FACULTAD DE INGENIERA

UNIVERSIDAD CATOLICA
SEGURIDAD Y AUDITORIA EN REDES LUZ NELLY LEAL

FEBRERO DE 2013

Contenido
Conceptos Bsicos de Redes Componentes de una Red Generalidades Dispositivos Tipos de Redes Tecnologas de comunicacin Riegos Asociados con la tecnologa de Redes Mejores prcticas de control Controles y Auditoria Identificacin y anlisis de servicios y aplicaciones Auditora perimetral Test de intrusin Anlisis forense (anlisis postmortem) Auditora de pginas Web. Aplicacin del CONCT para la realizacin de una auditora prctica sobre redes.

SEGURIDAD Y AUDITORIA EN REDES Y COMUNICACION DE DATOS

Conceptos Bsicos

Red: Es un sistema de comunicaciones que le permite a los usuarios enviar y recibir mensajes y compartir mensajes comunes

Componentes de la red
Independientemente de las diferencias entre las redes, estas pueden ser descritas en trminos de los siguientes componentes: Aplicaciones Terminales Medios de transmisin Switches Protocolos Arquitectura

SEGURIDAD Y AUDITORIA EN REDES Y COMUNICACION DE DATOS

Componentes de la red

Componentes de la red: Las aplicaciones son los mensajes transmitidos, los protocolos son estndares que aseguran que las terminales, medios y switches trabajen juntos y la arquitectura es representada por la relacin entre los diferentes componentes

Conceptos Bsicos
Aplicaciones: Son los materiales que son comunicados a travs de las redes. Por ejemplo, la voz humana sobre las redes pblicas telefnicas, los datos sobre las redes de rea local corporativas, y los productos de entretenimiento transmitidos a travs de la radio y la televisin. Seales Anlogas: Son una forma de energa propagada que vibra a travs de un medio. Pueden ser representadas por una onda contnua sinusoidal. Seales Digitales: Son puntos discretos en los cuales la energa est presente o ausente. Los pulsos de energa pueden ser representadas como una onda de forma cuadrada. Las seales aparecen como secuencias de bits y pueden ser representados como una secuencia de pulsos.

SEGURIDAD Y AUDITORIA EN REDES Y COMUNICACION DE DATOS

Conceptos Bsicos

SEGURIDAD Y AUDITORIA EN REDES Y COMUNICACION DE DATOS

Conceptos Bsicos
Bit: Cada punto de la seal digital en la cual se espera un 1 o un 0. Bits por segundo (bps): Es la medida de la capacidad de transmisin. Otras medidas son: miles de bits (kilobits-kbps), millones de bits por segundo (megabits-mbps), y billones de bits (gigabits o gbps) Los mensajes pueden ser transmitidos a travs de las seales anlogas o digitales, y los sistemas modernos pueden hacer conversiones de un tipo de seal a otra. Un computador personal por ejemplo, usando una conexin por marcado, genera seales digitales que son convertidas a seales anlogas con un mdem (modulador / demodulador)

SEGURIDAD Y AUDITORIA EN REDES Y COMUNICACION DE DATOS

Conceptos Bsicos

SEGURIDAD Y AUDITORIA EN REDES Y COMUNICACION DE DATOS

Conceptos Bsicos
Terminales: Son dispositivos que convierten seales para transmisin sobre una red y retornarlos en un formato de presentacin en el extremo final (computadores, estaciones de trabajo, PDAs, celulares) Medios de transmisin: Transportan las seales entre varios componentes de una red. Cables de cobre rectos: utilizados para conectar los primeros telfonos, presentaban mucha interferencia.

SEGURIDAD Y AUDITORIA EN REDES Y COMUNICACION DE DATOS

Conceptos Bsicos
Cable Coaxial: Utilizado para distribuir programas de video a los hogares en las redes de TV por cable. Consiste de un cable de cobre central rodeado por un aislamiento y una cubierta de metal o malla. Fibra ptica: Utilizados para altos volmenes de trfico sobre largas distancias. Hebras de vidrio plstico o fibras de silica rodeadas por materiales protectoras. Cables de cobre de pares trenzados: Es el medio ms antiguo todava en uso y ms ampliamente utilizado. Utilizado en los telfonos comunes, reemplaz los cables rectos, eliminando la interferencia, al trenzar los cables. Tambin se encuentran en la mayora de redes locales, reemplazando el cable coaxial. Disponible en versiones de 2,4, y 8 cables. Como medio de transmisin es barato, fcil de instalar y disponible en el mercado.

