Embed Size (px)
Citation preview
1
CISSP:Certified Information
Systems Security Professional
Profesional Certificado en la Seguridad De losSistemas De Información
Con formato: Fuente: 20 pto
Con formato: Centrado
Con formato: Ancho columna nº 1:15.59 cm, Sin Forzar ancho de columnaigual
2
CAPITULO 1
Responsabilidad y control de acceso
TEMAS DEL EXAMEN CISSP CUBIERTOS EN ESTE CAPITULO
Responsabilidad Técnicas de control de acceso Administración de control de acceso Técnicas de identificación y autenticación Metodologías de control de acceso e implementación
3
El Sistema de Control de Acceso y la Metodología son
dominios de la Common Body of Knoweldge (CBK) para el
examen de Certificación CISSP (Certified Information Systems
Security Professional) que trata de los tópicos relacionados a la
monitorización, identificación, y autorización de acceso o
restricción de acceso de los usuarios a los recursos.
Generalmente, el control de acceso es cualquier hardware,
software, o política organizacional administrativa o procedimiento de acceso o restricción
de accesos, monitoreo y registro de accesos, identificación de acceso de los usuarios,
determinar si el acceso es autorizado.
En este capitulo y en el capitulo 2, “Ataques y Monitorización”, la Metodología y Sistemas
de Control de Acceso es mostrado. Estudiaremos los materiales desde ambos capítulos
esenciales para el examen de Certificación de CISSP.
Control de acceso
Controlar los accesos a los recursos es uno de los temas centrales de seguridad. El
control de acceso controla a que archivos y servicios los usuarios pueden acceder. El
control de acceso trata acerca de administrar cómo interactúan los sujetos con los
objetos. La transferencia de información de un objeto a un sujeto es llamada Acceso. Los
sujetos son las entidades activos que a través de la operación de acceso, busca
información acerca de entidades pasivas o objetos. Sujetos puede ser un usuario, un
programa, un proceso, archivo, la computadora, la base de datos, etcétera. Un sujeto es
siempre la entidad que recibe información acerca del objeto o acerca de los datos del
objeto. Un sujeto es también la entidad que altera la información acerca de los datos
almacenados dentro del objeto. El objeto es siempre la entidad que proporciona o recibe
la información o los datos. Las funciones del Sujeto y del objeto pueden cambiar como
dos entidades, tal como un programa y una base de datos o un proceso y un archivo, se
comunican para alcanzar una tarea.
Tipos de control de acceso
Los controles del Acceso son necesarios para proteger la confidencialidad, la integridad y
la disponibilidad del objeto (Y lo tanto, su información y datos). La frase control de acceso
4
es utilizada para describir un largo rango de controles, desde forzar a un usuario a
proporcionar un nombre de usuario y la contraseña válida hasta prevenir al usuario de
entrar a un recurso fuera de su esfera de acceso. Los controles de acceso pueden ser
divididos en las siguientes siete categorías funcionales. Usted debe tomar atención que
algunos mecanismos de seguridad pueden ser marcados con múltiples categorías
funcionales.
CIA Triada
Los principios esenciales de la seguridad de confidencialidad, de la integridad, y de la
disponibilidad a menudo es referida como la CIA Triada. Todos los controles de
seguridad deben alinearse a estos principios. Estos tres principios de la seguridad
sirven como hilos comunes a través del CISSP CBK. Cada dominio dirige estos
principios en manera única, así que es importante entenderlos en términos generales y
dentro de cada dominio específico:
La confidencialidad es el principio por el cual los objetos no son revelados a
sujetos no autorizados.
La integridad es el principio que objetos retienen su veracidad y son modificados
intencionalmente solo por sujetos autorizados.
La disponibilidad es el principio que proporciona a los sujetos el acceso oportuno
a los objetos con anchura de banda suficiente para realizar la interacción
deseada.
Mecanismos diferentes de seguridad dirigen estos tres principios de maneras diferentes
y ofrecen múltiples grados de apoyo o aplicación de estos principios. Los objetos deben
ser clasificados apropiadamente y deben ser priorizados para que controles apropiados
de acceso de seguridad puedan ser desplegados. Estos y muchos otros asuntos
relacionados a la CIA Triad son discutidos a través de este libro.
Preventative access control – Un control de acceso preventivo es desplegado para
prevenir que ocurra una actividad no deseada o no autorizada. Los ejemplos de controles
preventivos de acceso incluyen las cercas, las cerraduras, la biometría, las trampas
humanas, la iluminación, los sistemas de alarma, la separación de deberes, la rotación del
trabajo, la clasificación de datos, la penetración que prueba conseguir acceso a los
5
métodos del control, la codificación, auditorias, las tarjetas inteligentes, la reclamación, las
políticas de la seguridad, la instrucción del conocimiento de la seguridad, y software de
antivirus.
Detective access control - Un control de acceso detective es desplegado para descubrir
actividad no deseada o no autorizada. Los ejemplos de controles detectives de acceso
incluyen a guardias de seguridad, los perros guardianes, detectores de movimiento,
cámaras de seguridad, la rotación del trabajo, las vacaciones obligatorias, los
seguimientos de auditorias, la supervisión de usuarios, investigaciones de incidentes y
sistemas de descubrimiento de intrusión.
Corrective access control - Un Control de acceso correctivo es desplegado para restaurar
sistemas después de que una actividad no deseada o no autorizada haya ocurrido. Los
ejemplos de controles correctivos de acceso incluyen sistemas de descubrimiento de
intrusión, las soluciones de antivirus, las alarmas, las trampas humanas, y las políticas de
seguridad. Los controles correctivos tienen sólo una capacidad mínima para responder y
conseguir acceso a las infracciones.
Deterrent access control - Un Control de Acceso de Impedimento es desplegado para
desalentar la infracción de políticas de seguridad. Los ejemplos de controles disuasivos
de acceso incluyen las cerraduras, las cercas, insignias de seguridad, los guardias de
seguridad, las trampas humanas, cámaras de seguridad, la entrada ilegal, la separación
de deberes, de los procedimientos de la tarea del trabajo, de la instrucción del
conocimiento, de la codificación, de auditorias y los cortafuegos.
Recovery access control – Un Control de Acceso de recuperación es desplegado para
reparar o restaurar los recursos, las funciones, y las capacidades luego de una infracción
contra las políticas de seguridad. Los ejemplos de controles de acceso de recuperación
incluyen los respaldos, la tolerancia en que se manejan los sistemas y software de
antivirus. Y la base de datos que almacena. Los controles de recuperación tienen una
capacidad más avanzada o compleja para responder y hacer seguimiento para el acceso
a las infracciones que un control correctivo de acceso.
6
Compensation access control - Un Control de Acceso de Compensación es desplegado
para proporcionar varias opciones a otros controles existentes para ayudar en la
aplicación y el apoyo de una política de seguridad. Los ejemplos de controles de acceso
de compensación incluyen la política de seguridad, la supervisión del personal, controles,
y procedimientos de las tareas de trabajo.
Directive access control - Un Control de Acceso Directivo Es desplegado para dirigir,
limitar, o para controlar las acciones del sujeto o alentar la conformidad con las políticas
de seguridad. Los ejemplos de controles directivos de acceso incluyen a guardias de
seguridad, los perros guardianes, la política de la seguridad, controlar, supervisar, los
procedimientos de las tareas de trabajo, y la instrucción del conocimiento.
Los controles de acceso pueden ser clasificados aún mucho mejor por la manera en la
que van a ser aplicados. En este caso, las categorías son administrativas, lógico/técnicos,
o físicas:
Administrative access controls – Controles de acceso administrativos son las políticas y
procedimientos definidos por una política de seguridad de la organización para aplicar e
imponer el control general de acceso. Controles de acceso administrativos se enfocan en
dos áreas: personal y prácticas empresariales. Los ejemplos de Controles de acceso
administrativos incluyen las políticas, los procedimientos, practicas de empleo, la
clasificación de datos, la instrucción de seguridad, el historial de vacaciones, las
revisiones, la supervisión del trabajo, los controles del personal, y pruebas.
Logical/technical access controls – Controles de Acceso Lógico y controles de acceso
técnico Son los mecanismos de hardware o software que manejaban el acceso a recursos
y sistemas y proporcionan la protección para esos recursos y sistemas. Los ejemplos de
Controles de Acceso Lógico / técnico incluyen codificación, las tarjetas inteligentes, las
contraseñas, la biometría, lista de acceso de control (ACLs), protocolos, los cortafuegos,
los routers, sistemas de descubrimiento de intrusión, y recorte de los niveles.
Physical access controls – Controles de acceso físicos Son las barreras físicas
desplegadas para prevenir el contacto directo con sistemas o porciones de una facilidad.
Los ejemplos de controles físicos de acceso incluyen a guardias, las cercas, detectores de
movimiento, puertas cerradas, ventanas selladas, las luces, cables de protección, las
7
cerraduras de ordenador portátil, perros guardianes, las videocámaras, las trampas
humanas, y las alarmas.
Control de acceso en un ambiente estratificado
Ningún mecanismo de control de acceso es desplegado por sí solo. De hecho,
combinando varios tipos de controles de acceso son los únicos medios por la que un
ambiente razonablemente seguro se puede desarrollar. A menudo múltiples capas o
niveles de control de acceso se despliegan para proporcionar la seguridad por niveles o
defensa profunda. Esta idea es descrita por la noción de protección dada por círculos
concéntricos, que pone en la mesa el concepto de rodear los activos y los recursos con
círculos lógicos de protección de seguridad. Así, los intrusos o los atacadores necesitarían
vencer múltiples capas de defensa para alcanzar los activos protegidos. En una seguridad
estratificada o de protección de despliegue de círculos concéntricos, los activos son
rodeadas por una capa de protección previa por controles administrativos de acceso, y
esta es rodead por otra capa de protección que consiste en controles lógicos o técnicos
de acceso, la cuál finalmente es rodeado por otra capa de protección que incluye los
controles físicos de acceso. Este concepto de defensa tiene dos puntos importantes.
Primero, la política de seguridad de una organización proporciona la primera capa o el
más interno para la defensa de sus activos. Sin una política de seguridad, no hay
seguridad verdadera en la que se pueda confiar. Las políticas de seguridad son un
elemento de controles de acceso administrativo. En segundo lugar, las personas son el
último escudo protector. Las personas o el personal son el otro foco del control de acceso
administrativo. Sólo con instrucción y educación apropiadas va a lograr hacer que su
personal pueda aplicar, y sostener los elementos de seguridad definidos en su política de
seguridad.
El proceso de responsabilidad
Un propósito importante de la seguridad es el de poder tener personas responsables que
realizan las actividades asignadas en línea dentro del mundo digital de la red de
computadoras (p.e., su cuenta de usuario). El primer paso en este proceso es identificar el
sujeto. De hecho, hay varios pasos que puede tener una persona responsable para
acciones en línea: identificación, la autenticación, la autorización, auditar y finalmente la
responsabilidad.
8
Identificación
La Identificación es el proceso por la que un sujeto profesa una identidad y privilegios de
responsabilidad. Un usuario que proporciona un nombre de usuario, un ID de entrada, un
número de identificación personal (PIN), o una tarjeta inteligente; representan todos
procesos de identificación. Proporcionar un ID de acceso representa también proceso de
identificación. Una vez un sujeto se ha identificado, la identidad es responsable de las
acciones realizadas por el sujeto. Tecnología de la Información TI rastrea la actividad por
identidades, no por los sujetos. Una computadora no reconoce un humano de otro, pero
sabe que la cuenta de usuario es diferente de todas las otras cuentas de usuario.
Autenticación
La autenticación es el proceso de verificación o prueba de la identidad valida. La
autenticación requiere que el sujeto proporcione información adicional que debe
corresponder exactamente a la proporcionada por la identidad. La forma más común de la
autenticación es una contraseña, que cae bajo el primero de tres tipos de información que
puede ser utilizada para la autenticación:
Tipo 1 Un factor de Autentificación de Tipo 1 es algo usted sabe, tal como una
contraseña, el número de identificación personal (PIN), la combinación de la cerradura,
una frase clave, el apellido de soltera de la madre, el color favorito, etcétera.
Tipo 2 Un factor de Autentificación de Tipo 2 es algo usted tiene, tal como una tarjeta
inteligente, dispositivo Token, tarjeta de memoria, etcétera. Esto puede incluir también su
ubicación física, referida como el factor de "En algún lugar donde se encuentra Ud.”
Tipo 3 Un factor de Autentificación de Tipo 3 Es algo que usted es, tal como huellas
digitales, la impresión de la voz, patrones de retina, patrones de iris, la forma de la cara,
topología de palma, la geometría de mano, etcétera.
Además de estos tres factores comúnmente reconocidos, hay por lo menos otros dos.
Uno es llamado "algo usted hace," tal como escribir la firma, teclear una frase clave
(Dinámica de teclado), o decir una frase. Algo que usted hace a menudo es incluido en la
categoría “Algo que haces”. Otro factor, mencionado más temprano, “algo que eres,”
como por ejemplo el Terminal del cual se registro o el número de teléfono (Identificado
9
por el ID de la llamada) o el país (identificado por la dirección IP) del que usted llamó.
Generalmente se incluye en la categoría “Algo que tienes”
Una autentificación de factor 2 ocurre cuando dos factores diferentes son requeridos para
proporcionar la autenticación. Por ejemplo, al cambiar un cheque en la tienda, usted a
menudo tiene que proporcionar su permiso de conducir (“Algo que posees”) y su número
de teléfono (“Algo que sabes”). La autenticación fuerte es simplemente cualquier
autenticación que requiere dos o más factores pero los factores necesariamente
diferentes. Sin embargo, por regla general, cuándo factores diferentes son empleados, la
autenticación resultante es más segura.
Una vez que la credencial de ingreso es ofrecida por la identidad y el factor de
autenticación (o factores) son proporcionados al sistema, son verificados contra la base
de datos de identidades en el sistema. Si la identidad es localizada y el factor (o los
factores) de autentificación correcto ha sido proporcionado, entonces el sujeto ha sido
autenticado.
Autorización
Una vez que un sujeto es autenticado, su acceso debe ser autorizado. El proceso de
autorización asegura que la actividad solicitada o el acceso al objeto es posibles dado los
derechos y privilegios asignados a la identidad autenticada (que nosotros nos referiremos
como el sujeto de ahora en adelante). En la mayoría de los casos, el sistema evalúa una
matriz de control del acceso que compara el sujeto, el objeto, y la actividad destinada
(discutimos la matriz del control del acceso con mayor detalle en el Capítulo 11 "los
Principios del Diseño de la Computadora"). Si la acción específica es permitida, el sujeto
es autorizado. Si la acción específica no es permitida, el sujeto no es autorizado.
Tenga presente que simplemente porque un sujeto ha sido identificados y autenticado, no
significa automáticamente que ellos han sido autorizados. Es posible que para un sujeto
ser registrado en una red (es decir, identificado y autenticado) puede ser que se
encuentre bloqueado de conseguir acceso a un archivo o de imprimir en una impresora
(es decir, no encontrarse autorizado a realizar esa actividad). La mayoría de los usuarios
de la red son autorizados a realizar sólo un número limitado de actividades en una
colección específica de recursos. Los aspectos del control de acceso de Identificación y
autenticación son de "todo o nada". La autorización puede variar entre todo y nada para
10
cada sujeto individual o de los objetos dentro del ambiente. Un usuario puede poder leer
un archivo pero no lo puede borra. Un usuario puede poder imprimir un documento pero
no alterar la cola de impresión. Un usuario puede poder apuntar en un sistema pero no
conseguir acceso a ningún recurso. Es importante entender las diferencias entre
identificación, la autenticación, y la autorización. Aunque ellos sean semejantes y sean
esenciales a todos mecanismos de la seguridad, ellos son claros y no deben ser
confundidos.
Auditorias y responsabilidad
Auditar es el proceso por la cual actividades en línea de cuentas de usuario y procesos
son rastreadas y son registradas. Auditar los productos audita los rastros. Los rastros de
la auditoria pueden ser utilizados para reconstruir los acontecimientos y para verificar si o
no política de seguridad o autorización fueron violadas. Comparar el contenido de rastros
de auditoria con la autorización contra cuentas autenticadas de usuario, las personas
asociadas con cuentas de usuario pueden ser tenidas responsable para las acciones en
línea de esas cuentas de usuario.
Una política de la seguridad de la organización puede ser impuesta apropiadamente sólo
si la responsabilidad es mantenida. Es decir, la seguridad puede ser mantenida sólo si los
sujetos son tenidos responsable de sus acciones. La responsabilidad efectiva se fía de la
capacidad de demostrar una identidad del sujeto y rastrear sus actividades. Así, la
responsabilidad construye en los conceptos de identificación, de la autenticación, de la
autorización, del control del acceso, y de auditar.
Técnicas de identificaron y autenticación
La Identificación es un concepto bastante directo. Un sujeto debe proporcionar una
identidad a un sistema para empezar la autenticación, la autorización, y los procesos de la
responsabilidad. Proporcionar una identidad puede ser escribiendo a máquina un nombre
de usuario, brindar una tarjeta inteligente, mostrando un dispositivo token, diciendo una
frase, o posicionar su cara, la mano, o el dedo para una cámara o detector. Sin una
identidad, un sistema no tiene manera de poner en correlación un factor de la
autenticación con el sujeto. Una identidad del sujeto es considerada típicamente
información pública. La autenticación verifica la identidad del sujeto comparando uno o
más factores contra la base de datos de identidades válidas (es decir, el usuario da
cuenta). El factor de la autenticación verificaba la identidad es considerada típicamente
11
ser información privada. La habilidad del sujeto y el sistema para mantener que el secreto
de los factores de la autenticación para identidades refleja directamente el nivel de la
seguridad de ese sistema.
Identificación y autenticación van siempre juntas como un solo proceso de dos-paso.
Proporcionar una identidad es el paso uno y proporcionar el factor de la autenticación (los
factores) es el paso dos. Sin ambos, un sujeto no puede entrar a un sistema—ni el
elemento sólo útil.
Hay varios tipos de información de autenticación que un sujeto puede proporcionar (por
ejemplo, algo que usted sabe, algo que usted tiene, etc.). Cada técnica de autenticación o
factor tienen sus beneficios y los inconvenientes extraordinarios. Así es importante
evaluar cada mecanismo a la luz del ambiente en el que sea desplegado para determinar
viabilidad
Contraseñas
La técnica de la autenticación más común es el uso de contraseñas, pero también son
considerados la forma más débil de protección. Las contraseñas son mecanismos pobres
de seguridad por varias razones,
Los usuarios escogen típicamente las contraseñas que son fáciles de recordar y
por lo tanto fácil de adivinar o romper.
Las contraseñas generadas aleatoria mente son difíciles de recordar, por eso
muchos usuarios los anotan.
Las contraseñas son compartidas fácilmente, son anotadas, y olvidado.
Las contraseñas pueden ser robadas por muchos medios, inclusive la
observación, registrado y repetición, y el robo de la base de datos de la seguridad.
Las contraseñas a menudo son transmitidas en el cleartext o con protocolos
fácilmente rotos de codificación.
Las bases de datos de la contraseña a menudo son almacenadas en ubicaciones
en línea públicamente accesibles.
Las contraseñas cortas pueden ser descubiertas rápidamente en ataques brutos
de fuerza.
12
Selección de contraseña
Las contraseñas pueden ser efectivas si son escogidas inteligentemente y manejados
apropiadamente. Hay dos tipos de contraseñas: constante y dinámico. Las contraseñas
estáticas siempre se quedan iguales. Las contraseñas dinámicas cambian después de un
intervalo especificado de tiempo o uso. Contraseñas de una sola vez o passwords de un
solo uso son una variante de las contraseñas dinámicas que son cambiadas cada vez que
son utilizados. Contraseñas que se usan una sola vez son consideradas el tipo más fuerte
de la contraseña. Mientras más aumenta la importancia de mantener los aumentos de la
seguridad, así aumenta la necesidad de cambiar las contraseñas con frecuencia. Mientras
mas tiempo quede una contraseña constante o más a menudo son utilizadas, lo más
probable es que será descubierto. En algunos ambientes, las contraseñas iniciales para
cuentas de usuario son engendradas automáticamente y esa contraseña engendrada es
una forma de contraseñas de composición. Una contraseña de composición es una
contraseña construida de dos o más palabras no relacionadas unidas con un número o
símbolo en medio. Las contraseñas de composición son fáciles de engendrar para
computadoras, pero ellos no deben ser usados para espacios de tiempo prolongados
porque son vulnerables a ataques. Un mecanismo de contraseña que es un poco más
efectivo que una contraseña básica es una frase de paso. Una frase de paso es una
cuerda de caracteres generalmente mucho más larga que una contraseña. Una vez que la
frase de paso es ingresada, el sistema lo convierte en una contraseña virtual para el uso
de proceso de autenticación. Las frases de paso a menudo son modificaciones de
oraciones naturales del idioma para tener en cuenta la memorización simplificada. Aquí
está un ejemplo: “She $ell$ C shells ByE the c-shor.”
Cuál es tu fecha de nacimiento?
Cuál es el apellido de soltera de tu madre?
Cómo se llama tu director?
Cuál fue tu nota de tu ultima evaluación?
¿Quién fue su jugador de béisbol favorito de la serie mundial en la 1984?
Si todas las preguntas son contestadas correctamente, el sujeto es autenticado. Los
sistemas de contraseñas más efectivos preguntan un conjunto diferente de preguntas
cada vez que se ingresa. La limitación primaria de sistemas cognoscitivos de contraseña
13
es que cada pregunta debe ser contestada en el tiempo de creación de la cuenta del
usuario y contestada otra vez durante el proceso de entrada a sistema, que aumenta el
tiempo de registro.
Muchos sistemas incluyen políticas de contraseña que restringen las características de las
contraseñas. Las restricciones comunes son la longitudes mínimas, la edad mínima, la
edad máxima, requiriendo tres o cuatro tipos del carácter (es decir, en mayúscula,
minúsculo, los números, los símbolos), y prevenir que la contraseña se vuelva a emplear.
Cuando se necesita aumentar la seguridad, estas restricciones deben ser más estrictas.
Sin embargo, aún con restricciones fuertes de contraseña de software, las contraseñas
que son fácilmente adivinadas o craqueadas todavía pueden ser creadas. Una política de
la seguridad de la organización debe definir claramente la necesidad de una contraseña
fuerte y lo que realmente es. Los usuarios necesitan ser entrenados acerca de seguridad
para que ellos puedan respetar la política de seguridad de la organización y adherirán a
sus requerimientos, las sugerencias de como crear contraseñas fuertes:
No emplee parte de su nombre, nombre de ingreso al sistema, dirección de correo
electrónico, número de empleado, número del seguro social, número de teléfono,
de la extensión, ni otro nombre o código de identificación.
No utilice palabras de diccionario, argot, siglas de industria.
Utilice capitalización y deletreo no estándar.
Cambie letras y reemplácelas con números.
Seguridad de contraseña
Cuándo un usuario o atacador maliciosos procura obtener las contraseñas, hay varios
métodos que ellos pueden emplear, puede incluir el análisis del tráfico de la red, el acceso
al archivo de contraseña, los ataques de fuerza bruta, los ataques de diccionario, e
ingeniería social. Análisis del tráfico de red (también conocido como sniffing) es el proceso
de capturar el tráfico de la red cuando un usuario ingresa una contraseña para la
autenticación. Una vez que la contraseña es descubierta, el atacador procura volver a
poner el paquete que contiene la contraseña contra la red para entrar. Si un atacador
puede entrar al archivo de la base de datos de la contraseña, puede ser copiado y una
contraseña se pierde, algún instrumento puede ser utilizado para extraer los nombres de
14
usuario y contraseñas. Los ataques de fuerza bruta y el diccionario son los tipos de los
ataques de la contraseña que pueden ser emprendidos contra un archivo robado de la
base de datos de contraseña o un aviso de entrada a sistema de sistema. En un ataque
de diccionario, el atacador utiliza una escritura de palabras comunes de contraseñas y
diccionario para procurar descubrir una contraseña de cuenta. En un de fuerza bruta, un
ensayo sistemático de todas combinaciones posibles del carácter es utilizado para
descubrir una contraseña de cuenta. Un ataque de ingeniería social es una tentativa por
un atacante de obtener las capacidades de entrada a sistema engañando a un usuario,
generalmente por teléfono, para realizar acciones específicas en el sistema, tal como
cambiar la contraseña de un ejecutivo que está en el camino o crear una cuenta de
usuario para un nuevo empleado ficticio.
Hay varias maneras de mejorar la seguridad de contraseñas. El bloqueo de la cuenta es
un mecanismo que incapacita una cuenta de usuario después de que un número
especificado de entradas fallidas al sistema han ocurrido. Los bloqueos de la cuenta
paran los ataques brutos de la fuerza y el diccionario contra un aviso de entrada a sistema
de sistema. Una vez que el límite de la tentativa de entrada a sistema es alcanzado, se
mostrara un mensaje con el tiempo, la fecha, y la ubicación (es decir, el nombre de la
computadora o la dirección de IP) de la última entrada, la tentativa exitosa o fallida de
entrada al sistema es demostrado. Los usuarios que sospechan que su cuenta es atacada
o ha sido robada lo pueden informar al administrador del sistema. Auditar puede ser
configurado para rastrear el éxito de entrada al sistema y o el fracaso. Un sistema de
descubrimiento de intrusión puede identificar fácilmente entrada a sistema los ataques
prontos y notificar a administradores.
Hay otras opciones de mejorar la seguridad ofreció por la autenticación de la contraseña:
Utilice la forma más fuerte de un solo sentido de encriptación disponible para el
almacenamiento de contraseña.
Nunca permita que las contraseñas puedan ser transmitidas sobre la red en el
cleartext o con codificación débil.
Usen los instrumentos de comprobación de contraseña e instrumentos que vayan
en contra de su propio archivo de base de datos de contraseña. Requiera que las
contraseñas débiles o descubiertas son cambiadas
15
Incapacite cuentas de usuario por períodos cortos de inactividad, tal como una
semana o un mes. Borre cuentas de usuario que son ya no utilizadas.
Entrene apropiadamente a usuarios acerca de la necesidad de mantener la
seguridad y el uso de contraseñas fuertes. Advierta acerca de anotar o compartir
las contraseñas. Brinde tips acerca de para prevenir que puedan ver sus
contraseñas por encima del hombro para evitar que apunten las contraseñas.
Biometría
Los dispositivos biométricos son valorados por su desempeño contra condiciones falsas
negativas y falsas positivas de autenticación. La mayoría de los dispositivos biométricos
tienen un ajuste de la sensibilidad pueden ser afinados para ser más o menos sensible.
Cuándo un dispositivo biométrico es demasiado sensible, un Tipo 1 de error ocurre. Un
Tipo 1 de error ocurre cuando un sujeto válido no es autentico. La proporción del Tipo 1
errores de autenticaciones válidas son conocido como la Tasa Falsa del Rechazo (FRR).
Cuándo un dispositivo biométrico no es suficientemente sensible se considera que es un
Tipo de 2 de error. Un Tipo de error 2 ocurre cuando un sujeto inválido es autenticado. La
proporción del Tipo de error 2 a autenticaciones válidas es conocido como la Tasa Falsa
de la Aceptación (FAR). El FRR y FAR son tramados generalmente en un gráfico que
muestra el nivel del ajuste de la sensibilidad contra el porcentaje de FRR y errores FAR
(vea la Figura 1,1) El punto en que el FRR y FAR son igual de conocido como el
Coeficiente de errores de Paso (CER). El nivel de CER es utilizado como un punto
uniforme de evaluación de que medir el desempeño de un dispositivo biométrico. En
algunas situaciones, es preferible tener un dispositivo más sensible que la tasa de CER.
FIGURA 1.1 Grafico de Errores de FRR y FAR mostrando el punto CER
16
Registro biométrico
Además de los asuntos de la sensibilidad de dispositivos biométricos, hay otros factores
que pueden causar que sean menos efectivos -nombrado, tiempo de ingreso, la tasa del
rendimiento, y la aceptación. Para que un dispositivo biométrico funcione como un
mecanismo de identificación o autenticación, el sujeto debe ser ingresado o debe ser
registrado. Esto significa que el factor biométrico del sujeto debe ser probado y debe ser
almacenado en la base de datos de dispositivo. El tiempo que requirió para escudriñar y
almacenar un factor biométrico varía mucho por qué el desempeño físico o característica
es calculado. Mientras mas largo el tiempo que se usa para ingresar un mecanismo
biométrico, menos acepta el inconveniente una comunidad de usuario. En general,
tiempos de ingreso más largos que dos minutos son inaceptables. Si usted utiliza una
característica biométrica que cambia con tiempo, tal como unos tonos de voz de persona,
pelo facial, o la pauta de firma, el ingreso debe ser repetido en intervalos regulares.
Una vez que los sujetos son ingresados, la cantidad de tiempo que el sistema requiere
para escudriñar y procesar son las tasas de rendimiento, mientras mas complejo o
detallado las característica biométricas, más largo será el procesamiento. Los sujetos
aceptan típicamente una tasa del rendimiento de seis segundos o más. Una aceptación
del sujeto de un mecanismo de la seguridad es dependiente sobre muchas percepciones
subjetivas, inclusive la intimidad, y la molestia psicológica y física. Los sujetos pueden
preocuparse por la transferencia de líquidos de cuerpo o revelaciones de asuntos de
salud vía los detectores biométricos.
Uso apropiado biométrico
17
Al escoger una solución biométrica para un ambiente específico, numerosos aspectos
deben ser considerados. Estos aspectos incluyen si el tipo del factor biométrico es
conveniente para su ambiente así como la eficacia y la aceptabilidad del factor biométrico.
Al comparar los tipos diferentes de factores biométricos, a menudo un gráfico de Céfiro es
usado. Un gráfico de Céfiro valora varios aspectos, las funciones o las características de
la biometría diferente en un esquema fácil de leer (ve la Figura 1,2).
GRAFICO 1.2: Ejemplo de Grafico Céfiro
La eficacia de la biometría es dependiente de cuán exacto un tipo del factor biométrico
está con respecto a otros. Aquí está una orden comúnmente aceptada de la eficacia de la
mayoría:
La palma escudriña
Geometría de la mano
pauta de retina
huella digital
comprobación de voz
Dinámica de firma
Dinámica de pulsación
18
La aceptación de la biometría es una calificación de cuan bien aceptan las personas el
uso de factores biométricos específicos en su ambiente. La calificación de la aceptación
incorpora una vista de persona de cuán invasivo y fácil de utilizar un tipo específico del
factor biométrico es y el nivel de peligro para la salud que lo presenta. Aquí está una
orden comúnmente aceptada del nivel de la aceptación de la mayoría de más a menos:
Chequeo del iris
Dinámica de pulsación
Dinámica de firma
Verificación de voz
Reconocimiento facial
Huella digital
Escudriña de la palma
Geometría de la mano
pauta de retina
Tokens
Los tokens son dispositivos generadoras de contraseñas que los sujetos deben llevar con
ellos. Los dispositivos de la muestra son una forma de “Algo que tienes.” Una muestra
puede ser un dispositivo constante de la contraseña, tal como una tarjeta de ATM. Para
utilizar una tarjeta de ATM, usted debe suministrar la muestra (la tarjeta de ATM él mismo)
y su PIN. Las muestras pueden ser también dispositivos antiguas o dinámicas de
contraseña que lucen un poco como pequeñas calculadoras. El dispositivo demuestra una
cuerda de caracteres (una contraseña) para que usted pueda entrar en el sistema.
Hay cuatro tipos de dispositivos de muestra:
Muestras constantes
Muestras dinámicas sincronizadas de contraseña
Muestras dinámicas asíncronisadas de contraseña
Muestras de desafía-respuesta
Un Token puede ser una tarjeta, una tarjeta inteligente, un disquete, un dongle de USB
RAM, o aún algo tan sencillo como una llave para operar una cerradura física. Los Tokens
19
ofrecen un medio físico que significa proporcionar la identidad. Los Tokens requieren
todavía un factor adicional a proporcionar la autenticación, tal como una contraseña o el
factor biométrico. La mayoría de los dispositivos Tokens reciben una llave cifrada, tal
como una llave privada, firma digital, o entrada a sistema cifrada credencial. La llave
cifrada puede ser utilizada como una identificación o como un mecanismo de
autenticación. La llave cifrada es mucho más fuerte que una contraseña porque utiliza
precifrado un protocolo fuerte de codificación, es apreciablemente más largo, y reside sólo
en el token. Los Tokens son utilizados más a menudo como dispositivos de identificación
antes que como autenticación de cuenta. Una muestra dinámica sincronía de la
contraseña engendra las contraseñas en intervalos fijos de tiempo. Los tokens de
intervalo del tiempo requieren que el reloj en la autenticación y el reloj en el dispositivo de
muestra es sincronizado. La contraseña engendrada es entrada en el sistema por el
sujeto junto con un PIN, la frase del paso, o la contraseña. La contraseña engendrada
proporciona la identificación, y la PIN/CONTRASEÑA proporciona la autenticación.
Un token dinámica asíncrono de la contraseña engendra las contraseñas basadas en la
ocurrencia de un acontecimiento. Un token del acontecimiento requiere que el sujeto
aprieta una llave en la muestra y en el camarero de la autenticación. Esta acción avanza
al próximo valor de la contraseña. La contraseña engendrada y el PIN del sujeto, la frase
del paso, o la contraseña son entrados en el sistema para la autenticación.
Las muestras del la respuesta genera las contraseñas o las respuestas se basaron en
instrucciones del sistema de la autenticación. El sistema de la autenticación demuestra un
desafío, generalmente en forma de una frase de código o paso. Este desafío es entrado
en el dispositivo de muestra. La muestra engendra una respuesta basada en el desafío, y
entonces la respuesta es entrada en el sistema para la autenticación.
Los sistemas de la autenticación de la muestra que utilizan son una medida de la
seguridad mucho más fuerte que utilizando la autenticación de la contraseña sola. Los
sistemas de la muestra utilizan dos o más factores para establecer la identidad y
proporcionar la autenticación. Además de saber el nombre de usuario, la contraseña, el
PIN, el código, etcétera, el sujeto debe estar en la posesión física del dispositivo de token.
20
Sin embargo, sistemas de token tienen defectos. Si la batería se muere o el dispositivo se
rompe, el sujeto puede no entrar. Los dispositivos de token pueden ser perdidos o pueden
ser robados. Las muestras deben ser almacenadas y deben ser manejadas
inteligentemente porque una vez un sistema de muestra es cedido, puede ser difícil y
costoso reemplazar.
Entradas
La autenticación de entrada es un mecanismo que emplea una entidad de terceros para
demostrar identificación y proporcionar la autenticación. El sistema de entrada más común
y muy conocido es Kerberos. Kerberos fue desarrollado bajo Proyecto Atenea en MIT. Su
nombre es pedido prestado de la mitología griega. Un perro de tres cabezas Kerberos que
protege las puertas del infierno, pero en el mito, el perro de tres cabezas encaró interno,
así previniendo el escape antes que previniendo la entrada.
Single Sign On
Single Sign On (SSO) es un mecanismo que permite un sujeto ser autenticado sólo una
vez en un sistema. Con SSO, una vez que un sujeto es autenticado, ellos pueden vagar
la red libremente y los recursos del acceso y servicios sin ser nuevamente pedidos para
la autenticación. Esto es considerado la desventaja primaria a SSO: Una vez que una
cuenta es cedida, el sujeto malicioso tiene el acceso sin restricción. SSO tiene en
cuenta típicamente las contraseñas más fuertes porque el sujeto debe memorizar sólo
una sola contraseña. Además, SSO ofrece la administración más fácil reduciendo el
número de ubicaciones en que una cuenta debe ser definida para el sujeto. SSO puede
ser permitido por sistemas de autenticación o por escrituras que proporcionan entrada a
sistema credencial automáticamente cuando incitado.
Funcionalidad de kerberos
Kerberos es un protocolo confiado de la autenticación de terceros que puede ser utilizado
para proporcionar una sola solución de contratar y para proporcionar la protección para la
entrada a sistema credencial. Kerberos se fía de la criptografía clave simétrica,
específicamente Data Encryption Standard (DES), y proporciona la seguridad de punta a
punta para el tráfico de la autenticación entre el cliente y el Key Distribution Center e
21
(KDC). Kerberos proporciona los servicios de la seguridad de la protección de
confidencialidad e integridad para el tráfico de la autenticación.
El mecanismo de la autenticación de Kerberos se cifra confiado eso recibe las funciones
del KDC, la Entrada que Otorga el Servicio (TGS), y el Servicio de la Autenticación (AS).
Generalmente, el Kerberos camarero central que recibe todos estos servicios es referido
simplemente a como el KDC. Kerberos utiliza la criptografía clave simétrica para
autenticar a clientes a camareros. Todos clientes y los camareros son registrados con el
KDC, así que mantienen las llaves secretas de todos miembros de la red. Un cambio
complicado de entradas (es decir, los mensajes cifrados) entre clientes, administradores
de red, y el KDC son utilizados para demostrar la identidad y proporcionar la
autenticación. Esto permite al cliente para solicitar los recursos del camarero con la
certeza repleta que el cliente y el administrador son quién ellos reclaman para ser. El
cambio de entradas cifradas asegura también que ninguna entrada a sistema credencial,
llaves de sesión, ni los mensajes de la autenticación son transmitidos jamás en el
cleartext.
Las entradas de Kerberos tienen los parámetros específicos de vidas y uso. Una vez que
una entrada expira, el cliente debe solicitar que una renovación o una nueva entrada para
continuar comunicaciones con un camarero.
Las limitaciones del kerberos
Kerberos es un mecanismo versátil de autenticación que puede ser utilizado sobre LANs
locales, entradas a sistemas locales, el acceso remoto, y los pedidos del recurso de
cliente-administrador. Sin embargo, Kerberos tiene un solo punto de fracaso— el KDC. Si
el KDC es cedido jamás, entonces la llave secreta de cada sistema en la red es cedida
también. También, si el KDC va desconectado, ninguna autenticación sujeta es posible.
Hay otras limitaciones o los problemas con Kerberos:
El diccionario y los ataques brutos de la fuerza en la respuesta inicial de KDC a un
cliente pueden revelar la contraseña del sujeto.
Las entradas publicadas son almacenadas en la memoria en el cliente y el
camarero.
Los sujetos maliciosos pueden volver a poner entradas capturadas si ellos son
vueltos a emplear dentro de su ventana de la vida.
22
Técnicas del acceso de control
Una vez que un sujeto ha sido identificado y ha sido autenticado y la responsabilidad ha
sido establecida, ellos deben ser autorizados a conseguir acceso a los recursos o realizar
las acciones. La autorización puede ocurrir sólo después de que la identidad del sujeto
haya sido verificada por la autenticación. Los sistemas proporcionan la autorización por el
uso de controles de acceso. Los controles del acceso manejan el tipo y la extensión de
sujetos de acceso tienen que a objetos. Hay dos categorías primarias de técnicas de
control de acceso: discrecional y no discrecional. No discrecionalidad puede ser
subdividido aún más en técnicas específicas, tal como obligatorio, papel-basó, los
controles del acceso de tarea-basada.
Un sistema que emplea los controles discrecionales del acceso permite el dueño o a
creador de un objeto para controlar y definir el acceso sujeto a que se opone. Es decir, el
control del acceso es basado en la discreción del dueño.
Por ejemplo, si un usuario crea un nuevo archivo de la hoja de cálculo, ellos son el dueño
de ese archivo. Cuando el dueño del archivo, ellos pueden modificar los permisos en ese
archivo para otorgar o negar el acceso a otros sujetos. Además, el acceso es controlado
basado en la identidad de usuario. Los controles discrecionales del acceso a menudo son
aplicados utilizando las listas del control del acceso (ACLs) en objetos. Cada ACL define
los tipos del acceso otorgado o restringido al individuo o sujetos agrupados. El control
discrecional del acceso no ofrece un sistema centralmente controlado de la administración
porque dueños pueden alterar el ACLs en sus objetos. Así, el acceso es más dinámico
que está con controles obligatorios de acceso. Los controles del acceso de no
discrecionalidad son utilizados en un sistema regla-basado en el que un conjunto de
reglas, las restricciones, o los filtros determinan lo que puede y no puede ocurrir en el
sistema, tal como otorgando el sujeto el acceso, realizando una acción en un objeto, o en
conseguir acceso a un recurso. Conseguir acceso a no es basado en la discreción de
administrador ni dueño y no es enfocado en la identidad de usuario. Sino, el acceso es
manejado por un conjunto constante de las reglas que gobierna el ambiente entero. Los
controles obligatorios del acceso se fían del uso de etiquetas de clasificación. Los sujetos
son marcados por su nivel del espacio libre. Los objetos son marcados por su nivel de la
clasificación o la sensibilidad. Por ejemplo, el ejército utiliza las etiquetas del secreto
primero, el secreto, confidencial, sensible pero no clasificado (SBU), y no clasificado. En
23
un sistema obligatorio del control del acceso, los sujetos pueden conseguir acceso a
objetos que tienen el mismo o un nivel más bajo de la clasificación.
Una expansión de este método del control del acceso es conocida como la necesidad a
sabe. Los sujetos con niveles más altos de espacio libre son otorgados el acceso a
recursos sumamente sensibles sólo si sus tareas del trabajo requieren tal acceso. Si ellos
no tienen la necesidad de saber, incluso si ellos tengan el espacio libre suficiente, ellos
son negados el acceso. El uso de etiquetas de seguridad en controles obligatorios de
acceso presenta algunos problemas interesantes. Primero, para un sistema obligatorio del
control del acceso para funcionar, cada sujeto y se opone debe tener una etiqueta de la
seguridad. Dependiendo del ambiente, etiquetas de seguridad pueden referirse a la
sensibilidad, la clasificación, el proyecto, etcétera. La seguridad militar marca la gama
más temprano mencionada de la sensibilidad más alta a más bajo: el secreto primero, el
secreto, confidencial, sensible pero no clasificado (SBU), y no clasificado. Las etiquetas
comunes, corporativas o comerciales de la seguridad son confidenciales, propietarias,
privadas, sensibles, y públicas. Las clasificaciones de la seguridad indican una jerarquía
de la sensibilidad, pero cada nivel es claro.
Los sistemas que emplean los controles papel-basados o tarea-basados del acceso
definen la habilidad de un sujeto para conseguir acceso a un objeto por el uso de papeles
sujetos (es decir, las descripciones del puesto) o las tareas (es decir, las funciones del
trabajo). Si un sujeto está en una posición de la administración, ellos tendrán el acceso
más grande a recursos que alguien que está en una posición temporaria. Los controles
del acceso de papel-basó son útiles en ambientes con cambios frecuentes de personal
porque acceso es basado en una descripción del puesto (es decir, un papel o la tarea)
antes que en una identidad del sujeto.
Los papeles y los grupos sirven un propósito semejante, pero ellos son diferentes en su
despliegue y el uso. Ellos son semejantes en que los dos sirven como contenedores para
reunir a usuarios en unidades manejables. Sin embargo, un usuario puede ser un
miembro de más de un grupo. Además de reunir los derechos y los permisos de cada
grupo, una cuenta individual de usuario puede tener también los derechos y los permisos
asignaron directamente a ello. Cuándo papeles son utilizados, un usuario puede tener
sólo un solo papel. Los usuarios tienen sólo los derechos y permisos asignaron a ese
papel y no hay los derechos ni los permisos individualmente asignados adicionales.
24
Algunos controles no discrecionales pueden ser marcados los controles como enrejado-
basados del acceso. Los controles del acceso de enrejado-basó definen superior y más
bajo salta del acceso para cada relación entre un sujeto y se opone. Estas fronteras
pueden ser arbitrarias, pero ellos siguen generalmente el ejército o los niveles
corporativos de etiqueta de seguridad. Un sujeto con los permisos del enrejado mostrados
en la Figura 1,3 tiene acceso a recursos hasta privado y hacia abajo a sensible pero no
tiene acceso a recursos confidenciales, propietarios ni públicos. Los sujetos bajo controles
enrejado-basados de acceso son dichos tener lo menos superior atado y el bajar más
grande salta del acceso a objetos marcados basados en su posición asignada del
enrejado. Un ejemplo común de un control del acceso de enrejado-basó es un control
obligatorio del acceso.
FIGURA 1.3
Metodologías e implementación del acceso de control
Hay dos metodologías primarias del control del acceso: centralizó y descentralizó (o
distribuyó). El control centralizado del acceso implica que toda comprobación de la
autorización es realizada por una sola entidad dentro de un sistema. El control
descentralizado del acceso, o el control distribuido del acceso, implica esa comprobación
de la autorización es realizada por varias entidades localizadas a través de un sistema.
Acceso de control centralizado y descentralizado
Las metodologías centralizadas y descentralizadas del control del acceso ofrecen los
beneficios y los inconvenientes que ofertas centralizadas o descentralizadas de sistema.
El control centralizado del acceso puede ser manejado por un pequeño equipo o un
individuo. Administrativo de arriba es más bajo porque todos cambios son hechos en una
25
sola ubicación. Un solo cambio afecta el sistema entero. Sin embargo, el control
centralizado del acceso tiene también un solo punto del fracaso. Si los elementos de
sistema no pueden conseguir acceso al sistema centralizado del control del acceso,
entonces sujeto y objetos no pueden interactuar. Dos ejemplos del acceso de control
centralizado son Remote Authentication Dial-In User Service (RADIUS) y Terminal
Access Controller Access Control System (TACACS).
El control descentralizado del acceso a menudo requiere varios equipos o múltiples a
individuos. Administrativo de arriba es más alto porque los cambios deben ser aplicados
en numerosas ubicaciones. Mantener la homogeneidad a través del sistema llega a ser
más difícil como el número de aumentos de puntos de control de acceso. Los cambios
hicieron a un afecto individual del punto del control del acceso sólo aspectos de los
sistemas que se fían de ese punto específico del control del acceso. El control
descentralizado del acceso no tiene un solo punto del fracaso. Si un punto del control del
acceso falla, otros puntos del control del acceso pueden poder equilibrar la carga hasta
que el punto del control sea reparado, más objetos y sujetos que no se fían del punto
fallado del control del acceso puede continuar interactuar normalmente. Los dominios y la
confianza son utilizados comúnmente en sistemas descentralizados de control de acceso.
Un dominio es un reino de la confianza o una colección de los sujetos y los objetos que
comparten una política común de la seguridad. Cada control del acceso del dominio es
mantenido independientemente de eso para otros dominios. Esto tiene como resultado el
control descentralizado del acceso cuando múltiples dominios son implicados. Para
compartir los recursos de un dominio a otro, una confianza es establecida. Una confianza
es simplemente un puente de seguridad que es establecido entre dos dominios y permite
a usuarios de un dominio para conseguir acceso a los recursos en otro. Las confianza
pueden ser de un solo sentido únicas o ellos pueden ser la dos-maneras.
RADIUS y TACACS
El Servicio remoto del Usuario del Esfera-En de la Autenticación (RADIO) es utilizado
para centralizar la autenticación de conexiones remotas de marcado. Una red que emplea
a un camarero de RADIO es configurada tan el camarero remoto de acceso pasa
marcado entrada a sistema de usuario credencial al camarero del RADIO para la
autenticación. Este proceso es semejante al proceso utilizado por clientes de dominio que
mandan entrada a sistema credencial a un director del dominio para la autenticación. El
26
uso de un camarero de la autenticación, tal como RADIO o TACACS, eso es separado del
sistema remoto primario de camarero de acceso proporciona el beneficio de mantener
auditar y escenarios de acceso en un sistema de otra manera que el camarero remoto del
acceso, así proporcionando la seguridad más grande.
El RADIO es definido en RFC 2138. Es utilizado principalmente proporcionar una capa
adicional de la protección contra intrusiones sobre conexiones de marcado. El RADIO
sostiene la seguridad dinámica de contraseñas y reclamación. Actúa como poderes para
el cliente remoto porque actúa a favor del cliente para obtener la autenticación en la red.
El RADIO actúa como a un cliente para la red solicitando la autenticación en mucha la
misma manera como un cliente típico hace. Debido al éxito de RADIO, una versión
aumentada de RADIO denominó el DIAMETRO fue desarrollado; es diseñado para el uso
en todas formas de conectividad remota, no apenas marcado.
El Sistema terminal del Control del Acceso del Director del Acceso (TACACS) es una
alternativa al RADIO. TACACS está disponible en tres versiones: TACACS original,
XTACACS (Extendió TACACS), y TACACS +. TACACS integra los procesos de la
autenticación y la autorización. XTACACS mantiene la autenticación, la autorización, y los
procesos de contabilidad separan. TACACS + mejora XTACACS agregando el dos
factores la autenticación. TACACS y el RADIO operan semejantemente, y TACACS
proporciona la misma funcionalidad como RADIO. Sin embargo, el RADIO es basado en
un estándar del Internet, mientras que TACACS es más propietario (aunque
extensamente utilizado) la solución. TACACS es definido en RFC 1492.
Administración del Control de Acceso
La Administración de control de Accesos es un conjunto de tareas y deberes asignados a
un administrador para gestionar las cuentas de los usuarios, los accesos y
responsabilidades. Un sistema de seguridad esta basado en una efectiva administración
de control de accesos. Es importante recordar que el control de accesos se sostienen
sobre cuatro principios: Identificación, autentificación, autorización y responsabilidades.
En relación a la administración de control de acceso, estos principios se transforman en
tres responsabilidades principales.
Gestión de Cuentas de Usuarios
27
Seguimiento de actividades
Gestión de derechos y permisos de accesos
Administración de Cuentas
La gestión de cuentas de usuarios incluye la creación, mantenimiento y cerrado de la
cuenta del usuario.
Aunque estas actividades parezcan mundanas, son esenciales para las capacidades del
control de acceso al sistema. Sin la apropiada definición y mantenimiento de las cuentas
de los usuarios, el sistema esta inhabilitado para establecer una identidad, realizar la
autentificación, aprobar autorizaciones, o hacer seguimiento de las responsabilidades.
Creando nuevas Cuentas
La Creación de nuevas cuentas de usuarios es un simple proceso sistemáticamente, pero
debe ser protegido o asegurado con procedimientos organizacionales de políticas de
seguridad. Las cuentas de los usuarios no deben ser creadas por capricho de un
administrador o por el requerimiento de cualquiera. Al contrario, se debe seguir un
procedimiento riguroso que fluya desde los procesos de ingreso de nuevo personal y las
promociones del departamento de RH.
El departamento de RH debe hacer un requerimiento formal de una nueva cuenta de
usuario para un empleado nuevo. Ese requerimiento debe incluir la clasificación o nivel de
seguridad que deba ser asignado a la nueva cuenta de usuario de un empleado.
El Gerente del departamento del nuevo empleado y el administrador de la seguridad de la
organización deben verificar las asignaciones de seguridad. Solamente una vez verificado
el requerimiento, se debe crear la nueva cuenta del usuario. La creación de cuentas de
usuarios fuera de las políticas y procedimientos de seguridades establecidas simplemente
crean huecos y descuidos que pueden ser aprovechados por sujetos maliciosos. Se debe
seguir un proceso similar para incrementar o decrementar el nivel de seguridad asignados
a una cuenta de usuario ya existente.
Como parte del proceso de contratación, los empleados deben ser entrenados sobre las
políticas y procedimientos de la organización. Antes que el contrato sea completo los
28
empleados nuevos deben firmar una carta de compromiso para mantener los estándares
organizacionales de seguridad. Muchas organizaciones han optado por tener un
documento que indique que la violación de políticas de seguridad se vuelve argumento
para un despido, así como un procesamiento bajo Leyes Federales, del estado o locales.
Cuando se pase la cuenta ID y el password temporal a un empleado nuevo, se debe
revisar que exista una revisión de la política de password y un uso aceptable de
restricciones.
La creación inicial de la cuenta de un nuevo usuario es constantemente llamado un
“enrollment” o “inscripción”. El proceso de “enrollment” crea la nueva identidad y establece
los factores que el sistema necesita para elaborar la autentificación. Es crítico que el
proceso de “enrollment” se complete de manera completa y exacta. También es crítico
que la identidad del individuo enrolado sea probada por cualquier manera que la
organización considere suficiente y necesaria. La foto ID, el certificado de nacimiento,
revisión de background, revisión de créditos, verificación de la seguridad, búsqueda en la
BD del FBI y hasta llamar a referencias son todas formas validas de verificación de
identidad de personas antes de enrolarlo dentro del sistema seguro de la organización.
Mantenimiento de la Cuenta
A través de toda la vida de la cuenta del usuario, se debe mantener un constante
mantenimiento. Organizaciones con jerarquías bastantes estáticos, con planes de
incentivos y promociones bajas para el empelado, van a tener unas mucho menores
administraciones de cuentas que una organización con jerarquía flexible, dinámica y
planes altos de incentivos y promociones. Muchos acuerdos de mantenimiento de cuentas
tienen que lidiar con alteración de derechos y privilegios. Procedimientos similares a los
usados en la creación de cuentas deben ser establecidas para gobernar como el acceso
es cambiado a través de la vida de la cuenta del usuario. Un aumento o decremento
desautorizado en las capacidades de accesos de las cuentas pueden traer repercusiones
serias de seguridad.
Cuando un empleado ya no esta presente en la organización, su cuenta de usuario debe
ser deshabilitado, borrado o revocado. Siempre que sea posible, esta tarea debe
automático y atado al departamento de RH. En muchos casos cuando el cheque de pago
de la persona se detiene, esa persona ya no debe tener capacidad de poder logearse o
conectarse. Los empleados temporales o de corto plazo, deben tener una fecha de
expiración especifica programado dentro de la cuenta del usuario. Esto mantiene un grado
29
de control establecido a la hora de la creación de la cuenta sin requerir descuido
administrativo en curso.
Cuenta, registro, y supervisión del diario
La auditoria de la cuenta, seguimiento de la cuenta y monitoreo del sistema son también
aspectos importantes de la gestión de control de acceso. Sin esas capacidades, no sería
posible mantener temas importantes. A lo largo del establecimiento de la identidad,
autentificación y autorización, seguimiento de actividades de temas (incluyendo cuantas
veces se accede a cierto objeto) ofrece una responsabilidad directa y especifica, Auditar y
monitorear como aspecto de operaciones de seguridad y como un elemento esencial de
un ambiente seguro son discutidos en el capitulo 14 “Auditando y Monitoreando”.
Derechos y Permisos de Acceso
Asignar permisos a objetos es una parte importante en la implementación de una política
de seguridad organizacional. No todos los sujetos deben tener permisos para todos los
objetos. No todos los sujetos deben tener las mismas capacidades funcionales sobre un
objeto. Algunos sujetos específicos deben acceder solamente algunos objetos; del mismo
modo ciertas funciones deben ser accesibles solo por algunos sujetos específicos.
El principio del menos privilegiado
El principio del menos privilegiado se presenta en una estructura compleja que resulta
cuando a los sujetos se les conceden el acceso a objetos. Este principio dice que el
sujeto debe contar solamente con la cantidad de accesos a objetos que sean requeridos
para completar sus tareas asignadas. Este principio nos dice que debe seguirse como
sigue: los sujetos deben ser bloqueados de acceder objetos que no son requeridos por
sus tareas de trabajo.
Un principio relacionado con el reino de los ambientes obligatorios de control de accesos
es conocido como “Need-to-Know” que significa, “Necesidad de saber”. Dentro de
específicos niveles de seguridad y dominios de seguridad, algunos activos y recursos
pueden seccionarse o dividido en compartimientos. Dichos recursos son restringidos de
accesos generales aún a esos sujetos con suficientes responsabilidades. Dichos recursos
segmentados requieren un nivel adicional de accesos aprobados formalmente antes que
30
puedan ser usados por el sujeto. A los sujetos solo se les pueden conceder accesos
cuando pueden justificar la relación entre sus tareas de trabajo diarios con los accesos o
con su necesidad de saber (“Need_2_know”). Muchas veces, la necesidad de saber es
definida por un dominio supervisor y es concedido solamente por un periodo limitado de
tiempo.
Determinar que sujetos tienen acceso a que objetos es una función de la política de
seguridad organizacional, la jerarquía organizacional del personal y la implementación de
un modelo de control de acceso. Así, el criterio para establecer o definir accesos pueden
ser basados en identidades, roles, reglas, clasificaciones, locaciones, tiempo, interfaces,
necesidad de saber (“Need-to-know”), y mas.
Usuarios, Dueños y Custodios
Cuando se discuten accesos a objetos, tres temas básicos son usados: usuario, dueño y
custodio. Un usuario es cualquier sujeto que accede a objetos en el sistema para poder
desarrollar algunas acciones o lograr realizar tareas de trabajo. Un dueño o un dueño de
la información, es la persona que tiene responsabilidades corporativas finales para
clasificado y etiquetado de objetos}; protección y guardado de datos. El dueño puede
sentirse obligado por negligencia si falla en desarrollar las diligencias que se le asignaron
para establecer y reforzar la política de seguridad para proteger y sostener datos
sensibles. Un custodio es un sujeto que ha sido asignado o delegado la responsabilidad
diaria de guardado apropiado y protección de objetos.
Un usuario es cualquier usuario final del sistema. El dueño es típicamente el CEO,
presidente, o la cabeza del departamento. El custodio es típicamente el staff de IT o el
Administrador de la Seguridad del Sistema.
La separación de deberes y responsabilidades es una práctica común que previene que
cualquier sujeto individual sea capaz de inhabilitar mecanismos de seguridad. Cuando las
responsabilidades de un administrador importante o altas autoridad se dividen entre varios
sujetos, ninguno tiene suficientes accesos para desarrollar actividades maliciosas
significantes o cruzar controles de seguridad impuestas. Separar los deberes crea un
sistema seguro y balanceado donde múltiples sujetos verifican la acción de cada uno y
deben trabajar en alineados para alcanzar realizar el trabajo de las tareas asignadas. La
separación de deberes hace que la realización de actividades maliciosas, fraudulentas o
desautorizadas sea mucho más difícil de realizar y facilita el alcance de detectar y
reportarlos. Es fácil para un individuo realizar un acto desautorizado si piensan que
31
pueden salir libres de culpa. Una vez que uno o mas personas se encuentran
involucradas, el comité de actividades desautorizadas requiere que cada persona acepte
mantener en secreto. Esto típicamente sirve como un impedimento significativo mucho
mas que poder tener un grupo de masa corrupta.
Resumen
El primer dominio de CISSP CBK es el de Metodologías y Sistemas de Control de Acceso.
Controles de Acceso son centrales para el establecimiento de un sistema seguro. Se basa
en identificación, autentificación, autorización y responsabilidades. Los Controles de
Acceso son de gestión, administración e implementación de concesión y restricción de
accesos de objetos a sujetos.
El primer paso en Control de Accesos es verificar las identidades de sujetos en el sistema,
comúnmente llamado autentificación. Hay numerosos métodos disponibles para
autentificar sujetos, incluyendo password y frases, scanners biométricos, tokens y tickets.
Una vez que el sujeto es autentificado, su acceso debe ser gestionado (autorización) y
sus actividades deben encontrarse registrados en un log, así la persona puede ser
considerado responsable por las cuenteas de acciones online de los usuarios.
Hay varios modelos de control de acceso o autorización. Estas incluyen controles de
acceso de discrecionalidad y no discrecionalidad. Hay al menos tres subdivisiones
importantes de controles de accesos no discrecionales: control de acceso obligatorio,
basado en roles y basado en tareas.
Los Accesos pueden ser manejados por una red una sola vez. Esos sistemas son
conocidos como soluciones de Single-Sign-On. Clientes con accesos remotos poseen
retos únicos para una seguridad LAN y generalmente requieren herramientas
especializadas como RADIUS o TACACS.
Finalmente, una vez que estos sistemas están posicionados de manera correcta, deben
ser mantenidos. No hace mucho provecho arreglar la seguridad solamente para dejarlo
sin cambio alguno. Roles apropiados deben ser asignados y un mantenimiento de objetos
son aspectos claves para mantener un sistema seguro a través del tiempo.
Esenciales del Examen
Entender la Triada de la CIA. La triada de la CIA abarca confidencialidad, integridad y
disponibilidad. Confidencialidad envuelve el asegurar que cada aspecto del sistema es
propiamente asegurado y accesible solo a los sujetos que lo necesitan. Integridad
32
asegura que los objetos del sistema son acertados y confiables. Disponibilidad asegura
que el sistema se comporta de manera óptima y que sujetos autentificados pueden
acceder a los objetos del sistema cuando lo necesitan.
Conocer las Técnicas comunes de Control de Accesos. Técnicas Comunes de Control de
Acceso incluyen discrecionalidad, obligatoriedad, no discrecionalidad, basado en reglas,
basado en roles, y basado en enrejad. Controles de acceso. Son usados para manejar el
tipo y grado de accesos de sujetos a los objetos, lo que es una parte importante del
sistema de seguridad porque por esto estos controles definen quien tiene acceso a que.
Entender la Administración de Controles de Acceso, La creación segura de nuevos
usuarios, el manejo y mantenimiento continuo de las cuentas de los usuarios,
auditando/registrando/monitoreando las actividades de los sujeto, asignando y manejando
accesos de los sujetos son importantes aspectos para mantener un sistema seguro.
Seguridad es una tarea continua y su administración es como mantienes un sistema
seguro a través del tiempo.
Conocer detalles acerca de cada modelo de control de acceso, Hay dos categorías
principales de técnicas de control de acceso: discrecionales y no discrecionales. No
discrecionales pueden ser divididos en técnicas especificas, como los accesos de
controles mandatarias, basados en roles y basados en tareas.
Entender el proceso de identificación y factores comunes de identificación, Los procesos
de identificación incluyen identificación de reclamo de cuenta usando un username, ID de
usuario, PIN, smart card, factores biométricos y muchos mas. Son importantes porque
identificación es el primer paso autentificando la identidad de un sujeto y apropiados
derechos de accesos a objetos.
Entender el proceso de autentificación y los diversos factores de autentificación,
Autentificación envuelve la verificación de el factor de autentificación brindado por el
sujeto contra el factor de autentificación guardado para reclamar la identidad, lo cual
puede incluir passwords, biométricas, tokens, tickets, SSO y muchos más. En otras
palabras, el proceso de autentificación asegura que el sujeto es quien dice ser y permite
los derechos acordados a los objetos.
Entender el proceso de Autorización, Autorización asegura que la actividad requerida o el
acceso a objeto es posible dado los privilegios y derechos asignados a la identidad
autentificada. Es importante porque mantiene seguridad proveyendo apropiados derechos
de acceso para sujetos.
33
Entender las fuerzas y debilidades del password, Los usuarios típicamente escoge
passwords que son fácilmente recordados y por esta razón son fácilmente adivinados o
crackeados esto es una debilidad asociada con los passwords. Otra es que los passwords
generados al azar son difíciles de recordar, aún cuando muchos usuarios los anotan.
Passwords son compartidos con facilidad y pueden ser robados para muchos propósitos.
Adicionalmente, passwords son muchas veces trasmitidos en textos claros o con
encriptaciones con protocolos fácilmente deducibles, y las bases de datos de passwords
pueden ser descubiertas rápidamente con ataques de fuerza bruta. Por otra parte,
passwords pueden ser efectivos si se selecciona de manera inteligente y se manejan
apropiadamente. Es importante cambiar el passwords frecuentemente; mientras mas
seguido se usa el mismo passwords, serà mucho mas fácil podrá ser comprometido o
descubierto.
Conocer las dos metodologías de control de acceso y los ejemplos de implementación,
Las metodologías de control de acceso incluyen accesos de control centralizados, cuya
verificación de la autorización es desarrollada por una entidad sola e independiente con el
resto del sistema, los controles descentralizados cuya verificación de autorización es
desarrollada por varias entidades locales al sistema. Mecanismos de autentificación
remota como RADIUS y TACACS son ejemplos implementados; usados para centralizar
la autentificación de conexiones remotas.
Entender el uso de Biométricas, Factores Biométricos son usados para identificación o
autentificación. FRR, FAR y CER son importantes aspectos de herramientas biométricas.
Huellas digitales, escaneado de rostro, escaneado de iris y retina, topografía de palmas,
palmas geográficas, patrones de pulso cardiaco, patrones de voz, firmas dinámicas y
patrones de golpe de teclado son comúnmente usados aparte de otros factores de
autentificación como los passwords, que proveen un método adicional de control de
autentificación a sujetos.
Preguntas de Revisión
1. ¿Que es Acceso?
A. Funciones de un Objeto
B. Flujo de Información de objetos a sujetos
C. Admisión sin restricciones a sujetos al sistema
D. Administración de ACLs.
34
2. ¿Cuál de los siguientes es Verdadero?
A. Un sujeto es siempre una cuenta de usuario
B. El sujeto siempre es la entidad que provee o guarda la información o datos.
C. El sujeto siempre es la entidad que recibe información o datos acerca o de un objeto.
D. Una entidad independiente nunca puede cambiar de roles entre sujetos y objetos.
3. ¿Cuáles son los elementos de una Triada de la CIA?
A. Confidencialidad, Integridad y Disponibilidad.
B. Confidencialidad, Interés y Accesibilidad.
C. Control, Integridad y Autentificación.
D. Cálculos, Interpretación y Responsabilidades. .
4. ¿Cuáles de los siguientes tipos de control de acceso usan cercas, políticas de
seguridad, entrenamiento de conocimiento de seguridad y software antivirus para detener
una actividad no deseada o no autorizada que suceda?
A. Preventiva
B. Detective
C. Correctiva
D. Autoritaria
5.__________________ Controle de acceso son los mecanismos de hardware y software
usados para manejar los accesos a recursos y sistemas y para proveer una protección
para esos recursos y sistemas.
A. Administrativa
B. Lógica/Técnica
C. Física
D. Preventiva
6. ¿Cual es el primer paso para Control de Accesos?
A. Registros de Log de Responsabilidades
B. Verificación ACL
C. Autorización de Sujetos
D. Identificación del Sujeto
35
7. _________________ es el proceso de verificar o testear la validación de una identidad
reclamada.
A. Identificación
B. Autentificación
C. Autorización
D. Responsabilidades
8. ¿Cual de los siguientes es un ejemplo del Tipo 2 de Factor de Autentificación?
A. Algo que posees, como una smart card, Tarjeta ATM, Artefacto Token y una tarjeta de
memoria.
B. Algo que tu eres, como la huella digital, la voz, patrones de retina, patrones de iris,
forma de la cara, topología de palmas y geometría de la mano.
C. Algo que haces, como una frase clave, firma de tu nombre y una oración hablada.
D. Algo que sabes, como un password, numero de identificación personal (PIN),
combinación de lock, frase clave, nombre de soltera de la madre y color favorito.
9. ¿Cual de los siguientes no es una razón del porque usar solamente passwords es un
mecanismo pobre de seguridad?
A. Cuando sea posible, usuarios eligen paswords fáciles de recordar, por lo que son
fáciles de adivinar o crackear.
B. Los passwords generados de manera aleatoria, son difíciles de recordar, y por eso
muchos usuarios prefieren escribirlos o anotarlos en algún lado.
C. Passwords cortos pueden ser descubiertos fácilmente con ataques de fuerza bruta solo
cuando son usados contra paswords robados del archivo de la base de datos.
D. Passwords pueden ser robados por diferentes razones, incluyendo la observación,
grabado y reproducción y robo de la Base de Datos de seguridad
10. ¿Cuál de los siguientes no es una manera valida de mejorar la seguridad ofrecida por
una autentificación de Password?
A. Permitir el control de cierres de las cuentas
B. Reforzar una política razonable de seguridad
C. Usando herramientas de verificación de password y herramientas de crackeado de
passwords contra tu propio archivo de base de datos de passwords
D. Permitir a los usuarios reusar el mismo password.
36
11. ¿Cual puede ser usado como un factor de autentificación que es una característica de
comportamiento o psicológicamente única para cada sujeto?
A. ID de cuenta.
B. Factor Biometrico
C. Token
D. IQ
12. ¿Como un Crossover Error Rate (CER) para un artefacto biométrico indica?
A. La sensibilidad marca muy alto.
B. La sensibilidad marca muy bajo.
C. El Ratio de Falso Rechazo y Falsa aceptación son iguales
D. El artefacto Biométrico no está propiamente configurado
13. ¿Cual de los siguientes no es un ejemplo de un mecanismo SSO?
A. Kerberos
B. KryptoKnight
C. TACACS
D. SESAME
14. _______________ Control de acceso que se sostiene del uso de etiquetas
A. Discrecionalidad
B. Basado en Roles
C. Mandatario
D. No discrecional
15. ¿Un ambiente de red que usa accesos de control discrecionales es vulnerable a cual
de los siguientes?
A. SYN flood
B. Personificación
C. Negado de Servicio
D. Ataque de Cumpleaños
37
16. ¿Cual es el aspecto mas importante del artefacto biométrico?
A. Exactitud
B. Aceptabilidad
C. Tiempo de Inscripción
D. Invasión
17. ¿Cual de los siguientes no es un ejemplo de un impedimento de control de acceso?
A. Encriptación
B. Auditar
C. Entrenamiento de prevención
D. Software Antivirus
18. Kerberos provee de servicios de seguridad de _____________________ protección
para tráfico de autentificación
A. Disponibilidad y no reputación
B. Confidencialidad y autentificación
C. Confidencialidad e integridad
D. Disponibilidad y Autorización
19. ¿Cual de los siguientes formas de autentificación provee una seguridad mas fuerte?
A. Password y PIN
B. Passwords de One Time
C. Frase Clave y Smart Card
D. Huella Digital
20. ¿Cuál de las siguientes es la menos aceptable para artefactos biométricos?
A. Escáner de Iris
B. Escáner de Retina
C. Huella Digital
D. Geometría Facial,
38
Respuesta a las Preguntas de Revisión
1. B. La transferencia de Información desde un objeto a un sujeto es llamado Acceso.
2. C. El sujeto siempre es la entidad que recibe la información acerca de los datos
desde el objeto. El sujeto es también la entidad que altera la información acerca o
guarda datos dentro del objeto. El objeto es siempre la entidad que provee o
guarda la información o datos. Un sujeto puede ser un usuario, un programa, un
proceso, un archivo, una computadora, una base de datos y más. Los roles de
sujetos y objetos puede cambiar como dos entidades, como programas y una base
de datos o un proceso y un archivo, comunica para alcanzar realizar una tarea.
3. A. Los principios esenciales de seguridad de Confidencialidad, integridad y
disponibilidad son casi siempre referidos como CIA Triadas.
4. A. un acceso de control preventivo es elaborado para detener una actividad
desautorizada o no deseada que esta por ocurrir. Ejemplos de un acceso de
control preventivo incluye barreras, políticas de seguridad, entrenamiento de
prevención de la seguridad y software y hardware antivirus.
5. B. accesos de control Lógico/Técnico son mecanismos de hardware y software
usados para manejar accesos a recursos y sistemas y para proveer protección
para aquellos recursos y sistemas. Ejemplos de controles de acceso lógico o
técnicos incluyen encriptación, smart cards, passwords, biométricas, interfaces
limitadas, listas de controles de acceso, protocolos, firewalls, routers, sistemas de
detección de intrusión y niveles de clipping.
6. D. Controles de acceso gobernados por accesos de usuarios a objetos. El primer
pase en este proceso es identificar quien es el sujeto. De hecho, hay varios pasos
precediendo accesos reales de objetos: identificación, autentificación, autorización
y responsabilidad.
7. B. El proceso de verificar o testear la validación de la identidad reclamada por el
usuario es llamada autentificación.
8. A. Un factor de autentificación de tipo 2 es algo que tienes. Esto puede incluir a
smart card, ATM card, dispositivos token, y tarjetas de memoria.
9. C. Ataques de fuerza Bruta puede ser usados contra archivos de bases de datos
de passwords y avisos de logon al sistema.
10. D. Prevenir el reuso de passwords aumenta la seguridad previniendo el robo de
antiguos archivos de bases de datos de passwords, que pueden ser usadas contra
un password actual del usuario.
39
11. B. un factor biométrico es una característica de comportamiento o psicológica que
es única a un sujeto, tal como huellas digitales y escáner de cara.
12. C. El punto en que FRR y FAR son iguales es conocido como Crossover Error
Rate (CER). El nivel de CER es usado como un punto de estándar grave donde se
mide el comportamiento de un dispositivo biométrico.
13. C. Kerberos, SESAME y KryptoKnight son ejemplos de mecanismos SSO.
TACACS es un servicio de autentificación centralizada usada para accesos de
clientes remotos.
14. C. Accesos de control mandatarios se apoyan en el uso de etiquetas. Un sistema
que emplea control de accesos discrecionales permite al usuario o creados de un
objeto controlar y definir accesos de sujeto al objeto. Controles de acceso no
discrecionales son también llamados controles de acceso basados en roles.
Sistemas que emplean controles de acceso no discrecional definen una habilidad
del sujeto para acceder al objeto por medio del uso de roles de sujetos o tareas.
15. B. Un ambiente de control de acceso discrecional basado en identidades de
usuarios. Si la cuenta de un usuario es comprometida y otra persona usa la
cuenta, quedan personificando al dueño real de la cuenta.
16. A. El aspecto mas importante de un factor biométrico es la exactitud. Si un factor
biométrico no es exacto, puede permitir usuarios no autorizados al sistema.
17. D. Software Antivirus es un ejemplo de recuperación o corrección de accesos de
control.
18. C. Kerberos provee los servicios de seguridad de confidencialidad e integridad
protegiendo el tráfico de autentificación.
19. C. Una frase clave y una smart card provee de una autentificación más fuerte de
seguridad porque es solo una selección ofreciendo dos factores de seguridad.
20. B. De las opciones listadas, el escáner de retina es el menos aceptado de un
dispositivo biométrico porque requiere tocar un ojo y puede revelar problemas
personales de salud.
40
Capitulo 2Monitoreo y Ataques
Monitoreo
Mediante el monitoreo se pueden prevenir ataques no deseados en nuestro sistema,esto te puede ayudar para reconstruir eventos, proveer evidencia de persecución yproducir reportes y análisis. La auditoria y el registro log son características que propiasdel sistema operativo y la mayoría de servicios de aplicaciones.
Usar los archivos de logeo para detectar problemas es otro punto, en ciertos casoscuando el logeo y la auditoria es suficiente para monitorear el sistema, se acumulamucha cantidad de información, de los cuales cuando se realiza un resumen de loseventos establecidos, generalmente ciertos detalles son omitidos. Existen diferentesherramientas que nos ayudan a realizar un filtrado por eventos específicos o por ID decódigos. El arte de la reducción de data es crucial cuando se trabaja con gran cantidadde información obtenida de los registros. Las herramientas usadas para la extracción deinformación relevante, significante e importante se denominan DATA MINING TOOLS,como por ejemplo los IDS (intrusión detection system). La auditoria trata de evaluar elsistema para luego buscar la máxima performans del sistema.
Para mayor información acerca de la configuración y administración de auditoria yloggeo, ver el capitulo 14 (Auditoria y Monitoreo).
Detección de Intrusos (IDS)
Un sistema de detección de intrusos, es un producto que automatiza todos los procesosy eventos de loggeo y auditoria de logs. Los IDS son usados principalmente paradetectar intrusos , pero también puede ser empleado para detectar eventos o fallas delsistema, cuidando la performans del sistema. Los IDS vigilan la violación deconfidencialidad, integridad y disponibilidad. Los ataques reconocidos por el IDSpueden venir del exterior, así como los virus, código malicioso, accesos no autorizadosa información confidencial, etc.
Un IDS puede vigilar actividades sospechosas, uso de los archivo de loggeo, envió dealertas y mensajes al administrador cuando los eventos sospechosos son descubiertos,ciertos sistemas de archivos pueden ser bloqueados, identifica el origen de la violación.Un IDS puede ser activado en forma pasiva o hibrida. Un IDS activo afecta directamentelas actividades maliciosas en el trafico de red, las aplicaciones y el IDS pasivo no afectadirectamente el trafico malicioso, pero si realiza un registro de todos los eventos el cualva a ser notificado al administrador.
Generalmente un IDS es usado para detectar actividades no autorizadas o actividadesmaliciosas que son originados tanto dentro como fuera de una red confiable. La
41
capacidad para del IDS para detener o prevenir ataques es limitado. Las respuestas deun IDS contra un ataque puede incluir bloqueo de puertos, bloqueo de direcciones deorigen o deshabilitamiento de todas las comunicaciones en un segmento determinado oen toda la red.
La prevención de intrusos requiere una adecuada configuración en la seguridad y superformans, como por ejemplo el aplicar los parches adecuados a los sistemas deseguridad. Esto también abarca las respuestas al descubrimiento de intrusiones noautorizadas como lo seria, el levantamiento de barreras de seguridad para prevenir queocurra el mismo tipo de ataque en un futuro.
Host y Redes basadas en IDS
Existen dos tipos primarios de IDS, los host basados en IDS y redes basados en IDS.Un host basado en IDS vigila los eventos y actividades efectuadas en el mismo host.Las redes basadas en IDS vigilan todos los eventos y actividades efectuados en todo elmedio de red.
Host basados en IDS
Debido a que los IDS están enfocados en una única computadora, este puede examinarlos eventos con mucho mayor detalle que los IDS basados en Red. Un host basado enIDS esta en las condiciones de registrar los procesos y las actividades del empleado enrelación a los accesos no autorizadas a diferentes tipos de información catalogadacomo Información confidencial.
Los host basados en IDS pueden detectar anomalías que no son detectables por un IDSbasado en red, sin embargo no pueden detectar ataques en diferentes partes de la red,debido a que solo esta enfocado a la maquina, por lo tanto solo puede detectar ataquesenfocados al mismo host. Un IDS basado en host tiene la dificultad de detectar orastrear ataques de denegación de servicio, especialmente los que usan bastanteconsumo de ancho de banda. Este mismo consume bastante recursos de lacomputadora para ser monitoreada reduciendo notablemente la performans de lacomputadora.
Redes basadas en IDS
Las redes basadas en IDS detectan ataques o anomalías a través de la captura yevaluación de paquetes de la red. Una red basada en IDS es capaz de monitoreargrandes redes si es instalado en el backbone de la red, donde la mayoría de traficoocurre. Algunas versiones de IDS basados en red usan agentes remotos paracoleccionar información de subredes y tener una administración central de los reportes.El IDS puede también operar en modo steatlh, es decir sin que nadie se percate de sufuncionamiento, pero esto también afecta directamente a la performans de la red.
En las redes con gran volumen de tráfico, podría no ser adecuado levantar el IDS parano poder perjudicar el flujo de data. Los IDS basados en red, usualmente no funcionande manera adecuada en redes switcheadas, especialmente si los router no tienen
42
puertos de monitoreo. También es usado para monitorear el contenido del traficoencriptado durante la transmisión sobre el medio de red.
A menudo, las redes basadas en IDS pueden proveer algunas funcionalidades limitadaspara descubrir el origen de un ataque a través del protocolo de resolución dedirecciones reverso (RARP) o de un sistema de dominio de nombres (DNS). Sinembargo, la mayoria de ataques pueden ser efectuados por individuos maliciosos loscuales ocultan su identidad a través de spoofing, esta no es una capacidad del IDS.
Un IDS no debería de verse como una solución única de seguridad. Es solo una partede un ambiente de seguridad. Un IDS puede ofrecer numerosos beneficios, perotambién hay unos aspectos severos que tomar en cuenta.Un IDS basado en host nopuede estar en condiciones de examinar cada detalle de que si el sistema estatrabajando de forma ineficiente en el tiempo de ejecución de un proceso. Un IDSbasado en red puede tener el mismo problema si el trafico de red es alto y si existe unswitching ineficiente.
Detección basada en conocimiento y detección basada en el comportamiento
Existen dos maneras de cómo un IDS puede detectar eventos maliciosos. Una forma deesas es usar la detección basada en conocimiento. Esto es llamado deteccion basadaen firmas, o patter matching.
Basicamente, el IDS usa una base de firmas y empieza a probar todos los eventosmonitoriados. Si el evento concuerda el IDS asume que es un posible atacante. Un IDSusando la detección basada en conocimiento en muchas formas es lo mismo que haceun antivirus.
El primer punto de los IDS basados en conocimiento es que sea efectivo solo contramétodos de ataques conocidos. Los nuevos ataques o versiones sigilosas de ataquesconocidos a menudo van a ser irreconocidos por el IDS. Por lo contrario para este tipode problemas es mucho mas útil usar un archivos de firmas. Manteniendo el archivo defirmas es un aspecto mantener la mejor performance de un IDS basado enconocimiento.
El segundo tipo de detección es la basada en comportamiento, este es llamadodetección de intrusión estática, detección de anomalías y detección basada enheurística. Básicamente la detección basada en comportamiento busca las actividadesnormales y eventos de tu sistema a través del monitoreo y aprendizaje. Una vez que haacumulado suficiente información acerca de las actividades normales, esta puededetectar eventos anormales los cuales pueden ser posibles actividades maliciosas.
Un IDS basado en comportamiento puede ser llamado un sistema experto o un sistemade inteligencia artificial porque puede aprender y realizar acerca de los eventos. Enotras palabras puede funcionar como una persona experta evaluando correctamenteeventos contra los eventos conocidos. El problema de un IDS basados encomportamiento es que este produce muchas falsas alarmas.
43
Herramientas Relacionadas a un IDS
Los sistemas de detección de intrusos a menudo ofrecen servicios como el Money potsque están en computadoras individuales creados en toda la red para monitorear a losintrusos. Observan el comportamiento en toda la red, y también las vulnerabilidades deseguridad. Están diseñados para detectar intrusos mientras trabajo en backgroundmanteniéndose invisible a los usuarios.
El money pots plantea a la aplicación la opción de usar la trampa. Un money pots sepuede utilizar legalmente como dispositivo de la tentación si el intruso lo descubre sinningun esfuerzo exterior del dueño del money pots. Poner un sistema en el Internet convulnerabilidades abiertas de la seguridad y servicios activos con hazañas sabidas estentación. La trampa ocurre cuando el dueño del money pots solicita activamente avisitantes para tener acceso al sitio y después los carga con la intrusión desautorizada.Se considera ser trampa cuando usted trampea o anima un autor en la ejecución de unaacción ilegal o desautorizada. La tentación ocurre cuando la oportunidad para lasacciones ilegales o desautorizadas se proporciona pero las marcas del autor su propiadecisión para realizar la acción.
El sistema rellenado de la célula es similar a un money pots, pero realiza el aislamientode la intrusión usando diversos tipos de acercamiento. Cuando detecta a un intruso lasidentificaciones, transfieren al intruso automáticamente a una célula rellenada. La célularellenada tiene la mirada y la disposición de la red real, pero dentro de la célularellenada el intruso no puede realizar actividades malévolas y tampoco tiene acceso acualquier dato confidencial. Una célula rellenada es un ambiente simulado que ofrecedatos falsos para conservar el interés de un intruso. La transferencia del intruso en unacélula rellenada se realiza sin informar al intruso que ha ocurrido el cambio. Como unmoney pots, el sistema rellenado de la célula es supervisado y utilizado pesadamentepor los administradores para recolectar la evidencia para remontar y el procesamientoposible.
Otro tipo de herramienta Identificación-relacionada es un explorador de lavulnerabilidad. Los exploradores de la vulnerabilidad se utilizan para probar un sistemapara las vulnerabilidades y las debilidades sabidas de la seguridad. Se utilizan paragenerar los informes que indican las áreas o los aspectos del sistema que necesitan sermanejados para mejorar seguridad. Los informes pueden recomendar el aplicar deremiendos o la fabricación del ajuste específico de la configuración o de la seguridadcambia para mejorar o para imponer seguridad. Un explorador de la vulnerabilidad essolamente tan útil como su base de datos de las ediciones de seguridad. Así, la base dedatos debe ser actualizada del vendedor a menudo proporcionar una intervención útil desu sistema. El uso de los exploradores de la vulnerabilidad en la cooperación con IDSspuede ayudar a reducir positivos falsos por las identificaciones y a guardar el númerototal de intrusiones o de violaciones totales de la seguridad a un mínimo. Cuando lasvulnerabilidades descubiertas se remiendan rápidamente y a menudo, el sistemaproporciona un ambiente más seguro.
Código de campo cambiado
Código de campo cambiado
44
Prueba de Penetración
En términos de la seguridad, una penetración ocurre cuando un ataque es acertado y unintruso puede practicar una abertura el perímetro de su ambiente. La abertura puede sertan pequeña como leer algunos pedacitos de datos de su red o tan grande como entrarcomo usuario con privilegios sin restricción. Una de las metas fundamentales de laseguridad es prevenir penetraciones. Un método común para probar la fuerza de susmedidas de seguridad es realizar la prueba de penetración. La prueba de la penetraciónes una prueba tentativa que consiste en romper su red protegida usando cualquiermedio necesario. Es común para que las organizaciones empleen a consultoresexternos para realizar la prueba de penetración . Búsquedas de prueba de lapenetración para encontrar cualesquiera y todas las debilidades en su perímetroexistente de la seguridad. Una vez que se descubra una debilidad, las contramedidas sepueden seleccionar y desplegar para mejorar la seguridad del ambiente. Una diferenciasignificativa entre la penetración que prueba y que ataca real es que una vez que sedescubra una vulnerabilidad, la tentativa de la intrusión cesa antes de la vulnerabilidadestá explotada y estropea realmente el sistema. La prueba de la penetración se puederealizar usando las herramientas o las aplicaciones automatizadas de ataque o realizarmanualmente con utilidades de red comunes y scripting. El ataque automatizado fileteala gama de los exploradores profesionales de la vulnerabilidad a las herramientassalvajes, subterráneas de cracker/hacker descubiertas en el Internet. Las herramientastambién se utilizan a menudo para la prueba de la penetración realizada manualmente,pero mucho más responsabilidad se pone en saber perpetrar un ataque. La prueba dela penetración se debe realizar solamente con el consentimiento y el conocimiento delpersonal de la gerencia. La ejecución de la prueba desaprobada de la seguridad podíadar lugar a la pérdida de la productividad, equipos de la respuesta de la emergencia deldisparador, o aún le costó su trabajo. Las tentativas regularmente efectuadas de lapenetración son una buena manera exactamente de juzgar los mecanismos de laseguridad desplegados por una organización. La prueba de la penetración puedetambién revelar áreas donde están escasos los remiendos o los ajustes de la seguridady donde las nuevas vulnerabilidades se han convertido. Para evaluar su sistema, lasherramientas benchmarking y de prueba están disponibles para la transferencia directaen www.cisecurity.org. La prueba de la penetración se discute más lejos en el capítulo14.
Métodos de Ataque
Según lo discutido en el capítulo 1, una de las metas del control de acceso es prevenirel acceso desautorizado a los objetos. Esto incluye el acceso en un sistema (una red,un servicio, un puente de comunicaciones, una computadora, los etc.) o acceso a losdatos. Además del acceso que controla, la seguridad también se refiere a prevenir laalteración y el acceso desautorizados y a proporcionar disponibilidad constante(recuerde la tríada de la Cia del capítulo 1). Sin embargo, las entidades malévolas secentran en la violación del perímetro de la seguridad de un sistema para obtener elacceso a los datos, para alterar o para destruir datos, y para inhibir el acceso válido alos datos y a los recursos. Los medios reales por los cuales los ataques sonperpetrados varían grandemente. Algunos son extremadamente complejos y requierenel conocimiento detallado del victimized sistemas y técnicas de programación, otros sonextremadamente simples de ejecutar y requerir poco más que un IP address y lacapacidad de manipular algunas herramientas o escrituras. Pero aunque hay muchasdiversas clases de ataques, pueden ser agrupados generalmente en un puñado de
Con formato: Sin Resaltar
45
clasificaciones o de categorías. Éstas son las clases comunes o bien conocidas deataques o de metodologías del ataque:
_ Brute force and dictionary _ Denial of service _ Spoofing _ Man-in-the-middle attacks _ Spamming _ Sniffers _ Crackers
Fuerza Bruta y ataques de diccionarios
Los ataques de fuerza bruta y de diccionario se discuten a menudo juntos porque seemprenden contra la misma entidad: contraseñas. Cualquier tipo de ataque se puedeemprender contra un archivo de base de datos de la contraseña o contra un mensaje deconexión a la comunicación activo. Un ataque de la fuerza bruta es una tentativa dedescubrir las contraseñas para las cuentas del usuario sistemáticamente procurandocada combinación posible de letras, de números, y de símbolos. Con la velocidad decomputadoras modernas y la capacidad de emplear computar distribuido, los ataquesde la fuerza bruta están llegando a ser acertados incluso contra contraseñas fuertes.Con bastante tiempo, todas las contraseñas se pueden descubrir usando un método delataque de la fuerza bruta. La mayoría de las contraseñas de 14 caracteres o se puedendescubrir menos en el plazo de 7 días en un sistema rápido usando un programa delataque de la fuerza bruta contra un archivo de base de datos robado de la contraseña(el tiempo real toma para descubrir que las contraseñas son dependientes sobre elalgoritmo del cifrado usado para cifrarlos). Cuanto más larga es la contraseña (o cuantomayor es el número de llaves en el espacio dominante de un algoritmo), el el máscostoso y desperdiciador de tiempo un ataque de la fuerza bruta se convierte. Cuandoel número de posibilidades se aumenta, el coste de realizar un ataque exhaustivoaumenta también. Es decir cuánto más larga es la contraseña, el más seguro contraataques de la fuerza bruta se convierte. Un ataque del diccionario es una tentativa dedescubrir contraseñas procurando utilizar cada contraseña posible de una listapredefinida del campo común o contaba con contraseñas. Este tipo de ataque senombra tales porque es la lista posible de la contraseña así que largo es como si ustedesté utilizando la palabra entera del diccionario uno a la vez para descubrir contraseñas.Los ataques de la contraseña emplean un método criptográfico del ataque delespecificar conocido como el ataque del cumpleaños (véase el capítulo 10, "PKI y losusos criptográficos"). Este ataque se puede también llamar el emparejar reverso delpicadillo o la explotación de la colisión. Básicamente, el ataque explota el hecho de quesi dos mensajes hashed y los valores del picadillo son iguales, después los dosmensajes son probablemente iguales. Una manera de expresar esto en la notaciónmatemática o criptográfica es H(M)=H(M '). Las contraseñas se almacenan en un
46
archivo de base de datos de las cuentas en sistemas asegurados. Sin embargo, en vezde ser almacenado como claramente texto, las contraseñas hashed y solamente susvalores del picadillo se almacenan realmente. Esto proporciona un nivel razonable de laprotección. Sin embargo, usando el picadillo reverso que empareja, una galleta de lacontraseña, la herramienta busca las contraseñas posibles (con métodos de la fuerzabruta o del diccionario) que tienen el mismo valor del picadillo que un valor almacenadoen el archivo de base de datos de las cuentas. Cuando se descubre un fósforo del valordel picadillo, entonces la herramienta se dice para haber agrietado la contraseña. Lascombinaciones de estas metodologías del ataque de dos contraseñas se pueden utilizartambién. Por ejemplo, un ataque de la fuerza bruta podía utilizar una lista del diccionariocomo la fuente de su guesswork. Los ataques del diccionario deben a menudo acertadoa la previsibilidad de la naturaleza humana seleccionar las contraseñas basadas enexperiencias personales.
Desafortunadamente, esas experiencias personales son a menudo difundidas al mundosobre una base diaria. Si usted es de los que, su contraseña se pudo basar en elnombre de un jugador. Si usted tiene niños, su contraseña se pudo basar en susnombres o fechas del nacimiento. Si usted trabaja en una industria técnica, sucontraseña se pudo basar en siglas de la industria o nombres del producto. Más datossobre una víctima aprendieron con la reunión de la inteligencia, salto del dumpster, y laingeniería social, La protección de contraseñas contra ataques de la fuerza bruta y deldiccionario requiere precauciones numerosas de la seguridad y adherencia rígida a unapolítica de la seguridad fuerte. Primer, el acceso físico a los sistemas debe sercontrolado. Si una entidad malévola puede tener el acceso físico a un servidor de laautentificación, pueden robar a menudo el archivo de la contraseña dentro de segundos.Una vez que se robe un archivo de la contraseña, todas las contraseñas se debenconsiderar comprometidas. Controle y supervise en segundo lugar, firmemente elacceso electrónico a los archivos de la contraseña. Termine a usuarios y no-considerelos administradores no tienen ninguna necesidad de tener acceso al archivo de base dedatos de la contraseña para las tareas de trabajo diarias normales. Si usted descubreun acceso desautorizado al archivo de base de datos, investigue inmediatamente. Siusted no puede determinarse que ocurrió un acceso válido, después considere todas lascontraseñas comprometidas. Tercero, haga una política de la contraseña a mano queprogrammatically haga cumplir contraseñas fuertes y prescriba los medios por loscuales los usuarios del extremo pueden crear contraseñas más fuertes. El más fuerte ymás de largo la contraseña, durará para que sea descubierto en un ataque de la fuerzabruta. Sin embargo, con bastante tiempo, todas las contraseñas se pueden descubrirvía métodos de la fuerza bruta. Así, cambiar contraseñas se requiere regularmentemantener seguridad. Las contraseñas estáticas más viejas de 30 días deben serconsideradas comprometidas incluso si no se ha descubierto ningún otro aspecto deuna abertura de la seguridad. Cuarto, despliegue la autentificación del dos-factor, talcomo usar la biométrica o los dispositivos del símbolo. Si las contraseñas no son losúnicos medios usados para proteger la seguridad de una red, su compromiso no darálugar automáticamente a una abertura del sistema. Fifth, controles de cierre de lacuenta del uso para prevenir fuerza bruta y ataques del diccionario contra mensajes deconexión a la comunicación. Para esos sistemas y servicios que no apoyan controles decierre de la cuenta, tales como la mayoría de servidores del ftp, no emplean laregistración extensa y las identificaciones para buscar ataques rápidos y lentosprocurados de la contraseña. En sexto lugar, cifre los archivos de la contraseña con elcifrado más fuerte disponible para su OS. Mantenga el control rígido sobre todos losmedios que tengan una copia del archivo de base de datos de la contraseña, tal comocintas de reserva y algunos tipos de discos del cargador o de la reparación. Lascontraseñas son un mecanismo pobre de la seguridad cuando están utilizadas como elimpedimento único contra el acceso desautorizado. Los ataques de la fuerza bruta y del
47
diccionario demuestran que las contraseñas solamente ofrecen poco más que unbloqueo temporal.
Denegación de Servicio
La negación de los ataques del servicio (DOS) es de los ataques que evitan que elsistema en proceso no responda al tráfico legítimo o los pedidos de recursos y objetos.La forma más común de negación de los ataques del servicio está transmitiendomuchos paquetes de datos a un servidor que no puede procesar todos. Otras formas denegación del servicio atacan el foco en la explotación de una avería o de unavulnerabilidad sabida en un sistema operativo, un servicio, o un uso. Explotar la averíada lugar a menudo a fallo del sistema o a 100 por ciento de utilización de la CPU. Noimporta qué el ataque real consiste en, cualquier ataque que haga a una víctimaincapaz de realizar actividades normales se puede considerar una negación del ataquedel servicio. La negación de los ataques del servicio puede dar lugar a los fallos delsistema, reboots del sistema, corrupción de los datos, obstrucción de servicios, y más.Desafortunadamente, la negación de los ataques del servicio basados en flooding (esdecir, enviando suficiente tráfico a una víctima para causar un DOS) un servidor condatos es una manera de la vida en el Internet. En hecho, no hay medios sabidos por loscuales la negación de los ataques de la inundación del servicio en general puede serprevenida. Además, debido a la capacidad a los paquetes o a los servicios legítimos delInternet de la hazaña, del spoof es a menudo imposible remontar el origen real de unataque y prende a culpable. Hay varios tipos de ataques de la inundación del DOS. Elprimer, o la original, tipo de ataque empleó un solo flooding del sistema que atacabauna sola víctima con una corriente constante de paquetes. Esos paquetes podrían serlas peticiones válidas que eran nunca terminadas o los paquetes malformados o hechosfragmentos que consumen la atención del victimized el sistema. Esta forma simple deDOS es fácil de terminar apenas bloqueando los paquetes del IP address de la fuente.Otra forma de ataque se llama la negación del servicio distribuida (DDoS). Unanegación del servicio distribuida ocurre cuando el atacante compromete varios sistemasy los utiliza como plataformas que lanzan contra unas o más víctimas. Los sistemascomprometidos usados en el ataque a menudo se llaman los esclavos o los zombis. Unataque de DDoS da lugar a las víctimas que son inundadas con datos de fuentesnumerosas. Los ataques de DDoS pueden ser parados bloqueando los paquetes de lossistemas comprometidos. Pero esto puede también dar lugar a bloquear tráfico legítimoporque las fuentes de los paquetes de la inundación son las víctimas ellos mismos y noel autor original del ataque. Estos tipos de ataques se etiquetan según lo distribuidoporque los sistemas numerosos están implicados en la propagación del ataque contra lavíctima. Una forma más reciente de DOS, llamada una negación del servicio reflexivadistribuida (DRDoS), se ha descubierto. Los ataques de DRDoS se aprovechan de losmecanismos normales de la operación de los servicios dominantes del Internet, talescomo DNS y protocolos de la actualización de la rebajadora. DRDoS ataca la funciónenviando la actualización numerosa, sesión, o los paquetes del control al vario Internetmantienen los servidores o las rebajadoras con a spoofed la dirección de la fuente de lavíctima prevista. Generalmente estos servidores o rebajadoras son parte de los troncosde alta velocidad, en grandes cantidades de la espina dorsal de Internet. Qué resulta esuna inundación de los paquetes de la actualización, de las respuestas delreconocimiento de la sesión, o de los mensajes de error enviados a la víctima. Unataque de DRDoS puede dar lugar tanto a tráfico que los sistemas por aguas arriba sonafectados al contrario por el volumen de datos escarpado centrados en la víctima. Estetipo de ataque se llama un ataque reflexivo porque los sistemas de alta velocidad de laespina dorsal reflejan el ataque a la víctima. Desafortunadamente, estos tipos deataques no pueden ser prevenidos porque explotan las funciones normales de los
48
sistemas. Bloqueando los paquetes de éstos afine los sistemas del Internet cortará coneficacia a víctima apagado de una sección significativa del Internet. No todos los casosdel DOS son el resultado de un ataque malévolo. Los errores en sistemas operativos dela codificación, servicios, y usos han dado lugar a condiciones del DOS. Por ejemplo, elfallar de proceso al control de lanzamiento de la CPU o de los recursos de un sistemadel servicio que consumen fuera de la proporción a las peticiones del servicio que estámanejando puede causar condiciones del DOS. La mayoría de los vendedores lanzanrápidamente remiendos para corregir estas condiciones infligidas a sí mismo del DOS,así que es importante para la estancia informada. Ha habido muchas formas de ataquesde DOS realizados sobre el Internet. Algunos de los más populares ( extenso delsignificado "popular" debido a que afectaron muchos sistemas o bien conocido debidoal boom de los medios) se discuten en el resto de esta sección. Un ataque de lainundación de SYN es emprendido rompiendo el apretón de manos de tres víasestándar usado por TCP/IP para iniciar sesiones de la comunicación. Normalmente, uncliente envía un paquete de SYN a un servidor, el servidor responde con un paquete deSYN/ACK al cliente, y el cliente entonces responde con un paquete del ACK de nuevo alservidor. Este apretón de manos de tres vías establece una sesión de la comunicaciónque se utilice para la transferencia de datos hasta que se termina la sesión (con unapretón de manos de tres vías con los paquetes de la ALETA y del ACK). Unainundación de SYN ocurre cuando los paquetes numerosos de SYN se envían a unservidor pero el remitente nunca contestó a los paquetes de SYN/ACK del servidor conel ACK final. Además, los paquetes transmitidos de SYN tienen generalmente a spoofedla dirección de la fuente así que la respuesta de SYN/ACK se envía en alguna parte conexcepción al autor real de los paquetes. El servidor espera el paquete del ACK delcliente, a menudo por varios segundos, sosteniendo abre una sesión y recursos desistema que consumen. Si un número significativo de sesiones se lleva a cabo abierto(e.g., a través del recibo de una inundación de los paquetes de SYN), éste da lugar a unDOS. El servidor puede ser exigido demasiado fácilmente guardando las sesiones quenunca están abiertas concluido, así el causar de una falta. Que la falta puede ser tansimple como no pudiendo responder a los pedidos legítimos comunicaciones o tan seriocomo un sistema congelado o estrellado. Las contramedidas una a los ataques de lainundación de SYN están aumentando el número de conexiones que un servidor puedeapoyar. Sin embargo, esto requiere generalmente los recursos de hardware adicionales(memoria, velocidad de la CPU, los etc.) y no puede ser posible para todos los sistemasel operativo o servicios de red. Contramedidas más útiles son reducir el período deldescanso para esperar el paquete final del ACK. Sin embargo, esto puede también darlugar a sesiones falladas de acoplamientos más lentos excesivos conectados losclientes o se puede obstaculizar por tráfico intermitente del Internet. IDSs Red-basadopuede ofrecer una cierta protección contra ataques sostenidos de la inundación de SYNnotando que los paquetes numerosos de SYN originan a partir de una o solamentealguna localizaciones, dando por resultado sesiones incompletas. Las identificacionespodían advertir del ataque o bloquear dinámicamente tentativas del flooding. Un ataquede Smurf ocurre cuando un servidor o una red que amplifica se utiliza para inundar auna víctima con datos inútiles. Un servidor o una red que amplifica es cualquier sistemaque genere los paquetes múltiples de la respuesta, tales como paquetes del ECO delICMP o paquetes especiales del UDP, de un solo paquete sometido. Un ataque comúnes enviar un mensaje a la difusión de un subnet o de una red de modo que cada nodoen la red produzca unos o más paquetes de la respuesta. El atacante envía lospaquetes de la petición de la información con la víctima spoofed la dirección de la fuenteal sistema de la amplificación. Así, todos los paquetes de la respuesta se envían a lavíctima. Si la red de la amplificación es capaz de producir suficiente tráfico del paquetede la respuesta, el sistema de la víctima experimentará a DOS Figure 2.1demostraciones que los elementos básicos de un Smurf atacan. El atacante envía lospaquetes múltiples del SILBIDO DE BALA de IMCP con una dirección de la fuentespoofed como la víctima (v) y dirección de destinación que sea igual que la dirección de
49
la difusión de la red de la amplificación (AN:B). La red de la amplificación responde conlos volúmenes multiplicados de paquetes del eco a la víctima, así completamenteconsumiendo la anchura de banda de la conexión de la víctima. Otro ataque del DOSsimilar a Smurf se llama Fraggle. Los ataques de Fraggle emplean spoofed lospaquetes del UDP más bien que los paquetes del ICMP.
Las contramedidas para los ataques de Smurf incluyen difusiones dirigidas queinhabilitan en todas las rebajadoras y el configuración de la frontera de la red de todoslos sistemas de caer los paquetes del ECO del ICMP. Las identificaciones pueden poderdetectar este tipo de ataque, pero no hay medios de prevenir el ataque con excepciónde bloquear las direcciones de la red de la amplificación. Esta táctica es problemáticaporque la red de la amplificación es generalmente también una víctima. Un silbido debala del ataque de la muerte emplea un paquete de gran tamaño del silbido de bala.Usando las herramientas especiales, un atacante puede enviar los paquetes de grantamaño numerosos del silbido de bala a una víctima. En muchos casos, cuandovictimized tentativas del sistema de procesar los paquetes, un error ocurre, haciendo elsistema congelar, estrellarse, o el reboot. El silbido de bala de la muerte es más de unataque del desbordamiento del almacenador intermediario, pero porque da lugar amenudo a un servidor tragado, se considera un ataque del DOS. Las contramedidas alsilbido de bala del ataque de la muerte incluyen mantener actualizado con losremiendos del OS y del software, correctamente la codificación de usos internos paraprevenir desbordamientos del almacenador intermediario, evitar código corriente conprivilegios del sistema o del rai'z-nivel, y el bloqueo de los paquetes del silbido de balaen la frontera routers/firewalls. Un ataque de WinNuke es un asalto especializado contrasistemas de Windows 95. Los datos out-of-band del TCP se envían al sistema de unavíctima, que hace el OS congelar. Las contramedidas para este ataque consisten en elponer al día de Windows 95 con el remiendo apropiado o el cambiar a un diverso OS.Un ataque de la corriente ocurre cuando una gran cantidad de paquetes se envían a lospuertos numerosos en el sistema de la víctima usando números al azar de la fuente yde serie. El proceso realizado por el sistema de la víctima que procura tener sentido delos datos dará lugar a un DoS. Countermeasures incluye remendar el sistema y usar lasidentificaciones para el bloqueo dinámico. Un ataque del teardrop ocurre cuando unatacante explota un insecto en sistemas operativos. El insecto existe en las rutinasusadas para volver a montar (es decir, resequence) los paquetes hechos fragmentos.Un atacante envía los paquetes hechos fragmentos especialmente ajustados a formatonumerosos a la víctima, que hace el sistema congelar o estrellarse. Las contramedidaspara este ataque incluyen remendar el OS y desplegar las identificaciones para ladetección y el bloqueo dinámico. Un ataque de la tierra ocurre cuando el atacante envíalos paquetes numerosos de SYN a una víctima y han sido los paquetes de SYN spoofedpara utilizar el mismo IP address de la fuente y de la destinación y el número de accesoque la víctima. Esto hace el sistema pensar que envió un paquete de la abertura de lasesión de TCP/IP sí mismo, que causa un fallo del sistema y da lugar generalmente auna helada, a un desplome, o a un reboot del sistema. Las contramedidas para esteataque incluyen remendar el OS y desplegar las identificaciones para la detección y elbloqueo dinámico.
Spoofing Atacks
Spoofing es el arte de fingir ser algo que en realidad no se es. Los ataques de Spoofingconsisten en sustituir los números válidos de la fuente y/o del IP address y del nodo dedestino por uno falsos. Spoofing está implicado en la mayoría de los ataques porqueconcede a atacantes la capacidad de ocultar su identidad con el iporigen. Se empleaSpoofing cuando un intruso utiliza un username y una contraseña robados para ganar laentrada, cuando un atacante cambia la dirección de la fuente de un paquete malévolo, o
50
cuando un atacante asume la identidad de un cliente para engañar un servidor en datoscontrolados que transmiten. Dos tipos específicos de ataques spoofing sonpersonificación y el masquerading. En última instancia, estos ataques son iguales:alguien puede acceder a un sistema asegurado fingiendo ser algún otro. Estos ataquesdan lugar a menudo a una persona desautorizada que accede a un sistema con unacuenta válida del usuario se ha comprometido que. La personificación se considera unataque más activo porque requiere la captura del tráfico de la autentificación y el jugarde nuevo de ese tráfico de tal manera en cuanto a accede al sistema. Masquerading seconsidera un ataque más pasivo porque las credenciales previamente robadas de lacuenta de las aplicaciones del atacante a entrar a un sistema asegurado. Lascontramedidas a los ataques spoofing incluyen remendar el OS y el software,permitiendo a la verificación de la destinación de la fuente en las rebajadoras, y alempleo las identificaciones detectar y bloquear ataques.
Man in the middle
El ataque de man in the middle ocurre cuando un usuario malévolo puede ganar unaposición entre las dos puntos finales de un puente de comunicaciones. Hay dos tipos deataques man in the middleS. Uno implica el copiar o el oler del tráfico entre dos nodos;esto es básicamente un sniffer attack (véase la sección siguiente). El otro implica losatacantes que se colocan en la línea de la comunicación donde actúan como store-and-forward (véase el cuadro 2.2). El atacante funciona como el receptor para los datostransmitidos por el cliente y el transmisor para los datos enviados al servidor. Elatacante es invisible a ambos finales del puente de comunicaciones y puede alterar elcontenido o el flujo del tráfico. A través de este tipo de ataque, el atacante puederecoger las credenciales de la conexión o los datos sensibles así como cambio que elcontenido de los mensajes intercambió entre las dos puntos finales. Para realizar estetipo de ataque, el atacante debe alterar a menudo la información de encaminamiento yvalores del DNS, roba direcciones del IP, o defrauda las operaciones de búsqueda delARP para personificar el servidor de la perspectiva del cliente y para personificar alcliente de la perspectiva del servidor. Un vástago de un ataque man in the middle sesabe como un ataque del secuestro. En este tipo de ataque, colocan entre un cliente yun servidor y entonces interrumpe la sesión y la toma a un usuario malévolo encima. Amenudo, el usuario malévolo personifica a cliente para extraer datos del servidor. Elservidor es inconsciente que ha ocurrido cualquier cambio en el socio de lacomunicación. El cliente está enterado que las comunicaciones con el servidor hancesado, pero no hay indicación en cuanto a porqué las comunicaciones fueronterminadas disponible.
Otro tipo de ataque, un ataque del jugar de nuevo (también conocido como ataque delaparato de lectura), es similar al secuestro. Un usuario malévolo registra el tráfico entreun cliente y un servidor; entonces los paquetes enviados del cliente al servidor sejuegan detrás o se retransmiten al servidor con las variaciones leves del IP address delgrupo fecha/hora y de la fuente (es decir, spoofing). En algunos casos, esto permite queel usuario malévolo recomience un viejo puente de comunicaciones con un servidor.Una vez que se abra de nuevo la sesión de la comunicación, el usuario malévolo puedeprocurar obtener datos o el acceso adicional. El tráfico capturado es a menudo el tráficode la autentificación (es decir, el que incluye las credenciales de la conexión, tales comousername y contraseña), solamente él podría también ser tráfico del acceso del servicioo tráfico del control del mensaje. Juegue de nuevo los ataques puede ser prevenidoempleando reglas y grupos fecha/hora que ordenan complejos para evitar que lospaquetes retransmitidos sean aceptados como válidos. Las contramedidas a estos tiposde ataques requieren la mejora en el establecimiento de la sesión, la identificación, y los
51
procesos de la autentificación. Algunos ataques man in the middleS se frustran conremendar el OS y el software. Las identificaciones no pueden detectar generalmente unman in the middle ni secuestran ataque, sino que puede detectar a menudo lasactividades anormales el ocurrir vía puentes de comunicaciones "asegurados". Lossistemas operativos y mucho IDSs pueden detectar a menudo y bloque jugar de nuevoataques.
Sniffers Atack
Un sniffer attack es cualquier actividad que dé lugar a un usuario malévolo a queobtenga la información sobre el tráfico de una red. Un sniffer attack es a menudo unprograma packetcapturing que duplica el contenido de los paquetes que viajan sobre elmedio de la red en un archivo. El sniffer attack ataca a menudo las conexiones inicialesentre los clientes y los servidores para obtener las credenciales de la conexión (e.g., losusernames y las contraseñas), las llaves secretas, etcétera. Cuando están realizadoscorrectamente, los ataques el oler son invisibles a el resto de las entidades en la red ypreceden a menudo ataques de spoofing o del secuestro. Un ataque del jugar de nuevo(discutido en la sección precedente) es un tipo de sniffer attack. Las contramedidas aevitar o a parar el oler de ataques requieren la mejora en el control de acceso físico,supervisión activa para las firmas el oler (tales como buscar el paquete retrasa, lossaltos adicionales de la encaminamiento, o los paquetes perdidos, que se puedenrealizar por algún IDSs), y usar conexiones internas y externas cifradas del excedentedel tráfico de red.
Spamming Atacks
El Spam es el término que describe E-mail, newsgroup, o mensajes indeseados. ElSpam puede ser tan inofensivo como un anuncio de un vendedor o tan malo como lasinundaciones de mensajes no solicitados con los virus o los caballos de Troja unidos. ElSpam no es generalmente una amenaza de la seguridad sino algo un tipo de negacióndel ataque del servicio. Mientras que el nivel del Spam aumenta, el localización o teneracceso a mensajes legítimos puede ser difícil. Además del valor del fastidio, el Spamconsume una porción significativa de recursos de Internet (en la forma de anchura debanda y de CPU que procesan), dando por resultado funcionamiento más lento total delInternet y una disponibilidad más baja de la anchura de banda para cada uno. Losataques del Spamming son inundaciones dirigidas de mensajes indeseados al inbox delE-mail de una víctima o al otro sistema de la mensajería. Tales ataques causanediciones del DOS llenando encima de espacio de almacenaje y evitando que losmensajes legítimos sean entregados. En casos extremos, los ataques del Spammingpueden causar heladas o desplomes del sistema e interrumpir la actividad de otrosusuarios en el mismo subnet o ISP. Las contramedidas del ataque del Spam incluyencon los filtros del E-mail, poderes del E-mail, e IDSs para detectar, para seguir, y paraterminar la inundación del Spam procura.
Crackers
Los crackers son usuarios malévolos preocupados en emprender un ataque contra unapersona o un sistema. Los crackers se pueden motivar por la avaricia, el dinero, o elreconocimiento. Sus acciones pueden dar lugar a robos (datos, ideas, etc.), sistemaslisiados, seguridad comprometida, opinión pública negativa, pérdida de cuota de
52
mercado, redujeron lo beneficioso, y perdieron productividad. Un término confundidocomúnmente con los crackers es los hackers, que son entusiastas de la tecnología sinintento malévolo. Muchos autores y los medios utilizan a menudo a hacker del términocuando están discutiendo realmente ediciones referentes a los crackers. Frustrar lastentativas de una galleta de practicar una abertura su seguridad o de perpetrar ataquesdel DOS requiere esfuerzo vigilante de mantener sistemas remendados y configuradoscorrectamente. IDSs y los sistemas del pote de la miel ofrecen a menudo medios dedetectar y de recolectar evidencia para procesar los crackers una vez que hayanpracticado una abertura su perímetro controlado.
53
CAPITULO 3
MODELO ISO, SEGURIDAD DE REDES Y PROTOCOLOS
LOS TEMAS DE EXAMEN CISSP CUBIERTOS EN ESTECAPÍTULO INCLUYEN:
Organización Internacional para Interconexión de Sistemasde Estandarización/Abierto (ISO/OSI) Capas yCaracterísticasComunicaciones y Seguridad de RedComponentes de Internet / Intranet / ExtranetServicios de Red
54
Los sistemas de ordenador y redes de ordenador son entidades complejas. Elloscombinan el hardware y componentes de software para crear un sistema que puederealizar operaciones y cálculos más allá de las capacidades de gente. De la integraciónde comunicación evices, dispositivos de almacenaje, procesando dispositivos,dispositivos de seguridad, dispositivos de entrada, dispositivos de salida, sistemas deoperaciones, software, servicios, datos, y la gente surgen ordenadores y redes. ElCISSP CBK declara que un conocimiento cuidadoso del hardware y componentes desoftware que un sistema comprende es un Elemento esencial de ser capaz de poner enpráctica y mantener la seguridad.
Las Telecominucaciones y el dominio de Seguridad de Red para el examen decertificación CISSP tratan con temas relacionados para conectar una red componentes(principalmente dispositivos de red y protocolos); expresamente, como ellos funcionan ycomo ellos son relevantes a la seguridad. Este dominio es hablado en este capítulo y enel Capítulo 4, " la Seguridad de Comunicaciones y Contramide. " Estar seguro para leery estudio(estudiar) los materiales en ambos capítulos para asegurar cobertura completadel material esencial para el examen de certificación CISSP.
Modelo OSI
Las comunicaciones entre ordenadores sobre redes son hechas posibles por el empleode protocolos. Un protocolo es un juego de reglas y restricciones que definen como losdatos son transmitidos sobre un medio de red (por ejemplo, el cable de torcer-par, latransmisión inalámbrica, etcétera). Los protocolos hacen comunicaciones de ordenadora ordenador posibles. En los tempranos días de desarrollo de red, muchas empresastenían sus propios protocolos propietarios, que pensaron que la interacción entre losordenadores de vendedores diferentes era a menudo difícil si no imposible. En unesfuerzo para eliminar este problema, la Organización Internacional para laEstandarización (la ISO) desarrolló el modelo de OSI para protocolos a principios de losaños 1980. El Estándar de ISO 7498 define el Modelo de Referencia de OSI (tambiénllamó el modelo de OSI).
Historia del Modelo de OSI
El modelo de OSI no era el primero o sólo el movimiento para aerodinamizar protocolosconectados a una red o establecer un estándar de comunicaciones común. De hecho, elprotocolo más extensamente usado hoy, el protocolo TCP/IP (que estaba basado sobreel modelo de DARPA, también conocido en la actualidad como el modelo de TCP/IP), elfue desarrollado a principios de los años 1970.La Interconexión de Sistemas Abierta (OSI) el protocolo fue desarrollado paraestablecer una estructura de comunicación común o el estándar para todos los sistemasde ordenador. El protocolo real OSI nunca fue adoptado extensamente, pero la teoríadetrás del protocolo OSI, el modelo de OSI, era fácilmente aceptado el Modelo OSI 57.El modelo de OSI sirve como un marco abstracto, o el modelo teórico, para como losprotocolos deberían funcionar en un mundo ideal sobre el hardware. Así, el modelo deOSI se ha hecho un punto de referencia común contra el cual todos los protocolospueden ser comparados y contrastados.
OSI Funcionalidad
El modelo de OSI divide tareas conectadas a una red sobre siete capas distintas. Cadacapa es responsable de realizar tareas específicas u operaciones hacia el objetivoúltimo de apoyar el intercambio de datos (por ejemplo, la comunicación de red entre dosordenadores. Las capas siempre son numeradas(contadas) de inferior para encabezar
55
(mirar la Figura 3.1). Ellos se remiten por su nombre o por su número de capa. Porejemplo, también saben(conocen) la capa 3 como la capa de Red.Ordenan(Piden) a las capas expresamente indicar como la información fluye por variosniveles de comunicación.Las capas, como se dice, se comunican con tres otras capas. Cada capa se comunicadirectamente con la capa encima de ello así como la capa debajo de ello más la capade par sobre un sistema de compañero de comunicación.El modelo de OSI es una guía de arquitectura de red abierta para vendedores deproducto de red. Este estándar, o la guía, proporcionan una fundación común para eldesarrollo de nuevos protocolos, servicios conectados a una red, y hasta dispositivos dehardware. Por trabajando del modelo de OSI, los vendedores son capaces de asegurarque sus productos se integrarán con productos de otras empresas y ser apoyado poruna amplia gama de sistemas de operaciones. Si los vendedores desarrollaran supropio marco conectado a una red, la interoperabilidad entre productos de vendedoresdiferentes sería casi imposible.La verdadera ventaja del modelo de OSI es encontrada en su expresión de como lainterconexión en realidad funciona. En el sentido más básico, las comunicaciones dered ocurren sobre una conexión física.Esto es verdadero incluso si la radio dispositivos conectados a una red es empleada.Dispositivos físicos establecen canales por los cuales señales electrónicas puedenpasar de un ordenador al otro. Estos canales de dispositivo físicos son sólo un tipo delos siete tipos de canal lógicos definidos por el modelo de OSI. Cada capa del modelode OSI se comunica vía un canal lógico con su capa de par sobre otro ordenador.
La FIGURA 3. 1 una representación del modelo de OSI
Application 7Presentation 6Session 5Transport 4Network 3Data Link 2Physical 1
Encapsulation/DeencapsulationLos protocolos basados en el modelo de OSI emplean un mecanismo llamóencapsulation. Como el mensaje es encapsulado en cada capa, crece en el tamaño.Encapsulation ocurre como los datos bajan por las capas de modelo de OSI del Uso aFísico. La acción inversa que ocurre como datos sube por las capas de modelo de OSIdel Físico al Uso saben(conocen) como deencapsulation.El proceso de encapsulation/deencapsulation es así:1.La capa De aplicación crea un mensaje.2.La capa De aplicación pasa el mensaje a la capa de Presentación.3.La capa de Presentación encapsula el mensaje por añadiéndole la información. LaInformación es añadida al principio del mensaje (llamó un jefe) y al final del mensaje(llamó un pie de página), como mostrado en la Figura(el Número) 3.2.4.El proceso de transmitir el mensaje y añadir la información específica de capa siguehasta que el mensaje alcance la capa Física.5.En la capa Física, el mensaje es convertido en los impulsos eléctricos querepresentan añicos y es transmitido sobre la conexión física.6.El ordenador de encubrimiento captura los añicos de la conexión física y recrea elmensaje en la capa Física.7.La capa Física se desnuda de su información y envía al mensaje hasta la capa deEnlace de transmisión.
56
8.La capa de Enlace de transmisión quita(desnuda) su información de y envía almensaje hasta la capa de Red.9.Este proceso de deencapsulation es realizado hasta que el mensaje alcance la capaDe aplicación.10.Cuando el mensaje alcanza la capa De aplicación, los datos en el mensaje sonenviados al recipiente de software intencionado.
La información quitada por cada capa contiene instrucciones, somas, etcétera que sólopuede ser entendido por la capa de par que al principio añadió o creó la información(mirar la Figura(el Número) 3.3). Esta información es que crea el canal lógico quepermite capas de par sobre ordenadores diferentes comunicarse.
La FIGURA 3. 2 una representación de OSI modela encapsulation
La FIGURA 3. 3 una representación del OSI modela la capa de par canales lógicos
Llaman el mensaje enviado en el montón de protocolo en la capa De aplicación (la capa7) los datos o PDU (la unidad de datos de protocolo). Una vez que es encapsulado porla capa de Presentación (la capa 6), le llaman una unidad de datos de protocolo (PDU).Esto conserva la etiqueta de PDU hasta que esto alcance la capa De transporte (la capa4), donde le llaman un segmento. En la capa de Red (la capa 3), le llaman un paquete oun datagrama. En la capa de Enlace de transmisión (la capa 2), le llaman un marco. Enla capa Física (la capa 1), los datos han sido convertidos en añicos para la transmisiónsobre el medio de conexión físico. La figura(el número) 3.4 muestra como cada capacambia los datos por este proceso.
57
OSI Capas
El entendimiento de las funciones y las responsabilidades de cada capa del modelo deOSI ayudará Usted entiende como la función de comunicaciones de red, como losataques pueden ser cometidos Contra comunicaciones de red, y como la seguridadpuede ser puesta en práctica para proteger la red Comunicaciones. Cada capa, quecomienza con la capa inferior, es hablada en el siguiente Secciones.
La FIGURA(El NÚMERO) 3. 4 Los nombres de datos de modelo de OSI
Capa FísicaEl Capa física (capa 1) Acepta el marco de la capa de Enlace de transmisión y convierteel marco En añicos para transmisión sobre el medio de conexión físico. La capa Físicaes también Responsable de recibir añicos del medio de conexión físico y convertirlosatrás En un marco para ser usado por la capa de Enlace de transmisión.
La capa Física contiene a los conductores de dispositivo que dicen al protocolo comoemplear el hardware Para la transmisión y recepción de añicos. Localizado dentro de lacapa Física son eléctrico Datos específicos, protocolos, y normas de interfaz como losiguiente:
EIA/TIA-232 Y EIA/TIA-449X.21Interfaz Sucesivo De alta velocidad (HSSI)Red Sincrónica Óptica (SONET)V 24 y V 35
Por los conductores de dispositivo y estas normas, la capa Física controla elrendimiento Las tarifas, la sincronización de manijas, manejan el ruido de línea y elacceso medio, y determinan Si hay que usar señales digitales o análogas o pulsosligeros(de luz) para transmitir o recibir datos sobre el Interfaz de hardware físico.
Los dispositivos de hardware de red que funcionan en la capa 1, la capa Física, son elinterfaz de red Tarjetas (NICs), Cubos, Repetidores. Estos dispositivos realizanoperaciones de señal basadas por hardware, Como enviar de una señal de un PuertoDe sobre todos otros puertos (un cubo) o amplificación de la señal Apoye mayoresdistancias de transmisión (un repetidor).
Capa de Enlace de transmisión
58
El Capa de enlace de transmisión (capa 2) Es responsable de formatear el paquete dela capa de Red en El formato apropiado para transmisión. El formato apropiado esdeterminado por el hardware y el Tecnología de la red. Hay numerosas posibilidades,como Ethernet ( IEEE 802.3), Toque(Anillo) Simbólico ( IEEE 802.5), Modo detransferencia asincrónico (ATM)((cajero automático)), Fibra Distribuyó Interfaz de Datos(FDDI), Cobre DDI (CDDI). Dentro de la capa de Enlace de transmisión reside elespecífico de tecnología Los protocolos que convierten el paquete en un marcocorrectamente formateado. Una vez que el marco es formateado, Esto es enviado a lacapa Física para la transmisión.
La lista siguiente incluye algunos protocolos encontrados dentro de la capa de Enlacede transmisión:
Línea Sucesiva Protocolo de Internet (SLIP)Protocolo de Punto indi (PPP)Protocolo de Resolución de Dirección (ARP)Protocolo de Resolución de Dirección Inverso (RARP)Capa 2 Expedición (L2F)Capa el 2 Protocolo (L2TP)Tunneling Punto indi Tunneling Protocolo (PPTP)Servicios Integrados Red Digital (ISDN)
La parte del tratamiento realizado sobre los datos dentro de la capa de Enlace detransmisión incluye la agregación el La fuente de hardware y la destinación se dirigen almarco. La dirección de hardware es el Medios de comunicación Control de Acceso(AMIGO) dirección, Que es una dirección de 6 bytes escrita en la notación hexadecimal.El Primeros 3 bytes de la dirección indican al vendedor o el fabricante del interfaz de redfísico. 3 bytes pasados(últimos) representan un número único asignado a aquel interfazpor el fabricante. Ningunos dos dispositivos pueden tener la misma dirección deAMIGO.
La capa de Enlace de transmisión contiene dos subcapas: el Control de Eslabón Lógico(LLC) subcapa La subcapa de AMIGO. Los detalles sobre estas subcapas no soncríticos para el examen CISSP.
Los dispositivos de hardware de red que funcionan en la capa 2, la capa de Enlace detransmisión, son Interruptores Puentes. Estos dispositivos apoyan la encaminamientode tráfico BASADA POR AMIGO. Los interruptores reciben un marco sobre un puerto Yenvíe a ello de otro puerto basado en la destinación la dirección de AMIGO.Destinaciones de dirección de AMIGO Sea usado determinar si un marco es transferidosobre el puente de una red al otro.
Capa de Red
El Capa de red (capa 3) Es responsable de agregar la encaminamiento y la informaciónde dirección a el Datos. La capa de Red acepta el segmento de la capa De transporte yagrega la información Ello para crear un paquete. El paquete incluye la fuente y ladestinación IP direcciones.
Los protocolos de encaminamiento son localizados en esta capa e incluyen lo siguiente:
Protocolo de Mensaje de Control de Internet (ICMP)Encaminamiento de Protocolo de Información (RIP)
59
Abra el Camino Más corto Primero (OSPF)Protocolo de Entrada de Frontera (BGP)Protocolo de Dirección de Grupo de Internet (IGMP)Protocolo de Internet (IP)Seguridad de Protocolo de Internet (IPSec)Cambio de Paquete de Interred (IPX)Traducción de Dirección de Red (NAT)La dirección Simple Clave para Protocolos de Internet (SKIP)
La capa de Red es responsable de proporcionar la encaminamiento o la información deentrega, pero esto no es Responsable de verificar la entrega garantizada (que es laresponsabilidad de la capa De transporte). La capa de Red también maneja la detecciónde error y el tráfico de datos de nodo (esto es, el control de tráfico).
