CISSP - 08 - Operations Security v3

CISSP Security Training Operations Security
Operations Security
Agenda
Aspectos generales
Gestin administrativa
Evaluacin de productos
Controles
Seguridad en servicios de Fax
Seguridad en servicios de Correo Electrnico
Antivirus management
Amenazas y Ataques
Referencias y Lecturas Complementarias
Preguntas
CISSP Security Training - Operations Security 2

Copyright 2004-2008 SICinformtica S.R.L.
Operations Security
Aspectos Generales
1
Aspectos Generales
Seguridad en las Operaciones comprende todo

aquello que tiene lugar a fin de mantener la red de
datos, los sistemas de cmputo y las aplicaciones en
un entorno de ejecucin seguro y protegido.
Abarca aquellos controles que permiten proteger el
hardware, software y los medios de almacenamiento
de datos.
A menudo las empresas tienen obligaciones legales
que establecen la existencia de medidas de
seguridad, las cuales deben estar implementadas a fin
de proteger los recursos, garantizando el nivel
necesario de proteccin.
Operations Security
Gestin Administrativa
Gestin Administrativa
Representa un concepto muy importante en la

Seguridad de las Operaciones.
Incluye:
Separacin de funciones
Rotacin del trabajo
Menor privilegio
Necesidad de saber
Vacaciones obligadas

2
Separacin de Funciones
Permite asegurar que una nica persona no puede

comprometer la seguridad de la empresa.
Las funciones ms importantes de una organizacin
deberan estar separadas y distribuidas en diferentes
individuos para su ejecucin.
Ayuda a prevenir errores que pueden tener lugar si
una nica persona cumple una funcin o tarea desde
su comienzo hasta su fin.

Rotacin del Trabajo
Significa que ms de una persona conoce las tareas

de una determinada funcin dentro de la empresa.
Esto permite contar con ms de un individuo en
capacidad de conocer las tareas y responsabilidades
propias de una funcin o posicin.
Permite ayudar a identificar actividades fraudulentas,
por lo que puede considerarse como un Control
Detectivo.
Brinda la oportunidad de disponer de un backup en
caso que el responsable de la funcin deje la empresa
o se encuentre ausente.

Menor Privilegio
Significa que un individuo dentro de la organizacin

debe tener slo los derechos y permisos necesarios
para el cumplimiento de sus funciones.
Si un empleado tuviera excesivos derechos y
permisos podra abusar de los mismos, poniendo en
riesgo a la organizacin.

3
Necesidad de Saber
Este principio se encuentra en estrecha relacin con

el de Menor Privilegio.
Cada usuario de la organizacin debera tener
Necesidad de saber slo aquella informacin
requerida para el cumplimiento de sus funciones.
Siguiendo este principio, un usuario slo debera
acceder a aquellos recursos que le estn permitidos

Vacaciones Obligadas
Permite la implementacin del principio de Rotacin

del trabajo.
Puede detectar actividades fraudulentas.

Responsabilidades
El acceso a los recursos por parte de los usuarios

debe ser limitado y apropiadamente controlado.
Los intentos de acceso a recursos crticos y las
actividades realizadas mientras se utilizan estos
recursos, deben ser monitoreadas, logueadas y
auditadas.
Cada usuario debera comprender su responsabilidad
cuando emplea un recurso de la organizacin.
Si la actividad del usuario no fuera auditada, sera
muy difcil poder determinar si existen privilegios
excesivos, o si se ha accedido sin autorizacin a un
determinado recurso.
4
Responsabilidades (Cont.)
El proceso de auditora debera ejecutarse en forma

rutinaria. No hay razn para loguear eventos si nadie
va a analizar los mismos posteriormente.
Los logs contienen a menudo demasiada informacin
para ser interpretada manualmente. Se deben
emplear herramientas que permiten extraer los
hechos significantes de estos registros.

Responsabilidades (Cont.)
Ciertos interrogantes deben ser cubiertos cuando se

realiza un monitoreo de logs:
Estn los usuarios accediendo a informacin o
ejecutando tareas que no son necesarias para el
cumplimiento de sus funciones?
Se estn cometiendo siempre los mismos errores?
Poseen los usuarios demasiados derechos y permisos
sobre recursos crticos para la organizacin?

Operations Security
Evaluacin de
Productos
5
Evaluacin de Productos
Cuando los productos son evaluados para comprobar

el nivel de confianza que los mismos deben poseer,
se deben contemplar:
Confianza operacional
Confianza del ciclo de vida

Confianza Operacional
Comprende la arquitectura del producto, las

capacidades embebidas y la funcionalidad que le
permite a un cliente obtener el nivel necesario de
proteccin mientras usa este producto.
Algunos ejemplos de confianza operacional que son
examinados en el proceso de evaluacin, son:
Mecanismos de control de acceso
Separacin de privilegios
Capacidades de auditora y monitoreo
Tcnicas de recuperacin, etc.

Confianza del Ciclo de Vida
Comprende todo aquello relacionado con el desarrollo

y mantenimiento de un producto.
Cada etapa del ciclo de vida de un producto
comprende estndares que deben alcanzarse antes
de que pueda ser catalogado como un producto
confiable.
Algunos ejemplos de estndares son:
Especificaciones de diseo
Clipping levels
Testing de integracin
Gestin de configuraciones
Distribucin segura, etc.

6
Clipping Levels
Las organizaciones establecen umbrales para ciertos

tipos de errores que pueden ser cometidos.
Estos umbrales estn conformados por el nmero de
errores que pueden tener lugar antes de ser
considerados como sospechosos.
Dicho umbral constituye una baseline para detectar
actividades de violacin en los sistemas.
Esta baseline se la conoce como Clipping Level. Una
vez que ste ha sido excedido, comienza el registro
de esta actividad a fin de recolectar evidencia para
una auditora futura.

