Caso de Estudio Fecha 07/15/2013

Maestra en Administracin de empresas Mencin en Telecomunicaciones

Tecnologas de Seguridad para Administradores de Redes
ELABORADO POR: Grupo 7 Gonzalo gonzaliux0808@gmaill.com Carlos carlos.landeta@gmail.com Galo Becerra Paul Romero 07-22-2013 Ing. Marcos Gonzalez. marco.gonzalez@mavixel.com 07-22-2013 Firma:

Universidad de Guayaquil

Sornoza: Landeta:

FECHA: ENTREGADO A: FECHA:

Firma:

Confidential

Universidad de Guayaquil

Caso de Estudio Fecha 07/15/2013

TODOS LOS DERECHOS RESERVADOS Queda reservado el derecho de propiedad de este documento, con la facultad de disponer de l, publicarlo, traducirlo o autorizar su traduccin, as como reproducirlo total o parcialmente, por cualquier sistema o medio. No se permite la reproduccin total o parcial de este documento, ni su incorporacin a un sistema informtico, ni su locacin, ni su transmisin en cualquier forma o por cualquier medio, sea ste escrito o electrnico, mecnico, por fotocopia, por grabacin u otros mtodos, sin el permiso previo y escrito de los titulares de los derechos y del copyright. FOTOCOPIAR ES DELITO.

Confidential

Universidad de Guayaquil

Caso de Estudio Fecha 07/15/2013

Caso de Estudio Arquitectura de Red empresa RapidStand

La red fue instalada hace algunos aos por una empresa que ya no existe en la actualidad. Uno de los diseadores industriales con ms conocimientos de informtica es el encargado de administrar los servicios. Toda la red est basada en un switch LAN conectado a un router, que recibe el servicio ADSL proporcionado por la compaa telefnica. Algunos usuarios se conectan mediante una pequea red de cableado estructurado, mientras que otros utilizan la red inalmbrica que viene incluida con el router. El router funciona como servidor DHCP y hace las funciones de NAT y PAT + port forwarding. El servidor de archivos est basado en Windows 2003 y tambin funciona como servidor de web, servidor DNS, y servidor de correo. Para brindar acceso a clientes y usuarios, el servidor Windows 2003 tiene configurada una direccin IP privada y el router Linksys est configurado con la funcionalidad port forwarding para permitir el acceso desde Internet hacia los siguientes puertos TCP del servidor: 20, 21, 22, 23, 25, 53, 80, 137, 139, 110, 443, 445 y 3389. Los usuarios internos se conectan al servidor Windows 2003 mediante la funcionalidad de escritorio remoto (remote desktop) del servidor. En el pasado ha habido problemas de compatibilidad con las aplicaciones de diseo industrial, por lo que el administrador del servidor est renuente a activar la funcionalidad Windows Update en el mismo. Los usuarios externos se conectan al servidor Windows 2003 mediante una pgina de web y descargan archivos del mismo mediante el protocolo FTP.

Confidential

Universidad de Guayaquil

Caso de Estudio Fecha 07/15/2013

Escenario 1: Los Primeros Problemas

Uno de los clientes de RapidStand se ha quejado de que la imagen de un despachador muy original para uno de sus productos ha sido utilizada por la competencia antes de que su producto saliera al mercado, causndole grandes prdidas al parecer sus productos una copia de los productos de la competencia. De acuerdo al cliente los nicos que posean la informacin relacionada a este producto eran RapidStand y ellos mismos. El cliente tiene la certeza de que la fuga de informacin no ha ocurrido al interior de su empresa. Uno de los directores de RapidStand contrat a un amigo suyo como analista de seguridad, y este analista afirma que la seguridad en el sitio donde se encuentra el servidor no rene los requisitos mnimos de seguridad recomendables y que por lo tanto es muy probable que la fuga de informacin se haya generado por dicha causa. Sin embargo este analista de seguridad no pudo o no supo justificar su afirmacin. Se le ha encargado a tu equipo que termine el trabajo del analista y valide si sus afirmaciones son correctas, explique la causa y proponga una solucin.

