar el Internet de acuerdo a la tica y a
las leyes y reglamentos pertinentes, por tanto:
a)
El usuario es el nico responsable de todas las acciones y mensajes que se lleven a cabo
en su nombre. Todo mensaje enviado por su usuario debe incluir su identificacin.
b)
El uso de leguaje inapropiado u ofensivo, en mensajes privados o pblicos.
c)
El uso de los servicios para asuntos particulares, actividades no relacionadas al GADMO,

para el beneficio particular de terceras personas o de instituciones que no tengan
autorizacin o cuerdos con el GADMO, o para cualquier finalidad que no concuerde con
el espritu de esos acuerdos.
Dominio
Adquisicin, desarrollo y mantenimiento de

sistemas de informacin
Destinatarios
rea de
Control:
Validacin de los datos de entrada
Desarrollo de
proyectos
Art. 69. Los desarrolladores de proyectos y software, disearn controles apropiados en las
aplicaciones, para garantizar el procesamiento correcto de las mismas, considerando:
a) La verificacin de los datos de entrada, con el fin de detectar los siguientes errores:
i.
Valores fuera de rango.
ii.
Caracteres no vlidos en los campos de datos
iii.
Datos incompletos o ausentes
iv.
Exceso en los lmites superiores e inferiores del volumen de datos
v.
Datos de controles inconsistentes o no autorizados.
Dominio
Adquisicin, desarrollo y mantenimiento de

sistemas de informacin
Control:
Control de procesamiento interno
Destinatarios
rea de
Desarrollo de
proyectos
Art. 70. Los desarrolladores de proyectos y software, debern incorporar verificaciones en

las aplicaciones para detectar cualquier dao o prdida de la informacin por errores de
procesamiento o actos deliberados. Las reas especficas que se han de considerar incluyen:
74

Cantn Otavalo
PG. 22/45
N Revisin : 1

a) Utilizacin de las funciones agregar, modificar y borrar para implementar los cambios en
los datos.
b) Procesamientos para evitar que los programas se ejecuten en orden errneo o su
ejecucin despus de una falla previa del procesamiento
c) Utilizacin de programas adecuados para la recuperacin despus de fallas con el fin de
garantizar el procesamiento correcto de los datos.
d) Proteccin contra ataques empleando desbordamiento / exceso en el bfer.
Dominio
Adquisicin, desarrollo y mantenimiento de sistemas

de informacin
Objetivos de
Control:
Control:
Destinatarios
Equipo de
trabajo de
Poltica sobre el uso de controles criptogrficos
Coordinacin
de TICs
Art. 71. La coordinacin de TICs deber enfocarse hacia el uso de controles criptogrficos
en todo el GADMO, incluyendo los principios generales bajo los cuales se debera proteger la
informacin del negocio.
Art. 72. La coordinacin de TICs ser el rea responsable de implementar una poltica de
controles criptogrficos, y de la generacin y gestin de claves.
Dominio

de informacin
Objetivos de
Control:
Control:
Destinatarios
Equipo de
trabajo de
Gestin de claves
Coordinacin
de TICs
Art. 73. Se debern establecer mtodos criptogrficos que generen claves que tengan
proteccin contra modificac in, prdida, destruccin y divulgacin no autorizado
75

Cantn Otavalo
PG. 23/45
N Revisin : 1

Art.74. Se deber contar con un sistema de gestin de claves basado en un conjunto de
normas, procedimientos y mtodos seguros para:
a) Generar claves para diferentes sistemas criptogrficos y diferentes aplicaciones;
b) Generar y obtener certificados de claves pblicas
c) Distribuir claves a los usuarios previstos, incluyendo la forma de activar y recibir las
claves;
d) Cambiar o actualizar las claves incluyendo reglas de cuando cambiarlas y cmo
hacerlo;
e) Recuperar claves prdidas o corruptas como parte de la gestin de continuidad del
negocio.
Dominio

de informacin
Objetivos de
Seguridad de los archivos del sistema
Control:
Control:
Destinatarios
Equipo de
trabajo de
Control del software operativo
Coordinacin
de TICs
Art. 75. nicamente el personal autorizado por la Coordinacin de TICs puede realizar la
actualizacin del software operativo, las aplicaciones y las bibliotecas de los programas.
Art. 76.
Los sistemas operativos nicamente se debern mejorar cuando existe una
necesidad para hacerlo, por ejemplo cunado la versin actual del sistema operativo ya no da
soporte a los requerimientos del negocio.
Art. 77.
Si es necesario la actualizacin de software suministrado externamente, dicha
actualizacin deber ser monitoreada y controlada para evitar cambios no autorizados que
puedan introducir debilidades de seguridad.
Art. 78. Como medida de contingencia ser necesario la activacin de versiones antiguas de
software de aplicacin.
Art. 79. Antes de la actualizacin de sistema operativo, se deber restaurar el sistema al
estado anterior por motivos de seguridad.
76

Cantn Otavalo
PG. 24/45
N Revisin : 1

Dominio
Objetivos de
Destinatario
de informacin
Gestin de la vulnerabilidad tcnica
Equipo de
Control:
trabajo de
Control:
Control de las vulnerabilidades tcnicas
Coordinacin
de TICs
Art. 80. Se deber obtener informacin oportuna sobre las vulnerabilidades tcnicas de los
sistemas de informacin que estn en uso.
Art. 81. Se deber evaluar la exposicin del GADMO a las vulnerabilidades tcnicas de los
sistemas de informacin y tomar las acciones apropiadas para tratar los riesgos asociados
Art. 82. Se deber definir una lnea de tiempo para reaccionar ante la notificacin de
vulnerabilidades tcnicas potencialmente pertinentes.
Art. 83. Se deber probar y evaluar los parches antes de su instalacin para garantizar que
son eficaces y no producen efectos secundarios intolerables.
Dominio
Gestin de los incidentes de la seguridad de la

informacin
Destinatarios
Objetivos de
Gestin de los incidentes y las mejoras en la
Todos los
Control:
seguridad de la informacin
usuarios
Control:
Reporte sobre los eventos de seguridad de la

informacin
Art. 84.
Todos los empleados, contratistas y usuarios debern tener conciencia sobre los
procedimientos para el reporte de los diferentes tipos de evento y las debilidades que puedan
tener impacto en la seguridad de los activos d la organizacin.
Art. 85. La coordinacin de TICs deber elaborar un procedimiento formal para el reporte de
los eventos de seguridad de la informacin junto con un procedimiento de respuesta ante el
incidente que establezca la accin que se ha de tomar al recibir el reporte sobre un evento de
77

Cantn Otavalo
PG. 25/45
N Revisin : 1

Art. 86. Se considerar un evento o incidente se seguridad que debe ser reportado los
siguientes:
a)
Prdida del servicio, del equipo o de las prestaciones;
b)
Mal funcionamiento o sobrecarga del sistema;
c)
Errores humanos;
d)
Incumplimiento de las polticas o de las directrices;
e)
Violacin de las disposiciones de seguridad fsica;
f)
Cambios no controlados ene le sistema;
g)
Mal funcionamiento del software o del hardware;
h)
Violaciones del acceso
Art 87. Deber darse soluciones rpidas, oportunas y eficientes a todos los incidentes de
seguridad reportadas en las estaciones de trabajo.
Art. 88. Todas las anomalas debern ser documentadas con el objetivo de verificar la
notificacin y generar respuestas eficientes.
Dominio
Gestin de la continuidad del negocio

Aspectos de la seguridad de la informacin en la
Destinatarios
gestin de la continuidad del negocio.

Objetivos de
Gestin de los incidentes y las mejoras en la
Todos los
Control:
seguridad de la informacin
usuarios
Control:
Continuidad del negocio y evaluacin de riesgos.
Art. 89.
Se deber identificar los eventos que pueden ocasionar interrupciones en los
procesos del negocio junto con la probabilidad y el impacto de dichas interrupciones, as como
sus consecuencias para la seguridad de la informacin.
Art. 90. Se debern efectuar con plena participacin de los responsables de los recursos y los
procesos del GADMO, evoluciones de riesgos para la continuidad del negocio.
78

Cantn Otavalo
PG. 26/45
N Revisin : 1

Dominio
Cumplimiento
Destinatarios
Objetivos de
Equipo de
Control:
Control:
trabajo de la
Derechos de propiedad intelectual
Coordinacin
de TICs
Art. 91. Se adquirir software nicamente a travs de fuentes conocidas y de confianza para
garantizar que no se violan los derechos de copia.
Art. 92. Se deber mantener pruebas y evidencias sobre la propiedad de licencias, discos
maestros, manuales, etc.
Art. 93, Se deber implementar un registro del uso de las licencias, para no exceder el nmero
de usuarios permitidos que puedan usar las mismas.
Art. 94. Se deber verificar que nicamente se instalen software autorizado y productos con
licencias originales.
Dominio
Cumplimiento
Destinatarios
Objetivos de
Equipo de
Control:
Control:
trabajo de la
Proteccin de los registros de una organizacin
Coordinacin
de TICs
Art. 95. Se debern clasificar los registros segn si tipo as:

a)
Registros de contabilidad,
b)
Registros de bases de datos
c)
Registros de transacciones
d)
Registros de auditoria
Una vez clasificados stos debern ser almacenados en medios como papel, medios
magnticos, pticos, etc.
Art. 96. Se debern implementar controles para proteger todos los tipos de registros contra
prdida, destruccin y falsificacin.
79
PG. 27/45
Gobierno Autnomo Descentralizado Municipal del Cantn Otavalo
N Revisin : 1
Manual de Normas y Procedimientos de
Seguridad de la Informacin
Dominio
Cumplimiento
Destinatarios
Objetivos de
Cumplimiento de las polticas y las normas de la
Todos los
Control:
seguridad y cumplimiento tcnico
usuarios
Control:
Cumplimiento con las polticas y normas de

seguridad
Art. 97. La Coordinacin de TICs ser la responsable de supervisar el cumplimiento de las

poltica y lineamientos del GADMO.
Art. 98. En caso de infracciones leves de las normas y cualquier otro requisito de seguridad
sern juzgados y sancionados por el Alcalde y/o Director Administrativo previo al informa
tcnico del Coordinador de TICs.
Art. 99. En caso de infracciones graves de las normas y cualquier otro requisito de seguridad
ser juzgado y sancionado por el Alcalde previo al informe del Director Administrativo de
acuerdo a la ley del GADMO.
Art. 100.
Se considerarn como infracciones graves, una vez analizado por el Director
Administrativo, personal Jurdico y Administradores TICs, el incumplimiento al reglamento las

siguientes:
a)
Enviar mensajes para la difusin de noticias o correo electrnico sin identificar

plenamente a su autor o autores, o enviar annimos;
b)
No hacer un uso racional, eficiente y considerado de los recursos disponibles tales

como: el espacio en disco, memoria, red informtica, entre otros;
c)
Congestionar enlaces de comunicaciones o sistemas informticos mediante la

transferencia o ejecucin de archivos o programas que no son de uso propio de trabajo;
d)
Acceder a cualquier tipo de comunicaciones ente usuarios, como los CHAT, NEWS
GROUP, MESSENGER, CORREO PERSONAL, etc.
e)
Descargar archivos o correo electrnico sin la debida precaucin de revisin de virus

informticos.
80

Cantn Otavalo
PG. 28/45
N Revisin : 1

f)
Intentar apoderarse de claves de acceso de otros usuarios, acceder y/o modificar

archivos de otro usuario, y en especial los pertenecientes a la Municipalidad u otras
Instituciones.
g)
Usar los servicios de internet para propsitos no municipales o usarlos para propsitos
fraudulentos, comerciales o publicitarios, o para la propagacin de mensajes
destructivos u obscenos.
h)
Intentar acceder a computadora, servidores o cuentas de usuario con acceso

restringido(utilizando cualquier protocolo, telnet, ftp, etc.; aunque no se consiga el
acceso)
i)
Decodificar el trfico de red o cualquier intento de obtencin de informacin confidencial

que se trasmita a travs de la misma
j)
Modificar la configuracin de los programas de comunicaciones de los computadores o

servidores de red.
k)
Ejecutar programas obtenidos a travs de internet u otro medio en los computadores

sin autorizacin de la Coordinacin de TICs.
l)
Cualquier uso malicioso, violento u obsceno de la red.
m) El uso de internet para ver u obtener archivos de video, pginas pornogrficas, msica,
juegos.
n)
Escribir mensajes de contenido fascista, racista, machista, insultante o que puedan herir
la sensibilidad de las personas.
o)
Dispersar virus, gusanos y otros tipos de programas dainos para sistemas de procesos
de la informacin.
p)
Transmitir cualquier tipo de informacin confidencial o propia de la Municipalidad bajo

cualquier medio sin la debida autorizacin.
q)
Leer, revisar, interceptar, modificar o destruir cualquier tipo de comunicacin oficial y

confidencial del usuario o de cualquier otra persona o entidad, sin el consentimiento
respectivo del remitente y del destinatario de la comunicacin.
r)
Suscribirse a listas de correo electrnico o que participen en grupos de noticias que

divulguen informacin o mensajes ajenos a las funciones y deberes del usuario sin la
debida autorizacin.
s)
No cumplir con los avisos de precaucin emitidos por la Coordinacin de TICs

81

Cantn Otavalo
PG. 29/45
N Revisin : 1

IX.
DESARROLLO DE PROCEDIMIENTOS DE SEGURIDAD
En esta seccin se describen los procedimientos ms significativos para conservar la

seguridad de la informacin del GADMO, con la finalidad de organizar todas las actividades
ejecutadas por los usuarios de la municipalidad que conlleven consigo un manejo
responsable de los activos informticos, ya sean fsicos o lgicos, promoviendo de esta
manera las buenas prcticas de seguridad de la informacin.
82
PG. 30/45
Cantn Otavalo
N Revisin : 1

Procedimiento:
Soporte tcnico para usuarios de Sistemas de Informacin
Objetivo
Brindar soluciones eficaces y eficientes a los problemas presentados por

los usuarios de sistemas de informacin, mediante asesora tcnica por
parte del personal de trabajo de la Coordinacin de TICs.
Frecuencia
Cdigo
Imprevista
CTIC-PRO-01
1. Desarrollo de actividades
N Accin
Descripcin
En caso de tener inconvenientes en las operaciones de los sistemas de

informacin, el usuario mediante una llamada o de forma personal solicitar al
personal tcnico de la Coordinacin de TICs asesora tcnica.
El usuario deber llenar una solicitud de soporte tcnico en el formato

SOLICITUD DE SOPORTE TCNICO EN SISTEMAS INFORMTICOS
El personal tcnico de la TICs registra y atender la solicitud.
El tipo de solucin depender de la causa del soporte tcnico solicitado:

Accin
Reaccin
Si la falla se debe a la mala manipulacin
Explicarle al solicitante la adecuada
por parte del usuario en las operaciones
operacin
de los sistemas de informacin
personalmente o va telefnica.
Si la falla se debe a un mal
Se deber asistir hasta la estacin de
funcionamiento fsico y/o lgico.
trabajo y tratar de solucionar el problema
del
sistema,
ya
sea
en el lugar.
Si
no
se
puede
solucionar
Se trasladar el equipo hasta el rea
directamente en la estacin de
de mantenimiento y se dar pronta
trabajo
solucin
Una vez solucionado el problema se emitir un comunicado al solicitante en el

que se detallar la solucin dada al problema
Registra problema y actividades realizadas para su solucin en Formulario de

Reportes.
Fin del procedimiento

83

Cantn Otavalo
PG.31/45
N Revisin : 1

2. Diagrama de flujo
84

Cantn Otavalo
PG. 32/45
N Revisin : 1

3. Anexo
Formato SOLICITUD DE SOPORTE TCNICO EN SISTEMAS INFORMTICOS
Con el formato que se presenta, todos los usuarios podrn solicitar formalmente
Coordinacin
de TICs
a la
soporte tcnico para los inconvenientes que se les presente,
especificando sus requerimientos, con el fin de que se atienda su solicitud eficaz y

eficientemente.
Fecha de solicitud
Da
Mes
Ao
Solicitante:
Adquisicin
Actualizacin
Mantenimiento
Tipo de solicitud
N 0000
Dependencia:
Tutora
Cambio
Reparacin
Equipo
Marca
Accesorio
Caracterstica N Serie
Tipo
s
Software
Responsable
Tema tutora
Tema
Descripcin breve de su solicitud:
___________________________________________________________________________
_________________________________________________________________________
Fecha de
recibida la
solicitud
Fecha
asignacin
Da
Da
Mes
Mes
Ao
Ao
Nombre de quien recibe la

solicitud
Hora
Hora:
- -:- Para uso exclusivo del Coordinador de TICs
_ _ : _ _ Tcnico
Responsable
Para uso exclusivo del tcnico responsable
__:__
Firma:
Da
Mes
Ao
Fecha
Hora
entrega
Descripcin breve del trabajo realizado
___________________________________________________________________________
_________________________________________________________________________
Para uso exclusivo del usuario solicitante. Puede entregarlo al Coordinador de TICs para su
evaluacin
Da
Mes
Ao
_
_
:
_
_
Fecha entrega
Hora
Firma de Recibido:
El trabajo fue satisfactorio
Fueron resueltas sus dudas e inconvenientes
Recomendaciones:
85
PG. 33/45

Cantn Otavalo
N Revisin : 1

Procedimiento:
Creacin de cuentas de usuario
Objetivo
Integrar a los servicios de comunicaciones del GADMO a los usuarios

acorde a las necesidades de las reas de la Institucin.
Frecuencia
Cdigo
Casual
CTIC-PRO-02
N Accin
Descripcin
Al iniciar operaciones como nuevo usuario del GADMO,
teniendo ya una
estacin de trabajo, o al tener obligaciones asignadas para determinada

actividad; que requiera la asignacin de una cuenta de usuario, ya sea para
bases de datos institucionales,
correo electrnico y/o acceso a sistema
operativo.
2
El usuario deber llenar y enviar a la coordinacin de TICs la solicitud de

CREACIN, MODIFICACIN O
ELIMINACIN DE CUENTAS DE
USUARIO
3
El personal encargado, determinar si es viable la creacin de usuario

desentendiendo del cargo que ostente el solicitante, y del acceso que segn
este deba tener a los sistemas de bases de datos.
Si es viable, se proceder a la creacin de un usuario y/o contrasea para el

debido acceso. Si no es viable se notificar al solicitante las razones del porque
no pudo ser atendida la solicitud.
Una vez creado el usuario y/o contrasea se le notificar el solicitante los

mismos, previo a una explicacin de los trminos y condiciones del uso
adecuado de los mismos.
86

Cantn Otavalo
PG. 34/45
N Revisin : 1

87

Cantn Otavalo
PG. 35/45
N Revisin : 1

3. Anexo
Formato SOLICITUD DE CREACIN, MODIFICACIN O ELIMINACIN DE CUENTAS DE
USUARIO
Coordinacin
de TICs
a la
la creacin, modificacin y eliminacin de cuentas de usuario,
especificando sus requerimientos, con el fin de que se atienda su solicitud eficaz y

eficientemente.
Solicitud De Creacin De Cuentas De Usuario
De: ____________________________
Para: __________________________
Jefe o Director de departamento

Da
Fecha de solicitud
Mes
Ao
Creacin
Modificacin
Eliminacin
Tipo de solicitud
N 00000
Nombres Completos
Cargo:
Coordinador de TICs
Hora
__:__
Correo electrnico
Tipo de servicio
Bases de datos
Sistema operativo
Datos del usuario beneficiario del ID y Contrasea
C.I.
Fecha entrega Da
Nombre del
Solicitante
Cargo:
Mes
Ao
Hora
Para uso exclusivo del Coordinador de TICs

__:__
Tcnico
Responsable
__:__
Firma:
Da
Mes
Ao
Hora
Para uso exclusivo del usuario solicitante.

_ _ : _ _ Firma de Recibido:
Da
Fecha
asignacin
Fecha entrega
ID de
Usuario
Servicio
ID de
Usuario
Servicio
ID de
Usuario
Servicio
Me
Hora
Contrasea
Contrasea
Contrasea
88
PG. 36/45

Cantn Otavalo
N Revisin : 1

Procedimiento:
Instalacin de servicios de voz e internet
Objetivo
Integrar a la infraestructura de comunicaciones del GADMO a los

usuarios, de acuerdo a las necesidades de las reas de la institucin.
Frecuencia
Cdigo
Casual
CTIC-PRO-03
N Accin
Descripcin
Se enviar una solicitud a la coordinacin de TICs de SOLICITUD DE

SERVICIOS DE COMUNICACIONES
Evala la solicitud y la viabilidad de la misma. Es viable la ubicacin para la

instalacin?
Si no es viable; se propone nueva ubicacin y/o se notifica otra solucin.
Si es viable; en caso de contar con los materiales requeridos se procede a la

instalacin/reparacin/eliminacin de los servicios.
Si es viable; y no se cuenta con los materiales requeridos; Se enva una

solicitud a la Direccin Administrativa pidiendo la adustin de los mismos; y se
notifica al solicitante que habr una demora en el servicio debido a la falta de
materiales.
Una
vez
que
se
tenga
los
materiales
se
procede
la
instalacin/reparacin/eliminacin de los servicios.

7
Pruebas de instalacin
Si existen fallas, se realiza las correcciones necesarias. Caso contrario se

notifica al solicitante que el servicio ha sido instalado correctamente y puede
hacer uso del mismo.
89

Cantn Otavalo
PG. 37/45
N Revisin : 1

90
PG. 38/45

Cantn Otavalo
N Revisin : 1

3. Anexo
Formato SOLICITUD DE SERVICIOS DE COMUNICACIONES
Coordinacin de TICs
a la
la instalacin, reubicacin o eliminacin de servicios de voz y datos,
especificando sus requerimientos, con el fin de que se atienda su solicitud eficaz y eficientemente.
Solicitud de Instalacin de Servicios de Comunicaciones

De: ____________________________
Para: __________________________
Fecha de solicitud
Tipo de solicitud
Da
Mes
N 00000
Coordinador de TICs
Ao
Hora
Creacin
Re-ubicacin
Eliminacin
__:__
Datos
Tipo de servicio
Voz
Datos del usuario beneficiario del Servicio
C.I.
Nombres Completos
Cargo:

_ _ : _ _ Tcnico Responsable
Ao
Fecha entrega Da Mes
Hora _ _ : _ _
Firma:
Nombre del
Instalacin
Solicitante
Trabajo
realizado
N Puntos de
N Puntos de
Reubicacin
voz
datos
evaluacin
Ao
_ _ : _ _ Firma de Recibido:
Fecha entrega Da Mes
Hora
Recomendaciones:
Fecha asignacin
Da
Mes
Ao
Hora
91

Cantn Otavalo
PG. 39/45
N Revisin : 1

Procedimiento:
Respaldo y Restauracin de Datos de los usuarios del GADMO
Objetivo
Avalar la integridad y disponibilidad de los datos electrnicos; mediante el

respaldo de los mismos en medios magnticos y/o virtuales, con la finalidad
de evitar prdida o modificacin de stos.
Frecuencia
Casual
Cdigo
CTIC-PRO-04
N Accin
Descripcin
Si los usuarios requieren el respaldo y/o restauracin de sus datos

electrnicos, entonces llenarn y enviarn a la Coordinacin de TICs una
SOLICITUD DE COPIAS DE SEGURIDAD DE INFORMACIN
Evaluar si es un respaldo o restauracin de informacin.
Si es una copia, entonces, el tcnico responsable crear una copia ya sea

manual o automticamente y proceder a cargarla en el servidor de respaldos.
Se verifica si la copia se realiz completamente y sin errores. De ser as esta

se almacenar en medios magnticos, y trimestralmente se enviar a la
Direccin Administrativa y se registra en la BITCORA DE RESPALDOS Y
RESTAURACIN DE DATOS. . Caso contrario se realizar la copia
nuevamente.
Si es restauracin de la informacin, se verifica la ubicacin de la copia en la

Bitcora De Respaldos Y Restauracin De Datos.
Se ejecuta la restauracin de la informacin.
Se registra el trabajo realizado en le Bitcora de respaldos y restauracin de

datos.