Las rebajadoras están entre los dispositivos de hardware de red que funcionan en lacapa 3 . Rebajadoras determinan El mejor camino lógico para la transmisión depaquetes basados en velocidad, saltos, preferencia, etcétera. Las rebajadoras usan ladestinación IP la dirección para dirigir la transmisión de paquetes.
Capa De transporteLa capa De transporte (se encama 4) es responsable de manejar la integridad de unaconexión y controlar la sesión. Esto acepta un PDU de la Sesión se encaman y loconvierte en un segmento. Los mandos de capa De transporte como los dispositivossobre la red son dirigidos o referidos, establece conexiones de comunicación entrenodos (también sabido(conocido) como dispositivos), y define las reglas de una sesión.Las reglas de sesión especifican cuantos datos cada segmento puede contener, comoverificar la integridad de datos transmitidos, y como determinar si los datos han sidoperdidos. Las reglas de sesión son establecidas por un proceso de conformidad deconexión. (Usted debería recordar la discusión del apretón de manos SYN/ACK de trescaminos para TCP/IP del Capítulo 2, " Ataques y Supervisión. ")
La capa De transporte establece una conexión lógica entre dos dispositivos yproporciona servicios de transporte de final de endto-para asegurar la entrega de datos.Esta capa incluye mecanismos para la segmentación, sequencing, la comprobación deerror, el control del flujo de datos, la corrección de error, la multiplexación, y laoptimización de servicio de red. Los protocolos siguientes funcionan dentro de la capaDe transporte:
Protocolo de Control de Transmisión (TCP)Protocolo de Datagrama de Usuario (UDP)Cambio de Paquete Ordenado (SPX)
Capa de Sesión
La capa de Sesión (se encama 5) es responsable del establecimiento, elmantenimiento, y sesiones de comunicación de finalización entre dos ordenadores. Estomaneja la disciplina de diálogo o el control de diálogo (simplex, medio duplex, llenoduplex), establece puntos de comprobación para la agrupación y la recuperación, ytransmite de nuevo PDUS que ha fallado o ha sido perdido desde el último punto decomprobación verificado. Los protocolos siguientes funcionan dentro de la capa deSesión:
La Capa de Enchufes Segura (SSL)El Transporte Se encama la Seguridad (TLS)
60
Conecta una red el Sistema de fichas (NFS)La Lengua de Pregunta Estructurada (SQL)La Llamada de Procedimiento Remota (RPC)
Las sesiones de comunicación pueden funcionar en una de tres disciplina diferente ocontrolar modos:
Simplex comunicación de dirección De dirección única
La comunicación medio duplex De doble dirección, pero sólo una direcciónpuede enviar datos a la vez
La comunicación llena duplex De doble dirección, que los datos pueden serenviados ambas direcciones simultáneamente
Capa de Presentación
La capa de Presentación (se encama 6) es responsable de transformar datos recibidosde la capa De aplicación en un formato que cualquier sistema después del modelo deOSI puede entender. Esto impone la estructura común o estandarizada y reglas queformatean en los datos. La capa de Presentación es también responsable del cifrado yla compresión. Así, esto actúa como un interfaz entre la red y usos.Es que permite a varios usos para actuar recíprocamente sobre una red, y esto hace asípor asegurando que los formatos de datos son apoyados por ambos sistemas. La mayorparte de archivo o formatos de datos funcionan dentro de esta capa. Esto incluyeformatos para imágenes, vídeo, sonido, documentos, correo electrónico, páginas web,sesiones de control, etcétera. La lista siguiente incluye algunas normas de formato queexisten dentro de la capa de Presentación:
Código americano Estándar para Intercambio de Información (ASCII)El Decimal Ampliado Cifrado por binario Intercambia el Modo (EBCDIC)Formato de Archivo de Imagen Etiquetado (TIFF)Grupo de Expertos Conjunto Fotográfico (JPEG)Movimiento de Grupo de Expertos De cuadros (MPEG)Instrumento musical interfaz digital (MIDI)
Capa De aplicación
La capa De aplicación (se encama 7) es responsable de interafrontar usos de usuario,servicios de red, o el sistema de operaciones sí mismo con el montón de protocolo. Estopermite a usos para comunicarse con el montón de protocolo. La capa De aplicacióndetermina si un compañero de comunicación remoto está disponible y accesible. Estotambién asegura que recursos suficientes están disponibles para apoyar lascomunicaciones solicitadas(rogadas).
El uso sí mismo no es localizado dentro de esta capa; más bien los protocolos yservicios requeridos para transmitir archivos, mensajes de cambio, se unen a terminalesremotos, etcétera son encontrados aquí.Numerosos protocolos de aplicación específicos son encontrados dentro de esta capa,como lo siguiente:
El Protocolo de Transferencia de Hipertexto (HTTP)el Protocolo de Transferencia de Archivo (el FTP)el Demonio de Impresión de Línea (LPD)
61
el Protocolo de Transferencia de Correo Simple (SMTP)Telnet el Protocolo de Transferencia de Archivo Trivial (TFTP)el Intercambio de Datos Electrónico (EDI)la versión 3 (POP3) de Protocolo de Correosel Protocolo de Acceso de Mensaje de Internet (IMAP)el Protocolo de Dirección de Red Simple (SNMP)Conecta una red el Protocolo de Transporte de Noticias (NNTP)Asegura la Llamada de Procedimiento Remota (la S-RPC)Asegure la Transacción Electrónica (SET)
TCP/IP Modelo
El modelo de TCP/IP (también llamó el DARPA o el modelo de DOD) consiste en sólocuatro se encama a diferencia del Modelo de Referencia de OSI siete. Estos cuatro seencaman puede ser comparado a los siete se encama del modelo de OSI (refiérase a laFigura 3.5(al Número 3.5)). Los cuatro se encaman del modelo de TCP/IP son el Uso, elAnfitrión-a-anfitrión, la Internet, y Conectan una red el Acceso. La suite de protocoloTCP/IP fue desarrollada antes de que el Modelo de Referencia de OSI fuera creado.Los diseñadores del Modelo de Referencia de OSI tuvieron cuidado para asegurar quela suite de protocolo TCP/IP encaja su modelo debido a su despliegue establecido en lainterconexión.
La capa de aplicación del modelo TCP/IP corresponde a se encama 5, 6, y 7 del modelode OSI. La capa de Anfitrión-a-anfitrión del modelo TCP/IP corresponde a la capa 4 delmodelo de OSI. EL TCP/IP la capa De Internet del modelo corresponde a la capa 3 delmodelo de OSI. La capa de Acceso de Red del modelo TCP/IP corresponde a seencama 1 y 2 del modelo de OSI.
La FIGURA 3. 5 Comparación del OSI modela con el modelo de TCP/IP
Comunicaciones y Seguridad de RedEl establecimiento de la seguridad(del valor) sobre una red implica más que la justadirección del OS y el software. Usted también debe dirigir publicaciones(cuestiones)físicas, incluyendo el cablegrafiar, la topología, y la tecnología.
LANs vs. WANs
62
Hay dos tipos básicos de redes: LANes y WANS. Una red local (el LAN) es una redautoincluida típicamente que atraviesa un piso solo o el edificio. Los LANes por logeneral emplean bajo - a tecnologías de velocidad moderada. La amplia red de área(PÁLIDO) es el término por lo general asignado a las conexiones de fondo entreredes geográficamente remotas. WANs a menudo emplean conexiones de altavelocidad, pero ellos también pueden emplear eslabones de disco encima de lentosasí como tecnologías de conexión arrendadas.
Conexiones PÁLIDAS y eslabones de comunicación pueden incluir tecnologías decircuito privadas y tecnologías packetswitching. Tecnologías de circuito comunesprivadas incluyen líneas dedicadas o arrendadas y PPP, RESBALÓN, ISDN, yconexiones DSL. Tecnologías que cambian paquete incluyen X.25, Enmarcan elRelevo, el modo de transferencia asincrónico (el ATM(el cajero automático)), elControl de Enlace de transmisión Sincrónico (SDLC), y el Nivel alto - el Control deEnlace de transmisión (HDLC). Tecnologías que cambian paquete usan virtual da lavuelta en vez de circuitos específicos. Un circuito virtual es creado sólo cuandonecesario, que hace para el empleo eficiente del medio y es sumamente rentable.
Cablegrafiar de Red
El tipo de medios de comunicación de conectividad empleados en una red es importantepara el diseño de la red, la disposición, y capacidades. Sin el cablegrafiar de derecho,una red no puede ser capaz de atravesar su empresa entera o esto no puede apoyar elvolumen de tráfico necesario. Los tipos diferentes de dispositivos de red y tecnologíasson usados con los tipos diferentes de cablegrafiar. Cada tipo de cable tiene longitudesúnicas útiles, tarifas de rendimiento, y exigencias de conectividad.
Cable CoaxialEl cable coaxial, también llamado engatusa, era un tipo de cable popular conectado auna red usado a lo largo de los años 1970 y los años 1980. A principios de los años1990, su empleo rápidamente rehusado debido a la popularidad de twistedpair quealambra (explicado más detalladamente más tarde). El cable coaxial tiene un corazónde centro de cable de cobre rodeado por una capa de aislamiento, que a su turno esrodeado por un proteger conductor trenzado y encajonado en una vaina de aislamientofinal.
El corazón de cobre de centro y el proteger trenzado acodan el acto como dos revisoresindependientes, así el permiso comunicaciones de doble dirección sobre un cablecoaxial. El diseño de cable coaxial lo hace limpiamente resistente a la interferenciaelectromagnética (EMI) y capaz de apoyar altas amplitudes de banda (en comparacióncon otras tecnologías del período de tiempo), y esto ofrece longitudes más largasutilizables que el torcer-par. Esto en última instancia falló en conservar su lugar como latecnología de cable popular conectada a una red debido al torcer-par mucho más abajoel coste y la facilidad de instalación. El cable coaxial requiere el empleo de terminadoresde segmento, mientras que el torcer-par no hace. El cable coaxial es más voluminoso ytiene un radio de arco más grande mínimo que el torcer-par. (El radio de arco es elmínimo se distancian el cable puede ser doblado antes del daño de los revisoresinternos.) Además, con el despliegue extendido de redes cambiadas, laspublicaciones(cuestiones) de distancia de cable se hicieron discutibles debido a lapuesta en práctica de modelo de alambrado jerárquico.
Hay dos tipos principales de cable coaxial: thinnet y thicknet. Thinnet, tambiénsabido(conocido) como 10Base2, comúnmente era usarían unir(conectar) sistemas alos troncos de espina dorsal de cablegrafiar de thicknet. Thinnet puede atravesar lasdistancias de 185 metros y proporcionar el rendimiento hasta 10Mbps. Thicknet,
63
también sabido(conocido) como 10Base5, puede atravesar 500 metros y proporcionar elrendimiento hasta 10Mbps.
Banda de base y Banda ancha
La convención de nombramiento solía etiquetar la mayor parte de tecnologías de cablede red sigue la sintaxis XXyyyyZZ. XX representa la velocidad máxima las ofertas detipo de cable, como 10Mbps para un 10Base2 el cable. yyyy representa la banda debase o el aspecto de banda ancha del cable, como la banda de base para un 10Base2el cable. Los cables de banda de base pueden transmitir sólo una señal sola a la vez.Cables de banda ancha pueden transmitir múltiples señales simultáneamente. Lamayoría de los cables conectados a una red son cables de banda de base. Sinembargo, cuando usado en configuraciones específicas, el cable coaxial puede serusado como una conexión de banda ancha, como con módems de cable. ZZ representael máximo se distancian el cable puede ser usado o actos como la taquigrafía pararepresentar la tecnología del cable, como aproximadamente 200 metros para 10Base2el cable (en realidad 185 metros, pero es dado la vuelta hasta 200), o la T o TX para eltorcer-par en la 10Base-t o 100Base-TX. (Note que 100Base-TX es puesto en prácticausando dos GATO 5 UTP O STP se cablegrafían, un publicado(emitido) para elencubrimiento, otro para la transmisión.)
La mesa 3.1 muestra las características importantes para la red más común quecablegrafía tipos.
TABLA 3. 1 Características Importantes para Red Común que Cablegrafía Tipos
Torcido - ParEl cablegrafiar de torcer-par es sumamente delgado(fino) y flexible comparado al cablecoaxial. Esto está compuesto de cuatro pares de los cables que son torcidos alrededordel uno al otro y luego envainados en un aislador de cloruro de polivinilo. Si hay unaenvoltura de hoja de metal metálica alrededor de los cables debajo de la vaina externa,saben(conocen) el cable como el torcer-par protegido (STP). La hoja de metalproporciona la protección adicional de EMI externo.Saben(Conocen) el torcer-par que se cablegrafía sin la hoja de metal como el torcer-parinprotegido (UTP). UTP el más a menudo es mencionado solamente(justo) la 10Base-t.
64
Los cables que constituyen UTP Y STP son pequeños, reducen los cables de cobre queson torcidos en pares.Torcer de los cables proporciona la protección de frecuencias de radio externas y lainterferencia eléctrica y magnética y reduce la interferencia entre pares. La interferenciaocurre cuando los datos transmitieron el juego del que de cables es recogido por otrojuego de cables debido a la irradiación de campos electromagnéticos producidos por lacorriente eléctrica. Cada par de cable dentro del cable es torcido en una tarifa diferente(p. ej., torceduras por pulgada); así, las señales que viajan más de un par de cables nopueden atravesar en otro par de cables. Más apretado la torcedura (más torceduras porpulgada), más resistente el cable son a la interferencia interna y externa y lainterferencia y así la capacidad para el rendimiento (es decir la amplitud de banda másalta) es mayor.
Hay varias clases de cablegrafiar de UTP. Varias categorías son creadas por el empleode las torceduras más apretadas de los pares de cable, variaciones en calidad delrevisor, y variaciones en calidad del proteger externo. La mesa 3.2 muestra lascategorías UTP.
TABLA 3. 2 Categorías UTP
Revisores
Las limitaciones de distancia de cablegrafiar de red a base de revisor son debido a laresistencia del metal usado como un revisor. El cobre, el revisor más popular, es uno delo mejor y los revisores de temperatura ambiente menos caros disponibles. Sinembargo, es resistente al flujo de electrones.Esta resistencia causa una degradación de fuerza de señal y calidad sobre la longituddel cable. La longitud máxima definida para cada tipo de cable indica el punto en el cualel nivel de degradación podría comenzar a interferir con la transmisión eficiente dedatos.
WIRELESAdemás de medios alambre-basados de la conectividad de la red, debemos incluirconectividad sin hilos. Los interfaces sin hilos de la red son ampliamente utilizadoscomo alternativa a funcionar UTP que cablegrafía a través de un área de trabajo. Elestablecimiento de una red sin hilos se basa en los estándares 802.11b y 802.11a de
65
IEEE. Los dispositivos 802.11b pueden transmitir datos hasta 11Mbps.los dispositivos802.11a pueden transmitir datos hasta 54Mbps.El establecimiento de una red sin hilos utiliza los HUBS de la conexión que puedenapoyar uno a las docenas de radio NICs. La desventaja primaria del establecimiento deuna red sin hilos es que las señales que conectan el NICs con los HUBS no pueden sercifrados. Las redes privadas virtuales (VPNs) o el otro cifrado del tráfico de losmecanismos se deben emplear para proporcionar la seguridad para las conexiones. Unacoplamiento sin hilos es más susceptible a interceptaciones por que las señalespueden a menudo ser bloques fácilmente detectados , mientras que Los cables de UTPrequieren el acceso físico directo al golpecito en el tráfico.
Tecnologías LANHay tres tipos principales de tecnologías de la red de área local (LAN): Ethernet, tokenring, y FDDI. Hay un puñado de otras tecnologías del LAN, pero no son tanampliamente utilizadas como estos tres. La mayor parte de las diferencias entre lastecnologías del LAN ocurren en y debajo de los datos Capa del acoplamiento.
EthernetEthernet es una tecnología compartida del LAN de los medios (también conocida comotecnología de la difusión). Eso los medios permite que los dispositivos numerososcomuniquen el excedente el mismo medio pero requiere que cada uno la toma deldispositivo da vuelta a comunicarse y realiza la detección y la evitación de la colisión.Ethernet emplea dominios de la difusión y de la colisión. Un dominio de la difusión es elagrupar físico de los sistemas en los cuales todos los sistemas en el grupo reciben unadifusión enviada por un solo sistema en el grupo. Una difusión es un mensajetransmitido a una dirección específica que indique que todos los sistemas son losrecipientes previstos.
Un dominio de la colisión consiste en las agrupaciones de los sistemas dentro de loscuales una colisión de los datos ocurre si dos sistemas transmiten simultáneamente.Una colisión de los datos ocurre cuando dos transmitieron mensajes procuran utilizar elmedio de la red al mismo tiempo. Causa uno o ambos mensajes ser corrompido.
Ethernet can support full-duplex communications (i.e., full two-way) and usually employscoaxial or twisted-pair cabling. Ethernet is most often deployed on star or bus topologies.Ethernetis based on the IEEE 802.3 standard. Individual units of Ethernet data are called frames.
---------3-4-5 regla Se utiliza la regla 3-4-5 siempre que sea la Ethernet o el otro IEEE 802.3redes del compartir-acceso desplegado en una topología del árbol (es decir, un troncocentral con los varios ramas que parten). Esta regla define el número de losrepetidores/de los concentradores y de los segmentos que se pueden utilizar en una reddiseño. La regla indica que entre cualquier dos nodos (un nodo puede ser cualquier tipode proceso entidad, tal como un servidor, un cliente, una rebajadora, un etc.), puedehaber un máximo de cinco segmentos conectados por cuatrorepetidores/concentradores y esos solamente tres de esos cinco segmentos pueden serpoblados (es decir, tener el usuario, el servidor, o conexiones adicional u otro deldispositivo del establecimiento de una red). La regla 3-4-5 no se aplica a las redescambiadas. Comunicaciones y seguridad 69 de la red Ethernet puede apoyar lascomunicaciones full-duplex (es decir, de dos vías lleno) y emplea generalmente elcablegrafiar coaxial o de conductor doble retorcido.
66
Ethernet se despliega lo más a menudo posible en topologías de la estrella o delautobús. Ethernet se basa en el estándar de IEEE 802.3. Las unidades individuales delos datos de Ethernet se llaman los marcos.--------------
Token ringEl token ring emplea un mecanismo símbolo-que pasa al control que los sistemaspueden transmitir datos sobre el medio de la red. El símbolo viaja en un lazo lógicoentre todos los miembros del LAN. El token ring se puede emplear en topologías de lared del anillo o de estrella. Es raramente hoy usado debido a sus limitaciones delfuncionamiento, coste más alto comparado a Ethernet, y dificultad creciente adentrodespliegue y gerencia.
Fiber Distributed Data Interface (FDDI)El Fiber Distributed Data Interface (FDDI) es una tecnología símbolo-que pasa de altavelocidad que emplea dos anillos con el tráfico que fluye en direcciones opuestas. ElFDDI es de uso frecuente como espina dorsal para las redes grandes de la empresa. Sudiseño del dual-anillo permite self-healing quitando el segmento fallado del lazo ycreando un solo lazo fuera de las porciones internas y externas restantes del anillo. ElFDDI es costoso pero era de uso frecuente en ambientes del campus antes de Ethernetrápida y Ethernet del gigabit fue desarrollada.
tecnologías SecundarasLa mayoría de las redes abarcan tecnologías numerosas más bien que una solatecnología. Por ejemplo, Ethernet no es justa una sola tecnología sino un sobreconjuntode las secundario-tecnologías que apoyan su campo común y actividad ycomportamiento previstos. Ethernet incluye las tecnologías de comunicaciones digitales,de comunicaciones síncronas, y de comunicaciones de la banda base, y apoya ladifusión, el multicast, y las comunicaciones del unicast y Portador-Detectan el accesomúltiple con la detección de la colisión (CSMA/CD). Muchas de las tecnologías del LAN,tales como Ethernet, token ring, y el FDDI, puede incluir muchas de las secundario-tecnologías descritas en las secciones siguientes.
Análogo y DigitalUna secundario-tecnología es el mecanismo usado para transmitir realmente señales decomunicación sobre un medio físico, tal como un cable. Hay dos tipos: análogo y digital.Las comunicaciones análogas ocurren con una señal continua que varíe en lafrecuencia, amplitud, fase, voltaje, y así sucesivamente. Las variaciones en la señalcontinua producen una forma de la onda (en comparación con la forma cuadrada de unaseñal numérica). La comunicación real ocurre por variaciones en la señal constante. Lascomunicaciones de Digital ocurren con el uso de una señal eléctrica discontinua y depulsos del cambio del estado o encendido-apagado.
Síncrono y asincrónicoAlgunas comunicaciones se sincronizan con una cierta clase de reloj o de actividad dela sincronización. Las comunicaciones son síncronas o asincrónicas. Lascomunicaciones síncronas confían en una sincronización o el mecanismo que registrababasado sobre un reloj independiente o un grupo fecha/hora encajó en la secuencia dedatos. Las comunicaciones síncronas pueden típicamente apoyar índices muy altos dela transferencia de datos. Las comunicaciones asincrónicas confían en un pedacito deldelimitador de la parada y del comienzo para manejar la transmisión de datos. Debido aluso de los pedacitos del delimitador y a la naturaleza de la parada y del comienzo de su
67
transmisión, la comunicación asincrónica es más adecuada para cantidades máspequeñas de datos. Las líneas telefónicas normales del excedente estándar de losmódems son buenos ejemplos de la comunicación asincrónica.
Banda base y de banda anchaCuántas comunicaciones pueden ocurrir simultáneamente sobre un segmento del cabledepende encendido si utilizas tecnología de la banda base o tecnología de bandaancha. La tecnología de la banda base puede apoyar solamente un solo canal decomunicaciones. Utiliza una corriente directa aplicada al cable. Una corriente que estáencendido representa la señal binaria de 1, y una corriente que esté apagadarepresenta la señal binaria de 0. Ethernet es una tecnología de la banda base. Latecnología de banda ancha puede apoyar señales simultáneas múltiples. Modulación debanda ancha de la frecuencia de las aplicaciones para apoyar los canales numerosos,cada uno que apoya una sesión distinta de la comunicación. De banda ancha esconveniente para las tarifas del alto-rendimiento de procesamiento, especialmentecuando se multiplexan varios canales. Televisión por cable y módems de cable, ISDN,El DSL, el T1, y el T3 son ejemplos de tecnologías de banda ancha.
Difusión, multicast, y UnicastOtra secundario-tecnología se determina cuántas destinaciones puede alcanzar unasola transmisión. Las opciones son difusión, multicast, y unicast. Una tecnología de ladifusión apoya comunicaciones a todos los recipientes posibles. Una tecnología delmulticast apoya comunicaciones al múltiplo recipientes específicos.
Acceso de los medios del LANFinalmente, hay por lo menos cinco tecnologías del acceso de los medios del LAN quese utilizan para evitar o para prevenir colisiones de la transmisión.El acceso múltiple de sentido de portador (CSMA) los medios del LAN tiene acceso a latecnología que se realiza comunicaciones usando los pasos siguientes:1. El anfitrión escucha los medios del LAN para determinarse si es funcionando.2. Si los medios del LAN no se están utilizando actualmente, el anfitrión transmite sucomunicación.3. El anfitrión espera un reconocimiento.4. Si no se recibe ningún reconocimiento después de un período del descanso, elanfitrión comienza encima en el paso 1.Portador-Detectar el acceso múltiple con la evitación de la colisión (CSMA/CA) losmedios del LAN tener acceso a la tecnología que realiza comunicaciones usando lospasos siguientes:1. El anfitrión tiene dos conexiones a los medios del LAN: de entrada y de salida. Elanfitrión escucha en la conexión de entrada para determinarse si los medios del LANson funcionando.2. Si los medios del LAN no se están utilizando actualmente, el anfitrión solicita elpermiso de transmitir.3. Si el permiso no se concede después de un período del descanso, el anfitrióncomienza encima en el paso 1.4. Si se concede el permiso, el anfitrión transmite su comunicación sobre el de salidaconexión.5. El anfitrión espera un reconocimiento.6. Si no se recibe ningún reconocimiento después de un período del descanso, elanfitrión comienza encima en el paso 1. Appletalk es un ejemplo específico de unprotocolo de CSMA/CA.
68
Portador-Detectar el acceso múltiple con la detección de la colisión (CSMA/CD) elacceso de los medios del LAN tecnología que realiza comunicaciones usando los pasossiguientes:1. El anfitrión escucha los medios del LAN para determinarse si es funcionando.2. Si los medios del LAN no se están utilizando actualmente, el anfitrión transmite sucomunicación.3. Mientras que transmite, el anfitrión espera a escuchar las colisiones (el es decir, doso más transmitir de los anfitriones simultáneamente). 4. Si se detecta una colisión, elanfitrión transmite una señal del atasco.5. Si se recibe una señal del atasco, todos los anfitriones paran el transmitir. Cadaanfitrión espera un período al azar de tiempo y entonces comienza encima en el paso 1.Ethernet es un ejemplo específico de un protocolo de CSMA/CD.
El símbolo que pasa los medios del LAN tiene acceso a la tecnología que realizacomunicaciones usando un digital símbolo. La posesión del símbolo permite que unanfitrión transmita datos. Una vez que su transmisión sea completa, lanza el símboloencendido al sistema siguiente. El pasar del símbolo es utilizado por las redes del tokenring, por ejemplo el FDDI.
La interrogación los medios del LAN tiene acceso a la tecnología que realizacomunicaciones usando un amo-esclavo configuración. Un sistema se etiqueta como elsistema primario. Se etiquetan el resto de los sistemas como secundario. El sistemaprimario vota o investiga de cada sistema secundario alternadamente si tienen unanecesidad de transmitir datos. Si un sistema secundario indica una necesidad, seconcede el permiso de transmitir. Una vez que su transmisión sea completa, el sistemaprimario se mueve encendido para votar sistema secundario siguiente. El control detrasmisión de datos síncrona (SDLC) utiliza la interrogación.
Topologías de la redLa disposición y la organización físicas de computadoras y de dispositivos delestablecimiento de una red se conoce como la topología de la red. La topología lógicaes el agrupar de sistemas networked en collectives confiados en. La topología física noes siempre igual que la topología lógica. Hay cuatro básicos topologías de la disposiciónfísica de una red: anillo, autobús, estrella, y acoplamiento.
Topología del anilloUna topología del anillo conecta cada sistema como puntos en un círculo (véase elcuadro 3.6). La conexión actos del medio como lazo unidireccional de la transmisión.Solamente un sistema puede transmitir datos en a tiempo. Un símbolo realiza a lagerencia del tráfico. Un símbolo es un paso digital del pasillo que viaja alrededor delanillo hasta un sistema lo ase. Un sistema en la posesión del símbolo puede transmitirdatos. Los datos y el símbolo se transmiten a una destinación específica. Como viajanlos datos alrededor del lazo, cada sistema comprueba para considerar si es el recipienteprevisto de los datos. Si no, pasa el símbolo encendido. Si es así lee los datos. Una vezque se reciban los datos, el símbolo se lanza y vuelve a viajar alrededor del lazo hastaque otro sistema lo ase. Si cualquier un segmento del lazo está quebrada, toda lacomunicación alrededor del lazo cesa. Algunas puestas en práctica de las topologíasdel anillo emplean un mecanismo de la tolerancia de avería, tal como lazos duales quefuncionan en contrario direcciones, prevenir solos puntos de la falta.CUADRO 3. 6 una topología del anillo
69
Topología de búsUna topología del bús conecta cada sistema con un cable del tronco o de la espinadorsal. Todos los sistemas en el autobús pueden transmitir los datos simultáneamente,que pueden dar lugar a colisiones. Una colisión ocurre cuando dos sistemas transmitendatos al mismo tiempo; las señales interfieren con uno a. Para evitar esto, los sistemasemplean un mecanismo de la evitación de la colisión que “escuche básicamente”cualquier otro tráfico actualmente que ocurre. Si se oye el tráfico, el sistema esperaalgunos momentos y escucha otra vez. Si no se oye ningún tráfico, el sistema transmitesus datos. Cuando los datos se transmiten en una topología del autobús, todos lossistemas en la red oyen los datos. Si los datos no se tratan a un sistema específico, esesistema apenas no hace caso de los datos. La ventaja de una topología del autobús esque si un solo segmento falla, las comunicaciones sobre el resto de los segmentoscontinúan ininterrumpido. Sin embargo, la línea interurbana central sigue siendo un solopunto de la falta. Hay dos tipos de topologías del autobús: linear y árbol. Una topologíalinear del autobús emplea un solo la línea interurbana con todos los sistemas conectódirectamente con ella. Una topología del árbol emplea una sola línea interurbana con losramas que pueden apoyar sistemas múltiples. El cuadro 3.7 ilustra ambos tipos.CUADRO 3. 7 una topología linear y un topología Árbol linear
Topología de la estrella
70
Una topología de la estrella emplea un dispositivo centralizado de la conexión. Estedispositivo puede ser un cubo simple o interruptor. Cada sistema es conectado con elcubo central por un segmento dedicado (véase el cuadro 3.8). Si cualquier un segmentofalla, los otros segmentos pueden continuar funcionando. Sin embargo, el cubo centrales un solo punto de la falta. Generalmente, la topología de la estrella utiliza menoscablegrafiar que otras topologías y hace la identificación de cables dañados más fácil.Un bús lógico y un anillo lógico se pueden poner en ejecución como estrella física.Ethernet es una tecnología autobús-basada. Puede ser desplegada como estrella física,pero el dispositivo del cubo es realmente un dispositivo lógico de la conexión delautobús. Asimismo, el token ring es una tecnología anillo-basada. Puede serdesplegado como comprobación estrella usando una unidad del acceso del multistation(MAU). Un MAU permite para que los segmentos del cable sean desplegado comoestrella mientras que internamente el dispositivo hace conexiones lógicas del anillo.
Topología de acoplamientoUna topología del acoplamiento conecta sistemas con otros sistemas usando lastrayectorias numerosas (véase el cuadro 3.9). Una topología completa del acoplamientoconecta cada sistema con el resto de los sistemas en la red. Una topología parcial delacoplamiento conecta muchos sistemas con muchos otros sistemas. Las topologías delacoplamiento proporcionan conexiones redundantes a los sistemas, permitiendo faltasmúltiples del segmento sin seriamente afectar conectividad.
Descripción del TCP/IPEl protocolo más ampliamente utilizado es TCP/IP, pero no es justo un solo protocolo;algo, es un protocol stack que abarca docenas de protocolos individuales (véase elcuadro 3.10). El TCP/IP es un protocolo platformindependent basado en estándaresabiertos. Sin embargo, esto es una ventaja y una desventaja. El TCP/IP se puedeencontrar en apenas alrededor de cada sistema operativo disponible, pero consume unacantidad significativa de recursos y es relativamente fácil cortar en porque fue diseñadopara la facilidad de utilizar más bien que para la seguridad. CUADRO 3. 8 una topologíade la estrella
71
CUADRO 3. 9 una topología del acoplamiento
CUADRO 3. 1 0 las cuatro capas de TCP/IP y de sus protocolos componentes
El TCP/IP se puede asegurar usando acoplamientos de VPN entre los sistemas. Losacoplamientos de VPN se cifran para agregar aislamiento, secreto, y autentificación ymantener integridad de datos. Los protocolos usados para establecer VPNs son elprotocolo el hacer un túnel del Point-to-Point (PPTP), acodan el protocolo el hacer untúnel 2 (L2TP), y seguridad del Internet Protocol (IPSec). Otro método es emplear lasenvolturas del TCP. UN TCP la envoltura es un uso que puede servir como cortafuegobásico por el acceso de restricción basado en las identificaciones de usuario o elsistema identificaciones.
Usar las envolturas del TCP es una forma de control de acceso puerto-basado. UsoPresentación Sesión Transporte Red Trasmisión de datos Físico Proceso Uso Anfitrión-a-Anfitrión Internet Red Acceso Ftp TFTP TCP ICMP Ethernet Telnet Smtp UDP ARP
72
Ethernet rápida SNMP NFS RARP Token ring LPD X ventana IP FDDI Comunicacionesy seguridad 75 de la red
Protocolos de capa de transporteLos dos protocolos de capa primarios de transporte del TCP/IP son TCP y UDP. El TCPes un protocolo connectionoriented, mientras que el UDP es un protocolo sin conexión.Cuando una conexión de la comunicación se establece entre dos sistemas, él se haceusando puertos. Los TCP y el UDP cada uno tienen 65,536 puertos. Un puerto es pocomás que un número de la dirección ese ambos finales del puente de comunicacionesconvenir el uso al transferir datos. Los primeros 1.024 de estos puertos (0-1.023) sellaman los puertos bien conocidos o los puertos del servicio. Esto es porque hanestandardizado asignaciones en cuanto a servicios que apoyan. Por ejemplo, el puerto80 es el puerto estándar para el tráfico del Web (HTTP), el puerto 23 es el puertoestándar para el telnet, y el puerto 25 es el puerto estándar para el smtp.
El Transmission Control Protocol (TCP) funciona en la capa 4 (la capa de transporte) dela OSI modelo. Apoya comunicaciones full-duplex, es conexión orientada, y empleaconfiable circuitos virtuales. El TCP es connection-oriented porque emplea un procesodel apretón de manos en medio dos sistemas para establecer una sesión de lacomunicación. Sobre la terminación de este proceso del apretón de manos, una sesiónde la comunicación que puede transmisión de los datos de apoyo entre el cliente y elservidor es establecido. El proceso de tres vías del apretón de manos es como sigue:1. El cliente envía un paquete de SYN (sincronizar) al servidor.2. El servidor responde con un paquete de SYN/ACK (sincronizar y reconocer) de nuevoa el cliente.3. El cliente responde con un paquete del ACK (reconocer) de nuevo al servidor.
Los segmentos de una transmisión del TCP se ordenan. Esto permite que el receptorreconstruya comunicación original reordering segmentos recibidos nuevamente dentrode su arreglo apropiado a pesar de la orden en la cual fueron recibidos. Los datos secomunicaron con una sesión del TCP se verifica periódicamente con una señal dereconocimiento. El reconocimiento es un picadillo valor de todos los datos previamentetransmitidos. Si propio picadillo del servidor de datos recibidos no empareja el valor delpicadillo enviado por el cliente, el servidor pide que el cliente vuelva a enviar la recogidade datos pasada. El número de los paquetes transmitidos antes de un paquete delreconocimiento se envía se sabe como la ventana de la transmisión. Los datos flujo soncontrolados a través de un mecanismo llamado resbalar ventanas. El TCP puede utilizardiversos tamaños de las ventanas (es decir, un diverso número de transmitidopaquetes) antes de enviar un reconocimiento. Ventanas más grandes permiten unatransmisión de datos más rápida, pero deben ser utilizadas solamente en conexionesconfiables donde están los datos perdidos o corrompidos mínimo. Ventanas máspequeñas deben ser utilizadas cuando la conexión de la comunicación es no fiable. ElTCP debe ser empleado cuando la entrega de datos se requiere.
El User Datagram Protocol (UDP) también funciona en la capa 4 (la capa de transporte)de la OSI modelo. Es un protocolo de comunicaciones sin conexión del “mejoresfuerzo”. No ofrece ninguna detección de error o la corrección, no utiliza ordenar, noutiliza mecanismos del control de flujo, no utiliza a el circuito virtual, y se considera nofiable. El UDP tiene gastos indirectos muy bajos y puede transmitir así datosrápidamente. Sin embargo, el UDP debe ser utilizado solamente cuando la entrega dedatos no es esencial. UDP es empleado a menudo por el tiempo real o comunicacionesque fluyen para el audio o el vídeo.
Protocolos de capa de red
73
Otro protocolo importante en el TCP/ip Protocol Suite funciona en la capa de red delInternet Protocol del modelo-es decir de la OSI (IP). El IP proporciona la ruta que tratapara los paquetes de los datos.
El UDP, IP es sin conexión y es un servicio de datagrama no fiable. El IP no ofrecegarantías que los paquetes serán entregados o que los paquetes serán entregados enla orden correcta, ni garantiza que los paquetes no serán entregados más de una vez.Así, debes emplear el TCP en el IP para ganar sesiones confiables y controladas de lacomunicación.Otros protocolos en la capa de red de modelo de OSI incluyen el ICMP, IGMP, y NAT.
ICMPEl Internet Control Message Protocol (ICMP) se utiliza para determinar la salud de unared o de un acoplamiento específico. La utilidad del SILBIDO DE BALA emplea lospaquetes del eco del ICMP y los despide de sistemas alejados. Así, el SILBIDO DEBALA se puede utilizar para determinarse si el sistema alejado está en línea, si es elsistema alejado el responder puntualmente, si los sistemas intermediarios estánapoyando comunicaciones, y el nivel de la eficacia del funcionamiento en el cual lossistemas intermediarios se están comunicando. El SILBIDO DE BALA incluye unafunción del volver a dirigir que permita que las respuestas del eco sean enviadas a unadiversa destinación que el sistema del origen. Desafortunadamente, esta capacidad delICMP se explota a menudo en vario formas de negación anchura de banda-basada delos ataques del servicio.IGMPEl protocolo de la gerencia del grupo del Internet (IGMP) permite que los sistemasapoyen multicasting. Multicasting está la transmisión de datos a los recipientesespecíficos múltiples. El RFC 1112 discute requisitos para realizar multicasting deIGMP.
NATLa conversión de dirección de red (NAT) fue desarrollada para permitir que las redesprivadas utilicen cualquier IP address fijar sin causar colisiones o conflictos con losanfitriones públicos del Internet con las mismas direcciones del IP. En efecto,NACIONAL traduce las direcciones del IP de tus clientes internos a las direccionesarrendadas fuera de tu ambiente. Lo más a menudo posible, una red privada emplea lasdirecciones privadas del IP definidas en RFC 1918. Las gamas privadas del IP addressson 10.0.0.0 - 10.255.255.255, 172.16.0.0 - 172.31.255.255, y 192.168.0.0 -192.168.255.255. Estas gamas de las direcciones del IP son definidas por el defecto enlas rebajadoras como nonroutable. Son reservadas para uso de redes privadas. Elprocurar utilizar estas direcciones directamente en el Internet es vano porque lasrebajadoras accesibles caerán todo público los paquetes de los datos que contienenuna fuente o un IP address de la destinación de estas gamas. NACIONAL puede serutilizado en dos modos: estático y dinámico. El modo estático NACIONAL se utilizacuando un específico el IP address del cliente interno se asigna traz permanente a unpúblico externo específico IP address. Esto permite para que las entidades externas secomuniquen con los sistemas dentro de tu red aunque estás utilizando las direcciones1918 del IP del RFC. El modo dinámico NACIONAL se utiliza para conceder los clientesinternos múltiples tienen acceso a algunos a direcciones arrendadas del IP del público.Así, una red interna grande puede todavía tener acceso al Internet sin tener quearrendar un bloque grande de las direcciones del IP del público. Esto guarda abusopúblico del uso del IP address a un mínimo y las ayudas guardan costes del acceso delInternet a un mínimo. En una puesta en práctica NACIONAL del modo dinámico, elsistema NACIONAL mantiene una base de datos de mappings así que de todo el tráficode la respuesta de servicios del Internet se encaminan correctamente de nuevo a clientede petición interno original. A menudo NACIONAL se combina con un cortafuego del
74
proxy server o del poder para proporcionar Internet adicional tener acceso y contentar adepositar características. NACIONAL no está directamente compatible con IPSecporque modifica los jefes del paquete, que IPSec confía sobre para prevenir violacionesde la seguridad.
Capa de trasmisión de datosEntre los protocolos en la capa de trasmisión de datos (capa 2) del modelo de OSI, losdos debes estar al corriente de están el Address Resolution Protocol (ARP) y el ReverseAddress Resolution Protocol (RARP). El ARP se utiliza para resolver direcciones del IPen direcciones del MAC. Las direcciones del MAC son el sixdigit númeroshexadecimales asignados por los fabricantes a las tarjetas de interfaz de la red. Tráficoen a el segmento de la red (e.g., cables a través de un cubo) se dirige de su sistema dela fuente a su sistema de la destinación usando direcciones del MAC. El RARP se utilizapara resolver direcciones del MAC en direcciones del IP.En la capa de uso del modelo del TCP/IP (que incluye la sesión, presentación, y Lascapas de uso del modelo de OSI) residen los protocolos numerosos del uso o servicio-específicos. Un conocimiento básico de estos protocolos y de sus puertos relevantes delservicio es importante para el examen de CISSP:El telnet, puerto 23 vira el uso de la red hacia el lado de babor de la emulación terminalde 23 A que apoya conectividad alejada para ejecutar comandos y usos delfuncionamiento sino ése no apoya la transferencia de archivos.
File Transfer Protocol (ftp), puertos 20,21 que apoya un intercambio de archivos querequiere la autentificación anónima o específica.
File Transfer Protocol trivial (TFTP), puerto 69 que apoya intercambio de archivos queno requiere la autentificación.
Simple Mail Transfer Protocol (smtp), puerto 25 usado para transmitir mensajes del E-mail de un cliente a un servidor del E-mail y a partir de un servidor del E-mail a otro.
Post Office Protocol (POP3), puerto 110 usado para tirar de mensajes del E-mail de uninbox en un servidor del E-mail abajo a un cliente del E-mail.
Línea servicio de red del demonio de la impresión (LPD) se utiliza para encanillartrabajos de impresión y para enviar la impresión trabajos a las impresoras.
X WINDOWS GUI API para los sistemas operativos.
Bootstrap Protocol (BootP)
Network File System (NFS) El servicio de red usado para apoyaba el archivo quecompartía entre disímil sistemas.
El Simple Network Management Protocol (SNMP), puerto 161 usado para recoger lainformación de estado de la red por y supervisa los dispositivos de una estación desupervisión central.
Las vulnerabilidades del TCP/IP son numerosas. Apilados incorrectamente puestos enejecución del TCP/IP en vario los sistemas operativos son vulnerables proteger losdesbordamientos, ataques de la inundación de SYN, varios ataques del DOS, ataquesdel fragmento, ataques de gran tamaño del paquete, ataques spoofing, ataqueshombre-en--medios, ataques del secuestro, y ataques del error de codificación.
75
Además de estos ataques intrusos, el TCP/IP (así como la mayoría de los protocolos)está también conforme a ataques pasivos vía la supervisión u oler. La supervisión de lared es el acto de supervisar patrones de tráfico para obtener la información sobre unared. El paquete que huele es el acto de paquetes que capturan de la red en esperanzasde extraer la información útil del contenido del paquete. Los succionadores de paqueteeficaces pueden extraer los usernames, contraseñas, direcciones del E-mail, llaves delcifrado, números de la tarjeta de crédito, direcciones del IP, nombres de sistema, y asísucesivamente.
Internet/Intranet/Extranet-Componentes
El Internet es la red global de redes interconectadas que proporciona la abundancia dela información que sabemos como el World Wide Web. El Internet proporciona losservicios informativos incontables y usos numerosos, incluyendo el Web, E-mail, ftp,telnet, newsgroup, charla.El Internet es también usado por personas malévolas cuya meta fundamental eslocalizar tu computadora y extraer datos valiosos de ella, utilizarlos para lanzar otrosataques, o dañarlos de alguno manera. Debes estar al corriente del Internet y capaz deidentificar fácilmente sus ventajas y desventajas de tus propias experiencias en línea.Debido al éxito y al uso global del Internet, muchos de sus tecnologías fueronadaptados o integrados en la red privada del negocio. Esto creó dos nuevas formas deredes: intranets y extranets.Un Intranet es una red privada que se diseña para recibir los mismos serviciosinformativos encontrados en el Internet. Las redes que confían en los servidoresexternos (es decir, unos colocados en el Internet público) para proporcionar serviciosinformativos internamente no se consideran los intranets. Intranets provee al usuarios elacceso al Web, al E-mail, y a otros servicios en los servidores internos que no sonaccesible a cualquier persona fuera de la red privada.Un extranet es una cruz entre el Internet y un Intranet. Un extranet es una sección de lared de la organización que se ha seccionado de modo que actúe como Intranet para lared privada pero también sirve la información hacia fuera al Internet público. Un extranetes a menudo reservado para uso de socios o de clientes específicos. Está raramente enuna red pública. Un extranet para la consumición pública típicamente se etiqueta unazona desmilitarizada (DMZ), o red del perímetro. Cuando estás diseñando una redsegura (si una red privada, un Intranet, o el extranet), allí es los dispositivos numerososdel establecimiento de una red que deben ser evaluados. No todos estos componentesson necesarios para una red segura, pero son todos los dispositivos comunes de la redque pueden tener un impacto en seguridad.
CortafuegosLos cortafuegos son herramientas esenciales en tráfico de manejo y de control de lared. Un cortafuego es un dispositivo de la red usado para filtrar el tráfico y se despliegatípicamente entre una red privada y un acoplamiento al Internet, pero puede serdesplegado entre los departamentos dentro de una organización. Sin los cortafuegos,no sería posible restringir tráfico malévolo del Internet al entrar en tu red privada. Tráficodel filtro de los cortafuegos basado en un sistema de reglas definido, también llamadolistas de los filtros o del control de acceso. Son básicamente un sistema de lasinstrucciones que se utilizan para distinguir tráfico autorizado de tráfico desautorizadoy/o malévolo. Solamente el tráfico autorizado se permite cruzar la barrera de laseguridad proporcionó por el cortafuego.Los cortafuegos son útiles para bloquear o filtrar tráfico. Son los más eficaces contratráfico y tentativas no solicitados de conectar fuera de la red privada y para bloqueardatos, mensajes, o los paquetes malévolos sabidos basados en contenido, el uso, el
76
protocolo, el puerto, o la dirección de la fuente. Son capaces de ocultar el esquema dela estructura y de dirección de una red privada del público. La mayoría de loscortafuegos ofrecen la registración extensa, la revisión, y la supervisión de capacidades,así como alarmar y funciones básicas del sistema de la detección de la intrusión(identificaciones). Los cortafuegos no pueden bloquear virus o el código malévolotransmitido a través de los canales de comunicaciones de otra manera autorizados,prevenir el acceso desautorizado pero accidental o previsto de la información por losusuarios, previene ataques de los usuarios malévolos ya detrás del cortafuego, oproteger los datos después de que pase o en de la red privada.
Los cortafuegos son solamente una porción de una solución total de la seguridad. Conun cortafuego, muchos de los mecanismos de la seguridad se concentran en un lugar, yasí pueden ser un solo punto de la falta. La falta del cortafuego es causada lo máscomúnmente posible por error y el misconfiguration humanos. Los cortafuegosproporcionan protección solamente contra el tráfico que cruza el cortafuego a partir deun subnet a otro. Ellos no ofrecer ninguna protección contra tráfico dentro de un subnet(detrás de un cortafuego).Hay cuatro tipos básicos de cortafuegos: cortafuegos de paquete-filtración estáticos,cortafuegos de la entrada del uso-nivel, cortafuegos de la entrada del circuito-nivel, ycortafuegos stateful de la inspección. Hay también maneras de crear cortafuegoshíbridos o complejos de la entrada combinando dos o más de estos tipos del cortafuegoen una sola solución del cortafuego. En la mayoría de los casos, tener un cortafuego deniveles múltiples proporciona mayor control sobre tráfico de filtración. Cueste lo quecueste, miremos los varios tipos del cortafuego y discutamos arquitecturas deldespliegue del cortafuego también.
Cortafuego de Paquete-Filtración estáticoUn cortafuego de paquete-filtración estático filtra tráfico examinando datos de un jefe demensaje. Generalmente, las reglas se refieren a fuente, a la destinación, y a direccionesdel puerto. Usando la filtración estática, un cortafuego no puede proporcionar laautentificación del usuario o decir de si un paquete originó dentro o fuera de la redprivada, y de ella se engaña fácilmente con spoofed los paquetes. Los cortafuegospacketfiltering estáticos se conocen como cortafuegos de primera generación; funcionanen la capa 3 (la capa red) del modelo de OSI. Pueden también ser llamados defenderlas routers o las routers comunes.
Cortafuego de la entrada del Uso-NivelUn cortafuego de la entrada del uso-nivel, también se llama un cortafuego de poder. Unpoder es un mecanismo ese los paquetes de las copias a partir de una red en otra; elproceso de copia también cambia la fuente y la dirección de destinación para proteger laidentidad de la red interna o privada. Una entrada del uso-nivel el cortafuego filtra eltráfico basado en el servicio del Internet (es decir, uso) usado para transmitir o pararecibir los datos. Cada tipo de uso debe tener su propio proxy server único. Así, uncortafuego de la entrada del uso-nivel abarca los servidores individuales numerosos delpoder. Este tipo de cortafuego negativamente afecta funcionamiento de la red porquecada paquete debe ser examinado y ser procesado mientras que pasa a través delcortafuego. las entradas del Uso-nivel se conocen como cortafuegos de segundageneración, y funcionan en la capa de uso (capa 7) del modelo de OSI.
Cortafuegos de la entrada del Circuito-Nivellos cortafuegos de la entrada del Circuito-nivel, se utilizan para establecer sesiones dela comunicación entre confiado en socios. Funcionan en la capa de sesión (capa 5) delmodelo de OSI. CALCETINES (zócalos, como adentro Los puertos del TCP/IP) son unapuesta en práctica común de un cortafuego de la entrada del circuito-nivel.
77
Cortafuegos de la inspección de StatefulLos cortafuegos de la inspección de Stateful evalúan el estado o el contexto del tráficode la red. Examinando fuente y direcciones de destinación, uso del uso, la fuente delorigen, y la relación entre los paquetes actuales y los paquetes anteriores de la mismasesión, los cortafuegos stateful de la inspección pueden conceder una gama másamplia del acceso para los usuarios autorizados y las actividades y activamente mirarlapara y bloquear usuarios desautorizados y actividades. Los cortafuegos de la inspecciónde Stateful funcionan generalmente más eficientemente que cortafuegos de la entradadel uso-nivel. Se conocen como cortafuegos de la tercero-generación, y funcionan enlas capas de la red y de transporte (capas 3 y 4) del modelo de OSI.
Cortafuegos del multihomedAlgunos sistemas del cortafuego tienen más de un interfaz. Por ejemplo, un cortafuegodel multihomed debe tener por lo menos dos interfaces para filtrar el tráfico (también seconocen como cortafuegos dual-homed). Todos los cortafuegos del multihomed debentener expedición del IP inhabilitados para forzar las reglas de filtración para controlartodo el tráfico más bien que permitir un atajo software-apoyado entre un interfaz y otro.Un bastion host o una a el anfitrión defendido es justo un sistema del cortafuegocolocado lógicamente entre una red privada y untrusted la red. Generalmente, el bastionhost está situado detrás de la rebajadora que conecta la red privada con untrusted lared. Todo el tráfico de entrada se encamina al bastion host, que alternadamente actúacomo poder para todos los sistemas confiados en dentro de la red privada. Esresponsable de filtrar el tráfico que entra en la red privada así como para la protecciónde la identidad del cliente interno. Un subnet defendido es similar al anfitrión defendidoen concepto, a menos que un subnet se ponga entre dos rebajadoras y el bastion hostestá situado dentro de ese subnet. Todo el tráfico de entrada se dirige al bastion host, ysolamente el tráfico proxied por el bastion host puede pasar a través de la segundarebajadora en la red privada.
Arquitecturas del despliegue del cortafuegoHay tres arquitecturas comúnmente reconocidas del despliegue del cortafuego: solo-grada, de dos niveles, y tres-grada (también conocida como de varias filas). Comopuedes ver en el cuadro 3.11, un despliegue de la solo-grada pone la red privada detrásde un cortafuego, que entonces está conectado a través de una rebajadora con Internet(o algún otro untrusted la red). los despliegues de la Solo-grada son útiles contragenérico ataques solamente. Esta arquitectura ofrece solamente la protección mínima.CUADRO 3.1.1 tres arquitecturas del despliegue del cortafuego
78
Una arquitectura de dos niveles del despliegue utiliza un cortafuego con tres o másinterfaces. Esto permite para un DMZ o un extranet público accesible. El DMZ se utilizapara recibir los sistemas del servidor de información a los cuales los usuarios externosdeben tener acceso. El cortafuego encamina tráfico al DMZ o red confiada en según susreglas de filtración terminantes. Esta arquitectura introduce un nivel moderado de laencaminamiento y de la complejidad de filtración.Una arquitectura del despliegue de la tres-grada es el despliegue de subnets múltiplesentre el privado la red y el Internet se separaron por los cortafuegos. Cada cortafuegosubsecuente tiene reglas de filtración más rigurosas para restringir tráfico solamente alas fuentes confiadas en. El subnet exterior es generalmente un DMZ. Un subnet mediopuede servir como subnet de la transacción donde residen los sistemas necesitadospara apoyar usos complejos de la tela en el DMZ. El tercer o back-end subnet puedeapoyar la red privada. Esta arquitectura es la más segura; sin embargo, es también lamás compleja a diseñar, a poner en ejecución, y a manejar.
Otros dispositivos de la redHay varias otras maneras de proteger una red. Utilizan a los repetidores, losconcentradores, y los amplificadores para consolidar la señal de comunicación sobre unsegmento del cable. Estos dispositivos pueden ser utilizados para ampliar la longitudmáxima de un cable específico mecanografiar desplegando unos o más repetidoresadelante un funcionamiento de cable muy largo. Los repetidores, los concentradores, ylos amplificadores funcionan en capa de OSI 1.Los Hubs los Hubs se utilizan para conectar sistemas múltiples en una topología de laestrella. Repiten tráfico de entrada sobre todos los puertos de salida. Esto se asegurade que el tráfico alcance su anfitrión previsto. Un cubo es un repetidor del multiport. Loscubos funcionan en capa de OSI 1.
79
Puente un puente se utiliza conectar dos redes juntas. Un puente remite tráfico a partirdel uno red a otra. Los puentes que conectan redes usando diversas velocidades de latransmisión pueden tener un almacenador intermediario para almacenar los paqueteshasta ellos puede ser remitido encendido a la red más lenta. Esto es conocido comodispositivo store-and-forward. Los puentes funcionan en capa de OSI 2.
Routers, los Routers se utilizan para controlar el trafico en redes y son de uso frecuenteconectar redes similares del control entre las dos. Pueden funcionar con estáticamentelas tablas o ellas definidas de encaminamiento pueden emplear un sistema dinámico dela encaminamiento. Hay numeroso la encaminamiento dinámica protocola, por ejemploRASGÓN, el OSPF, y el BGP. Las rebajadoras funcionan en capa de OSI 3.
Los interruptores de los interruptores se pueden utilizar en vez de cubos. Un interruptora menudo se llama un cubo inteligente porque sabe las direcciones de los sistemasconectados en cada puerto de salida. En vez de repitiendo tráfico en cada puerto desalida, un interruptor repite solamente tráfico fuera del puerto en el cual la destinaciónse sabe para existir. Los interruptores ofrecen mayor eficacia para la entrega del tráfico,crean dominios separados de la colisión, y mejoran el rendimiento de procesamientototal de datos. Los interruptores pueden también crear separar los dominios de ladifusión cuando está utilizado crear VLANs. En tales configuraciones, las difusionesestán permitido dentro de un solo VLAN pero no permitido para cruzarse a partir de unVLAN a otro. Interruptores funcionar sobre todo en capa de OSI 2. Cuando losinterruptores tienen características adicionales, tales como encaminamiento, puedenfuncionar en capa de OSI 3 también.
Gateways (Entrada), conecta las redes que están utilizando diversos protocolos de red.Una entrada es responsable de transferir tráfico a partir de una red a otra transformandoel formato de ese tráfico en una forma compatible con el protocolo o el método deltransporte usado por cada uno en la red. Hay muchos tipos de entradas, incluyendodatos, correo, aplicaciones, seguro, e Internet. Las entradas funcionan típicamente encapa de OSI 7.
82 la ISO del capítulo 3 _ modela, seguridad de la red, y los protocolos El poder de lospoderes A es cualquier sistema a nombre de el cualProxies, su realiza una función o solicita un servicio a otro sistema. Los proxies son losmás usados frecuente, proporcionar a clientes de una red privada el acceso a Internetmientras que protegen la identidad de los clientes. Un proxies acepta peticiones declientes, altera la dirección de la fuente del solicitante, mantiene las peticiones de losclientes, y envía los paquetes alterados de la petición hacia fuera. Una contestación serecibe una vez, el proxy server determina qué cliente es destinado para repasar susmappings y después envía los paquetes con destino al cliente.
Gerencia de la seguridad del acceso alejadoEn teleconmutación, o la conectividad remota o alejada, se ha convertido en unacaracterística común del computador del negocio. El acceso alejado es la capacidad deun cliente distante de establecer una sesión de comunicación mediante una red. Estopuede tomar la forma de usar un módem para marcar para arriba directamente a unservidor del acceso alejado, conectando con una red sobre el Internet con un VPN, oaún conectando con un servidor terminal sistema a través de una conexión del fino-cliente. Los primeros dos ejemplos utilizan a clientes completamente capaces.Establecen conexiones apenas como si fueron conectados directamente con el LAN. Elejemplo pasado, con el servidor terminal, establece una conexión de un cliente fino. En
80
tal situación, todas las actividades que computan ocurren en el sistema del servidorterminal más bien que en el cliente distante.Cuando las capacidades de acceso alejado se despliegan en cualquier ambiente, laseguridad debe ser considerada y puesto en ejecución para proporcionar la protecciónpara tu red privada contra el telecontrol tener acceso a las complicaciones. Los usuariosdel acceso alejado deben ser autenticados fuertemente antes de ser acceso concedido.Solamente esos usuarios que necesitan específicamente el acceso alejado para sustareas de trabajo asignadas deben ser concedidos el permiso de establecer conexionesalejadas. Todas las comunicaciones alejadas se deben proteger contra la interceptacióny escuchar detras de las puertas. Esto requiere generalmente solución del cifrado queproporciona la protección fuerte para ambos el tráfico de la autentificación así comotoda la transmisión de datos. Al contornear tu estrategia de la gerencia de la seguridaddel acceso alejado, ser seguro tratar ediciones de siguiente:
La tecnología alejadaCada tipo de conexión tiene sus propias ediciones de seguridad únicas. Examinarcompletamente cada aspecto de tus opciones de conexión. Esto puede incluir losmódems, DSL, ISDN, establecimiento de una red sin hilos, y módems de cable.
La protección de la transmisión allí es varias formas de protocolos cifrados, los sistemascifrados de la conexión, y los servicios o los usos cifrados de red. Utilizar la combinaciónapropiada de los servicios asegurados para tu telecontrol la conectividad necesita. Estopuede incluir VPNs, el SSL, TLS, Shell seguro (SSH), IPSec, y L2TP.
La protección de la autentificación además de datos de protección trafica, tú debetambién asegurarse de que todas las credenciales de la conexión están aseguradascorrectamente. Esto requiere el uso de un protocolo de la autentificación y puedeasignar el uso por mandato de un sistema centralizado de la autentificación del accesoalejado. Esto puede incluir Protocolo de autentificación de contraseña (PAP), protocolode la autentificación del apretón de manos del desafío (GRIETA), protocolo extensiblede la autentificación (EAP), dial alejado de la autentificación en usuario Servicio(RADIO), y sistema de control de acceso del Terminal Access Controller (TACACS).
Los usuarios alejados, el acceso alejado del usuario pueden requerir periódicamenteasistencia técnica. Debes establecer medios para proporcionar esto tan eficientementecomo sea posible. Esto puede incluir la dirección de las ediciones del software y delhardware, ediciones del entrenamiento de usuario, y así sucesivamente.
La capacidad de utilizar el acceso alejado o de establecer una conexión alejada debeestar rigurosamente controlada. Según lo mencionado anterior, solamente esosusuarios que requieren el acceso alejado para sus tareas de trabajo debe ser concedidotal acceso. Puedes controlar y restringir uso de la conectividad alejada usando losfiltros, las reglas, o los controles de acceso basados el identidad del usuario, identidaddel sitio de trabajo, protocolo, el uso, el contenido, y la hora. Para proporcionar laprotección y la restricción del acceso alejado solamente a los usuarios autorizados,puedes utilizar servicio repetido y el servicio repetido de la identificación de llamador esun mecanismo que desconecta a usuario alejado sobre contacto inicial y despuésprocura inmediatamente volver a conectar a ellas que usan un número de teléfonopredefinido (es decir, el número definido en la base de datos de la seguridad de lacuenta del usuario).
El servicio repetido tiene un modo definido por el usario. Sin embargo, este modo no seutiliza para la seguridad; se utiliza para invertir cargas del peaje a la compañía más bien
81
que a cargar al cliente alejado. La verificación de la identificación de llamador se puedeutilizar para el mismo servicio repetido del propósito es utilizada verificando lalocalización física (vía número de teléfono) del usuario autorizado. Debe ser unelemento estándar en tu política de la seguridad ese no que sean los módemsdesautorizados presentar en cualquier sistema conectado con la red privada. Puedesnecesitar especificar más lejos esta política indicando que los sistemas portables debenquitar sus módems antes de conectar con la red o el cargador con un perfil del hardwareque inhabilite el driver de dispositivo del módem.
Red y protocoloMecanismos de seguridadEl TCP/IP es el protocolo primario usado en la mayoría de las redes y en el Internet. Esun protocolo robusto, pero tiene deficiencias numerosas de la seguridad. En un esfuerzode mejorar la seguridad del TCP/IP, muchos subprotocols, mecanismos, o usos se handesarrollado para proteger el secreto, la integridad, y la disponibilidad de datostransmitidos. Es importante recordar que incluso con el solo protocolo foundational delTCP/IP, hay literalmente centenares, si no millares, de protocolos individuales,mecanismos, y usos funcionando a través del Internet. Algunos de ellos se diseñan paraproporcionar servicios de seguridad. Algunos protegen la integridad, otras secreto, yotros proporcionan control de la autentificación y de acceso. En las seccionessiguientes, algunos de los mecanismos mas comunes de la seguridad de la red y delprotocolo se discuten.
Protocolos de VPNUn protocolo privado virtual de la red (VPN) se utiliza para establecer un túnelasegurado para las comunicaciones a través del untrusted la red. Esa red puede ser elInternet o una red privada. VPN puede ligar dos redes o dos sistemas individuales.VPNs puede ligar clientes, los servidores, las rebajadoras, los cortafuegos, y losinterruptores.El protocolo el hacer un túnel del Point-to-Point (PPTP) es un realce del PPP que creacifrado túneles entre las puntos finales de la comunicación. PPTP se utiliza en VPNs,pero es substituido a menudo por el protocolo el hacer un túnel de la capa 2 (L2TP), queutiliza IPSec para proporcionar el cifrado del tráfico para VPNs.
IP (IPSec) es un mecanismo estándar-basado para proporcionar el cifrado para eltráfico del TCP/IP del punto-topoint. IPSec tiene dos componentes o funcionesprimarios: Jefe de la autentificación (AH) y encapsulando la carga útil de la seguridad(ESPECIALMENTE). AH proporciona la autentificación, integridad, y nonrepudiation.Proporciona ESPECIALMENTE el cifrado para proteger el secreto de datostransmitidos, pero puede también realizar la autentificación limitada. IPSec es de usofrecuente en un VPN en transporte o modo del túnel. En modo del transporte, se cifranlos datos del paquete del IP pero el jefe del paquete no es. En modo del túnel, se cifra elpaquete entero del IP y un jefe nuevo se agrega al paquete para gobernar latransmisión a través del túnel. IPSec funciona en la capa 3 del modelo de OSI.
Asegurar los protocolos de comunicacionesLos protocolos que proporcionan los servicios de seguridad para los canales decomunicaciones application-specific se llaman los protocolos de comunicación seguros.La gerencia dominante simple para IP (SALTO) es una herramienta del cifrado usadapara proteger protocolos sessionless del datagrama. El SALTO fue diseñado paraintegrar con IPSec y funciones en la capa 3. El SALTO puede cifrar cualquiersubprotocol de la habitación del TCP/IP.
82
El cifrado del IP del software (SWIPE), es otro protocolo de la seguridad de la capa 3para el IP. Proporciona autentificación, integridad, y secreto usando un protocolo de laencapsulación.El Remote Procedure Call seguro (S-RPC), es un servicio de la autentificación y essimplemente los medios a prevenir la ejecución desautorizada del código en sistemasalejados.Asegurar los zócalos que la capa (SSL), es un protocolo del cifrado desarrollado porNetscape para proteger comunicaciones entre un web server y un web browser. El SSLse puede utilizar para asegurar el Web, E-mail, tráfico del ftp, o aún del telnet. Es unprotocolo sesión-orientado que proporciona secreto e integridad. Se despliega el SSLusando una llave de 40 pedacitos o una llave de 128 pedacitos.
Soluciones de seguridad en E-mailEl E-mail es intrínsecamente inseguro. El E-mail del Internet confía sobre todo en elSimple Mail Transfer Protocol (smtp). El smtp no proporciona ningún servicio deseguridad. De hecho, todo el E-mail transmitido sobre el Internet se transmite encleartext. Así, los mensajes que se interceptan o se sujetan a los ataques que escuchandetras de las puertas pueden ser leídos fácilmente. Los únicos medios de proporcionarla protección para el E-mail son agregar el cifrado a los usos del cliente usados. Lospárrafos siguientes describen cuatro soluciones comunes de la seguridad del E-mail.
Asegurar las extensiones multipropósito del correo del Internet (S/MIME) asegura latransmisión del E-mail y accesorios. S/MIME proporciona la protección a través delcifrado dominante público y de firmas digitales. Dos tipos de mensajes pueden serformados usando mensajes de S/MIME-signed y ser envueltos mensajes. Un mensajefirmado proporciona integridad y la autentificación del remitente. Un mensaje envueltoproporciona integridad, la autentificación del remitente, y el secreto.
Asegurar la transacción electrónica (SET), es un protocolo de la seguridad para latransmisión de transacciones sobre el Internet. El SISTEMA se basa en el cifrado deRivest, de Shamir, y de Adelman (RSA) y Estándar de cifrado de datos (DES). Tiene laayuda de las compañías importantes de la tarjeta de crédito, por ejemplo Visa yMastercard. El Privacy Enhanced Mail (PEM), es un mecanismo del cifrado del E-mailque proporciona la autentificación, integridad, secreto, y nonrepudiation. El PEM es unprotocolo de la capa 7 y utiliza RSA, DES, y X.509.
El aislamiento bastante buena (Pretty Good Privacy PGP) es un sistema dominantepúblico-privado a el cual utiliza el algoritmo de la IDEA cifrar los archivos y los mensajesdel E-mail. El PGP es un no estándar, sino algo un producto independientementedesarrollado que tiene ayuda ancha de los pueblos del Internet.
Protocolos de marcado manual- Dial-Up Protocols
Cuando se establece un acoplamiento alejado de la conexión, un cierto protocolo sedebe utilizar para gobernar cómo el acoplamiento se crea realmente y establecer unafundación común de la comunicación para otros protocolos al trabajo encima. Losprotocolos de marcado manual proporcionan esta función no sólo para losacoplamientos de marcado manual verdaderos pero también para los acoplamientos dealgún VPN.El Point-to-Point Protocol (PPP) es un protocolo full-duplex usado para la transmisióndel TCP/IP conexiones no-LAN del excedente de los paquetes varias, tales comomódems, ISDN, VPNs, relais del capítulo, y tan encendido. El PPP se apoya y esextensamente el protocolo del transporte de la opción para las conexiones de marcadomanual del Internet. La autentificación del PPP se protege con el uso de varios
83
protocolos, tales como GRIETA o PAP. El PPP es un reemplazo para el RESBALÓN ypuede apoyar cualquier protocolo del LAN, TCP/IP no justo.La línea serial Internet Protocol (RESBALÓN) es una más vieja tecnología desarrolladapara apoyar el TCP/IP conexiones seriales asincrónicas del excedente de lascomunicaciones, tales como cables seriales o terminal de marcado manual del módem.El RESBALÓN se utiliza raramente pero todavía se apoya en muchos sistemas. ElRESBALÓN puede apoyar solamente el IP, requiere direcciones estáticas del IP, noofrece ninguna detección de error o corrección, y no apoya la compresión.
Protocolos de autentificaciónDespués de que una conexión se establezca inicialmente entre un sistema alejado y unservidor o una red, la primera actividad que debe ocurrir es verificar la identidad delusuario alejado. Esto la actividad se conoce como autentificación. Hay varios protocolosde la autentificación que controlan cómo se intercambian las credenciales de laconexión y si o se cifran no esas credenciales durante transporte.El protocolo de la autentificación del apretón de manos Challenge HandshakeAuthentication Protocol(CHAP), es uno de los protocolos de la autentificaciónacoplamientos excesivos usados del PPP. La CHAP cifra usuarios y contraseñas.Realiza la autentificación usando un diálogo de la desafiar-respuesta que no puede serjugado de nuevo. AGRIETAR también periódicamente los reauthenticates el sistemaalejado a través de una sesión establecida de la comunicación para verificar persistenteidentidad del cliente alejado. Esta actividad es transparente al usuario. El protocolo deautentificación de contraseña (PAP), es un protocolo estandardizado de laautentificación para el PPP. El PAP transmite usuarios y contraseñas en el claro. Noofrece ninguna forma de cifrado; proporciona simplemente medios de transportar lascredenciales de la conexión del cliente al servidor de la autentificación.El protocolo extensible de la autentificación (EAP), es un marco para la autentificaciónen vez de protocolo real. EAP permite soluciones modificadas para requisitosparticulares de la seguridad de la autentificación, tales como soporte tarjetas elegantes,símbolo, y biométrica.
Servicios centralizados de autentificación remotosMientras que el acceso alejado se convierte en un elemento dominante en las funcionesdel negocio de una organización, está a menudo importante agregar capas adicionalesde seguridad entre los clientes alejados y la red privada.
Los servicios alejados centralizados de la autentificación, tales como RADIO yTACACS, proporcionan este suplemento capa de protección. Estos mecanismosproporcionan una separación de los procesos de la autentificación y de la autorizaciónpara los clientes alejados de eso realizados para el LAN o los clientes locales. Si elRADIO o los servidores de TACACS se comprometen siempre, después solamente seafecta la conectividad alejada, no resto de la red.
La autentificación alejada Dial-En el servicio del usuario (RADIO) se utiliza paracentralizar la autentificación de conexiones de marcado manual alejadas. Una red queemplea un servidor del RADIO se configura tan el servidor del acceso alejado pasa lascredenciales de marcado manual de la conexión del usuario al servidor del RADIO parala autentificación. Este proceso es similar al proceso usado por los clientes del dominioque envían las credenciales de la conexión a un regulador del dominio para laautentificación.El sistema de control de acceso del Terminal (TACACS) es un alternativa a RADIO.TACACS está disponible en tres versiones: TACACS original, TACACS extendido(XTACACS), y TACACS+. TACACS integra la autentificación y la autorización procesos.XTACACS guarda la autentificación, la autorización, y los procesos de la contabilidad
84
separado. TACACS+ mejora XTACACS agregando la autentificación del dos-factor.TACACS funciona semejantemente al RADIO y proporciona la misma funcionalidad queRADIO.
Servicios de la red y del protocoloOtro aspecto del establecimiento de una red es los servicios del protocolo usados paraconectar un LAN con las tecnologías de comunicación WAN. Un conocimiento básico deestos servicios es importante para cualquier persona que trabaja adentro un campo ouna porción de seguridad como encargado de red. Las secciones siguientes introducenuna cierta llave ediciones sobre varias tecnologías de comunicación WAN.
Técnicas del acceso alejado y de la teleconmutación Hay tres tipos principales detécnicas del acceso alejado: mantener el mando específico, a distancia, y la operaciónalejada del nodo. el acceso alejado Servicio-específico da a usuarios la capacidad deconectar remotamente con y de manipular o de obrar recíprocamente con un soloservicio, tal como E-mail. Telecontrol del mando a distancia concesiones de acceso unusuario alejado la capacidad de controlar completamente otro sistema que esfísicamente distante de ellos. El monitor y el teclado actúan como si estén conectadosdirectamente con el sistema alejado. La operación alejada del nodo es justa otronombre para la conectividad de marcado manual. Un sistema alejado conecta con unservidor del acceso alejado. Que el servidor provee del cliente alejado servicios de red yel acceso posible del Internet.La teleconmutación está realizando el trabajo en una localización con excepción de laoficina primaria. De hecho, hay una buena ocasión que realizas una cierta forma deteleconmutación como parte de tu trabajo actual. Los clientes de la teleconmutaciónpueden utilizar lo que sea de estas técnicas del acceso alejado establecer conectividadal LAN de sede.
Frame RelayEl Frame Relay es un mecanismo de la conexión de la capa 2 que utiliza tecnología deconmutación de conjunto de bits para establecer los circuitos virtuales entre las puntosfinales de la comunicación. Desemejante de líneas dedicadas o arrendadas, para quécoste se basa sobre todo en la distancia entre las puntos finales, el coste del relais delcapítulo se basa sobre todo en la cantidad de datos transferidos. La red del relais delcapítulo es un medio compartido a través qué circuitos virtuales se crean paraproporcionar comunicaciones del Point-to-Point. Todos los circuitos virtuales sonindependiente e invisibles de el uno al otro. Las compañías que usan el relais delcapítulo establecen un contrato confiado de la tarifa de la información (círculo) quegarantice una anchura de banda mínima para sus comunicaciones siempre. Sinembargo, si se requiere la anchura de banda adicional y el relais del capítulo la redpuede apoyar tráfico adicional, el circuito virtual puede ampliarse automáticamente parapermitir una tarifa más alta del rendimiento de procesamiento. El relais del capítulo esun servicio connection-oriented.
El Frame Relay requiere el uso del equipo terminal de datos (DTE) y de los datos circuit-terminating equipo (DCE) en cada punto de la conexión. El cliente posee el DTE, que
85
actúa como una rebajadora o un interruptor y provee de la red del cliente el acceso a lared del relais del capítulo. El abastecedor de servicio del relais del capítulo posee elDCE, que realiza la transmisión real de datos sobre el relais del capítulo tan bien comoestablece y mantiene el circuito virtual para el cliente.Hay dos tipos de circuitos virtuales: circuito virtual permanente (PVC) y circuito virtualcambiado (SVC). Un PVC es un circuito virtual predefinido que está siempre disponible.El circuito virtual puede ser cerrado abajo de cuando es parado, pero puede ser abiertode nuevo inmediatamente siempre que esté necesitado. Un SVC está más bién unaconexión de marcado manual. Cada vez que el cliente necesita transmitir datos sobrecapítulo Se establece el relais, un nuevo circuito virtual usando las mejores trayectoriasactualmente disponibles. Un PVC es como una radio o una radio de dos vías. Siempreque la comunicación sea necesaria, presionas el botón y el hablar del comienzo; la radioabre de nuevo la frecuencia predefinida automáticamente (es decir, el circuito virtual).Un SVC está más bién una radio de la onda corta o de jamón. Debes templar eltransmisor y el receptor a una nueva frecuencia cada vez que deseas comunicarse conalguien.
Otras tecnologías WANLos servicios cambiados de los datos del Multimegabit (SMDS) son un servicio sinconexión de la comunicación de la red. Proporciona anchura de banda en demanda y esun mecanismo preferido de la conexión para ligarse LANs alejado que se comunicainfrecuentemente. El SMDS es a menudo un competidor del relais del capítulo. X.25 esun más viejo protocolo WAN que utiliza un interruptor del portador para proporcionarconexiones end-to-end sobre un medio compartido de la red. Es el precursor paracapítulo el relais y funciona en mucho la misma manera. Sin embargo, el uso X.25 es eldeclinar debido a su funcionamiento y rendimiento de procesamiento más bajos tarifascuando está comparado al relais del capítulo o a la atmósfera. El AsynchronousTransfer Mode (atmósfera) es una tecnología de la célula-conmutación, en comparacióncon una tecnología de conmutación de conjunto de bits como el relais del capítulo. Laatmósfera utiliza los circuitos virtuales como el relais del capítulo, pero porque utilizamarcos o las células de tamaño fijo, puede garantizar rendimiento de procesamiento.Esto hace la atmósfera tecnología WAN excelente para la comunicación de la voz y delvídeo. La interfaz en serie de alta velocidad (HSSI) es un protocolo de la capa 1 usadopara conectar las rebajadoras y los multiplexores con los dispositivos de la conexión delrelais de la atmósfera o del capítulo.
El control de trasmisión de datos síncrona (SDLC), es un protocolo de la capa 2empleado por las redes con líneas dedicadas o arrendadas. El SDLC fue desarrolladopor IBM para las comunicaciones alejadas con la SNA sistemas. El SDLC es unprotocolo síncrono pedacito-orientado.El control de trasmisión de datos de alto nivel (HDLC) es un protocolo de la capa 2usado para transmitir líneas de comunicación síncronas del excedente de los datos. ElHDLC es un estándar de ISO basado en el SDLC de IBM. Ayudas del HDLCcomunicaciones full-duplex y Point-to-Point y conexiones de múltiples puntos, ofertas elcontrol de flujo, e incluye la detección y la corrección de error.El Integrated Services Digital Network (ISDN), es un mecanismo end-to-end digital delas comunicaciones. El ISDN fue desarrollado por las compañías del teléfono paraapoyar comunicaciones digitales de alta velocidad sobre el mismo equipo einfraestructura que se utiliza para llevar comunicaciones de voz. El ISDN está disponibleen dos variedades primarias: Interfaz de tarifa básico (BRI) e interfaz primario de latarifa (PRI). BRI proporciona dos canales de B para los datos y un canal de D para lagerencia de llamada. Cada uno El canal de B ofrece 64Kbps y el canal de D es 16Kbps.PRI proporciona hasta 23 canales de B y un canal de D (en 64Kbps). Así, una conexión
86
completa de PRI ISDN ofrece el rendimiento de procesamiento 1.544Mbps, igual queuna línea T1.
Evitar solos puntos de la falta
Cualquier elemento en tu infraestructura, ambiente físico, o personal puede ser un solopunto de la falta. Un solo punto de la falta es simplemente cualquier elemento quecausara tiempo muerto total o significativo si está comprometido, violado, o destruido,afectando la capacidad de miembros de tu organización de realizar tareas de trabajoesenciales. Evitar solos puntos de la falta significa diseñar tus redes y tu ambiente físicocon redundancia y reservas. El uso de los sistemas, dispositivos, y las soluciones concapacidades fault-tolerant son los medios de mejorar resistencia al solo punto de lasvulnerabilidades de la falta. Tomando camina para establecer medios de proporcionar elproceso alterno, capacidades del failover, y la recuperación rápida también ayudará enevitar solos puntos de la falta.
Servidores redundantesUsar los servidores redundantes es una opción fault-tolerant del despliegue. Losservidores redundantes pueden tomar formas numerosas. El reflejo del servidor es eldespliegue de un sistema de reserva junto con el primario sistema. Cada cambiorealizado al sistema primario se duplica inmediatamente al secundario sistema. Elvaulting electrónico es la colección de cambios en un sistema primario en a documentode la transacción o del cambio. Periódicamente, el documento del cambio se envía a unservidor del duplicado del offsite donde se aplican los cambios. Esto también se conocecomo procesamiento por lotes porque los cambios se duplican sobre intervalos másbien que en tiempo real. El meter en diario alejado es igual como el vaulting electrónicosalvo que cambios se envían inmediatamente al servidor del duplicado del offsite másbien que en hornadas. Esto proporciona una reserva más en tiempo real del servidor. Elsombrear de la base de datos es el meter en diario alejado a más de un servidorduplicado de la destinación. Puede haber uno o más duplicados del local y unos o másduplicados del offsite.
Otra forma de servidores redundantes está arracimando. El arracimar está desplegandodos o más duplicado servidores a fin de compartir la carga de trabajo de un uso misión-crítico. Los usuarios ven los sistemas arracimados como sola entidad. Un regulador deracimo maneja tráfico y entre a los sistemas arracimados para balancear la carga detrabajo a través de todos los servidores arracimados. Como cambios ocurren en uno delos sistemas arracimados, se duplican inmediatamente a el resto de los socios delracimo.
Soluciones de FailoverCuando existen los sistemas de reserva o los servidores redundantes, necesita ser losmedios por los cuales puedes el interruptor encima a la reserva en el acontecimiento elsistema primario se compromete o falla. Rollover, o el failover, está volviendo a dirigircarga de trabajo o tráfico a un sistema de reserva cuando el sistema primario falla. ElRollover puede ser automático o manual. El rollover manual, también conocido comorollover frío, requiere un administrador para realizar alguno cambia en la configuracióndel software o de hardware para cambiar traficar la carga encima de la llanura primariaa un servidor secundario. Con rollover automático, también conocido como rollovercaliente, el interruptor de primario al sistema secundario se realiza automáticamente tanpronto como se encuentre un problema. Dejar-seguros, a prueba de averías, y dejar-suaves son los términos relacionados con estas ediciones. Un sistema que es dejar-seguro puede recurrir a un estado seguro cuando se encuentra una violación del error o
87
de la seguridad. A prueba de averías es una característica similar, pero la seguridadhumana se protege en caso de un fallo del sistema. Sin embargo, estos dos términosson de uso frecuente alternativamente significar un sistema eso es seguro después deuna falta. Dejar-suave describe un refinamiento de la capacidad dejar-segura:solamente la porción de un sistema que encontró o experimentó la falta o abertura de laseguridad es lisiada o asegurada, mientras que el resto del sistema continúafuncionando normalmente.Una puesta en práctica específica de un sistema dejar-seguro sería el uso de losservidores de TFTP de almacenar configuraciones de dispositivo de la red. En caso deun fallo del sistema, corrupción de la configuración, o accionar la interrupción, lamayoría de los dispositivos de la red (tales como rebajadoras e interruptores) puede serhard-coded tirar su archivo de la configuración de un servidor de TFTP sobre reboot. Deesta manera, dispositivos esenciales de la red poder uno mismo-restauran rápidamente.El apagón es siempre un solo punto de la falta. Si se pierde la corriente eléctrica, todoelectrónico los dispositivos dejarán de funcionar. La dirección de esta debilidad esimportante si 24/7 uptime es esencial para tu organización. Las maneras de combatirediciones del apagón o de la fluctuación incluyen los acondicionadores de energía (esdecir, protectores de oleada), las fuentes de alimentación continuas, y los generadoreseléctricos del onsite.
INCURSIÓN-RAIDDentro de sistemas individuales, los dispositivos de almacenaje pueden ser un solopunto de la falta. Arsenal redundante de los discos independientes (RAID) está unmecanismo del dispositivo de almacenaje que utiliza impulsiones duras múltiplesadentro combinaciones únicas para producir una solución del almacenaje así como lacual proporciona un rendimiento de procesamiento mejor resistencia a la falta deldispositivo. Las dos técnicas del almacenaje primario empleadas por la INCURSIÓNestán reflejando y rayas. Las rayas pueden ser realzadas más a fondo almacenando lainformación de la paridad. Información de la paridad permite la recuperación o lareconstrucción en marcha de perdida los datos debido a la falta de una o más conduce.Hay varios niveles o formas de INCURSIÓN. Algunos de los niveles mas comunes de laINCURSIÓN se enumeran en la tabla 3.3
88
La INCURSIÓN (RAID) se puede poner en ejecución en hardware o en software. laINCURSIÓN Hardware-basada ofrece más protección confiable de la tolerancia delfuncionamiento y de avería. la INCURSIÓN Hardware-basada realiza todo el procesonecesario para el acceso multidrive en los reguladores de la impulsión. la INCURSIÓNSoftware-basada se realiza el proceso como parte del sistema operativo. Así, losrecursos de sistema se consumen en el manejo y usando la INCURSIÓN cuando sedespliega a través de software.Hay tres formas de intercambio de la impulsión de la INCURSIÓN: caliente, frío, ycalentarte. INCURSIÓN Caliente-intercambiable tiene en cuenta para que substituyeaslas impulsiones falladas sean quitadas y mientras que el servidor de anfitrión siguesiendo en servicio. los sistemas Frío-intercambiables de la INCURSIÓN requieren elservidor de anfitrión ser accionados completamente abajo antes las impulsiones falladaspueden ser quitadas y ser substituidas. la INCURSIÓN Caliente-intercambiable permiteimpulsiones falladas a ser quitado y es substituido inhabilitando la configuración de laINCURSIÓN vía el software, entonces el substituir conducir, y entonces volviendo apermitir la configuración de la INCURSIÓN. La INCURSIÓN es un ejemplo específico dela tecnología de Sistemas de disco resistentes de la avería (FRDS).
No importa qué los diseños y los mecanismos fault-tolerant tú emplean para evitar solospuntos de falta, las precauciones de la seguridad de ningún ambiente son completas sinuna solución de reserva. Las reservas son los únicos medios de proporcionar seguroconfiable contra de menor importancia y catastrófico pérdidas de tus datos. Para que unsistema de reserva proporcione la protección, debe ser configurado para almacenartodos los datos necesarios para apoyar tu organización. Debe realizar la operación dereserva como rápidamente y eficientemente como sea posible. Las reservas se debenrealizar sobre una base regular, tal como diario, semanal, o en tiempo real. Y lasreservas se deben probar periódicamente para verificar que ellas están funcionando yeso tus procesos del restore es adecuado. Una reserva no comprobada no puede serasumido para trabajar.
Resumen
89
Diseñando, desplegando, y la seguridad que mantiene en una red requiereconocimiento íntimo de las tecnologías implicadas en establecimiento de una red. Estoincluye los protocolos, servicios, comunicación mecanismos, topologías, el cablegrafiar,y dispositivos del establecimiento de una red.El modelo de OSI es un estándar contra el cual se evalúan todos los protocolos.Entendiendo cómo el modelo de OSI se utiliza y cómo se aplica a los protocolos delmundo real puede a diseñadores de sistema de ayuda y los administradores de sistemamejoran seguridad.Hay una amplia gama de los componentes de hardware que se pueden utilizar paraconstruir una red, no el lo menos de las cuales está el cablegrafiar ataban todos losdispositivos juntos. Entender las fuerzas y las debilidades de cada tipo que cablegrafíaes parte de diseñar una red segura.Hay tres tecnologías comunes del LAN: Ethernet, token ring, y FDDI. Cada uno puedeser desplegaban una red segura. Hay también varias topologías comunes de la red:anillo, autobús, estrella, y acoplamiento.La mayoría de las redes emplean el TCP/IP como el protocolo primario. Sin embargo,hay subprotocols numerosos, protocolos, servicios, y mecanismos de soporte de laseguridad que se pueden encontrar en un TCP/IP red. Una comprensión básica deestas varias entidades puede ayudar en diseñar y desplegar a asegurar la red. Estoscomponentes incluyen IPSec, SALTO, GOLPETAZO, SSL, S/MIME, SISTEMA, PEM,PGP, PPP, RESBALÓN, PPTP, L2TP, GRIETA, PAP, RADIO, TACACS, S-RPC, relaisdel marco, SMDS, X.25, Atmósfera, HSSI, SDLC, HDLC, e ISDN.
La gerencia de la seguridad del acceso alejado requiere que los diseñadores de sistemade la seguridad traten el hardware y componentes de software de la puesta en prácticajunto con ediciones de política, tarea de trabajo ediciones, y ediciones del cifrado.Además de las routers, hubs, switches, repeaters, gateways, and proxies, firewalls sonparte importante de la seguridad de una red. Hay cuatro tipos primarios de cortafuegos:el packetfiltering estático, entrada del uso-nivel, entrada del circuito-nivel, e inspecciónstateful.Evitar solos puntos de la falta incluye sistemas y soluciones fault-tolerant que incorporanen el diseño de un ambiente. Al diseñar un sistema fault-tolerant, debes cerciorarse deincluyes redundante o los sistemas reflejados, utilizan los servidores de TFTP, tratan lasediciones de la energía, INCURSIÓN (Raid) del uso, y mantener una solución dereserva.
Examen EsencialSaber las capas del modelo de OSI y qué protocolos se encuentran en cada uno. Lassiete capas y los protocolos apoyados por cada uno de las capas del modelo de OSIson como sigue:
A. Uso: HTTP, ftp, LPD, smtp, telnet, TFTP, EDI, POP3, IMAP, SNMP, NNTP, S-RPC, y SISTEMA
B. Presentación: protocolos del cifrado, tales como RSA y DES, y tipos del formato,por ejemplo ASCII, EBCDIC, tiff, JPEG, MPEG, y MIDI
Con formato: Con viñetas + Nivel: 1+ Alineación: 0.63 cm + Tabulacióndespués de: 1.27 cm + Sangría: 1.27cm, Punto de tabulación: 1.27 cm,Izquierda
90
C.Sesión: SSL, TLS, NFS, SQL, y RPCD.Transporte: SPX, TCP, y UDPE. Red: ICMP, RASGÓN, OSPF, BGP, IGMP, IP, IPSec, IPX, NACIONAL, y
SALTOF. Transmisión de datos: RESBALÓN, PPP, ARP, RARP, L2F, L2TP, PPTP, FDDI,
ISDNG.Comprobación: EIA/TIA-232, EIA/TIA-449, X.21, HSSI, SONET, V.24, y V.35H.Saber el modelo del TCP/IP y cómo se relaciona con el modelo de OSI. El
modelo del TCP/IP tiene cuatro capas: Uso, Anfitrión-a-Anfitrión, Internet, yacceso de red.
I. Saber los diversos tipos que cablegrafían y tus tarifas del longitud y máximas delrendimiento de procesamiento. Esto incluye STP, 10BaseT (UTP), 10Base2(thinnet), 10Base5 (thicknet), 100Base-T, 1000Base-T, y fiber-optic. Debestambién estar al corriente de las categorías 1 a 7 de UTP.
Estar al corriente de las tecnologías comunes del LAN, Éstos son Ethernet, token ring, yFDDI. También estar al corriente de análogo contra comunicaciones digitales; síncronocontra comunicaciones asincrónicas; banda base contra comunicaciones de bandaancha; difusión, multicast, y comunicaciones del unicast; CSMA, CSMA/CA, CSMA/CD,el pasar simbólico, e interrogación.Saber las topologías estándares de la red. Éstos son anillo, autobús, estrella, yacoplamiento.Tener un conocimiento cuidadoso del TCP/IP. Saber la diferencia entre el TCP y elUDP; ser al corriente de las cuatro capas del TCP/IP y cómo corresponden al modelo deOSI. Además, entender el uso de los puertos bien conocidos y estar al corriente de lossubprotocols.
Saber los dispositivos comunes de la red. Los dispositivos comunes de la red soncortafuegos, rebajadoras, cubos, puentes, repetidores, interruptores, entradas, ypoderes.
Entender los diversos tipos de cortafuegos. Hay cuatro tipos básicos de cortafuegos:estático paquete-filtración, entrada del uso-nivel, entrada del circuito-nivel, e inspecciónstateful.
Entender las ediciones alrededor de la gerencia de la seguridad del acceso alejado.Seguridad del acceso alejado la gerencia requiere que los diseñadores de sistema de laseguridad traten los componentes del hardware y de software de una puesta en prácticajunto con las ediciones relacionadas con la política, las tareas de trabajo, y el cifrado.
Estar al corriente de los varios protocolos y mecanismos que se pueden utilizar en LANsy WANs. Éstos son IPSec, SALTO, GOLPETAZO, SSL, S/MIME, SISTEMA, PEM, PGP,PPP, RESBALÓN, PPTP, L2TP, GRIETA, PAP, EAP, RADIO, TACACS, y S-RPC.
Saber los servicios del protocolo usados para conectar con el LAN y las tecnologías decomunicación WAN. Éstos son relais del capítulo, SMDS, X.25, atmósferas, HSSI,SDLC, HDLC, e ISDN. Entender las ediciones alrededor de solos puntos de la falta.Evitar solos puntos de la falta incluye sistemas y soluciones fault-tolerant que incorporanen el diseño de un ambiente. Los sistemas Faulttolerant incluyen sistemas redundanteso reflejados, los servidores de TFTP, y la INCURSIÓN. Debes también tratar lasediciones de la energía y mantener una solución de reserva.
91
Repasar las preguntas
93 Repasar las preguntas
1. ¿Cuál es la capa 4 del modelo de OSI?A. PresentaciónB. RedC. Trasmisión de datosD. Transporte
2. ¿Cuál es encapsulación?A. Cambiar la fuente y las direcciones de destinación de un paqueteB. Adición de un jefe y de un pie a los datos como baja el apilado de la OSIC. Verificar la identidad de una personaD. Evidencia de protección hasta que se ha recogido correctamente
3. ¿Qué capa del modelo de OSI maneja comunicaciones en modos a una cara, half-duplex, y full-duplex?A. UsoB. SesiónC. TransporteD. Físico
4. ¿Cuál del siguiente es el lo más menos posible resistente a la EMI?A. Thinnet delB. 10BaseT UTPC. 10Base5D. Cable coaxial
5. ¿Cuáles de los cables siguientes tienen la mayoría de las torceduras por pulgada?A. STPB. UTPC. 100Base-TD. 1000Base-T
6. ¿Cuál del siguiente no es verdad?A. El cable Fiber-optic ofrece tarifas muy altas del rendimiento de procesamiento.B. El cable Fiber-optic es difícil a la instalación.C. El cable Fiber-optic es costoso.D. El cable fiber-optic del excedente de las comunicaciones se puede golpearligeramente fácilmente.
7. ¿Cuál del siguiente no es una de las tecnologías mas comunes del LAN?A. EthernetB. ATMC. Token ringD. FDDI
8. ¿Qué tecnología del establecimiento de una red se basa en el estándar de IEEE802.3?A. EthernetB. Token ringC. FDDID. HDLC
92
9. ¿Cuál es una envoltura del TCP?A. Un protocolo de la encapsulación usado por los interruptoresB. Un uso que puede servir como cortafuego básico por el acceso de restricción basóen las identificaciones de usuario o sistema identificacionesC. Un protocolo de la seguridad protegía tráfico del TCP/IP sobre acoplamientos WAND. Un mecanismo al TCP/IP del túnel a través de las redes no-IP
10. ¿Cuáles de los protocolos siguientes son sin conexión?A. TCPB. UDPC. IPD. FTP
11. Examinando fuente y la dirección de destinación, el uso del uso, la fuente del origen,y la relación entre los paquetes actuales con los paquetes anteriores de la mismasesión, _________________ los cortafuegos pueden conceder una gama más ampliadel acceso para los usuarios autorizados y las actividades y activamente mirarla para ybloquear usuarios desautorizados y actividades.A. Paquete-filtración estáticaB. Entrada del Uso-nivelC. Stateful InspecciónD. Entrada del Nivel de Circuito
12. los cortafuegos _________________ se conocen como cortafuegos de la tercero-generación.A. Aplicación del nivel EntradaB. Stateful inspeccion.C. Entrada del Circuito-nivelD. Paquete-filtración estática
13. ¿Cuál del siguiente no es verdad con respecto a cortafuegos?A. Pueden registrar la información del tráfico.B. Pueden bloquear virus.C. Pueden publicar los alarmar basados en ataques sospechados.D. No pueden prevenir ataques internos.
14. ¿Cuál del siguiente no es un protocolo de la encaminamiento? OSPF del A. OSPFB. BGPC. RPCD. RIP
15. Un ___________________ es un cubo inteligente porque sabe las direcciones delos sistemas conectados en cada puerto de salida. En vez de repetir tráfico en cadapuerto de salida, repite traficar solamente fuera del puerto en el cual la destinación sesabe para existir.A. RepetidorB. InterruptorC. PuenteD. ROUTER
16. el ___________________ es un mecanismo estándar-basado para proporcionar elcifrado para el tráfico del TCP/IP del punto-topoint.A. UDPB. SSLC. IPSec
93
D. SDLC17. Qué sistema dominante público-privado de la seguridad fue desarrolladoindependientemente de estándares de la industria ¿pero tiene ayuda ancha de lospueblos del Internet?A. SLIPB. PGPC. PPTPD. PAP
18. ¿Qué protocolo de la autentificación no ofrece ningún cifrado o protección para lascredenciales de la conexión?A. PAPB. CHAPC. SSLD. RADIUS
19. el ___________________ es un mecanismo de la conexión de la capa 2 que utilizatecnología de conmutación de conjunto de bits para establecer los circuitos virtualesentre las puntos finales de la comunicación.A. ISDNB. FRAME RELAYSC. SMDSD. ATM
20. el ________________ es un mecanismo end-to-end digital de las comunicacionesdesarrollado por el teléfono compañías para apoyar el excedente de alta velocidad delas comunicaciones digitales el mismo equipo e infraestructura que se utiliza para llevarcomunicaciones de voz.
A. ISDNB. FRAME RELAYSC. SMDSD. ATM
Respuestas para repasar las preguntas
1. D. La capa de transporte es la capa 4. La capa de presentación es la capa 6, la capade trasmisión de datos es la capa 2, y la capa de red es la capa 3.
2. B. La encapsulación está agregando un jefe y un pie a los datos mientras que semueve con la capa de presentación abajo del apilado de la OSI.
3. B. La capa 5, sesión, maneja el simplex (uno-dirección), half-duplex (de dos vías,pero solamente uno la dirección puede enviar los datos a la vez), y full-duplex (de dosvías, en los cuales los datos se pueden enviar adentro ambas de las direccionescomunicaciones simultáneamente).
4. El 10BaseT UTP del B. es el lo más menos posible resistente a la EMI porque es sinblindaje. Thinnet (10Base2) y el thicknet (10Base5) son un tipo de cable coaxial, que seblinda contra la EMI.
5. El rendimiento de procesamiento de las ofertas 1000Mbps de la D. 1000Base-T y asídebe tener el número más grande de torceduras por pulgada. Cuanto más apretada esla torcedura (es decir, el número de torceduras por pulgada), cuanto más resistente el
94
cable es a interno e interferencia y la interferencia externas y cuanto mayor la capacidades así para el rendimiento de procesamiento (es decir, una anchura de banda más alta).
6. D. El cable Fiber-optic es difícil de golpear ligeramente.
7. B. Ethernet, el token ring, y el FDDI son tecnologías comunes del LAN. La atmósferaes más común adentro un ambiente WAN.
8. A. Ethernet se basa en el estándar de IEEE 802.3.
9. B. Una envoltura del TCP es un uso que puede servir como cortafuego básico por elacceso de restricción basado en las identificaciones de usuario o el sistemaidentificaciones.
10. El UDP del B. es un protocolo sin conexión.
11. Los cortafuegos de la inspección de la C. Stateful pueden conceder una gama másamplia del acceso para los usuarios autorizados y las actividades y activamente mirarlapara y bloquear usuarios desautorizados y actividades.
12. Los cortafuegos de la inspección del B. Stateful se conocen como cortafuegos de latercero-generación.
13. B. La mayoría de los cortafuegos ofrecen la registración extensa, la revisión, y lasupervisión de capacidades así como alarmar e incluso funciones básicas de lasidentificaciones. Los cortafuegos no pueden bloquear virus o el código malévolotransmitido a través de los canales de comunicaciones de otra manera autorizados,previene desautorizado pero accidental o el acceso previsto de la información de losusuarios, previene ataques de los usuarios malévolos ya detrás del cortafuego, oprotege datos después de él pasó o en de la red privada.
14. C. Hay protocolos dinámicos numerosos de la encaminamiento, incluyendoRASGÓN, el OSPF, y el BGP, pero el RPC no es un protocolo de la encaminamiento.
15. B. Un interruptor es un cubo inteligente. Se considera ser inteligente porque sabelas direcciones de los sistemas conectados en cada puerto de salida.
16. La C. IPSec, o la seguridad del IP, es un mecanismo estándar-basado paraproporcionar el cifrado para el tráfico del TCP/IP del punto-topoint.
17. B. La aislamiento bastante buena (PGP) es un sistema dominante público-privadoque utiliza el algoritmo de la IDEA para cifrar archivos y mensajes del E-mail. El PGP esun no estándar sino algo un producto independientemente desarrollado que tiene ayudaancha de los pueblos del Internet.
18. El A. PAP, o el protocolo de autentificación de contraseña, es un protocoloestandardizado de la autentificación para el PPP. El PAP transmite usernames ycontraseñas en el claro. No ofrece ninguna forma de cifrado. Proporciona simplementemedios de transportar las credenciales de la conexión del cliente al servidor de laautentificación.
19. B. El relais del capítulo es un mecanismo de la conexión de la capa 2 que utilizatecnología de conmutación de conjunto de bits para establecer los circuitos virtualesentre las puntos finales de la comunicación. La red del relais del capítulo es un mediocompartido a través de el cual los circuitos virtuales se crean para proporcionar
95
comunicaciones del Point-to-Point. Todos los circuitos virtuales son independiente einvisibles de el uno al otro.
20. El A. ISDN, o el Integrated Services Digital Network, es un mecanismo end-to-enddigital de las comunicaciones. El ISDN fue desarrollado por las compañías del teléfonopara apoyar comunicaciones digitales de alta velocidad sobre el mismo equipo einfraestructura que se utiliza para llevar comunicaciones de voz.
96
CAPITULO 4
Con formato: Número de columnas:1, Ancho columna nº 1: 15.24 cm
97
Seguridad enComunicaciones y contramedidas
Los datos que residen en una forma estática en un dispositivo de almacenaje sonbastante simples de asegurar. Mientras el control de acceso físico es mantenido y loscontroles lógicos de acceso son ejecutados, los archivos almacenados seguirán siendoconfidenciales, conservaran su integridad, y estarán disponibles para los usuariosautorizados. Sin embargo, una vez que los datos sean utilizados por un uso otransferidos sobre una conexión de red, el proceso de asegurarla llega a ser mucho másdifícil. La seguridad de comunicaciones cubre una amplia gama de hechos relacionadoscon el transporte de la información electrónica de un lugar a otro. Ese transporte puedeestar entre los sistemas encendidos a lados opuestos del planeta o entre los sistemasen la misma red del negocio. Los datos se convierten vulnerables a una plétora deamenazas que pueden afectar a su confidencialidad, integridad, y disponibilidad una vezque esta se ve implicada en cualquier medio del transporte. Afortunadamente, muchasde estas amenazas se pueden reducir o eliminar con las contramedidas apropiadas.
La seguridad de comunicaciones se diseña para detectar, previene, e incluso corregirerrores en el transporte de datos. Esto es hecho para sostener la seguridad de redesmientras se apoya la necesidad de intercambiar y de compartir datos. Este capítulohecha un vistazo a las diversas formas de seguridad en comunicaciones,vulnerabilidades, y contramedidas. Las telecomunicaciones y el dominio de laseguridad de la red para el examen de la certificación de CISSP puntualizan con temasde seguridad de comunicaciones y contramedidas a las vulnerabilidades. Este dominiose discute en este capítulo y en el capítulo precedente (capítulo 3). Ser seguro leer yestudiar los materiales de ambos capítulos para asegurar la cobertura completa delmaterial esencial para el examen de la certificación de CISSP.
Red Virtual Privada (VPN)
Una red virtual privada (VPN) es simplemente un túnel de comunicación queproporciona transmisión punto a punto autorizado de ambos lados y tráfico de datasobre una red intermediaria. La mayoría de las VPNs usan la encriptación para protegerel tráfico encapsulado, pero la encriptación no es necesaria para la conexión a serconsiderada como un VPN. VPNs son comúnmente asociadas con establecer caminosde comunicación seguros a través de Internet entre dos redes distantes. Sin embargo,las VPNs pueden existir en cualquier lugar, incluyendo conexiones entre redes privadaso entre los sistemas del usuario final conectados con una ISP. VPNs proporcionaconfidencialidad e integridad sobre inseguridad y redes intermedias no confiables. LasVPNs no proporcionan ni garantiza disponibilidad.
Con formato: Ancho columna nº 1:15.24 cm
98
Tunneling
Antes de que puedas verdaderamente entender VPNs, debes primero entenderTunneling. Hacer un túnel es el proceso de comunicación de red que protege elcontenido de los paquetes de protocolo por medio del encapsulamiento de estos enpaquetes de otro protocolo. El encapsulamiento es el que crea la ilusión lógica de untúnel de comunicaciones sobre una red intermedia no confiable. Esta trayectoria virtualexiste entre el encapsulameinto y el desencapsulameinto de las entidades situadas enlos finales de la comunicación. De hecho, enviar una carta a tu abuela implica el uso deun sistema que hace como un túnel. Tu creas la carta personal (el contenido principalun paquete de protocolo) y se coloca en un sobre (el protocolo hace una especie detúnel). El sobre se es entregado a través del servicio postal (la red intermedia noconfiable) a su destinatario.
La necesidad de Tunneling
Tunneling puede ser puede utilizar en muchas situaciones, por ejemplo cuando estáspuenteando cortafuegos, gateways, proxies, u otros dispositivos de control de tráfico. Elpuente es alcanzado encapsulando el contenido restringido dentro de los paquetes queson autorizados para la transmisión. El proceso de hacer un túnel previene el control deltráfico de los dispositivos del bloqueo o caigan de la comunicación porque talesdispositivos no saben lo que realmente contienen los paquetes.
Tunneling se usa frecuente para permitir las comunicaciones entre los sistemas dealguna forma desconectados. Si dos sistemas son separados por una carencia de laconectividad en la red, un puente de comunicaciones puede ser establecido por unmodem dial-up u otro acceso remoto u otro servicio de la amplia red (WAN). El tráficoreal de la LAN es encapsulado en cualquier protocolo de comunicación utilizado por laconexión temporal, tal como los protocolos de punto a punto (PPP) en el caso de losmodem dial-up. Si dos redes son conectadas por una red que emplea un protocolodiferente, el protocolo de las redes separadas puede frecuentemente ser encapsuladodentro de los protocolos de la red intermediaria para proveer un camino decomunicación.
Sin importar la situación real, Tunneling protege el contenido el contenido del protocolointerno y el trafico de paquetes por encajonando, o la envolvimiento, ello en un protocoloautorizado usado por la red intermediaria o la conexión. Tunneling puede ser usado si elprotocolo primario no es direccionable y para guardar el número total de protocolossoportados sobre la red a un mínimo.Si el hecho de encapsular un protocolo implica el encriptamiento, tunneling puedeproporcionar el medio para transportar datos sensibles a través de redes intermedias noconfiables sin el miedo de perder confidencialidad e integridad.
Desventajas del Tunneling
Tunneling no esta sin sus problemas. Esto es generalmente un medio ineficaz decomunicación porque todos los protocolos incluyen su propia detección de errores, elreconocimiento del manejo de errores, y el manejo de las características de sesión,entonces la utilización de más que un protocolo a la vez compone el elevadorequerimiento para comunicar un mensaje solo. Además, tunneling crea paquetes másgrandes o más numerosos que en ejecución consumen la amplitud de banda de redadicional. Tunneling rápidamente puede saturar una red si la amplitud de bandasuficiente no está disponible. Además, tunneling es un mecanismo de comunicación depunto a punto y no es diseñado para manejar el tráfico de broadcast.
99
Como trabajo VPN
Ahora que usted entiende lo básico de tunneling, discutiremos los detalles de VPNS.Una conexión VPN puede ser establecido sobre cualquier otra conexión decomunicación de red. Esto podría ser una conexión de cable de LAN típica, unaconexión de LAN inalámbrica, una conexión remota de acceso dial-up, una conexiónWAN, o aún un cliente que usa una conexión a Internet para el acceso a un LAN deoficina. Un enlace a VPN actúa justo como una conexión de cable de LAN típica directa;la única diferencia posible sería la velocidad basada en la red intermediaria y en lostipos de conexión entre el sistema de cliente y el sistema de servidor. Sobre un enlacede VPN, un cliente puede realizar exactamente las mismas actividades y tener acceso alos mismos recursos que ellos podrían si estuvieran directamente conectados víaconexión LAN.
VPNs puede ser usado para conectar dos sistemas individuales o dos redes enteras. Laúnica diferencia es que los datos transmitidos son protegidos sólo mientras estén dentrodel túnel VPN. Servidores de acceso remotos o cortafuegos en la frontera de la redactúan como los puntos de principio y puntos fina para las VPNS. Así, el tráfico esta sinprotección dentro del fuente LAN, protegido entre la frontera VPN servidores, y luegouna vez mas sin protección hasta que alcanza el destino de la LAN.Los enlaces VPN a través de Internet para unirse a redes distantes son alternativas amenudo baratas para dirigir enlaces o líneas arrendadas. El coste de dos enlaces dealta velocidad de Internet a un ISPs local para soportar una VPN es a menudoconsiderablemente menos que el coste de cualquier otro medio de conexión disponible.
Implementando VPNs
VPNs puede ser puesto en práctica usando soluciones de hardware o software. En unou otro caso, hay cuatro protocolos comunes VPN: PPTP, L2F, L2TP, y IPSEC. PPTP,L2F, y L2TP funcionan en la capa de Enlace de datos (la capa 2) del modelo de OSI.PPTP y IPSEC son limitados para el empleo sobre IP conecta a una red, mientras queL2F y L2TP pueden ser usados para encapsular cualquier protocolo de LAN.El protocolo del tunning point-to-point (PPTP) es un protocolo de encapsulamientodesarrollado por el del Protocolo dial-up del protocolo point-to-point (de PPP). PPTPcrea un túnel point-to-point entre dos sistemas y encapsula los paquetes PPP. PPTPofrece la protección para el tráfico de autenticación por los mismos protocolos deautenticación apoyados por PPP; a saber, Protocolo de Autenticación MicrosoftChallengeHandshake Authentication (MS-CHAP), Protocolo de Autenticación ChallengeHandshake (CHAP), Protocolo de Autenticación de Contraseña (PAP), ProtocoloExtensible De autenticación (EAP), y Protocolo de Autenticación de Contraseña Shiva(SPAP). El proceso inicial de negociación del túnel por PPTP no encriptado. Así, lospaquetes de establecimiento de sesión que incluyen la dirección IP del remitente y elreceptor - y pueden incluir usuarios y contraseñas hashed – podrían ser interceptadaspor un tercero.
Cisco desarrolló su propio protocolo VPN llamado Layer 2 Forwarding (L2F), que es unaautenticación mutua del mecanismo de tunneling. Sin embargo, L2F no ofrece elencriptamiento. L2F extensamente no fue desplegado y pronto fue substituido por L2TP.
Layer 2 Tunneling Protocol (L2TP)Tunneling fue sacado por combinación de elementos tanto de PPTP como de L2F.L2TP crea un túnel punto a punto entre los puntos de comunicación finales. Esto carecede un esquema de encriptamiento empotrado, pero esto típicamente relacionado con
100
IPSEC como su mecanismo de seguridad. L2TP también apoya TACACS + Y RADIUS,mientras que PPTP no lo hace.El protocolo más comúnmente usado en VPN es ahora IPSec.Seguridad IP (IPSec)Son ambos un protocolo VPN independiente y el mecanismo de seguridad para L2TO, yeste sólo puede ser usado para el tráfico IP.
Traducción de direcciones de Red
Escondiendo la identidad de clientes internos, enmascarando el diseño de su redprivada, y manteniendo el costo de adquisición de las direcciones IP públicas en unmínimo, esto es hecho simplemente con el empleo de NAT.La Traducción de Dirección (NAT) es un mecanismo para convertir las direcciones IPinternas encontradas en la cabecera del paquete en direcciones IP publicas para latransmisión sobre Internet. NAT ofrece numerosas ventajas, como la capacidad deconectar una red entera a la Internet usando un solo IP publico (o solo unos cuantos).NAT permite usar las direcciones de IP privadas definidas en RFC 1918 en una redprivada mientras todavía siendo capaz de comunicarse con la Internet. NAT protege unared por ocultando el IP la dirección del esquema y la topografía de red de la Internet.NAT puede ser encontrado en un número de dispositivos de hardware y productos desoftware, incluyendo cortafuegos, routers, gateways, y proxis. Esto sólo puede serusado sobre redes de IP y funciona en la capa de Red (encamarse 3).
Dirección IP Privada
El empleo de NAT ha proliferado recientemente debido a la creciente escasez de lasdirecciones IP públicas y a las preocupaciones por la seguridad. Con sóloaproximadamente cuatro mil millones de direcciones (2^32) disponible en IPV4, elmundo simplemente han desarrollado más dispositivos usando IP que las direcciones IPúnicas disponibles. Por suerte, los tempranos diseñadores de la Internet y el protocoloTCP/IP tenían la previsión buena y dejaron de lado unos bloques de direcciones paraempleo privado sin restricción. Estas direcciones IP, comúnmente llamado dirección IPprivada, es definido en RFC1918. Estos son así:
10.0.0.0-10.255.255.255 (amplia cantidad de Clase A) 172.16.0.0-172.31.255.255 (16 rangos de clase B) 192.168.0.0-192.168.255.255 (255 rangos de Clase)
Todos los routers y dispositivos que dirigen tráfico son configurados por defecto para noexpedir el tráfico a esas direcciones IP. En otras palabras, las direcciones de IPprivadas no son routables por defecto. Así, estas no pueden ser usadas directamentepara comunicarse en Internet. Sin embargo, estas fácilmente pueden ser usadas sobreredes privadas donde los routers no son empleados o donde modificaciones leves aconfiguraciones routers son hechas. El empleo de las direcciones IP privadas junto conNAT reduce enormemente el costo de conexión a Internet permitiendo que menos IPpúblicas deban ser adquiridas de un ISP.
Stateful NATNAT funciona para el manteniendo de una clasificación entre peticiones hechas por elcliente interno, una dirección IP interna de un cliente, y la dirección IP del contacto delservicio de Internet. Cuando un paquete de petición es recibido por NAT desde uncliente, este cambia la dirección de la fuente en el paquete del cliente al servidor deNAT.
101
Este cambio es registrado en la base de datos de NAT con la dirección de destino. Unavez que una respuesta es recibida del servidor de Internet, NAT empareja la direcciónde la fuente de la respuesta a una dirección almacenada en su base de datos y luegousa la dirección de cliente unida para redireccionar el paquete de respuesta a su destinoesperado. Este proceso es conocido como stateful NAT porque esto mantiene lainformación sobre las sesiones de comunicación entre clientes y sistemas externos.
NAT puede funcionar en una base personalizada con sólo un cliente interno capaz decomunicar más de uno de sus direcciones IP públicos a la vez. Este tipo deconfiguración puede causar un embotellamiento si es que el numero de clientesintentan acceder a intente es superior que las direcciones IP publicas con las que secuenta. Por ejemplo, si hay sólo cinco direcciones IP publicas, el sexto cliente debeesperar hasta que un de las direcciones dirección sea liberada antes de que suscomunicaciones pueden ser transmitidas fuera sobre Internet. Otras formas de empleode NAT que multiplexa técnicas en las cuales los números de puerto son usados parapermitir al tráfico de múltiples clientes internos que serán manejados sobre una simpledirección IP pública adquirida.
Tecnologías de SwitchCuando dos sistemas (ordenadores individuales o LANs) son conectados sobremúltiples redes intermediarias, la tarea de transmitir paquetes de datos de un al otro esun proceso complejo. Para Simplificar esta tarea, le tecnología de del switching fuerondesarrollada. La primera tecnología de conmutación es un circuito es la conmutación delcircuito.
Circuit SwitchingAl principio fue desarrollado para manejar llamadas telefónicas sobre la red telefónicapor conmutación. En la conmutación de circuito, la trayectoria física dedicada es creadaentre las dos partes de la comunicación. Una vez que una llamada es establecida, elenlace entre las dos partes deja lo mismo en toda la conversación. Esto asegura lacontinuidad de la transmisión, el nivel uniforme de calidad, y poca o ninguna pérdida deinterrupciones de comunicación o señal. Los sistemas de Circuitswitching empleanpermanentemente, conexiones físicas. Sin embargo, el término permanente se aplicasólo a cada sesión de comunicación.El camino esta permanentemente a través de la conversación.Una vez que el camino es desconectado, si los dos partes se comunican otra vez, uncamino diferente puede ser montado. Durante una conversación, el mismo camino físicoo electrónico es usado en todas partes de la comunicación y es usado sólo para esacomunicación. Circuit switching otorga uso exclusivo de del camino de la comunicaciónhacia la comunicación vigente entre las partes. Sólo después de que una sesión ha sidocerrada un camino puede ser reutilizado por otra comunicación.
Packet SwitchingA la larga, como las comunicaciones de ordenador aumentaron a diferencia decomunicaciones de voz, una nueva forma de conmutación fue desarrollada. Laconmutación de paquete ocurre cuando el mensaje o la comunicación son rotos enpequeños segmentos (por lo general paquetes de longitud fija, dependiendo de losprotocolos y tecnologías empleadas) y enviados a través de las redes intermediariashacia el destino. Cada segmento de datos tiene su propia cabecera que contiene lafuente y el destinatario de la información. La cabecera es leída por cada sistemaintermediario y es usada para rutear cada paquete a su destinación previsto.Cada canal o camino de comunicación es reservado para el uso solo mientras unpaquete esta siendo transmitido. En cuanto el paquete es enviado, el canal es habilitadopara otras comunicaciones. La conmutación de paquete no exige exclusivamente
102
cumplir con los caminos de comunicaciones. La conmutación de paquete puede servista como una tecnología de transmisión lógica porque la lógica de direccionamientodicta como las comunicaciones atraviesan las redes intermediarias entre las partes.
La tabla 4.1 muestra una comparación entre la conmutación de circuito y la conmutaciónde paquete.
Circuit Switching Packet Switching
Trafico constante Trafico entrecortadoCorreccion de los retrasos conocidos Retrasos variablesOrientado a la conexion No orientado a la conexionSensible a perdida de conexion Sensible a perdida de dataUsado primeramente para voz Usado para cualquier tipo de trafico
Virtual CircuitsDentro de sistemas que intercambian paquete existen dos tipos de caminos decomunicación, o circuitos virtuales. Un circuito virtual es un camino lógico o el circuitocreado sobre una red de paquetes entre dos puntos finales específicos. Hay dos tiposde circuitos virtuales: circuitos virtuales permanentes (PVCs) y circuitos virtualescambiantes (SVCs). Un PVC es como una línea dedicada, el circuito lógico siempreexiste y esta a la espera del cliente para enviar datos. Un SVC es más bien unaconexión dial-up porque un circuito virtual tiene que ser creado antes de que esto puedasea usado y luego desensamblado después de que la transmisión es completa.En este tipo de circuito virtual, cuando un paquete de datos entra al punto A de unaconexión de circuito virtual, aquel paquete es enviado directamente para señalar elpunto B u otro final del circuito virtual. Sin embargo, el camino real de un paquete puedeser diferente que el camino de otro paquete de la misma transmisión. En otras palabras,múltiples caminos pueden existir entre el punto A y el punto B como los finales delcircuito virtual, pero cualquier paquete que entra en el punto A terminara en el punto laB.
Tecnologías WANLas WAN enlaces y las tecnologías de conexion de larga distancia pueden ser divididasen dos categorías primarias: líneas dedicadas y no dedicadas. Una línea dedicada esaquella que indefinidamente y continuamente es reservada para el uso por un clienteespecífico. Una línea dedicada esta siempre conectada y esperando por trafico. Elenlace entre la LAN del cliente y el enlace WAN está siempre abierto y establecido. Unalínea dedicada conecta dos puntos finales específicos y sólo esos dos puntos. Una líneano dedicada es aquella que requiere que una conexión sea establecida antes de que latransmisión de información pueda ocurrir. Una línea no dedicada puede ser usada paraconectarse con cualquier sistema remoto que usa el mismo tipo de línea no dedicada.
La siguiente lista incluye algunos ejemplos de líneas dedicadas:
Tecnología Tipo de conexión VelocidadSeñal Digital Nivel 0 (DS-0) Partial T1 64Kbps up to 1.544Mbps
Señal Digital Nivel 1 (DS-1) T1 1.544Mbps
Señal Digital Nivel 3 (DS-3) T3 44.736Mbps
103
Transmisión Digital Europeaformato 1
E1 2.108Mbps
Transmisión Digital Europeaformato 3
E3 34.368Mbps
Cable modem o cable derouter
up to 1.544Mbps
Los Módems estándar, DSL, e ISDN son los ejemplos de líneas no dedicadas. La líneade suscriptor digital (DSL) es una tecnología que explota la red telefónica mejoradapara conceder velocidades de consumidores de 144Kbps a 1.5Mbps. Hay numerososformatos de DSL, como ADSL, xDSL, CDSL, HDSL, SDSL, RASDSL, IDSL, y VDSL.Cada formato varía en cuanto al específico receptor y emisor de banda proporcionada.El máximo de distancia que una línea DSL puede ser usada es en una central office (p.ej., un tipo específico de nodo de distribución de la red telefónica) es aproximadamente1,000 metros de cobertura.Los Servicios Integrados de la Red Digital (ISDN) son una completa red de teléfonosdigitales que son soportados tanto voz como comunicaciones de datos de altavelocidad. Hay dos clases estándar o formatos de servicio de ISDN: BRI Y PRI. ElInterfaz de Tarifa Básico (BRI) ofrece una conexión a clientes con 2 canales B y 1 canalD. Los canales de B apoyan un rendimiento de 64Kbps y son usados para latransmisión de información. El canal de D es usado para el establecimiento de llamada,la dirección, y teardown y tiene una amplitud de banda de 16Kbps. Incluso aunque elcanal de D no fuera diseñado para apoyar transmisiones de información, BRI ISDN,como se dice, ofrece a consumidores 144Kbps de rendimiento total. El Interfaz de TarifaPrimario (PRI) ofrece una conexión a consumidores con 2 a 23 64Kbps canales de B yun solo 64Kbps el canal de D.WAN Connection TechnologiesHay numerosas tecnologías de conexión WAN disponibles para empresas quenecesitan servicios de comunicación entre múltiples ubicaciones y compañeros aúnexternos. Estas tecnologías WAN varían enormemente en el coste y el rendimiento. Sinembargo, la mayor parte del rasgo común debe ser transparente a las LANs unidas osistemas. Una WAN, especializada en routers, o dispositivos de conexion proporcionatodo lo que la interface necesita entre el servicio de portador de red y el LAN de unaempresa. Los equipos en la frontera de conexión son llamados canal de serviciosunidad/datos unidad de servicio (CSU/DSU). Estos convierten señales de la LAN en elformato usado por la red WAN y viceversa.Estos convierten señales de LAN en el formato usado por la red WAN. El CSU/DSUcontiene el equipo de finalización de circuito de equipo/datos de terminal de datos(DTE/DCE), que proporciona el punto de conexión real para el router de la LAN (el DTE)y la red WAN (DCE). EL CSU/DSU actúa como un traductor, un dispositivo almacenar yenvía, y un acondicionador de enlace. Una red WAN conmutada es simplemente unaversión especializada de una red LAN que es construido con CSU/DSU empotrado paraun tipo específico de red. Hay muchos tipos de redes, o tecnologías de conexión WAN,como X.25, Frame Relay, ATM, y SMDS:
Conexión WAN X.25X.25 es una tecnología packet-switching que extensamente es usada en Europa.Esto usa permanente circuitos virtuales para establecer conexiones point-to-pointespecíficas entre dos sistemas o redes.
Conexión Frame RelayComo X.25, Frame Relay es una tecnologia packet-switching que tambien usa PVCs.Por otro lado a diferencia de X.25, Frame Relay soporta multiples PVCs sobre elservicio de conexión WAN. Un concepto clave relacionado a Frame Relay es la Tarifa
104
de Información Comprometida (CIR). El CIR es la amplitud de banda mínimagarantizada que un proveedor de servicio concede a sus clientes.Esto es por lo general considerablemente menor que la capacidad real máxima de lared del proveedor.Cada cliente puede tener CIR diferente. El proveedor de red de servicio puede permitir alos clientes aumentar su CIR en intervalos cortos cuando la amplitud de banda adicionalestá disponible.El Frame Relay funciona en la capa 2 (capa de Enlace de transmisión) del modelo deOSI. Esto es una tecnología orientada a conexión de la tecnología packet-switching.
ATMModo asincronico de transmission (ATM) es una tecnología de comunicación WAN cell-switching. Esta segmenta la comunicación en celdas de 53 bytes de longitud fija. El usode celdas fijas permite a ATM ser muy eficiente y ofreciendo altos rendimiento. Esto sefragmenta comunicaciones en células de 53 octetos de longitud fija. El empleo decélulas de longitud fija permite al ATM(al cajero automático) para ser muy eficiente yofrecer altos rendimientos. ATM puede usar PVCs o SVCs.Los proveedores de ATM pueden garantizar un ancho de banda mínima y un nivelespecífico de calidad a sus servicios prestados. Los clientes a menudo puedenconsumir ancho de banda adicional cuando lo necesiten siempre y cuando se encuentredispobible en el servicio de red en los honorarios adicionales ; esto es conocido como laancho de banda en demanda. ATM es una tecnología de intercambvio de paqueteorientada a la conexion.
SMDSSwitched Multimegabit Data Service (SMDS) es una tecnologia de intercambio depaquetes.A menudo, SMDS es usado para conectar múltiples LANs para formar una red de áreametropolitana (MAN) O una WAN. SMDS apoya el tráfico de alta velocidad, es de mododesconectado, y soporta el ancho de banda en demanda. SMDS ha sido substituido porel Frame Relay. Algunas tecnologias d econexion WAN requieren adicionalmente deprotocolos especiales para soportar varios tipos de sistemas o equipos especializados.Tres de estos protocolos son SDLC, HDLC, y HSSI:
SDLCSynchronous Data Link Control (SDLC) es usado es usado en las conexiones físicaspermanentes de líneas dedicadas para proporcionar la conectividad para lasmainframes, como por ejemplo la Arquitectura de Red de Sistemas de IBM (SNA).SDLC usa el sondeo y opera en la capa 2 de OSI (la capa de Enlace de transmisión).
HDLCHigh-Level Data Link Control (HDLC) es una versión refinada de SDLC diseñadoexpresamente para conexiones concurridas sincrónicas. HDLC soporta comunicacionfull-duplex y soporta tanto conexiones punto a punto como conexiones multipunto.HDLC, como SDLC, usan el sondeo y operan en la capa 2 de OSI (capa de Enlace detransmisión).
HSSIHigh Speed Serial Interface (HSSI) es una interface estandar DTE/DCE que definecomo los multiplexores y routers conectados a redes de altas velocidades puedenbrindar servicios como una ATM o FrameRelay. Un multiplexor es un dispositivo que transmite comunicaciones o senales sobreun clable o circuito virtual. HSSI define las caracteristicas fisicas y electricas de lasinterfaces o los puntos de conexiones y asi es como operan en la capa 1 de OSI. (Lacapa fisica).
105
Encapsulamiento de ProtocolosLos protocolos de punto a punto (PPP) son protocolos encapsulados diseñado paraapoyar la transmisión de tráfico IP sobre dial-up o enlaces punto a punto. PPP permitela interoperabilidad de multivendedor de dispositivos WAN que apoyan enlaces en serie.Todo dial-up y la mayor parte de conexiones punto a punto son en serie por naturaleza(a diferencia de la paralela). PPP incluye una amplia gama de servicios decomunicación, incluyendo la asignación y administración de dirección de IP, laadministración de comunicaciones sincrónicas encapsuladas, multiplexación,configuración de enlaces, pruebas de calidad de enlace, detección de errores, y rastreou opciones de negociación (como la compresión).PPP al principio fue diseñado para apoyar a la CHAP y PAD para la autenticación. Sinembargo, las versiones recientes de PPP también apoyan a CHAP, EAP y SPAP. PPPtambién puede ser usado para apoyar el intercamsio de Paquete en la intered (IPX) yprotocolos DECNET. PPP es un estándar de Internet documentado en RFC 1661. Estosubstituyó la Línea serial del Protocolo de Internet (SLIP). SLIP ofreció la noautenticación, soportando solo las comunicaciones half-duplex, no tenía ningunascapacidad para la detección de errores, y requirió el establecimiento de enlaces manualy teardown.