Actividades 1-A) Qu problemas de seguridad podran existir en funcin de la configuracin

actual de la infraestructura? Explicar. 15 pts.

1-B) Qu solucin propondras a RapidStand para que pueda asegurar a sus clientes que la informacin relacionada a sus productos est segura y es confidencial en su sitio? Explicar. NOTA: No se podr modificar la arquitectura fsica de la red, ni introducir ningn equipo adicional ya que implicara una inversin que no RapidStand no est dispuesto a realizar en este momento. Slo se permite reconfigurar los equipos, utilizando las funcionalidades que ya estn disponibles en ellos. 15 pts.

Confidential

Universidad de Guayaquil

Caso de Estudio Fecha 07/15/2013

INFORME DE ANLISIS DE SEGURIDAD

Actividad A. Dentro de la revisin realizada, hemos encontrado algunos puntos de vulnerabilidad que podran ser aprovechados por atacantes y afectar la seguridad de la empresa Se detalla los casos de vulnerabilidad encontrada

cas o
1 2 3 4 5 6 7

Situacin
Servidor no cuenta con las actualizacin recomendadas de SO aplicaciones Accesos a puertos Inseguros desde el Internet : 23 20 -21- 137 -139 Acceso al Servidor con credenciales Administrativas Roles de servicios en el servidores expuesto hacia el Internet Configuraciones DHCP en el Router de

Criticidad
Alta. Alta Alta Alta Media Media Alta

Implementacin de Seguridad bajas WEP No contar con Polticas, procedimientos para la seguridad de la Informacin

Confidential

Universidad de Guayaquil

Caso de Estudio Fecha 07/15/2013

Caso 1. Actualizaciones El ciclo de vida de un software es importante dentro de las organizaciones, l os errores
existen en todos los programas, siempre existe gente investigando y tratando de encontrar una forma de aprovechar estos errores en las aplicaciones, software o sistemas operativos.

Cualquiera de estos programas que manifieste un error est exponiendo nuestros servidores el ataque de un intruso. Caso 2. Puertos Inseguros La utilizacin y publicacin de acceso hacia puertos inseguros es aprovechada para los intrusos, virus gusanos, etc... La red interna puede sufrir el ataque y la perdida de informacin

Puertos 20 21

23 137 139 3389

Detalle FTP Control FTP datos Permite el traslado del a informacin en forma clara, puede aprovechar a un atacante poder apoderarse de la informacin Telnet protocolo Inseguro NetBIOS permite el acceso a compartido NetBIOS permite el acceso a compartido Acceso RDP Acceso con credenciales administrativas

Caso 3
Acceso al Servidor con credenciales Administrativas Los accesos de usuarios con credenciales administrativas es un riesgo alto ya que no se tiene el control sobre cambios y manipulacin de la informacin, permitiendo realizar cualquier modificacin en el servidor

Caso 4
Roles de servicios en el servidor expuesto hacia el Internet

Las buenas prcticas recomienda no incluir principales roles en un mismo servidor y que este a su vez est siendo publicado hacia el internet, si el servidor expuesto es penetrado podr fcilmente apoderarse de la informacin de correos de los usuarios de la empresa ya que este da un servicio de correo Caso 5
Configuraciones en el Router de DHCP

Confidential

Universidad de Guayaquil

Caso de Estudio Fecha 07/15/2013

DHCP es un servicio que permite a los administradores mejorar la asignacin de ip a los usuarios, pero el mal manejo o la mala implementacin del mismo puede permitir a cualquier persona con dispositivo inalmbrico poderse conectar a la red de la empresa, una vez estando estando en la red interna

Caso 6

Implementacin de Seguridad bajas WEP

En cuanto a las conexiones inalmbricas que mantienen una configuracin de seguridad, pero WEB en un mecanismo de seguridad bsico que ha sido roto en distintas forma. WEP utiliza una clave secreta compartida entre una estacin inalmbrica y un punto de acceso. Todos los datos enviados y recibidos entre la estacin y el punto de acceso pueden ser cifrados utilizando esta clave compartida

Caso 7
No contar con Polticas, procedimientos para la seguridad de la Informacin

Un problema grave dentro de las empresas es no contar con polticas y procedimientos que permitan garantizar el buen uso de la informacin y de los recursos que la gestionan.