92

Cantn Otavalo
PG. 40/45
N Revisin : 1

2. Diagrama de Flujo
93

Cantn Otavalo
PG. 41/45
N Revisin : 1

3. ANEXOS
Formato SOLICITUD DE COPIAS DE SEGURIDAD DE INFORMACIN
a la
Coordinacin de TICs, respaldo y restauracin de datos, especificando sus requerimientos, con

el fin de que se atienda su solicitud eficaz y eficientemente.
Solicitud de Copias de Seguridad de Informacin

De: ____________________________
N 00000
Para: __________________________
Da
Mes
Ao
Fecha de solicitud
Nombre del solicitante
Cargo:
Tipo de informacin Confidencial
Software
Bases
datos
Coordinador de TICs
Hora
de
__:__
Respaldo
Tipo de solicitud
Restauracin
No confidencial
Sistemas
de Otros
informacin

__:__
Tcnico
Responsable
Da
Mes
Ao
Fecha entrega
Hora _ _ : _ _ Firma:
Respaldo
Trabajo
realizado
Nombre del Solicitante
Restauracin
evaluacin
Da
Me
A
__:__
Fecha entrega
Hora
s
o
Firma de Recibido:
Recomendaciones:
Fecha
asignacin
Da
Mes
Ao
Hora
94
PG. 42/45
Cantn Otavalo
N Revisin : 1

Formato BITCORA DE RESPALDO Y RESTAURACIN DE DATOS
Por medio de esta bitcora se llevar un registro y control de los respaldos y restauraciones de
los datos electrnicos.
BITCORA DE RESPALDO Y RESTAURACIN DE DATOS
Fecha
Da
Mes
Ao
Hora Inicio
__:__
N 00000
__:__
Hora finalizacin
Responsable:
Firma:
Respaldo
Tipo de servicio
Restauracin
Descripcin de Recursos a Respaldar
Base
Base Binaria
Alfanumrica
Bases de datos
Nombre
Base
Especial
Versin
Software
Nombre
Tipo o extensin
Sistemas de informacin
Otro
Ubicacin del servidor
Nombre servidor
Direccin IP
Cdigo DVD
Directorio
Resultado y/o Observaciones:
__________________________________________________________________________
__________________________________________________________________________
__________________
Coordinador TICs
95
PG. 43/45
Cantn Otavalo
N Revisin : 1

Procedimiento:
Mantenimiento Correctivo
Objetivo
Cuidar de la funcionalidad de los equipos de cmputo de todas las

dependencias del GADMO, mediante un mantenimiento correctivo y
oportuno, con la finalidad de mantener operativos dichos equipos.
Frecuencia
Cdigo
Casual
CTIC-PRO-05
N Accin
Descripcin
El usuario deber llenar una solicitud de soporte tcnico en el formato

Se determinar si se puede dar solucin directamente en la estacin de

trabajo. Caso contrario se recomienda al usuario sacar respaldos de
informacin, y se trasladar el equipo hasta la CTICs.
Mientras se da una solucin se deber proporcionar al usuario un

computador momentneo, con el fin de evitar interrupciones en el trabajo.
Al llevar el equipo hasta la CTICs, se determina si se puede solucionar el

problema mediante mantenimiento o cambio de componentes. Si no es as
se debe dar de baja al equipo, y el tcnico deber llenar el formato de
SOLICITUD TCNICA BAJA DE BIEN INFORMTICO
En caso de tener solucin, se realizar el mantenimiento respectivo y/o el

cambio de componentes.
Se notifica al usuario el trabajo realizado y se le da las recomendaciones

necesarias para no volver a tener inconvenientes. Se retira el equipo
momentneo que se le entrego y se vuelve a entregar el equipo,
demostrndole al usuario el correcto funcionamiento del mismo.

96
PG. 44/45
Cantn Otavalo
N Revisin : 1

2. Diagrama de Flujo
97
PG. 45/45
Cantn Otavalo
N Revisin : 1

3. Anexo
SOLICITUD TCNICA BAJA DE BIEN INFORMTICO
Fecha :
Da
Mes
Ao
N 00000
Dependencia :
Responsable:
Firma:
Caracterstica Equipo Informtico

Marca
Modelo
N Serie
Valor estimado
Daado
Motivo de Baja
Desuso
Irreparable
Observaciones y/o Descripcin:

__________________________________________________________________________
__________________________________________________________________________
__________________________________________________________________________
__________________________________________________________________________
__________________________________________________________________________
__________________________________________________________________________
_______________________________________________________
___________________
Jefe de Bodega.
________________________
Tcnico Responsable
_____________________
Coordinador TIS
______________________
Solicitante.
98
3.2 DISEO DEL MODELO DE DEFENSA EN EL NIVEL PERIMETRAL

En este subcaptulo se describen las caractersticas y funciones del software Suricata,
que fue el escogido para el diseo del IDS/IPS sobre software libre, adems se describe
el proceso para su elaboracin, definiendo los parmetros de configuracin necesarios
para su correcto funcionamiento. Adicionalmente se describe las caractersticas del
Firewall tanto fsico como lgico del GADMO, as como su configuracin. Finalmente se
describir las aplicaciones de la granja de servidores y la propuesta de la configuracin
de una DMZ, que permita minimizar los riesgos de seguridad en la institucin.
3.2.1 IDS/ IPS
3.2.1.1 SOFTWARES DE SISTEMAS DE DETECCIN Y PREVENCIN DE INTRUSOS.
Para la eleccin Suricata como el IDS/IPS, previamente se realiz una comparacin con
otros softwares, la misma que se presenta en la Tabla 3-1
TABLA 3.1: Comparacin de los diferentes softwares libres y comerciales de IDS/IPS.
SISTEMAS DE DETECCIN Y PREVENCIN DE INTRUSOS
CARACTERSTICAS
BRO
SNORT
SOLUCIONES
SURICATA
COMERCIALES
Multi-Hilos
No
No
No
Si
Soporte para IPv6
Si
Si
Cisco, IBM, Stonesoft
Si
IP Reputation
Algo
No
Cisco
Si
Deteccin automtica de protocolos
Si
No
No
Si
Aceleracin con GPU
No
No
No
Si
Variables Globales/Flowbits
Si
No
No
Si
Anlisis Avanzado de HTTP
Si
No
No
Si
HTTP Access Logging
Si
No
No
Si
SMB Access Logging
Si
No
No
Si
Anomaly Detection
No
No
Si
No
Alta Disponibilidad
No
No
Si
No
GUI de Administracin
No
No
Si
No
Gratis
Si
Si
No
Si
99
En base a esta comparacin realizada, se defini adems un anlisis FODA del software
elegido; el mismo que se presenta en la Figura 3-1.
FORTALEZAS
OPORTUNIDADES
DEBILIDADES
AMENAZAS
Primer IPS/IDS que utiliza tecnologa

multi-hilos
Permite que otras herramientas sean
compatibles con el sistema
Da paso a mejoras sustanciales de
deteccin de intrusos
Bajo costo de implementacin de
una solucin Software Libre.
Herramienta muy joven en procesos
de mejoras y optimizacin.
Dependencia
de
desarrollos
externos.
Nuevas soluciones usando el
mismo cdigo que es Shareware.
Nuevos
ataques
no
sean
rpidamente solucionables.
FIGURA 3.1: Anlisis FODA de SURICATA

3.2.1.1.1 SURICATA
Suricata es un motor IPS/IDS de cdigo abierto bajo licencia GPLv2y desarrollado por la
comunidad de OISF (Open Infomation Security Foundation), es relativamente nuevo pero
con muy buenas caractersticas siendo la ms importante su arquitectura Multi-hilos,
adems es totalmente compatible con las reglas Snort y Emerging Threads. (Alfon, 2011).
En la Figura 3-2 se muestra la imagen oficial del software.
FIGURA 3.2: Imagen oficial de IDS-IPS Suricata

Fuente: Extrada de http://suricata-ids.org/
100
Caractersticas
En la tabla 3-2 se presenta un resumen de las caractersticas de SURICATA.
TABLA 3.2: Carca testicas de SURICATA
SURICATA
Caractersticas
Descripcin
Procesador Multi-Hilo
Permite la ejecucin de varios procesos de forma

simultnea,
aumentando
as
el
rendimiento.
Aprovechando de esta manera el procesamiento Multincleos de los actuales procesadores.

Deteccin
automtica
de
Protocolos
El motor de Suricata tiene palabras claves para algunos

protocolos como: IP, TCP, UDP, ICMP, HTTP, TLS, FTP
y SMB. Gracias a esto puede detectar una ocurrencia
dentro de un stream de datos, sin importar el puerto en
donde ocurre. Esta caracterstica es importante para el
control y deteccin de malware.
Independencia de la librera HTP
La librera HTP es un proyecto independiente a Suricata e

integrado efectivamente a Suricata. Puede ser utilizado
por otras aplicaciones como: proxis, filtros.
Mtodos de Entrada Estndar
Soporte para NFQueu, IPFRing y LibPcap standard para

la captura de trfico.
Coincidencia
Direcciones IP
Rpida
de
Puede usar automticamente un preprocesador especial

para validar ms rpido las reglas que hagan coincidencia
nicamente de IP; por ejemplo, RBN, o las listas de IP de
EmergingThreats.
Fuente: Elaborada por Andrea Zura en referencia a (Alfon, 2011)
Definicin de la arquitectura del sistema IDS-IPS

En esta seccin se llevar a cabo el diseo de la arquitectura que el sistema a desarrollar
debe cumplir; para ello se ha considerado que la arquitectura ms apropiada de acuerdo
a las caractersticas que presenta es SELKS.
SELSK, es un sistema abierto basado en Debian con LXDE y administracin X-Windows;
adems de tener una plataforma basada en el motor del IDS-IPS Suricata. En esta
arquitectura se distinguen los 5 componentes que indican su nombre:
101
S Suricata IDS-IPS
E - Elasticsearch
L - Logstash
K - Kibana
S - Scirius
En la Tabla 3-3 se muestran las principales caractersticas de cada uno de estos
componentes.
TABLA 3.3: Caractersticas de los componentes de SELKS
SELKS
COMPONENTES
CARACTERSTICAS
IDS-IPS de alto rendimiento, con motor de seguimiento en seguridad de
red.
Suricata
Es altamente escalable.
Posee protocolos de identificacin
Adems, permite identificar archivos, sumas de verificacin MD5,
extraccin de archivos
Permite realizar Anlisis de registros
Elasticsearch
Escalable con la bsqueda en tiempo real y enfoque detallado

Permite comprender los grandes volmenes de datos, creando fcilmente
barras, lneas y grficos de dispersin, o grficos circulares y mapas.
Es la solucin de registro de cdigo abierto ms popular en el mercado
hoy en da.
Logstash
Toma registros y otros datos de eventos basado en tiempo, desde

cualquier sistema y lo almacena en un solo lugar para la transformacin y
el procesamiento adicional.
Es el motor de visualizacin de datos de Elasticsearch.
Kibana
Permite interactuar de forma nativa con todos sus datos a travs de

paneles de control personalizados.
Scirius
Es una interfaz web dedicada a la gestin conjunto de reglas Suricata.

Maneja el archivo de reglas y archivos de actualizacin asociada.
102
Caractersticas del Equipo.

Las caractersticas del equipo deben satisfacer los requerimientos mnimos del software
que a instalarse, el mismo que se describe en la Tabla 3-4, es indispensable indicar que
dichos requerimientos permitirn un monitoreo adecuado de la red.
TABLA 3.4: Requerimientos mnimos de instalacin de SELKS
Requerimientos mnimos de instalacin de SELKS
Caracterstica
Descripcin
Sistema Operativo
SELKS-1.1
RAM
2048 MB
Disco Duro
125 GB
Tarjetas de Red
eth0
Atheros AR8162/8166/8168 PCI-E Fast Ethernet
eth1
ASIX AX88772 USB2.0 to Fast Ethernet Adapter #2
eth2
NAT
Direccionamiento (NIC de Administracin )

Direccin IP
192.168.2.x
Mscara de Subred
255.255.255.192
Gateway
192.168.2.1
Fuente: https://github.com/StamusNetworks/SELKS
Ubicacin Fsica del IDS-IPS

La localizacin del IDS/IPS se la pondr entre el firewall y la red interna, con esta ubicacin
se pueden obtener ciertas ventajas, tales como:
Permite monitorear intrusiones que pueden atravesar el firewall.
Puede detectar ataques dirigidos contra los servidores.
Permite identificar ataques y escaneos ms comunes
Como todo sistema de deteccin de intrusos, tambin existen ciertas desventajas, las
mismas que se presentan a continuacin.
No permite identificar ataques que utilicen mtodos de encriptacin
Dependiendo de la cantidad de trfico el IDS-IPS, puede o no analizarlo todo. Esto
depender del diseo del sistema.
103
En la figura 3-3 se presenta un representacin grfica de la ubicacin del sistema de

deteccin y prevencin de intrusos.
FIGURA 3.3: Ubicacin del IDS-IPS en la red.

Fuente: Elaborado por Andrea Zura
3.2.2 FIREWALL
El GADMO cuenta actualmente(Enero 2015) con dos firewall, ASTARO Gateway 320; los
mismos que se encuentran configurados de modo que protegen la granja de servidores
de los ataques externos. Dicha configuracin se muestra en la figura 3-6.
FIGURA 3.4: Topologa Actual del Firewall

104
3.2.2.1 CARACTERSTICAS DEL EQUIPO

Lo primero que se debe analizar son las caractersticas tcnicas de los equipos Firewall
tanto en software como en hardware. El Municipio cuenta con dos Firewall, a nivel de
hardware Astaro Security Gateway 320, que tienen caractersticas que se muestran en
la Tabla 3-6.
TABLA 3.5: Informacin tcnica del Firewall Astaro Security Gateway 320
INFRMACIN TCNICA
Figura
Especificaciones del
Capacidad
hardware:
Rendimiento del cortafuegos: 3.4 Unidad de disco duro:

Gbit/s
Astaro Security Gateway 320
160
GB
Rendimiento de la VPN: 700 Mbit/s Puertos
Ethernet:
Rendimiento del IPS: 1300 Mbit/s Puertos
USB:
Rendimiento del UTM: 165 Mbit/s Puertos COM: 1 (RJ-45)

Correos
electrnicos
por
hora: Puertos VGA: 1 (trasero)
600,000
Usuarios:
Pantalla LCD: 1
Sin
restriccin
Conexiones simultneas: 600,000

Almacenamiento en cuarentena: 60
GB
Almacenamiento
de
registros/informes: 80 GB.
Fuente: Recuperada de http://www.astaro.com/node/18320
Adicionalmente se muestran en la Tabla 3-7 las aplicaciones que este firewall brinda:
105
TABLA 3.6: Aplicaciones de Astaro Security Gateway 320

APLICACIONES
Astaro Network
Astaro
Security
Security
Cortafuegos
Mail
Antispam
Astaro
Web
Security
&
URL
Filtering
Astaro
Web
Astaro
Application
Wireless
Security
Security
Web Application
mplementacin
configurable.
Phishing
Spyware
Firewall
Plug
IPS
Antivirus
Protection
Cookie Protection
Gestin
DoS
Scanning
Antivirus
Refuerzo de URL
centralizada
Email
Scanning
Antivirus
Seguridad
Encryption
HTTPS Scanning
Herramientas
User Reporting
Form Hardening
NAT
Interactive Web
Lugar
Reporting
colocacin
Desvo
de
trfico
de
Control
de
Ancho de Banda
Control
VPNs
Aplicaciones
Reverse
Proxy
de
SSSL
&
Play
integrada
Potente cifrado
de
Acceso
Internet
para
invitados
IPSec
Autenticacin
de Directorios
Fuente: Recuperada de http://www.astaro.com/node/18320
3.2.2.2 CONFIGURACIN DE POLTICAS DE SEGURIDAD EN FIREWALL SHOPOS

UTM
Es recomendable realizar ciertas configuraciones las mismas que se muestran a
continuacin.
106
Cambiar la clave por defecto de admin:
FIGURA 3.5: Cambio de clave y usuario del Firewall

Fuente: Obtenido del WebAdmin de Firewall Sophos UTM
Activar las notificaciones de alertas:

Esto permitir definir las acciones de notificacin por correo electrnico y trap SNMP para
cada tipo de notificacin. En este caso se marcarn todas las casillas, ya que todas son
importantes y necesarias. Se muestra en la Figura 3-6.
FIGURA 3.6: Activacin de notificaciones de alerta

107
Activar el acceso SSH:

Al activar SSH se le permite al administrador, acceder de forma remota y segura, en
situaciones en las que no se puedan resolver problemas por medio del WebAdmin;
adems realizar configuraciones de direcciones IP, Logs, DNS; as como tambin ejecutar
comandos tales como ping, tracert; entre otros.
FIGURA 3.7: Activacin de SSH

Activar actualizaciones
Mantener actualizado el firewall con las nuevas versiones permitir mantener mejoras
permanentes en el sistema. Se muestra en la Figura 3-8.
FIGURA 3.8: Activacin de actualizaciones

108
Activar el envo automtico de backups

Esto ayudar a tener los backups siempre a mano, para que el administrador los pueda
utilizar cuando los necesite; cabe recalcar que estos ocupan muy poco espacio y se
guardan ya sea en el servidor o en nuestro correo electrnico.
Se muestra en la Figura 3-9.
FIGURA 3.9: Activacin del envi automtico de backup

Activar el envo peridico de los informes ejecutivos

Resulta una opcin til, debido a que permite revisar informacin de hechos y sucesos
antiguos, que se necesiten en caso de auditoras. Esto se muestra en la Figura 3-10.
FIGURA 3.10: Activacin de envi de informes ejecutivos

109
Habilitar ICMP
Esto permite ejecutar comandos de ping y tracert hacia y a travs del firewall. Esto se
muestra en la Figura 3-11.
FIGURA 3.11: Habilitar ICMP

Creacin de Usuarios y grupos

Se crearn grupos de usuarios, los mimos que pertenecern a VLANs, mostrados en un
resumen en la Tabla
FIGURA 3.12: Creacin de grupos de usuarios

110
Creacin de reglas
Las reglas creadas, estn acorde a los niveles de acceso de cada VLAN.
FIGURA 3.13: Configuracin de reglas, acorde a los grupos de usuarios.

3.2.3 ZONA DESMILITARIZADA (DMZ)

Para realizar el diseo de la DMZ se debe tener conocimiento de todos los servicios que
brinda el GADMO, en que plataformas se encuentran instalados, tanto a nivel de hardware
como software; informacin que se muestra en la Tabla 3-7
111
TABLA 3.7: Descripcin de los servidores del GADMO

Servicios
Descripcin
Sistema Operativo
Active Directory
COMPAQ PROLIANT Ml370 G3
Win server 2003
Sistema SIGMO
Procesador: XENON 2.8
BASE
RAM: 4GB
DE
SIM2001
Active
DATOS
Disco Duro: 120GB

Directory
Backup
COMPAQ PROLIANT Ml370 G3

Procesador: XENON 2.8
Sistema Comercial
RAM: 4GB
Base
Disco Duro: 120GB
de
Comercial
fin_otavalo
Win server 2003
Datos
Sistema de trnsito
CLON PENTIUM
Base de Datos
Procesador: PIV 3.0
Win XP Pro
RAM: 2GB
Disco Duro: 80GB
Servidor Lexis
CLON PENTIUM
Win XP Pro
Procesador: PD3.4
SILECPRO 5.3
RAM: 2GB
Disco Duro: 160GB
Antivirus KASPERSKY
CLON PENTIUM
Win XP Pro
Procesador: PD3.4
RAM: 2GB
Disco Duro: 160GB - 1TB
Antivirus ESET
CLON PENTIUM
Win server 2003
Procesador: PD3.2
RAM: 2GB
Disco Duro: 120GB
Servidor comercial
HP PROLIANT ML350 G5
Win Server Standar
Procesador: XEON QC 2.50

RAM: 14GB
Disco Duro: 1200GB
SISTEMA VUE
HP PROLIANT DL380G6
Win Server Standar

RAM: 16GB
Disco Duro: 1200GB
WEB VUE
HP PROLIANT DL380G6
Win Server Standar

RAM: 16GB
Disco Duro: 1200GB
Sistemas:
HP PROLIANT DL380G7
V7 Olympo
V6 Olympo
RAM: 24GB
Server 2008 R2
Disco Duro: 1800GB

112
V5 Olympo
Bases de Datos:
BASEM
BASEMV7
IMO_ACTV7
IMO_CONSO11
IMO_CONSO12
IMO_CONSOLI
DA
IMO_CONTV7
IMO_INFA
IMO_INV7
IMO_ROLESV7
IMOCI
IMOCI03
IMOV6
IMOV8
Sistema de
municipales
servicios
SIGMO
HP PROLIANT DL380G7
Server 2008 R2

RAM: 24GB
Disco Duro: 1800GB
Servidor GIS
HP PROLIANT DL380G7
Win Server Estndar

RAM: 12GB
Disco Duro: 450GB
Servidor SISTEMAS
HP PROLIANT BL460c GEN8
Win Server Estndar

RAM: 32GB
Disco Duro:2TB
Servidor COMERCIAL
HP PROLIANT BL460c GEN8
Win Server Estndar

RAM: 24GB
Disco Duro: 600GB
Fuente: Obtenida por la Administracin de la Coordinacin TICs.
113
Actualmente la granja de servidores se encuentra protegida por dos Firewall, pero en una
distribucin no recomendada debido a que podra haber intentos de intrusin. Dicha
distribucin se muestra en la Figura 3-12.
FIGURA 3.14: Topologa Actual de la granja de servidores.

Teniendo claro los tres elementos principales que forman parte de la red perimetral, se
muestra en la figura 3-13, el diseo planteado para la red de datos del GADMO, en el que
se detalla cada una de estas partes.
114
FIGURA 3.15: Diseo red perimetral

Se observa que en la zona desmilitarizada se encuentran los servicios de Correo

electrnico y servidor WEB; los mismo que se encuentran protegidos
por el primer
firewall, siguiendo continuamente del siguiente firewall, adicionalmente se tiene el IDSIPS en la ubicacin ya antes explicada el mismo que permitir conservar la seguridad de
la LAN.
3.3 DISEO DEL MODELO DE DEFENSA EN EL NIVEL DE RED INTERNA
Considerando la infraestructura y requerimientos actuales de la red de datos del GADMO,
se propone un modelo jerrquico y la segmentacin lgica de la red. Brindando as una
solucin que mejore las prestaciones y servicios.
3.3.1 DISEO DEL MODELO DE RED
El modelo jerrquico de red presenta varias ventajas que permitirn que la red de datos
del GADMO sea ms segura, escalable, redundante, flexible y eficiente.
Dicho modelo se basa en el diseo y estructuracin por capas independientes que cumple
funciones especficas. La separacin de la diferentes funciones existentes en una red
hace que el diseo de la red se vuelva modular
esto facilita la escalabilidad y el
rendimiento. El modelo de diseo jerrquico tpico se separa en tres capas: capa de

acceso, capa de distribucin y capa ncleo. (CISCO).
115
En la figura 0-1 se muestra un ejemplo de una red Jerrquica
FIGURA 3.16: Modelo Jerrquico de Redes

Fuente: Imagen extrada de (CISCO)
En base a dicho modelo se describirn las caractersticas de los switches con los que
cuenta el GADMO; en base a sus caractersticas sern clasificados en las diferentes
capas del modelo jerrquico.
3.3.1.1 SWITCHES DE CAPA DE ACCESO
Los switches de la capa de acceso facilitan la conexin de los dispositivos de nodo final a
la red. Por esta razn, necesitan admitir caractersticas como seguridad de puerto, VLAN,
Fast Ethernet/Gigabit Ethernet, PoE y agregado de enlaces. La seguridad de puerto
permite que el switch decida cuntos y qu dispositivos especficos se permiten conectar
al switch. La seguridad de puerto se aplica en la capa de acceso. En consecuencia, es
una importante primera lnea de defensa para una red.
La velocidad de puerto es tambin una caracterstica que se necesita considerar para los
switches de la capa de acceso. Segn los requerimientos de rendimiento para su red,
debe elegir entre los puertos de switch Fast Ethernet y Gigabit Ethernet (100 Mbps y 1000
Mbps respectivamente). Otro requerimiento de la caracterstica de algunos switches de
capa de acceso es PoE y el agregado de enlaces.
Acorde a las caractersticas que se necesitan para los switches de acceso, se presenta
en la Tabla 3-8 un resumen de los elegidos con sus respectivas caractersticas:
116
TABLA 3.8: Caractersticas de Switch Capa Acceso

CARACTERSTICAS SWITCHES CAPA DE ACCESO
Switch
Velocidad
Puertos
Rendimiento
IEEE 802.1Q
IEEE 802.1D
IEEE 802.1W
IEEE 802.1P
ACL
PoE
LACP
GbEthernet
MCSa :48Gbps
(Mbps)
3COM
2924
10/100/1000
SFP 24P
3COM
MCTb:35,5Mbps
4400
10/100
Ethernet
48P
3COM
SFP
MCT: 10,1 Mbps

2816
10/100/1000
GbEthernet
16P
3COM
MCS: 13,6Gbps
MCS: 104 Gbps
MCT: 74 Mbps
2226
10/100
Ethernet
MCS: 8.8 Gbps
MCS: 48 Gbps
PLUS
24P
3COM
SFP
2824
PLUS
MCT: 35,5 Mbps
24P
3COM 4500G
48P
MCS: 13,6 Gbps
MCT: 10,1 Mbps
117
3COM
2928
10/100/1000
GbEthernet
SFP 24P
MCS: 56 Gbps
MCT:41.7 Mbps
3COM 4500G
MCS: 8.8 Gbps
10/100
Ethernet
4900
10/100/1000
GbEthernet
4210
10/100
Ethernet
10/100/1000
GbEthernet
24P
3Com
12P
3Com
18P
3COM 2952
48P
MCS: 104 Gbps.

MCT: 74 Mpps;
Nota: a MCS es la Mxima Capacidad de Conmutacin. b MCT es la Mxima Capacidad de Transmisin.