Operations Security
Controles
Transparencia de Controles
Es importante que los controles y mecanismos de

seguridad implementados, proporcionen
transparencia.
Esto permite que el usuario ejecute sus tareas y
funciones sin tener que realizar pasos extras debido a
la presencia de controles de seguridad.
Esta caracterstica evita que el usuario conozca
demasiado acerca de los controles implantados. Si los
controles son demasiados obvios, un atacante puede
encontrar la manera de comprometerlos ms
fcilmente.

7
Control de Cambios
Cada organizacin debera tener una poltica que

indique cmo se deben implementar cambios en un
servicio o facilidad.
Dicha poltica debera comprender:
Quin puede realizar cambios
Cmo son aprobados estos cambios
Cmo se documentan
Cmo son comunicados a los empleados
Sin estas polticas, cualquiera puede realizar cambios
que otros no conocen y sin contar con la aprobacin
debida, lo que crea vulnerabilidades en el entorno.

Control de Cambios (Cont.)
Los cambios deben identificarse y registrarse para

usos futuros.
Existen numerosos cambios que pueden tener lugar
en la organizacin:
Nuevas computadoras instaladas
Nuevas aplicaciones
Cambios de configuracin
Parches y updates instalados
Nuevas tecnologas integradas
Nuevos dispositivos de red
Actualizaciones de polticas y procedimientos, etc.

Control de Cambios (Cont.)
Una poltica de control de cambios debera incluir los

siguientes procedimientos:
Solicitud de implementacin de cambios
Aprobacin
Documentacin
Testing
Implementacin
Reportar cambios a la gerencia para su difusin

8
Controles en Medios de Backup
Los diferentes medios de backup que pueden

encontrarse en un entorno de operaciones, requieren
de controles para proteger la CIA de los datos
almacenados en ellos.
Los primeros controles a implementar son aquellos
que previenen el acceso no autorizado. Los backups
de la organizacin deben ser guardados donde slo el
personal autorizado tenga acceso fsico.
Para proteger los medios de las condiciones del
entorno, tales como humedad, calor, fuego y
desastres naturales, deberan ser almacenados en
bvedas a prueba de fuego o en facilidades offsite.
Controles en Medios de Backup (Cont.)
Cada medio de backup debera ser etiquetado con la

siguiente informacin:
Fecha de creacin
Responsable de la creacin del backup
Perodo de vigencia o retencin
Clasificacin
Nombre del volumen
Versin, etc.

La integridad de la informacin almacenada en los

medios de backup debera ser verificada y dicha
informacin debera eliminarse apropiadamente
cuando sea necesario.
Cuando se elimina el contenido de un medio de
backup, se dice que dicho medio fue esterilizado
(sanitized).
Existen varios mtodos de esterilizacin:
Sobreescritura
Degaussing
Destruccin

9
El proceso normal de eliminacin de archivos no

provoca que los datos desaparezcan del medio de
almacenamiento, slo se borran los punteros a esta
informacin, pero la misma an se encuentra sobre la
superficie del medio.
Se conoce como Datos Remanentes a la
representacin fsica residual de informacin, que fue
originalmente salvada y posteriormente eliminada. Esta
remanencia puede ser suficiente para que la informacin
pueda ser reconstruida y recuperada. Un ejemplo lo
constituye una poltica de donacin, donde los discos de
las PC no son sometidos a los procesos adecuados.

Controles en Sistemas Operativos
Dentro de los sistemas operativos, ciertos controles

deben ser implementados para asegurar que las
instrucciones estn siendo ejecutadas dentro de un
contexto correcto de seguridad.
Un sistema operativo tiene mecanismos que
restringen la ejecucin de ciertos tipos de
instrucciones, las cuales slo pueden tener lugar si el
sistema se encuentra en un estado de supervisin o
privilegiado.

Controles en Sistemas Operativos (Cont.)
Muchas instrucciones de I/O son definidas como

privilegiadas y slo pueden ser ejecutadas por el
kernel del OS.
Cuando un programa de usuario necesita enviar
informacin de I/O, ste debe notificar al core del
sistema.
Este proceso (Servicio de sistema) autoriza al
programa de usuario a ejecutar esta accin,
incrementando temporalmente su nivel de privilegio, o
el propio servicio de sistema completa el proceso en
representacin del programa de usuario.

10
Controles en Sistemas Operativos (Cont.)
Cuando un sistema operativo o aplicacin entra en

estado de crash o freeze no debera colocar al
sistema en ningn tipo de estado inseguro.
La respuesta de un sistema operativo a un tipo de
falla, pude ser clasificada en:
System reboot
Emergency system restart
System cold start

System Reboot
Tiene lugar despus que el sistema realiza un

shutting down de una manera controlada, en
respuesta a una falla producida.
Si un sistema encuentra estructuras de datos
inconsistentes o si no hay espacio suficiente en
tablas crticas, un system reboot tiene lugar para
liberar recursos y retornar al sistema a un estado ms
seguro.

Emergency System Restart
Tiene lugar despus que una falla sucede de manera

no controlada.
Por ejemplo, un proceso de usuario con privilegios
insuficientes intenta acceder a segmentos de memoria
que son restringidos.
El sistema cataloga esto como una actividad insegura
y no puede recuperarse sin producir un rebooting.
Un buen ejemplo lo constituye el DEP (Data Execution
Prevention) que incorpora Windows XP con Service
Pack 2 (Con la ayuda de la implementacin en el
hardware [AMD 64 bits]).

