informacin para el Centro de Investigacin y Desarrollo en Simulacin de la Escuela Militar de Cadetes General Jos Mara Crdova mediante la utilizacin de tcnicas de defensa en profundidad Jeisson Alexander Hernndez Pulido Universidad Distrital Francisco Jos de Caldas Bogot D.C, Colombia hernandez.jeisson@gmail.com AbstractEn el siguiente artculo se describen y esclarecen las razones por las cuales es necesario implementar un modelo de seguridad de la informacin basado en tcnicas de defensa en profundidad para el Centro de Investigacin y Desarrollo en Simulcin de la Escuela Militar de Cadetes General Jos Mara Crdova. Tambin se describen los pasos necesarios para logar el objetivo general, teniendo en cuenta una serie de objetivos especcos entre los cuales encontramos: diagnstico de la red (recoleccin y anlisis de la informacin), implementacin de una arquitectura de red con segmentacin de redes y servicios y nalmente la implementacin de la arquitectura de seguridad. Index Termscondencialidad; integridad; disponibilidad; ar- quitectura de seguridad; cultura de seguridad; defensa en pro- fundidad; seguridad de la informacin I. INTRODUCCIN T ODAS las organizaciones tienen problemas de seguridad lo realmente importante es que estos problemas sean detectados e identicados a tiempo. Tradicionalmente las organizaciones piensan que establecer parmetros de seguridad para su informacin es poner un punto de control entre su red y la internet. Sin embargo con el gran crecimineto que han tenido las redes y la convergencia de nuevas redes y tecnologas, sta creencia ha sido totalmete desvirtuada, pues hoy da la mayor cantidad de ataques a la informacin de una organizacin, no proviene de afuera sino desde adentro. De manera ms concreta, podemos decir que cerca de un 70 % de los ataques realizados en contra de la informacin de las organizaciones proviene de los usuarios internos[1]. As que hoy da las organizaciones en el momento de realizar su planeacin estratgica deben considerar de forma muy importante la parte de SEGURIDAD DE LA INFORMACIN. Para entender de forma un poco ms clara sta temtica podemos decir que por denicin, la seguridad es conjunto de polticas que establece una organizacin con el n de proteger LA INFORMACIN LA CUAL ES EL ACTIVO MS IMPORTANTE DE LA ORGANIZACIN, el cumplimiento de stas polticas se lleva a cabo mediante una serie de normas que son controladas a travs de una cadena de acciones (procedimientos estndares) [2], todo esto genera un grado de seguridad bastante alto para la proteccin de la informacin. Para hacernos una idea de como identicar cual informacin es critica y cual no lo es debemos tener en ceunta siempre que la criticidad y la sensibilidad de la informacin se miden en trminos monetarios. II. DIAGNSTICO Consiste en determinar el estado del nivel de seguridad de la organizacin. Para realizar este proceso se deben seguir los siguientes pasos: II-A. Levantamiento de informacin Este proceso se realiza teniendo en cuenta los siguientes items: tecnologia: Infraestructura fsica, topologia de la red, informacin de las plataformas de los servidores, elementos de seguridad, equipos activos, aplicaciones, canales de comunicacin, etc. Procesos: A nivel de procesos es importante conocer el ciclo: Entradas-Procesos-Salidas. THIS IS FOR LEFT PAGES 2 Personas: Roles, constumbres. Ahora veremos unos ejemplos de los datos que se deben recopilar segn el equipo al cual se le va a realizar el proceso de levantamiento de la informacin. para empezar a conocer la informacin de un servidor me interesan los siguientes datos: Nombre del servidor Funcin Direccin IP Sistema operativo Actualizaciones Administrador Todos estos datos deben ser consignados en una tabla Ahora si me interesar conocer la informacin de un equipo activo, debo tener en cuenta los siguientes datos: Nombre Direccin IP Tipo de administrador (remoto local) Versin de software Actualizaciones Marca Funcin Nombre del administrador Estos datos deben estar consignados en una tabla. Para obtener la informacin acerca de la topologia de la red, obtengo los siguientes datos: Topologia fsica Topologia lgica Para obtener informacin acerca de la infraestructura fsica, obtengo la siguiente informacin: Espacios Controles de acceso Tipo de cableado Control de fallas fsicas Para obtener informacin acerca de los canales de comuni- cacin: Tipo de enlace (Almbrico o inalmbrico) II-B. Anlisis de la informacin La informacin se analiza con el n de identcar cuales son las vulnerabilidades 1 . II-C. Identicacin de vulnerabilidades Para realizar el proceso de identicacin de vulnerabilidades se deben seguir los siguientes pasos: Metodologia de ethical hacking. Identicacin de vulnerabilidades administrativas (lista de chequeo) mediante los 11 dominios de seguridad y 133 controles (norma 27001)[2]. 