Consideraciones del diseo
La capa de acceso en una red jerrquica es dedicada exclusivamente a la conectividad con el usuario final mediante los equipos de red finales.
En la figura 3-15 se muestran un diagrama fsico de los switches de capa de acceso.
118
FIGURA 3.17: Diseo de la capa de acceso en la red jerrquica

Al ser la capa de acceso un enlace directo con el usuario final, esta integra a todos los equipos finales, tales como, computadores, cmaras,
telfonos IP, scanner, impresoras, copiadoras, etc.; lo que permite que el administrador controle todos los equipos que se conecten a la red.
Para ello se ha considerado segmentar lgicamente la red.
119
En el estudio de la situacin actual se determin que los usuarios se encuentran agrupados

acorde a la funcin que stos desempean y acorde a los recursos que utilizan.
Antes de realizar la segmentacin hay que tener en cuenta varios aspectos:
Se debe asignar a cada usuario una direccin IP, la misma que no debe ser modificada
sin autorizacin; para controlar esto; se debe asociar la direccin MAC de cada equipo,
con la direccin IP asignada, de tal forma que si las dos no coinciden, el usuario no
podr acceder a la red.
Se debe tener un registro actualizado de los cambios que se registren la infraestructura
de la red.
Segmentacin y Direccionamiento IP
La segmentacin de una red permite mejorar significativamente la seguridad, ya que los
administradores pueden configurar segmentos de tal forma que transmiten y reciben
paquetes nicamente desde su subred, asegurndose que los paquetes no autorizados
no se envan dentro o fuera del segmento.
Para realizar la segmentacin se ha considerado la agrupacin que se mantiene en el
GADMO, agrupacin por las diferentes direcciones, coordinaciones y/o jefaturas,
funciones desempeadas por cada usuario y los recursos que estos usen y necesiten usar.
En la Tabla 3-11 se resume la asignacin de VLAN para cada direccin, coordinacin y/o
jefatura, junto con el direccionamiento IP aplicado.
120
TABLA 3.9: Segmentacin y Direccionamiento IP Capa de Acceso

Mscara de
subred
Gateway
192.168.2.0
255.255.255.192
192.168.2.1
50
192.168.4.0
255.255.255.192
192.168.4.1
VADMIN
30
192.168.2.64
255.255.255.224
192.168.2.65
VLAN 4
VDAP
192.168.2.104
255.255.255.248
192.168.2.10
5
VLAN 5
VTAP
12
192.168.1.176
255.255.255.240
192.168.1.17
7
Asistentes
VLAN 6
VAAP
192.168.3.96
255.255.255.248
192.168.3.97
Alcalda
VLAN 7
VALCAL
192.168.2.96
255.255.255.248
192.168.2.97
VLAN 8
VTALCAL
28
192.168.1.64
255.255.255.224
192.168.1.65
Asistentes
VLAN 9
VAALCAL
192.168.3.152
255.255.255.248
Director
VLAN 10 VDAVAL
192.168.2.112
Dependencia
Conmutadores y
Enrutadores
Servidores
COORDINACIN TICs
VLAN
Nombre
VLAN
VLAN
Native
VSERV
VLAN 3
#VLAN
VLAN 2
#Puntos
de red
Direccionamiento
40
Unidad de Desarrollo
Unidad de Redes
Unidad de
Mantenimiento
Director
Tcnicos Alcantarillado
AGUA POTABLE
Tcnicos
Comercializacin
Tcnicos Laboratorio
Auditora Interna
Asesora Jurdica
ALCALDA
Secretara General
Fiscalizacin
AVALUOS Y CATASTROS
Avalos Urbanos
Avalos Rurales
Asistentes
VLAN 11 VTAVAL
VLAN 12 VAAVAL
24
4
192.168.3.15
3
192.168.2.11
255.255.255.248
3
192.168.3.0
255.255.255.224
192.168.3.1
192.168.3.80
255.255.255.248
192.168.3.81
121
Director
VLAN 13
VDADMIN
192.168.2.120
255.255.255.248
192.168.2.121
Talento Humano
VLAN 14
VTADMIN
20
192.168.1.96
255.255.255.224
192.168.1.97
Ventanillas
VLAN 15
VVUE
16
192.168.3.32
255.255.255.224
192.168.3.33
Asistentes
VLAN 16
VAADMIN
192.168.3.90
255.255.255.248
192.168.3.91
Director
VLAN 17
VDCXS
192.168.2.128
255.255.255.248
192.168.2.129
Participacin
Ciudadana
VLAN 18
VTCXS
12
192.168.1.192
255.255.255.240
192.168.1.193
Asistentes
VLAN 19
VACXS
192.168.3.104
255.255.255.248
192.168.3.105
Director
VLAN 20
VDGSI
192.168.2.136
255.255.255.248
192.168.2.137
VLAN 21
VTGSI
10
192.168.1.208
255.255.255.240
192.168.1.209
Asistentes
VLAN 22
VAGSI
192.168.3.114
255.255.255.248
192.168.3.115
Director
VLAN 23
VDFIN
192.168.2.144
255.255.255.248
192.168.2.145
VLAN 24
VTFIN
192.168.1.0
255.255.255.192
192.168.1.1
VLAN 25
VAFIN
192.168.3.64
255.255.255.240
192.168.3.65
VLAN 26
VDGAMB
192.168.2.152
255.255.255.248
192.168.2.153
VLAN 27
VTGAMB
20
192.168.1.128
255.255.255.224
192.168.1.129
Coordinadores/as
DIRECCIN ADMINISTRATIVA
COMUNICACIN SOCIAL
GESTIN SOCIAL E INTERCULTURAL Tcnicos
Presupuestos
Contabilidad
Rentas
DIRECCIN FINANCIERA
40
Coactivas
Recaudacin
Tesorera
Bodega Municipal
Asistentes
Director
12
Residuos Slidos
Gestin Ambiental
GESTIN AMBIENTAL
Junta Cantonal
Junta de la Niez
Secretaria de
Higiene
122
Asistentes
VLAN 28
VAGAMB
192.168.3.120
255.255.255.248
192.168.3.121
Director
VLAN 29
VDPLAN
192.168.2.160
255.255.255.248
192.168.2.161
VLAN 30
VTPLAN
14
192.168.1.160
255.255.255.240
192.168.1.161
VLAN 31
VAPLAN
192.168.3.128
255.255.255.248
192.168.3.129
VLAN 32
VDINFRA
192.168.2.168
255.255.255.248
192.168.2.169
VLAN 33
VTINFRA
192.168.1.224
255.255.255.240
192.168.1.225
Asistentes
VLAN 34
VAINFRA
192.168.3.138
255.255.255.248
192.168.3.139
Director
VLAN 35
VDPSP
192.168.2.176
255.255.255.248
192.168.2.177
Comit de Fiestas
VLAN 36
Yamor
VTPSP
192.168.1.240
255.255.255.240
192.168.1.241
Asistentes
VAPSP
192.168.3.144
255.255.255.248
192.168.3.145
255.255.255.240 192.168.5.145
255.255.255. 240 192.168.5.161
255.255.255.224 192.168.5.65
192.168.5.201
255.255.255.248
Proyectos
Arquitectnicos
PLANIFICACIN
Jefatura de
Regulacin
Urbana
Comisaria
Construcciones
Comisaria
Municipal
Parqueo Tarifado
Asistentes
Director
Topografa
INFRAESTRUCTURA
Unidad Tcnica
Ingeniera Vial
PROMOCIN SOCIAL Y PATRIMONIO
VLAN 37
ENTES EXTERNOS
TURISMO
VUE
Asistentes
PYMES
VLAN 40
VLAN 43
VLAN 42
VTVUE
VATURIS
VPYMES
14
10
20
192.168.5.144
192.168.5.160
192.168.5.64
Director
VLAN 41
VDTURIS
192.168.5.200
123
UNIDAD DE TRANSPORTES
COLIBRI
CASA DE LA JUVENTUD
MUNICIPIO 2
Tcnicos
Asistentes
Director
Tcnicos
Director
Asistentes
General
General
VLAN 46
VLAN 45
VLAN 44
VLAN 48
VLAN 47
VLAN 49
VLAN 50
VLAN 51
VTTRANS
VATRANS
VDTRANS
VTCOL
VDCOL
VACOL
VJUVEN
VMUN
14
6
4
10
4
4
40
20
192.168.5.128
192.168.5.192
192.168.5.208
192.168.5.176
192.168.5.216
192.168.5.224
192.168.5.0
192.168.5.96
255.255.255.240
255.255.255.248
255.255.255.248
255.255.255.240
255.255.255.248
255.255.255.248
255.255.255.192
255.255.255.224
192.168.5.129
192.168.5. 193
192.168.5.209
192.168.5.177
192.168.5.217
192.168.5.225
192.168.5.1
192.168.5.97
La distribucin de VLAN se puede diferenciar las siguientes:

VSERV: VLAN de servidores y equipos; la misma que ha sido destinada para el direccionamiento IP de los servidores y del equipamiento activo de la
Coordinacin de TICs.
VADMIN: VLAN de administracin; la misma que ha sido destinada para el direccionamiento IP de los administradores de la red, es decir los tcnicos e
ingenieros de la Coordinacin de TICs.
VTECN: VLAN de tcnicos y colaboradores; la misma que ha sido destinada para el direccionamiento IP del personal de todas las direcciones que requieren
el uso pginas web pblicas, pginas web informativas y/o comerciales y correo electrnico para su trabajo.
VASIST: VLAN de asistentes; la misma que ha sido destinada para el direccionamiento IP de los asistentes y/o secretarias que nicamente necesitan el
correo electrnico para su trabajo.
VDIREC: VLAN directores; la misma que ha sido destinada para el direccionamiento IP de los directores y/o coordinadores, los cuales tendrn acceso
prioritario para todos los servicios.
124
A nivel de acceso se configurar las VLAN en los switch 3com expuestos en la Tabla 3-1, los cuales brindarn la conexin hacia el usuario final, cada uno de
los puertos sern configurados segn la VLAN asociada al usuario.
Adems se muestra en la Figura 3-16 se muestra la propuesta grfica de la distribucin de VLANs para la red de datos del GADMO
FIGURA 3.18: Propuesta grfica de distribucin de VLANS a nivel de acceso

Fuente: Elaborada por Andrea Zura Configuracin de Listas de Acceso a nivel de VLAN
125
Las listas de control de acceso se asignaron acorde a
las polticas de seguridad
aplicadas en el Manual de Normas y procedimientos; el cual se realiz en base al estudio

de la situacin actual.
Se presenta la tabla la asignacin de las listas de acceso
TABLA 3.10: Asignacin de ACL en funcin de la VLAN
Nombre del switch
Switch GES-SOC
Nombres y nmeros
de VLAN
Nombre de Acces-List
VLAN 20 VDGSI
Ges-total
VLAN 21 VTGSI
Ges-web
VLAN 22 VAGSI
Ges-correo
VLAN 36 VTPSP
Prom-web
VLAN 37 VAPSP
Prom-correo
VLAN 38 VSERV
CTIC-total
VLAN 4 VDAP
AP-total
VLAN 27 VTGAMB
Amb-web
VLAN 26 VDGAMB
Amb-total
VLAN 11 VTAVAL
Aval-bdatos
VLAN 25 VAFIN
Fin-correo
VLAN 33 VTINFRA
Infra-web
VLAN 34 VAINFRA
Infra-correo
VLAN 10 VDAVAL
Aval-total
VLAN 12 VAAVAL
Aval-correo
VLAN 28 VAGAMB
Amb-correo
VLAN 32 VDINFRA
Infra-total
VLAN 3 VADMIN
Admin-correo
VLAN 5 VTAP
AP-web
VLAN 6 VAAP
Ap-correo
VLAN 30 VTPLAN
Plan-web
VLAN 29 VDPLAN
Plan-total
VLAN 31 VAPLAN
Plan-correo
VLAN 13 VDADMIN
Plan-total
VLAN 14 VTADMIN
Plan-web
VLAN 18 VTCXS
Cxs-web
Switch PROM-SOC
Switch CTIC-AP
Switch GES-AMB
Switch AVALUOS
Switch INFRA
Switch Varios1
Switch CTIC-AP1
Switch PLANIF
Switch ADMIN
Switch COMSOC
126
VLAN 19 VACXS
Cxs-correo
VLAN 17 VDCXS
Cxs-total
VLAN 16 VAADMIN
Admin-correo
VLAN 7 VALCAL
Alcal-total
VLAN 8 VTALCAL
Alcal-web
VLAN 9 VAALCAL
Alcal-correo
VLAN 23 VDFIN
Fin-total
VLAN 35 VDPSP
Psp-total
Switch VUE
VLAN 15 VVUE
Vue-correo
Switch Finanzas
VLAN 24 VTFIN
Fin-web
VLAN 40 VTVUE
Vue-web
VLAN 43 VATURIS
Turis-correo
VLAN 42 VPYMES
Pymes-total
VLAN 41 VDTURIS
Turis-total
VLAN 46 VTTRANS
Trans-web
VLAN 45 VATRANS
Trans-correo
VLAN 44 VDTRANS
Trans-total
VLAN 48 VTCOL
Col-web
VLAN 47 VDCOL
Col-total
VLAN 49 VACOL
Col-correo
VLAN 50 VJUVEN
Juven-total
Switch ALCALDIA
Switch PROMFIN
Switch TURISMO
Switch TURISMO1
Switch
TRANSPORTES
Switch COLIBRI
Switch JUVENTUD
Switch MUNICIPIO2 VLAN 51 VMUN
Mun-total
Las listas de acceso se definieron de la siguiente manera:

Ges-total: Las Vlan de acceso de los directores y/o coordinadores tienen acceso a los
servidores web, y correo en todo el horario de la jornada laboral.
Ges-web: Las VLAN de acceso de los tcnicos y/o colaboradores tiene acceso a los
servidores web, con restriccin de horario y pginas web, tambin tienen acceso al
servidor de correo electrnico.
Ges-correo: Las VLAN de acceso de las secretarias y/o asistentes tiene acceso
nicamente al servidor de correo.
127
Aval-bdatos: Las VLAN de acceso a ciertas direcciones que necesitan el acceso a los
servidores de bases de datos.
3.1.2 SWITCHES DE CAPA DISTRIBUCIN
Los switches de capa de distribucin recopilan los datos de todos los switches de capa de
acceso y los envan a los switches de capa ncleo, adems proporcionan funciones de
enrutamiento entre las VLAN.
Entre las caractersticas que deben soportar los switches de capa distribucin son la tasa
de envi alta, puertos Gigabit Ethernet/ 10Gigabit Ethernet, componentes redundantes,
polticas de seguridad/listas de control de acceso, agregado de enlaces y calidad de
servicio. (CISCO)
en la Tabla 3-11 un resumen de los elegidos con sus respectivas caractersticas:
TABLA 3.11: Caractersticas Switch Capa Distribucin
SWITCH 2952 SFP PLUS 48P

Funcionalidades
Rendimiento
Descripcin
48 10BASE-T/100BASE-X/1000BASE-T
4 Gigabit SFP ports
Mxima Capacidad de switching: 104 Gbps.
Mxima capacidad de transmisin 74 Mpps;
SWITCHING DE CAPA 2 VLANs basadas en protocolo IEEE 802.1Q

Protocolo Spanning Tree (STP) IEEE 802.1D
Protocolo Rapid Spanning Tree (RSTP) IEEE 802.1w
SWITCHING DE CAPA 3 Rutas estticas: 32
Virtual VLANs Interface: 8
Priorizacin de trfico
Clase de Servicio/Calidad de Servicio (CoS/QoS) IEEE

802.1p en salida
Seguridad
Filtros ACLs basadas en direccionamiento IP y MAC para

filtrar el trfico de red y mejorar el control de la red.
ACL basadas en tiempo permiten una mayor flexibilidad con
acceso a la red de gestin.
Fuente: Elaborado por Andrea Zura en referencia a http://goo.gl/yIQtdJ
128
Consideraciones del diseo

La capa de distribucin agrega los datos recibidos de los switches de la capa de acceso antes de que se transmitan a la capa ncleo para el
enrutamiento hacia su destino final. (CISCO)
En la figura 3-20, se muestran un diagrama fsico de los switches de capa de acceso.
FIGURA 3.20: Diseo de la capa de distribucin en la red jerrquica

129
Los switches 3COM 2952 SFP PLUS 48P manejarn los enlaces de conexin con todos
las conexiones hacia los servidores, conexiones en la red interna as como tambin el
manejo de inter VLANs de la red del GADMO. Adicionalmente estos equipos se
configuraran como backup asegurando as la disponibilidad de la red.
3.3.1.3 SWITCHES DE CAPA NCLEO
La capa ncleo de una topologa jerrquica es una backbone de alta velocidad de la red
y requiere switches que pueden manejar tasas muy altas de reenvo. La velocidad de
reenvo requerida depende en gran medida del nmero de dispositivos que participan en
la red. Por ello un switch de capa ncleo debe soportar capa 3, sus puertos debern se
Gigabit Ethernet/10 Gigabit Ethernet, tener componentes redundantes, agregado de
enlace y soportar calidad de servicio. (CISCO)
en la Tabla 3-12 un resumen del switch elegido con sus respectivas caractersticas:
TABLA 3.12: Caractersticas switch 3com 5500 SFP 24P
SWITCH 3COM 5500 SFP 24P
Descripcin
Funcionalidades
Rendimiento
24 puertos 10/100/1000 Mbps

4puertos 1000 Mbps SFP
Mxima Capacidad de switching: 184 Gbps.
Mxima capacidad de transmisin 136.9 Mbps;
SWITCHING DE CAPA 2
VLANs basadas en protocolo IEEE 802.1Q

Protocolo Spanning Tree (STP) IEEE 802.1D
Protocolo Rapid Spanning Tree (RSTP) IEEE 802.1w
SWITCHING DE CAPA 3
Routing basado en hardware

Rutas estticas: 100
Interfaces Virtuales IP: 64
RIP (Protocolo de informacin de ruteo), v1 y v2
Open Shortest Path First (OSPF)
Priorizacin de trfico
Clase de Servicio/Calidad de Servicio (CoS/QoS) IEEE 802.1p en

salida
Seguridad
Las listas de control de acceso basadas en el tiempo
Fuente: Elaborado por Andrea Zura en referencia a http://goo.gl/QvBQ08

130
Considraciones del diseo

La capa de ncleo es esencial para la interconectividad entre los dispositivos de la capa de distribucin, por lo tanto, es importante que el ncleo
sea sumamente disponible y redundante. Adems puede conectarse a los recursos de Internet. (CISCO)
En la figura 3-21, se muestran un diagrama fsico de los switches de capa ncleo.
FIGURA 3.21: Diseo de la capa ncleo en la red jerrquica

Adems se pudo evidenciar que la topologa actual de la red de datos del GADMO tiene los switches en configuracin en cascada por la
necesidad de dar servicio a la mayora de los usuarios, sin embargo esto reduce el rendimiento de la red.
La red de datos del GADMO, cuenta con equipamiento COM, marca propietaria con tecnologa XRN, la misma que permite mejorar el
funcionamiento de la red, mediante la administracin de los diferentes switches como una sola unidad.
131
3.4 PRUEBAS DE FUNCIONAMIENTO

Las pruebas de funcionamiento se las realizar utilizando mtodos de Hacking tico; el
mismo que segn (Plata) consiste en la simulacin de posibles escenarios donde se
reproducen ataques de manera controlada, as como actividades propias de los
delincuentes cibernticos, esta forma de actuar tiene su justificacin en la idea de que:
"Para atrapar a un intruso, primero debes pensar como intruso"
3.4.1 DETECCIN DE VULNERABILIDADES
El atacante por lo general, buscara vulnerabilidades en el sistema que pueda aprovechar
para transformarlas en ataques o amenazas. Dichas vulnerabilidades pueden ser
Consultas a bases de datos, consultas de cabeceras de mails, escaneo de puertos,
peticiones http, bsqueda de datos dentro de archivos, entre otros (Tori).
Dado esto, se realizar un escaneo de puertos mediante la herramienta Nmap, cuyo
objetivo es la identificacin de puertos abiertos, que estn a la espera de nuevas
conexiones, permitidas o no.
Cabe aclarar que todas las pruebas realizadas son en base al mtodo White Box Test;
que de acuerdo a (Tori): este es un chequeo que es llevado a cabo por un pentester que
tiene toda la informacin acerca del sistema.
3.4.1.1 ATAQUES O INTRUSIONES POR CAPAS
Los objetivos que persigue el Hacking tico de acuerdo a (Plata) son:
Evaluar vulnerabilidades a travs de la identificacin de debilidades provocadas por
una mala configuracin de las aplicaciones.
Analizar y categorizar las debilidades explotables, con base al impacto potencial y la
posibilidad de que la amenaza se convierta en realidad.
Proveer recomendaciones en base a las prioridades de la organizacin para mitigar y
eliminar las vulnerabilidades y as reducir el riesgo de ocurrencia de un evento
desfavorable.
132
En base a dichos objetivos se realizaron las pruebas en las diferentes capas del modelo
OSI, y tomando como referencia la Figura 3.22
ATAQUES POR CAPA
CAPAS MODELO OSI
Buffer overflows, exploit code, software maliciosos, virus,

gusanos, troyanos.
Aplicacin
Presentacin
NetBIOS enumeration, protocol attack
Sesin
Session hijacking, SYN attacks
Transporte
Port scanning, DOS ttacks
Red
IP attacks, routing attacks, ARP Poisoning, MAC flooding and

ICMP assaults such as Smurf
Enlace de Datos
Passive and active snniffing, MAC spoofing, and WEP cracking
Fsica
Kardware hacking, lock picking, physical access attacks.
FIGURA 3.22: Ataques para cada capa del Modelo OSI

Fuente: Extrada de (Cabrera, 2012)
a. Capa Enlace de datos.

ARP spoffing fue la tcnica elegida para realizar el hacking tico en esta capa; dicha
tcnica segn (Thomas Demuth) es una tcnica donde el atacante deliberadamente
transmite un paquete ARP falso.
Para realizar el ARP Spoffing se siguieron los pasos siguientes:
Se debe activar el activar IP forwarding para evitar que se corte el trfico del usuario, la
configuracin se muestran en la figura
FIGURA 3.23: Activacin del IP forwarding

133
Fuente: Extrada del terminal de SELKS
El siguiente paso es envenenar la tabla ARP tanto el gateway como el usuario para
obtener hacer pasar el trfico por el sistema del atacante en ambas direcciones:
FIGURA 3.24: Envenenamiento IP en usuario

A continuacin hacemos lo mismo pero esta vez con el gateway:
FIGURA 3.25: Envenenamiento IP en Gateway

Ahora se procede a capturar el trfico en el host atacante mediante un tcpdump
FIGURA 3.26: Captura de trfico en host atacante.