Confidential

Universidad de Guayaquil

Caso de Estudio Fecha 07/15/2013

Actividad B.
Recomendacin y Plan de Accin

Dentro de las revisiones realizadas sobres las vulnerabilidades, describimos las recomendaciones y plan de accin para mitigar los riegos de seguridad de la empresa.

ca so

Situacin

Recomendacin
Realizar un plan de Actualizacin de Microsoft Update,

Servidor no actualizado

de manera controlada de manera que no sea afectada las aplicaciones instaladas en el servidor y que no haya afectacin. Procedimentar la actualizaciones peridicas del SO y aplicaciones Microsoft

Accesos a puertos Inseguros

Deshabilitar los puertos inseguros en el Servidor desde el internet, Puertos 23 137 139 3389 Implementar Auditorias de Cambios en el servidor y archivos crticos que son publicados hacia el internet. Realizar inventarios de acceso FTP, eliminar acceso anonymus y realizar cambios peridicos de contraseas utilizando claves compejas

Confidential

Universidad de Guayaquil

Caso de Estudio Fecha 07/15/2013

En requerir el acceso de todos los usuarios al Servidor es recomendable implementar el servicio de Terminal Services propio de Windows Se recomienda separar roles del servidor Expuesto. Dejar solo publicado el servicio Web FTP. Roles de servicios en Adicionalmente Migrar el servicio FTP hacia una plataforma segura SFTP. el servidores expuesto hacia el Publicar el sitio con Certificados Electrnico para tener Internet una comunicacin segura. Se recomienda configurar el Router de forma que el acceso a la red inalmbrica sea por medio de MAC

Acceso al Servidor con credenciales Administrativas

Limitar el nmero de usuarios para acceso al servidor, no se recomienda roles de administrador.

56

Configuraciones en clientes inalmbricos) esta propiedad viene habilitada para este el Router de DHCP - modelo de router. Implementacin de Seguridad bajas WEP Adicionalmente el router viene con opciones que permiten
mejorar la seguridad en la RED, se debe configuracin de seguridad con WPA2 Personal cambiar la

utilizando la opcin Wireless Client MAC List (Lista de MAC de

Es muy importante dentro de las empresas con procedimiento y estndares de seguridad que permitan controlar y salvaguardar la informacin
No contar con Polticas, procedimientos para la seguridad de la Informacin

Prevenir y detectar amenazas. Responder de una forma adecuada y con prontitud ante un incidente. Proteger y Mantener los sistemas funcionando.

Otra recomendacin adicional es realizar hardening de los servidores y aplicaciones para mitigar cualquier riesgo de seguridad