Miscellaneous Security Control Characteristics
Cuando seleccionamos o despliegamos los mandos de seguridad para comunicacionesde red, hay numerosas características que deberían ser evaluadas en suscircunstancias, capacidades, y la política de seguridad. Estas cuestiones son habladasen las siguientes secciones:
TransparencyTal como el nombre indica, transparency es la característica de un servicio, el control deseguridad, o el mecanismo de acceso que asegura que no es visto por usuarios. Latransparencia es a menudo un rasgo deseable para mandos de seguridad. Mástransparente es un mecanismo de seguridad, menos probable que un usuario serácapaz de engañarlo o hasta será consciente que esto existe. Con la transparencia, hayuna carencia de prueba directa que un rasgo, el servicio, o la restricción existen, y suimpacto sobre el funcionamiento es mínimo.En algunos casos, transparencia puede tener que funcionar más bien como un rasgoconfigurable que como un aspecto permanente de operación, como cuando unadministrador soluciona la evaluación o la sintonía las configuraciones de un sistema.
Verifying IntegrityPara verificar la integridad de una transmisión, podemos usar una lista llamada un HashTotal. Una función de hash es realizada sobre un mensaje o un paquete antes de quesea enviado sobre el sendero de comunicación. El total de Hash obtenido es añadido alfinal del mensaje y llama al resumen de mensaje. Una vez que el mensaje es recibido,la función de hash es realizada por el sistema de destino y el resultado es comparado alHash total original. Si hay dos Hash total, entonces hay un nivel alto de certeza que elmensaje no ha sido cambiado o corrompido durante la transmisión. Los Hash Total sonsimilares a comprobaciones de redundancia cíclicas (CRCs). En los sistemas detransacción más seguros, las funciones de hash son usadas para garantizar laintegridad de comunicación. La comprobación de secuencia de registro es similar a unacomprobación de Hash total; sin embargo, esto verifica el paquete o la integridad de
106
secuencia de mensaje. Muchos servicios de comunicaciones emplean la secuencia deregistro que comprueba para verificar que ninguna parte de un mensaje fueron perdidasy que todos los elementos del mensaje están en su orden apropiada.
Transmission MechanismsTransmission logging es una forma de revisar comunicaciones enfocadas.Transmission logging registras los registros de detalles sobre fuente, destino, sellos detiempo, códigos de identificación, estado de transmisión, número de paquetes, tamañode mensaje, etcétera. Estos pedazos de información pueden ser útiles en la solución deproblemas y detectando comunicaciones no autorizadas o usados contra un sistemacomo el medio de extraer datos sobre cómo funciona esto. Transmission errorcorrection es una capacidad incorporada a la conexión o a protocolos orientados porsesión y servicios. Si es determinado que un mensaje, en el todo o en parte, fuecorrompido, cambiado o perdido puede realizar una petición a la fuente para enviar denuevo todo o la parte del mensaje. Los mandos de nueva transmisión determinan todo ola parte de un mensaje es transmitido de nuevo en el caso de que un sistema decorrección de error de transmisión descubra un problema con una comunicación. Losmandos de nueva transmisión también pueden determinar si múltiples copias de unHash total o el valor de CRC son enviadas y si múltiples caminos de datos o canales decomunicación son empleados.
Dirección de la Seguridad del Correo electrónico
El correo electrónico es uno de los servicios de Internet más extensamente ycomúnmente usados. La infraestructura del correo electrónico empleada sobre elInternet principalmente es arreglada de los servidores del correo electrónico que usan elProtocolo de Transferencia de Correo Simple (SMTP) para aceptar mensajes declientes, transportar aquellos mensajes a otros servidores, y depositar mensajes en labandeja de entrada de cada usuario. Adicionalmente en servidores de correoelectrónico, la infraestructura incluye a los clientes del correo electrónico. Los clientesrecuperan el correo electrónico de sus bandejas de entrada almacenadas en el servidorusando el Protocolo de Correos, la versión 3 (POP3) o el Protocolo de Acceso deMensaje de Internet (IMAP).Los clientes se comunican con los servidores del correo electrónico que usan SMTP.
Sendmail es el servidor SMTP más común para sistemas Unix, Exchange es el servidorSMTP más común para sistemas de Microsoft, y GroupWise es el servidor SMTP máscomún para sistemas de Novell. Además de estos tres productos populares, haynumerosas alternativas, pero todos ellos comparten la misma funcionalidad básica y elcumplimiento con las normas del correo electrónico de Internet.
Objetivos de la seguridad del Correo electrónico
Para el correo electrónico, el mecanismo básico en el empleo de Internet ofrece laentrega eficiente de mensajes, pero carece de controles para asegurar laconfidencialidad, la integridad, o hasta la disponibilidad. En otras palabras, el correoelectrónico básico no es seguro. Sin embargo, hay muchos modos de añadir laseguridad para enviar por correo electrónico. La agregación de la seguridad para enviarpor correo electrónico puede satisfacer uno o varios de los objetivos siguientes:
Asegura el no rechazo. Restringe el acceso a mensajes a sus recipientes intencionados. Mantiene la integridad de los mensajes Autentica y verifica la fuente de
mensajes.
107
Verifica la entrega de mensajes. Clasifica el contenido sensible dentro de o attachs a mensajes.
Como con cualquier aspecto a la seguridad de TI, la seguridad del correo electrónicocomienza en una política de seguridad aprobada por la dirección superior. Dentro de lapolítica de seguridad, varias cuestiones deben ser dirigidas:
Política de empleo aceptable para el correo electrónico. Control de acceso. Privacidad. La administracion del correo electrónico. El backup del correo electrónico y política de retención.
El uso de políticas aceptable define que actividades pueden y no poder ser realizadosobre la infraestructura del correo electrónico de una organización. A menudo seestipula que el correo electrónico profesional, orientado por negocio y una cantidadlimitada del correo electrónico personal pueden ser enviados y recibidos. Restriccionesespecíficas por lo general son colocadas en la realización del asunto personal, ilegal,comunicaciones inmorales, u ofensivas, y cualquier otra actividad que tendría un efectoperjudicial sobre la productividad, la rentabilidad, o relaciones públicas.
El control de acceso del correo electrónico debería ser mantenido de modo que losusuarios tengan el acceso a sólo su bandeja de entrada específica y envíen bases dedatos de archivo por correo electrónico. Una extensión de esta regla implica que ningúnotro usuario, autorizado o no, puede ganar el acceso al correo electrónico de unindividuo. El control de acceso debería asegurar tanto acceso legítimo como algún nivelde aislamiento, al menos de empleados de par e intrusos no autorizados.
Entendimiento de las Publicaciones de Seguridad del Correo electrónico
El primer paso para desplegar seguridad del e-mail es reconocer las vulnerabilidadesespecíficas del e-mail. Los protocolos daban soporte al e-mail para que no emplee elcifrado. Así, todos los mensajes se transmiten en la forma en la cual se someten alservidor del e-mail, que es a menudo texto llano. Esto hace la interceptación y el rastreouna tarea fácil. Sin embargo, la carencia de cifrado natal es una de las publicaciones deseguridad menos importantes relacionadas para enviar por correo electrónico.
El correo electrónico es el mecanismo de entrega más común para virus, gusanos,troyanos, documentos con macros destructivas, y otros códigos malévolos. Laproliferación de apoyo a varias lenguajes scrip, descargas, y rasgos autoejecutableshan transformado los links dentro del contenido del correo electrónico y accesorios enuna amenaza seria a cada sistema.
Las ofertas del correo electrónico poco en el camino de verificación de la fuente. Elspoofing de la dirección de la fuente del correo electrónico es un proceso simple paraaún un hacker principiante. Las cabeceras de los correos electrónicos pueden sermodificados en su fuente o en cualquier punto durante el tránsito. Además, es tambiénposible entregar el correo electrónico directamente a la bandeja de entrada de unusuario sobre el servidor de un correo electrónico directamente uniéndose al puerto deSMTP del servidor del correo electrónico. Y la oratoria de modificación en tránsito, allíno hay ninguna comprobación de integridad nativa para asegurar que un mensaje nofue cambiado entre su fuente y destino.
108
El correo electrónico puede ser usado como un mecanismo de ataque. Cuando unnúmero suficiente de mensajes son dirigidos a la bandeja de entrada de un usuario soloo por un servidor específico STMP, una negación de servicio (DoS) puede pasar. Amenudo llaman mailbombing a este ataque y es simplemente DoS realizado por lainundación de mensajes al sistema. DoS puede ser el resultado de consumo decapacidad de almacenaje o la utilización de capacidad de tratamiento. De una o de otraforma el resultado es el mismo: mensajes legítimos no pueden ser entregados.
Como las inundaciones del correo electrónico y accesorios de código malévolos, elcorreo electrónico no deseado puede ser considerado un ataque. Llaman el enviarmensajes no deseados, inadecuados, o irrelevantes spamming. El spamming es amenudo un poco más que un fastidio, pero esto realmente gasta recursos del sistematanto en la zona como sobre la Internet. Es a menudo difícil de parar el spam porque lafuente de los mensajes es por lo general spoofeada.
Soluciones de seguridad del Correo electrónico
La seguridad imponente sobre el correo electrónico es posible, pero los esfuerzosdeberían estar alineados con el valor y la confidencialidad de los mensajes siendocambiados. Hay varios protocolos, servicios, y soluciones disponibles para añadir laseguridad para enviar un correo electrónico sin requerir una completa revisión yreparación de la infraestructura Internet SMTP. Estos incluyen la S/PANTOMIMA, elMUSGO, PEM, Y PGP:
La S/MIME Secure Multipurpose Internet Mail Extensions (S/MIME) ofrece laautenticación y la privacidad para enviar por correo electrónico accesorios seguros.Proporcionan la autenticación por certificados X.509 digitales. Proporcionan laprivacidad por el empleo de enciptacion de Estándar de Criptografía Público Clave(PKCS). Dos tipos de mensajes pueden ser formados usando la S/MIME: mensajesfirmados y mensajes envueltos. Un mensaje firmado proporciona la autenticación deremitente y la integridad. Un mensaje envuelto proporciona la integridad, laautenticación de remitente, y la confidencialidad.
MOSS MIME Object Security Services (MOSS) pueden proporcionar la autenticidad, laconfidencialidad, la integridad, y el no rechazo para mensajes electrónicos. El MOSSemplea el Resumen de Mensaje 2 (MD2) y algoritmos MD5; Rivest, Shamir, y llavepública Adelman (RSA); y Estándar de Cifrado de Datos (DES) para proporcionarautenticación y servicios de cifrado.
PEM Privacy Enhanced Mail (PEM) es el mecanismo de cifrado de correo electrónicoque proporciona la autenticación, la integridad, la confidencialidad, y el no rechazo.PEM usa RSA, DES, y X.509.
PGP Pretty Good Privacy (PGP) es un sistema público privado clave que usa elalgoritmo de IDEA para cifrar archivos y mensajes electrónicos. PGP no es un estándar,más bien es un producto por separado desarrollado que tiene el amplio apoyo deInternet.
Por el empleo de estos y otros mecanismos de seguridad para el correo electrónico ytransmisiones de comunicación, se pueden reducir o eliminar muchas de lasvulnerabilidades. Las firmas digitales pueden ayudar a eliminar la impersonalizacion. Elcifrado de mensajes reduce el rastreo. Y el empleo de los filtros del correo electrónicomantiene el spamming y mailbombing a un mínimo.
109
El bloqueo de accesorios en el sistema de entrada del correo electrónico sobre su redpuede aliviar las amenazas de accesorios malévolos. Usted puede tener una política de100% sin accesorios o bloquear sólo aquellos accesorios que conocen o sospechadospara ser malévolos, como accesorios con las extensiones que son usadas para archivosejecutables y scripting. Si los accesorios son una parte esencial de las comunicacionesde su correo electrónico, usted tendrá que confiar sobre la educación de sus usuarios ysus instrumentos de antivirus para la protección. La educación de usuarios evita elcontacto con accesorios sospechosos o inesperados enormemente, reduce el riesgo detransferencia de código malévola vía el correo electrónico. El software de antivirus esgeneralmente eficaz contra virus conocidos, pero esto ofrece poca protección contravirus nuevos o desconocidos.
Seguridad del facsimile
Las comunicaciones del facsímil (fax) están disminuyendo en popularidad debido aluso extenso del E-mail. Los documentos electrónicos se intercambian fácilmente comoaccesorios al E-mail. Los documentos impresos son tan fáciles scannear como sonenviar por fax. Sin embargo, el enviar por fax debe estar alineado al plan de seguridad.La mayoría de los módems dan a usuarios la capacidad de conectarse con un sistemainformático alejado y de enviar y de recibir faxes. Muchos sistemas operativos incluyencapacidades incorporadas del fax, y hay productos numerosos del fax para lossistemas informáticos. Los faxes enviados del fax/módem de una computadora puedenser recibidos por otra computadora o por una máquina de fax normal.
Incluso declina el uso, los faxes todavía representan una trayectoria decomunicaciones vulnerable al ataque. Como cualquier otra comunicación del teléfono,los faxes se pueden interceptar y son susceptibles de rastrear. Si se registra unatransmisión entera del fax, puede ser jugada detrás por otra máquina de fax paraextraer los documentos transmitidos.
Algunos de los mecanismos que se pueden desplegar para mejorar la seguridad defaxes incluyen los encriptadores de fax, el cifrado del acoplamiento, registros deactividad, e informes de la excepción. Un encriptador de fax da a la máquina de fax lacapacidad para utilizar un protocolo del cifrado para encriptar la señal saliente del fax.El uso de un encriptador requiere que la ayuda de recepción de la máquina de fax elmismo protocolo así que él del cifrado pueda descifrar los documentos. El cifrado delacoplamiento es el uso de una trayectoria de comunicación cifrada, como unacoplamiento de VPN o un acoplamiento de teléfono asegurado, sobre los cualestransmitir el fax. Los registros de actividad y los informes de la excepción se puedenutilizar para detectar anomalías en la actividad del fax que podría ser síntomas delataque.
Asegurar comunicaciones de voz
La vulnerabilidad de la comunicación de voz se relaciona tangencialmente con laseguridad del sistema de IT. Sin embargo, como las soluciones de la comunicación devoz se mueven en la red empleando los dispositivos digitales y Voice over IP (VoIP),asegurar las comunicaciones de voz se convierte en una edición cada vez másimportante. Cuando ocurren las comunicaciones de voz sobrepasan la infraestructurade IT, es importante poner mecanismos en ejecución para prever la autentificación y laintegridad. La confidencialidad debe ser mantenida empleando servicios o protocolos decifrado para proteger las comunicaciones de voz mientras que en tránsito.
110
El private branch exchange normal (PBX) o las viejas comunicaciones de voz llanas delservicio telefónico (POTS) son vulnerables a la interceptación, al rastreo y a otros. Amenudo, la seguridad física se requiere mantener un control sobre las comunicacionesde voz dentro de los límites de las localizaciones físicas de la organización. Laseguridad de las comunicaciones de voz fuera de la organización es típicamenteresponsabilidad de la compañía quien ofrece el servicio de telefonía. Si lasvulnerabilidades de la comunicación de voz son una edición importante para sostener lapolítica de la seguridad, se debe desplegar un mecanismo cifrado de la comunicación yutilizarlo exclusivamente.
Ingeniería social
Individuos malévolos pueden explotar comunicaciones de voz(voto) por una técnicasabida(conocida) como la ingeniería social. La ingeniería social es el medio por el cualuna persona desconocida gana la confianza de alguien dentro de su organización.Individuos expertos pueden convencer a empleados que ellos son asociados con ladirección superior, el soporte técnico, el escritorio de ayuda, etcétera. Una vezconvencido, a menudo animan a la víctima a hacer un cambio a su cuenta de usuariosobre el sistema, como puesto(recompuesto) su contraseña. Otros ataques incluyen lainstrucción de la víctima de abrir ficheros adjuntos del correo electrónico específicos,lanzar un uso, o unirse a URL específico. Independemente de la actividad real es, por logeneral es dirigido hacia la apertura de una puerta de atrás que el atacante puede solerganar el acceso de red.
La gente dentro de una organización lo hace vulnerable a ataques sociales de laingeniería. Con solamente(justo) una pequeña información o unos hechos, es a menudoposible conseguir a una víctima para revelar la información confidencial o contratar en laactividad irresponsable. Ataques sociales de la ingeniería explotan característicashumanas como una confianza básica en otros y pereza. Pasando por altodiscrepancias, que son distraído, después de órdenes, asumiendo otros sabe(conoce)más que ellos en realidad hacen, queriendo ayudar a otros, y temiendo reprimendastambién puede conducir a ataques. Los atacantes son a menudo capaces de evitarmandos de seguridad extensos físicos y lógicos porque la víctima abre un sendero deacceso del interior, con eficacia perforando un agujero en el perímetro asegurado.
El único modo de proteger contra ataques sociales de la ingeniería es de enseñar ausuarios como responder y actuar recíprocamente con comunicaciones únicamente devoz(voto). Aquí están algunas directrices:
Siempre ierre sobre el lado de precaución siempre que las comunicaciones devoz(voto) parezcan impares, fuera de su sitio, o inesperadas.
Siempre documentos de identidad de petición. Esto puede ser un número depermiso de conducir o el número de Seguridad Social, que fácilmente puede serverificado. Esto también podría tomar la forma de tener una persona en la oficinaque reconocería que la voz(el voto) del llamador toma la llamada. Por ejemplo, siel llamador reclama para ser un gerente de departamento, usted podríaconfirmar su identidad por pidiendo a su ayudante administrativo tomar lallamada.
Requiera autorizaciones de llamada automática sobre todas las demandasúnicamente de voz(voto) de alteraciones de red o actividades.
Clasifique la información (usernames, contraseñas, IP direcciones, nombres degerente, disco - en números, etc.) y claramente indique cual información puedeser hablada o hasta confirmado usando comunicaciones de voz(voto).
Si la información privilegiada es solicitada sobre el teléfono por un individuo quedebería saber que dar a conocer que la información particular sobre el teléfono
111
está contra la política de seguridad de la empresa, pregunta por qué lainformación es necesaria y verificar su identidad otra vez. Este incidente tambiéndebería ser relatado al administrador de seguridad.
Nunca dé a conocer o contraseñas de cambio basadas en comunicacionesúnicamente de voz(voto).
Siempre bien elimine o destruya toda la documentación de oficina, sobre todocualquier trabajo administrativo o los medios de comunicación disponibles quecontienen la información sobre el ELLO la infraestructura o sus mecanismos deseguridad.
Fraude y Abuso
Otra amenaza de comunicación de voz(voto) es el fraude PBX y el abuso. Muchossistemas PBX pueden ser explotados por individuos malévolos para evitar gastos depeaje y ocultar su identidad. Atacantes malévolos conocidos como phreakers abusan desistemas telefónicos del modo igual que las galletas abusan de redes de ordenador.Phreakers puede ser capaz de ganar el acceso no autorizado a buzones de voz(voto)personales, remitir mensajes, el acceso de bloque, y remitir llamadas entrantes y desalida. Las contramedidas al fraude PBX y el abuso incluyen muchas de las mismasprecauciones que usted emplearía para proteger una red de ordenador típica:mandos lógicos o técnicos, mandos administrativos, y mandos físicos. Aquí están variospuntos claves para tener presente diseñando una solución de seguridad PBX:
Piense substituir el acceso remoto o la llamada de fondo por el PBX con elsistema de tarjeta de visita o una tarjeta de crédito.
Restrinjas el disco - en y el disco - hacia fuera rasgos a los individuos sóloautorizados que requieren tal funcionalidad para sus tareas de trabajo.
Para su disco - en módems, use los números de teléfono inéditos que son fuerade la gama de bloque de prefijo de sus números de voz(voto).
El bloque o incapacita(inutiliza) cualquier código de acceso inasignado ocuentas.
Defina una política de empleo aceptable y entrene a usuarios sobre comocorrectamente usar el sistema.
Registre y revise todas las actividades sobre el PBX y repase los rastros deauditoría para la seguridad y use violaciones.
Incapacite(Inutilice) módems de mantenimiento y cuentas. Cambie todas las configuraciones de falta, sobre todo contraseñas y
capacidades relacionadas con rasgos administrativos o privilegiados. Bloquee la llamada remota (p. ej., la permisión un llamador remoto de marcar en
a su PBX y luego marque - hacia fuera otra vez, así la dirección todo el peajecobra(carga) al anfitrión de PBX).
Despliegue el Acceso de Sistema Directo Hacia adentro (DISA) tecnologías parareducir el fraude PBX por partidos externos.
Guarde(Mantenga) la corriente de sistema con la modernización de abastecedorde vendedor/servicio.
Además, manteniendo el control de acceso físico a todos los centros de conexión PBX,telefonee a entradas, o alambrando armarios previene la intrusión directa de atacanteslocales.
Phreaking
Phreaking es un tipo específico de entalladura o rajar dirigido hacia el sistematelefónico. Phreakers usan varios tipos de tecnología para engañar el sistema telefónico
112
para hacer llamadas de otra ciudad libres(gratis), cambiar la función de serviciotelefónico, robar se especializó servicios, y hasta causar interrupciones de servicio.Algunos instrumentos phreaker son dispositivos reales, mientras que los otros son losmodos solamente(justo) particulares de usar un teléfono normal. Cueste lo que cuesteel instrumento o la tecnología en realidad son, phreaker instrumentos se mencionancomo cajas coloreadas (la caja negra, la caja roja, etc.). Durante los años, hubo muchastecnologías de caja que fueron desarrolladas y extensamente usado por phreakers,pero sólo algunos de ellos todavía trabajan contra sistemas telefónicos de hoy basadosen la conmutación de paquete. Aquí están algunos de los instrumentos phreaker queusted tiene que reconocer para el examen:
Cajas negras son usadas para manipular voltajes de línea para robar serviciosde fondo. Ellos son a menudo solamente(justo) tarjetas de circuitos impresoshechas de encargo con una batería y alambran clips.
Cajas rojas son usadas para simular los tonos de monedas siendo depositadasen una cabina telefónica. Ellos son por lo general solamente(justo) pequeñosmagnetófonos.
Cajas azules son usadas para simular 2600Hz tonos para actuar recíprocamentedirectamente con sistemas de tronco de red telefónicos (p. ej., espinas dorsales).Esto podría ser un silbido, un magnetófono, o un generador de tono digital.
Cajas blancas son usadas para controlar el sistema telefónico. Una caja blancaes un DTMF o el generador de multifrecuencia de tono dual (p. ej., un tecladonumérico). Esto puede ser un dispositivo hecho de encargo o uno de lospedazos de equipo que la mayor parte de teléfono repara el empleo de personal
Fronteras de Seguridad
Un límite de seguridad es la línea de intersección entre cualquier dos área, subredes, olos ambientes que tienen exigencias de seguridad diferentes o necesidades. Un límitede seguridad existe entre un área highsecurity y una seguridad baja un, como entre unLAN y el Internet. Es importante reconocer las fronteras de seguridad tanto sobre su redcomo en el mundo físico. Una vez que usted identifica un límite de seguridad, ustedtiene que desplegar mandos y mecanismos para controlar el flujo de información através de aquellas fronteras.
Los desacuerdos entre áreas de seguridad pueden tomar muchas formas. Por ejemplo,los objetos pueden tener clasificaciones diferentes. Cada clasificación define quefunciones pueden ser realizadas por cual sujetos sobre cual objetos. La distinción entreclasificaciones es un límite de seguridad.
Las fronteras de Seguridad también existen entre el ambiente físico y el ambientelógico.Para proveer la seguridad lógica, los mecanismos de seguridad que son diferentes queaquellos solía proveer la seguridad física debe ser empleada. Tanto debe estar presentepara proporcionar una estructura de seguridad completa como ambos deben serdirigidos en una política de seguridad. Sin embargo, ellos son diferentes y deben serevaluados como los elementos separados de una solución de seguridad.
Las fronteras de Seguridad, como un perímetro entre un área protegida y uno sinprotección, claramente siempre deberían ser definidas. Es importante declarar en unapolítica de seguridad el punto en el cual el control se termina o comienza e identificaraquel punto tanto en los ambientes físicos como en lógicos.
Fronteras de seguridad lógicas son los puntos donde el interfaz de comunicacioneselectrónico con dispositivos o servicios de los cuales su organización es legalmente
113
responsable. En la mayor parte de casos, aquel interfaz claramente es marcado ysujetos no autorizados son informados que ellos no tienen el acceso y que las tentativasde ganar el acceso causarán el procesamiento.
El perímetro de seguridad en el ambiente físico es a menudo una reflexión del perímetrode seguridad del ambiente lógico. En la mayor parte de casos, el área sobre la cual laorganización es legalmente responsable determina el alcance de una política deseguridad en el reino físico. Esto puede ser las paredes de una oficina, las paredes deun edificio, o la cerca alrededor de un campus. En ambientes asegurados, advirtiendosignos son fijados indicando que el acceso no autorizado es prohibido e intentaadelantar frustrarán al acceso y causará el procesamiento.
Transformando una política de seguridad en mandos reales, usted debe considerarcada ambiente y el límite de seguridad separadamente. Simplemente deduzca quemecanismos de seguridad disponibles proporcionarían la solución más razonable,rentable, y eficiente para un ambiente específico y la situación. Sin embargo, todos losmecanismos de seguridad deben ser pesados contra el valor de los objetos que ellosdeben proteger. El despliegue de las contramedidas que cuestan más que el valor delos objetos protegidos es injustificado.
Ataques de Red y Contramedidas
Los sistemas de comunicación son vulnerables a ataques del modo igual cualquier otroaspecto del ELLO la infraestructura es vulnerable. El entendimiento de las amenazas ylas contramedidas posibles es una parte importante de asegurar un ambiente. Cualquieractividad o condición que puede causar el daño a datos, recursos, o el personal debenser dirigidas y mitigadas de ser posible. Tenga presente que el daño incluye más que lajusta destrucción o el daño; esto también incluye el descubrimiento, la tardanza deacceso, la negación de acceso, fraude, la basura(el gasto) de recurso, el abuso derecurso, y la pérdida. Amenazas comunes contra la seguridad de sistemas decomunicación incluyen la negación de servicio, escucha disimulada, personificación,desempate(repetición), y la modificación.
Eavesdropping
Como el nombre sugiere, la escucha disimulada simplemente escucha al tráfico decomunicación para el objetivo de duplicación de ello más tarde. La duplicación puedetomar la forma de registrar los datos a un dispositivo de almacenaje o a un programa deextracción que dinámicamente intenta extraer el contenido original de la corriente detráfico. Una vez que una copia de contenido de tráfico está en las manos de una galleta,ellos a menudo pueden extraer muchas formas de información confidencial, comousernames, contraseñas, procedimientos de proceso, datos, etcétera. Eavesdroppingpor lo general requiere el acceso físico al ELLO la infraestructura para unir(conectar) undispositivo de grabación físico a un puerto abierto o el cable empalma o instalar uninstrumento de grabación de software en el sistema. La escucha disimulada a menudoes facilitada por el empleo de una captura de tráfico de red o la supervisión delprograma o un sistema de analizador de protocolo (a menudo llamaba a un olfateador).La escucha disimulada de dispositivos y software es por lo general difícil de descubrirporque ellos son usados(están acostumbrados) en ataques pasivos. Cuando la escuchadisimulada o la intervención de las conexiones telefónicas son transformadas en elcambio o la inyección de comunicaciones, el ataque es considerado un ataque activo.
Usted puede combatir la escucha disimulada por manteniendo la seguridad de accesofísica para impedir al personal no autorizado tener acceso a su ELLO la infraestructura.Como para proteger las comunicaciones que ocurren fuera de su red o protegiendo
114
contra atacantes internos, el empleo de cifrado (como IPSEC O SSH) y métodosantiguos de autenticación (p. ej., almohadillas antiguas o dispositivos simbólicos) sobreel tráfico de comunicación enormemente reducirán la eficacia y la oportunidad deescucha disimulada.
Ataques de la Segunda hilera
Todos llaman la personificación, el desempate(la repetición), y ataques de modificaciónataques de la segunda hilera. Un ataque de la segunda hilera es un asalto que confíasobre la información o datos ganados de la escucha disimulada u otras técnicassimilares crecientes de datos. En otras palabras, esto es un ataque que es lanzado sólodespués de que algún otro ataque es completado.
Impersonation/Masquerading
Impersonation, o masquerading, son el acto de fingimiento ser alguien o algo que ustedno debe ganar el acceso no autorizado a un sistema. La personificación es a menudoposible por la captura de usernames y contraseñas o de procedimientos de sistema desesión para servicios de red.
Algunas soluciones de prevenir la personificación incluyen el empleo de almohadillasantiguas y sistemas simbólicos de autenticación, el empleo de Kerberos, y el empleo decifrado para aumentar la dificultad de extraer cartas credenciales de autenticación deltráfico de red.
Replan Attacks
Replay attacks son un vástago de ataques de personificación y son hechos posible porla captura del tráfico de red vía la escucha disimulada. Los ataques dedesempate(repetición) intentan reestablecer una sesión de comunicación por volviendoa jugar el tráfico capturado contra un sistema. Ellos pueden ser prevenidos por usandoantiguos mecanismos de autenticación y la identificación de sesión ordenada.
Modification Attacks
La modificación es un ataque en el cual los paquetes capturados son cambiados y luegojugados contra un sistema.Los paquetes modificados son diseñados para evitar las restricciones de mecanismosmejorados de autenticación y sesión sequencing. Las contramedidas a ataques dedesempate(repetición) de modificación incluyen el empleo de verificaciones de firmadigitales y la verificación de soma de paquete.
Address Resolution Protocol (ARP)
El Protocolo de Resolución de Dirección (ARP) es un subprotocolo de la suite deprotocolo TCP/IP que funciona en la capa de Red (la capa 3). ARP es usado descubrirla dirección de MAC de un sistema por votando la utilización de su dirección de IP. ARPfunciones por difundiendo un paquete de petición con el objetivo IP dirección. El sistemacon esto la dirección de IP (o algún otro sistema que ya tiene un ARP que traza unmapa de para ello) contestará con la dirección de MAC asociada. El trazar un mapa deIP-MAC descubierto es almacenado en el escondrijo ARP y es usado dirigir paquetes.
ARP el trazar un mapa de puede ser atacado por spoofing. Spoofing proporcionadirecciones de MAC falsas para sistemas solicitados IP-addressed para remitir el tráficopara alternar destinaciones. ARP ataques son a menudo un elemento en ataques " el
115
hombre al medio". Tales ataques implican el sistema de un intruso spoofing su direcciónde MAC contra la dirección de IP de la destinación en el escondrijo ARP de la fuente.Todos los paquetes la forma recibida el sistema de la fuente es inspeccionado y luegoexpedidos sobre el sistema de destinación real intencionado. Usted puede tomarmedidas para luchar ataques de ARP, como la definición del trazar un mapa de estáticoARP para sistemas críticos, supervisión ARP escondrijos para el trazar un mapa dedirección de MAC-TO-IP, o la utilización de un IDS para descubrir anomalías en eltráfico de sistema y cambios del tráfico ARP.
DNS Spoofing
Saben(Conocen) un ataque relacionado con ARP como DNS spoofing. DNS spoofingocurre cuando un atacante cambia el trazar un mapa de Domain-name-to-IP-address enun sistema DNS para remitir el tráfico a un sistema de granuja o simplemente realizaruna negación de servicio contra un sistema. Las protecciones contra DNS spoofingincluyen la permisión cambios sólo autorizados a DNS, transferencias de zona derestricción, y la tala toda la actividad privilegiada DNS.
Hyperlink Spoofing
Aún otro ataque relacionado es el hiperlynk spoofing. El hiperlynk spoofing es similar aDNS spoofing en el cual esto es usado remitir el tráfico a un granuja o el sistema deimpostor o simplemente desviar el tráfico lejos de su destinación intencionada. Elhiperlynk spoofing puede tomar la forma de DNS spoofing o simplemente puede ser unaalteración del hiperenlace URLs en el código de HTML de documentos enviados aclientes. El hiperenlace spoofing ataques es por lo general acertado porque la mayorparte de usuarios no verifican el nombre de dominio en un URL vía DNS, más bien ellosasumen que el hiperenlace es válido y solamente(justo) pulsar ello.
Las protecciones contra el hiperenlace spoofing incluyen las mismas precaucionesusadas contra DNS spoofing así como el cuidado de su sistema remendado y lautilización de la Internet con precaución.
Sumario
El mantenimiento del control de senderos de comunicación es esencial al apoyar laconfidencialidad, la integridad, y la disponibilidad por la red, la voz(el voto), y otrasformas de comunicación. Numerosos ataques son enfocados(concentrados) en lainterceptación, el bloqueo(la obstrucción), o de otra manera la interferencia con latransferencia de datos de una posición(ubicación) al otro. Por suerte, hay tambiéncontramedidas razonables para reducir o aún eliminar muchas de estas amenazas.
Tunneling es el medio por el cual los mensajes en un protocolo pueden sertransportados sobre otra red o el sistema de comunicaciones que usa un segundoprotocolo. Tunneling, de otra manera sabido(conocido) como encapsulation, puede sercombinado con el cifrado para proporcionar la seguridad(el valor) para el mensajetransmitido.VPNs están basado en tunneling cifrado.
NAT está acostumbrado ocultar la estructura interna de una red privada así comopermitir a múltiples clientes internos ganar el acceso a Internet por ún público IPdirecciones. NAT es a menudo un rasgo natal de dispositivos de seguridad(valor) defrontera, como cortafuegos, encaminadores(rebajadoras), entradas, y poderes.
116
En la conmutación de circuito, un sendero dedicado físico es creado entre los dospartidos(partes) de comunicación. La conmutación de paquete ocurre cuando elmensaje o la comunicación son rotos en pequeños segmentos (por lo general paquetesde longitud fija dependiendo(según) los protocolos y tecnologías empleadas) y enviadosa través de las redes intermediarias al destino. Dentro de sistemas que cambianpaquete son dos tipos de caminos de comunicación o virtual da la vuelta. Un circuitovirtual es un sendero lógico o el circuito creado sobre una red cambiada por paqueteentre dos puntos finales específicos. Hay dos tipos de virtual da la vuelta: permanentevirtual da la vuelta (cloruros de polivinilo) y cambiado virtual da la vuelta (SVCS).
WAN links o tecnologías de conexión de fondo pueden ser divididos en dos categoríasprimarias: líneas dedicadas y no dedicadas. Una línea dedicada une(conecta) dospuntos finales específicos y sólo aquellos dos puntos finales juntos. Una línea nodedicada es el que que requiere que una conexión sea establecida antes de que latransmisión de información pueda ocurrir. Una línea no dedicada puede ser usadaunirse con cualquier sistema remoto que usa el mismo tipo de línea no dedicada.Tecnologías de conexión WAN incluyen X.25, Frame Relay, el ATM, SMDS, SDLC,HDLC, y HSSI.
Seleccionando o desplegando mandos de seguridad(valor) para comunicaciones de red,hay numerosas características que usted debería evaluar en la luz de suscircunstancias, capacidades, y la política de seguridad(valor). Los mandos de Seguridaddeberían ser transparentes a usuarios. Los totales de picadillo y comprobaciónes deCRC pueden ser usados verificar la integridad de mensaje. Secuencias de registro sonusadas para asegurar la integridad de secuencia de una transmisión. La tala detransmisión ayuda a descubrir abusos de comunicación.
El correo electrónico básico a base de Internet es inseguro, pero hay pasos que ustedpuede tomar para asegurarlo. Para asegurar el correo electrónico, usted deberíaasegurar(prever) el no rechazo, restringir el acceso a usuarios autorizados, asegúreseque la integridad es mantenida, autenticar la fuente de mensaje, verificar la entrega, yaún clasificar el contenido sensible. Estas publicaciones(cuestiones) deben ser dirigidasen una política de seguridad(valor) antes de que ellos puedan ser puestos en prácticaen una solución. Ellos a menudo toman la forma de política de empleo aceptable, tienenacceso a mandos, declaraciones de intimidad, envían procedimientos de dirección porcorreo electrónico, y la política de retención y la reserva.
El correo electrónico es un mecanismo de entrega común para el código malévolo. Lafiltración de accesorios, usando el software de antivirus, y educando a usuarios escontramedidas eficaces contra aquella clase de ataque.Envíe spamming por correo electrónico o las inundaciones son una forma de negaciónde servicio, que puede ser disuadido por filtros y IDSs. La seguridad(el valor) del correoelectrónico puede ser mejorada usando la S/MIME, el MOSS, PEM, Y PGP.
La utilización del cifrado para proteger la transmisión de documentos y previeneescuchar disimuladamente mejora la seguridad(el valor) de voz(voto) y el fax. Laeducación(el entrenamiento) de usuarios con eficacia es una contramedida útil contraataques sociales de la ingeniería.
Un límite de seguridad puede ser la división entre una área asegurada y otra áreaasegurada, o esto puede ser la división entre un área asegurada y un área nogarantizada. Ambos deben ser dirigidos en una política de seguridad.
Los sistemas de comunicación son vulnerables a muchos ataques, incluyendo lanegación de servicio, escucha disimulada, personificación, desempate(repetición),
117
modificación, y ataques de ARP. Por suerte, contramedidas eficaces existen para cadauno de estos. PBX el fraude y el abuso y el teléfono phreaking son los problemas quetambién deben ser dirigidos.
Objetos de primera necesidad de Examen
Conozca qué es tunneling. Tunneling es el encapsulation de un mensaje entregable deprotocolo dentro de un segundo protocolo. El segundo protocolo a menudo realiza elcifrado para proteger el contenido de mensaje.
Entienda VPNs. VPNs están basados en tunneling cifrado. Ellos pueden ofrecer laautenticación y la protección de datos como una solución de indicar-punto. Protocoloscomunes VPN son PPTP, L2F, L2TP, Y IPSec.
Esté capaz de explicar a NAT. NAT protege el esquema que se dirige de una redprivada, permite que el empleo de IP privado se dirija, y permita a múltiples clientesinternos obtener el acceso a Internet por ún público IP direcciones. NAT es apoyado pormuchos dispositivos de frontera de seguridad, como cortafuegos, rebajadoras, entradas,y poderes.
Entienda la diferencia entre la conmutación de paquete y la conmutación de circuito. Enla conmutación de circuito, un sendero dedicado físico es creado entre los dos partidosde comunicación. La conmutación de paquete ocurre cuando el mensaje o lacomunicación son rotos en pequeños segmentos y enviados a través de las redesintermediarias a la destinación. Dentro de sistemas que cambian paquete son dos tiposde caminos de comunicación o circuitos virtuales: circuitos permanentes virtuales(PVCs) y circuitos cambiados virtuales (SVCs).
Entienda la diferencia entre links dedicados y no dedicados. Una línea dedicada es elque que indefinidamente y continuamente es reservado para el empleo por un clienteespecífico. Una línea dedicada es siempre ±onectada y esperada del tráfico para sertransmitido sobre ello. El eslabón entre el LAN del cliente y el eslabón dedicado PÁLIDOestá siempre abierto y establecido. Una línea dedicada une(conecta) dos puntos finalesespecíficos y sólo aquellos dos puntos finales. Los ejemplos de líneas dedicadasincluyen T1, T3, E1, E3, y módems de cable. Una línea no dedicada es el que querequiere que una conexión sea establecida antes de que la transmisión de informaciónpueda ocurrir. Una línea no dedicada puede ser usada unirse con cualquier sistemaremoto que usa el mismo tipo de línea no dedicada. Los ejemplos de líneas nodedicadas incluyen módems estándar, DSL, y ISDN.
Conozca varios tipos de tecnologías WAN. Sepa que las tecnologías más WANrequieren una unidad de servicio de unidad/datos de servicio de canal (CSU/DSU).Estos pueden mencionarse como interruptores WAN. Hay muchos tipos de redes deportador y tecnologías de conexión WAN, como X.25, Enmarcan el Relevo, el ATM, ySMDS. Algunas tecnologías de conexión WAN requieren que protocolos adicionalesespecializados apoyen varios tipos de sistemas especializados o dispositivos. Tres deestos protocolos son SDLC, HDLC, Y HSSI.
Entienda las diferencias entre PPP Y SLIP. El Protocolo de Indicar-punto (PPP) es unprotocolo encapsulation diseñado para apoyar la transmisión de tráfico IP sobreeslabones de punto-topoint o el disco encima de. PPP incluye una amplia gama deservicios de comunicación, incluyendo la asignación y la dirección de IP se dirige, ladirección de comunicaciones sincrónicas, estandartizó encapsulation, emisiónmulticanal, la configuración de eslabón, pruebas de calidad de eslabón, detección deerrores, y el rasgo o la negociación de opción (como la compresión). PPP al principio
118
fue diseñado para apoyar a la CHAP Y PAP para la autenticación. Sin embargo, lasversiones recientes de PPP también apoyan a MS-CHAP, EAP, Y SPAP. PPPsubstituyó la Línea Sucesiva el Protocolo de Internet (SLIP). SLIP no ofreció ningunaautenticación, apoyó comunicaciones sólo medio duplex, no tenía ningunascapacidades de detección de errores, y requirió el establecimiento de eslabón manual yteardown.
Entienda las características comunes de mandos de seguridad. Los mandos deSeguridad deberían ser transparentes a usuarios. Los totales de picadillo ycomprobaciónes de CRC pueden ser usados verificar la integridad de mensaje.Secuencias de registro son usadas para asegurar la integridad de secuencia de unatransmisión. La tala de transmisión ayuda a descubrir abusos de comunicación.
Entienda como la seguridad del correo electrónico trabaja. El correo electrónico deInternet está basado en SMTP, POP3, Y IMAP. Es intrínsecamente inseguro. Puede serasegurado, pero los métodos usados deben ser dirigidos en una política de seguridad.Las soluciones de seguridad del correo electrónico incluyen la utilización la S/MIME,MOSS, PEM, o PGP.
Conozca como la seguridad de fax trabaja. La seguridad de fax está principalmentebasada en la utilización de transmisiones cifradas o líneas de comunicación cifradaspara proteger los materiales mandados por fax. El objetivo primario es de prevenir lainterceptación. Los troncos de actividad e informes de excepción pueden ser usadosdescubrir anomalías en la actividad de fax que podría ser los síntomas de ataque.
Conozca las amenazas asociadas con sistemas PBX y las contramedidas al fraudePBX. Las contramedidas al fraude PBX y el abuso incluyen muchas de las mismasprecauciones que usted emplearía para proteger una red de ordenador típica: mandoslógicos o técnicos, mandos administrativos, y mandos físicos.
Reconozca qué es phreaker. Phreaking es un tipo específico de entalladura o rajar en elcual varios tipos de tecnología son usados para engañar el sistema telefónico parahacer llamadas libres(gratis) de fondo, cambiar la función de servicio telefónico, robar seespecializó servicios, o hasta causar interrupciones de servicio. Los instrumentoscomunes de phreakers incluyen cajas negras, rojas, azules, y blancas.
Entienda la seguridad de comunicaciones de voz(voto). Las comunicaciones devoz(voto) son vulnerables a muchos ataques, sobre todo como las comunicaciones devoz(voto) se hacen una parte importante de servicios de red.La confidencialidad puede ser obtenida por el empleo de comunicaciones cifradas. Lascontramedidas deben ser desplegadas para proteger contra la interceptación, laescucha disimulada, el toque, y otros tipos de explotación.
Esté capaz de explicar qué es ingeniería social. La ingeniería social es el medio por elcual una persona desconocida gana la confianza de alguien dentro de su organizaciónpor convenciendo a empleados que ellos, por ejemplo, son asociados con la direcciónsuperior, el soporte técnico, o el escritorio de ayuda. A menudo animan a la víctima ahacer un cambio a su cuenta de usuario sobre el sistema, como puesto(recompuesto)su contraseña. La contramedida primaria para este tipo del ataque es la educación(elentrenamiento) de usuario.
Explique el concepto de fronteras de seguridad. Un límite de seguridad puede ser ladivisión entre una área asegurada y otra área asegurada. Esto también puede ser ladivisión entre un área asegurada y un área no garantizada. Ambos deben ser dirigidosen una política de seguridad.
119
Entienda varios ataques y contramedidas asociadas con la seguridad decomunicaciones. Los sistemas de comunicación son vulnerables a muchos ataques,incluyendo la escucha disimulada, la personificación, el desempate(la repetición), lamodificación, y ataques de ARP. Esté capaz de catalogar contramedidas eficaces paracada uno.
120
Cuestionario
1. ¿Cuál de lo siguiente no es verdadero?A. Tunneling emplea encapsulation.B. Todo el tunneling usa encriptamiento.C. Tunneling es usado para transmitir datos sobre una red intermediaria.D. Tunneling puede ser usado para evitar cortafuegos, gateways, proxies, u otros
dispositivos de control de tráfico.
2. ¿Las conexiones de túnel pueden ser establecidas sobre todo excepto cuál delsiguiente?A. Enlaces WANB. Caminos la LANC. Conexiones dial-upD. Sistemas Stand-alone
3. ¿Qué es lo que mayormente suelen proteger las VPNS en la transmisión de datos?A. OscuridadB. CifradoC. EncapsulamientoD. Logging de transmisión
4. ¿Cuál de lo siguiente no es un elemento esencial de un enlace VPN?A. TunnelingB. EncapsulamientoC. ProtocolosD. Encriptación
5. ¿Cuál de lo siguiente no puede ser conectado sobre una VPN?A. Dos LAN distantesB. Dos sistemas sobre las misma LANC. Un sistema conectado a la internet y una LAN conectada a InternetD. Dos sistemas sin una conexion de red intermedia
6. ¿Cuál de lo siguiente no es un protocolo VPN?A. PPTPB. L2FC. SLIPD. IPSec
7. ¿Cuál de los siguientes protocolos VPN no ofrecen el encriptacion? (Escoja todo loque se aplica.)A. L2FB. L2TPC. IPSecD. PPTP
8. ¿En cual capa de modelo de OSI funciona el protocolo IPSEC?A. Eblace de datosB. TransporteC. SesionD. Red
121
9. ¿Cuál de lo siguiente no es definido en RFC 1918 como una de los rangos dedirecciones IP privadas que ruteadas sobre la Internet?A. 169.172.0.0–169.191.255.255B. 192.168.0.0–192.168.255.255C. 10.0.0.0–10.255.255.255D. 172.16.0.0–172.31.255.255
10. ¿Cuál de lo siguientes no es una ventaja de NAT?A. Ocultando el esquema interno de dirección IPB. Compartiendo una cuantas direcciones IP publicas con un gran numero de
clientes internosC. Usando una dirección privado del RFC 1918 en forma internaD. Filtrando el trafico de red para preveer los ataques forzados
11. Una ventaja significativa de un control de seguridad es cuando esto va inadvertidopor usuarios. ¿Qué llaman esto?J.A. InvisibilidadK.B. TransparenciaL.C. DiversidadM.D. Ocultando en vista simple
12. ¿Cuándo usted diseña un sistema de seguridad para el envió de correo electrónicopor Internet, cual de los siguiente es el menos importante?A. La no repudiaciónB. DisponibilidadC. Integridad de mensajeD. Restricción de acceso
13. ¿Cuál de lo siguiente no es típicamente un elemento que debe ser hablado conusuarios finales con respecto a la política de retención del correo electrónico?A. AislamientoB. Revisión de interventorC. Longitud de retenciónD. Método de reserva
14. ¿Cómo es llaman el correo electrónico cuando por sí mismo es usado como unmecanismo de ataque?A. MasqueradingB. MailbombingC. SpoofingD. Smurf attack
15. ¿Por qué el spam tan difícil de detener?E. Los filtros son ineficaces en el bloqueo de mensajes entrantes.F. La dirección de la fuente es por lo general spoofed.G. Esto es un ataque que requiere poca maestría.H. Los ataques de Spam pueden causar la negación servicio.
16. ¿Cuál de los mecanismos de seguridad de correo electrónico puede proveer dostipos de mensajes: signed and enveloped?I. PEMJ. PGPK. S/MIME
122
L. MOSS
17. ¿Además del mantenimiento de un sistema puesto al día y el control del accesofísico, cual de las siguientes es las siguientes contramedidas es la más eficazcontra el fraude PBX y el abuso?A. Cifrar comunicacionesB. Cambio de las contraseñas por defectoC. Utilización de los logs de transmisiónD. Acción de grabar y archivar todas las conversaciones.
18. ¿Cuál de lo siguiente puede ser usado a mecanismos ganar el acceso a unsistema?A. Ataque forzadosB. Negación de servicioC. Ingeniería socialD. Exploración de puerto
19. ¿Cuál de lo siguiente no es una negación de ataque de servicio?A. Atacando algún defecto encontrado en un programa para consumir el 100 de su
CPUB. Envía paquetes distorsionados a un sistema, congestionandolo hasta colgarloC. Realizando un ataque forzado contra un usuario conocidoD. Envíar miles de correos electrónicos a una sola dirección
20. ¿Cuál de lo siguiente no es una contramedida directa preventiva contra lapersonificación?A. KerberosB. One-time padsC. Transaction loggingD. Session sequencing
Respuestas
1. B. Tunneling no siempre usa el cifrado. Sin embargo, emplea encapsulamiento,esto es usado para transmitir datos sobre una red intermediaria, y es capaz deevitar firewalls, gateways, proxies, u otros dispositivos de control de tráfico.
2. D. Los sistemas stand-alone no necesitan del tunneling porque ningunacomunicación entre sistemas ocurre y ninguna red intermedia se encuentrapresente.
3. B. La mayoria de VPNs usan el cifrado para proteger datos transmitidos. En y deellos, la oscuridad, encapsulation, y la transmisión miesntras se esta logeado noprotege datos como es transmitido.
4. D. El cifrado no es necesario para la conexión para ser considerada un VPN,pero es recomendado para la protección de datos.
123
5. D. Requieren una conexión de red intermediaria para que un enlace VPN seaestablecido.
6. C. SLIP es un protocolo de conexion dial-up, precursor de PPP. Esto no es unprotocolo VPN
7. A, B. Capa 2 Forwarding (L2F) fue desarrollada por Cisco como un mecanismotunneling de autenticación mutua. Sin embargo, L2F no ofrece el cifrado. L2TPtambién carece del cifrado built-in.
8. D. IPSec opera en la capa de red (capa3).
A. El rango de direcciones 169.172.0.0–169.191.255.255 no es listado enRFC 1918 como un rango de direcciones IP publicas
9. D. NAT no protégé contra ataques forzados y tampoco los previene.
10. B. Cuando la transparencia es una característica de un servicio, el control deseguridad, o el mecanismo de acceso, es no visto por usuarios.
11. B. Aunque la disponibilidad sea en general un aspecto clave de seguridad en,esto es el aspecto menos importante de sistemas de seguridad para el correoelectrónico Entregado por Internet.
12. D. El metodo de backup no es un importante factor para discutir con usuariosfinales en cuanto a la retención del correo electrónico.
13. B. Mailbombing es el empleo del correo electrónico como un mecanismo deataque. Las saturacion de un sistema con mensajes causan una negación deservicio.
14. B. Es a menudo difícil de parar spam porque la fuente de los mensajes es por logeneral spoofed.
15. C. Dos tipos de mensajes pueden ser formados usando la S/MIME: mensajesfirmados y mensajes enpaquetados.
16. Un mensaje firmado proporciona la autenticación de remitente y la integridad. Unmensaje empaquetado proporciona la integridad, la autenticación de remitente, yla confidencialidad.
17. B. El cambio de las contraseñas por defecto en los sistemas PBX proporciona elaumento más eficaz de la seguridad.
18. C. La ingeniería social es a menudo usada para pasar sobre los controles físicosy lógicos más eficaces.
Independemente de la actividad real consiste en que el atacante convence a lavíctima, por lo general es dirigido hacia la apertura de una puerta de atrás que elatacante usa para ganar el acceso a la red.
19. C. Un ataque forzado no es considerado DOS.
20. C. La tala de transacción es una contramedida policíaca, no un modo preventivo.
124
CAPITULO 14
125
1. Revisión y supervisión
El dominio de la seguridad de las operaciones del Common Body of Knowledge (CBK)para los repartos del examen de la certificación de CISSP con las actividades y losesfuerzos dirigidos en mantener seguridad operacional e incluye las preocupacionesprimarias de la revisión y de la supervisión. Incitarlo la revisión y supervisión de losdepartamentos de IT para hacer esfuerzos en la detección de intrusiones y deactividades desautorizadas. Los administradores vigilantes deben clasificar con unaselección de contramedidas y realizar la penetración que prueba que las ayudas allímite, restringen, y previenen actividades inadecuadas, crímenes, y otras amenazas.
Discutimos el dominio de la seguridad de las operaciones en un cierto detalle en elcapítulo 13, “gerencia administrativa” y acabaremos encima de cobertura en estedominio en este capítulo. Ser seguro leer y estudiar los materiales de ambos capítulospara asegurar la cobertura completa del esencial material de la seguridad de lasoperaciones para el examen de la certificación de CISSP.
a. Revisión
La revisión es una examinación o una revisión metódica de un ambiente para asegurarla conformidad con las regulaciones y para detectar anormalidades, ocurrenciasdesautorizadas, o crímenes absolutos. Asegurar que los ambientes IT confíenpesadamente en la revisión. Total, la revisión sirve como el tipo primario de controldetective usado en un ambiente seguro.
b. Revisión de fundamentos
La revisión abarca una variedad amplia de diversas actividades, incluyendo la grabaciónde los datos del acontecimiento/de la ocurrencia, examinación de datos, de la reducciónde datos, del uso de los disparadores del alarmar del acontecimiento/de la ocurrencia, ydel análisis del registro. Estas actividades también se conocen como, por ejemplo,registro, supervisión, alarmas que examinan, análisis, y detección uniforme de laintrusión. El registro es la actividad de la información de grabación sobreacontecimientos u ocurrencias a un fichero de diario o a una base de datos. Lasupervisión es la actividad de manualmente o programmatically repasando lainformación registrada que busca algo específico.
Los triggers de alarma son notificaciones enviadas a los administradores cuando ocurreun acontecimiento específico. El análisis del registro es un más detallado y formasistemática de supervisión en cuál se analiza la información registrada detalladamentepara las tendencias y los patrones así como anormal, desautorizado, ilegal, y lasactividades política-violación. La detección de la intrusión es una forma específica desupervisar ambas información registrada y acontecimientos en tiempo real para detectarel acceso indeseado del sistema.
c. Responsabilidad
La revisión y la supervisión son factores requeridos para sostener y hacer cumplirresponsabilidad. Supervisión son los medios programáticos por los cuales los temas sonllevados a cabo responsables de sus acciones mientras que están autenticados en un
126
sistema. Sin una cuenta electrónica de las acciones de un tema, no es posiblecorrelacionarla las actividades, los acontecimientos, y las ocurrencias con los temas. Lasupervisión es también el proceso por el cual las actividades desautorizadas oanormales son detectadas en un sistema. Es necesaria detectar las acciones malévolaspor los temas, las intrusiones procuradas, y los fallos del sistema y reconstruir losacontecimientos, proporcionan la evidencia para el procesamiento, y los informes yanálisis del problema del producto. La revisión y la registración son generalmentecaracterísticas nativas de un sistema operativo y la mayoría de los usos y de losservicios. Así, configurando el sistema a la información de registro sobre tiposespecíficos de acontecimientos es bastante directo.
La revisión también se utiliza para supervisar la salud y el funcionamiento de un sistemacon la registración de las actividades de temas y de objetos así como las funciones delsistema de la base que mantienen el ambiente de funcionamiento y los mecanismos dela seguridad. Los rastros de intervención creados registrando acontecimientos delsistema a los registros se pueden utilizar para evaluar la salud y el funcionamiento deun sistema. Los fallos del sistema pueden indicar programas culpables, conductorescorruptos, o tentativas de la intrusión. Los registros del acontecimiento que conducen aun desplome se pueden utilizar a menudo para descubrir que la razón que un sistemafalló. Los ficheros de diario proporcionan un rastro de intervención para reconstruirgradualmente la historia de un acontecimiento, de una intrusión, o de un fallo delsistema.
En la mayoría de los casos, cuando la suficiente registración y la revisión se permitesupervisar un sistema, tanto los datos se recogen que los detalles importantesconsiguen perdidos en el bulto. El arte de la reducción de datos es crucial al trabajarcon los volúmenes grandes de supervisar datos. Hay herramientas numerosas a buscara través de los ficheros de diario para los acontecimientos específicos o los códigos deidentificación. Sin embargo, para la automatización verdadera e incluso el análisis entiempo real de acontecimientos, se requiere un sistema de la detección de la intrusión(identificaciones). Las soluciones de las identificaciones se discuten en el capítulo 2, los“ataques y supervisión”.
d. Conformidad
La revisión es también de uso general para la prueba de la conformidad, ocomprobación de la conformidad. La verificación que un sistema se conforma con leyes,las regulaciones, las líneas de fondo, las pautas, los estándares, y las políticas es unaparte importante de seguridad que mantiene en cualquier ambiente. La prueba de laconformidad se asegura de que todos los elementos necesarios y requeridos de unasolución de la seguridad están desplegados correctamente y funcionando según loesperado. Los cheques de la conformidad pueden tomar muchas formas, tales comoexploraciones de la vulnerabilidad y prueba de la penetración. Pueden también serrealizados usando las herramientas del análisis del registro para determinarse si se hanobservado algunas vulnerabilidades para las cuales se hayan desplegado lascontramedidas en el sistema.
Las intervenciones se pueden realizar a partir de la una de dos perspectivas: interno oexterno. Los empleados de organización por dentro de los ambiente que estánenterados de las soluciones puestas en ejecución de la seguridad realiza intervencionesinternas. Los interventores independientes del exterior ambiente que no están alcorriente de las soluciones puestas en ejecución de la seguridad realiza intervencionesexternas. Agencias del seguro, firmas de contabilidad, o aún los interventores externosdel hire de la organización sí mismo para probar la validez de las demandas de la
127
seguridad. La meta de la revisión interna y externa es medir la eficacia de la solucióndesplegada de la seguridad.
e. Marcos de tiempo de la intervención
La frecuencia del intervención de la seguridad de la infraestructura o revisión de laseguridad se basa en riesgo. Al realizar análisis del riesgo, debe ser determinado del siel suficiente riesgo existe para autorizar el costo e interrupción ser causado por unaintervención de la seguridad en más o una base menos frecuente. En todo caso, lafrecuencia de las revisiones de la intervención debe ser bien definida en las pautas de laseguridad o estándares de una organización. Definido una vez en la infraestructuraformalizada de la seguridad, debe ser adherida. Sin los gravámenes regulares delestado de la seguridad del infraestructura, allí no es ninguna manera saber seguro es elambiente hasta que un ataque es acertado o frustrado. El esperar hasta la batalla paradeterminarse si o no tendrás éxito es una estrategia de negocio muy pobre.
Como con muchos otros aspectos de la seguridad que despliega y que mantiene, lasintervenciones de la seguridad y las revisiones de la eficacia se ven a menudo comoelementos dominantes en exhibir cuidado debido. Si la gerencia mayor no puede hacercumplir conformidad con revisiones periódicas regulares de la seguridad, después seránsostenidas responsables y obligadas para cualquier pérdida del activo que ocurradebido a las aberturas de la seguridad o a las violaciones de la política.
f. Rastros de intervención
Los rastros de intervención son los expedientes creados por la información de grabaciónsobre acontecimientos y ocurrencias en una base de datos o un fichero de diario. Losutilizan para reconstruir un acontecimiento, para extraer la información sobre unincidente, para probarla o para refutar culpabilidad, y mucho más. Permiten que queremontans los acontecimientos sean examinados o en orden delantera o reversa. Estaflexibilidad es útil al seguir abajo de problemas, de errores de codificación, de edicionesdel funcionamiento, de ataques, de intrusiones, de aberturas de la seguridad, y de otrasviolaciones de la política de la seguridad. Usar rastros de intervención es una formapasiva de control detective de la seguridad. Sirven como una televisión de manerasemejante a circuito cerrado del impedimento (CCTV) o los protectores de seguridad: siel atacante sabe que los están mirando y sus actividades registradas, son menosprobable realizarse la actividad ilegal, desautorizada, o malévola. Los rastros deintervención son también esenciales como evidencia en el procesamiento de criminales.Pueden ser utilizados a menudo para producir a antes-y-después del cuadro del estadode recursos, de sistemas, y de activos. Esto alternadamente ayuda a identificar si elcambio o la alteración es el resultado de la acción de un usuario o de una acción del OSo del software o causada por algunas otras fuentes (tales como falta del hardware).
La responsabilidad se mantiene para los temas individuales con el uso de los rastros deintervención. Cuando las actividades de los usuarios y de los acontecimientos causadospor las acciones de los usuarios mientras que en línea se registran, individuos sepueden llevar a cabo responsables de sus acciones. Esto promueve directamentebuenos comportamiento y conformidad del usuario con la política de la seguridad de laorganización. Los usuarios que están enterados que su las actividades se estáregistrando son menos probables procurar evitar controles de la seguridad o realizaractividades desautorizadas o restrictas.
128
Los administradores de sistema de la elasticidad de los rastros de intervención lacapacidad de reconstruir acontecimientos desean después de que hayan pasado.Cuando se detecta una violación de la seguridad, las condiciones y el estado delsistema que conduce al acontecimiento, durante el acontecimiento, y después de que elacontecimiento se pueda reconstruir a través de una examinación cercana del rastro deintervención.
Detalles de la oferta de los rastros de intervención sobre acontecimientos registrados.Una amplia gama de la información se puede registrar en ficheros de diario, incluyendohora, fecha, sistema, usuario, proceso, y el tipo de error/de acontecimiento. Los ficherosde diario pueden incluso capturar el estado de la memoria o el contenido de la memoria.Esta información puede ayudar a establecer claramente la causa del acontecimiento.Usar los ficheros de diario para este propósito se etiqueta a menudo como identificacióndel problema. Una vez que se identifique un problema, la ejecución de la resolución delproblema es poco más que siguiendo en la información divulgada. Los rastros deintervención registran fallos del sistema, insectos del OS, y errores del software como elpozo como abusos del acceso, violaciones de privilegios, procuró intrusiones, y muchasformas de ataques. La detección de la intrusión es una forma especializada deidentificación del problema con el uso de los rastros de intervención.
Una vez una violación de la política de la seguridad o una abertura ocurre, la fuente deesa violación debe ser determinada. Si es posible seguir al individuo que perpetró laactividad, ella debe ser reprendida o ser terminada (si un empleado) o ser procesada (siun intruso externo). En todos los casos donde ha ocurrido una violación o una aberturaverdadera de la política de la seguridad (especialmente si una pérdida puede serestablecida claramente), debes divulgar el incidente a tus autoridades locales,posiblemente el FBI, y si ocurrió la violación en línea, a unas o más organizaciones quesiguen del incidente del Internet.
g. Divulgación de conceptos
Los formatos reales usados por una organización para producir informes de rastros deintervención variarán grandemente. Sin embargo, los informes si toda la direcciónalgunos conceptos básicos o centrales: el propósito de la intervención, el alcance de laintervención, y los resultados descubiertos o revelados por la intervención. Además deestos conceptos foundational básicos, los informes de intervención incluyen a menudomuchos detalles específicos al ambiente, tal como tiempo, fecha, sistemas específicos,y así sucesivamente. Los informes de intervención pueden incluir una amplia gama delcontenido que se centra en problemas/acontecimientos/condiciones,tandards/criterios/líneas de fondo, causas/razones, impacto/efecto, osoluciones/recomendaciones/salvaguardias.
h. Formato de divulgación
Los informes de intervención deben tener una estructura o un diseño que estén claros,sucinto, y un objetivo. Es común para que el interventor incluya opiniones o lasrecomendaciones para la respuesta al contenido de un informe, pero los resultadosreales del informe de intervención se deben basar en hecho y evidencia de rastros deintervención. Los informes de intervención incluyen la información sensible y se debenasignar una etiqueta de la clasificación y dirigir apropiadamente. Dentro de la jerarquíade la organización, solamente esa gente con suficiente privilegio debe tener acceso alos informes de intervención. Un informe de intervención se puede también preparar envario formas según la jerarquía de la organización. Deben proporcionar solamente los
129
detalles relevantes a la posición de los miembros del personal que tienen acceso aellos. Por ejemplo, la gerencia mayor no necesita saber todos los detalles minuciososde un informe de intervención. Por lo tanto, el informe de intervención para la gerenciamayor es mucho más sucinto y ofrece más de una descripción o de un resumen de losresultados. Un informe de intervención para encargado o el administrador de laseguridad debe estar muy detallado e incluir toda la información disponible sobre losacontecimientos contenidos en ella.
i. Divulgación de los marcos de tiempo
La frecuencia de producir informes de intervención se basa en el valor de los activos yel nivel del riesgo. más valioso el activo y cuanto más alto es el riesgo, el informe deintervención debe ser producido más a menudo. Una vez que se termine un informe deintervención, debe ser sometido al recipiente asignado (según lo definido en ladocumentación de la política de la seguridad) y una confirmación firmada del recibodebe ser archivada. Cuando un informe de intervención contiene la información sobreviolaciones de la seguridad o ediciones serias del funcionamiento, el informe se debeextender a niveles más altos de la gerencia para la revisión, la notificación, y laasignación de una respuesta. Tener presente que, en una infraestructura formalizada dela seguridad, sólo los niveles más altos de la gerencia tienen cualquier energía de latoma de decisión. Todas las entidades en el extremo inferior de la estructura debenseguir prescribieron procedimientos y siguen la instrucción.
j. Muestreo
El muestreo, o la extracción de datos, es el proceso de extraer elementos de un cuerpogrande de datos adentro orden para construir una representación o un resumensignificativa del conjunto. Es decir muestreo es una forma de reducción de datos quepermita que un interventor determine rápidamente las ediciones o los acontecimientosimportantes de un rastro de intervención. Hay dos formas de muestreo: estadístico y noestadístico. Una herramienta de revisión usando funciones matemáticas exactas paraextraer la información significativa de un de gran capacidad de datos realiza el muestreoestadístico. Hay siempre un riesgo que muestrearon datos no es una representaciónexacta del cuerpo entero de datos y que puede engañar a interventores y losencargados, y el muestreo estadístico pueden ser utilizados para medir ese riesgo.
Los niveles del truncamiento son ampliamente utilizados en curso de revisión deacontecimientos como línea de fondo del sistema o de la actividad del usuario que seconsideran actividad rutinaria. Si se excede esta línea de fondo, se acciona un alarmarinusual del acontecimiento. Esto trabaja especialmente bien cuando los individuosexceden su autoridad, cuando hay demasiada gente con el acceso sin restricción, ypara los patrones serios de la intrusión.
El muestreo no estadístico se puede describir como el muestreo al azar o muestreo enla discreción del interventor. Ofrece ni aseguramiento de una representación exacta delcuerpo entero de datos ni una galga del riesgo del muestreo. El muestreo no estadísticoes menos costoso, requiere menos entrenamiento, y no requiere instalacionesinformáticas..El muestreo estadístico y no estadístico se acepta como mecanismos válidos para crearlos resúmenes o las descripciones de cuerpos grandes de los datos de la intervención.Sin embargo, el muestreo estadístico es más confiable.
130
k. Retención de registro
Mientras que el término implica, la retención de registro implica el conservar y elmantener de la información importante. Una organización debe tener una política quedefina se mantiene qué información y para cuánto tiempo. Pues se aplica a lainfraestructura de la seguridad, en la mayoría de los casos, los expedientes en lapregunta son los rastros de intervención de la actividad del usuario, que pueden incluirel acceso del archivo y del recurso, patrones de la conexión, E-mail, y el uso deprivilegios.
l. Marcos de tiempo de la retención
Dependiendo de tu industria y de tu relación con el gobierno, puedes necesitarconservar los expedientes por tres años, siete años, o indefinidamente. En la mayoríade los casos, un mecanismo de reserva separado se utiliza para crear las copiasarchivadas de los rastros de intervención sensibles y de la información de laresponsabilidad. Esto permite para que el sistema de reserva principal de datos reutiliceperiódicamente sus medios sin la violación del requisito para conservar rastros deintervención y los similares.
Si los datos sobre individuos están siendo conservados por tu organización, losempleados y la necesidad de clientes de ser hecho enterado de ellos (tales comoadentro un acuerdo condicional del empleo o un acuerdo del uso). En muchos casos, elrequisito de la notificación es una cuestión legal, mientras que en otros es simplementeuna cortesía. En cualquier caso, es una buena idea discutir la edición con un abogado.
m. Medios, destrucción, y seguridad
Los medios almacenaban o conservar rastros de intervención debe ser mantenidacorrectamente. Esto incluye tomar las medidas seguras para la marca, la dirección, elalmacenaje, y la destrucción de medios. Para los detalles en la manipulación de mediossensibles, ver por favor la sección titulada “información y los medios sensibles” en elcapítulo 13, “gerencia administrativa”.
Los expedientes conservados se deben proteger contra desautorizado y untimely ladestrucción, contra la alteración, y contra obstáculos para la disponibilidad. Muchos delos mismos controles de la seguridad usados para proteger recursos y activos en línease pueden imponer para proteger registros de la intervención, rastros de intervención,informes de intervención, y los medios de reserva que contienen la información de laintervención.
El acceso a la información de la intervención debe ser controlado terminantemente. Lainformación de la intervención se puede utilizar en ataques de la inferencia paradescubrir la información sobre clasificaciones más altas de datos, así los registros de laintervención que contienen expedientes sobre activos altamente confidenciales sedeben manejar de la misma manera segura que los activos reales. Otra manera deindicar esto es que cuando se crea un registro de la intervención, estás creando otraentidad del activo con las mismas necesidades de la seguridad que el activo revisadooriginal.
Mientras que va el valor de activos y de los datos de la intervención para arriba y elriesgo aumenta, así que hace la necesidad de un aumento en seguridad y de la
131
frecuencia de las reservas para la información de la intervención. Los datos de laintervención se deben tratar con las mismas precauciones de la seguridad que el restode los datos de la alto-clasificación dentro del ÉL ambiente. Debe ser protegido por loscontroles físicos y lógicos de la seguridad, él debe ser revisado, debe ser sostenidoregularmente, y los medios de reserva se deben almacenar de sitio en un controladofacilidad. Los medios de reserva que reciben datos de la intervención se deben protegercontra pérdida, la destrucción, la alteración, y el acceso físico y lógico desautorizado. Laintegridad de los datos de la intervención se debe mantener y proteger siempre. Si losdatos de la intervención no son exactos, es inútil.
n. Interventores externos
Es a menudo necesario probar o verificar los mecanismos de la seguridad desplegadosen un ambiente. La prueba el proceso se diseña para asegurarse de que los requisitosdictados por la política de la seguridad están seguidos y que ningunos agujeros odebilidades significativos existen en la solución desplegada de la seguridad. Muchasorganizaciones emplean los interventores exteriores o externos de la seguridad paracomprobar la seguridad de su ambiente.
Dan un interventor externo el acceso a la política de la seguridad de la compañía y a laautorización de examinar cada aspecto del ÉL y ambiente físico. Así el interventor debeser una entidad confiada en. La meta de la actividad de la intervención es obtener uninforme final que detalle cualquier resultado y sugiere contramedidas cuando esapropiada. Sin embargo, una intervención de este tipo puede tomar un considerablecantidad de tiempo a las completo-semanas o a los meses, de hecho. Durante el cursode la intervención, el interventor puede publicar informes provisionals. Un informeprovisional es un informe escrito o verbal dado a la organización sobre una debilidaddescubierta de la seguridad que necesite la atención inmediata. Se publican losinformes provisionals siempre que un problema o una edición sea demasiado severaesperar hasta el final se publica el informe de intervención.
Una vez que el interventor termine sus investigaciones, se lleva a cabo una conferenciade la salida. Durante la conferencia de la salida, el interventor presenta y discute susresultados y discute ediciones de la resolución con los partidos afectados. Sin embargo,solamente después que la conferencia de la salida es excesiva y el interventor hadejado las premisas hace a interventor escriben y someten el informe de intervenciónfinal a la organización. Esto permite que el informe de intervención final sea taninafectado como sea posible por política y la coerción de la oficina. Después de que sereciba el informe de intervención final, los interventores internos deben verificar si o nolas recomendaciones en el informe estén realizadas. Sin embargo, es la responsabilidadde la gerencia mayor seleccionar que las recomendaciones de seguir y de delegar lapuesta en práctica al equipo de la seguridad.
2. Monitoreo
El monitoreo o supervisión es una forma de auditar esos focos en la revisión activa de lainformación auditada o del activo auditado. Por ejemplo, nosotros podríamos auditar laactividad de conexiones falladas, pero supervisarías funcionamiento de la CPU. Lasupervisión es la más de uso tiene conjuntamente con la performance, pero puede serutilizada en un contexto de la seguridad también. La supervisión puede centrarse eneventos, subsistemas, usuarios, hardware, software, o cualquier otro objeto dentro delambiente de TI. Una puesta en práctica común de la supervisión se conoce como
132
supervisión ilegal del software. Este monitoreo se utiliza para mirar las instalaciones desoftware ilegal, el uso del software desautorizado, o el uso desautorizado del softwareaprobado (es decir, tentativas de saltar las restricciones en la jerarquía de laclasificación de seguridad). La supervisión de este modelo reduce la probabilidad de unvirus o de un Trojan Horse que es instalada o del software que evita los controles de laseguridad impuestos
a. Herramientas y técnicas de monitoreo
Las actuales herramientas y técnicas usadas para la performance delmonitoreo varian enormemente entre ambientes y las plataformas desistemas. Sin embargo estas son formas comunes encontradas en losambientes. Estas incluyen barnners de aviso, monitoreo …( keystroke),análisis del trafico , análisis de tendencia y otras herramientas demonitoreo.
b. Warning Banners
Estas son usadas para el informe de supuestos intrusos o aquellosquienes atentan para violar la política de seguridad esas actividadesintensionales son restringidas y cualquier otra actividad lejana podría serauditada y monitoreada. La equivalencia electrónica de los WarningBanners seria básicamente a no traspasar el logeo. En otras situaciones,las expresiones de los Banners son importantes en lo puntos legales.Estar seguro para consultar con otros abogados acerca de lasexpresiones apropiadas. Solo por validas las alertas podríamos mostrarinstrucciones ya ataques que están procesando. Los usuariosautorizados y no autorizados podrías estar avisados cuando susactividades están siendo registradas. Los usuario autorizados podríanasumir y sus contratos podrían incluir puntos específicos indicando esosy cualquier otro actividad dentro del la infraestructura de TI puede serregistrada
c. Keystroke Monitoring
Este es el acto de grabar las tecleadas del usuario. El acto de grabarpuede ser visual o lógico/técnico. En la mayoría de casos el “keystroke”es usado para propósitos maliciosos. Solo en circunstancias extremas yen los ambientes sumamente asegurados, el monitoreo de “keystroke”puede ser extremadamente útil para aprender de las clases de ataques yde los métodos usados para la infiltración al sistema. El monitoreo de lasteclas pulsadas a menudo comparadas con las interacciones de laslíneas telefónicas. Ahí hay un debate, si el monitoreo de las teclaspulsadas podrían ser rectridigas y controladas por la misma manera quela intervención telefónica. Porque esas no tienen antecedentes legalestodavía, cualquier organización que emple el monitoreo de las teclaspulsadas notificara la autenticación y autorización de los usuarios para talmonitoreo por algún contrato , política de seguridad y “warning Banners”
d. Traffic Analysis and Trend Analysis (Analisis de trafico y de Tendencias)
Son formas de monitoreo donde examina los flujos o paquetes, más biendel contenido de paquetes actuales. Analisis de tráfico y de tendenciaspueden ser usadas para tener (infer) uan gran cantidad de información
133
como la primera comunicación de los router, fuentes para la encriptaciónde tráfico, localización del servidor primario y del sendero de lacomunicación, la cantidad para el trafico soportada por la red, la direccióntípica del flujo, frecuencia de comunicaciones y mucho mas.
e. Other Monitoring Tools
Hay un aplico rango de herramientas disponibles para el performance delmonitoreo. Algunas son automatizan la actividad del monitoreo en tiemporeal. Unas herramientas de monitoreo son desarrollos “In-House”, y son“adhoc ”las cuales enfocan un tipo simple de observación. La mayoría deherramientas son pasivas. Este medio es causado Esto quiere decir queno causa nigun efecto en las actividades de monitoreo, eventos o tráfico yno hacer trasmisiones originales de sí mismo.Un ejemplo común de la herramienta para monitorear el acceso físico esel empleo de televisión en circuito cerrado (CCTV). CCTV puede serconfigurado para automáticamente registrar los acontecimientos vistos enuna cinta para la revisión posterior, o el personal quien mira paraactividades no deseadas, no autorizadas, e ilegales puede mirarlo entiempo real.El reconocimiento de fracaso y la respuesta son una parte importante demonitorear y revisar . ¿De otra manera, qué el punto para la performancedel monitoreo y de las actividades de revisión? Sobre los sistemas queusan la revisión manual, el reconocimiento de fallido es laresponsabilidad del observador o el interventor. Para reconocer unfracaso, hay que entender que es normal y esperado. Cuando elmonitoreo y las actividades de auditoría de la línea de estándar básico,entonces una brecha , falla , instrucción , error o problema puede ocurrirla acción de respuesta debe de ser iniciada.Automatizar los monitoreos y las auditorias de sistemas son usualementeprogramadas para reconcoer las fallas .El reconocimiento de los fracasospueden ser basados en firmas o en bases de conocimientos para unadiscusión de esos dos mecanismos, por favor vea la discusión sobre ladetección de intrusos en el capítulo 2. En el caso de un reconocimientoautomático o manual el primer paso es la notificación a la autoridadresponsable para la sustentación de la seguridad y manipulación delproblema. A menudo es el adminsitrado local, el manejador local o elprofesional de seguridad local. La notificación usualmente toma la formade una alarma o de una notificación de alerta. Una vez que la notificaciónes realizada, el personal responsable o la herramienta automática puededar una respuesta. Cuando una persona es responsable de la respuestaesta debe de adaptar la respuesta para especificar la situación ycondición. Por esta razón en las respuestas controladas por el personal amenudo son las más efectivas. La herramienta, las repuestasautomatizada de una herramienta son script definidos donde algunosalcances son más que innecesarios.Los instrumentos automatizados son excelentes para lockdown rápido yeficiente, pero a menudo la contramedida o la respuesta impuesta por uninstrumento afectarán considerablemente la capacidad del sistema deseguir apoyando y de realizar el trabajo productivo. Siempre que unarespuesta del instrumento automatizada sea desplegada, el personaldebería ser notificado así la respuesta puede ser ajustada y la red puedeser devuelta a su estado normal cuanto antes.
3. Penetration Testing Techniques
134
En términos de seguridad , una penetración ocurre cuando un ataque es acertado y unintruso es capaz de violar el perímetro de su ambiente. La violación puede ser tanpequeña como leer unos pocos bits de su red o tan grande como conectándose comoun usuario con privilegios sin restricción. Uno de los objetivos primarios de seguridaddebe prevenir penetraciones. Un método común de probar la fuerza de sus medidas deseguridad es de realizar pruebas de penetración.Las pruebas de penetración son una tentativa vigorosa de romperse en una redprotegida usando cualquier mecanismo necesario. Es común para organizaciones tenera consultores externos para realizar la penetración que prueba entonces los probadoresno son privados a los elementos confidenciales de la configuración de la seguridad, yotros secretos internos. Las pruebas de penetración son el arte y la ciencia deimplementar salvaguardas puestos en práctica. Esto es solamente otro nombre paralanzar tentativas de intrusión y ataca contra una red. La actividad en cualquiera esexactamente la misma, pero las pruebas de penetración son realizadas con laaprobación y el conocimiento de los profesionales de seguridad en un ambientecontrolado y supervisado.Los intentos de los usuarios malévolos para la violación de la seguridad en el ambientede TI , seria realiza ataques de intrusión. Si un usuario interno realiza una prueba contrauna medida de seguridad sin la autorización, entonces será visto como un ataque másbien que como una prueba de penetración. Las pruebas de penetración pueden serrealizadas usando instrumentos de ataque automatizados o manualmente . Losinstrumentos de ataque automatizados se extienden de escáneres de vulnerabilidad ainstrumentos de cracker/hacker , que existen en la internet. Los manuales de Ataquesse emplean a menudo, pero mucho más responsabilidad es colocada sobre el atacantepara saber los detalles de cómo se comete un ataque.Las pruebas de penetración sólo deberían ser realizadas con el consentimiento y elconocimiento del personal de dirección. La realización de pruebas de seguridaddesaprobadas podría causar la pérdida de productividad, provocar equipos derespuesta de la emergencia, o aún costarle su trabajo. Las tentativas de penetracióncon regularidad organizadas son un camino bueno para juzgar con exactitud losmecanismos de seguridad desplegados por una organización. Las pruebas depenetración también pueden revelar áreas donde los parches o ajustes de seguridadson insuficientes y donde nuevas vulnerabilidades se han desarrollado. el equipo depenetracion prueba puede tener varios niveles de conocimiento sobre el ambiente paraser evaluado. Los tres niveles de conocimiento comúnmente aprobados son el cero,parcial, y llenos. Equipos de conocimiento cero no saben nada sobre el sitio excepto lainformación básica, como la dirección de empresa y el nombre de dominio. Un ataquepor un equipo de conocimiento cero el más estrechamente se parece a un verdaderoataque de hacker externo porque toda la información sobre el ambiente debe serobtenida desde el principio. Un equipo de conocimiento parcial un tiene un inventario dehardware y software usado en la Penetración que Prueba Técnicas 431 sitios yposiblemente conectar una red detalles de configuración y el diseño. El equipo esentonces capaz de enfocar sus esfuerzos en ataques y vulnerabilidades específicas alhardware real y el software en el empleo en el sitio. Un equipo de conocimiento lleno escompletamente consciente de cada aspecto del ambiente, baja los parches yactualizaciones de seguridad exactas. El personal de administración de seguridadnormal puede ser considerado un equipo de conocimiento lleno. Lamentablemente, unequipo de conocimiento lleno es el tipo menor preferido de penetración que prueba elequipo porque sus miembros a menudo son influidos y pueden tener puntos ciegos. Unequipo de conocimiento lleno sabe que ha sido asegurado, entonces esto puede fallaren probar la responsabilidad correctamente.
a. War Dialing
Es el acto de usar un módem para buscar un sistema que aceptarátentativas de conexión entrantes. Un sintonizador de guerra puede ser un
135
ordenador típico como un módem conectado y una carrera de programade sintonizador de guerra o esto puede ser un dispositivo independiente.En el uno o el otro caso, ellos son usados para sistemáticamente marcarnúmeros de teléfono y escuchar para un tono de portador de ordenador.Cuando un tono de portador de ordenador es descubierto, el sintonizadorde guerra añade este número a su informe que es generado al final delproceso de búsqueda. Un sintonizador de guerra puede ser usado buscarcualquier gama de números, como los 10,000 números dentro de unprefijo específico o todos los 10,000,000 dentro de un prefijo localespecífico. La marcación de guerra a menudo es usada localizar losmódems no autorizados que han sido instalados sobre sistemas decliente dentro de una red asegurada de otra manera y sin querer han sidoconfigurados para contestar hacia el interior llamadas. Un atacante puedeadivinar una relativamente pequeña gama de números de teléfono paraexplorar por aprendiendo uno o varios de los números de teléfono usadospor la organización. En la mayoría de los casos, el prefijo es el mismopara todos los números dentro de la organización de ser localizadadentro del mismo edificio o dentro de una pequeña área geográfica. Así,la guerra que marca la búsqueda podría ser limitada con 10,000números. Si varios de los números de teléfono de la organización sonsecuencialmente cercanos, el atacante puede enfocar la la búsquedasobre un grupo de sólo unos cien de números. War dialing como unaprueba de penetración es un instrumento útil para asegurar que ningunosmódems de contestación no autorizados están presentes dentro de suorganización. En la mayoría de los casos, usted tendrá una lista definitivade los números de teléfono controlados por o asignado a su organización.Tal lista proporciona un plan enfocado de pruebas para la marcación deguerra. Las contramedidas contra la War dialing malévola incluyen laseguridad de acceso imponente (principalmente en la forma deautenticación), asegurando que ningunos módems no autorizados estánpresentes, y la seguridad de retrollamada de utilización, la restricción deprotocolo, y la tala de llamada.
b. Sniffing and Eavesdropping
es una forma de supervisión de tráfico de red. La aspiración a menudoimplica la captura o la duplicación de tráfico de red para el examen, larecreación, y la extracción. Esto puede ser usado tanto como unmecanismo de prueba de penetración como como un método de ataquemalévolo. La aspiración es a menudo un instrumento eficaz en la capturao la extracción de datos de corrientes de tráfico de red no cifradas. Lascontraseñas, usernames, IP direcciones, el contenido de mensaje, ymucho más pueden ser capturadas usando el software u olfateadores abase de hardware. Los olfateadores pueden capturar sólo el tráfico dirigióa la su dirección de IP del sistema de anfitrión o todo el tráfico que pasasobre el segmento de red local. Para capturar todo el tráfico sobre unsegmento de red local, NIC del olfateador debe ser colocado en el modopromiscuo. Hay muchos Sniffer comerciales, el freeware, y Sniffer demercancía de hacker disponibles. Estos incluyen Etherpeek, WinDump,Etéreo, sniffit, y Snmpsniff.La contramedida primaria a la aspiración de ataques debe usar el tráficocifrado. También pueden frustrar a la aspiración impidiendo al softwareno deseado instalar, por cerrando abajo todos los puertos no usados, ypor usando un IDS o un escáner de vulnerabilidad que es capaz dedescubrir los signos reveladores de un producto de Sniffer
136
.Eavesdropping es solamenteotro término para el Sniffer. Sin embargo, laescucha disimulada puede incluir más que la justa captura y el tráfico dered de grabación. La escucha disimulada también incluye la grabación oescuchando a comunicaciones de audio, faxes, señales de radio,etcétera. En otras palabras, la escucha disimulada escucha en sobre, lagrabación, la captura, o de otra manera dándose cuenta del contenido decualquier forma de comunicación.
c. Radiation Monitoring
es una forma específica de aspiración o escucha disimulada que implicala detección, la captura, y la grabación de señales de radiofrecuencia yotros métodos de comunicación irradiados, incluyendo el sonido y la luz.La radiación que supervisa puede ser tan simple como la utilización de unmicrófono ocultado en un espacio para registrar voces o tan sofisticadocomo la utilización de una cámara para registrar las reflexiones ligeras enun espacio para reconstruir el contenido de una demostración deordenador visual que de otra manera es ocultada de la inspección directa.La radiación que supervisa también incluye el toque de frecuencias deradio a menudo usadas por teléfonos móviles, interfaces de redinalámbricos, radio de doble dirección, radio y difusiones de televisión,radio de onda corta, y CBS. Además, esto incluye el toque de una ampliagama de las variaciones de señal eléctricas que directamente no puedenofrecer la información, pero pueden ser usadas en ataques de inferencia.Estos incluyen el cambio del uso eléctrico por un sistema de ordenadorentero, un disco duro, un módem, un interfaz de red, un interruptor, y unarebajadora. Dependiendo el dispositivo, las señales electromagnéticasproducidas por el hardware pueden ser capturadas y usadas recrear losdatos, o al menos metadata sobre los datos, y la sesión de comunicación.TEMPEST es un estándar que define el estudio y el control de señaleselectrónicas producidas por varios tipos de hardware electrónico, comoordenadores, televisiones y teléfonos. Su objetivo primario es de prevenirla interferencia electromagnética (EMI) y la radiación de radiofrecuencia(RF) , dejar un área estrictamente definida para eliminar la posibilidad deradiación externa, escucha disimulada, y la aspiración de señal.
d. Dumpster Diving
es el acto de buscar basura o restos de una organización o la operaciónpara descubrir o deducir la información confidencial. La busqeuda en elbasurero principalmente es asociado con cavarse por la basura real. Estotambién puede incluir la busca, la investigación, y la ingeniería inversa elsitio web de una organización, productos comerciales, y la literaturapúblicamente accesible (como declaraciones financieras, folletos, lainformación de producto, informes de accionista, etc.). Scavenging esuna forma de buscar en la basura que es realizado electrónicamente. Esrealizado para buscar la información útil en los remanentes de datosdejados después de que los procesos o tareas son completados. Estopodría incluir rastros de auditoría, archivos de tronco, vertederos dememoria, ajustes variables, el trazar un mapa de puerto, y datos cache.Dumpster diving y scavenging puede ser empleado como una prueba depenetración para descubrir cuanta información sobre su organización sinla debida atención es desechada en la basura o abandonada alrededor ,
137
después del cierre de una instalación. Las contramedidas al salto debasurero y el rescatando incluyen la disposición segura de toda labasura. Esto por lo general quiere decir el desfibrado toda ladocumentación. Otras salvaguardas incluyen el mantenimiento delcontrol de acceso físico.
e. Social EngineeringUn ataque de la ingeniería social es una tentativa por un atacante paraconvencer a un empleado de realizar una actividad no autorizada paraderribar la seguridad de una organización. A menudo el objetivo deingeniería social es de ganar el acceso a la infraestructura de TI o lainstalación física. La ingeniería social es una habilidad por la cual unapersona desconocida gana la confianza de alguien dentro de suorganización. Individuos expertos pueden convencer a empleados queellos son asociados con la dirección superior, el soporte técnico, elescritorio de ayuda, etcétera. Una vez que este engaño es acertado, amenudo animan a la víctima a hacer un cambio a su cuenta de usuariosobre el sistema, como la puesta a cero de su contraseña. Otros ataquesincluyen la instrucción de la víctima de abrir ficheros adjuntos del correoelectrónico específicos, lanzar un uso, o unirse a URL específico.Independemente de la actividad real es, por lo general es dirigido hacia laapertura de una puerta de atrás que el atacante puede soler ganar elacceso a la red. Los Ataques de la ingeniería social exclusivamente noocurren sobre el teléfono; ellos pueden pasar en la persona también.Individuos malévolos que imitan a técnicos de reparación, la direcciónsuperior, o gerentes de empresa de viaje pueden intimidar a algunosempleados en las actividades artísticas que violan la seguridad. Lascontramedidas a ataques en persona de la ingeniería social que incluyenla verificación de la identidad del intruso/visitante vía una fotografíaasegurada, poniéndose en contacto con su empresa de la fuente, oencontrando a un gerente local que reconoce al individuo. Ataques de laingenieria social pueden ser usados como pruebas de penetración. Estosque los tipos de pruebas ayudarán a determinar como vulnerable susempleados de primera línea son al adepto de individuos en la mentira.Para una discusión detallada de ataques sociales de la ingeniería, mirarel Capítulo 4, " la Seguridad de Comunicaciones y Contramedidas. "
f. Problem Management
Una vez la revisión, la supervisión, y pruebas de penetración hanocurrido, el siguiente paso es la dirección de problema.La dirección de problema es exactamente lo que suena: un procesoformalizado o estructura para resolver problemas. Principalmente, ladirección de problema es una solución se desarrolló interno para dirigirvarios tipos de discusiones y problemas encontrados en el ambiente.La dirección de problema típicamente es definida como el teniendo tresobjetivos u objetivos:
Reducir fracasos a un nivel manejable Para prevenir la presencia o nueva presencia de un problema
138
Para mitigar el impacto negativo de problemas sobre servicios yrecursos
4. Inappropriate Activitiesson las acciones que pueden ocurrir sobre un ordenador o sobre lainfraestructura de TI y no puede ser crímenes reales, pero es a menudo hayrazones para castigos internos o terminación.Algunos tipos de actividades inadecuadas incluyen la creación o la inspección elcontenido inadecuado, el hostigamiento sexual y racial y el abuso. El contenidoinadecuado puede ser definido como algo que no es relacionado con el apoyode las tareas de trabajo de una organización. Esto incluye, pero no es limitadocon, la pornografía, el material sexualmente explícito, la hospitalidad, datospolíticos, y el contenido violento. La definición de contenido inadecuado puedeser definida por el ejemplo (por catalogando los tipos de información consideróinadecuado) o por la exclusión (por catalogando los tipos de informaciónconsiderada apropiado). El contenido inadecuado puede ser definido para incluirel correo electrónico personal que no es el trabajo relacionado. El cuidado delcontenido inadecuado a un mínimo requiere varios pasos. Primero, debe serincluido como un objetivo en la política de seguridad. Segundo, el personal debetener la conciencia que se entrena con respecto al contenido inadecuado.Tercero, los instrumentos de filtración de contenido pueden ser desplegadospara filtrar datos basados en el contenido de palabra o la fuente. No es posibleprevienen programativamente todo el contenido inadecuado, pero penassuficientes pueden ser impuestas contra violaciones, con regularcion querevisan/supervisan para mantener su nivel a un mínimo. El hostigamiento sexualy racial es una forma de contenido inadecuado o actividad sobre el equipo deempresa. El acoso sexual puede tomar muchas formas, incluyendo ladistribución de imágenes, vídeos, clips de audio, o la información de texto (comobromas). Mandos de hostigamiento sexuales y raciales incluyen la educación deconciencia y la filtración contenta. El gasto de los recursos pueden tener unefecto directo sobre la rentabilidad de una organización. Si el espacio dealmacenaje, calculando el poder, o la capacidad de amplitud de bandaconectada a una red es consumido por datos inadecuados o no relacionadoscon el trabajo, la organización pierde el dinero sobre actividades no lucrativo queproducen.Algunos ejemplos más comunes de gasto de recurso incluyen el funcionamientode un asunto personal sobre el equipo de empresa, el tener acceso y ladistribución de datos inadecuados (la pornografía, la hospitalidad, la música,vídeos, etc.), y sin rumbo el surf la Internet. Tal como con el materialinadecuado, pueden reducir el gasto de recurso, pero no eliminarlo. Un poco delmedio primario de reducir el gasto incluye la educación de conciencia delusuario, la supervisión de actividad, y la filtración contenta. El abuso de losderechos y privilegios son la tentativa de realizar actividades o el acceso debeneficio a los recursos que son restringidos o asignados a una clasificaciónmás alta y tienen acceso al nivel. Cuando el acceso es ganado de manera pocoapropiada, la confidencialidad de datos es violada y la información sensiblepuede ser revelada.
139
Las contramedidas para abusar incluyen las puestas en práctica fuertes demandos de acceso y la tala de actividad.
5. Indistinct Threats and CountermeasuresNo todos los problemas que la infraestructura de TI se enfrentará tienencontramedidas definitivas o son aún una amenaza reconocible. Hay numerosasvulnerabilidades contra las cuales no hay ningunas amenazas inmediatas odistintas y contra tales amenazas hay pocas contramedidas. Muchas de estascontramedidas de efecto directo de carencia de vulnerabilidades, o el desplieguede contramedidas disponibles ofrecen poco en la reducción de riesgo.
a. Errors and OmissionsUna de las vulnerabilidades más comunes y el más difícil proteger contraes la presencia de errores y omisiones. Los errores y omisiones ocurrenporque la gente actúa recíprocamente con el programa de control, yproporciona datos para TI. No hay ninguna contramedida directa paraprevenir todos los errores y omisiones. Algunas salvaguardas contraerrores y omisiones incluyen la entrada validators y la educación deusuario. Sin embargo, estos mecanismos ofrecen sólo una reducciónmínima de errores totales y omisiones encontradas en un ambiente de TI.
b. Fraud and TheftEl fraude y el robo son las actividades criminales que pueden sercometidas sobre ordenadores o son hechas posible por ordenadores. Lamayor parte de los mandos de acceso desplegados en un ambienteasegurado reducirán el fraude y el robo, pero no cada forma de estoscrímenes puede ser predicha y protegida contra. Tanto usuarios internosautorizados como intrusos externos no autorizados pueden explotarlo lainfraestructura para realizar varias formas de fraude y robo. Manteniendouna revisión intensiva y el programa de supervisión y el procesamientode todos los incidentes criminales ayudarán a reducir el fraude y el robo.
c. CollusionLa colusión es un acuerdo múltiple entre personas para realizar unaacción no autorizada o ilegal.Es dificultado por la separación de deberes , responsabilidades detrabajo restringidas, la tala de revisión de cuentas, y la rotación detrabajo, que todos reducen la probabilidad que un colega estarádispuesto a colaborar sobre un esquema ilegal o abusivo debido al riesgomás alto de detección. Sin embargo, estos salvaguardas principalmenteno son dirigidos hacia la prevención de Collusion. La reducción decolusión es simplemente las ganancias suplementarias de estos mandosde seguridad.
d. SabotageEl sabotaje de empleado puede hacerse una cuestión si un empleado esbastante bien informado sobre la infraestructura de TI de unaorganización, tiene el acceso suficiente para manipular los aspectoscríticos del ambiente. El sabotaje del empleado ocurre más a menudocuando un empleado sospecha que ellos serán terminados sin la justacausa. Esto es una terminación de razón importante debería ser
140
manejada rápidamente, incluyendo inutilizando todo el acceso a lainfraestructura (TI y físico) y el escoltar del ex-empleado de los locales.Las salvaguardas contra el sabotaje de empleado son la revisiónintensiva, la supervisión para la actividad anormal o no autorizada, laslíneas de cuidado de comunicación abierta entre empleados y gerentes, ycorrectamente la compensación y empleados de reconocer para laexcelencia y extra trabajan.
e. Loss of Physical and Infrastructure SupportLos of Physical and Infrastructure Support puede ser causado por parosdel suministro eléctrico, catástrofes, interrupciones de comunicación, eltiempo severo, la pérdida de cualquier utilidad principal o servicio,interrupción de transporte, huelgas, y casos de urgencia nacionales. Estopuede causarlo el tiempo de inactividad y casi siempreconsiderablemente reduce la productividad y la rentabilidad durante lalongitud del acontecimiento. Es casi imposible predecir y proteger contralos acontecimientos que causan físico y la pérdida de apoyo deinfraestructura. La recuperación de desastre y la planificación decontinuidad de negocio pueden proporcionar métodos de restauración siel acontecimiento de pérdida es severo. En la mayor parte de casos,usted simplemente debe esperar hasta que la emergencia o la condiciónexpiren y la vuelta de cosas a normal.
f. Malicious Hackers or CrackersSon los individuos que activamente procuran infiltrar a la infraestructurapara su propia fama, el acceso, o el beneficio financiero. Estasintrusiones o ataques son amenazas importantes contra las cuales supolítica de seguridad y su infraestructura de seguridad entera sondiseñadas para rechazar. La mayor parte de salvaguardas ycontramedidas protegen contra una amenaza específica o el otro, perono es posible proteger contra todas las amenazas posibles que uncracker representa. Lo restante sobre la seguridad, rastreando laactividad y poniendo en práctica sistemas de detección de intrusiónpuede proporcionar un nivel razonable de protección.
g. EspionageEs un mal acto de juntar la información propietaria, secreta, privada,sensible, o confidencial sobre una organización para el objetivo expresode revelación y a menudo el vender esto datos a un competidor u otraorganización interesada (como un gobierno extranjero). El espionaje aveces es cometido por los empleados internos que se han hechodescontentos con sus empleos y se han hecho comprometidos de algúnmodo. También puede ser cometido por un topo o la planta colocada ensu organización para robar la información para su patrón primariosecreto. Las contramedidas contra el espionaje deben estrictamentecontrolar el acceso a todos los datos no públicos, a fondo proteger anuevos candidatos de empleado, y de manera eficiente rastrear lasactividades de todos los empleados.
141
h. Malicious CodeEs cualquier script o programa que realiza una actividad no deseada, noautorizada, o desconocida sobre un sistema de ordenador. El evil scriptpuede tomar muchas formas, incluyendo virus, gusanos, caballos deTroya, documentos con macros destructivas, y bombas lógicas. Algunaforma de evil script existe para cada tipo de ordenador o el dispositivocalculador. La supervisión y la filtración del tráfico que entra y viajandentro de un ambiente asegurado es la única contramedida eficaz alcódigo malévolo.
i. Initial Program Load Vulnerabilities
Hay un período de tiempo entre los momentos cuando un dispositivo esdesconectado y cuando totalmente es boteado y operacional, que elsistema totalmente no es protegido por sus mecanismos de seguridad.Conocen este período de tiempo como la carga de programa inicial (IPL)y esto tiene numerosas vulnerabilidades. Sin la seguridad física, no hayningunas contramedidas para vulnerabilidades IPL. Alguien con el accesofísico a un dispositivo fácilmente puede explotar sus debilidades durantesu proceso de bootup. Echando a un sistema móvil de operaciones de unCD o el disquete, y tienen acceso a CMOS para cambiar ajustes deconfiguración, como el permiso o la incapacitación de dispositivos.
SummaryLa seguridad de operaciones requiere esfuerzos dirigidos en la revisión y la supervisión.Estos esfuerzos dan lugar al descubrimiento de ataques e intrusiones. Esto a su turnodirige la selección de contramedidas, anima pruebas de penetración, y ayuda a limitar,restringir, y prevenir actividades inadecuadas, crímenes, y otras amenazas. La revisiónes un examen metódico o la revisión de un ambiente para asegurar el cumplimiento porregulaciones y descubrir anormalidades, presenciales no autorizadas, o crímenesrotundos.Asegure los ambientes pesadamente confiables en la revisión. En general, la revisiónsirve como el tipo primario de control policíaco usado por un ambiente seguro. Rastrosde auditoría son los registros creados por registrando la información sobreacontecimientos y acontecimientos en una base de datos o registran el archivo, y ellospueden ser usados por ejemplo: reconstruya un acontecimiento, extraiga la informaciónsobre un incidente, y demuestre o refute la culpabilidad. Rastros de auditoría proveenuna forma pasiva de seguridad policíaca controla y sirve como una fuerza disuasoria enla misma manera que CCTV o las guardias de seguridad. Además, ellos pueden seresenciales como pruebas en el procesamiento de criminales. La retención de registro esla política de organización que define que información es mantenida y para cuantotiempo. En la mayor parte de casos, los registros en cuestión son los rastros deauditoría de actividad de usuario, incluyendo el archivo y el acceso de recurso, elmodelo de conexión, el correo electrónico, y el empleo de privilegios. La supervisión esuna forma de revisión que enfoca más en la revisión activa de la información revisada oel activo revisado. El más a menudo es usado en la conjunción con el funcionamiento,pero esto puede ser usado en un contexto de seguridad también. Los instrumentosreales y técnicas solían funcionar la supervisión varía enormemente entre ambientes yplataformas de sistema, pero hay varias formas comunes encontradas en la mayor partede ambientes: advirtiendo banderas, supervisión de pulsación, análisis de tráfico yanálisis de tendencia, y otros instrumentos de supervisión. Las pruebas de penetraciónson una tentativa prueba de romper su red protegida que usa alguno de estos medios
142
antes expresados, y esto es un método común para probar la fuerza de sus medidas deseguridad.Las organizaciones a menudo alquilan a consultores externos para realizar lapenetración que prueba entonces los probadores no son privados a los elementosconfidenciales de la configuración de la seguridad, conectan una red el diseño, y otrossecretos internos. La penetración que prueba métodos puede incluir la marcación deguerra, la aspiración, la escucha disimulada, la supervisión de radiación, el salto debasurero, y la ingeniería social. Actividades inadecuadas pueden ocurrir sobre unordenador o sobre la infraestructura de TI, y no pueden ser crímenes reales, pero ellosson a menudo razones para castigos internos o terminación. Actividades inadecuadasincluyen la creación o la inspección el contenido inadecuado, el hostigamiento sexual yracial, el gasto, y el abuso.La infraestructura de TI puede incluir numerosas vulnerabilidades contra las cuales allíno es ninguna amenaza inmediata o distinta y contra tales amenazas hay pocascontramedidas. Estos tipos de amenazas incluyen errores, omisiones, fraude, robo,colusión, sabotaje, pérdida de físico y el apoyo de infraestructura, crakers , espionaje, yel evil script. Hay, sin embargo, pasos que usted puede tomar para disminuir el impactode la mayor parte de estos.Exam EssentialsUnderstand auditing.. La revisión es un examen metódico o la revisión de un ambientepara asegurar el cumplimiento por regulaciones y descubrir anormalidades,presencias(acontecimientos) no autorizadas, o crímenes rotundos. Asegúrelo losambientes confían pesadamente en la revisión. En general, la revisión sirve como el tipoprimario de control policíaco usado por un ambiente seguro.Know the types or forms of auditing.. La revisión abarca una amplia variedad deactividades diferentes, incluyendo la grabación de datos de acontecimiento/presencia,examen de datos, la reducción de datos, el empleo de gatillos de alarma deacontecimiento/presencia, el análisis de tronco, y la respuesta (algunos otros nombrespara estas actividades registran, la supervisión, alarmas de examen, análisis, y hasta ladetección de intrusión). Esté capaz de explicar lo que cada tipo de revisar la actividadimplica.Understand compliance checking La comprobación de cumplimiento o pruebas decumplimiento asegura que todos los elementos necesarios y requeridos de una soluciónde seguridad correctamente son desplegados y funcionando como esperado. Lascomprobaciónes de cumplimiento pueden tomar muchas formas, como exploracionesde vulnerabilidad y pruebas de penetración. Ellos también pueden implicar la revisión yser realizado usando instrumentos de análisis de tronco para determinar si cualquiervulnerabilidad para la cual las contramedidas han sido desplegadas ha sido realizadasobre el sistema.Understand the need for frequent security audits. La frecuencia de una la revisión decuentas de seguridad de infraestructura de TI o la revisión de seguridad está basada enel riesgo. Usted debe determinar si el riesgo suficiente existe para garantizar el costo yla interrupción de una revisión de cuentas de seguridad en una base más o menosfrecuente. La frecuencia de revisiones de auditoría claramente debería ser definida yadherida a.Understand that auditing is an aspect of due care. Las revisiones de cuentas deSeguridad y revisiones de eficacia son elementos claves en la demostración del cuidadoprevisto. La dirección debe hacer cumplir el cumplimiento con revisiones de seguridadregulares periódicas o ellos serán imputados la responsabilidad y obligado de cualquierpérdida de activo que ocurre por consiguiente.Understand audit trails. Rastros de auditoría son los registros creados por la informaciónsobre acontecimientos y acontecimientos en una base de datos o registran el archivo.Ellos son usados para reconstruir un acontecimiento, extraer la información sobre unincidente, y demostrar o refutar la culpabilidad. La utilización de rastros de auditoría es
143
una forma pasiva de control de seguridad policíaco, y rastros de auditoría son pruebasesenciales en el procesamiento de criminales.Understand how accountability is maintained. La responsabilidad es mantenida parasujetos individuales por el empleo de rastros de auditoría. Las actividades de usuarios yacontecimientos causados por las acciones de usuarios mientras en línea pueden serregistradas así los usuarios pueden ser imputados la responsabilidad para susacciones. Esto directamente promueve el comportamiento de usuario bueno y elcumplimiento con la política de seguridad de la organización.Know the basic elements of an audit report. Informes de auditoría todos deberían dirigirunos conceptos básicos o centrales: el objetivo de la revisión de cuentas, el alcance dela revisión de cuentas, y los resultados descubiertos o revelados por la revisión decuentas. Ellos a menudo incluyen muchos otros detalles específicos al ambiente, comoel tiempo, la fecha, y sistemas específicos. Informes de auditoría pueden incluir unaamplia gama de contenido que se fija en problemas/acontecimientos/condiciones,normas/criterios/líneas de fondo, causa/razon, hacer impacto/efectuar, o salvaguardasde solutions/recomendaciones.Understand the need to control access to audit reports. Informes de auditoría incluyen lainformación sensible y deberían ser asignados una etiqueta de clasificación ymanejados de manera apropiada. Sólo la gente con el privilegio suficiente deberíatenerles el acceso. Un informe de auditoría también debería estar preparado en variasversiones según la jerarquía de la organización, proporcionando sólo los detallesrelevantes a la posición de los empleados para los que ellos están preparados.Understand sampling. El probar, o la extracción de datos, son el proceso de extraer loselementos de datos de un banco grande de datos para construir una representaciónsignificativa o el sumario del todo. Hay dos formas de probar: estadístico y noestadístico. Un instrumento de revisión que usa funciones exactas matemáticas paraextraer la información significativa de un volumen grande de datos realiza el probarestadístico. El probar estadístico es usado medir el riesgo asociado con el proceso deprobar.Understand record retention. Es el acto de conservar y mantenimiento de la informaciónimportante. Debería haber una política de organización que define que información esmantenida y para cuanto tiempo. Los registros en cuestión son los rastros por lo generalde auditoría de actividad de usuario, incluyendo el archivo y el acceso de recurso, elmodelo de conexión, el correo electrónico, y el empleo de privilegios. Dependiendo suindustria y su relación con el gobierno, usted puede tener que conservar registrosdurante tres años, siete años, o indefinidamenteUnderstand monitoring and the uses of monitoring tools. La supervisión es una forma derevisión que enfoca más en la revisión activa de la información revisada o el activorevisado. Es más usado a menudo en la conjunción con el funcionamiento, pero estopuede también ser usado en un contexto de seguridad. La supervisión puede enfocaracontecimientos, subsistemas, usuarios, hardware, software, o cualquier otro objetodentro del ambiente de TI. Aunque los instrumentos reales y técnicas suelan funcionarla supervisión varía enormemente entre ambientes y plataformas de sistema, hay variasformas comunes encontradas en la mayor parte de ambientes: Los warning barnners,supervisión de pulsación, análisis de tráfico y análisis de tendencia, y otros instrumentosde supervisión. Esté capaz de catalogar varios instrumentos de supervisión y sabercuándo y cómo usar cada instrumentoUnderstand failure recognition and response. Sobre los sistemas que usan la revisiónmanual, el reconocimiento de fracaso es la responsabilidad del observador o elinterventor. Para reconocer un fracaso, hay que entender que es normal y esperado.Cuando los acontecimientos supervisados o revisados de esta línea de fondo estándar,luego un fracaso, la intrusión, el error o el problema han ocurrido y una respuesta debeser iniciada.Understand what penetration testing is and be able to explain the methods used. Lasorganizaciones usan pruebas de penetración para evaluar la fuerza de su
144
infraestructura de seguridad. Sepa que esto implica ataques de intrusión de lanzamientosobre su red y ser capaz de explicar los métodos usados: marcación de guerra,aspiración y escucha disimulada, supervisión de radiación, salto de basurero, eingeniería social.Know what dumpster diving and scavenging are. El salto de basurero y el rescatandoimplican cavarse por el rechazar, restos, o restos de una organización o la operaciónpara descubrir o deducir la información confidencial. Las contramedidas al salto debasurero y el rescatando incluyen la disposición segura de toda la basura. Esto por logeneral significa el desfibrado toda la documentación e incinerando todo el material yotra basura. Otros salvaguardas incluyen el mantenimiento del control de acceso físico yla supervisión del empleo de actividad de privilegio en línea.Understand social engineering. Un ataque social de la ingeniería es una tentativa por unatacante para convencer a un empleado de realizar una actividad no autorizada paraderribar la seguridad de una organización. A menudo el objetivo de ingeniería social esde ganar el acceso a la infraestructura de TI o la facilidad física. El único modo deproteger contra ataques sociales de la ingeniería es de a fondo entrenar a usuarioscomo responder y actuar recíprocamente con comunicaciones así como con el personaldesconocido.Know what inappropriate activities are. Actividades inadecuadas son las acciones quepueden ocurrir sobre un ordenador o sobre la infraestructura de TI y no puede sercrímenes reales, pero es a menudo razones para castigos internos o terminación.Algunos tipos de actividades inadecuadas incluyen la creación o la inspección elcontenido inadecuado, el hostigamiento sexual y racial y el abuso.Know that errors and omissions can cause security problems. Una de lasvulnerabilidades más comunes y el más difícil proteger contra los errores y omisiones.Los errores y omisiones ocurren porque la gente actúa recíprocamente con, elprograma, el control, y proporciona datos para TI . No hay ningunas contramedidasdirectas para prevenir todos los errores y omisiones. Algunas salvaguardas contraerrores y omisiones incluyen la entrada validators y el entrenamiento del usuario. Sinembargo, estos mecanismos ofrecen sólo una reducción mínima de errores totales yomisiones encontradas en un ambiente de TIUnderstand fraud and theft. El fraude y el robo son las actividades criminales quepueden ser cometidas sobre ordenadores o hechas posibles por ordenadores. La mayorparte de los mandos de acceso desplegados en un ambiente asegurado reducirán elfraude y el robo, pero no cada forma de estos crímenes puede ser predicha y protegida.Tanto usuarios internos autorizados como intrusos externos no autorizados puedenexplotarlo su la infraestructura para realizar varias formas de fraude y robo.Manteniendo una revisión intensiva y el programa de supervisión y el procesamientotodos los incidentes criminales ayudarán a reducir el fraude y el robo.Understand employee sabotage. El sabotaje de empleado puede hacerse si unempleado es bastante bien informado sobre la infraestructura de TI de unaorganización, tiene el acceso suficiente para manipular los aspectos críticos delambiente. Los salvaguardas contra el sabotaje de empleado son la revisión intensiva, lasupervisión para la actividad anormal o no autorizada, las líneas de cuidado decomunicación abierta entre empleados y gerentes, y correctamente la compensación yempleados de reconocer para la excelencia y extra trabajan.Understand espionage. . El espionaje es el mal acto por un empleado interno de juntarla información propietaria, secreta, privada, sensible, o confidencial sobre unaorganización para el objetivo expreso de revelación y a menudo el vender estos datos aun competidor u otra organización interesada (como un gobierno extranjero). Lascontramedidas contra el espionaje deben estrictamente controlar el acceso a todos losdatos no públicos, a fondo proteger a nuevos candidatos de empleado, y de maneraeficiente rastrear las actividades de todos los empleados.
145
RESUMEN DEL CAPITULO 5:
Gerencia de SeguridadConceptos y Principios
Alumno: Kristopher Agüero Ulloa
Índice:
Gerencia de Seguridad Conceptos y Principios
Mecanismos de Proteccion
Gestion/Control de Cambios
Clasificacion de Datos
Sumario
Esenciales para el Examen
Preguntas de Revision
Respuestas a las Preguntas de Revisión
Gerencia de SeguridadConceptos y Principios
LOS ASUNTOS DEL EXAMEN CISSP CUBIERTOS EN ESTE CAPITULOSINCLUYEN:
Gerencia de Seguridad Conceptos y Principios
Mecanismos de Proteccion
Gestion/Control de Cambios
Clasificacion de Datos
146
El dominio de las prácticas de Gerencia de Seguridad del Cuerpo Común delConocimiento (CBK) para el examen de certificación CISSP trata con los elementoscomunes de las soluciones de seguridad. Éstos incluyen elementos esenciales para eldiseño, implementación, y la administración de los mecanismos de seguridad.Este dominio se discute en este capítulo y en el capítulo 6 “valor de activo, políticas yroles.”Asegurese de leer y estudiar los materiales de ambos capítulos para asegurar lacobertura completa del material esencial para el examen de certificación CISSP.
Gerencia de Seguridad Conceptos yPrincipios
Los conceptos y principios de la gerencia de seguridad son elementos inherentes enuna política de seguridad y despliegue de la solución. Ellos definen los parámetrosbásicos necesarios para un ambiente seguro. Ellos también definen las metas y losobjetivos que los diseñadores de las políticas y los implementadores del sistema debenalcanzar para crear una solución segura. Es importante para los profesionales deseguridad del mundo real, así como estudiantes del examen CISSP, entender estosartículos a fondo.Las metas y los objetivos primarios de la seguridad se contienen dentro de la tríadaCIA. La tríada CIA es el nombre dado a los tres principios primarios de seguridad:Confidencialidad, Integridad, y Disponibilidad. Los controles de seguridad deben trataruno o más de estos tres principios. Los controles de seguridad se evalúan típicamentesi tratan o no los tres de éstos principios de seguridad. Las vulnerabilidades y riesgostambién se evalúan basados en la amenaza que plantean contra uno o más de losprincipios de la tríada CIA. Así, es una buena idea estar familiarizado con estosprincipios y utilizarlos como las pautas que juzgan todas las cosas relacionadas a laseguridad.Estos tres principios se consideran los más importante dentro del reino de la seguridad.Sin embargo, cómo es importante cada uno en una organización específica depende delas metas y requerimientos de seguridad de la organización y en el grado al cual suseguridad puede ser amenazada.
Confidencialidad
El primer principio de la tríada CIA es la Confidencialidad. Si un mecanismo deseguridad ofrece confidencialidad, ofrece un alto nivel de garantía de que esos datos,objetos, o recursos no se exponen a sujetos desautorizados. Si una amenaza existecontra la confidencialidad, hay la posibilidad de que el acceso desautorizado puedaocurrir.
Generalmente para que la confidencialidad sea mantenida en una red, los datos sedeben proteger contra el acceso desautorizado, el uso, o el acceso en almacenaje, enproceso, y en tránsito. Controles únicos y específicos de seguridad se requieren paracada uno de estos estados de datos, recursos, y de objetos para mantener suconfidencialidad. Hay ataques numerosos que se centran en laviolación de la confidencialidad. Éstos incluyen captura del tráfico de la red y robo dearchivos de contraseña, así como la ingeniería social, port scanning, shoulder surfing,eavesdropping, sniffing, y así sucesivamente.Las violaciones de confidencialidad no se limitan a los ataques intencionales dirigidos.Muchos casos de acceso desautorizado de información sensible o confidencial sondebido al error, al descuido, o a la ineptitud humana. Los acontecimientos que conducena las aberturas de la confidencialidad incluyen no poder cifrar correctamente una
147
transmisión, no pudiendo autenticar completamente un sistema remoto antes detransferir datos, de dejar puntos de acceso abiertos, de tener acceso a código malévoloque abre una puerta trasera, o aún de caminar lejos de un terminal de acceso mientrasque los datos se exhiben en el monitor. Las violaciones de confidencialidad puedenocurrir debido a las acciones de un usuario final o de un administrador de sistema.Pueden también ocurrir debido a un descuido en una política de seguridad o a unadesconfiguracion del control de seguridad.Hay contramedidas numerosas para asegurar la confidencialidad contra amenazasposibles.Éstas incluyen el uso del cifrado, del acolchado del tráfico de la red, del control deacceso estricto, de los procedimientos rigurosos de autentificación, de la clasificación dedatos, y del entrenamiento extenso del personal.La confidencialidad y la integridad son dependientes el uno al otro. Sin integridad delobjeto, la confidencialidad no puede ser mantenida. Otros conceptos, condiciones, yaspectos de confidencialidad incluyen la sensibilidad, la discreción, la criticidad, laocultación, la privacidad y el aislamiento.
Integridad
El segundo principio de la tríada CIA es la integridad. Para que la integridad seamantenida, los objetos deben conservar su veracidad y ser modificadosintencionalmente solamente por los sujetos autorizados. Si un mecanismo de seguridadofrece integridad, ofrece un alto nivel de aseguramiento de que los datos, objetos, y losrecursos son inalterados de su estado protegido original. Esto incluye las alteracionesque ocurren mientras el objeto está en almacenaje, en tránsito, o en proceso. Así, elmantenimiento de la integridad significa que el objeto en sí mismo no está alterado y elsistema operativo y las entidades de programación que manejan y manipulan el objetono están comprometidos.
La integridad se puede examinar a partir de tres perspectivas:
Los sujetos desautorizados deben ser prevenidos de hacer modificaciones. Los sujetos autorizados deben ser prevenidos de hacer modificaciones
desautorizadas. Los objetos deben ser internamente y externamente consistentes de modo que
sus datos estén correctos y reflejen el verdadero mundo real y de cualquierrelación con cualquier niño, par, u objeto del padre sea válida, constante, ycomprobable.
Para que la integridad sea mantenida en un sistema, los controles deben estar en unlugar para restringir el acceso a los datos, a los objetos, y a los recursos. Además, losloggings de actividad se deben emplear para asegurarse de que solamente los usuariosautorizados pueden tener acceso a sus recursos respectivos. Mantener y validar laintegridad del objeto a través del almacenaje, del transporte, y del procesado requierevariaciones numerosas de controles y del descuido.Hay ataques numerosos que se centran en la violación de la integridad. Éstos incluyenvirus, bombas lógicas, el acceso desautorizado, errores en la codificación y usos, laejecución de código malévolo, el reemplazo intencional, y puertas traseras del sistema.Como con confidencialidad, las violaciones de la integridad no se limitan a los ataquesintencionales. Muchos casos de alteración desautorizada de información sensible sondebido al error, al descuido, o a la ineptitud humana. Los acontecimientos que conducena las aberturas de la integridad incluyen accidentalmente borrado de archivos; ingresode datos inválidos; alteración de configuraciones; inclusión de errores en comandos,códigos, y escrituras; introducción de un virus; y código malévolo ejecutado (tal como unTrojan Horse). Las violaciones de integridad pueden ocurrir debido a las acciones de
148
cualquier usuario, incluyendo administradores. Pueden también ocurrir debido a undescuido en una política de seguridad o a desconfiguracion del control de seguridad.Hay contramedidas numerosas para asegurar la integridad contra amenazas posibles.Éstos incluyen control de acceso estricto, procedimientos rigurosos de autentificación,sistemas de detección de intrusos, cifrado del objeto/ datos, verificación total del hash,restricciones de interfaz, controles de entrada/de funcionamiento, y entrenamientoextenso del personal.La integridad es dependiente sobre la confidencialidad. Sin confidencialidad, laintegridad no puede estar mantenida. Otros conceptos, condiciones, y aspectos deintegridad incluyen la exactitud, verdad, autenticidad, validez, no repudio,responsabilidad, responsabilidad y comprensión.
Disponibilidad
El tercer principio de la tríada CIA es la disponibilidad, que significa que los objetosautorizados están concedidos al acceso oportuno e ininterrumpido a los objetos. Si unmecanismo de la seguridad ofrece disponibilidad, ofrece un alto nivel de aseguramientode que los datos, objetos, y los recursos son accesibles a los sujetos autorizados. Ladisponibilidad incluye el acceso ininterrumpido eficiente a los objetos y a la prevenciónde la Negación de Servicios (DOS). La disponibilidad también implica que lainfraestructura de soporte incluyendo servicios de red, comunicaciones, y mecanismode control de acceso -es funcional y permite que los usuarios autorizados tengan elacceso autorizado.Para que la disponibilidad sea mantenida en un sistema, los controles deben estar en ellugar para asegurar el acceso autorizado y un nivel aceptable de funcionamiento, paramanejar rápidamente interrupciones, para prever redundancia, para mantener backupsconfiables, y para prevenir pérdida o la destrucción de los datos.Hay numerosas amenazas a la disponibilidad. Éstos incluyen falta del dispositivo,errores del software, y las ediciones ambientales (calor, parásitos atmosféricos, etc.).Hay también algunas formas de ataques que se centren en la violación de ladisponibilidad, incluyendo ataques de negación de servicio, destrucción de objetos, einterrupción de las comunicaciones.Como con confidencialidad e integridad, las violaciones de disponibilidad no se limitana los ataques intencionales. Muchos casos de la alteración desautorizada deinformación sensible son debido al error, al descuido, o a la ineptitud humana. Algunosacontecimientos que conducen a las aberturas de la integridad incluyenaccidentalmente suprimir archivos, utilización excesiva de un componente del hardwareo de software, asignación baja de recursos, o incorrecta clasificación de objetos. Lasviolaciones de la disponibilidad pueden ocurrir debido a las acciones de cualquierusuario, incluyendo administradores. Pueden también ocurrir debido a un descuido enuna política de la seguridad o a desconfiguracion del control de seguridad.Hay numerosas contramedidas para asegurar la disponibilidad contra amenazasposibles. Éstas incluyen diseñar sistemas intermediarios de entrega correctamente,usando controles de acceso con efectividad, supervisando performance y tráfico de red,usando firewalls y routers para prevenir ataques DOS, poniendo la redundancia enejecución para los sistemas críticos, y manteniendo y probando sistemas de backup.La disponibilidad es dependiente sobre integridad y confidencialidad. Sin integridad yconfidencialidad, la disponibilidad no puede ser mantenida. Otros conceptos,condiciones, y aspectos de disponibilidad incluyen la utilidad, la accesibilidad, y lapuntualidad.
Otros Conceptos de Seguridad
149
Además de la tríada CIA, hay una plétora de otros conceptos Y principios que deban serconsiderados y dirigidos al diseñar una política de seguridad y desarrollar una soluciónde seguridad. Esta sección discute la privacidad, la identificación, la autentificación, laautorización, la responsabilidad, el no repudio, y la revisión.
Privacidad
La privacidad puede ser una entidad difícil de definir. El término se utiliza con frecuenciaen numerosos contextos sin mucha cuantificación o calificación. Aquí están algunasposibles definiciones parciales de privacidad:
Prevención de acceso desautorizado Libertad del acceso desautorizado a información juzgada personal o confidencial Libertad de observado, monitoreado, o examinado sin consentimiento o
conocimiento
Al agregar la privacidad en el reino de TI, se convierte generalmente en un acto debalanceo entre los derechos individuales y los derechos o actividades de unaorganización. Algunos demandan que los individuos tienen el derecho a controlar si suinformación sobre ellos puede ser recogida y qué se puede hacer con ella. Otrosdemandan que cualquier actividad realizada en vista pública, tal como la mayoría deactividades realizadas sobre Internet, se pueden supervisar sin el conocimiento o elpermiso de los individuos que son vistos y que la información recolectada de talmonitoreo puede ser utilizada para cualquier propósito que una organización juzgueapropiado o deseable.Por un lado, la protección individual contra la observación indeseada, marketingdirecto, y el acceso a detalles confidenciales, privados, personales, se considera unesfuerzo digno. Asimismo, las organizaciones profesan que los estudios demográficos yla comercialización enfocada mejoran los modelos del negocio, reducen gastosanunciados, y ahorran dinero para todas las partes.Lo que tu postura personal u organizacional es en la aplicación de privacidad en línea,debe ser tratada en una política de seguridad organizacional. La privacidad es unasalida no justa para los visitantes externos a tus ofertas en línea, pero también para tusclientes, empleados, proveedores, y contratistas. Si recolectas algún tipo de informaciónsobre cualquier persona o compañía, debes agregarle privacidad.En la mayoría de los casos, especialmente cuando se está violando o se estárestringiendo la privacidad, los individuos y las compañías deben ser informados; si no,puedes hacer frente a problemas legales. Las emisiones de privacidad deben tambiénser agregadas al permitir o restringiendo el uso personal del E-mail, E-mail de retención,grabación de conversaciones de teléfono, recopilación de información sobre surfing ohábitos gastados, y así sucesivamente.