134
Eso es todo el proceso; el mismo se puede evaluar en un snnifer como lo es Wireshark3,

en el cual se podr observar en la figura 3-27.
FIGURA 3.27: Anlisis de envenenamiento ARP en Wireshark

Fuente: Editado y extrado del software Wireshark
Se observa en la figura 3-27 ocho eventos en los que se describe:

Eventos 2781-2782 se hace peticiones ARP desde el Gateway hacia el usuario; y se
le da a conocer la direccin MAC de la peticin.
Eventos 2818-2819 se hace peticiones ARP desde el usuario hacia el gateway; y se le
da a conocer la direccin MAC de la peticin.
Eventos 2999-3000 mediante broadcast se realiza la peticin de conocer la direccin
MAC tanto del gateway como del usuario.
Eventos 3001-3002, se puede observar ya el envenenamiento ARP, ya que en el

primer evento se tiene una direccin MAC para la direccin IP del Gateway; pero a
evento seguido esta direccin MAC cambia.
Mitigacin.
En el directorio de las reglas de suricata, encontraremos el archivo scirius.rules; en el cual
se pude combatir este ataque; activando la alerta en dicho protocolo.
FIGURA 3.28: Mitigacin ataque Arp Spoofing

Fuente: Extrado de SELKS
Wireshark es un analizador de protocolos open-source diseado por Gerald Combs y que actualmente
est disponible para plataformas Windows y Unix. (Febrero, 2011)
135
El IDS-IPS, mostrar las alertas debido a que este ataque de ARP Spoffing. En la pantalla
se muestran todas las direcciones MAC que estn haciendo peticiones en la red; y acorde
al nmero de veces que cada direccin MAC haga una peticin se realiza un grfico
estadstico.
FIGURA 3.29: grfico estadstico de eventos producidos por ataque ARP Spoffing
Fuente: Extrado del web admin de SELKS
Adems se puede observar un resumen de alertas por dicho evento, en el que se indica
entre los parmetros ms importantes la direccin IP origen y destino.
FIGURA 3.30: Resumen de alertas producidas

Se puede adems desplegar de manera detallada cada uno de estos eventos; en los que
se muestra adems de las direcciones IP, las direcciones MAC.
136
FIGURA 3.31: Detalle de alertas producidas

3.4.1.1.2 CAPA DE RED

En esta capa se puede realizar diferentes tipos de ataques los mismos basan su objetivo
en imposibilitar el acceso normal a los servicios y recursos de una organizacin durante
un tiempo indefinido.
ICMP Flood
Satura el un equipo con solicitudes de ICMP Echo Request para que no pueda responder
a las peticiones reales.
Para realizar este ataque se utiliz un software denominado ByteDoS4 v3.2
La herramienta ByteDos utiliza la tcnica SYN Flood, que consiste en enviar un flujo de paquetes
TCP/SYN muchas veces con la direccin de origen falsificada. Cada uno de los paquetes recibidos es
tratado por el destino como una peticin de conexin, causando que el servidor intente establecer una
conexin al responder con un paquete TCP/SYN-ACK y esperando el paquete de respuesta TCP/ACK.
137
FIGURA 3.32: Saturacin de equipo mediante ICMP Flood

Fuente: Extrado de ByteDoS v3.2
Se puede hacer un anlisis con Wireshark, en el que se observa que, en un intervalo muy
corto de tiempo, existen numerosos intentos de conexin por parte de la IP 192.168.4.11
al puerto 80 de la mquina 192.168.4.1, situacin algo inusual.
FIGURA 3.33: Grfica de flujo en Wireshark

Fuente: Extrada de Wireshark
138
Mitigacin
FIGURA 3.34: Mitigacin ataque ICMP Flood

Fuente: Extrada de SELKS
El resultado mostrado por Suricata, se lo puede apreciar de diferentes modos; uno de

ellos es mediante un grfico estadstico en donde se muestran todas las alertas suscitadas
en la red.
FIGURA 3.35: Resultado estadstico de Suricata

Adems el sistema muestra un grfica de la ubicacin del origen de las intrusiones

suscitadas
139
FIGURA 3.36: Grfica de ubicacin de intrusiones

Puede tambin mostrar un resumen de todas las alertas emitidas al IDS-IPS Suricata.
FIGURA 3.37: Resumen de alertas de intrucin

De igual manera se puede observar de manera detallada cada una de las alertas, donde
se observar la direccin IP de origen, la hora de la penetracin entre otros.
140
FIGURA 3.38: Detalle de alertas de intrucin

3.4.1.1.3 CAPA DE TRANSPORTE

En esta capa existen diferentes tipos de ataques, en los que se encuentra el Escaneo y
fingerprinting5, tcnica que
permite recopilar informacin significativa al apuntar un
escaneo a los hosts del objetivo o al procesar la informacin que brinda ste como
resultado. (Tori).
Escaneo de puertos
Es una tcnica que consiste en analizar las huellas que deja un sistema operativo en sus conexiones de
red. Est basada en los tiempos de respuesta a los diferentes paquetes, al establecer una conexin en el
protocolo TCP/IP, que utilizan los diferentes sistemas operativo. http://urlmin.com/4qp95
141
Descubrir que puertos estn abiertos, filtrados o cerrados, adems de averiguar qu tipo
y versin de aplicacin est corriendo en estos puertos y servicios.
En base a estos conceptos preliminares; se realiz un escaneo de puertos, utilizando la
herramienta nmap. Se muestra en la figura
FIGURA 3.39: Escaneo de puertos

Fuente: Extrada del software Zenmap
Se puede observar que se tiene abierto el puerto SSH, por lo tanto se puede aprovechar
esta vulnerabilidad y desde un cliente ingresar hasta el servidor; se muestra en la figura
Al igual que en los casos anteriores, es posible realizar un anlisis mediante Wireshark,
el mismo que se muestra en la figura.
FIGURA 3.40: Anlisis de puertos con Wireshark

Fuente: Extrada de Wireshark
142
Mitigacin
FIGURA 3.41: Mitigacin Ataque de escaneo de puertos

El resultado en Suricata es:
FIGURA 3.42: Resultado de alertas por escaneo de puertos

En donde destacan informacin proporcionada por la alerta; tal como la direccin IP desde
donde se realiz la peticin, el servicio o protocolo; la hora y fecha exacta; as como
tambin el software y la versin utilizada para realizar la intrusin.
3.4.1.1.4 CAPA DE SESIN
En esta capa se puede hacer diferentes ataques tales como escaneo TCP SYN, tcnica
que enva un paquete SYN. Si la respuesta es un paquete SYN/ACK, el puerto est
abierto, mientras que si es un RST, se encuentra cerrado.
143
Es as que mediante la herramienta Znamap se realiz un escaneo TCP SYN; el mismo

que nos da como resultado la cantidad de host activos; el sistema operativo que utiliza, la
direccin IP y direccin MAC, el estado de los puertos; entre otros detalles.
FIGURA 3.43: Escaneo TCP SYN

Fuente: Extrado d la herramienta Zenmap
Mitigacin
En el directorio de las reglas de suricata, encontraremos el archivo stream-events.rules;
en el cual se pude combatir este ataque; activando la alerta en dicho protocolo.
FIGURA 3.44: Mitigacin ataque escaneo TCP SYN

144
El resultado de Suricata se presenta en un resumen en el que se indica la direccin IP de

origen de la intrusin el tipo de intrusin, la hora en la que sucinto; entre otros.
FIGURA 3.45: Resultado de alerta ante intrusin TCP-SYN

3.4.1.1.5 CAPA DE APLICACIN

En esta capa se puede realizar ataques mediante la descarga de aplicaciones de dudosa
procedencia.
Para ello desde el cliente realizaremos una descraga de un archivo ejecutable
FIGURA 3.46: Descarga desde un cliente de un archivo ejecutable

Fuente: Extrada de entorno web cliente
Mitigacin
En el directorio de las reglas de suricata, encontraremos el archivo files.rules; en el cual
se pude combatir este ataque; activando la alerta en dicho ataque.
145
FIGURA 3.47: Mitigacin ataques de descargas de archivos dudosos

Es as que el software muestra un grfico estadstico de las descargas realizadas
FIGURA 3.48: Grfico estadstico de descargas realizadas

FIGURA 3.49: Grfico estadstico de descargas realizadas

146
CAPTULO IV
4 PRESUPUESTO REFERENCIAL
una solucin licenciada y una solucin en software libre, en la instalacin de un IDS-IPS.
Cabe recalcar que el anlisis del presupuesto referencial tiene como objetivo principal
proporcionar una medida del presupuesto invertido en la realizacin de un proyecto.
4.1 CLCULO
Antes de iniciar con el clculo del presupuesto, es necesario aclarar que para el diseo
del modelo presentado en el presente proyecto; en la red interna se realiz con los equipos
de conmutacin existentes en el GADMO; en la red perimetral de igual manera. En sta
ltima, se implement un sistema de deteccin y prevencin de intrusos en software libre,
en base a ello se realizar el presupuesto referencial.
Para la migracin de un sistema o programa de Software Propietario (no libre) a Software
Libre (SL) se utilizar el siguiente mtodo para calcular el Costo Total de la Solucin
(CTS). Este mtodo deber aplicarse tanto al Software Propietario como al Software Libre.
Si el costo de este ltimo es menor que el del propietario se deber realizar la migracin.
(Secretara Nacional de la Administracin Pblica, 2014)
Adems en el portal web (Secretara Nacional de la Administracin Pblica, 2014), se
recalca que como requisitos previos de la migracin de un sistema comercial a un sistema
bajo software libre es necesario tener las siguientes consideraciones:
Tener las capacidades mnimas funcionales y tcnicas requeridas por la organizacin

y los usuarios.
Mantener o incrementar la productividad de la organizacin y los usuarios.

Ser compatible o integrable en las plataformas de hardware y software existentes.
4.1.1 SOPHOS UTM 320 NETWORK PROTECTION
Como se haba explicado previamente, el GADMO cuenta con dos equipos de proteccin
de red, a nivel de hardware y software.
147
4.1.1.1 COSTO TOTAL DE LA SOLUCIN (CTS)

Para el clculo del Costo Total de la Solucin (CTS) segn (Secretara Nacional de la
Administracin Pblica, 2014) se considera 3 componentes:
= + +
ECUACIN 4.1: Costo Total de Solucin
Fuente: Recuperado de (Secretara Nacional de la Administracin Pblica, 2014)
Donde:
CTI: Costo Total de Implementacin
CTA: Costo Total Administrativo
CTC: Costo Total de Capacitacin
a. Costo Total de Implementacin (CTI)

Es el costo total de rubros y actividades necesarios para poner a funcionar la solucin. Se
incluye adquisicin de equipos, licencias y recurso humano puntual para la
implementacin. El CTI se calcula de la siguiente forma:
= + + + +
ECUACIN 4.2: Costo Total de Implementacin
Donde:
CP: Costos de las licencias del software considerando la arquitectura
CI: Costos de instalacin, configuracin y adaptacin (si fuera el caso)
CADH: Costos adicionales de hardware e infraestructura
CADS: Costos adicionales de software
CM: Costos de migracin de datos e integracin
Costos de las licencias del software considerando la arquitectura

148
TABLA 4.1: Gastos de adquisicin en licencias de software UTM

Sophos UTM 320
DESCRIPCIN
PRECIO
a Sophos
$4,285.00
UTM 320 Network Protection Subscription
$4,285.00
TOTAL
Fuente: Recuperado de: http://www.enterpriseav.com/UTM-320.asp
Nota a. El valor mostrado es de tres aos de licencia.

Costos de instalacin, configuracin y adaptacin (si fuera el caso)
En este caso, no se incurri en costos de instalacin, configuracin y adaptacin debido
a que la empresa brinda el soporte necesario para estos gastos.
Por lo tanto CI = 0.
Costos adicionales de hardware e infraestructura
El GADMO cuenta con la infraestructura fsica del Sophos UTM 320, cuyos costos se
muestran en la Tabla 4-2.
TABLA 4.2: Costos de hardware e infraestructura
Sophos UTM 320
DESCRIPCIN
PRECIO
Sophos UTM 320 Base Hardware
$ 2,875.00
- 8 GE ports, HDD + Base License for unl. users + power cable

$ 2,875.00
TOTAL
Costos adicionales de software

Existen costos adicionales de software, siempre y cuando se requiera instalar servicios
adicionales prestados por la solucin comercial. Se muestra en la Tabla 4-3.
149
TABLA 4.3: Costos adicionales de software

Sophos UTM 320
DESCRIPCIN
PRECIO
UTM 320 Full Guard Bundle Subscription
$13,000.00
TOTAL
$13,000.00
Costos de migracin de datos e integracin

No existen rubros, en este caso.
Finalmente, con todos los clculos realizados para el Costo Total de Implementacin
se tiene:
= $4,285.00 + $0 + $ 2,875.00 + $13,000.00 + $0
= $20,160.00
b. Costo Total Administrativo (CTA)
Es el costo total promedio anual de rubros y actividades necesarios para garantizar la
disponibilidad, capacidad y continuidad de la solucin implantada. Incluye el costo total
promedio anual del recurso humano empleado en estas actividades. El CTA se calcula de
la siguiente forma:
= + +
ECUACIN 4.3: Costo Total Administrativo
Donde:
CMH: Costos de actualizacin y mantenimiento del hardware e infraestructura
CASS: Costos de actualizacin y soporte del software
CRH: Costos del Recurso Humano
Costos de actualizacin y mantenimiento del hardware e infraestructura
Al comprar el hardware Sophos UTM, es un requisito adquirir tambin al menos un ao

de mantenimiento. En la Tabla 4-4 se muestra el presupuesto.
150
TABLA 4.4: Costos de actualizacin y mantenimiento del hardware e infraestructura.

Sophos UTM 320
DESCRIPCIN
PRECIO
Sophos UTM Premium Support a
$1,750.00
TOTAL
$1,750.00
Nota: a El valor mostrado es el costo de mantenimiento de tres aos.

Costos de actualizacin y soporte del software
Los CASS representan los costos de actualizacin de licencias o nuevas versiones y el

soporte del software. Este ltimo puede ser un valor fijo anual o estimado por
horas/hombre. El valor se muestra en la Tabla 4 -5.
TABLA 4.5: Costos de actualizacin y soporte del software.
Sophos UTM 320
DESCRIPCIN
PRECIO
Sophos UTM 320 TotalProtect Renewala
$1,465.00
TOTAL
$1,465.00
Nota: a El valor mostrado es el costo de renovacin de software anual.

Costos del Recurso Humano
El clculo de estos se muestran en la Ecuacin 4-4.

= + +
ECUACIN 4.4: Costos del recurso humano
Donde:
CA: Costo de personal de la organizacin para administracin de la solucin con el fin
de garantizar la disponibilidad y correcto funcionamiento.

151
CO: Costo de personal de la organizacin para operacin de la solucin con el fin de
garantizar la continuidad de la misma.

CS: Costo de personal de la organizacin para soporte en la solucin de incidentes y
problemas detectados.
i.
Costo de personal de la organizacin para administracin de la solucin con el fin de

garantizar la disponibilidad y correcto funcionamiento.
Es el costo promedio anual de un ingeniero administrador *nmero de ingenieros *
porcentaje de tiempo dedicado a la administracin de la solucin * nmero de aos de
funcionamiento de la solucin.
= % .
ECUACIN 4.5: Costo de administracin de la solucin
Entonces
= 3 10% 3
= 0,9
ii.
Costo de personal de la organizacin para operacin de la solucin con el fin de

El costo promedio anual de un ingeniero operador * nmero de ingenieros * porcentaje de
tiempo dedicado a la operacin de la solucin * nmero de aos de funcionamiento de la
solucin.
= % .
ECUACIN 4.6: Costo de operacin de la solucin.

Entonces
= 1 10% 3
= 0,3
152
iii. Costo de personal de la organizacin para soporte en la solucin de incidentes y

El costo promedio anual de un ingeniero de soporte * nmero de ingenieros * porcentaje
de tiempo dedicado al soporte de la solucin * nmero de aos de funcionamiento de la
solucin
= % .
ECUACIN 4.7: Costo de soporte de la solucin.
Entonces
= 1 10% 3
= 0,3
Cabe recalcar que los aos de funcionamiento, se hicieron en relacin al coste de los
aos de licencia, que en este caso son tres. En base a ello se tendr:
= 0,9 + 0,3 + 0,3
= 1,5
Finalmente, con todos los clculos realizados para el Costo Total Administrativo se
tiene:
= $1,750.00 + $1,465.00 + $1.50
= $.
c. Costo Total de Capacitacin (CTC)
Es el costo promedio anual para la capacitacin continua del personal (tcnico y usuarios)
en la operacin y explotacin de la solucin.
= +
ECUACIN 4.8: Costo Total de Capacitacin
Donde:
CT = Costo hora capacitacin tcnica * nmero de tcnicos * nmero de horas * nmero
aos de funcionamiento de la solucin
153
CU = Costo hora capacitacin usuario * nmero de usuarios * nmero de horas * nmero

aos de funcionamiento de la solucin.
En este caso no se ha realizado ningn tipo de capacitacin tcnica. El costo es $0
Finalmente, con todos los clculos realizados para Costo Total de la Solucin del
software comercial SOPHOS UTM se tiene:
= $20,160.00 + $3,216.50 + $0
= $23,376.50
4.1.2 SURICATA IDS-IPS
Ahora se repiten los clculos para la solucin bajo software libre, propuesto en el presente
trabajo de titulacin.
4.1.2.1 COSTO TOTAL DE LA SOLUCIN (CTS)
Para el clculo del Costo Total de la Solucin (CTS) segn (Secretara Nacional de la
Administracin Pblica, 2014) se considera 3 componentes:
a. Costo Total de Implementacin (CTI)
Es el costo total de rubros y actividades necesarios para poner a funcionar la solucin. Se
incluye adquisicin de equipos, licencias y recurso humano puntual para la
implementacin. El CTI se calcula de la siguiente forma:
Costos de las licencias del software considerando la arquitectura
TABLA 4.6: Gastos de adquisicin en licencias de software SELKS
SELKS
DESCRIPCIN
PRECIO
Sistema Operativo SELKS
$ 0.40a
TOTAL
$ 0.40
Fuente: Recuperado de: https://www.stamus-networks.com/open-source/#selks
Nota a. El sistema operativo SELKS, es un software gratito, descargable desde la web; el

tiempo mximo de descarga es menor a 1 hora; $0.40, es el valor/hora del servicio de
internet usado.
154
Costos de instalacin, configuracin y adaptacin (si fuera el caso)

En este caso, no se incurri en costos de instalacin, configuracin y adaptacin.
Por lo tanto CI = 0.
Costos adicionales de hardware e infraestructura
La configuracin mnima para el uso de SELKS es un computador con procesador de 2
ncleos y 4 GB en RAM, y mnimo 50 GB en disco duro.
TABLA 4.7: Costos de hardware e infraestructura
SELKS
DESCRIPCIN
PRECIO
Inspiron 15 serie 5000
$459,00
4. generacin del procesador Intel Core i3

Disco duro de 500 GB
Memoria de 4 GB
Adaptador Ethernet-USB
$ 20.00a
TOTAL
$479,00
Fuente: Recuperado de: http://www.dell.com/ec/p/inspiron-15-5547-laptop/pd?ref=PD_OC
Nota a Se considera adems el precio de un adaptador de red Ethernet-USB o una tarjeta

de red, ya que el IDS necesita de dos tarjetas de red.
Costos adicionales de software
En este caso no existen gastos adicionales de software. Por lo tanto CADS = $0.
Costos de migracin de datos e integracin
No existen rubros, en este caso. Por lo tanto CM= $0.
Finalmente, con todos los clculos realizados para el Costo Total de Implementacin
se tiene:
= $0.40 + $0 + $479,00 + $0 + $0
155
= $479,40
b. Costo Total Administrativo (CTA)
Es el costo total promedio anual de rubros y actividades necesarios para garantizar la
disponibilidad, capacidad y continuidad de la solucin implantada. Incluye el costo total
promedio anual del recurso humano empleado en estas actividades.
Costos de actualizacin y mantenimiento del hardware e infraestructura
En este caso se puede calcular el costo de mantenimiento preventivo del computador
realizado tres veces al ao. En la Tabla 4-9 se muestra el presupuesto.
TABLA 4.8: Costos de actualizacin y mantenimiento del hardware e infraestructura.
SELKS
DESCRIPCIN
PRECIO
Mantenimiento preventivo a
$180.00
TOTAL
$180.00
Nota: a El valor mostrado es el costo de mantenimiento de tres aos.

Costos de actualizacin y soporte del software
Los CASS representan los costos de actualizacin de licencias o nuevas versiones y el
soporte del software.
Este ltimo puede ser un valor fijo anual o estimado por
horas/hombre. El valor se muestra en la Tabla 4-10.

TABLA 4.9: Costos de actualizacin y soporte del software.
Sophos UTM 320
DESCRIPCIN
PRECIO
SELKSa
$0.40
TOTAL
$$0.40
Nota: a No es posible evaluar el tiempo de actualizacin del software, esto depender de

las actualizaciones que realice el autor del sistema
156
Costos del Recurso Humano

i.
Costo de personal de la organizacin para administracin de la solucin con el fin de

garantizar la disponibilidad y correcto funcionamiento.
Es el costo promedio anual de un ingeniero administrador *nmero de ingenieros *
porcentaje de tiempo dedicado a la administracin de la solucin * nmero de aos de
funcionamiento de la solucin.
Entonces
= 3 10% 3
= 0,9
ii.
Costo de personal de la organizacin para operacin de la solucin con el fin de

El costo promedio anual de un ingeniero operador * nmero de ingenieros * porcentaje de
tiempo dedicado a la operacin de la solucin * nmero de aos de funcionamiento de la
solucin.
Entonces
= 1 10% 3
= 0,3
iii.
Costo de personal de la organizacin para soporte en la solucin de incidentes y

El costo promedio anual de un ingeniero de soporte * nmero de ingenieros * porcentaje
de tiempo dedicado al soporte de la solucin * nmero de aos de funcionamiento de la
solucin
Entonces
= 1 10% 3
= 0,3
Cabe recalcar que los aos de funcionamiento, se hicieron en relacin al mismo tiempo
efectuado en el software licenciado. En base a ello se tendr:
= 0,9 + 0,3 + 0,3
= 1,5
157
Finalmente, con todos los clculos realizados para el Costo Total Administrativo se
tiene:
= $180.00 + $0 .40 + $1.50
= $181.90
c. Costo Total de Capacitacin (CTC)
Es el costo promedio anual para la capacitacin continua del personal (tcnico y usuarios)
en la operacin y explotacin de la solucin.
En este caso, una capacitacin del software por tres das es de $1500, adems se debe
incluir el costo de viticos. El costo es $5000
Finalmente, con todos los clculos realizados para Costo Total de la Solucin del
software libre Suricata se tiene:
= $479,40 + $181.90 + $5000
= $5661.30
4.2. RESULTADO
Si el costo del software libre es menor que el del propietario se deber realizar la
migracin.
Entonces:
Si = $23,376.50
y = $5661.30
Se cumple que: <

SE DEBE REALIZAR LA MIGRACIN
4.3 CONCLUSIONES Y RECOMENDACIONES
En base al desarrollo del trabajo realizado, en ste captulo se exponen las principales
conclusiones que se obtendrn a lo largo de la realizacin de este proyecto;
recomendaciones necesarias en los niveles de Seguridad Fsica, Host, Aplicacin y Datos.

158
4.4 CONCLUSIONES
Se realiz un diseo de seguridad, utilizando un modelo multicapas denominado
Defensa en Profundidad en la red de datos del GAD Municipal de Otavalo, aplicando
nuevas polticas de seguridad en base a la norma ISO/IEC 27002, de manera que ataques
externos e internos puedan ser detectados y evitados oportunamente.
La norma ISO/IEC 27002, fue la base principal para la realizacin del diseo, ya que en
ella se establecen ciertas directrices y objetivos que permiten identificar claramente los
riesgos a los que puede estar expuesta la organizacin, y gracias a ello se pudo crear un
Manual de Normas y procedimientos de seguridad de la informacin; adems de crear
polticas de acceso en la red perimetral y red interna.
El levantamiento de informacin se ejecut con OSSTM 3.0; una metodologa de pruebas
de penetracin que permite realizar un anlisis de riesgos en los canales, Humano, Fsico,
Telecomunicaciones y Redes de Datos, obteniendo resultados que permitieron elaborar
un Manual de Normas y Procedimientos en Base a la Normo ISO/IEC 27002, la misma
que es compatible con la metodologa antes mencionada.
El estudio de la situacin actual, en cuanto a la infraestructura de red permiti identificar
las caractersticas y prestaciones de todo el equipamiento; en base a ello se utiliz dicha
infraestructura en una nueva topologa que ayudar al mejoramiento del servicio y el
mejoramiento de la administracin.
El beneficio de contar con dos Firewalls, en la infraestructura de Red de datos, ayuda a
combatir los focos de inseguridad; siempre y cuando stos se ubiquen de manera tal, que
se aprovechen todas las funciones que dichos equipos ofrecen.
Un modelo de red jerarquizado utilizado para realizar el diseo de red interna, permite
optimizar el uso de los recursos de la red; gracias a la aplicacin de una topologa de red
basada en capas se obtienen caractersticas de escalabilidad, flexibilidad, y sobre todo
seguridad.
Se realizaron pruebas de simulacin de ataques en base a los objetivos de hacking tico;
en las diferentes capas del modelo OSI, con lo que se pudo verificar el funcionamiento
adecuado del IDS-IPS y su sistema de alertas.
Despus de realizar el presupuesto referencial, y de establecer las diferencias

entre tener una solucin licenciada y una solucin bajo software libre, se concluy
que el costo total solucin bajo software libre es menor a la solucin licenciada.
159
4.5 RECOMENDACIONES
La norma ISO/IEC 27002, establece ciertos objetivos de buenas prcticas para asegurar
los sistemas de informacin de una organizacin; pero si dicha organizacin requiere una
certificacin ser recomendable pasar a implementar la norma ISO/IEC 27001 la misma
que especifica los requisitos a cumplir para implantar un SGSI certificable.
El levantamiento de informacin se ejecut con OSSTM 3.0; dicha metodologa de
pruebas de penetracin que permite realizar un anlisis de riesgos en los canales,
Humano, Fsico, Telecomunicaciones y Redes de Datos; mediante objetivos y parmetros
que no todos son obligatorios a cumplir; esto depende de la informacin que se necesite
obtener; pero si se requiere un resultado ms minucioso es recomendable cumplir con
todos ellos.
La realizacin del Manual de normas y procedimientos se realiz en base a los resultados
obtenidos en el levantamiento de informacin y a los objetivos de control proporcionados
por la Norma ISO/IEC 27002; si se quiere mejorar la seguridad, este documento se debe
revisar peridicamente; actualizarlo acorde a las necesidades y socializarlo a todo el
personal para el cumplimiento del mismo.
El diseo de la red interna se realiz con los equipos con los que cuenta el GADMO para
optimizar recursos; pero dicho diseo pude mejorar si se adquieren equipos nuevos con
mejores prestaciones.
Al realizar un presupuesto referencial se comprob que resulta menos costoso tener un
sistema bajo software libre, este puede tener iguales o mejores prestaciones que un
sistema licenciado, ser recomendable migrar todos los sistemas a software libre para
utilizar de mejor manera los recursos.
Para lograr eficiencia operativa en los equipos del Data Center, es necesario contar con
adecuado sistema de enfriamiento, a travs del uso de aires acondicionados de precisin,
los mismos que permitirn mantener la temperatura y humedad dentro de los parmetros
ideales. Este sistema debe mantenerse operativos 24/7 al igual que los servidores y
equipos.
El cableado estructurado y elctrico debe mantenerse operativo, es decir, que debe estar
instalado siguiendo las normas vigentes, y que cumplan con las debidas pruebas de
160
certificacin, as como tambin estar claramente identificado mediante etiquetas en las

que se indique su origen y destino.
Aplicar polticas de acceso y control al Datacenter, por lo que es necesario la instalacin
de sistemas de identificacin, ya sea stos biomtricos, sistemas de proximidad,
identificadores de huella digital, entre otros que ayuden a tener un control y registro de las
personas que ingresan al Datacenter.
Para asegurar la disponibilidad de los sistemas, es necesario tener redundancia en todo
el Datacenter, o al menos en los sistemas sensibles, tales como la energa elctrica, la
misma que debe provenir de dos fuentes diferentes de alimentacin as como tambin
contar un banco de bateras, un generador elctrico, UPS y TVSS.
Es necesario tener en cuenta las fechas de mantenimiento preventivo que se deben
realizar al
generador elctrico para que el voltaje que genera, est dentro de los
parmetros requeridos.
Contar con equipos de monitoreo remoto, con el que se pueda obtener informacin de
alarmas o eventos que requieran acciones inmediatas en el Datacenter; tales como el
ingreso de una persona, la lectura de temperatura ambiente y humedad, apagado
repentino de equipos.
Realizar un control de parches de softwares instalados para corregir las vulnerabilidades
que ms aprovechan las amenazas.
En base a las polticas de seguridad planteadas, es necesario tener un control de
aplicaciones instaladas y filtrado web en todos los hosts de las estaciones de trabajo.
Tener instalado, actualizado y en constante escaneo al menos un software antivirus y
anti-spam para reforzar la seguridad en los hosts e impedir la circulacin de correo no
deseado, virus y contenido inadecuado por la empresa.
Realizar mantenimientos preventivos peridicos de todos los host de la institucin a fin
de identificar y limpiar programas maliciosos, o que causen conflictos con el rendimiento
de las PCs.
Cifrar los archivos y carpetas empresariales, as como los adjuntos del correo electrnico
a fin de asegurar la confidencialidad de los mimos.
161
En los hosts, en los que se tengan instalado sistemas operativo Windows, resulta
indispensable la activacin del Firewall instalado por defeco en dichos sistemas.
Verificar que todas las aplicaciones creadas por el personal de la institucin, y vayan a
prestar servicios a los usuarios estn libres de error, y que no se pueden manipular.
Todas las aplicaciones que ejecutan operaciones relacionadas con informacin sensibles
de la institucin deben funcionar adecuadamente, de lo contrario, el xito legitimidad de
la misma se vern comprometidos.
Realizar respaldos automticos y peridicos de todos los datos que cursen por la red, con
mayor precaucin y frecuencia de aquellos datos crticos, que comprometan la
continuidad de la institucin.
Para envos de informacin crtica o delicada, es importante considerar herramientas de
codificacin, que ayudarn a mantener la privacidad, confidencialidad e integridad de los
datos.
Es necesario brindar capacitaciones tcnicas a todo el personal que trabaja en la
Coordinacin de TICs, con el fin de obtener la certificaciones del caso en todos los
sistemas que se manejan en el GADMO, y que stos a su vez puedan mejorar
notablemente en el desempeo de sus actividades y por ende en el mejoramiento de los
servicios prestados en la institucin.
162
4.6 BIBLIOGRAFIA
Alfon.
(22
de
Febrero
de
2011).
Seguridad
Redes.
Obtenido
de
http://seguridadyredes.wordpress.com/2011/02/22/ids-ips-suricata-entendiendoy-configurando-suricata-parte-i/
Alvarado, M. S. (s.f.). OSSTMM 3. Anlisis y Diseo de Sistemas de Informacin, 2.
Bertoln, J. A. (2008). Seguridad de la Informacin . Espaa: Paraninfo.
Cabrera, E. C. (2012). Metodologas y marcos de trabajo en seguridad de la informacin.
Ataques comunes en capa 3. Pereira.
CISCO. (s.f.). CCNA 3.
CISCO Networking Academic. (s.f.). CCNA Exploration 4.0. En Conmutacin y conexin
inalmbrica de LAN.
Estrada, A. C. (2011). Seguridad por NIveles. Espaa: DarFE.
Febrero, B. M. (2011). ANLISIS DE TRFICO CON WIRESHARK. Espaa.
Gmez, D. G. (Julio de 2003). Sistemas de Deteccin de Intrusiones.
Guiovanni, A. (s.f.). GUIOOS' Blog. Obtenido de https://guioos.wordpress.com
Hernndez Sampieri, R., Fernndez Collado, C., & Baptista Lucio, P. (Mxico).
Metodologa de la Ivestigacin. MCGRAW-HILL.
Herzog, P. (s.f.). OSSTMM 2.1.
Herzog, P. (s.f.). OSSTMM 3.0.
Lpez, P. A. (s.f.). Seguridad Informtica. Editex.
Martnez, C. G. (2010). Modelo de Defensa en Profundidad.
Mathon, P. (2002). ISA Server 2000 Proxy y Firewall. Barcelona: EMI.
Microsoft. (2004). Gua de defensa en profundidad antivirus.
163
NTE INEN-ISO/IEC 27002. (2009). Tecnologa de la Informacin- Tcnicasde la