Generalidades

Comnmente encontramos 3 tipos de redes: Voz sobre la red telefnica pblica Datos sobre las redes de rea local corporativas Transmisin de noticias y entretenimiento sobre las redes de radio y televisin Tcnicamente, estas redes difieren en diferentes aspectos, pero comparten caractersticas comunes. De hecho, hay una convergencia creciente en ellas a medida que dependen cada vez ms de la tecnologa digital. En los ltimos aos hemos sido testigos de la transmisin de mensajes, voz, datos y video sobre redes virtualmente idnticas.

Generalidades

Los desarrollos ms recientes en redes incluyen: Datos sobre la red telefnica pblica, tanto para los usuarios corporativos como para el pblico que accede a la Internet Voz sobre redes de rea local IP Video sobre redes de rea local y la red telefnica pblica Voz y datos sobre redes inalmbricas

Generalidades Tipos de Red

Generalidades Tipos de Red

Generalidades Tipos de Red

Dispositivos

Tarjeta de red / Unidad de acceso al medio

Tarjeta de Interfaz de Red o Network Interface Card (NIC) o Unidad de Acceso al Medio, Medium Access Unit (MAU). Es el dispositivo que conecta la estacin (ordenador u otro equipo de red) con el medio fsico. Los equipos disponen de interfaz de red, principalmente Ethernet, incorporado.

Dispositivos

Unidad de Acceso Multiestacin

La Unidad de Acceso Multiestacin o MSAU, por su nombre en ingls Multistation Access Unit, es un dispositivo de redes de anillo de paso de testigo o token ring que conecta los dispositivos de red en una tipologa de estrella manteniendo la estructura lgica de anillo. Uno de los problemas con la topologa de anillo con paso de testigo es que un nodo no operativo puede romper el anillo. El MSAU resuelve este problema al contar con la habilidad de cortar los nodos no operativos y mantener la estructura de anillo. Es un tipo especial de concentrador especializado en redes de anillo con paso de testigo.

Dispositivos

Unidad de servicio
La Unidad de Servicio en realidad son dos dispositivos que usualmente vienen incorporados en el mismo equipo. Estos dispositivos son la Unidad de Servicio del Canal y la Unidad de Servicio de Datos, tambin conocidas por sus siglas en ingls CSU/DSU, Tpicamente los dos dispositivos estn construidos como una misma unidad y se puede considerar como una especie de mdem de muy alto desempeo. Este dispositivo es necesario en ambas puntas de una conexin y deben de ser configuradas al mismo estndar de comunicaciones.

Dispositivos

Conmutadores - Switch
En redes un conmutador es un dispositivo que filtra y reenva paquetes a travs de segmentos de la red local. Los conmutadores operan en la capa de enlace de datos, la segunda capa del modelo OSI, y algunas veces en la tres, por lo cual soportan cualquier protocolo de paquetes. Las redes de rea local que utilizan conmutadores para unir segmentos reciben el nombre de redes conmutadas o redes switcheadas.

Dispositivos

Puentes
Los Puentes o Bridges son equipos que unen dos redes actuando sobre los protocolos de bajo nivel, en el nivel de control de acceso al medio. Solo el trfico de una red que va dirigido a la otra atraviesa el dispositivo. Esto permite a los administradores dividir las redes en segmentos lgicos, descargando de trfico las interconexiones. Se puede unir redes de la misma o diferente tecnologa por tratarse de dispositivos independientes del protocolo. Reenvan paquetes sin analizar y reenrutar los mensajes, produciendo las seales, con lo cual no se transmite ruido a travs de ellos.

Dispositivos

Enrutadores
Los Ruteadores, Enrutadores o Routers son equipos de interconexin de redes que actun a nivel de los protocolos de red . Permite utilizar varios sistemas de interconexin mejorando el rendimiento de la transmisin entre redes. Su funcionamiento es ms lento que los puentes pero su capacidad es mayor. Los enrutadores utilizan las cabeceras y una tabla de seguimiento para determinar la direccin que seguirn lo paquetes Para los enrutadores no es relevante el tipo de datos que manejan.

Dispositivos

Gateways
Las Pasarelas o Gateways son equipos para interconectar redes con protocolos y arquitecturas completamente diferentes a todos los niveles de comunicacin. La traduccin de las unidades de informacin reduce mucho la velocidad de transmisin a travs de estos equipos.

Servidores de terminales
Los servidores de terminales e impresoras son equipos que permiten la conexin a la red de equipos perifricos tanto para la entrada como para la salida de datos. Un terminal puede establecer sesiones contra varios ordenadores y cualquier sistema de la red puede impirmir en las impresoras conectadas a un servidor.