11
System Cold Start
Tiene lugar cuando una falla inesperada ocurre y el

procedimiento regular de recuperacin no puede
retornar el sistema a un estado ms consistente.
Puede requerirse la intervencin del usuario o
administrador para restaurar el sistema.

Controles en Entradas y Salidas
Lo que se ingresa en un formulario de una aplicacin

tiene una correlacin directa con los reportes que
salen de ella.
Las aplicaciones deben ser programadas para aceptar
ciertos tipos de valores de entrada, los cuales sern
validados por la lgica de la aplicacin con la finalidad
de evitar el ingreso de datos no apropiados.
Por ejemplo, si un campo de un formulario de entrada
es usado para ingresar un valor monetario, no debera
permitirse el ingreso de caracteres alfabticos.

Auditora
Comprende la ejecucin de actividades tales como:

Controles de backup
Control de transacciones
Control de libreras de datos
Alineacin a estndares
Seguridad del Data Center
Plan de Contingencia

12
Audit Trails
Permiten seguir el historial de modificaciones de todo

tipo.
Cumple con el concepto de Accountability.
Deben contener:
Fecha y hora de las transacciones
Identidad de quien proces la transaccin
Terminal desde donde se realiz la transaccin
Otros eventos de seguridad vinculados a la transaccin

Operations Security
Seguridad en Servicios
de Fax
Seguridad en Servicios de Fax
Utilizar dispositivos Fax es una manera muy popular

de enviar informacin, por lo que, al igual que otros
tipos de canales de comunicacin, debe ser
incorporado en la poltica de seguridad de la
organizacin.
Las mquinas de Fax pueden presentar algunos
problemas de seguridad si estn siendo usados para
transmitir informacin confidencial o sensible.
La informacin es escaneada dentro del dispositivo,
transmitida a travs de una lnea telefnica e impresa
en el destino.

13
Seguridad en Servicios de Fax (Cont.)
Muchas veces el dispositivo receptor almacena el

mensaje impreso sobre una bandeja hasta que el
destinatario se acerca a buscarlo. Si este mensaje es
clasificado, puede que no sea una buena idea dejarlo
a la vista de cualquiera.
Algunas organizaciones emplean Fax servers el
cual es un sistema que administra los documentos
entrantes y salientes.
Cuando un fax es recibido por el server, ste rutea el
documento, en formato electrnico, al destinatario del
mismo sin necesidad de imprimirlo.

El Fax Server le permite a los usuarios transmitir

documentos desde sus computadoras al server sin
tener que pasar estos documentos a travs de una
mquina Fax.
El Fax Server tiene la capacidad de permitir a los
usuarios la impresin de los fax recibidos.
Esta capacidad de impresin no debera estar
permitida, de manera que los documentos clasificados
puedan ser almacenados y visualizados slo por
personal autorizado y nunca impresos.

Las funcionalidades de logging y auditora estn

disponibles para Fax Servers.
Debido a que los datos viajan hacia y desde el server
en texto claro, algunas empresas pueden requerir
implementar tcnicas de encripcin.

14
Operations Security
Seguridad en Servicios
de Correo Electrnico
Seguridad en Servicios de Correo Electrnico
El E-Mail ha transformado la vida de gran parte de la

poblacin mundial, a la vez que ha contribuido en gran
medida al desarrollo de los negocios y a la baja de
costos en comunicaciones.
Hoy en da algunos productos brindan funcionalidades
adicionales, relacionadas con soluciones de workflow,
colaboracin y agendas compartidas.
Estos servicios adicionales junto al servicio bsico de
mensajera, hacen de este tipo de herramientas, un
potente instrumento a la hora de establecer un enlace
de comunicaciones efectivo.

Seguridad en Servicios de Correo Electrnico (Cont.)
Sin embargo no todo es tan sencillo a la hora de

mantener un sitio de correo electrnico funcionando.
Problemas en diferentes implementaciones,
protocolos poco seguros, riesgos y amenazas propios
del medio pblico de transmisin de datos, hacen que
se requiera un cuidadoso diseo.

15
Seguridad en Servicios de Correo Electrnico (Cont.)
La arquitectura bsica detrs de una solucin de

correo electrnico, se encuentra conformada por una
serie de componentes principales:
Agente de Transferencia de Correo (MTA)
Agente de Usuario de Correo (MUA)

Agente de Transferencia de Correo
Un programa MTA transfiere los mensajes de correo

electrnico entre mquinas que usan el protocolo
SMTP.
Un mensaje puede pasar por varios MTA hasta llegar
a su destino final. Algunos de los MTA ms populares
son: Sendmail, Exchange, GroupWise y Lotus
Notes.

Agente de Usuario de Correo
El MUA es el componente con el que los usuarios

suelen estar ms familiarizados, puesto que su
funcin especfica es la de actuar como interfaz entre
el usuario final y el MTA.
Ejemplos de este tipo de software, son: Microsoft
Outlook, Outlook Express, Eudora, Pegasus, etc.

16
SMTP
SMTP, son las siglas de "Simple Mail Transfer

Protocol" o Protocolo Simple de Transmisin de
Correo. Este protocolo fue publicado en el RFC 821.
Su funcin principal, es la de transmitir correo
electrnico de manera confiable y eficiente, bien sea
de cliente a servidor, o entre servidores.
En la pila de protocolos TCP/IP, SMTP se ubica en la
capa de aplicacin y utiliza como parte de su
funcionamiento, el puerto 25 TCP.

SMTP (Cont.)
El protocolo SMTP, define una serie de comandos y

mensajes, los cuales son utilizados al momento de
establecer y mantener una comunicacin entre las
partes:
Helo
Mail From
Rcpt To
Data, etc.
A diferencia de protocolos tales como IMAP4 o POP3,
SMTP no requiere autenticacin, provocando la
proliferacin de correo basura o spam.