Seguridad - Cdifo de Prctica para la Gestin de la Seguridad de la Informacin.
Quito.
Plata, A. R. (s.f.). Ethical Hacking.
Romero Ternero, M. D., Barbancho Concejero, J., Benjumea Mndejar, J., Rivera
Romero, O., Ropero Rodrguez, J., Snchez Antn, G., & Sivianes Castillo, F.
(2010). Redes Locales. Madrid: Paraninfo.
Sarubbi, J. P. (2008). Seguridad Inforntica. Buenos Aires.
Secretara Nacional de la Administracin Pblica. (22 de Enero de 2014). Gobierno
Elecctrnico . Obtenido de http://www1.gobiernoelectronico.gob.ec
Tanenbaum, A. (2003). Redes de Computadoras. Mexico: Pearson.
Thomas Demuth, A. L. (s.f.). ARP Spoofing y Poisoning, TRUCOS DE TRFICO.
Tori, C. (s.f.). Hacking tico. Rosario .
Toth, J., & Sznek, G. (2014). Implementacin de la gua NIST SP800-30 mediante la
utilizacin de OSSTMM. Neuqun.
164
INDICE DE ACRNIMOS
ACL: Access Control List. (Listas de Control de Acceso)
ATM: Asynchronous Transfer Mode. (Modo de Transferencia Asncrona)
CCNA: Cisco Certified Network Associate (Asociado en Redes con Certificacin Cisco.)
DMZ: Demilitarized Zone (Zona Desmilitarizada)
DNS: Domain Name System (Sistema de Nombres de Dominio)
EMI: ElectroMagnetic Interference (Interferencia Electromagntica)
FDDI: Fiber distributed data interface (Interfaz de Datos Distribuida por Fibra)
FTP: File Transfer Protocol (Protocolo de Transferencia de Archivos)
GAD: Gobierno Autnomo Descentralizado
GADMO: Gobierno Autnomo Descentralizado Municipal Otavalo
HTTP: Hypertext Transfer Protocol (Protocolo de Transferencia de Hipertexto).
ICMP: Internet Control Message Protocol (Protocolo de Mensajes de Control de Internet)
IDS: Intrusion Detection System (Sistema de deteccin de intrusiones)
IEC: Comisin Electrotcnica Internacional.
IEEE: Institute of Electrical and Electronic Engineers (Instituto de Ingeniera Elctrica y
Electrnica)
INEN: Instituto Ecuatoriano de Normalizacin
IP: Internet Protocol (Protocolo de Internet)
IPS: Intrusion Prevention System (Sistema de Prevencin de Intrusiones)
ISECOM: Federal Information Processing Standard (Estndares Federales de
Procesamiento de la Informacin)
ISL: Inter-Switch Link
165
ISO:
International
Standard
Organization
(Organizacin
Internacional
para
la
Estandarizacin)
MAC: Media Access Control (Control de Acceso al Medio)
NIC: Network Interface Card (Tarjeta de Interfaz de Red)
NTE: Norma Tcnica Ecuatoriana
OISF: Open Information Security Foundation (Fundacin Abierta de Seguridad de
Informacin)
OSSTMM: Open Source Security Testing Methodology Manual (Manual de la Metodologa
Abierta de Testeo de Seguridad)
PPP: Point-to-Point Protocol (Protocolo Punto-Punto)
PVST: Protocolo Spanning Tree for VLAN
RAV: Risk Assessment Values (Valores de la Evaluacin de Riesgos)
SAI: Sistema de Alimentacin Ininterrumpida
SMB: Server Message Block (Servicio de Bloqueo de Mensajes)
SMTP: Simple Mail Transfer Protocol (Protocolo Simple de Transmisin de Correo)
SSH: Secure SHell.
TCP: Transmission Control Protocol (Protocolo de control de transmisin)
TIC: Tecnologas de la informacin y la comunicacin
TLS: Transport Layer Security (Seguridad de la Capa de Transporte)
UDP: User Datagram Protocol (Protocolo de Datagrama de Usuario)
UPS: Uninterrupted Power Supply (Sistema de Alimentacin Ininterrumpida)
TVSS: Transient Voltage Surge Suppressors (Supresor de Transitorios de Voltaje)
URL: Uniform Resource Identifier (Identificador uniforme de recurso)
VLAN: Virtual Local Area Network (Red de rea Local Virtual)
VTP: VLAN Trunking Protocol
XRN: eXpandable Resilient Networking.
166
ANEXO A
A.1 CANAL HUMANO
Para realizar el anlisis en este canal se ha considerado interactuar con el elemento
humano de una manera fsica o psicolgica.
A.1.1. SEGURIDAD OPERACIONAL
Seguridad Operacional, tambin conocida como la porosidad del alcance, es el primero
de los tres factores de la seguridad real que deberan determinarse. Se mide inicialmente
como la suma de la visibilidad del alcance , de acceso , y la confianza . (Herzog,
OSSTMM 3.0)
El anlisis ser sobre la funcionalidad y la interaccin que tiene cada funcionario de
acuerdo al organigrama funcional del GADMO, con el centro de informtica y la seguridad
de la informacin dentro de la entidad.
El resultado obtenido es:
= + +
ECUACIN A.1: Seguridad Operacional

Fuente: Obtenida de (Herzog, OSSTMM 3.0)
= 1 + 3 + 2
= 6
A continuacin se detalla de donde se obtuvieron los resultados de la seguridad
operacional en el canal humano.
A.1.1.1 VISIBILIDAD
Enumerar el personal dentro del alcance tanto con acceso autorizado y no autorizado a
los procesos dentro del alcance, sin importar la hora o el canal de acceso, y el mtodo
para la obtencin de esos datos. (Herzog, OSSTMM 3.0)
167
TABLA A.1: Resultados obtenidos en el segmento Visibilidad

Metodologa utilizada
Observacin Directa
Encuestas
Resultados
Obtenidos
Nombres de la personas de
entrada
Wilman G.
Javier P.
Jos H.
Curi Y.
Roco P.
Efrain A.
Marcelo G.
Soraya R.
Luis L.
Roque P.
Marcela E.
Tipo de Acceso
Autorizado
Restringido
El nivel de visibilidad en el canal Humano ser de: = 1; debido a que las personas
que trabajan directamente en la coordinacin de TICs tiene acceso autorizado, y personas
que tienen interaccin con el alcance tienen acceso restringido, pero pese a ello hay una
persona con acceso restringido que puede acceder.
A.1.1.2 ACCESOS
Este es un mtodo para evaluar los privilegios de acceso a una organizacin y a sus
bienes a travs de puntos de acceso fsicos. (Herzog, OSSTMM 2.1)
TABLA A.2: Resultados obtenidos en el segmento Accesos
Ingeniera Social
Observacin Directa
Wilman G.
Resultados
Obtenidos
Nombres de la personas de entrada

Roque P.
Aplicaciones de servidores
Informacin Obtenida
Ubicacin del cuarto de equipos

# de Extensiones Telefnicas
El nivel de acceso en el canal Humano ser de: = 3

168
A.1.1.3 CONFIANZA
Las pruebas de confianzas entre el personal dentro del mbito donde la confianza se
refiere al acceso a la informacin o de los activos fsicos de otros objetivos dentro del
alcance. (Herzog, OSSTMM 3.0)
TABLA A.3: Resultados obtenidos en el segmento Confianza
Observacin Directa
Carolina M.
Resultados
Obtenidos
Nombres de la personas de entrada
Freddy L.
Margarita V.
Milton F.
Usuarios y contraseas a host y
correos CONFIDENCIALES
Tipo de Informacin obtenida
El nivel de acceso en el canal Humano ser de: = 2.

A.1.2 CONTROLES
El siguiente paso en el clculo de la RAV es definir los controles; los mecanismos de
seguridad puestos en marcha para proteger las operaciones. En primer lugar la suma de
la prdida en los controles es debe ser determinada por la suma de las 10
categoras de las perdidas en los controles. (Herzog, OSSTMM 3.0).
TABLA A.4: Lista de Controles usados en OSSTMM 3.0
Clase A
CONTROLES
Clase B
Autenticacin
Indemnizacin
Resistencia
Subyugacin
Continuidad
No Repudio
Confidencialidad
Privacidad
Integridad
Alarma
Fuente: Editada de (Herzog, OSSTMM 3.0)

169
As, la suma de los controles se da as:

= + + + + + + + + +
ECUACIN A.2: Suma de prdida en los controles
Fuente: Obtenida de (Herzog, OSSTMM 3.0)
A.1.2.1 AUTENTICACIN
Verificar y enumerar el uso de un sistema de alerta localizada o en todo el mbito de
aplicacin, registro, o un mensaje para cada pasarela de acceso a travs de cada canal
en el que una situacin sospechosa es observada por el personal en caso de sospecha
de intentos de elusin, la ingeniera social, o actividad fraudulenta. (Herzog, OSSTMM
3.0)
TABLA A.5: Resultados obtenidos en el control de Autenticacin
Ingreso al sistema de inicio en los host en
cada estacin.
Resultados
Obtenidos
Lista
de
aplicaciones
necesitan autenticacin
que
Ingreso a las bases de datos

Ingreso a las aplicaciones en todos los
servidores
Bloque del sistema
Despus de 3 intentos
En este caso existen mtodos adecuados de autenticacin en el canal humano. Por lo

tanto:
= 3
A.1.2.2 INDEMNIZACIN
Documentar y enumerar el abuso o la elusin de la poltica de los empleados, seguros,
confidencialidad, no competencia, contratos de responsabilidad civil, o el uso / renuncias
de los usuarios con todo el personal de acceso dentro del alcance sobre todos los canales.
170
TABLA A.6: Resultados obtenidos en el control de Indemnizacin

Actas entrega de equipos informticos
Actas de responsabilidad de equipos
informticos
Resultados
Obtenidos
Lista de contratos, seguros de los

empleados,
contratos
de
confidencialidad.
Acta de responsabilidad del buen uso de

contraseas de ingreso a sistemas
Actas de responsabilidad del buen uso de
usuarios y contraseas del correo
institucional.
Actas de responsabilidad del buen uso de
internet dentro de la entidad.
Acuerdo
de
confidencialidad
informacin reservada de la entidad
de
Lista de abuso o elucin de pollita de

empleados
En este caso no existe abuso o elusin de la indemnizacin en el canal humano por parte
de los empleados, pero si se tiene un control de indemnizacin. Por lo tanto:
= 6
A.1.2.3 RESISTENCIA
Enumerar y probar las insuficiencias en todos los canales del personal en el mbito el cual
la eliminacin del personal de puerta de enlace permita el acceso directo a los activos.
TABLA A.7: Resultados obtenidos en el control de Resistencia
Luis. L
Marcela E.
Lista del personal qe interactan en el
mbito de la seguridad de informacin.
Marcelo G.
Jos H.
Rocio P.
Resultados
Obtenidos
Wilman G.
Canales
Insuficiencias
Fsico
Telecomunicaciones
Redes de datos
Inalmbrico
Aciertos
X
X

171
De acuerdo al test, el control, en todos los canales es de:

= 1
A.1.2.4 SUBYUGACIN
Es un control que garantiza que las interacciones ocurran solamente de acuerdo con los
procesos definidos. El administrador
de los activos definen cmo se produce la
interaccin que elimina la libertad de eleccin, sino tambin la responsabilidad de la

prdida del partido interactuar. (Herzog, OSSTMM 3.0)
De
acuerdo
al
test,
el
control
de
subyugacin
es
nulo;
es
decir:
= 0
A.1.2.5 CONTINUIDAD
Es un control sobre todas las interacciones para mantener la interactividad con los activos
en el caso de la corrupcin o el fracaso.
Contar cada caso de Access de confianza en el mbito de aplicacin lo que asegura que
ninguna interrupcin en la interaccin a travs del canal y el vector pueden ser causados,
incluso en situaciones de fracaso total. La continuidad es el paraguas plazo para
caractersticas como la capacidad de supervivencia, equilibrio de carga, y redundancia.
TABLA A.8: Resultados obtenidos en el control de Continuidad
Tipo de Test
Observacin Directa
Si el personal sale de vacaciones o por
motivos de salud, o personal necesita de
Acciones
permiso para ausentarse ya sea por horas
Resultados
o das.
Obtenidos
El desarrollo de las actividades cotidianas

Observaciones
dentro de la organizacin puede tener

ciertas fallas, ocasionando debilidades en
la continuidad.
172
Por lo tanto el control de continuidad es: = 0

A.1.2.6 NO REPUDIO
El no-repudio provee garanta que ninguna persona o sistema responsable de la
interaccin pueda negar envolvimiento en la misma. (Herzog, OSSTMM 2.1)
Enumerar y probar al uso o las deficiencias del personal para identificar y registrar el
acceso o la interaccin con los activos de pruebas especficas para cuestionar el repudio
correctamente. Documentar la profundidad de la interaccin que se registra. (Herzog,
OSSTMM 3.0)
De
acuerdo
al
test,
el
control
de
No-Repudio
es
nulo;
es
decir:
= 0
A.1.2.7 CONFIDENCIALIDAD
La confidencialidad es la certeza que nicamente los sistemas o partes involucradas en
la comunicacin de un proceso tengan acceso a la informacin privilegiada del mismo.
En esta seccin, sin embargo, un mtodo de confidencialidad puede incluir murmullo
o el uso de seales manuales. (Herzog, OSSTMM 3.0)
TABLA A.9: Resultados obtenidos en el control de Confidencialidad
Tipo de Test
Murmullo
Acciones
En el GADMO se realiza envo de

notificaciones o peticiones mediante
memorandos, u oficios, en los que se
detallan informacin relevante para la
institucin.
Observaciones
Dichos documentos no son ledos

nicamente por los interesados, sino por
terceras personas; existiendo falta de
confidencialidad.
Resultados
Obtenidos
De acuerdo al test, el control de Confidencialidad es:
= 1
173
A.1.2.8 PRIVACIDAD
Mapa de los guardianes de los activos de informacin privadas dentro del mbito de
aplicacin, la informacin que se almacena, cmo y dnde se almacena la informacin, y
sobre las que los canales se comunica la informacin.
TABLA A.10: Resultados obtenidos en el control de Privacidad
Mapa de los guardianes de los activos de
Tipo de Test
informacin privadas
Resultados
Obtenidos
Que se almacena, cmo y dnde
Toda informacin privada se almacena
se almacena la informacin
en bases de datos y discos duros.
De acuerdo al test, el control de Privacidad es:

= 1
A.1.2.9 INTEGRIDAD
En HUMSEC, la separacin de funciones y otros mecanismos de corrupcin de reduccin
proporcionan un control de integridad. Asegurar la integridad personal en que dos o ms
personas se necesitan para un nico proceso para asegurar la supervisin de ese
proceso. Esto incluye que no existe un maestro de acceso a todo el proceso. No puede
haber una persona con acceso completo y sin llave maestra para todas las puertas.
TABLA A.11: Resultados obtenidos en el control de Integridad
Tipo de Test
Observacin directa
En el GADMO, las personas encargadas
Resultados
Obtenidos
Lista de personas que tienen acceso

a todos los lugares
de la limpieza, tiene acceso a todas las

oficinas; pero no tienen acceso a lugares
restringidos
como
el
cuarto
de
comunicaciones.
De acuerdo al test, el control de Integridad es:

= 1
174
A.1.2.10 ALARMA
en el que una situacin sospechosa es observada por el personal en caso de sospecha de
intentos de elusin, la ingeniera social, o actividad fraudulenta. (Herzog, OSSTMM 3.0)
TABLA A.12: Resultados obtenidos en el control de Alarma
Resultados
Obtenidos
Tipo de Test
Observacin directa
Observaciones
Cuando existen alarmas emitidas por el

antivirus de urls sospechosas al acceder
a ciertas pginas de internet, el usuario
responde de manera adecuada a este
tipo de alarmas cerrando inmediatamente
la conexin.
De acuerdo al test, el control de Alarma es:
= 1
A.1.3 LIMITACIONES
El siguiente paso, es el clculo de las limitaciones; las mismas que estn ponderadas de
forma individual. La ponderacin de las vulnerabilidades, debilidades y preocupaciones
se basan en una relacin entre la suma OpSec, la prdida de controles.
A.1.3.1 VULNERABILIDAD
Contar por separado cada defecto o error que desafa las protecciones por el que una
persona o un proceso pueden acceder, negar el acceso a los dems, u ocultar activos
dentro del alcance. (Herzog, OSSTMM 3.0)
TABLA A.13: Resultados obtenidos en Limitacin de Vulnerabilidad
Tipo de Test
Resultados
Obtenidos
Observacin directa
Observaciones
Debido a tendencias culturales y polticas no se

daba informacin necesaria para ocupar los
nuevos puestos.
Falta de capacitacin o experiencia para ocupar

las vacantes dejadas al ser cambio de
autoridades.
175
De acuerdo al test, las vulnerabilidades son:

= 2
A.1.3.2 DEBILIDAD
Es el defecto o error que interrumpa, reduce, abusos, o anula especficamente los efectos
de los cinco controles de interactividad: la autenticacin, la indemnizacin, la resiliencia,
la subyugacin y la continuidad. (Herzog, OSSTMM 3.0)
TABLA A.14: Resultados obtenidos en limitacin de Debilidad
Tipo de Test
Observacin directa
Observaciones
Resultados
Obtenidos
El no haber un guardia en el acceso al Data Center
De acuerdo al test, el clculo de las debilidades es:

= 1
A.1.3.3 PREOCUPACIN
Cuente cada defecto o error en los controles del proceso: el no repudio, confidencialidad,
privacidad, integridad y alarma. (Herzog, OSSTMM 3.0)
= + + + +
ECUACIN A.3: Clculo de la Limitacin Preocupacin
Fuente: (Herzog, OSSTMM 3.0)
= 1 + 1 + 1 + 1 + 0
= 4
A.1.3.4 EXPOSICIN
Cuente cada injustificable accin, defecto o error que proporciona una visibilidad directa
o indirecta de los objetivos o bienes dentro del canal mbito elegido. (Herzog, OSSTMM
3.0).
176
= = 1
A.1.3.5 ANOMALAS
Cuente cada elemento identificable o desconocido que no puede tenerse en cuenta en las
operaciones normales, por lo general cuando la fuente o el destino del elemento no se
pueden entender. Una anomala puede ser una seal temprana de un problema de
seguridad. Dado que las incgnitas son los elementos que no pueden ser controlados,
una auditora adecuada requiere ir observando y anotando todas las anomalas. (Herzog,
OSSTMM 3.0)
No se observaron anomalas durante el tiempo que se realiz el test de penetracin, por
lo tanto:
= 0
A.2 CALCULO DE RAVS
Una manera directa y ms simple para hacer RAVs es usar las hojas de clculo creadas
especficamente calcular el rea de ataque y varias mtricas requeridas, populares a partir
de los datos de prueba. Esta hoja de clculo se encuentra disponible en el sitio web de
ISECOM. El analista slo necesita introducir los valores en las cajas blancas vacas, y el
resto de los clculos se manejar de forma automtica. (Herzog, OSSTMM 3.0).
De acuerdo a los valores obtenidos en la seguridad operacional, controles y limitaciones,
se ha realizado el clculo; el mismo que se muestra en la Figura A-1.
177
Human Security Testing

OSSTMM version 3.0
Fill in the white number fields for OPSEC, Controls, and Limitations with the results
of the security test. Refer to OSSTMM 3 (www.osstmm.org) for more information.
OPSEC
Visibility
Access
Trust
OPSEC
Total (Porosity)
7,722143
CONTROLS
True Controls
Class A
Missing
4,619143
Authentication
Indemnification
Full Controls
Resilience
4,619143
Subjugation
Continuity
True Coverage A
Total Class A
10
20
33,33%
Missing
True Coverage B
Non-Repudiation
13,33%
Confidentiality
Class B
Privacy
Total True Coverage
Integrity
23,33%
Alarm
Total Class B
26
All Controls Total
14
46
Whole Coverage
23,33%
76,67%
True Missing
Item Value
Total Value
Limitations
Vulnerabilities
8,666667
17,333333
13,323878
Weaknesses
4,333333
4,333333
LIMITATIONS
Concerns
5,333333
21,333333
Security
Exposures
1,677778
1,677778
-16,43
Anomalies
1,422222
0,000000
Total # Limitations
44,6778
True Protection
83,57
Actual Security: 83,6299 ravs

FIGURA A.1: Clculo del RAVS en Canal Humano

Fuente: Obtenida de la Calculadora de RAVs de OSSTMM 3.0
178
A.2.1 INTERPRETACIN DE RESULTADOS

