Professional Documents
Culture Documents
Tabla I
MBITO DE OSSTMM
A. CANAL HUMANO
La evaluacin de seguridad en el canal humano, fue enfocada a Al ser los controles los mecanismos de seguridad puestos en
al nivel de acceso y confianza que ste factor proporciona en marcha para proteger las operaciones, cabe recalcar que se
la seguridad de la informacin. Para ello se realize pruebas de tiene mucha prioridad en cuanto a la indemnizacin del
observacin directa y de ingeniera social, con lo que se pudo personal, ms no as en otros controles que son totalmente
obtener informacin valiosa que compormete la seguridad de nulos como la Subyugacin y la Continuidad.
la informacin.
Las limitaciones se ponderan individualmente, pero stas se
Los resultados obtenidos se muetsran en la Fig.1, los mismos relacionan directamente con algunos controles y seguridad
que reflejan acorde a los parmetros de la metodolga que la operacional, es as que debido a ello se tiene limitaciones nulas
seguridad operacional es bastante baja, tomando en cuenta que como en el no repudio; y casi nulas en cuanto a
sta evala las diferentes polticas y procedimientos confidencialidad, privacidad, integridad y alarma.
implementados por la administracin.
B. CANAL FSICO
a que se tiene una limitacin de vulnerabilidad muy alta en para que el clculo de las limitaciones sea tambin
relacin a los dems valores. relativamente alto. Es as que resaltan limitaciones como las
Vulnerabilidades, debilidades y exposiciones las mismas que
reflejan una administracin no adecuada que expone a la red a
ciertas amenazas hacia la seguridad de informacin.
C. CANAL DE TELECOMUNICACIONES
Fig. 3. Resultado del clculo de RAVs en el canal telecomunicaciones.
La evaluacin de seguridad en el canal de Fuente: Calculadora OSSTMM
telecomunicaciones, se realiz un mapa de los protocolos de
comunicacin con la ayuda del software NetScan, con el que
se realiz un escaneo de puertos, dejando en evidencia el nivel D. CANAL REDES DE DATOS.
de acceso que se tiene a las apliaciones.
La evaluacin de seguridad en el canal de redes de datos, se
Los resultados obtenidos se muetsran en la Fig.3, los realiz con el uso de sniffing de red para identificar los
mismos que reflejan acorde a los parmetros de la metodolga protocolos que emanan respuesta de los servicios de red o
que la seguridad operacional es alta, principalmente en el peticiones en su caso. Por ejemplo, Netbios, ARP, SAP, NFS,
aspecto de Confianza, en el que se ha considerado todos los BGP, OSPF, MPLS, RIPv2, etc.
puertos que estn abiertos, analizando el porqu de su estado.
Esto refleja la importancia que se le ha dado a la seguridad de Los resultados obtenidos se muetsran en la Fig.4, los
las telecomunicaciones. mismos que reflejan acorde a los parmetros de la metodolga
que la seguridad operacional es demasiado alta,
Al ser los controles los mecanismos de seguridad puestos en principalmente en el aspecto de Confianza, en el que se ha
marcha para proteger las operaciones, cabe recalcar que de utilizado metodologas de sniffing de red para identificar los
acuerdo al test realizado, se tienen nicamente controles de protocolos que emanan respuesta de los servicios de red o
Indemnizacin, autenticacin y privacidad; mientras tanto los peticiones en su caso.
dems controles son nulos; dejando as una brecha para la
inseguridad de la informacin. Al ser los controles los mecanismos de seguridad puestos en
marcha para proteger las operaciones, cabe recalcar que de
Las limitaciones se ponderan individualmente, pero stas se acuerdo al test realizado, ay valores nulos en controles como
relacionan directamente con algunos controles y seguridad subyugacin, no repudio, confidencialidad e integridad;
operacional, es as que debido a que los valores en seguridad dejando as una brecha para la inseguridad de la informacin.
operacional son relativamente altos, estos valores predominan
4
Las limitaciones se ponderan individualmente, pero stas se podr determinar la accin de gestin adecuada y las
relacionan directamente con algunos controles y seguridad prioridades para la gestin de los riesgos de la seguridad de la
operacional, es as que debido a que los valores en seguridad informacin, as como para implementar los controles
operacional son muy altos, estos valores predominan para que seleccionados para la proteccin contra estos riesgos. (NTE
el clculo de las limitaciones sea tambin relativamente alto. INEN-ISO/IEC 27002, 2009)
Es as que resaltan limitaciones como las Vulnerabilidades y
exposiciones las mismas que reflejan una administracin no En base a dichos resultados se ha propuesto crear una gua
adecuada que expone a la red a ciertas amenazas hacia la de seguridad; la misma que tiene por objetivo mantener y
seguridad de informacin. mejorar la gestin de la seguridad de la informacin en la
organizacin, as como tambin tener una concientizacin en
los funcionarios del GADMO del buen uso de la informacin,
y el cumplimiento de requisitos legales, estatutos,
reglamentos y contractuales que debe cumplir la institucin,
sus socios comerciales, los contratistas y los proveedores de
servicio, as como su entorno socio-cultural. (NTE INEN-
ISO/IEC 27002, 2009).