Identificación
La identificación es el proceso por el cual un sujeto profesa una identidad y se inicia unaresponsabilidad. Un sujeto debe proporcionar una identidad a un sistema paracomenzar el proceso de autentificación, de autorización, y de responsabilidad. Elabastecimiento de una identidad puede ser tipeando un username; usando una smartcard; agitando un dispositivo simbólico; hablando una frase; o colocando tu cara, mano,o dedo para una cámara fotográfica o un dispositivo de escaneado. Probando unnúmero de identificación también representa el proceso de identificación. Sin unaidentidad, un sistema no tiene ninguna manera de correlacionar un factor deautentificación con el sujeto.Una vez que se haya identificado un sujeto (es decir, una vez que se haya reconocido yse haya verificado la identidad del sujeto), la identidad es responsable de cualquier
150
acción del sujeto. Los sistemas de TI siguen actividad por identidades, no por lossujetos mismos. Una computadora no reconoce un ser humano de otro, sino que sabeque tu cuenta de usuario es diferente del resto de las cuentas de usuario. La identidadde un sujeto se etiqueta o se considera típicamente información pública.
Autentificación
El proceso de verificación o de prueba que demanda que la identidad sea válida esautentificación. La autentificación requiere del sujeto información adicional que debecorresponder exactamente a la identidad indicada. La forma más común deautentificación es utilizando una contraseña. Autentificación verifica la identidad delsujeto comparando unos o más factores contra la base de datos de identidades válidas(es decir, cuentas del usuario). El factor de autentificación usado para verificaridentidades está típicamente etiquetado o considerado para ser información privada. Lacapacidad del sujeto y del sistema para mantener el secreto de los factores deautentificación para las identidades refleja directamente el nivel de seguridad de esesistema.La identificación y la autentificación se utilizan siempre juntas como un solo proceso dedos etapas. El abastecimiento de una identidad es el paso uno y el abastecimiento delos factores de autentificación es el paso dos. Sin ambos, un sujeto no puede acceder aun sistema -ningún elemento solo es útil.Hay varios tipos de información de autentificación que un sujeto puede proporcionar(ej., algo que sabes, algo que tienes, etc.). Cada técnica o factor de autentificación tienesus ventajas y desventajas únicas. Así, es importante evaluar cada mecanismo a la luzdel ambiente en el cual será desplegado para determinar su viabilidad. Laautentificación fue discutida a lo largo del capítulo 1, “control de responsabilidad y deaccesos.”
Autorización
Una vez que se autentifique un sujeto, el acceso debe ser autorizado. El proceso deautorización se asegura de que la actividad solicitada o acceso a un objeto sea posibledado las reglas y privilegios asignados a la identidad autentificada. En la mayoría de loscasos, el sistema evalúa una matriz de control de accesos que compara el sujeto, elobjeto, y la actividad intentada. Si esta permitida la acción específica, se autoriza alsujeto. Si la acción específica no esta permitida, el sujeto no se autoriza.Tener presente que solo porque se ha identificado y se ha autenticado a un sujeto, nosignifica automáticamente que se han autorizado. Es posible para un sujeto que seloguee en una red (es decir, identificado y autenticado) pero puede estar bloqueado detener acceso a un archivo o impresión en una impresora (es decir, por no ser autorizadopara realizar esa actividad). La mayoría de los usuarios de red están autorizados arealizar solamente un número limitado de actividades en una colección específica derecursos. La identificación y la autentificación son aspectos todo-o-nada del control deaccesos. La autorización tiene un amplio rango de variaciones entre todo-o-nada paracada objeto individual dentro del ambiente. Un usuario puede poder leer un archivo perono suprimirlo, imprimir un documento pero no alterar la cola de impresión, o loguearse aun sistema pero no tener acceso a ningún recurso.
Auditoria
La auditoria o monitoreo, son los medios programáticos por los cuales los sujetos sonllevados a cabo responsables de sus acciones mientras están autenticados en unsistema. Auditoria es también el proceso por el cual las actividades desautorizadas oanormales son detectadas en un sistema. La Auditoria es la grabación de un sujeto yobjetos así como la grabación de actividades de las funciones del sistema de la base
151
que mantienen el ambiente de funcionamiento y los mecanismos de seguridad. Losrastros de auditoria creados grabando eventos del sistema a los logs se pueden utilizarpara evaluar la salud y funcionamiento de un sistema. Los fallos del sistema puedenindicar programas culpables, drivers corruptos, o intentos de intrusión. Los logs deeventos que conducen a un fallo se pueden utilizar a menudo para descubrir la razónde un fallo del sistema. Los ficheros log proporcionan un rastro de auditoria parareconstruir la historia de un evento, de una intrusión, o de un fallo del sistema. Laauditoria es necesaria detectar acciones maliciosas por sujetos, intentos de intrusión,fallos del sistema, y reconstrucción de eventos, proporcionan evidencia para elprocesamiento, y reportes y análisis de problemas. La auditoria es usualmente unacaracterística nativa de un sistema operativo y mayoría de aplicaciones y servicios. Así,configurando un sistema para grabar información de tipos específicos de eventos esbastante directo.Para más información sobre configuración y auditoria administrativa y logueo, ver elcapítulo 14, “Auditoria y Monitorización.”
Responsabilidad
Una política de seguridad de una organización puede ser cumplida correctamentesolamente si se mantiene la responsabilidad. Es decir la seguridad puede ser mantenidasolamente si los sujetos se hacen responsables de sus acciones. La responsabilidadeficaz confía en la capacidad para probar la identidad de un sujeto y para seguir susactividades. La responsabilidad es establecida enlazando a un ser humano a lasactividades de una identidad en línea a través de los servicios de seguridad y de losmecanismos de revisión, autorización, autentificación, e identificación.
No Repudio
El No Repudio se asegura de que el sujeto de una actividad o de un acontecimiento nopueda negar que ocurrió el acontecimiento. El No Repudio evita que un sujeto demandeno haber enviado un mensaje, no haber realizado una acción, o no haber sido la causade un acontecimiento. Se hace posible a través de identidad, autentificación,autorización, responsabilidad, y revisión. El no repudio se puede establecer usandocertificados digitales, identificadores de sesión, logs de transacción, y otros numerososmecanismos del control transaccional y de acceso.
Mecanismos de Proteccion
Otro aspecto de los conceptos y principios de soluciones de seguridad es el elementode mecanismos de protección. Éstas son características comunes de los controles deseguridad. No todos los controles de seguridad deben tenerlos, pero muchos controlesofrecen su protección para confidencialidad, integridad, y disponibilidad con el uso deestos mecanismos.
Layering
El layering, también conocido como defensa profunda, es simplemente el uso decontroles múltiples en serie. Ningún control específico puede proteger contra todas lasamenazas posibles. El uso de una solución de varias capas permite para quenumerosos controles diversos y específicos sean aplicados contra cualquier amenazaque pueda pasar. Cuando las soluciones de seguridad se diseñan en capas, seeliminan, se atenúan, o se frustran la mayoría de las amenazas.Usar capas en serie más bien que en paralelo es un concepto importante. Ejecutar lasrestricciones de seguridad en serie significa realizar una después de otra en una
152
manera linear. Solamente con una configuración en serie cada ataque será explorado,evaluado, o atenuado por cada control de seguridad. Una sola falla de un control deseguridad no hace la solución entera ineficaz. Si los controles de seguridad fueronimplementados en paralelo, una amenaza podría pasar a través de un solo punto decomprobación que no agrego esta actividad maliciosa particular. Las configuracionesseriales son muy estrechas pero muy profundas, mientras que las configuraciones enparalelo son muy anchas pero muy bajas. Los sistemas paralelos son útiles enaplicaciones computacionales distribuidas, pero el paralelismo no es un concepto útil enel reino de la seguridad.Pensar en entradas físicas a los edificios. Una configuración paralela se utiliza para losmalls de compras. Hay muchas puertas en muchas localizaciones alrededor delperímetro entero del mall. Una configuración en serie sería utilizada muy probablementeen un banco o un aeropuerto. Se proporciona una sola entrada y esa entrada esrealmente varias entradas o puntos de comprobación que se deben pasar en ordensecuencial paras entrar en las áreas activas del edificio.El layering también incluye el concepto que las redes abarcan entidades separadasnumerosas, cada uno con sus propios controles únicos de seguridad y vulnerabilidades.En una solución de seguridad efectiva, hay una sinergia entre todos los sistemas deredes que crea un solo frente de seguridad. El uso separado de los sistemas deseguridad crea una solución de seguridad en capas.
Abstracción
La abstracción se utiliza para la eficiencia. Elementos similares se ponen en grupos,clases, o roles que se asignan controles, restricciones, o permisos como un colectivo.Así, el concepto de abstracción se utiliza para clasificar objetos o asignar roles a lossujetos. El concepto de abstracción además incluye la definición de objetos, los tiposde sujeto o de los objetos mismos (es decir, una estructura de datos usada para definiruna plantilla para una clase de entidades). La abstracción se utiliza para definir quétipos de datos puede contener un objeto, qué tipos de funciones puede ser realizado eno por ese objeto, y qué capacidades el objeto tiene. La abstracción simplifica laseguridad permitiendo asignar controles de seguridad a un grupo de objetos recogidospor tipo o función.
Data Hiding
El ocultamiento de datos es exactamente como suena: evitar que los datos seandescubiertos o accesados por un sujeto. Mantener una base de datos de ser alcanzadopor visitantes desautorizados es una forma de ocultar de datos, al igual que lo esrestringir a un sujeto de un nivel más bajo de clasificación de datos a tener acceso a unnivel más alto de la clasificación. La prevención de una aplicación de un hardware quetiene acceso directamente es también una forma de data hiding. El data hiding es amenudo un elemento clave en controles de seguridad así como en la programación.
Cifrado
El cifrado es el arte y la ciencia de ocultar el significado o intento de una comunicaciónde recipientes involuntarios. El cifrado puede tomar muchas formas y se puede aplicar acada tipo de comunicación electrónica, incluyendo el texto, audio y los archivos video,así como las aplicaciones mismas. El Cifrado es un elemento muy importante encontroles de seguridad, especialmente en vista de la transmisión de datos entre lossistemas. Hay varios tipos de cifrado, cada uno se diseña y/o apropia para un uso o unpropósito específico. El cifrado se discute largamente en los capítulos 9, “criptografía yalgoritmos de llaves privadas,” y 10, “PKI y aplicaciones criptográficas.”Administracion/Control de Cambios
153
Otro aspecto importante de la gerencia de seguridad es el control o gerencia delcambio. El cambio en un ambiente seguro puede introducir escapatorias, traslapos,perdida de objetos, y descuidos que pueden conducir a nuevas vulnerabilidades. Laúnica manera de mantener seguridad frente al cambia es manejar sistemáticamente elcambio. Esto implica generalmente el planeamiento extenso, prueba, logging, auditoria,y monitoreo de actividades relacionadas con los controles y los mecanismos deseguridad. Los records de cambios a un ambiente entonces se utilizan para identificaragentes de cambio, si esos agentes son objetos, sujetos, programas, rutas decomunicación, o aún la red misma.La meta de la gerencia de cambios es asegurarse de que ningún cambio conduzca areducir o comprometer la seguridad. La gerencia de cambios es también responsable depermitir regresar cualquier cambio a un estado seguro anterior. La gerencia de cambioses solamente un requisito para los sistemas que se conforman con los Criterios yEvaluación de Seguridad de la Tecnología de Información (ITSEC) de B2, de B3, y deA1. Sin embargo, la gerencia de cambios se puede implementar en cualquier sistema apesar del nivel de seguridad. En última instancia, la gerencia de cambios mejora laseguridad de un ambiente protegiendo seguridad implementada contra disminucionesinintencionales, tangenciales, o efectuadas.La gerencia de cambios se debe utilizar para supervisar alteraciones en cada aspectode un sistema, incluyendo la configuración de hardware, SO y software de uso.Gerencia de cambios debe ser incluido en diseño, desarrollo, prueba, evaluación,implementación, distribución, evolución, crecimiento, operación en curso ymodificación. Requiere un inventario detallado de cada componente y configuración.También requiere la colección y mantenimiento de documentación completa para cadacomponente del sistema, del hardware al software y de ajustes de la configuración a lascaracterísticas de seguridad.
El proceso de control de cambios de la gerencia de configuración o cambios tienevarias metas o requisitos:
Implementar cambios de una manera monitoreada y ordenada. Los cambios sonsiempre controlados.
Un proceso de prueba formalizado se incluye para verificar que un cambioproduce resultados esperados.
Todos los cambios pueden ser invertidos. Los usuarios son informados de cambios antes de que ocurran para prevenir la
pérdida de productividad. Los efectos de cambios se analizan sistemáticamente. El impacto negativo de cambios en capacidades, funcionalidad, y rendimiento se
reduce al mínimo.
Clasificacion de Datos
La clasificación de datos es el medio primario por el cual los datos son protegidosbasados en su necesidad de secreto, sensibilidad, o confidencialidad. Es ineficaz tratartodos los datos iguales cuando se diseña e implementa un sistema de seguridad.Algunos artículos de datos necesitan más seguridad que otros. Asegurar todo en unnivel de seguridad bajo significa que los datos sensibles son fácilmente accesibles.Asegurar todo en un alto nivel de seguridad es demasiado costoso y restringe el acceso
154
a datos sin clasificar, no críticos. La clasificación de datos se utiliza para determinarcuánto esfuerzo, dinero, y recursos se asignan para proteger los datos y para controlarel acceso a ellos.El objetivo primario de los esquemas de clasificación de datos es formalizar yestratificar el proceso de asegurar los datos basados en etiquetas asignadas deimportancia y de sensibilidad. La clasificación de datos se utiliza para proporcionar losmecanismos de seguridad para el almacenaje, proceso, y transferencia de datos.Los criterios por los cuales los datos son clasificados varían basados en la organizaciónque realiza la clasificación. Sin embargo, hay numerosas generalidades que pueden serespigadas de comunes o estandardizadas sistemas de clasificación:_
Utilidad de datos Puntualidad de datos Valor o coste de datos Madurez o edad de datos Curso de vida de datos (o cuando expira) Asociación con personal Gravamen de daños de acceso a datos (es decir, cómo el acceso de datos
afectaría a la organización) Gravamen de daños de modificación de datos (es decir, cómo la
modificación de datos afectaría a la organización) Implicaciones de seguridad nacional de datos Acceso autorizado a datos (es decir, quien tiene acceso a datos) Restricción de los datos (es decir, quien esta restringido de los datos) Mantenimiento y monitoreo de datos (es decir, quien debe mantener y
monitorear los datos) Almacenaje de datos
Usar cualquier criterio es apropiado para la organización, se evalúan los datos y unaapropiada etiqueta de clasificación de datos se asigna ellos. En algunos casos, laetiqueta se agrega a los objetos de datos. En otros casos, el etiquetado es asignadosimplemente por la colocación de datos en un mecanismo de almacenaje o detrás de unmecanismo de protección de seguridad.Los dos esquemas comunes de clasificación son gobierno/militar y negociocomercial/sector privado. Hay cinco niveles de la clasificación gobierno/ militar(mencionados del más alto al más bajo):
Ultra Secreto El más alto nivel de la clasificación. El acceso desautorizado a datos ultrasecretos tendrá efectos drásticos y causara daños graves a la seguridad nacional.
Secreto Utilizado para datos de naturaleza restricta. Acceso desautorizado a datosclasificados como secretos tendrá efectos significativos y causara daños críticos a laseguridad nacional.
Confidencial Usado para datos de una naturaleza confidencial. Acceso desautorizado adatos clasificados como confidenciales tendrá efectos sensibles y causara daños seriosa la seguridad nacional. Esta clasificación se utiliza para todos los datos entre secretosy sensibles pero sin clasificar.
Sensible pero sin clasificar Usado para datos de naturaleza sensible o privada, pero elacceso a estos datos no causaría daño significativo.
155
Sin clasificar El nivel más bajo de la clasificación. Utilizado para datos que no son nisensibles ni clasificados. El acceso a datos sin clasificar no compromete laconfidencialidad ni causa sensibles daños.
Las clasificaciones de confidencial, secreto, y ultra secreto son conocidas o etiquetadassegún lo clasificado. A menudo, revelar la clasificación actual de datos a individuosdesautorizados es una violación de esos datos de por sí. Así, el término clasificado seutiliza generalmente para referir a cualquier dato que se alinee sobre sensible pero sinclasificar. Todos los datos clasificados son exentos del acto de libertad de informacióntan bien como otras leyes y regulaciones.Hay cuatro niveles de clasificación del negocio comercial/de sector privado(mencionada lo más arriba posible a lo más bajo posible):
Confidencial El más alto nivel de la clasificación. Utilizado para los datos que sonextremadamente sensibles y para uso interno solamente. Un impacto negativosignificativo podría ocurrir para la compañía si se divulgan los datos confidenciales.
Privado Usado para los datos que están de una naturaleza privada o personal y previstopara el uso interno solamente. Un impacto negativo significativo podría ocurrir para lacompañía o los individuos si se divulgan los datos confidenciales.
Sensible Usado para los datos que se clasifican como mayores que los datos públicos.Un impacto negativo podría ocurrir para la compañía si se divulgan los datos sensibles.
Público el nivel más bajo de la clasificación. Utilizado para todos los datos que no cabenen las clasificaciones más altas. Su acceso no tiene un serio impacto negativo en laorganización.
Otra clasificación de uso frecuente en el negocio comercial/sector privado es Propiedad.Los datos propietarios son una forma de información confidencial. Si se divulgan losdatos propietarios, pueden tener drástico efectos en el borde competitivo de unaorganización.La desclasificación se pasa por alto a menudo al diseñar un sistema de clasificación ydocumentar los procedimientos del uso. La desclasificación se requiere una vez que unactivo no tiene más garantías o necesita protección de su nivel actualmente asignadode la clasificación. Es decir si el activo fuera nuevo, este sería asignado a una etiquetamás baja de sensibilidad de las que se asigna actualmente. Por no desclasicacion deactivos cuando están garantizados, los recursos de seguridad son perdidos y el valor yprotección de los niveles más altos de sensibilidad se degrada.
Sumario
Los conceptos y principios de la gerencia de seguridad son elementos inherentes enuna política de seguridad y en el despliegue de la solución. Definen los parámetrosbásicos necesitados para un ambiente seguro. También definen las metas y objetivosque los diseñadores de la política y los ejecutores del sistema deben alcanzar paracrear una solución segura. Es importante que los profesionales del mundo real de laseguridad así como estudiantes del examen de CISSP entiendan estos artículos afondo.Las metas y objetivos primarios de la seguridad se contienen dentro de la tríada CIA:confidencialidad, integridad y disponibilidad. Estos tres principios se consideran los másimportante dentro del reino de la seguridad. Su importancia para una organizacióndepende de las metas y requerimientos de seguridad de la organización y en cuántoexiste una amenaza para la seguridad en su ambiente.
156
El primer principio de la tríada de la CIA es Confidencialidad, el principio en el cual losobjetos no están divulgados a los sujetos desautorizados. Mecanismos de seguridadque ofrecen confidencialidad ofrecen un alto nivel de aseguramiento de que esos datos,objetos, o recursos no se exponen a sujetos desautorizados. Si una existe una amenazacontra la confidencialidad, hay la posibilidad de que el acceso desautorizado puedaocurrir.El segundo principio de la tríada CIA es Integridad, el principio en el cual los objetosconservan su veracidad y son modificados intencionalmente solamente por los sujetosautorizados. Mecanismos de seguridad que ofrecen integridad ofrecen un alto nivel delaseguramiento que esos datos, objetos, o recursos son inalterados de su estadoprotegido original. Esto incluye las alteraciones que ocurren mientras el objeto está enalmacenaje, tránsito o en proceso. Mantener la integridad significa que el objeto en símismo no está alterado, ni el sistema operativo y las entidades de programación quemanejan y manipulan el objeto comprometido.El tercer principio de la tríada CIA es Disponibilidad, el principio en el cual los sujetosautorizados tienen acceso oportuno e ininterrumpido a los objetos. Mecanismos deseguridad que ofrecen disponibilidad ofrecen un alto nivel del aseguramiento que esosdatos, objetos, o recursos son accesibles a sujetos autorizados. La disponibilidadincluye el acceso ininterrumpido eficiente a los objetos y a la prevención de ataques denegación del servicio. También implica que la infraestructura de soporte es funcional ypermite que los usuarios autorizados tengan el acceso autorizado.Otros conceptos y principios de seguridad que se deben considerar y agregar cuandose diseña una política de seguridad y despliega una solución de seguridad sonprivacidad, identificación, autentificación, autorización, responsabilidad, no repudio, yauditoria.Otros aspectos de los conceptos y principios de solución de seguridad son loselementos de mecanismos de protección: layering, abstracción, ocultamiento de datos,y uso del cifrado. Éstos son características comunes de los controles de seguridad, yaunque no todos los controles de seguridad deben tenerlos, muchos controles utilizanestos mecanismos para proteger la confidencialidad, integridad y disponibilidad.El control o gerencia de cambios es un aspecto importante de las prácticas degerencia de seguridad. Cuando se cambia un ambiente seguro, las escapatorias, lostraslapos, los objetos perdidos, y los descuidos pueden conducir a las nuevasvulnerabilidades. Se puede, sin embargo, mantener seguridad cambiando laadministración sistemáticamente. Esto implica típicamente loggins extensos, auditoria, ymonitoreo de las actividades relacionadas a los controles de seguridad y losmecanismos de seguridad. Los datos que resultan entonces se utilizan para identificaragentes de cambio, si los objetos, sujetos, programas, caminos de comunicación, o aúnla red por sí misma.La clasificación de los datos son los medios primarios por los cuales los datos sonprotegidos basados en su secreto, sensibilidad, o confidencialidad. Porque algunosartículos de datos necesitan más seguridad que otras, es ineficaz tratar todos los datosiguales al diseñar e implementar un sistema de seguridad. Si todo se asegura en unnivel de seguridad bajo, los datos sensibles son fácilmente accesibles, pero asegurartodo en un nivel alto de seguridad es demasiado costoso y restringe el acceso a losdatos sin clasificar, y los no críticos. La clasificación de datos se utiliza paradeterminarse cuánto esfuerzo, dinero, y recursos se asignan para proteger los datos ypara controlar el acceso a ellos.
Indispensables del Examen
Entender el elemento confidencialidad de la tríada CIA. La confidencialidad es elprincipio en el que los objetos no se autorizan a los sujetos desautorizados. Saber
157
porqué es importante, los mecanismos que lo apoyan, ataques que enfocan en él, ycontramedidas eficaces.
Entender el elemento integridad de la tríada CIA. La integridad es el principio en el cuallos objetos conservan su veracidad y es modificada intencionalmente por solamente lossujetos autorizados. Saber porqué es importante, los mecanismos que lo apoyan,ataques que enfocan en él, y contramedidas eficaces.
Entender el elemento disponibilidad de la tríada CIA. La disponibilidad es el principio enel cual autorizados sujetos tienen acceso oportuno e ininterrumpido a los objetos.Saber porqué él es importante, los mecanismos que lo apoyan, atacan ese foco en él, ycontramedidas eficaces.
Saber como se ajusta la privacidad en el reino de seguridad de TI. Saber lossignificados múltiples de la privacidad, porqué es importante protegerla, y las edicionesque lo rodean, especialmente en un ambiente del trabajo.
Poder explicar cómo la identificación trabaja. La identificación es el proceso por el cualun sujeto profesa una identidad y se inicia la responsabilidad. Un sujeto debeproporcionar una identidad a un sistema para comenzar el proceso de autentificación,de autorización, y de responsabilidad.
Entender el proceso de autentificación. El proceso de verificación o de prueba que unaidentidad es válida es la autentificación. La autentificación requiere la información delsujeto que debe corresponder exactamente a la identidad indicada.
Saber como se ajusta la autorización en un plan de seguridad. Una vez que seautentifica un sujeto, su acceso debe ser autorizado. El proceso de autorización seasegura de que el acceso solicitado de la actividad o del objeto sea posible dado lasreglas y los privilegios asignados a la identidad autenticada.
Poder explicar el proceso de revisión. La revisión, o el monitoreo, son los mediosprogramáticos por los cuales los sujetos son responsables de sus acciones mientrasque están autentificados en un sistema. La revisión es también el proceso por el cual lasactividades desautorizadas o anormales son detectadas en un sistema. La revisión esnecesaria para detectar acciones malévolas por los sujetos, intrusiones procuradas, ylos fallos del sistema, proporcionar evidencia para el procesamiento, y reportes yanálisis de problemas del producto.
Entender la importancia de la responsabilidad. La política de seguridad de unaorganización puede ser hecha correctamente solamente si se mantiene laresponsabilidad. Es decir la seguridad puede ser mantenida solamente si los sujetos sehacen responsables de sus acciones. La responsabilidad eficaz confía en la capacidadpara probar la identidad de un sujeto y para seguir sus actividades.
Poder explicar el no repudio. El no repudio se asegura de que el sujeto de una actividado de un acontecimiento no pueda negar que ocurrió el acontecimiento. Evita que unsujeto demande no haber enviado un mensaje, no haber realizado una acción, o nohaber sido la causa de un acontecimiento.
Saber como el Layering simplifica la seguridad. El layering es simplemente el uso decontroles múltiples en serie. Usar una solución de varias capas permite que numerososcontroles diversos y específicos sean aplicados contra cualquier amenaza que puedepasar.
158
Poder explicar el concepto de abstracción. La abstracción se utiliza para recogerelementos similares en grupos, clases, o roles que son asignados controles deseguridad, restricciones, o permisos como colectivo. Agrega eficacia a realizar un plande seguridad.
Entender el ocultamiento de datos. El ocultamiento de datos es exactamente como loque suena: prevención de datos de ser descubiertos o accesados por un sujeto. Es amenudo un elemento dominante en controles de seguridad así como en programación.
Entender la necesidad del cifrado. El cifrado es el arte y la ciencia de ocultar elsignificado o intento de una comunicación de recipientes involuntarios. Puede tomarmuchas formas y ser aplicado a cada tipo de comunicación electrónica, incluyendotexto, audio, y archivos de video, así como los programas mismos. El cifrado es unelemento muy importante en controles de seguridad, especialmente en vista de latransmisión de datos entre sistemas.
Poder explicar los conceptos de control de cambios y gestión de cambios. Cambiar enun ambiente seguro puede introducir escapatorias, traslapos, objetos perdidos, y losdescuidos pueden conducir a nuevas vulnerabilidades. La única manera de mantenerseguridad frente a los cambio es manejar sistemáticamente el cambio.
Saber porqué y como se clasifican los datos. Los datos se clasifican para simplificar elproceso de asignación de controles de seguridad a los grupos de objetos más que a losobjetos individuales. Los dos esquemas comunes de clasificación son gobierno/negociomilitar y comercial/sector privado. Saber los cinco niveles de gobierno/clasificaciónmilitar y los cuatro niveles de clasificación de sector privado/comercial del negocio.
Entender la importancia de la declasificación. Se requiere la declasificación una vez queun activo no garantice más la protección de su nivel de clasificación o de sensibilidadasignado actualmente.
159
Preguntas de Revision
1. ¿Cuál de las siguientes contiene las metas y los objetivos primarios de la seguridad?
A. Perímetro de la frontera de una redB. La tríada CIAC. Un sistema independienteD. El Internet
2. ¿Las vulnerabilidades y los riesgos son evaluados basados en sus amenazas contracual de las siguientes?
A. Uno o más de los principios de la tríada CIAB. Utilidad de los datosC. Cuidado debidoD. Grado de la responsabilidad
3. ¿Cuál de las siguientes es un principio de la tríada CIA que significa que los sujetosautorizados tienen concedidos el acceso oportuno e ininterrumpido a los objetos?
A. IdentificaciónB. DisponibilidadC. CifradoD. Layering
4. ¿Cuál de las siguientes no se considera una violación de la confidencialidad?
A. Robar contraseñasB. EavesdroppingC. Destrucción del hardwareD. Ingeniería social
5. ¿Cuál del siguiente no es verdad?
A. Las violaciones de confidencialidad incluyen error humano.B. Las violaciones de confidencialidad incluyen descuido de la gerencia.C. Las violaciones de confidencialidad se limitan a ataques intencionales directos.D. Las violaciones de confidencialidad pueden ocurrir cuando una transmisión no seencripta correctamente.
6. ¿Confidencialidad es dependiente sobre cuál de las siguientes?
A. ResponsabilidadB. DisponibilidadC. No repudio
160
D. Integridad
7. Si un mecanismo de seguridad ofrece disponibilidad, después ofrece un alto nivel deaseguramiento de que los datos, objetos, y los recursos son _______________ porsujetos autorizados.
A. ControladoB. AuditadoC. AccesibleD. Repudiado
8. ¿Cuál de los siguientes describe la libertad de ser observado, supervisado, oexaminado sin consentimiento o conocimiento?
A. IntegridadB. PrivacidadC. AutentificaciónD. Responsabilidad
9. ¿Todos sino cuales de los puntos siguientes requieren el conocimiento para todos losindividuos afectados?
A. La restricción del E-mail personalB. Grabación de conversaciones de teléfonoC. Recopilar información sobre hábitos de surfingD. El mecanismo de backup usado para conservar mensajes de E-mail
10. ¿Cuál de las siguiente no se utiliza típicamente como factor deIdentificación?
A. UsernameB. Smart cardC. Escaneo de huella digitalD. Un dispositivo símbolo de desafío/respuesta
11. ¿Qué asegura de que el sujeto de una actividad o de un acontecimiento no puedanegar que ocurrió el acontecimiento?
A. Triada CIAB. AbstracciónC. No repudioD. Hash totales
12. ¿Cuál de los siguientes es el concepto más importante y más distintivo en loreferente a seguridad acodada?
A. MúltipleB. SerieC. ParaleloD. Filtro
13. ¿Cuál de los siguientes no se considera un ejemplo de ocultar datos?
A. Previniendo que un lector autorizado de un objeto borre ese objetoB. Guardando una base de datos de ser accesada por visitantes desautorizados
161
C. Restricción de un sujeto de un nivel más bajo de clasificación de acceso a datos aun nivel más alto de clasificaciónD. Previniendo un uso del hardware que tiene acceso directamente
14. ¿Cuál es la meta fundamental de la gestión de cambios?
A. Mantenimiento de documentaciónB. Mantener a los usuarios informados de los cambiosC. Permitir la restauración no actualizada de cambios fallidosD. Prevención de compromisos de seguridad
15. ¿Cuál es el objetivo primario de los esquemas de clasificación de datos?
A. Controlar el acceso a los objetos para los sujetos autorizadosB. Formalizar y estratificar el proceso de asegurar los datos basados en etiquetasasignadas de importancia y de sensibilidadC. Establecer un rastro de la transacción para auditar responsabilidadD. Manipular controles de acceso para proveer los medios más eficientes paraconceder o restringir la funcionalidad
16. ¿Cuál de los siguientes es no típicamente una característica considerada alclasificar datos?
A. ValorB. Tamaño del objetoC. Curso de la vida útilD. Implicaciones de la seguridad nacional
17. ¿Cuáles son los dos esquemas comunes de la clasificación de los datos?
A. Sector militar y privadoB. Personal y gobiernoC. Sector privado y sector sin restricciónD. Clasificado y sin clasificar
18. ¿Cuál de los siguientes es la clasificación militar más baja de datos para datosclasificados?
A. SensibleB. SecretoC. Sensible pero sin clasificarD. Privado
19. ¿Qué clasificación de datos del negocio comercial/del sector privado se utiliza a lainformación de control sobre individuos dentro de una organización?
A. ConfidencialB. PrivadoC. SensibleD. Propietario
20. ¿Las clasificaciones de los datos se utilizan para enfocar controles de seguridadsobre todos pero cual de los siguientes?
162
A. AlmacenajeB. ProcesoC. LayeringD. Transferencia
Respuestas a las Preguntas de Revisión
1. B. Las metas y los objetivos primarios de seguridad son confidencialidad, integridad,y disponibilidad, referidas comúnmente como la tríada CIA.
2. A. Se evalúan las vulnerabilidades y los riesgos basados en sus amenazas contrauno o más de los principios de la tríada CIA.
3. B. La disponibilidad significa que los sujetos autorizados tienen concedidos el accesooportuno e ininterrumpido a los objetos.
4. C. La destrucción del hardware es una violación de la disponibilidad y posiblementede la integridad. Las violaciones confidencialidad incluyen la captura del tráfico dered, robo de archivos de contraseña, ingeniería social, escaneo de puerto,eavesdropping, y sniffing.
5. C. Las violaciones de confidencialidad no se limitan a ataques intencionales directos.Muchos casos de acceso desautorizado a la información sensible o confidencial sondebido al error, al descuido, o a la ineptitud humana.
6. D. Sin integridad, la confidencialidad no puede ser mantenida.
7. C. La accesibilidad de datos, de objetos, y de recursos es la meta de ladisponibilidad. Si un mecanismo de seguridad ofrece disponibilidad, entonces esaltamente probable que los datos, los objetos, y los recursos sean accesibles por lossujetos autorizados.
8. B. La privacidad es la libertad de ser observado, monitoreado, o ser examinado sinconsentimiento o conocimiento.
9. D. Los usuarios deben ser enterados que los mensajes de E-mail son retenidos,solamente el mecanismo de backup usado para realizar esta operación no necesitaser divulgado a ellos.
10. D. Un dispositivo simbólico de desafío/respuesta se utiliza casi exclusivamentecomo factor de autentificación, no como factor de identificación.
11. C. No repudio se asegura de que el sujeto de una actividad o de un acontecimientono pueda negar que ocurrió el acontecimiento.
12. B. Layering es el despliegue de los mecanismos múltiples de seguridad en serie.Cuando las restricciones de seguridad se realizan en serie, se realizan una
163
después de otra en una manera linear. Por lo tanto, una sola falla de un control deseguridad no hace la solución entera ineficaz.
13. A. Evitar que un lector autorizado de un objeto borre ese objeto es justo un controlde acceso, no es ocultar datos. Si puedes leer un objeto, este no se oculta de ti.
14. D. La prevención de los compromisos de seguridad es la meta fundamental de lagestión de cambios.
15. B. El objetivo primario de los esquemas de clasificación de datos es formalizar yestratificar el proceso de asegurar los datos basados en etiquetas asignadas segúnsu importancia y su sensibilidad.
16. B. El tamaño no es un criterio para establecer la clasificación de datos. Al clasificarun objeto, debes tomar valor, curso de la vida, e implicaciones de seguridad enconsideración.
17. A. El sector militar (o gobierno) y privado (o negocio comercial) son los dos comunesesquemas de clasificación de datos.
18. B. De las opciones enumeradas, el secreto es la clasificación militar más bajoposible de los datos.
19. B. La clasificación de los datos del negocio comercial/ sector privado del privado seutiliza para proteger la información sobre individuos.
20. C. Layering es un aspecto de la base de los mecanismos de seguridad, pero no esun foco de las clasificaciones de datos.
Con formato: Número de columnas:1, Ancho columna nº 1: 15.24 cm
164
165
CCAAPPÍÍTTUULLOO 66
EEll VVaalloorrddeell AAccttiivvoo,,llaass PPoollííttiiccaass,,YY llooss PPaappeelleess
------------------------------------------------LOS TEMAS DEL EXAMEN CISSP CUBIERTOS EN ESTECAPÍTULO INCLUYE:
Políticas y Prácticas del Empleo Roles y Responsabilidades Políticas, Estándares, Estrategias, y Procedimientos Administración De Riesgos Entrenamiento para el Conocimiento de la Seguridad Planeamiento de la Administración de la Seguridad
Con formato: Fuente: 14 pto, Negrita
166
El dominio de las Prácticas para la Administración dela Seguridad del “Common Body of Knowledge”(CBK) para el examen de certificación CISSP tratacon el empleo de prácticas, roles de seguridad,formalizar la estructura de seguridad, administraciónde riesgos, entrenamiento del conocimiento yplanificación de la administración.
Por la complejidad y la importancia de los controlesde hardware y software, la administración de laseguridad de los empleados es a menudo pasado poralto en la planificación global de la seguridad. Estecapítulo explora el lado humano de seguridad, de
establecer el empleo de prácticas de seguridad y descripción de las funciones paradesarrollar una infraestructura del empleado. Adicionalmente, las practicas deentrenamiento, administración y terminación de los empleados están consideradas unaparte integral de crear un ambiente seguro. Finalmente, nosotros examinaremos cómoevaluar y manejar los riesgos de la seguridad.
POLÍTICAS Y PRÁCTICAS DEL EMPLEO
Los humanos son el elemento más débil en cualquier solución de seguridad. No importaque controles físicos y lógicos sean implementados, los humanos pueden descubrirformas de evitarlas, engañarlas o corromperles, o desactivarlos. Así, es importantetener en cuenta la humanidad de los usuarios cuándo se esta diseñando ydesarrollando soluciones de seguridad para su ambiente.
Los sucesos, los problemas, y los compromisos relacionados con humanos ocurren entodas las etapas de desarrollo de una solución de seguridad. Esto es porque loshumanos están involucrados a todo lo largo del desarrollo, implementación, yadministración en curso de cualquier solución. Por consiguiente, usted debe evaluar elefecto de los usuarios, diseñadores, programadores, desarrolladores, gerentes, eimplementadores que tienen en el proceso.
Administración De La Seguridad Para Los Empleados
Contratar al personal nuevo típicamente implica varios pasos bien definidos: Creandouna descripción del trabajo, estableciendo una clasificación para el trabajo, investigandoa los candidatos, y contratando y entrenando al que está más adecuado para el trabajo.Sin una descripción de trabajo, no hay consenso en que tipo de individuo debería sercontratado. El personal debería ser añadido a una organización porque hay unanecesidad por sus habilidades y las experiencias específicas. Cualquier descripción de
Con formato: Número de columnas:1, Ancho columna nº 1: 15.24 cm
167
trabajo para cualquier posición dentro de una organización debería direccionar asuntosde seguridad pertinentes. Usted debe considerar ítems como si la posición requiere elmanejo de material sensible o el acceso a información clasificada. En efecto, ladescripción de trabajo define los roles para los cuales un empleado necesita serasignado para realizar sus tareas de trabajo. La descripción de trabajo debería definir eltipo y extensión de acceso que la posición requiere en la seguridad de la red. Una vezque estos sucesos se han resuelto, asignándole una clasificación de seguridad a ladescripción del trabajo es bastante estándar.
Los elementos importantes en construir una descripción de trabajo incluyen separaciónde deberes, responsabilidades de trabajo, y rotación de trabajo.
La separación de deberes.- La separación de deberes es el concepto de seguridad en elcual crítico, significativo, y tareas de trabajo sensibles están divididas entre variosindividuos. Esto previene a cualquier persona de tener la capacidad de mirar o derribara los mecanismos vitales de seguridad. Esta indeseable actividad es llamadaconfabulación.
Responsabilidades de trabajo.- Las responsabilidades de trabajo son las tareasespecíficas de trabajo a las que un empleado es requerido ha realizar de forma regular.A merced de sus responsabilidades, los empleados requieren acceso para variosobjetos, los recursos, y los servicios. En una red asegurada, los usuarios deben serconcedidos los privilegios del acceso para esos elementos relacionados con sus tareasde trabajo. Para mantener la máxima seguridad, el acceso debería ser asignado segúnel principio de privilegio mínimo. El principio de privilegio mínimo indica que en unambiente asegurado, a los usuarios les debería ser concedido el monto del accesomínimo necesario para que completen sus requeridas tareas de trabajo o susresponsabilidades de trabajo.
La rotación de trabajo.- La rotación de trabajo, o los empleados rotativos entrenumerosas posiciones de trabajo, es simplemente un significado el cual mejora laseguridad dentro de la empresa. La rotación de trabajo sirve para dos funciones.Primero, que provee un tipo de redundancia de conocimiento. Cuando los empleadosmúltiples son cada uno capaz de realizar tareas de trabajo requeridas por variasposiciones de trabajo, la organización es menos probable experimentar tiempo muerto opérdida en productividad si la enfermedad u otro incidente mantienen a unos o másempleados sin trabajo por un período del tiempo extendido. Segundo, el mover alpersonal a los alrededores reduce el riesgo del fraude, de la modificación de los datos,del hurto, del sabotaje, y del uso erróneo de la información. Cuanto más de tiempo unapersona trabaje en una posición específica, más probables son de ser asignado tareasde trabajo adicionales y amplían así sus privilegios y tienen acceso. Como una personase familiariza progresivamente con sus tareas de trabajo, ellos pueden abusar de susprivilegios para malicia o ganancia personal. Si el uso indebido o el abuso, es cometidopor un empleado, será más fácil de detectar por otro empleado que sabe la posición detrabajo y las responsabilidades de trabajo. Por consiguiente, la rotación de trabajotambién proporciona una forma de auditar a la par.
168
Cuando múltiples personas trabajan juntas para perpetrar un crimen, esto es conocidocomo colusión. La probabilidad que un compañero de trabajo estará dispuesto acolaborar en un esquema ilegal o abusivo se reduce debido a la detección del más altoriesgo, la combinación de la separación de deberes, responsabilidades del trabajorestringidas, y la rotación del trabajo.
Las descripciones de trabajo no son usadas exclusivamente para el proceso decontratación; estas deberían ser mantenidas a todo lo largo de la vida de laorganización. Solamente con las descripciones de los trabajos detallados se puederealizar una comparación entre lo que una persona debe ser responsable y por lo quees responsable ahora. Es una tarea administrativa asegurar que las descripciones detrabajo cubran lo menos posible y que las responsabilidades de un trabajador no van ala deriva o usurpar en los de de otra persona. Asimismo, los gerentes deberían auditarlas asignaciones de privilegio para asegurar que los trabajadores no obtienen accesoque no es estrictamente requerido para ellos para cumplir con sus tareas de trabajo.
Investigación y Observaciones a Fondo
Investigar a los candidatos para una posición específica se basa en la sensibilidad y laclasificación definida por la descripción de trabajo. La sensibilidad y la clasificación deuna posición específica es dependiente sobre el nivel de daño que podría deberse a lasviolaciones accidentales o intencionales de seguridad por una persona en la posición.Así, la minuciosidad del proceso de investigación debería reflejar la seguridad de laposición para estar lleno.
Observaciones a Fondo y las acreditaciones de seguridad son elementos esenciales enprobar que un candidato es el adecuado, capacitado, y confiable para una posiciónasegurada. Las observaciones a fondo incluyen a obtener al candidato del trabajo y lahistoria educativa; comprobando referencias; entrevistando a los colegas, los vecinos, ylos amigos; comprobar expedientes policiales y gubernamentales de arresto oactividades ilegales; verificando la identidad a través de huellas digitales, la licencia deconducir, y la partida de nacimiento; y manteniendo una entrevista personal. Esteproceso también podría incluir una prueba del polígrafo, prueba de droga, y laprueba/evaluación de personalidad.
Creando Acuerdos de Empleo
Cuando un empleado nuevo es contratado, deberían firmar un acuerdo de empleo. Taldocumento esboza las reglas y las restricciones de la organización, las políticas deseguridad, el uso aceptable y las políticas de actividades, los detalles de la descripciónde trabajo, las violaciones y las consecuencias, y la longitud del tiempo que la posicióndebe ser ocupada por el empleado. Muchos de estos artículos pueden ser documentosseparados. En tal caso, el acuerdo de empleo se usa para verificar que el candidato delempleo ha leído y ha comprendido la documentación asociada para su perspectiva de laposición de trabajo.
169
Además del acuerdo de empleo, puede haber otra documentación relacionada enseguridad que puede ser direccionada. Un documento común es un “acuerdo de nodivulgación” (AND). Una AND se usa para proteger la información confidencial dentro deuna organización de ser revelado por un empleado formal. Cuando una persona firmaun NDA, ellos quedan en no revelar cualquier información, que es definida comoconfidencial, para alguien fuera de la organización. Las violaciones de una AND son amenudo encontrado con severas penalidades.
A través del curso de la vida del empleo del personal, los gerentes regularmentedeberían auditar las descripciones de trabajo, las tareas de trabajo, los privilegios, etcpara cada miembro del personal. Es común entregar fuera de tiempo las tares detrabajos y privilegios. Esto puede causar que algunas tareas sean pasadas por alto yotras se realicen múltiples las veces. Manipular también puede dar como resultadoviolaciones de seguridad. Regularmente repasando los límites definidos por cadadescripción de trabajo en relación a lo que actualmente ocurre ayuda en mantener lasviolaciones de seguridad al mínimo. Una parte dominante de este proceso de la revisiónes vacaciones obligatorias. En muchos ambientes asegurados, las vacacionesobligatorias de una a dos semanas son usadas para auditar y verificar las tareas detrabajo y los privilegios de empleados. Esto quita al empleado del ambiente de trabajo ycoloca a un trabajador diferente en su posición. Esto a menudo resulta en una fácildetección de abuso, fraude, o negligencia.
Terminación del Empleado
Cuando un empleado debe ser terminado, hay numerosos sucesos que deben de serdireccionados. Una política de procedimiento de terminación es imprescindiblemantener un ambiente seguro aun haciendo frente a un empleado malhumorado quedebe ser removido de la organización. Las reacciones de empleados liberados puedenir de aceptación comprensiva a violenta, furia destructiva. Un procedimiento sensiblepara dirigir las terminaciones se deben diseñar y poner en ejecución para reducirincidentes.
La terminación de un empleado debería ser manejada en una manera privada yrespetuosa. Sin embargo, esto no quiere decir que las precauciones no deberían sertomadas. Las terminaciones deberían tener lugar con al menos un testigo,preferentemente un gerente del nivel más alto y/o un guarda de seguridad. Una vez queel empleado ha sido informado de su terminación, deberían ser escoltados fuera dellocal inmediatamente. Antes de que el empleado sea puesto en libertad, todaidentificación específica en la organización, acceso, o dispositivos de seguridad asícomo las tarjetas, las llaves, y las señales de acceso deberían ser recogidas.
Cuando sea posible, una entrevista de salida debería ser realizada. Sin embargo, estotípicamente depende en el estado mental del empleado sobre su terminación ynumerosos otros factores. Si una entrevista de salida es impracticable inmediatamentesobre la terminación, esta debería ser realizada tan pronto como sea posible. El
170
principal propósito de la entrevista de la salida es revisar las responsabilidades y lasrestricciones puestas en el empleado formal basado en el acuerdo del empleo, elacuerdo de la no divulgación, y cualquier otra documentación de seguridad relacionada.
La siguiente lista incluye algunas otros sucesos que deberían ser manejadas tan prontocomo sea posible:
Asegurarse que el empleado regrese cualquier equipo o dispositivos de laorganización, ya sea de su casa o vehículo
Quitar o desactivar la cuenta del usuario del empleado de la red Notificar a recursos humanos para realizar un último cheque, pagar cualquier
hora sin uso de las vacaciones, y terminar la cobertura de beneficios. Arreglar para que un miembro del departamento de seguridad acompañen al
empleado liberado mientras recogen sus pertenencias personales del área detrabajo.
En la mayoría de los casos, usted debería desactivar o debería remover el acceso desistema de un empleado al mismo tiempo o poco antes de que estén notificados de serterminados. Esto es especialmente cierto si ese empleado es capaz de acceder a losdatos confidenciales o tiene la experticia o el acceso para alterar o dañar datos oservicios. El fallar en restringir las actividades de los empleados liberados puede dejar asu organización abierta a una gran variedad de vulnerabilidades, incluyendo robo ydestrucción de la propiedad física y los datos lógicos.
ROLES DE SEGURIDAD
Un rol de seguridad es la parte que un individuo juega en el esquema global deimplementación y administración de la seguridad dentro de una organización. Los rolesde seguridad no están necesariamente prescritos en la descripción del trabajo porqueno son siempre distintos o estáticos. La familiaridad con los roles de seguridad ayudaraen establecer unas comunicaciones y una estructura del soporte dentro de unaorganización. Esta estructura permitirá la implementación y la ejecución de las políticasde seguridad:
Alto Gerente.- El rol del Propietario de la Organización (Alto Gerente) es asignado a lapersona quién es en última instancia responsable de la seguridad mantenida por unaorganización y quién debe ser el más preocupado sobre la protección de sus activos. ElAlto Gerente debe aprobar formalmente todas las políticas de sucesos. No hay efectivaspolíticas de seguridad si el Alto Gerente no las autoriza y soporta. El Alto Gerente es lapersona que estará obligado ha manejar para éxito global o el fracaso de una soluciónde seguridad y es responsable de ejercitar con cautela debida y diligencia propia en elestablecimiento de la seguridad para una organización. Si bien el Alto Gerente esfinalmente responsable de la seguridad, raras veces implementan la solución deseguridad. En la mayoría de los casos, esa responsabilidad es comisionada para losprofesionales en la seguridad dentro de la organización.
171
Profesional de la Seguridad.- El rol del profesional en la seguridad es asignadoadiestrada y experimentada red, sistemas, y ingeniero de seguridad cuál es responsablede seguir las directivas promulgadas por la Alta Gerencia. El rol del profesional en laseguridad puede ser etiquetado como un rol de función de IS/IT. El rol del profesional enla seguridad es a menudo llenado por un equipo que es responsable del diseño eimplementación de las soluciones de seguridad basadas en las políticas de actuaciónsobre seguridad aprobadas. Los profesionales en la seguridad no son tomadores dedecisiones; ellos son implementadores. Todas las decisiones deben ser dejadas al AltoGerente.
Usuario.- El rol del usuario (usuario final) es asignado a cualquier persona que tieneacceso al sistema asegurado. El acceso de un usuario está atado con sus tareas detrabajo y están limitados así es que tienen solamente el suficiente acceso para realizarlas tareas necesarias para su posición de trabajo (principio de privilegio mínimo). Losusuarios son responsables de entender y defender las políticas de seguridad de unaorganización siguiendo los métodos operacionales prescritos y funcionando dentro delos parámetros de seguridad definidos.
Estos tres roles del Alto Gerente, Profesional en la Seguridad, y Usuario definen unabásica jerarquía de tres niveles. En muchas organizaciones, esta jerarquía tiene nivelesadicionales, típicamente entre el Alto Gerente y el Profesional en la Seguridad. En estetipo de situación, los niveles más altos manejan aspectos de políticas de seguridad quees más amplio de aquellos que están bajo la dirección de los niveles inferiores. En todocaso, la estructura global de los roles de seguridad es retenida.
Además de estos tres roles jerárquico, hay tres roles que son de un aspecto importantede sostener un ambiente asegurado:Dueño de datos.- El rol del dueño de datos es asignado a la persona que esresponsable de clasificar información para la colocación y protección dentro de lasolución de seguridad. El dueño de datos es típicamente un gerente de alto nivel que esfinalmente responsable de protección de datos. Sin embargo, el dueño de datosusualmente delega la responsabilidad de la tarea de administraciones de datos reales aun custodio de datos.
Custodio de datos.- El rol del custodio de datos es asignado al usuario que esresponsable de las tareas de implementar la protección prescrita definida por laspolíticas de seguridad y la gerencia superior. El custodio de datos realiza todas lasactividades necesarias para proveer la adecuada protección para los datos y satisfacerlos requisitos y responsabilidades delegadas por la gerencia superior. Estas actividadespueden incluir la ejecución y pruebas de backups, validando la integridad de los datos,implementando las soluciones de seguridad, y el almacenamiento de manejo de datosbasados en clasificación.
Auditor.- Otro rol es eso de un auditor. Un auditor es responsable de probar y verificarque las políticas de seguridad son de verdad implementadas y si las soluciones de
172
seguridad son adecuadas. El rol del auditor puede ser asignado a un profesional en laseguridad o un usuario adiestrado. El auditor produce informes de conformidad y deeficacia que son repasados por el Alto Gerente. Los sucesos descubiertos por estosinformes son transformados en nuevas directivas asignadas por el Alto Gerente paralos profesionales en la seguridad o los custodios de datos.
Todos estos papeles sirven para una función importante dentro de un ambienteasegurado. Son útiles para identificar obligaciones y responsabilidad como también paraidentificar la gerencia jerárquica y el esquema de la delegación.
POLÍTICAS, ESTÁNDARES, REFERENCIAS, ESTRATEGIA, Y PROCEDIMIENTOS
Para la mayoría de organizaciones, mantener la seguridad es una parte esencial de unnegocio en curso. Si su seguridad fuera seriamente comprometida, muchasorganizaciones fracasarían. Para reducir la probabilidad de un fracaso en la seguridad,el proceso de implementar la seguridad ha de estar algo formalizado. Esto formalizaciónha reducido grandemente el caos y la complejidad de diseñar e implementar lassoluciones de seguridad para las infraestructuras en IT. La formalización de solucionesde seguridad toma la forma de una organización jerárquica de documentación. Cadanivel enfoca la atención en un categoría o tipo específico de información y sucesos.
Política de Seguridad
El grado más alto de la formalización es conocido como política de seguridad. Políticasde seguridad es un documento que define el alcance de seguridad necesitada por laorganización y discute los activos que necesitan protección. La política de seguridad esuna descripción o una generalización de necesidades de seguridad de unaorganización. Debería definir claramente por qué es importante la seguridad y queactivos son de valor. Es un plan estratégico para implementar la seguridad.Ampliamente debería esbozar las prácticas y metas de seguridad que deberían serutilizadas para proteger los intereses vitales de la organización. El documento discute laimportancia de seguridad para cada aspecto de operación diaria del negocio y laimportancia del soporte del Alto Personal para el implementación de la seguridad. Laspolíticas de seguridad se usan para asignar responsabilidades, procesos dereforzamiento, y definir niveles aceptables de riesgo. Este documento es a menudoutilizado como la prueba de que la Lata Gerencia ha ejercitado cautela debida enprotegerse en contra de la intrusión, ataque, y desastre.
Muchas organizaciones utilizan varios tipos de políticas de seguridad para definir oesbozar su estrategia de seguridad total. Una política de seguridad organizativa seenfoca en la atención de los sucesos relevantes para cada aspecto de unaorganización. Un suceso específico de política de seguridad se enfoca en un servicio dela red específico, departamento, función, u otro aspecto que es distinto de laorganización en su totalidad. Una política de seguridad de sistema-específico se enfocaen sistemas individuales o en tipos de sistemas y prescriben el hardware y el software
173
aprobados, métodos no comunes para clausurar un sistema, y mandatos del cortafuegou otro controles de seguridad específicos.
Además de estos enfoques de tipos de políticas de seguridad, hay tres categoríasglobales de políticas de seguridad reguladora, consultiva, e informativo. Una políticareguladora es requerida siempre que la industria o los estándares legales son aplicablespara su organización. Esta política discute la regulación que deben ser seguidos yresalta los procedimientos que se deben utilizar para sacar conformidad. Una políticaconsultiva discute comportamientos y actividades que son aceptables y defineconsecuencias de violaciones. Explica los deseos de la Alta Gerencia para la seguridady la conformidad dentro de una organización. La mayoría de políticas son consultivas.Una política informativa es diseñada para proveer información o el conocimiento acercade un tema específico, como las metas de la compañía, las declaraciones de la misión,o cómo la organización le interactúa a socios y clientes. Una política informativa es pocoaplicable.
De las políticas de seguridad fluyen muchos otros documentos o subelementosnecesarios para una completa solución de seguridad. Las políticas son ampliasdescripciones, considerando estándares, referencias, líneas directivas, y losprocedimientos incluyen información más específica y detallada en la real solución deseguridad. Los estándares son el siguiente nivel debajo de las políticas de seguridad.
Estándares, Referencias, Estrategia de seguridad
Los estándares definen requisitos obligatorios para el uso homogéneo de hardware,software, tecnología, y controles de seguridad. Proveen un curso de acción por la cualla tecnología y los procedimientos son uniformemente implementados a todo lo largo deuna organización. Los estándares son el doctor táctico que definen pasos o los métodospara lograr las metas y la dirección global definida por las políticas de seguridad.
En el siguiente nivel están las referencias. Una referencias define un nivel mínimo deseguridad que cada sistema a todo lo largo de la organización debe intersectarse.Todos los sistemas no conformes con las referencias deberían ser sacados deproducción hasta que pueden ser subidos a las referencias. Las referencias estableceuna fundación de un estado de seguridad común sobre el cual, todas las medidasadicionales y riguroso pueden forjarse. Las referencias son usualmente un sistemaespecífico y a menudo se refieren a un estándar industrial o gubernamental, como laTrusted Computer System Evaluation Criteria (TCSEC) o la Information TechnologySecurity Evaluation and Criteria (ITSEC). Por ejemplo, la mayoría de organizacionesmilitares piden que todos los sistemas soporten el nivel de seguridad TCSEC C2 comomínimo.
Las estrategias son el siguiente elemento de la estructura de políticas de seguridadformalizada. Una estrategia ofrece recomendaciones en cómo los estándares y lasreferencias son implementados y servicios como guías operacionales para ambosprofesionales en la seguridad y los usuarios. Estrategia son flexibles así que pueden
174
estar hechos a la medida para cada sistema único o condición. Indican que mecanismode seguridad deberían ser implementados en lugar de prescribir un control o productoespecífico y detallar las características de la configuración. Esbozan metodologías,incluyen acciones propuestas, y no son obligatorias.
Procedimientos de Seguridad
Los Procedimientos son el elemento final de la estructura de políticas de seguridadformalizada. Un procedimiento es un detallado, paso-a-paso, como-hacer documentoque describe las acciones exactas necesarias para implementar un mecanismo deseguridad específico, control, o solución. Un procedimiento podría discutir la operaciónde la implementación de un sistema entero o enfocarse en un solo producto o aspecto,como una implementación de un cortafuegos o actualización de definiciones de virus.En la mayoría de los casos, los procedimientos son sistema y software específico. Ellosdeben ser actualizados como el hardware y el software de un sistema que evoluciona.
Excesivamente a menudo, las políticas, los estándares, las referencias, las estrategias,y los procedimientos son desarrollados sólo como una idea tardía en la urgencia de unconsultor o auditor. Si estos documentos no son usados y actualizados, laadministración de un ambiente asegurado será incapaz de usarlos como guías. Y sin laplanificación, el diseño, la estructura, y el descuido proporcionado a estos documentos,ningún ambiente permanecerá seguro ni presentará un debido cuidado propio.
Es también una práctica común desarrollar un documento que solamente contieneaspectos de todo estos elementos. Esto debería ser evitado. Cada uno de estasestructuras debe existir como una entidad separada porque cada una realiza unafunción especializada diferente. En lo alto de la estructura de formalización (i.e., laspolíticas de seguridad), hay menos documentos porque contienen amplios debatesgenerales de la descripción y las metas. Hay más documentos más abajo de laestructura de formalización (i.e., las estrategias y los procedimientos) porque contienendetalles específicos para un número limitado de sistemas, redes, divisiones, y áreas.
Conservar estos documentos como entidades separadas provee varios beneficios: No todos los usuarios necesitan saber las políticas de seguridad, referencias,
estrategia, y procedimientos para todos los niveles de clasificación de laseguridad.
Cuando los cambios ocurren, es más fácil de actualizar y redistribuir sólo elmaterial afectado que actualizar una política monolítica y redistribuirlo a todo lolargo de la organización.
ADMINISTRACIÓN DE RIESGOS
La seguridad está dirigida a prevenir la pérdida o divulgación de datos mientras sesostiene el acceso autorizado. La posibilidad que algo podría dañar, destruir, o revelardatos es conocido como riesgo. Administrar los riesgos es por consiguiente un elemento
175
de sostener un ambiente seguro. La administración de riesgos es un proceso detalladode identificar factores que podrían dañar o pudieron revelar datos, evaluando esosfactores a la luz de valor de datos y los costos de las contramedidas, e implementandosoluciones en base a costo-efectividad eficientes para mitigar o reducir el riesgo.
La meta primaria de administración de riesgos es reducir el riesgo a un nivel aceptable.Referente al nivel, actualmente depende de la organización, del valor de sus activos, ydel tamaño de su presupuesto.
Es imposible diseñar y implementar un ambiente completamente libre de riesgos; sinembargo, la reducción del riesgo significativo es posible, a menudo con un pequeñoesfuerzo. Riesgos en una infraestructura de IT no esta basado solamente encomputadora. De hecho, muchos riesgos vienen de fuentes de no-computadora. Esimportante considerar todos los posibles riesgos cuando se realiza una evaluación deriesgos para una organización.
El proceso para alcanzar la meta primaria de administración de riesgos es conocidocomo “análisis del riesgo”. Incluye analizar un ambiente para los riesgos, evaluar cadariesgo en lo que se refiere a su probabilidad de ocurrencia y el costo del daño quecausaría si ocurriera, evaluando el costo de diversas contramedidas para cada riesgo, ycreando un informe de costo/beneficio para medidas preventivas para presentarlo a lagerencia superior.
Además de estas actividades enfocadas en riesgo, la administración de riesgos tambiénrequiere la evaluación, la valoración, y la asignación de valor para todos los activosdentro de la organización. Sin las apropiadas valoraciones de los activos, no es posiblepriorizar y comparar los riesgos con posibles pérdidas.
Terminología del Riesgo
La administración de riesgos utiliza una basta terminología que debe ser claramentecomprendida, especialmente para el examen CISSP. Esta sección define y discute todala terminología riesgo-relacionada importante.
Activo.- Un activo es cualquier cosa dentro de un ambiente que debería estar protegido.Puede ser una computadora, un archivo, un servicio de la red, un recurso de sistema,un proceso, un programa, un producto, una infraestructura de TI, una base de datos, undispositivo de hardware, un software, facilidades, etc. Si una organización colocacualquier valor en un ítem bajo su control y estima que el ítem es lo suficientementeimportante como para protegerlo, se etiqueta un activo para los propósitos de laadministración y análisis del riesgo. La pérdida o la divulgación de un activo podríanresultar en un compromiso total de la seguridad, la pérdida de productividad, reducciónde los beneficios, gastos adicionales, descontinuación de la organización, y lasnumerosas consecuencias intangibles.
176
Valoración del activo.- La valoración del activo es un valor de dólar asignado a un activobasado en costo real y los gastos no-monetarios. Estos pueden incluir costos adesarrollar, mantener, administrar, anunciar, soporte, reparación, y reemplazar unactivo; también pueden incluir más valores elusivos, como confianza público, soporte dela industria, mejoramiento de la productividad, la equidad de conocimiento, y lapropiedad de los beneficios. La valoración del activo se discute en detalle más tarde eneste capítulo.
Amenazas.- Cualquier ocurrencia potencial que puede causar un resultado indeseable ono deseado para la organización o para un activo específico es una amenaza. Lasamenazas son cualquier acción o cualquiera inacción que podría dar lugar al daño,destrucción, alteración, pérdida, o la divulgación de activos o que podría bloquear elacceso a o prevenir el mantenimiento de los activos. Las amenazas pueden ser grandeso pequeñas y pueden dar como resultado consecuencias grandes o pequeñas.
Pueden ser intencionales o accidentales. Pueden ser originadas de las personas,organizaciones, hardware, redes, estructuras, o la naturaleza. Los agentes de amenazaintencionalmente explotan vulnerabilidades. Los agentes de amenaza usualmente sonpersonas, pero también podrían ser programas, hardware, o sistemas. Losacontecimientos de amenaza son explotaciones accidentales de vulnerabilidades. Losacontecimientos de amenaza incluyen fuego, terremoto, inundación, fallos del sistema,error humano (debido a la falta de entrenamiento o la ignorancia), e interrupciones depoder.
Vulnerabilidad.- La ausencia de o la debilidad de una defensa o una contramedida esllamada un vulnerabilidad. En otras palabras, una vulnerabilidad es un defecto,escapatoria, descuido, error, limitación, debilidad, o la susceptibilidad en lainfraestructura de TI o algún otro aspecto de la organización. Si una vulnerabilidad esexplotada, puede ocurrir pérdida o daño para los activos.
Exposición.- La exposición está siendo susceptible a la pérdida del activo debido a unaamenaza; hay una posibilidad que una vulnerabilidad puede o será explotada por unagente de amenaza o un evento. La exposición no quiere decir que un acontecimientoque da como resultado una pérdida realmente ocurre. Justamente quiere decir, si hayuna vulnerabilidad y un amenaza que lo pueda explotar, allí está la posibilidad que unacontecimiento de amenaza puede ocurrir.
Riesgo.- El riesgo es la posibilidad que una amenaza explote una vulnerabilidad paracausarle el daño a un activo. Es una valoración de probabilidad, posibilidad, o ocasión.Cuanto más probable es que un acontecimiento de amenaza ocurra, mayor es el riesgo.Cada instancia de exposición es un riesgo. Estando escrito como una fórmula, el riesgopuede ser definido como “riesgo = amenaza + vulnerabilidad”. Así, reduciendo cualquieragente de amenaza o vulnerabilidad directamente da como resultado una reducción enel riesgo.
177
Cuando un riesgo es realizado, un agente de amenaza o un acontecimiento deamenaza se ha aprovechado de una vulnerabilidad y ocasiona un daño a o ladivulgación de uno o más activos. El propósito entero de seguridad es para prevenir quelos riesgos se realicen, quitando vulnerabilidades y bloqueando agentes de amenaza yacontecimientos de amenaza que pondrían en peligro a los activos. Como unaherramienta de administración de riesgos, la seguridad es el implementa de medidaspreventivas.
Medidas Preventivas.- Una defensa, o una contramedida, es cualquier cosa queremueve una vulnerabilidad o protegiendo contra unas o más amenazas específicas.Una defensa puede instalar un parche del software, haciendo un cambio deconfiguración, contratando a los guardas de seguridad, electrificando una cerca deperímetro, instalando luces, etc. Es cualquier acción o producto que reduce riesgo através de la eliminación o disminución de una amenaza o una vulnerabilidaddondequiera dentro de una organización. Las medidas preventivas solamente quieredecir cuál riesgo es mitigado o removido.
Ataque.- Un ataque es la explotación de una vulnerabilidad por un agente de amenaza.En otras palabras, un ataque es cualquier intento intencional para explotar unavulnerabilidad de seguridad de una infraestructura de seguridad de una organizaciónpara causar daño, pérdida, o divulgación de activos. Un ataque también puede sermirado como cualquier violación o fracaso adherido a las políticas de seguridad de unaorganización.
Brecha.- Una brecha es la ocurrencia de un mecanismo de seguridad siendo puenteadoo pasado por un agente de la amenaza. Cuándo una brecha está combinada con unataque, una penetración, o una intrusión, puede resultar. Una penetración es lacondición en la cual un agente de amenaza ha ganado acceso a la infraestructura deuna organización a través del engaño de controles de seguridad y puede directamenteponer en peligro a los activos.
Los elementos activos, amenaza, vulnerabilidad, exposición, riesgo, y las medidapreventivas, como se muestra en la Figura 6.1.Las amenazas explotan vulnerabilidades, lo cual da como resultado una exposición. Laexposición es un riesgo, y el riesgo es mitigado por medidas preventivas. Las medidaspreventivas protegen activos que están en peligro por amenazas.
178
FIGURA 6.1 Los Elementos del riesgo
Metodologías de Evaluación de Riesgo
La administración y análisis del riesgo son primordialmente un ejercicio para la gerenciasuperior. Es su responsabilidad iniciar y soportar el análisis y valoración del riesgomediante la definición del alcance y el propósito del esfuerzo. Los procesos actualespara realizar el análisis del riesgo son a menudo delegados a un profesional en laseguridad o un equipo de evaluación. Sin embargo, todas las evaluaciones de riesgo,resultados, decisiones, y resultados deben ser comprendidas y aprobadas por lagerencia superior como un elemento que provee el prudente cuidado debido.
Todos los sistemas de TI tienen riesgo. No hay una manera de eliminar al 100 % todoslos riesgos. En lugar de eso, la gerencia superior debe decidir cuáles riesgos sonaceptables y cuál no es. Determinar cuáles riesgos son aceptables, requiere deevaluaciones detalladas y complejas del activo y del riesgo.
Análisis Del Riesgo
El análisis del riesgo es realizado para proveer a la gerencia superior de los detallesnecesarios para decidir que riesgos deberían ser mitigado, lo cual debería sertransferido, y que debería ser aceptado. El resultado es una comparación decosto/beneficio entre el costo esperado de pérdida del activo y el costo de
179
implementación de las medidas preventivas en contra de amenazas y lasvulnerabilidades. El análisis del riesgo identifica riesgos, cuantifica el impacto de lasamenazas, y las ayudas en presupuestar la seguridad. El análisis del riesgo ayuda aintegrar las necesidades y los objetivos de las políticas de seguridad con las metas delnegocio y las intenciones de la organización.
El primer paso en el análisis del riesgo es cuantificar el valor de los activos de unaorganización Si un activo no tiene valor, entonces no hay necesidad para proveerleprotección. Una meta primaria del análisis del riesgo es asegurar que sólo las medidaspreventivas costo-eficientes son implementadas. Tiene poco sentido gastar $100,000protegiendo un activo que vale sólo $1,000. El valor de un activo directamente afecta yguía el nivel de medidas preventivas y seguridad implementada para protegerlo. Porregla general, el costo anual de medidas preventivas no debería exceder el costo anualesperado de pérdida del activo.
Valoración del Activo
Al evaluar el costo de un activo, hay muchos aspectos para considerar. La meta de laevaluación del activo es asignarle un valor del dólar específico a ella. Determinar unvalor exacto es a menudo difícil pero no imposible, pero sin embargo, un valorespecífico debe ser establecido. (Note que el debate del análisis cualitativo versus elanálisis cuantitativo del riesgo en la siguiente sección puede aclarar este suceso). Laasignación incorrecta de valor a los activos puede dar como resultado fallas en lacorrectamente protección de un activo o implementando las medidas preventivasfinancieramente incorrectas. La siguiente lista incluye una cierta cantidad de sucesosque contribuyen para la valoración del activo:
Costo de Compra Costo de Desarrollo Costo Administrativo oGerencia
Costo de Mantenimiento, Costo de Adquicisión deactivo
Costo de protección oconservación
El valor para los dueños y losusuarios equitativo
El valor para loscompetidores
Propiedad intelectual ovalor
Valoración en el mercado( precio sostenible)
Costo de sustitución Realce o degradación dela productividad
Costos operacionales delactivo presente y perdido
Responsabilidad de lapérdida del activo
Utilidad
La asignación o determinación del valor de activos a una organización puede satisfacernumerosos requisitos. Sirve como la fundación para realizar un análisis decoste/beneficio de la protección del activo con la implementación de las medidaspreventivas. Sirve como medio para seleccionar o evaluar medidas preventivas ycontramedidas. Provee valores para los seguros propósitos y establece un activo neto
180
global o valor neto para la organización. Ayuda al Alto Gerente a entender exactamentelo que corre riesgo dentro de la organización. Comprender el valor del activo tambiénayuda a impedir negligencia con el debido cuidado e incentiva la conformidad conrequerimientos legales, regulaciones de la industria, y políticas de seguridad internas.
Después de la valoración del activo, las amenazas deben ser identificadas yexaminadas. Esto implica crear una lista exhaustiva de todas las amenazas posiblespara la organización y su infraestructura de TI. La lista debería incluir agentes deamenaza así como también acontecimientos de amenaza. Es importante recordar quelas amenazas pueden venir de cualquier lugar. Las amenazas para IT no son limitadasa fuentes de IT. Al compilar una lista de amenazas, asegúrese de considerar losiguiente:
Virus
Errores encascada y fallasde dependencia
Actividadescriminales porusuariosautorizados
Movimiento(vibraciones,sacudida, etc)
Hackers
Errores deusuarios
Desastresnaturales(terremotos,inundaciones,fuego,volcanes,huracanes,tornados,tsunamis,etc)
Daño físico(aplastamiento,proyectiles,separación delcableado,etc)
Errores en losprocesos,sobrecarga delbuffer
Abuso de losprivilegiospersonales
Temperaturasextremas
Anomalías deenergía(estática, pulsosEM, frecuenciasde radio [RFs],pérdida depoder,variaciones depoder, etc)
Errores en lacodificación/programación
Intrusos (físicay lógica)
Factoresambientales(presencia degases, líquidos,organismos,etc)
Fallas en losequipos
Uso erróneo delos datos,recursos oservicios
Cambio ocompromiso dela clasificaciónde datos opolíticas deseguridad
Intrusiones orestriccionesgubernamentales, políticas omilitares
Ataquesintencionales
Reorganización
Enfermedad oepidemia deusuariosautorizados
Pérdida dedatos
Guerra deinformación
Bancarrota oalteración/interrupción de la sactividades delnegocio
Robo físico
Ingenieríasocial
181
En la mayoría de los casos, un equipo en vez de un individuo solo debería realizar laevaluación y análisis de riesgo. También, los miembros del equipo deberían ser dediversos departamentos dentro de la organización. No es usualmente un requisito quetodos los miembros del equipo sean profesionales en la seguridad o aunadministradores del sistema/red. La diversidad del equipo basado en las característicasdemográficas de la organización ayudará exhaustivamente ha identificar y poner endirección a todos los posibles riesgos y amenazas.
Una vez que una lista de amenazas es desarrollada, cada amenaza y su riesgorelacionado deben ser individualmente evaluados. Hay dos metodologías de evaluacióndel riesgo: Cuantitativa y cualitativa. Análisis Cuantitativo del Riesgo le asigna figurasreales de dólar a la pérdida de un activo. El Análisis Cualitativo del Riesgo asignavalores subjetivos e intangibles a la pérdida de un activo. Ambos métodos sonnecesarios para un completo análisis del riesgo.
Análisis Cuantitativo del Riesgo
El método cuantitativo da como resultado porcentajes concretos de probabilidad. Sinembargo, una análisis puramente cuantitativo no es posible; no todos los elementos yaspectos del análisis pueden ser cuantificados porque algunos son cualitativas,subjetivas, o intangible. El proceso de análisis cuantitativo del riesgo cuantitativocomienza con la valoración del activo de valoración y la identificación de la amenaza.Después, usted estima el potencial y la frecuencia de cada riesgo. Esta información seusa luego para calcular funciones de costos diversas que son usadas para evaluar lasmedidas preventivas.
Funciones De Costos
Algunos de las funciones de costos asociadas con análisis cuantitativo del riesgoincluyen el factor de exposición, expectativa de pérdida única, tasa anual de ocurrencia,y la expectativa de pérdidas anual:
Factor de exposición.- El factor de exposición (FE) representa el porcentaje de pérdidaque un organización experimentaría si un activo específico fuera violado por un riesgorealizado. El FE también puede ser llamado el potencial de pérdida. En la mayoría de
182
los casos, un riesgo realizado no da como resultado la pérdida total de un activo. El FEsimplemente indica que la pérdida global esperada de valor del activo debido a un soloriesgo realizado. El FE es usualmente pequeño para activos que son con fácilmentereemplazables, como hardware. Puede ser muy grande para activos que sonirreemplazables o propietarios, como los diseños del producto o una base de datos declientes. El FE es expresado como un porcentaje.
Expectativa de pérdidas única.- El FE es necesario para calcular la expectativa depérdidas única (EPU). El EPU es el costo asociado con un solo riesgo realizado encontra de un activo específico. Indica el exacto monto de la pérdida que unaorganización experimentaría si un activo fuera dañado por una amenaza específica. ElEPU es calculado usando la formula EPU = valor del activo ($) * el factor de exposición(FE) (o EPU = VA * FE). El EPU es expresado en valor del dólar. Por ejemplo, si unactivo es valuado en $200,000 y tiene un un FE de 45% para una amenaza específica,luego el EPU de la amenaza para ese activo es $90,000.
Tasa Anual de Ocurrencia.- La tasa anual de ocurrencia (TAO) es el frecuenciaesperado con el cual un amenaza específica o riesgo ocurrirán (i.e., vuelve realizada)dentro de un solo año. El TAO puede ir de un valor de 0.0 (cero), señalando que laamenaza o riesgo nunca será realizado, para un número más grande, indicando que laamenaza o el riesgo ocurren a menudo. Calcular al TAO puede ser complicado. Puedeestar derivado de informes históricos, análisis estadístico, o conjeturas. El cálculo delTAO está también conocido como la determinación de probabilidad. El TAO paraalgunas amenazas o riesgos se calcula multiplicando la probabilidad de una simpleocurrencia por el número de usuarios que podría iniciar la amenaza. Por ejemplo, elTAO de un terremoto en Tulsa puede ser .00001, mientras que el TAO de un virus porcorreo electrónico en una oficina en Tulsa puede tener 10,000,000.
Expectativa de Pérdidas Anual.- La expectativa de pérdidas anual (EPA) es el costoanual posible de que todas las instancias de una amenaza realizada específica encontra de un activo específico. La EPA se calcula usando la fórmula EPA = EPU * TAO.Por ejemplo, si el EPU de un activo es $90,000 y el ARO para una amenaza específica(como la pérdida total del poder) es .5, luego la EPA es $45,000. Por otra parte, si elTAO para una amenaza específica fuera 15 (algo semejante como la cuentacomprometida del usuario), luego la EPA sería $1,350,000.
Cálculos de Amenazas/Riesgos
La tarea de calcular el FE, EPU, TAO, y EPA para cada activo y cada amenaza/riesgoes compleja. Afortunadamente, hay herramientas cuantitativas de evaluación de riesgoque simplifican y automatizan mucho de este proceso. Estas herramientas se usan paraproducir un inventario del activo con valoraciones y luego, usando TAO predefinidosjunto con algunas opciones configuradas (i.e., la industria, la geografía, componentes deTI, etc.), Para producir informes de análisis del riesgo.
Calculando Medidas Preventivas
183
Para cada riesgo específico, uno o más medidas preventivas o contramedidas debenser evaluados en base al costo/beneficio. Para realizar esta evaluación, usted primerodebe compilar una lista de medidas preventivas para cada una de las amenazas. Luegocada medida preventiva debe ser asignada un valor de implementación. Hay numerososfactoresInvolucrado en calcular de este valor:
Costo de compra, desarrollo, y el otorgamiento de licencias Costo de implementación y la configuración Costo anual de operación, mantenimiento, administración, etcétera Costo anual de reparaciones y mejoras Mejora o pérdida en la productividad Cambio de ambiente Costo de pruebas y la evaluación
Calculando EPA
Además de determinar el costo anual de las medidas preventivas, usted debe calcular elEPA para el activo si la medida preventiva es implementada. Esto requiere un FE nuevoy un TAO específico para la medida preventiva. Como mencionado anteriormente, elcosto anual de las medidas preventivas no deberían exceder el costo anual esperado dela pérdida del activo. Hacer la determinación de que la medida preventiva esfinancieramente equitativo, use la siguiente fórmula: EPA antes de medidas preventivas– EPA después de implementar las medidas preventivas – Costo anual de las medidaspreventivas = valor de las medidas preventivas para la compañía. Si el resultado esnegativo, la medida preventiva no es una elección financieramente responsable. Si elresultado es positivo, entonces ese valor son los ahorros anuales que su organizaciónpuede cosechar implementando la medida preventiva.
Las ganancias o pérdidas anuales de una medida preventiva no deberían ser el únicoelemento considerado cuándo se evalúan medidas preventivas. Los sucesos deresponsabilidad legal y el prudente cuidado debido también deberían ser considerados.En algunos casos, tiene mayor sentido el perder dinero en la implementación de unamedida preventiva que la obligación legal de un riesgo en el caso de una divulgación opérdida del activo.
Análisis Cualitativo del Riesgo
El análisis cualitativo del riesgo esta basado más en un escenario que basado en elcálculo. En vez de asignar una exacta figura de dólar para pérdidas posibles, ustedordena por rango de escalas las amenazas para evaluar sus riesgos, costos, y efectos.El proceso de realizar análisis cualitativo del riesgo implica juicio, intuición, yexperiencia. Hay muchas técnicas actuales y métodos usados para realizar el análisiscualitativo del riesgo:
Brainstorming
184
Técnica Delphi Storyboarding Enfoque grupales Encuestas Cuestionarios Checklists Reuniones uno-a-uno Entrevistas
Determinar cuál mecanismo utilizar se basa en la cultura de la organización y en lostipos de riesgos y activos involucrados. Es común que varios métodos sean utilizadossimultáneamente y sus resultados son comparados y contrastados en el informe final deanálisis del riesgo para la gerencia superior.
Escenarios
El proceso básico para todos estos mecanismos implica la creación de escenarios. Unescenario es una descripción escrita de una sola amenaza principal. La descripciónenfoca cómo la amenaza sería provocada y que efectos podría tener en el organización,la infraestructura de TI, y en activos específicos. Generalmente, los escenarios sonlimitadas a una página de texto para mantenerlos manejables. Para cada escenario, unao más medidas preventivas que protegerían completamente o parcialmente contra unaamenaza principal discutida en el escenario está descrita. Los participantes de análisisluego asignan el nivel de amenaza para el escenario, una pérdida potencial, y lasventajas de cada medida preventiva. Estas asignaciones pueden ser aproximadamentesimples, como el utilizar un alto, medio, y bajo o básico número de escala de 1 a 10, opuede ser respuestas detalladas del ensayo. Las respuestas de todos los participantesson luego completadas en un simple informe que se presenta a la gerencia superior.
La utilidad y la validez de un análisis cualitativo del riesgo son mejoradas como elaumento en el número y la diversidad de participantes en la evaluación. Siempre quesea posible, incluya una o más personas a cada nivel de la jerarquía organizativa, de lagerencia superior al usuario final. Es también importante, incluir una sección transversalde cada departamento principal, división, oficina, o rama.
Técnica Delphi
La técnica Delphi es probablemente el único mecanismo en esta lista que no esinmediatamente reconocible y entendible. La técnica Delphi es simplemente un procesode retroalimentación y respuesta anónima. Su propósito primario es producir respuestashonestas y no influenciadas de todos los participantes. Los participantes estánusualmente reunidos en un solo cuarto de reunión. Para cada petición deretroalimentación, cada participante pone por escrito su respuesta anónimamente enpapel. Los resultados son compilados y presentados al grupo para la evaluación. Elproceso es repetido hasta que se alcance un consenso.
185
Ambos, los mecanismos cuantitativos y cualitativos de análisis del riesgo, ofrecenresultados útiles. Sin embargo, cada técnica implica un método único de evaluar elmismo set de activos y los riesgos. La prudente debida cautela Ambos métodosrequieren la prudente cautela debida. Los beneficios y las desventajas de estos dossistemas son exhibidos en la Tabla 6.1.
186
Características Cualitativa Cuantitativa
Emplea Complejas Funciones NO SIUsa Análisis de Costo/Beneficio NO SIResulta en valores específicos NO SIRequiere observaciones de trabajo SI NOSoporte automatizado NO SIImplica un volumen alto de información NO SIEs objetiva NO SIUsa opiniones SI NORequiere tiempo y esfuerzo significante NO SIOfrece resultados útiles y significativos SI NO
TABLA 6.1 Comparación entre el Análisis de Riesgo Cuantitativo y Cualitativo
Manejando el Riesgo
Los resultados de análisis del riesgo son muchos: Complete y detallada valoración de todos los activos Una lista exhaustiva de todas las amenazas y los riesgos, la tasa de ocurrencia,
y extensión de pérdida si se realiza Una lista de medidas preventivas específicas en la amenaza y contramedidas
que identifica su efectividad y EPA. Un análisis de costo/beneficio de cada medida preventiva
Esta información es esencial para la gerencia para tomar decisiones informadas,educadas, e inteligentes acerca de la implementación de medidas preventivas yalteraciones de las políticas de seguridad.
Una vez que el análisis del riesgo esta completa, la gerencia debe ocuparse de cadariesgo específico. Hay cuatro posibles respuestas al riesgo:
Reducirlo Asignarlo Aceptarlo Rechazarlo
Reducción el riesgo, o mitigación de riesgo, es la implementación de medidaspreventivas y las contramedidas. Asignación del riesgo, o transferencia del riesgo, es lacolocación del costo de pérdida que el riesgo representa en otra entidad u organización.El seguro adquisitivo es una forma de asignación o transferencia del riesgo. Aceptacióndel riesgo es la valoración por administración del análisis de costo/beneficio de lasposibles medidas preventivas y la determinación que el costo de la contramedida pesa
187
enormemente más que el posible costo de pérdida de un debido riesgo. También quieredecir que la gerencia ha acordado aceptar las consecuencias y la pérdida si el riesgo serealiza.
En la mayoría de los casos, la aceptación del riesgo requiere una declaraciónclaramente escrita que indica por qué una medida preventiva no fue implementado,quien es responsable de esa decisión, y quién será responsable para la pérdida si elriesgo se realiza, usualmente en forma de una "carta-de-cierre-de-emisión”. La decisiónde una organización para aceptar el riesgo se basa en su tolerancia del riesgo. Latolerancia del riesgo es la habilidad de una organización para absorber las pérdidas quese asoció al riesgo si este se realiza. Una final pero inaceptablemente posible respuestaal riesgo es rechazar el riesgo o ignorar el riesgo. Negando que un riesgo exista yesperando que con tan solo ignorándolo, este nunca se realice. No es una validarespuesta debida y prudente al riesgo.
Una vez que las contramedidas son implementadas, el riesgo que queda es conocidocomo el riesgo residual.
El Riesgo Residual comprende cualquier amenaza para activos específicos en contra dela decisión de la gerencia superior en no implementar una medida preventiva. En otraspalabras, el riesgo residual es el riesgo que la gerencia ha aceptado en vez de mitigarlo.En la mayoría de los casos, la presencia de riesgo residual indica que el análisis decosto/beneficio mostró que las medidas preventivas disponibles no fueron unimpedimento costo-eficientes.
El Riesgo Total es la cantidad de riesgo que una organización afrontaría si ninguna delas medidas preventivas fueron implementadas. Una fórmula para el riesgo total esAmenazas * Vulnerabilidades * Valor del Activo = Riesgo Total. La diferencia entre elriesgo total y el riesgo residual es conocida como la abertura de controles. La aberturade controles es la cantidad de riesgo que se reduce implementando las medidaspreventivas. Una fórmula para el riesgo residual es Riesgo Total – Abertura deControles = Riesgo Residual.
Entrenamiento para el Conocimiento de la Seguridad
La implementación exitosa de una solución en seguridad requiere cambios en elcomportamiento del usuario. Estos cambios primordialmente constan de alteraciones enlas actividades normales de trabajo para cumplir con los estándares, estrategia, y losprocedimientos promulgados por la política de seguridad. La modificación de conductainvolucra algunos niveles de aprendizaje por parte del usuario. Hay tres niveles deaprendizaje reconocido comúnmente: La conciencia, el entrenamiento, y la educación.
Un prerrequisito para el actual entrenamiento es el conocimiento. La meta de crearconocimiento es traer seguridad a la vanguardia y hacer de esta una entidad reconocidapara los usuarios. El conocimiento no es creado a través de un tipo del aula de ejerciciopero más bien a través del ambiente del lugar de trabajo. Hay muchas herramientas que
188
pueden usarse para crear conocimiento, como pósteres, avisos, artículos de periódicos,screen savers, camisas playeras, discursos de rally automovilístico por gerentes,anuncios, presentaciones, Mouse pads, suministros de oficina, y los memorandos. Elconocimiento se centra en los tópicos y sucesos dominantes o básicos relacionados conla seguridad que todos los empleados, no importa qué posición o clasificación tengan,deben entender y comprender. Los sucesos incluyen evitar desperdicio, fraude, yactividades no autorizadas. Todo miembro de una organización, desde la alta gerenciahasta el interno temporal, necesita el mismo nivel de conocimiento. El programa deconocimiento en una organización debería estar atado adentro con las políticas deseguridad, plan de manejo de incidentes, y los métodos de recuperación de desastre.Para un programa de construcción del conocimiento que robustece sea efectivo, debeser fresco, creativo, y actualizado a menudo.
El entrenamiento es enseñarles a los empleados a realizar sus tareas de trabajo ycumplir con las políticas de seguridad. Todos los empleados nuevos requieren algúnnivel de entrenamiento así que ellos deberán conformarse con todos los estándares, lasestrategias, y los procedimientos promulgados por las políticas de seguridad. Losusuarios nuevos necesitan saber cómo usar la infraestructura de TI, donde los datosson guardados, y cómo y por qué los recursos están clasificados. Muchos organismoseligen entrenar a los empleados nuevos antes de que sean concederles el derecho deacceso a la red, mientras que a otros se les cederá el acceso nuevos usuarios limitadoshasta que su entrenamiento en su trabajo específico sea completado. El entrenamientoes una actividad en curso que debe ser sostenida a todo lo largo de la vida de laorganización para cada empleado. Es considerado un control de seguridadadministrativo.
La educación es un empeño más detallado en el cual los estudiantes/usuariosaprenderán más de lo que ellos necesitan aprender en realidad para sus tareas detrabajo. La educación es más a menudo asociada con usuarios que persiguen lacertificación o buscan una promoción de trabajo. Es típicamente un requisito parapersonal buscar posiciones profesionales de seguridad. Un profesional en la seguridadrequiere conocimiento extensivo de seguridad y el ambiente local para la enteraorganización y no simplemente sus tareas específicas de trabajo.
Planeamiento de la Administración de la Seguridad
El planeamiento de la administración de la seguridad asegura la puesta en prácticaapropiada de una política de la seguridad. El acercamiento para la administración de laseguridad debe ser una efectiva estrategia de arriba-abajo. Gerencia Superior o el AltoGerente es responsable de iniciar y definir políticas para la organización. Las políticasde seguridad proveen dirección para los niveles inferiores de jerarquía de laorganización. Es la responsabilidad de la administración del nivel medio el desubstanciar las políticas de seguridad en estándares, referencias, estrategia, yprocedimientos. Es la responsabilidad de los gerentes operacionales o los profesionalesen la seguridad implementar las configuraciones prescritas en la documentación
189
administrativa de la seguridad. Es la responsabilidad de los usuarios finales cumplir contodas las políticas de seguridad de la organización.
Los elementos del planeamiento de la administración de la seguridad incluyen definir losroles de seguridad, desarrollar políticas de seguridad, realizar el análisis de los riesgos,y requiriendo educación en la seguridad para los empleados. Estas responsabilidadesson guiadas a través del desarrollo de planes administrativos. Un equipo paraplaneamiento de la administración de la seguridad debería desarrollar tres tipos deplanes:
Plan estratégico.- Un plan estratégico es un plan de largo plazo que es medianamenteestable. Define las metas de la organización, la misión, y los objetivos. Es útilaproximadamente para cinco años si es mantenido y actualizado anualmente. El planestratégico también sirve como horizonte planificador. Las metas de largo plazo yvisiones para el futuro se discuten en un plan estratégico.
Plan Táctico.- El plan táctico es el desarrollo de un plan intermedio para proveer másdetalles en lograr las metas que se dispusieron en el plan estratégico. Un plan táctico estípicamente útil para acerca de un año y a menudo prescribe y programa las tareasnecesarias para lograr metas organizativas. Una cierta cantidad de ejemplos de planestácticos incluyen planes de proyecto, plan de adquisición, planes de alquiler, planes depresupuesto, planes de mantenimiento, planes de soporte, y planes de desarrollo desistema.
Plan Operacional.- Los planes operacionales son planes de corto plazo y altamentedetallados basados en los planes estratégicos y tácticos. Son válidos o útiles sólodurante poco tiempo. Debe de actualizarse a menudo (como mensualmente otrimestralmente) para retener conformidad con planes tácticos. Los planesoperacionales son planes detallados que detallan bien claro cómo lograr las diversasmetas de la organización. Ellos incluyen asignaciones de recursos, requisitospresupuestarios, asignaciones de personal, programando, y el paso-a-paso o losprocedimientos de implementación. Los planes operacionales incluyen detalles en cómolos procesos de implementación están en conformidad con políticas de seguridad de laorganización. Los ejemplos de planes operacionales incluye planes de entrenamiento,planes de desarrollo de sistemas, y los planes de diseño del producto.
Resumen
Cuando se planifica una solución de la seguridad, es importante considerar cómo loshumanos son el elemento más débil. A pesar de los controles físicos o lógicosdestacados, los humanos pueden descubrir formas para evitarlos, engañarlos osubvertirlos, o desactivarlos. Así, es importante considerar a los usuarios al diseñar yimplementando soluciones en la seguridad para su ambiente. Los aspectos de deempleo de prácticas de seguridad, los roles, las políticas, los estándares, lasestrategias, los procedimientos, riesgo de la administración, entrenamiento del
190
conocimiento, y la planificación de la administración contribuya a proteger los activos. Eluso de estas estructuras de seguridad provee alguna protección de la amenaza de loshumanos.
Emplear prácticas seguras requiere descripciones de trabajo detalladas. Lasdescripciones de trabajo son usadas como un guía para seleccionar candidatos yevaluarlos correctamente para una posición. Manteniendo seguridad por lasdescripciones de trabajo incluye el uso de separación de deberes, responsabilidades detrabajo, y rotación de trabajo.
Una política de terminación es necesaria para proteger a la organización y susempleados existentes. El procedimiento de terminación debería incluir testigos, regresode la propiedad de la compañía, desactivando el acceso a la red, una entrevista desalida, y una escolta de la propiedad.
Los roles de la seguridad deciden quién es responsable de la seguridad de los activosde una organización. Los asignados al rol de la Alta Gerencia son finalmenteresponsable para cualquier pérdida del activo, y son los que definen las políticas deseguridad. Los profesionales en la seguridad son responsables de implementar laspolíticas de seguridad, y los usuarios son responsables de cumplir con las políticas deseguridad. La persona asignada el rol del dueño de datos es responsable de clasificar lainformación, y los custodios de datos son responsables de mantener el ambiente seguroy respaldar datos. Un auditor es responsable de hacer seguro que un ambiente deproteja los activos correctamente.
Una estructura de una política de seguridad formalizada consta de políticas, estándares,referencias, estrategia, y los procedimientos. Estos documentos individuales sonesencialmente elementos para el diseño e implementación de la seguridad en cualquierambiente.
El proceso de identificar, evaluar, e impedir o reducir los riesgos son conocidos comoadministración del riesgo. La meta primaria de la administración de riesgos es reducir elriesgo a un nivel aceptable. Determinar este nivel depende de la organización, el valorde sus activos, y el tamaño de su presupuesto. Aunque es imposible diseñar y destacarun ambiente completamente libre de riesgos, es posible reducir significativamente elriesgo con un pequeño esfuerzo. El análisis del riesgo es el proceso por el cual laadministración del riesgo es lograda e incluye analizar el ambiente para los riesgos,evaluando cada riesgo en lo que se refiere a su probabilidad de ocurrencia y el costo deldaño resultante, evaluando el costo de varias contramedidas para cada riesgo, ycreando un informe de costo/beneficio para las medidas preventivas para presentarlo ala gerencia superior.
Para implementar exitosamente una solución de seguridad, el comportamiento delusuario debe cambiar. Tal cambio primario consta de alteraciones en las actividadesnormales de trabajo para cumplir con los estándares, estrategia, y los procedimientospromulgados por las políticas de seguridad. La modificación de conducta requiere algún
191
nivel de aprendizaje de parte del usuario. Hay tres niveles comúnmente reconocidos deaprendizaje: conocimiento, entrenamiento, y la educación.
Un aspecto importante de la planificación de la administración de la seguridad es laimplementación correcta de políticas de seguridad. Para ser efectivo, el acercamiento ala administración de la seguridad debe ser de arriba-a-abajo. La responsabilidad deiniciar y definir unas políticas de seguridad comienza con la alta gerencia o superior. Laspolíticas de seguridad proveen dirección para los niveles inferiores de la jerarquía de laorganización. La dirección de nivel medio es responsable de substanciar las políticas deseguridad en estándares, referencias, estrategia, y procedimientos. Es laresponsabilidad de los gerentes operacionales o profesionales en la seguridadimplementar las configuraciones prescritas en la documentación de la administración dela seguridad. Finalmente, la responsabilidad de los usuarios finales es cumplir con todaslas políticas de seguridad de la organización.
La planificación de la administración de la seguridad incluye definir roles de seguridad,desarrollando políticas de seguridad, realizando análisis de riesgo, y requiriendoeducación en la seguridad para los empleados. Estas responsabilidades son guiadaspor el desarrollo de planes administrativos. Los planes operacionales, estratégicos, ytácticos deberían ser desarrollados por un equipo administrativo de la seguridad.
Esenciales del Examen
Comprenda las implicaciones de la seguridad de contratar nuevos empleados. Paraestablecer un plan para la seguridad, usted debe tener estándares en el lugar paradescripciones de trabajo, clasificación de trabajo, tareas de trabajo, responsabilidadesde trabajo, impidiendo confabulación, investigación de los candidatos, observaciones afondo, acuerdos entre empleados, y los acuerdos de falta de revelación de hechos.Destacando tales mecanismos, usted debe asegurarse que los nuevos empleados sonconscientes de las normas de seguridad requeridas, así protegerá sus activos de laorganización.
Poder explicar la separación de deberes. La separación de deberes es el concepto deseguridad de dividir las tareas críticas, significativas, sensitivas de trabajo entre variosindividuos. Separando deberes de esta manera, usted asegura que ninguna personapuede comprometer seguridad del sistema.
Comprender el principio de privilegio mínimo. El principio de privilegio mínimo indicaque, dentro de un ambiente de seguridad, a los usuarios le debería ser concedido elmonto del acceso mínimo necesario para completar sus tareas requeridas de trabajo osus responsabilidades de trabajo. Limitando el acceso de los usuarios a ese ítem queellos necesitan para completar sus tareas de trabajo, usted limita la vulnerabilidad desensibilidad de la información.
192
Sepa por qué la rotación de trabajo y las vacaciones obligatorias son necesarias. Lasrotaciones de trabajo sirve por dos funciones: Provee que un tipo de redundancia deconocimiento, y mover de un lado a otro al personal reducen el riesgo de fraude,modificación de datos, robo, sabotaje, y el uso indebido de información. Las vacacionesobligatorias de uno a dos semanas se usan para auditar y verificar las tareas de trabajoy los privilegios de los empleados. Esto a menudo da como resultado la detección fácilde abuso, fraude, o negligencia.
Entendiendo la clave de los roles de seguridad. El roles primarios de la seguridad sonlos del Alto Gerente, dueño de la organización, gerencia superior, profesional de laseguridad, usuario o usuario final, dueño de los datos, custodio de los datos, y auditor.Creando una jerarquía del rol de la seguridad, limitas el riesgo total.
Conozca los elementos de una estructura de una política de seguridad formalizada.Para crear un comprensivo plan de seguridad, usted necesita los siguientes ítems: Laspolíticas de seguridad, estándares, referencias, estrategia, y los procedimientos. Taldocumentación indica claramente los requisitos de la seguridad y crea la diligenciadebida de de las partes responsables.
Poder definir una administración global de los riesgos. El proceso de identificar factoresque podrían dañar o revelar datos, evaluando esos factores a consecuencia del valor dedatos y el costo de contramedida, e implementando soluciones de costo-efectividadmitigando o reduciendo es conocido como administración del riesgo Realizando laadministración de los riesgos, usted coloca la fundación para reducir el riesgo enconjunto.
Comprender el análisis del riesgo y los elementos claves implicados. El análisis delriesgo es el proceso por el cual la gerencia superior es provista de detalles para hacerdecisiones acerca de las cuales los riesgos son mitigados, cuál debería ser transferido,y cuál debería ser aceptado. Para una completa evaluación de los riesgos ysubsiguientemente tomar las precauciones correctas, usted debe analizar lo siguiente:Los activos, la valoración de los activos, las amenazas, las vulnerabilidades, laexposición, los riesgo, los riesgos realizados, medidas preventivas, contramedidas,ataques, y las brechas.
Conocer como evaluar amenazas. Las amenazas pueden originarse de numerosasfuentes, incluyendo, los humanos, y la naturaleza. La valoración de la amenaza deberíaser realizada como un esfuerzo en equipo para proveer el más grande rango deperspectivas. Al completar la evaluación de los riesgos en todos los ángulos, ustedreduce las vulnerabilidades de su sistema
Comprender el análisis cuantitativo del riesgo. El análisis cuantitativo del riesgocuantitativo enfoca la atención en valores duros y porcentajes. Un análisis cuantitativocompleto no es posible debido a los aspectos intangibles de riesgo. El proceso implicaidentificación del valor de los activo y de la amenaza y luego determinando la frecuencia
193
potencial de una amenaza y el daño resultante; El resultado es un análisis decosto/beneficio de medidas preventivas.
Poder explicar el concepto de un factor de exposición (FE). Un factor de exposición esun elemento del análisis cuantitativo del riesgo que representa el porcentaje de pérdidaque se haría en una organización si un activo específico fuera violado por un riesgorealizado. Calculando factores de exposición, usted puede implementar una favorablepolítica de administración de riesgos.
Conocer la expectativa de pérdidas única (EPU) y cómo calcularlos. EPU es unelemento del análisis cuantitativo del riesgo que representa el costo se asocia con unriesgo realizado solo en contra un activo específico. La fórmula es SLE = Valor delactivo ($) * factor de exposición (FE).
Comprende la tasa anual de ocurrencia (TAO). TAO es un elemento del análisiscuantitativo del riesgo que representa la frecuencia esperada con la cual un amenazaespecífica o riesgo ocurrirá (i.e., vuelva realidad) dentro de un año. TAO te permitecalcular los riesgos y tomar las adecuadas precauciones.
Conocer las expectativas de pérdidas anual (EPA) y cómo calcularlos. La EPA es unelemento del análisis cuantitativo del riesgo que representa el posible costo anual detodas las instancias de una específica amenaza realizada en contra de un activoespecífico. La fórmula es EPA = SLE * TAO
Conocer la fórmula para la evaluación de las medidas preventivas. Además dedeterminar el costo anual de las medidas preventivas, usted debe calcular el EPA parael activo si la medida preventiva es implementada. Para hacerlo, use la fórmula del ALEantes de la medida preventiva - ALE después de la medida preventiva – Costo anual dela medida preventiva = Valor de la medida preventiva para la compañía.
Entender el análisis cualitativo del riesgo. El análisis cualitativo del riesgo cualitativoesta basado más en escenario que en los cálculos. Figuras exactas del dólar no sonasignadas a posibles pérdidas; en lugar de eso, las amenazas son ordenadas enescalar para evaluar los riesgos, costos, y los efectos. Tal análisis ayuda a losresponsables en creando correctas políticas de administración de riesgo.
Entender la técnica Delphi. La técnica Delphi es simplemente una informaciónretroactiva anónima y respuesta al proceso usado para lograr un consenso. Talconsenso da a las partes responsables la oportunidad de para una correcta evaluaciónde los riesgos e implementación de soluciones.
Conocer las opciones para manejar los riesgos. Reduciendo riesgo, o mitigación deriesgo, es la implementación de las medidas preventivas y las contramedidas. Asignarriesgo o transferir un riesgo es colocar el costo de la pérdida de un riesgo a otra entidadu organización. Comprar seguros es una forma de asignación o transferencia del riesgo.Aceptar que el riesgo quiere decir que la gerencia ha evaluado el análisis de
194
costo/beneficio de las posibles medidas preventivas y han determinado que el costo dela contramedida pesa grandemente más que el posible costo de la pérdida debido a unriesgo. También quiere decir que la gerencia ha acordado acoger la consecuencia y lapérdida si el riesgo se realiza.
Poder explicar el riesgo total, riesgo residual, y abertura de controles. El riesgo total esla cantidad de riesgo que una organización afrontaría si ninguna de las medidaspreventivas implementadas. Para calcular riesgo total, use la fórmula Amenazas *Vulnerabilidades * Valor del Activo =Riesgo Total. El riesgo residual es el riesgo que laadministración ha escogido para aceptar en vez de mitigar. La diferencia entre el riesgototal y el residuo es conocido como la abertura de controles. La abertura de controles esla cantidad de riesgo que se acorta por con la implementación de las medidaspreventivas. Para calcular riesgo residual, use la fórmula Riesgo Total – Abertura deControles = Riesgo Residual
Conocer como implementar el entrenamiento para conocimiento de la seguridad. Antesde que el entrenamiento real pueda tomar lugar, el conocimiento de la seguridad esreconocida como una entidad que debe formarse por usuarios. Una vez estocompletado, el entrenamiento, o enseñanza a los empleados a realizar sus tareas detrabajo y llenar los requisitos con las políticas de seguridad, puede comenzar. Todos losempleados nuevos requieren algún nivel de entrenamiento para poder cumplir con todoslos estándares, estrategia, y procedimientos asignados por las políticas de seguridad.La educación es esfuerzo detallado en el cual los estudiantes/usuarios aprenden muchomás que lo que realmente necesitan conocer para realizar sus tareas de trabajo. Laeducación es más a menudo asociada con usuarias persiguiendo certificación obuscando promoción de trabajo.
Comprender la planificación de la administración de la seguridad.La administración de laseguridad se basa en tres tipos de planes: Estratégico, táctico, y operacional. Un planestratégico es un plan de largo plazo que es medianamente estable. Define las metasde la organización, la misión, y los objetivos. El plan táctico es el desarrollo de un plandel intermedio para proveer más detalles en cumplir las metas establecidas en el planestratégico. Los planes operacionales son de corto plazo y altamente detalladosbasados en los planes estratégicos y tácticos.
195
Revisar Preguntas
1. ¿Cuál de los siguientes es el elemento más débil en cualquier solución deseguridad?A. Productos del softwareB. Las conexiones de la InternetC. Políticas de seguridadD. Los humanos
2. ¿Cuándo buscan contratar nuevos empleados, cuál es el primer paso?A. Cree una descripción de trabajo.B. Clasificación de puestos determinada.C. Investigación de los candidatos.D. Pida curriculums vitaes.
3. ¿Cuál es el propósito primario de una entrevista de salida?A. Para devolver las pertenencias personales del empleado salienteB. Para revisar el acuerdo de no divulgaciónC. Para evaluar la función del empleado salienteD. Cancelarle las cuentas de acceso a la red del empleado saliente
4. ¿Cuando un empleado ya esta por terminar, cuál de las siguientes opcionesdebería hacerse?A. Infórmele al empleado algunas horas antes de que estén oficialmenteterminados.B. Desactive el acceso de la red del empleado poco antes de que seaninformados de la terminación.C. Emita un e-mail de broadcast, informándole a todos que un empleadoespecífico debe ser terminado.D. Espere hasta que usted y la empleada sean las únicas personas quedándoseen el edificio antes anunciarle la terminación.
5. ¿Quien es responsable de las fallas en realizar el prudente cuidado debido?A. Los profesionales en la seguridadB. El custodio de datosC. El auditorD. Alta Gerencia
6. ¿Cuál de los siguientes es el documento que define el alcance de seguridadnecesitada por una organización, listar los activos que necesita protección, ydiscute la extensión para cual de soluciones de seguridad debería ir paraproveer la protección necesaria?A. Las políticas de seguridadB. EstándarC. EstrategiaD. Procedimiento
196
7. ¿Cuál de las siguientes políticas es requerida cuando la industria o losestándares legales es aplicable para su organización?A. ConsultivoB. ReguladorC. ReferenciaD. Informativo
8. ¿Cuál de las siguientes no es un elemento del proceso de análisis del riesgo?A. Analizando un ambiente para riesgosB. Creando un informe de costo/beneficio para medidas preventivas parapresentarle a la gerencia superiorC. Seleccionar medidas preventivas apropiadas e implementarlasD. Evaluando cada riesgo en lo que se refiere a su probabilidad de ocurrenciar yel costo del daño resultante
9. ¿Cuál de lo siguiente no sería considerado un activo en un análisis del riesgo?A. Un proceso de desarrolloB. Una infraestructura de TIC. Un recurso propietario de sistemaD. Los expedientes personales de los usuarios
10. ¿Cuál de lo siguiente representa explotaciones accidentales devulnerabilidades?A. Los acontecimientos de amenazaB. Los riesgosC. Los agentes de amenazaD. Las brechas
11. ¿Cuándo una medida preventiva o una contramedida no está presente o no essuficiente, qué es creado?A. La vulnerabilidadB. La exposiciónC. El riesgoD. La penetración
12. ¿Cuál de lo siguiente no es una definición válida para el riesgo?A. Una valoración de probabilidad, posibilidad, u oportunidadB. Cualquier cosa que remueve una vulnerabilidad o protege en contra de uno omás amenazas específicasC. Riesgo = Amenaza + VulnerabilidadD. Cada instancia de exposición
13. ¿Cuándo evalúa medidas preventivas, cuál es la regla que debería ser seguidaen la mayoría de los casos?
197
A. Costo anual esperado de pérdida del activo no debiese exceder los costosanuales de medidas preventivas.B. Costo anual de medidas preventivas deberían igualar el valor del activo.C. Costo anual de medidas preventivas no deberían exceder el costo anualesperado de pérdida del activo.D. Costo anual de medidas preventivas no deberían exceder el 10 por ciento delpresupuesto de seguridad.
14. ¿Cómo es calculado la está la Expectativa de pérdidas única (EPU)?A. Amenaza + VulnerabilidadB. Valor del Activo * Factor de exposiciónC. Tasa anual de ocurrencia * VulnerabilidadD. Tasa anual de ocurrencia * Valor del activo * Factor de exposición
15. ¿Cómo es calculado el valor de una medida preventiva defensa para unacompañía?A. EPA antes de las medidas preventivas – EPA después de la implementaciónde medidas preventivas – Costo anual de medidas preventivasB. EPA antes de las medidas preventivas * TAO de la medida preventivaC. EPA después de implementar de la medida preventiva + Costo anual de lamedida preventiva – Abertura de controlD. Riesgo total – Abertura de control
16. ¿Qué control de seguridad es directamente enfocado en impedir confabulación?A. El principio de privilegio mínimoB. Las descripciones de trabajoC. La separación de deberesD. El análisis cualitativo del riesgo
17. ¿Cuál rol de seguridad es responsable de asignarle la etiqueta de sensibilidad aobjetos?A. Los usuariosB. El dueño de datosC. La alta gerenciaD. El custodio de datos
18. Cuando usted trata de instalar un mecanismo nuevo de seguridad del cual nohay una detallada guía de paso-a-paso en como implementar ese productoespecífico, cuál el elemento de la política seguridad usted debería recurrir a?A. Las políticasB. Los procedimientosC. Los estándaresD. Estrategia
198
19. Al realizar un análisis de riesgo, usted identifica una amenaza de fuego y unavulnerabilidad porque no son extintores de fuego. ¿Basado en esta información,cuál de lo siguiente es un riesgo posible?A. Infección del virusB. El daño de los equiposC. El funcionamiento defectuoso de sistemaD. El acceso no autorizado para la información confidencial
20. Usted ha realizado un análisis cuantitativo del riesgo básico en una específicarelación de riesgo/amenaza /vulnerabilidad. Usted selecciona una contramedidaposible. Al realizar los cálculos, cuál ¿De los siguientes factores cambiará?A. El factor de exposiciónB. Expectativa de pérdidas únicaC. El valor del activoD. La tasa anual de ocurrencia
Respuestas de las Preguntas Revisadas
1. D. A Pesar de las cosas específicas de una solución de seguridad, loshumanos son el elemento de más débil.
2. A. El primer paso en contratar a empleados nuevos es crear una descripciónde trabajo. Sin una descripción de trabajo, no hay consenso en la clase denecesidades individuales para ser encontrado y contratado.
3. B. El propósito primario de una entrevista de salida es revisar el acuerdo deno divulgación (AND).
4. B. Usted debería quitar o deshabilitar la cuenta del usuario del empleado dela red inmediatamente antes o en al mismo tiempo que son informados de suterminación.
5. D. Alta Gerencia es el responsable de las fallas en realizar el prudentecuidado debido
6. A. El documento que define el alcance de requisitos de seguridad de unaorganización es conocido como políticas de seguridad. La política lista losactivos para ser protegida y discute la extensión para la cual la solución deseguridad debería ir a proveer la protección necesaria.
7. B. La política reguladora es requerida cuando la industria o los estándareslegales es aplicable para su organización. Esta política discute las reglas quedeben ser seguidas y esboza los procedimientos que debería usarse paraproducir como respuesta una conformidad.
8. C. El análisis de riesgo incluye analizar un ambiente para los riesgos, evaluarcada riesgo en lo que se refiere a su probabilidad de ocurrencia y el costo deldaño que causaría, evaluar el costo de diversas contramedidas para cadariesgo, y creando un informe de costo/beneficio de las medidas preventivas,presentárselo a la gerencia superior. Seleccionar medidas preventivas esuna tarea de gerencia superior basada en los resultados de análisis delriesgo. Es una tarea que cae debajo de administración de riesgos, pero no esparte del proceso de análisis del riesgo.
199
9. D. Los expedientes personales de usuarios no son activos de la organizacióny no es considerado en el análisis del riesgo.
10. A. Los acontecimientos de las amenazas son explotaciones accidentales devulnerabilidades.
11. A. Una vulnerabilidad es la ausencia o la debilidad de una medida preventivao la contramedida.
12. B. Cualquier Cosa que remueve una vulnerabilidad o protege en contra deuno o más amenazas específicas es considerara una medida preventiva ouna contramedida, no un riesgo.
13. C. El costo anual de medidas preventivas no debería exceder el costo anualesperado de pérdida del activo.
14. B. EPU es calculado usando la fórmula SLE = Valor del activo ($) * Factor deExposición
15. A. El valor de una medida preventiva para una organización se calcula porAPE antes de medida preventiva – EPA después de la implementación de lamedida preventiva – Costo anual de la medida preventiva
16. C. La probabilidad que un compañero de trabajo estará dispuesto a colaboraren un esquema ilegal u ofensivo se acorta debido al riesgo superior dedetección creada por la combinación de separación de deberes, lasresponsabilidades restringidas de trabajo, y la rotación de trabajo.
17. B. El dueño de datos es responsable de asignarle la etiqueta de sensibilidada recursos y objetos nuevos.
18. D. Si ninguno de las detalladas guías de instrucciones de paso-a-paso ométodos existieran, luego recurrieran a las estrategias por principiosgenerales a seguir para la instalación.
19. B. La amenaza de un fuego y la vulnerabilidad de una falta de pistas deextintores de fuego origina el riesgo de daño de los equipos.
20. D. La contramedida directamente afecta la tasa anual de ocurrencia,primordialmente porque la contramedida es diseñada para impedir laocurrencia del riesgo, así reduciendo su frecuencia al año.
200
CAPÌTULO 7
Ediciones de seguridad de los datos y del uso
Indice
Ediciones del uso Almacenamiento de las bases de datos y de los datos Almacenaje de los datos/de información Sistemas basados en el conocimiento Controles del desarrollo de los sistemas
Con formato: Fuente: 14 pto, Negrita
Con formato: Fuente: 14 pto, Negrita
201
202
Todos demasiado a menudo, los administradores de laseguridad son inconscientes de vulnerabilidades del sistemacausado por los usos con los defectos de seguridad(cualquiera intencional o inintencional). Los profesionales dela seguridad tienen a menudo el fondo en la administración delsistema y no tiene una comprensión profundizada del procesodel desarrollo del uso, y por lo tanto de la seguridad del uso.Esto puede ser un error crítico.
Pues aprenderás en el capítulo 14, “revisando y supervisando,” los iniciados de laorganización (es decir, empleados, contratistas, y visitantes confiados en) son loscandidatos más probable para confiar delitos informáticos. Los administradores de laseguridad deben estar enterados de todas las amenazas asegurarse de que loscheques y los equilibrios adecuados existen para proteger contra una vulnerabilidadmalévola del iniciado o del uso.
Este capítulo examina algunas de las amenazas comunes que los usos plantean a losambientes que computan tradicionales y distribuidos. Después, exploramos cómoproteger datos. Finalmente, hechamos una ojeada algunos de los controles deldesarrollo de los sistemas que pueden ayudar a asegurar la exactitud, la confiabilidad, yla integridad de los procesos internos del desarrollo del uso.
Ediciones del uso
Como marchas de la tecnología encendido, los ambientes del uso están llegando a sermucho más complejos que eran en los días de los sistemas independientes simples delDOS que el funcionamiento pre compilado del código. Las organizaciones ahora sehacen frente con los desafíos de los cuales presentarte de conectar tus sistemas conlas redes todas las formas y tamaños (del LAN de la oficina al Internet global) así comode ambientes que computan distribuidos. Estos desafíos vienen bajo la forma deamenazas malévolas del código por ejemplo objetos, virus, gusanos y negación móvilesdel código de los ataques del servicio. En esta sección, echaremos una ojeada brevealgunas de estas ediciones.
Local/ambiente de No distribuir
En un ambiente de computación tradicional y non distribuido los sistemas decomputadora individuales almacenan y ejecutan programas de efectuar las funcionespara el usuario local. Tales tareas involucran aplicaciones conectadas a una red queproveen el acceso para recursos remotos, como servidores de webs y servidores dearchivo lejanos, tanto como la otra actividad conectada a una red interactiva, como latransmisión y la recepción del correo electrónico en general. La tecla característica de
203
un sistema non distribuido es que toda clave ejecutada por usuario es guardada sobrela máquina local(O en un sistema de ficheros asequible para esa computadora, como un servidor dearchivo sobre la LAN de la computadora) y ejecutar usando procesadores sobre esacomputadora.
Las amenazas que enfrentan ambientes de computación locales / non distribuido sonalgunos de los objetos de clave maliciosos más comunes con los que usted está muyprobablemente ya familiarizado, por lo menos dicho sea de paso. Esta sección contieneuna descripción breve de esos objetos para presentarlos de un punto de vista deseguridad de aplicación. Están cubiertos del detalle más grande en Capitulo 8,"Código malicioso y solicitud atacan."
Virus
Virus es la más vieja forma de código malévolo se opone esa plaga Cyberspace. Unavez que estén en un sistema, se unen al sistema operativo y los archivos y los usoslegítimos del usuario y realizan normalmente una cierta clase de acción indeseable,extendiéndose de la exhibición algo inofensiva de un mensaje molesto en la pantalla ala destrucción más malévola del sistema de ficheros local entero.
Antes del advenimiento de computar networked, extensión de los virus de sistema alsistema con medios infectados. Por ejemplo, suponer que la impulsión dura de unusuario está infectado con un virus. Que el usuario pudo entonces ajustar a formato unadiskette y transferir inadvertidamente el virus a él junto con ficheros de un ciertos datos.Cuando el usuario inserta el disco en otro sistema y lee los datos, ese sistema tambiénse infectaría con el virus. El virus pudo entonces conseguir la extensión a varios otrosusuarios, que se encienden compartirla con aún más usuarios en una maneraexponencial.
Los virus macro están entre los virus más insidiosos hacia fuera allí. Sonextremadamente fáciles de escribir y aprovecharse de algunas de las característicasavanzadas de los usos modernos de la productividad para ensanchar perceptiblementesu alcance.
En este día y edad, las computadoras están conectadas cada vez más con un cierto tipode red y tener por lo menos una conexión indirecta al Internet. Esto aumentagrandemente el número de los mecanismos que pueden transportar virus del sistema alsistema y amplía la magnitud potencial de estas infecciones a las proporcionesepidémicas. Después de todo, un virus macro del E-mail que puede propagarseautomáticamente a cada contacto en tu libro de dirección puede infligir un daño lejosmás extenso que un virus del sector del cargador que requiera compartir de los mediosde almacenaje físicos transmitir la infección. Los varios tipos de virus y de sus técnicasde la propagación se discuten en el capítulo 8.
204
Caballos de Trojan
Durante la guerra de Trojan, los militares griegos utilizaron un caballo falso llenado delos soldados para acceder a la ciudad fortificada de Troy. El Trojans bajó presa a esteengaño porque creyeron el caballo ser un regalo abundante y eran inconscientes de sucarga útil insidiosa. Los usuarios modernos de la computadora hacen frente a unaamenaza similar de la versión electrónica de hoy del Trojan Horse. A Trojan Horse es aobjeto malévolo del código que aparece ser programa-tales benévolos como un juego outilidad simple. Cuando un usuario ejecuta el uso, realiza las funciones de la “cubierta”,según lo anunciado; sin embargo, los caballos de Trojan electrónicos también llevanuna carga útil desconocida. Mientras que el usuario de la computadora está utilizando elnuevo programa, el Trojan Horse realiza una cierta clase de acción-tal malévolo comoabrir un agujero de la seguridad en el sistema para que los hackers exploten, tratandode forzar con datos, o instalando el golpe de teclado que supervisa software.
Bombas de la lógica
Bombas de la lógica es el código malévolo se opone que mentira inactiva hasta queocurren los acontecimientos que satisfacen uno o condiciones más lógicas. En aquelmomento, sueltan en la acción, entregando su carga útil malévola a los usuariosdesprevenidos de la computadora. Son plantadas a menudo por los empleadoscontrariedades o otros individuos que desean dañar una organización pero por unarazón u otra pudieron desear a retrasa la actividad malévola por un período del tiempo.Muchas bombas simples de la lógica funcionan basadas solamente sobre la fecha o lahora del sistema. Por ejemplo, un empleado que fue terminado pudo fijar una bomba dela lógica para destruir datos de negocio críticos sobre el primer aniversario de suterminación. Otras bombas de la lógica funcionan con criterios más complejos. Porejemplo, un programador quién teme la terminación pudo plantar una bomba de lalógica que altera la información de la nómina de pago después de la cuenta delprogramador es bloqueada fuera del sistema.
Gusanos
Gusanos es un tipo interesante de código malévolo que se asemejan grandemente a losvirus, con uno distinción importante. Como virus, los gusanos se separaron de sistemaal sistema que llevaba un cierto tipo de carga útil malévola. Sin embargo, mientras quelos virus deben ser compartidos para propagar, los gusanos selfreplicating. Siguensiendo residente en memoria y explotan unas o más vulnerabilidades delestablecimiento de una red para separarse de sistema al sistema bajo su propiaenergía. Obviamente, esto permite la propagación mucho mayor y puede dar lugar auna negación del ataque del servicio contra redes enteras. De hecho, el gusano famosodel Internet lanzó por Roberto Morris en noviembre de 1988 (los detalles técnicos deeste gusano se presentan en el capítulo 8) lisió realmente el Internet entero por variosdías.
Ambiente distribuido
205
La sección anterior discutió cómo el advenimiento de computar networked facilitó laextensión rápida de los objetos malévolos del código entre los sistemas de cálculo. Estasección examina cómo el computar distribuido (un vástago de computar networked)introduce una variedad de malévolo nuevo cifrar las amenazas que los médicos de laseguridad del sistema de información deben entender y proteger tus sistemas.
Esencialmente, el computar distribuido permite que un solo usuario enjaece la energíaque computa de unos o más sistemas alejados de alcanzar una sola meta. Un ejemplomuy común de esto es la interacción del cliente/del servidor que ocurre cuando unusuario de la computadora hojea el World Wide Web. El cliente utiliza un web browser,tal como Microsoft Internet Explorer o Netscape Navigator, Para solicitar la informaciónde un servidor alejado. La tela del servidor alejado que recibe software después recibe yprocesa la petición. En muchos casos, el web server satisface petición recuperando unarchivo del HTML del sistema de ficheros local y transmitiéndolo al cliente alejado. En elcaso de Web pages dinámicamente generados, esa petición pudo implicar el generardel contenido de encargo adaptado a las necesidades del usuario individual (lainformación en tiempo real de la cuenta es un buen ejemplo de esto). En efecto, elusuario de la tela está haciendo los servidores alejados realizar acciones en su favor.
Agentes
Agentes (también conocido como bots) son los objetos inteligentes del código querealizan acciones a nombre de a usuario. Los agentes toman típicamente instruccionesiniciales del usuario y después continúan su actividad de una manera desatendida porun período del tiempo predeterminado, hasta que se resuelven ciertas condiciones, opor un período indefinido.
El tipo más común de hoy funcionando del agente inteligente es la tela BOT. Arrastre deestos agentes continuamente una variedad de Web site que recuperan y que procesandatos a nombre del usuario. Para el ejemplo, un usuario interesado en encontrar untarifa aérea bajo entre dos ciudades pudo programar a un agente inteligente fregar unavariedad de línea aérea y de Web site del recorrido y comprobar continuamente preciosdel precio. Siempre que el agente detecte precios que anteriores de un precio más bajo,puede ser que envíe el usuario el mensaje del E-mail, la alarma del paginador, o la otranotificación de la oportunidad más barata del recorrido. Programadores másaventureros del BOT pudieron incluso proveer del agente la información de la tarjeta decrédito y mandarte para pedir realmente un boleto cuando el precio alcanza cierto nivel.
Aunque los agentes pueden ser muy útiles computando objetos, también introducen unavariedad de nuevas preocupaciones de la seguridad que deban ser tratadas. ¿Porejemplo, qué si un hacker programa a agente sondear una red para los agujeros de laseguridad y divulgar continuamente sistemas vulnerables en tiempo real? ¿Cómo sobreun individuo malévolo quién utiliza un número de agentes para inundar un Web site conpeticiones falsas, de tal modo montando una negación del ataque del servicio contraese sitio? O quizás un agente disponible en el comercio acepta la información de la
206
tarjeta de crédito de un usuario y después la transmite a a hacker a la vez que pone unacompra legítima.
Applet
Recordar que los agentes son objetos del código enviados del sistema de un usuario ala pregunta y a los datos de proceso almacenados en sistemas alejados. Applet realizarla función opuesta; estos objetos del código se envían de a servidor a un cliente pararealizar una cierta acción. De hecho, los applet son realmente los programas miniaturaautónomos que se ejecutan independientemente del servidor que los envió.
Este proceso se explica lo más mejor posible con el uso de un ejemplo. Imaginar unweb server que ofrezca una variedad de herramientas financieras a los usuarios delWeb. Una de estas herramientas pudo ser una calculadora de la hipoteca que procesala información financiera de un usuario y proporciona un pago de hipoteca mensualbasada sobre el principal de préstamo y el término y la información de crédito delprestatario. En vez de procesar estos datos y de volver los resultados al sistema delcliente, el web server alejado pudo enviar al sistema local un applet que te permiterealizar esos cálculos sí mismo. Esto proporciona un número de ventajas al servidoralejado y al usuario final:
La carga de proceso se cambia de puesto al cliente, liberando encima derecursos en el web server a las peticiones de proceso de más usuarios.
El cliente puede producir datos usando recursos locales más bien queesperando una respuesta del servidor alejado. En muchos casos, esto da lugar auna respuesta más rápida a los cambios en los datos de entrada.
En un applet correctamente programado, el web server no recibe ningunos datosproporcionados al applet como entrada, por lo tanto manteniendo la seguridad yla aislamiento de los datos financieros del usuario.
Sin embargo, apenas como con los agentes, los applet introducen un número depreocupaciones de la seguridad. Permiten que un sistema alejado envíe código alsistema local para la ejecución. Los administradores de la seguridad deben tomarmedidas para asegurarse de que este código es seguro y defendido correctamente parala actividad malévola. También, a menos que el código sea línea analizada al lado delínea, el usuario final puede nunca estar seguro que el applet no contiene uncomponente del Trojan Horse. Por ejemplo, la calculadora de la hipoteca pudo transmitirla información financiera sensible de nuevo al web server sin el conocimiento delusuario final o consentir de hecho.Las secciones siguientes exploran dos tipos comunes del applet: Java applets Ycontroles de ActiveX.