POP3
POP3, son las siglas de "Post Office Protocol" o

Protocolo de Oficina de Correo. POP3, fue hecho
pblico mediante la publicacin del RFC 1225, el cual
a su vez, se encuentra basado en el RFC 918.
Este protocolo permite a los clientes de correo
electrnico, recuperar mensajes de servidores
remotos y almacenarlos en forma local.
En la pila de protocolos TCP/IP, POP3 se ubica en la
capa de aplicacin y utiliza como parte de su
funcionamiento, el puerto 110 TCP.

17
POP3 (Cont.)
A la hora de establecer una conexin a un servidor

POP, se inicia un proceso de autenticacin.
Entre los principales comandos que se utilizan,
encontramos:
List
Retr
Dele
Quit, etc.

IMAP4
IMAP, son las siglas de Internet Message Access

Protocol o Protocolo de Acceso a Mensajes de
Internet, el cual en su versin 4 se encuentra definido
en el RFC 1730.
En el nivel ms bsico, IMAP4 consiste en un mtodo
de acceso a mensajes almacenados remotamente.
Los mensajes de correo electrnico administrados por
este protocolo, se conservan en el servidor de correo
remoto, donde el usuario puede leerlos o eliminarlos,
adems de cambiar el nombre o eliminar los buzones
de correo utilizados para su almacenamiento.

IMAP4 (Cont.)
Al igual que el resto de los protocolos revisados en los

ltimos indicadores, el protocolo IMAP4, se ubica en
la capa de aplicacin del modelo TCP/IP y hace uso
del puerto TCP 143.
Usuarios que se conectan a una red a travs de una
conexin Dial-Up, suelen verse beneficiados, debido a
que slo la informacin de cabecera del correo se
obtiene inicialmente, existiendo la posibilidad de
visualizar stas, para luego decidir posponer la
descarga de aquellos mensajes que contengan
archivos adjuntos de gran tamao.

18
Open Relay
Esta funcionalidad consiste en que un servidor de

correo procese un mensaje en el que ni el remitente ni
el destinatario son usuarios locales.
Cuando esta posibilidad, se encuentra habilitada,
solemos referirnos a ella como Open Relay o
Relay Abierto.
Como profesionales en seguridad, deberemos incluir
el testing de esta funcionalidad en los servidores de
correo de nuestro cliente u organizacin, a fin de
detectar sistemas con servicio de Relay Abierto.

Spam
Se utiliza el trmino Spam, para referirse a la prctica

de enviar indiscriminadamente mensajes de correo
electrnico no solicitados.
El Spam, suele ser tambin conocido como UCE
(Unsolicited Commercial Email).
Desde el punto de vista tcnico, generalmente suele
catalogarse un correo como Spam, cuando ste es no
solicitado y masivo a la vez.

Spam (Cont.)
Existen una serie de tareas que podemos emprender

a efectos de reducir el potencial impacto del Spam en
nuestras compaas o clientes:
Configurar en forma correcta nuestros servidores de
correo, a fin de que los mismos no posean, por ejemplo,
un Servicio de Relay Abierto
Implementar filtros (Firma Digital, Heursticos, etc.).
Configurar la utilizacin de listas negras del tipo RBL
(Realtime Blackhole Lists), Spamhouse, etc.
Denunciar al Spammer frente al ISP

19
Poltica de Implementacin
Una topologa especial que suele ser implementada

con xito en la mayora de los sitios de correo
corporativo, requiere el empleo de un Gateway de
Correo Electrnico.
Un esquema de este tipo funciona de la siguiente
forma:
Un Gateway de Correo Electrnico (Tambin llamado

Gateway SMTP) dispuesto sobre el lado pblico de su
esquema de filtrado (Por ejemplo dentro de su primer
zona DMZ), se configura para aceptar mails entrantes,
provenientes de Internet, mediante un servicio SMTP.

Poltica de Implementacin (Cont.)
ste procesa el mail recibido, realiza los chequeos que

fueran necesarios (AntiSpam, Antivirus, Filtro de
Contenidos, etc.) y reenva el correo al servidor de la
zona segura, en nuestra LAN interna.
De la misma forma, el Gateway de Correo Electrnico,

recibe el correo saliente proveniente del servidor interno,
ejecuta los chequeos que hayan sido planificados y
finalmente enva el mismo a travs de Internet.

Poltica de Implementacin (Cont.)
De esta manera se logra no exponer el Servidor de

Correo, en el cual se albergan los mailboxes, a una
zona poco segura como es la DMZ.
Independientemente del control de virus, spam y

contenido que se realiza en el equipo GW, es
recomendable colocar una aplicacin antivirus sobre el
sistema de correo corporativo, para evitar que en caso
de ingresar un virus a la empresa por otra va, ste se
propague a todos los dispositivos utilizando el correo
interno.

20
Consideraciones de Seguridad
La seguridad respecto del software de correo

electrnico en general, se encuentra sujeta a la forma
en la que el mismo es implementado, administrado,
auditado y mantenido en el tiempo.
Existe una serie de lineamientos principales, que
debern ser tenidos en cuenta:
Mantenerse al da con los parches indicados por el
proveedor del software.
Configurar correctamente, las funciones de seguridad
propias del aplicativo implementado.

Consideraciones de Seguridad (Cont.)
Realizar el Hardening correspondiente, tanto sobre el

sistema operativo, como sobre los dispositivos de red y
el propio software de correo electrnico.
Implementar Gateways SMTP en el permetro externo y
servidores de correo en el permetro interno siempre
que sea posible.
Realizar auditoras peridicas sobre su instalacin.
Implementar software Antivirus, Bloqueos AntiSpam y
Filtros de Contenido.
Restringir el ingreso de archivos adjuntos con
extensiones que puedan contener cdigo malicioso
(EXE, BAT, PIF, etc.)