1. Poltica de la seguridad
2. Organizacin de la seguridad de la informacin.
3. Gestin de activos
4. Seguridad de los recursos humanos
5. Seguridad fsica y del entorno
6. Gestin de comunicaciones y operaciones
7. Control del acceso
8. Adquisicin, desarrollo y mantenimiento de sistemas de
informacin
9. Gestin de los incidentes de la seguridad de la
informacin
Fig. 4. Resultado del clculo de RAVs en el canal redes de datos.
10. Gestin de la continuidad del negocio
Fuente: Calculadora OSSTMM 11. Cumplimiento
III. DISEO DEL MODELO DE SEGURIDAD DEFENSA B. DISEO DEL MODELO DE DEFENSA EN EL NIVEL
EN PROFUNDIDAD PERIMETRAL.
Dentro del diseo del modelo de seguridad defensa en Para el dieo del modelo de defensa en profundidad en el
profundidad, se plantea normas y polticas de seguridad nivel perimetral se describen las caractersticas y funciones del
establecidas en la norma ISO/IEC 27002, el diseo de la software Suricata, que fue el escogido para el diseo del
segmentacin de la red, de igual manera los diseos del IDS/IPS sobre software libre, adems se describe el proceso
IDS/IPS, firewalls de acuerdo a los resultados obtenidos en el para su elaboracin, definiendo los parmetros de
levantamiento de informacin previa. configuracin necesarios para su correcto funcionamiento.
Adicionalmente se describe las caractersticas del Firewall
tanto fsico como lgico del GADMO, as como su
A. DISEO DEL MODELO DE DEFENSA EN EL NIVEL
configuracin. Finalmente se describir las aplicaciones de la
DE USUARIO.
granja de servidores y la propuesta de la configuracin de una
DMZ, que permita minimizar los riesgos de seguridad en la
La educacin al usuario mediante normas y procedimientos institucin.
es la base de seguridad en el primer nivel del modelo Defensa
en Profundidad; es por ello que, en esta seccin se desarrollar
una gua prctica para el desarrollo de normas de seguridad en 1) IDS/IPS
el GADMO, para crear confianza en las actividades de dicha
entidad. (NTE INEN-ISO/IEC 27002, 2009). Para la eleccin del sistema de deteccin y prevencin de
intrusos se realiz una previa comparacin entre diferentes
Gracias a los resultados obtenidos en el Anlisis de Riesgos soluciones, sean estas propietarias o bajo software libre, la
realizados anteriormente con la Metodologa OSTMM, se misma que se detalla en la Tabla II.
5
Tabla II
En base a la comparacin de las diferenctes soluciones, la En la Fig.5 se presenta una representacin grfica de la
eleccin del software a utilizarse en el Sistema de deteccin y ubicacin del sistema de deteccin y prevencin de intrusos.
prevencin de intrusos es Suricata.2
Tabla III
Especificaciones del
Figura Capacidad
hardware:
Rendimiento del cortafuegos: 3.4 Gbit/s Unidad de disco duro: 160
Astaro Security Gateway 320 Rendimiento de la VPN: 700 Mbit/s GB
Rendimiento del IPS: 1300 Mbit/s Puertos Ethernet: 8
Rendimiento del UTM: 165 Mbit/s Puertos USB: 4
Correos electrnicos por hora: 600,000 Puertos COM: 1 (RJ-45)
Usuarios: Sin restriccin Puertos VGA: 1 (trasero)
Conexiones simultneas: 600,000 Pantalla LCD: 1
Almacenamiento en cuarentena: 60 GB
Almacenamiento de registros/informes: 80
GB.