Java applets
Java es un lenguaje el de programación de la plataforma-independiente desarrolladopor Sun Microsystems. La mayoría los lenguajes de programación utilizan los
207
recopiladores que producen los usos Costumbre - confeccionar para funcionar debajoun sistema operativo específico. Esto requiere el uso de recopiladores múltiples deproducir diversas versiones de un solo uso para cada plataforma que debe apoyar. Javasupera esta limitación insertando la máquina virtual de Java (JVM) en el cuadro. Cadasistema que funciona el código de Java descarga la versión del JVM apoyado por susistema operativo. El JVM entonces toma El código de Java y lo traduce a un formatoejecutable por ese sistema específico. La gran ventaja de este arreglo es que el códigose puede compartir entre los sistemas operativos sin la modificación. Los Java appletsSon programas simplemente cortos de Java transmitidos sobre el Internet para realizaroperaciones en un sistema alejado.
La seguridad estaba de preocupación suprema durante el diseño de la plataforma deJava y el equipo del desarrollo del Sun creó el concepto del “sandbox” para ponerrestricciones del privilegio en el código de Java. El sandbox aísla objetos del código deJava del resto del sistema operativo y hace cumplir reglas terminantes sobre losrecursos que esos objetos pueden tener acceso. Por ejemplo, el sandbox prohibiría unJava applet De recuperar la información de las áreas de la memoria asignadas noespecíficamente a él, evitando que el applet robe esa información.
Controles de ActiveX
ActiveX los controles son respuesta de Microsoft a los Java applets Del Sun. Funcionanen una manera muy similar, pero se ponen en ejecución usando de una variedad deidiomas, incluyendo básico visual, C, C++, y Java. Hay dos distinciones dominantesentre los Java applets Y los controles de ActiveX. Primero, los controles de ActiveXutilizan la tecnología propietaria de Microsoft y, por lo tanto, pueden ejecutarsesolamente en los sistemas que funcionan los sistemas operativos de Microsoft. Ensegundo lugar, los controles de ActiveX no están conforme a las restricciones delsandbox puestas en los Java applets. Tienen de total acceso al ambiente defuncionamiento de Windows y pueden realizar un número de acciones privilegiadas. Porlo tanto, las precauciones especiales deben ser tomadas al decidir a qué controles deActiveX a descargar y a ejecutarse. Muchos los administradores de la seguridad hantomado la posición algo áspera de prohibir la transferencia directa de cualquiercontenido de ActiveX de todos pero de un puñado selecto de sitios confiados.
Corredores de la petición del objeto
Para facilitar la tendencia cada vez mayor hacia computar distribuido, el grupo degerencia del objeto (OMG) precisó para desarrollar un estándar común para losreveladores alrededor del mundo. Los resultados de su trabajo, conocidos comoArquitectura común del corredor de la petición del objeto (CORBA), define estándarinternacional (sancionado por el International Organization for Standardization) paracomputar distribuido. Define la secuencia de interacciones entre el cliente y el servidordemostrados en el cuadro 7.1.
CUADRO 7. 1 Arquitectura común del corredor de la petición del objeto (CORBA)
208
NOTA: Los corredores de la petición del objeto (orbes) son un vástago de laprogramación orientada al objeto, un asunto discutido más adelante en este capítulo.
En este modelo, los clientes no necesitan conocimiento específico de la localización ode los detalles técnicos de un servidor obrar recíprocamente con él. Pasan simplementesu pedido un objeto particular a un corredor local de la petición del objeto (ORBE) queusa un interfaz bien definido. Se crean estos interfaces usando la lengua de la definiciónde interfaz del OMG (IDL). El ORBE, alternadamente, invoca el objeto apropiado,guardando la puesta en práctica detalla transparente al cliente original.
TIP: La discusión de CORBA y de los orbes presentados aquí es, por necesidad, unasimplificación excesiva diseñada para proveer de profesionales de la seguridad unadescripción del proceso. CORBA extiende bien más allá del modelo presentado en elcuadro 7.1 para facilitar Interacción del Orbe-a-ORBE, el balancear de la carga,tolerancia de avería, y un número de otras características. Si estás interesado enaprender más sobre CORBA, el OMG tiene una clase particular excelente en su Website en www.omg.org/gettingstarted/index.htm.
Modelos del componente de Microsoft
La fuerza impulsora detrás de los esfuerzos de OMG de poner CORBA en ejecución erael deseo de crear un estándar común que permitió la interacción no-vendedor-específica. Sin embargo, como van tales cosas a menudo, Microsoft decidía adesarrollar sus propios estándares propietarios para la gerencia del objeto: COM yDCOM. Modelo componente del objeto (COM) es la arquitectura estándar de Microsoftpara el uso de componentes dentro de un proceso o entre los procesos que funcionanen el mismo sistema. Trabaja a través de la gama de los productos de Microsoft, deambientes del desarrollo a la habitación de la productividad de la oficina. De hecho,oficina el ligarse de objeto y el encajar (OLE) modelar que permite que los usuarios
209
creen los documentos que utilizan componentes de diversos usos utilizan la arquitecturade COM. Aunque restringen a COM a las interacciones locales del sistema, Objetocomponente distribuido Modelo (DCOM) amplía el concepto para cubrir ambientes quecomputan distribuidos. Substituye Capacidad de las comunicaciones entre procesos deCOM con una capacidad de obrar recíprocamente con el apilado de la red y de invocarlos objetos situados en sistemas alejados.
NOTA: Aunque DCOM y CORBA son arquitecturas componentes competentes,Microsoft y OMG acordaron permitir una cierta interoperabilidad entre los orbes queutilizaban diversos modelos.
Almacenamiento de las bases de datos y de los datos
Casi cada organización moderna mantiene una cierta clase de base de datos esocontiene la información crítico operación-para ser él información del contacto del cliente,datos que siguen de la orden, información del recurso humano y de las ventajas, osecretos comerciales sensibles. Es probable que muchas de estas bases de datoscontengan la información personal que los usuarios llevan a cabo secreto, tal comoactividad del uso de la tarjeta de crédito, hábitos del recorrido, compras del almacén dela tienda de comestibles, y expedientes del teléfono. Debido a la confianza cada vezmayor en base de datos los sistemas, profesionales de la seguridad de la informacióndeben asegurarse de que los controles adecuados de la seguridad existan paraprotegerlos contra el acceso, tratar de forzar, o la destrucción desautorizado de datos.
Arquitectura del sistema de gerencia de base de datos (DBMS)
Aunque hay una variedad de sistema de gerencia de base de datos (DBMS)arquitecturas disponibles hoy, la mayoría extensa de sistemas contemporáneos poneuna tecnología en ejecución conocida como sistemas de gerencia de base de datosemparentada (RDBMSs). Por esta razón, las secciones siguientes se centran enemparentadas bases de datos.
El bloque de edificio principal de la base de datos emparentada es la tabla (tambiénconocido como relación). Cada tabla contiene un sistema de relacionados expedientes.Por ejemplo, una base de datos de las ventas pudo contener las tablas siguientes:
Los clientes tabulan que contiene la información del contacto para los clientes detoda la organización
Tabla de Reps de las ventas que contiene la información de la identidad sobre lafuerza de ventas de la organización
Pide la tabla que contiene expedientes de los pedidos de cada cliente
Cada uno de estas tablas contiene un número cualidades, o campos. Se representantípicamente como las columnas de una tabla. Por ejemplo, la tabla de los clientes pudocontener las columnas para el nombre de compañía, la dirección, la ciudad, el estado, el
210
código postal, y el número de teléfono. Cada cliente tendría su propio expedienterepresentado por una fila en la tabla. El número de filas en la relación se refiere pues elcardinal y el número de columnas es el grado. El dominio de una relación es el sistemade los valores permisibles que la cualidad puede tomar.
Relaciones entre las tablas se definen para identificar expedientes relacionados. Eneste ejemplo, las relaciones existirían probablemente entre la tabla de los clientes y latabla de Reps de las ventas porque asigna cada cliente un representante de ventas ycada representante de ventas se asigna a unos o más clientes. Además, una relaciónexistiría probablemente entre la tabla de los clientes y la tabla de las órdenes porquecada orden se debe asociar a un cliente y asocian a cada cliente a unas o más órdenesdel producto.
Se identifican los expedientes usando una variedad de llaves. Absolutamentesimplemente, las llaves son un subconjunto de los campos de una tabla usada paraidentificar únicamente expedientes. Hay tres tipos de llaves con las cuales debas serfamiliar:
Llaves del candidato Subconjuntos de las cualidades que se pueden utilizar paraidentificar únicamente cualquier expediente en a tabla. Los expedientes de no dos en lamisma tabla contendrán siempre los mismos valores para todas las cualidades quecomponen una llave del candidato. Cada tabla puede tener unas o más llaves delcandidato, se eligen que de títulos de columna.
Llaves primarias Seleccionado del sistema de las llaves del candidato para una tablapara ser utilizado identificar únicamente los expedientes en una tabla. Cada tabla tienesolamente una llave primaria, seleccionada por el diseñador de la base de datos delsistema de llaves del candidato. El RDBMS hace cumplir la unicidad de llaves primariasrechazando la inserción de expedientes múltiples con la misma llave primaria.
Llaves extranjeras Hacían cumplir relaciones entre dos tablas (también conocidas comode referencia integridad). Una tabla en la relación contiene una llave extranjera quecorresponda a la llave primaria de la otra tabla en la relación.
Las bases de datos emparentadas modernas utilizan una lengua de estándar, Lenguajede interrogación estructurado (SQL), a proveer de los usuarios un interfaz constantepara el almacenaje, la recuperación, y la modificación de datos y para el control deadministración del DBMS. Cada vendedor del DBMS pone una versión en ejecuciónlevemente diversa del SQL (como el Tramitar-SQL de Microsoft y PL/SQL de Oracle),pero todo apoya un sistema de la característica de la base.
El SQL proporciona la funcionalidad completa necesaria para los administradores, losreveladores, y los usuarios finales para obrar recíprocamente con la base de datos. Dehecho, la mayor parte de del GUI de los interfaces de hoy el abrigo popular simplementealgunas campanas y silbidos adicionales alrededor de un SQL simple interconecta alDBMS. El SQL sí mismo se divide en dos componentes distintos: Idioma de definición
211
de datos (DDL), cuál permite la creación y la modificación de la estructura de la base dedatos (conocida como esquema ), y Lengua de manipulación de datos (DML), cuálpermite que los usuarios obren recíprocamente con los datos contenidos dentro de eseesquema.
Transacciones de base de datos
Las bases de datos emparentadas apoyan el uso explícito e implícito de transaccionesde asegurar integridad de datos. Cada transacción es un sistema discreto de lasinstrucciones del SQL que tendrán éxito o fallarán como grupo. No es posible que laparte de una transacción tenga éxito mientras que la parte falla. Considerar el ejemplode una transferencia entre dos cuentas en un banco. Puede ser que utilicemos el códigosiguiente del SQL a primero agregar $250 para considerar 1001 y después para restar$250 de la cuenta 2002:
COMENZAR LA TRANSACCIÓN PONER AL DÍAlas cuentas FIJAR el balance = el balance + 250 DONDE el account_number = 1001
PONE AL DÍA cuentas FIJAR el balance = el balance - 250 DONDE account_number =2002
TRANSACCIÓN FINAL
212
Imaginar un caso donde estas dos declaraciones no fueron ejecutadas como parte deuna transacción, pero fueron ejecutados por separado. Si la base de datos falladadurante el momento entre la terminación de la primera transacción y la terminación de lasegunda transacción, $250 hubiera sido agregada para considerar 1001 pero no habríahabido deducción correspondiente de la cuenta 2002. ¡Los $250 habrían aparecidofuera del aire fino! Este ejemplo simple subraya la importancia del proceso orientado atransacciones.
Cuando una transacción termina con éxito, reputa confiada a la base de datos y nopuede ser deshecha. El confiar de la transacción puede ser explícito, con los SQLCONFIAR ordenar, o implícito si el final de la transacción se alcanza con éxito. Si unatransacción debe ser abortada, puede ser detrás rodado explícitamente el usarRESTAURACIÓN NO ACTUALIZADA ordenar o implícito si hay un hardware o falta delsoftware. Cuando una transacción se rueda detrás, la base de datos se restaura a lacondición que estaba adentro antes de que la transacción comenzara.
Hay cuatro características requeridas de todas las transacciones de base de datos:atómicos, consistencia, aislamiento, y durabilidad. Junto, estas cualidades se conocencomo Modelo ÁCIDO, que es a concepto crítico en el desarrollo de los sistemas degerencia de base de datos. Echemos una ojeada breve cada uno de estos requisitos:
Las transacciones de base de datos fundamentales deben ser atómicas- estosson, deben ser “todas o nada” asunto. Si cualquier parte de la transacción falla,la transacción entera debe ser rodada detrás como si nunca ocurriera.
Consistencia que todas las transacciones deben comenzar a funcionar en unambiente con el cual sea constante reglas de toda la base de datos (porejemplo, todos los expedientes tienen una llave primaria única). Cuando latransacción es completa, la base de datos debe otra vez ser constante con lasreglas, sin importar si esas reglas fueron violadas durante el proceso de latransacción sí mismo. Ninguna otra transacción debe siempre poder utilizarcualquier dato contrario que se pudiera generar durante la ejecución de otratransacción.
El aislamiento el principio del aislamiento requiere que las transaccionesfuncionen por separado de uno a. Si una base de datos recibe dos transaccionesdel SQL que modifiquen los mismos datos, una transacción se debe terminar ensu totalidad antes de que la otra transacción se permita modificar los mismosdatos. Esto evita que una transacción trabaje con los datos inválidos generadoscomo paso intermedio por otra transacción.
Los datos de la durabilidad de Las transacciones de base de deben los artículosdel ser. El decir del Es, confiados del estén del que del vez del una un la base de
213
datos, deben preservados del ser. Reserva de el uso de mecanismos de del condel durabilidad del aseguran de Las bases de datos, cuentos como registros dela transacción.
Las secciones siguientes discuten una variedad de ediciones de seguridad específicasque concierne los reveladores y los administradores de la base de datos.
Seguridad de niveles múltiples
Como aprendiste en el capítulo 5, “los conceptos y los principios de la gerencia de laseguridad,” muchos esquemas de la clasificación de los datos del uso de lasorganizaciones para hacer cumplir las restricciones del control de acceso basadassobre las etiquetas de la seguridad asignadas a los objetos de los datos y a los usuariosindividuales. Cuando es asignado por mandato por la política de la seguridad de unaorganización, este concepto de la clasificación se debe también ampliar a las bases dedatos de la organización.
Las bases de datos de niveles múltiples de la seguridad contienen la información en unnúmero de diversos niveles de la clasificación. Deben verificar las etiquetas asignadas alos usuarios y, en respuesta a peticiones de usuario, proporcionar solamente lainformación que es apropiada. Sin embargo, este concepto llega a ser algo máscomplicado al considerar la seguridad para una base de datos.
Cuando se requiere la seguridad de niveles múltiples, es esencial que losadministradores y los reveladores se esfuercen mantener datos con diversos requisitosde la seguridad separados. El mezclarse de datos con diversos niveles de laclasificación y/o necesitar-a-sabe que los requisitos están conocidos comocontaminación de la base de datos y que son un riesgo significativo de la seguridad.
214
Agregación
El SQL proporciona un número de funciones que los expedientes de la cosechadora deunas o más tablas para producir la información potencialmente útil. Este proceso sellama agregación. Algunas de las funciones, conocido como las funciones agregadas,se enumeran aquí:
La CUENTA () vuelve el número de los expedientes que resuelven criteriosespecificados
El MIN () vuelve el expediente con el valor más pequeño para la cualidad o lacombinación especificada de cualidades
El máximo () vuelve el expediente con el valor más grande para la cualidad o lacombinación especificada de cualidades
La SUMA () vuelve la adición de los valores de la cualidad o de la combinaciónespecificada de cualidades a través de todos los expedientes afectados
AVG () vuelve el valor medio de la cualidad o de la combinación especificada decualidades a través de todos los expedientes afectados
215
Estas funciones, aunque extremadamente es útil, también plantean un riesgosignificativo a la seguridad de la información en una base de datos. Por ejemplo,suponer que un vendedor militar bajo de los expedientes es responsable de poner al díaexpedientes del personal y del equipo pues se transfieren de base a la base. Comoparte de sus deberes, este vendedor puede ser concedido los permisos de la base dedatos necesarios para preguntar y para poner al día las tablas del personal.
Los militares no pudieron considerar una petición individual de la transferencia (es decir,están moviendo a sargento Jones desde la base X a la base Y) de ser informaciónclasificada. El vendedor de los expedientes tiene acceso a esa información, pero muyprobablemente, sargento Jones ha informado ya a sus amigos y familia que él serámudanza a la base Y. Sin embargo, con el acceso a las funciones agregadas, elvendedor de los expedientes pudo poder contar el número de las tropas asignadas acada base militar alrededor del mundo. Estos niveles de la fuerza son a menudosecretos militares de cerca guardados, pero el vendedor de los expedientes de la bajo-graduación podía a deducirlos usando funciones agregadas a través de una cantidadgrande de datos sin clasificar.
Por esta razón, es especialmente importante que los administradores de la seguridad dela base de datos controlar terminantemente el acceso a las funciones agregadas ydeterminen adecuadamente la información potencial que pueden revelar a los individuosdesautorizados.
Inferencia
Las ediciones de seguridad de la base de datos se presentaron por ataques de lainferencia son muy similares a ésas presentadas por la amenaza de la agregación delos datos. Como con la agregación, los ataques de la inferencia implican la combinaciónde varios pedazos de información no sensible para acceder a la información que sedebe clasificar en un de alto nivel. Sin embargo, la inferencia hace uso la capacidaddeductiva más bien que la capacidad matemática cruda de la mente humana de lasplataformas modernas de la base de datos.
Un ejemplo comúnmente citado de un ataque de la inferencia es el del vendedor decontabilidad en una corporación grande que se permita recuperar la cantidad total quela compañía pasa en los sueldos para el uso en un informe a nivel superior pero no sepermite para tener acceso a los sueldos de empleados individuales. El vendedor decontabilidad tiene que preparar a menudo esos informes con las fechas eficaces en elpasado y así que se permite para tener acceso a las cantidades totales del sueldo paracualquier día en el último año. Decir, por ejemplo, que este vendedor debe tambiénsaber las fechas el emplear y de la terminación de varios empleados y tiene acceso aesta información. Esto abre la puerta para un ataque de la inferencia. Si un empleadoera la única persona empleada una fecha específica, el vendedor de contabilidad puedeahora recuperar la cantidad total del sueldo esa fecha y el día antes de que y deduce elsueldo de esa información empleado-sensible particular que el usuario no debe serpermitido para tener acceso directamente.
216
Como con la agregación, la mejor defensa contra ataques de la inferencia es mantenervigilancia constante sobre los permisos concedidos a los usuarios individuales. Además,el velar intencional de datos se puede utilizar para prevenir la inferencia de lainformación sensible. Por ejemplo, si el vendedor de contabilidad pudiera recuperarsolamente la información del sueldo redondeado al millón más cercano, no podríanprobablemente ganar ninguna información útil sobre empleados individuales.
Polyinstantiation
Polyinstantiation ocurre cuando dos o más filas en la misma tabla aparecen tenerelementos dominantes primarios idénticos sino contener diversos datos para el uso enlos niveles de la clasificación que diferencian. Polyinstantiation es de uso frecuentecomo defensa contra algunos tipos de ataques de la inferencia.
Por ejemplo, considerar una tabla de la base de datos que contiene la localización devarias naves navales encendido patrulla. Normalmente, esta base de datos contiene laposición exacta de cada nave almacenada en el nivel con la clasificación secreta. Sinembargo, una nave particular, el USS UpToNoGood, está en una misión de la cubiertainterior a una localización del tapa-secreto. Los comandantes militares no quisieran quecualquier persona supiera que la nave se desvió de su patrulla normal. Si losadministradores de la base de datos cambian simplemente la clasificación de lalocalización del UpToNoGood al secreto superior, un usuario con una separaciónsecreta sabría que algo inusual iba en cuando no podrían preguntar la localización de lanave. Sin embargo, si se utiliza el polyinstantiation, dos expedientes se podrían insertaren la tabla. Primer, clasificado en el nivel secreto superior, reflejaría la localizaciónverdadera de la nave y estaría disponible solamente para los usuarios con lahabilitación secreta superior apropiada. El segundo expediente, clasificado en el nivelsecreto, indicaría que la nave estaba en patrulla rutinaria y sería vuelto a los usuarioscon una separación secreta.
Explotación de los datos
Muchas organizaciones utilizan las bases de datos grandes, conocidas comoalmacenes de los datos, para almacenar cantidades de información grandes de unavariedad de bases de datos para el uso en técnicas especializadas del análisis. Estosalmacenes de los datos contienen a menudo la información histórica detalladaalmacenada no normalmente en las bases de datos de la producción debido a laslimitaciones del almacenaje o a las preocupaciones de la seguridad de datos.
Un tipo adicional de almacenaje, conocido como diccionario de los datos, es de usogeneral para almacenar la información crítica sobre datos, incluyendo uso, tipo, fuentes,relaciones, y formatos. El software del DBMS lee el diccionario de los datos paradeterminar las derechas de acceso para los usuarios que procuran tener acceso adatos.
217
Las técnicas que minan de los datos permiten que los analistas se peinen a través deestos almacenes de los datos y que busquen la información correlacionada potencial enmedio de los datos históricos. Por ejemplo, un analista pudo descubrir que la demandapara las bombillas aumenta siempre de los meses del invierno y después utiliza estainformación al planear estrategias de la tasación y de la promoción. La información quese descubre durante una operación de explotación minera de los datos se llama losmeta datos, o los datos sobre datos, y se almacena en un centro comercial de los datos.
Los almacenes de los datos y la explotación minera de los datos son significativos a losprofesionales de la seguridad por dos razones. Primero, según lo mencionadopreviamente, los almacenes de los datos contienen cantidades grandes de informaciónpotencialmente sensible vulnerable a los ataques de la agregación y de la inferencia, ylos médicos de la seguridad deben asegurarse de que los controles de accesoadecuados y otras medidas de seguridad estén en el lugar para salvaguardar estosdatos. En segundo lugar, la explotación minera de los datos se puede utilizar realmentecomo herramienta de la seguridad cuando desarrollaba las líneas de fondo para lossistemas anomalía-basados estadísticos de la detección de la intrusión (véase elcapítulo 2, los “ataques y Supervisión,” para más información sobre los varios tipos yfuncionalidad de los sistemas de la detección de la intrusión).
Almacenaje de los datos/de información
Los sistemas de gerencia de base de datos han ayudado al arnés la energía de datos yganan un cierto poco del control sobre quién puede tenerte acceso y de las accionesque él puede realizarse en él. Sin embargo, los profesionales de la seguridad debentener presente que la seguridad del DBMS cubre el acceso a la información a travéssolamente de los canales tradicionales de la “puerta delantera”. Los datos también seprocesan con una memoria interna recurso-amba memoria y los medios físicos. Lasprecauciones deben estar en lugar para asegurarse de que estos recursos básicosestén protegidos contra vulnerabilidades de la seguridad también. ¿Después de todo,nunca incurrirías en mucho tiempo y costo para asegurar la puerta delantera de tu hogary después para dejar la puerta trasera abierta de par en par?
Tipos de almacenaje
Los sistemas de cálculo modernos utilizan varios tipos de almacenaje para mantener elsistema y datos del usuario. Los sistemas logran una equilibrio razonable entre losvarios tipos del almacenaje para satisfacer los requisitos que computan de unaorganización. Hay varios tipos del almacenaje común:
La memoria primaria (o “verdadera” consiste en los recursos de la memoria centraldirectamente disponibles para CPU de un sistema. La memoria primaria consiste en lamemoria de acceso al azar volátil (ESPOLÓN) y es normalmente generalmente elrecurso más de alto rendimiento del almacenaje disponible para un sistema.
218
El almacenaje secundario consiste en recursos más baratos, más permanentes delalmacenaje disponible para un sistema para el uso a largo plazo. Los recursos típicosdel almacenaje secundario incluyen medios magnéticos y ópticos, tales como cintas,discos, impulsiones duras, y almacenaje de CD/DVD.
La memoria virtual permite que un sistema simule recursos adicionales de la memoriaprimaria con el uso del almacenaje secundario. Por ejemplo, un sistema bajo enESPOLÓN costoso pudo hacer una porción del disco duro disponible para la direccióndirecta de la CPU.
El almacenaje virtual permite que un sistema simule recursos del almacenajesecundario con el uso del almacenaje primario. El ejemplo más común del almacenajevirtual es el “disco de ESPOLÓN” ese se presenta al sistema operativo como dispositivode almacenaje secundario pero se pone en ejecución realmente en ESPOLÓN volátil.Esto proporciona un sistema de ficheros extremadamente rápido para el uso en variosusos pero no proporciona ninguna capacidad de la recuperación.
El almacenaje de acceso al azar permite que el sistema operativo solicite contenido decualquier punto dentro de los medios. El ESPOLÓN y las impulsiones duras sonejemplos del almacenaje de acceso al azar.
El almacenaje de acceso secuencial requiere la exploración con los medios enteros delprincipio alcanzar una dirección específica. Una cinta magnética es un ejemplo comúndel almacenaje de acceso secuencial.
El almacenaje volátil pierde su contenido cuando la energía se quita del recurso. ElESPOLÓN es el tipo más común de almacenaje volátil.
El almacenaje permanente no depende de la presencia de la energía de mantener sucontenido. Los medios magnéticos/ópticos y el ESPOLÓN permanente (NVRAM) sonejemplos típicos del almacenaje permanente.
Amenazas del almacenaje
Los profesionales de la seguridad de la información deben estar enterados de dosamenazas principales planteadas contra sistemas del almacenaje de datos. Primero, laamenaza del acceso ilegítimo a los recursos del almacenaje existe no importa qué eltipo de almacenaje es funcionando. Si los administradores no ponen controles deacceso adecuados del sistema de ficheros en ejecución, un intruso pudo tropezar através de datos sensibles simplemente hojeando el sistema de ficheros. En ambientesmás sensibles, administradores deben también proteger contra los ataques a los cualesimplicar el puentear de controles del sistema operativo y directamente el tener accesode los medios de almacenaje físicos recuperar los datos. Esto se logra lo más mejorposible con el uso de un sistema de ficheros cifrado, que es accesible solamente através del sistema operativo primario. Además, los sistemas que funcionan en unambiente de niveles múltiples de la seguridad deben proporcionar controles adecuados
219
para asegurarse de que los recursos compartidos de la memoria y del almacenajeproporcionan controles a prueba de averías de modo que los datos a partir de un nivelde la clasificación no sean legibles en un nivel más bajo de la clasificación.
Los ataques del canal secreto plantean la segunda amenaza primaria contra recursosdel almacenaje de datos. Los canales secretos del almacenaje permiten la transmisiónde datos sensibles entre los niveles de la clasificación con la manipulación directa oindirecta de los medios de almacenaje compartidos. Esto puede ser tan simple comodatos sensibles de la escritura a una porción inadvertidamente compartida de memoriao de almacenaje físico. Canales secretos más complejos del almacenaje se pudieronutilizar para manipular la cantidad de espacio libre disponible en a el disco o el tamañode un archivo para transportar secretamente la información entre la seguridad nivela.Para más información sobre análisis del canal secreto, ver el capítulo 12, los “principiosde la seguridad modela.”
Sistemas basados en el conocimiento
Desde el advenimiento de computar, los ingenieros y los científicos han trabajado hacialos sistemas que se convertían capaces de realizar las acciones rutinarias queaburrirían a ser humano y consumen una significativa cantidad de tiempo. La mayoríade los logros en esta área se centró en relevar la carga de tareas de cómputointensivas. Sin embargo, los investigadores también han hecho pasos grandes giganteshacia los sistemas que se convertían que tienen una “inteligencia artificial” que puedasimular (hasta cierto punto) la energía puramente humana del razonamiento.
Las secciones siguientes examinan dos tipos de sistemas basados en el conocimientode la inteligencia artificial: sistemas expertos y redes de los nervios. Tambiénecharemos una ojeada sus usos potenciales a los problemas de la seguridad de lacomputadora.
Sistemas expertos
Los sistemas expertos intentan incorporar el conocimiento acumulado de la humanidaden un tema particular y aplicarlo en una manera constante a las decisiones futuras.Varios estudios han demostrado que los sistemas expertos, cuando está convertidocorrectamente y puesto en ejecución, tomar a menudo decisiones mejores que algunasde tus contrapartes humanas cuando está hecho frente con decisiones rutinarias.
Hay dos componentes principales a cada sistema experto. La base de conocimientocontiene reglas sabidas por un sistema experto. La base de conocimiento intentacodificar el conocimiento del ser humano expertos en una serie de declaraciones de“if/then”. Consideremos un sistema experto simple diseñado para ayudar a dueños deuna casa a decidir si evacuan un área cuando un huracán amenaza. El conocimiento labase pudo contener las declaraciones siguientes (estas declaraciones están porejemplo solamente):
220
Si el huracán es una tormenta de la categoría 4 o más alto, después las aguasde la inundación alcanzan normalmente una altura de 20 pies sobre nivel delmar.
Si el huracán tiene vientos superiores a 120 millas por la hora (mph), entonceslas estructuras de la madera-marco fallarán.
Si es atrasado en la estación del huracán, después los huracanes tienden paraconseguir más fuertes mientras que acercan a la costa.
En un sistema experto real, la base de conocimiento contendría centenares o millaresde aserciones tales como ésos apenas enumerados.
El segundo componente principal de una inferencia experta del sistema- motor-analizala información en la base de conocimiento para llegar la decisión apropiada. El usuariodel sistema experto utiliza una cierta clase de interfaz utilizador para proveer del motorde inferencia los detalles sobre la situación actual, y el motor de inferencia utiliza unacombinación de las técnicas del razonamiento lógico y de la lógica confusa para dibujaruna conclusión basada sobre experiencia previa. Continuando con el ejemplo delhuracán, al usuario pudo informar al sistema experto que un huracán de la categoría 4está acercando a la costa con las velocidades del viento que hacen un promedio de 140mph. El motor de inferencia entonces analizaría la información en la base deconocimiento y hace una recomendación de la evacuación basada sobre ésa más alláde conocimiento.
Los sistemas expertos no son infalible-ellos son solamente tan buenos como los datosen la base de conocimiento y los algoritmos de la toma de decisión puestos enejecución en el motor de inferencia. Sin embargo, tienen una ventaja importante enagotador situación-sus decisiones no implican el juicio nublado por la emoción. Lossistemas expertos pueden desempeñar un papel importante en analizar situacionestales como acontecimientos de la emergencia, panoramas que negocian, y otroscomunes en los cuales la inversión emocional consiga a veces de la manera de unadecisión lógica. Por esta razón, muchas instituciones de préstamos ahora utilizan lossistemas expertos para tomar decisiones del crédito en vez de confiar en los oficiales depréstamo que pudieron decir a sí mismos, “bien, Jim no ha pagado sus cuentas eltiempo, sino que él se parece como un individuo perfectamente agradable.”
221
Redes de los nervios
En redes de los nervios, las cadenas de unidades de cómputo se utilizan en un intentopor imitar el proceso biológico del razonamiento de la mente humana.
En un sistema experto, una serie de reglas se almacena en a se instala la base deconocimiento, mientras que en una red de los nervios, una cadena larga de lasdecisiones de cómputo que alimentan en uno a y eventual suman para producir la salidadeseada.
Tener presente que ninguna red de los nervios diseñada hasta la fecha viene cerca detener la energía real del razonamiento de la mente humana. Eso a pesar de, las redesde los nervios demuestra gran potencial para avanzar el campo de la inteligenciaartificial más allá de su estado actual.
Las redes de los nervios típicas implican muchas capas de la adición, que requierecargar información para reflejar la importancia relativa del cálculo en el procedimientode toma de decisión total. Estos pesos debe ser Costumbre - confeccionar para cadatipo de decisión que se espera que la red de los nervios tome. Esto se logra con el usode un período de entrenamiento durante el cual la red se proporcione las entradas paralas cuales se sabe la decisión apropiada. El algoritmo entonces trabaja al revés deestas decisiones para determinar los pesos apropiados para cada nodo en la cadena decómputo.
Usos de la seguridad
Los sistemas expertos y las redes de los nervios tienen grandes usos en el campo de laseguridad de la computadora. Una de las ventajas principales ofreció por estos sistemases su capacidad para tomar rápidamente decisiones constantes. Uno de los problemasprincipales en seguridad de la computadora es la inhabilidad de los administradores desistema analiza a constantemente y a fondo cantidades masivas de registro y de datosdel rastro de intervención para buscar anomalías.
222
¡Se parece como un fósforo hecho en cielo! Un uso acertado de esta tecnología a laarena de la seguridad de la computadora es el sistema experto de la detección de laintrusión de la generación siguiente (NIDES) desarrollado por Philip Porras y el suyoequipo en laboratorio del diseño del sistema de las ciencias de la información y elcomputar de SRI internacional. Este sistema proporciona una base del motor y deconocimiento de inferencia que dibuje la información de una variedad de registros de laintervención a través de una red y proporciona la notificación a los administradores de laseguridad cuando la actividad de un usuario individual varía de su perfil estándar deluso.
Controles del desarrollo de los sistemas
El uso de muchas organizaciones Costumbre - confeccionar sistemas del hardware y desoftware para alcanzar flexible metas operacionales. Pues aprenderás en el capítulo 8,el “código y el uso malévolos ataca” y el capítulo 12, los “principios de los modelos de laseguridad,” estas soluciones de encargo puede presentar grandes vulnerabilidades dela seguridad como resultado de los reveladores malévolos y/o descuidados que creanpuertas de la trampa, proteger las vulnerabilidades del desbordamiento, u otrasdebilidades que puedan dejar un sistema abierto a la explotación de los individuosmalévolos.
Para proteger contra estas vulnerabilidades, es vital introducir preocupaciones de laseguridad en el ciclo vital entero del desarrollo de los sistemas. Las ayudasorganizadas, metódicas del proceso se aseguran de que las soluciones resuelvenrequisitos funcionales así como pautas de la seguridad. Las secciones siguientesexploran el espectro de las actividades del desarrollo de los sistemas con un ojo hacialas preocupaciones de la seguridad que deben ser primeras en la mente de cualquierprofesional de la seguridad de la información contratado al desarrollo de las soluciones.
Desarrollo del software
La seguridad debe ser una consideración en cada etapa del desarrollo de un sistema,incluyendo el proceso del desarrollo del software. Los programadores deben esforzarseconstruir seguridad en cada uso se convierten, con mayores niveles de la seguridadproporcionados a los usos críticos y a los que procesan la información sensible. Esextremadamente importante considerar las implicaciones de la seguridad de unproyecto del desarrollo del software de los primeros tiempos porque es mucho más fácilconstruir seguridad en un sistema que él es agregar seguridad sobre un sistemaexistente.
En la mayoría de las organizaciones, los profesionales de la seguridad vienen de unfondo de la administración del sistema y no tienen experiencia profesional en eldesarrollo del software. Si tu fondo no incluye este tipo de experiencia, no dejar esaparada tú de aprender sobre él y de educar los reveladores de tu organización en laimportancia de la seguridad.
223
No importa cómo está avanzados tu equipo del desarrollo, tus sistemas fallaránprobablemente en un cierto punto a tiempo. Debes planear para este tipo de faltacuando pones en lugar los controles del software y del hardware, asegurándose de queel sistema responderá de una manera apropiada. Hay dos opciones básicas al planearpara el fallo del sistema: a prueba de averías o dejar-abrirte. El estado a prueba deaverías de la falta pone el sistema en un de alto nivel de la seguridad (posiblementeincluso inhabilitada) hasta que un administrador puede diagnosticar el problema yrestaurar el sistema a la operación normal. En la mayoría extensa de ambientes, aprueba de averías está el estado apropiado de la falta porque previene el accesodesautorizado a información y recursos. En circunstancias limitadas, puede serapropiado poner a en ejecución failopen el estado de la falta que permite que losusuarios puenteen controles de la seguridad cuando un sistema falla. Esto es apropiartea veces para los componentes del bajo-capa de un sistema de varias capas de laseguridad.
Dejar-abrir los sistemas debe ser utilizado con la precaución extrema. Antes de a quedespliega el sistema usando este modo de fallo, valida claramente el requisito delnegocio para este movimiento. Si se justifica, asegurarte de que los controlesalternativos adecuados estén en el lugar para proteger los recursos de la organizaciónsi el sistema cae. Es extremadamente raro que quisieras que todos tus controles de laseguridad utilizaran dejar-abres acercamiento.
Lenguajes de programación
Como sabes probablemente, los reveladores del software utilizan lenguajes deprogramación para desarrollar software código. Puede ser que no sepas que hay variostipos de idiomas que se puedan utilizar simultáneamente por el mismo sistema. Estasección hecha una ojeada breve los diversos tipos de lenguajes de programación y lasimplicaciones de la seguridad de cada uno.
Las computadoras entienden código binario. ¡Hablan una lengua de 1s y 0s y ése es él!Las instrucciones que una computadora sigue se componen de una serie larga dedígitos binarios en una lengua conocida como terminología de la informática. Cadachipset de la CPU tiene su propia terminología de la informática y es virtualmenteimposible que un humano descifre todo menos el código más simple de la terminologíade la informática sin la ayuda del software especializado. El lenguaje ensamblador es unalternativa de alto nivel que las mnemónicas de las aplicaciones para representar elsistema de instrucción básica de una CPU pero todavía requieren conocimientohardware específico de un lenguaje ensamblador relativamente obscuro. Tambiénrequiere una cantidad grande de programación aburrida; ¡una tarea tan simple comoagregando dos números junta podía tomar cinco o seis líneas de código de laasamblea!
Los programadores, por supuesto, no desean escribir su código en terminología de lainformática o lenguaje ensamblador. Prefieren utilizar idiomas de alto nivel, tales comoC++, Java, y básico visual. Estas idiomas permiten programadores a escriben las
224
instrucciones que una comunicación humana aproximada mejor y también no prohíbe auna cierta portabilidad entre los diversos sistemas operativos y hardware plataformas.
Una vez que los programadores sean listos ejecutar sus programas, hay dos opcionesdisponibles para ellos, dependiendo de la lengua que han elegido. Algunas idiomas(tales como C++, Java, y FORTRAN) son idiomas compiladas. Al usar una lenguacompilada, el programador utiliza una herramienta conocida como el recopilador paraconvertir la lengua de alto nivel en un fichero ejecutable diseñado para el uso en unsistema operativo específico. Este ejecutable entonces se distribuye a los usuariosfinales que pueden utilizarlo mientras que él ve ajuste. Generalmente hablando, no esposible ver o modificar las instrucciones del software en un fichero ejecutable.
Otros idiomas (tales como Javascript y VBScript) son idiomas interpretados. Cuando seutilizan estos idiomas, el programador distribuye el código de fuente, que contieneinstrucciones en la lengua de alto nivel. Los usuarios finales entonces utilizan aintérprete para ejecutar ese código de fuente en su sistema. Pueden ver lasinstrucciones originales escritas por el programador. Hay ventajas y desventajas de laseguridad a cada acercamiento. El código compilado es generalmente menosmanipulación propensa al lado de terceros.
Sin embargo, es también más fácil que un programador malévolo (o inexperto) encajardetrás puertas y otros defectos de seguridad en el código y escape la detección porquelas instrucciones originales no se pueden ver por el usuario final. El código interpretado,sin embargo, es menos propenso la inserción del código malévolo por el programadororiginal porque el usuario final puede ver el código y comprobarlo para saber si hayexactitud. Por otra parte, cada uno que toca el software tiene la capacidad de modificarlas instrucciones originales del programador y de encajar posiblemente código malévoloen el software interpretado.
Programación orientada al objeto
Muchos de los lenguajes de programación más últimos, tales como C++ y Java, apoyanel concepto de programación orientada al objeto (OOP). Más viejos estilos deprogramación, tales como programación funcional, se centraron en el flujo del programasí mismo y procuraron modelar el comportamiento deseado como serie de pasos. Laprogramación orientada al objeto se centra en los objetos implicados en una interacción.Por ejemplo, un programa de las actividades bancarias pudo tener tres clases del objetoque corresponden a las cuentas, a los sostenedores de la cuenta, y a los empleados.Cuando una nueva cuenta se agrega al sistema, a un nuevo caso, o a la copia, delobjeto apropiado se crea para contener los detalles de esa cuenta. Cada objeto en elmodelo de OOP tiene métodos que correspondan a las acciones específicas que sepueden adquirir el objeto. Por ejemplo, el objeto de la cuenta puede tener métodos paraagregar fondos, deducir fondos, cierre la cuenta, y propiedad de la transferencia.
Los objetos pueden también ser subclases de otros objetos y heredar métodos de tupadre clasificar. Por ejemplo, el objeto de la cuenta puede tener subclases que
225
correspondan a los tipos específicos de cuentas, tales como ahorros, comprobación,hipotecas, y préstamos auto. Las subclases pueden utilizar todos los métodos de laclase del padre y tener métodos clase-específicos adicionales. Por ejemplo, el objeto decomprobación pudo tener un método llamado write_check () mientras que no lo hacenlas otras subclases.
De un punto - de - visualización de seguridad, la orientado al objeto - programaciónprovee un enfoque negro - caja para el carácter abstracto. Los usuarios tienen quesaber los detalles de la interfaz de un objeto (en general las entradas, los productos, ymovimientos que corresponden a cada uno de los métodos del objeto) pero no necesitesaber que los workings interiores del objeto lo usen eficazmente necesariamente.
Ciclo vital del desarrollo de los sistemas
Hay varias actividades que todos los procesos del desarrollo de los sistemas debentener en campo común. Aunque pueden no compartir necesariamente los mismosnombres, estas actividades de base son esenciales para el desarrollo del sonido,aseguran sistemas. La sección “modelos del ciclo vital” en este capítulo examina dosmodelos del ciclo vital y demuestra más adelante cómo estas actividades se aplican enambientes del mundo real de la tecnología de dotación lógica.
Es importante observar a este punto que la terminología usada en ciclos vitales deldesarrollo del sistema varía de modelo al modelo y de la publicación a la publicación.No pasar demasiada hora que se preocupa de los términos exactos usados en esto libroo un de los la otra literatura que puedes parecer. Al tomar Examinación de CISSP, esmucho más importante que tienes una comprensión sólida de cómo el proceso trabaja ylos principios fundamentales subyacentes el desarrollo de sistemas seguros. Ésa dicha,como con cualquier regla, allí es varias excepciones. La certificación, la acreditación, yel mantenimiento de los términos usado en las secciones siguientes están los términosoficiales usados por el establecimiento de la defensa y debes estar al corriente de ellas.
226
Revisión de diseño
¡Una vez que las especificaciones funcionales y de la protección sean completas, dejara diseñadores de sistema hacer tu cosa! En este proceso a menudo muy largo, losdiseñadores se determinan exactamente cómo las varias partes de interoperate de lavoluntad del sistema y cómo la estructura del sistema modular será presentada.También durante esto fase, el equipo de la gerencia del diseño fija las tareasespecíficas para los varios equipos y presenta comúnmente a los líneas de tiempoiniciales para la terminación de los jalones de la codificación.Después de que el equipo de diseño termine los documentos formales del diseño, unareunión de la revisión con los tenedores de apuestas deben ser sostenidos paraasegurarse de que cada uno en el acuerdo que el proceso todavía esté en la pista parael desarrollo acertado de un sistema con la funcionalidad deseada.
Revisión de código Caminar-Por
Una vez que los tenedores de apuestas hayan dado a diseño del software su bendición,es hora para los reveladores del software de comenzar código de la escritura. Losencargados de proyecto deben programar varias reuniones del walkthough de larevisión de código en los varios jalones a través del proceso de codificación. Estasreuniones técnicas implicar generalmente solamente a personal del desarrollo que sesienta abajo con una copia del código para un módulo y una caminata específicos conél, buscando problemas en flujo lógico u otro los defectos del diseño/de seguridad. Lasreuniones desempeñan un papel instrumental en asegurarse de que el código producidopor los varios equipos del desarrollo se realiza según la especificación.
Revisión de la prueba del sistema
Después de muchas revisiones de código y de muchos de noches largas, vendrá unpunto en el cual un revelador ponga en que punto y coma final y declare el sistemacompleto. Como cualquier Software Engineer chevronn3e sabe, el sistema nunca escompleto. Ahora es hora de comenzar la fase de la revisión de la prueba del sistema.Inicialmente, la mayoría de las organizaciones realizan las pruebas del sistema inicialesusando a personal del desarrollo para buscar cualquier claro error. Una vez que estafase sea completa, una serie de despliegues de la prueba beta ocurre para asegurarsede que los clientes convienen que el sistema resuelve todos los requisitos funcionales yse realiza según la especificación original. Como con cualquier proceso crítico deldesarrollo, es importante que mantengas una copia del plan de la prueba del sistema yde los resultados de la prueba escritos para la revisión futura.
Certificación y acreditación
La certificación y la acreditación son pasos adicionales en el software y ÉL proceso deldesarrollo de los sistemas requerido normalmente de los contratistas y de otros dedefensa que trabajan en un ambiente militar. Las definiciones oficiales de estos
227
términos usados por el gobierno de los E.E.U.U. (del departamento de la instrucción5200.40 de la defensa, del recinto 2) son como sigue:
Certificación la evaluación comprensiva de las características técnicas y no técnicas dela seguridad del ÉL sistema y otras salvaguardias, hechas en apoyo del proceso de laacreditación, a establecer el grado que un diseño y una puesta en práctica particularesresuelve un sistema de requisitos especificados de la seguridad.
Acreditación el declaración formal por la autoridad que aprueba señalada (DAA) queSistema se aprueba para funcionar en un modo particular de la seguridad usando unsistema prescrito de salvaguardias en un nivel aceptable del riesgo.
Hay dos estándares del gobierno actualmente en el lugar para la certificación y laacreditación de los sistemas de cálculo: El estándar de DoD es el proceso de lacertificación y de la acreditación de la seguridad de la tecnología de información de ladefensa (DITSCAP), y el estándar para todo el ejecutivo del gobierno de los E.E.U.U.los departamentos del rama, las agencias, y sus contratistas y consultores son elnacional Certificación del aseguramiento de la información y proceso de la acreditación(NIACAP). Ambos procesos se dividen en cuatro fases:
Fase 1: La definición implica la asignación del personal apropiado del proyecto;documentación de la necesidad de la misión; y el registro, la negociación, y la creaciónde un acuerdo de la autorización de la seguridad del sistema (SSAA) ese dirigen elproceso entero de la certificación y de la acreditación
Fase 2: La verificación incluye el refinamiento del SSAA, de actividades del desarrollode los sistemas, y de un análisis de la certificación
Fase 3: La validación incluye el refinamiento adicional del SSAA, la evaluación de lacertificación del sistema integrado, el desarrollo de una recomendación al DAA, y ladecisión de la acreditación del DAA
Fase 4: La acreditación del poste incluye el mantenimiento del SSAA, de la operaciónde sistema, de la gerencia del cambio, y de la validación de la conformidad
Estas fases se adaptan del departamento de la instrucción 5200.40, recinto 3 de ladefensa. El proceso de NIACAP, administrado por la organización de la seguridad delos sistemas de información de la agencia de la seguridad nacional, contornea tresdiversos tipos de acreditación que puedan ser concedidos. Las definiciones de estostipos de acreditación (de las telecomunicaciones y de la instrucción 1000 de laseguridad nacional de la seguridad de los sistemas de información) son como sigue:
Para una acreditación del sistema, se evalúa un uso o un sistema de ayudageneral importante.
Para una acreditación del sitio, los usos y los sistemas en una localizaciónespecífica, autónoma se evalúan.
228
Para un tipo acreditación, se evalúa un uso o un sistema que se distribuyen a unnúmero de diversas localizaciones.
Mantenimiento
Una vez que un sistema sea operacional, una variedad de tareas del mantenimiento esnecesaria asegurar la operación continuada frente a cambiar operacional, de procesode datos, a almacenaje, y a requisitos ambientales. Es esencial que tengas un equipoexperto de la ayuda en el lugar para manejar cualquier mantenimiento rutinario oinesperado. Es también importante que cualquier cambio al código esté manejado conun proceso formalizado de la petición/del control del cambio, según lo descrito en elcapítulo 5.Modelos del ciclo vital
Una de las quejas principales que recibirás noticias los médicos de las disciplinasestablecidas de la ingeniería (tales como ingeniería civil, mecánica, y eléctrica) eres quela tecnología de dotación lógica no es una disciplina de la ingeniería en todos. Dehecho, afirman, él son simplemente una combinación de los procesos caóticos quemanejan de alguna manera raspar hacia fuera soluciones realizables de vez en cuando.De hecho, algo de la “tecnología de dotación lógica” que ocurre en ambientes de hoydel desarrollo no es nada solamente la codificación del elástico de bota ligada por la“cinta del conducto y el pollo atan con alambre.”
Sin embargo, la adopción de más procesos formalizados de la gerencia del ciclo vital seestá considerando en la tecnología de dotación lógica de corriente mientras que laindustria se madura. Después de todo, es apenas justa comparar los procesos de unadisciplina histórica tales como genio civil a los de una industria que sea apenas algunasdécadas viejas. En los años 70 y los años 80, los pioneros tienen gusto de WinstonRoyce y de Barry Boehm propuso varios modelos del ciclo vital del desarrollo delsoftware para ayudar a dirigir la práctica hacia procesos formalizados. En 1991, elinstituto de la tecnología de dotación lógica introdujo el modelo de la madurez de lacapacidad, que describió las organizaciones de proceso emprende como se muevenhacia incorporar principios sólidos de la ingeniería en sus procesos del desarrollo delsoftware. En esta sección, hecharemos una ojeada el trabajo producido por estosestudios.
Modelo de la cascadaConvertido originalmente por Winston Royce en 1970, el modelo de la cascada intentaver el ciclo vital del desarrollo de los sistemas como serie de actividades iterativas.Según las indicaciones del cuadro 7.2, el modelo tradicional de la cascada tiene sieteetapas de desarrollo. Como se termina cada etapa, el proyecto se mueve en la fasepróxima. Según lo ilustrado por las flechas posteriores, el modelo moderno de lacascada permite que el desarrollo vuelva a la fase anterior a los defectos correctosdescubiertos durante la fase subsecuente. Esto se conoce a menudo como el lazo deregeneración característico del modelo de la cascada.
229
CUADRO 7. 2 el modelo del ciclo vital de la cascada
El modelo de la cascada era una de las primeras tentativas comprensivas de modelar elsoftware proceso del desarrollo mientras que considerar la necesidad de volver a lasfases anteriores al sistema correcto critica. Sin embargo, una de las críticas principalesde este modelo es que permite que caminen los reveladores detrás solamente una faseen el proceso. No hace las provisiones para el descubrimiento más último de errores.
Modelo espiral
En 1988, Barry Boehm de TRW propuso un modelo alternativo del ciclo vital quepermite iteraciones múltiples de un proceso de la cascada-estilo. Una ilustración de estemodelo se demuestra en el cuadro 7.3. Porque el modelo espiral encapsula un númerode iteraciones de otro modelo (el modelo de la cascada), se conoce como un modelo dela meta, o “modelo de modelos.”
Notar que cada “lazo” del espiral da lugar al desarrollo de un nuevo prototipo delsistema (representado por P1, P2, y P3 en la ilustración). Teóricamente, los reveladoresdel sistema aplicarían el proceso entero de la cascada al desarrollo de cada prototipo,trabajando de tal modo incremental hacia un sistema maduro que incorpora todos losrequisitos funcionales en una manera completamente validada. El modelo espiral deBoehm proporciona una solución a la crítica principal de la cascada que modelo-permiteque los reveladores vuelvan a las etapas de planeamiento mientras que las demandas ylos requisitos técnicos del cliente que cambian hacen necesario la evolución de unsistema.
Modelo de la madurez de la capacidad del software
230
El instituto de la tecnología de dotación lógica (SEI) en la universidad Carnegie-Mellonintrodujo el modelo de la madurez de la capacidad para el software (SW-CMM), queafirma que todas las organizaciones engancharon en movimiento del desarrollo delsoftware con una variedad de fases de la madurez en la manera secuencial. Las etapasdel SW-CMM son como sigue:
CUADRO 7. 3 el modelo espiral del ciclo vital
Nivel 1: Inicial en esta fase, encontrarás a menudo a gente trabajadora el cargar acontinuación en una manera desorganizada. Hay generalmente poco o nada de procesodefinido del desarrollo del software.
Nivel 2: Repetible en esta fase, se introducen los procesos básicos de la gerencia delciclo vital. La reutilización del código en una manera organizada comienza a incorporarel cuadro y los resultados repetibles esperan de proyectos similares. SEI define lasáreas de proceso dominantes para este nivel como los requisitos gerencia,planeamiento del proyecto del software, el seguir y descuido, subcontrato del proyectodel software del software Gerencia, garantía de calidad del software, y gerencia de laconfiguración del software.
Nivel 3: Definido en esta fase, los reveladores del software funcionan según un sistemade procesos formales, documentados del desarrollo del software. Todos los proyectosdel desarrollo ocurren dentro de los apremios del nuevo modelo estandardizado de lagerencia. SEI define las áreas de proceso dominantes para esto nivel como foco delproceso de la organización, definición de proceso de la organización, programa de
231
entrenamiento, gerencia integrada del software, ingeniería del producto de software,coordinación de Intergroup, y Revisiones de par.
Nivel 4: Manejado en esta fase, la gerencia del proceso del software procede al nivelsiguiente. Se utilizan las medidas cuantitativas de ganar una comprensión detallada delproceso del desarrollo. SEI define las áreas de proceso dominantes para este nivelcomo la gerencia de proceso cuantitativa y gerencia de la calidad del software.
Nivel 5: Optimizando en la organización optimizada, un proceso de la mejora continuaocurre. Los procesos sofisticados del desarrollo del software están en lugar que seaseguran de que la regeneración a partir de una fase alcance de nuevo a la faseanterior para mejorar los resultados futuros. SEI define las áreas de procesodominantes para este nivel como la prevención del defecto, la gerencia del cambio de latecnología, y gerencia de proceso del cambio.
Para más información sobre el modelo de la madurez de la capacidad para el software,visitar el Web site del instituto de la tecnología de dotación lógica en www.sei.cmu.edu.
Modelo IDEAL
El instituto de la tecnología de dotación lógica también desarrolló el modelo IDEAL parael desarrollo del software, que pone muchas en ejecución de las cualidades CMM. Elmodelo IDEAL, ilustrado en el cuadro 7.4, tiene cinco fases:
I: Iniciando en la fase que inicia del modelo IDEAL, las razones del negocio detrás delcambio se contornean, la ayuda se construye para la iniciativa, y la infraestructuraapropiada se pone en lugar.D: Diagnosticando durante la fase que diagnostica, los ingenieros analizan el estadoactual de la organización y hacen las recomendaciones generales para el cambio.E: Estableciendo en la fase que establece, la organización toma las recomendacionesgenerales a partir de la fase que diagnostica y desarrolla un plan de la acción específicoque las ayudas alcancen esos cambios.A: Actuando en la fase temporaria, es hora de parar el “hablar de la charla” y “camina lacaminata.” La organización desarrolla soluciones y entonces pruebas, las refina, y poneen ejecución.L: El aprender como con cualquier proceso de la mejora de calidad, la organizacióndebe continuamente analizar tus esfuerzos de determinarse si han alcanzado las metasdeseadas y, cuando es necesario, proponer las nuevas acciones para poner laorganización detrás en curso.
CUADRO 7. 4 el modelo IDEAL
232
233
Cambiar a gerencia del control y de la configuración
Una vez que el software se haya lanzado en un ambiente de la producción, los usuariossolicitarán inevitable la adición de nuevas características, la corrección de insectos, yotras modificaciones al código. Apenas mientras que la organización se convirtió areglamento el proceso para desarrollar software, ellos debe también poner unprocedimiento en lugar para manejar cambios en una manera organizada.El proceso del control del cambio tiene tres componentes básicos:
El control de la petición que el proceso del control de la petición proporciona un marcoorganizado dentro de el cual los usuarios puedan solicitar modificaciones, losencargados puede conducir coste/análisis de ventaja, y los reveladores pueden dar laprioridad a tareas.
Cambiar el control que el proceso del control del cambio es utilizado por los reveladorespara reconstruir la situación encontró por el usuario y analizar los cambios apropiadospara remediar la situación. También proporciona un marco organizado dentro de el cuallos reveladores múltiples puedan crear y prueben una solución antes del balanceo élhacia fuera en un ambiente de la producción.
Control de lanzamiento una vez que se concluyan los cambios, deben ser aprobadospara el lanzamiento con el procedimiento del control de lanzamiento. Un paso esencialdel proceso del control de lanzamiento es comprobar y asegurarse de que conminuciosidad cualquier código insertado como ayuda de programación durante elproceso del cambio (tal como código que elimina errores y/o backdoors) está quitadaantes de lanzar el nuevo software a la producción.Además del proceso del control del cambio, los administradores de la seguridad debenestar enterados de la importancia de la gerencia de la configuración. Este proceso seutiliza para controlar las versiones del software usadas a través de una organización yde cambios de control a la configuración del software. Tiene cuatro componentesprincipales:
La identificación: durante el proceso de la identificación de la configuración,administradores de la configuración documenta la configuración de los productos desoftware cubiertos a través de la organización.
El control de configuración el proceso del control de configuración se asegura de quelos cambios a las versiones del programa estén realizados de acuerdo con las políticasde gerencia del control y de la configuración del cambio. Las actualizaciones se puedenhacer solamente de distribuciones autorizadas de acuerdo con esas políticas.
Los procedimientos formalizados contabilidad del estado de la configuración se utilizanpara no perder de vista todos los cambios autorizados que ocurran.
La intervención periódica de la configuración de la intervención A de la configuración sedebe conducir para asegurarse de que el ambiente real de la producción es constante
234
con los registros de estadísticas y de que han ocurrido ningunos cambios deconfiguración desautorizados.
Junto, el control del cambio y las técnicas de gerencia de la configuración forman unaparte importante del arsenal de la Software Engineer y protegen la organización contraediciones de seguridad desarrollo-relacionadas.
Arquitectura del control de la seguridad
Todos los sistemas seguros ponen una cierta clase en ejecución de arquitectura delcontrol de la seguridad. En los niveles del hardware y del sistema operativo, loscontroles deben asegurar la aplicación de los principios básicos de la seguridad. Lassecciones siguientes examinan varios principios del control básico que se deban hacercumplir en un seguro ambiente que computa.
Aislamiento de proceso
El aislamiento de proceso es uno de los procedimientos fundamentales de la seguridadpuestos en lugar durante diseño del sistema. Básicamente, usar mecanismos deproceso del aislamiento (si parte del sistema operativo o la pieza del hardware símismo) se asegura de que cada proceso tiene su propia memoria aislada para elalmacenaje de los datos y del código real sí mismo del uso el ejecutarse. Esto garantizaque los procesos no pueden tener acceso a áreas de memoria reservadas de cada unoy lo protege contra violaciones del secreto o la modificación intencional/inintencional dedatos por un proceso desautorizado. La segmentación del hardware es una técnica eseaislamiento de proceso de los instrumentos en el nivel del hardware haciendo cumplirapremios de acceso de memoria.
Anillos de la protección
El esquema anillo-orientado de la protección prevé varios modos de la operación desistema, de tal modo facilitando la operación segura por procesos de restricción alfuncionamiento en el anillo apropiado de la seguridad. Una ilustración del esquema decuatro- capa de la protección por anillos apoyado por los microprocesadores de Intelaparece en el cuadro 7.5.
CUADRO 7.5. Esquema de la protección por anillos 5
235
En este plan, cada uno de los anillos tiene una función separada y distinta:
El nivel 0 representa el anillo donde reside el sistema operativo sí mismo. Este anillocontiene el sistema de la base del núcleo- de la seguridad de servicios del sistemaoperativo que maneja todos los pedidos del usuario/del uso el acceso a los recursos desistema. El núcleo también pone el monitor de la referencia en ejecución, uncomponente del sistema operativo que valide todos los pedidos de usuario el acceso alos recursos contra un esquema del control de acceso. Los procesos que funcionan enel nivel 0 se dicen a menudo para funcionar en el modo de supervisión, también llamadomodo privilegiado. Los procesos del nivel 0 tienen control completo de todos losrecursos de sistema, así que es esencial asegurarse de que están verificados yvalidados completamente antes de la puesta en práctica.
Los niveles 1 y 2 contienen los drivers de dispositivo y otros servicios del sistemaoperativo que proporcionan interfaces de alto nivel a los recursos de sistema. Sinembargo, en la práctica, la mayoría de los sistemas operativos no ponen tampoco unoen ejecución de estas capas.
El nivel 3 representa la capa de la seguridad donde residen los usos y los procesos delusuario. Esta capa se refiere comúnmente pues el modo del usuario, o el modoprotegido, y los usos que funcionan aquí no son acceso directo permitido a los recursosde sistema. De hecho, cuando un uso que funciona en modo protegido procura teneracceso a un recurso desautorizado, la avería general comúnmente considerada de laprotección (GPF) ocurre.
236
NOTA: El monitor del núcleo y de la referencia de la seguridad es los asuntosextremadamente importantes de la seguridad de la computadora que se deben entenderpor cualquier médico de la seguridad de la información.
El componente del monitor de la referencia (presente en el nivel 0) es un elementoextremadamente importante de cualquier sistema operativo que ofrece serviciosseguros de niveles múltiples. Este concepto era primer descrito formalmente en eldepartamento de la defensa confiaba en los criterios de la evaluación del sistemainformático (referidos comúnmente como el “libro anaranjado” debido al color de sucubierta). El DoD dispuso los tres requisitos siguientes para un monitor operacional dela referencia:
Debe ser tamperproof. Debe ser invocado siempre. Debe ser bastante pequeño estar conforme al análisis y a las pruebas, lo
completo de los cuales puede ser asegurado.
Abstracción
La abstracción es una herramienta valiosa dibujada del modelo orientado al objeto deldesarrollo del software que se puede extrapolar para aplicarse al diseño de todos lostipos de sistemas de información. En efecto, la abstracción indica que una comprensióncuidadosa de los detalles operacionales de un sistema no es a menudo necesariarealizar actividades cotidianas. Por ejemplo, un revelador del sistema pudo necesitarsaber que a cierto procedimiento, cuando está invocado, escribe la información al disco,pero no es necesario que el revelador entienda los principios subyacentes que permitena los datos ser escritos al disco o exigir el formato que los procedimientos del discoutilizan almacenar y recuperar datos. El proceso de convertirse los objetos cada vezmás sofisticados que dibujan sobre los métodos abstraídos de objetos de nivel inferiorse conocen como encapsulación. La ocultación deliberada de niveles inferiores de lafuncionalidad de procesos de alto nivel se conoce como ocultar de datos u ocultar de lainformación.
Modos de la seguridad
En un ambiente seguro, los sistemas de información se configuran para procesar lainformación en uno de cuatro modos de la seguridad. Estos modos son precisados porel departamento de la defensa como sigue:
Los sistemas que funcionan en modo compartimentado de la seguridad puedenprocesar dos o más tipos de información compartimentada. Todos los usuariosdel sistema deben tener una separación apropiada a tener acceso toda lainformación procesada por el sistema pero no tiene necesariamente una
237
necesidad de saber todos de la información en el sistema. Los compartimientosson subcategorías o compartimientos dentro de los diversos niveles de laclasificación, y del cuidado extremo se toma para preservar la información dentrode los diversos compartimientos. El sistema se puede clasificar en el secreto elnivel pero contiene cinco diversos compartimientos, todo el secreto clasificado.Si un usuario tiene la necesidad de conocer alrededor de solamente dos de loscinco diversos compartimientos para hacer su trabajo, ese usuario puede teneracceso al sistema pero puede tener acceso solamente a los doscompartimientos.
Los sistemas que funcionan en modo dedicado de la seguridad se autorizanpara procesar solamente un nivel específico de la clasificación a la vez, y todoslos usuarios del sistema deben tener la separación y una necesidad de sabereso información.
Los sistemas que funcionan en modo de niveles múltiples de la seguridad seautorizan para procesar la información en más de un nivel de seguridad auncuando todos los usuarios del sistema no tiene separaciones apropiadas o unanecesidad de saber para toda la información procesada por el sistema.
Los sistemas que funcionan en modo sistema-alto de la seguridad se autorizanpara procesar solamente la información que todos los usuarios del sistema sondespejaron para leer y para tener una necesidad válida de saber. Estos sistemasno se confían en para mantener la separación entre los niveles de la seguridad,y toda la información procesada por estos sistemas debe ser manejada como sifuera clasificada en el mismo nivel que la información lo más altamente posibleclasificada procesó por el sistema.
Acuerdos del porcentaje de disponibilidad
Usar los acuerdos del porcentaje de disponibilidad (SLAs) es una manera cada vez máspopular de asegurarse de que las organizaciones que proporcionan servicios a losclientes internos y/o externos mantienen un nivel apropiado del servicio convenido enpor el abastecedor de servicio y el vendedor. Es un movimiento sabio poner SLAs en ellugar para cualquier circuito de datos, usos, sistemas de la tratamiento de lainformación, bases de datos, u otros componentes críticos que son vitales a la viabilidadcontinuada de tu organización. Las ediciones siguientes se tratan comúnmente enSLAs:
Sistema uptime (como porcentaje del tiempo de funcionamiento total) Tiempo muerto consecutivo máximo (en los segundos/los minutos/etc.) Carga máxima Carga media Responsabilidad del diagnóstico
238
Tiempo de Failover (si la redundancia está en lugar)
Los acuerdos del porcentaje de disponibilidad también incluyen a menudo comúnmentefinanciero y otros contractuales remedios que golpean con el pie adentro si el acuerdono se mantiene. Por ejemplo, si un circuito crítico está abajo por más de 15 minutos, elabastecedor de servicio pudo acordar renunciar todas las cargas en ese circuito parauna semana.
Resumen
A medida que continuamos nuestro viaje en la edad de la información, los datos seestán convirtiendo en rápidamente el recurso más valioso que muchas organizacionesposeen. Por lo tanto, es crítico que los médicos de la seguridad de la informaciónentienden la necesidad de salvaguardar los datos sí mismo y los sistemas y los usosque asisten al proceso de eso a datos. Las protecciones contra código, vulnerabilidadesde la base de datos, y defectos malévolos del desarrollo del sistema/del uso se debenponer en ejecución en cada organización tecnología-enterada.
Hay un número de objetos malévolos del código que pueden plantear una amenaza alos recursos que computan de organizaciones. En no distribuido el ambiente, talesamenazas incluyen virus, bombas de la lógica, los caballos de Trojan, y los gusanos. Elcapítulo 8 cava más profundamente en los tipos específicos de objetos malévolos delcódigo, así como otros ataques de uso general por los hackers. También exploraremosalgunos mecanismos de defensa eficaces para salvaguardar tu red contra sus efectosinsidiosos.
Por este punto, ninguna duda reconoces la importancia de colocar controles de accesoadecuados y rastros de intervención en estos recursos valiosos de la información. Laseguridad de la base de datos es un campo rápidamente cada vez mayor; si las basesde datos desempeñan un papel importante en tus deberes de la seguridad, tomar laépoca de sentarse abajo con los administradores, los cursos, y los libros de textos de labase de datos y de aprender la teoría subyacente. Es una inversión valiosa.
Finalmente, hay los varios controles que se pueden poner en lugar durante el procesodel desarrollo del sistema y del uso para asegurarse de que el producto final de estosprocesos es compatible con la operación en un ambiente seguro. Tales controlesincluyen el aislamiento, la abstracción de la segmentación del hardware, y los acuerdosde proceso del porcentaje de disponibilidad (SLAs). La seguridad se debe introducirsiempre en las fases tempranas del planeamiento de cualquier proyecto del desarrollo ysupervisar continuamente a través del diseño, del desarrollo, del despliegue, y de lasfases del mantenimiento de producción.
Elementos esenciales de examen
239
Comprenda las amenazas de aplicación presentes en una junta local / non ambientedistribuido. Describa el funcionar de virus, gusanos, caballos de Troya, y bombas delógica.
Comprenda el impacto que cada tipo de amenaza puede tener sobre un sistema y losmétodos que usan para propagarse.Comprenda las amenazas de aplicación únicas en los ambientes de computacióndistribuidos. Lo sepaBásico funcionar de Agentes y el impacto que pueden tener sobre la seguridad decomputadora / red.Comprenda la funcionalidad detrás de applets de Java y controles de ActiveX y puedadeterminar los niveles de seguridad de applet apropiados para un ambiente decomputación en particular.
Explique la arquitectura básica de un (RDBMSF) de sistema de gestión de bases dedatos relacionales. Sepa la estructura de bancos de datos relacionados. Poder explicarla función de mesas (las relaciones),Hileras (los registros / tuples), y columnas (campos / atributos). Sepa cómo sondefinidas las relaciones entre tablas.
Tenga entendido que lo vario clases de teclas solían identificar la información guardadaen una base de datos. Usted debe estar familiarizado con lo básico clases de teclas.Comprenda que cada mesa tiene uno o más candidato teclas que son elegidas de unencabezamiento de columna en una base de datos y que identifica hilerasexcepcionalmente dentro de una mesa. El diseñador de base de datos escoge una teclade candidato como la tecla principal para la tabla.Las claves extranjeras son use hacer cumplir la integridad referencial entre mesasparticipando en una relación.
Explique las amenazas de seguridad de base de datos planteadas por conjunto einferencia y las contramedidas apropiadas. El conjunto utiliza las funciones de base dedatos especializadas para empatar las conclusiones sobre uno grande cantidad dedatos sobre la base de los registros individuales. El acceso para estas funciones debeestar restringido si la información total es considerada más confidencial que los registrosindividuales. La inferencia ocurre cuando los usuarios de base de datos pueden deducirlos hechos sensibles de la información menos - confidencial. Polyinstantiation es unterreno comunal que la defensa en contra de la inferencia ataca.
Sepa lo vario clases de almacenamiento. Explique las diferencias entre la memoriaprincipal y la memoria virtual de almacenamiento y almacenamiento secundario virtual,de acceso aleatorio almacenamiento y secuencial acceda al almacenamiento, yalmacenamiento imprevisible y almacenamiento de no imprevisible.
240
Explique cómo funcionan los sistemas expertos. Los sistemas expertos constan de doscomponentes principales:Una base de conocimientos de la que eso contiene una serie "Si / entonces/luego"reglas y una motor de inferencia que usa esa información para empatar lasconclusiones sobre los otros datos.
Describa el funcionar de redes neurales. Las redes neurales simulan el funcionar de lamente humana a una extensión limitada organizando a series de cálculos en capassolucionar los problemas. Las redes neurales requieren el entrenamiento extensivosobre un problema especial antes de que puedan ofrecer las soluciones.
Comprenda la cascada y los modelos en espiral de desarrollo de sistemas. Sepa que elmodelo de cascada describe un proceso de desarrollo secuencial que resulta en eldesarrollo de un producto terminado. Los desarrolladores pueden apoyar solamente unafase en el proceso el paso si los errores son descubiertos.El modelo en espiral del que los usos a los que algunas repeticiones de la cascadatrabajan de modelo causan un número completamente especificó y evaluó prototipos.
Describa la diferencia entre la certificación y la acreditación y lo vario clases deacreditación.Comprenda la certificación y los procesos de acreditación utilizados por los EE.UU...Ministerio de Defensa y todos otros ejecutivos agencias gubernamentales. Describa lasdiferencias entre la acreditación de sistema, la acreditación de sitio, y la acreditación detipo.
Explique el plan de protección de anillo. Comprenda los cuatro anillos del plan deprotección de anillo y las actividades que ocurren típicamente dentro de cada anillo.Saber que la mayoría de los sistemas operativos solamente implementan 0 de nivel (elmodo confidencial o supervisor) y ¿3 de nivel estar (protegido o el usuario modo).
Describa la función del núcleo de seguridad y el monitor de referencia. El núcleo deseguridad es el juego de núcleo de servicios de sistema operativo que maneja elusuario solicitudes para el acceso para recursos de sistema. El monitor de referencia esuna parte del núcleo de seguridad que valida el usuario solicitudes contra losmecanismos de control de acceso del sistema.
Comprenda los cuatro modos de seguridad aprobados por el Ministerio de Defensa.Sepa las diferencias entre modo de seguridad compartida modo de seguridad dedicado,modo de seguridad de multinivel, y modo de seguridad sistema -alto. Comprenda lodiferente clases de información confidencial que puede ser procesada en cada modo ylos clases de usuarios que pueden acceder a cada sistema.
Laboratorio escrito
241
Responda a las siguientes preguntas sobre los datos y los asuntos de seguridad deaplicación.1. ¿Cómo un gusano se desplaza de sistema a sistema?2. Describa tres beneficios de usar applets para aplicaciones de Web en lugar de laclave en el servidor.3. Lo que es los tres requisitos puestos para un monitor de referencia en funcionamientoen una computación segura¿El sistema?4. ¿Qué sistemas operativos son capaz de procesar controles de ActiveX puestos sobreun sitio web?5. Qué tipo de la tecla es seleccionado por el desarrollador de base de datos identificarlos datos excepcionalmente dentro uno¿La tabla de banco de datos relacionados?6. El lo que la técnica de seguridad de base de datos parece permitir la inserción dehileras múltiples compartir¿La misma información excepcionalmente identificando?7. ¿Qué tipo de almacén es referido a como un disco RAM comúnmente?8. Nombre las cuatro fases del DITSCAP y los procesos de NIACAP.9. Identificar los tres tipos de la acreditación consentidos a sistemas bajo el DITSCAP yProcesos de NIACAP.10. Cuán lejos de atrás para adelante permite que desarrolladores viajen cuando undesarrollo el modelo de cascadaLa falla es descubierta?
Preguntas de evaluación
1. Que uno de los siguientes objetos de clave maliciosos podrían ser insertados en unaaplicación por uno descontentoDesarrollador de software con el propósito de destruir los datos de sistema sobre lasupresión del¿La cuenta (presumiblemente siguiendo su terminación) de desarrollador?A.. VirusB.. GusanoC.. Caballo de TroyaD.. Bomba de lógica
2. Qué término es usado para describir objetos de clave que actúan de parte de unusuario mientras operar hacia dentro uno de asistencia nula¿Manera?A.. AgenteB.. GusanoC.. AppletD.. Navegador
242
3. Una aplicación o el sistema al que eso es distribuido que un número de ubicacionesdiferentes es valorado para¿Qué tipo de la acreditación de seguridad de sistema de información?A.. Acreditación de sistemaB.. Acreditación de sitioC.. Acreditación de aplicaciónD.. Acreditación de tipo
4. ¿Cuál de las siguientes características puede ser use diferenciar gusanos de virus?A. Los gusanos contagian un sistema sobrescribiendo los datos en el amo registro debota de uno división de almacenamiento.B. Gusanos se extendieron de sistema a sistema sin la usuario intervención siempre.C. Los gusanos llevan una carga explosiva maliciosa que afecta sistemas infectadossiempre.D.. Todos del anterior.
5. ¿Qué (s) de lengua de programación puede ser use desarrollar controles de ActiveXpara el uso sobre un sitio en internet?A.. Visual BasicB.. CC.. JavaD.. Todos del anterior
6. Para qué es una aplicación muy importante o general el tipo de la acreditación deseguridad de sistema de informaciónRespaldar el sistema valorado?A. Acreditación de sistemaB. Acreditación de sitioC. Acreditación de aplicaciónD.. Acreditación de tipo
7. ¿Cuál de los siguientes tipos de tecla es use imponer la integridad referencial entretablas de base de datos?A. Tecla de candidatoB. Tecla principalC. Tecla extranjeraD.. Tecla excelente
8. Richard cree que un usuario de base de datos está abusando de sus privilegios sobrelos que adquirir la información elLa empresa en conjunto de compañía de la que las modas dando eso a las preguntascombinan los datos muchosRegistros. ¿Qué proceso está aprovechando el usuario de base de datos?A. InferenciaB.ContaminaciónC.Polyinstantiation
243
D. Conjunto
9. El lo que la técnica de base de datos puede ser use impedir usuarios no autorizadosdeterminar clasificado de¿La información notando la falta de la información normalmente asequible a ellos?A. InferenciaB. ManipulaciónC. PolyinstantiationD. Conjunto
10. Cuál de los siguientes términos poder ser use describir el RAM principal de unatípica computadora¿El sistema?A NonvolatileB. Acceso secuencialC. Memoria verdaderaD.. Memoria principal
11. ¿Qué tipo de la información es use constituir la base del proceso decisión - tomar deun sistema experto?A. A series of cálculos en capas ponderadosB. Input combinar de varios expertos humanos, añadido peso de acuerdo con elrendimiento anteriorC. Una serie de "Si / entonces/luego" gobernar codificado en una base deconocimientosD.. Un proceso decisión - tomar biológico por el que eso simula el proceso derazonamiento usado elMente humana
12. Cuál de los siguientes sistemas de detección de intrusión utilizar un sistema expertopara detectar¿La usuario actividad anómala?A. FotografíasB. IdiotaC. AAFIDD. NIDES
13. Porque en qué tipo de la acreditación de seguridad de sistema de información sonlas aplicaciones y los sistemas¿Una ubicación específica e independiente valorada?A. Acreditación de sistemaB. Acreditación de sitioC. Acreditación de aplicaciónD.. Acreditación de tipo
244
14. Qué modelo de ciclo vital de desarrollo de software tener en cuenta las repeticionesmúltiples del desarrolloEl proceso, resultando en prototipos múltiples, cada uno producido de acuerdo con undiseño completo y haciendo pruebas¿El proceso?A. Modelo de vencimiento de capacidad de softwareB. Modelo de cascadaC. Ciclo de desarrolloD.. Modelo en espiral
15. ¿En sistemas que utilizan un plan de protección de anillo, en qué nivel reside elgrano de seguridad?A. Nivel 0B. Nivel 1C. Nivel 2D.. Nivel 3
16. Qué riesgo para la seguridad de base de datos existir cuando los datos de un nivelde clasificación más alto son se relacionado con¿Los datos de un nivel de clasificación más bajo?A. ConjuntoB. InferenciaC. ContaminaciónD.. Polyinstantiation
17. Cuál de las siguientes lenguas de programación ser menos propenso a la inserciónde la clave maliciosa¿Por una tercera parte?A. C++B. JavaC. VBScriptD.. FORTRAN18. ¿Cuál de lo siguiente no es parte de el proceso de control de cambio?A. Control de solicitudB. Control de lanzamientoC. Auditoria de configuraciónD.. Control de Cambiar
19. Qué principio de dirección de transacción asegurar que dos transacciones noobstruyen cada uno¿El otro cuando afectan los mismos datos?A. AtómicoB. RegularidadC. AislamientoD.. Durabilidad
245
20. ¿Qué subconjunto del Lenguaje Estructurado de Consulta es use crear y modificarel esquema de base de datos?A. Lengua de definición de datosB. Lengua de estructura de datosC. Lenguaje de esquema de base de datosD.. Lengua de manipulación de base de datos
Responde a las preguntas de evaluación
1. D. La lógica de que las bombas son objetos de clave maliciosas programado paraestar tendido aletargado hasta la cierta condición lógica, como cierta fecha, el tiempo, elevento de sistema, o los otros criterios, es cubiertos. En ese momento, saltan en laacción, provocando su carga explosiva maliciosa.
2. A. Los Agentes inteligentes son objetos de clave programado para llevar a cabociertas operaciones de parte de un usuario en su falta. También son refer to como losrobots a menudo.
3. D. Una aplicación o el sistema que es distribuido a varias ubicaciones diferentes sonvalorados para la acreditación de tipo de DITSCAP y NIACAP.
4. B. La diferencia muy importante entre virus y gusanos es que los gusanos se estánidentificando- reproduciendo mientras que los virus requieren que la usuariointervención se extienda de sistema a sistema. La infección del amo registro deinicialización es una característica de una subclase de virus conocidos como los virusde MBR. Tantos virus como gusanos son capaces de llevar las cargas explosivasmaliciosas.
5. D. La tecnología de ActiveX de Microsoft soporta varias lenguas de programación,incluyendo el Visual Basic, C, el C++, y el Java. Por otro lado, solamente la lengua deJava puede ser use escribir applets de Java.
6. A. Una aplicación muy importante o sistema de apoyo general son valorado para laacreditación de sistema de DITSCAP y NIACAP.
7. C. Las teclas extranjeras son use imponer las restricciones de integridadreferenciales entre mesas que participan en una relación.
8. D. En este caso, el proceso que el usuario de base de datos está aprovechando es elconjunto. Los ataques de conjunto involucran el uso de las funciones de base de datos
�especializadas combinar la información de ‰’ ¢ÿ¢ÿv>’ registros de base de datospara revelar la información que puede ser más confidencial que la información en losregistros individuales sean revelados.
246
9. C. Polyinstantiation deja entrar la inserción de los registros múltiples que parecentener los mismos valores de tecla principales a una base de datos en niveles declasificación diferentes.
10. B. Memoria de acceso aleatorio (el RAM) permite el directo abordando de cualquierpunto dentro del recurso. Un medio de almacenamiento de acceso secuencial, comouna cinta magnética, requiere escanear a través del entero medios de comunicacióndesde el principio llegar a una dirección específica.
11. C. El experto del que los sistemas utilizan una base de conocimientos estarconstituido por una serie "Si / entonces/luego" sentencias de constituir las decisionessobre la base de la experiencia previa de expertos humanos.
12. D. El sistema de sistema experto (NIDES) de detección de intrusión de la siguientegeneración es un sistema de detección de intrusión fundado por sistema experto. PIX esunos cortafuegos, e idiota y AAFID son sistemas de detección de intrusión que noutilizan los sistemas expertos.
13. B. Las aplicaciones y las sistemas en una ubicación específica e independiente sonvalorados para la acreditación de sitio de DITSCAP y NIACAP.
14. D. El modelo en espiral permite que desarrolladores repitan las repeticiones de otromodelo de ciclo vital (como el modelo de cascada) para producir varios prototiposcompletamente evaluados.
15. A. El núcleo de seguridad y el monitor de referencia residen en 0 de nivel en elesquema de protección de anillo, donde tienen acceso libre para todos recursos desistema.
16. C. La contaminación es el mezclar de los datos de un nivel de clasificación más altoy/o requisito sólo si necesario con los datos de un nivel de clasificación más bajo y/orequisito sólo si necesario.
17. C. De las lenguas poner en una lista, VBScript es el least propenso a la modificaciónpor terceras partes porque es una lengua interpretada mientras que the other treslenguas (C++, Java y El FORTRAN) ser lenguas compiladas.
18. C. La auditoria de configuración es parte del proceso de dirección de configuraciónen vez del proceso de control de cambio.
19. C. El principio de aislamiento dice que dos transacciones que afectan los mismosdatos deben ser separadas de sí temporalmente de forma que uno no bloqueailegalmente con lo demás.20. A. La lengua de manipulación de datos (DML) es use hacer las modificaciones alesquema de un banco de datos relacionados.
247
Responde a laboratorio escrito
Los siguientes son las respuestas para las preguntas en el laboratorio escrito de estecapítulo:
1. Los gusanos se desplazan de sistema a sistema bajo su propio poder explotando losdefectos en el software de conexión en red.
2. La carga de procesamiento es cambiada del servidor al cliente, permitiendo que elservidor de web maneje más solicitudes simultáneas. El cliente use que recursoslocales procesen los datos, generalmente resultar en una reacción más rápida. Laprivacidad de los clientes datos es protegida porque la información no necesita sertransmitido al servidor de Web.
3. Debe ser inalterable, debe ser invocado siempre, y debe ser estar sujeto a los elanálisis y las pruebas, el estado completo de que puede ser seguro lo suficientementepequeño.
4. Plataformas de Microsoft Windows solamente.
5. Tecla principal.
6. Polyinstantiation.
7. Storage virtual.
8. La definición, la verificación, la validación, y Post Acreditación.
9. La acreditación de sistema, la acreditación de sitio, y la acreditación de tipo.
10. Una fase.Con formato: Justificado
248
ATAQUES MALÉVOLOS DEL CÓDIGO Y DEL USO
LOS ASUNTOS DEL EXAMEN DE CISSP CUBIERTOS EN ESTE CAPÍTULOINCLUYEN:
CODIGO MALEBOLO
MÉTODOS DE ATAQUE
Con formato: Justificado, Con viñetas+ Nivel: 1 + Alineación: 1.27 cm +Tabulación después de: 1.9 cm +Sangría: 1.9 cm
Con formato: Justificado
Con formato: Justificado, Con viñetas+ Nivel: 1 + Alineación: 1.27 cm +Tabulación después de: 1.9 cm +Sangría: 1.9 cm
Con formato: Justificado
249
En capítulos anteriores, aprendiste mucho sobre seguridad general principios y losmecanismos de la política y del procedimiento que ayudan a médicos de la seguridad adesarrollar la protección adecuada contra individuos malévolos. Este capítulo hecha unaojeada profundizando algunas de las amenazas específicas hechas frente sobre unabase diaria por los administradores en el campo.Este material no es solamente crítico para el examen de CISSP, él es también algo deinformación básica que un profesional de la seguridad de la computadora debe entenderpara practicar con eficacia su comercio. Comenzaremos este capítulo mirando losriesgos planteados por los virus del código, los gusanos, las bombas de la lógica, y loscaballos de Troya. Entonces echaremos una ojeada a algunas de las otras hazañas dela seguridad usadas por alguien que procura tener el acceso desautorizado a unsistema o evitar que los usuarios legítimos tengan tal acceso.
Código malévolo
Los objetos malévolos del código incluyen una amplia gama de las amenazasprogramadas de la seguridad de la computadora que explotan la red, el sistemaoperativo, el software, y vulnerabilidades físicas de la seguridad para separar las cargasútiles malévolas a los sistemas informáticos. Algunos objetos malévolos del código,tales como virus de la computadora y caballos de Troya, dependen de usoirresponsable de la computadora del lado de los seres humanos. Otros objetos, talescomo gusanos, extensión rápidamente entre sistemas vulnerables bajo su propiaenergía. Todos los médicos de la seguridad de la computadora deben estar al corrientede los riesgos planteados por los varios tipos de objetos malévolos del código así quepueden desarrollar contramedidas adecuadas para proteger los sistemas bajo sucuidado así como respuestas apropiadas del instrumento si se comprometen sussistemas.
Fuentes
¿De dónde viene el código malévolo? En los primeros días de la seguridad de lacomputadora, los programadores del código malévolo eran extremadamente expertosdel software equivocado, hacían completamente técnicas malévolas innovadoras delcódigo a mano. De hecho, sirvieron realmente una función algo útil exponiendo losagujeros de la seguridad en paquetes de software populares y sistemas operativos,levantando el conocimiento de la seguridad de la comunidad que computaba. Para unejemplo de este tipo de escritor del código, ver el sidebar en este capítulo dado derecho“RTM y el gusano del Internet.” Los tiempos modernos han dado lugar al individuomalévolo del kiddie de la escritura que no entiende la tecnología detrás devulnerabilidades de la seguridad sino del software listo para utilizar de las transferencias
Con formato: Ancho columna nº 1:15.24 cm, Sin Forzar ancho decolumna igual
Con formato: Justificado
250
directas (o escrituras) del Internet y los utiliza para lanzar ataques contra sistemasalejados. Esta tendencia dio a luz a una nueva casta del software de la creación delvirus que permite que cualquier persona con un nivel mínimo de la maestría técnicacree un virus y que lo desatraillé sobre el Internet. Esto se refleja en el número grandede los virus documentados por autoridades del antivirus hasta la fecha. Estosreveladores malévolos aficionados del código son generalmente experimentación justacon la herramienta nueva que descargaron o procurando causar los problemas para unoo dos enemigos. Desafortunadamente, estos objetos se separan a veces rápidamente ycausan los problemas para los usuarios del Internet en general.
Virus
El virus de la computadora es quizás la forma más temprana de código malévolo paraplagar a administradores de la seguridad. De hecho, los virus son tan frecuentes hoy endía que los brotes importantes reciben la atención de los medios de comunicación yprovocan histeria suave entre los usuarios medios de la computadora. Según Symantec,uno de los vendedores principales del software del antivirus, allí era aproximadamente65.000 tensiones de los virus que vagaban la red global a principios de 2004. Loscentenares de millares de variaciones de estos virus pulsan a usuarios a sospechar dela computadora cada día. Muchos llevan las cargas útiles malévolas que causan el dañoque se extiende en alcance de exhibir un mensaje profane en la pantalla toda la maneraa causar la destrucción completa de todos los datos almacenados en el disco duro local.Como con los virus biológicos, los virus de la computadora tienen la propagaciónprincipal y destrucción de dos funciones. Los miscreants que crean viruscuidadosamente diseñan código para poner estas funciones en ejecución en los nuevose innovadores métodos que esperan la detección del escape y puentean tecnologíacada vez más sofisticada del antivirus. Es justa decir que una carrera de armamentos seha convertido entre los escritores y los técnicos del antivirus, cada uno del virusesperando desarrollar paso de la tecnología una delante de la otra. La función de lapropagación define cómo el virus se separará de sistema al sistema, infectando cadamáquina que deja en su estela. La carga útil de un virus entrega la energía destructivaponiendo cualquier en ejecución actividad malévola tenía el escritor del virus en mente.
Técnicas de la propagación del virus
Por la definición, un virus debe contener la tecnología que te permite separarse desistema al sistema, ayudada a veces a sospechar al usuarios de la computadora queintentan compartir datos intercambiando discos, compartiendo recursos del equipo dered, enviando el correo electrónico, o usando algunos otros medios. Una vez que hayantocado un nuevo sistema, utilizan una de varias técnicas de la propagación para infectar
251
a la nueva víctima y para ampliar su alcance. En las secciones siguientes, miraremostres técnicas comunes de la propagación: Infección principal del expediente delcargador, infección del archivo, e infección macro.
Virus Principales Del Expediente Del Cargador (MBR)
El virus principal del expediente del cargador (MBR) es una de las formas sabidas mástempranas de infección del virus. Estos virus atacan el MBR, la porción de unaimpulsión dura o la disquete que la computadora utiliza cargar el sistema operativodurante el proceso del cargador. Porque el MBR es extremadamente pequeño(generalmente 512 octetos), no puede contener todo el código requerido para poner lapropagación y las funciones destructivas del virus en ejecución. Para puentear estalimitación del espacio, los virus de MBR almacenan a mayoría de su código en otraporción de los medios de almacenaje. Cuando el sistema lee el MBR infectado, el virusle manda leer y ejecutar el código almacenado en esta localización alterna, de tal modocargando el virus entero en memoria y potencialmente accionando la entrega de lacarga útil del virus.
El sector del cargador y el expediente principal del cargador
Usted verá a menudo el sector y el amo del cargador de los términos patear elexpediente usado alternativamente para describir la porción de un dispositivo dealmacenaje usado para cargar el sistema operativo y los tipos de virus que ataquen eseproceso. Esto no está técnicamente correcto. El MBR es un sector solo del disco,normalmente el primer sector de los medios que se lee adentro las etapas iniciales delproceso del cargador. MBR se determina qué partición de los medios contiene elsistema operativo y después ordena el sistema leer el sector del cargador de esapartición para cargar el sistema operativo. Los virus pueden atacar el MBR y el sectordel cargador, con resultados substancialmente similares. Los virus de MBR actúanvolviendo a dirigir el sistema a un sector infectado del cargador, que carga el virus enmemoria antes de cargar el sistema operativo del sector legítimo del cargador. Los virusdel sector del cargador infectan el sector legítimo del cargador y se cargan realmente enmemoria durante el proceso de la carga del sistema operativo.
Con formato: Justificado
Con formato: Justificado
252
La mayoría de los virus de MBR se separan entre los sistemas con el uso de undisquete infectado compartida inadvertidamente entre los usuarios. Si el disco infectadoestá en la impulsión durante el proceso del cargador, el sistema de blanco lee MBRinfectado del disco blando y las cargas del virus en memoria, infecta el MBR en laimpulsión dura del sistema de blanco, y separa su infección a otra máquina.
Virus de Infector del archivo
Muchos virus infectan diversos tipos de ficheros ejecutables y de disparador cuando elsistema operativo procura ejecutarlos. Para sistemas Windows, estos archivos terminancon extensiones del EXE y del COM. Las rutinas de la propagación de los virus delinfector del archivo pueden alterar levemente el código de un programa ejecutable, porlo tanto implantando la tecnología el virus necesita replegar y dañar el sistema. Enalgunos casos, el virus pudo sustituir realmente el archivo entero por una versióninfectada. Los virus estándares del infector del archivo que no utilizan disimular técnicascomo stealth o el cifrado (véase que la sección titulada las "tecnologías del virus" eneste capítulo) a menudo es detectada más adelante fácilmente comparando la infecciónde las características del archivo (tales como fecha del tamaño y de la modificación)antes y después o comparando valores del picadillo. La sección titulada los"mecanismos de Antivirus" proporciona los detalles técnicos detrás de estas técnicas.Una variación del virus del infector del archivo es el virus del compañero. Estos virusson los ficheros ejecutables a los cuales escape la detección usando un nombre defichero similar, pero levemente diferente autónomo de, un archivo legítimo del sistemaoperativo. Confían en las extensiones del defecto que DOS-BASARON sistemasoperativos añaden a los comandos al ejecutar programa archivan (COM, EXE, y BAT,en esa orden). Por ejemplo, si usted tenía un programa sobre su disco duro nombradoGAME.EXE, un virus del compañero pudo utilizar el nombre GAME.COM. Si ustedentonces abre un DOS pronto y mecanografía simplemente el JUEGO, el sistemaoperativo ejecutaría el archivo del virus, GAME.COM, en vez del archivo que usted seprepuso realmente ejecutarse, GAME.EXE. Esto es una razón muy buena de evitar losatajos y de especificar completamente el nombre del archivo que usted deseaejecutarse al trabajar en el aviso del DOS.
Virus Macro
Muchos usos comunes del software ponen una cierta clase en ejecución defuncionalidad scripting para asistir con la automatización de tareas repetidoras. Estasfuncionalidades utilizan a menudo lenguajes simples, con todo de gran alcance, deprogramación como básico visual para los usos (VBA). Aunque las macros ofrecen de
253
hecho la gran productividad que realza oportunidades a los usuarios de la computadora,también exponen sistemas a otra avenida de los virus de la macro infección. Los virusmacro primero aparecieron en la escena a mediados de los años 90, utilizandotecnologías crudas para infectar los documentos creados en el ambiente popular deMicrosoft Word. Aunque eran relativamente sencillas, estos virus se separaronrápidamente porque la comunidad del antivirus no los anticipó y, por lo tanto, los usosdel antivirus no proporcionaron ninguna defensa contra ellos. Los virus macro seconvirtieron rápidamente más y más trivialidad, y los vendedores acometieron paramodificar sus plataformas del antivirus para explorar los documentos del uso para lasmacros malévolas. En 1999, la extensión del virus del toronjil con el uso de undocumento de la palabra que explotó una vulnerabilidad de la seguridad en MicrosoftOutlook para replegar. Lo infame es que el virus siguió rápidamente en sus talones,explotando vulnerabilidades similares a principios de 2000.
Aunque la mayoría extensa de virus macro infecta los documentos creados por los usosque pertenecen a la habitación de Microsoft Office (palabra incluyendo, sobresale,PowerPoint, acceso, y perspectiva), los usuarios de otros usos no son inmunes. Losvirus existen que infectan el loto, AmiPro, WordPerfect, y más.
254
PlataformasApenas la mayoría de los virus macro infectan los sistemas, se habilito la popular suitede aplicaciones de Microsoft Office, la mayoría de los virus de la computadora sediseñan para interrumpir actividad en los sistemas que funcionan las versiones delsistema operativo más popular del mundo Microsoft Windows. Se estima que menos deluno por ciento de los virus está diseñado para afectar otros sistemas operativos, talescomo Unix y MacOS. Éste puede ser el resultado de dos factores que influencian.Primero, realmente no hay sistema operativo de "Unix". Algo, hay series de muchossistemas operativos similares que pongan las mismas funciones en ejecución en unamanera similar y que sean diseñados independientemente por una gran cantidad dereveladores. Los esfuerzos corporativos de Largescale, como Solaris y SCO Unix delsun, compiten con la miríada de las versiones libremente disponibles del sistemaoperativo de Linux desarrollado por el público en grande. El número escarpado de lasversiones de Unix y el hecho de que están desarrollados en núcleos enteramentediversos (el código de la base de un sistema operativo) hacen difícil de escribir un virusque afectaría una porción grande de los sistemas de Unix. En segundo lugar, según unestudio nacional del predominio del virus de la asociación de la seguridad de lacomputadora (NCSA), 80 por ciento de todos los virus son virus macro, todos pero unporcentaje delgado de el cual los usos de Microsoft Office de la blanco. No haysimplemente una paquete de software para las plataformas de los Windows que esdondequiera cerca tan frecuente como la oficina está entre usuarios de la PC,haciéndola difícil de desarrollar los virus macro eficaces para las plataformas de losWindows. Eso dicha, los usuarios de Macintosh y de Unix no debe reclinarse sobre suslaureles. El hecho de que hay solamente algunos virus fuera allí de eso actitud un riesgoa su sistema no significa que uno de esos virus no podría afectar su sistema en todomomento. Cualquier persona responsable de la seguridad de un sistema informáticodebe poner mecanismos adecuados del antivirus en ejecución para asegurar laseguridad continuada de sus recursos.
Mecanismos de AntivirusCasi en cada computadora de escritorio en servicio funciona hoy una cierta clase depaquete de software del antivirus. Los títulos de escritorio populares incluyen McAfeeVirusScan y Norton AntiVirus, pero hay una plétora de otros productos en el mercadoque ofrece hoy la protección para cualquier cosa contra un solo sistema a una empresaentera, tan bien como los paquetes diseñados para proteger contra tipos específicos deamenazas del virus, tales como E-mail de entrada.La mayoría extensa de estos paquetes utiliza un método conocido como detecciónbasada para identificar infecciones potenciales del virus en un sistema. Esencialmente,un paquete del antivirus mantiene una base de datos extremadamente grande quecontenga las características indicadoras de todos los virus sabidos. Dependiendo de los
Con formato: Sin Resaltar
Con formato: Sin Resaltar
Con formato: Sin Resaltar
Con formato: Sin Resaltar
255
ajustes del paquete y de la configuración del antivirus, explora medios de almacenajeperiódicamente, comprobando para saber si hay cualquier archivo que contengaemparejar de datos esos criterios. Si se detectan cualesquiera, el paquete del antivirustoma una de las acciones siguientes:
Si el software puede suprimir el virus, desinfecta los archivos afectados y restaura lamáquina a una condición segura.Si el software reconoce el virus pero no sabe desinfectar los archivos, puede poner encuarentena los archivos hasta que el usuario o un administrador puede examinarlosmanualmente.Si la seguridad settings/policies no prevé cuarentena o los archivos exceden un umbralpredefinido del peligro, el paquete del antivirus puede suprimir los archivos infectadosen una tentativa de preservar integridad del sistema.
Cuando usas una firma del paquete del antivirus, es esencial recordar que el paquete essolamente tan eficaz como el archivo de la definición del virus él se basa sobre. Si ustedno pone al día con frecuencia sus definiciones del virus (que requieren generalmente unhonorario anual de la suscripción), su software del antivirus no podrá detectar virusnuevamente creados. Con millares de virus que aparecen en el Internet cada año, unarchivo anticuado de la definición rápidamente hará sus defensas ineficaces. Otrospaquetes de la seguridad, tales como el paquete popular del aseguramiento de laintegridad de datos de Tripwire, también proporcionan una funcionalidad secundaria delantivirus. Tripwire se diseña para alertar a administradores de las modificacionesdesautorizadas del archivo. Se utiliza a menudo para detectar desfiguraciones del webserver y ataques similares, pero también puede proporcionar una cierta advertencia delas infecciones del virus si los ficheros ejecutables del sistema crítico, tales comoCOMMAND.COM, se modifican inesperado. Estos sistemas trabajan manteniendo unabase de datos de los valores del picadillo para todos los archivos almacenados en elsistema (véase el capítulo 9, "criptografía y los algoritmos dominantes privados," parauna discusión completa de las funciones del picadillo usadas para crear estos valores).Estos valores archivados del picadillo entonces se comparan a los valores computadosactuales para detectar cualquier archivo que fuera modificado entre los dos períodos.
Tecnologías del virusLas mejoras de la tecnología de la detección y de la extirpación del virus para resolverlas nuevas amenazas programadas por los reveladores malévolos, las nuevas clases devirus diseñaron derrotar esos sistemas emergen. Las secciones siguientes examinancuatro tipos específicos de virus que utilicen técnicas disimuladas en una tentativa deescapar virus del multipartite de la detección, virus del stealth, virus polimórficos, y viruscifrados.
Con formato: Sin Resaltar
Con formato: Sin Resaltar
256
Virus de MultipartiteLos virus de Multipartite utilizan más de una técnica de la propagación en una tentativade penetrar los sistemas que defienden contra solamente un método o el otro. Porejemplo, el virus de Marzia descubierto en 1993 infecta los archivos críticos del COM ydel EXE, lo más notablemente posible el fichero del sistema de COMMAND.COM,agregando 2.048 octetos de código malévolo a cada archivo. Esta característica localifica como virus del infector del archivo. Además, dos horas después de que infectaun sistema, escribe código malévolo al expediente principal del cargador del sistema,calificándolo como virus del sector del cargador.
Virus de Stealth
Los virus de Stealth se ocultan realmente tratando de forzar con el sistema operativopara engañar los paquetes del antivirus en el pensamiento de que está funcionandotodo normalmente. Por ejemplo, un virus del sector del cargador del stealth pudosobreescribirsobrescribir el expediente principal del cargador del sistema con códigomalévolo pero después también modificar la funcionalidad del acceso del archivo delsistema operativo para cubrir sus pistas. Cuando el paquete del antivirus solicita unacopia del MBR, el código modificado del sistema operativo provee de él exactamentequé el paquete del antivirus espera que considere una versión limpia del MBR libre decualquier firma del virus. Cómo siempre, cuando los cargadores del sistema, él leen elMBR infectado y cargan el virus en memoria.
Virus polimórficos
Los virus polimórficos modifican realmente su propio código mientras que viajan desistema al sistema. Las técnicas de la propagación y de la destrucción del virus siguensiendo exactamente iguales, pero la firma del virus es algo diferente cada vez queinfecta un nuevo sistema. Es la esperanza de los creador polimórficos del virus que estafirma constantemente que cambia hará los paquetes basados firma del antivirus inútiles.Sin embargo, los vendedores del antivirus tienen "agrietaron el código" de muchastécnicas del polimorfismo y las versiones actuales del software del antivirus puedendetectar virus polimórficos sabidos. La única preocupación que sigue habiendo es quedura a vendedores para generar los archivos necesarios de la firma para parar un viruspolimórfico en sus pistas, dando por resultado un período alargado que el virus puedefuncionar libremente en el Internet.
Virus Cifrados
257
Los virus cifrados utilizan técnicas criptográficas, tales como ésos descritos en elcapítulo 9, para evitar la detección. En su aspecto exterior, son realmenteabsolutamente similar a los virus polimórficos que cada sistema infectado tiene un viruscon una diversa firma. Sin embargo, no generan estas firmas modificadas cambiando sucódigo; en lugar, alteran la manera que los almacenan en el disco. Los virus cifradosutilizan un segmento muy corto del código, conocido como la rutina del desciframientodel virus, que contiene la información criptográfica necesaria para cargar y paradescifrar el código principal del virus almacenado a otra parte en el disco. Cadainfección utiliza una diversa llave criptográfica, haciendo el código principal aparecertotalmente diferente en cada sistema. Sin embargo, las rutinas del desciframiento delvirus con- a menudo las firmas indicadoras del tain que las hacen vulnerables a laspaquetes de software actualizadas del antivirus.
Bromas.No hay discusión de virus completa sin mencionar el fastidio y los recursos perdidoscausados por las bromas del virus. Casi cada usuario del E-mail tiene,contemporáneamente u otro, recibió un mensaje remitido por un amigo o un parienteque advierta de la amenaza más última del virus para vagar el Internet. Invariable, éste"virus pretendido" es el virus más destructivo destraillado siempre y ningún antivirusempaquete puede detectarlo y/o suprimir. Un ejemplo famoso de tal broma es la buenaadvertencia del virus de las épocas que primero emergió en el Internet en 1994 ytodavía circula hoy. Para más información sobre este asunto, el robo expertoRosenberger de la broma renombrada del virus corrige un Web site que contenga undepósito comprensivo de las bromas del virus. Usted puede encontrarlo enwww.vmyths.com.
Bombas de la lógica
Como usted aprendió en el capítulo 7, las bombas de la lógica son los objetosmalévolos del código que infectan un sistema y mienten inactivo hasta que sonaccionadas por la ocurrencia de unas o más condiciones. Los reveladores del softwareprograma a la mayoría extensa de bombas de la lógica en usos a la medida queintentan asegurarse de que su trabajo está destruido si salen inesperado de lacompañía. El capítulo anterior proporcionó varios ejemplos de este tipo de bomba de lalógica. Sin embargo, es importante recordar que, como cualquier objeto malévolo delcódigo, las bombas de la lógica vienen en muchas formas y tamaños. De hecho,muchos virus y caballos de Troyanos contienen a COM de la bomba de la lógicaponente. El virus famoso de Michel Ángelo causó un frenesí de los medios cuando fuedescubierto en 1991 debido al disparador de la bomba de la lógica que contuvo. El virus
258
infecta el expediente principal del cargador de un sistema con compartir de disquetesinfectadas y después se oculta hasta el cumpleaños de marcha 6th del artista italianofamoso Michel angelo Buonarroti. Esa fecha, suelta en la acción, cambiando formato lasimpulsiones duras de sistemas infectados y destruyendo todos los datos que contienen.
Caballos Troyanos
Los administradores de sistema advierten constantemente a los usuarios de lacomputadora para no descargar y para no instalar software del Internet a menos quesean absolutamente seguros él venga de una fuente confiada. En hecho, muchascompañías prohíben terminantemente la instalación de cualquier software no preescritopor el departamento de TI. Estas políticas sirven para reducir al mínimo el riesgo que lared de una organización será comprometida por un caballo de Troya un programa delsoftware que aparezca benévolo pero lleva un malévolo, detrás de la carga útil de lasescenas que tiene el potencial al estrago del wreak en un sistema o una red. Algunosdestruirán todos los datos almacenados en un sistema en una tentativa de causar unacantidad grande de daño adentro como brevemente marco de tiempo como sea posible.Algunos son bastante inofensivos. Por ejemplo, una serie de Trojans apareció en elInternet a mediados del 2002 que demandó proveer de usuarios de la PC la capacidadde funcionar los juegos diseñados para el sistema del juego de Microsoft Xbox en suscomputadoras. Cuando los usuarios funcionaron el programa, no trabajó simplemente.Sin embargo, también insertó un valor en el registro de Windows que hizo un Web pageespecífico abrir cada vez la computadora pateada. Los creador de Trojan esperabancobrar adentro en el rédito de publicidad generado opiniones de la página que su Web.Desafortunadamente para ellos, los expertos del antivirus descubrieron rápidamenteque sus intenciones verdaderas y el Web site fue cerrado. El orificio trasero es unTroyano bien conocido que afecta las varias versiones del sistema operativo deWindows. Para instalar detrás el orificio en los sistemas de usuarios sospechosos, losindividuos malévolos lo colocan dentro del paquete de la instalación para el softwarelegítimo. Cuando una víctima instala el software legítimo, sin conocimiento instalandetrás el orificio en el mismo tiempo. El paquete después funciona en el fondo y da amiscreant la capacidad de tener acceso remotamente a la computadora de la blanco yde tener el acceso administrativo.
GusanosLos gusanos plantean un riesgo sin par a la seguridad de la red. Contienen el mismopotencial destructivo que otros objetos malévolos del código con una torceduraagregada ellos propagan ellos mismos sin requerir ninguna intervención humana.
RTM y el Internet WormRTM y el gusano del Internet
Con formato: Sin Resaltar
259
En noviembre de 1988, un estudiante joven de la informática trajo el Internet del novatoa sus rodillas con algunas líneas del código de computadora. Un gusano malévolo queél demandó haber creado mientras que un experimento y lanzado accidentalmentesobre el Internet se separó rápidamente y estrelló una gran cantidad de sistemas. Estegusano se separó explotando cuatro agujeros específicos de la seguridad en el sistemaoperativo de Unix: Sendmail elimina errores de versiones Entonces actuales del modode la paquete de software popular del sendmail usada para encaminar mensajes delcorreo electrónico a través del Internet contuvo una vulnerabilidad de la seguridad. Estavulnerabilidad permitió que el gusano se separara enviando un mensaje especialmentehecho a mano del E-mail que contuvo el código del gusano al programa del sendmailsobre un sistema alejado. Cuando el sistema alejado procesó el mensaje, se infectó. Elataque de la contraseña el gusano también utilizó un ataque del diccionario paraprocurar acceder a los sistemas alejados utilizando el username y la contraseña de unusuario válido del sistema (usted encontrará más en ataques tionary del dic- másadelante en este capítulo). La vulnerabilidad del dedo el dedo para uso general delInternet popular permitió que los usuarios se determinaran quién fue entrada a unsistema alejado. las versiones Entonces-actuales del software del dedo contuvieron unavulnerabilidad del desbordamiento del almacenado intermediario que permitió que elgusano se separara (hay una discusión detallada de los desbordamientos delalmacenado intermediario más adelante en este capítulo). El programa del dedo se haquitado desde entonces de la mayoría de los sistemas Internet-conectados. Lasrelaciones después de que el gusano infectara un sistema, de la confianza analizabacualquier nave existente de la relación de la confianza con otros sistemas en la red yprocuró separarse a esos sistemas a través de la trayectoria confiada en. Estomultipronged el acercamiento hecho el gusano del Internet extremadamente peligroso.Afortunadamente, la comunidad (entonces-pequeña) de la seguridad de la computadorajuntó rápidamente a equipo de la grieta de los investigadores que desarmaron el gusanoy remendaron los sistemas afectados. Sus esfuerzos fueron facilitados por varias rutinasineficaces en el código del gusano que limitó el índice de su extensión. debido a lacarencia de la experiencia entre autoridades de la aplicación de ley y al sistema judicialen el ing con delitos informáticos, Morris del reparto recibió solamente una palmada enla muñeca para su trasgresión. Lo condenaron a la libertad condicional de tres años, a400 horas de servicio de comunidad, y a una multa $10.000 bajo acto del fraude y delabuso de computadora de 1986. Irónico, el padre de Morris, Roberto Morris, era ing delservicio como director del centro nacional de la seguridad de la computadora de laagencia de la seguridad nacional (NSA) (NCSC) a la hora del incidente.
260
El gusano del Internet era el primer incidente principal de la seguridad de lacomputadora a ocurrir en el Internet. Desde ese tiempo, los centenares de gusanosnuevos (con millares de tensiones variables) han destraillado su energía destructiva enel Internet. El gusano rojo del código recibido mucho de la atención de los medios en elverano de 2001 cuando se separó rápidamente entre el funcionamiento de losservidores sin parche versiones del servidor de información del Internet de Microsoft(IIS). El rojo del código realizó tres acciones malévolas en los sistemas que penetró:Seleccionó aleatoria mente centenares de direcciones del IP y después sondó esosanfitriones para ver si funcionaban una versión vulnerable de IIS. Cualquier sistema queencontrara fue comprometido rápidamente. El alcance de este rojo grandementemagnificado del código como cada anfitrión que infectó buscó muchas nuevas blancos.¡Desfiguró las páginas del HTML en el web server local, substituyendo el contenidonormal por la recepción del texto a http://www.worm.com! ¡Cortado Por Chinese Plantóuna bomba de la lógica que iniciaría una negación del ataque del servicio (DOS) contrala dirección IP 198.137.240.91, que en aquella 'época perteneció al web server querecibía el Home Page de la casa blanca. los administradores de rápido pensamiento dela tela del gobierno cambiaron el IP address de la casa blanca antes de que el ataquecomenzara realmente. La energía destructiva del gusano del Internet, cifra rojo, y susmuchas variantes plantean un riesgo extremo al Internet moderno. Esto presenta unadiscusión fuerte de que los administradores de sistema simplemente deban asegurarque apliquen remiendos apropiados de la seguridad a sus tems Internet-conectados delsistema como los vendedores del software los lanzan. Un arreglo de la seguridad parala vulnerabilidad de IIS explotada por Code Red estaba disponible de Microsoft sobre unmes antes de que el gusano atacara el Internet. Tenía administradores de la seguridadlo aplicó puntualmente, rojo del código habría sido una falta desgraciada.
Contenido Activo
La demanda de aumento de los usuarios de la tela para un contenido más y másdinámico en los sitios que visitan ha creado un dilema para los administradores de latela. La entrega de este contenido dinámico requiere el uso de los usos de la tela que
261
pueden poner una carga de cómputo enorme en el servidor y la demanda creciente paraellos requiere la comisión de una gran cantidad de recursos. En un esfuerzo desolucionar este problema, los reveladores del software crearon el concepto delcontenido activo, los programas de la tela que se descargan a propias computadoras delos usuarios para los recursos laterales del servidor de la ejecución más bien que elconsumir. Estos programas, utilizando tecnologías tienen gusto de los Java applets Ylos controles de activeX, reducen grandemente la carga en el tiempo de espera delservidor y del cliente. La mayoría de los browsers de la tela permiten que los usuarioselijan tener el contenido activo descargado, instalado, y ejecutado automáticamente desitios confiados en. Desafortunadamente, esta misma tecnología puede plantear unaamenaza importante a los sistemas del cliente. Los usuarios de Unsuspecting puedendescargar el contenido activo del untrusted fuente y permiten que se ejecute en sussistemas, creando una vulnerabilidad significativa de la seguridad. Esta vulnerabilidadcondujo a la creación de un nuevo tipo entero de código malévolo el applet hostil. Comootras formas de malware, los applet hostiles tienen una variedad de intenciones, decausar una negación del ataque del servicio que consume simplemente recursos desistema a metas más insidiosas, tales como hurto de datos.
Contramedidas
Los medios primarios de la defensa contra código malévolo son el uso del software defiltración del antivirus. Estos paquetes son sobre todo sistemas basados firma,diseñados para detectar virus sabidos el funcionar en un sistema. Es sabio considerar elponer de los filtros del antivirus en ejecución en por lo menos tres áreas dominantes:Los sistemas del cliente cada sitio de trabajo en una red deben haber puesto al día elsoftware del antivirus que busca el sistema de ficheros local para código malévolo. Losservidores de los sistemas del servidor deben tener protecciones similares. Esto es aúnmás crítico que favorables sistemas tecting del cliente porque un solo virus en unservidor común podría separarse rápidamente a través hacia fuera de una red entera. Elcontenido filtra a mayoría de virus se intercambia hoy sobre el Internet. Es unmovimiento sabio poner en su filtración contenta de la red esa las exploraciones deentrada y el tráfico de salida del correo en ejecución electrónico y de la tela para lasmuestras del código malévolo.
Recuerde, la mayoría de los filtros del antivirus son firma basada. Por lo tanto, sonsolamente tan buenos como la actualización más reciente a sus archivos de ladefinición del virus. Es crítico que usted pone al día estos archivos con frecuencia,especialmente cuando un nuevo pedazo del código malévolo del alto-perfil aparece enel Internet. Los filtros basados firma confían en las descripciones de los virus sabidosproporcionados por los reveladores del software. Por lo tanto, hay un período del tiempo
262
entre cuando cualquier virus dado primero aparecer "en el salvaje" y cuando los filtrosactualizados se hacen disponibles. Hay dos soluciones a este problema usadocomúnmente hoy: La integridad que comprueba software, tal como Tripwire (una versiónde la abrir-fuente está disponible en www.tripwire.org), explora su sistema de ficherospara las modificaciones y los informes inesperados a usted sobre una base periódica.Los controles de acceso se deben mantener y hacer cumplir terminantemente paralimitar la capacidad del código malévolo de dañar sus datos y de separarse en su red.Hay dos técnicas adicionales usadas específicamente para evitar que los sistemas seaninfectados por el código malévolo encajado en contenido activo: El sandbox de Javaprovee de applet un ambiente aislado en el cual puedan funcionar con seguridad sin elacceso a los recursos de sistema críticos. La firma del control de activeX utiliza unsistema de firmas digitales para asegurarse de que el código origina de una fuenteconfiada en. Está hasta el usuario del extremo para determinarse si la fuenteautenticada debe ser confiada en. Para una explicación profundizada de la tecnologíadigital de la firma, vea el capítulo 10, "PKI y usos criptográficos."
Ataques De la Contraseña
Uno del uso más simple de los hackers de las técnicas de tener el acceso ilegítimo a unsistema debe aprender el username y la contraseña de un usuario autorizado delsistema. Una vez que hayan accedido como usuario regular, tienen un equilibrio en elsistema. En ese punto, pueden utilizar otras técnicas, incluyendo los paquetesautomatizados del rootkit, para ganar niveles crecientes del acceso al sistema (véase lasección "Rootkits" más adelante en este capítulo). Pueden también utilizar el sistemacomprometido como saltar del punto para los ataques contra otro, blancos másatractivas en la misma red. Las secciones siguientes examinan uso de tres hackers delos métodos de aprender las contraseñas de usuarios legítimos y de tener acceso a unsistema: contraseña que conjetura ataques, ataques del diccionario, y ataques socialesde la ingeniería. Muchos de estos ataques confían en mecanismos débiles delalmacenaje de la contraseña. Por ejemplo, el almacén de muchos sistemas operativosde Unix cifró versiones de la contraseña de un usuario en el archivo de /etc/passwd.
Conjetura del Password
En el tipo más básico de ataque de la contraseña, los hackers procuran simplementeconjeturar la contraseña de un usuario. No importa cómo los usuarios de muchaeducación de la seguridad reciben, utilizan a menudo contraseñas extremadamentedébiles. Si los hackers pueden obtener una lista de los usuarios autorizados delsistema, pueden calcular a menudo rápidamente fuera de los usernames correctos. (enla mayoría de las redes, los usernames consisten en la primera inicial del nombre del
263
usuario seguido por una porción de su nombre pasado.) Con esta información, puedencomenzar a hacer algunas conjeturas educadas sobre la contraseña del usuario. Lacontraseña lo más comúnmente posible usada es una cierta forma del nombre pasadodel usuario, de nombre, o de username. Por ejemplo, el mchapple del usuario pudoutilizar el elppahcm débil de la contraseña porque es fácil recordar.Desafortunadamente, es también fácil conjeturar. Si esa tentativa falla, los hackers danvuelta a las listas extensamente disponibles de las contraseñas más comunes en elInternet. Algunos de éstos se demuestran en el sidebar "la mayoría de las contraseñascomunes."
Finalmente, un poco conocimiento sobre una persona puede proporcionar pistasextremadamente buenas a su palabra del paso. Mucha gente utiliza el nombre de unesposo, de un niño, de un animal doméstico de la familia, de un pariente, o de un actorpreferido. Las contraseñas comunes también incluyen los cumpleaños, aniversarios,números de Seguridad Social, números de teléfono, y (créalo o no!) Pernos de laAtmósfera.
Ataques Del Diccionario
Según lo mencionado previamente, el almacén de muchos sistemas de Unix cifróversiones de las contraseñas del usuario en un archivo de /etc/passwd accesible atodos los usuarios del sistema. Para proporcionar un cierto nivel de la seguridad, elarchivo no contiene las contraseñas reales del usuario; contiene un valor cifradoobtenido de una función unidireccional del cifrado (véase el capítulo 9 para unadiscusión de las funciones del cifrado). Cuando un usuario procura entrar al sistema,tenga acceso a las rutinas de la verificación utilizan la misma función del cifrado paracifrar la palabra del paso incorporada por el usuario y después para compararla con laversión cifrada de la contraseña real almacenada en el archivo de /etc/passwd. Si losvalores emparejan, no prohibe el usuario el acceso. El uso de los hackers de lacontraseña automatizó las herramientas como el programa de la grieta para funcionarlos ataques automatizados del diccionario que explotan una vulnerabilidad simple eneste mecanismo. Toman un archivo de diccionario grande que contenga millares depalabras y después funcionan la función del cifrado contra todas esas palabras paraobtener sus equivalentes cifrados. La grieta entonces busca el archivo de la contraseñapara cualquier valor cifrado para las cuales haya un fósforo en el diccionario cifrado.Cuando se encuentra un fósforo, divulga el username y la contraseña (en texto llano) y
Con formato: Justificado
264
el hacker accede al sistema. Suena como mecanismos simples de la seguridad y laeducación evitaría que los usuarios usaran las contraseñas que son conjeturadasfácilmente por Crack, pero la herramienta es asombrosamente eficaz en los sistemasvivos del ing-. Mientras que las nuevas versiones de la grieta se lanzan, característicasmás avanzadas se introducen para derrotar las técnicas comunes usadas por losusuarios para derrotar reglas de la complejidad de la contraseña. Algunos de éstos seincluyen en la lista siguiente: Cambiando las letras de un diccionario redacte la adiciónde un número a una palabra del diccionario que substituye cada ocurrencia de la letra Oen una palabra del diccionario por el número 0 (o de la letra l con el número 1) quecombina dos palabras del diccionario en una cierta forma
Ingeniería Social
La ingeniería social es una del uso más eficaz de los hackers de las herramientas deacceder a un sistema. En su forma más básica, un ataque social de la ingenieríaconsiste en simplemente el llamar del usuario y el pedir su contraseña, presentándosecomo el representante de la ayuda técnica u otra figura de la autoridad que necesite lainformación inmediatamente. Afortunadamente, la mayoría de los usuarioscontemporáneos de la computadora están enterados de estos scams y la eficaciasimplemente de pedir a un usuario una contraseña se disminuye algo hoy. Sin embargo,la ingeniería social todavía plantea una amenaza significativa a la seguridad decontraseñas (y de redes en general). Los hackers pueden obtener a menudo lainformación personal sensible "charlando encima" de usuarios de la computadora, dechismes de la oficina, y de personal administrativo. Esta información puede proporcionarla munición excelente al montar una contraseña que conjetura ataque. Además, loshackers pueden obtener a veces la topografía de la red o los datos sensibles de laconfiguración que son útiles al planear otros tipos de ataques electrónicos contra unaorganización.
ContramedidasLa piedra angular de cualquier programa de la seguridad es educación. El personal dela seguridad debe recordar continuamente a usuarios la importancia de elegir unacontraseña segura y de mantenerla secreta. Los usuarios deben recibir elentrenamiento cuando primero incorporan una organización, y deben recibir elentrenamiento de refresco periódico, incluso si es justo un E-mail del administrador quelos recuerda las amenazas. Provea de los usuarios el conocimiento que necesitan crearcontraseñas seguras. Dígales sobre el uso de los hackers de las técnicas al conjeturarcontraseñas y déles el consejo sobre cómo crear una contraseña fuerte. Una de lastécnicas más eficaces de la contraseña debe utilizar un dispositivo mnemónico tal comopensamiento en un fácil recordar la oración y crear una contraseña fuera de la primera
265
letra de cada palabra. Por ejemplo, "mi hijo que Richard tiene gusto de comer 4empanadas" hizo MsRlte4p a la contraseña extremadamente fuerte. Una de lasequivocaciones más comunes incurridas en por los administradores de la seguridaddebe crear una serie de contraseñas fuertes y después asignarlas a los usuarios(quiénes entonces se previenen de cambiar su contraseña). En el primer vistazo, éstase parece ser una política sana de la seguridad. Sin embargo, la primera cosa que unusuario hará cuando reciben una contraseña como es 1mf0A8flt le lo escribe abajo enun poste nota y la pegan debajo del teclado de computadora. ¡Chillidos! La seguridadacaba de salir la ventana (o debajo del teclado)! Si su red incluye el sistema(s) defuncionamiento de Unix que pone el archivo de /etc/passwd en ejecucio'n, sider conusando un cierto otro mecanismo de la verificación del acceso a la seguridad delaumento. Una técnica popular disponible en muchas versiones de Unix y de Linux es eluso de un archivo de la contraseña de la sombra, /etc/shadow. Este archivo contiene lascontraseñas cifradas verdaderas de cada usuario, pero no es accesible a cualquierpersona con excepción del administrador. El archivo público accesible de /etc/passwdentonces contiene simplemente una lista de usernames sin los datos necesarios paramontar un ataque del diccionario.
Negación de los ataques del servicio
Como usted aprendió en el capítulo 2, de los individuos negación malévola del uso amenudo de los ataques del servicio (DOS) en una tentativa de prevenir a usuarioslegítimos de recursos que tienen acceso. Esto es a menudo un esfuerzo de la "zanjapasada" cuando un hacker realiza que no pueden penetrar un sistema si no puedotenerlo, después nadie puede. En las secciones siguientes, echaremos una ojeada lanegación de cinco específicos de los ataques del servicio y de los mecanismos queutilizan inhabilitar sistemas de cálculo. En algunos de estos ataques, un ataque de lafuerza bruta se utiliza, abrumando simplemente un sistema apuntado con tan muchaspeticiones que no pueda clase de la posición sibly fuera las legítimas de los que seanparte del ataque. Otros incluyen los comandos elegantes hechos a mano que hacensistemas vulnerables estrellarse o colgar indefinidamente.
Inundación de SYN
Recuerde del capítulo 2 que el protocolo de TCP/IP utiliza un proceso de tres vías delapretón de manos para instalar conexiones entre dos anfitriones. En una conexióntípica, el anfitrión el originar envía un solo paquete con la bandera de SYN permitida,procurando abrir un lado del canal de comunicaciones. El anfitrión de la destinaciónrecibe este paquete y envía una contestación con la bandera del ACK permitida(confirmando que el primer lado del canal está abierto) y la bandera de SYN permitida
266
(procurando abrir el canal reverso). Finalmente, el anfitrión el originar transmite unpaquete con la bandera del ACK permitida, confirmando que el canal reverso estáabierto y la conexión está establecida. Si, para algún hijo del rea-, el proceso no setermina, los anfitriones que se comunican dejan la conexión en mitad-abren el estadopor un período del tiempo predeterminado antes de abortar la tentativa. El procesoestándar del apretón de manos se ilustra en el cuadro 8.1. En un ataque de lainundación de SYN, los hackers utilizan el software especial que envía una grancantidad de paquetes falsos con el sistema de la bandera de SYN al sistema apuntado.La víctima después reserva el espacio en la memoria para la conexión y las tentativasde enviar la contestación estándar de SYN/ACK pero nunca lo oye detrás del autor.Este proceso repite centenares o aún millares de épocas, y la computadora apuntada seabruma y funciona eventual de los recursos disponibles para las conexiones mitad-abiertas. En aquella 'época, estrella o no hace caso simplemente de todas las peticionesde conexión de entrada porque no puede dirigir posiblemente más mitad-abreconexiones. Esto evita que cada uno los hackers y los usuarios legítimos conecten conla máquina y los resultados en una negación extremadamente eficaz del ataque delservicio. El proceso que saludare modificado inundación de la mano de SYN sedemuestra en el cuadro 8.2. El ataque de la inundación de SYN lisió muchos sistemasde cálculo en los últimos años 90 y el año 2000. Los servidores del Web eranespecialmente vulnerables a este tipo de ataque. Afortunadamente, los cortafuegosmodernos contienen tecnología especializada diseñada para prevenir ataquesacertados de la inundación de SYN en el futuro. Por ejemplo, el paquete popularFirewall-1 del software del punto de comprobación contiene la funcionalidad de SYNDefender que actúa mientras que un poder para las peticiones de SYN y abriga elsistema de la destinación de cualquier presa de peticiones.