1 Es la debilidad que presenta un sistema, por ejemplo puertos abiertos que no estn congurados, es decir, la debilidad no est en tener puertos abiertos sino en no congurarlos correctamente. II-D. Anlisis de riegos El anlisis de riesgos se puede realizar mediante los sigu- ientes mtodos: Mtodos cualitativos. Mtodos cuantitativos. Riesgos altos, medios y bajos. II-E. Plan de seguridad II-F. Panorama de riesgos Se debe identicar que es cada riesgo, es decir, a cuanto equivalen los riesgos altos, los riesgos medios y los riesgos bajos. III. DISEO El diseo de seguridad parte de las polticas, normas y estndares y/o procedimientos (norma 27001)[2], en esta parte se desarrollan las siguientes caractersticas: III-A. Arquitectura de seguridad III-A1. Infraestructura de seguridad: Arquitectura de re- wall Arquitectura de IDS/IPS Arquitectura de VPN Cifrado de informacin Certicados digitales. Firmas digitales. Cifrado de infromacin. III-A2. Planes de continuidad: III-A3. Cultura de seguridad: IV. DEFENSA EN PROFUNDIDAD [3] Se denomina defensa en profundidad a todos aquellos controles que se tienen en unos determinados niveles. El nivel ms elevado son los datos, ya que estos son el activo ms crtico de la organizacin. IV-A. NIVEL 1 POLTICAS, NORMAS, PROCEDIMIENTOS Y ESTNDARES El nivel 1 dene las polticas 2 , normas 3 , estndares 4 y pro- cedimientos 5 , es decir, desarrolla el modelo de seguridad. Los estndares estn basados en trabajo puramente tcnico ya que dentro de esta categoria debemos realizar la implementacin y conguracin de los equipos que se encuentran dentro de la arquitectura de la red. Todos los estndares y procedimientos llevados a cabo dentro de la red deben quedar debidamente documentados. 2 La poltica es la directriz general del modelo de seguridad, sta debe cumplir con un objetivo y debe ser medible. 3 La norma es una directriz particular dentro del modelo de seguridad y se dene como un conjunto de reglas especcas para cumplir con una poltica. 4 Un estndar es un conjunto de pasos para cumplir con una norma y se dene como un patrn enfocado principalmente a la parte tcnica. 5 Al igual que el estndar, ste dene una serie de pasos para cumplir con una norma y no es otra cosa que un listado de instrucciones a seguir para cumplir con un procedimiento (conguracin de un equipo, instalacin de un software, etc) THIS IS FOR LEFT PAGES 3 IV-B. NIVEL 2 SEGURIDAD FSICA El nivel 2 desarrolla los controles de acceso fsico a la orga- nizacin, como por ejemplo el monitoreo (CCTV 6 , sensores de movimineto, de humo, de temperatura, etc), se implementa de igual forma todo el tema concerniente a personal de vigilancia, aseguramiento de servidores (controles de acceso fsico al hardware interno de un servidor) y de estaciones de trabajo. Figura 1. Seguridad fsica IV-C. NIVEL 3 SEGURIDAD PERIMETRAL La seguridad perimetral hace referencia a la proteccin que le brindo a mi red interna ante posibles ataques que provengan desde la parte externa, para solventar estos ataques se imple- mentas normalmente los siguientes elementos de seguridad: Firewall VPN 7 IPS 8 IDS 9 NAC 10 Figura 2. Seguridad perimetral Los perimetros a los cuales se hce referencia en este apartado pueden ser la frontera entre mi red interna y la red externa a este se le llama perimetro exterior. Sin embargo el perimetro tambien puede denir una segmentacin dentro de mi propia red a este se le llama permetro interno. 6 Circuito cerrado de televisin 7 Virtual path network 8 Intrusion prevetion system 9 Intrusion detection system 10 Network access control En este nivel es necesrio realizar pruebas de penetracin con el n de identicar vulnerabilidades, estas pruebas pueden ser intrusivas o no intrusivas. IV-D. NIVEL 4 RED INTERNA En este nivel se deben realizar procediemintos de seg- mentacin de la red a nivel 2 y a nivel 3, esto se logra mediante: vlan ACL Incluye adems todo el tema de conguracin de equipos activos como: Routers Switches IDS IPS Tambin se deben manejar protocolos seguros con el n de brindarle seguridad al trco de infromacn que pasa por la red, algunos de ellos son: SSH: SFTP TELNET SEGURO SSL: FTPS HTTPS IV-E. NIVEL 5 HOST En este nivel se aplican todos los controles que estn orientados a los usuarios, grupos, lesystem,privilegios, etc, en conclusin, todo en conjunto se conoce como hardening de sistema operativo. Figura 3. hardening de sistema operativo Los controles llevados a cabo en este nivel, se realizan a travs de la activain de logs de seguridad, actulizacin de rmwaredel hardware del host, entre otros.Tambin es recomendable realizar un escaneo de