Adems se realizarn ciertas configuraciones bsicas en el no recomendada debido a que podra haber intentos de
software, tales como activar el acceso SSH lo que permite al intrusin.
administrador, acceder de forma remota y segura, en
situaciones en las que no se puedan resolver problemas por Teniendo claro los tres elementos principales que forman
medio del WebAdmin; adems activar el envo automtico de parte de la red perimetral, se muestra en la Fig.6, el diseo
backups, permitiendo tener stos siempre a mano, para que el planteado para la red de datos del GADMO, en el que se
administrador los pueda utilizar cuando los necesite; cabe detalla cada una de estas partes.
recalcar que estos ocupan muy poco espacio y se guardan ya
sea en el servidor o en nuestro correo electrnico, entre otras. Se observa que en la zona desmilitarizada se encuentran los
servicios de Correo electrnico y servidor WEB; los mismo
que se encuentran protegidos por el primer firewall, siguiendo
3) ZONA DESMILITARIZADA (DMZ) continuamente del siguiente firewall, adicionalmente se tiene
el IDS-IPS en la ubicacin ya antes explicada el mismo que
Para realizar el diseo de la DMZ se debe tener permitir conservar la seguridad de la LAN.
conocimiento de todos los servicios que brinda el GADMO, en
que plataformas se encuentran instalados, tanto a nivel de
hardware como software. Adems la granja de servidores se
encuentra protegida por dos Firewall, pero en una distribucin
C. DISEO DEL MODELO DE DEFENSA EN EL NIVEL En consecuencia, es una importante primera lnea de defensa
DE RED INTERNA para una red.
Considerando la infraestructura y requerimientos actuales Acorde a las caractersticas que se necesitan para los
de la red de datos del GADMO, se propone un modelo switches de acceso, se presenta en la Tabla IV un resumen de
jerrquico y la segmentacin lgica de la red. Brindando as los elegidos con sus respectivas caractersticas.
una solucin que mejore las prestaciones y servicios.
Tabla IV
CARACTERSTICAS SWITCHES CAPA DE ACCESO
1. DISEO DEL MODELO DE RED
Velocidad IEEE
Switch Rendimiento ACL
El modelo jerrquico de red presenta varias ventajas que 802.1Q
permitirn que la red de datos del GADMO sea ms segura,
3COM 2924 MCSa :48Gbps
escalable, redundante, flexible y eficiente. 10/100/1000
SFP 24P MCTb:35,5Mbps
3COM 4500G
10/100 MCS: 8.8 Gbps
24P
3Com 4900
10/100/1000
12P
Figura 7. Modelo jerarquico de red 3Com 4210
10/100
Fuente: Imagen extrada de (CISCO) 18P
3COM 2952 MCS: 104 Gbps.
10/100/1000
48P MCT: 74 Mpps;
Funcionalidades Descripcin
Rendimiento 48 10BASE-T/100BASE-X/1000BASE-T
4 Gigabit SFP ports
Mxima Capacidad de switching: 104 Gbps.
Mxima capacidad de transmisin 74 Mpps;
SWITCHING DE CAPA 2 VLANs basadas en protocolo IEEE 802.1Q
Protocolo Spanning Tree (STP) IEEE 802.1D
Protocolo Rapid Spanning Tree (RSTP) IEEE 802.1w
SWITCHING DE CAPA 3 Rutas estticas: 32
Virtual VLANs Interface: 8
Priorizacin de trfico Clase de Servicio/Calidad de Servicio (CoS/QoS) IEEE 802.1p en salida
Seguridad Filtros ACLs basadas en direccionamiento IP y MAC para filtrar el
trfico de red y mejorar el control de la red.
ACL basadas en tiempo permiten una mayor flexibilidad con acceso a la
red de gestin.
Tabla VII
D. PRUEBAS DE FUNCIONAMIENTO.
1) Deteccin de vulnerabilidades
ICMP Flood
Satura el un equipo con solicitudes de ICMP Echo Request
para que no pueda responder a las peticiones reales. Fig. 15 Resultado estadstico de Suricata
Mitigacin
III. Capa de Transporte
En el directorio de las reglas de suricata, encontraremos el
archivo scirius.rules; en el cual se pude combatir este ataque;
activando la alerta en dicho protocolo. En esta capa existen diferentes tipos de ataques, en los que
se encuentra el Escaneo y fingerprinting3, tcnica que permite
recopilar informacin significativa al apuntar un escaneo a los
hosts del objetivo o al procesar la informacin que brinda ste
como resultado. (Tori).
Escaneo de puertos
Fig. 14 Mitigacin ataque ICMP Flood
Descubrir que puertos estn abiertos, filtrados o cerrados,
El resultado mostrado por Suricata, se lo puede apreciar de adems de averiguar qu tipo y versin de aplicacin est
diferentes modos; uno de ellos es mediante un grfico corriendo en estos puertos y servicios. En base a estos
estadstico en donde se muestran todas las alertas suscitadas en
la red.