Figura 8.1 Standard TCP/IP
Figura 8.2 Proceso modificado SYN
267
Herramientas de DoS Distribuidos
La negación distribuida de los ataques del servicio (DDoS) permite que los hackersacicalen la energía de muchos sistemas thirdparty para atacar el objetivo último.
En muchos ataques de DDoS, un hacker primero utilizará alguna u otra técnica paracomprometer una gran cantidad de sistemas. Entonces instalan en ésos el software delsistema comprometido que os permite participar en el ataque principal, alistando coneficacia esas máquinas en un ejército de atacantes.
Trinoo y la Tribal flood Network (TFN) son dos cajas de herramientas de uso general deDDoS. Los Hackers comprometen sistemas third-party e instalan clientes deTrinoo/TFN.
Cuando el hacker está satisfecho de que bastantes clientes están en espera, utilizan unservidor principal Trinoo/TFN para “despertar” a clientes e inician un ataque coordinadocontra un solo sistema de destino o la red de muchas direcciones. Las versionesactuales de Trinoo y de TFN permiten que el servidor principal inicie muchos ataquescomunes del DOS, incluyendo SYN foods y los ataques de Smurf, de las máquinas dethird party del cliente.
Los DDoS que usan estas cajas de herramientas plantea riesgo extremo a los sistemasconectados a Internet y que son muy difícil de defender contra dichos riesgos. Enfebrero de 2000, los hackers lanzaron una campaña semana-larga de DDoS contra unnúmero de Web site del alto-perfil, incluyendo los de Yahoo! , CNN, y Amazon.com. Losataques hicieron estos sitios virtualmente inaccesibles a los usuarios legítimos por unextenso tiempo. De hecho, muchos médicos de la seguridad consideran los ataques deDDoS la amenaza más grande que hace frente al Internet hoy.
268
Smurf
El ataque de Smurf toma al DdoS al siguiente nivel acicalando el poder de muchos third-party involuntarios para atacar un sistema. Los ataques que son como Smurfy son amplificados usando redes de third-party son conocidos ataques de negaciónreflexiva distribuida del servicio (DRDoS).
El ataque de Smurf DRDoS particularmente explota una vulnerabilidad en la puesta enpráctica de funcionalidad del Internet Control Message Protocol (ICMP)'s ping. El usoprevisto del ping permite que los usuarios envíen solo “estás ahí?” paquetes a otrossistemas. Si el sistema es vivo y responde, envía detrás un solo “sí, yo estoy” paquete.Esto ofrece una manera muy eficiente de comprobar conectividad de la red y dediagnosticar ediciones potenciales del establecimiento de una red. El intercambio típicoimplica solamente dos paquetes transitando la red y consumiendo mínimo de recursosde la computadora /la red.
En un ataque de Smurf, el sistema de origen crea un paquete ping falso que parece serde el objetivo del ataque. El destino del paquete es la dirección de emisión del third-party de la red. Por lo tanto, cada máquina en la red de third-party recibe una copia dela petición del ping. Según la petición que ellos recibieron, el creador es el sistema devíctima y cada máquina en la red envía un paquete "Sí, soy estoy” a la víctima.
El creador repite este proceso rápidamente enviando una gran cantidad de estaspeticiones a través de diversas redes intermediarias y la víctima rápidamente se abrumapor el número de peticiones. El flujo de datos de ataque de Smurf es ilustrado en laFigura 8.3. Un ataque similar es el Fraggle ataque, trabaja en la misma manera queSmurf pero en cambio usa Protocolo de Datagrama de Usuario (UDP) en vez del ICMP.
269
270
La prevención de ataques de Smurf depende del uso de reglas de filtraciónresponsables para las redes a través del Internet. Los administradores de sistemadeberían poner reglas en el gestor de tráfico y/o el cortafuego que prohíben paquetesde ping entrantes enviados a una dirección de emisión (o quizás hasta ¡prohibir pingentrantes completamente!). Además, los administradores deberían usar la filtración deegreso—una técnica que prohíbe en una red transmitir paquetes con IP a lasdirecciones que no pertenecen a la red. Esto impide a una red ser utilizada porindividuos malévolos que procuran iniciar un ataque Smurf o cualquier tipo de ataquemasquerading (ataque a una red remota).
Fraggle
El Fraggle es otro ataque DRDoS que trabaja en una manera muy similar a los ataquesde Smurf. Sin embargo, más bien que usar paquetes ICMP, Fraggle se aprovecha delos servicios de cambio y eco infrecuentes usados por el UDP. Un modo fácil deprevenir los ataques de Fraggle contra la son inhabilitar estos servicios. Es más queprobable que nunca nunca se tendrá un uso legítimo para ellos.
Teardrop
El ataque teardrop es un miembro de una subclase de ataques de DoS conocidos comoataques de fragmentación, que explotan vulnerabilidades en la funcionalidad de unanueva ensamble del fragmento del protocolo TCP/IP. Los administradores de sistemapueden configurar el tamaño máximo permitido para los paquetes del TCP/IP queatraviesa cada red que los lleva. Ellos eligen generalmente este valor basado sobre elhardware disponible, la calidad del servicio, y los parámetros típicos del tráfico de la redpara maximizar eficacia y rendimiento de procesamiento de la red.
Cuando una red recibe un paquete más grande que su tamaño de paquete aceptablemáximo, esto se rompe en dos o más fragmentos. A cada uno de estos fragmentos sele adjudica un tamaño (correspondiente a la longitud del fragmento) y unacompensación (correspondiente a la posición inicial del fragmento).Por ejemplo, si un paquete es 250 bytes de largo y el tamaño de paquete máximo parala redes 100 bytes, esto requerirá la fragmentación. En un correctamente funcionamiento deTCP/IP, el paquete sería roto en tres fragmentos, como se indica en la figura 8.4.
271
En el ataque del teardrop, los hackers utilizan el software que envió los fragmentos delpaquete que no se conforman con la especificación del protocolo. Específicamente,envían dos o más fragmentos superpuestos. Este proceso se ilustra en la figura 8.5. Elindividuo malévolo pudo enviar el fragmento 1, un fragmento perfectamente normal delpaquete de longitud 100. Bajo condiciones normales, este fragmento sería seguido porun segundo fragmento con la compensación 100 (que correlaciona a la longitud delprimer fragmento).
Sin embargo, en el ataque teardrop, el hacker envía un segundo fragmento con unacompensación de valor que es demasiado bajo, colocando el segundo fragmentoexactamente en el centro del primer fragmento. Cuando el sistema de recepción intentavolver a montar el paquete fragmentado, esto no sabe manejar correctamente losfragmentos que se superponen y no se congela ni se estrella.
272
Como con muchos de los ataques descritos, el ataque teardrop es una hazaña bienconocida y la mayor parte de vendedores de sistema operativo han liberado parches deseguridad que previenen este tipo de ataque de sistemas actualizados que lastiman .Sin embargo, los ataques como teardrop siguen causando daño cada día debido alabandono de los administradores de sistema que dejan de aplicar apropiados parches,dejando sus sistemas vulnerables a los ataques.
Land
El ataque DoS Land hace muchos más viejos los sistemas operativos (como elWindows NT 4, Windows 95, y SunOS 4.1.4) para congelar y comportarse de unamanera imprevisible. Esto trabaja por la creación un paquete TCP artificial que tenga labandera de SYN fijada. El atacante fija dirección de IP destino a la dirección de lamáquina de víctima y del puerto de destino a un puerto abierto en aquella máquina.Después, el atacante fija la dirección de IP origen y el puerto origen a los mismosvalores que la dirección IP y el puerto de destino. Cuando el host apuntado recibe estepaquete inusual, el sistema operativo no sabe procesarlo y se congela comportándosede una manera inusual.
DNS Poisoning
273
Otro ataque de DoS, DNS poisoning, trabaja sin tocar alguna vez al host apuntado. Encambio, esto explota vulnerabilidades en el protocolo Sistema de Nombre de Dominio(DNS) e intenta desviar el tráfico a un servidor alternativo sin el conocimiento de lavíctima apuntada.
Considere este ejemplo, suponer que un hacker quiere desviar todo el tráfico legítimode www.whitehouse.gov hacia un sitio alternativo, por decirwww.youvebeenhacked.com. Podemos asumir que el sitio de la Casa Blanca, como unobjetivo frecuente de hackeres, sea muy seguro. En vez procurar penetrar directamenteaquel sitio, el hacker podría tratar de insertar en el sistema DNS datos falsos queproporciona la dirección de IP de www.youvebeenhacked.com cuando los usuariospreguntan para la dirección de IP dewww.whitehouse.gov.
¿Cómo puede este pasar? Cuando usted crea un nombre de dominio, se usa uno devarios nombres de dominio registrados que sirven como cámaras de compensacióncentrales para registros DNS. Si un hacker es capaz de adelantar y tener acceso anuestra cuenta de registrados (o la infraestructura del registrador), ellos podrían sercapaces de cambiar los archivos de DNS sin su conocimiento.
En los primeros días de DNS, la autentificación era débil y los usuarios podía cambiar lainformación del DNS simplemente enviando un correo electrónico no certificado.Afortunadamente, los registradores han puesto es práctica desde entonces técnicasmás seguras de la autentificación para lo que utilizan tecnología criptográfica paraverificar identidades del usuario.
Advertencia!!!!!!
¡Las técnicas de autenticación de DNS le protegerán sólo si usted los usa!Asegurar que usted haya permitido todos los rasgos de seguridad ofrecidos por suregistrador.También, cuando un administrador abandona su organización, acuérdese de cambiarseellas contraseñas para cualquier cuenta solían manejar la información DNS.DNS Poisoning ¡es un camino fácil para un antiguo empleado descontento paraconseguir la venganza!
Código de campo cambiado
274
Ping of Death (Ping de la Muerte)
El ataque de negación del servicio que examinaremos es el ataque infame ping de lamuerte que plagó sistemas en los 1990s. Esta hazaña es realmente absolutamentesimple. Según la especificación del ICMP, el paquete permitido más grande del ICMP es65.536 bytes. Sin embargo, muchos reveladores del sistema operativo confiaronsimplemente en la asunción que las pilas del protocolo que enviaban las máquinas peronunca pensaron en que excederían este valor y no construyeron rutinas que manejanerror para supervisar los paquetes que excedieron este máximo.
Los hackers que procuran explotar la vulnerabilidad del ping de la muerte simplementeusan un programa de la generación de paquete para crear un paquete de pingdestinado para el host de la víctima con un tamaño de al menos 65,537 bytes.Si el sistema operativo de la víctima no comprueba la longitud del paquete y no procuraprocesarlo, los resultados imprevisibles ocurren. Algunos sistemas operativos puedencolgarse o estrellarse.
Después de que esta hazaña fuera descubierta, los fabricantes del sistema operativopusieron al día rápidamente su Algoritmos del ICMP para prevenir las ocurrenciasfuturas. Sin embargo, las máquinas que funcionan con viejas versiones de ciertossistemas operativos pueden todavía ser vulnerables a este ataque. Algunas versionesnotables incluyen Windows 3.11 y MacOS 7, junto con versiones de Windows 95,Windows NT 4, y Solaris 2.4-2.5.1. Si estás funcionando cualesquiera de esos sistemasoperativos en tu red, hay que ponerlos al día al nivel o a la versión apropiado delremiendo para protegerse contra esto hazaña.
Ataques de Aplicación
Desbordamientos del almacenador intermediario (Buffer Overflows)
Al crear software, los desarrolladores deben prestar atención especial a las variablesque permiten que el usuario ingrese. Muchos lenguajes de programación no hacencumplir los límites del tamaño en variables intrínsecamente-confían en el programadorpara realizar esto y limitan la comprobación en el código. Esto es una vulnerabilidadinherente porque muchos programadores sienten que la comprobación del parámetro es
275
una carga innecesaria y eso retrasa el proceso del desarrollo. Como responsable de laseguridad, es nuestra responsabilidad asegurarnos de que los desarrolladores en laorganización estén enterados de los riesgos planteados por vulnerabilidades deldesbordamiento del almacenador intermediario y tomar las medidas apropiadas paraproteger el código contra este tipo de ataque.
Siempre que una variable del programa permite que el usuario entre, el programadordebe tomar medidas para asegurarse de que cada uno de las condiciones siguientesestá resuelta:
El usuario no puede incorporar un valor más de largo que el tamaño de ningúnbuffer que lo sostendrá (por ejemplo, una palabra de 10 letras en una variable dela secuencia de 5 letras).
El usuario no puede incorporar un valor inválido para los tipos variables que lollevarán a cabo (ej., un carácter en una variable numérica).
El usuario no puede incorporar un valor que haga el programa funcionar afuerade sus parámetros especificados (ej., contestar a “sí o” preguntar no con“quizá”).
Se resuelve, que la falta de realizar controles simples para cerciorarse de que estascondiciones se cumplan puede dar lugar a una vulnerabilidad del desbordamiento delbuffer que pueda hacer al sistema estrellarse o aún permitir que el usuario ejecutecomandos y acceda al sistema. Las vulnerabilidades del desbordamiento del buffer sonespecialmente frecuentes en el código desarrollado rápidamente para la Web usando elCGI u otras idiomas que permiten que los programadores inexpertos creen rápidamentePáginas Web interactivos.
Tiempo de Comprobar al tiempo de Uso
El tiempo de control al tiempo de Uso (TOCTTOU) es una vulnerabilidad de lasincronización que ocurre cuando un programa comprueba permisos de accesodemasiado lejos antes de una petición del recurso. Por ejemplo, si un sistema operativoconstruye una lista comprensiva de los permisos de acceso para un usuario sobre laconexión y después consulta esa lista a través de la sesión de la conexión, unavulnerabilidad de TOCTTOU existe.
276
Si en el sistema el administrador revoca un permiso particular, esa restricción no seríaaplicado al usuario hasta la próxima vez que se abra una sesión. Si entran al usuariocuando ocurre la revocación del acceso, tendrán acceso al recurso indefinidamente. Elusuario necesita simplemente dejar la sesión abierta por días y las nuevas restriccionesnunca serán aplicadas.
Trap Doors ( Trampillas )
Trap Doors son las secuencias de comando indocumentadas que permiten que losdesarrolladores del software puenteen o eviten las restricciones normales del acceso.Son de uso frecuente durante el desarrollo y proceso de pruebas para acelerar elworkflow y evitar de forzar a los desarrolladores a certificar continuamente al sistema.De vez en cuando, los desarrolladores dejan estas trap doors en el sistema después deque esto alcanza una producción, por casualidades pueden “toma una ojeada” en susistema cuando está procesando los datos sensibles a los cuales no deben teneracceso.
Obviamente, la naturaleza indocumentada de estas trampillas la hace una amenazasignificativa a la seguridad de cualquier sistema que las contenga, especialmentecuando son indocumentadas y olvidadas. Si un desarrollador sale de la empresa,podrían utilizar más adelante las trap doors para tener acceso al sistema y pararecuperar la información confidencial o para participar en sabotaje industrial.
Rootkits
Rootkits son paquetes de software especializados que tienen solo un propósito- permitirque los hackers tengan el acceso ampliado a un sistema. Los Rootkits está librementedisponible en el Internet y explota vulnerabilidades conocidas en varios sistemasoperativos. Los Hackers obtienen a menudo el acceso a una cuenta estándar delusuario del sistema con el uso de un ataque de la contraseña o de una ingeniería socialy después utilizan un rootkit para aumentar su acceso al nivel de la raíz (oadministrador).
Hay administradores que pueden tomar medidas simples para proteger sus sistemascontra la mayoría de ataques rootkit y es nada nuevo. Los administradores debenmantenerse informados sobre los remiendos nuevos de la seguridad lanzados para lossistemas operativos usados en su ambiente aplicar estas medidas correctivas
277
constantemente. Este paso directo fortificará una red contra casi todos los ataques delrootkit tan bien como una gran cantidad de otras vulnerabilidades potenciales.
Ataques de Reconocimiento
Como con cualquier fuerza que ataca, los hackers requieren inteligencia sólida yenfocar con eficacia sus esfuerzos contra los objetivos que muy probablemente rendiránlos mejores resultados. Para concurrir con este punto, los desarrolladores de laherramienta del hacker han creado un número de herramientas automatizadas querealizan reconocimiento de la red. En las secciones siguientes, se examinará tres deellos: las pruebas de IP, exploraciones de puerto, y exploraciones de vulnerabilidad asícómo estas técnicas se pueden complementar por la técnica físicamente más intensivadel salto del dumpster.
Pruebas de IP (IP Probes)
Las de prueba del IP (también llamadas los barridos del IP) son a menudo el primer tipode reconocimiento de la red realizado contra una red apuntada. Con esta técnica, lasherramientas automatizadas procuran simplemente hacer un barrido a cada direcciónen una gama de direcciones. Los sistemas que responden a la petición del ping seregistran para el análisis adicional. Las direcciones que no producen una respuesta seasumen que son desusadas y se no hacen caso.
Las prueba del IP son extremadamente frecuentes en el Internet hoy en día. De hecho,si se configura un sistema con una dirección IP pública y lo conectas con el Internet,recibirás probablemente por lo menos una prueba del IP unas horas después deiniciación. El uso extenso de esta técnica da unas razones fuertes para laincapacitación de funcionalidad del ping, al menos para usuarios externos a una red.
Exploraciones del puerto
Después de que un hacker realice una prueba del IP, se dejan con una lista de sistemasactivos en una red dada. La tarea siguiente es seleccionar unos o más sistemas paraapuntar con ataques adicionales. A menudo, los hackers tienen un tipo de objetivo enlos servidores web, servidores de archivo, u otras operaciones críticas que son losprincipales.
278
Para reducir su búsqueda, los hackers usan el software de exploración de puerto paraprobar todos los sistemas activos en una red y determinar que servicios públicos estánfuncionando en cada máquina. Para ejemplo, si el hacker quiere apuntar a un servidorweb, ellos podrían dirigir una exploración de puerto para localizar algunos sistemas conun servicio que corre en puerto 80, el puerto por defecto para servicios HTTP.
Exploraciones de vulnerabilidad
La tercera técnica es la exploración de la vulnerabilidad. Una vez que el hackerdetermine un sistema específico para apuntar, necesitan descubrir en ese sistema unavulnerabilidad específica que se pueda explotar para ganar los permisos de accesodeseados. Una variedad de herramientas disponibles en Internet que ayudan con estatarea. Dos de los más populares son los exploradores de la vulnerabilidad de Satan yexploradores de vulnerabilidad Santos.
Estos paquetes contienen una base de datos de vulnerabilidades sabidas y probadas ensistemas apuntados para localizar defectos de seguridad. Entonces producen informesmuy atractivos que detallan cada vulnerabilidad detectada. De ese punto, essimplemente una cuestión de localizar una escritura que explote una vulnerabilidadespecífica y lanzar un ataque contra la víctima.
Es importante notar que los exploradores de vulnerabilidad son instrumentos muyautomatizados. Ellos pueden ser usados para lanzar un ataque contra un sistemaespecífico, pero es tan probable como que un hacker usó una serie de pruebas de IP,exploraciones de puerto, y vulnerabilidad explora para reducir una lista de víctimaspotenciales.
Otra vez, los sistemas operativos que actualizan simplemente al nivel de remiendo deseguridad más reciente pueden reparar casi cada debilidad relatada por un exploradorde vulnerabilidad. Además, los administradores aprenden a pensar como el enemigo —ellos descargan y dirigen estos exploradores de vulnerabilidad contra sus propias redes(con el permiso de dirección superior) para ver que agujeros podrían ser indicados a unhacker potencial. Este permite que ellos enfoquen rápidamente surecursos en fortificación de los puntos más débiles en sus redes.
Salto de Dumpster
279
Cada organización genera a menudo cantidades significativas de basura cada día.¿Has tomado siempre la época de clasificar a través de tu basura y de mirar lasensibilidad de los materiales que golpearon el compartimiento del reciclaje? Dé unintento — los resultados pueden asustarle. Cuando usted analiza el funcionamiento lospapeles tirados cada día, mírelos de la perspectiva de un hacker.
¿Que tipo de inteligencia podría usted elegir de ellos que podrían ayudarle a lanzar unataque?¿Hay allí datos confidenciales sobre configuraciones de red o versiones desoftware instaladas? ¿Una lista de los cumpleaños de los empleados de undepartamento particular que podría ser usado en un ataque de ingeniería social?¿Unmanual de política contiene procedimientos detallados en la creación de nuevascuentas? ¿Discos flexibles desechados otros medios de almacenaje?
El salto del Dumpster es uno de los instrumentos de hacker más viejos en el libro ytodavía es usado hoy. La mejor defensa contra estos ataques es completamente simpleaunque parecen más difíciles. Desfibradoras para departamentos claves y animar a losempleados a usarlos. Guarde la basura cerrada en un área seguro hasta que loscolectores lleguen. Un pequeño sentido común va con un camino largo en este área.
Ataques de Masquerading
Uno de los modos más fáciles de ganar acceso a recursos que usted por otra parte notiene derecho a usar es hacerse pasar por alguien que tiene realmente los permisos deacceso apropiados. En el mundo autónomo, los adolescentes a menudo toman prestadoel permiso de conducir de un hermano más viejo para comprar el alcohol — el mismo lacosa pasa en el mundo de seguridad de computadora. Los hackers toman prestadas lasidentidades de usuarios legítimos y sistemas para ganar la confianza de terceros. En lassecciones siguientes, miraremos a dos masquerading comunes IP spoofing y elsecuestro de sesión.
IP Spoofing
En un ataque IP spoofing, el individuo malévolo simplemente configura de nuevo susistema de modo que esto tenga la dirección de IP de un sistema confiado y luegointenta ganar el acceso a otros recursos externos.
280
Este es sorprendentemente y eficaz en muchas redes que no tienen instalados filtrosadecuados para impedir que ocurra este tipo de tráfico. Los administradores de sistemadeberían configurar filtros en el perímetro de cada red para asegurar que los paquetesencuentran al menos los criterios siguientes:
Los paquetes con direcciones internas del IP origen no entran en la red delexterior.
Los paquetes con direcciones externas de IP origen no salen de la red delinterior.
Los paquetes con direcciones de IP privadas no pasan por el gestor de tráfico encualquier dirección (a menos que este expresamente permitido como parte deuna configuración de intranet).
Estas tres reglas de filtración simples pueden eliminar la gran mayoría de ataques de IPspoofing y realzar enormemente la seguridad de una red.
Secuestro de Sesión (Session Hijacking)
El ataque secuestro de sesión ocurre cuando un individuo malévolo intercepta parte dela comunicación entre un usuario autorizado y un recurso y luego usa una técnica desecuestro para asumir la sesión y asume la identidad del usuario autorizado. La listasiguiente incluye algunas técnicas comunes:
La captura de detalles de la autenticación entre un cliente y servidor y usandoaquellos detalles de asumir la identidad del cliente.
Engañar al cliente en el conocimiento del sistema como el también del servidor,actuando como el intermediario cuando el cliente establece una unión legítimacon el servidor, y luego desconectar al cliente
Tener acceso a una aplicación de web usando los datos de un usuario que no secerró correctamente su sesión
Todas estas técnicas pueden tener resultados desastrosos para el usuario final y debenser dirigidas con ambos controles administrativos (como técnicas de autenticación yaplicación de controles de sesión que expiren dentro de un tiempo razonable).
Técnicas de Trampas
Los hackers no son los únicos con bromas o trucos, los administradores de seguridadtienen también las bromas leves a la mano y los usan para atraer a hackers en unsentido de la seguridad falsa. Después que ellos han tenido la oportunidad de observar
281
a hackers y remontar sus acciones hacia el origen, ellos envían la aplicación de la ley uotras autoridades para parar la actividad del malévolo. En las secciones siguientes,examinaremos dos técnicas usadas por administradores de sistema creativos: honeypots y pseudo-defectos.
Honey Pots
Los administradores crean a menudo sistemas de honey pots que parecen ser objetivosextremadamente lucrativos del hacker. Ellos pueden contener archivos que parecen sersensibles y/o valiosos o dirigir servicios falsos (como un servidor de web) que aparecencomo críticos a las operaciones de una organización. En realidad, estos sistemas sonsolamente un juego de trampas que permiten a los administradores supervisar y pararemontar sus actividades.
Pseudo-defectos
Los pseudo-defectos son vulnerabilidades falsas intencionadamente insertadas en unsistema con la tentativa de descubrir a hackers. Ellos a menudo son usados ensistemas de honey pots y en recursos críticos que emulen vulnerabilidades conocidasdel sistema operativo. Los Hackers que procuran explotar un defecto conocido podríatropezar a través de un pseudo-defecto y pensar que ellos han penetrado con éxito unsistema.
Más mecanismos de pseudo-defecto sofisticados simulan realmente la penetración y elconvencimiento al hacker de que hayan ganado privilegios de acceso adicionales a unsistema. Sin embargo, mientras que el hacker explora los límites de estos derechosrecién descubiertos, se esta y en el fondo sirven para alertar a los administradoressobre la amenaza y que aumente la postura defensiva que rodea recursos de redcríticos.
Resumen
A través de la historia, los criminales han sido siempre muy creativos. Pese a que lahumanidad ha puesto en su lugar mecanismos de seguridad para disuadirlos, loscriminales han encontrado métodos para evitarlos y alcanzar sus objetivos finales. Esteno es menos verdadero en el reino de la seguridad de computadora que en alguno otroaspecto de psicología criminal. Los hackers usan varios instrumentos automatizadospara realizar el reconocimiento de red entonces ellos pueden enfocar sus esfuerzos enlos objetivos con la mayor probabilidad para ceder los mejores resultados. Ejemplosincluya pruebas de IP, exploraciones de puerto, código malévolo, ataques de
282
contraseña, el DoS, aplicación de ataques, ataques de reconocimiento, ataquesmasquerading, y técnicas de trampas.
De ningún modo era este una mirada completa a todos los métodos de corte posibles.Los nuevos instrumentos y las técnicas aparecen en la subcultura de corte casi diario.Sin embargo, usted debería tener ahora un buena sensación para los tipos de hackers yde las armas que tienen a su disposición así como los mejores administradores deseguridad utilizan mecanismos de defensa que puedan usar para fortificar sus sistemasy redes protegidos contra intrusiones de hacker.
Recuerde las acciones claves siguientes que usted puede tomar para aumentarsu postura de seguridad:
Use contraseñas fuertes. Actualización de los sistemas operativos y las aplicaciones con seguridad para
reforzar cuando ellos son liberados. Uso del sentido común técnicas de filtración para asegurarse de que el tráfico en
su red es lo que aparece ser.
Preste atención particular a los detalles técnicos de los ataques presentados en estecapítulo. Estar al corriente con la tecnología que es la base de cada ataque y estar listopara identificarlos en un múltiplo formato. Como punto importante, los administradoresde sistema deben entender de las medidas preventivas que pueden aplicarse paraprevenir cada uno de aquellos ataques de ocurrir en redes protegidas.
Elementos necesarios para el Examen
Entienda las técnicas de propagación usadas por virus. Los virus usan tres propagaciónprincipal: infección de archivo, infección de sector de bota, e infección macro parapenetrar sistemas y extienda sus cargas útiles malévolas.
Sepa como los paquetes de software de antivirus descubren virus conocidos. La mayorparte de uso de programas de antivirus están en base a algoritmos de descubrimientopara buscar modelos reveladores de virus conocidos. Por ello requiere de actualizar
283
periódicamente archivos de definición de virus a fin de mantener protección contrarecientes virus.
Esté capaz de explicar que los virus de técnicas usan para evitar el descubrimiento. Losvirus usan el polimorfismo y codificación para evitar dejar huellas de firma. Los virus deMultipartite usan más que una técnica de propagación para infiltrarse en sistemas. Losvirus de cautela cambian sistemas operativos para engañar.
Entienda los principios básicos detrás de bombas lógicas, Caballos de Troya, ygusanos. Las bombas lógicas permanecen inactivas hasta que una o varias condicionessean encontradas. Entonces, ellos provocan su carga útil malévola. Los caballos deTroya penetran sistemas por masquerading como un programa benévolo soltando sucarga útil en el fondo.
Esté familiar con ataques de contraseña comunes y entender como desarrollarcontraseñas fuertes. Los hackers que intentan ganar acceso a un sistema usansinceramente la adivinación en la combinación con el diccionario y técnicas deingeniería sociales para aprender contraseñas de usuario. Los Administradores desistema debería poner en práctica programas de educación de seguridad y mandos desistema operativo para asegurar esto y que los usuarios eligen contraseñas fuertes.
Entienda el DoS y asigne medidas preventivas. use el DoS como inundación de SYN,ataques de fragmentación de lágrima, y el ping of death para mutilar sistemasapuntados. Ellos también acicalan el poder de la informática global por el uso de Smurf.
Esté familiar con varios tipos del uso de hackers de ataques de aplicación para explotarmal escrito software. Las vulnerabilidades de desbordamiento de buffers son una de lasmayores amenazas para la informática moderna. Los hackers también explotantrampillas, vulnerabilidades "el tiempo del control al tiempo del uso", y rootkits paraganar el acceso ilegítimo a un sistema.
Sepa las técnicas de reconocimiento de red usadas por hackers que se disponen aatacar una red. Antes de lanzar un ataque, los hackers usan barridos de IP paraaveriguar a anfitriones activos en una red.
Entienda técnicas de trampa usadas por administradores de sistema que procuranatraer a hackers en una trampa. Los administradores de sistema usan sistemas dehoney pots que parecen ser objetivos lucrativos, fáciles golpe para hackers en tentativasde apartar de ellos los sistemas críticos y rastrear sus actividades. Estos sistemaspodrían contener pseudo-defectos que son vulnerabilidades aparentes que realmente
284
no existen como tentativa de calmar a individuos malévolos en un sentido falso deseguridad.
Laboratorio Escrito
Conteste las siguientes preguntas sobre código malévolo y ataques de aplicación:
1. ¿Cuál es la diferencia principal entre un virus y un gusano?
2. Explicar los cuatro métodos de propagación usados por Robert Tappan elGusano de Internet de Morris.
3. Describir como TCP/IP handshaking tratan los trabajos y como los ataques SYNflood explota este proceso para causar un denegado servicio.
4. ¿Qué acciones un paquete de software de antivirus podría tomar cuando estodescubre un archivo infectado?
5. Explicar como un paquete de aseguramiento de integridad de datos comoTripwire proporciona unos virus secundarios de capacidades de descubrimiento.
285
Preguntas de Revisión
1. ¿Cuál es el tamaño del Registro Master Boot en un sistema instalado con unaconfiguración típica?
A. 256 bytesB. 512 bytesC. 1,024 bytesD. 2,048 bytes
2. ¿Cuántos pasos ocurren en el proceso estándar TCP/IP handshaking?A. UnB. DosC. TresD. Cuatro
3. De los siguientes tipos de ataques ¿Cuál confía sobre la diferencia entre elcronometraje de dos acontecimientos?
A. SmurfB. TOCTTOUC. TierraD. Fraggle
4. ¿Qué técnica de propagación usa el virus de Good Times para extender lainfección?
A. Infección de archivoB. Infección de sector boot
286
C. Infección macroD. Ninguno de los Anteriores
5. ¿Qué técnica de virus avanzada modifica el código malévolo de un virus en cadasistema que este infecta?
A. PolimorfismoB. CautelaC. CodificaciónD. Multipartitism
6. De los archivos siguientes ¿Qué podría ser modificado o creado por un virus decompañero?
A. COMMAND.EXEB. CONFIG.SYSC. AUTOEXEC.BATD. WIN32. DLL
7. Cuál es la mejor acción defensiva por la cual los administradores de sistemapueden tomar contra la amenaza planteada“los objetos de código malévolos flamantes que explotan vulnerabilidades desoftware conocidas”
A. Definiciones de antivirus de actualización mensualmenteB. Instalar filtros de antigusano en el servidor por poderesC. Aplicar remiendos de seguridad cuando ellos son liberadosD. Prohibir el uso de Internet en la red corporativa
8. ¿Cuál de las siguientes contraseñas menos probablemente va a estarcomprometida durante un ataque de diccionario?
A. mikeB. elppaC. dayorangeD. dlayna
9. ¿Qué archivo contribuye decisivamente a la prevención de ataques de diccionariocontra sistemas Unix?
A./etc/passwdB./etc/shadowC./etc/securityD./etc/pwlog
287
10. ¿Cuál de los siguientes instrumentos puede ser usado para lanzar un DdoScontra un sistema o red?
A. SatánB. SantoC. TrinooD. Nmap
11. ¿Cuál de los ataques de red siguientes toma ventajas de debilidades en lafuncionalidad del fragmento de una nueva sesión de la pila de protocolo TCP/IP?
A. TeardropB. SmurfC. Ping of deathD. SYN flood
12. ¿Qué tipo de ataque de reconocimiento provee a hackers la información útilsobre los servicios al correr en un sistema?
A. Secuestro de sesiónB. Exploración de puertoC. Salto de contenedorD. Barrido de IP
13. Un hacker localizó en la dirección de IP 12.8.0.1 y quiere lanzar un ataque deSmurf contra una máquina de víctima localizado en IP 129.74.15.12 y utilizan unared de tercero localizada en 141.190.0.0/16.¿Cuál sería la dirección de IP origen en el paquete que solo el hacker transmite?
A. 12.8.0.1B. 129.74.15.12C. 141.190.0.0D. 141.190.255.255
14. ¿Que tipo de virus utiliza más de una técnica de propagación para maximizar elnúmero de sistemas penetrados
A. Virus de cautelaB. Virus de compañeroC. Virus polimorfoD. Virus de Multipartite
15. ¿Cuál es el tamaño mínimo de un paquete que puede ser usado en un ataqueping of death?
A. 2,049 bytes
288
B. 16,385 bytesC. 32,769 bytesD. 65,537 bytes
16. Jim recientemente descargó una aplicación de un sitio Web que corrió dentro desu navegador y causó que su sistema se estrellara consumiendo todos los recursosdisponibles. De que tipo del código malévolo era Jim
A. VirusB. GusanoC. Caballo de TroyaD. Applet hostil
17. Alan es el administrador de seguridad para una red pública. En una tentativa dedescubrir tentativas de corte, él instaló un programa en sus servidores deproducción que imita un sistema operativo conocido que le permite la explotación deinformes y vulnerabilidad. ¿Este tipo de técnica es llamado?
A. Honey PotB. Pseudo-defectoC. CortafuegoD. Trampa de oso ( Bear Trap)
18. ¿Qué tecnología usa la lenguaje de Java para minimizar la amenaza planteadapor applets?
A. ConfidencialidadB. CodificaciónC. CautelaD. Cajón de arena
19. Renee es el administrador de seguridad para una red de investigación. Ellaintenta convencer a su jefe que ellos debieran incapacitar dos servicios-chargen nousados y eco. ¿Que ataque es más vulnerable en la red con este correr deservicios?
A. SmurfB. TierraC. FraggleD. Ping of Death
20. ¿Cuál de los ataques siguientes usa un paquete TCP con el juego de banderade SYN y fuente idéntica/ en el destino IP se dirige y puertos?
A. Smurf
289
B. TierraC. FraggleD. Ping of Death
Respuestas para Examinar las Preguntas
1. B. El Registro de Master Boot es un sector solo de un disco flexible o discoduro. Cada sector es normalmente de 512 bytes. El MBR contiene sólobastante información para dirigir la carga apropiada de el sistema operativo.
2. C. El TCP/IP handshake consiste en tres fases: SYN, SYN/ACK, y ACK.Ataques como el de SYN flood abusa de este proceso aprovechandodebilidades en el protocolo handshaking.
3. B. "El ataque tiempo del control al tiempo del uso" (TOCTTOU) confía sobreel cronometraje de la ejecución de dos acontecimientos.
4. D. El virus de Tiempos Bueno es una broma pesada famosa que realmenteno existe.
5. A. En una tentativa de evitar descubrimiento por paquetes de software deantivirus a base de firma, los virus polimorfos modifican su propio códigocada vez que ellos infectan un sistema.
6. A. Los virus de compañero son archivos ejecutables autónomos con nombresdel archivo similares a aquellos archivos de sistema/programa pero con unaextensión modificada. El archivo de virus es ejecutado cuando el usuarioconfiado escribe en una máquina el nombre del archivo sin la extensión en elsímbolo del sistema.
7. C. La gran mayoría de nuevos objetos de código malévolos explotavulnerabilidades conocidas que eran ya dirigido por fabricantes de software.Los mejores administradores pueden tomar contra esta acción es mantenerel nivel de remiendo de sus sistemas.
290
8. D. Todas las otras opciones son formas de palabras comunes que podríanser encontradas durante un ataque de diccionario. Mike es un nombre ysería fácilmente descubierto. El Elppa es simplemente la manzanadeletreada hacia atrás, y el dayorange combina dos palabras de diccionario.La grieta y otras utilidades pueden ver fácilmente por estas técnicas"disimuladas". El Dlayna es simplemente una cuerda arbitraria de carácteresque un diccionario el ataque no destaparía.
9. B. Los archivos de contraseña de la oposición mueven la información decontraseña codificada del en público legible /etc/passwd archivo alarchivo/etc/shadow protegido.
10. C. El Trinoo y la Red de Inundación Tribal (TFN) son los dos máscomúnmente usados para el ataque (DDoS). Los otros tres instrumentosmencionados son el reconocimiento de las técnicas que suelen trazar unmapa de redes y exploración para vulnerabilidades conocidas.
11. A. Los usos de ataque de teardrop que traslapan fragmentos de paquetepara aturdir un sistema objetivo y causa que el sistema se reanude o lleguea estrellarse.
12. B. Las exploraciones de puerto revelan los puertos asociados con serviciosque corren en una máquina y disponible a el público.
13. B. El paquete solo sería enviado del hacker a la red de tercero. La direcciónorigen de este paquete sería la dirección de IP de la víctima (129.74.15.12), yla dirección destino sería la dirección de emisión de la red de tercero(141.190.255.255).
14. D. Los virus de Multipartite usan dos o más técnicas de propagación (esdecir, infección de archivo y bota infección de sector) para maximizar sualcance.
15. D. El máximo permitido sobre el tamaño de paquete de ping es de 65,536bytes. Un atacante debe enviar un paquete que excede este máximo. Por lotanto, el paquete más pequeño que podría causar un ataque acertado sería65,537 bytes.
16. D. Applets hostiles son un tipo del código malévolo que los usuariosdescargan de un sitio Web remoto y dirigido dentro de sus navegadores.
291
Estos applets, utilizan tecnologías escritas como ActiveX y Java, que puedenentonces realice una variedad de acciones malévolas.
17. B. Alan ha puesto en práctica pseudo-defectos en sus sistemas deproducción. Los honey pots a menudo usan pseudo-defectos, pero ellos noson la tecnología usada en este caso porque los honey pots son sistemasindependientes dedicado al descubrimiento de hackers más bien quesistemas de producción.
18. D. El cajón de arena de Java aísla applets y permite que ellos corran dentrode un ambiente protegido, limitando el efecto que ellos pueden tener en elresto del sistema.
19. C. El ataque de Fraggle utiliza los servicios UDP extraordinariamente usadoschargen y el eco y ponen en práctica un DoS.
20. B. El ataque Land usa un paquete TCP construido con el juego de banderade SYN y fuente idéntica y enchufes de destino. Esto hace que sistemasoperativos más viejos se comporten en una manera imprevisible.
Respuestas a Laboratorio Escrito
Lo siguiente son respuestas a las preguntas en el laboratorio escrito de estecapítulo:
1. Virus y gusanos ambos viajan de sistema a sistema e intentan entregar sucargas malévolas útiles a tantas máquinas como posible. Sin embargo, losvirus requieren alguna clase de la intervención humana, como compartir unarchivo, conecta a la red al recurso, o el mensaje de correo electrónico. Losgusanos, por otra parte, buscan vulnerabilidades y se extienden del sistema
292
al sistema bajo su propio poder, así enormemente ampliando su capacidadreproductiva, sobre todo en una red bien conectada.
2. El Gusano de Internet usó cuatro técnicas de propagación. Primero, estoexplotó un bicho en el sendmail la utilidad que permitió que el gusano seextendiera enviando a un mensaje de correo electrónico especialmentetrabajado, esto contuvo el código del gusano al programa sendmail en unsistema remoto. Segundo, esto usó un ataque de contraseña a base dediccionario para intentar ganar el acceso a sistemas remotos por la utilizacióndel username y contraseña de un usuario de sistema válido. Tercero, estoexplotó un parachoques vulnerabilidad de desbordamiento en el programa dededo para infectar sistemas. Finalmente, esto analizó cualquier existenciarelaciones de confianza con otros sistemas en la red e intentado paraextenderse a aquellos sistemas por el camino confiado.
3. En una unión típica, el host inicial envía un paquete solo con la bandera deSYN permitida, el intento de abrir un lado del canal de comunicaciones. Elhost de destino recibe este paquete y envía una respuesta con la bandera deACK permitida (confirmación que el primer lado de que el canal está abierto)y la bandera de SYN permitió (intentando abrir el canal inverso). Finalmente,el host inicial transmite un paquete con la bandera de ACK permitida,confirmando que el revés el canal está abierto y la unión es establecida. Enun SYN inundan el ataque, uso de hackers especial el software que envía unnúmero grande de paquetes falsos con el juego de bandera de SYN alsistema apuntado. La víctima entonces reserva el espacio en la memoriapara la unión e intenta enviar el SYN/ACK estándares que contestan peronunca oyen. Este proceso repite cientos o hasta los miles de tiempos y lacomputadora apuntada finalmente se hacen abrumados y se queda sin lamemoria disponible para las uniones medio abiertas.
4. De ser posible, esto puede tratar de desinfectar el archivo, quitando el códigomalévolo del virus. Si esto falla, esto podría poner en cuarentena o el archivopara la revisión manual o automáticamente suprimirlo para impedir infecciónadicional.
5. Los paquetes de aseguramiento de integridad de datos como Tripwirecalculan valores de suma de control para cada archivo almacenado en unsistema protegido. Si un archivo infector virus golpea el sistema, esteresultaría en un cambio de la suma de control del archivo afectado yprovocaría, por lo tanto, un archivo de alarma de integridad.
293
294
Capitulo IX: Criptografía y Algoritmos Privados Claves
Introducción
La criptografía proporciona los niveles añadidos de seguridad a datos durante el
tratamiento, el almacenaje, y comunicaciones. Durante los años, los matemáticos e
informáticos desarrollaron una serie de algoritmos cada vez más complejos diseñados
para asegurar la confidencialidad, la integridad, la autenticación, y el no rechazo.
Durante aquel mismo período, hackeres y gobiernos igualmente dedicaron recursos
significativos al minado de aquellos algoritmos criptográficos. Esto condujo "a una
carrera de armamentos" en la criptografía y causó el desarrollo de los algoritmos
sumamente sofisticados en el empleo de hoy. Este capítulo mira a la historia de la
criptografía, las comunicaciones criptográficas básicas y los principios fundamentales de
llave privada del sistema criptográfico.
El siguiente capítulo sigue la discusión de criptografía examinando la llave
pública del sistema criptográfico y varios atacantes de técnicas suelen derrotar la
criptografía.
295
9.1 Historia
Desde el principio de la humanidad, seres humanos inventaron varios sistemas
de comunicación escrita, al extenderse de los jeroglíficos antiguos escritos en las
paredes de la cueva a los CD-ROM rellenos de enciclopedias llenas de información en
el inglés moderno. Mientras la humanidad ha estado comunicándose, esto también ha
usado el medio reservado de ocultar el significado verdadero de aquellas
comunicaciones del no iniciado.
Sociedades antiguas usaron un sistema complejo de símbolos secretos para
representar sitios seguros para quedarse durante los períodos de guerra. Civilizaciones
modernas usan una variedad de códigos y cifras para facilitar la comunicación privada
entre individuos y grupos.
En las secciones siguientes, tomaremos un informe de la evolución de
criptografía moderna y varias tentativas famosas de encubrimiento para interceptar y
descifrar comunicaciones cifradas.
9.1.1 La cifra de Caesar
Uno de los sistemas de cifrados conocidos, fue usado por Julius Caesar al
comunicarse con Cicerón en Roma mientras él conquistaba Europa. Caesar sabía que
había varios riesgos enviando mensajes, los mensajeros podrían ser un espía enemigo
o ellos podrían ser emboscados por el camino a las fuerzas desplegadas. Por eso, él
desarrolló un sistema criptográfico conocido como la cifra de Caesar.
El sistema es sumamente simple. Para cifrar un mensaje, usted simplemente
cambia cada letra del alfabeto tres sitios a la derecha. Por ejemplo, "A" se haría "D" y
"B" se haría "E". Si usted alcanza el final del alfabeto durante este proceso, usted
simplemente al principio se envuelve alrededor de modo que "X" se haga "A", "Y" se
296
hace "B", y "Z" se hace "C". Por esta razón, la cifra de Caesar también se hizo conocida
como la cifra ROT3 (o Hacer girar 3). La cifra de Caesar es una cifra de substitución que
es mono alfabética; también lo conocen como una cifra C3.
Aquí está un ejemplo en la acción de la cifra de Caesar. La primera línea
contiene la oración original, y la segunda línea muestra a la oración usando la cifra de
Caesar:
“EL MORIR HA SIDO ECHADO"
“WKH GLH KDV EHHQ FDVW"
Para descifrar el mensaje, usted simplemente cambia cada letra, tres sitios a la
izquierda.
Advertencia
Aunque la cifra de Caesar sea relativamente fácil de usar, es también
relativamente fácil rajarse. Es vulnerable a un tipo de ataque conocido como el análisis
de frecuencia. Como usted puede conocer, las letras más comunes en la lengua inglesa
son la E, T, A, O, N, R, I, S, y H. Un atacante que procura romper una cifra de Estilo de
Caesar simplemente tiene que encontrar las letras más comunes en el texto cifrado y el
experimento con las substituciones de las letras encima ayudando a determinar el
modelo.
9.1.2 La Guerra civil americana
Entre el tiempo de Caesar y los primeros años de los Estados Unidos, científicos
y matemáticos hicieron avances significativos más allá de las tempranas cifras usadas
por civilizaciones antiguas. Durante la Guerra civil americana y las tropas Unidas
avanzaron sistemas criptográficos para en secreto comunicarse a lo largo de las líneas
de combate, debido al hecho que ambos lados daban un toque en las líneas de
297
telégrafo para espiar del otro lado. Estos sistemas usaron las combinaciones complejas
de substituciones de palabra y transposición (mirar la sección sobre cifras para más
detalles) para intentar derrotar esfuerzos de desciframiento enemigos.
Otro sistema usado extensamente durante la Guerra civil era una serie de
señales de bandera desarrolladas por el doctor de ejército Albert Myer.
9.1.3 Ultra vs. Enigma
Los americanos no eran los únicos que gastaron recursos significativos en la
búsqueda de código superior que crea máquinas. Antes de la segunda Guerra Mundial,
el complejo alemán militar industrial se adaptó un código comercial que se ocupe a
máquina el Enigma apodado para el empleo de gobierno. Esta máquina usó una serie
de tres a seis rotores para poner en práctica una cifra de substitución sumamente
complicada. El único modo posible de descifrar el mensaje con la tecnología
contemporánea era de usar una máquina similar con los mismos ajustes de rotor
usados por el dispositivo de transmisión.
Los alemanes reconocieron la importancia de salvaguardar estos dispositivos y
lo hicieron sumamente difícil para los Aliados de adquirirlo. Las fuerzas Aliadas
comenzaron un esfuerzo sumamente secreto conocido por el cifrado de nombre Ultra
para atacar los códigos de Enigma.
Eventualmente, sus esfuerzos dieron resultado cuando los militares Polacos
satisfactoriamente reconstruyeron un prototipo de Enigma y compartieron sus
conclusiones con expertos británicos y americanos criptográficos.
298
Los Aliados satisfactoriamente rompieron el código de Enigma en 1940, y los
historiadores acreditan este triunfo como el juego de un papel significativo en la derrota
eventual de los poderes de Eje.
El japonés usó una máquina similar, conocida como la “Máquina japonesa
Púrpura”, durante la segunda Guerra Mundial. Un ataque significativo americano sobre
este sistema criptográfico causó la rotura del código japonés antes del final de la guerra.
El hecho ayudó a los Americanos que comunicadores japoneses usaron los formatos de
mensaje muy formales que causaron una cantidad grande de texto similar en múltiples
mensajes, aliviando el esfuerzo de análisis criptográfico.
299
9.2 Criptografía Básica
El estudio de cualquier ciencia que es construido, debe comenzar con una
discusión de algunos principios fundamentales. Las secciones siguientes ponen esta
fundación con una revisión de los objetivos de criptografía, una descripción de los
conceptos básicos de tecnología criptográfica, y una mirada en los principios principales
matemáticos utilizados por sistemas criptográficos.
9.2.1 Los objetivos de Criptografía
Los médicos de Seguridad utilizan sistemas criptográficos para encontrar cuatro
objetivos fundamentales: confidencialidad, integridad, autenticación, y no rechazo. El
alcanzar cada uno de estos objetivos requiere la satisfacción de un número de
exigencias de diseño, y no todo el sistema criptográfico es querido para alcanzar los
cuatro objetivos. En las secciones siguientes, examinaremos cada objetivo
detalladamente y daremos una breve descripción de las exigencias técnicas necesarias
de alcanzarlo.
A. Confidencialidad
La confidencialidad asegura que un mensaje permanece privado durante la
transmisión entre dos o más partidos. Esto es quizás el objetivo más citado
extensamente de los sistemas criptográficos, la facilitación de comunicaciones secretas
entre individuos y grupos.
Hay dos tipos principales de sistema criptográfico que hacen cumplir la
confidencialidad. La llave simétrica del sistema criptográfico aprovecha de una llave
300
compartida secreta disponible a todos los usuarios del sistema criptográfico. La llave
pública del sistema criptográfico la cual utiliza las combinaciones individuales de llaves
públicas y privadas para cada usuario del sistema. Ambos de estos conceptos son
explorados en la sección " la Criptografía Moderna " que se verá más adelante dentro
de este capítulo.
B. Integridad.
La integridad asegura que un mensaje no es cambiado mientras se encuentre en
circulación. Si los mecanismos de integridad son en el lugar, el recipiente de un
mensaje puede estar seguro que el mensaje recibido es idéntico al mensaje que fue
enviado. Esto protege contra todas las formas de alteración: alteración intencional por
un tercero que intenta insertar alteración falsa de la información e involuntaria por faltas
en el proceso de transmisión.
La integridad de mensaje es hecha cumplir por el empleo de resúmenes de mensaje
digitalmente firmados creados sobre la transmisión de un mensaje.
El receptor del mensaje simplemente verifica que el resumen del mensaje y la firma
son válidos, asegurando que el mensaje no fue cambiado en el tránsito. La integridad
puede ser hecha cumplir tanto por la llave pública como secreta del sistema
criptográfico. Este concepto es hablado detalladamente en la sección " Firmas Digitales
" en el Capítulo 10, " PKI y Usos Criptográficos".
C. Autenticación.
La autenticación verifica la identidad reclamada de usuarios de sistema y es una
función principal de sistema criptográfico. Por ejemplo, supongamos que Jim quiere
301
establecer una sesión de comunicaciones con Roberto y ellos son ambos participantes
en un sistema de comunicaciones compartido secreto. Jim podría usar una técnica de
autenticación de respuesta de desafío para asegurar que Roberto es quién requiere la
comunicación.
La figura 9.1 muestra como este protocolo de respuesta de desafío podría trabajar
en la acción. En este ejemplo, el código secreto usado por Jim y Roberto es bastante
simple, las letras de cada palabra simplemente son invertidas. Roberto primero se pone
en contacto con Jim y se identifica. Jim entonces envía un mensaje de desafío a
Roberto, pidiéndolo cifrar un mensaje corto que usa el código secreto conocido sólo por
Jim y Roberto. Roberto contesta con el mensaje cifrado. Después de que Jim verifica
que el mensaje cifrado es correcto, él confía en que Roberto es realmente el que se
encuentra al final de la conexión.
D. No rechazo.
El no rechazo proporciona el aseguramiento al receptor que el mensaje en realidad
fue originado por el remitente y no alguien enmascarado como el remitente.
302
Esto impide al remitente demandar que ellos nunca enviaron el mensaje en primer
lugar (también conocido como el rechazo del mensaje). La llave secreta, o la llave
simétrica, del sistema criptográfico (como la cifra ROT3) no proporcionan esta garantía
de no rechazo. Si Jim y Roberto participan en un sistema de comunicación secreto
clave, ellos pueden producir el mismo mensaje cifrado que usa su llave compartida
secreta.
Ofrecen el no rechazo sólo por la llave pública, o asimétrico, del sistema
criptográfico, un tema que se verá con mayor detalle en el Capítulo 10.
9.2.2 Conceptos
Como con cualquier ciencia, usted debe familiarizarse con la cierta terminología
que estudia antes de la criptografía. Vaya a mirar algunos términos clave de los que
solía describir códigos y cifras. Antes de que un mensaje sea puesto en una forma
cifrada, lo conocen como un mensaje de texto plano y es representado por la letra P
cuando las funciones de cifrado son descritas. El remitente de un mensaje usa un
algoritmo criptográfico para cifrar el mensaje de texto plano y producir un mensaje de
texto cifrado, representado por la letra C. Este mensaje es transmitido por algún físico o
electrónico al receptor. El receptor entonces usa un algoritmo predeterminado para
descifrar el mensaje de texto cifrado y recuperar la versión de texto plano.
Todos los algoritmos criptográficos confían sobre llaves para mantener su
seguridad. Como usted aprenderá en este capítulo, los diferentes tipos de algoritmos
que requieren los diferentes tipos de llaves. En la llave privada (o la llave secreta) del
sistema criptográfico, todos los participantes usan una llave sola compartida. En la llave
pública del sistema criptográfico, cada participante tiene su propio par de llaves.
303
Las llaves criptográficas a veces son nombradas como variables criptográficas.
Conocen el arte de creación y realización de códigos secretos y cifras como la
criptografía. Esta práctica es paralela al arte de análisis criptográfico, que es el estudio
de métodos de derrotar códigos y cifras.
En conjunto, la criptografía y el análisis criptográfico comúnmente son
mencionados criptología. Conocen las puestas en práctica específicas de un código o la
cifra en el hardware y el software como sistema criptográfico.
Consejo
Esté seguro para entender los significados de estos términos antes de la
continuación de su estudio de este capítulo y el capítulo siguiente. Ellos son esenciales
el entendimiento de los detalles técnicos de los algoritmos criptográficos presentados en
las secciones siguientes.
9.2.3 Matemáticas Criptográficas
La criptografía no es diferente que la mayor parte de disciplinas de informática
en las cuales esto encuentra sus fundaciones en la ciencia de matemáticas. Para
totalmente entender la criptografía, usted primero debe entender lo básico de
matemáticas binarias y las operaciones lógicas solían manipular valores binarios. Las
secciones siguientes presentan un informe de algunos conceptos esenciales con los
cuales usted debería familiarizarce.
9.2.3 Matemáticas Binarias.
304
Matemáticas binarias definen las reglas usadas para los bits y los bytes que
forman el sistema nervioso de cualquier ordenador. Es probable que usted se familiarice
con el sistema decimal.
Esto es un sistema de base 10 en el cual un número entero de 0 a 9 es usado en
cada lugar y cada valor de lugar es un múltiple de 10. Es probable que nuestra
confianza sobre el sistema decimal haga seres humanos de orígenes biológicos de 10
dedos que pueden ser usados para contar.
Consejo
Las Matemáticas binarias pueden ser muy confusas al principio, pero esto
amerita la inversión de tiempo para aprender varios trabajos de operaciones lógicos,
funciones expresamente lógicas. Es más importante que usted entienda estos
conceptos para realmente entender los funcionamientos interiores de algoritmos
criptográficos.
Asimismo la confianza del ordenador sobre el sistema binario tiene orígenes
eléctricos. En un circuito eléctrico, hay sólo dos estados posibles, sobre el representar
la presencia de corriente eléctrica y del representar la ausencia de corriente eléctrica.
Todo el cómputo realizado por un dispositivo eléctrico debe ser expresado en estos
términos, dando lugar al empleo de cómputo binario en la electrónica moderna. En
general, los informáticos se refieren al sobre la condición como un valor verdadero y el
de la condición como un valor falso.
9.2.4 Operaciones Lógicas.
305
Las matemáticas binarias de criptografía utilizan una variedad de funciones
lógicas para manipular datos. Tomaremos un informe de varias de estas operaciones.
a) AND
La operación AND, (representado por el símbolo ٨) comprueba si dos valores
son ambos verdaderos. La tabla de verdad que sigue, ilustra las cuatro salidas posibles
para la función "AND". Recuerde, la función "AND" toma sólo dos variables como la
entrada.
En matemáticas binarias, hay sólo dos valores posibles para cada una de estas
variables, conduciendo a cuatro entradas posibles de la función "AND". Esto es este
número finito de posibilidades que lo hace sumamente fácil para ordenadores para
poner en práctica funciones lógicas en el hardware. Note en la tabla de verdad siguiente
sólo una combinación de entradas (donde ambas entradas son verdaderas) produce un
valor de salida de verdadero:
Operaciones lógicas a menudo son realizadas sobre palabras enteras binarias
más que valores solos. Mire el ejemplo siguiente:
306
Note que la función "AND" es calculado comparando los valores "de X" y "Y" en
cada columna. El valor de salida es verdadero sólo en columnas donde tanto "X" como
"Y" son verdaderos.
b) OR
El operador "OR" (representado por el símbolo v ) comprueba para ver si al
menos uno de los valores de entrada es verdadero. Refiérase a la Tabla de verdad
siguiente para todos los valores posibles de la función "OR". Note que el único tiempo
de la función "OR" devuelve un valor falso cuando ambos de los valores de entrada son
falsos:
Usaremos el mismo ejemplo de la sección anterior para mostrarle lo que la
salida sería si X y Y fueran falsos en la función "OR".
307
c) NOT.
La operación "NOT" (representado por el símbolo "~" o "!") simplemente invierte
el valor de una variable de entrada. Esta función opera sobre sólo una variable a la vez.
Aquí está la Tabla de verdad para la función "NOT":
En este ejemplo, tomamos el valor de X de los ejemplos anteriores y corremos la
función NOT contra ello:
308
d) XOR.
La función final lógica que examinaremos en este capítulo es quizás la más
importante y el más comúnmente usada en usos criptográficos. Esto se remite a en la
literatura matemática como la función XOR. La función de XOR devuelve un valor
verdadero cuando sólo uno de los valores de entrada es verdadero. Si ambos valores
son falsos o ambos valores son verdaderos, la salida de la función de XOR es falsa.
Aquí está la tabla de verdad para la operación XOR:
La operación siguiente muestra el X y valores de Y cuando ellos son usados con
la función de XOR:
309
310
9.2.5 Función de Módulo
La función de módulo es sumamente importante en el campo de criptografía.
Recuerde hasta los tempranos días cuando usted primero aprendió la división. En aquel
tiempo, usted no era familiar con números decimales y compensó por mostrando a un
valor de resto cada vez usted realizó una operación de división. Los ordenadores
naturalmente no entienden el sistema decimal tampoco, y estos valores de resto juegan
un papel crítico cuando los ordenadores realizan muchas funciones matemáticas. La
función de módulo es, bastante simplemente, el valor de resto dejado (abandonado)
terminada después de que una operación de división es realizada.
Esperamos que, esta introducción le dé un entendimiento bueno de como el módulo de
funciones trabaja. Visitaremos de nuevo esta función en el Capítulo 10 cuando
exploramos el algoritmo de cifrado público clave RSA (Rivest, Shamir, y Adleman, sus
inventores).
9.2.5.1 Funciones De dirección única
311
En la teoría, una función de dirección única es una operación matemática que
fácilmente produce valores de salida para cada combinación posible de entradas, pero
hace imposible de recuperar los valores de entrada. La llave pública sistema
criptográfico está todo basada sobre algún tipo de la función de dirección única. En la
práctica, sin embargo, nunca ha sido probado que cualquier función específica
conocida. Los criptógrafos confían sobre funciones que ellos sospechan puede ser un
camino, pero es teóricamente posible que ellos pudieran ser rotos por el futuro análisis
criptográfico. Aquí está un ejemplo. Imagínese que usted tiene una función que
multiplica tres números juntos. Si usted restringe los valores de entrada a números de
dígito solo, esto es una materia relativamente franca al ingeniero inverso esta función y
determinar los valores de entrada posibles por mirar la salida numérica. Por ejemplo, la
salida valora 15 fue creado por usando la entrada valora 1, 3, y 5. Sin embargo,
supóngale restringen los valores de entrada a números primos de cinco dígitos. Es
todavía bastante simple de obtener un valor de salida por usando un ordenador o una
calculadora buena, pero la ingeniería inversa es no exactamente tan simple. ¿Puede
usted calcular lo que tres números primos fueron usados obtener la salida valoran
10,718,488,075,259? ¿No tan simple, ¿cómo?? (Que el número es el producto de los
números primos 17093, 22441, y 27943. ¡) Hay en realidad 8,363 números primos de
cinco dígitos, entonces este problema podría ser atacado usando un ordenador y un
algoritmo de fuerza bruto, pero no hay ningún modo fácil de entenderlo(calcularlo) en su
cabeza, esto es seguro!.
9.2.5.2 Confusión y Difusión
Algoritmos criptográficos confían sobre dos operaciones básicas para
obscurecer la confusión de mensajes texto plano y la difusión. La confusión ocurre
312
cuando la relación entre el texto plano y la llave es tan complicada que un atacante
simplemente no puede seguir cambiando el texto plano y analizar el pasar texto cifrado
para determinar la llave. La difusión ocurre cuando un cambio del texto plano causa
múltiples cambios extendidos en todas partes del texto cifrado.
9.2.6 Cifras
Los sistemas de cifra mucho tiempo han sido usados por individuos y gobiernos
interesados en la conservación de la confidencialidad de sus comunicaciones. En las
secciones siguientes, tomaremos un informe miran la definición de una cifra y varios
tipos de cifra comunes que forman la base de cifras modernas. Es importante recordar
que estos conceptos parecen algo básicos, pero cuando usado en la combinación, ellos
pueden ser opositores formidables y causar a análisis criptográfico muchas horas de
frustración.
9.2.6.1 Códigos contra Cifras
La gente a menudo usa el código de palabras y la cifra de manera
intercambiable, pero técnicamente, ellos no son permutables. Hay distinciones
importantes entre los dos conceptos. Los códigos, que son los sistemas criptográficos
de los símbolos que representan palabras o frases, son algún día secreto pero no
necesariamente los piensan para proporcionar la confidencialidad. Un ejemplo común
de un código es " el 10 sistema " de comunicaciones usadas por la ley agencias de
ejecución. Bajo este sistema, la oración " recibí su comunicación y entender que el
contenido " es representado por la frase de código "10-4". El público comúnmente
313
sabe(conoce) este código, pero esto realmente asegura(prevé) la facilidad de
comunicación.
Algunos códigos son secretos. Ellos pueden usar funciones matemáticas o un
diccionario secreto para transportar mensajes confidenciales por representando
palabras, frases, u oraciones. Por ejemplo, un espía podría transmitir la oración " el
águila ha aterrizado " para hacer un informe la llegada de un avión enemigo. Siempre
significan cifras, de otra parte, ocultar el significado verdadero de un mensaje. Ellos
usan una variedad de técnicas para cambiar y/o reorganizar los caracteres o los añicos
de un mensaje para alcanzar la confidencialidad. Las secciones siguientes miran varias
cifras comunes en el empleo hoy.
Consejo
Un modo fácil de mantener la diferencia entre códigos y cifras directamente es
de recordar que los códigos trabajan sobre palabras y frases mientras que las cifras
trabajan sobre caracteres individuales y bits.
9.2.6.2 Las cifras de Transposición.
Las cifras de transposición usan un algoritmo de cifrado para reorganizar las
letras de un mensaje texto plano, formando el mensaje texto cifrado. El algoritmo de
desciframiento simplemente invierte la transformación de cifrado para recuperar el
mensaje original. En el ejemplo de protocolo de respuesta de desafío en la sección "la
Autenticación" antes en este capítulo, una cifra de transposición simple fue usada
simplemente invertir las letras del mensaje de modo que la “manzana” se hiciera
“anaznam”. Las cifras de transposición pueden ser mucho más complicadas que esto.
314
Por ejemplo, usted puede usar una palabra clave para realizar una transposición
columna. En este ejemplo, intentamos cifrar el mensaje " los luchadores golpeará las
bases enemigas en el mediodía " la utilización del atacante secreto clave. Nuestro
primer paso debe tomar las letras de la palabra clave y contarlos por orden alfabético. El
primer aspecto de la letra un recibe el valor 1; el segundo aspecto es numerado 2. La
siguiente letra en la secuencia, C, es numerada 3, etcétera. Esto causa la secuencia
siguiente:
Finalmente, el remitente codifica el mensaje por leyendo abajo cada columna; la
orden (el pedido) en la cual las columnas son leídas corresponde a los números
asignados en el primer paso. Esto produce texto cifrado siguiente:
315
9.2.6.3 Cifras de Substitución
Las cifras de substitución usan el algoritmo de cifrado para sustituir cada
carácter o bit del mensaje texto plano con un carácter diferente. La cifra de César
hablada al principio de este capítulo es un ejemplo bueno de una cifra de substitución.
Ahora que usted ha aprendido un poquito sobre matemáticas criptográficas, tomaremos
la otra mira la cifra de César. Recuerde que simplemente cambiamos cada letra tres
sitios a la derecha en el mensaje para generar el texto cifrado. Sin embargo, entramos
corriendo en un problema cuando nos pusimos al final del alfabeto y nos quedamos sin
letras. Solucionamos esto por abrigando alrededor al principio del alfabeto de modo que
el carácter texto plano la Z se hiciera el carácter texto cifrado C.
Usted puede expresar la cifra ROT3 en términos matemáticos por convirtiendo cada
letra a su equivalente decimal (donde un es 0 y la Z es 25). Usted entonces puede
añadir tres a cada letra texto plano para determinar el texto cifrado. Usted representa el
recirculante por usando la función de módulo hablada en la sección " Matemáticas
Criptográficas. " La función de cifrado final para la cifra de César es entonces esto:
Como con cifras de transposición, hay muchas cifras de substitución que son
más sofisticadas que los ejemplos proporcionados en este capítulo. Cifras de
substitución polialfabéticas aprovechan de múltiples alfabetos en el mismo mensaje
para dificultar esfuerzos de desciframiento. Por ejemplo, una cifra de substitución podría
tener cuatro funciones de cifrado (o alfabetos) que es hecho girar cada vez una letra del
316
mensaje es cifrada. La primer letra del mensaje usaría el primer alfabeto, la segundo
letra usa el segundo alfabeto, etcétera. La quinto letra del mensaje entonces reutilizaría
el primer alfabeto y las repeticiones de proceso hasta que el mensaje entero sea
cifrado.
9.2.6.4 Block Antiguas
Un bloc antigua es un tipo sumamente poderoso de cifra de substitución. block
antiguas usan un alfabeto diferente para cada letra del mensaje texto plano. Ellos
pueden ser representados por la función de cifrado siguiente, donde la K es la llave de
cifrado para la letra representada por C:
Normalmente, blocks antiguas son escritas como una serie muy larga de números
para ser enchufados la función.
Nota
También conocen blocks antiguas como cifras Vernam, después del nombre de
su inventor Gilberto Sandford Vernam de AT*T.
La gran ventaja de blocks antiguas consiste en que, cuando usado
correctamente, ellos son un esquema de cifrado irrompible. No hay ningún modelo de
repetir de substitución alfabética, interpretación del análisis de criptografía, esfuerzos
inútiles. Sin embargo, varias exigencias deben ser encontradas para asegurar la
integridad del algoritmo:
317
La llave de cifrado al azar debe ser generada. La utilización de una frase o un
paso de un libro introducirían la posibilidad de análisis criptográfico la rotura del
código.
El block antigua físicamente debe ser protegida contra el descubrimiento. Si el
enemigo tiene una copia de la del block, ellos fácilmente pueden descifrar los
mensajes codificados.
Cada block antigua debe ser usada sólo una vez. Si las almohadillas(los blocs)
son reutilizadas, análisis criptográfico puede comparar semejanzas en múltiples
mensajes cifrados con la misma block y posiblemente determinar los valores
claves usados.
La llave debe ser al menos mientras el mensaje para ser cifrado. Esto es porque
cada elemento clave es usado codificar sólo un carácter del mensaje.
Tips
Estas exigencias de seguridad de block antiguas son el conocimiento esencial
para cualquier profesional de seguridad de red. A menudo, la gente intenta poner en
práctica un antigua block del sistema criptográfico, pero fallar en encontrar una o varias
de estas exigencias fundamentales. Lea sobre para un ejemplo de como un sistema de
código entero soviético fue roto debido al descuido en este área.
Si cualesquiera de estas exigencias no son encontradas, la naturaleza
impenetrable de la almohadilla(del bloc) antigua al instante se estropea. De hecho, uno
de los éxitos de inteligencia principales de los Estados Unidos pasó cuando análisis
criptográfico rompió el sistema criptográfico sumamente secreto soviético que confió
sobre el empleo de blocas antiguas. En este proyecto, VENONA con nombre de código,
un modelo en el camino los Soviets generaron los valores claves usados en sus blocas
318
fue descubierto. La existencia de este modelo violó la primera exigencia de un block
antigua sistemas criptográficos: las llaves al azar deben ser generadas sin el empleo de
cualquier modelo que se repite. El proyecto de VENONA entero recientemente fue
levantado el secreto oficial y está públicamente disponible sobre el sitio web de Agencia
de Seguridad nacional en www.nsa.gov/docs/venona/index.html.
Blocks antiguas han sido usadas en todas partes de la historia proteger
comunicaciones sumamente sensibles. El obstáculo principal a su empleo extendido es
la dificultad de generación, distribución, y el salvaguardar las muy largas llaves
requeridas. Blocas antiguas siendo realistas pueden ser usadas sólo para mensajes
cortos, debido a longitudes claves.
9.2.6.5 Cifras de Corriente
Las cifras de corriente son las cifras que funcionan sobre cada carácter o bit de
un mensaje (o la corriente de datos), un carácter/bit a la vez. La cifra de César es un
ejemplo de una cifra de corriente. El block antigua es también una cifra de corriente
porque el algoritmo funciona sobre cada letra del mensaje texto plano por separado. Las
cifras de corriente requieren recursos significativos computacionales y comúnmente no
son usadas en usos modernos criptográficos.
9.2.6.6 Carrera de Cifras Claves
Muchas vulnerabilidades criptográficas rodean la longitud limitada de la llave
criptográfica. Como usted aprendió en la sección anterior, la block antigua evita estas
vulnerabilidades por usando alfabetos separados para cada transformación criptográfica
durante el cifrado y el desciframiento. Sin embargo, blocksantiguas son torpes para
Código de campo cambiado
319
poner en práctica porque ellos requieren el cambio físico de blocks. Una solución común
con este dilema es el empleo de una cifra de llave que corre (también conocida como
una cifra de libro). En esta cifra, la llave de cifrado es mientras el mensaje sí mismo y a
menudo es escogida de un libro común.
Por ejemplo, el remitente y el recipiente podrían estar de acuerdo con por adelantado
usar el texto de un capítulo de Moby Dick, que comienza con el tercer párrafo, como la
llave. Ellos simplemente ambos usarían tantos caracteres consecutivos como es
necesario para realizar operaciones de desciframiento y el cifrado. Vaya a mirar un
ejemplo. Supóngale quiso cifrar el mensaje " Richard entregará el paquete de
programas secreto a Mateo en el terminal de autobuses mañana " la utilización de la
llave justo descrita. Este mensaje es 66 caracteres en la longitud, entonces usted usaría
los 66 primeros caracteres de la llave que corre: " Con mucho interés senté la mirada él.
El salvaje aunque él fuera, y horrorosamente estropeó. “Cualquier algoritmo entonces
podría ser usado cifrar el mensaje texto plano que usa esta llave. Vaya a mirar el
ejemplo de módulo 26 adiciones, que convierte cada letra a un equivalente decimal,
luego añade el texto plano a la llave, y luego realiza un módulo 26 operaciones para
ceder el texto cifrado. Si usted asigna la letra el valor 1 y la letra la Z el valor 26, usted
tiene la operación de cifrado siguiente para las dos primeras palabras del texto cifrado:
320
Cuando el recipiente recibe el texto cifrado, ellos usan la misma llave y luego restan la
llave del texto cifrado, realizan un módulo 26 operaciones, y luego convierten el pasar
texto plano atrás a caracteres alfabéticos.
9.2.6.7 Cifras de Bloque
Las cifras de bloque funcionan sobre "pedazos", o bloques, de un mensaje y
aplican el algoritmo de cifrado a un bloque de mensaje entero al mismo tiempo. Las
cifras de transposición son los ejemplos de cifras de bloque. El algoritmo simple usado
en el algoritmo de respuesta de desafío toma una palabra entera e invierte sus letras.
La cifra de transposición más complicada columnar trabaja sobre un mensaje entero (o
un pedazo de un mensaje) y lo cifra usando el algoritmo de transposición y una palabra
clave secreta. Los algoritmos de cifrado más modernos ponen en práctica algún tipo de
cifra de bloque.
9.3 Criptografía moderna
Sistema de criptografía moderna utiliza algoritmos computacionalmente complejos y
lleva mucho tiempo para encontrar los objetivos criptográficos de confidencialidad,
integridad, autenticación, y la capacidad, en sistemas de la seguridad, que garantiza
que un mensaje o los datos se puede demostrar para haber originado de una persona
específica. Las secciones siguientes nos hablan de los papeles, es el juego de llaves
criptográficas en el mundo de la seguridad de los datos y examina tres tipos de
algoritmos comúnmente usados hoy: encriptación simétrica de algoritmos, algoritmos de
cifrado asimétricos, y algoritmos identificar un dato a través de la probabilidad.
321
9.3.1 Llaves criptográficas.
En estos días la seguridad, uno de los principios predominantes era “seguridad con
oscuridad.” Los profesionales de la seguridad sentían que la mejor manera de guardar
un algoritmo del cifrado era ocultar los detalles del algoritmo desconocido. Los viejos
sistemas criptográficos requirieron partidos que se comunicaban manteniendo el
algoritmo utilizado para cifrar y para descifrar los mensajes secretos a partir de los
terceros. Cualquier acceso del algoritmo podía conducir al compromiso del sistema
entero de un adversario.
Los sistemas criptográficos modernos no confían en el secreto de sus
algoritmos. De hecho, los de algoritmo para la mayoría de los sistemas criptográficos
están extensamente disponibles para la revisión pública en la literatura del
acompañamiento y en el Internet. Esto mejora realmente la seguridad del algoritmo
abriéndolos en el escrutinio público. El análisis extenso de algoritmos de la comunidad
de la seguridad de la computadora permite que los analistas descubran y que corrijan
vulnerabilidades potenciales de la seguridad y que se aseguren de que los algoritmos
que utilizan proteger sus comunicaciones son tan seguros como sea posible.
En vez de confiar en algoritmos secretos, los sistemas criptográficos modernos confían
en el secreto de uno o llaves más criptográficas personalizaban el algoritmo para los
usuarios o los grupos específicos de usuarios. Memoria de la discusión de las cifras de
la transposición que una palabra clave está utilizada con la posición acolumnada del
transporte para dirigir los esfuerzos del cifrado y del desciframiento. ¡El algoritmo
realizaba la transposición acolumnada, está bien - sabido - tú acabas de leer los
detalles de él en este libro! Sin embargo, la posición acolumnada del transporte se
puede utilizar para comunicarse con seguridad entre los partidos mientras se elija una
palabra clave que no sería conjeturada por un desconocido. Mientras la seguridad de
322
esta palabra clave se mantenga, no importa que los terceros sepan los detalles del
algoritmo. (La nota, sin embargo, que el acolumnado de la transposición posee varias
debilidades inherentes que hagan vulnerable al criptoanálisis y por lo tanto te hacen una
tecnología inadecuada para el uso en la comunicación segura moderna.)
9.3.2 Longitud dominante
En la discusión de los cojines de una sola vez en este capítulo, aprendiste que la fuerza
principal del algoritmo de una sola vez del cojín está derivada del hecho de que utiliza
una llave extremadamente larga. De hecho, para ese algoritmo, la llave está por lo
menos mientras el mensaje sí mismo. La mayoría de los sistemas criptográficos
modernos no utilizan las llaves absolutamente largas, pero la longitud de la llave sigue
siendo un factor extremadamente importante en la determinación de la fuerza del
sistema criptográfico y de la probabilidad que el cifrado no será comprometido con
técnicas criptoanalíticas. El aumento rápido en energía que computa permite que
utilices llaves cada vez más largas en tus esfuerzos criptográficos. Sin embargo, esta
misma energía que computa está también en las manos de los criptoanalistas que
procuran derrotar los algoritmos que utilizas. Por lo tanto, es esencial que pasas del
adversario usando las llaves suficientemente largas que derrotarán esfuerzos
contemporáneos del criptoanálisis. Adicionalmente, si te refieres que tus datos siguen
siendo seguros de criptoanálisis una cierta hora en el futuro, debes esforzarte utilizando
las llaves que pasarán el aumento proyectado en la capacidad criptoanalítica durante el
período entero que los datos se deben mantener seguros. Hace varias décadas, cuando
el estándar de cifrado de datos (DES) fue creado, un pedacito 56 dominante era
considerado suficiente mantener la seguridad de cualquier dato. Sin embargo, ahora
hay acuerdo amplio de la extensión que el algoritmo del DES de 56 pedacitos es no
más seguro debido a los avances en técnicas del criptoanálisis y energía del super
323
computando. Los sistemas criptográficos modernos utilizan por lo menos llaves de 128
pedacitos para proteger datos contra ojos que alzapriman.
9.3.3 Algoritmos dominantes simétricos
Los algoritmos dominantes simétricos confían en una llave “secreta” compartida del
cifrado que se distribuya a todos los miembros que participen en las comunicaciones.
Esta llave es utilizada por todos los partidos cifra y descifra mensajes. Los procesos
dominantes simétricos del cifrado y del desciframiento se ilustran en el cuadro 9.2.
La criptografía dominante simétrica tiene varias debilidades:
La distribución dominante es un problema importante. Los partidos deben tener un
método seguro de intercambiar la llave secreta antes de establecer comunicaciones con
el protocolo dominante simétrico. Si un canal electrónico seguro no está disponible, un
método dominante fuera de línea de la distribución debe ser utilizado a menudo.
La criptografía dominante simétrica no pone la capacidad en relación con los sistemas
de la seguridad, que garantiza que un mensaje o los datos se pueden demostrar para
haber originado que una persona específica lo haga y este verlo en ejecución. Porque
cualquier partido del comunicador puede cifrar y descifrar mensajes con la llave secreta
compartida, no hay manera de decir donde un mensaje dado originó.
El algoritmo no es escalable. Es extremadamente difícil que los grupos grandes se
comuniquen con la criptografía dominante simétrica. Asegurar la comunicación privada
324
entre los individuos en el grupo podría ser alcanzado solamente si cada combinación
posible de usuarios compartió una llave privada.
Las llaves se deben regenerar a menudo. Cada vez que un participante deja el grupo,
todas las llaves que implicaron a ese participante deben ser desechadas.
La fuerza principal de la criptografía dominante simétrica es la gran velocidad a la cual
puede funcionar. Por la naturaleza de las matemáticas implicadas, la criptografía
dominante simétrica también se presta naturalmente a las puestas en práctica de
hardware, creando la oportunidad para las operaciones uniformes del alta-velocidad. La
sección “criptografía simétrica” en este capítulo proporciona más adelante una mirada
detallada en los algoritmos dominantes secretos principales funcionando hoy.
9.3.4 Algoritmos dominantes asimétricos
Los algoritmos dominantes asimétricos, también conocidos como algoritmos dominantes
públicos, proporcionan una solución a los nesses débiles del cifrado dominante
simétrico. En estos sistemas, cada usuario tiene dos llaves: una llave pública, que se
comparte con todos los usuarios, y una llave privada, que se mantiene secreta y se
sabe solamente al usuario. El algoritmo cifraba y los mensajes de los descriptibles en un
sistema criptográfico dominante público se demuestran en el cuadro 9.3. Considerar
este ejemplo: Si Alicia desea enviar un mensaje a Bob que usa la criptografía dominante
pública, ella crea el mensaje y después lo cifra que usa la llave pública de Bob. La única
manera posible de descifrar este texto cifrado es utilizar la llave privada de Bob y el
único usuario con el acceso a esa llave es Bob. Por lo tanto, Alicia no puede incluso
descifrar el mensaje misma después de que ella lo cifre. Si Bob desea enviar una
contestación a Alicia, él cifra simplemente el mensaje usando la llave pública de Alicia y
entonces Alicia lee el mensaje descifrándolo con su llave privada.
325
Requisitos dominantes
El hecho de que los sistemas criptográficos simétricos requieren a cada par de
comunícanos potenciales tener una llave privada compartida hace el algoritmo
nonscalable. El número total de las llaves requeridas a completa conecta
partidos de n es dado por el fórmula siguiente:
Number of Keys = n * (n - 1)
2
Ahora, esto no pudo sonar así que malo (y él no está para los sistemas
pequeños), pero considera las figuras siguientes:
Número de participantes El número de llaves requirió
2 1
3 2
4 6
5 10
326
10 45
100 4,950
1,000 499,500
10,000 49,995,000
Obviamente, cuanto más grande es la población, menos probable un sistema
criptográfico simétrico será conveniente resolver sus necesidades.
Los algoritmos dominantes asimétricos también proporcionan la ayuda para la
tecnología digital de la firma. Básicamente, si Bob desea asegurar a otros usuarios que
un mensaje con su nombre en él fue enviado realmente por él, él primero crea un
resumen del mensaje usando un algoritmo de cálculo (hay más del algoritmo del
hashing en la sección siguiente). Bob entonces cifra ese resumen usando su llave
privada. Cualquier usuario que desee verificar la firma descifra simplemente el resumen
del mensaje usando la llave pública de Bob y después verifica que el resumen
descifrado del mensaje es exacto. Este proceso se explica en mayor detalle en el
capítulo 10.
Lo que sigue es una lista de las fuerzas principales de la criptografía dominante
asimétrica: La adición de nuevos usuarios requiere la generación del solamente un par
dominante público/privado. Este mismo par dominante se utiliza para comunicarse con
todos los usuarios del sistema criptográfico asimétrico. Esto hace el algoritmo
327
extremadamente escalable. Los usuarios pueden ser quitados lejos más fácilmente de
sistemas asimétricos. Los algoritmos asimétricos proporcionan un mecanismo
dominante de la revocación que permita que una llave sea cancelada, quitando con
eficacia a un usuario del sistema. Se requiere la regeneración dominante solamente
cuando se compromete la llave privada de un usuario. Si un usuario deja a comunidad,
de sistema del administrador las necesidades simplemente de invalidar que las llaves
del usuario. No se compromete ningunas otras llaves y por lo tanto, la regeneración
dominante no se requiere para ningún otro usuario. El cifrado dominante asimétrico
proporciona la capacidad, en sistemas de la seguridad, que garantiza que un mensaje o
los datos se pueden demostrar para haber originado de una persona específica. Si un
usuario no comparte su llave privada con otros individuos, un mensaje firmado por ese
usuario no puede ser negado más adelante. La distribución dominante es un proceso
simple. Los usuarios que desean participar en el sistema simplemente ponen su llave
pública a disposición cualquier persona con quién desean para comunicarse. No hay
método por el cual la llave privada se puede derivar de la llave pública. La debilidad
principal de la criptografía dominante pública es la velocidad reducida a la cual funciona.
Por esta razón, muchos usos que requieren la transmisión segura de cantidades
grandes de datos utilizan la criptografía dominante pública para establecer una conexión
y para intercambiar una llave secreta. El resto de la sesión entonces ocurre con la
criptografía simétrica. El capítulo 10 proporciona los detalles técnicos en algoritmos
dominantes públicos modernos del cifrado y algunos de sus usos.
9.3.5 Algoritmos de cálculo
En la sección anterior, aprendiste que los sistemas criptográficos dominantes públicos
pueden proporcionar capacidad digital de la firma cuando están utilizados
conjuntamente con un resumen del mensaje. Los resúmenes del mensaje son
328
resúmenes del contenido de un mensaje (no desemejante de una suma de
comprobación del archivo) producido por un algoritmo de cálculo. Es extremadamente
difícil, si no imposible, derivar un mensaje de una función ideal del picadillo, y la es muy
inverosímil que dos mensajes tendrán el mismo valor del picadillo. Los siguientes son
algunos de los algoritmos de cálculo más comunes funcionando hoy: Resumen 2 (MD2)
del mensaje Resumen 5 (MD5) del mensaje del resumen 4 del mensaje (MD4)
Asegurar el algoritmo del picadillo (SHA) Código Picadillo-Basado de la autentificación
del mensaje (HMAC) El capítulo 10 proporciona los detalles en estos algoritmos de
cálculo contemporáneos y explica cómo se utilizan para proporcionar la capacidad
digital de la firma, que ayuda a la reunión las metas criptográficas de la integridad y del
capacidad, en sistemas de la seguridad, que garantiza que un mensaje o los datos se
puede demostrar para haber originado de una persona específica.
9.4 Criptografía simétrica
Has aprendido la criptografía dominante simétrica subyacente de los conceptos básicos,
la criptografía dominante asimétrica, y funciones del hashing. En las secciones
siguientes, daremos una ojeada profundizado varios sistemas criptográficos simétricos
comunes: el estándar de cifrado de datos (DES), DES triple (3DES), algoritmo
internacional del cifrado de datos (IDEA), Blowfish, Skipjack, y Estándar avanzado del
cifrado (AES). .
9.4.1 Estándar de cifrado de datos (DES)
El gobierno de Estados Unidos publicó el estándar de cifrado de datos (DES) en 1977
como sistema criptográfico estándar propuesto para todas las comunicaciones del
gobierno. De hecho, muchos entidades gubernamentales continúan utilizando el DES
329
para los usos criptográficos hoy, a pesar de que era superado por el estándar avanzado
del cifrado (AES) en diciembre de 2001. El DES es a cifra 64-bit del bloque que tiene
modo de operación cuatro: Modo electrónico de Libro de Código (ECB), bloque de la
cifra que encadena el modo (CBC), modo de la regeneración de la cifra (CFB), y
regeneración de la salida Modo (OFB). Estos modos se explican en las secciones
siguientes. Toda la operación de los modos del DES comió en 64 pedacitos de texto
plano a la vez para generar bloques 64-bit del texto cifrado. La llave usada por el DES
es 56 bits de largo.
As
Según lo mencionado en el texto, el DES utiliza una llave de 56 pedacitos para
conducir el cifrado y proceso del desciframiento. Sin embargo, puedes leer
adentro un poco de literatura que el DES utiliza una llave 64-bit. Esto no es una
inconsistencia-allí es una explicación perfectamente lógica. La especificación del
DES llama para una llave 64-bit. Sin embargo, de esos 64 pedacitos, solamente
56 contienen realmente afinar la información. Los 8 pedacitos restantes se
suponen para contener la información de la paridad para asegurarse de que los
otros 56 pedacitos son exactos. En la práctica, sin embargo, esos pedacitos de
paridad se utilizan raramente. Debes confiar la figura de 56 pedacitos a la
memoria.
El DES utiliza una serie larga de exclusiva O de las operaciones (XOR) para generar el
texto cifrado. Este proceso se repite 16 veces para cada operación del cifrado/del
desciframiento. Cada repetición se refiere comúnmente como “redondo” del cifrado,
330
explicando la declaración que el DES realiza 16 redondos de cifrado. En las secciones
siguientes, daremos una ojeada cada uno de los cuatro modos utilizados por el DES.
9.4.2 MODO ELECTRÓNICO DE LIBRO DE CÓDIGO (ECB)
El modo electrónico de Libro de Código (ECB) es el modo más simple a entender y el lo
más menos posible seguro. Cada vez que el algoritmo procesa un bloque 64-bit, cifra
simplemente el bloque usando la llave secreta elegida. Esto significa que si el algoritmo
encuentra los mismos tiempos múltiples del bloque, producirá el exacto el mismo bloque
cifrado. Si un enemigo escuchaba detrás de las puertas en las comunicaciones, podrían
construir simplemente un “Libro de Código” de todos los valores cifrados posibles.
Después de que una suficiente azufaifa numérica de bloques fuera recolectada, las
técnicas criptoanalíticas se podrían utilizar para descifrar algunos de los bloques y para
romper el esquema del cifrado. Esta vulnerabilidad hace impráctico utilizar modo de
ECB en todas las transmisiones más cortas. En uso diario, ECB se utiliza solamente
para el intercambio de cantidades pequeñas de datos, tales como llaves y parámetros
usados para iniciar otros modos del DES.
9.4.3 BLOQUE DE LA CIFRA QUE ENCADENA EL MODO (CBC)
En el bloque de la cifra que encadena el modo (CBC), cada bloque del texto que no se
encripta es XORed con el bloque del texto cifrado inmediatamente antes de él antes de
que se cifre usando el algoritmo del DES. El proceso del desciframiento descifra
simplemente el texto cifrado e invierte la operación de XOR. Una consideración
importante al usar modo de CBC es que los errores al propagarse un bloque se
331
corrompe durante la transmisión, él serán imposibles descifrar ese bloque y el bloque
siguiente también.
9.4.4 MODO DE LA REGENERACIÓN DE LA CIFRA (CFB)
En modo de la regeneración de la cifra (CFB), el algoritmo del DES se utiliza para cifrar
el bloque precedente del texto cifrado. Este bloque es entonces XORed con el bloque
siguiente del texto plano para producir el bloque siguiente del texto cifrado. Como con
modo de CBC, la función del desciframiento invierte simplemente el proceso. En modo
de CFB, los errores también propagan, corrompiendo el bloque después transmitido.
9.4.5 MODO DE LA REGENERACIÓN DE LA SALIDA (OFB)
En modo de la regeneración de la salida (OFB), el DES casi funciona en la misma
manera que hace en modo de CFB. Sin embargo, en vez de XORing una versión cifrada
del bloque precedente anterior del texto cifrado, DES XORs el texto plano con un valor
de la semilla. Para el bloque primero cifrado, un vector inicialización se utiliza para crear
el valor de la semilla. Los valores futuros de la semilla son derivados funcionando el
algoritmo del DES en el valor precedente anterior de la semilla. La ventaja principal del
modo de OFB es que los errores de la transmisión no propagan para afectar el
desciframiento de los bloques futuros.
9.5 DES TRIPLE (3DES)
Según lo mencionado en secciones anteriores, el pedacito de datos del estándar de
cifrado 56 dominante es consideración no más adecuado frente a técnicas
criptoanalíticas modernas y a energía supercomputing. Sin embargo, una versión
332
adaptada de DES, DES triple (3DES), aplicaciones el mismo algoritmo de producir un
cifrado más seguro Hay cuatro versiones de 3DES. El primer cifra simplemente el texto
plano tres veces, usando tres diversas llaves: K1, K2, y K3. Se conoce como modo
DES-EEE3 (el Es indica que hay tres operaciones del cifrado, mientras que el número 3
indica que son tres diversas llaves utilizadas). DES-EEE3 se puede expresar usando la
notación siguiente, donde E (K, P) representa el cifrado del texto plano P con la llave K:
E(K1,E(K2,E(K3,P)))
DES-EEE3 tiene una longitud dominante eficaz de 168 pedacitos.
La segunda variante (DES-EDE3) también utiliza tres llaves pero substituye la segunda
operación del cifrado con una operación del desciframiento:
E(K1,D(K2,E(K3,P)))
La tercera versión de 3DES (DES-EEE2) utiliza solamente dos llaves, K1 y K2, como
sigue:
E(K1,E(K2,E(K1,P)))
La cuarta variante de 3DES (DES-EDE2) también utiliza dos llaves pero aplicaciones
una operación del desciframiento en el centro:
E(K1,D(K2,E(K1,P)))
Las terceras y cuartas variantes tienen una longitud dominante eficaz de 112 pedacitos.
333
As
Técnico, hay una quinto variante de 3DES, DES-EDE1, que utiliza solamente una
llave criptográfica Sin embargo, da lugar al exacto el mismo algoritmo (y fuerza)
que el DES estándar y se prevé solamente propósitos de la compatibilidad hacia
atrás.
Estas cuatro variantes de 3DES fueron desarrolladas sobre los años porque varios
cifradores pusieron adelante teorías que una variante era más segura que las otras. Sin
embargo, la creencia actual es que todos los modos son igualmente seguros.
As
Tomar un cierto tiempo para entender las variantes de 3DES. Sentarte abajo con
un lápiz y un papel y ser seguro que entiendes la manera las aplicaciones de
cada variante dos o tres llaves de alcanzar un cifrado más fuerte.
Esta discusión pide una pregunta obvia ¿Qué sucedió a DES doble (2DES)? Leerás
adentro el capítulo 10 que el DES doble fue intentado pero abandonado rápidamente
cuando fue probado que existió un ataque ese 2DES rendido más seguro que el DES
estándar.
9.6 Algoritmo internacional del cifrado de datos (IDEA)
La cifra internacional del bloque del algoritmo del cifrado de datos (IDEA) fue
desarrollada en respuesta a quejas sobre la longitud dominante escasa del algoritmo del
DES. Como el DES, la IDEA funciona encendido bloques 64-bit de plano-/ciphertext. Sin
334
embargo, comienza su operación con una llave de 128 pedacitos. Esta llave entonces
está rota para arriba en una serie de operaciones en 52 16 subllave del pedacito. Las
subllaves entonces actúan en el texto de entrada usando una combinación de XOR y de
las operaciones del módulo para producir la versión descifrada cifrada del mensaje de la
entrada. La IDEA es capaz del funcionamiento en los mismos cuatro modos utilizados
por el DES: ECB, CBC, CFB, y OFB.
Todo este material en el tamaño de bloque dominante de la longitud y el número
de redondos encriptados puede parecerse terrible que agujerea; sin embargo, es
material muy importante, así que sea seguro cepillar para arriba en él mientras
que se prepara para el examen.
El algoritmo sí mismo de la IDEA es patentado por sus reveladores suizos. Sin
embargo, han concedido una licencia ilimitada a cualquier persona que desea utilizar la
IDEA para los propósitos no comerciales. Favorables vides de la IDEA la funcionalidad
criptográfica en paquete seguro bastante bueno popular del E-mail del aislamiento de
Phil Zimmerman (PGP). PGP de las cubiertas del capítulo 10 en detalle adicional.
9.7 Blowfish
La cifra del bloque del Blowfish de Bruce Schneier es otro alternativa al DES y a la
IDEA. Como sus precursores, el Blowfish funciona encendido bloques del texto 64-bit.
Sin embargo, amplía la fuerza dominante de la IDEA incluso más futura no prohibiendo
al uso de las llaves variable-length que se extienden de 32 pedacitos relativamente
inseguros a los 448 pedacitos extremadamente fuertes. Obviamente, las llaves más
largas darán lugar a un aumento correspondiente en tiempo del cifrado/del
335
desciframiento. Sin embargo, los ensayos del tiempo tienen que establecer el Blowfish
como algoritmo mucho más rápido que IDEA y el DES. También, Sr. Schneier lanzó el
Blowfish para el uso público sin la licencia requerida. El cifrado del Blowfish se
construye en un número de productos de software comerciales y de sistemas
operativos. Hay también un número de bibliotecas del Blowfish disponibles para los
reveladores del software.
9.8 Skipjack
El algoritmo de los Skipjack era aprobado para uso del gobierno de los E.E.U.U. en el
estándar federal del tratamiento de la información (PAA) 185, el estándar fideicomisado
del cifrado (EES). Como muchas cifras del bloque, el Skipjack funciona encendido
bloques del texto 64-bit. Utiliza una llave de 80 pedacitos y apoya el mismo modo de
operación cuatro apoyado por el DES. El Skipjack fue abrazado rápidamente por el
gobierno de los E.E.U.U. y proporciona las rutinas criptográficas que apoyaban las
virutas de alta velocidad del cifrado de las podadoras y del Capstone diseñadas para el
uso comercial de corriente. Sin embargo, el Skipjack ha agregado torcer-él apoya el
fideicomiso de las llaves del cifrado. Dos agencias estatales, el National Institute of
Standards and Technology (NIST) y el departamento del Hacienda, cada asimiento a la
porción de la información requerida reconstruir un Skipjack afinan. Cuando las
autoridades de la aplicación de ley obtienen la autorización legal, entran en contacto
con las dos agencias, obtienen los pedazos de la llave, y pueden descifrar
comunicaciones entre los partidos afectados. Los Skipjack y la viruta de las podadoras
no han sido abrazados por la comunidad criptográfica en grande debido a su
desconfianza de los procedimientos del fideicomiso en lugar dentro del gobierno de los
E.E.U.U. De hecho, es inverosímil que cualquier arreglo dominante del fideicomiso
tendrá éxito dado la proliferación de la tecnología pensativa, de gran alcance del cifrado
336
en el Internet y del hecho de que el pedacito del Skipjack 80 dominante es relativamente
inseguro. .
9.9 Estándar avanzado del cifrado (AES)
En octubre de 2000, el National Institute of Standards and Technology (NIST) anunció
que la cifra del bloque de Rijndael (pronunciada “Rin-muñeca”) había sido elegida como
el reemplazo para el DES. En diciembre de ese mismo año, la secretaria del comercio
aprobó los PAA 197, que asignaron el uso por mandato de AES/Rijndael para el cifrado
de todos los datos sensibles pero sin clasificar por el gobierno de los E.E.U.U. La cifra
de Rijndael permite el uso de tres fuerzas dominantes: 128 pedacitos, 192 pedacitos, y
256 pedacitos. La especificación original para AES llamó para el proceso de 128
bloques del pedacito, pero Rijndael excedió esta especificación, permitiendo que los
criptógrafos utilicen un tamaño de bloque igual a la longitud dominante. El número de
los redondos del cifrado depende de la longitud dominante elegida: 128 llaves del
pedacito requieren 9 redondos de cifrado.
192 llaves del pedacito requieren 11 redondos de cifrado.
256 llaves del pedacito requieren 13 redondos de cifrado.
El algoritmo de Rijndael utiliza tres capas de transformaciones para cifrar/bloques del
decrypt del texto del mensaje:
La mezcla linear transforma
No lineal transforma
La adición dominante transforma
El número total de los pedacitos dominantes redondos necesitados es igual al siguiente:
Longitud del bloque * número de redondos + 1
337
Por ejemplo, con una longitud del bloque de 128 pedacitos y de 13 redondos de cifrado,
1.792 pedacitos dominantes redondos son necesarios. Los detalles operacionales de
estas capas están más allá del alcance de este libro. Los lectores interesados pueden
obtener una copia completa de la descripción del algoritmo de Rijndael de 45 páginas
en el Web site de Rijndael: www.rijndael.com.
9.10 DISTRIBUCIÓN DOMINANTE
Según lo mencionado previamente, uno de los algoritmos simétricos subyacentes del
cifrado de los problemas importantes es la distribución segura de las llaves secretas
requeridas para funcionar los algoritmos. En las secciones siguientes examinaremos los
tres métodos principales usados para intercambiar llaves secretas con seguridad:
distribución fuera de línea, cifrado dominante público, y el algoritmo del intercambio de
la llave de Diffie-Hellman.
Twofish
El algoritmo de Twofish desarrollado por Bruce Schneier (también el creador
del Blowfish) era otro de los finalistas de AES. Como Rijndael, Twofish es una
cifra del bloque. Funciona encendido 128 bloques del pedacito de datos y es
capaz de usar llaves criptográficas hasta 256 pedacitos en longitud. Twofish
utiliza dos técnicas no encontradas en otros algoritmos. Prewhitening implica
XORing el texto plano con una subllave separada antes del 1r redondo del
cifrado. Postwhitening utiliza una operación similar después del decimosexto
redondo del cifrado.
Código de campo cambiado
338
9.10.1 Distribución fuera de línea
El método lo más técnico posible simple implica el intercambio físico del material
dominante. Un partido provee del otro partido una hoja del papel o el pedazo de medios
de almacenaje que contienen la llave secreta. En muchos dispositivos del cifrado del
hardware, este material dominante viene bajo la forma de dispositivo electrónico que se
asemeje a una llave real que se inserte en el dispositivo del cifrado. Si los participantes
reconocen la voz de cada uno, puede ser que utilicen el proceso (aburrido) del material
que afinaba de la lectura sobre el teléfono. Sin embargo, cada uno de estos métodos
tiene sus propios defectos inherentes. Si afinar a compañero que el rial se envía a
través del correo, él pudo ser interceptado. Los teléfonos pueden ser wiretapped. Las
llaves contienen los papeles que pudieron ser lanzadas inadvertidamente en la basura o
ser perdidas.
9.10.2 Cifrado dominante público
Muchos comunicadores desean obtener las ventajas de la velocidad del cifrado
dominante secreto sin las molestias de la distribución dominante. Por esta razón, mucha
gente utiliza el cifrado dominante público para instalar un acoplamiento inicial de las
comunicaciones. Una vez que el acoplamiento se establezca con éxito y los partidos
están satisfechos en cuanto a identidad de cada uno, intercambian una llave secreta
sobre el acoplamiento dominante público seguro. Después cambian de comunicación el
algoritmo dominante público al algoritmo dominante secreto y gozan de la favorable
velocidad creciente. El cifrado dominante secreto es generalmente cifrado dominante
que público de 1.000 veces más rápidamente.
339
9.10.3 Diffie-Hellman
En algunos casos, ni el cifrado dominante público ni la distribución fuera de línea es
suficiente. Dos partidos pudieron necesitar comunicarse con uno a pero no tienen
ningún medio de la comprobación de intercambiar el material dominante y no hay
infraestructura dominante pública en el lugar para facilitar el intercambio de llaves
secretas. En situaciones tener gusto de esto, algoritmos del intercambio de la llave
como el algoritmo de Diffie-Hellman demuestra ser mecanismos extremadamente útiles.
As
El algoritmo de Diffie-Hellman representó un avance importante en el estado de
la ciencia criptográfica cuando fue lanzado en 1976. Sigue siendo funcionando
hoy.
Los trabajos del algoritmo de Diffie-Hellman como sigue:
1. Los partidos que se comunican (los llamaremos Richard y Sue) convienen en dos
números grandes: p (que es un número primero) y g (que es un número entero) tales
que 1 < g < P.
2. Richard elige un número entero grande al azar r y realiza el cálculo siguiente: R = gr
mod p
3. Sue elige un número entero grande al azar s y realiza el cálculo siguiente: S = gs
mod p
340
4. Richard envía R a Sue y Sue envía S a Richard.
5. Richard entonces realiza el cálculo siguiente: K = Sr mod p
6. Sue entonces realiza el cálculo siguiente: K = Rs mod p
A este punto, Richard y Sue ambos tienen el mismo valor, K, y pueden utilizar esto para
la comunicación dominante secreta entre los dos partidos.
9.11 Fideicomiso dominante
La criptografía es una herramienta de gran alcance. Como la mayoría de las
herramientas, puede ser utilizada para un número de actitudes beneficiantes, pero
puede también ser utilizada con intento malévolo. Para ganar una manija en el
crecimiento explosivo de tecnologías criptográficas, los gobiernos alrededor del mundo
han flotado ideas de poner un sistema dominante del fideicomiso en ejecución. Estos
sistemas permiten que el gobierno, bajo circunstancias limitadas tales como un orden
judicial, obtenga la llave criptográfica usada para una comunicación particular de una
facilidad del almacenaje central.
Hay dos acercamientos importantes para afinar el fideicomiso que han sido
excedente propuesto la última década: En el acercamiento justo del fideicomiso
de los Sistemas criptográficos, las llaves secretas usadas en una comunicación
se dividen en dos o más pedazos, que se da a terceros independientes. Cada
uno de estos pedazos es inútil en sus el propio pero se puede recombinar para
obtener la llave secreta. Cuando el gobierno obtiene autoridad legal para tener
acceso a una llave particular, proporciona la evidencia del orden judicial a cada
341
uno de los terceros y después volvió a montar la llave secreta. El estándar
fideicomisazo del cifrado toma un diverso acercamiento proveyendo del gobierno
los medios tecnológicos de descifrar el texto cifrado. Este estándar es la base
detrás del algoritmo de los Skipjack discutido anterior en este capítulo.
Es altamente inverosímil que los reguladores del gobierno superarán siempre los
cañizos legales y del aislamiento necesario para poner el fideicomiso en ejecución
dominante sobre una base extensa. La tecnología es ciertamente provecho capaz, pero
el público en general nunca aceptará probablemente el potencial que facilita el gobierno.
RESUMEN
Los criptógrafos y los criptoanalistas están en una raza interminable para desarrollar
sistemas cifrados más seguros y las técnicas criptoanalíticas avanzadas diseñados para
evitar esos sistemas. El cifrado dató desde Caesar y ha sido un estudio en curso por
muchos años. En este capítulo, aprendiste algunos de los conceptos fundamentales
subyacentes el campo de la criptografía, ganado una comprensión básica de la
terminología usada por los criptógrafos, y mirada algunos códigos y cifras históricos
usados en los días tempranos de la criptografía. Este capítulo también examinó las
igualdades y las diferencias entre la criptografía dominante simétrica (donde
comunicándose los partidos utilizan la misma llave) y criptografía dominante asimétrica
(donde cada comunicante tiene un par de llaves públicas y privadas). Envolvimos para
arriba el capítulo analizando algunos de los algoritmos simétricos servimos actualmente
capaz y sus fuerzas y debilidades tan bien como algunas soluciones al dilema
dominante del intercambio ese los criptógrafos dominantes secretos de las plagas. El
capítulo siguiente amplía esta discusión a los algoritmos criptográficos dominantes
342
públicos temporales cubiertos. Además, algunas de las técnicas cifradas común usadas
para derrotar ambos tipos de sistemas criptográficos serán exploradas.
ESENCIAL DEL EXAMEN
Entender los juegos del secreto del papel en sistemas criptográficos. El secreto es una
de las metas principales de la criptografía. Se asegura de que los mensajes sigan
protegidos contra acceso a los individuos desautorizados y permite que los mensajes
cifrados sean transmitidos libremente a través de una red abierta. El secreto se puede
asegurar por sistemas criptográficos simétricos y asimétricos.
Entender los juegos de la integridad del papel en sistemas criptográficos. La integridad
provee del recipiente de un mensaje el aseguramiento que el mensaje no fue alterado
(intencionalmente o intencionalmente) entre el tiempo que fue creado por el remitente y
el tiempo fue recibido por el recipiente. La integridad se puede asegurar por sistemas
criptográficos simétricos y asimétricos.
Entender la importancia de proporcionar capacidad de la capacidad, en sistemas de la
seguridad, que garantiza que un mensaje o los datos se pueden demostrar para haber
originado de una persona específica en sistemas criptográficos. No la renegación
proporciona la prueba innegable que el remitente de un mensaje fue autor realmente de
él. Pre expresa el remitente posteriormente de negar que enviaran el mensaje original.
Capacidad, en sistemas de la seguridad, que garantiza que un mensaje o los datos se
pueden demostrar para haber originado de una persona específica es solamente
posible con sistemas criptográficos asimétricos.
Saber los sistemas criptográficos se pueden utilizar para alcanzar metas de la
autentificación. Favorables aseguramientos de las vides de la autentificación en cuanto
a la identidad de un usuario. Un esquema posible que utiliza la autentificación es el
protocolo de la desafiar-respuesta, en el cual piden el usuario alejado cifrar un mensaje
343
usando una llave sabida solamente a los partidos que se comunican. La autentificación
se puede alcanzar con sistemas criptográficos simétricos y asimétricos.
Estar al corriente de la terminología básica de la criptografía. Cuando un remitente
desea transmitir un mensaje privado a un recipiente, el remitente toma el mensaje (no
encriptado) del texto plano y lo cifra que usa un algoritmo y una llave. Esto produce un
mensaje del texto cifrado que se transmita al recibidor. El recipiente entonces utiliza un
algoritmo y una llave similares para descifrar el texto cifrado y para reconstruir el
mensaje original del texto plano para la visión.
Poder explicar cómo el sistema binario trabaja y saber las funciones lógicas y
matemáticas básicas usadas en usos criptográficos. Las matemáticas binarias utilizan
solamente los números 0 y 1 para representar estados falsos y verdaderos,
respectivamente. Utilizas operaciones lógicas por ejemplo Y, O, NO, y XOR en estos
valores para realizar funciones de cómputo. La función del modulo vuelve el resto de la
división del número entero y es crítica en poner varios algoritmos en ejecución
criptográficos. La criptografía dominante pública confía en el uso de las funciones
unidireccionales que son difíciles de invertir.
Entender la diferencia entre un código y una cifra y explicar los tipos básicos de cifras.
Los códigos son sistemas criptográficos de los símbolos que funcionan encendido
palabras o frases y son secreto de algunas veces pero no proporcionan siempre
secreto. Las cifras, sin embargo, se significan siempre para ocultar el significado
verdadero de un mensaje. Saber los tipos siguientes de cifras trabajan: cifras
transpuestas, cifras de la substitución (cojines de una sola vez incluyendo), cifras de la
corriente, y cifras del bloque. Saber los requisitos para el uso acertado de un cojín de
una sola vez. Para que un cojín de una sola vez sea satisfecho, la llave se debe generar
aleatoriamente sin ningún patrón sabido. La llave debe estar por lo menos mientras el
mensaje que se cifrará. Los cojines se deben proteger contra encierro físico y cada cojín
debe ser utilizado solamente una vez y después ser desechado.
344
Entender la importancia de la seguridad dominante. Las llaves criptográficas
proporcionan la ele- necesariamente de secreto a un sistema criptográfico. Los sistemas
criptográficos modernos utilizan las llaves que son por lo menos 128 pedacitos largos
proporcionar seguridad adecuada. Se conviene generalmente que la llave de 56
pedacitos del estándar de cifrado de los datos (DES) es no más suficientemente larga
proporcionar seguridad.
Saber las diferencias entre los sistemas criptográficos simétricos y asimétricos. Los
sistemas criptográficos dominantes simétricos (o los sistemas criptográficos dominantes
secretos) confían en el uso de una llave secreta compartida. Son mucho más rápidos
que algoritmos asimétricos pero carecen la ayuda para la escalabilidad, distribución
dominante fácil, y de capacidad, en sistemas de la seguridad, que garantiza que un
mensaje o los datos se pueden demostrar para haber originado de una persona
específica. El público asimétrico del uso de los sistemas criptográficos/los pares
dominantes privados para la comunicación entre los partidos pero funciona mucho más
lentamente que algoritmos simétricos.
Poder explicar los modos operacionales básicos del estándar de cifrado de datos (DES)
y de DES triple (3DES). El estándar de cifrado de datos funciona en cuatro modos:
Modo electrónico del libro del código (ECB), bloque de la cifra encadenando el modo
(CBC), modo de la regeneración de la cifra (CFB) y fuera del modo puesto de la
regeneración (OFB). El modo de ECB se considera el lo más menos posible seguro y se
utiliza solamente para los mensajes cortos. 3DES utiliza tres iteraciones del DES con
dos o tres diversas llaves para aumentar la fuerza dominante eficaz a 112 pedacitos.
Saber el cifrado avanzado estándar (AES) y el algoritmo de Rijndael. El estándar
avanzado del cifrado (AES) utiliza el algoritmo de Rijndael y es el nuevo estándar del
gobierno de los E.E.U.U. para el intercambio seguro de datos sensibles pero sin
clasificar. AES utiliza las longitudes y los tamaños de bloque dominantes de 128, 192, y
345
256 pedacitos para alcanzar un mucho de alto nivel de la seguridad que lo
proporcionada por el más viejo algoritmo del DES.
LABORATORIO ESCRITO
Contestar a las preguntas siguientes sobre criptografía y algoritmos dominantes
privados.
1. ¿Cuál es el cañizo principal que previene la adopción extensa de los sistemas
cifrados de una sola vez del cojín para asegurar secreto de los datos?
2. Cifrar el mensaje “que aprobaré el examen de CISSP y que haré el mes próximo
certificado” que usa la transposición acolumnada con la palabra clave SEGURA.
3. Descifrar el mensaje “F.R.Q J U D W X O D W L R Q V B R X J R W L W” que usa la
cifra de la substitución de Caesar ROT3.
PREGUNTAS DE REVISIÓN.
1.¿Cuál uno del siguiente no es una meta de sistemas criptográficos?
A. Aceptar c if rado
B. Confidentiality
C. Disponibilidad
D. Integr idad
2.Juan recibió recientemente un mensaje del correo electrónico de cuenta. ¿Qué meta
criptográfica necesitaría ser resuelta para convencer a Juan que la cuenta fuera
realmente el remitente del mensaje?
A. Aceptar c if rado
346
B. Confidentiality
C. Disponibilidad
D. Integr idad
3.¿Cuál es la longitud de la llave criptográfica usada en el sistema cifrado del estándar
de cifrado de datos (DES)?
A. 56 bits
B. 128 bits
C. 192 bits
D. 256 bits
4.¿Qué tipo de cifra confía en cambiar la localización de caracteres dentro de un
mensaje para alcanzar secreto?
A. Cifra de la corriente
B. Cifra de la transposición
C. Cifra del bloque
D. Cifra de la substitución
5.¿Cuál uno del siguiente no es una longitud dominante posible para la cifra estándar de
Rijndael del cifrado avanzado?
A. 56 bits
B. 128 bits
C. 192 bits
D. 256 bits
6.¿Cuál uno del siguiente es una meta criptográfica que no se puede alcanzar por un
sistema cifrado dominante secreto?
347
A. Aceptar cif rado
B. Confidentiality
C. Disponibilidad
D. In tegridad
7.Cuando está puesto en ejecución correctamente, cuál es el único sistema cifrado
sabido para ser irrompible?
A. Cifra de la transposición
B. Cifra de la substitución
C. Estándar avanzado del cifrado
D. Cojín de una sola vez
8. ¿Cuál es el valor de la salida de la MOD matemática 3 de la función 16?
A. 0
B. 1
C. 3
D. 5
9.Los años 40, un equipo de criptoanalistas de los Estados Unidos adaptó con éxito un
código soviético basado sobre un cojín de una sola vez en un proyecto conocido como
VENONA. ¿Qué regla el soviet rompieron que causado esta falta?
A. Los valores dominantes deben ser al azar.
B. Los valores dominantes deben ser la misma longitud que el mensaje.
C. Los valores dominantes se deben utilizar solamente una vez.
D. Los valores dominantes se deben proteger contra acceso físico.
348
10. ¿Cuál uno de la cifra siguiente mecanografía funciona encendido pedazos grandes
de un mensaje más bien que caracteres individuales o pedacitos de un mensaje?
A. Cifra de la corriente.
B. Cifra del Caesar.
C. Cifra del bloque.
D. Cifra de la ROT3.
11 ¿Cuál es el número mínimo de las llaves criptográficas requeridas para las
comunicaciones de dos vías seguras en criptografía dominante simétrica?
A. Uno
B. Dos
C. Tres
D. Cuatro
12. ¿Cuál es el número mínimo de las llaves criptográficas requeridas para las
comunicaciones de dos vías seguras en criptografía dominante asimétrica?
A. Uno
B. Dos
C. Tres
D. Cuatro
13. ¿Cuál uno de los modos de funcionamiento siguientes del estándar de cifrado de
datos (DES) se puede utilizar para los mensajes grandes con el aseguramiento que un
error temprano en el proceso del cifrado/del desciframiento no estropeará resultados a
través de la comunicación?
A. Encadenamiento del bloque de la cifra (CBC).
B. Libro de código electrónico (ECB).
349
C. Regeneración de la cifra (CFB).
D. Regeneración de la salida (OFB).
14. ¿Qué algoritmo del cifrado es utilizado por la viruta de las podadoras, que apoya el
estándar fideicomisado del cifrado patrocinó por el gobierno de los E.E.U.U.?
A. Estándar de cifrado de datos (DES).
B. Estándar avanzado del cifrado (AES).
C. Skipjack.
D. IDEA.
15. ¿Cuál es el número mínimo de las llaves criptográficas requeridas para alcanzar un
de alto nivel de la seguridad que el DES con el algoritmo triple del DES?
A. A,1
B. 2
C. 3
D. 4
16. ¿Qué acercamiento para afinar el fideicomiso divide la llave secreta en varios
pedazos que se distribuyan a los terceros de la independiente?
A. Sistemas cifrados justos.
B. Estándar dominante del fideicomiso.
C. Estándar fideicomisado del cifrado.
D. Fideicomiso justo.
17. ¿Qué clase de ataque hace que el Caesar cifra virtualmente inutilizable?
A. Ataque del Satisfacer-en--medio
B. Ataque del fideicomiso.
350
C. Ataque de la frecuencia.
D. Ataque de la transposición.
18. ¿Qué tipo de sistema cifrado hace uso comúnmente un paso de un libro bien
conocido para la llave del cifrado?
A. Cifra del Vernam.
B. Cifra dominante corriente.
C. Cifra de los Skipjack.
D. Cifra de la Twofish.
19. ¿Qué finalista de AES hace uso técnicas prewhitening y postwhitening?
A. Rijndael.
B. Twofish.
C. Blowfish.
D. Skipjack.
20. El deseo de Matthew y de Richard a comunicarse con la criptografía simétrica
pero no tiene una llave secreta prearranged. ¿Qué algoritmo puede ser que utilicen para
resolver esta situación?
A. DES
B. AES.
C. Diffie-Hellman.
D. Skipjack.
Con formato: Sangría: Izquierda: 0cm, Primera línea: 0 cm, Numerado +Nivel: 1 + Estilo de numeración: 1, 2,3, … + Iniciar en: 20 + Alineación:Izquierda + Alineación: 0.63 cm +Tabulación después de: 1.27 cm +Sangría: 1.27 cm
351
RESPUESTAS PARA REPASAR PREGUNTAS
1. C. Las cuatro metas de sistemas criptográficos son secreto, integridad,
autentificación, y nonrepudiation.
2. A. El Nonrepudiation evita que el remitente de un mensaje niegue más adelante que
lo enviaron.
3. A. El DES del utiliza una llave de 56 pedacitos. Esto se considera una de las
debilidades principales de este sistema cifrado.
4. B. Las cifras de la transposición utilizan una variedad de técnicas para reordenar los
caracteres dentro de un mensaje.
5. A. La cifra de Rijndael permite que los usuarios seleccionen una longitud dominante
de 128, 192, o 256 pedacitos dependiendo de los requisitos específicos de la seguridad
del uso.
6. A. El Nonrepudiation requiere el uso de un sistema cifrado dominante público de
evitar que los usuarios nieguen falso que originaran un mensaje.
7. D. Si se asume que está utilizado correctamente, el cojín de una sola vez es el único
sistema cifrado sabido que no es vulnerable a los ataques.
8. B. La opción B está correcta porque 16 se dividieron por 3 iguales 5, con un valor del
resto de 1.
9. A. Los criptoanalistas de los Estados Unidos descubrieron un patrón en el método los
soviet usados para generar sus cojines de una sola vez. Después de que este patrón
fuera descubierto, mucho del código era uniforme roto.
10. C. Las cifras del bloque funcionan encendido el mensaje “pedazos” más bien que en
caracteres o pedacitos individuales. Las otras cifras mencionadas son todos los tipos de
cifras de la corriente que funcionen encendido pedacitos individuales o socarren actores
de un mensaje.
352
11. A. La criptografía dominante simétrica utiliza una llave secreta compartida. Todos
los partidos que se comunican utilizan la misma llave para la comunicación en cualquier
dirección.
12. D. En criptografía asimétrica (de la llave pública), cada partido que se comunica
debe tener un par de llaves públicas y privadas. Por lo tanto, la comunicación de dos
vías entre los partidos requiere un total de cuatro llaves criptográficas (una llave pública
y privada para cada usuario).
13. D. Los modos del encadenamiento del bloque de la cifra y de la regeneración de la
cifra todos llevarán errores a través del proceso entero del cifrado/del desciframiento. La
operación electrónica de libro de código (ECB) no es conveniente para las cantidades
grandes de datos. El modo de la regeneración de la salida (OFB) no permite que los
errores tempranos interfieran con el cifrado/el desciframiento futuros.
14. C. El algoritmo de los Skipjack puso el estándar dominante del fideicomiso en
ejecución apoyado por el gobierno de los E.E.U.U.
15. B. Alcanzar agregó seguridad sobre DES, 3DES debe utilizar por lo menos dos
llaves criptográficas.
16. A. El acercamiento justo de los Sistemas cifrados tendría terceros de la
independiente cada almacén a la porción de la llave secreta y después los proporcionó
al gobierno sobre la presentación de un orden judicial válido.
17. C. La cifra de Caesar (y otras cifras simples de la substitución) son vulnerables a los
ataques de la frecuencia que analizan la tarifa en la cual las letras específicas aparecen
en el texto cifrado.
18. B.) Las cifras dominantes (o “libro” corrientes utilizan a menudo un paso de un libro
comúnmente disponible como la llave del cifrado. 19. B. El algoritmo de Twofish,
desarrollado por Bruce Schneier, utiliza prewhitening y postwhitening.
20. C. El algoritmo de Diffie-Hellman permite el intercambio seguro de llaves simétricas
sobre un medio inseguro.
353
354
CAPITULO 10
PKI y Aplicaciones Criptográficas
LOS ASUNTOS DEL EXAMEN DE CISSP CUBIERTOS EN ESTECAPÍTULO INCLUYEN:
Conceptos, metodologías, y prácticas criptográficas
Algoritmos de llaves publicas
Infraestructura de llaves publicas
Arquitectura de Sistemas y Implementación de funcionescriptográficas.
Métodos de ataque
Con formato: Fuente: 14 pto, Negrita
355
356
En el capítulo 9, introdujimos conceptos básicos de la criptografía y se exploró una
variedad de sistemas de criptografía que se dominan privados. Éstos son lo sistemas
de criptografía simétricos que ofrecen la comunicación rápida, segura pero introducen
un desafío substancial del intercambio dominante entre las partes previamente sin
relación. Este capítulo explora el mundo llave asimétrica (o pública) de la criptografía y
la infraestructura dominante pública (PKI) esa apoya la comunicación segura mundial
entre las partes que no se conocen necesariamente antes de la comunicación. También
exploraremos varios usos prácticos de la criptografía: asegurar el correo electrónico,
comunicaciones Web, comercio electrónico, y establecimiento de una red. Este capítulo
concluye con una revisión de una variedad de individuos que con sus ataques pueden
comprometer al sistema de criptografía.
Criptografía Asimétrica
La sección “criptografía moderna” en el capítulo 9 introdujo los principios de base detrás
de la criptografía publica (asimétrica) privada (simétrico). Aprendiste que los sistemas
de criptografía simétricos requieren ambos que ambas partes se comunique para tener
la misma llave secreta compartida, creando el problema de llave de distribución segura.
También aprendiste que los sistemas de encriptación asimétricos evitan este problema
usando pares de llaves públicas y privadas para facilitar la comunicación segura sin los
gastos indirectos de los sistemas complejos de distribución. La seguridad de estos
sistemas confía en la dificultad de invertir una función unidireccional. En las secciones
siguientes, exploraremos los conceptos de la criptografía pública en mayor detalle y
357
miraremos en mas detalle los tres sistemas de encriptación comunes de llave publica
en uso hoy en día como: RSA, EL Gamal, y el sistema de encriptación de curva elíptica.
Llaves públicas y privadas
Recordar del capítulo 9 la llave pública en los sistemas de encriptación confían en
pares de llaves asignadas a cada uno usuario del sistemas de encriptación. Cada
usuario mantiene una llave pública y una llave privada. Como el nombre implica, los
usuarios del sistemas de encriptación de llaves publicas ponen sus llaves públicas
libremente a disposición cualquier persona con quién desean para comunicarse. La
posesión propia de la llave pública por tercera partes no introduce ninguna debilidad en
el sistema de encriptación. La llave privada, en la otra mano, es reservada para el uso
único del individuo. Nunca se comparte con cualquier otro usuario del sistema de
encriptación. La comunicación normal entre los usuarios dominantes públicos del
sistema de encriptación es absolutamente directa. El proceso general se demuestra en
el cuadro 10.1.
358
Notar que el proceso no requiere compartir de llaves privadas. El remitente cifra el
mensaje del texto plano (p) con la llave pública del recipiente para crear el mensaje del
texto cifrado (c). Cuando el recipiente abre el mensaje del texto cifrado, lo descifran que
usa su llave privada para reconstruir el mensaje original del texto plano. Una vez que el
remitente cifre el mensaje con la llave pública del recipiente, ningún usuario (remitente
incluyendo) puede descifrar que mensaje sin el conocimiento de la llave privada del
recipiente (la segunda mitad del par dominante público-privado usado para generar el
mensaje). Ésta es la belleza de la criptografía-pública, que las llaves se pueden
compartir libremente usando comunicaciones sin garantía y después utilizar para crear
los canales de comunicaciones seguros entre el desconocido de los usuarios
previamente el uno al otro. También aprendiste en el capítulo anterior que la criptografía
dominante pública exige un grado más alto de complejidad de cómputo. Las llaves
usadas dentro de sistemas dominantes públicos deben ser más largas que ésas usadas
en sistemas dominantes privados para producir sistemas de encriptación de fuerzas
equivalentes.
RSA
359
El sistemas de encriptación de llaves publicas más famoso se nombra después de sus
creadores. En 1977, Ronald Rivest, el Adi Shamir, y Leonard Adleman propusieron RSA
un algoritmo de llave publica, que sigue siendo un estandar mundial hoy en dia.
Patentaron su algoritmo y formaron una empresa comercial conocida como seguridad
de RSA para desarrollar las puestas en práctica de corriente de su tecnología de
seguridad. Hoy, el algoritmo de RSA forma la espina dorsal de la seguridad de una gran
cantidad de infraestructuras bien conocidas de la seguridad producidas por las
compañías como Microsoft, Nokia, y Cisco.
El algoritmo de RSA depende de la dificultad de cómputo inherente en descomponer en
factores números primeros grandes. Cada usuario del sistema de encriptación genera
un par de llaves públicas y privadas usando el algoritmo descrito en los pasos
siguientes:
1. Elegir dos números primeros grandes (aproximadamente 100 dígitos cada uno),
etiquetados p y q.