La seguridad operacional es bastante baja, tomando en cuenta que sta evala las
diferentes polticas y procedimientos implementados por la administracin. Esto refleja la
falta de manuales de normas y buenas prcticas del manejo de informacin.
Al ser los controles los mecanismos de seguridad puestos en marcha para proteger las
operaciones, cabe recalcar que se tiene mucha prioridad en cuanto a la indemnizacin
del personal, ms no as en otros controles que son totalmente nulos
como la
Subyugacin y la Continuidad.
Las limitaciones se ponderan individualmente, pero stas se relacionan directamente con
algunos controles y seguridad operacional, es as que debido a ello se tiene limitaciones
nulas como en el no repudio; y casi nulas en cuanto a confidencialidad, privacidad,
integridad y alarma.
179
ANEXO B
B.1 SEGURIDAD FSICA
PHYSSEC (seguridad fsica) es una clasificacin para la seguridad material en el reino
fsico que est dentro de los lmites del espacio 3D humano-interactivo. Prueba de este
canal requiere la interaccin no-comunicativo con las barreras y los seres humanos en
posiciones controlador de acceso de los activos. Este canal cubre la interaccin del
analista dentro de la proximidad de los objetivos. (Herzog, OSSTMM 3.0)
B.1.1 SEGURIDAD OPERACIONAL
A continuacin se detalla cmo se obtuvieron los resultados de la seguridad operacional
en el canal de seguridad fsica.
B.1.1.1 VISIBILIDAD
Este es un mtodo para evaluar la seguridad fsica de una organizacin y sus bienes,
verificando las medidas de seguridad de su permetro fsico.
1. Trazar mapa del permetro fsico
2. Trazar mapa de las medidas de proteccin fsicas (cercas, puertas, luces, etc.)
3. Trazar mapa de las rutas de acceso y/o mtodos fsicos
4. Trazar mapa de las reas no monitoreadas (Herzog, OSSTMM 2.1)
TABLA B.1: Resultados obtenidos en Seguridad Operacional: Visibilidad
Mapa
fsico
Resultados
obtenidos
del
permetro
Por
motivos
de
confidencialidad,
el
mapa del permetro
fsico no ser mostrado
en este documento.
Tipos de medidas
de proteccin fsica
Personal
guardiana.
Alarmas
incendios.
de
contra
Lista
de
reas
desprotegidas
o
insuficientemente
protegidas.
Por
motivos
de
confidencialidad, las reas
insuficientemente
protegidas
no
sern
mostradas
en
este
documento.
Despus del anlisis realizado el resultado de visibilidad es: = 8
180
B.1.1.2 ACCESOS
Este es un mtodo para evaluar los privilegios de acceso a una organizacin y a sus
bienes a travs de puntos de acceso fsicos.
TABLA B.2: Resultados obtenidos en seguridad operacional: Accesos
Lista de puntos de acceso fsicos
Resultados
Obtenidos
Ventanas
Puertas
Tipos de autenticacin
Biomtricos
Tipos de sistemas de alarmas
Alarmas contra incendios
Lista de disparadores de alarmas
1. Enumerar reas de control de acceso

2. Examinar dispositivos y tipos de control de acceso
3. Examinar tipos de alarmas
4. Determinar el nivel de complejidad en un dispositivo de control de acceso
5. Determinar el nivel de privacidad en un dispositivo de control de acceso
6. Examinar los dispositivos de control de acceso en bsqueda de puntos dbiles y
vulnerabilidades
7. Examinar posibles ataques de denegacin de servicio sobre los dispositivos de control
de acceso
El nivel de acceso en el canal Fsico ser de: = 4
B.1.1.3 CONFIANZA
Este es un mtodo para obtener acceso a una organizacin o a sus bienes, a travs de
puntos dbiles en su ubicacin y en su proteccin contra elementos externos. (Herzog,
OSSTMM 2.1)
1. Enumerar las reas de la organizacin que son visibles.
a. Debido a que es un Municipio, y que est al servicio de la ciudadana, existen muchos
lugares visibles, pro ninguno que comprometa la seguridad de informacin.
181
2. Enumerar las reas dentro de la organizacin que son audibles.

a. Existen tres lugares audibles que son visibles, pero los 3 estn al servicio de la
comunidad.
3. Examinar las reas de la ubicacin referentes a las entradas por abastecimiento y
bsqueda de puntos dbiles y vulnerabilidades.
a. Existen puntos dbiles y vulnerables, no se revelar la ubicacin por motivos de
confidencialidad; pero en este caso se tiene una confianza de 2.
4. Listar las empresas y empleados de abastecimiento.
a. Existen varios proveedores de sistemas y correspondencia que representan una
vulnerabilidad debido al acceso que tienen al activo ms importante dentro de una
organizacin. Para este caso se tiene una confianza de 4
5. Listar las empresas y empleados de limpieza.
a. Dentro del edificio hay varias personas encargadas de la limpieza, y pueden significar
un punto de vulnerabilidad debido al acceso que tienen. Para este caso se tiene una
confianza de 3.
TABLA B.3: Resultados obtenidos en Seguridad Operacional: Confianza
Mapa de ubicacin fsica de los bienes
Lista de ubicacin fsica de los puntos de acceso
Lista de puntos de acceso vulnerables en la ubicacin
Lista de la ubicacin de los accesos de terceras partes
Resultados
Esperados
Ejemplo:
En una auditora fsica, un edificio con una habitacin separado

por 2 puertas internas abiertas cuenta como confianza de 2. Si se
cierran las puertas que separan la habitacin, entonces es una
confianza de 0 ya que estos no son los puntos donde se puede
pasar.
El nivel de confianza en el canal Fsico ser de: = 9.

182
B.1.2 CONTROLES
seguridad puestos en marcha para proteger las operaciones.
B.1.2.1 AUTENTICACIN
La medicin de la amplitud y profundidad de los puntos de acceso interactivos
dentro de la meta y la autenticacin requerida. El punto de acceso es el punto principal de
cualquier interaccin de activos. La verificacin de un punto de acceso que existe es una
parte de la determinacin de su propsito. (Herzog, OSSTMM 2.1)
TABLA B.4: Resultados obtenidos en Control de Autenticacin
En una auditora PHYSSEC, si se requiere tanto una tarjeta de
Ejemplo:
identificacin especial y una exploracin de la huella del pulgar para

acceder, a continuacin, aadir dos para la autenticacin. Sin
Resultados
embargo, si el acceso slo requiere uno o el otro, entonces slo una
Obtenidos
cuenta.
Cuente cada instancia de autenticacin necesaria para acceder. Esto requiere
que la autorizacin e identificacin componen el proceso para el correcto uso del
mecanismo de autenticacin.
En este caso existe control de autenticacin de huella digital; de acceso ms no de

registro.
= 1
B.1.2.2 INDEMNIZACIN
(a) Documentar y enumerar la capacidad de abusar o evadir la poltica de los empleados,
de seguros, de no divulgacin, no competencia, contratos de responsabilidad civil, o el
uso / renuncias de usuario para el personal dentro del mbito de aplicacin.
(b) Enumerar el uso de seales de advertencia de peligro, vigilancia o alarmas en efecto,
problemas de salud, y publicaciones de ninguna entrada.
(c) Verificar el alcance y la finalidad de la accin legal que se utiliza para mantener la
indemnizacin.
183
TABLA B.5: Resultados obtenidos en Control Indemnizacin

Existen algunas seales de emergencia en el GADMO;
mas no las suficientes.
Lista de de seales de
advertencia
de
Existen tambin garantas de los activos fijos tales

como:
peligro, vigilancia o
Computadores
alarmas
efecto,
Servidores
problemas de salud, y
Equipos de conmutacin
publicaciones
Equipos de ruteo.
Impresoras
Ploter
Software; entre otras.
en
de
ninguna entrada.
Resultados
Obtenidos
Pero cabe recalcar que muchas de ellas ya vencieron.

Un ejemplo bsico es una seal de peligro que amenaza
con
enjuiciar
intrusos. Otro ejemplo comn es el seguro de la

Ejemplo
propiedad.
En
un
mbito
de 200 computadoras, una pliza de seguro contra el

robo de una de ellas, se aplica a todas las 200 y, por
tanto, es un recuento de 200.
En este caso el control de indemnizacin en el canal fsico es de: = 8
B.1.2.3 RESISTENCIA
La determinacin y la medicin de la capacidad de resistencia de las barreras y guardias
en el mbito de los cambios excesivos u hostiles diseados para causar insuficiencia de
operaciones. (Herzog, OSSTMM 3.0).
184
TABLA B.6: Resultados obtenidos en Control Resistencia

Enumerar y verifique que la distraccin, la
eliminacin o aquietamiento de personal
no permitirn el acceso directo a los
activos u operaciones.
Resultados
Obtenidos
Existen Policas Municipales que

custodian el GADMO.
Enumerar y verificar que la desactivacin

o destruccin de las medidas de
seguridad o controles operacionales no
permitirn el acceso directo a los activos u
operaciones.
Los resultados de este test se

mantendrn
de
manera
confidencial, por motivos de
seguridad.
Compruebe que
el aislamiento del
alcance de los recursos, como el
combustible, la energa, los alimentos, el
agua, las comunicaciones, etc. no permite
el acceso directo a los activos u
operaciones.
Los resultados de este test se

mantendrn
de
manera
confidencial, por motivos de
seguridad.
En una auditora fsica cuando el

control de 2 guardias de acceso a
una puerta, si uno se retira y la
puerta no se puede abrir por la
guardia restante, entonces tiene
resistencia.
Ejemplo:
De acuerdo al test, el control de resistencia de:

= 0
B.1.2.4 SUBYUGACIN
Enumerar y prueba de deficiencias en acceso a los bienes no controlados por la fuente
que proporciona el acceso (es decir, nmeros PIN, fotografas de identificacin, etc.
seleccionados por parte del actor, inicios de sesin con los nmeros de identificacin
escritas en por parte del actor, etc.) (Herzog, OSSTMM 3.0)
De
acuerdo
al
test,
el
control
de
subyugacin
es
nulo;
es
decir:
= 0
185
B.1.2.5 CONTINUIDAD
TABLA B.7: Resultados obtenidos en Control Continuidad
Resultados
Obtenidos
Enumerar
y
verificar
las
condiciones en que los retrasos de
acceso
son
abordados
adecuadamente a travs del
personal de copia de seguridad o
un medio automatizado para el
acceso oportuno a los servicios,
procesos y operaciones.
Se tiene un sistema automatizado de

copias de seguridad.
Verificar que el aislamiento del

alcance a partir de recursos, tales
como
combustible,
energa
elctrica,
alimentos,
agua,
comunicaciones, etc., no se
detendr o negar el acceso a los
servicios, procesos y operaciones.
En este test, mediante observacin

directa se pudo verificar el control de
continuidad a partir de recursos
importantes
como
combustible,
transporte y energa. Los resultados no
se
muestran
por
motivos
de
confidencialidad.
Verificar que la incapacidad para

eliminar
los
residuos,
contaminantes
u
otros
contaminantes del mbito de
aplicacin no detenga o deniegue
el acceso a los servicios, procesos
y operaciones.
En este test,
mediante aplicacin
directa se pudo verificar el control de
continuidad a partir de la limpieza de
cuartos de equipos en el GADMO. Los
resultados no se muestran por motivos
de confidencialidad.
Por lo tanto el control de continuidad es:

= 1
B.1.2.6 NO REPUDIO
Enumerar y poner a prueba para su uso o insuficiencias de los monitores y sensores para
identificar y registrar el acceso o las interacciones con los activos de pruebas especficas
para desafiar repudio correctamente. Documentar la profundidad de la interaccin que se
registra. (Herzog, OSSTMM 3.0)
De
acuerdo
al
test,
el
control
de
No-Repudio
es
nulo;
es
decir:
= 0
186
B.1.2.7 CONFIDENCIALIDAD
Enumerar y probar el uso o deficiencias de todas las seales, la comunicacin fsica, y
los elementos transportados internamente entre ambos y los procesos y el personal que
utilicen cdigos, lenguaje indescifrable, "tranquilizado" o "cerrado" las interacciones
personales para promover la confidencialidad de la comunicacin slo a los que tienen el
correcto control de seguridad de esa comunicacin clasificada.
De acuerdo al test, el control de Confidencialidad es:
= 0
B.1.2.8 PRIVACIDAD1
Enumerar y probar el uso o insuficiencias de todas las interacciones dentro del alcance
utilizando etiquetado no evidente a las interacciones hacia el cuarto cerrado", y dentro de
cuartos elegidos al azar para ocultar o proteger la privacidad de la interaccin slo a los
que tienen la habilitacin apropiada de seguridad para ese proceso o activo. (Herzog,
OSSTMM 3.0)
Se utiliza etiquetado de los activos para proteger la privacidad de los mismos.
= 1
B.1.2.9 INTEGRIDAD
TABLA B.8: Resultados obtenidos en Control Integridad
Resultados
Obtenidos
Tipo de Test
Observacin directa
Enumerar y probar las deficiencias

en de todas las seales y la
comunicacin entre procesos y
personal que utiliza un proceso
documentado,
sellos,
firmas
digitales, o marcas cifradas para
proteger y asegurar que los activos
no
pueden
ser
cambiados,
redirigidos, o invierten sin que sean
conocidas las partes involucradas en
el acceso a todos los lugares
Todos los documentos que se transmiten

internamente en el GADMO, tienen sello
y firma, por parte de los receptores y
emisores; as como de terceras personas
que intervengan en el proceso de
transporte de los mimos.
Verificar todos los medios de

almacenamiento de informacin no
est en peligro de la descomposicin
natural, tales como daos por el calor
o la humedad, la decoloracin de la
luz solar directa, o la degradacin
magntica.
Algunos medios de almacenamiento de

informacin cumplen con las medidas de
seguridad que evitan daos de
descomposicin natural; mientras que
otros no.

187

= 2
B.1.2.10 ALARMA
aplicacin, inicie de sesin o mensaje para cada pasarela de acceso cuando una situacin
sospechosa es observada por el personal en caso de sospecha de intentos de elusin, la
actividad fraudulenta, violacin o incumplimiento. Asegrese de que los sensores /
sistemas se instalan a las normas nacionales, regionales o internacionales y probados
con regularidad para cubrir todos los puntos accesibles. (Herzog, OSSTMM 3.0)
TABLA B.9: Resultados obtenidos en Control Alarma
Tipo de Test
Observacin directa
Resultados
Obtenidos
firewall de intentos de intrusin, el
Observaciones
administrador de la red acta de la mejor

manera ante dicha alarma.

= 1
B.1.3 LIMITACIONES
forma individual.
B.1.3.1 VULNERABILIDAD
En la seguridad fsica, una vulnerabilidad puede ser tan simple como una puerta de cristal,
una puerta de metal corrodo por el tiempo, una puerta que se puede cerrar por acuando
de monedas en la brecha entre l y su marco, los equipos electrnicos no sellada partir
plagas como las hormigas o ratones, una unidad de CD de arranque en un PC, o un
proceso que permite a un empleado para tomar un bote de basura lo suficientemente
grande como para ocultar o transporte activos fuera del mbito de aplicacin. (Herzog,
OSSTMM 3.0)
188
Debido a razones confidenciales no se van a enumerar las vulnerabilidades de la

organizacin.
= 10
B.1.3.2 DEBILIDAD
En seguridad fsica, una debilidad puede ser una cerradura de la puerta que se abre
cuando una tarjeta se acua entre ste y el marco de la puerta, un generador elctrico
de respaldo sin combustible, o un seguro que no cubre los daos por inundaciones en
una zona de inundacin. (Herzog, OSSTMM 3.0)
TABLA B.10: Resultados obtenidos en Control Alarma
Tipo de Test
Resultados
Obtenidos
Observacin directa
Observaciones
Existen licencias de softwares

caducadas y sin renovacin,
As como tambin
activos caducados.
Utilizacin de sistemas operativos

como XP que ya no tienen ningn tipo
de garanta por parte del fabricante.
garantas
de
Estos son ejemplos de ciertas debilidades,

existen ms que no se mencionar por
seguridad.
De acuerdo al test, el clculo de las debilidades es: = 5

B.1.3.3 PREOCUPACIN
En seguridad fsica, una preocupacin puede ser un mecanismo de bloqueo de la puerta
cuyos controles y tipos de operacin son clave pblica, un generador de respaldo sin
medidor de potencia o indicador de combustible, un proceso de equipo que no requiere
que el empleado firme la salida de materiales cuando se reciben, o una alarma de fuego
no lo suficientemente fuerte para ser escuchado por los trabajadores de maquinaria que
deban usar tapones para los odos. (Herzog, OSSTMM 3.0)
189
= + + + +
= 0 + 1 + 2 + 1 + 0
= 4
B.1.3.4 EXPOSICIN
3.0).
= = 8
B.1.3.5 ANOMALAS
En seguridad fsica una anomala puede ser pjaros muertos descubiertos en el techo de
un edificio en torno a los equipos de comunicaciones.
= 1
B.2 CALCULO DE RAVS

resto de los clculos se manejar de forma automtica. (Herzog, OSSTMM 3.0).
De acuerdo a los valores obtenidos en la seguridad operacional, controles y limitaciones,
se ha realizado el clculo; el mismo que se muestra en la Figura B-1.
190
Physical Security Testing

OSSTMM version 3.0
OPSEC
Visibility
Access
Trust
OPSEC
Total (Porosity)
21
11,038515
CONTROLS
True Controls
Class A
Missing
4,482838
Authentication
20
Indemnification
13
Full Controls
Resilience
21
4,482838
Subjugation
21
Continuity
20
True Coverage A
Total Class A
10
95
9,52%
Missing
True Coverage B
Non-Repudiation
21
2,86%
Confidentiality
21
Class B
Privacy
20
Total True Coverage
Integrity
19
6,19%
Alarm
21
Total Class B
102
All Controls Total
13
197
Whole Coverage
6,19%
93,81%
True Missing
Item Value
Total Value
Limitations
Vulnerabilities
10
10,380952
103,809524
17,846690
Weaknesses
5,523810
27,619048
LIMITATIONS
Concerns
5,857143
23,428571
Security
Exposures
1,440816
11,526531
-24,40
Anomalies
1,306803
1,306803
Total # Limitations
28
167,6905
True Protection
75,60

FIGURA B.1: Clculo del RAVS en Canal Seguridad Fsica

B.2.1 INTERPRETACIN DE RESULTADOS

La seguridad operacional es relativamente alta, tomando en cuenta que sta evala las
diferentes polticas y procedimientos implementados por la administracin. Esto refleja la
prioridad que se le ha dado a la seguridad fsica.
operaciones, cabe recalcar que de acuerdo al test realizado, lamentablemente no se
tienen implementados controles respectivos a la seguridad fsica, siendo sta un blanco
para los atacantes informticos.
191

algunos controles y seguridad operacional, es as que debido a que los valores en
seguridad operacional son relativamente altos, estos valores predominan para que el
clculo de las limitaciones sea tambin relativamente alto. Y resulta as una gran
preocupacin debido a que se tiene una limitacin de vulnerabilidad muy alta en relacin
a los dems valores.
192
ANEXO C
C.1 TELECOMUNICACIONES
COMSEC es una clasificacin para la seguridad material en el mbito ELSEC que est
dentro de los lmites de las telecomunicaciones a travs de cables.
Este canal cubre la interaccin del analista con los objetivos. Mientras que algunos
servicios consideran este simplemente como "phreaking", el objetivo verdadero
cumplimiento de las pruebas de seguridad en este canal es la prueba de barrera lgica y
medicin de la brecha en contra de la norma de seguridad requerida como se indica en la
poltica de empresa, regulaciones de la industria, o la legislacin regional. (Herzog,
OSSTMM 3.0)
C.1.1 SEGURIDAD OPERACIONAL
A continuacin se detalla cmo se obtuvieron los resultados de la seguridad operacional
en el canal de seguridad fsica.
C.1.1.1 VISIBILIDAD
Enumeracin e indexacin de los objetivos en el mbito de aplicacin a travs de la
interaccin directa e indirecta incluso con entre los sistemas directo.
a) Realizar un mapa de los protocolos de comunicacin en uso dentro del mbito de
aplicacin.
Utilizando el software NetScan se realiz un escaneo de puertos, y en la figura se puede
evidenciar un resumen de algunos de los puertos ms conocidos dentro del mbito de
aplicacin.
Cabe recalcar algunas caractersticas de dicho software.
Detecta hardware direcciones MAC, incluso a travs de routers.
Detecta las direcciones IP internas y externas.
Analiza en busca de los puertos de escucha TCP, UDP y algunos servicios de SNMP.
Puede montar y explorar los recursos de red.
Se puede iniciar aplicaciones externas de terceros.
Soporta Wake-On-LAN, apagado remoto y el envo de mensajes de red.
193
Recupera informacin de registro remoto, sistema de archivos y administrador de

servicios.
FIGURA C.1: Mapa de los protocolos de comunicacin

b) Esquema de la topologa de las redes de telecomunicaciones.

La topologa de red del GADMO es una topologa plana, es decir no est segmentada o
jerarquizada, la misma cuenta con varios dispositivos de red, como conmutadores,
enrutadores, servidores y firewalls; enlazados ya sea por fibra ptica o cable UTP Cat 6.
La figura que se presenta, es una representacin de la topologa de red del GADMO, cabe
resaltar que la misma ha sido modificada de a original por motivos de seguridad.
194
FIGURA C.2: Esquema de la topologa de las redes de telecomunicaciones

195
c) Identificar los tipos de sistemas operativos y versiones en uso en sistemas dentro del
mbito de aplicacin.
Con la utilizacin del software Znemap, se pudo determinar los sistemas operativos
utilizados en host y servidores de la red de datos del GADMO.
En la imagen se puede observar un fragmento de los resultados obtenidos por dicho
software, recalcando que la imagen ha sido editada por motivos de seguridad.
FIGURA C.3: Identificacin de sistemas operativos y sus versiones

Fuente: Obtenida del software Znemap
Despus del anlisis realizado el resultado de visibilidad es: PV = 6

C.1.1.2 ACCESOS
Las pruebas para la medicin de la amplitud y profundidad de los puntos de acceso
interactivos lderes en el mbito y la autenticacin requerida.
a) Relacionar cada puerto abierto con un servicio y protocolo.
Con el mapa de puertos descrito en el rea de Visibilidad, se puede relacionar los servicios
con ichos puertos.
b) Verificar la aplicacin y su versin en el sistema.
Dicha informacin fue obtenida mediante observacin directa en el GADMO, cuya
informacin no ser revelada por motivos de confidencialidad.
c) Identificar los componentes de los servicios en escucha.
196
Mediante Wireshark que es un software snnifer se pudo identificar los componentes de

los servicios.
El nivel de acceso en el canal Telecomunicaciones ser de: = 4
C.1.1.3 CONFIANZA
Para una auditora de Telecomunicaciones de redes de datos, el auditor cuenta cada tipo
de servicio abierto o puerto abierto como una Confianza. (Herzog, OSSTMM 2.1)
En este caso, se debe realizar un anlisis de los puertos que estn abiertos y los que
estn cerrados, y el porqu de su estado. Ya que no es posible que todos los puertos se
encuentren cerrados debido a la necesidad de acceder a ciertas aplicaciones; y tampoco
que todos estn abiertos debido a las vulnerabilidades que se expone la red.
El nivel de confianza en el canal Telecomunicaciones ser de: = 21.
C.1.2 CONTROLES
C.1.2.1 AUTENTICACIN
a) Enumerar los recursos de telecomunicaciones que requieren autenticacin y verificar
todas las formas aceptables de privilegios para interactuar o recibir acceso.
Existen controles de autenticacin y privilegios de acceso.
b) Asegurarse que las cuentas administrativas no tengan la contrasea por defecto o
fciles de adivinar, para su acceso.
Las contraseas de las cuentas administrativas no son por defecto y no son fciles de
adivinar.
c) Asegurarse que las cuentas de usuario no tengan la contrasea por defecto o fciles
de adivinar, para su acceso.
Las contraseas de las cuentas de usuario no son por defecto.
d) Verificar la informacin de autenticacin cuando se realiza un intento de acceso, si es
exitoso o fallido. (Herzog, OSSTMM 2.1)
197
Se tiene un nmero limitado de intentos de acceso, si se falla el sistema se bloquea

automticamente.
En este caso el control de autenticacin es de:
= 5
C.1.2.2 INDEMNIZACIN
(a) Verificar la legalidad y el lenguaje adecuado en la los limitaciones de responsabilidad.
Se verifico el lenguaje adecuado utilizado en todas las actas de responsabilidad que se
entregan en el GADMO, y ste resulta claro y adecuado.
Actas entrega de equipos informticos
Actas de responsabilidad de equipos informticos
Acta de responsabilidad del buen uso de contraseas de ingreso a sistemas
Actas de responsabilidad del buen uso de usuarios y contraseas del correo
institucional.
Actas de responsabilidad del buen uso de internet dentro de la entidad.
Acuerdo de confidencialidad de informacin reservada de la entidad
(b) Examinar el lenguaje de la pliza de seguro para las limitaciones en los tipos de daos
o activos.
Se firman contratos de garanta
que cubren daos y robos de los activos de
telecomunicaciones que se utilizan en el GADMO.