Consideraciones de Seguridad (Cont.)
Configurar los servicios de autenticacin segura, en

aquellos clientes POP que cuenten con dicha capacidad.
Desactivar aquellos comandos extendidos como EXPN
y VRFY siempre que no sean necesarios.
Editar los banners o fingerprints de aquellos servicios
que se estn ofreciendo.
Implementar mensajera segura a travs de S/MIME y
PGP
Escribir polticas y procedimientos efectivos, respecto
del resguardo y recuperacin de la informacin
contenida en los mailboxes.

21
Operations Security
Antivirus Management
Antivirus Management
Los virus informticos, son quizs el tipo de Cdigo

Malicioso ms extendido.
Su historia y evolucin han hecho de ellos una de las
amenazas ms temidas para los administradores de
sistemas de informacin y usuarios en general.
Un virus es una pieza de software diseada para
infectar un sistema de cmputo.
Generalmente suelen acarrear problemas que van
desde la simple eliminacin de archivos claves del
sistema, pasando por la completa destruccin de
particiones de discos duros, hasta llegar a daar el
firmware del equipo de la vctima.

Tipos de Virus
Suelen clasificarse en funcin de mltiples

caractersticas y criterios:
Origen
Tcnicas que utilizan para infectar
Tipos de ficheros que infectan
Lugares donde se esconden
Daos que causan
Plataforma que atacan, etc.

22
Tipos de Virus (Cont.)
Siguiendo estos criterios, encontramos:

Macro Virus
Polimorfos
Bombas Lgicas
Hoax
Caballos de Troya
Gusanos
Retrovirus
Stealth, etc.

Virus Famosos
Algunos de los virus ms importantes acontecidos en

los ltimos aos, son:
Melissa
SQL Slammer
Blaster
Klez
Bugbear
Chernobyl
I Love You
Sircam

Virus Famosos (Cont.)
Nimda
Cdigo Rojo
Sobig
Sasser

23
Aspectos Generales
Suelen existir diferentes sntomas de un ataque o

infeccin de acuerdo al tipo de virus que acte en
cada caso.
Como regla general, debera sospechar de su
instalacin de software si observara al menos alguno
de los siguientes sntomas:
Los programas en su sistema tardan en cargar o lo
hacen muy lentamente.
Archivos desconocidos aparecen en su disco rgido.
Archivos necesarios para la ejecucin de uno de sus
programas o del sistema operativo desaparecen de su
disco rgido.
Escrituras inesperadas en una unidad de disco.
Sntomas de un Ataque
Actividad de pantalla no estndar o extraa.

El tamao de sus archivos de programa cambia
sbitamente respecto de su tamao original.
Su sistema repentinamente no inicia o exhibe algn
mensaje de error inesperado.
Su sistema se resetea en forma inesperada.

Etapas de Contaminacin
Se suele referirse al Ciclo de Vida de un Virus,

haciendo un paralelismo con su partida biolgica.
El siguiente esquema describe cada etapa:
Creacin
Replicacin
Activacin
Descubrimiento
Asimilacin
Erradicacin

24
Daos que Producen
La peligrosidad de un virus se establece en base a

dos criterios principales:
Su capacidad de hacer dao.
La posibilidad de propagacin o difusin del cdigo
malicioso.
Entre las consecuencias ms importantes, tenemos:
Daos a determinado tipo de hardware.
Alteracin o prdida de datos.
Denegacin de Servicio.
Manipulacin de Datos.
Prdida de Productividad.
Prdida de Credibilidad.
Vergenza.

Medidas de Proteccin
Los ataques producidos por virus, suelen estar ligados

legalmente a lo que se conoce como Leyes de
Delitos Informticos.
Hoy da, a la luz de las nuevas amenazas, debe
trabajarse fuertemente en lo que se conoce como el
modelo de Prevencin por Capas :
Instalacin de actualizaciones de seguridad liberadas
para sistemas operativos y de aplicacin.
Implementacin de software antivirus en estaciones de
trabajo.
Implementacin de software antivirus en servidores de
archivos.
Implementacin de software antivirus en servidores de
correo corporativo.

Medidas de Proteccin (Cont.)
Implementacin de software antivirus sobre la

navegacin corporativa (Proxies).
Implementacin de software de administracin de
contenidos.
Implementacin de polticas de filtrado en el permetro
externo.
Implementacin de sistemas de bsqueda y
actualizacin de vulnerabilidades.
Implementacin de una poltica de control de instalacin
de software legal.

25
Software Antivirus
Un buen software de control antivirus debera cumplir,

como mnimo, con los siguientes requisitos que a
continuacin se detallan:
Debe estar certificado por la ICSA (International
Computer Security Association).
Debe tener exploracin en tiempo real o programado.
Debe contar con una consola de administracin y
reportes central.
Debe contar con las herramientas para proteger los
diferentes focos de infeccin (discos, mail, web, etc).
Debe cubrir la actualizacin de nuevas firmas antivirus
en forma automtica y desatendida en servidores y
clientes.

Software Antivirus (Cont.)
No debe degradar la performance del dispositivo

resguardado.
Debe contar con herramientas de logueo de eventos,
estadsticas y reporte para el seguimiento de incidentes.
Debe implementar un sistema de alarmas (e-mail, traps
SNMP, pager. etc).