Tipos de Redes

Redes de Area Local (Local Area Networks - LAN) Redes de Area Metropolitana (Metropolitan Area Networks - MAN) Redes de Area Amplia (Wide Area Networks WAN)

Redes de Area Local - LAN

LAN es un grupo de computadores y otros dispositivos de hardware que estn localizados geogrficamente cerca uno de otro (usualmente dentro de un edificio o campus) y estn enlazados entre s de manera que los usuarios comparten estos dispositivos y sus servicios. Topologas tpicas de este tipo de red son anillo, bus, estrella e hbridas.

Redes MAN y Redes Wam

MAN es una LAN ms extensa. Las redes MAN tpicamente cubren reas de un mximo de 150 km de dimetro.

WAN conectan dispositivos o interconectan redes sobre las instalaciones de los proveedores de telecomunicaciones Los factores a ser considerados para la implementacin de una red WAN son: -Costo -Desempeo -Confiabilidad -Seguridad

Tecnologas de Comunicacin Algunas de las principales tecnologas de comunicacin utilizadas actualmente son: Lneas Dedicadas T1/E1 & T3/E3 Frame Relay ISDN ATM MPLS DSL Tecnologa Cable Modem Redes Inalmbricas Redes de Alta Velocidad (>100 Mbps) llamadas redes de Banda Ancha (Broadband Networks)

T1 & T3 Lneas dedicadas

El ancho de banda de T1 es 1.544 Mbps El ancho de banda de E1 es 2.048 Mbps El ancho de banda de T3 es 44.76 Mbps El ancho de banda de E3 es 34.36 Mbps El costo de las Lneas Dedicadas es bastante alto E1 y E3 son las versiones Europeas de T1 y T3

Frame Relay

Frame Relay es una versin de alta velocidad de la tecnologa de Intercambio de Paquetes (packet switching) Los datos son transmitidos en marcos de longitud variable No se ejecuta control de flujo o errores, lo cual permite un mayor flujo de datos (throughput) Frame Relay tpicamente opera a 56 Kbps a 1.544 Mbps pero puede soportar hasta 45 Mbps

Frame Relay

El hardware utilizado para implementar una infraestructura de red basada en Frame Relay incluye: Bridges Routers Gateways Multiplexores Switches FRADS (Frame Relay Access Devices)

Frame Relay

Al contratar el servicio de Frame Relay con un proveedor pblico, es importante establecer la Tasa de Informacin Acordada (Committed Information Rate - CIR) CIR define la tasa de cobro por el trasporte de los datos a travs de la red todo el tiempo Frame Relay provee Ancho de Banda Por Demanda para atender picos en el trfico de red (bursty traffic) Frame Relay provee soporte de integracin de redes LAN integration a travs de redes WANs

Frame Relay

ATM

ATM significa Modo Asicrnico de Transferencia (Asynchronous Transfer Mode) ATM es una tecnologa que transmite informacin en pequeos paquetes de un tamao fijo. Estos paquetes son llamados celdas. Una celda ATM consta de 53 bytes de los cuales 48 bytes representan datos y 5 bytes son usados para el encabezado Debido al pequeo tamao fijo de los paquetes as como a la simplicidad de los protocolos, ATM es capaz de ejecutar Intercambio de Paquetes de una manera ms rpida.

ATM

ATM puede ser usado para diferentes tipos de trfico como video, voz y texto Desafortunadamente, las redes ATM no garantizan la distribucin de las celdas. En caso de errores, los paquetes perdidos no son retransmitidos. Por consiguiente, ATM no debe ser considerado para lneas de transmisin poco confiables. Sin embargo, el orden en el que las celdas son enviadas est garantizado en el lado del receptor.

Beneficios de ATM

Alto desempeo usando switches como el hardware principal El ancho de banda es asignado dinmicamente Soporte de clase de servicio para multimedia Escalabilidad en trminos de la velocidad y el tamao de la red Arquitectura comn de redes LAN/WAN Cumplimiento con estndares internacionales

ATM

MPLS (Conmutacin de Etiquetas Multiprotocolo)

Es una nueva tecnologa de conmutacin creada para proporcionar circuitos virtuales en las redes IP, sobre las que introduce una serie de mejoras: Redes privadas virtuales. Ingeniera de trfico. Mecanismos de proteccin frente a fallos.

MPLS (Conmutacin de Etiquetas Multiprotocolo)

DSL

DSL significa Lnea de Suscriptor Digital (Digital Subscriber Line) y es una tecnologa que habilita transmisin de datos a alta velocidad sobre la red telefnica pblica. Como resultado, instalaciones costosas de fibra ptica o actualizaciones a la infraestructura ya no son necesarias. Todo lo que un cliente necesita para establecer una conexin DSL es un mdem que no es tan costoso La tecnologa DSL pueden ser de 2 tipos: simtrica y asimtrica.

