17/06/13

Test de seguridad para evaluar y mejorar el nivel riesgos de seguridad | Seguridad

Espaol

Articulos Fibra Optica :

HOME AC TUALIDAD

Interfaz de prxima generacin FCoE basada en la tecnologa VN2VN

NOVEDAD FIBRA OPTIC A ENVOLVENTES TEC NOLOGA WIRELESS

Receptores buscar... industriales de fibra Buscar ptica que ofre

C ONTACde TO alimentacin, GUIA DE SERVIC IOS redes inteligentes y control d

Test De Seguridad Para Evaluar Y Mejorar El Nivel Riesgos De Seguridad

Seguridad Share En el presente artculo se identifica y analiza el haching tico componente clave del test de seguridad que permite realizar los test de ataque y penetracin legales con el objetivo de evaluar la fortaleza de las defensas en seguridad de informacin existentes en una organizacin sin producir daos en los sistemas atacados. Actualmente la seguridad de red es uno de los problemas ms urgentes y difciles con los que se encuentran todo tipo de organizaciones privadas y pblicas as como todos los gobiernos. Adems del bombardeo diario de trfico no deseado como escaneos de puertos de la red, todo tipo de virus (malware, adware, spyware, troyanos, gusanos, bots), herramientas de exploit, rootkits, ingeniera social, DoS, brechas accidentales, ataques automatizados y otros mecanismos no autorizados para obtener acceso, las organizaciones deben ser conscientes de la existencia de personal interno malicioso que puede utilizar portadoras digitales para, de forma secreta, robar-dispersar informacin sensible de la empresa cruzando el permetro que se supone que protege la red corporativa. Las estadsticas del CERT acerca del nmero de incidentes de seguridad, de accesos no autorizados a sitios Web as como del tipo de incidente intentos de hacking respecto al total de incidentes crece de manera espectacular. Esto justifica el creciente uso del hacking tico a nivel internacional. Cumplimientos. Poltica, estndar, procedimiento y gua de seguridad La seguridad TIC realiza un papel crtico en la valoracin del riesgo de una organizacin, para ello se utilizan test de penetracin, anlisis de vulnerabilidades, medidas de cumplimiento, etc. El cumplimiento puede ser: (i) Interno. Utilizando polticas y estndares, baselines de seguridad y configuracin, cdigos de buenas prcticas (como ISO 27002) y frameworks como COBIT, ISO, ITIL, NIST, GAISP. (ii) Externo. Utilizando SOX (Sarbanes Oxley) con framework COSO, HIPAA, PCI-DSS, Safe Harbor, etc. Las polticas de seguridad son el fundamento a la hora de aplicar el cumplimiento y gobierno TIC. Una poltica es un conjunto de requisitos e instrucciones direccionales con objeto de proteger los valores, activos e inteligencia corporativa. Las polticas sirven como el fundamento para los estndares, procedimientos y guas relacionadas. Un estndar es un conjunto de prcticas y puntos de referencia utilizados para cumplir con los requisitos establecidos por adelantado en las polticas. Un estndar siempre debe ser una derivacin de una poltica ya que es el segundo paso del proceso de propagacin de la poltica de la compaa. Un procedimiento es un conjunto de instrucciones paso a paso para implementar los requisitos de la poltica y ejecutar las prcticas estndar. Una gua es un conjunto de consejos y buenas prcticas derivadas de las polticas y de los estndares. Las guas son opcionales, pero normalmente documentan parmetros bien conocidos, procesos y procedimientos bajo las que las polticas y estndares se implementaron con xito. Home Actualidad Novedad Fibra Optica Envolventes Tecnologa Catlogos de Productos Centros de Datos Componentes Informtica Instrumentacin Investigacin Materiales especiales PLC Productos varios Seguridad Video - IP Wireless Contacto Test de penetracin y test de seguridad. Herramientas utilizadas. Metodologas Un test de penetracin (tambin denominado hacking tico y white-hat-hacking o red-teaming) es un conjunto de mtodos que permiten valorar el estado o actitud de seguridad de un sistema, red o empresa utilizando para ello una simulacin no destructiva de diversos ataques. Se trata de un intento legal de acceder a la red de la empresa para encontrar sus eslabones ms dbiles, el que hace el test slo reporta lo encontrado. Un test de seguridad es ms que un intento de acceder, tambin incluye el anlisis de la poltica y procedimientos de seguridad de la compaa, las personas que realizan el test ofrecen soluciones para securizar o proteger la red evaluada. Los protocolos de la pila TCP/IP ms usuales (HTTP-Web, SMTP/POP3-IMAP4-correo electrnico, FTP, TELNET,), utilizados en intranet, extranet e Internet, se disearon en una poca en la que la seguridad no se tena en cuenta, eso significa por ejemplo, segn el CERT, que pasamos de seis incidentes de seguridad durante el ao 1988 a un total de 137.529 incidentes durante el 2003. Existen diversas razones para realizar un test de penetracin: (i) Determinar los fallosdefectos y vulnerabilidades de una empresa. (ii) Proporcionar una mtrica cuantitativa para poder evaluar sistemas y redes. (iii) Medir contra lneas de fondo pre-establecidas. (iv) Determinar riesgos para la organizacin. (v) Designar controles para mitigar los riesgos identificados. En un test de penetracin se pueden identificar las siguientes fases: (1) Fase de preparacin. El objetivo es: (i) Identificar objetivos: sitios Web de la compaa, servidores de correo, extranets, etc. (ii) Firmar el contrato. Se establece un acuerdo de Guia De Servicios