Confidential

Universidad de Guayaquil

Caso de Estudio Fecha 07/15/2013

Escenario 3: Emergentes

Prevencin

de

Problemas

Tecnologas

La Direccin General de RapidStand ha quedado muy satisfecha con la solucin propuesta, que ha tenido como primer resultado eliminar las quejas de los clientes de la empresa. Sin embargo, tambin ha quedado en evidencia que la falta de visin tecnolgica ha generado problemas innecesarios como lo fue el robo de informacin. Ahora, a la alta direccin de RapidStand le preocupa el posible mal uso que puedan hacer sus empleados de las nuevas tecnologas de Cloud Computing y Tablet PCs que estn surgiendo. Algunos empleados ya emplean servicios alojados en pginas como: Dropbox.com, Salesforce.com, Huddle.com y Yammer.com. Estos mismos empleados traen su iPad a la oficina y se conectan a dichos servicios a travs de la red inalmbrica, aunque tambin tienen la costumbre de trabajar desde sus casas. Asimismo, han hecho peticiones a la Direccin de RapidStand para contratar los servicios de Google Apps for Business. En todos estos casos el atractivo de estos servicios es su ubicuidad ya que pueden ser accesibles desde la oficina, la casa, un Tablet-PC o un Smartphone. Sin embargo, la Direccin General est preocupada por el hecho de que la informacin de la empresa est empezando a salir de los servidores que tradicionalmente la albergaban y se est perdiendo el control de la seguridad sobre la misma. En particular, a la Direccin General de RapidStand le preocupa que Google controle ahora informacin confidencial del negocio. La Direccin General de RapidStand te ha contratado para desarrollar normas de seguridad informtica que pueda aplicar la empresa en el manejo de la informacin.

Confidential

Universidad de Guayaquil

Caso de Estudio Fecha 07/15/2013

Actividades
3-A) Redactar en un solo prrafo y con tus propias palabras la Poltica Corporativa de Seguridad de la Informacin que a tu juicio debe ser seguida por una empresa como RapidStand. No debes mencionar tecnologas especficas, fabricantes, marcas ni protocolos en dicha poltica. La poltica debe poder expresarse en uno o dos prrafos, con la clase de lenguaje que utilizara la Direccin General de una empresa al dirigirse a sus empleados. 5 pts. 3-B) Emite al menos 5 recomendaciones de carcter opcional para que los diseadores industriales hagan un uso correcto de las tecnologas informticas de Cloud Computing. Asegrate que las recomendaciones sean congruentes y estn contenidas en la poltica del paso anterior. Las recomendaciones deben ir dirigidas a los diseadores industriales, utilizando la clase de lenguaje que se esperara de la Direccin General de la empresa. 5 pts. 3-C) Describe al menos 3 parmetros indicadores que puedan medirse peridicamente y te permitan verificar que el nivel de seguridad de los servicios ofrecidos por los proveedores de Cloud Computing es adecuado. Explicar por qu seleccionaras dichos indicadores. Al contestar este punto, asume que te ests dirigiendo al Director General de RapidStand y debes justificar tu decisin en un lenguaje que l entienda (no uses lenguaje tcnico). 5 pts. 3-D) Emite al menos 3 lineamientos de trabajo que describan usos incorrectos que podra tener alguna de las tecnologas mencionadas arriba, basadas en Cloud Computing desde el punto de vista de RapidStand as como las penalizaciones que esta empresa aplicara en dichos casos. Asegrate que los lineamientos estn soportados por la poltica del inciso 3-A. Debes utilizar el lenguaje que la Direccin General de la empresa usara al dirigirse a sus empleados. 5 pts. 3-E) Evala la poltica de seguridad del servicio Google Apps for Business e identifica por lo menos cinco (5) aspectos que pudieran considerarse riesgosos o indeseables desde el punto de vista de RapidStand. Al contestar este punto, asume que te ests dirigiendo al Director General de RapidStand y debes justificar tus observaciones en un lenguaje que l entienda (es decir, en este punto no uses lenguaje tcnico). 10 pts. 3-F) Evala la conveniencia de que la empresa Rapid Stand otorgue telfonos mviles tipo Smartphone a sus usuarios, versus la posibilidad de que sean los usuarios quienes compren su propio telfono y lo lleven a la oficina. Menciona 5 posibles beneficios y 5 posibles inconvenientes de que la empresa sea propietaria de los equipos, as como 5 posibles beneficios y 5 posibles inconvenientes de que cada usuario sea dueo de su equipo Smartphone. 10 pts.