DSL

La Carga (Upstream) se refiere a la transmisin de datos desde el cliente hasta el proveedor del servicio, mientras que la Descarga se refiere a la transmisin de datos desde el proveedor del servicio hasta el cliente. DSL ofrece ancho de banda para carga en el rango de 16 Kbps y 6 Mbps. El ancho de banda para la descarga es significativamente ms grande y puede alcanzar hasta 52 Mbps. Hay muchas variaciones de tecnologas DSL. Por consiguiente tambin es llamado XDSL.

ADSL

ADSL ofrece ancho de banda para carga en el rango entre 16 Kbps y 640 Kbps y un muy amplio ancho de banda para descarga El ancho de banda de descarga depende de numerosos factores tales como la distancia, la calidad del cableado en la planta, el tipo de modem y el proveedor del servicio y puede alcanzar hasta 6 Mbps ADSL tiene 2 beneficios principales: ancho de banda dedicado y una variedad de proveedores que ofrecen el servicio.

Redes Inalmbricas

Las redes inalmbricas presentan nuevas opciones para el acceso e intercambio de informacin Las redes inalmbricas proveen acceso inmediato a la informacin independientemente de la ubicacin del usuario Las redes inalmbricas operan a varias tasas y niveles de complejidad El tamao de las redes inalmbricas vara de LANs inalmbricas a WANs inalmbricas

Redes Inalmbricas

La transferencia de informacin es realizada utilizando opciones de comunicacin como: Rayos Infrarrojos Espectro Electromagntico Microondas Paquetes de radio Satlite

Redes Inalmbricas

Microondas

La tecnologa de Microondas es ampliamante usada para conectar LANs aisladas Las Microondas pueden transportar video, datos y voz para servicios de comunicacin personal Para las transmisiones por Microondas se requiere licenciamiento de la Comisin Reguladora de Comunicaciones

Microondas

Los satlites emplean tecnologa microondas a frecuencias muy altas para comunicaciones interactivas de rea amplia ydistribuir servicios de transmisin a sitios remotos que no pueden ser conectados a travs de instalaciones terrestres.

SEGURIDAD Y AUDITORIA EN REDES Y COMUNICACION DE DATOS

Infraestructura tpica de una red

Una Infraestructura Representativa de Redes

SEGURIDAD Y AUDITORIA EN REDES Y COMUNICACION DE DATOS

Arquitectura de un sitio Web

RIESGOS Y CONTROLES EN REDES

SEGURIDAD Y AUDITORIA EN REDES Y COMUNICACION DE DATOS

RIESGOS ASOCIADOS A LOS AMBIENTES DE RED

Confidencialidad Los clientes proveen a vendedores desconocidos informacin sensible en sus sitios Web, como por ejemplo el nmero de sus tarjetas de crdito. Los canales sobre los cuales viaja esta informacin pueden no estar debidamente asegurados. La informacin ya sea que est viajando a travs de la red o almacenada, es susceptible de alteraciones o borrado no autorizados. Los ataques a sitios Web pueden redundar en cambios no autorizados en su diseo o configuracin La disponibilidad 7x24 que se espera de los sitios Web obliga a las organizaciones a implementar esquemas de alta disponibilidad que aseguren una rpida reaccin ante cualquier seal de falla aparente para los clientes o socios de negocios.

Integridad

Disponibilidad

Autenticacin y no repudiacin

Los actores en una transaccin electrnica, deben interactuar en una relacin de confianza y transparencia, que requiere la capacidad de probar sus respectivas identidades antes de ejecutar la transaccin. Una vez procesada la transaccin se debe asegurar que los actores no puedan negar que la transaccin se hizo en los trminos acordados y fue completada.

SEGURIDAD Y AUDITORIA EN REDES Y COMUNICACION DE DATOS

MEJORES PRACTICAS DE CONTROL

Firewalls Dispositivos que restringen el acceso entre redes confiables y no confiables. En un contexto ms general, los firewall protegen una red corporativa confiable de la poco confiable Internet.

Tecnologas Firewall -Filtrado de paquetes: selectivamente enrutan paquetes entre redes confiables y no confiables -Proxies: toman solicitudes de servicios disponibles en Internet y los redireccionan a los servicios reales. -Inspeccin de Estado (Filtrado de paquetes dinmico): rastrea sesiones TCP activas a travs de tablas de estado. -Firewalls hbridos: combina proxies e Inspeccin de Estado

MEJORES PRACTICAS DE CONTROL

PKI Es la tecnologa estndar aceptada para la identificacin de las personas. Una infraestructura PKI completa involucra el ciclo completo de los certificados y claves, incluyendo su revocacin, recuperacin, regulacin, administracin e integracin.