Boletin De Noticias
Suscribase a nuestro boletin para recibir las ultimas novedades y noticias del sector, ademas obtenga las mejores ofertas y descuentos

Nombre y Apellidos Correo Electronico

Trminos y Condiciones

Registro

www.conectronica.com/Seguridad/Test-de-seguridad-para-evaluar-y-mejorar-el-nivel-riesgos-de-seguridad.html

1/4

17/06/13

Test de seguridad para evaluar y mejorar el nivel riesgos de seguridad | Seguridad

proteccin contra cualquier cuestin legal. Los contratos especifican claramente los lmites y peligros del test. Especificar los test DoS de ingeniera social, etc. Se debe especificar la ventana temporal de los ataques, el tiempo total del test. Se debe indicar el nivel de

conocimiento previo de los sistemas y las personas claves a las que se les hace consciente del test. (2) Fase de footprinting. El objetivo del footprinting es: (i) Recoger el mximo de informacin sobre el objetivo: servidores DNS, rangos de IP, contactos administrativos y problemas revelados por los administradores. (ii) Utilizar fuentes de informacin: motores de bsqueda como Google; Forums; Bases de datos: whois, ripe, arin, apnic; herramientas: ping, whois, traceroute, DIG, nslookup, sam spade. (3) Fase de descubrimiento, enumeracin y fingerprinting. Se trata de: (i) Determinar los objetivos especficos. (ii) Identificar servicios y puertos UDP/TCP abiertos. (iii) Enumerar sistemas operativos utilizados. Para ello se utilizan mtodos como: (i) Banner grabbing. (ii) Respuestas a comandos de protocolos varios (TCP y ICMP). (iii Escaneo de puertos/servicios: conexiones TCP, TCP SYN, TCP FIN, etc. Se utilizan herramientas como: Nmap (escner de puertos/seguridad open-source, ver http:/insecure.org//), FScan, Hping, Firewalk, Netcat, tcpdump, ssh, telnet, Snmp Scanner. En resumen el objetivo es recoger y obtener informacin de la forma ms sigilosa posible por ejemplo utilizando Nmap. Para ello se revisa la informacin de red y se confirma lo que se sabe de las redes. (4) Fase de exploracin e identificacin de vulnerabilidades. Son posibles vulnerabilidades: (i) Configuracin no segura. (ii) Contraseas dbiles. (iii) Vulnerabilidades sin parches en: servicios, sistemas operativos y aplicaciones. (iv) Vulnerabilidades posibles en servicios y sistemas operativos. (v) Programacin no segura. (vi) Control de acceso dbil. Se utilizan mtodos como: (i) Para vulnerabilidades posibles y sin parches. Herramientas de deteccin y sitios Web de informacin de vulnerabilidades. (ii) Para contraseas dbiles: contraseas por defecto, ataque por fuerza bruta y diccionario, ingeniera social, escucha del trfico no cifrado (pop3, telnet, ftp, etc.). (iii) Para programacin no segura: inyeccin SQL, escucha del trfico. (iv) Para el control de acceso dbil: uso de lgica de la aplicacin e inyeccin SQL. Se utilizan herramientas como: (i) escner de vulnerabilidades: Nessus (escner de vulnerabilidades open-source, ver http/tenablesecurity.com/), ISS, SARA, SAINT. (ii) Escuchas de trfico: Ethercap, Ethereal, tcpdump. (iii) Craqueadotes de contraseas: JTR (John The Ripper), LC4, Pwdump. (iv) Interceptacin de trfico Web: Acholes, Whisker, Legion. Se utilizan sitios Web como: (i) Para vulnerabilidades y exposiciones comunes: http://cve.mitre.org. (ii) Bugtraq: http://www.securityfocus.com. (iii) Otros sitios Web de fabricantes. Entre los objetivos de esta fase esta el anlisis de la configuracin, se identifican y analizan los firewall/gateways. (5) Fase de valoracin, ataque y explotacin de vulnerabilidades. El objetivo es obtener la mxima informacin del objetivo, ganar acceso normal, el escalado de privilegios, as mismo obtener acceso a otros sistemas conectados y utilizar DoS. Se realizan: (i) Ataques a la infraestructura de red: conectarse a la red a travs de mdem, identificar debilidades en