Operations Security
Amenazas - Ataques
26
Mtodos de Ataque
La mayora de las herramientas que se utilizan hoy en

da, pueden tener una doble finalidad.
Un intruso puede emplear la herramienta para
encontrar una vulnerabilidad y explotarla, mientras
que un profesional de seguridad va a identificar dicha
vulnerabilidad para posteriormente solucionarla.
La evolucin de estas aplicaciones ha sido tal que
cualquier persona, sin conocimientos tcnicos
profundos, puede causar un incidente de gran
magnitud.
El usuario slo necesita especificar un rango IP dentro
de una GUI y luego hacer click en Go.
Network Mapping
Este tipo de aplicaciones enva paquetes, en

apariencia inofensivos, a muchos sistemas diferentes
en la red.
Estos sistemas responden a los paquetes enviados,
por lo que la aplicacin analizar cada una de estas
respuestas a fin de determinar el tipo de sistema
operativo que contest.
Diferentes sistemas operativos pueden variar en la
implementacin de los mismos protocolos, lo que
permite distinguirlos.

Network Mapping (Cont.)
Estas herramientas tienen su propia base de datos

que permite identificar sistemas operativos,
aplicaciones y versiones, segn el tipo y estructura del
mensaje de respuesta.
Esta actividad es conocida como OS Fingerprinting.

27
Port Scanning
Permite identificar los puertos abiertos en una

computadora.
Si se puede encontrar qu puertos estn activos, se
puede tener una idea de qu servicios estn corriendo
en ese equipo.
Existen 65535 puertos TCP y 65535 puertos UDP.
Los primeros 1024 puertos son llamados Bien
conocidos:
HTTP: 80
Telnet: 23
FTP: 21
SMTP: 25

Port Scanning (Cont.)
Estos puertos pueden ser reconfigurados a otros

valores, pero esto no es muy comn.
La herramienta enva paquetes a cada puerto y
escucha la respuesta. Si no hay una respuesta o se
recibe un mensaje de Port Unreachable, se indica
que el puerto y su correspondiente servicio estn
inactivos.

Network Mapping y Port Scanning: Contramedidas
Deshabilitar puertos y servicios no necesarios.

Bloquear el acceso a la red utilizando FW, Routers y
Proxy servers.
Utilizar un IDS para detectar este tipo de actividad.
Remover los banners de sistemas operativos y
aplicaciones.
Actualizar los sistemas operativos, aplicaciones y
protocolos.

28
Vulnerability Scanning
Son herramientas que poseen una gran base de datos

de vulnerabilidades conocidas de diferentes
productos, tales como sistemas operativos, motores
de bases de datos, servidores Web, etc.
Permiten identificar vulnerabilidades con la finalidad
de que los administradores las solucionen.
Cuentan con rutinas de actualizacin directa a travs
de Internet, con la finalidad de estar al da con las
nuevas vulnerabilidades que aparecen diariamente.

Vulnerability Scanning (Cont.)
Entre los scanners ms conocidos, encontramos:

Nessus
Satan
Languard, etc.

Penetration Test
Es una tcnica o procedimiento diseado para probar

todas las posibles vulnerabilidades existentes en un
sistema, que permitan evitar los controles de
seguridad y ganar acceso a recursos o informacin
crtica.
Su objetivo es medir la capacidad de las medidas
defensivas de una organizacin frente a posibles
ataques, descubriendo las debilidades de su entorno.
Un Penetration Test emula los mismos mtodos que
empleara un posible atacante.

29
Penetration Test (Cont.)
En su accionar, puede evaluar:

Puertos abiertos
Servicios disponibles
Web Servers
DNS Servers
Mail Servers
Configuraciones de Routers
Configuraciones de Firewalls
Vulnerabilidades de OS y estaciones de trabajo
Acceso a informacin clasificada
Accesos remotos, etc.

Penetration Test (Cont.)
El tipo de Penetration Test depende de la

organizacin, en particular de sus objetivos de
seguridad.
Puede ser ejecutado en forma Externa o Interna, e
incluye inicialmente un anlisis de vulnerabilidades,
pero a diferencia de ste, aqu se intenta explotar las
vulnerabilidades encontradas.
El resultado obtenido, es un reporte proporcionado a
la gerencia, que describe las vulnerabilidades
identificadas y el grado de riesgo asociado, con
recomendaciones de cmo solucionar el problema en
forma adecuada.
Superzapping
Muchas veces los sistemas entran en un estado de

bloqueo (Freeze) del cual no pueden recuperarse
por medio de procedimientos normales.
Un Superzapping es una utilidad usada en los
mainframe IBM que tiene la capacidad de evitar los
controles de acceso normales del OS y realizar
cambios que no son registrados.
Un administrador puede utilizar esta herramienta en
los casos en que nada ms parece funcionar, pero el
sistema necesita ser recuperado y reconfigurado.
Hoy en da, el concepto de Superzapping se aplica
a cualquier aplicacin que se usa para realizar
modificaciones que no son logueadas.

30
Browsing
Es un trmino general utilizado para intrusos que

obtienen informacin que no deberan conocer.
Este tipo de ataque tiene lugar cuando un intruso
observa informacin clasificada, pero no conoce el
formato sobre el cual los datos residen (Procesador
de texto, hoja de clculo, base de datos, etc.)
Un ejemplo ms prctico es cuando el intruso accede
a informacin residual en medios de almacenamiento
tipo diskettes, tapes, discos duros, etc.
Otro tipo de Browsing es el llamado Shoulder
Surfing, cuando un usuario observa sobre el hombro
de otro para ver lo que muestra la pantalla de su PC.
Sniffers
Es una herramienta que monitorea el trfico que

circula por la red, con el fin de diagnosticar problemas.
Se los conoce tambin como Analizadores de
protocolos.
Generalmente son componentes de software que
corren en una computadora cuya tarjeta de red se
configura en modo promiscuo.
Una vez que una computadora es comprometida, un
atacante tratar de instalar un Sniffer a fin de
capturar trfico interesante.