Adems de proveer mecanismos para probar la identidad, PKI es concebida como la tecnologa que provee confianza sobre la Internet. Brindar confianza en la confidencialidad de las transacciones sobre la Internet es uno de los aspectos que requieren mayor atencin en esquemas de e-commerce.

MEJORES PRACTICAS DE CONTROL

Encripcin Es el proceso de cifrar la informacin en una forma de texto ilegible e indescifrable. Este proceso est basado en algoritmos que utilizan diversas formas de sustitucin o trasposicin.

Encripcin Hola Encripcin $#(%

Desencripcin $#(% Desencripcin Hola

La encripcin simtrica utiliza la misma llave para encripcin y desencripcin. Encripcin Hola Encripcin

Desencripcin $(NSG#(% Desencripcin

$(NSG# Criptografa (% Es la ciencia de seguridad informtica que involucra los procesos de encripcin y Hola desencripcin. Mtodos Criptogrficos Uso de llaves pblicas y privadas

La encripcin asimtrica utiliza diferentes llaves para encripcin y desencripcin.

MEJORES PRACTICAS DE CONTROL Firmas Digitales Una firma digital es una tcnica que utiliza algoritmos de encripcin para adicionar una cadena de caracteres a un mensaje electrnico, por medio del cual el destinatario puede identificar al remitente.

Mensaje M Hash h h(M) Usuario A Llave LLave Pblica B (M, Privada A(h(M)) Uusario B

Firmas Digitales

Atributos de las firmas digitales La firma digital es nica para la persona que la usa Esta puede ser verificada El mecanismo de generacin de la firma est asociado exclusivamente al usuario para el que se genera La firma est vinculada a la informacin de manera que si esta es alterada, la firma es invalidada.

El uso de firmas digitales incluye: sistemas de transferencia de fondos y mantenimiento de la integridad de las bases de datos.

MEJORES PRACTICAS DE CONTROL

Entidades Certificadoras Las Entidades Certificadoras son terceras partes autorizadas que son involucradas en una infraestructura de llaves pblicas y cuentan con su propia llave pblica y llave privada. Su misin es emitir certificados digitales acerca de la validez de la llave pblica de los usuarios. Los certificados digitales pueden ser usados para establecer confianza.

MEJORES PRACTICAS DE CONTROL

Certificados Digitales Los certificados digitales son el equivalente electrnico de una tarjeta de identificacin, tal como la cdula.

Llave Pblica

Usuario

Representacin Grfica del Certificado Digital

Servidor de la Entidad Certificadora (CA)

Versin Serial Number Algortihm Id Issuer Period of Validity User

Certificado Digital X.509

Users Public Key Signatura

Version: versin de la norma X.509 basada en la cual se gener el certificado. Serial number: nmero consecutivo que le asigna la CA a cada certificado por ella emitido. Algorithm Id: nombres del algoritmo de criptografa de llave pblica y de de hashing utilizado. Usualmente es RSA-MD5 DSS-SHA. Issuer: nombre de la CA que emite el certificado. Period of Validity: fecha de validez del certificado. User: nombre del usuario cuya clave pblica se est certificando. Users Public Key: clave pblica del usuario. Signature: hashing de los campos anteriores cifrados con la llave privada de la Entidad Certificadora.

MEJORES PRACTICAS DE CONTROL

VPN (Virtual Private Networks) Las VPNs constituyen el ms importante avance en tecnologa de acceso remoto, siendo la ms flexible, escalable y rentable.
Extranet Business Partner Mobile User POP

Internet

VPN Central Site Site-to-Site Remote Office

Home Telecommuter

DSL Cable

Remote Access VPN

Evolution away from dial Per-user manageability Multi-OS (desktop) support Deployment scalability

Las VPNs crean un tnel privado sobre una infraestructura pblica (La Internet) hacia la red interna de una compaa

SEGURIDAD Y AUDITORIA EN REDES Y COMUNICACION DE DATOS

Controles
Herramientas de Seguridad
Secure Sockets Layer (SSL) SSL asegura el canal suministrando encripcin end-to-end de los datos que son enviados entre un cliente Web y un servidor Web. Aunque un sniffer sea capaz de mirar los datos en la transmisin, la encripcin efectivamente cifrar los datos de manera que estos no puedan ser interpretados. Sin embargo, antes de que sean encriptados y despus desencriptados, los datos que residen en la mquina del cliente Web y sobre el servidor Web estn slo tan seguros como las dems mquinas host. Los nmeros de las tarjetas de crdito de los clientes se ven comprometidas frecuentemente porque una compaa los guarda en un servidor Web inseguro.