TCP/IP, NetBIOS, realizar inundacin de la red para causar DoS. (ii) Ataques a los sistemas operativos: ataque a los sistemas de autenticacin, explotacin de las implementaciones de los protocolos, explotacin de las configuraciones no seguras, rotura de la seguridad del sistema de ficheros. (iii) Ataques a aplicaciones especficas: explotar implementaciones de protocolos de aplicacin smtp, http, ganar acceso a las BDs de aplicacin, inyecciones SQL, spamming (correo basura). (iv) Exploits: gratuitas de sitios Web de hackers y gratuitas a medida personalizadas. Se utilizan herramientas como Nessus y Metasploit Framework (lanza exploits a vulnerabilidades). En esta fase se comprueba la seguridad de los dispositivos. Para ello se aumenta el network mapping, se escanean los dispositivos en busca de vulnerabilidades y se explotan vulnerabilidades de seguridad que estn solas utilizando por ejemplo Metasploit. (6) Fase de anlisis de intrusiones y riesgos/impactos. El objetivo es realizar un anlisis de escenario de la red y explo-tar las posibles exposiciones de la red. (7) Fase de reporting. El objetivo es informar de todo lo obtenido y proponer soluciones de seguridad prcticas. En un entorno TIC el modelo de test de penetracin de seguridad consta de cuatro niveles, que de fuera hacia dentro son: (1) Nivel 1: ataques externos (usuario no informado). (2) Nivel 2: Ataques externos (usuario con conocimiento). (3) Nivel 3: Ataques internos. (4) Nivel 4: Ataques a las aplicaciones/bases de datos. Algunas herramientas utilizadas para el test de penetracin son: (i) Nivel analizadores de trfico: Ethereal, NAI Sniffer Pro, NetXray, EtherPeek, Solarwinds, Dolch Network. (ii) Nivel craqueo de contraseas: L0pht Crack, John-The-Riper, Rainbow Tables. (iii) Nivel redes inalmbricas: AirSnort, Kismet, Netstumbler. (iv) Nivel herramientas de base de datos: ISS, Squirrel, IP Locks, AppDetective. (v) Nivel herramientas basadas en host: Bindview, ESM, ISS System Scanner, NetIQ. (vi) Nivel herramientas Web/aplicaciones: ScanDo, AppScan, Webinspect Whisker. (vii) Nivel war dialing: THG scan, TeleSweep. (viii) Nivel valoracin de red: Nessus, ISS Internet Scanner, Foundscan, Retina, Typhon III. (ix) Nivel network mapping: NMAP, Ping, Visio. (x) Nivel recuperacin de datos: CIS Scripts. Para acceder a un servicio a de un exploracin test de de puertos se on-line puede se visitar puede el visitar sitio el sitio de Web: EICAR: http://www.grc.com/x/ne.dll? rh1dkyd2. Para someterse virus Web http://www.rexswain.com/eicar.html. Se pueden identificar tres metodologas de test de penetracin: (1) Modelo white-box. El que hace el test se le dice todo acerca de la topologa y tecnologa de la red, esta autorizado para entrevistar al personal de TIC y a los empleados de la compaa, esto hace el trabajo un poco ms fcil. (2) Modelo black-box. El personal de la compaa no sabe nada acerca del test. El que hace el test no conoce los detalles de la red, su trabajo incluye averiguarlos. Aqu se comprueba si el personal de seguridad puede detectar un ataque. (3) Modelo gray-box. Es un modelo hbrido de

www.conectronica.com/Seguridad/Test-de-seguridad-para-evaluar-y-mejorar-el-nivel-riesgos-de-seguridad.html

2/4

17/06/13
los dos modelos anteriores.

Test de seguridad para evaluar y mejorar el nivel riesgos de seguridad | Seguridad

Las compaas proporcionar al que hace el test cierta informacin parcial. Consideraciones finales Nuestro grupo de investigacin lleva trabajado ms de veinte aos en el campo de la evaluacin de riesgos de seguridad utilizando un creciente nmero de enfoques como los test de penetracin, la gestin de intrusiones, las polticas de exploracin de cumplimientos, etc. Este artculo se enmarca en las actividades desarrolladas dentro del proyecto LEFIS-APTICE (financiado por Socrates. European Commission).