vulnerabilidades en el host. IV-F. NIVEL 6 APLICACIONES Para establecer controles en el nivel de aplicaciones, se deben establecer polticas de usuarios, roles, privilegios, con- troles de acceso, rewalls de host (software), IDS de host, entre otros. THIS IS FOR LEFT PAGES 4 IV-G. NIVEL 7 DATOS En este nivel se utilizan tcnicas de cifrado, las cuales pueden ser: Simtricas Asimtricas Certicados digitales [4] Otra tcnica que actualmente est siendo muy utilizada para la proteccin de datos es el DLP 11 , el cual evita la fuga o robo de informacin a travs de medios extraibles. V. ESTADO DEL ARTE El proceso de implementacin de modelos de seguridad mediante tcnicas de defensa en profundidad a pesar de ser relativamente nuevo, tiene antecedentes muy importantes, algunos de los cuales se mecionaran a continuacin: David W. Robinson, implement un modelo de seguridad basado en tcnicas de defensa en profundidad para una universidad, y con este nos mostr cmo puede variar un modelo de otro dependiendo del lugar en el cual se implemente, ya que cada lugar tiene sus propias particularidades, pero de forma general un modelo de seguridad basado en tcnicas de defensa en profundidad abarca todas las capas o niveles que tenga la organizacin por ms grande o pequea que esta sea[5]. De la misma manera G Michael Runnels, nos presenta un modelo de seguridad en el cual se utilizan tcnicas de defensa en profundidad y se puede ver claramente la importancia de implementar dichos modelos ya que la informacin se encuentra muy expuesta tanto a ataques internos (en su gran mayora) como externos, sobre todo cuando la organizacin cuenta con bastantes usuarios[6]. Para no ir tan lejos un ingeniero Mexicano en el ao 2008 nos presenta un trabajo en el cual busca implementar un modelo de seguridad basado en tcnicas de defensa en profundidad, en la cual se presentan casos de uso que son muy comunes en nuestras oraganizaciones y que simplemente pasamos por alto porque pensamos erroneamente que nuestra informacin solo est expuesta cuando un hacker se interesa por la misma o cuando nos encontramos ejecutando algn tipo de servicio orientado a internet (chat, email, etc), el autor nos presenta casos de uso tan cotidianos como: un gusano electrnico activo, un alumno curioso (que bien podria ser un usuario ordinario, dependiendo del tipo de organizacin) un empleado descontento[7]. VI. TRABAJO A FUTURO La propuesta a futuro es implementar un modelo de se- guridad de la informacin basado en tcnicas de defensa en profundidad que permita interconectar a travs de canales ded- icados cifrados y/o vpn, las diferentes escuelas de formacin y las diferentes unidades del Ejrcito que generen proyectos de investigacin con el n de establecer una plataforma virtual 11 Data lost prevention para el aprendizaje, entrenamiento, reentrenamiento, investi- gacin y desarrollo de diferentes sistemas que fortalezcan la capacidad tnica y tctica de los hombres y mujeres que conforan el Ejrcito Nacional de Colombia. VII. CONCLUSIONES Mediante el diagnstico de la red de datos del Centro de Investigacin y Desarrollo en simulacin de la Escuela Militar de Cadetes General Jos Mara Crdova, es posible detectar de forma precisa todas las falencias que hacen que sta red hoy por hoy no garantice la seguridad de la valiosa informacin que circula por all. Realizando la adecuacin de la red de datos del Centro de Investigacin y Desarrollo en simulacin de la Escuela Militar de Cadetes General Jos Mara Crdova, se puede generar un grado de conanza bastante elevado en cuanto a la segmenacin de las redes y los servcios que se encuentran implementados en dicha red. A travs de la implementacin de un modelo de seguri- dad basado en tcnicas de defensa en profundidad es posible garantizar en un alto grado la condencialidad, integridad y disponibilidad de la informacin que cricula diariamente por el Centro de Investigacin y Desarrollo en simulacin de la Escuela Militar de Cadetes General Jos Mara Crdova, la cual es incalculable en trminos monetarios. Jeisson Alexander Hernndez Pulido REFERENCIAS [1] Deloitte, Informe Anual de Seguridad en Entidades Financieras , 2010. [2] ICONTEC, Tecnologa de la Informacin-Tcnicas de seguridad-Cdigo para la prctica de la gestin de la seguridad de la informacin. [3] http://technet.microsoft.com/es ar/library/dd578363.aspx, Defensa en profundidad. [4] www.pkiforum.org, Ca-trust.pdf. [5] David W. Robinson, Defense In Depth: A Small University Takes Up the Challenge, 2002. [6] G Michael Runnels, Implementing Defense in Depth at the University Level, 2002. [7] Helios Mier Castillo, Modelo de Seguridad Informtica Basado en Defensa en Profundidad para Instituciones Educativas de Nivel Superior, 2008.