Confidential

Universidad de Guayaquil

Caso de Estudio Fecha 07/15/2013

Actividad 3A

El objetivo de las polticas de seguridad es definir qu estn haciendo los usuarios con la informacin de la empresa, se deber hacer un buen uso de los recursos de hardware y software y por supuesto eficientizar los costos. Cada uno de los procesos administrativos o tcnicos que se manejen en los sistemas de informacin debern contar con su propia poltica de seguridad, los atributos descritos con anterioridad debern ser aplicados al definir estas polticas. El departamento de informtica deber tener amplios conocimientos en el uso y aplicacin de las herramientas de seguridad.

Actividad 3B Llevar a cabo la evaluacin de riesgos en el marco de un proyecto integral de la Empresa, involucrando a los referentes claves de las distintas reas que estn involucradas. Definir los requisitos de seguridad que debe implementar el proveedor de Cloud Computing al momento de gestionar los incidentes de seguridad, en un todo de acuerdo con el proceso de gestin de incidentes de la Empresa.

Confidential

Universidad de Guayaquil

Caso de Estudio Fecha 07/15/2013 Verificar que existan clusulas al momento de finalizar el servicio, relacionadas con la seguridad de la informacin involucrada y los requisitos establecidos para su disposicin. Por ej. borrado seguro, devolucin, etc. Verificar si el proveedor de Cloud Computing se encuentra registrado en el proyecto Security, Trust, and Assurance (STAR) de Cloud Security Alliance (CSA), en el mismo se pueden conocer distintos aspectos de seguridad implementados en el servicio de Cloud Computing. Mantener los controles de seguridad propios que sean adecuados, aunque se seleccione un servicio de Cloud Computing. Por ej: Respaldo de la Informacin.

Actividad 3C Recuperacin de la red de datos Plazo para recuperar, restaurar y reconfigurar los routers: una hora desde la interrupcin del servicio. Tiempo necesario para probar y validar el rendimiento de la red antes de empezar a transmitir datos en tiempo real: una hora desde la interrupcin del servicio. Tiempo mximo necesario para sustituir fsicamente los dispositivos de red daados: cuatro horas.

Recuperacin del equipo de voz Tiempo necesario para reiniciar el sistema de voz: una hora desde la interrupcin del servicio. Plazo mximo para la llegada de los servicios de la empresa a las instalaciones: cuatro horas desde la llamada al servicio de asistencia.

Confidential

Universidad de Guayaquil

Caso de Estudio Fecha 07/15/2013 Tiempo necesario para sincronizar los circuitos DS-1/PRI con el conmutador: cuatro horas.

Activacin de sitios de respaldo calientes Tiempo necesario para confirmar la aprobacin desde el sitio de respaldo caliente para la recuperacin de espacio: una hora desde que se inicia el contacto. Tiempo necesario para reiniciar los sistemas crticos en el sitio de respaldo caliente: una hora desde la interrupcin del servicio. Tiempo necesario para reubicar al personal en el sitio de respaldo caliente: cuatro horas desde que se comunic la interrupcin.

Recuperacin de servidores Plazo para la restauracin y reinicio de los servidores: una hora desde la interrupcin del servicio. Plazo para sustituir fsicamente los servidores en los bastidores designados: 30 minutos. Nmero mximo de errores durante el reinicio inferior a dos.

Actividad 3D Prdida o fuga de datos Implementar controles de acceso y APIs robustas. Encriptar y proteger la integridad de los datos en su trnsito. Analizar la proteccin de los datos tanto en el diseo como en la ejecucin. Desarrollar sistemas de generacin de claves robustas, almacenamiento, gestin y prcticas de destruccin. Solicitar a los proveedores mediante contrato los medios necesarios antes de iniciar el servicio, as como las estrategias de backup y conservacin. Uso incorrecto del Servicio

Confidential

Universidad de Guayaquil

Caso de Estudio Fecha 07/15/2013 Registros iniciales y procesos de validacin rgidos y estables. Supervisin de la coordinacin y monitorizacin de posibles fraudes del servicio. Interpretacin del trfico de la red de cliente. Monitorizacin de listas negras pblicas para bloqueo de redes propias.