3 Es una tcnica que consiste en analizar las huellas que deja un sistema
V. . Capa de Aplicacin
Mitigacin
Tabla VIII
E. PRESUPUESTO REFERENCIAL
PRESUPUESTO REFRENCIAL
Se realizar un presupuesto referencial tomando en cuenta
Costo total de la
una comparacin de tener una solucin licenciada y una
Solucin Sophos UTM SURICATA
solucin en software libre, en la instalacin de un IDS-IPS.
Cabe recalcar que el anlisis del presupuesto referencial CP 4,285.00 0.40
tiene como objetivo principal proporcionar una medida del CI 0 0
presupuesto invertido en la realizacin de un proyecto.
CTI CADH 2,875.00 479
1) Clculo CADS 13,000.00 0
CM 0 0
Antes de iniciar con el clculo del presupuesto, es necesario
aclarar que para el diseo del modelo presentado en el CMH 1,750.00 180.00
presente proyecto; en la red interna se realiz con los equipos CTA CASS 1,465.00 0 .40
de conmutacin existentes en el GADMO; en la red perimetral
de igual manera. En sta ltima, se implement un sistema de CRH 1,5 1.50
deteccin y prevencin de intrusos en software libre, en base a CT 0 5000
ello se realizar el presupuesto referencial. CTC
CU 0 0
Para la migracin de un sistema o programa de Software
Propietario (no libre) a Software Libre (SL) se utilizar el Cabe recalcar que los clculos se los realizarn en base a los
siguiente mtodo para calcular el Costo Total de la Solucin siguientes clculos.
(CTS). Este mtodo deber aplicarse tanto al Software
Propietario como al Software Libre. Si el costo de este ltimo Costo Total de la Solucin (CTS)
es menor que el del propietario se deber realizar la migracin.
(Secretara Nacional de la Administracin Pblica, 2014) Para el clculo del Costo Total de la Solucin (CTS) segn
Adems en el portal web (Secretara Nacional de la (Secretara Nacional de la Administracin Pblica, 2014) se
Administracin Pblica, 2014), se recalca que como requisitos considera 3 componentes:
previos de la migracin de un sistema comercial a un sistema
bajo software libre es necesario tener las siguientes
consideraciones: Ecuacin 1 Costo Total de Solucin
Fuente: Recuperado de (Secretara Nacional de la
Tener las capacidades mnimas funcionales y tcnicas Administracin Pblica, 2014)
requeridas por la organizacin y los usuarios.
Mantener o incrementar la productividad de la organizacin Donde:
y los usuarios.
Ser compatible o integrable en las plataformas de hardware CTI: Costo Total de Implementacin
y software existentes. CTA: Costo Total Administrativo
CTC: Costo Total de Capacitacin
15
Donde: Si 23,376.50
que se aprovechen todas las funciones que dichos equipos [12] Herzog, P. (s.f.). OSSTMM 2.1.
ofrecen.
[13] Herzog, P. (s.f.). OSSTMM 3.0.
Un modelo de red jerarquizado utilizado para realizar el
diseo de red interna, permite optimizar el uso de los recursos [14] Lpez, P. A. (s.f.). Seguridad Informtica. Editex.
de la red; gracias a la aplicacin de una topologa de red
basada en capas se obtienen caractersticas de escalabilidad, [15] Martnez, C. G. (2010). Modelo de Defensa en
flexibilidad, y sobre todo seguridad. Profundidad.
Se realizaron pruebas de simulacin de ataques en base a [16] Mathon, P. (2002). ISA Server 2000 Proxy y Firewall.
los objetivos de hacking tico; en las diferentes capas del Barcelona: EMI.
modelo OSI, con lo que se pudo verificar el funcionamiento [17] Microsoft. (2004). Gua de defensa en profundidad
adecuado del IDS-IPS y su sistema de alertas. antivirus.
Despus de realizar el presupuesto referencial, y de [18] NTE INEN-ISO/IEC 27002. (2009). Tecnologa de la
establecer las diferencias entre tener una solucin licenciada y Informacin- Tcnicasde la Seguridad - Cdifo de Prctica
una solucin bajo software libre, se concluy que el costo total para la Gestin de la Seguridad de la Informacin. Quito.
solucin bajo software libre es menor a la solucin licenciada. [19]Plata, A. R. (s.f.). Ethical Hacking.
BIOGRAFAS