En este caso el control de indemnizacin en el canal fsico es de:
= 7
C.1.2.3 RESISTENCIA
Mapa y documentar el proceso de porteros desconectando canales por incumplimiento o
dudas de seguridad como un anlisis de las carencias con reglamentacin y poltica de
seguridad. (Herzog, OSSTMM 3.0)
198
De acuerdo al test, el control de resistencia de:

= 0
C.1.2.4 SUBYUGACIN
Enumerar y poner a prueba las insuficiencias de todos los canales a utilizar o permitir
controles de prdida no habilitados de forma predeterminada. (Herzog, OSSTMM 3.0)
De
acuerdo
al test,
el
control
de
subyugacin
es nulo;
es decir:
= 0
C.1.2.5 CONTINUIDAD
TABLA C.1: Resultados obtenidos en Control Continuidad
En este test se pudo evidenciar que no se
de todos los objetivos en materia de
tiene un control de continuidad, debido a
Resultados
retrasos de acceso y los tiempos de
que el tiempo de respuesta existente, es
Obtenidos
respuesta de servicio a travs de los
demasiado bajo o inexistente en algunos
sistemas de back-up o el interruptor
casos.
de canales alternos.
Por lo tanto el control de continuidad es:

= 0
C.1.2.6 NO REPUDIO
(a) Enumerar y probar para su uso o insuficiencias de demonios y de los sistemas de
identificacin y registro de acceso o las interacciones con la propiedad para pruebas
especficas para desafiar repudio correctamente.
(b) Documento de la profundidad de la interaccin grabada y el proceso de identificacin.
(c) Verifique que todos los mtodos de interacciones se registran correctamente con la
identificacin apropiada.
(d) Identificar mtodos de identificacin que derrota de repudio. (Herzog, OSSTMM 3.0)
199
De
acuerdo
al
test,
el
control
de
No-Repudio
es
nulo;
es
decir:
= 0
C.1.2.7 CONFIDENCIALIDAD
a) Enumerar todas las interacciones con los servicios en el mbito de las comunicaciones
o bienes transportados por el canal mediante lneas seguras, cifrado, interacciones
para proteger la confidencialidad de la propiedad de la informacin entre las partes
involucradas.
b) Verificar los mtodos aceptables utilizados para la confidencialidad.
c) Prueba de la resistencia y el diseo del mtodo de cifrado o la ofuscacin.
d) Verificar los lmites exteriores de la comunicacin que se pueden proteger a travs de
los mtodos aplicados o confidencialidad. (Herzog, OSSTMM 3.0)
De acuerdo al test, el control de Confidencialidad es nulo debido a que no existen mtodos
de cifrado en el mbito de las telecomunicaciones:
= 0
C.1.2.8 PRIVACIDAD
(a) Enumerar los servicios en el mbito de las comunicaciones o bienes transportados
utilizando, firmas individuales especficos, identificacin personal, interacciones
personales para proteger la privacidad de la interaccin y el proceso de suministro de
bienes slo para aquellos dentro de la debida autorizacin de seguridad para ese
proceso, la comunicacin, o de activos.
No existen servicios de firmas digitales para proteger la privacidad de las de las
comunicaciones
(b) Relacionar informacin con los puertos que no responden para determinar si la
disponibilidad depende de un tipo particular de contacto o protocolo.
En la figura que se muestra a continuacin se puede observar un anlisis de los puertos
que no responden, y que relacin se tiene con la privacidad en las telecomunicaciones.
200
FIGURA C.4: Anlisis de Puertos


= 8
201
C.1.2.9 INTEGRIDAD
TABLA C.2: Resultados obtenidos en Control Integridad
Tipo de Test
Observacin directa

de integridad donde utilizando un
Resultados
Obtenidos
proceso
documentado,
firmas,
cifrado, hachs, o marcas para

asegurar que el activo no se puede
cambiar, redirigido, o se invierte sin
que se conoce a las partes
involucradas.
Los
documentos,
oficios
memorandos
internamente
transmitidos
no
se
transmiten
digitalmente; se lo hace fsicamente y

cada uno de ellos cuenta con sello y
firma, pero no cuenta como n control
de integridad.

= 0
C.1.2.10 ALARMA
en una situacin sospechosa es observada por el personal en caso de sospecha de
intento de evasin, la ingeniera social, o la actividad fraudulenta. (Herzog, OSSTMM 3.0)
TABLA C.3: Resultados obtenidos en Control Alarma
Tipo de Test
Observacin directa
Resultados
Obtenidos
firewall de intentos de intrusin, el
Observaciones
administrador de la red acta de la mejor

manera ante dicha alarma.

= 1
202
C.1.3 LIMITACIONES
forma individual.
C.1.3.1 VULNERABILIDAD
En COMSEC telecomunicaciones, una vulnerabilidad puede ser, una cabina telefnica
que permite a cualquier persona acceder a la lnea de telfono de otra persona, un sistema
de correo de voz que ofrece mensajes de cualquier telfono en cualquier lugar, o una
mquina de fax que se pueden sondear de forma remota para volver a enviar la ltima
cosa en la memoria para el nmero del llamante. (Herzog, OSSTMM 3.0)
Debido a razones confidenciales no se van a enumerar las vulnerabilidades de la
organizacin.
= 5
C.1.3.2 DEBILIDAD
En COMSEC telecomunicaciones, una debilidad puede ser un PBX que todava tiene las
contraseas administrativas por defecto o un banco de mdem para el acceso remoto de
acceso telefnico en el que no registra el nmero de llamadas, hora y duracin. (Herzog,
OSSTMM 3.0)
TABLA C.4: Resultados obtenidos en Limitacin Debilidad
Tipo de Test
Observacin directa
Existe una PBX la misma que no est
administrada, por lo tanto representa
una debilidad.
Al no estar administrada no se puede
Resultados
Obtenidos
Observaciones
llevar un control de nmero de

llamadas, hora y duracin.
Estos
son
ejemplos
de
ciertas
debilidades, existen ms que no se

mencionar por seguridad.
203

= 5
C.1.3.3 PREOCUPACIN
En COMSEC telecomunicaciones, una preocupacin puede ser el uso de una mquina
de FAX para el envo de informacin privada o un sistema de correo de voz que utiliza
tonos tctiles para la introduccin de un PIN o contrasea. (Herzog, OSSTMM 3.0)
= + + + +
= 0 + 1 + 0 + 0 + 0
= 1
C.1.3.4 EXPOSICIN
En COMSEC telecomunicaciones, una exposicin puede ser un directorio automatizado
empresa ordenada alfabticamente, lo que permite que cualquiera pueda desplazarse por
todas las personas y nmeros, o una mquina de fax que almacena los ltimos nmeros
marcados.
3.0).
= = 6
C.1.3.5 ANOMALAS
En COMSEC telecomunicaciones, una anomala puede ser una respuesta del mdem
desde un nmero que no tiene mdem. (Herzog, OSSTMM 3.0)
= 0
C.2 CLCULO DE RAVS
204
ISECOM.
El analista slo necesita introducir los valores en las cajas blancas vacas, y el resto de
los clculos se manejar de forma automtica. (Herzog, OSSTMM 3.0)
Telecommunications Security Testing

OSSTMM version 3.0
Fill in the white number fields for OPSEC, Controls, and Limitations with the results
of the security test. Refer to OSSTMM 3 (www.osstmm.org) for more information.
OPSEC
Visibility
Access
Trust
21
OPSEC
Total (Porosity)
28
11,883968
CONTROLS
True Controls
Class A
Missing
5,402289
Authentication
23
Indemnification
21
Full Controls
Resilience
28
5,402289
Subjugation
28
Continuity
28
True Coverage A
Total Class A
12
128
8,57%
Missing
True Coverage B
Non-Repudiation
28
6,43%
Confidentiality
28
Class B
Privacy
20
Total True Coverage
Integrity
28
7,50%
Alarm
27
Total Class B
131
All Controls Total
21
259
Whole Coverage
7,50%
92,50%
True Missing
Item Value
Total Value
Limitations
Vulnerabilities
10,250000
51,250000
15,579924
Weaknesses
5,571429
27,857143
LIMITATIONS
Concerns
5,678571
5,678571
Security
Exposures
0,624107
3,744643
-22,06
Anomalies
1,086607
0,000000
Total # Limitations
17
88,5304
True Protection
77,94

FIGURA C.5: Clculo del RAVS en Canal Seguridad Fsica

205
C.2.1 INTERPRETACIN DE RESULTADOS.

La seguridad operacional es alta, principalmente en el aspecto de Confianza, en el que
se ha considerado todos los puertos que estn abiertos, analizando el porqu de su
estado. Esto refleja la importancia
que se le ha dado a la seguridad de las
telecomunicaciones
operaciones, cabe recalcar que de acuerdo al test realizado, se tienen nicamente
controles de Indemnizacin, autenticacin y privacidad; mientras tanto los dems
controles son nulos; dejando as una brecha para la inseguridad de la informacin.
algunos controles y seguridad operacional, es as que debido a que los valores en
seguridad operacional son relativamente altos, estos valores predominan para que el
clculo de las limitaciones sea tambin relativamente alto. Es as que resaltan limitaciones
como las Vulnerabilidades, debilidades y exposiciones las mismas que reflejan una
administracin no adecuada que expone a la red a ciertas amenazas hacia la seguridad
de informacin.
206
ANEXO D
D.1 REDES DE DATOS
Redes de datos es una clasificacin para la seguridad material en el mbito ELSEC que
est dentro de los lmites de las telecomunicaciones a travs de cables.
Las pruebas para el canal de redes de datos de seguridad (COMSEC) requieren
interacciones con las garantas de funcionamiento de la red de comunicacin de datos
existentes que se utilizan para controlar el acceso a la propiedad. (Herzog, OSSTMM 3.0)
D.1.1 SEGURIDAD OPERACIONAL
Seguridad Operacional, tambin conocida como la porosidad del alcance, es el primero
de los tres factores de la seguridad real que deberan determinarse. Se mide inicialmente
como la suma de la visibilidad del alcance , de acceso , y la confianza . (Herzog,
OSSTMM 3.0)
A continuacin se detalla de donde se obtuvieron los resultados de la seguridad
operacional en el canal humano.
D.1.1.1 VISIBILIDAD
Enumeracin e indexacin de los objetivos en el mbito de aplicacin a travs de la
interaccin directa e indirecta entre los sistemas directos.
i.
El uso de sniffing de red para identificar los protocolos que emanan respuesta de los
servicios de red o peticiones en su caso. Por ejemplo, Netbios, ARP, SAP, NFS, BGP,
OSPF, MPLS, RIPv2, etc.
Starting Nmap 6.46 ( http://nmap.org ) at 2014-08-19 11:03 Hora est.

Pacfico, Sudamrica
Nmap scan report for x.x.x.x/y
Host is up (0.0000060s latency).
Not shown: 986 closed ports
PORT STATE SERVICE
80/tcp open http
88/tcp open kerberos-sec
135/tcp open msrpc
139/tcp open netbios-ssn
389/tcp open ldap
445/tcp open microsoft-ds
464/tcp open kpasswd5
593/tcp open http-rpc-epmap
636/tcp open ldapssl
1026/tcp open LSA-or-nterm
1027/tcp open IIS
1433/tcp open ms-sql-s
3389/tcp open ms-wbt-server
MAC Address: AA:AA:AA:AA:AA:AA (x-x Company)
Nmap done: 1 IP address (1 host up) scanned in 18.86 seconds
207
Se puede observar un extracto de uno de los escaneos realizados en la Red de Datos del
GADMO, se ha editado tanto la direccin IP y MAC utilizada por motivos de seguridad.
ii. Consulta todos los servidores de nombres y los servidores de nombres del ISP o
proveedor de alojamiento, en su caso, para la correspondiente A, AAAA, y PTR, as
como la capacidad para realizar las transferencias de zona para determinar la
existencia de todos los objetivos de la red y cualquier despidos relacionados, balanceo
de carga, almacenamiento en cach, proxies, y de hosting virtual.
Starting Nmap 6.46 ( http://nmap.org ) at 2014-08-19 12:04 Hora est. Pacfico, Sudamrica
Nmap scan report for mail.otavalo.gob.ec (x.x.x.x)
All 1000 scanned ports on mail.otavalo.gob.ec ((x.x.x.x) are open|filtered
iii.
Verificar y examinar el uso de protocolos de enrutamiento de trfico y para todos los

destinos.
No existen protocolos de enrutamiento.

iv.
Verificar defecto y probables nombres de comunidad SNMP en uso estn de

acuerdo con la prctica despliegues de todas las versiones de SNMP.
Initiating Parallel DNS resolution of 1 host. at 11:30
Completed Parallel DNS resolution of 1 host. at 11:31, 16.50s elapsed
Skipping SYN Stealth Scan against x.x.x.x because Windows does not support scanning your own
machine (localhost) this way.
Skipping OS Scan against x.x.x.x because it doesn't work against your own machine (localhost)
Nmap scan report for x.x.x.x /y
Host is up.
PORT STATE SERVICE
161/tcp unknown snmp
Se puede observar un extracto de uno de los escaneos realizados en la Red de Datos del
GADMO, se ha editado tanto la direccin IP y MAC utilizada por motivos de seguridad.
v. Buscar los grupos de noticias, foros, IRC, IM, P2P, VoIP y comunicaciones basadas
en la web para la conexin de datos del objetivo para determinar los sistemas de puerta
de enlace de salida y direccionamiento interno.
208
Se realiz la bsqueda de informacin publicada en la pgina inicial del GADMO. La

direccin Web de la pgina inicial de la institucin es: http://www.otavalo.gob.ec/web/, la
informacin proporcionada est relacionada a informacin de la ciudad, servicios y
proyectos que presta la Municipalidad.
FIGURA D.1: Pgina Oficial del Municipio de Otavalo

Fuente: Extrado de http://www.otavalo.gob.ec/web
Tambin se realiz la bsqueda de informacin relevante en los grupos de noticias

locales y nacionales; as como tambin en las bases de datos pblicos estos son:
http://www.hoy.com.ec
http://www.aquiotavalo.com/portal/
http://www.elnorte.ec/otavalo.html
http://www.elcomercio.com.ec/tag/otavalo
www.google.com
www.yahoo.com
La informacin encontrada fue de los aos 2013-2014, referente a noticias locales,
delincuencia en la ciudad, fiestas locales, turismo entre otras.
209
Se indag a la vez de la informacin proporcionada mediante los dominios de Internet

otavalo.gob.ec y visitotavalo.com en la base de datos Whois.
TABLA D.1: Informacin de Dominio Otavalo.gob.ec|
INFORMACIN DEL DOMINIO
Dominio:
otavalo.gob.ec
Fecha de Creacin:
02 Jul 2010
Fecha de ltima Modificacin:
04 Jul 2014
Fecha de Expiracin:
02 Jul 2016
Nombres de Servidores DNS:
pichincha.andinanet.net
tungurahua.andinanet.net
Registrar:
NIC.EC Registrar
REGISTRANTE:
Nombre
Mario Cornejo M.
Organizacin:
GOBIERNO MUNICIPAL DE SAN LUIS DE

OTAVALO
Direccin:
Garca Moreno 505 Parque Central

Otavalo, Imbabura 36 EC
Email:
otavalo@andinanet.net
Telfono:
5936-2920460
Fax:
5936-2920381
CONTACTO ADMINISTRATIVO:
Nombre:
Wilman Garces
Organizacin:

OTAVALO
Direccin:

Otavalo, Imbabura EC
Email:
municipio@otavalo.gob.ec
Telfono:
5936-2924716
Fax:
5936-2924716
CONTACTO TCNICO:
Nombre:
Luis Lpez M.
Organizacin:

OTAVALO
Direccin:
210
Email:
informatica@otavalo.gob.ec
Telfono:
5936-2924716
Fax:
5936-2920381
CONTACTO DE FACTURACIN:
Nombre
Csar Pinto Acosta
Organizacin:

OTAVALO
Direccin:

Email:
municipio@otavalo.gob.ec
Telfono:
5936-2920404
Fax:
5936-2920404
Fuente: Extrado de http://www.nic.ec/whois/resultados.asp
El nivel de visibilidad en el canal Redes de Datos ser de: = 17;

D.1.1.2 ACCESOS
i. Conocer solicitudes, servicios troyanos comunes que utilizan TCP para conexiones
desde todas las direcciones y puertos sin filtrar que han enviado ninguna respuesta a
un SYN TCP.
Nmap scan report for x.x.x.x
Not shown: 996 closed ports
PORT
STATE SERVICE
22/tcp
open ssh
80/tcp
open http
3128/tcp open squid-http

10000/tcp open snet-sensor-mgmt
211
MAC Address: AA:AA:AA:AA:AA:AA (Tenda Technology Co.)

Se muestra un extracto del escaneo realizado en la red de datos del GADMO, cabe
recalcar que por motivos de seguridad y confidencialidad se ha editado las direcciones IP
y MAC.
ii. Verificar los servicios de VoIP.
En el GADMO no se cuenta con un sistema de VoIP. Es un proyecto que se encuentra en
su fase de desarrollo.
i. Relacionar cada puerto abierto a un demonio (servicio), aplicacin (cdigo especfico
o un producto que utiliza el servicio), y el protocolo (el medio para interactuar con ese
servicio o aplicacin).
FIGURA D.2: Resumen de puertos abiertos en la red

Fuente: Elaborada por Andrea Zura, en referencia a los resultados obtenidos en software NMAP
212
En la imagen se puede observar los resultados de los escaneos realizados en la red de

datos del GADMO, en donde se hace un anlisis de algunos puertos y su relacin con
las aplicaciones y servicios.
ii. Verificar la disponibilidad del sistema operativo en comparacin con las ltimas
vulnerabilidades y versiones de parches.
FIGURA D.3: Lista de sistemas operativos activos en la red

Fuente: extrado del software NMAP
Se muestra en la imagen un extracto de uno de los escaneos realizados en la red de datos

del GADMO, cabe recalcar que la imagen fue editada en las direcciones tanto IP como
MAC.
Se observa que an se utilizan sistemas operativos como Windows XP, el mismo que
actualmente se encuentra totalmente vulnerable debido a que su fabricante dejo de dar
garantas y actualizaciones para el mismo.
El nivel de acceso en el canal Humano ser de: = 14
D.1.1.3 CONFIANZA
Para una auditora de seguridad de las redes de datos, el auditor cuenta cada tipo de
servicio abierto o puerto abierto como una confianza. (Herzog, OSSTMM 3.0)
213
FIGURA D.4: Escaneos realizados en la red

Fuente: Extrado de software NMAP
En la imagen se puede observar los escaneos que se realizaron a diferentes servidores,

en donde sumando todos los puertos abiertos se tiene:
El nivel de acceso en el canal Red de Datos ser de: = 67
D.1.2 CONTROLES
D.1.2.1 AUTENTICACIN
i.
Enumerar los accesos que requiere autenticacin y documentar todos los privilegios
descubiertos que se pueden utilizar para proporcionar acceso.
214
ii. Verificar el mtodo de obtencin de la autorizacin apropiada para la autenticacin.

iii. Verificar el mtodo de ser identificados correctamente para contar la autenticacin.
iv. Verificar la fortaleza de la autenticacin a travs de descifrado de contraseas y volver
a aplicar descubri contraseas a todos los puntos de acceso que requieren
autenticacin.
v. Verificar el proceso de recepcin de autenticacin.
En este caso existen mtodos adecuados de autenticacin en el canal red de datos. Por
lo tanto:
=5
D.1.2.2 INDEMNIZACIN
i. Documentar y enumerar los objetivos y servicios que estn protegidos contra el abuso
o la elusin de la poltica de los empleados, estn asegurados por robo o daos, o
utilizan de responsabilidad y de permisos renuncias.
ii. Verificar la legalidad y la conveniencia de la lengua en los descargos de
responsabilidad.
iii. Verificar el efecto de las exenciones de responsabilidad sobre la seguridad o medidas
de seguridad.
iv. Examinar el lenguaje de la pliza de seguro para las limitaciones en los tipos de daos
o activos.
= 6
D.1.2.3 RESISTENCIA
La determinacin y la medicin de la resistencia de los objetivos en el mbito de los
cambios excesivos u hostiles diseados para causar un fallo o degradacin del servicio.
Denegacin de Servicio (DoS) es una situacin en la que una circunstancia, ya sea
intencional o accidentalmente, impide que el sistema funcione como est previsto. En
ciertos casos, el sistema puede estar funcionando exactamente como se dise sin
embargo, nunca fue pensado para manejar la carga, el alcance, o parmetros que se le
215
impuso. Supervivencia las pruebas deben ser monitoreados de cerca ya que la intencin
es causar el fracaso y esto puede ser inaceptable para el dueo del destino.
TABLA D.2: Resultados obtenidos en el Control Resistencia
Resultados
Obtenidos
En este test se pudo evidenciar que en ciertas reas el sistema no est

funcionando acorde al diseo realizado, ya que existe una carga mayor de la que
puede ser soportada

= 3
D.1.2.4 CONTINUIDAD
Enumerar y probar las deficiencias de todos los objetivos en materia de retrasos de
acceso y los tiempos de respuesta de servicio a travs de los sistemas de back-up.
Para dicho control se consider los sistemas de back-up con los que se cuenta; en base
a ello el control de continuidad es:
= 4
D.1.2.5 NO REPUDIO
(a) Enumerar y probar para su uso o insuficiencias los sistemas de identificacin y
registro de acceso o las interacciones con la propiedad.
(b) Identificar mtodos de identificacin que la derrota repudio. (Herzog, OSSTMM 3.0).
No
se
realizaron
pruebas
de
este
control;
es
decir:
= 0
D.1.2.6 CONFIDENCIALIDAD
(a) Enumerar todas las interacciones con los servicios en el mbito de las
comunicaciones o bienes transportados por el canal mediante lneas seguras, cifrado,
interacciones para proteger la confidencialidad de la propiedad de la informacin
entre las partes involucradas.
(b) Verificar los mtodos aceptables utilizados para la confidencialidad.
216
(c) Prueba de la resistencia y el diseo del mtodo de cifrado o la ofuscacin.

(d) Verificar los lmites exteriores de la comunicacin que se pueden proteger a travs
de los mtodos aplicados de confidencialidad. (Herzog, OSSTMM 3.0)
No se cuentan con mtodos de encriptacin por lo tanto el control de Confidencialidad es:
= 0
D.1.2.7 PRIVACIDAD
Relacionar informacin con los puertos TCP y UDP que no respondes, para determinar
si la disponibilidad depende de un tipo particular de contacto o protocolo. (Herzog,
OSSTMM 3.0)
Se puede observar el resumen de los puertos TCP y el respectivo anlisis del estado del
puerto
FIGURA D.5: Lista de puertos bloqueados en la red

Fuente: Elaborada por Andrea Zura, en referencia a los resultados obtenidos en software NMAP
Por lo tanto el control de privacidad es:

= 8
D.1.2.8 INTEGRIDAD
En las redes de datos, el cifrado o un hash del archivo pueden proporcionar el control de
integridad sobre el cambio del archivo en trnsito.
= 0
217
D.1.2.9 ALARMA
(a) En las redes de datos cuente cada servidor y el servicio en el que esta basad, y si
estn monitoreados por el sistema de deteccin de intrusos.
(b) Cuente cada servicio que mantiene un registro monitorizado de interaccin.
(c) Cuentan los registros de acceso, incluso si no se utilizan para enviar una notificacin
de alerta de inmediato
En el GADMO, al contar con un Firewal Sophos UTM, el cual cuenta con un sistema de
deteccin de intrusos, se tienen control de alarmas en tiempo real.
= 1
D.1.3 LIMITACIONES
forma individual. La ponderacin de las vulnerabilidades, debilidades y preocupaciones
se basan en una relacin entre la suma OpSec, la prdida de controles.
D.1.3.1 VULNERABILIDAD
En la seguridad de los datos una vulnerabilidad puede ser un defecto en el software que
permite a un atacante tener acceso para sobrescribir el espacio de memoria, una falla de
clculo que permite a un atacante bloquear el 100% del uso de la CPU o un sistema
operativo que permite que los datos suficientes a se va a copiar en el disco hasta que no
puede funcionar ms. (Herzog, OSSTMM 3.0)
El tener sistemas operativos obsoletos representa vulnerabilidades, es por ello que de
acuerdo al test, las vulnerabilidades es:
= 20
D.1.3.2 DEBILIDAD
En la seguridad de los datos, una debilidad puede ser que permite intentos ilimitados
mediante un log-in a la granja de servidores web. (Herzog, OSSTMM 3.0)
218
En el GADMO se lleva control del acceso a los servicios, en caso de no autenticarse en

un nmero indeterminado de intentos el servicio se bloquear.
= 0
D.1.3.3 PREOCUPACIN
= + + + +
= 0 + 1 + 0 + 8 + 0
= 9
D.1.3.4 EXPOSICIN
En la seguridad de los datos, una exposicin puede ser una bandera descriptiva y vlida
acerca de un servicio o un ICMP echo reply desde un host.. (Herzog, OSSTMM 3.0).
= = 17
D.1.3.5 ANOMALAS
Cuente cada elemento identificable o desconocido que no puede tenerse en cuenta en las
operaciones normales, por lo general cuando la fuente o el destino del elemento no se
pueden entender. Una anomala puede ser una seal temprana de un problema de
seguridad. Dado que las incgnitas son los elementos que no pueden ser controlados,
una auditora adecuada requiere ir observando y anotando todas las anomalas. (Herzog,
OSSTMM 3.0)
No se observaron anomalas durante el tiempo que se realiz el test de penetracin, por
lo tanto:
= 0
D.2 CALCULO DE RAVS
219
resto de los clculos se manejar de forma automtica. (Herzog, OSSTMM 3.0)
RED DE DATOS
OSSTMM version 3.0
OPSEC
Visibility
17
Access
14
Trust
67
OPSEC
Total (Porosity)
98
15,930239
CONTROLS
True Controls
Class A
Missing
5,919340
Authentication
93
Indemnification
92
Full Controls
Resilience
95
5,919340
Subjugation
98
Continuity
Total Class A
94
True Coverage A
18
472
3,67%
Missing
True Coverage B
Non-Repudiation
98
1,84%
Confidentiality
98
Class B
Privacy
90
Total True Coverage
Integrity
98
2,76%
Alarm
97
Total Class B
481
True Missing
All Controls Total
27
953
Whole Coverage
2,76%
97,24%
Item Value
Total Value
Limitations
20
10,724490
214,489796
19,737113
5,816327
52,346939
LIMITATIONS
Vulnerabilities
Weaknesses
Concerns
5,908163
0,000000
Security
Exposures
17
0,603530
10,260006
-29,75
Anomalies
0,960756
0,000000
Total # Limitations
46
277,0967
True Protection
70,25