Perdida de la trazabilidad Divulgacin de datos y logs aplicables. Parcial/total difusin de los detalles de infraestructura (sw corrector, firewalls, etc.). Monitorizacin y alertas de la informacin necesaria. Empleados que utilizan sus privilegios de forma inadecuada Implementar una poltica de gestin del cambio firme y comprensible para evaluacin de empleados. Especificacin de los perfiles de los recursos como parte del contrato. Requerir transparencia en la seguridad de la informacin y prcticas de gestin, as como sus informes de cumplimiento. Determinar la violacin de seguridad en los procesos de notificacin.

Actividad 3E Recepcin de menos spam El potente filtrado de spam de Gmail te ayuda a mantenerte concentrado en los mensajes realmente importantes. El filtrado de Postini te ofrece la posibilidad de personalizar la proteccin contra el spam. Google Docs. no es tan poderoso como Microsoft Office a la hora de formatear. (Lo que siempre se puede hacer es exportar la versin final a Office) y tiene menos "periquitos" (bells & whistles). Para algunas personas eso es ms importante que la posibilidad de trabajar en forma colaborativa. Requiere un buen acceso a Internet. A pesar de que los tiempos de respuesta son muy buenos cuando hay una buena conexin, el trabajo en un computador

Confidential

Universidad de Guayaquil

Caso de Estudio Fecha 07/15/2013 local, siempre es ms rpido. (Una opcin es que los documentos complejos se hacen fuera de lnea y luego se suben a Internet para sus actualizaciones). Versin estndar que es gratuita: Dispone de los mismos productos pero con las siguientes limitaciones: Menos espacio para los correos: 7GB, en vez de 25GB. Menor cantidad de correos diarios (500 en vez de 2000). No hay soporte por parte de Google cuando hay problemas. No se garantiza una disponibilidad de 99.9%. No se dispone de los filtros avanzados de Postini. No se pueden manejar grupos ni video.

Actividad 3F Beneficios Empresa Personal en constante interaccin con las aplicaciones del Smartphone. Presentacin de aplicaciones que pueden tener todos los empleados de la misma empresa (ej.: Blogs). Constante comunicacin con todas las personas de la empresa. Ms cuidado de los equipos Smartphone ya que son de la empresa. Costos mucho ms econmicos (licencia de software, aplicaciones, etc.).

Inconvenientes Empresas Limitacin de Navegacin en los Smartphone. Equipo Smartphone una vez culminado el da deber permanecer en la empresa.

Confidential

Universidad de Guayaquil

Caso de Estudio Fecha 07/15/2013 Cualquier accidente que sufra el equipo Smartphone ser descontado al empleado. Llamadas, SMS, etc. solo para uso interno de la empresa o exclusivamente para comunicacin con clientes externos. Cada del servicio WEB interno de la empresa, se quedara incomunicadas las aplicaciones.

Beneficio Usuario Smartphone personal para libre acceso de conectividad. Llamadas, SMS, etc. Libremente. El usuario puede usar el Smartphone para la empresa y para cualquier parte que el acuda. El usuario mediante conectividad de datos puede estar actualizado en sus aplicaciones donde quiera que vaya. El usuario puede acudir desde cualquier parte en su Smartphone a la NUBE para trabajos externos.

Inconvenientes Usuario Prohibicin al acceso redes sociales por la empresa. Robo, daos, etc. del Smartphone corre gasto por el usuario y la empresa no se responsabiliza. El usuario puede dejar olvidado su Smartphone en la casa o en cualquier parte y no puede acceder a la herramienta de trabajo. El usuario por la variedad de navegacin puede sufrir ataque de virus y asi perder su documentacin. El usuario sino tiene instalados las aplicaciones de la empresa jamas estar sincronizado con su trabajo.

Confidential

Universidad de Guayaquil