Autor: Prof. Dr. Javier Areitio Bertoln E.Mail: jareitio@eside.deusto.es Catedrtico de la Facultad de Ingeniera. ESIDE. Director del Grupo de Investigacin Redes y Sistemas. Universidad de Deusto .

Bibliografa - Areitio, J. Seguridad de la Informacin: Redes, Informtica y Sistemas de Informacin. Cengage Learning-Paraninfo. 2009. - Areitio, J. Anlisis en torno a las tecnologas para el encubrimiento de informacin. Revista Conectrnica. N 109. Julio-Agosto 2007. - Areitio, J. Anlisis en torno a la seguridad forense, tcnicas antiforenses, respuesta a incidentes y gestin de evidencias digitales. Revista Conectrnica. N 125. Marzo 2009. - Cranor, L.F. and Garfinkel, S. Security and Usability: Designing Secure Systems that People Can Use. OReilly. 2005. - Lininger, R. and Vines, R.D. Phishing: Cutting the Identity Theft Line. Wiley. 2005. Ms informacin o presupuesto

OTDRs - Fibra Optica - Redes

Construyendo rentabilidad a largo plazo en las redes de fibra ptica La banda ancha de fibra de alta velocida... Nueva generacin del OTDR porttil Anritsu ACCESS Master Basado en su MT9083, la serie de OTDRs A... Nueva familia CS260 de Noyes La nueva familia CS260 de Noyes, distrib... Yokogawa aade 4 nuevos modelos a su serie de Mini-OTDRs AQ1200 Yokogawa ha aadido cuatro nuevos model... Anritsu presenta su nueva generacin de OTDR porttil ACCESS Master Basado en su MT9083, la serie de OTDRs A... Yokogawa aade 4 nuevos modelos a su serie de Mini-OTDRs AQ1200 Yokogawa ha aadido cuatro nuevos model...

Lo Ms Ledo
Los conectores de fibra ptica Medidas en fibra ptica: Reflectometra o potencia? Instrumentacin para medir la calidad de redes C ATV/HFC Equipamiento bsico para instalaciones de redes de fibra ptica C onectores industriales RJ45 macho y hembra para Ethernet Acopladores pticos monomodo PROFINET: la revolucin industrial de Ethernet C ontrol del flash LED de gran potencia de una cmara Lograr calidad de voz de PSTN en VoIP Anlisis en torno a la gestin de la continuidad de negocios en situaciones de crisis 100 Gigabit Ethernet Instrumentacin para medir la calidad de enlaces pticos: medidores de BER Tipos de Instalacin de Fibra ptica Sensores de fibra ptica

www.conectronica.com/Seguridad/Test-de-seguridad-para-evaluar-y-mejorar-el-nivel-riesgos-de-seguridad.html

3/4

17/06/13
Seleccin de un cable de Fibra ptica

Test de seguridad para evaluar y mejorar el nivel riesgos de seguridad | Seguridad

Seguridad forense, tcnicas antiforenses, respuesta a incidentes y gestin de evidencias digitales C onector universal para cables anularmente corrugados en 7/8" Nuevos enfoques en el anlisis de sistemas de deteccin-prevencin y gestin de ataques-intrusiones Herramientas para preparacin e instalacin de fibra ptica C onectividad de dispositivos: visin general HP revoluciona la alta computacin con ExSO Ferran Raurich ha sido nombrado Senior Vicepresident (SVP) de Recursos Humanos Ethernet - La conexin ptima Tecnologa PLC de Banda Ancha para las C omunicaciones del Hogar Estudio acerca de Video sobre IP y sus efectos en arquitecturas PON Moduladores pticos DPSK FTTH: Europa en la era de la fibra ptica Jordi Tarrida ha sido nombrado Business Leader de Arrow Electronics TIM transforma su red mvil en Brasil con la innovadora solucin de transporte de paquetes de Alcatel-Lucent Saft Bateras inagura su nuevo C entro de Bateras Industriales

C opyright 2009 C one ctronica.com All R ights R e se rve d C re ado por O n Se rvice s Siste m as de Ge stion R SS | C SS Valid | All Browse rs | XHTML Valid | Go to top

INICIO

CONTACTO WEB

NOTICIAS

MAPA

NOTICIAS DESTACADAS

www.conectronica.com/Seguridad/Test-de-seguridad-para-evaluar-y-mejorar-el-nivel-riesgos-de-seguridad.html

4/4