Sniffers (Cont.)
Algunos Sniffers se programan para capturar las

passwords transmitidas a travs de la red, como por
ejemplo CAIN, L0phtcrack, etc.
Pueden limitarse a travs de entornos segmentados
con switches, pero existen tcnicas que permiten
evitar este obstculo, como por ejemplo ARP
Poissoning, CAM Overflow, VLAN Hopping, STP
Manipulation, etc.
Para combatirlos deben implementarse las versiones
seguras de los protocolos ms sensibles como por
ejemplo SSH, HTTPS, SFTP, SRPC o bien
implementar VPN con IPSec o SSL.
31
Session Hijacking
Se produce cuando un atacante quiere tomar control

de la sesin entre dos computadoras sin ser
detectado.
Si un cliente fue autenticado y ya est conectado a
travs de una sesin TCP con un servidor, el atacante
puede usar una aplicacin de DoS para eliminar al
cliente, enmascarar su direccin IP con alguna tcnica
de spoofing y tomar su identidad en la sesin, sin
que el servidor pueda notarlo.
Como contramedida se debera implementar un
protocolo que requiera autenticacin mutua entre
usuarios o sistemas, como por ejemplo IPSec o
Kerberos.

Password Cracking
Aunque existen varias maneras de autenticar un

usuario, el uso de passwords estticas suele ser el
mtodo tradicional en muchas empresas.
Este tipo de passwords puede ser fcilmente
vulnerado con herramientas como John the Ripper,
L0pht-crack, CAIN, etc.
Una vez que los datos de un proceso de autenticacin
son capturados, el atacante puede iniciar un crack
de la password a travs de tcnicas por Diccionario
o Fuerza Bruta.

Backdoors
Estos Backdoors son insertados dentro del cdigo

de un sistema, de manera de permitirle al
desarrollador ganar acceso al mismo, evitando los
procesos de autenticacin y autorizacin, en caso de
existir problemas en los mtodos acceso normales.
Un atacante instala un Backdoor para ganar acceso
al sistema comprometido en cualquier momento,
independientemente de la manera en que logr
penetrar al mismo inicialmente.
Puede ser instalado como un programa u ocultar el
cdigo dentro de un virus o troyano que instalarn el
Backdoor ante un evento predefinido.
32
Backdoors (Cont.)
Muchas veces estos Backdoors son instalados para

tomar control remoto de la computadora vctima.
Hoy en da, muchas aplicaciones antivirus e IDS
registran en sus bases de datos los patrones de
estas herramientas.
Tambin un administrador puede buscar los
ejecutables usados por el Backdoor, observar
entradas sospechosas en el registro o comprobar los
resmenes Hash de las libreras ms crticas del
sistema.

DoS / DDoS
Denial of Services (DoS) / Denial of Services Distributed (DDoS)

Los ataques DoS pueden ser realizados por medio del envo de paquetes
mal formados a la pila de red de un sistema determinado.
Esto podra resultar en que el sistema objetivo, al no poder procesar
correctamente este tipo de trfico, se desborde o deje de realizar su tarea.
Los ataques DoS intentan atacar los recursos de sistema del equipo
objetivo. Estos pueden ser:
Ancho de banda
Procesos
Cuota de disco
Memoria
CPU
Etc.
Los ataques DDoS son una extensin lgica de los DoS. Estos envuelven
mas de un equipo informtico con fines de amplificacin.

SYN Flood
SYN Flood
TCP/IP se basa al momento de establecer una sesin, en lo que
se conoce como el saludo de tres vas o conexin de tres pasos
(SYN SYN/ACK ACK). Si el paso final no llega a
establecerse, la conexin permanece en un estado denominado
"semiabierto"
El ataque SYN Flood se produce cuando el atacante enva a la
vctima, gran cantidad de paquetes spoofeados con origen falso
sin previamente cerrar la conexin anterior (ACK).
Si el sistema victima posee un lmite bajo en el nmero de
conexiones "semiabiertas" que puede manejar en un momento
determinado, y este lmite es superado, el servidor
sencillamente dejar de responder a las nuevas peticiones de
conexin que le vayan llegando causando la denegacin de
servicios.

33
SYN Flood (Cont.)
SYN Flood

Smurf
Smurf
Involucra tres jugadores: Atacante, Victima y Sistema Amplificador.
El atacante enva un datagrama a la direccin de brodcast del
sistema amplificador, esperando que todas las maquinas que lo
componen respondan a la vez.
Este es un paquete ICMP Echo Request, al cual se le cambia la IP
origen para que parezca que proviene del equipo de la victima.
Cada una de las maquinas dispuestas en el Sistema Amplificador,
recibir una copia del ping request.
De acuerdo a lo establecido en la IP origen spoofeada en el
mensaje inicial, el originador es el sistema victima, por lo cual cada
maquina de la red enviar un paquete diciendo Estoy Vivo!
El atacante, podra repetir este procedimiento rpidamente
enviando gran cantidad de requerimientos a travs de varias redes
intermedias, hasta agotar la posibilidad de procesamiento de la
maquina objetivo.
Smurf (Cont.)
Smurf

34
Teardrop
Teardrop
Cuando los paquetes viajan a travs de diferentes redes, puede existir
la necesidad de que estos sean fragmentados y recombinados,
dependiendo de la tecnologa de la red que deban atravesar.
Cada tecnologa de red administra un valor denominado MTU (Mxima
Unidad de Transmisin), el cual indica el tamao de los paquetes que
pueden ser procesados.
Algunos sistemas se aseguran que los paquetes no sean mayores al
valor permitido por la MTU, pero no si los mismos son mas pequeos.
Durante un ataque Teardrop, la victima recibe fragmentos de paquetes
e intenta recombinar estos. Si estos paquetes son generados por un
atacante en forma arbitraria, muchos sistemas no sabrn como
reensamblar los mismos.
Los atacantes pueden tomar ventajas de este defecto de diseo y
enviar paquetes extremadamente pequeos, para causar que el
sistema victima se freeze o sea rebooteado.