Controles
Servicios de seguridad
Servicios de Seguridad Administrados (Manager Security Services MSS) 1/2

Aunque hay una variedad de productos y tecnologas disponibles para direccionar las amenazas electrnicas, la seguridad de las redes requiere esfuerzos continuos de aprendizaje y atencin. La escasez de sistemas de seguridad de fcil aprendizaje y de administradores de red, combinados con la dificultad para permanecer al da en los aspectos de seguridad puede interferir an con la implementacin de las ms bsicas precauciones de seguridad. Qu puede una organizacin que se preocupa por las amenazas a sus recursos de informacin, su reputacin y amenazas a sus clientes. Una opcin que cada vez cobra mayor aceptacin, es buscar Servicios de Seguridad Administrados (Managed Security Services MSS). Qu son los Servicios de Seguridad Administrados (MSS) La seguridad de la red de una organizacin cliente y sus recursos de informacin son supervisados y o manejados por otra firma especialista en MSS. Los proveedores de MSS pueden ser: compaas que apenas empiezan, firmas de seguridad de computacin ya establecidas, y compaas grandes de computacin y telecomunicaciones, proveedores de acceso a Internet y de Aplicaciones (ISPs y ASPs) y firmas de consultora.

Controles
Servicios de seguridad
Servicios de Seguridad Administrados (Manager Security Services MSS)

Debido a que el mantenimiento de la seguridad involucra varias funciones, los proveedores de MSS ofrecen una gama de servicios que pueden diferir entre s. Generalmente, los proveedores de MSS suministran y administran el hardware y el software. Los servicios comnmente incluyen administracin de firewalls, Redes Privadas Virtuales (Virtual Private Networks VPN), deteccin de intrusos, y programas antivirus. Tpicamente, una consultora inicial es efectuada para determinar las necesidades y polticas de la organizacin, y una evaluacin de sus vulnerabilidades (incluyendo pruebas de penetracin) es llevada a cabo. El cliente y el consultor determinan en conjunto la necesidad para el soporte en el centro de operaciones 24 x 7, y algn tipo de monitoreo, anlisis, reporte y respuesta a incidentes de seguridad.

SEGURIDAD Y AUDITORIA EN REDES Y COMUNICACION DE DATOS

Controles
Control y Auditora 1/12
Riesgos y Controles 1/3

Un paso clave en el proceso de desarrollo que no es frecuentemente ejecutado es el anlisis de amenazas. Similar a un anlisis de riesgos, un anlisis de amenazas en las aplicaciones debe llevarse a cabo en la fase de diseo para ayudar a identificar amenazas sobre sus aplicaciones. Para implementar controles de seguridad adecuados, usted necesita saber contra qu se est asegurando. Una propuesta de anlisis de amenazas que ha llegado a ser popular es el modelo STRIDE. STRIDE es una herramienta de anlisis que ayuda a categorizar las amenazas sobre las aplicaciones. Cuando las amenazas son identificadas, usted puede seguir pasos para mitigar, remover, o transferir el riego asociado con la amenaza. STRIDE ordena las amenazas en las siguientes categoras: Suplantacin de identidad (Spoofing) Manipulacin de la informacin (Data Tampering) Repudiacin (Repudiation) Revelacin de informacin (Information disclosure) Negacin del servicio (Denial of service) Elevacin de privilegios

SEGURIDAD Y AUDITORIA EN REDES Y COMUNICACION DE DATOS

Controles
Control y Auditora 2/12
Riesgos y Controles 2/3

Spoofing La suplantacin de identidad o Spoofing, ocurre cuando un usuario se hace pasar como otro para acceder a una aplicacin. El mejor ejemplo es robar la contrasea de alguien y usarla para tener acceso a un sistema. Data Tampering La manipulacin de datos o Data Tampering, es la modificacin maliciosa de la informacin. Por ejemplo, hacer cambios a informacin persistente, tal como la que se mantiene en una base de datos, o alterar informacin a medida que esta fluye entre dos computadores sobre la red. Repudiacin Las amenazas de repudiacin estn asociadas con usuarios quienes niegan haber ejecutado una accin cuando las otras partes no tienen forma de probar lo contrario. Por ejemplo, un usuario puede ejecutar una operacin ilegal en un sistema que no puede rastrear las operaciones prohibidas, o generar una orden y luego negar haberla emitido.