2. Computar el producto de esos dos números, n = p * q.
3. Seleccionar un número, e, eso satisface los dos requisitos siguientes:
e es menos que el N.
e y ( n - 1) ( q - 1) es relativamente primero- que es, los dos números no
tiene ningún factor común con excepción de 1.
o4. Encontrar un número, d, tales que (ed - 1) MOD ( p - 1) ( q - 1) = 0.
o5. Distribuir e y n como la llave pública a todos los usuarios del sistema de
encriptación. Subsistencia d secreto como llave privada.
Con formato: Sangría: Primera línea:0 cm, Con viñetas + Nivel: 1 +Alineación: 0.63 cm + Tabulacióndespués de: 1.27 cm + Sangría: 1.27cm
Con formato: Sangría: Primera línea:0 cm, Con viñetas + Nivel: 2 +Alineación: 0 cm + Tabulacióndespués de: 0.63 cm + Sangría: 0.63
Con formato: Sangría: Izquierda:0.63 cm, Con viñetas + Nivel: 2 +Alineación: 0 cm + Tabulacióndespués de: 0.63 cm + Sangría: 0.63cm, Punto de tabulación: 1.27 cm,Lista con tabulaciones + No en 2.54cm
360
Si Alicia desea enviar un mensaje cifrado a Bob, ella genera el texto cifrado (c)
del texto plano (p) usando el fórmula siguiente (donde e es la llave pública de
Bob y n es el producto de p y q creado durante el proceso de generación
dominante):
C = Pe mod n
Cuando Bob recibe el mensaje, él realiza el cálculo siguiente para recuperar el
mensaje del texto plano:
P = Cd mod n
Importancia de la longitud de la llave publica
La longitud de la llave criptográfica es quizás el parámetro más importante de la
seguridad que se puede fijar en la discreción del administrador de la seguridad.
Es importante entender las capacidades de tu algoritmo del cifrado y elegir una
longitud dominante que proporcione un nivel apropiado de la protección. Este
juicio puede ser hecho pesando la dificultad de derrotar una longitud dominante
dada (medida en la cantidad de tiempo de transformación requerida para
derrotar al sistema de encriptación) contra la importancia de los datos.
Generalmente hablando, el más crítico tus datos, más fuerte es la llave que tú
utilizan protegerla debe ser. La puntualidad de los datos es también una
consideración importante. Debes tomar en considera el crecimiento rápido de la
361
energía- que computa que la ley de Moore famoso indica eso los dobles de la
energía que computa aproximadamente cada 18 meses. Si toma a
computadoras actuales un año de tiempo de transformación de romper tu
código, tomará solamente tres meses si la tentativa se hace con tecnología
contemporánea tres años abajo del camino. Si cuentas con que tus datos
todavía sean sensibles en aquel momento, debes elegir una llave criptográfica
mucho más larga que siga habiendo asegurar bien en el futuro. Las fuerzas de
varias longitudes dominantes también varían grandemente según el sistema de
encriptación que estás utilizando. Según un papel blanco publicó por Certicom,
abastecedor de las soluciones sin hilos de la seguridad, las longitudes
dominantes demostradas en la tabla siguiente para tres sistemas de encriptación
asimétricos que todos proporcionan protección igual:
Sistema de encriptación Longitud de la llave
RSA 1.088
DSA 1.024
Curca Elíptica 160
Merkle-Hellman Knapsack
Otro algoritmo asimétrico temprano, el algoritmo de Merkle-Hellman Knapsack,
fue descubierto el año después de que RSA fuera publicado. Como RSA,
362
también se basa sobre la dificultad de realizar operaciones que descomponen en
factores, pero confía en un componente de la teoría determinada conocido como
sistemas de superincremento más bien que en números primeros grandes.
Merkle-Hellman era ineficaz probado cuando estaba quebrado en 1984.
El Gamal
En el capítulo 9, aprendiste cómo el algoritmo de Diffie-Hellman utiliza números
enteros grandes y aritmética modular para facilitar el intercambio seguro de los
canales de comunicaciones inseguros del excedente secreto de las llaves. En
1985, el Dr. T. El Gamal publicó un artículo que describía cómo los principios
matemáticos detrás del algoritmo del intercambio de la llave de Diffie-Hellman se
podrían ampliar a la ayuda que un sistema de encriptación de llave publica, para
el cifrado y el desciframiento de mensajes. Una de las ventajas principales de EL
Gamal sobre RSA el algoritmo es que fue lanzado en dominio publico. El Dr. El
Gamal no obtuvo una patente en su extensión de Diffie-Hellman y está
libremente disponible para el uso, desemejante de la tecnología patentada
comercializada de RSA. Sin embargo, el EL Gamal también desventajas, la
longitud de cualquier mensaje que cifre es doblada. Esto presenta una dificultad
importante al cifrar los mensajes o los datos largos que serán transmitidos sobre
un circuito de las comunicaciones de la anchura de banda del estrecho.
Curva elíptica
También en 1985, dos matemáticos, Neil Koblitz de la universidad de
Washington y el vencedor Molinero de las máquinas de negocio internacionales
363
(IBM), propusieron independientemente el uso de la criptografía elíptica de la
curva teoría para desarrollar sistemas criptográficos seguros.
Los conceptos matemáticos detrás de la criptografía elíptica de la curva son
absolutamente complejo y bien más allá del alcance de este libro. Sin embargo,
debes estar generalmente al corriente del algoritmo elíptico de la curva y de sus
usos potenciales al prepararse para el examen de CISSP. Si estás interesado en
aprender las matemáticas detalladas detrás de sistema de encriptación elípticos
de la curva, una clase particular excelente existe en
www.certicom.com/research/online.html .
Cualquier curva elíptica se puede definir por la ecuación siguiente:
y2 = x3 + ax + b
En esta ecuación, x, y, a, y b están todos los números verdaderos. Cada curva
elíptica tiene un grupo elíptico correspondiente de la curva compuesto de los
puntos en la curva elíptica junto con el punto O, localizado en el infinito. Dos
puntos dentro del mismo grupo elíptico de la curva ( P y Q ) puede ser agregado
junto con un algoritmo elíptico de la adición de la curva. Esta operación se
expresa, absolutamente simplemente, como sigue:
P + Q
Este problema se puede ampliar para implicar la multiplicación si se asume eso
Q es un múltiplo de P, significar eso
364
Q = xP
Los informáticos y los matemáticos creen que es extremadamente duro
encontrar x, aunque P y Q se saben ya. Este problema difícil, conocido como el
problema discreto del logaritmo de la curva elíptica, forma la base de la
criptografía elíptica de la curva. Se cree extensamente que este problema es
más duro de solucionar que el problema primero de la facturación que el sistema
de encriptación de RSA está basado sobre y el problema discreto estándar del
logaritmo utilizado por Diffie-Hellman y el EL Gamal. Esto es ilustrada por los
datos demostrados en la tabla en la “importancia de la longitud de la llave,” cuál
observó que 1.024 una llave del pedacito RSA es encriptación geográfica
equivalente a una llave elíptica del sistema de encriptación de la curva de 160
bits .
Funciones HASH
Más adelante en este capítulo, aprenderás cómo los sistema de encriptación
ponen firmas en ejecución digitales para proporcionar impermeabilizar que un
mensaje originó de un usuario particular del sistema de encriptación y asegurar
eso el mensaje no fue modificado mientras que en tránsito entre los dos partidos.
Antes de que puedas entender totalmente ese concepto, debemos primero
explicar el concepto de funciones del hash. Esta sección explora los
fundamentos de las funciones del hash y mira varias funciones comunes de hash
usadas adentro algoritmos digitales modernos de la firma. Las funciones del
hash tienen un muy simple propósito, ellos toman un mensaje potencialmente
largo y lo generan un valor único de la salida derivó del contenido del mensaje.
Este valor está comúnmente designado resumen del mensaje. Los resúmenes
365
del mensaje se pueden generar por el remitente de un mensaje y transmitido al
recipiente junto con el mensaje completo por dos razones. Primero, el recipiente
puede utilizar la misma función del hash al reprocesar el resumen del mensaje
del mensaje completo. Pueden entonces comparar el resumen computado del
mensaje transmitido para asegurar a eso el mensaje el mismo el autor envía
recibido por el recipiente. Si los valores de hash no emparejan, indica que el
mensaje fue modificado de alguna manera mientras que en tránsito. En segundo
lugar, el resumen del mensaje puede ser utilizado poner un algoritmo digital de la
firma en ejecución. Este concepto se cubre en las “firmas de Digital” más
adelante en este capítulo. Según seguridad de RSA, hay cinco requisitos básicos
para una función criptográfica del hash:
La entrada puede estar de cualquier longitud.
La salida tiene un de longitud fija.
La función del hash es relativamente fácil de computar para cualquier
entrada.
La función del hash es unidireccional (significado que es
extremadamente duro determinar la entrada cuando con tal que con la
salida). Las funciones unidireccionales y su utilidad en criptografía se
describen en el capítulo 9.
La función del hash es colisión libremente (significado que es
extremadamente duro encontrar dos mensajes que produzcan el mismo
valor del hash).
En las secciones siguientes, miraremos cuatro algoritmos de cálculo
comunes: SHA, MD2, MD4, y MD5.
366
SHA
Asegurar el algoritmo de HASH (SHA) y su sucesor, SHA-1, es hash del
estándar del gobierno las funciones desarrolladas por el National Institute
of Standards and Technology (NIST) y se especifican en un estándar
seguro del hash de la publicación- oficial del gobierno (SHS), también
conocido como estándar federal de la tratamiento de la información (PAA)
180. SHA-1 toma una entrada de virtualmente cualquier longitud (en
realidad, hay un límite superior de aproximadamente 2.097.152 Terabyte
en el algoritmo) y produce un resumen del mensaje de 160 bits . Debido a
la estructura matemática del algoritmo de cálculo, éste proporciona 80
bits de protección contra ataques de la colisión. El algoritmo SHA-1
procesa un mensaje en 512 bloques del pedacito. Por lo tanto, si la
longitud de mensaje no es un múltiplo de 512, el algoritmo de SHA
rellena el mensaje con datos adicionales hasta que la longitud alcanza el
múltiplo más alto siguiente de 512. Aunque SHA-1 es el estándar oficial
actual para los usos del gobierno federal, no es absolutamente fuerte
bastante. Fue diseñado para trabajar con el viejo estándar de cifrado de
datos (DES) y su continuación, DES triple (3DES). El nuevo estándar
avanzado del cifrado (descrito en el capítulo precedente) apoya las
longitudes dominantes de hasta 256 bits . Por lo tanto, el gobierno está
evaluando actualmente tres nuevas funciones de hash para sustituir
SHA-1 en un futuro próximo:
367
SHA-256 produce un resumen del mensaje de 256 bits y
proporciona 128 bits de protección contra ataques de la colisión.
SHA-512 produce un resumen del mensaje de 512 bits y
proporciona 256 bits de protección contra ataques de la colisión.
SHA-384 utiliza una versión truncada de hash SHA-512 para
producir un resumen de 384 bits que apoye 192 bits de
protección contra ataques de la colisión.
MD2
(Resumen 2 del mensaje) el algoritmo de hash, MD2 fue desarrollado por
Ronald Rivest (el mismo Rivest de la fama de Rivest, de Shamir, y de
Adleman) en 1989 para proporcionar una función segura de hash para 8
procesadores del pedacito. MD2 rellena el mensaje de modo que su
longitud sea un múltiplo de 16 octetos. Entonces computa a la suma de
comprobación de 16 octetos y lo añade al extremo del mensaje. Un
resumen del mensaje de 128 bits entonces es generado usando el
mensaje original entero junto con la suma de comprobación añadida.
Los ataques de criptoanalisis existen contra las puestas en práctica
incorrectas del algoritmo MD2. Específicamente, Nathalie Rogier y el
PASCAL Chauvaud descubrieron eso si la suma de comprobación no se
368
añade al mensaje antes del cómputo del resumen, las colisiones pueden
ocurrir.
MD4
El año próximo, en 1990, Rivest realzado su algoritmo del resumen del
mensaje para apoyar 32 procesadores del pedacito y para aumentar el
nivel de la seguridad. Este algoritmo realzado se conoce como MD4.
Primero rellena el mensaje para asegurarse de que la longitud de
mensaje es 64 bits más pequeños que un múltiplo de 512 bits . Por
ejemplo, un mensaje de 16 bits sería rellenado con 432 bits adicionales
de datos para hacerte 448 bits , que es 64 bits más pequeños que un
mensaje de 512 bits . El algoritmo MD4 entonces procesa 512 bloques
del pedacito del mensaje en tres redondos de cómputo. La salida final es
un resumen del mensaje de 128 bits .
Varios matemáticos han publicado los papeles que documentaban
defectos en la versión completa de MD4 tan bien como versiones
incorrectamente puestas en ejecución de MD4. Particularmente, Hans
Dobbertin publicó un papel en 1996 que contorneaba cómo una PC
moderna se podría utilizar para encontrar las colisiones para los
resúmenes del mensaje MD4 en menos de un minuto. Por esta razón,
MD4 se considera no más ser un algoritmo de cálculo seguro y su uso se
debe evitar si en todo posible.
MD5
369
En 1991, Rivest lanzó la versión siguiente de su algoritmo del resumen
del mensaje, que él llamó MD5. También procesa 512 bloques del
pedacito del mensaje, pero utiliza cuatro redondos distintos de cómputo
para producir un resumen de la misma longitud que los algoritmos MD2 y
MD4 (128 bits ). MD5 tiene los mismos requisitos del acolchado que la
longitud de mensaje de MD4, debe ser 64 bits menos que un múltiplo de
512 bits . MD5 pone las características adicionales de la seguridad en
ejecución que reducen la velocidad de la producción del resumen del
mensaje perceptiblemente. Los cripto-analistas todavía no han probado
que el algoritmo completo MD5 es vulnerable a las colisiones, pero
muchos expertos sospechan que tal prueba puede no ser lejana. Sin
embargo, MD5 es el más fuerte de los algoritmos de Rivest y sigue
siendo funcionando hoy.
Firmas Digitales
Una vez que hayas elegido un algoritmo de cálculo criptografico sano,
puedes utilizarlo para poner un sistema digital de la firma en ejecución.
Las infraestructuras de la firma de Digital tienen dos metas distintas:
Los mensajes firmados Digital aseguran a recipiente que el
mensaje vino del remitente demandado y hace cumplir verdad la
no repudiación (es decir, imposibilitan el remitente de demandar
más último que el mensaje es una falsificación).
Los mensajes firmados Digital aseguran a recipiente que el
mensaje no fue alterado mientras que en tránsito entre el
370
remitente y el recipiente. Esto protege contra la modificación
malévola (terceros que desean alterar el significado del mensaje)
y la modificación intencional (debido a las averías en el proceso
de las comunicaciones, tal como interferencia eléctrica).
Los algoritmos de la firma de Digital confían en una combinación de los
dos conceptos principales cubiertos ya en estas funciones de la
criptografía y del hashing de la llave del capítulo-público. Si Alicia desea
digital firmar un mensaje que ella está enviando a Bob, ella realiza las
acciones siguientes:
1. Alicia genera un resumen del mensaje del mensaje original del texto
plano usando uno de los algoritmos de cálculo criptografico sanos,
tales como SHA-1, MD2, o MD5.
2. Alicia entonces cifra solamente el resumen del mensaje usando su
llave privada.
3. Alicia añade el resumen firmado del mensaje al mensaje del texto
plano.
4. Alicia transmite el mensaje añadido a Bob.
NOTA
Las firmas de Digital se utilizan para más que apenas los mensajes. Los
vendedores del software utilizan a menudo tecnología digital de la firma para
autenticar las distribuciones del código que descargas del Internet, tal como
applet y remiendos del software.
Con formato: Sangría: Izquierda:2.54 cm, Numerado + Nivel: 4 + Estilode numeración: 1, 2, 3, … + Iniciar en:1 + Alineación: Izquierda + Alineación:8.84 cm + Tabulación después de:
9.47 cm + Sangría: 9.47 cm, Punto detabulación: 3.17 cm, Lista contabulaciones + No en 5.08 cm + 9.47cm
371
Cuando Bob recibe el mensaje digital firmado, él invierte el procedimiento, como
sigue:
1. Bob descifra el resumen del mensaje usando la llave pública de Alicia.
2. Bob utiliza la misma función del hashing para crear un resumen del mensaje del
mensaje completo del texto plano recibido de Alicia.
3. Bob entonces compara el resumen descifrado del mensaje que él recibió de Alicia
con el resumen del mensaje él se computaba. Si los dos resúmenes emparejan, él
puede ser asegurado que el mensaje que él recibió fue enviado por Alicia. Si no
emparejan, o el mensaje no fue enviado por Alicia o el mensaje fue modificado
mientras que en tránsito.
Observar que el proceso digital de la firma no proporciona ninguna aislamiento de por
sí. Se asegura solamente de que las metas criptográficas de la integridad y del no
repudiación sean met. Sin embargo, si Alicia deseara asegurar la aislamiento de su
mensaje a Bob, ella agregaría un paso adicional al proceso de la creación del mensaje.
Después de añadir el resumen firmado del mensaje al mensaje del texto plano, Alicia
podría cifrar el mensaje entero con la llave pública de Bob. Cuando Bob recibió el
mensaje, él lo descifraría con su propia llave privada antes de seguir los pasos apenas
contorneados.
372
HMAC El código del algoritmo de mensaje implementa una firma digital que garantiza la
integridad del mensaje durante la transmisión, pero no características de no
repudiación. Puede ser combinado con cualquier algoritmo como SHA1 o MD5
mediante una llave secreta compartida.
Que llave debo usar?
Si no se tiene experiencia en conceptos de encriptado podría originar elegir mal la
estrategia para cada aplicación debido a que encriptar, desencriptar, autenticar y
verificar mensajes dependen del mismo algoritmo pero tienen diferentes formas de uso.
De forma practica podemos decir que para encriptar o verificar la firma de un mensaje
entrante debemos usar la llave publica del emisor, si queremos leer el mensaje
debemos usar nuestra llave así mismo también para la firma digital. Si destino descifra
el mensaje pero no puede compararlo con éxito el mensaje fue alterado en tránsito.
Porque HMAC confía en una llave secreta compartida, no proporciona ninguna
funcionalidad del no repudiación (según lo mencionado previamente). Sin embargo,
funciona de una manera más eficiente que el estándar digital de la firma descrito en la
sección siguiente y puede ser conveniente para los usos en los cuales la criptografía es
apropiada. En resumen, representa un punto medio entre el uso no encriptado de un
algoritmo y un costoso algoritmos digital basado en criptografía pública.
Estándar de la firma de Digital
El National Institute of Standards and Technology especifica los algoritmos digitales
para el estándar federal de la tratamiento de la información, conocido como el estándar
373
de la firma de Digital. Este documento especifica que todos los algoritmos digitales
federal aprobados de la firma deben utilizar la función SHA-1.
El DSS también especifica los algoritmos que se pueden utilizar para apoyar una
arquitectura de firma digital. Hay tres algoritmos estándares actualmente aprobados del
cifrado:
El algoritmo de la firma de Digital (DSA) según lo especificado en los PAA 186-2
El Rivest, Shamir, algoritmo de Adleman (RSA) según lo especificado en ANSI
X9.31
La curva elíptica DSA (ECDSA) según lo especificado en ANSI X9.62
Infraestructura pública
La ventaja del cifrado público es su capacidad de facilitar la comunicación entre
aplicaciones diferentes gracias a la llave pública de la infraestructura (PKI).
En las secciones siguientes, trataremos de los componentes básicos de la
infraestructura dominante pública y de los conceptos criptográficos que hacen global
asegurar comunicaciones posibles. Aprenderás la composición de un certificado digital,
el papel de las autoridades del certificado, y el proceso usado para generar y para
destruir certificados.
Certificados
Los certificados de Digital comunican puntos verificando si en verdad son quiénes
demandan ser. Los certificados de Digital esencialmente son copias de la llave pública
de un individuo. Esto evita que se usen llaves públicas falsas a nombre de otra
aplicación y después convenzan los terceros que se estén comunicando con algún otro.
374
Los certificados de Digital contienen la información específica, y su construcción está
regida por un el standard-X.509.
Los certificados que se conforman con X.509 contienen los datos siguientes:
Número de serie (del creador del certificado)
identificador del algoritmo firma (especifica la técnica usada por el Certificate
Authority digital para firmar el contenido del certificado)
Nombre del emisor (identificación del Certificate Authority que publicó el
certificado)
Período de la validez (especifica las fechas y los tiempos-uno que comienzan
fecha y hora y una fecha del conclusión y tiempo-durante cuál es válido el
certificado)
Nombre sujeto (contiene el nombre distinguido, o el DN, de la entidad que posee
la llave pública contenida en el certificado)
Llave pública sujeta (la llave pública real del certificado- el dueño del certificado
usado para instalar comunicaciones seguras)
La versión actual (versión 3) del certificado X.509 soporta extensiones certificadas sin
embargo, variables personalizadles que contienen datos insertados en el certificado
para varias aplicaciones X.509 no se ha aceptado oficialmente como estándar, cabe
destacar que las puestas en práctica pueden variar dependiendo del proveedor.
Sin embargo, Microsoft y Netscape han adoptado X.509 como su de hecho el estándar
para asegura la comunicación de la capa de los zócalos (SSL) entre sus clientes de la
tela y servidores.
375
Autoridades del certificado
Las autoridades del certificado son el pegamento que ata las infraestructuras públicas.
Estas organizaciones neutrales legalizan a los certificados digitales. Para obtener un
certificado digital, debes estar con uno de estos agentes y presentar documentos
apropiados.
376
La lista siguiente incluye los principales agentes certificados principal:
VeriSign
Thawte Consulting
Societ per i Servizi Bancari-SSB S.p.A.
Internet Publishing Services
Certisign Certification Digital Ltda
BelSign
Algunas organizaciones simplemente se certifican de una manera sencilla. Sin
embargo, los certificados publicados por un CA son solamente tan buenos como la
confianza puesta en la organización que los publicó. Esto es un punto importante a
considerar al recibir un certificado digital de un tercero ya que si la certificación no es
reconocida no tendrá el suficiente peso.
Generación y Eliminación de certificaciones
Los conceptos técnicos embebidos en la arquitectura son relativamente simples.
En las secciones siguientes, miraremos los procesos usados por autoridades de
certificado para crear, para validar, y para revocar certificados del cliente.
Inscripcion
Cuando deseas obtener un certificado digital, debes primero probar tu identidad de
cierta manera; este proceso se llama inscripción.
377
Según lo mencionado en la sección anterior, esto implica que debe estar presente un
agente y se debe tener la documentación adecuada.
Algunas autoridades certificadas proporcionan otros medios de verificación, incluyendo
el uso de reportes de crédito de información y verificación de identidad en una
comunidad confiable de líderes. Una vez conforme el Certificate Authority con respecto
a tu identidad se provee la llave pública. El CA después crea un certificado digital X.509
que contiene tu información que identifica y una copia de tu llave pública.
El CA entonces firma digitalmente el certificado usando la llave privada del CA y te da
una copia de tu certificado digital. Puedes entonces distribuir con seguridad este
certificado a cualquier persona con quién deseas para comunicarse con seguridad.
Verificación
Cuando recibes un certificado digital de alguien con quién deseas comunicarte, verificas
el certificado comprobando la firma digital del CA usando la llave pública del CA. Luego
debemos fijarnos que nuestro certificado no este publicado en analista de revocación
(CRL).
En este punto se debe asumir que las llaves públicas listadas son autenticas, y están
provistas de los siguientes requisitos:
The digital signature of the CA is authentic.
You trust the CA.
378
The certificate is not listed on a CRL.
The certificate actually contains the data you are trusting
El último paso es un paso muy sutil, debemos verificar la información el e-mail y
también información adicional como teléfonos y direcciones que nos permitirán
contrastar al autenticidad que los datos son de quien dicen ser.
Revocacion
Ocasionalmente, un certificado de autoridad necesita revocar un certificado, por alguna
de estas razones:
El certificado fue comprometido.
The certificate fue publicado erroneamente.
Los detalles del certificado cambiaron.
La seguridad asociada cambio.
Existen dos tecnicas usadas para verificar la autenticidad de certificados e identificar los
revocados:
Listas de Revocación cerificadas (CRL): Son mantenidas por las autoridades de
certificación, contienen el número de serie de los certificados publicados por un CA y los
que han sido revocados en las respectivas fechas. La mayor desventaja es que deben
ser actualizadas periódicamente, aun así son el método mas usado en la actualidad.
379
Certificación del Estado del Protocolo en línea: Ese protocolo elimina el problema de
actualización de las listas de certificación, proporcionando información en tiempo real.
Cuando un cliente recibe un certificado envía una petición al OCSP servidor que
responde un estado valido, inválido o desconocido.
La administración de infraestructuras de claves son importantes para seguir con las
mejores prácticas en temas de seguridad de comunicaciones.
Lo primero es elegir el sistema de encriptación adecuadamente, sea cuidadoso con los
sistemas que usan “caja negra”, mantener seguros el algoritmo y el método de
encriptación es un aspecto vital para la organización.
Además debemos seleccionar las llaves a la medida de una manera apropiada
cualquier patrón sin una llave de seguridad incrementa la posibilidad de que un ataque
vulnere nuestro sistema.
No debemos por ningún motivo permitir el acceso a nuestras claves, sin embargo si
debemos dar acceso este privilegio se debe quitar a penas haya terminado la razón por
la cual se entrego el permiso.
Muchas organizaciones tienen requerimientos obligatorios de rotar llaves, si no se tiene
una política formal que se deba seguir, al menos se debería selecciona un intervalo de
frecuencia para usar las llaves, es probable que se requiera cambiar cada dicho
intervalo. No olvidar hacer un back up de llaves por si se pierden los archivos originales.
Con estas técnicas de encriptación básicas estamos ahora preparados para pasar a un
nivel alto de tecnología para solucionar problemas de comunicación, en las siguientes
380
secciones examinaremos el uso de la criptografía para seguridad de mail, web services,
comercio electrónico y redes.
381
El correo electrónico, es una de las aplicaciones que mas técnicas de encriptación
demanda respecto a firma de mensajes electrónicos, echaremos un vistazo a la
seguridad electrónico estándar.
Existen 2 versiones:
La versión comercial que usa RSA para intercambio de llaves, IDEA para
encriptar/desencriptar y MD5 para producciones de mensajes de producción.
La versión gratuita usa llaves Diffie-Hellman de intercambio, Carlisle Adams/Stafford
Tavares (CAST) 128-bit encriptación/ desencriptacion algoritmo, y la función SHA-1.
Privacy Enhanced Mail
(PEM) Ofrece una guía estándar de implementación para seguridad electrónica de
correo.
RFC 1421 nos proporciona una arquitectura con los siguientes servicios:
Proteccion de Acseso
Originador de Autenticacion
Integridad de mensaje
No repudio
Sin embargo no proporciona servicios como
Control de acceso
382
Confidencialidad de flujo de tráfico
Lista direcciones exacta
Control de ruteo
Asegurar que se entreguen los mensajes
Asociación automática de referencias a los cuales nos referimos.
Replicar la seguridad de administradores que deseen algunos de los
servicios implementen controles adicionales sobre el PEM
Una diferencia importante entre PEM y PGP es que PEM usa un CA administrado por
certificados digitales donde PGP usa un sistema de “confianza web” entre usuarios del
sistema. Otro requisito para comentario de documento es RFC 1848, que especifica la
MIME sobre lo objetos de servicios seguros.
383
Trabajo con Redes
En este capítulo es el uso de algoritmos criptográficos para proporcionar servicios
seguros del establecimiento de una red.
En las secciones siguientes, tocaremos brevemente métodos usados para asegurar los
circuitos de las comunicaciones, así como IPSec y el protocolo de ISAKMP, así como
redes WI-FI.
Cifrado del circuito de redes
Los administradores de la seguridad utilizan dos tipos de técnicas de cifrado para
proteger los datos que viajan sobre la red los cuales son:
Link encryption
Cifrado end-to-end
El cifrado del acoplamiento(Link encryption) protege circuitos de red enteros de las
comunicaciones creando un túnel seguro entre dos puntos usando un hardware o una
solución del software que cifre todo el tráfico que incorpora un extremo del túnel y
descifre todo el tráfico que incorpora el otro extremo del túnel.
Por ejemplo, una compañía con dos oficinas conectadas vía un circuito de datos puede
utilizar el cifrado del acoplamiento para proteger contra los atacantes que supervisaban
en un punto entre las dos oficinas.
El cifrado End-to-End protege comunicaciones entre dos capas (verbigracia, un cliente -
servidor) y se realiza independientemente del cifrado del acoplamiento.
384
Un ejemplo del cifrado end-to-end sería el uso del Privacy Enhanced Mail, que pasa un
mensaje entre un remitente y una a receptor. Esto nos protege contra un intruso que
pudo supervisar tráfico en el lado seguro de un acoplamiento cifrado o el tráfico enviado
sobre un acoplamiento no encriptado.
La diferencia crítica entre el acoplamiento y el cifrado end-to-end está en que el cifrado
por acoplamiento, todos los datos, incluyendo la cabecera, dirección, y los datos de la
encaminamiento, se cifran. Por lo tanto, cada paquete tiene que ser descifrado en cada
salto así que puede ser encaminado correctamente al salto siguiente y después
volverse a encriptar antes de que pueda ser enviado, lo que retarda su encaminamiento.
El cifrado End-to-end no cifra la cabecera, la dirección, y los datos de la
encaminamiento, así que se mueve rápidamente de un punto a otro punto pero es más
susceptible a los sniffers y a los eavesdroppers.
Cuando el cifrado sucede en las capas más altas de OSI, es generalmente cifrado end-
to-end, y si el cifrado se hace en las capas más bajas del modelo de OSI, es
generalmente cifrado es por acoplamiento.
Secure Shell (SSH) es un buen ejemplo de una técnica end-to-end del cifrado, este
conjunto de programas proporciona alternativas cifrados del Internet como el ftp, el
telnet, y el rlogin. Existen realmente dos versiones de SSH.
SSH1 (que ahora se considera inseguro) apoya el DES, el 3DES, la IDEA, y los
algoritmos del Blowfish.
Ayuda de las gotas SSH2 para el DES y la IDEA pero agrega la ayuda para varios otros
algoritmos.
MONDEX
385
El sistema del pago de MONDEX, poseído por MasterCard International, utiliza
tecnología criptográfica para permitir que los usuarios electrónicos del comercio
almacenen valor en virutas elegantes en tarjetas propietarias del pago. El valor se
puede entonces transferir inmediatamente a un vendedor actualmente compra.
El protocolo de la seguridad del IP (IPSec) proporciona una infraestructura completa
para las comunicaciones de red. IPSec ha ganado extensa aceptación y ahora se ofrece
en un número de sistemas operativos comerciales. IPSec confía en asociaciones de la
seguridad, y hay cuatro componentes principales:
El jefe de la autentificación (AH) proporciona aseguramientos de la integridad y
del nonrepudiation del mensaje.
La carga útil de encapsulado de la seguridad (ESPECIALMENTE) proporciona el
secreto del contenido del paquete.
El protocolo de la compresión de la carga útil del IP (IPcomp) permite que los
usuarios de IPSec alcancen funcionamiento realzado comprimiendo los
paquetes antes de la operación del cifrado.
El protocolo del intercambio de la llave del Internet (IKE) prevé el intercambio
seguro de criptográfico llaves entre los participantes de IPSec.
IPSec prevé el modo de operación discreto dos. Cuando IPSec se utiliza en modo del
transporte, sólo se cifra la carga útil del paquete. Este modo se diseña para la
comunicación de par-a-par. Cuando ha utilizado en modo del túnel, el paquete entero,
incluyendo el jefe, se cifra. Este modo se diseña para la comunicación de la entrada-a-
entrada. IPSec es un concepto extremadamente importante en seguridad moderna de la
computadora. Estar seguro que estás al corriente de los cuatro protocolos componentes
386
y de los dos modos de la operación de IPSec. Otros detalles del algoritmo de IPSec se
proporcionan en el capítulo 3, “ISO modela, seguridad de la red, y los protocolos.”
ISAKMP
El protocolo de la gerencia de la asociación y de la llave de la seguridad del Internet
(ISAKMP) proporciona los servicios de ayuda de la seguridad del fondo para IPSec.
Como aprendiste en la sección anterior, IPSec confía en un sistema de las asociaciones
de la seguridad (SAs). Este el SAs se maneja con el uso de ISAKMP.
Hay cuatro requisitos básicos para ISAKMP, según lo dispuesto en RFC 2408 del
Internet:
Autenticar a pares que se comunican.
Crear y manejar las asociaciones de la seguridad.
Proporcionar los mecanismos dominantes de la generación.
Proteger contra amenazas
Establecimiento de una red inalámbrica
La adopción rápida extensa de redes sin hilos plantea un enorme riesgo de la
seguridad. Muchas redes tradicionales no ponen el cifrado en ejecución para las
comunicaciones rutinarias entre los anfitriones en la red local y no confían en la
asunción que sería demasiado difícil que un atacante tenga el acceso físico al alambre
de la red dentro de una localización segura para escuchar detras de las puertas en la
red. Sin embargo, las redes sin hilos transmiten datos a través del aire, saliendo de ellos
extremadamente vulnerables a la interceptación.
Wir La comunidad de la seguridad respondió con la introducción de la aislamiento
equivalente atada con alambre (WEP), que proporciona 40-, 64-, y 128 opciones del
387
cifrado del pedacito para proteger comunicaciones dentro del LAN sin hilos. WEP se
describe en IEEE 802.11 como componente opcional del estándar sin hilos del
establecimiento de una red. Desafortunadamente, hay varias vulnerabilidades en este
protocolo que te hacen una opción menos que deseable para muchos administradores
de la seguridad.
” ISAKMP El protocolo de la gerencia de la asociación y de la llave de la seguridad del
Internet (ISAKMP) proporciona los servicios de ayuda de la seguridad del fondo para
IPSec
388
Establecimiento de una red sin hilos
La adopción rápida extensa de redes sin hilos plantea un enorme riesgo de la
seguridad. Muchas redes tradicionales no ponen el cifrado en ejecución para las
comunicaciones rutinarias entre los anfitriones en la red local y no confían en la
asunción que sería demasiado difícil que un atacante tenga el acceso físico al alambre
de la red dentro de una localización segura para escuchar detrás de las puertas en la
red. Sin embargo, las redes sin hilos transmiten datos a través del aire, saliendo de ellos
extremadamente vulnerables a la interceptación. La comunidad de la seguridad
respondió con la introducción de la aislamiento equivalente atada con alambre WEP),
que proporciona 40-, 64-, y 128 opciones del cifrado para proteger comunicaciones
dentro del LAN sin hilos.
WEP se describe en IEEE 802.11 como componente opcional del estándar sin hilos del
establecimiento de una red. Desafortunadamente, hay varias vulnerabilidades en este
protocolo que te hacen una opción menos que deseable para muchos administradores
de la seguridad.
Otro estándar sin hilos de uso general de la seguridad, IEEE 802.1x, proporciona un
marco flexible para la gerencia de la autentificación y de la llave en redes sin hilos.
Reduce la carga inherente en cambiar llaves del cifrado de WEP manualmente y apoya
un número de diverso técnicas de la autentificación. Ataques criptográficos Como con
cualquier mecanismo de la seguridad, intrusos han encontrado un número de ataques
para derrotar sistemas de encriptado. Es importante que, como administrador de la
seguridad, entiendes las amenazas planteadas por varios ataques criptográficos para
reducir al mínimo los riesgos planteados a tus sistemas: Los ataques son
absolutamente directos. Implican el usar de cantidades masivas de energía de proceso
389
de conjeturar aleatoriamente la llave usada para asegurar comunicaciones
criptográficas. Para un protocolo no-dañado, la cantidad de tiempo media requerida
para descubrir la llave con un ataque de la fuerza bruta es directamente proporcional a
la longitud de la llave.
Known plaintext (conocido como plaintext)
El atacante tiene una copia del mensaje cifrado junto con el mensaje del plaintext usado
para generar el texto cifrado (la copia). Este conocimiento asiste al atacante en romper
códigos más débiles. Por ejemplo, imaginar la facilidad con cuál podrías romper la cifra
de Caesar descrita en el capítulo 9 si tenías un plaintext y una copia del texto cifrado del
mismo mensaje. El texto cifrado elegido en un ataque elegido del texto cifrado, el
atacante tiene la capacidad de descifrar las porciones elegidas del mensaje del texto
cifrado y de utilizar la porción descifrada del mensaje para descubrir la llave. El plaintext
elegido en un ataque elegido del plaintext, el atacante tiene la capacidad de cifrar
mensajes del plaintext de su elegir y puede entonces analizar la salida del texto cifrado
del algoritmo del cifrado. los atacantes Satisfacer-en--medios pudieron utilizar un ataque
satisfacer-en--medio para derrotar el cifrado algoritmos que utilizan dos redondos de
cifrado. Este ataque es la razón que DES doble 2DES) fue desechado rápidamente
como realce viable al cifrado del DES a favor de DES triple (3DES). En el ataque
satisfacer-en--medio, el atacante utiliza un mensaje sabido del plaintext. El plaintext
entonces se cifra usando cada llave posible (k1), mientras que el equivalente se descifra
el texto cifrado usando todas las llaves posibles (k2). Cuando se encuentra un fósforo,
el par correspondiente (k1, k2) representa ambas porciones del cifrado doble. Este tipo
de ataque toma generalmente solamente el tiempo doble necesario para romper un solo
redondo del cifrado (o 2n más bien que el 2n anticipado * 2n), ofreciendo la protección
agregada mínima. Hombre-en--medio en el ataque hombre-en--medio, un individuo
malévolo se sienta entre dos partidos que se comunican e intercepta todas las
390
comunicaciones (disposición incluyendo de la sesión criptográfica). El atacante
responde a la inicialización del autor solicita e instala una sesión segura con el autor. El
atacante entonces establece una segunda sesión segura con el recipiente previsto que
usa una diversa llave y presentándose como el autor. La poder del atacante después
“se sienta en el centro” de la comunicación y leyó todo el tráfico mientras que pasa entre
los dos partes.
Birthday:
El ataque del cumpleaños (también conocido como ataque de la colisión) intenta
encontrar defectos en la naturaleza del oneto- uno de las funciones del hashing. En este
ataque, el intruso intenta substituir en una comunicación digital firmada un diverso
mensaje que produce el mismo resumen del mensaje, de tal modo mantener la validez
de la firma digital original. Jugar de nuevo el ataque del jugar de nuevo se utiliza contra
los algoritmos criptográficos que no incorporan protecciones temporales. En este
ataque, el individuo malévolo intercepta un mensaje cifrado entre dos partidos (a
menudo un pedido la autentificación) y entonces “juega de nuevo más adelante” el
mensaje capturado para abrir una nueva sesión. Este ataque puede ser derrotado
incorporando un grupo fecha/hora y período de la expiración en cada mensaje.
Resumen El cifrado dominante público proporciona una infraestructura extremadamente
flexible, facilitando la comunicación simple, segura entre los partidos que no se conocen
necesariamente antes de iniciar comunicación. También proporciona el marco para la
firma digital de mensajes para asegurar el no repudiación e integridad del mensaje.
Este capítulo exploró el cifrado dominante público, se hace que posible por la jerarquía
dominante pública de la infraestructura (PKI) de las relaciones de la confianza. También
391
describimos algunos algoritmos criptográficos populares, tales como cifrado del
acoplamiento y cifrado end-to-end. Finalmente, te introdujimos a la infraestructura
dominante pública, que utiliza las autoridades del certificado (CAs) para generar los
certificados digitales que contienen las llaves públicas de los usuarios del sistema y de
las firmas digitales, que confían en una combinación de las funciones dominantes
públicas de la criptografía y del hashing. También mirábamos algunos de los usos
comunes de la tecnología criptográfica en solucionar problemas diarios. Aprendiste
cómo la criptografía se puede utilizar para asegurar el correo electrónico (que usa PGP,
PEM, MUSGO, y S/MIME), comunicaciones de la tela (con el SSL y S-HTTP),
electrónicas comercio (con steganography y el SISTEMA), y par-a-par y establecimiento
de una red de la entrada-a-entrada (con IPSec e ISAKMP) así como las comunicaciones
sin hilos (que usan WEP). Finalmente, mirábamos algunos de los ataques mas
comunes usados por los individuos malévolos el procurar interferir con o interceptar cifró
comunicaciones entre dos partidos. Tales los ataques incluyen el cumpleaños,
cryptanalytic, juegan de nuevo, fuerza bruta, plaintext sabido, plaintext elegido,
ataques elegidos del texto cifrado, satisfacer-en--medios, hombre-en--medios, y del
cumpleaños. Es importante que entiendas estos ataques para proporcionar seguridad
adecuada contra ellos. Esencial del examen Entender los tipos dominantes usados en
criptografía asimétrica. Las llaves públicas se comparten libremente entre partidos que
se comunican, mientras que las llaves privadas se mantienen secretas. Para cifrar un
mensaje, utilizar la llave pública del recipiente. Para descifrar un mensaje, utilizar tu
propia llave privada. Para firmar un mensaje, utilizar tu propia llave privada. Para validar
una firma, utilizar la llave pública del remitente. Estar al corriente de los tres
cryptosystems dominantes públicos principales. RSA es el público más famoso
cryptosystem dominante; fue desarrollado por Rivest, Shamir, y Adleman en 1977.
Depende de la dificultad de descomponer en factores el producto de números primeros.
El EL Gamal es una extensión del algoritmo del intercambio de la llave de Diffie-
392
Hellman que depende de aritmética modular. La curva elíptica el algoritmo depende del
problema discreto del logaritmo de la curva elíptica y proporciona más seguridad que
otros algoritmos cuando ambos se utilizan con llaves de la misma longitud. Saber los
requisitos fundamentales de una función del picadillo. Las buenas funciones del picadillo
tienen cinco requisitos. Deben permitir la entrada de cualquier longitud, proporcionan
salida de longitud fija, la hacen relativamente fácil computar la función del picadillo para
cualquier entrada, proporcionan funcionalidad unidireccional, y sean colisión libremente.
Estar al corriente de los cuatro algoritmos de cálculo principales. El algoritmo seguro del
picadillo (SHA) y su sucesor SHA-1 componen la función estándar del resumen del
mensaje del gobierno. SHA-1 produce un resumen del mensaje de 160 pedacitos. MD2
es una función del picadillo que se diseña para 8 procesadores del pedacito y
proporciona un picadillo de 16 octetos. MD4 y MD5 ambos producen un picadillo de 128
pedacitos, pero MD4 ha probado vulnerabilidades y se acepta no más. Entender cómo
se generan y se verifican las firmas digitales. Digital para firmar un mensaje, primero
utilizar una función del hashing para generar un resumen del mensaje. Entonces cifrar el
resumen con tu llave privada. Para verificar la firma digital en un mensaje, descifrar la
firma con la llave pública del remitente y después comparar el resumen del mensaje a
uno que te generas. Si emparejan, el mensaje es auténtico.
Saber los componentes del estándar de la firma de Digital (DSS). La firma de Digital El
estándar utiliza la función del resumen del mensaje SHA-1 junto con uno de tres
algoritmos del cifrado: el algoritmo de la firma de Digital (DSA), el Rivest, Shamir,
Adleman (RSA), o Algoritmo elíptico del DSA de la curva (ECDSA). Entender la
infraestructura dominante pública (PKI) en la infraestructura dominante pública,
autoridades del certificado (CAs) generan los certificados digitales que contienen las
llaves públicas de los usuarios del sistema. Los usuarios entonces distribuyen estos
certificados para poblar con quién desean comunicar. Los recipientes del certificado
verifican un certificado usando la llave pública del CA. Saber los usos comunes de la
393
criptografía al correo electrónico seguro. El emerger el estándar para los mensajes
cifrados es el protocolo de S/MIME. Otros protocolos populares de la seguridad del E-
mail incluyen la aislamiento bastante buena de Phil Zimmerman (PGP), el Privacy
Enhanced Mail (PEM), y Servicios de seguridad del objeto del MIME (MUSGO). Saber
los usos comunes de la criptografía a la actividad segura de la tela. El estándar de
hecho para el tráfico seguro de la tela es el uso del excedente del HTTP asegura los
zócalos acoda (SSL), si no conocido como HTTPS. Asegurar HTTP (S-HTTP) también
desempeña un papel importante en la protección de mensajes individuales. La mayoría
de los browsers de la tela apoyan ambos estándares. Saber los usos comunes de la
criptografía al comercio electrónico seguro. El seguro El protocolo de la transacción
electrónica (FIJAR) fue desarrollado en común por Visa y la Mastercard para
proporcionar la seguridad end-to-end para las transacciones electrónicas del comercio.
Saber los usos comunes de la criptografía al establecimiento de una red seguro. El
protocolo de IPSec el estándar proporciona un marco común para el tráfico de la red
que cifra y se construye adentro a un número de sistemas operativos comunes. En
modo del transporte de IPSec, el contenido del paquete se cifra para comunicación del
par-a-par. En modo del túnel, el paquete entero, incluyendo la información de jefe, se
cifra para las comunicaciones de la entrada-a-entrada. Explicar los ataques
criptográficos comunes que los ataques de la fuerza bruta son tentativas de encontrar
aleatoriamente la llave criptográfica correcta. El plaintext sabido, el texto cifrado elegido,
y los ataques elegidos del plaintext requieren a atacante tener cierta información
adicional además del texto cifrado. Satisfacer-inthe los protocolos medios de las
hazañas del ataque que utilizan dos redondos de cifrado. El ataque hombre-en--medio
engaña ambas partes en comunicarse con el atacante en vez de directamente con uno
a. El ataque del cumpleaños es una tentativa de encontrar colisiones en funciones del
picadillo. El ataque del jugar de nuevo es una tentativa de reutilizar peticiones de la
autentificación.
394
395
Preguntas de repaso
1. ¿En llave publica RSA cryptosystem cual de los siguientes es el mas extenso?
A. e
B. n
C. p
D. q
2. ¿Qué algoritmo criptográfico forma la base del cryptosystem EL Gamal?
A. RSA
B. Diffie-Hellman
C. 3DES
D. IDEA
3. ¿Si Richard desea enviar un mensaje cifrado a Sue técnica de encriptamiento
debería usar para encriptar el mensaje?
A. Llave privada de Richard
B. Llave publica de Richard
C. Sue Llave privada de la
D. Sue llave publica
E. Sue llave privada
4. ¿Si un mensaje del plaintext de 2.048 pedacitos fuera cifrado con el cryptosystem
dominante público del EL Gamal, cuanto tiempo el mensaje el resultar del texto cifrado
sería? Pedacitos del
A. 1.024 bits
B. 2.048 bits
396
C. 4.096 bits
D. 8.192 bits
397
5. Widgets utiliza actualmente 1.024 bits empresariales estándares del cifrado del
RSA. La compañía planea convertir de RSA a un cryptosystem elíptico de la curva. ¿Si
desea mantener la misma fuerza criptográfica, qué longitud dominante de ECC debe
utilizar?
A. 160 bits
B. 512 bits
C. 1.024 bits
D. 2.048 bits
6. Juan quisiera producir un resumen del mensaje de un mensaje de 2.048 octetos que
él planea enviar a Maria. ¿Si él utiliza el algoritmo de cálculo SHA-1, qué tamaño el
resumen del mensaje para este mensaje particular será? Pedacitos del A. 160
Pedacitos del
B. 512 Pedacitos de la
C. 1.024 Pedacitos de la
D. 2.048
7. ¿Cuál de los algoritmos siguientes se considera dañado y debe para ser utilizado
más?
A. SHA-1
B. MD2
C. MD4
D. MD5
8. ¿Cuál de los algoritmos siguientes esta funcionando como estándar del gobierno
actual de los E.E.U.U. en el tratamiento de la información federal sistemas?
A. SHA-1
398
B. MD2
C. MD4
D. MD5
9. Richard recibió un mensaje cifrado enviado a él de Sue. Qué llave él utilizar
¿descifrar el mensaje?
A. Llave privada de Richard
B. Richard Llave pública
C. Sue Llave privada
D. Sue llave publica
10. Richard quisiera firmar un mensaje que está enviando a Sue de modo que Sue
pueda saber que el mensaje vino de él sin modificaciones mientras se enviaba. Qué
llave debe él utilizar para cifrar el mensaje?
A. Richard Llave privada
B. Richard Llave público
C. Sue Llave privada
D. Sue llave publica
11. ¿Cuál uno de los algoritmos siguientes no es apoyado por el estándar de la firma de
Digital?
A. Algoritmo de la firma de Digital
B. RSA
C. Gamal DSA
D. Curva elíptica DSA
399
12. Qué estándar internacional de la unión de telecomunicaciones (ITU) gobierna la
creación y endoso de la comunicación electrónica segura?
A.X.500
B.X.509
C.X.900
D.X.905
13. ¿Qué proporciona la tecnología del cifrado/del desciframiento para la versión
comercial del sistema seguro del E-mail de la aislamiento bastante buena de Phil
Zimmerman?
A. DES/3DES
B. IDEA
C. ECC
D. EL Gamal de la
14. ¿Qué puerto de comunicaciones TCP/IP se utiliza para tráfico en la capa de
sockets?
A. 80
B. 220
C. 443
D. 559
15. ¿Qué tipo de ataque criptográfico hizo DES doble (2DES) más eficaz que el cifrado
estándar del DES?
A. Cumpleaños
B. Texto cifrado elegido
C. Cita en el medio
400
D. Hombre al medio
16. Cuáles de los sistemas siguientes de seguridad fueron creados para soportar
valores almacenados de tarjetas de pago?
A. SET
B. IPSec
C. MONDEX
D. PGP
17. ¿Cuáles de los acoplamientos siguientes serían protegidos por el cifrado de WEP?
A. Cortafuego al cortafuego
B. ruteo al firewall
C. punto de acceso sin hilos
D. ruteado dePunto de acceso sin hilos
18. ¿Cuál es la desventaja principal de usar listas de la revocación del certificado? A.
Gerencia dominante
B. Estado latente
C. Mantenimiento de registros
D. Vulnerabilidad a los ataques de la fuerza bruta
19. ¿Cuál uno de los algoritmos siguientes del cifrado ahora se considera inseguro?
A. EL Gamal
B. RSA
C. Skipjack
401
D. Merkle-Hellman Knapsack
20. ¿Cuál es la desventaja principal al uso del algoritmo EL Gamal?
A. Tamaño de mensajes cifrados
Cifrar requerido Tiempo/decrypt del B.
C. Inseguridad del algoritmo
D. Dificultad de crear llaves
402
Respuestas para repasar preguntas
1. B. El número n se genera como el producto de los dos números grandes p y Q. de la
prima. Por lo tanto, n debe siempre ser p y Q. mayor que. Además, es un
constreñimiento del algoritmo que e debe ser elegida tales que e es más pequeña que
el N. Por lo tanto, en criptografía de RSA. n es siempre la más grande de las cuatro
variables demostradas en las opciones a esta pregunta.
2. B. El cryptosystem del EL Gamal amplía la funcionalidad del protocolo del
intercambio de la llave de Diffie-Hellman para apoyar el cifrado y el desciframiento de
mensajes.
3. La C. Richard debe cifrar el mensaje usando la llave pública de Sue de modo que
Sue pueda descifrarla que usa su llave privada. Si él cifrara el mensaje con su propia
llave pública, el recipiente necesitaría saber la llave privada de Richard para descifrar el
mensaje. Si él lo cifró con su propia llave privada, cualquier usuario podría descifrar el
mensaje usando la llave pública disponible de Richard libremente. Richard no podría
cifrar el mensaje usando la llave privada de Sue porque él no tiene acceso a él. Si él lo
hizo, cualquier usuario podría descifrarlo que usaba la llave pública disponible de Sue
libremente.
4. C. La desventaja principal del cryptosystem EL Gamal es que dobla la longitud de
cualquier mensaje que cifre 2,048- el mensaje del plaintext del pedacito rendiría un
mensaje del texto cifrado de 4.096 pedacitos cuando el EL Gamal se utiliza para el
proceso del cifrado.
5. A. El cryptosystem elíptico de la curva requiere llaves perceptiblemente más cortas
alcanzar el cifrado que sería la misma fuerza que el cifrado alcanzado con el algoritmo
del cifrado de RSA. 1.024 una llave del pedacito RSA es cryptographically equivalente a
una llave elíptica del cryptosystem de la curva de 160 pedacitos.
403
6. A. El algoritmo de cálculo SHA-1 produce siempre un resumen del mensaje de 160
pedacitos, sin importar el tamaño del mensaje de la entrada. De hecho, esta salida de
longitud fija es un requisito de cualquier algoritmo de cálculo seguro.
7. C. El algoritmo MD4 ha documentado los defectos que producen colisiones,
haciéndola inútil como función del hashing para los usos criptográficos seguros.
8. El A. SHA-1 es el estándar actual del gobierno de los E.E.U.U., según lo definido en
el estándar seguro del Hashing (SHS), también conocido como estándar federal de la
tratamiento de la información (PAA) 180. Varios más nuevos algoritmos (tales como
SHA-256, SHA-384, y SHA-512) se están considerando substituir SHA-1 y hacerlo
cryptographically compatible con el estándar avanzado más fuerte del cifrado.
9. El B. Sue habría cifrado el mensaje usando la llave pública de Richard. Por lo tanto,
Richard necesita utilizar la llave complementaria en el par dominante, su llave privada,
para descifrar el mensaje.
10. El B. Richard debe cifrar el resumen del mensaje con su propia llave privada.
Cuando Sue recibe el mensaje, ella descifrará el resumen con la llave pública de
Richard y después computará el resumen misma. Si los dos resúmenes emparejan, ella
puede ser asegurada que el mensaje originó verdad de Richard. 11. C. El estándar de la
firma de Digital permite el uso del gobierno federal del algoritmo de la firma de Digital,
de RSA, o de la curva elíptica DSA conjuntamente con la función del hashing SHA-1 de
producir firmas digitales seguras.
12. El B.X.509 gobierna los certificados digitales y la infraestructura dominante pública
(PKI). Define el contenido apropiado para un certificado digital y los procesos usado por
autoridades del certificado para generar y para revocar certificados.
13. B. La aislamiento bastante buena utiliza una tela del sistema de la confianza de la
verificación digital de la firma. La tecnología del cifrado se basa sobre el cryptosystem
dominante privado de la IDEA.
404
14. C. Asegurar los zócalos que la capa utiliza el puerto 443 del TCP para las
comunicaciones cifradas del cliente/del servidor.
15. C. El ataque satisfacer-en--medio demostró que tomó relativamente la misma
cantidad de energía del cómputo de derrotar 2DES mientras que hace para derrotar el
DES estándar. Esto condujo a la adopción de DES triple (3DES) como estándar para la
comunicación del gobierno.
16. C. El sistema del pago de MONDEX, poseído por MasterCard International,
proporciona la tecnología criptográfica necesaria para apoyar tarjetas del pago del
almacenar-valor.
17. C. El protocolo equivalente atado con alambre de la aislamiento cifra el tráfico que
pasa entre un cliente móvil y el punto de acceso sin hilos. No proporciona el cifrado end-
to-end.
18. B. Las listas de la revocación del certificado (CRLs) introducen un estado latente
inherente al proceso de la expiración del certificado debido al retraso de tiempo entre
las distribuciones de CRL.
19. D. El algoritmo de la mochila de Merkle-Hellman, que confía en la dificultad de
descomponer en factores sistemas superincreasing, ha estado quebrado por los
criptoanalistas.
20. A. El algoritmo del EL Gamal dobla el tamaño del mensaje del plaintext cuando crea
el texto cifrado.
405
Principios De Modelos De Seguridad
Los tópicos del examen CISSP cubiertosen este capítulo incluyen:
Principios de Modelos deSeguridad Comunes, Arquitecturas,y Criterios de Evaluación
Fallas Comunes y Problemas deSeguridad asociados con lasArquitecturas y Diseño de Sistemas
Con formato: Fuente: 14 pto, Negrita
Con formato: Fuente: 14 pto, Negrita
Con formato: Fuente: 14 pto, Negrita
Con formato: Fuente: 14 pto, Negrita
406
Incrementar la seguridad de los sistemas de información esuna tarea retadora de ingeniería para cualquierorganización. Idealmente, la seguridad es algo que esplaneado e integrado desde el comienzo de la arquitecturade un sistema y considerar en cada etapa de su desarrollo,
prueba, despliegue, y el uso día a día. El primer paso en este esfuerzo es valorar losniveles en curso de la exposición de seguridad de una organización revisandosus sistemas de información cuidadosamente y buscar vulnerabilidades aamenazas o a ataques. Después, uno debe decidir el camino para llevar a la solución elcual puede ser descubierto durante el proceso de examen. Hacer las decisiones sobrelas que las soluciones trabajarán bien puede ser la parte más difícil del proceso cuandotratan de asegurar sistemas de información apropiadamente. Si esto no es parahacerse una caja constante de descubriendo vulnerabilidades y aplicar lascorrecciones de seguridad relevantes o los arreglos - como ser tan común con lossistemas como el Windows, el Unix, y el Linux hoy - el nivel del conocimiento deseguridad y atención durante diseño de sistema inicial y puesta en funcionamientodebe ser incrementado considerablemente. Creer que la filosofía detrás de ayudas ysoluciones de seguridad limite una búsqueda para los mejores controles de seguridadpara una situación específica y para la necesidad de seguridad específicas. En estecapítulo, hablamos de métodos para valorar los niveles de la seguridad que un sistemaprovee. También refiere a los modelos de seguridad generales (originalmentepresentados en el capitulo 11, "Los principios del diseño de computadora") sobre elque muchos controles de seguridad son formulados. Después, hablamos de los criterioscomunes y otros métodos que los gobiernos y las sociedades anónimas igual usanpara valorar sistemas de información de una perspectiva de seguridad, con losEE.UU. Ministerio de Defensa y criterios de evaluación de seguridad internacionales.Terminamos este capítulo hablando de los defectos de diseño comúnmente tropezadosy los otros asuntos relacionados a seguridad que pueden hacer sistemas deinformación propenso al ataque.
Modelos de la Seguridad, las arquitecturas, y los criterios de evaluación
El proceso de determinar qué seguro un sistema es o puede ser difícil necesita valorar
407
sistemas en particular métodos, para asignar las clasificaciones de seguridad engeneral, y determinar si un sistema cubre los requisitos de una seguridad deinformación. Las secciones de buscadores, describen el proceso involucrado enevaluación para el nivel de la seguridad de un sistema de computadora. Empezamospresentando y explicar conceptos básicos y la terminología solía describir sistema deinformación que seguridad y charla aproximadamente aseguran Perímetros cómputo,respaldo, seguridad y monitores de acceso, y la clave de núcleo. También explicamoscómo puede ser clasificada como abierto o cerrado la seguridad de sistema;describir un juego de las técnica de estándares de seguridad para asegurarconfidencialidad, integridad, y disponibilidad de los datos; controles de seguridad; ylanzar una suite usual de protocolos de conexión en red seguros por poco tiempo.
Fase de computación (TCB)
El Ministerio de Defensa de EEUU coloquialmente cuando "El OrangeBook" (el nivel deDoD que 5200.28, cubierto de mayor cantidad detalla el libreto de este capitulo" secciónde "Serie de arco iris") describe una combinación que se basa en la computación básica(TCB) de confianza de equipo físico, software, y controles que trabajan en conjunto paraformar una base de confianza a la política de seguridad. El TCB es un subconjunto, en unsistema de informacion. A decir verdad, la única parte de ese sistema es la que puedeser de confianzaPara adherirse y fortalecer la política de seguridad. No es necesario en cadacomponente de un sistema sea de confianza. Pero cualquier vez en que ustedconsidera el sistema en un punto de seguridad, su evaluación debe incluir todos loscomponentes que definen el TCB de ese sistema.
En general, componentes de TCB en un sistema responsable de controlar el acceso hadicho sistema. El TCB debe proveer recursos de acceso de métodos dentro y fuera delTCB mismo. Los componentes de TCB restringen las actividades comúnmente deTCB de out-side de componentes. Es el responsable de sitiar el TCB componentes deasegurar que un sistema funciona propiedades que se adhiere a la política deseguridad bajo todas circunstancias.
Perímetro de seguridadEl perímetro de seguridad de su sistema es un límite imaginario que separa el TCBde del resto del sistema para el TCB comunicarse con el resto del sistema, debe crearcanales seguros, también llamada rutas de confianza. Una ruta de confianza es un canalestablecido con los padrones estrictos para permitir que la comunicación necesariaocurra sin exponer el TCB a vulnerabilidades respecto a la seguridad. Cuandousted aprende las pautas más sobre la seguridad formal y los criterios de evaluación
408
después en este capítulo, usted también se enterará de que las rutas de confianza sonrequeridas en sistemas que tratan de repartir alto niveles de seguridad a sususuarios. De acuerdo con las pautas de TCSEC descrito después en este capítulo,confió en que los senderos lo son requeridos enSistemas más altos.
Errores de referencia y núcleosCuando la época viene a implementa sistema seguro, es esencial desarrollar algunaparte del TCB para hacer cumplir posesiones de sistema de control de acceso yrecursos (a veces conocido como los objetos). La parte del TCB que valida el acceso acada recurso antes de consentir las solicitudes de acceso es llamada el monitor dereferencia. El referente a la monitorización soporta el tema de muchos y el objeto,verificando que los permisos de un sujeto cubran los requisitos de acceso del objeto antes deque cualquier solicitud sea permitida seguir. Si tales requisitos de acceso no soncubiertos, los pedidos de acceso son girados. El referente a la monitorizacion podríaser una parte conceptual del TCB; no necesita ser un componente de sistema activoverdadero e independiente o independiente. La recolección de componentes en el TCBque trabajan en conjunto implementar las funciones de monitor de referencia es llamada elnúcleo de seguridad. El punto de seguridad es iniciarse a priori- se comer componentespara fortalecer la funcionalidad de monitor y resistir todos conocidos ataques. El granode seguridad usa un camino para comunicarse con sujetos. También media todo parael que las solicitudes de acceso de recurso, consentir respuestas a solamenteaquellos se ajustan a las reglas de acceso apropiadas en uso de un sistema
La referencia monitorea la información descriptiva sobre cada recurso que protege. Talinformación pasa por una clasificación y designación normalmente. Cuando un tema esrespondido acceden a un objeto, la referencia monitoreo y consulta la información dedescribe para discernir del objeto si el acceso debe ser concedido o negado (ver lanoticia en recuadro "Fichas, las capacidad, y las etiquetas" para más información sobrecómo esto trabaja). Modelos de seguridad
El modelo provee una base dentro de la que uno puede implementa la política deseguridad. Donde una política de seguridad es un extracto las intenciones deseguridad, un modelo de seguridad representa cómo la política exactamente debe serimplementada. Un buen modelo representa cada faceta de la política de seguridad ycómo implementar el control para hacer cumplir la faceta con exactitud. Cada modelode seguridad comparte las semejanzas con los otros pero también tiene sus propiascaracterísticas únicas. Un modelo provee seguridad de una manera para diseñadorespara trazar un mapa de estamentos abstractos en una política de seguridad en los
409
algoritmos y las estructuras de datos necesarias a la compra de software. Por lo tanto, unvalor modelado para diseñadores de software algo contra que medir en funcionamiento.Ese modelo, por supuesto, debe respaldar cada parte de la política de seguridad. Deeste modo, la búsqueda de desarrolladores que su puesta en práctica de seguridadsoporta la seguridad.
Fichas, la capacidad, y las etiquetas
Algunos diferentes en uso para describir atributos de seguridad necesariospara un objeto. Unos tokens de seguridad un objeto que es relacionado con unrecurso, describe sus atributos de seguridad. Este token puede comunicarseguridad de información sobre un objeto pidiendo el acceso para el objetoverdadero. En las otras puestas en funcionamiento las listas varias son usealmacenar la información de seguridad sobre objetos múltiples. La lista decapacidades mantiene una hilera de los atributos de seguridad para cadaobjeto controlado. Aunque no tan flexible como el enfoque simbólico las listascapas brindan las consultas más rápidas en general cuando un tema pide elacceso para un objeto. Un tercer tipo común de almacén de atributo esllamado una etiqueta de seguridad. Una etiqueta de seguridad es en generaluno por parte de mantener del objeto al que es adjuntado. Una vez unaetiqueta de seguridad es establecida sea modificada.
410
El modelo BELLEl modelo BELL desarrollado en los EE.UU. Ministerio de Defensa (DoD) en los 1970s.Una preocupación por proteger la información confidencial. El DoD guarda múltiplesniveles de documentos secretos. Las clasificaciones que el DoD usa están sin clasificar,susceptibles pero desclasificadas, confidencial, y secretas. Cualquier persona con unaautorización de seguridad secreta puede acceder a, vulnerable pero confidencial, quedocumentos pero sin clasificar, y sin clasificar no secreto documenta. También, paraacceder a un documento, los buscadores de accesos también deben tener una - denecesidad - de saber para ese documento. La complejidad que aseguran laconfidencialidad de documentos envueltos son direccionados en el Bell - La Padulamodelo. Este modelo es basado en un concepto de máquina de estado federal. Elestado machines up - reescribir estados múltiples con transiciones explícitas entrecualquier dos estados federales; este concepto es usado porque lo corrección de lamáquina, y garantías de la confidencialidad de documento, puede ser demostradomatemáticamente. Hay tres propiedades básicas de esta máquina de estadofederal:
El Propiedades de Seguridad Simple dice que un sujeto no leería la información en un nivelde más alta sensibilidad (ninguna lectura up).La propiedad de seguridad de zxjBULLET (la estrella) dice que un tema no puedeescribir la información a un centroEn un nivel de sensibilidad más bajo (ninguno escritura down).Los estados federales de Propiedades de Seguridad discrecionales a los que el sistemausa una matriz de acceso hacen cumplir el control de acceso discrecional.
Las Bell - La Padula propiedades son en su lugar a la confidencialidad de dataprotegida. Un tema no puede leer un centro que es data clasificada para el que unomás alto que el tema nivel es limpiado. Porque objetosEn un nivel tenga datos que son más secreto o que los datos en un nivel más bajo, unsujeto no puede escribir los datos de un nivel a un objeto a un nivel más bajo (laexcepción con un sujeto de confianza). Ese movimiento sería similar a pegar una notasecreta en un archivo de documento no reservado. La tercera propiedad impone untema ser "Sólo si necesario" para acceder a un objeto .El Bell - La Padula modeloaborda solamente la confidencialidad de los datos. No aborda su integridad odisponibilidad. Porque fue diseñado en los 1970s, no soporta muchas operaciones queson común hoy, como la utilización en común de archivos. También asume las
411
transiciones seguras entre las capas de seguridad y no abordar canales encubiertos(cubierto después en este capítulo).Bell - La Padula maneja la confidencialidad bien asíque es use en combinación con otros modelos que proveen mecanismos manejar laintegridad y la disponibilidad a menudo. Modelo de Biba era de signed after el modeloBell - La Padula. Donde el Bell - La Padula modelo aborda la confidencialidad, elmodelo de Biba aborda la integridad. El modelo de Biba también es basado en unmachine concept de estado federal. A decir verdad, Biba es muy similar al Bell - LaPadula modelo. Ambos usan estados federales y transiciones. Ambos tienenpropiedades básicas. La diferencia más grande es su integridad de datos defocalizado primario: Biba proyectos primarios. He aquí las propiedades básicas de lamáquina de estado federal de modelo de Biba:El Propiedad de Integridad simple dice que un sujeto no puede leer un centro en un nivel deintegridad más bajo (no leyó abajo).Los Propiedades establecen la integridad de zxjBULLET (la estrella) que un temapoder hacer/ser él modifican un objeto en un nivel de integridad más alto (ningunoescritura up). Cuando
412
Usted compare Biba a Bell - La Padula, usted notará que parecen opuestos. Ése esporque se concentran en áreas diferentes de la seguridad. Donde Bell - La Padulatrabaje de modeloLa confidencialidad de datos asegura, Biba asegura la integridad de datos.
Considere ambos las propiedades de Biba. El segundo propiedad del modelo deBiba es straight for - sala bonita. Un tema no puede escribir a un centro en un nivel deintegridad más alto. Eso tiene el sentido. ¿Y la primera propiedad? ¿Por qué un temano puede leer un centro en un nivel de integridad más bajo? La respuesta toma unapoca de idea. Piense en niveles de integridad como ser de la misma manera que lapureza el nivel de aire. Usted no querría bombear aire de la sección fumadores delambiente de sala limpia. El mismo aplica para los datos. Cuando la integridad esimportante, usted no quiere los datos invalidados transferidos a documentos validados.La contaminación de datos de potentialfor es demasiado gran para permitir tal acceso.
Porque el modelo Biba se centra sobre la integridad de datos, es una elección común demayor cantidad para modelos de seguridad de comercial que el modelo Bell - La Padula.La mayoría de las organizaciones de comercial son más convictas cerned con laintegridad de sus datos que su confidencialidad.
Modelo de Clark - WilsonAunque el modelo de Biba trabaja en aplicaciones de comercial, otro modelo fuediseñado hacia dentro1987 específicamente para el ambiente de comercial. El modelo de Clark - Wilson usaun enfoque eted por multifac para la integridad de enforcing data. En lugar de definiruna máquina de estado federal formal, el modelo de Clark - Wilson define cadaartículo de datos y admite las modificaciones a través de solamente un juego pequeño Deprogramas. Clark - WilsonDefine los siguientes artículos y procedimientos:Un artículo de datos limitado (CDI) es cualquier artículo de datos cuya integridad esprotegido por el modelo seguridad en que trabajan.Un artículo de datos espontáneo (UDI) es cualquier artículo de datos que no sercontrolado por el modelo de seguridad. Cualquier dato que son ser introducidos y nohan sido validados o ningún producto serían considerados un artículo de datosespontáneo.Un procedimiento de verificación de integridad (IVP) es un procedimiento que escaneaartículos de datos y confirma su integridad.
413
Procedimientos de transformación (TPs) son los únicos procedimientos que sonpermitidos de modifican uno CDI. Los accesos limitados a CDIs a través de TPsmoldea el nodo central del modelo de integridad de Clark - Wilson.
El modelo de Clark - Wilson usa eqituetas de seguridad para conceder el accesopara objetos, pero solamente a través de procedimientos de transformación. El modelotambién hace cumplir la separación de los servicios a la integridad de protege el adicionalde los datos. A través de estos mecanismos, el modelo de Clark - Wilson asegura quelos datos son protegidos de los cambios no autorizados de cualquier usuario. El Clark -Wilson diseña un muy buen modelo para aplicaciones de comercial.
Objetos y asignaturas
Controlando el acceso para cualquier recurso en un sistema seguro envuelve dosentidades. El tema del acceso es el usuario o el proceso que hace una solicitud paraacceder a un recurso. El acceso puede representar lectura de o escritura para unrecurso. El acceso de ofan de objeto es el usuario de recursos o el proceso quiereacceder. Guarde que el objeto de sujeto y consulte un poco de solicitud de accesoespecífica, así que el mismo recurso puede servir de un sujeto y un objeto en lassolicitudes de diferentes accesos. Por ejemplo
414
O, proceso A puede preguntar por los datos de proceso B. Para cumplir la solicituddel proceso, del proceso B debe preguntar por los datos del proceso C. En esteejemplo, B de proceso es el centro del primer pedido y el tema del segundo pedido:
Primero B de proceso de (tema) de A de proceso de solicitud (objeto)
Segundo (objeto) de C de proceso de (tema) de B de proceso de solicitud
Cerrado y sistemas abiertos
Los sistemas son diseñados y construyeron dos filosofías diferentes. Un sistemacerrado es diseñado funcionar en uno angosto rango de otros sistemas bien, engeneral todos del mismo constructor. Los estándares para sistemas cerrados a menudoreservados y no normallydisclosed. Los sistemas abiertos, de otra parte, estándiseñados de acuerdo los estándares de la industria. Los sistemas abiertos es muchomás fácil de los fabricantes diferentes que soportan los mismos estándares asistemas de integrados con Los sistemasCerrados son más difíciles se integrar con a diferencia de sistemas, pero pueden sermás seguros.Un sistema cerrado comprende equipo físico reservado y software que no incluyen losestándares de la industria a menudo. Esta falta de la integración que la facilidadrepresenta que ataca sobre muchos componentes de sistemas genéricos no trabajaráo deber ser personalizado para ser exitoso. En muchos casos, ataque un sistemacerrado es más difícil que lanzar un ataque sobre un sistema abierto. Muchoscomponentes de software y equipo físico con conocidas vulnerabilidades no podríansubsistir a base de un sistema cerrado. Además A la falta de conocidos componentesvulnerables sobre un sistema cerrado, es a menudo necesario poseer conocimientosmás en profundidad del sistema de meta específico de iniciar un ataque próspero. Lossistemas abiertos s son en general más fáciles integrar con otros sistemas abiertos. Esfácil, por ejemplo, crear una LAN con una computadora de Windows2000 de Microsoft,una computadora de Linux, y una computadora de Macintosh. Aunque todos trescomputadoras use sistemas operativos diferentes y representarAl menos dos diferentes arquitecturas de hardware soporta los estándares de laindustria, y lo hace de las comunicaciones fáciles de conectar a una red (u otras)ocurrir. Esta facilidad viene a un alto precio, sin embargo. Porque los componentes de
415
comunicaciones usuales son incluidos en cada uno de estos tres sistemas abiertos, haymuchos más que la entrada apunta y el lanzamiento de métodos para ataca. Engeneral, su franqueza los hace más vulnerable al ataque, y su disponibilidad extendida lohace posible en el que para atacantes para encontrar (y incluso a practicar) muchopotencial se centra. También, abra sistemasSon sistemas y más popular que cerrar atrae más atención. Un atacante que contrae
la destreza quebrantadas básicas encontrará más blancos sobre sistemas abiertos quesobre unos cerrados. Este "Mercado" más grande objetivos potencial normalmentequiere decir que hay más emphasison apuntando sistemas abiertos. Indiscutiblemente,ahí un cuerpo más grande de conocimientos de experiencia y compartidos estar sobrecómo A sistemasAbiertos de ataque que hay para sistemas cerrados.
La técnica para asegurar la confidencialidad, la integridad, y la disponibilidad
Para garantizar la confidencialidad, la integridad, y disponibilidad de los datos, usted debeasegurar que todos componentes que tienen acceso para los datos son seguros yobedientes. Diseñadores uso de software diferente
416
Las técnica de asegurar que los programas hacen solamente lo que es requerido y ceromás. Presuma un profesional - gramwrites para y lecturas de una área de la memoria queestá estando usado por otro programa. El primer programa podía infringir todos tresdogmas de seguridad potencialmente: la confidencialidad, la integridad, y availabil - ity. Siun programa afectado es processingsensitive o datos confidenciales, laconfidencialidad de eses datos no es más garantizado. Si eses datos son sobreescrito omodificado en una manera imprevisible (un prob - lem común cuando los lectoresmúltiples y autores acceden a los mismos datos compartidos sin querer), no haygarantía de la integridad. Y, si la modificación de datos resulta en la corrupción o lapérdida completa, podía ponerse inasequible para el futuro uso. Aunque los conceptosde los que hablamos en esta sección se relacionan con software programs all, tambiénson usado comúnmente en todas áreas de la seguridad. Por ejemplo el confinamientofísico guaranteesthat acceso all físico para equipo físico es controlado. Confinami
entornoEl confinamiento de proceso de designersuse de software restringir las acciones de unprograma.Simply put, el proceso del que el confinamiento admite un processto leído ywriteto solamente certainmemory ubicaciones y recursos. El sistema operativo, o algúnotro componente de seguridad, rechaza las solicitudes de lectura / escritura ilegales. Siun processattempts para la acción de initiatean más allá de su grantedauthority, esaacción será negada.Además, furtheractions, como registrar el intento de infracción, puedeser tomado. Systemsthat debe obedecer con ratingsmost de seguridad más altoprobable grabar todas infracciones y responder en alguna manera tangible. En general,los processis ofendiendo se terminó.
LímitesCada proceso que corre sobre un sistema es el nivel de la autoridad de assignedan. Elauthoritylevel dice el sistema operativo qué puede hacer el proceso. En sistemassimples, puede haber solamente dos niveles de la autoridad: usuario y grano.Losleveltells de la autoridad para el que el how to de sistema operativo puso los límitesUnproceso. Los límites que consistof de proceso de ofa limita poner sobre los recursos deaddressesand de memoriaPuede acceder. Los límites dicen la área dentro de la que un proceso es limitado. En la mayoríade los sistemas, estos límites segmentan logicalareas de la memoria para cada procesousar. Es la responsabilidad del sistema operativo imponer estos límites lógicos y
417
rechazar el acceso para otros procesos. Sistemas más seguros podrían requerirprocesos physicallyboundeds. Los límites físicos requieren que cada proceso limitadocorra en una área de la memoria que es separada de otros procesos limitadosfísicamente, no boundedin el mismo espacio de memoria de manera lógica.Físicamente boundedmemory puede ser muy costoso, pero es también más seguroque lo logicalbounds. Aislam
ConocimientoCuando un proceso es limitado a través de límites de enforcingaccess, ese procesoopera inisolation. Procese isolationensures que cualquier comportamiento afectará quesolamente la memoria y los recursos asso - ciated con el proceso aislado. Estos tresconceptos (el confinamiento, los límites, y el aislamiento) hacen diseñar asegurarprogramas y operatingsystems más difíciles, pero también lo hacen posibleimplementar sistemas más seguros. Controles Presentamos el concepto de Cha
pter 1 de controlsin de seguridad, "La rendición de cuentas y convicto - trol de Access."Para asegurar la seguridad de un sistema, usted tiene que permitir que asignaturasaccedan solamente autorizado
418
Objetos. Un rulesto de acceso de usos de control limita el acceso por un subjectto un objeto.Acceda a rulesstate que los objetos son válido para cada asignatura.Más lejos, un objetopodría ser legítimo para un tipo del acceso y ser inválido para otro tipo del acceso.Uncontrolis comines para el acceso de archivo. Un archivo puede ser protegido de lamodificación haciéndolo lectura - onlyfor la mayoría de los usuarios pero lectura/escriturapara un juego pequeñoDe usuarios que tienen la autoridad de modificarlo.
Recuerde de Chapter 1 que tanto hay mandatoryand controles de accesodiscrecionales, a menudo called Mac y DAC, respectivamente. Con controlesobligatorios losatributos estáticos del tema y el objeto son considerados condicionar el permissibility de unacceso. Cada tema posee los atributos que definen su autorización, o autorización deacceder a recursos. Cada uno a quien objeto posee atribuye eso definirSu clasificación. Diferentes clases de métodos de seguridad clasifican recursos en lasmaneras diferentes. Por ejemplo A en cuestión es el acceso concedido para B de objetosi el sistema de seguridad puede encontrar una regla que lo permite unoTemacon la autorización de A's en cuestión de acceder a un objeto con la clasificación de B de objeto.Esto es llamado el control de acceso fundado por regla. Las reglas predeterminadas dicen quésujetos poder acceder a qué objetos.Los co
ntroles discrecionales son diferente/s de controles obligatorios en lo que respecta a eltema tiene un poco de habilidad de definir los objetos a los que acceder. Dentro de ciertoslímites los controles de acceso discrecionales admiten la asignatura para definirUna lista de objetos a los que acceder como necesitar. Esta lista de control de acceso(a menudo called uno ACL) sirve de un juego de regla de acceso dinámico que el temapuede modificar. Las restricciones impuestas a las modificaciones a menudo serelacionan con el sidentity del tema. Sobre la base de la identidad, el tema puede serpermitido añadir o modificar las reglas que definen el acceso para objetos.
Bothmandatory y acceso discrecional controlan el acceso de limitthe para objetos porasignaturas. Los objetivos principales de controlsare asegurar la confidencialidad y laintegridad de los datos rechazando el acceso no autorizado por asignaturasautorizadas o no autorizadas.
Seguridad de IP (IPSec)
Hay securityarchitectures varios hoy, cada una seguridad de dirección de designedtoes emitida en ambientes en uso diferentes. One such arquitectura que soporta lascomunicaciones seguras es el padrón de ProtocolSecurity (IPSec) de Internet.IPSec es una
419
arquitectura poner por el método de nivel de suggestsa de arquitectura de.This deAgrupación de Ingeniería para Internet (IETF) para settingup una información deintercambio de channelto segura entre dos entidades.Estos dos entitiescould son dossistemas, dos «router»s, dos vías de acceso, o cualquier combinación de entidades.Althoughgenerally solía conectar dos redes, IPSec puede ser use conectarcomputadoras individuales, como un servidor yUna estación o un par de estaciones (remitente y receptor, quizás). IPSec no dictaTodo el detailsbut de puesta en práctica es un campeonato abierto, modularframework.Esto featureallows a muchos fabricantes y desarrolladores de software de desarrollarIPSecsolutions que funcionan en productos bien de otros distribuidores.
IPSec usa criptografía de clave pública para proveer la encriptación, el control deacceso, nonrepudiation, y enviar la autentificación, all usar protocolos de IP. El usoprincipal de IPSec está para pri - vatenetworks virtuales (VPNs). IPSecoperates eneithertransport o tunnelmode. Modo de túnel es más usado a menudo cuando ustedpuso vías de acceso de VPNs betweennetwork. En modo de túnel, el messageand laencabezamiento de IP original es cifrado. Entonces/luego una nueva encabezamiento deIP que los puerta - wayis de ese destino de addressesthe añadió. Por contraste, en elmodo de transporte, solamente el mensaje es cifrado, not la encabezamiento deIP.Thetwo básicos protocolos que IPSec usa son la encabezamiento deAuthentication y el Payload de seguridad de Encapsu - lating. La encabezamiento deAuthentication (AH) suministra la integridad, la autentificación,
420
Y nonrepudiation para el cambio de mensaje seguro. El Payload de seguridad deEncapsulating (la percepción extrasensorial) provee la encriptación del mensaje. Lapercepción extrasensorial también provee un poco de autentificación, pero no al gradodel AH. Aunque la percepción extrasensorial es usada a veces sin AH, es infrecuentever ahUsarsin la percepción extrasensorial.
Al tiempo de ejecución, usted puso una sesión de IPSec creando una asociaciónde seguridad (SA). El SA representa la sesión de comunicación y graba cualquierconfiguración y informa - tion de estado sobre la conexión.El SA representa unaconexión simple.Si usted quiere un canal de doble sentido, usted necesita dos SAs,uno para cada dirección. También, si usted quiere sostener un canal de bidirec -tional usar tanto AH como la percepción extrasensorial, usted necesitará poner cuatroSAs. Algunas de las fuentes de fortaleza más grandes de IPSec venir de estarcapaz filtrar o dirigir las comunicaciones sobre una base de per-SA con el propósito deque clientes o vías de acceso entre los que las asociaciones de seguridad existenpueden ser dirigidos rigurosamente en relación con what clases de servicios deprotocolsor poder usar la conexión de IPSec. También, sin una associationdefined deseguridad eficaz, pares de usuarios o vías de acceso no pueden establecer enlacesde IPSec. Sistema de
conocimientoEvaluación de seguridad
Aquellos que compran sistemas de información para cierto clases de aplicaciones -piensan, por ejemplo, en organismos de seguridad nacional donde la informaciónconfidencial podría ser sumamente valiosa (o dangerousin las manos equivocadas) obancos centrales o comerciantes de valores donde los ciertos datos pueden serdignos de miles de millones de dólares - a menudo quieren comprender sus puntosfuertes y débiles de seguridad.Tales compradores eran a menudo willingconsiderar solamente sistemas que han sido subject a procesos de evaluación formalescon anticipación y recibieron some kind of clasificación de seguridad con el propósito deque sabían qué están comprando (y, generalmente, también what pasos debentomarPara guardar tales sistemas tan seguro as possible).
Cuando las evaluaciones formales son emprendidas, systemsare subjectedto un
421
pro- cess dos paso generalmente. En el firststep, un systemis hizo pruebas y unaevaluación técnica es llevada a cabo para asegurarse de que las capacidad de seguridaddel sistema conozcan los criterios colocados para su intendeduse. En el segundopaso, thesystem es subjectedto una comparación formal de su diseño y criterios deseguridad y sus capacidad verdaderas y rendimiento, y personas individualesresponsables de la veracidad de securityand de tales sistemas debe determinar siadoptarlos, rechazarlos, o hacer algunos cambios para sus criterios y tratar otra vez.Muy a menudo, a decir verdad, las fiestas de trustedthird (como TruSecureCorporation,bien conocido por sus laboratorios de securitytesting) son contratadas para llevar acabo tales evaluaciones; el resultado más importante de such testingis su "Visto bueno"que el sistema cubre todos criterios esenciales. Si las evaluaciones son dirigidas dentrode una organización o afuera de casa, el adoptar que la organización debe decidir paraaceptar o rechazar los proposedsystems. Un organiza-La dirección de tion debe tomar la responsabilidad formal si y cuando los sistemas sonasumidos y ser voluntad - ingto acepta cualquier riesgos relacionados con su desplieguey uso.
422
Serie de arco iris
Desde el 1980s, gobiernos, organismos, instituciones, y businessorganizations de todasclasesHaber tenido que enfrentar los riesgos involucrados en asumir y usar sistemas deinformación. Tan llevado hacerlo/serlo uno su serie de torical de - de los padrones deseguridad de información que intentaron especificar los criterios de seguridadaceptables mínimos para categorías varias of use. Tales categorías eran importantescuando compradores intentaron obtener y desplegar sistemas que would proteger ymantener sus contenido o que cubriría requisitos de seguridad variousmandateds(como ésos que los contratistas deben rou - tinely apropiado a lo conductbusiness conel gobierno). El primer tal juego de los padrones dio como resultadoEn la creación de los criterios de evaluación de sistema de TrustedComputer en the1980s, como los EE.UU.. Ministerio de Defensa (DoD) trabajó para gravarsecuritystandards developand para los sistemasÉl comprar y usar. Por turno, esto resultó en una whole serie de tales publicaciones através del mediados de-1990s. Debido a que estas publicaciones fueron identificadas por el color de sus tapascon regularidad, son conocidos colectivamente como los "Rainbowseries."
Follow en las huellas del DoD, otros gobiernos o cuerpos de niveles crearon lospadrones de seguridad de com - puter que se desarrollaron y superaron loselementos de serie de arco iris. Los padrones importantes en este grupo incluyen unmodelo europeo called los criterios de evaluación de seguridad de tecnología de información(ITSEC) que fue desarrollado en 1999 y usado a través de 1998. También incluyen lossupuestos criterios del «Common», asumido por los EE.UU.., Canadá, Francia,Alemania, yEl R.U.. En 1998, pero más oficialmente conocido como el "Arreglo sobre el reconocimientode certificados de Criteria de Com - mon en el terreno de la seguridad de IT." Ambos deestos padrones serán habladoEn secciones posteriores también.
Whengovernments o agencias othersecurity conscientes de evaluateinformationsistemas, utilizan los criterios de evaluación de variousstandard. En 1985, elComputerSecurity Cen - ter nacional (NCSC) desarrolló los Trusted ComputerSystemcriterios de evaluación (TCSEC), generalmenteLlamar el "Libro de naranja" debido a el color de las tapas de esta publicación. El TCSECestab - lished las pautas de ser usado when valorar un computerfrom independiente el
423
securityperspec - tive. Estas pautas abordan securityfunctionality básico y admiten lasfuncionalidad y fiabilidad de evaluators para medir y el sistema de ratea. En el TSCEC, adecir verdad, funcionalidad y garantía de secu - rity son combinadas y no separatedas enel que están que securitycriteria desarrolló después. Las pautas de TCSEC erandesignedto es usado when valorar productos del distribuidor o junto a vendorsto aseguraque desarrollan todos assuranceinto nuevos productos de funcionalidad y seguridadnecesarios.
Después, echaremos un vistazo a algunos de los detalles en el libro de Orangemismo y luego diremos the other elementsin importante la serie de arco iris sobresomeof. TCSEC
clasificó y requería la funcionalidadTCSEC combina la funcionalidad y la garantía que es importante(s) de un sistema encuatro categorías muy importantes. Estas categorías son entonces/luego subdividedintosubcategorías adicionales. TCSEC define el perseguir - ing categorías muyimportantes: A de
categoría verificó la protección de Minimal de D de Category de protección deDiscretionary de C de Category de protección de Mandatory de B de Category deprotección La categoría para la qq Con formato: Color de fuente: Color
personalizado(RGB(54,52,53))
424
ue D es reservado que sistemas que han sido evaluatedbut hacen no cubre requisitosPara pertenecer a cualquier otra categoría. En este plan, sistemas de A de categoríatienen el nivel más alto de representssystems de D de categoría de securityand con elnivel más bajo de la seguridad. Las secciones que siguen después incluyen lasdiscusiones breves de A de categorías a través de C al mismo tiempo que sufijosnuméricos que representan cualquier subcategorías aplicables. Proteccióndiscrecional (C1 de ca
tegorías, C2)Los sistemas de protección discrecionales proveen el control de acceso básico.Lossistemas en esta categoría hacen pro- vide que un poco de seguridad controla pero sonlackingin más sofisticado y stringentcontrols que abordan specificneeds para sistemasseguros. C1 y controles de providebasic de sistemas de C2 y documentación de com- plete para instalación de sistema y configuración.
La protección de seguridad discrecional (C1) unos convicto - trols de sistema deprotección de seguridad discrecionales acceden junto a usuario documentos deidentidad y/o grupos. Aunque hay algunos controles en su lugar que limitan el accesode objeto, los sistemas en esta categoría solamente proveen la protección débil. Laprotección de Ac
cess controlada (C2) los sistemas de protección de acceso controlados son más fuertesque los sistemas de C1. Los usuarios deben ser identificados por separado para adquirirel acceso para objetos. Los sistemas de C2 también deben imponer la limpieza media.Con entornos limpiar, cualquier entornos que son reusados por otro usuario debenprimeroSea limpiado totalmente con el propósito de que ningún vestigio de los datos previos sequeda disponible para la inspecciónO eluso. Adicionalmente procedimientos de entrada en el sistema estrictos deber ser hechocumplir que restringe el acceso para usuarios inválidos o no autorizados. Prote
cción obligatoria (B1 de categorías, B2, B3)Systemsprovide de protección obligatorio más securitycontrols que el categoryD osistemas de C. Más granulación del control es autorizada así que los administradoresde seguridad pueden aplicar specificcontrols que permiten asignatura / acceso de objetosolamente muy limitedsets. Esta categoría de sistemas está basada en el Bell - La
425
Padula modelo. El acceso obligatorio está basado en lo securitylabels.
Etiquetado seguridad (B1) en un sistema de seguridad etiquetado, cada tema y cadaobjeto tienen etiqueta de asecurity. Un sistema de B1 concede el accesocombinando con el tema y las etiquetas de objeto y comparar su compatibilidad depermiso. Los sistemas de B1 soportan la seguridad suficiente alojar los datossecretos.
Estructuró protección (B2) además del requisito para etiquetas de seguridad de que(como en sistemas de B1), los sistemas de B2 deben ensurethat ningún canal encubiertosexiste.Las operador y administrador funciones son separadas y isolationis de procesomantenido actualizado. Los sistemas de B2 son suficientes para los los datos secretosque requieren más funcionalidad de seguridad que un sistema de B1 puede repartir.
Los sistemas de dominio de seguridad de dominios (B3) de seguridad proveen lafuncionalidad más asegurada por pelaje - ther incrementar la separación y laaislamiento de procesos inconexos. Func - tions de administración es definidosevidentemente y se separa de las funciones asequibles a los otros usuarios. Elenfoque deCambios de sistemas de B3 para la sencillez de reducir cualquier exposición a lasvulnerabilidades en la clave sin usar o adicional. El estado asegurado de sistemas deB3 también debe ser addressed durante el proceso de bota inicial. Los sistemas de B3son difficult atacar con éxito y suministran controles seguros suficientes para los muydatos confidenciales o confidenciales. Ver
426
ificó protección (A1 de categoría)Verificó systemsare de protección similar a lo B3 systemsin la estructura y al empleo decontrolsthey. La diferencia está en el ciclo de desarrollo. Cada fase del ciclo dedesarrollo es controlada usando métodos formales. Cada fase del diseño esdocumentada, valorada, y verifiedbefore el próximo paso es tomado. Esto fuerza de laque securityconsciousness extremos durante todo camina desarrolla ment de - y eldespliegue y es la única manera de guaranteestrong la seguridad de sistemaoficialmente.Un sis
tema de diseño verificado empieza con un documento de diseño que dice cómosatisfará al securitypolicy el método dar como resultado. Desde allí, cada paso dedesarrollo es valorado en el contextof la política de seguridad.La funcionalidad escrucial, pero becomesmore de garantía importante que en la seguridad más bajacategorías. A1 systemsrepresent el máximo nivel de la seguridad y ¿asa datossecretos de designedto lo es. Cada paso es documentado y verificado, del diseñotodo el camino completamente a entrega y a instalación.
Otros colores en la serie de arco irisTotalmente, allí ser casi 30 títulos en la recolección de DoD documentsthat añaden a omás lejos dar más detalles sobre el libro de Orange tampoco. Aunque los colores norepresentan nada necesariamente, son use describir publicaciones en esta serie.El otroimportante elementsin esta colecciónDe siguientes de includethe de documentos (para una lista más completa, por favorconsultTable 12.1):
Red hace una reserva porque el libro de Orange es aplicable solamente acomputadoras autónomas que no attachedto sobre el que una red y tantos sistemasfueron usados conecta a una red (incluso en the 1980s), el libro rojo fue desarrolladopara interpretar el TCSEC en un contexto de conexión en red.Rápidamente, el libro rojose puso más relevantes e compradores de sistema de importantto y buildersthan ellibro de Orange. Green reserv
a las pautas de creación y dirección de providespassword de libro verdes; es importantepara aquellos que dirigen trustedsystems configureand.
Table 1 2 . 1 e l e m e n t o s d e s e r i e d e a r c o i r i s importantes
427
Bar# Título Nombre delibro
5200.28 -ETS
DoD confió en los criterios deevaluación de sistema decomputadora
Libro denaranja
- ETS - deCSC 002-85
Pautas de dirección de contraseña deDoD
Libro verde
- ETS - deCSC 003-85
Orientación para aplicar TCSEC enambientes específicos
Libro amarillo
- TG - deNCSC 001
Una guía para comprender laauditoría en sistemas de confianza
Librobronceado
- TG - deNCSC 002
Confió en la evaluación de producto -un guía para distribuidores
Cuaderno deexámenesbrillante
- TG - deNCSC 002-85
Consideraciones de seguridad de PC Cuaderno deexámenesligero
428
Table 1 2 . 1 e l e m e n t o s d e s e r i e d e a r c o i r i s importantes (continuado)
Nombre de libro de título de # del ba r
Guía de A de NCSC - TG - 003 para c omprender el acceso discrecionalControles en sistemas de confianza
Con formato: Número de columnas:1, Ancho columna nº 1: 15.24 cm
429
Naranja de neónLibro
NCSC - TG - 005 interpretación libro rojo de la red deconfianza
Glosario de NCSC - TG - 004 de computadora que la garantía term libro d eAqua
Guía de A de NCSC - TG - 006 para c omprender la dirección de configuraciónEn sistemas de confianza
Con formato: Ancho columna nº 1:15.24 cm, Sin Forzar ancho decolumna igual
Con formato: Número de columnas:1, Ancho columna nº 1: 15.24 cm
430
Libro de color ámbar
NCSC - TG - 007 en el que un guía to elconocimiento diseñan ladocumentaciónConfió en sistemas
Con formato: Ancho columna nº 1:15.24 cm, Sin Forzar ancho decolumna igual
Con formato: Número de columnas:1, Ancho columna nº 1: 15.24 cm
431
BurgundyBook
NCSC - TG - 008 en el que una guía paracomprender confió en ladistribuciónConfió en sistemas
Con formato: Ancho columna nº 1:15.24 cm, Sin Forzar ancho decolumna igual
Con formato: Número de columnas:1, Ancho columna nº 1: 15.24 cm
432
Libro lila
Interpretación de subsistema de seguridad de computadora de NCSC - TG - 009 deEl T
CSEC
Con formato: Ancho columna nº 1:15.24 cm, Sin Forzar ancho decolumna igual
Con formato: Número de columnas:1, Ancho columna nº 1: 15.24 cm
433
Color azul de VeneciaLibro
Para más información, por favor consulthttp://csrc.ncsl.nist.gov/secpubs/rainbow/,descargue enlaces disponibles.
Dar todo lo tiempo y effortthat se metió en formular el TCSEC, en que no esirrazonablePregúntese por qué tienen evolvedto padrones más nuevos y más avanzados los criterios de evaluación.La marcha despiadada del tiempo y acotación al margen de tecnología, éstos son las críticasmuy importantes de TCSEC y ayudan explicar por qué son ahora en uso mundiales lospadrones más nuevos: Aunque el TCSEC puso el énfasis considerable sobre controlar el usuario acceso a la información, noejercitan el control sobre el lo que los usuarios hacen con la información en cuanto el accesoes concedido. Esto canbe un problema en las aplicaciones tanto militares comocomerciales igual.Teniendo en cuenta su originsat los EE.UU.. Ministerio de Defensa, es comprensible queel TCSEC enfoca sus preocupaciones la confidencialidad de entirelyon, cuál suponerque controlar cómo acceden a los datos los usuarios representa esa integridad deaccuracyor de datos de concernsabout es irrelevante. EstoNo trabaja en ambientes de comercial donde integ - rity de accuracyand de datos deconcernsabout puede ser más importante que las preocupaciones sobre laconfidencialidad.Fuera de su propio énfasis sobre controles de acceso, el TCSEC no hacecarefullyaddress loss clases de personal, los temas de política físicos, y deprocedimiento o las garantías que deben ser ejercitadas para implementar la política deseguridad completamente. No se las arreglan con cómo tales temas pueden afectar laseguridad de sistema tampoco mucho.El naranja asienta el tdeal de doesn, per se, con emisiones de conexión en red (aunque ellibro rojo, devel oped después en 1987, lo hace). H
Con formato: Ancho columna nº 1:15.24 cm, Sin Forzar ancho decolumna igual
Código de campo cambiado
434
asta cierto punto, estas críticas reflejan las incumbencias de seguridad únicas delos ejércitos, que desarrolló el TCSEC. Entonces/luego, también, las herramientas deprevailingcomputing y las tecnologías extensamente disponibles at the time(networkingwas realmente sólo comenzar en 1985) también tenían un impacto.Indudablemente, una opinión cada vez más sofisticada y holística de la seguridaddentro de organizaciones ayuda explicar por qué y dónde también cayó short,procesalmente el TCSEC yPolítica - modo. Pero porque ITSEC ha sido reemplazado por los criterios del «Common» en gran parte, cov - erage en la próximasección explica ITSEC como un paso por el camino hacia el Cri - teria del «Common»(cubierto de la sección después de eso). Clases de ITSEC y garantía requeridaY lafunci
onalidad
Los criterios de evaluación de seguridad de tecnología de la información (ITSEC)representa un intento inicial de crear los criterios de evaluación de seguridad enEuropa. Fue desarrollado como una alternativa a las pautas de TCSEC. Las pautasde ITSEC valoran la funcionalidad y la garantía de un sistema usando clasificacionesdistintas para cada categoría. En este contexto, la funcionalidad de un sistema mide suvalor utility para usuarios. El clasificación de funcionalidad de un sistema dice cuánbien elEl sistema lleva a cabo todos necessaryfunctions sobre la base de su diseño y propósito previsto.El grado de representsthe de clasificación de assur - ance de la confianza de que elsistema trabajará en una manera de convicto - sistent apropiadamente.ITSEC hacere
ferencia a cualquier esencia de sistema evaluatedas una meta de evaluación (dedodel pie). Todas clasificaciones son expresadas como las clasificaciones de dedo delpie en dos categorías. ITSEC usa dos balanzas a funcionalidad de rate y a garantía.La funcionalidad de un sistema es evaluada de la tecla F1 a través de la tecla F10. LagarantíaDe un sistema es evaluado de E0 a través de E6. La mayoría de las clasificacionesde ITSEC generallycorrespond con TCSECratings (por ejemplo, uno C1system deTCSEC corresponde a un ITSECF1, a E1system), pero las clasificaciones de la tecla F7a través de la tecla F10 representan la funcionalidad adicional no cubierto bajo TCSEC.Vea el Cuadro 12.3 (al final de la próxima sección) para un TCSEC de comparisonof,
435
ITSEC, y las clasificaciones de Criteria del «Common».Las diferencias entre TCSEC y ITSEC son muchos y variado.Algunas de las diferencias más importantes de
que los padrones de betweenthe dos incluyen lo siguiente:Aunque el TCSEC se concentra en la confidencialidad casi exclusivamente, ITSECaborda las preocupaciones sobre la pérdida de la integridad y la disponibilidad ademásde la confidencialidad, cubriendo todos tres elementsso importante a mantener laseguridad de completeinformation así.ITSEC no depende de la noción de uno TCB, ni él requerir que los componentes dessecurity de un sistema sean isolatedwithin uno TCB.A diferencia de TCSEC, que requería cualquier systemsto cambiado sea revaluadonuevamente - sea él para versiones actualizadas de sistema operativo, las correccioneso los arreglos; los cambios de upgradesor de aplicación;, etcétera - ITSEC incluyecoveragefor manteniendo evaluación de targetsof (dedo del pie) después de que talescambios ocurren sin requiringa nueva evaluación formal.Para más información sobreITSEC (ahora en gran
parte reemplazado por los criterios del «Common», cubierto de la próxima sección), porfavor visite el sitio web de ITSEC oficial a clic de www.cesg.gov.uk/site/iacs/,then sobre elenlace labeled "Los criterios de ITSEC & «Common».". Criterios comunes Los criteriosdel «Common» representa
Código de campo cambiado
436
mayor cantidad o el esfuerzo less mundial que involucra everybodywho funcionó enTCSEC y ITSEC tanto como otros reproductores globales.En última instancia, resultsin lahabilidadPara comprar productos valorados por CC (donde CC, por supuesto, significa loscriterios del «Common»). Los criterios del «Common» definen variouslevels de laconfirmación de testingand de los securitycapabil - ities de sistemas, donde el número delnivel demuestra qué clase de prueba y la confirmación ha sido llevada a cabo. Sinembargo, es sabio observar que incluso las clasificaciones de CC más altas no equatetoUn guaranteethat tal systemsare ser totalmente seguro, nor eso son entirelydevoid devul - nerabilities o la susceptibilidad para explotar.
Reconocimiento de los criterios comunesLas advertencias y acotación al margen de descargos de responsabilidad, que undocumento dio derecho a "Arreglo sobre el reconocimiento de certificados de Criteria deCom - mon en el terreno de la seguridad de IT" fueron firmadas por representantes deorganizaciones de gov - ernment en Canadá, Francia, Alemania, el Reino Unido, y losEstados UnidosEn 1998, hacer él una norma internacional.Los objetivos del CC son a saber:
Añadir a el(la/los/las) de comprador sconfidence en la seguridadde valorado, evaluado productos de IT.
Para eliminar duplicateevaluations (entre otras cosas, esto quiere decir que si unpaís, organismo, o organizaciones de validación followsthe CC en specificsystems declasificación y configu - raciones, los otros no need repetir este trabajo en otrolugar).
Para guardar hacer las evaluaciones de seguridad y el proceso de certificaciónmás redituable y eficientes.
Para hacer las evaluaciones seguras de productsadhere de IT alos padrones altos y constantes.
A promoteevaluation, y increaseavailability de valorado, evaluadoproductos de IT.Los criterios del «Common» están disponibles en muchas ubicaciones en línea directa. Enlos Estados Unidos, el Insti - tute nacional de los padrones y la tecnología (NIST) mantieneactualizado una página web de CC en / de cc de http://csrc.nist.gov/. Visite aquí paraconseguir información sobre el versión en curso del CC (2.1 a partir de este escribir) yguid - ance on usar el CC, al mismo tiempo que mucha otra información útil yrelevante. Estructura de los criterios comun
esLos cc son divididos en tres topicalareas, de la siguiente manera (el texto completo para2.1 de versión está disponibleEn NIST en http://csrc.nist.gov/cc/CC-v2.1.html, adelantado con los enlaces a versionesmás tempranos): Intr
oducción y GeneralModel de Part 1: describe el modelo conceptsand subyacer generaluse valorar el involvedin de la seguridad de IT y qué especificar el materialfor deintroducción y explicativo útil de.It de evaluación (dedos del pie) de targetsof queaquellos poco familiarizados con el workingsof a quienes el proceso de evaluación de
Con formato: Número de columnas:1, Ancho columna nº 1: 15.24 cm
Código de campo cambiado
Código de campo cambiado
437
seguridad o lo quién necesita evitan leer y interpretar los resultados deevaluación. Requisitos de Functional de seguridad
de Part 2: describe requisitos de variousfunctional en términosDe securityaudits, la seguridad de comunicaciones el soporte criptográfico para laseguridad, usuario pro- tection de datos, la identificación y la autentificación, laadministración de seguridad, las funciones de seguridad de dedo del pie (TSFs), la utilizaciónde recurso, el acceso de sistema, y las rutas de confianza. Cubre la extensióncompleta de las funciones de seguridad como prever en el proceso de evaluación deCC, con apéndices adicionales (called anexos) de explaineach la área funcional.
438
Parte 3 Aseguramiento de la Seguridad: abarca los requerimientos de aseguramientopara TOEs in las áreas de administración de la configuración, entrega y operación,desarrollo, documentos de lineamientos, y soporte al ciclo de vida más pruebas deaseguramiento y valoraciones de vulnerabilidad. Cubre el rango completo delaseguramiento de la seguridad, revisa y protege los perfiles como fueron concebidos enlos procesos de evaluación CC, con información de los niveles de evaluación delaseguramiento (EALs) que describe como los sistemas son diseñados, revisados, yprobados.
Lo más importante de toda la información que aparece en varios documentos CC(se recomienda revisarlos), es la paquetes de evaluación del aseguramiento o nivelescomúnmente conocidos como EALs. Tabla 12.2 resume EALs del 1 al 7
Tabla 12.2 CC Niveles de Evaluación del Aseguramiento
Nivel Nivel de Aseguramiento DescripciónEAL1 Probado Funcionalmente Aplica cuando algo de confianza es
requerida en la correcta operación perodonde las amenazas a la seguridad no sonserias. De valor cuando el aseguramientoindependiente con el cuidado merecido hasido ejercitado en proteger la informaciónpersonal.
EAL2 Probado Estructuralmente Aplica cuando la entrega de la informacióndel diseño y los resultados de las pruebasestán de acuerdo con las buenas prácticascomerciales. De valor cuando losdesarrolladores o usuarios requieren debajos a moderados niveles de seguridadasegurada independientemente.Especialmente relevante cuando se evalúanlegacy systems.
EAL3 Probado y revisadometodológicamente
Aplica cuando la ingeniería de seguridadempieza en la etapa de diseño y continúa elproceso sin alteraciones substanciales. Devalor cuando desarrolladores o usuariosrequieren de niveles moderados deseguridad asegurada independientemente,incluyendo una profunda investigación deTOE y su desarrollo.
EAL4 Diseñado, probado yrevisado metodológicamente
Aplica cuando la rigurosa, positiva ingenieríade seguridad y el desarrollo de las practicascomerciales son usadas. No requiere unconocimiento, habilidades o recursossubstanciales especializados. Involucrapruebas separadas de pruebas de todas lasfunciones de seguridad de TOEs.
EAL5 Diseñado y probado semi-formalmente
Usa rigurosa ingeniería de seguridad ypracticas de desarrollo comerciales,incluyendo técnicas especializadas deingeniería de seguridad para las pruebas
439
semi-formales. Aplica cuandodesarrolladores o usuarios requieren un altonivel de seguridad aseguradaindependientemente en un enfoqueplaneado de desarrollo, seguido por unriguroso desarrollo.
EAL6 Verificado, diseñado yprobado semi-formalmente
Usa técnicas directas, rigurosas deingeniería de seguridad en todas las fasesde diseño, desarrollo y pruebas paraproducir un Premium TOE. Aplica cuandoTOEs son necesitadas en situaciones dealto riesgo, donde el valor de proteger losactivos justifica el costo adicional. Pruebasextensivas reducen el riesgo de penetración,la probabilidad de cubrir canales, y lavulnerabilidad a ataques.
EAL7 Verificado, diseñado yprobado formalmente
Usado solo en situaciones de alto riesgo odonde los activos de alto valor estánenvueltos. Limitado a TOEs donde unaajustada y focalizada funcionalidad deseguridad es sujeta a un análisis y pruebaextensivos y formales.
Para una completa descripción de EALs, consultar Capitulo 6, parte 3 de losdocumentos CC; pagina 54 es especialmente importante porque explica todos losEALs en términos de los CC criterios de aseguramiento.
Aunque los CC son flexibles y se acomodan lo suficiente para capturar las mayoresnecesidades de seguridad y requerimientos, estos no son perfectos. Como en otroscriterios de evaluación, los CC no hacen nada para asegurar como los usuarios actúansobre data que es también segura. Los CC no direccional asuntos administrativos fuerodel alcance específico de seguridad. Como con otros criterios de evaluación, los CC noincluyen evaluación in situ, no direcciona controles relacionados con personal, prácticasy procedimientos organizacionales, o seguridad física. De la misma manera, loscontroles sobre emisiones electromagnéticas no son direccionadas, ni son el criteriopara calificar la fortaleza de los algoritmos criptográficos explícitamente colocados. Sinembargo, los CC representan algunas de las mejores técnicas por las cuales lossistemas podrán ser evaluados por seguridad. Para concluir esta discusión deestándares de evaluación de seguridad, la Tabla 12.3 resume como varios ratings delTCSEC, ITSEC, y los CC pueden ser comparados.
Tabla 12.3 Comparando Estándares de Evaluación de Seguridad
TCSEC ITSEC CC DesignaciónD E0 EAL0, EAL1 Mínima/ sin protección
C1 F1+E1 EAL2 Mecanismos de seguridad discrecional
C2 F2+E2 EAL3 Protección de acceso controlado
B1 F3+E3 EAL4 Protección de seguridad etiquetada
440
B2 F4+E4 EAL5 Protección de seguridad estructurada
B3 F5+E5 EAL6 Dominios de seguridad
A1 F6+E6 EAL7 Diseño de seguridad verificado
CERTIFICACIÓN Y ACREDITACIÓN
Organizaciones que requieren que los sistemas seguros necesitan uno o más métodospara valorar cuan bien un sistema cubre sus requisitos de seguridad. El proceso deevaluación formal es dividido en dos fases, llamados certificación y acreditación. Lospasos verdaderos requeridos en cada fase dependen en los criterios de evaluación queuna organización escoja. Un candidato CISSP para debe comprender la necesidad cadafase y los criterios comúnmente usados para evaluar sistemas. Las dos fases deevaluación lo son discutidas en las próximas dos secciones, y luego presentamos variosde los criterios evaluación y las consideraciones a las que usted debe dirigirse cuándovalore la seguridad de un sistema.
El proceso de la evaluación provee una manera de valorar cuán bien un sistema está ala altura del nivel deseado de seguridad. Porque el nivel de seguridad de cada sistemadepende de muchos factores, todos deben ser tenidos en cuenta durante la evaluación.Aunque un sistema es descrito inicialmente como seguro, el proceso de instalación, elambiente físico, y la configuración general detallan toda la contribución en su verdaderaseguridad general. Dos sistemas idénticos podían ser valorados en diferentes niveles deseguridad debido a configuración o diferencias de instalación.
CERTIFICACIÓN
La primera fase en un proceso de evaluación total es la certificación. La certificación delsistema es la evaluación técnica de cada parte del sistema de computadora para valorarsu concordancia con los estándares de seguridad. Primero, usted debe escoger loscriterios de evaluación (entregaremos criterios alternativos en secciones posteriores).Una vez que usted selecciona los criterios a usar, usted analiza cada componente delsistema para determinar si o no satisface los objetivos de seguridad deseados. Elanálisis de certificación incluye probar el hardware del sistema, el software, y laconfiguración. Todos los controles son evaluados durante esta fase, incluyendocontroles administrativos, técnicos, y físicos.
Después de que usted valora el sistema entero, usted puede valorar los resultados paradeterminar el nivel de seguridad que el sistema respalda en su ambiente actual. Elambiente de un sistema es una parte crítica del análisis de certificación así que unsistema puede ser más o menos seguro dependiendo de su entorno. La manera en laque usted conecta un sistema seguro a una red puede cambiar su prestigio deseguridad. Igualmente, la seguridad física alrededor de un sistema puede afectar laclasificación de seguridad en conjunto. Usted debe considerar todos estos factorescuando certifica un sistema.
441
Usted termina la fase de certificación cuando usted ha valorado todos factores ydeterminado el nivel de la seguridad para el sistema. Recuerde que la certificación essolamente válida para un sistema en un ambiente y configuración. Cualquier cambiopodría invalidar la certificación. Una vez que usted ha certificado una clasificación deseguridad para una configuración específica, usted está listo para pedir la aprobacióndel sistema. La dirección acepta la configuración de seguridad certificada de un sistemaa través del proceso de acreditación.
ACREDITACIÓN
En la fase de certificación, usted evalúa y documenta las capacidades de seguridad deun sistema en una configuración específica. Con esta información entre manos, ladirección de una organización compara las capacidades de un sistema con lasnecesidades de la organización. Es imperativo que la política de seguridad establezcaclaramente los requisitos de un sistema de seguridad. La dirección examina lainformación de certificación y determina si el sistema satisface las necesidades deseguridad de la organización. Si la dirección decide que la certificación del sistemasatisface sus necesidades, el sistema es acreditado. La acreditación de sistema es laaprobación formal de una configuración certificada.
El proceso de la certificación y la acreditación es a menudo un proceso iterativo. En lafase de acreditación, no es poco común pedir los cambios a la configuración o a loscontroles adicionales para abordar las incumbencias de seguridad. Recuerde quesiempre que usted cambia la configuración, usted debe recertificar la nuevaconfiguración. Igualmente, usted necesita recertificar el sistema cuando un período detiempo específico transcurre o cuando usted hace cualquier cambio a la configuración.Su política de seguridad debe especificar qué condiciones requieren recertificación. Unapolítica correcta listaría la cantidad de tiempo en que una certificación es legítima almismo tiempo que cualquier cambio requeriría que usted reinicie la certificación y laproceso de acreditación.
FALLAS COMUNES Y PROBLEMAS DE SEGURIDAD
Ninguna arquitectura de seguridad está totalmente completa y asegurada. Hay defectosy las vulnerabilidades en cada sistema de computadora. El objetivo de modelos deseguridad y arquitecturas es abordar tantos defectos conocidos como sea posible. Estasección presenta algunos de los problemas de seguridad más comunes que afectan alos sistemas de computadora. Usted debe comprender cada uno de los problemas ycómo pueden degradar la seguridad en conjunto de su sistema. Algunos problemas yfallas se traslapan y son usados en las maneras creativas para atacar sistemas. Aunquela siguiente discusión cubre los defectos más comunes, la lista no es exhaustiva. Losatacantes son muy inteligentes.
Canales Encubiertos
Un canal encubierto es un método que se usa para pasar la información y que no esusado normalmente para la comunicación. Porque el camino no es usado normalmentepara la comunicación, no puede ser protegido por los controles de seguridad normalesdel sistema. Usar un canal encubierto es una manera de pasar la informaciónconfidencial inadvertidamente. Hay dos tipos básicos de los canales encubiertos:
Canal de Timing Encubierto, transporta la información modificando elrendimiento de un componente de sistema o modificar el timing de un recurso en una
Con formato: Sangría: Izquierda:-0.63 cm, Con viñetas + Nivel: 1 +Alineación: 0.63 cm + Tabulacióndespués de: 1.27 cm + Sangría: 1.27cm
442
manera predecible. Usar un canal de timing encubierto es en general un método mássofisticado de pasar los datos encubiertamente y es muy difícil de detectar.
Canal de Storage encubierto transporta la información escribiendo los datos auna área de Storage común donde otro proceso puede leerlo. Sea diligente paracualquier proceso sobre el que eso escribe en cualquier área de memoria que otroproceso puede leer.
Ambos tipos de canales encubiertos dependen del uso de las técnica de comunicaciónpara cambiar la información con asignaturas autorizadas. Porque la naturaleza del canalencubierto es que es inusual y fuera del ambiente de transferencia de datos normal,detectarlo puede ser difícil. La mejor defensa es implementar la auditoria y analizararchivos de registro para cualquier actividad de canal encubierta.
El nivel más bajo de la garantía que aborda canales encubiertos es B2 (F4 + E4 paraITSEC, EAL5 para CC). Todos niveles en o encima de B2 de nivel deben contenercontroles que detectan y prohíben canales encubiertos.
Ataca basados en Diseño O Defectos De Codificación Y Problemas Seguridad
Los ciertos ataques podrían resultar de pobres técnicas de diseño, cuestionableimplementación de prácticas y procedimientos o pobres o inadecuadas pruebas.Algunos ataques podrían resultar de las decisiones de diseño deliberadas cuandopuntos especiales de la entrada se desarrollaron en el código para evitar controles deacceso, el registro de entrada, u otra revisión de seguridad frecuentemente añaden alcódigo mientras esta bajo desarrollo y no es removido cuando el código es puesto enproducción. Lo que se espera por obvias razones, tales puntos del egreso son llamadospuertas traseras porque evitan las medidas de seguridad por el diseño (están cubiertosde una sección posterior en este capítulo, dar derecho "Ganchos de mantenimiento yprogramas privilegiados") apropiadamente. Prueba extensiva y evaluación de clave sonexigidas revelar tales medios encubiertos del acceso, que son increíblemente fácil dequitar durante las fases finales del desarrollo pero pueden ser increíblemente difícil dedetectar durante las fases de prueba o mantenimiento.
Aunque la prueba de funcionalidad es común para el código comercial y aplicaciones,pruebas separadas para problemas de seguridad han ido ganando la atención y lacredibilidad en los últimos años, cortesía de virus extensamente divulgados y ataquesde gusano y ocasional daños en interrupciones para sitios públicos ampliamenteusados en línea directa solamente. En las secciones que siguen, cubrimos fuentescomunes del ataque o la vulnerabilidad de seguridad que puede ser atribuida a fracasosen el diseño, la puesta en funcionamiento, la limpieza a fondo de clave de versión beta,o las faltas de codificación out-and-out. Mientras evitable, encontrar y arreglar talesdefectos requieren riguroso el diseño seguridad desde el inicio de un proyecto dedesarrollo y adicional tiempo y esfuerzo gastado en la prueba y el análisis. Mientras esteayuda explicar el estado a menudo lamentable de la seguridad de software, ¡no lodisculpa!
Inicialización y Estados de Fallas
Cuando un sistema sin preparar deja de funcionar y se recupera posteriormente, dosoportunidades de comprometer sus controles de seguridad podrían aparecer duranteese proceso. Muchos sistemas descargan controles de seguridad como parte de susprocedimientos de apagado. La recuperación de confianza asegura que todos controlesse quedan intactos en caso de una caída. Durante una recuperación de confianza, el
Con formato: Sangría: Izquierda:-0.63 cm, Con viñetas + Nivel: 1 +Alineación: 0.63 cm + Tabulacióndespués de: 1.27 cm + Sangría: 1.27cm
443
sistema asegura que no hay ninguna oportunidad para el acceso ocurrir cuando loscontrol de seguridad son desactivados. Incluso la fase de recuperación funciona contodos controles intactos.
Por ejemplo, suponga que un sistema falla mientras una transacción de base de datosestá escribiendo en el disco para una base de datos clasificada como secreto. Unsistema sin protección podría permitir que un usuario no autorizado acceda a eses datostemporales antes de que llegue a escribir en el disco. Un sistema que respalda larecuperación de confianza asegura que ninguna infracción de confidencialidad de datosocurra, incluso durante el choque. Este proceso requiere la planificación cuidadosa y losprocedimientos detallados para fracasos de sistema de manejo. Aunque losprocedimientos de recuperación automatizada pueden hacer una parte de larecuperación entera la intervención manual todavía puede ser requerida. Obviamente, sital movimiento manual es necesitado la identificación apropiada y la autentificación parapersonal que lleva a cabo la recuperación son igual esencial.
Ingreso y Revisión de Parámetros
Una de las infracciones de seguridad más conocidas es llamada buffer overflow. Estainfracción ocurre cuando los programadores dejan de validar los datos de entradasuficientemente, particularmente cuando no impongan un límite sobre la cantidad de losdatos que su software aceptará como la entrada. Porque tales datos son guardados enbuffer de entrada generalmente, cuando el tamaño máximo normal del buffer esexcedido, los datos adicionales son llamados overflow. Por lo tanto, el tipo del ataqueque da como resultado cuando alguien intenta proporcionar instrucciones maliciosas oclave como parte de la entrada de programa es llamado un buffer overflow.Desafortunadamente, en muchos sistemas tales datos de exceso son ejecutadodirectamente por el sistema bajo ataque a menudo en uno alto lnivel de inmunidad o encualquier el nivel de inmunidad fija al proceso aceptando tal entrada. Para casi todas lasclases de sistemas operativos, incluyendo el Windows, el Unix, el Linux, y los otros, losbuffer overflow desenmascaran algunas de las oportunidades más brillantes y profundaspor acuerdo y ataque de cualquier tipo de conocida vulnerabilidad de seguridad.
La parte responsable de una vulnerabilidad de exceso de amortiguador es siempre elprogramador que escribió la clave delinquiendo. La diligencia merecida deprogramadores puede erradicar los buffer overflow completamente, pero solamente silos programadores verifican toda entrada y parámetros antes de guardarlos en cualquierestructura de datos (y limitar cuánto pueden ser ofrecidos como la entrada los datos). Lavalidación de datos correcta es la única manera de eliminar con rebosaderos deamortiguador. Por lo demás, el descubrimiento de los buffer overflow resulta en undibujo familiar de las actualizaciones de seguridad críticas que debe ser aplicada asistemas afectados y cerrar el punto del ataque.
Revisando código para Buffer Overflows
A comienzos de 2002, Bill Gates actuó como el portavoz de Microsoft arquetípico ensu papel tradicional cuando anunció algo que llamó la "Iniciativa de computación dignade confianza", a series de cambios de filosofía de diseño pensaron fortalecer el amenudo cuestionable soportando de los sistemas operativos y las aplicaciones deMicrosoft caundo veía de una perspectiva de seguridad. Cuando el debate sobre estetema continuó a través de 2002 y 2003, el tema de buffer overflow existiórepetidamente (más a menudo, a decir verdad, que boletines de seguridad deMicrosoft informaron que los defectos de seguridad relacionados con esta clase delproblema, que está entre el más serio aún más frecuentemente informaron sobre tiposde los errores de programación con las implicancias de seguridad). Como es el caso
444
para muchas otras organizaciones de desarrollo y también para los constructores deambientes de desarrollo de software (las herramientas de software que losdesarrolladores usan para crear el otro software) el incrementado conocimiento de lashazañas de exceso de amortiguador ha causado los cambios en muchas etapasdurante el proceso de desarrollo:
Los diseñadores deben especificar límites para los datos de entrada o decirvalores de entrada aceptables y poner límites difíciles sobre cuánto serán aceptados,descompuesto gramaticalmente, y manejado cuando la contribución es pedida losdatos.
Los desarrolladores deben seguir a tales limitaciones cuando desarrollan la claveque pide, acepta, y maneja el ingreso.
Los examinadores deben verificar para asegurarse de que rebosaderos deamortiguador no puedan ocurrir y intentar evitar o evitar ajustes de seguridad cuandola prueba introdujo la clave de manejo.
En sus secretos de libro & mentiras, notado seguridad Bruce Schneier experto deinformación hace un gran caso de que la prueba de seguridad es a decir verdad muydiferente de las actividades de prueba usuales como la prueba de unidad, la pruebade módulo, la prueba de aprobación, y la garantía de la calidad verifica que lascompañías de software han funcionado con regularidad como parte de el proceso dedesarrollo por los años y años. Lo que no está todavía no claro en Microsoft (y enotras compañías de desarrollo también, de ser tan justo al coloso de Redmond aspossible) es si este cambio en el diseño y filosofía de prueba se comparan con el tipoadecuado de rigor necesario para frustrar todos buffer overflows o los no los (un pocode los hoyos de seguridad más serios que los informes de Microsoft en a comienzosde 2004 evidentemente invocan "buffers overruns" o “buffers sobrecostos”).
Ganchos de Mantenimiento y Programas Privilegiados
Los ganchos de mantenimiento son los puntos de entrada respecto a un sistema queson conocidos solamente por el desarrollador del sistema. Tales puntos de entradatambién son llamados puertas traseras. Aunque la existencia de ganchos demantenimiento es una infracción clara de la política de seguridad, todavía emergen enmuchos sistemas. El propósito original de puertas traseras fue proveer el accesogarantizado para el sistema para las razones de mantenimiento o si el acceso regularestuviera sin querer inhabilitado. El problema es que en este tipo de acceso evita todoscontroles de seguridad y suministra el acceso libre para alguien que sabe que laspuertas traseras existen. Es imperativo que usted prohíba tal entrada explícitamentepuntos y monitorea sus diarios de auditoria para revelar cualquier actividad que puededemostrar el administrador acceso no autorizado.Otra vulnerabilidad de sistema común es la práctica de ejecutar un programa cuyo nivelde seguridad es elevado durante la ejecución. Tales programas deben ser escritoscuidadosamente y evaluado así que no admiten salida y/o puntos de entrada quedejarían un tema con una clasificación de seguridad más alta. Asegure que todosprogramas que funcionan en un nivel de seguridad alto son asequibles solamente ausuarios apropiados y que están acostumbrados contra el mal uso.
Ataques Incrementales
Algunas formas del ataque ocurren en incrementos lentos, en vez de graduales a travésde los intentos obvios o identificables de comprometer la seguridad de sistema o laintegridad. Tales formas del ataque son llamadas “data didling” y el “ataque de salame”.“Data didling” ocurre cuando un atacante adquiere el acceso para un sistema y hace loscambios pequeños y aleatorios, o incrementales para los datos, obviamente modifican el
445
contenido de archivo o dañando o eliminar archivos enteros. Tales cambios pueden serdifíciles detectar a menos que los archivos y datos son protegidos por la encriptación oalgún tipo de revisión de integridad (como una suma de control o compendio demensaje) es llevado a cabo con regularidad y aplicado cada vez que un archivo es leídoo escrito. Los sistemas de ficheros cifrados, las técnica de encriptación de archivo -nivel, o un poco de forma de la observación de archivo (que incluye revisiones deintegridad como ésos efectuados por aplicaciones como TripWire) brindan garantíassuficientes de que ningún “data didling” esté generalmente en marcha.
El ataque de salame es más apócrifo, por todos informes publicados. El nombre delataque refiere a uno a hacer tallas en posesiones en cuentas o otros registros con elvalor sistemático financiero, donde las cantidades muy pequeñas son deducidas derestos con regularidad y con regularidad. Metafóricamente, el ataque puede serexplicado como robar una rebanada muy fina de un salame cada vez que es puestosobre la máquina cortando cuando está estando accedido por uno pagar a cliente. Enrealidad, aunque ningún ejemplo documentado de tal ataque está disponible, la mayoríade los expertos de seguridad reconocen que los ataques de salame son posibles,especialmente cuando miembros organizativos podían estar involucrados. Solamentepor la separación correcta de los servicios y el control correctos sobre la clave lasorganizaciones pueden lo impedir totalmente o eliminar tal ataque. Configurar quemonitores de transacción financieros estén al día con los traslados muy pequeños dereservas o otros artículos del valor debe ayudar detectar tal actividad; la notificación alempleado de la práctica regular debe ayudar no fomentar los intentos en tales ataques.