Fraggle DNS DoS Attack / DNS Poisoning
Fraggle
Es un ataque similar a Smurf que utiliza UDP en vez de ICMP
DNS DoS Attack / DNS Poisoning

Se produce cuando un atacante es capaz de alterar una
entrada dispuesta en la base de datos de un servidor DNS,
cambiando la asignacin de una IP por otra.
Ejemplo: www.isc2.org se encuentra originalmente mapeada
a la IP 10.10.10.1, si un atacante es capaz de cambiar este
valor por la IP 10.10.10.2, el website dejar de recibir hits.
Ntese que este tipo de ataque se realiza sin tocar el servidor
objetivo.

Otros Tipos de Ataques
Otros tipos de ataques que pueden ser ejecutados

contra los sistemas de una organizacin, son:
Man-in-the middle (MITM)
Spamming
Wardialing
Ping de la muerte
Falsas pantallas de login
Land attack, etc.

35
Operations Security
Referencias y Lecturas
Complementarias
Referencias y Lecturas Complementarias
CISSP All-in-One Exam Guide, Third Edition (All-in-One)

By Shon Harris (McGraw-Hill Osborne Media) ISBN: 0072257121
Official (ISC)2 Guide to the CISSP Exam
By Susan Hansche (AUERBACH) ISBN: 084931707X
The CISSP Prep Guide: Gold Edition
By Ronald L. Krutz, Russell Dean Vines (Wiley) ISBN: 047126802X
CISSP Certification Training Guide
By Roberta Bragg (Que) ISBN: 078972801X
CCCure.Org WebSite: http://www.cccure.org
By Clement Dupuis
Advanced CISSP Prep Guide: Exam Q&A
By Ronald L. Krutz, Russell Dean Vines (Wiley) ISBN: 0471236632
Information Security Management Handbook, Fifth Edition
By Harold F. Tipton, Micki Krause (Que) ISBN: 0849319978
CISSP: Certified Information Systems Security Profesional Study Guide,
Third Edition
By James M. Stewart, Ed Tittel, Mike Chapple (Sybex) ISBN: 0782144438

Operations Security
Preguntas?
36

CISSP - 08 - Operations Security v3

Загружено:

Сведения о документе

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

CISSP - 08 - Operations Security v3

Загружено:

Авторское право:

Доступные форматы

CISSP Security Training Operations Security

CISSP Security Training - Operations Security 2

Seguridad en las Operaciones comprende todo

Representa un concepto muy importante en la

CISSP Security Training - Operations Security 6

Permite asegurar que una nica persona no puede

CISSP Security Training - Operations Security 7

Rotacin del Trabajo

Significa que ms de una persona conoce las tareas

CISSP Security Training - Operations Security 8

Significa que un individuo dentro de la organizacin

CISSP Security Training - Operations Security 9

Este principio se encuentra en estrecha relacin con

CISSP Security Training - Operations Security 10

Permite la implementacin del principio de Rotacin

CISSP Security Training - Operations Security 11

El acceso a los recursos por parte de los usuarios

El proceso de auditora debera ejecutarse en forma

CISSP Security Training - Operations Security 13

Ciertos interrogantes deben ser cubiertos cuando se

CISSP Security Training - Operations Security 14

Cuando los productos son evaluados para comprobar

CISSP Security Training - Operations Security 16

Comprende la arquitectura del producto, las

CISSP Security Training - Operations Security 17

Confianza del Ciclo de Vida

Comprende todo aquello relacionado con el desarrollo

CISSP Security Training - Operations Security 18

Las organizaciones establecen umbrales para ciertos

CISSP Security Training - Operations Security 19

Es importante que los controles y mecanismos de

CISSP Security Training - Operations Security 21

Cada organizacin debera tener una poltica que

CISSP Security Training - Operations Security 22

Control de Cambios (Cont.)

Los cambios deben identificarse y registrarse para

CISSP Security Training - Operations Security 23

Control de Cambios (Cont.)

Una poltica de control de cambios debera incluir los

CISSP Security Training - Operations Security 24

Controles en Medios de Backup

Los diferentes medios de backup que pueden

Controles en Medios de Backup (Cont.)

Cada medio de backup debera ser etiquetado con la

CISSP Security Training - Operations Security 26

Controles en Medios de Backup (Cont.)

La integridad de la informacin almacenada en los

CISSP Security Training - Operations Security 27

Controles en Medios de Backup (Cont.)

El proceso normal de eliminacin de archivos no

CISSP Security Training - Operations Security 28

Controles en Sistemas Operativos

Dentro de los sistemas operativos, ciertos controles

CISSP Security Training - Operations Security 29

Controles en Sistemas Operativos (Cont.)

Muchas instrucciones de I/O son definidas como

CISSP Security Training - Operations Security 30

Controles en Sistemas Operativos (Cont.)

Cuando un sistema operativo o aplicacin entra en

CISSP Security Training - Operations Security 31

Tiene lugar despus que el sistema realiza un

CISSP Security Training - Operations Security 32

Emergency System Restart

Tiene lugar despus que una falla sucede de manera