FIGURA D.6: Clculo del RAVS en Canal Seguridad Fsica

220
ANEXO E
E SIMULACIN RED INTERNA
Una vez realizado el diseo de la Red de Datos, se realizar la simulacin del mismo.
Considerando que los equipos con los que se cuenta en el GADMOS son de tecnologa
3COM, y el software de simulacin de dichos equipos nicamente permiten realizar
configuraciones bsicas; la simulacin del modelo propuesto se la realizar con un
software propietario de otra empresa.
Cabe destacar que a pesar de que las
caractersticas y las configuraciones de los equipos sean diferentes, la funcionalidad

presenta muchas similitudes.
En la simulacin a realizar, se desarrollar la configuracin de administracin y seguridad
en todos los switches, ya sean estos a nivel de acceso, distribucin o ncleo.; dichas
configuraciones se mostrar
nicamente de uno de los switches de estas capas,
recalcando que se debe realizar las mismas en todos los switches, cambiando el
direccionamiento IP, acorde se muestra en las tablas siguientes.
De igual manera la configuracin de las listas de acceso se realizar acorde al
levantamiento de informacin previamente realizado en el captulo 2 y en los Anexos A,
B, C y D.
Previo al desarrollo de la simulacin es necesario mostrar un diagrama topolgico de red,
y una tabla de direccionamiento del mismo. Esto se observa en el Figura y Tabla.
221
E.1 TOPOLOGA
FIGURA E.1: Topologa de Red

Fuente: Extrada de Cisco Packet Tracert.
222
E.2 TABLA DE DIRECCIONAMIENTO

TABLA E.1: Tabla de direccionamiento
Nombre
switch
del Direccin IP de Mscara

VLAN1
subred
192.168.2.10
Switch
SOC
Switch
SOC
255.255.255.192 VLAN 2 Native
GigabitEthernet 1/1
GES- 192.168.2.136
192.168.1.208
255.255.255.248
VLAN 20 VDGSI
fa0/1 -0/4
255.255.255.240 VLAN 21 VTGSI
fa0/5-0/14
192.168.3.114
255.255.255.248
f0/15-0/18
192.168.2.11
255.255.255.192 VLAN 2 Native
GigabitEthernet 1/1
192.168.1.240
255.255.255.240
VLAN 36 VTPSP
fa0/1 -0/8
192.168.3.146
255.255.255.248
VLAN 37 VAPSP
fa0/9 - 0/12
192.168.2.12
255.255.255.192 VLAN 2 Native
GigabitEthernet 1/1
192.168.4.0
255.255.255.192 VLAN 38 VSERV
fa0/1 -0/20
192.168.2.96
255.255.255.248 VLAN 4 VDAP
fa0/21-0/24
192.168.2.13
255.255.255.192 VLAN 2 Native
GigabitEthernet 1/1
192.168.1.128
255.255.255.224 VLAN 27 VTGAMB fa0/1 -0/20
192.168.2.152
255.255.255.248 VLAN 26 VDGAMB fa0/21-0/24
192.168.2.14
255.255.255.192 VLAN 2 Native
GigabitEthernet 1/1
192.168.3.0
255.255.255.224
fa0/1-0/24
192.168.2.15
255.255.255.192 VLAN 2 Native
GigabitEthernet 1/1
192.168.3.64
255.255.255.240
VLAN 25 VAFIN
fa0/1 - 0/12
192.168.1.224
255.255.255.240
VLAN 33 VTINFRA fa0/13 - 0/20
192.168.3.138
255.255.255.248
VLAN 34 VAINFRA fa0/21-0/24
192.168.2.16
255.255.255.192 VLAN 2 Native
GigabitEthernet 1/1
192.168.2.112
255.255.255.248 VLAN 10 VDAVAL
fa0/1 -0/4
192.168.3.82
255.255.255.248
VLAN 12 VAAVAL
fa0/5-0/8
192.168.3.122
255.255.255.248
VLAN 28 VAGAMB fa0/9 - 0/12
192.168.2.168
255.255.255.248 VLAN 32 VDINFRA fa0/13 - 0/16
192.168.2.17
255.255.255.192 VLAN 2 Native
GigabitEthernet 1/1
255.255.255.224
fa0/1 - 0/14
PROM-
Switch CTIC-AP
Switch
AMB
GES-
Switch
AVALUOS
Switch INFRA
Switch Varios1
Switch
AP1
de Nombres
y Asignacin
de
nmeros de VLAN puertos del switch
CTIC- 192.168.2.64
192.168.1.176
Switch PLANIF
VLAN 22 VAGSI
VLAN 11 VTAVAL
VLAN 3 VADMIN
255.255.255.240 VLAN 5 VTAP
fa0/15 - 0/20
192.168.3.66
255.255.255.248
fa0/21-0/24
192.168.2.18
255.255.255.192 VLAN 2 Native
GigabitEthernet 1/1
192.168.1.160
255.255.255.240 VLAN 30 VTPLAN
fa0/1 - 0/14
192.168.2.160
255.255.255.248 VLAN 29 VDPLAN
fa0/15 - 0/18
192.168.3.130
255.255.255.248
192.168.2.19
255.255.255.192 VLAN 2 Native
192.168.2.120
255.255.255.248
192.168.1.96
255.255.255.224 VLAN 14 VTADMIN
VLAN 6 VAAP
VLAN 31 VAPLAN fa0/19 - 0/22

VLAN
VDADMIN
GigabitEthernet 1/1
13
Switch ADMIN
fa0/1 -0/4
fa0/5 -0/24
223
192.168.2.20
255.255.255.192 VLAN 2 Native
GigabitEthernet 1/1
192.168.1.192
255.255.255.240 VLAN 18 VTCXS
fa0/1 -0/12
192.168.3.106
255.255.255.248
VLAN 19 VACXS
fa0/13 -0/16
192.168.2.128
255.255.255.248 VLAN 17 VDCXS
fa0/17 -0/20
192.168.3.90
255.255.255.248
192.168.2.21
255.255.255.192 VLAN 2 Native
GigabitEthernet 1/1
192.168.2.104
255.255.255.248 VLAN 7 VALCAL
fa0/1 - 0/8
192.168.1.64
255.255.255.224 VLAN 8 VTALCAL
fa0/9 - 0/20
192.168.3.74
255.255.255.248
192.168.2.22
255.255.255.192 VLAN 2 Native
GigabitEthernet 1/1
192.168.2.144
255.255.255.248 VLAN 23 VDFIN
fa0/1 -0/4
192.168.2.176
255.255.255.248 VLAN 35 VDPSP
fa0/5 -0/8
192.168.2.23
255.255.255.192 VLAN 2 Native
GigabitEthernet 1/1
192.168.2.144
255.255.255.248 VLAN 15 VVUE
fa0/1 -0/16
192.168.2.24
255.255.255.192 VLAN 2 Native
GigabitEthernet 1/1
192.168.1.0
255.255.255.192 VLAN 24 VTFIN
fa0/1-0/24
192.168.2.25
255.255.255.192 VLAN 2 Native
GigabitEthernet 1/1
192.168.5.144
255.255.255.240
fa0/1 -0/14
192.168.5.160
255.255.255.240 VLAN 43 VATURIS fa0/15-0/24
192.168.2.26
255.255.255.192 VLAN 2 Native
192.168.5.64
255.255.255.224
VLAN 42 VPYMES fa0/1 -0/20
192.168.5.200
255.255.255.248
VLAN
VDTURIS
192.168.2.27
255.255.255.192 VLAN 2 Native
192.168.5.128
255.255.255.240
46
Switch
TRANSPORTES 192.168.5.192
VLAN
VTTRANS
255.255.255.248
VLAN
VATRANS
45
192.168.5.208
255.255.255.248
VLAN
VDTRANS
44
192.168.2.28
255.255.255.192 VLAN 2 Native
GigabitEthernet 1/1
192.168.5.176
255.255.255.240
VLAN 48 VTCOL
fa0/1 -0/10
VLAN 47 VDCOL
fa0/11 -0/14
192.168.5.224
255.255.255.248 VLAN 49 VACOL
fa0/15-0/18
192.168.2.29
255.255.255.192 VLAN 2 Native
GigabitEthernet 1/1
192.168.5.0
255.255.255. 192 VLAN 50 VJUVEN
fa0/1-0/24
192.168.2.30
255.255.255.192 VLAN 2 Native
GigabitEthernet 1/1
192.168.5.96
255.255.255. 224 VLAN 51 VMUN
fa0/1-0/24
Switch
COMSOC
Switch
ALCALDIA
Switch
PROMFIN
Switch VUE
Switch Finanzas
VLAN 16 VAADMIN
fa0/21-0/24
VLAN 9 VAALCAL fa0/21-0/24
ENTES EXTERNOS
Switch
TURISMO
Switch
TURISMO1
Switch COLIBRI
Switch
JUVENTUD
Switch
MUNICIPIO2
192.168.5.216
255.255.255.
248
VLAN 40 VTVUE
GigabitEthernet 1/1
41
fa0/21 - 0/24
GigabitEthernet 1/1
fa0/1 -0/14
fa0/15 -0/20
fa0/21-0/24

224
E.3 DESARROLLO
E.3.1 CONFIGURACIN DE ADMINISTRACIN BSICA DEL SWITCH
Este es un proceso que se debe realizar en todos los switches, sean estos de capa
acceso, distribucin o ncleo.
Configurar el nombre del host
Configurar la contrasea EXEC privilegiado
Configurar contraseas de terminal virtual y de consola

Se debe exigir una contrasea para acceder a la lnea de consola. Incluso el Modo EXEC
del usuario bsico puede proporcionar informacin importante a un usuario
malintencionado. Adems, las lneas vty deben tener una contrasea antes de que los
usuarios puedan acceder al switch de manera remota. (CISCO Networking Academic)
Configurar la encriptacin de contraseas
225
Configurar el mensaje MOTD.
Configurar un servicio de traduccin de nombres
Configure la gateway predeterminada en cada switch.
E.3.2. CONFIGURACIN DE EQUIPOS TERMINALES
Configurar las interfaces Ethernet en los equipos PC host
FIGURA E.2: Configuracin IP host de acceso

Fuente: Extrado de Cisco Packet Tracert
E.3.3 CONFIGURACIN EN SWITCH CAPA ACCESO

Habilitar los puertos del usuario en los switches de acceso en el modo de acceso
226
Configurar VTP
Antes de realizar la configuracin de VTP se muestra en la tabla los modos de
funcionamiento VTP de todos los switches que intervienen en la topologa.
TABLA E.2: Distribucin VTP en switches de acceso
Nombre del switch
Modo funcionamiento VTP
Dominio VTP
Contrasea VTP
Switch GES-SOC
Cliente
Gadmo
vlans2912
Switch PROM-SOC
Cliente
Gadmo
vlans2912
Switch CTIC-AP
Cliente
Gadmo
vlans2912
Switch GES-AMB
Cliente
Gadmo
vlans2912
Switch AVALUOS
Cliente
Gadmo
vlans2912
Switch INFRA
Cliente
Gadmo
vlans2912
Switch Varios1
Cliente
Gadmo
vlans2912
Switch CTIC-AP1
Cliente
Gadmo
vlans2912
Switch PLANIF
Cliente
Gadmo
vlans2912
Switch ADMIN
Cliente
Gadmo
vlans2912
Switch COMSOC
Cliente
Gadmo
vlans2912
Switch ALCALDIA
Cliente
Gadmo
vlans2912
227
Switch PROMFIN
Cliente
Gadmo
vlans2912
Switch VUE
Cliente
Gadmo
vlans2912
Switch Finanzas
Cliente
Gadmo
vlans2912
Switch Distribucin
Servidor
Gadmo
vlans2912
Configurar VTP en todos los switches segn la tabla.
Configurar puertos de enlaces troncales
Configurar la direccin de la interfaz de administracin
Asignar puertos del switch a las VLAN
228
E.3.4. CONFIGURACIN EN SWITCH CAPA DISTRIBUCIN

Configurar el servidor VTP con las VLAN.
229
Activar enrutamiento IP
Configurar la interfaz de enlaces troncales
Configurar enlaces
E.3.5 CONFIGURACIN EN SWITCH CAPA NCLEO

230
Activar enrutamiento IP
Configurar el servidor VTP con las VLAN.
231
Configurar la interfaz de enlaces troncales
Configuracin de enlaces
CONFIGURAR RIP
E.3.6 CONFIGURACIN EN SWITCH ENLACES EXTERNOS

Configuracin bsica de administracin.
232
Habilitar los puertos del usuario en los switches de acceso en el modo de acceso
Configurar VTP.
Antes de realizar la configuracin de VTP se muestra en la tabla los modos de
funcionamiento VTP de todos los switches que intervienen en la topologa.
TABLA E.3: Distribucin VTP enlaces externos
Nombre del switch
Modo funcionamiento VTP
Dominio VTP
Contrasea VTP
Switch Turismo
Cliente
Gadmo
vlans2912
Switch Turismo1
Cliente
Gadmo
vlans2912
Switch Transporte
Cliente
Gadmo
vlans2912
Switch Colibr
Cliente
Gadmo
vlans2912
Switch Juventud
Cliente
Gadmo
vlans2912
Switch Municipio
Cliente
Gadmo
vlans2912
Switch Ncleo
Servidor
Gadmo
vlans2912
233
Configurar puertos de enlaces troncales y disear la VLAN nativa para los enlaces
troncales.
Asignar puertos del switch a las VLAN
E.3.7 CONFIGURACIN DE SEGURIDAD BSICA DEL SWITCH

Habilitar seguridad en los puertos del switch
234
Configurar la cantidad mxima de direcciones MAC.
Configurar el puerto para agregar la direccin MAC a la configuracin en ejecucin
Configurar el puerto para que se desactive automticamente si se infringe la seguridad

del puerto.
E.3.8 CONFIGURACIN DE SSH EN LOS SWITCHES
235
ANEXO F
F INSTALACIN Y CONFIGURACIN DEL IDS-IPS
Como se haba mencionado en el captulo tres, la plataforma utilizada para la
implementacin del sistema de deteccin de intrusos es SELKS, adems se describi los
requisitos previos a la instalacin. Una vez instalado el sistema operativo, en la mquina
virtual; tendremos la pantalla mostrada en la figura F-1.
FIGURA F.1: Pantalla de Inicio de SELKS

Fuente: Extrado de la pantalla de escritorio de SELKS
Para iniciar con la instalacin y configuracin es necesario desactivar la tarjeta de red,

que ser el sniffing del sistema de deteccin y prevencin de intrusos; de tal manera que
ste funcione de la manera ms adecuada.
Es necesario verificar el estado de la interfaz de red que ser el sniffing, en este caso la
eth1; para ello se usa el comando ehtool -k eth1.
Se muestra dicha configuracin en la figura F-2.
236
FIGURA F.2: Estado de la interfaz que funcionar como snnifing

Conociendo el estado de la interfaz de red, se procede a configurarla, para que funcione

como un snnifer, y permita monitorear de mejor manera la red.
Para ello a nivel de root, escribimos:
/opt/selks/Scripts/Setup/reconfigure-listening-interface_stamus.sh
FIGURA F.3: Configurar la interfaz snnifer

237
Pedir que se indique la interfaz que deseamos funcione como un snnifer; en este caso
la eth1.
Se presentar despus datos de la configuracin realizada.
FIGURA F.4: Estado de interfaz snnifer

F.1 Configuracin de Suricata IDS-IPS

En la plataforma SELKS, ya viene instalado previamente Suricata; para comprobar que
versin de este IDS-IPS se est corriendo, ser necesario digitar el comando:
Suricata --build-info
238
FIGURA F.5: Comprobacin de la versin instalada de Suricata IDS-IPS

Consideraciones bsicas de configuracin

Existen varias recomendaciones rpidas para mejo el r rendimiento en el trfico de alta
velocidad que se podra considerar ajustando ciertos valores del scrip suricata.yaml
Para ello, es necesario editar el script, en el directorio: /etc/suricata/suricata.yaml.
Las variables relativas a la transmisin vienen pre-establecidas con un valor bajo, ay que
incrementarlo para obtener mejores resultados.
FIGURA F.6: Edicin del parmetro stream en el archivo suricata.yaml

239
El siguiente capo a editar son los tiempos de espera especficos para los flujos.; aqu
puede especificar los tiempos de espera que los flujos de activos esperarn para trnsito
y el transporte desde el estado actual a otro, en cada protocolo.
FIGURA F.7: Edicin del parmetro flow-timeouts en el archivo suricata.yaml

El motor de deteccin se basa en
grupos internos de firmas, el cual nos permite
especificar el perfil que desea utilizar para ellos, para gestionar la memoria de una manera
eficiente manteniendo un buen rendimiento. Para la palabra clave de perfil puede utilizar
las palabras de baja, media, alta o personalizados. En este caso se ha optado por
el perfil alto.
FIGURA F.8: Edicin del parmetro detect-engine en el archivo suricata.yaml

El valor mximo de paquetes pendientes viene establecido por defecto en 1024, pero esto
desencadena un problema ya que puede causar cierta prdida de paquetes debido a que
se acumula de la firma despus de que los hilos de captura de paquetes han comenzado
a trabajar. Es por eso que no se recomienda dejarlo en el valor predeterminado. Es por
ello que dicho valor se ha incrementado.
240
FIGURA F.9: Edicin del parmetro max-pending en el archivo suricata.yaml

Una vez instalado Suricata, lo vincularemos con Scirius; Elasticsearch, Kibana y Logstash
para aprovechar todas las ventajas de la plataforma SELKS.
F.1.1 ENLAZAR SURICATA CON SCIRIUS

Lo primero que se har ser la instalacin de Scirius, una aplicacin escrita en Django6.
Se puede instalar como cualquier otra aplicacin Django.
La forma ms fcil de instalar las dependencias es utilizar pip:
FIGURA F.10: Instalacin de Python-pip

Fuente: Extrado del terminal de SELKS
A continuacin, se debe instalar Django y las dependencias
FIGURA F.11: Instalacin de Django y sus dependencias

Django es un framework web de cdigo abierto escrito en Python que permite construir aplicaciones web
ms rpido y con menos cdigo. http://django.es/
241
Una vez instalada, se puede poner en marcha el servicio.
FIGURA F.12: Puesta en Marcha Scirius

Fuente: Pagina inicial desde el servidor de Scirius
Ahora enlazaremos Suricata con Scirius, considerando que ste est generando un solo
archivo de reglas con todas las reglas activadas. Al editar el objeto Suricata, es necesario
configurar el directorio donde desea que este archivo a ser generado y los archivos
asociados del conjunto de reglas que se desea copiar.
FIGURA F.13: Archivo configuracin de ruta de reglas Scirius

242
F.1.2 ENLAZAR SURICATA CON ELASTICSEARCH

Esta aplicacin permitir obtener informacin acerca de las firmas utilizadas por Suricata;
adems puede obtener grfica y detalles sobre una norma especfica.
Para configurar la conexin Elasticsearch, puede editar settings.py o crear un archivo en
el directorio local_settings.py Scirius para configurar la funcin.
Se debe editar este archivo poniendo la variable USE_ELASTICSEARCH en verdadero y
la variable ELASTICSEARCH_ADDRESS utilizando el formato IP: puerto.
FIGURA F.14: Edicin de variables elasticsearch

Se puede poner en marcha y observar la interaccin con Suricata
FIGURA F.15: Puesta en Marcha elasticsearch

Fuente: Pagina inicial desde el servidor de SELKS
F.1.3 ENLAZAR SURICATA CON KIBANA

Para configurar la conexin Kibana, puede editar settings.py o crear un archivo en el
directorio local_settings.py Scirius para configurar la funcin.
243
FIGURA F.16: Edicin de variables kibana

Se puede poner en marcha y observar la interaccin con Suricata
FIGURA F.17: Puesta en Marcha kibana

F.2 ADMINISTRACIN DE REGLAS

Un conjunto de reglas est hecho de componentes seleccionados de diferentes fuentes.
Una fuente es un conjunto de archivos que proporcionan informacin a Suricata.
(StamusNetworks, s.f.)
F.2.1 CREAR FUENTES
Para crear una fuente ir a fuentes -> Add (Aadir estar en el men Acciones en la barra
lateral). A continuacin, establezca los diferentes campos y haga clic en Enviar.
244
FIGURA F.18: Insertar fuentes en SELKS

F.2.2 CREAR CONJUNTOS DE REGLAS

Para crear un conjunto de reglas ir a Ruleset -> Add (Aadir estar en el men Acciones
en la barra lateral). A continuacin, establezca el nombre del conjunto de reglas y elegir
qu fuentes utilizar y haga clic en Enviar.
FIGURA F.19: Crear reglas Suricata

245
ANEXO G
G.1 MODELO DE TRPTICO DESTINADO A LOS USUARIOS DEL GADMO
El trptico presentado a continuacin, ha sido entregado a los Directores de los diversos
Departamento, los cuales a su vez, han entregado copia del mismo con memo, a cada
uno de los funcionarios de la entidad, de esta manera, se busca dar a conocer las
principales Polticas de Seguridad de la Informacin propuestas en el Manual de Polticas
y Procedimientos de la Informacin, desarrollados en este proyecto.
Adems se presenta el documento de certificacin de haber realizado la socializacin del
Manual de Polticas y Procedimientos de la Informacin
246
247
248
249

Defensa Red Intern A

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Defensa Red Intern A

Uploaded by

Copyright:

Available Formats

UNIVERSIDAD TCNICA DEL NORTE

FACULTAD DE INGENIERA EN CIENCIAS APLICADASM

TRABAJO DE GRADO PREVIO A LA OBTENCIN DEL TTULO DE

AUTOR: ANDREA YOMAIRA ZURA CHAL

UNIVERSIDAD TCNICA DEL NORTE

ZURA CHAL ANDREA YOMAIRA

AZAYA ISLA SAN CRISTBAL 2-08 Y AMBATO ESQUINA.

062 545 388

0985 481 957

DISEO DEL MODELO DE SEGURIDAD DE DEFENSA EN

ZURA CHAL ANDREA YOMAIRA

MAYO DEL 2015

MSC. EDGAR MAYA

2 AUTORIZACIN DE USO A FAVOR DE LA UNIVERSIDAD

UNIVERSIDAD TCNICA DEL NORTE

CESIN DE DERECHOS DE AUTOR DEL TRABAJO A FAVOR DE LA UNIVERSIDAD

UNIVERSIDAD TCNICA DEL NORTE

UNIVERSIDAD TCNICA DEL NORTE

Certifico, que el presente trabajo de titulacin DISEO DEL MODELO DE SEGURIDAD

UNIVERSIDAD TCNICA DEL NORTE

Dedico este Proyecto de Titulacin a mis padres; Esthela quien ha inculcado en m su

Andrea Yomaira Zura Chal

UNIVERSIDAD TCNICA DEL NORTE

Andrea Yomaira Zura Chal

AUTORIZACIN DE USO Y PUBLICACIN .................................................................................. II

1.2.1.1.2 CLUSULAS ..................................................................................................................... 7

2.2.1 OSSTMM ............................................................................................................................... 39

3.2.2.1 CARACTERSTICAS DEL EQUIPO ................................................................................ 105

A.1.1.1 VISIBILIDAD ................................................................................................................... 167

B.1.2.2 INDEMNIZACIN ............................................................................................................ 183

C.1.2.7 CONFIDENCIALIDAD ..................................................................................................... 200

D.1.3.2 DEBILIDAD ...................................................................................................................... 218

FIGURA 2.5: Calculadora de RAVs oficial de OSSTMM ............................................................... 51

FIGURA 3.31: Detalle de alertas producidas............................................................................... 137

FIGURA D.5: Lista de puertos bloqueados en la red .................................................................. 217

TABLA A.4: Lista de Controles usados en OSSTMM 3.0 ........................................................... 169

son la integridad, disponibilidad y

confidencialidad de la informacin frente a las amenazas externas e internas a las que la

seguridad, el mismo que ser socializado conjuntamente con el

En este captulo se realizar un estudio de los fundamentos de la seguridad en

1.1.2.1 PILARES FUNDAMENTALES DE LA SEGURIDAD DE INFORMACIN

FIGURA 1.1: Incidentes producidos en la identificacin de riesgos

1.1.2.2.1 AMENAZAS PARA LA SEGURIDAD DE INFORMACIN

FIGURA 1.2: Clasificacin de las amenazas de la seguridad de informacin

1.1.2.2.2 VULNERABILIDADES EN LA SEGURIDAD DE LA INFORMACIN

Clasificacin de las vulnerabilidades.

FIGURA 1.3: Clasificacin de las vulnerabilidades de la seguridad de informacin

1.1.2.2.3 ATAQUES PRODUCIDOS EN LA SEGURIDAD DE LA INFORMACIN

FIGURA 1.4: Clasificacin de los ataques producidos en la seguridad de informacin

1.2 DEFENSA EN PROFUNDIDAD

FIGURA 1.5: Capas del modelo defensa en seguridad

FIGURA 1.6: Esquema del 1er dominio de la Norma ISO/IEC 27002:2009

b. Aspectos organizativos de la seguridad de la informacin.

FIGURA 1.7: Esquema del 2do dominio de la Norma ISO/IEC 27002:2009

FIGURA 1.8: Esquema de 3er dominio de la Norma ISO/IEC 27002:2009

d. Seguridad ligada a los recursos humanos.

FIGURA 1.9: Esquema del 4to dominio de la Norma ISO/IEC 27002

e. Seguridad Fsica y del Entorno

FIGURA 1.10: Esquema del 5to dominio de la Norma ISO/IEC 27002:2009

f. Seguridad en las telecomunicaciones.

FIGURA 1.11: Esquema del 6to dominio de la Norma ISO/IEC 27002:2009

h. Adquisicin, desarrollo y mantenimiento de los sistemas de informacin.

FIGURA 1.14: Esquema del 8vo dominio de la Norma ISO/IEC 27002:2009

i. Gestin de incidentes en la seguridad de la informacin.