SEGURIDAD Y AUDITORIA EN REDES Y COMUNICACION DE DATOS

Controles
Control y Auditora 3/12
Riesgos y Controles 3/3

Revelacin de Informacin (Information Disclosure) La revelacin de informacin consiste en exponer informacin a individuos quienes no se suponen que la deban conocer. La habilidad de un usuario para leer un archivo al cual no se le haba otorgado acceso y la habilidad de un intruso para leer informacin en trnsito entre dos computadores son consideradas amenazas de revelacin de informacin. Denial of Service (DoS) Los ataques de negacin del servicio, interrumpen el servicio a usuarios vlidos al dejar las aplicaciones temporalmente no disponibles o inutilizables. Usted debe protegerse contra ciertos tipos de amenazas DoS simplemente para mejorar la disponibilidad y confiabilidad del sistema. Elevacin de Privilegios En esta amenaza, un usuario no privilegiado gana privilegios de acceso y por consiguiente tiene la habilidad de destruir el sistema por completo. La amenaza de elevacin de privilegios incluye aquellas situaciones en las cuales un atacante ha penetrado exitosamente todos los sistemas de defensa y llega a ser parte del sistema confiable por s mismo.

SEGURIDAD Y AUDITORIA EN REDES Y COMUNICACION DE DATOS

Controles
Control y Auditora 4/12
Amenazas en un sistema basado en ambiente Web
Amenaza Probabilidad Ocurrencia Media de Severidad Posibles Soluciones Alta Autenticacin de dos factores Chequeadores Integridad Mantener logs registros transacciones Autenticacin encripcin de

Spoofing (Suplantacin de Identidad) Data Tampering Media (Manipulacin de Informacin ) Repudiacin Media

Media

Alta

y de y

Information Disclosure (Revelacin Informacin) Negacin Servicio Elevacin privilegios

Alta de del Alta de Media

Media

Media Alta

Anlisis de Trfico en la red Mantener actualizados los parches y hacer hardening1 de los sistemas operativos

Hardening: es el proceso de definir y revisar la configuracin de su sistema para asegurar que no est permitiendo demasiado acceso o ejecutando demasiados servicios innecesarios.

SEGURIDAD Y AUDITORIA EN REDES Y COMUNICACION DE DATOS

Controles
Control y Auditora 5/12
Seguridad de Aplicaciones Web 1/8 En estos das es posible hacer casi cualquier cosa a travs de la red: chequear la informacin de las acciones, solicitar un nuevo servicio, y comprar prcticamente cualquier producto. Todo parece funcionar, mediante aplicaciones Web, pero qu es los que realmente significan? Las aplicaciones Web, no son programas finitos distinguibles. Estas incluyen muchos componentes diferentes y servidores. Una aplicacin Web promedio, incluye un servidor Web, un servidor de aplicaciones y un servidor de bases de datos. El servidor Web provee la interface de usuario grfica para el usuario final, el servidor de aplicaciones provee la lgica del negocio y el servidor de bases de datos almacena la informacin crtica para la funcionalidad de la aplicacin. El servidor Web provee muchas formas diferentes para reenviar una solicitud a un servidor de aplicaciones y enviar de vuelta una nueva o modificada pgina Web al usuario final. Estos esquemas incluyen el Common Gateway Interface (CGI), Microsofts Active Server Page (ASP), y Java Server Page (JSP), Perl (PL), Personal Home Page tools (PHP), y Server-side Include Hypertext Markup Language (SHTML). En algunos casos los servidores de aplicaciones tambin soportan solicitudes de interfaces intermediarias tales como Common Object Request Broker Architecture (CORBA) e Inter-ORB Protocol.

SEGURIDAD Y AUDITORIA EN REDES Y COMUNICACION DE DATOS

Controles
Control y Auditora 6/12
Seguridad de Aplicaciones Web 2/8 No todas las aplicaciones son creadas, o implementadas de la misma forma. La falta de seguridad en las aplicaciones Web est llegando a ser un camino fcil para que un atacante entre en la red de una organizacin. Porqu? Todas las aplicaciones Web al interior de una organizacin tienen el mismo esquema, pero en la prctica no es as. Todas ellas corren sobre los mismos pocos servidores Web disponible, usan el mismo software de carro de compras, y usan la misma aplicacin y servidores de bases de datos. Pero las aplicaciones Web son diferentes porque por lo menos una parte de la aplicacin incluye cdigo desarrollado en casa. Las organizaciones generalmente no cuentan con el tiempo o los recursos para hacer hardening de sus servidores y ejecutar una revisin minuciosa del cdigo de las aplicaciones antes de salir en vivo en la Internet. Este es un descuido inaceptable. Todos los servidores deben haber tenido un proceso de hardening y el cdigo de las aplicaciones debe ser apropiadamente probado y analizado antes de ser puesto en produccin. El tiempo extra y los recursos necesarios para ejecutar estas tareas resultan mnimos comparados con el costo de responder a un incidente. Adicionalmente, muchos programadores no saben cmo desarrollar aplicaciones seguras. Quizs ellos siempre desarrollaron aplicaciones stand-alone o aplicaciones Web en Intranets, dnde las fallas en seguridad no generaron resultados catastrficos.

SEGURIDAD Y AUDITORIA EN REDES Y COMUNICACION DE DATOS

Controles
Control y Auditora 7/12
Seguridad de Aplicaciones Web 3/8 Por otra parte, muchas aplicaciones Web son vulnerables debido a los sistemas operativos, a cdigo desarrollado comercialmente y a cdigo desarrollado en casa. Estos ataques van directamente dirigidos a vulnerar la seguridad del permetro del firewall debido a que el puerto 80 (o 443 para SSL) debe abrirse para que la aplicacin funcione apropiadamente. Los ataques a las aplicaciones Web incluyen ataques de negacin del servicio (DoS) sobre la aplicacin Web, cambiando el contenido de la pgina Web, y robando informacin sensible de la organizacin o de los usuarios, tal como el nmero de las tarjetas de crdito. Qu tan reales son estos ataques? Revisemos algunos titulares publicados en los ltimos meses del ao 2000: Un hacker penetr en el sitio Egghead.com, exponiendo potencialmente las cuentas de 3.7 millones de clientes. Hasta varias semanas despus del ataque, la compaa no se pronunci diciendo que el hacker no haba ganado acceso a los nmeros de las tarjetas de crdito de los clientes. A ese punto muchas de las tarjetas de crdito ya haban sido canceladas y el dao a la imagen de Egghead.com ya estaba hecho. Creditcards.com fue la victima de un intento de extorsin quin penetr en sus sitio y rob ms de 55.000 nmeros de tarjeta de crdito. El hacker public los nmeros en un sitio Web y peda dinero a la compaa para retirarlos de all.

SEGURIDAD Y AUDITORIA EN REDES Y COMUNICACION DE DATOS

Controles
Control y Auditora 9/12
Seguridad de Aplicaciones Web 5/8

Cul es exactamente la vulnerabilidad de una aplicacin Web? Los puntos ms vulnerables son: Malas configuraciones y vulnerabilidades ya conocidas Archivos ocultos Puerta trasera y opciones de depuracin (debug) Scripting cruzado entre sitios Web (Cross-site scripting) Manipulacin de parmetros (Parameter Tampering) Envenenamiento de cookies (Cookie poisoning) Manipulacin de entrada de datos Buffer overflow Navegabilidad de acceso directo (Direct access browsing)

SEGURIDAD Y AUDITORIA EN REDES Y COMUNICACION DE DATOS

Controles
Control y Auditora 10/12
Seguridad de Aplicaciones Web 6/8
Malas

configuraciones y vulnerabilidades Web ya conocidas Las vulnerabilidades ya conocidas incluyen todos los bugs y deficiencias en los sistemas operativos y aplicaciones de terceros usadas en una aplicacin Web.
Archivos

Ocultos Los archivos ocultos se refieren a campos ocultos en formularios HTML. Para muchas aplicaciones, estos campos son usados para mantener contraseas del sistema o precios de mercanca.
Puerta

trasera (Backdoor) y Opciones de Depuracin (Debug) Los desarrolladores frecuentemente dejan puertas traseras y encienden las opciones de depuracin (debug) para facilitar la solucin de problemas en las aplicaciones. Las puertas traseras (backdoors) son puntos de entrada inseguros en una aplicacin que proveen los desarrolladores (u otros, que conozcan la existencia de esas puertas) no oficialmente, y que dan acceso sin restriccin.
Scripting

cruzado entre sitios (Cross-Site Scripting) Site Scripting es difcil de definir simplemente porque tiene diferentes significados. En general, se refiere al proceso de insertar cdigo en pginas enviadas desde otra fuente.

SEGURIDAD Y AUDITORIA EN REDES Y COMUNICACION DE DATOS

Controles
Control y Auditora 12/12
Seguridad de Aplicaciones Web 8/8
Navegacin

con acceso directo (Direct access browsing) La navegacin con acceso directo se refiere a acceder directamente una pgina Web que debera requerir autenticacin.

Prevencin y control

Los ataques a aplicaciones Web pueden causar dao a los activos de la organizacin, recursos e imagen. Aunque las aplicaciones Web incrementan el riesgo de ataque a una compaa, existen muchas soluciones que ayudan a mitigar el riesgo. La mejor forma para prevenir los ataques a aplicaciones Web es a travs de la educacin y la vigilancia. Los desarrolladores deben ser educados en prcticas de seguridad de cdigo, y la administracin debe ser solo educada en relacin con los riesgos involucrados cuando un sistema sale en vivo antes de ser probado rigurosamente. El monitoreo y evaluaciones peridicas al sistema de seguridad as como las auditoras internas o externas son mecanismos que permiten evaluar el estado actual del sistema de seguridad y tomar decisiones acerca de las modificaciones y/o ajustes necesarios para fortalecerlo y mantenerlo.