Programación
Ya hemos mencionado la falla más grande en la programación. El exceso de bufferviene del programador dejar de verificar el formato y/o el tamaño de los datos deentrada. Hay otras fallas potenciales con programas. Cualquier programa que nomaneja excepción elegantemente es en peligro de se retirar en un estado inestable. Esposible estrellar un programa después de que ha incrementado su nivel de seguridad dellevar una tarea normal ingeniosamente. Si un atacante es exitoso en estrellar elprograma a la vez correcto, pueden conseguir el nivel de seguridad más alto y causar eldaño para la confidencialidad, la integridad, y disponibilidad de su sistema.
Todos programas que son ejecutados directamente o indirectamente deben ser puestosa prueba completamente para obedecer su modelo de seguridad. Asegúrese de queusted tenga el más reciente versión de cualquier software instalado y sea consciente dealguno conocidas vulnerabilidades de seguridad. Porque cada modelo de seguridad, ycada política de seguridad, son diferentes, usted debe asegurar que el software queusted ejecuta no supera la autoridad a quien usted admite. Escribir código seguro esdifícil, pero es indudablemente posible. Asegúrese de que todos programas que ustedusa sean diseñados abordar las incumbencias de seguridad.
Timing, Establecer Cambios, y Desconexiones de Comunicación
Los sistemas de computadora llevan a cabo las tareas con la precisión rígida. Lascomputadoras se destacan en las tareas repetibles.Los atacantes pueden desarrollar los ataques sobre la base de la previsibilidad de laejecución de tarea. La secuencia común de los eventos para un algoritmo es verificarque un recurso está disponible y luego accederle si usted es permitido. El tiempo - de -revisión (TOC: time-of-checking) es la época en la que el sujeto controla el estado delobjeto. Puede haber algunas decisiones para hacer antes de regresar al objeto paraaccederle. Cuando la decisión es tomada para acceder al objeto, el procedimiento leaccede en el - de tiempo de uso (TOU: time-of-use). La diferencia entre el TOC y el TOU
446
es a veces que un atacante reemplaza el objeto original con otro objeto que va bien queellos mismos necesitan lo suficientemente grande. Los ataques de tiempo - de - revisión- para – tiempo - de - uso (TOCTTOU) son llamados las condiciones de la competenciaa menudo porque el atacante está compitiendo con el proceso legítimo de reemplazar elobjeto antes de que sea usado.
Un ejemplo clásico de un ataque de TOCTTOU está reemplazando un archivo de datosdespués de que su identidad ha sido verificada pero antes de que los datos esténleídos. Reemplazando uno del que los datos auténticos archivan con otro archivo de laelección y diseño del atacante, un atacante puede dirigir las acciones de un programapotencialmente en muchos sentidos. Por supuesto, el atacante tendría que tenerconocimientos a profundidad del programa y el sistema bajo ataque.
Igual, los atacantes pueden intentar tomar la acción entre dos conocidos estadosfederales estado de un recurso o el sistema entero cambia. Desconecta la comunicacióntambién proveen ventanas pequeñas que un atacante podría tratar de explotar. Encualquier momento una revisión de estado de un recurso precede al movimiento sobreel recurso, una ventana de la oportunidad existe para un ataque potencial en el intervalobreve entre el cheque y el movimiento. Estos ataques deben ser direccionados en supolítica de seguridad y en su modelo de seguridad.
Radiación electromagnética
Simplemente porque las clases de componentes electrónicos de los que sondesarrollados, muchos dispositivos de hardware de computadora emiten la radiaciónelectromagnética durante la operación normal. El proceso de se comunicar con otrasmáquinas o equipo de dispositivo periférico crea emanaciones que pueden serinterceptadas. Es ni siquiera posible recrear la entrada de teclado o monitorear elproducto interceptando y procesar la radiación electromagnética del teclado y el monitorde computadora. Usted también puede detectar y leer paquetes de la red pasivamente(es decir sin tapping en el cable en realidad) cuando pasan un segmento de la red.Estas fugas de emanación pueden causar los asuntos de seguridad serios pero ser engeneral fácil abordar.La más fácil manera eliminar la interceptación de radiación electromagnética es reducirla emanación a través de cable proteger o conducto y impedir personal no autorizados ydispositivos se poner demasiado cerca del equipo o cablegrafiar poniendo controles deseguridad físicos. Reduciendo la fuerza de señal e incrementar el amortiguador físicoalrededor de equipo delicado, usted puede reducir el riesgo de la interceptación de señaldramáticamente.
Resumen
Los sistemas seguros no son sólo montar. Son diseñados respaldar la seguridad.Sistemas que deben ser seguros son juzgados para su habilidad de respaldar y hacercumplir la política de seguridad. Este proceso de valorar la eficacia de un sistema decomputadora es llamado la certificación. El proceso de certificación es la evaluacióntécnica de la habilidad de un sistema de satisfacer sus objetivos de diseño. En cuantoun sistema ha pasado la evaluación técnica satisfactoriamente, la dirección de unaorganización empieza la aprobación formal del sistema. El proceso de aprobación formales llamado la acreditación.
La certificación entera y el proceso de acreditación dependen de los criterios deevaluación usuales. Algunos criterios existen para valorar sistemas de seguridad decomputadora. Los criterios más tempranos, TCSEC, fue desarrollado por los EE.UU..
447
Ministerio de Defensa. TCSEC, también llamados el libro de Orange, provee los criteriospara valorar la funcionalidad y la garantía de los componentes de seguridad de unsistema. ITSEC es una alternativa a las pautas de TCSEC y es usado más a menudo enpaíses europeos. Sin considerar qué criterios usa usted, el proceso de evaluaciónincluye examinar cada control de seguridad para el acatamiento con la política deseguridad. El mejor un sistema impone el buen comportamiento del acceso para objetosde asignaturas, el más alto la clasificación de seguridad.
Cuando los sistemas de seguridad son diseñados, es a menudo provechoso crear unmodelo de seguridad para representar los métodos que el sistema usará paraimplementar la política de seguridad. Hablamos de tres modelos de seguridad en estecapítulo. El modelo más temprano, el modelo Bell - La Padula, respalda laconfidencialidad de datos solamente. Fue diseñado para los ejércitos y satisface lasincumbencias militares. El modelo de Biba y el modelo de Clark - Wilson abordan laintegridad de los datos y lo hacen en las maneras diferentes. Los dos modelos deseguridad últimos son apropiados para las aplicaciones de comercial.
No importa cuan sofisticado un modelo de seguridad es, los defectos existir que losatacantes pueden explotar. Algunos defectos, como rebosaderos de amortiguador yganchos de mantenimiento, son presentados por programadores, mientras que losotros, como canales encubiertos, son los asuntos de diseño arquitectónicos. Esimportante comprender el impacto de tales asuntos y modificar la arquitectura deseguridad cuando es apropiado compensar.
Elementos esenciales de examen
Saber las definiciones de la certificación y la acreditación. La certificación es laevaluación técnica de cada parte de un sistema de computadora de tasar suconcordancia con los padrones de seguridad. La acreditación es el proceso de laaprobación formal de una configuración certificada.
Poder describir sistemas abiertos y cerrados. Los sistemas abiertos son diseñadosusando estándares de la industria y son generalmente fáciles de integrar con otrossistemas abiertos. Los sistemas cerrados son en general equipo físico reservados y/osoftware. Sus especificaciones no son divulgadas normalmente y son generalmente másdifíciles de integrar con otros sistemas.
Saber lo que el confinamiento, los límites, y el aislamiento son. El confinamientorestringe un proceso a leer de y escribir ciertas ubicaciones de memoria. Los límites sonlos límites de la memoria que un proceso no puede sobrepasar cuando se lee o escribi.El aislamiento es el modo en el que un proceso corre cuando es limitado a través deluso de límites de memoria.
Poder definir objeto y tema en relación con el acceso. El tema de un acceso es elusuario o el proceso que hace una solicitud para acceder a un recurso. El centro de unasolicitud de acceso es el recurso al que un usuario o el proceso desean acceder.
Saber cómo trabajan los controles de seguridad y qué hacen. Los controles deseguridad use que reglas de acceso limiten el acceso por un tema a un objeto.
Describir IPSec. IPSec es una base de arquitectura de seguridad que respalda lacomunicación segura sobre IP. IPSec funda un canal seguro en cualquier modo detransporte o modo de túnel. Puede ser use establecer la comunicación directa entrecomputadoras o poner uno VPN entre redes. Los usos de IPSec dos protocolos: Headerde autentificación (AH) y condensar la seguridad Payload (ESP).
448
Listar las clases de TCSEC, ITSEC, y los criterios Comunes. Las clases de TCSECincluyen A: la protección verificada; B: la protección obligatoria; C: la proteccióndiscrecional y D: la protección mínima. El Cuadro 12.3 cubre y compara clasificaciónequivalente y aplicable para TCSEC, ITSEC, y el CC (recuerde que clasificaciones defuncionalidad de tecla F7 a tecla F10 en ITSEC no tienen ninguna clasificacióncorrespondiente en TCSEC).
Definir una base de computación de confianza (TCB). Uno TCB es la combinación deequipo físico, software, y controles que moldean una base de confianza que impone lapolítica de seguridad.
Poder explicar qué es un perímetro de seguridad. Un perímetro de seguridad es el límiteimaginario que separa el TCB de el resto del sistema. Los componentes de TCB secomunican con componentes non- TCB usando rutas de confianza.
Saber lo que el monitor de referencia y el núcleo de seguridad son. El monitor dereferencia es la parte lógica del TCB que confirma si un tema tiene el derecho de usarun recurso antes de conceder el acceso. El núcleo de seguridad es la colección de loscomponentes de TCB que implementan la funcionalidad del monitor de referencia.
Describir el modelo Bell - La Padula de seguridad. El Bell - La Padula modelo deseguridad fue desarrollado en los 1970s para abordar preocupaciones militares sobre elacceso no autorizado para los datos confidenciales. Es basado en un modelo demáquina de estado federal y asegura la confidencialidad de los datos protegidos.
Describir el modelo de integridad de Biba. El modelo de integridad de Biba fue diseñadoasegurar la integridad de los datos. Es muy similar al modelo Bell - La Padula, pero suspropiedades aseguran que los datos no son corruptos por sujetos que acceden aobjetos en niveles de seguridad diferentes.
Describir el modelo de seguridad de Clark - Wilson. El modelo de seguridad de Clark -Wilson asegura la integridad de datos cuando el modelo de Biba lo hace, pero lo haceusando un enfoque diferente. En lugar de ser basado en una computadora de estadofederal, el modelo de Clark - Wilson use que las restricciones de acceso de objetopermitan que solamente programas específicos modifiquen objetos. Clark - Wilsontambién hace cumplir la separación de los servicios, que protege la integridad de datosmás lejos.
Poder explicar qué son los canales encubiertos. Un canal encubierto es cualquiermétodo que es use pasar la información pero eso no es usado para la informaciónnormalmente.
Comprender qué son los buffer overflow e input de comprobación. Un buffer overflowocurre cuando el programador deja de verificar el tamaño de los datos de entrada antesde escribir los datos en una ubicación de memoria específica. A decir verdad, cualquierfracaso de validar los datos de contribución podía resultar en una infracción deseguridad.
Describir las fallas comunes a las arquitecturas de seguridad. Además de rebosaderosde amortiguador, los programadores pueden dejar puertas traseras y programasprivilegiados en un sistema después de que es desplegado. Incluso sistemas bienescritos pueden ser propensos al tiempo - de - revisión - para – tiempo - de - use(TOCTTOU) ataca. Cualquier estado para el que el cambio podía ser una ventanapotencial de la oportunidad para un atacante comprometa un sistema.
449
450
Preguntas de evaluación
1. ¿Qué es la certificación de sistema?
A. Aprobación formal de una configuración de sistema dichaB. Una evaluación técnica de cada parte de un sistema de computadora con el que tasarsu acatamiento estándares de seguridadC. Una evaluación funcional de los objetivos para cada equipo físico y software delfabricante El componente cubre los estándares de integraciónD. El certificado de un fabricante debe decir que todos componentes estuvieroninstalado y configurados correctamente
2. ¿Qué es la acreditación de sistema?
A. Aprobación formal de dicha configuración de sistemaB. Una evaluación funcional de los objetivos para cada equipo físico y software delfabricante. El componente cubre los estándares de integraciónC. Aprobación de los resultados de prueba que prueban que el sistema de computadoraimpone la política de seguridadD. El proceso de especificar la comunicación segura entre máquinas
3. ¿Qué es un sistema cerrado?
A. Un sistema diseñar alrededor de los, padrones finales, o cerradosB. Un sistema que incluye los estándares de la industriaC. Un sistema reservado que usa protocolos inéditosD. Cualquier computadora que no opera el Windows
4. ¿Cuál describe un proceso limitado mejor?
A. Un proceso que puede correr solamente por una vez limitadaB. Un proceso que puede correr solamente durante ciertas veces del díaC. Un proceso que puede acceder a solamente ciertas ubicaciones de memoriaD. Un proceso al que los controles acceden a un objeto
5. ¿Qué es un objeto de acceso?
A. Un recurso un usuario o los deseos de proceso de accederB. Un usuario o el proceso que desea acceder a un recursoC. Una lista de reglas de acceso eficacesD. La secuencia de tipos de acceso legítimos
6. ¿Qué es un control de seguridad?
A. Un componente de seguridad que almacena los atributos que describen un objetoB. Un documento que pone en una lista todos tipos de clasificación de datosC. Una lista de reglas de acceso eficacesD. Un mecanismo que limita el acceso a un objeto
7. ¿Qué define IPSec?
A. Todas clasificaciones de seguridad posibles para una configuración específicaB. Una base para poner un canal de comunicación seguroC. Los estados federales de transición legítimos en el modelo de BibaD. Categorías de seguridad de TCSEC
451
8. ¿Cuántas categorías muy importantes definen los criterios de TCSEC?
A. DosB. TresC. CuatroD. Cinco
9. ¿Qué es una base de computación de confianza (TCB)?
A. Anfitriones en su red que respaldan las transmisiones segurasB. El núcleo de sistema operativo y las unidades de dispositivoC. La combinación de equipo físico, el software, y los controles que trabajan en conjuntopara hacer cumplir una Política de seguridadD. El software y los controles que certifican una política de seguridad
10. ¿Qué es un perímetro de seguridad? (Escoja todos que solicitan.)
A. El límite del área físicamente segura en el entorno de su sistemaB. El límite imaginario que separa el TCB del resto del sistemaC. La red donde su cortafuego resideD. Cualquier conexión para su sistema de computadora
11. ¿Qué parte del TCB valida el acceso para cada recurso antes de conceder el accesopedido?
A. Partición de TCBB. Biblioteca de confianzaC. Monitor de referenciaD. Grano de seguridad
12. ¿Qué es la mejor definición de un modelo de seguridad?
A. Unas políticas de estados del modelo de seguridad una organización deben seguir.B. Un modelo de seguridad provee una base para implementar una política deseguridad.C. Un modelo de seguridad es una evaluación técnica de cada parte de un sistema decomputadora para tasarSu concordancia con los padrones de seguridad.D. Un modelo de seguridad es el proceso de la aprobación formal de una configuracióncertificada.
13. ¿Qué modelos de seguridad son basados en un modelo de máquina de estadofederal?
A. Bell - La Padula y toma - GrantB. Biba y Clark - WilsonC. Clark - Wilson y Bell - LaPadulaD. Bell - La Padula y Biba
14. ¿Qué confidencialidad de datos de dirección (es) de modelo (s) de seguridad?
A. Bell - LaPadulaB. BibaC. Clark - Wilson
452
D. Tanta A como B
15. Que Bell - La Padula propiedad guarda sujetos a menor nivel acceder a objetos conde uno más alto¿El nivel de seguridad?
A. * (La estrella) propiedad de seguridadB. Ninguna propiedad de escritura upC. Ninguna propiedad de lectura upD. No leer down propiedad
16. ¿Qué es un canal encubierto?
A. Un método que es use pasar la información y que no es usado para la comunicaciónnormalmenteB. Cualquier comunicación solía transmitir los datos confidenciales o secretosC. Una ruta de confianza entre el TCB y el resto del sistemaD. Cualquier canal que cruza el perímetro de seguridad
17. ¿Qué término describe un punto de entrada del que solamente el desarrollador estáal tanto en un sistema?
A. Gancho de mantenimientoB. Canal encubiertoC. Exceso de amortiguadorD. Confió en la ruta
18. ¿Qué es el tiempo - de - cheque?
A. La longitud del tiempo en que toma un tema de verificar el estado de un objetoB. La época en la que el sujeto controla el estado del objetoC. La época en la que un tema accede a un objetoD. La época entre verificar y acceder a un objeto
19. ¿Cómo puede ser use comprometer un sistema la radiación electromagnética?
A. La radiación electromagnética puede ser grande para afectar la operación decomputadora.B. La radiación electromagnética hace algunos protocolos inoperables.C. La radiación electromagnética puede ser interceptado.D. La radiación electromagnética es necesaria para un poco de protección de protocolode comunicación de Trama para trabajar.
20. ¿Qué es la falla de seguridad generada por programador más común?
A. Vulnerabilidad de TOCTTOUB. Exceso de amortiguadorC. Cheques de control inadecuadosD. Autentificación de entrada en el sistema impropia
453
Respuestas a las preguntas de evaluación
1. B. Una certificación de sistema es una evaluación técnica. A de opción describe laacreditación de sistema. C de opciones y D se refieren a los niveles de calidad delfabricante, no los niveles de calidad de puesta en práctica.
2. A. La acreditación es el proceso de aprobación formal. B de opción no es unarespuesta apropiada porque aborda los estándares del fabricante. C de opciones y Dson incorrectos porque hay no la manera para demostrar que una configuración imponeque una política de seguridad y la acreditación no implican asegure la especificación decomunicación.
3. C. Un sistema cerrado es uno que usa en gran parte de dueño y señor o inéditosprotocolos y padrones. A de opciones y D no describen ningún sistema especiales, y Bde opción describe un sistema abierto.
4. C. Un proceso incómodo es uno que puede acceder a solamente ciertas ubicacionesde memoria. A de opciones, B, Y D no describa un proceso incómodo.
5. A. Un objeto es un recurso un usuario o los deseos de proceso de acceder. A deopción describe un objeto de acceso.
6. D. Un control limita el acceso a un objeto para protegerlo del mal uso de usuarios noautorizados.
7. B. IPSec es un protocolo de seguridad al que eso define un marco para poner uncanal seguro cambie la información entre dos entidades.
8. C. TCSEC define cuatro categorías muy importantes: A de categoría es la protecciónverificada, B de categoría lo es Protección obligatoria, C de categoría es la proteccióndiscrecional, y D de categoría es mínimo Protección.
9. C. El TCB es la parte de su sistema en el que usted puede confiar para respaldar yhacer cumplir su política de seguridad.
10. A, B.. Aunque la respuesta más correcta en el contexto de este capítulo es B, A deopción también es uno correcto Responda en el contexto de la seguridad física.
11. C. A de opciones y B no son componentes de TCB legítimos. D de opción, el granode seguridad, es la colección De componentes de TCB que trabajan en conjuntoimplementar las funciones de monitor de referencia.
12. B. B de opción es la única alternativa que define un modelo de seguridadcorrectamente. A de opciones, C, y D define parte de una política de seguridad y lacertificación y el proceso de acreditación.
13. D. Los Bell - La Padula y Biba modelos son basados en el modelo de máquina deestado federal.14. A. Solamente el Bell - La Padula modelo aborda la confidencialidad de datos. Losotros modelos datos de dirección Integridad.
15. C. El no leyó arriba que propiedad, también llamados la política de seguridad simple,prohíbe los temas de leer un objeto de nivel de seguridad más alto.
454
16. A. Un canal encubierto es cualquier método que es use pasar los datos en secreto yeso no es usado normalmente para la comunicación. Todos de las otras opcionesdescriben vías de comunicación normales.
17. A. Un punto de entrada del que solamente el desarrollador está al tanto en unsistema es un gancho de mantenimiento, o puerta trasera.
18. B. B de opción define el tiempo - de - cheque (TOC), que lo son la época en que unsujeto verifica el estado de un objeto.
19. C. Si un receptor está en proximidades íntimo lo suficientemente a un origen deradiación electromagnético, puede serlo interceptar.
20. B. Con mucho, el rebosadero de amortiguador es más común, y más evitable,programador generarVulnerabilidad.
455
CAPITULA 13Gestión Administrativa
Este capitulo incluye los tópicos que cubren el Examen CISSP
Conceptos de Seguridad de OperacionesManejo de medio de informaciónTipos de controles de seguridadControles de Seguridad de Operaciones
Con formato: Fuente: 14 pto, Negrita
456
Todas las compañías deben tener en cuenta los problemas susceptibles de operación
que pueden tener día a día como brechas en seguridad. El personal de administración
es una forma de control administrativo, o de gestión de la administración, y es un factor
importante en el mantenimiento de las operaciones de seguridad. Claramente definen
personal administrativo estos incluyen las mejores practicas en sus políticas de
seguridad y subsecuentemente una estructura formalizada de los documentos de
seguridad (estándares, guías, y procedimientos).
El tópico de gestión de antivirus y seguridad de operaciones están relacionadas a la
gestión del personal porque la gestión del personal puede afectar directamente la
seguridad de las operaciones diarias. Estos están incluidos en el dominio de
operaciones de seguridad del cuerpo común del conocimiento (CBK), para el examen
de certificación CISSP, que trata temas de tópicos y problemas relativos al
mantenimiento y el establecimiento del ambiente de seguridad de TI. Las operaciones
de seguridad son concernientes con mantenimiento de la infraestructura de TI, que han
sido designadas y desplegadas y envueltas usando controles de hardware, medios de
control, y control de usuarios que están designados a proteger a los activos contra las
amenazas.
Este dominio es discutido en este capitulo y en los siguientes capítulos futuros (capitulo
14, “Auditoria y Monitorización”). Es seguro que al leer y estudiar ambos capítulos se
cubre la esencia de los antivirus y material de operaciones para el examen de
certificación CISSP.
GESTION DE ANTIVIRUS
Los virus son la forma más común de brecha de seguridad en IT en el mundo. Cualquier
medio de comunicación puede ser explotada como un mecanismo de descubrimiento
para un virus u otro código malicioso. Los virus están distribuidos vía e-mail (las formas
más comunes), sitios web, documentos, aun en software comercial. La gestión de
antivirus es el diseño, despliegue y mantenimiento de una solución de antivirus para tu
ambiente de IT.
457
Si los usuarios están permitidos para instalar y ejecutar software sin restricciones, luego
la infraestructura de IT es más vulnerable a virus informático. Para proveer un ambiente
libre de virus, tu debes asegurar que el software sea controlado. Todos los nuevos
software deben ser fuertemente probados y escaneados antes de distribuirse en en la
red. Aunque el software comercial siempre tienen presencia de virus.
Los usuarios deben estar entrenados en habilidades de computación segura,
especialmente si ellos están permitidos acceder a Internet tienen cualquier forma de
correo electrónico. En áreas donde el control técnico no puede prevenir infección de
virus, los usuarios deben ser entrenados para prevenirlos. El entrenamiento de los
usuarios debe incluir información acerca de la manipulación de los archivos adjuntos o
descargas de orígenes desconocidos, y archivos adjuntos no solicitados de orígenes
conocidos. Los usuarios deben saber que nunca se prueba un ejecutable cuando los
reciban sin solicitud. Todas las instancias de software sospechoso deben ser reportadas
inmediatamente al administrador de seguridad.
El software antivirus debe ser desplegado en múltiples niveles de la red. Todo el trafico
incluyendo, la red interna, la entrada y la salida debe ser escaneada contra virus. Una
herramienta para escanear virus debe estar presente en todos los puntos de conexión,
en todos los servidores y en todos los clientes. Productos instalados por diferentes
proveedores en cualquier de esta tres áreas podrá proveer mucha una fuerte prueba de
escaneo contra estos virus.
Nota: Nunca instalar más de una herramienta para escanear antivirus en un solo
sistema. esto podría causar una irrecobrable falla en el sistema en algunos casos.
Esfuerzo de tener 100 % libre de virus nuestros servidores y 100% libre de virus
nuestros backups. Para lograr esto, tú debes escanear siempre cada bit de datos
después de permitir la entrada de estos al disco de almacenamiento del servidor para el
procesamiento. Para lograr esto también, tú debes escanear todo el bit de datos
después de almacenar esta información sobre los medios de backup. Teniendo un
sistema libre de virus y backups libre de virus, podrás estar habilitado para recobrarte
de una infección de virus en un tiempo rápido de una manera eficiente.
En adición de usar múltiples niveles o círculos de estrategia de antivirus concentrado, tu
puedes mantener el sistema en perfectas condiciones. Un concentrado circulo de
estrategia es básicamente consiste de múltiples capas de antivirus escaneando por todo
el ambiente para asegurar que todo los datos y backups estén libres de virus.
Actualizaciones regulares de antivirus y definiciones de la base de datos deben ser
realizados. Sin embargo la distribución de las actualizaciones debe ocurrir solo después
458
de que estas actualizaciones se hayan verificado. Es posible que una lista de virus y
actualizaciones dañen el sistema.
Estar al tanto de las listas de interés, boletines de noticias de los sitios de los
vendedores. Cuando una nueva epidemia de virus explota, tener apropiadas acciones,
es apropiado el cierre del servicio de correo o la conectividad hacia Internet, hasta que
una solución este disponible.
459
CONCEPTOS DE SEGURIDAD DE OPERACIONES
El dominio de seguridad de operaciones es una amplia colección de muchos conceptos
que son ambos distintos e interrelacionados, incluyendo el aseguramiento de las
operaciones, mantenimiento de copias de respaldo, localización de cambios, privilegios,
privacidad, seguridad y control de operaciones. La siguiente sección resalta la
importancia de los problemas del día a día que afectan las operaciones de la compañía,
discutiremos en lo referente al mantenimiento de la seguridad.
Aseguramiento de Operaciones y Ciclo de vida del aseguramiento
El aseguramiento es el grado de confidencialidad que tu puedes tener en satisfacción
de las necesidad de seguridad de se necesitas sobre una computadora, red, solución,
etc. Esto es basado sobre como un sistema específico se conforma con necesidades de
estados de seguridad y como se provee la seguridad en los servicios, Es
aseguramiento fue discutido en el capitulo 12 “Principios de modelo de seguridad”, pero
esto es otro elemento de aplicaciones de aseguramiento a el dominio de seguridad de
operaciones.
El criterio de evaluación de sistemas de computo de confianza (TCSEC) es usado para
asignar un nivel de aseguramiento del sistema. TCSEC o el libro Naranja, también
define dos tipos de niveles adicionales de aseguramiento: aseguramiento operacional y
ciclo de vida del aseguramiento. Como te puedes dar cuenta, TCSEC se puede
remplazar por un criterio común en diciembre del 2000. Es como siempre, importante
estar atento de TCSEC, contar con material que contenga conceptos y teorías acerca
de evaluación de seguridad. Entonces tú no necesitas conocer los detalles completos
de estos dos niveles de aseguramiento, pero hay algunos asuntos con los cuales debes
de estar familiarizados.
El foco del aseguramiento de las operaciones son las características básicas y
arquitectura de los sistemas que prestan soporte de seguridad. Estos son 5
requerimientos o elementos del aseguramiento de la operación:
Arquitectura del Sistema
Integridad del Sistema
Cubrir el Análisis de Canales
Gerencia de Facilidad de Confianza
460
Recuperación de Confianza
461
Mantenimiento de Copias de Respaldo
Las copias de respaldo son información crítica que es la clave del mantenimiento de la
disponibilidad e integridad de los datos. El sistema falla por varias razones, tal como
fallas de hardware, daño físico, software corrupto, y destrucción maliciosa ocasionada
por ataques originados por intrusión. Teniendo una copia de respaldo confiable es la
forma mas segura que la data de nuestro sistema no se vea afectada y no se pierda
permanentemente. Las copias de respaldo son una parte esencial del mantenimiento
de la seguridad de las operaciones y serán discutidas en el capitulo 16 “Planes de
Recuperación ante Desastres”.
CAMBIOS EN LAS ESTACIONES DE TRABAJO/LOCALIZACION
Cambios en las estaciones de trabajo o localización física de los usuarios dentro de la
organización puede ser usada como una manera de mejora o mantenimiento de
seguridad. Similar a la rotación de trabajos, cambiando una estación de trabajo
prevenimos a un usuario de alterar el sistema o de una inapropiada instalación de
software porque la siguiente persona que use el sistema podría estar mas interesada en
descubrir este sistema. Teniendo a las estaciones de trabajo no permanente (móvil),
alienta a los usuarios a mantener todo su material almacenado en los servidores de la
red, donde este puede ser fácilmente protegido, supervisado y auditado. Esto también
desalienta al almacenamiento de la información personal en el sistema como un todo.
Un cambio periódico en la ubicación del área de trabajo de los usuarios puede también
ser un impedimento porque son menos propensos a convencer a los trabajadores con
los cuales no tienen confianza para prevenir actividades ilegales
NECESIDAD DE SABER Y EL PRINCIPIO MENOR PRIVILEGIO
La necesidad de conocer y el principio de menor privilegio son dos axiomas del
estándar de ambientes de alta seguridad. Un usuario puede tener una necesidad de
conocer para ganar acceso a datos o recursos. Incluso si este usuario tiene un nivel de
seguridad igual o mayor que la data requerida, si ellos no tienen esos derechos de
accesos a la información se les deberá denegar el acceso. Una necesidad de conocer
es el requerimiento de tener acceso acerca de un conocimiento, o un recurso o dato,
para realizar tareas específicas. El principio del menor privilegio consiste que los
462
usuarios deben tener la mínima cantidad de privilegios de acceso para hacer un
ambiente tan seguro como sea posible para ellos para que puedan cumplir sus labores.
463
FUNCIONES DE PRIVILEGIOS DE OPERACION
Las funciones de los privilegios de operación son actividades que requieren un acceso
especial o privilegios para realizarse en un ambiente seguro de IT. En la mayoría de
casos, estas funciones están restringidas a administradores y operadores de sistema,
manteniendo privilegios de control sobre las funciones que son esenciales en el sistema
de seguridad. Muchas de estas funciones podrían ser fácilmente explotadas, violando la
confidencialidad, integridad o disponibilidad del sistema.
La siguiente lista incluye algunos ejemplos de funciones de privilegios de operación:
Usando comandos de operación del sistema
Interfaces Configurables
Auditoria de log.
Manejo de cuentas de usuario
Configuración de mecanismos de seguridad
Ejecución de scripts/ herramientas de ejecución de pruebas
Copias de respaldo y restauración del sistema
Controlando las comunicaciones.
Usando herramientas de recuperación de base de datos y archivos de log.
Controlando las reiniciadas del sistema
El manejo de los privilegios de acceso es una parte importante de control de
seguridad. Para restringir funciones de privilegio de operación, debes también
emplear separación de deberes o funciones. La separación de los deberes o
funciones aseguran que una persona simple no tenga el control total del sistema o
del ambiente de mecanismos de seguridad. Esto es necesario para asegurar que
una persona simple no pueda comprometer el sistema como tal. Esto puede también
como una forma de fractura de conocimiento, El despliegue, separación de
deberes, es reforzado por división de altos y medios niveles de capacidades de
administración y funciones entre múltiples usuarios confiables.
El control futuro y restricciones de capacidad de privilegios pueden ser
implementados por controles y rotación de tareas. Un control de dos personas
deben trabajar en conjunto para poder realizar adecuadamente las tareas de
supervisión. La necesidad de dos operadores también nos da beneficios de revisión
y posibilidad de fraude. La rotación de tareas es un control seguro que envuelve
464
cambios de los privilegios de seguridad o roles de operación en función de una gran
cantidad de usuarios. Por ejemplo, si una organización ha dividido sus actividades
administrativas en seis distintos roles o trabajos, estas seis o siete personas
necesitan tener un entrenamiento para los distintos roles. Cada persona debe
trabajar en un rol específico por dos o tres meses, y luego todos en ese grupo serán
rotados a un nuevo rol. Cuando la organización tiene más de la mínima cantidad
necesaria de administradores entrenados, cada rotación deja una persona que
pueda tomar unas vacaciones y servir como un trabajador temporal. La rotación de
tareas provee un control de seguridad, reduce el fraude, y provee un entrenamiento
en diferentes aspectos. El entrenamiento en diferentes aspectos hace a tu ambiente
menos dependiente de una persona en particular.
RECUPERACION DE CONFIANZA
Para un sistema seguro, recuperar la confianza es recuperando la seguridad de
fallas de operación o fallas del sistema. El propósito de recuperar la confianza es de
proveer un aseguramiento después de fallar o tener una caída en el sistema, el
reiniciar el sistema no es menos seguro de lo que era antes. Usted debe de tratar
dos elementos del proceso para implementar una solución de recuperación de
confianza. El primer elemento es la preparación de la falla. En muchos casos, esto
es simple de desplegar en una solución de copia de respaldo que mantiene una
copia de respaldo actualizada. Una copia de respaldo es una solución confiable que
implica los medios por los cuales es almacenada la información en la copia de
respaldo, y esta puede ser usada para restaurar, proteger el sistema de una manera
eficiente. El segundo elemento es el proceso de recuperación del sistema. El
sistema debe ser forzado a reiniciarse en un estado de usuario no privilegiado. Esto
significa que el sistema debe ser reiniciado de manera que una cuenta de usuario
puede ser utilizada para loguear y que el sistema no permita accesos no
autorizados. La recuperación de sistema también incluye la restauración de todos
los archivos y servicios activos afectados activos o en uso en el sistema a la hora de
la falla. Restaurar cualesquier archivo dañado o desaparecidos, cualesquiera
cambios a las etiquetas de la clasificación se corrigen, y los ajustes en todos los
archivos críticos de la seguridad se verifican. La recuperación es un mecanismo de
seguridad discutido en los criterios comunes. Los criterios comunes definen tres
tipos o niveles jerárquicos de la recuperación: La recuperación manual, un
administrador se requiere para realizar manualmente las acciones necesarias para
poner una recuperación en ejecución asegurada o confiada, después de una falla
465
del sistema. La recuperación automatizada que el sistema puede realizarse confiaba
en actividades de la recuperación para restaurar un sistema, pero solamente contra
una sola falla. La recuperación automatizada sin pérdida indebida que el sistema sí
mismo puede realizarse confiaba en actividades de la recuperación para restaurar
un sistema. Este nivel de la recuperación permite que los pasos adicionales
proporcionen la verificación y la protección de objetos clasificados. Estos
mecanismos adicionales de protección pueden incluir la restauración de archivos
corrompidos, la reconstrucción de registros de datos, la transacción, y verificar la
integridad de los componentes dominantes del sistema y de la seguridad.
CONFIGURACION Y CONTROL DE GESTION DE CAMBIOS
La gerencia de la configuración y del cambio controla una vez que un sistema se
haya asegurado correctamente, es importante mantener esa seguridad intacta. El
cambio de un ambiente seguro puede introducir escapatorias, traslapos, objetos que
falta, y los descuidos que pueden conducir a las nuevas vulnerabilidades. La única
manera de mantener seguridad de cara al cambio es manejar sistemáticamente el
cambio. Típicamente, esto implica la registración extensa, la revisión, y la
supervisión de las actividades relacionadas con los controles y los mecanismos de
la seguridad. Los datos que resultan entonces se utilizan para identificar agentes del
cambio, si los objetos, los temas, los programas, los caminos de la comunicación, o
aún la red misma. Los medios que proporcionan esta función son desplegar control
de la gerencia de la configuración o cambiar el control de la gerencia. Estos
mecanismos se aseguran que ninguna de las alteraciones o cambios en un sistema
den lugar a la disminución de la seguridad. Los controles de la gerencia de
configuración y cambios proporciona un proceso por el cual todos los cambios de
sistema sean seguidos, revisados, controlados, identificados, y aprobados. Requiere
que todos los cambios de sistema experimenten un método de prueba riguroso
antes de ser desplegado sobre el ambiente de la producción. También requiere la
documentación de cualquier cambio a las tareas de trabajo del usuario y el
entrenamiento de cualquiera de los usuarios afectados. Los controles de la gerencia
de configuración y cambios deben reducir al mínimo el efecto sobre seguridad de
cualquier alteración al sistema. Proporcionan a menudo medios de volver atrás un
cambio si se puede causar un efecto negativo o indeseado sobre el sistema o sobre
seguridad.
466
Estos son cinco pasos o fases que envuelven la gestión del control de configuración
y cambios:
1. Aplicación para introducir un cambio
2. Catalogación del cambio previsto
3. Programar el cambio
4. Poner el cambio en ejecución
5. Divulgación del cambio a los partidos apropiados
Cuando se hace cumplir una solución de control de la gerencia de configuración y
cambios, se crea la documentación completa de todos los cambios a un sistema. Esto
proporciona un rastro de la información, si el cambio necesita ser quitado. También
proporcionan un mapa o un procedimiento para seguir si el mismo cambio se pone en
ejecución en otros sistemas. Cuando un cambio se documenta correctamente, esa
documentación puede asistir a administradores en la reducción al mínimo de los efectos
negativos del cambio a través del ambiente. El control de la gerencia de configuración y
cambios, es un elemento obligatorio de los grados de TCSEC de B2, de B3, y de A1
pero se recomienda para el resto de los niveles de grado de TCSEC. En última
instancia, la gerencia del cambio mejora la seguridad de un ambiente protegiendo
seguridad puesta en ejecución contra disminución de efectos, errores intencionales
tangenciales. Ésos a cargo de la gerencia del cambio deben supervisar alteraciones a
cada aspecto de un sistema, incluyendo la configuración de hardware y el sistema y el
software de uso. Debe ser incluido en diseño, el desarrollo, la prueba, la evaluación, la
puesta en práctica, la distribución, la evolución, el crecimiento, la operación en curso, y
el uso de modificaciones. La gerencia del cambio requiere un inventario detallado de
cada componente y configuración. También requiere la colección y el mantenimiento de
la documentación completa para cada componente del sistema (hardware incluyendo y
software) y para todo de ajustes de la configuración a las características de la
seguridad.
ESTANDARES DE CUIDADO DEBIDO Y DILIGENCIA
El cuidado debido está utilizando cuidado razonable para proteger los intereses de una
organización. La diligencia debida está practicando las actividades que mantienen el
esfuerzo del cuidado debido. Por ejemplo, el cuidado debido está desarrollando una
estructura formalizada de la seguridad que contiene una política, estándares, líneas de
fondo, pautas, y procedimientos de la seguridad. La diligencia debida es el uso
467
continuado de esta estructura de la seguridad sobre ÉL infraestructura de una
organización. La seguridad operacional es el mantenimiento en curso del cuidado
debido y de la diligencia debida al lado de todos los partidos responsables dentro de
una organización.
En el ambiente de negocio de hoy, demostrar cuidado prudente y diligencia debida es la
única manera de refutar ocurrencia negligencia de la pérdida. La gerencia mayor debe
demostrar cuidado debido, razonable y diligencia debida para reducir su culpabilidad y
responsabilidad cuando ocurre una pérdida. La gerencia mayor podría ser responsable
de daños monetarios hasta $290 millones para la falta de rendimiento de la diligencia
debida de acuerdo con las pautas que condenaban a ESTADOS UNIDOS de 1991.
Privacidad y Protección
La aislamiento es la protección de la información personal contra acceso a cualquier
individuo o entidad desautorizado. En el mundo en línea de hoy, la línea entre la
información pública y la información privada es a menudo complicada. ¿Por ejemplo, es
la información sobre sus hábitos que practican surf, tela privada o pública? ¿Se puede
esa información recopilar legalmente sin su consentimiento? ¿Y puede la organización
vender esa información para un beneficio que usted no comparta adentro? Sin
embargo, su información personal incluye más que la información sobre sus hábitos en
línea; también incluye quién usted es (nombre, dirección, teléfono, raza, religión, edad,
etc.), su salud y expedientes médicos, sus expedientes financieros, y expedientes
incluso sus criminales o legales. El ocuparse de aislamiento es un requisito para
cualquier organización que tenga gente como empleados. Así, la aislamiento es una
edición central para todas las organizaciones. La protección de la aislamiento debe ser
una misión o una meta de la base dispuesta en la política de la seguridad de una
organización. Las ediciones del aislamiento se discuten en mayor longitud en el capítulo
17, "ley y las investigaciones."
Requerimientos Legales
Cada organización funciona dentro de una cierta industria y país. Ambas de estas
entidades imponen requisitos legales, restricciones, y regulaciones ante las prácticas de
las organizaciones que bajan dentro de su entorno. Estos requisitos legales pueden
468
aplicarse al uso licenciado del software, de restricciones que emplean, de la dirección
de materiales sensibles, y de la conformidad con regulaciones de seguridad. La
conformación con todos los requisitos legales aplicables es una parte dominante de
seguridad que sostiene. Los requisitos legales de una industria y de un país (y a
menudo de un estado y de una ciudad) se deben considerar la línea de fondo o la
fundación sobre las cuales el resto de la infraestructura de la seguridad debe ser
construido.
Actividades Ilegales
Las actividades ilegales son las acciones que violan una restricción, una regulación, o
un requisito legal. Incluyen el fraude, malversación, acceso desautorizado, hurto,
destrucción, espionaje, trampa, etcétera. Un ambiente seguro debe proporcionar
mecanismos para prevenir de actividades ilegales y de los medios de seguir
actividades ilegales y de mantener responsabilidad de los individuos que perpetran los
crímenes. Los mecanismos preventivos del control incluyen la identificación y la
autentificación, el control de acceso, la separación de deberes, la rotación de trabajo,
vacaciones obligatorias, la investigación del fondo, el entrenamiento del conocimiento,
menos privilegio, y muchos más. Los mecanismos detectives incluyen la revisión,
sistemas de la detección de la intrusión, y más.
Retención De registro.
La retención de registro es la política de organización que define que información es
mantenida y por cuanto tiempo. En la mayoría de los casos, los registros en cuestión en
la pregunta son representan rastros de la intervención de la actividad del usuario. Esto
puede incluir acceso al archivo y del recurso, patrones de la conexión, E-mail y el uso
de privilegios. Observe que en algunas jurisdicciones legales, los usuarios deben ser
tener cuidado de que sus actividades sean seguidas.
Dependiendo de su industria y de su relación con el gobierno, usted puede necesitar
conservar los registros por tres años, siete años, o indefinidamente. En la mayoría de
los casos, un mecanismo de backup es utilizado para crear las copias archivadas de los
rastros de auditoria sensibles y de la información contable. Esto permite que el sistema
principal de backup de datos reutilice periódicamente sus medios sin transgredir el
requisito de conservar registros de auditoria y similares.
469
Si los datos referentes a las personas están siendo conservados por su organización
(tal como un acuerdo condicional del empleo o un acuerdo del uso) entonces los
empleados y los clientes deben ser cuidados. En muchos casos, el requisito de la
notificación es una cuestión legal; en otros, es simplemente una cortesía. En cualquier
caso, es una buena idea discutir la edición con consejos legales apropiados.
Información y medios sensibles.
El manejo apropiado de la información y los medios especialmente en un ambiente de
alta seguridad en el cual los datos sensibles, confidenciales, y propios son procesados –
son cruciales para la seguridad y a la estabilidad de una organización. Porque el valor
de los datos almacenados es trascendental en comparación con el costo de los medios
de almacenamiento, siempre que los medios sean de alta calidad. Además de la
selección de los medios, hay varias áreas claves de la gestión de la información y de los
medios: marcado, manejo, almacenamiento, vida, reutilización, y destrucción.
Marcado y de etiquetado de los Medios.
El marcado de los medios es una actividad simple de definir clara y exactamente su
contenido. El aspecto más importante del marcado es indicar la clasificación de
seguridad de los datos almacenados en los medios para que ellos puedan ser
manejados correctamente por sí mismos. Las cintas con datos desclasificados no
necesitan tanta seguridad en su almacenaje y transporte como se hace las cintas con
datos clasificados. Las etiquetas de los datos deberían ser creados automáticamente y
almacenados como parte del backup de los medios. Además, una etiqueta física
debería ser aplicado a los medios y ser mantenido como parte del backup. Los medios
utilizados para almacenar la información clasificada nunca deberían ser reutilizados
para almacenar datos menos-sensibles.
Manejo de los Medios.
El manejo se refiere al transporte seguro de los medios desde el punto de compra con
almacenaje hasta la destrucción. Los medios deben ser almacenados de una forma
consistente con la clasificación de los datos en los hosts. El ambiente dentro del cual se
470
almacenan los medios puede afectar perceptiblemente su curso de vida útil. Por
ejemplo, en los ambientes muy calientes o los ambientes muy polvorientos pueden
causar daño a los medios de la cinta, acortando su vida. Aquí están algunas pautas
útiles para manejar medios:
Mantenga los nuevos medios en su empaquetado sellado originalmente hasta
que sea necesario mantenerlo aislado del polvo y de la suciedad del ambiente.
Cuando los medios se empaqueten, toma la precaución adicional para no dañar
los medios. Esto incluye evitar objetos agudos y no torcer o no doblar los
medios.
Evite de exponer los medios a los extremos de la temperatura; no debe ser
almacenada también cerca de los calentadores, de los radiadores, de los
acondicionadores de aire, o cualquier cosa que podría causar temperaturas
extremas.
No utilice los medios que se ha dañado de cualquier manera, expuesta a los
niveles anormales del polvo y de la suciedad, o caído.
Los medios se deben transportar a partir de un sitio a otro en un vehículo de
temperatura controlada.
Los medios se deben aclimatar por 24 horas antes del uso.
La seguridad apropiada se debe mantener sobre medios del punto de la salida
del dispositivo de reserva a la facilidad asegurada del almacenaje del sitio. Los
medios son vulnerables dañar y hurto en cualquier punto durante el transporte.
La seguridad apropiada se debe mantener sobre medios en el resto de las veces
(que incluyen cuando se reutiliza) a través del curso de la vida de los medios
hasta la destrucción.
ALMACENAMIENTO DE MEDIOS
Los medios se deben almacenar solamente en una localización asegurada en la cual la
temperatura y la humedad sea controladas, y no debe ser expuesta a los campos
magnéticos, graba especialmente medios. Los motores del elevador, las impresoras, y
los monitores todos de la CRT tienen campos eléctricos fuertes. La limpieza del
almacén afectará directamente la vida y la utilidad de medios. El acceso a la facilidad
del almacenaje se debe controlar siempre. La seguridad física es esencial para
mantener el secreto, la integridad, y la disponibilidad de medios de reserva.
471
MANEJO DE LA VIDA DE LOS MEDIOS
Todos los medios tienen una vida útil. Los medios reutilizables tendrán un Horario de
Greenwich a la falta (MTTF) que se representa generalmente en el número de épocas
que puede ser reutilizada. La mayoría de los medios de la reserva de cinta se pueden
reutilizar 3 a 10 veces. Cuando se reutilizan los medios, debe estar correctamente
despejó. El claro es un método suficientemente de suprimir datos sobre los medios que
serán reutilizados en el mismo ambiente asegurado. El purgar está borrando los datos
así que los medios se pueden reutilizar en un ambiente menos-seguro. A menos que
absolutamente sea necesario, no emplee purgar de los medios. El coste de proveer
cada nivel de la clasificación de sus propios medios es insignificante comparado al daño
que se puede causar por acceso. Si no se van los medios a ser archivados o a ser
reutilizados dentro del mismo ambiente, debe ser destruido con seguridad. Una vez que
los medios de reserva hayan alcanzado su MTTF, debe ser destruido. Asegure la
destrucción de los medios que contuvieron confidencial y los datos sensibles son tan
importantes justo como el almacenaje de tales medios. Al destruir medios, debe ser
borrado correctamente para quitar data residual. Una vez que estén purgados
correctamente, los medios se deban destruir físicamente para prevenir la reutilización
fácil y los datos procurados que espigan con (medios ocasionales (los ataques del
teclado) o de alta tecnología de los ataques del laboratorio). El machacamiento físico es
a menudo suficiente, pero la incineración puede ser necesaria.
Prevención de acceso vía medios reutilizados
La prevención del acceso de la información de medios de reserva es un aspecto
importante de mantener seguridad operacional. La prevención del acceso debe ocurrir
en los casos numerosos en la vida de medios.
Debe ser tratado sobre cada reutilización en el mismo ambiente seguro, sobre cada
reutilización en un ambiente diverso o menos-seguro, sobre retiro del servicio, y sobre la
destrucción. La dirección de esta edición puede tomar muchas formas, incluyendo
borrar, despejar, purgar, sobrescribir, y la destrucción. Borrar medios está realizando
simplemente una operación de la cancelación contra un archivo, una selección de
archivos, o los medios enteros. En la mayoría de los casos, el proceso de la
472
canceladura o del retiro quita solamente el acoplamiento del directorio o del catálogo a
los datos. Sigue habiendo los datos reales en la impulsión. Seguirá habiendo los datos
en la impulsión hasta que son sobrescritos por otros datos o quitados correctamente de
los medios. El despejar, o el sobrescribir, es un proceso de preparar los medios para la
reutilización y de asegurarlos que los datos despejados no se pueden recuperar por
ninguna medios. Cuando son los medios despejó, los datos sin clasificar se escriben
sobre localizaciones o excedente específicas los medios enteros donde los datos
clasificados fueron almacenados. A menudo, los datos sin clasificar son cadenas de 1s
y de 0s. El proceso del claro prepara típicamente los medios para la reutilización en el
mismo ambiente seguro, no para la transferencia a otros ambientes. El purgar es una
forma más intensa de claro que prepare los medios para la reutilización en ambientes
menos-seguros. Dependiendo de la clasificación de los datos y de la seguridad del
ambiente, el proceso que purga se repite 7 a 10 veces de proporcionar aseguramiento
contra la recuperación de los datos vía ataques del laboratorio. La declasificación
implica cualquier proceso que despeje los medios para la reutilización en ambientes
menos-seguros. En la mayoría de los casos, el purgar se utiliza para preparar los
medios para la declasificación, pero más del tiempo, los esfuerzos requeridos con
seguridad medios son perceptiblemente mayores que el coste de los nuevos medios
para un ambiente menos-seguro. Se asegura de que los datos no se puedan recuperar
por ninguna medios de medios destruidos o desechados. Puede también ser los medios
reales por los cuales los medios son destruidos. Los medios pueden ser esterilizados
purgando, sin físicamente destruir los medios. Los soportes magnéticos vuelven a su
estado prístino, inusitado original. Los métodos de depuración que dan lugar a la
destrucción física de los medios incluyen la incineración, machacando, y destrozando.
El cuidado debe ser tomado al realizar cualquier tipo de depuración, de claro, o de
purgar proceso. Es posible que el operador humano o la herramienta implicada en la
actividad no se realizará correctamente la tarea de datos que quitan de los medios. El
software puede ser dañado, los imanes pueden ser culpables, y cualquiera se puede
utilizar incorrectamente. Verifique siempre que el resultado deseado esté alcanzado
después de realizar un proceso del depurado. La destrucción es la etapa final en el ciclo
vital de medios de reserva. La destrucción debe ocurrir después de la depuración
apropiado o como los medios del sanitization. Cuando ocurre la destrucción de los
medios, usted debe asegurarse de que los medios no puedan ser reutilizados o ser
reparados y de que los datos no se pueden extraer de los medios destruidos por ningún
medio posible. Los métodos de destrucción pueden incluir la incineración, machacando,
destrozando, y disolviendo con los productos químicos cáusticos o ácidos.
473
TIPOS DE CONTROL DE SEGURIDAD
Hay varios métodos usados para clasificar controles de seguridad. La clasificación se
puede basar en la naturaleza del control, tal como administración tanto técnica como
lógica, o de comprobación. Puede también ser basada en la acción o el objetivo del
control, tal como directorio, preventivo, detective, correctivo, y recuperación. Algunos
controles pueden tener clasificaciones múltiples de acción y objetivo.
Un control directivo es una herramienta de seguridad usada para dirigir la puesta en
práctica de la seguridad de una organización. Los ejemplos de controles directivos
incluyen políticas, estándares, pautas, procedimientos, leyes, y regulaciones de la
seguridad. La meta o el objetivo de controles directivos es causar o promover un
resultado deseado. Un control preventivo es un mecanismo, una herramienta, o una
práctica de la seguridad que puede disuadir o atenuar acciones o acontecimientos
indeseados. Los controles preventivos se diseñan para parar o para reducir la
ocurrencia de varios crímenes, tales como fraude, hurto, destrucción, malversación,
espionaje, etcétera. También los diseñan para evitar faltas humanas comunes tales
como errores, omisiones, y descuidos. Los controles preventivos se diseñan para
reducir riesgo. Aunque no siempre el más rentables, ellos se prefieren sobre controles
detectivos o correctivos de una perspectiva que mantiene la seguridad Parar una acción
indeseada o desautorizada antes de él ocurre los resultados en un ambiente más
seguro que lo hace la detección y la resolución de problemas después de que ocurran.
Los ejemplos de controles preventivos incluyen los cortafuegos, métodos de la
autentificación, controles de acceso, software del antivirus, clasificación de los datos,
separación de deberes, rotación de trabajo, análisis del riesgo, cifrado, banderas
amonestadoras, validación de datos, las comprobaciones para duplicaciones, y los
cierres de la cuenta. Un control detectivo es un mecanismo la seguridad usado para
verificar si los controles directivos y preventivos han sido acertados. Los controles
detectivos buscan activamente para ambas violaciones de la política de la seguridad y
de los crímenes reales. Se utilizan para identificar ataques y errores para poder tomar la
acción apropiada. Los ejemplos de controles detectivos incluyen rastros de intervención,
registros, la televisión a circuito cerrado (CCTV), sistemas de la detección de la
intrusión, software del antivirus, la prueba de la penetración, las galletas de la
contraseña, la supervisión de funcionamiento, y los controles por redundancia cíclicos
(CRCs). Los controles correctivos son instrucciones, procedimientos, o pautas usadas
para invertir los efectos de una actividad indeseada, tales como ataques y errores. Los
ejemplos de controles correctivos incluyen los manuales, procedimientos, registrando y
474
metiendo en diario, incidente dirigiendo, y los extintores. Un control de la recuperación
se utiliza para volver sistemas afectados de nuevo a operaciones normales después de
que haya ocurrido un ataque o un error. Los ejemplos de los controles de la
recuperación incluyen la restauración del sistema, reservas, la reanudación, el
fideicomiso dominante, el seguro, el equipo redundante, sistema tolerante a fallas,
puntos de comprobación, y planes de contingencia.
CONTROL DE OPERACIONES
Los controles de las operaciones son los mecanismos y los procedimientos diarios que
proporcionan la protección para los sistemas. Son típicamente los controles de la
seguridad que se deben poner en ejecución o realizar por la gente más bien que
automatizar por el sistema. La mayoría de los controles de las operaciones son
administrativos en naturaleza, pero también incluyen algunos controles técnicos o
lógicos. Cuando son posibles, los controles de las operaciones deben ser invisibles o
transparentes a los usuarios. Cuanto menos un usuario ve los controles de la seguridad,
menos probables se sentirán que la seguridad están obstaculizando su productividad.
Asimismo, menos usuarios saben sobre la seguridad del sistema, menos probables
serán capaces de evitarlo. Los controles de las operaciones para la protección del
recurso se diseñan para proporcionar la seguridad para los recursos del ÉL ambiente.
Los recursos son el hardware, el software, y los activos de los datos que de una
organización infraestructura abarca. Para mantener secreto, la integridad, y la
disponibilidad de los activos recibidos, los recursos ellos mismos deben ser protegidos.
CONTROLES DE OPERACION
Al diseñar un esquema de la protección para los recursos, es importante tener los
aspectos o los elementos siguientes:
Equipo y programas de computación de la comunicación
Dispositivos del límite
Equipo de proceso Archivos de la contraseña
Bibliotecas de programas de uso
Código de fuente del uso Software del vendedor
Sistema operativo Utilidades de sistema Directorios y tablas de la dirección
Paquetes propietarios
475
Almacenaje principal
Almacenaje desprendible
Datos sensibles/críticos
Registros de sistema/rastros de intervención
Informes de la violación
Archivos de reserva y medios
Formas y listado sensibles Dispositivos aislados, tales como red de teléfono del
de las impresoras y de los faxes
Otro aspecto de los controles de las operaciones es controles privilegiados de la
entidad. Una entidad privilegiada es administrador o un operador de sistema que tiene
acceso a las funciones especiales, y las capacidades que los usuarios normales no
tienen acceso a. El acceso privilegiado de la entidad se requiere para muchos
administrativos y controlar las tareas del trabajo, tales como crear nuevas cuentas del
usuario, adición de las rutas nuevas a una tabla de la rebajadora, o alterar la
configuración de un cortafuego. El acceso privilegiado de la entidad puede incluir
comandos del sistema, interfaces del control de sistema, el registro de sistema/archivos
de intervención, y parámetros especiales del control. El acceso a los controles
privilegiados de la entidad debe ser restricto y revisado para prevenir la usurpación de
energía de los usuarios desautorizados. Los controles del hardware son otra parte de
controles de las operaciones. El hardware controla el foco encendido acceso de
restricción y de manejo a ÉL hardware de la infraestructura. En muchos casos, periódico
el mantenimiento, la reparación del error/del ataque, y los cambios de configuración de
sistema requieren la comprobación directa tener acceso al hardware. Un control de las
operaciones para manejar el acceso al hardware es una forma de comprobación control
de acceso. Todo el personal que se concede el acceso a los componentes físicos del el
sistema debe tener autorización. Es también una buena idea proporcionar la supervisión
mientras que hardware las operaciones están siendo realizadas por los terceros.
Otro problema relacionado a los controles del hardware incluye la gerencia de las
cuentas del mantenimiento y controles portuarios. Las cuentas del mantenimiento son
las cuentas predefinidas del defecto que están instaladas en el hardware (y en software)
y han preestablecido y las contraseñas extensamente sabidas. Estas cuentas deben
retitularte y se asigna una contraseña fuerte. Muchos dispositivos de hardware tienen
puertos de la consola del diagnóstico o de la configuración. Deben ser accesibles
solamente al personal autorizado, y si es posible, deben lisiado cuando son parados
476
para las operaciones aprobadas del mantenimiento. Los controles de la entrada y de la
salida son mecanismos usados para proteger el flujo de la información en y de un
sistema. Estos controles también protegen usos y recursos por la entrada inválida, de
gran tamaño, o malévola de la prevención contra causar errores o aberturas de la
seguridad. Los controles de la salida restringen los datos que son revelados a los
usuarios restringiendo el contenido basado en la clasificación sujeta y la seguridad de la
conexión de la comunicación. Los controles de la entrada y de la salida no se limitan a
los mecanismos técnicos; pueden también ser controles físicos (por ejemplo, las
restricciones contra traer los flashcards de la memoria, listado, diskettes, Cd-Rs, y así
sucesivamente en o fuera de áreas aseguradas). Los controles de los medios son
similares a los asuntos discutidos en la sección “información y medios sensibles”
anterior en este capítulo. Los controles de los medios deben abarcar la marca,
dirigiendo, almacenaje, transporte, y destrucción de medios tales como discos blandos,
tarjetas de memoria, impulsiones duras, cintas de reserva, Cd-Rs, Cd-RWs, y así
sucesivamente. Un mecanismo que sigue se debe utilizar para registrar y para
supervisar la localización y las aplicaciones de medios. Los medios asegurados deben
nunca salir de los límites del ambiente asegurado. Asimismo, ninguna medios traída en
un ambiente asegurado no deben contener virus, código malévolo, u otros elementos de
código indeseados, ni deben que los medios dejan siempre el ambiente asegurado
excepto después del la depuración o la destrucción apropiado. Los controles de las
operaciones incluyen muchos de los controles de administración que hemos discutido
ya épocas numerosas, tales como separación de deberes y responsabilidades, rotación
de deberes, menos privilegio, y así sucesivamente.
477
CONTROL DE PERSONAL
No importa cómo mucho esfuerzo, costo, y maestría tú pusieron en control de acceso
físico y los mecanismos lógicos/técnicos de la seguridad, tendrás que siempre tratar de
la gente. De hecho, la gente es tu línea de defensa pasada y tu edición de gerencia
peor de la seguridad. La gente es vulnerable a una amplia gama de ataques, más ella
puede violar intencionalmente la política de la seguridad y procurar evitar controles
físicos y lógicos/técnicos de la seguridad. Debido a esto, debes esforzarse para emplear
solamente a esa gente que sea la más digna de confianza. Los controles de la
seguridad para manejar a personal se consideran un tipo de controles de
administración. Estos controles y ediciones se deben contornear claramente en tu
política de la seguridad y seguir como de cerca como sea posible. El no poder emplear
controles fuertes del personal puede rendir todos tus otros esfuerzos de la seguridad sin
valor. El primer tipo de controles del personal se utiliza en el proceso que emplea. Para
emplear a un nuevo empleado, debes primero saber qué posición necesita ser llenada.
Esto requiere la creación de una descripción de las funciones detallada. La descripción
de las funciones debe contornear las tareas de trabajo y las responsabilidades de la
posición, que el dictado de la voluntad alternadamente el acceso y los privilegios que
necesito en el ambiente. Además, la descripción de las funciones define el
conocimiento, la habilidad, y el nivel de la experiencia requerido por la posición.
Solamente después de la descripción del trabajo él posible comenzar a investigar la
posición.
El paso siguiente al usar controles del personal está seleccionando a mejor persona
para el trabajo. En términos de seguridad, esto significa el más digno de confianza. El
fiabilidad se determina a menudo con cheques del fondo y de la referencia, la
verificación de la historia de empleo, y la educación y la certificación verificación. Este
proceso podía incluso incluir cheques de los cheques del crédito y del fondo de FBI.
Una vez que hayan empleado a una persona, los controles del personal se deben
desplegar para continuar supervisando y evaluando su trabajo. Los controles del
personal que supervisan actividad se deben desplegar para todos los empleados,
nuevos no justos. Estos controles pueden incluir la intervención y revisión del acceso,
validación de las habilitaciones, gravamen periódico de las habilidades, los grados de
supervisión del empleado, y descuido y revisión del supervisor. Las compañías
emplearán a menudo una política de vacaciones obligatorias en uno o dos incrementos
de la semana. Tal herramienta quita a empleado del ambiente y permite otro empleado
478
cruz-entrenado para realizar sus tareas de trabajo durante el interino. Esta actividad
sirve como forma de revisión de par, abastecimiento los medios de detectar fraude y la
colusión. En cualquier momento, si encuentran a un empleado para estar en la violación
de la política de la seguridad, deben ser reprendidos y ser advertidos correctamente. Si
el empleado continúa confiando violaciones de la política de la seguridad, debe ser
terminado. Finalmente, hay los controles del personal que gobiernan el proceso de la
terminación. Cuando un empleado debe ser encendido, una entrevista de la salida debe
ser conducida. Para la entrevista de la salida, traen el empleado pronto a ser lanzado a
una oficina de encargado para una reunión privada. Esta reunión se diseña para
quitarlos de su espacio de trabajo y para reducir al mínimo el efecto de la actividad de la
leña en otros empleados. La reunión consiste en generalmente el empleado, un
encargado, y un protector de seguridad. El protector de seguridad actúa como testigo y
como agente de la protección. Deber coordinar la entrevista de la salida con el personal
de la administración de la seguridad para apenas mientras que la entrevista de la salida
comienza, la red del empleado y se revoca el acceso del edificio. Durante la entrevista
de la salida, recuerdan al empleado sus obligaciones legales de conformarse con
cualquier acuerdo del no acceso y de no divulgar ningunos datos confidenciales. El
empleado debe volver todas las divisas, las llaves, y el otro equipo de la compañía en
su persona. Una vez que la entrevista de la salida sea completa, el protector de
seguridad escolta a empleado terminado fuera de la facilidad y posiblemente incluso
apagado de los argumentos. Si el ex-empleado tiene algún equipo de la compañía en el
país o en una cierta otra localización, el protector de seguridad debe acompañar al ex-
empleado para recuperar esos artículos. El propósito de una entrevista de la salida es
sobre todo reforzar la edición del no acceso, pero también responde al propósito de
quitar al ex-empleado del ambiente, del hacer todo el acceso quitar y dispositivos ser
vuelto, y de prevenir o de reducir al mínimo cualquier actividad vengativa debido a la
terminación.
479
RESUMEN
Hay muchas áreas de las operaciones cotidianas que son susceptibles a las aberturas
de la seguridad. Por lo tanto, todos los estándares, pautas, y procedimientos deben
definir claramente a la gerencia de personal prácticas. Los aspectos importantes de la
gerencia de personal incluyen la gerencia del antivirus y la seguridad de las
operaciones. La gerencia de personal es una forma de control de administración o de
gerencia administrativa. Debes incluir prácticas de gerencia bien definidas de personal
en tu política de la seguridad y documentación formalizada subsiguiente de la
seguridad. De una perspectiva de la seguridad, la gerencia de personal se centra en
tres áreas principales: prácticas que emplean, funcionamiento de trabajo en curso, y
procedimientos de terminación.
La seguridad de las operaciones consiste en controles para mantener seguridad en un
ambiente de la oficina de diseño al despliegue. Tales controles incluyen el hardware,
medios, y controles sujetos (del usuario) eso se diseñan proteger contra amenazas del
activo. Porque los virus son la forma más común de abertura de la seguridad en ÉL
mundo, el manejo de la protección del antivirus de un sistema es uno del aspecto más
importante de la seguridad de las operaciones. Cualquier camino de las
comunicaciones, tal como E-mail, Web site, y los documentos, e incluso el software
comercial, pueden y serán explotados como mecanismo de entrega para el virus o el
otro código malévolo. La gerencia de Antivirus es el diseño, el despliegue, y el
mantenimiento de una solución del antivirus para tu ÉL ambiente. La información crítica
que sostiene es una parte dominante de mantener la disponibilidad y la integridad de
datos y de una parte esencial de seguridad de las operaciones que mantiene. Tener una
reserva confiable es la mejor forma de seguro que los datos sobre el sistema afectado
no se pierden permanentemente. Los cambios en el sitio de trabajo o su localización
física de un usuario dentro de una organización se pueden utilizar como los medios de
mejorar o de mantener seguridad. Cuando se cambia el sitio de trabajo de un usuario, el
usuario es menos probable alterar el sistema o instalar software desaprobado porque la
persona siguiente para utilizar el sistema podría muy probablemente descubrirlo. Los
conceptos de necesitar-a-saben y el principio de menos privilegio es dos aspectos
importantes de un ambiente de la alto-seguridad. Un usuario debe tener un necesitar-a-
saber a acceder a los datos o recursos. Para conformarse con el principio de menos
privilegio, los usuarios deben ser concedidos el lo menos cantidad de acceso al
ambiente seguro como sea posible para que ellos puedan terminar su tareas de trabajo.
480
Las actividades que requieren el acceso o el privilegio especial de realizarlo dentro del
asegurado ambiente se consideran las operaciones privilegiadas funcionan. Tales
funciones se deben restringir a los administradores y a los operadores de sistema. El
cuidado debido está realizando cuidado razonable para proteger el interés de una
organización. La diligencia debida está practicando las actividades que mantienen el
esfuerzo del cuidado debido. La seguridad operacional es mantenimiento en curso del
cuidado debido y de la diligencia debida continuados por todos los partidos
responsables dentro una organización. Otra edición central para todas las
organizaciones es la aislamiento, de la cual significa el abastecimiento de la protección
información personal del acceso a cualquier individuo o entidad desautorizado. La
protección de aislamiento debe estar una misión o una meta de la base dispuesta en la
política de la seguridad de una organización. Es también importante que una
organización funcione dentro de los requisitos legales, de las restricciones, y de las
regulaciones de su país e industria. Conformación con todos los requisitos legales
aplicables es una parte dominante de seguridad que sostiene. Las actividades ilegales
son las acciones que violan una restricción, una regulación, o un requisito legal. El
fraude, la malversación, el acceso desautorizado, el hurto, la destrucción, el espionaje, y
la trampa son todos los ejemplos de actividades ilegales. Un ambiente seguro debe
proporcionar mecanismos para prevenir el reclutamiento de actividades ilegales y de los
medios de seguir actividades ilegales y de mantener responsabilidad de los individuos
que perpetran los crímenes. En alto-seguridad ambiente cuando sea sensible,
confidencial, y se procesan los datos propietarios, la información y los medios de
manejo es correctamente cruciales a la seguridad del ambiente y estabilidad. Hay
cuatro áreas dominantes de la gerencia de la información y de los medios: el marcar,
dirigiendo, almacenaje, y destrucción. La retención de registro es la política de
organización que define se mantiene qué información y para cuánto tiempo. Si los datos
sobre individuos están siendo conservados por tu organización, los empleados y la
necesidad de clientes de ser hecho enterado de ellos.
La clasificación de los controles de la seguridad se puede basar en su naturaleza, tal
como administrativo, técnico/lógico, o la comprobación. Puede también ser basada en la
acción o el objetivo del control, tal como directorio, preventivo, detective, correctivo, y
recuperación. Los controles de las operaciones son los mecanismos y los
procedimientos diarios para los cuales proporcionar la protección sistemas. Son
típicamente los controles de la seguridad que se deben poner en ejecución o realizar
por la gente más bien que automatizar por el sistema. La mayoría de los controles de
481
las operaciones son administrativos en naturaleza, pero como puedes ver de la lista
siguiente, también incluyen algunos controles técnicos o lógicos:
Protección del recurso
Controles de Privilegios
Administración de control de cambios
Control de hardware
Controles de entrada y salida
Controles de medios
Controles Administrativos
Procesos de recuperación de la confianza
Examen Esencial
Entender que la gerencia de personal es una forma de control de administración,
también llamada gerencia administrativa. Debes definir claramente prácticas de
gerencia de personal en tu política de la seguridad y documentación formalizada
subsecuente de la estructura de la seguridad. Focos de la gerencia de personal en tres
áreas principales: prácticas que emplean, funcionamiento de trabajo en curso, y
procedimientos de terminación. Entender a gerencia del antivirus. La gerencia de
Antivirus incluye el diseño, despliegue, y mantenimiento de una solución del antivirus
para tu ÉL ambiente. Saber prevenir la instalación sin restricción del software.
Proporcionar un ambiente virus-libre, la instalación del software debe ser rígido
controlada. Esto incluye permitir a usuarios a instalar y ejecutar solamente software
distribuido y aprobado por la compañía, tan bien como probando y explorando todo el
nuevo software antes de que se distribuya en una red de la producción. Incluso el
software comercial se ha convertido en un portador inadvertido de virus. Entender el
mantenimiento de reserva. Una parte dominante de mantener la disponibilidad y la
integridad de datos está una reserva confiable de la información crítica. Tener una
reserva confiable es la única forma de seguro que los datos sobre un sistema que ha
fallado o se ha dañado o se ha corrompido no se pierden permanentemente. Saber los
cambios en el sitio de trabajo o la localización promueve un ambiente seguro. Cambios
en a el sitio de trabajo o su localización física del usuario dentro de una organización se
puede utilizar como los medios de mejorar o de mantener seguridad. Teniendo una
482
política sitios de trabajo de los usuarios que cambian los' evitan alterar el sistema o
instalen software desaprobado y os animan a que mantengan todo el material
almacenado en los servidores de la red donde puede ser protegido, ser supervisado, y
ser revisado fácilmente.
Entender el concepto del necesitar saber y el principio de menos privilegio. Necesitar-a-
saber y el principio de menos privilegio es dos axiomas estándares de los ambientes de
seguridad alta. Para acceder a los datos o a los recursos, un usuario debe tener una
necesidad de saber. Si los usuarios no tienen una necesidad que saber, os niegan el
acceso. El principio de menos privilegio significa que los usuarios deben ser concedidos
la menos cantidad de acceso al ambiente seguro como sea posible para que puedan
terminar sus tareas de trabajo. Entender las funciones privilegiadas de las operaciones.
Las funciones privilegiadas de las operaciones son actividades eso requiere el acceso o
el privilegio especial de realizarlo dentro del asegurado ambiente. Para la seguridad
máxima, tales funciones se deben restringir a los administradores y a los operadores de
sistema. Saber los estándares del cuidado debido y de la diligencia debida. El cuidado
debido está utilizando cuidado razonable para proteger el interés de una organización.
La diligencia debida está practicando las actividades que mantienen el esfuerzo del
cuidado debido. La gerencia mayor debe demostrar cuidado debido razonable y
diligencia debida para reducir su culpabilidad y responsabilidad cuando ocurre una
pérdida. Entender cómo mantener aislamiento. El aislamiento que mantiene significa la
información personal de protección del acceso a cualquier individuo o entidad
desautorizado. En el mundo en línea de hoy, la línea entre la información pública y la
información privada es a menudo indispensable La protección de la aislamiento debe
ser una misión o una meta de la base dispuesta en la política de la seguridad de una
organización. Saber los requisitos legales en tu región y campo de la maestría. Cada
organización funciona dentro de una industria y país, que imponen requisitos legales,
restricciones, y regulaciones ante sus prácticas. Los requisitos legales pueden implicar
el uso licenciado del software, restricciones que emplean, dirección de materiales
sensibles, y conformidad con regulaciones de seguridad. Entender qué constituye una
actividad ilegal. Una actividad ilegal es una acción que viola una restricción, una
regulación, o un requisito legal. Un ambiente seguro debe proporcionar mecanismos
para evitar que las actividades ilegales sean confiadas y los medios de seguir
actividades ilegales y de mantener responsabilidad de los individuos que perpetran los
crímenes. Saber el procedimiento apropiado para la retención de registro. La retención
de registro es la política de organización que define se mantiene qué información y para
cuánto tiempo. En la mayoría de los casos, los expedientes en la pregunta son rastros
483
de intervención de la actividad del usuario. Esto puede incluir el acceso del archivo y del
recurso, patrones de la conexión, E-mail, y el uso de privilegios. Entender los elementos
de asegurar medios sensibles. Información y medios de manejo correctamente,
especialmente en un ambiente de la alto-seguridad cuando sea sensible, confidencial, y
los datos propietarios se procesan, son cruciales a la seguridad y a la estabilidad de una
organización. Además de la selección de los medios, hay varias áreas dominantes de la
gerencia de la información y de los medios: marca, dirección, almacenaje, reutilización,
y destrucción. Saber y entender los tipos del control de la seguridad. Hay varios
métodos usados para clasificar controles de la seguridad. La clasificación se puede
basar en la naturaleza del control (administrativo, técnico/lógico, o comprobación) o en
la acción o el objetivo del control (directivo, preventivo, detective, correctivo, y
recuperación). Saber la importancia de la transparencia del control. Cuando son
posibles, los controles de las operaciones deben ser invisible o transparente a los
usuarios para prevenir a usuarios de la sensación que la seguridad sea el obstaculizar
su productividad. Asimismo, menos usuarios saben sobre la seguridad del sistema,
menos probables serán capaces de evitarlo. Entender cómo proteger recursos. Los
controles de las operaciones para la protección del recurso son diseñó proporcionar la
seguridad para los recursos del ambiente, incluyendo el hardware, el software, y los
activos de los datos. Para mantener secreto, la integridad, y la disponibilidad de los
activos recibidos, los recursos ellos mismos deben ser protegidos. Poder explicar a la
gerencia del control del cambio y de configuración. El cambio en un ambiente seguro
puede introducir escapatorias, traslapos, objetos colocados mal, y los descuidos a los
cuales puede conducir nuevas vulnerabilidades. Por lo tanto, debes manejar
sistemáticamente el cambio registrando, revisando, y supervisando las actividades
relacionadas con los controles de la seguridad y los mecanismos de la seguridad. Los
datos que resultan entonces se utilizan para identificar agentes del cambio, si son
objetos, temas, programas, caminos de la comunicación, o aún la red sí mismo. La meta
de la gerencia del cambio está a asegurarte de que ningún cambio no conduzca a la
seguridad reducida o comprometida. Entender el proceso confiado en de la
recuperación. El proceso confiado en de la recuperación se asegura de que un sistema
no está practicado una abertura durante un desplome, una falla, o una reiniciada y de
que cada vez que ocurren, el sistema vuelve a un estado seguro.
484
Preguntas de la revisión
1. ¿Una forma en la Gerencia de personal de qué tipo de control tiene?
A. Administrativo
B. Técnico
C. Lógico
D. Físico
2. ¿Cuál son los medios mas comunes de la distribución para los virus?
A. Software desaprobado
B.E-mail
C. Web site
D. Software comercial
3. ¿Cuáles de las causas siguientes la vulnerabilidad de ser afectado por los virus a
aumentar?
A. Longitud del tiempo que el sistema está funcionando
B. El nivel de la clasificación del usuario primario
C. Instalación del software
D. Uso de vagar perfiles
4. ¿En las áreas donde los controles técnicos no se pueden utilizar para prevenir
infecciones del virus, qué se debe utilizar para prevenirlas?
A. Líneas de fondo de la seguridad
B. Entrenamiento del conocimiento
C. Filtración del tráfico
D. Diseño de red
5. ¿Cuál afirmación no es verdad?
A. La conformación con todos los requisitos legales aplicables es una parte dominante
de seguridad que sostiene.
B. Es a menudo posible desatender requisitos legales si la conformación con
regulaciones causaría una reducción en seguridad.
C. Los requisitos legales de una industria y de un país se deben considerar línea de
fondo o fundación sobre las cuales el resto de la infraestructura de la seguridad debe
ser construido.
485
D. La industria y los gobiernos imponen requisitos legales, restricciones, y regulaciones
encendido las prácticas de una organización. Preguntas 415 de la revisión
486
6. ¿Cuál del siguiente no es una actividad ilegal que se puede realizar sobre una red de
ordenadores?
A. Hurto
B. Destrucción de activos
C. Pérdida de recursos
D. Espionaje
7. ¿Quién no necesita ser informada cuando los expedientes sobre sus actividades en
una red se están registrando y se están conservando?
A. Administradores
B. Usuarios normales
C. Visitantes temporales de la huésped
D. Nadie
8. ¿Cuál es la mejor forma de protección del antivirus?
A. Soluciones múltiples en cada sistema
B. Una sola solución a través de la organización
C. Círculos concéntricos de diversas soluciones Filtración contenta de los Uno-ciento-
por ciento de la
D. en todas las entradas de la frontera
9. ¿Cuál del siguiente es los medios eficaces de prevenir y de detectar la instalación del
software desaprobado?
A. Cambio del sitio de trabajo
B. Separación de deberes
C. Control de acceso discrecional
D. Restricciones de la responsabilidad del trabajo
10. ¿Cuál es el requisito para tener el acceso, el conocimiento a alrededor, o posesión
de datos o de un recurso para realizar las tareas de trabajo específicas conocidas
comúnmente como?
A. Principio de menos privilegio
B. Teoría prudente del hombre La
C. Necesitar-a-sabe La
D. Papel-basó control de acceso
487
11. ¿Cuáles son las actividades que requiere el acceso especial que se realizará dentro
del asegurado ambiente?
A. Funciones privilegiadas de las operaciones
B. Registración y revisión
C. Responsabilidades del mantenimiento
D. Administración de cuentas del usuario
12. ¿Cuál del siguiente requiere que los archivos de los registros de la intervención
estén guardados por períodos del tiempo largos?
A. Remanence de los datos
B. Retención de registro
C. El diddling de datos
D. Explotación minera de los datos
13. ¿Cuál es el aspecto más importante de los medios de la marca?
A. Etiquetado de la fecha
B. Descripción contenta
C. Etiquetado electrónico
D. Clasificación
14. ¿Qué operación se realiza en medios así que puede ser reutilizada en un ambiente
menos-seguro?
A. El borrar
B. Claro
C. El purgar
D. El sobreescribir
15. ¿Sanitization puede ser no fiable debido a cuál del siguiente?
A. Ningunos medios pueden estar limpios completamente barrido de todos los
remanente de los datos.
B. Incluso los medios completamente incinerados pueden ofrecer datos extractables.
C. El proceso se puede realizar incorrectamente.
D. Los datos almacenados se graban al agua fuerte físicamente en los medios.
16. ¿Qué herramienta de la seguridad se utiliza para dirigir la puesta en práctica de la
seguridad de una organización?
A. Control directivo
488
B. Control preventivo
C. Control detective
D. Control correctivo
489
17. ¿Qué mecanismo de la seguridad se utiliza para verificar si los controles directivos y
preventivos han sido acertados?
A. Control directivo
B. Control preventivo
C. Control detective
D. Control correctivo
18. Cuando son posibles, los controles de las operaciones deben ser
________________.
A. Simple
B. Administrativo
C. Preventivo
D. Transparente
19. ¿Cuál es la meta fundamental de la gerencia del cambio?
A. Seguridad del personal
B. Permitir la restauración no actualizada de cambios
C. Asegurándose de que los cambios no reduzcan seguridad
D. Revisión del acceso del privilegio
20. ¿Qué tipo de proceso confiado en de la recuperación requiere la intervención de un
administrador?
A. Restricto
B. Manual
C. Automatizado
D. Controlado
490
Respuestas
1.A. La gerencia de personal es una forma de control de administración. Los controles
de administración también incluyen la separación de los deberes y de las
responsabilidades, rotación de deberes, menos privilegio, y así sucesivamente.
2. B. El E-mail es el método más común de la distribución para los virus.
3. C. Mientras que más software está instalado, más vulnerabilidades se agregan al
sistema, así agregando más avenidas del ataque para los virus.
4. B. En las áreas donde los controles técnicos no pueden prevenir infecciones del virus,
los usuarios deben ser entrenados en cómo prevenirlas.
5. B. Los leyes y las regulaciones deben ser obedecidos y las preocupaciones de la
seguridad se deben ajustar por consiguiente.
6. C. Aunque pierde recursos se considera actividad inadecuada, él no es realmente un
crimen en la mayoría de los casos.
7. D. Cada uno debe ser informado cuando los expedientes sobre su los vities del acti
en una red se están registrando y se están conservando
8. C. Los círculos concéntricos de diversas soluciones son la mejor forma de protección
del antivirus.
9. A. El cambio del sitio de trabajo es los medios eficaces de prevenir y de detectar la
presencia del software desaprobado.
10. La C. Necesitar-a-sabe es el requisito para tener el acceso, el conocimiento a
alrededor, o posesión de datos o de un recurso para realizar tareas de trabajo
específicas.
11. A. Las funciones privilegiadas de las operaciones son las actividades que requieren
el acceso especial realizarlo dentro del asegurado ambiente. Pueden incluir a la
revisión, al mantenimiento, y a la administración de cuentas del usuario. 12. B. Para
utilizar la retención de registro correctamente, los archivos de los registros de la
intervención se deben guardar por períodos del tiempo largos.
13. D. La clasificación es el aspecto más importante de los medios de la marca porque
determina las precauciones necesarias para asegurar la seguridad del contenido
recibido.
491
14. C. El purgar de medios está borrando medios así que puede ser reutilizado en un
ambiente menos-seguro. El proceso que purga puede necesitar ser repetido las épocas
numerosas dependiendo de la clasificación de los datos y de la seguridad del ambiente.
15. La C. Sanitization puede ser no fiable porque los procesos el purgar, el degaussing,
u otro se pueden realizar incorrectamente.
16. A. Un control directivo es una herramienta de la seguridad usada para dirigir la
puesta en práctica de la seguridad de una organización.
17. C. Un control detective es un mecanismo de la seguridad usado para verificar si los
controles directivos y preventivos han sido acertados.
18. D. Cuando son posibles, los controles de las operaciones deben ser invisibles, o
transparentes, a los usuarios. Esto guarda a usuarios de la sensación obstaculizada por
la seguridad y reduce su conocimiento del esquema total de la seguridad, así más lejos
restringiendo la probabilidad que los usuarios violarán seguridad del sistema
deliberadamente.
492
CAPITULO 14
Con formato: Fuente: 14 pto, Negrita
493
2. Revisión y supervisión
El dominio de la seguridad de las operaciones del Common Body of Knowledge (CBK)para los repartos del examen de la certificación de CISSP con las actividades y losesfuerzos dirigidos en mantener seguridad operacional e incluye las preocupacionesprimarias de la revisión y de la supervisión. Incitarlo la revisión y supervisión de losdepartamentos de IT para hacer esfuerzos en la detección de intrusiones y deactividades desautorizadas. Los administradores vigilantes deben clasificar con unaselección de contramedidas y realizar la penetración que prueba que las ayudas allímite, restringen, y previenen actividades inadecuadas, crímenes, y otras amenazas.
Discutimos el dominio de la seguridad de las operaciones en un cierto detalle en elcapítulo 13, “gerencia administrativa” y acabaremos encima de cobertura en estedominio en este capítulo. Ser seguro leer y estudiar los materiales de ambos capítulospara asegurar la cobertura completa del esencial material de la seguridad de lasoperaciones para el examen de la certificación de CISSP.
j. Revisión
La revisión es una examinación o una revisión metódica de un ambiente para asegurarla conformidad con las regulaciones y para detectar anormalidades, ocurrenciasdesautorizadas, o crímenes absolutos. Asegurar que los ambientes IT confíenpesadamente en la revisión. Total, la revisión sirve como el tipo primario de controldetective usado en un ambiente seguro.
k. Revisión de fundamentos
La revisión abarca una variedad amplia de diversas actividades, incluyendo la grabaciónde los datos del acontecimiento/de la ocurrencia, examinación de datos, de la reducciónde datos, del uso de los disparadores del alarmar del acontecimiento/de la ocurrencia, ydel análisis del registro. Estas actividades también se conocen como, por ejemplo,registro, supervisión, alarmas que examinan, análisis, y detección uniforme de laintrusión. El registro es la actividad de la información de grabación sobreacontecimientos u ocurrencias a un fichero de diario o a una base de datos. Lasupervisión es la actividad de manualmente o programmatically repasando lainformación registrada que busca algo específico.
Los triggers de alarma son notificaciones enviadas a los administradores cuando ocurreun acontecimiento específico. El análisis del registro es un más detallado y formasistemática de supervisión en cuál se analiza la información registrada detalladamentepara las tendencias y los patrones así como anormal, desautorizado, ilegal, y lasactividades política-violación. La detección de la intrusión es una forma específica desupervisar ambas información registrada y acontecimientos en tiempo real para detectarel acceso indeseado del sistema.
l. Responsabilidad
La revisión y la supervisión son factores requeridos para sostener y hacer cumplirresponsabilidad. Supervisión son los medios programáticos por los cuales los temas sonllevados a cabo responsables de sus acciones mientras que están autenticados en un
494
sistema. Sin una cuenta electrónica de las acciones de un tema, no es posiblecorrelacionarla las actividades, los acontecimientos, y las ocurrencias con los temas. Lasupervisión es también el proceso por el cual las actividades desautorizadas oanormales son detectadas en un sistema. Es necesaria detectar las acciones malévolaspor los temas, las intrusiones procuradas, y los fallos del sistema y reconstruir losacontecimientos, proporcionan la evidencia para el procesamiento, y los informes yanálisis del problema del producto. La revisión y la registración son generalmentecaracterísticas nativas de un sistema operativo y la mayoría de los usos y de losservicios. Así, configurando el sistema a la información de registro sobre tiposespecíficos de acontecimientos es bastante directo.
La revisión también se utiliza para supervisar la salud y el funcionamiento de un sistemacon la registración de las actividades de temas y de objetos así como las funciones delsistema de la base que mantienen el ambiente de funcionamiento y los mecanismos dela seguridad. Los rastros de intervención creados registrando acontecimientos delsistema a los registros se pueden utilizar para evaluar la salud y el funcionamiento deun sistema. Los fallos del sistema pueden indicar programas culpables, conductorescorruptos, o tentativas de la intrusión. Los registros del acontecimiento que conducen aun desplome se pueden utilizar a menudo para descubrir que la razón que un sistemafalló. Los ficheros de diario proporcionan un rastro de intervención para reconstruirgradualmente la historia de un acontecimiento, de una intrusión, o de un fallo delsistema.
En la mayoría de los casos, cuando la suficiente registración y la revisión se permitesupervisar un sistema, tanto los datos se recogen que los detalles importantesconsiguen perdidos en el bulto. El arte de la reducción de datos es crucial al trabajarcon los volúmenes grandes de supervisar datos. Hay herramientas numerosas a buscara través de los ficheros de diario para los acontecimientos específicos o los códigos deidentificación. Sin embargo, para la automatización verdadera e incluso el análisis entiempo real de acontecimientos, se requiere un sistema de la detección de la intrusión(identificaciones). Las soluciones de las identificaciones se discuten en el capítulo 2, los“ataques y supervisión”.
m. Conformidad
La revisión es también de uso general para la prueba de la conformidad, ocomprobación de la conformidad. La verificación que un sistema se conforma con leyes,las regulaciones, las líneas de fondo, las pautas, los estándares, y las políticas es unaparte importante de seguridad que mantiene en cualquier ambiente. La prueba de laconformidad se asegura de que todos los elementos necesarios y requeridos de unasolución de la seguridad están desplegados correctamente y funcionando según loesperado. Los cheques de la conformidad pueden tomar muchas formas, tales comoexploraciones de la vulnerabilidad y prueba de la penetración. Pueden también serrealizados usando las herramientas del análisis del registro para determinarse si se hanobservado algunas vulnerabilidades para las cuales se hayan desplegado lascontramedidas en el sistema.
Las intervenciones se pueden realizar a partir de la una de dos perspectivas: interno oexterno. Los empleados de organización por dentro de los ambiente que estánenterados de las soluciones puestas en ejecución de la seguridad realiza intervencionesinternas. Los interventores independientes del exterior ambiente que no están alcorriente de las soluciones puestas en ejecución de la seguridad realiza intervencionesexternas. Agencias del seguro, firmas de contabilidad, o aún los interventores externosdel hire de la organización sí mismo para probar la validez de las demandas de la
495
seguridad. La meta de la revisión interna y externa es medir la eficacia de la solucióndesplegada de la seguridad.
n. Marcos de tiempo de la intervención
La frecuencia del intervención de la seguridad de la infraestructura o revisión de laseguridad se basa en riesgo. Al realizar análisis del riesgo, debe ser determinado del siel suficiente riesgo existe para autorizar el costo e interrupción ser causado por unaintervención de la seguridad en más o una base menos frecuente. En todo caso, lafrecuencia de las revisiones de la intervención debe ser bien definida en las pautas de laseguridad o estándares de una organización. Definido una vez en la infraestructuraformalizada de la seguridad, debe ser adherida. Sin los gravámenes regulares delestado de la seguridad del infraestructura, allí no es ninguna manera saber seguro es elambiente hasta que un ataque es acertado o frustrado. El esperar hasta la batalla paradeterminarse si o no tendrás éxito es una estrategia de negocio muy pobre.
Como con muchos otros aspectos de la seguridad que despliega y que mantiene, lasintervenciones de la seguridad y las revisiones de la eficacia se ven a menudo comoelementos dominantes en exhibir cuidado debido. Si la gerencia mayor no puede hacercumplir conformidad con revisiones periódicas regulares de la seguridad, después seránsostenidas responsables y obligadas para cualquier pérdida del activo que ocurradebido a las aberturas de la seguridad o a las violaciones de la política.
o. Rastros de intervención
Los rastros de intervención son los expedientes creados por la información de grabaciónsobre acontecimientos y ocurrencias en una base de datos o un fichero de diario. Losutilizan para reconstruir un acontecimiento, para extraer la información sobre unincidente, para probarla o para refutar culpabilidad, y mucho más. Permiten que queremontans los acontecimientos sean examinados o en orden delantera o reversa. Estaflexibilidad es útil al seguir abajo de problemas, de errores de codificación, de edicionesdel funcionamiento, de ataques, de intrusiones, de aberturas de la seguridad, y de otrasviolaciones de la política de la seguridad. Usar rastros de intervención es una formapasiva de control detective de la seguridad. Sirven como una televisión de manerasemejante a circuito cerrado del impedimento (CCTV) o los protectores de seguridad: siel atacante sabe que los están mirando y sus actividades registradas, son menosprobable realizarse la actividad ilegal, desautorizada, o malévola. Los rastros deintervención son también esenciales como evidencia en el procesamiento de criminales.Pueden ser utilizados a menudo para producir a antes-y-después del cuadro del estadode recursos, de sistemas, y de activos. Esto alternadamente ayuda a identificar si elcambio o la alteración es el resultado de la acción de un usuario o de una acción del OSo del software o causada por algunas otras fuentes (tales como falta del hardware).
La responsabilidad se mantiene para los temas individuales con el uso de los rastros deintervención. Cuando las actividades de los usuarios y de los acontecimientos causadospor las acciones de los usuarios mientras que en línea se registran, individuos sepueden llevar a cabo responsables de sus acciones. Esto promueve directamentebuenos comportamiento y conformidad del usuario con la política de la seguridad de laorganización. Los usuarios que están enterados que su las actividades se estáregistrando son menos probables procurar evitar controles de la seguridad o realizaractividades desautorizadas o restrictas.
496
Los administradores de sistema de la elasticidad de los rastros de intervención lacapacidad de reconstruir acontecimientos desean después de que hayan pasado.Cuando se detecta una violación de la seguridad, las condiciones y el estado delsistema que conduce al acontecimiento, durante el acontecimiento, y después de que elacontecimiento se pueda reconstruir a través de una examinación cercana del rastro deintervención.
Detalles de la oferta de los rastros de intervención sobre acontecimientos registrados.Una amplia gama de la información se puede registrar en ficheros de diario, incluyendohora, fecha, sistema, usuario, proceso, y el tipo de error/de acontecimiento. Los ficherosde diario pueden incluso capturar el estado de la memoria o el contenido de la memoria.Esta información puede ayudar a establecer claramente la causa del acontecimiento.Usar los ficheros de diario para este propósito se etiqueta a menudo como identificacióndel problema. Una vez que se identifique un problema, la ejecución de la resolución delproblema es poco más que siguiendo en la información divulgada. Los rastros deintervención registran fallos del sistema, insectos del OS, y errores del software como elpozo como abusos del acceso, violaciones de privilegios, procuró intrusiones, y muchasformas de ataques. La detección de la intrusión es una forma especializada deidentificación del problema con el uso de los rastros de intervención.
Una vez una violación de la política de la seguridad o una abertura ocurre, la fuente deesa violación debe ser determinada. Si es posible seguir al individuo que perpetró laactividad, ella debe ser reprendida o ser terminada (si un empleado) o ser procesada (siun intruso externo). En todos los casos donde ha ocurrido una violación o una aberturaverdadera de la política de la seguridad (especialmente si una pérdida puede serestablecida claramente), debes divulgar el incidente a tus autoridades locales,posiblemente el FBI, y si ocurrió la violación en línea, a unas o más organizaciones quesiguen del incidente del Internet.
p. Divulgación de conceptos
Los formatos reales usados por una organización para producir informes de rastros deintervención variarán grandemente. Sin embargo, los informes si toda la direcciónalgunos conceptos básicos o centrales: el propósito de la intervención, el alcance de laintervención, y los resultados descubiertos o revelados por la intervención. Además deestos conceptos foundational básicos, los informes de intervención incluyen a menudomuchos detalles específicos al ambiente, tal como tiempo, fecha, sistemas específicos,y así sucesivamente. Los informes de intervención pueden incluir una amplia gama delcontenido que se centra en problemas/acontecimientos/condiciones,tandards/criterios/líneas de fondo, causas/razones, impacto/efecto, osoluciones/recomendaciones/salvaguardias.
q. Formato de divulgación
Los informes de intervención deben tener una estructura o un diseño que estén claros,sucinto, y un objetivo. Es común para que el interventor incluya opiniones o lasrecomendaciones para la respuesta al contenido de un informe, pero los resultadosreales del informe de intervención se deben basar en hecho y evidencia de rastros deintervención. Los informes de intervención incluyen la información sensible y se debenasignar una etiqueta de la clasificación y dirigir apropiadamente. Dentro de la jerarquíade la organización, solamente esa gente con suficiente privilegio debe tener acceso alos informes de intervención. Un informe de intervención se puede también preparar envario formas según la jerarquía de la organización. Deben proporcionar solamente los
497
detalles relevantes a la posición de los miembros del personal que tienen acceso aellos. Por ejemplo, la gerencia mayor no necesita saber todos los detalles minuciososde un informe de intervención. Por lo tanto, el informe de intervención para la gerenciamayor es mucho más sucinto y ofrece más de una descripción o de un resumen de losresultados. Un informe de intervención para encargado o el administrador de laseguridad debe estar muy detallado e incluir toda la información disponible sobre losacontecimientos contenidos en ella.
r. Divulgación de los marcos de tiempo
La frecuencia de producir informes de intervención se basa en el valor de los activos yel nivel del riesgo. más valioso el activo y cuanto más alto es el riesgo, el informe deintervención debe ser producido más a menudo. Una vez que se termine un informe deintervención, debe ser sometido al recipiente asignado (según lo definido en ladocumentación de la política de la seguridad) y una confirmación firmada del recibodebe ser archivada. Cuando un informe de intervención contiene la información sobreviolaciones de la seguridad o ediciones serias del funcionamiento, el informe se debeextender a niveles más altos de la gerencia para la revisión, la notificación, y laasignación de una respuesta. Tener presente que, en una infraestructura formalizada dela seguridad, sólo los niveles más altos de la gerencia tienen cualquier energía de latoma de decisión. Todas las entidades en el extremo inferior de la estructura debenseguir prescribieron procedimientos y siguen la instrucción.
s. Muestreo
El muestreo, o la extracción de datos, es el proceso de extraer elementos de un cuerpogrande de datos adentro orden para construir una representación o un resumensignificativa del conjunto. Es decir muestreo es una forma de reducción de datos quepermita que un interventor determine rápidamente las ediciones o los acontecimientosimportantes de un rastro de intervención. Hay dos formas de muestreo: estadístico y noestadístico. Una herramienta de revisión usando funciones matemáticas exactas paraextraer la información significativa de un de gran capacidad de datos realiza el muestreoestadístico. Hay siempre un riesgo que muestrearon datos no es una representaciónexacta del cuerpo entero de datos y que puede engañar a interventores y losencargados, y el muestreo estadístico pueden ser utilizados para medir ese riesgo.
Los niveles del truncamiento son ampliamente utilizados en curso de revisión deacontecimientos como línea de fondo del sistema o de la actividad del usuario que seconsideran actividad rutinaria. Si se excede esta línea de fondo, se acciona un alarmarinusual del acontecimiento. Esto trabaja especialmente bien cuando los individuosexceden su autoridad, cuando hay demasiada gente con el acceso sin restricción, ypara los patrones serios de la intrusión.
El muestreo no estadístico se puede describir como el muestreo al azar o muestreo enla discreción del interventor. Ofrece ni aseguramiento de una representación exacta delcuerpo entero de datos ni una galga del riesgo del muestreo. El muestreo no estadísticoes menos costoso, requiere menos entrenamiento, y no requiere instalacionesinformáticas..El muestreo estadístico y no estadístico se acepta como mecanismos válidos para crearlos resúmenes o las descripciones de cuerpos grandes de los datos de la intervención.Sin embargo, el muestreo estadístico es más confiable.
498
t. Retención de registro
Mientras que el término implica, la retención de registro implica el conservar y elmantener de la información importante. Una organización debe tener una política quedefina se mantiene qué información y para cuánto tiempo. Pues se aplica a lainfraestructura de la seguridad, en la mayoría de los casos, los expedientes en lapregunta son los rastros de intervención de la actividad del usuario, que pueden incluirel acceso del archivo y del recurso, patrones de la conexión, E-mail, y el uso deprivilegios.
u. Marcos de tiempo de la retención
Dependiendo de tu industria y de tu relación con el gobierno, puedes necesitarconservar los expedientes por tres años, siete años, o indefinidamente. En la mayoríade los casos, un mecanismo de reserva separado se utiliza para crear las copiasarchivadas de los rastros de intervención sensibles y de la información de laresponsabilidad. Esto permite para que el sistema de reserva principal de datos reutiliceperiódicamente sus medios sin la violación del requisito para conservar rastros deintervención y los similares.
Si los datos sobre individuos están siendo conservados por tu organización, losempleados y la necesidad de clientes de ser hecho enterado de ellos (tales comoadentro un acuerdo condicional del empleo o un acuerdo del uso). En muchos casos, elrequisito de la notificación es una cuestión legal, mientras que en otros es simplementeuna cortesía. En cualquier caso, es una buena idea discutir la edición con un abogado.
v. Medios, destrucción, y seguridad
Los medios almacenaban o conservar rastros de intervención debe ser mantenidacorrectamente. Esto incluye tomar las medidas seguras para la marca, la dirección, elalmacenaje, y la destrucción de medios. Para los detalles en la manipulación de mediossensibles, ver por favor la sección titulada “información y los medios sensibles” en elcapítulo 13, “gerencia administrativa”.
Los expedientes conservados se deben proteger contra desautorizado y untimely ladestrucción, contra la alteración, y contra obstáculos para la disponibilidad. Muchos delos mismos controles de la seguridad usados para proteger recursos y activos en línease pueden imponer para proteger registros de la intervención, rastros de intervención,informes de intervención, y los medios de reserva que contienen la información de laintervención.
El acceso a la información de la intervención debe ser controlado terminantemente. Lainformación de la intervención se puede utilizar en ataques de la inferencia paradescubrir la información sobre clasificaciones más altas de datos, así los registros de laintervención que contienen expedientes sobre activos altamente confidenciales sedeben manejar de la misma manera segura que los activos reales. Otra manera deindicar esto es que cuando se crea un registro de la intervención, estás creando otraentidad del activo con las mismas necesidades de la seguridad que el activo revisadooriginal.
Mientras que va el valor de activos y de los datos de la intervención para arriba y elriesgo aumenta, así que hace la necesidad de un aumento en seguridad y de la
499
frecuencia de las reservas para la información de la intervención. Los datos de laintervención se deben tratar con las mismas precauciones de la seguridad que el restode los datos de la alto-clasificación dentro del ÉL ambiente. Debe ser protegido por loscontroles físicos y lógicos de la seguridad, él debe ser revisado, debe ser sostenidoregularmente, y los medios de reserva se deben almacenar de sitio en un controladofacilidad. Los medios de reserva que reciben datos de la intervención se deben protegercontra pérdida, la destrucción, la alteración, y el acceso físico y lógico desautorizado. Laintegridad de los datos de la intervención se debe mantener y proteger siempre. Si losdatos de la intervención no son exactos, es inútil.
w. Interventores externos
Es a menudo necesario probar o verificar los mecanismos de la seguridad desplegadosen un ambiente. La prueba el proceso se diseña para asegurarse de que los requisitosdictados por la política de la seguridad están seguidos y que ningunos agujeros odebilidades significativos existen en la solución desplegada de la seguridad. Muchasorganizaciones emplean los interventores exteriores o externos de la seguridad paracomprobar la seguridad de su ambiente.
Dan un interventor externo el acceso a la política de la seguridad de la compañía y a laautorización de examinar cada aspecto del ÉL y ambiente físico. Así el interventor debeser una entidad confiada en. La meta de la actividad de la intervención es obtener uninforme final que detalle cualquier resultado y sugiere contramedidas cuando esapropiada. Sin embargo, una intervención de este tipo puede tomar un considerablecantidad de tiempo a las completo-semanas o a los meses, de hecho. Durante el cursode la intervención, el interventor puede publicar informes provisionals. Un informeprovisional es un informe escrito o verbal dado a la organización sobre una debilidaddescubierta de la seguridad que necesite la atención inmediata. Se publican losinformes provisionals siempre que un problema o una edición sea demasiado severaesperar hasta el final se publica el informe de intervención.
Una vez que el interventor termine sus investigaciones, se lleva a cabo una conferenciade la salida. Durante la conferencia de la salida, el interventor presenta y discute susresultados y discute ediciones de la resolución con los partidos afectados. Sin embargo,solamente después que la conferencia de la salida es excesiva y el interventor hadejado las premisas hace a interventor escriben y someten el informe de intervenciónfinal a la organización. Esto permite que el informe de intervención final sea taninafectado como sea posible por política y la coerción de la oficina. Después de que sereciba el informe de intervención final, los interventores internos deben verificar si o nolas recomendaciones en el informe estén realizadas. Sin embargo, es la responsabilidadde la gerencia mayor seleccionar que las recomendaciones de seguir y de delegar lapuesta en práctica al equipo de la seguridad.
6. Monitoreo
El monitoreo o supervisión es una forma de auditar esos focos en la revisión activa de lainformación auditada o del activo auditado. Por ejemplo, nosotros podríamos auditar laactividad de conexiones falladas, pero supervisarías funcionamiento de la CPU. Lasupervisión es la más de uso tiene conjuntamente con la performance, pero puede serutilizada en un contexto de la seguridad también. La supervisión puede centrarse eneventos, subsistemas, usuarios, hardware, software, o cualquier otro objeto dentro delambiente de TI. Una puesta en práctica común de la supervisión se conoce como
500
supervisión ilegal del software. Este monitoreo se utiliza para mirar las instalaciones desoftware ilegal, el uso del software desautorizado, o el uso desautorizado del softwareaprobado (es decir, tentativas de saltar las restricciones en la jerarquía de laclasificación de seguridad). La supervisión de este modelo reduce la probabilidad de unvirus o de un Trojan Horse que es instalada o del software que evita los controles de laseguridad impuestos
a. Herramientas y técnicas de monitoreo
Las actuales herramientas y técnicas usadas para la performance delmonitoreo varian enormemente entre ambientes y las plataformas desistemas. Sin embargo estas son formas comunes encontradas en losambientes. Estas incluyen barnners de aviso, monitoreo …( keystroke),análisis del trafico , análisis de tendencia y otras herramientas demonitoreo.
b. Warning Banners
Estas son usadas para el informe de supuestos intrusos o aquellosquienes atentan para violar la política de seguridad esas actividadesintensionales son restringidas y cualquier otra actividad lejana podría serauditada y monitoreada. La equivalencia electrónica de los WarningBanners seria básicamente a no traspasar el logeo. En otras situaciones,las expresiones de los Banners son importantes en lo puntos legales.Estar seguro para consultar con otros abogados acerca de lasexpresiones apropiadas. Solo por validas las alertas podríamos mostrarinstrucciones ya ataques que están procesando. Los usuariosautorizados y no autorizados podrías estar avisados cuando susactividades están siendo registradas. Los usuario autorizados podríanasumir y sus contratos podrían incluir puntos específicos indicando esosy cualquier otro actividad dentro del la infraestructura de TI puede serregistrada
c. Keystroke Monitoring
Este es el acto de grabar las tecleadas del usuario. El acto de grabarpuede ser visual o lógico/técnico. En la mayoría de casos el “keystroke”es usado para propósitos maliciosos. Solo en circunstancias extremas yen los ambientes sumamente asegurados, el monitoreo de “keystroke”puede ser extremadamente útil para aprender de las clases de ataques yde los métodos usados para la infiltración al sistema. El monitoreo de lasteclas pulsadas a menudo comparadas con las interacciones de laslíneas telefónicas. Ahí hay un debate, si el monitoreo de las teclaspulsadas podrían ser rectridigas y controladas por la misma manera quela intervención telefónica. Porque esas no tienen antecedentes legalestodavía, cualquier organización que emple el monitoreo de las teclaspulsadas notificara la autenticación y autorización de los usuarios para talmonitoreo por algún contrato , política de seguridad y “warning Banners”
d. Traffic Analysis and Trend Analysis (Analisis de trafico y de Tendencias)
Son formas de monitoreo donde examina los flujos o paquetes, más biendel contenido de paquetes actuales. Analisis de tráfico y de tendenciaspueden ser usadas para tener (infer) uan gran cantidad de información
501
como la primera comunicación de los router, fuentes para la encriptaciónde tráfico, localización del servidor primario y del sendero de lacomunicación, la cantidad para el trafico soportada por la red, la direccióntípica del flujo, frecuencia de comunicaciones y mucho mas.
e. Other Monitoring Tools
Hay un aplico rango de herramientas disponibles para el performance delmonitoreo. Algunas son automatizan la actividad del monitoreo en tiemporeal. Unas herramientas de monitoreo son desarrollos “In-House”, y son“adhoc ”las cuales enfocan un tipo simple de observación. La mayoría deherramientas son pasivas. Este medio es causado Esto quiere decir queno causa nigun efecto en las actividades de monitoreo, eventos o tráfico yno hacer trasmisiones originales de sí mismo.Un ejemplo común de la herramienta para monitorear el acceso físico esel empleo de televisión en circuito cerrado (CCTV). CCTV puede serconfigurado para automáticamente registrar los acontecimientos vistos enuna cinta para la revisión posterior, o el personal quien mira paraactividades no deseadas, no autorizadas, e ilegales puede mirarlo entiempo real.El reconocimiento de fracaso y la respuesta son una parte importante demonitorear y revisar . ¿De otra manera, qué el punto para la performancedel monitoreo y de las actividades de revisión? Sobre los sistemas queusan la revisión manual, el reconocimiento de fallido es laresponsabilidad del observador o el interventor. Para reconocer unfracaso, hay que entender que es normal y esperado. Cuando elmonitoreo y las actividades de auditoría de la línea de estándar básico,entonces una brecha , falla , instrucción , error o problema puede ocurrirla acción de respuesta debe de ser iniciada.Automatizar los monitoreos y las auditorias de sistemas son usualementeprogramadas para reconcoer las fallas .El reconocimiento de los fracasospueden ser basados en firmas o en bases de conocimientos para unadiscusión de esos dos mecanismos, por favor vea la discusión sobre ladetección de intrusos en el capítulo 2. En el caso de un reconocimientoautomático o manual el primer paso es la notificación a la autoridadresponsable para la sustentación de la seguridad y manipulación delproblema. A menudo es el adminsitrado local, el manejador local o elprofesional de seguridad local. La notificación usualmente toma la formade una alarma o de una notificación de alerta. Una vez que la notificaciónes realizada, el personal responsable o la herramienta automática puededar una respuesta. Cuando una persona es responsable de la respuestaesta debe de adaptar la respuesta para especificar la situación ycondición. Por esta razón en las respuestas controladas por el personal amenudo son las más efectivas. La herramienta, las repuestasautomatizada de una herramienta son script definidos donde algunosalcances son más que innecesarios.Los instrumentos automatizados son excelentes para lockdown rápido yeficiente, pero a menudo la contramedida o la respuesta impuesta por uninstrumento afectarán considerablemente la capacidad del sistema deseguir apoyando y de realizar el trabajo productivo. Siempre que unarespuesta del instrumento automatizada sea desplegada, el personaldebería ser notificado así la respuesta puede ser ajustada y la red puedeser devuelta a su estado normal cuanto antes.
7. Penetration Testing Techniques
502
En términos de seguridad , una penetración ocurre cuando un ataque es acertado y unintruso es capaz de violar el perímetro de su ambiente. La violación puede ser tanpequeña como leer unos pocos bits de su red o tan grande como conectándose comoun usuario con privilegios sin restricción. Uno de los objetivos primarios de seguridaddebe prevenir penetraciones. Un método común de probar la fuerza de sus medidas deseguridad es de realizar pruebas de penetración.Las pruebas de penetración son una tentativa vigorosa de romperse en una redprotegida usando cualquier mecanismo necesario. Es común para organizaciones tenera consultores externos para realizar la penetración que prueba entonces los probadoresno son privados a los elementos confidenciales de la configuración de la seguridad, yotros secretos internos. Las pruebas de penetración son el arte y la ciencia deimplementar salvaguardas puestos en práctica. Esto es solamente otro nombre paralanzar tentativas de intrusión y ataca contra una red. La actividad en cualquiera esexactamente la misma, pero las pruebas de penetración son realizadas con laaprobación y el conocimiento de los profesionales de seguridad en un ambientecontrolado y supervisado.Los intentos de los usuarios malévolos para la violación de la seguridad en el ambientede TI , seria realiza ataques de intrusión. Si un usuario interno realiza una prueba contrauna medida de seguridad sin la autorización, entonces será visto como un ataque másbien que como una prueba de penetración. Las pruebas de penetración pueden serrealizadas usando instrumentos de ataque automatizados o manualmente . Losinstrumentos de ataque automatizados se extienden de escáneres de vulnerabilidad ainstrumentos de cracker/hacker , que existen en la internet. Los manuales de Ataquesse emplean a menudo, pero mucho más responsabilidad es colocada sobre el atacantepara saber los detalles de cómo se comete un ataque.Las pruebas de penetración sólo deberían ser realizadas con el consentimiento y elconocimiento del personal de dirección. La realización de pruebas de seguridaddesaprobadas podría causar la pérdida de productividad, provocar equipos derespuesta de la emergencia, o aún costarle su trabajo. Las tentativas de penetracióncon regularidad organizadas son un camino bueno para juzgar con exactitud losmecanismos de seguridad desplegados por una organización. Las pruebas depenetración también pueden revelar áreas donde los parches o ajustes de seguridadson insuficientes y donde nuevas vulnerabilidades se han desarrollado. el equipo depenetracion prueba puede tener varios niveles de conocimiento sobre el ambiente paraser evaluado. Los tres niveles de conocimiento comúnmente aprobados son el cero,parcial, y llenos. Equipos de conocimiento cero no saben nada sobre el sitio excepto lainformación básica, como la dirección de empresa y el nombre de dominio. Un ataquepor un equipo de conocimiento cero el más estrechamente se parece a un verdaderoataque de hacker externo porque toda la información sobre el ambiente debe serobtenida desde el principio. Un equipo de conocimiento parcial un tiene un inventario dehardware y software usado en la Penetración que Prueba Técnicas 431 sitios yposiblemente conectar una red detalles de configuración y el diseño. El equipo esentonces capaz de enfocar sus esfuerzos en ataques y vulnerabilidades específicas alhardware real y el software en el empleo en el sitio. Un equipo de conocimiento lleno escompletamente consciente de cada aspecto del ambiente, baja los parches yactualizaciones de seguridad exactas. El personal de administración de seguridadnormal puede ser considerado un equipo de conocimiento lleno. Lamentablemente, unequipo de conocimiento lleno es el tipo menor preferido de penetración que prueba elequipo porque sus miembros a menudo son influidos y pueden tener puntos ciegos. Unequipo de conocimiento lleno sabe que ha sido asegurado, entonces esto puede fallaren probar la responsabilidad correctamente.
a. War Dialing
Es el acto de usar un módem para buscar un sistema que aceptarátentativas de conexión entrantes. Un sintonizador de guerra puede ser un
503
ordenador típico como un módem conectado y una carrera de programade sintonizador de guerra o esto puede ser un dispositivo independiente.En el uno o el otro caso, ellos son usados para sistemáticamente marcarnúmeros de teléfono y escuchar para un tono de portador de ordenador.Cuando un tono de portador de ordenador es descubierto, el sintonizadorde guerra añade este número a su informe que es generado al final delproceso de búsqueda. Un sintonizador de guerra puede ser usado buscarcualquier gama de números, como los 10,000 números dentro de unprefijo específico o todos los 10,000,000 dentro de un prefijo localespecífico. La marcación de guerra a menudo es usada localizar losmódems no autorizados que han sido instalados sobre sistemas decliente dentro de una red asegurada de otra manera y sin querer han sidoconfigurados para contestar hacia el interior llamadas. Un atacante puedeadivinar una relativamente pequeña gama de números de teléfono paraexplorar por aprendiendo uno o varios de los números de teléfono usadospor la organización. En la mayoría de los casos, el prefijo es el mismopara todos los números dentro de la organización de ser localizadadentro del mismo edificio o dentro de una pequeña área geográfica. Así,la guerra que marca la búsqueda podría ser limitada con 10,000números. Si varios de los números de teléfono de la organización sonsecuencialmente cercanos, el atacante puede enfocar la la búsquedasobre un grupo de sólo unos cien de números. War dialing como unaprueba de penetración es un instrumento útil para asegurar que ningunosmódems de contestación no autorizados están presentes dentro de suorganización. En la mayoría de los casos, usted tendrá una lista definitivade los números de teléfono controlados por o asignado a su organización.Tal lista proporciona un plan enfocado de pruebas para la marcación deguerra. Las contramedidas contra la War dialing malévola incluyen laseguridad de acceso imponente (principalmente en la forma deautenticación), asegurando que ningunos módems no autorizados estánpresentes, y la seguridad de retrollamada de utilización, la restricción deprotocolo, y la tala de llamada.
b. Sniffing and Eavesdropping
es una forma de supervisión de tráfico de red. La aspiración a menudoimplica la captura o la duplicación de tráfico de red para el examen, larecreación, y la extracción. Esto puede ser usado tanto como unmecanismo de prueba de penetración como como un método de ataquemalévolo. La aspiración es a menudo un instrumento eficaz en la capturao la extracción de datos de corrientes de tráfico de red no cifradas. Lascontraseñas, usernames, IP direcciones, el contenido de mensaje, ymucho más pueden ser capturadas usando el software u olfateadores abase de hardware. Los olfateadores pueden capturar sólo el tráfico dirigióa la su dirección de IP del sistema de anfitrión o todo el tráfico que pasasobre el segmento de red local. Para capturar todo el tráfico sobre unsegmento de red local, NIC del olfateador debe ser colocado en el modopromiscuo. Hay muchos Sniffer comerciales, el freeware, y Sniffer demercancía de hacker disponibles. Estos incluyen Etherpeek, WinDump,Etéreo, sniffit, y Snmpsniff.La contramedida primaria a la aspiración de ataques debe usar el tráficocifrado. También pueden frustrar a la aspiración impidiendo al softwareno deseado instalar, por cerrando abajo todos los puertos no usados, ypor usando un IDS o un escáner de vulnerabilidad que es capaz dedescubrir los signos reveladores de un producto de Sniffer
504
.Eavesdropping es solamenteotro término para el Sniffer. Sin embargo, laescucha disimulada puede incluir más que la justa captura y el tráfico dered de grabación. La escucha disimulada también incluye la grabación oescuchando a comunicaciones de audio, faxes, señales de radio,etcétera. En otras palabras, la escucha disimulada escucha en sobre, lagrabación, la captura, o de otra manera dándose cuenta del contenido decualquier forma de comunicación.
c. Radiation Monitoring
es una forma específica de aspiración o escucha disimulada que implicala detección, la captura, y la grabación de señales de radiofrecuencia yotros métodos de comunicación irradiados, incluyendo el sonido y la luz.La radiación que supervisa puede ser tan simple como la utilización de unmicrófono ocultado en un espacio para registrar voces o tan sofisticadocomo la utilización de una cámara para registrar las reflexiones ligeras enun espacio para reconstruir el contenido de una demostración deordenador visual que de otra manera es ocultada de la inspección directa.La radiación que supervisa también incluye el toque de frecuencias deradio a menudo usadas por teléfonos móviles, interfaces de redinalámbricos, radio de doble dirección, radio y difusiones de televisión,radio de onda corta, y CBS. Además, esto incluye el toque de una ampliagama de las variaciones de señal eléctricas que directamente no puedenofrecer la información, pero pueden ser usadas en ataques de inferencia.Estos incluyen el cambio del uso eléctrico por un sistema de ordenadorentero, un disco duro, un módem, un interfaz de red, un interruptor, y unarebajadora. Dependiendo el dispositivo, las señales electromagnéticasproducidas por el hardware pueden ser capturadas y usadas recrear losdatos, o al menos metadata sobre los datos, y la sesión de comunicación.TEMPEST es un estándar que define el estudio y el control de señaleselectrónicas producidas por varios tipos de hardware electrónico, comoordenadores, televisiones y teléfonos. Su objetivo primario es de prevenirla interferencia electromagnética (EMI) y la radiación de radiofrecuencia(RF) , dejar un área estrictamente definida para eliminar la posibilidad deradiación externa, escucha disimulada, y la aspiración de señal.
d. Dumpster Diving
es el acto de buscar basura o restos de una organización o la operaciónpara descubrir o deducir la información confidencial. La busqeuda en elbasurero principalmente es asociado con cavarse por la basura real. Estotambién puede incluir la busca, la investigación, y la ingeniería inversa elsitio web de una organización, productos comerciales, y la literaturapúblicamente accesible (como declaraciones financieras, folletos, lainformación de producto, informes de accionista, etc.). Scavenging esuna forma de buscar en la basura que es realizado electrónicamente. Esrealizado para buscar la información útil en los remanentes de datosdejados después de que los procesos o tareas son completados. Estopodría incluir rastros de auditoría, archivos de tronco, vertederos dememoria, ajustes variables, el trazar un mapa de puerto, y datos cache.Dumpster diving y scavenging puede ser empleado como una prueba depenetración para descubrir cuanta información sobre su organización sinla debida atención es desechada en la basura o abandonada alrededor ,
505
después del cierre de una instalación. Las contramedidas al salto debasurero y el rescatando incluyen la disposición segura de toda labasura. Esto por lo general quiere decir el desfibrado toda ladocumentación. Otras salvaguardas incluyen el mantenimiento delcontrol de acceso físico.
e. Social EngineeringUn ataque de la ingeniería social es una tentativa por un atacante paraconvencer a un empleado de realizar una actividad no autorizada paraderribar la seguridad de una organización. A menudo el objetivo deingeniería social es de ganar el acceso a la infraestructura de TI o lainstalación física. La ingeniería social es una habilidad por la cual unapersona desconocida gana la confianza de alguien dentro de suorganización. Individuos expertos pueden convencer a empleados queellos son asociados con la dirección superior, el soporte técnico, elescritorio de ayuda, etcétera. Una vez que este engaño es acertado, amenudo animan a la víctima a hacer un cambio a su cuenta de usuariosobre el sistema, como la puesta a cero de su contraseña. Otros ataquesincluyen la instrucción de la víctima de abrir ficheros adjuntos del correoelectrónico específicos, lanzar un uso, o unirse a URL específico.Independemente de la actividad real es, por lo general es dirigido hacia laapertura de una puerta de atrás que el atacante puede soler ganar elacceso a la red. Los Ataques de la ingeniería social exclusivamente noocurren sobre el teléfono; ellos pueden pasar en la persona también.Individuos malévolos que imitan a técnicos de reparación, la direcciónsuperior, o gerentes de empresa de viaje pueden intimidar a algunosempleados en las actividades artísticas que violan la seguridad. Lascontramedidas a ataques en persona de la ingeniería social que incluyenla verificación de la identidad del intruso/visitante vía una fotografíaasegurada, poniéndose en contacto con su empresa de la fuente, oencontrando a un gerente local que reconoce al individuo. Ataques de laingenieria social pueden ser usados como pruebas de penetración. Estosque los tipos de pruebas ayudarán a determinar como vulnerable susempleados de primera línea son al adepto de individuos en la mentira.Para una discusión detallada de ataques sociales de la ingeniería, mirarel Capítulo 4, " la Seguridad de Comunicaciones y Contramedidas. "
f. Problem Management
Una vez la revisión, la supervisión, y pruebas de penetración hanocurrido, el siguiente paso es la dirección de problema.La dirección de problema es exactamente lo que suena: un procesoformalizado o estructura para resolver problemas. Principalmente, ladirección de problema es una solución se desarrolló interno para dirigirvarios tipos de discusiones y problemas encontrados en el ambiente.La dirección de problema típicamente es definida como el teniendo tresobjetivos u objetivos:
Reducir fracasos a un nivel manejable Para prevenir la presencia o nueva presencia de un problema
506
Para mitigar el impacto negativo de problemas sobre servicios yrecursos
8. Inappropriate Activitiesson las acciones que pueden ocurrir sobre un ordenador o sobre lainfraestructura de TI y no puede ser crímenes reales, pero es a menudo hayrazones para castigos internos o terminación.Algunos tipos de actividades inadecuadas incluyen la creación o la inspección elcontenido inadecuado, el hostigamiento sexual y racial y el abuso. El contenidoinadecuado puede ser definido como algo que no es relacionado con el apoyode las tareas de trabajo de una organización. Esto incluye, pero no es limitadocon, la pornografía, el material sexualmente explícito, la hospitalidad, datospolíticos, y el contenido violento. La definición de contenido inadecuado puedeser definida por el ejemplo (por catalogando los tipos de información consideróinadecuado) o por la exclusión (por catalogando los tipos de informaciónconsiderada apropiado). El contenido inadecuado puede ser definido para incluirel correo electrónico personal que no es el trabajo relacionado. El cuidado delcontenido inadecuado a un mínimo requiere varios pasos. Primero, debe serincluido como un objetivo en la política de seguridad. Segundo, el personal debetener la conciencia que se entrena con respecto al contenido inadecuado.Tercero, los instrumentos de filtración de contenido pueden ser desplegadospara filtrar datos basados en el contenido de palabra o la fuente. No es posibleprevienen programativamente todo el contenido inadecuado, pero penassuficientes pueden ser impuestas contra violaciones, con regularcion querevisan/supervisan para mantener su nivel a un mínimo. El hostigamiento sexualy racial es una forma de contenido inadecuado o actividad sobre el equipo deempresa. El acoso sexual puede tomar muchas formas, incluyendo ladistribución de imágenes, vídeos, clips de audio, o la información de texto (comobromas). Mandos de hostigamiento sexuales y raciales incluyen la educación deconciencia y la filtración contenta. El gasto de los recursos pueden tener unefecto directo sobre la rentabilidad de una organización. Si el espacio dealmacenaje, calculando el poder, o la capacidad de amplitud de bandaconectada a una red es consumido por datos inadecuados o no relacionadoscon el trabajo, la organización pierde el dinero sobre actividades no lucrativo queproducen.Algunos ejemplos más comunes de gasto de recurso incluyen el funcionamientode un asunto personal sobre el equipo de empresa, el tener acceso y ladistribución de datos inadecuados (la pornografía, la hospitalidad, la música,vídeos, etc.), y sin rumbo el surf la Internet. Tal como con el materialinadecuado, pueden reducir el gasto de recurso, pero no eliminarlo. Un poco delmedio primario de reducir el gasto incluye la educación de conciencia delusuario, la supervisión de actividad, y la filtración contenta. El abuso de losderechos y privilegios son la tentativa de realizar actividades o el acceso debeneficio a los recursos que son restringidos o asignados a una clasificaciónmás alta y tienen acceso al nivel. Cuando el acceso es ganado de manera pocoapropiada, la confidencialidad de datos es violada y la información sensiblepuede ser revelada.
507
Las contramedidas para abusar incluyen las puestas en práctica fuertes demandos de acceso y la tala de actividad.
9. Indistinct Threats and CountermeasuresNo todos los problemas que la infraestructura de TI se enfrentará tienencontramedidas definitivas o son aún una amenaza reconocible. Hay numerosasvulnerabilidades contra las cuales no hay ningunas amenazas inmediatas odistintas y contra tales amenazas hay pocas contramedidas. Muchas de estascontramedidas de efecto directo de carencia de vulnerabilidades, o el desplieguede contramedidas disponibles ofrecen poco en la reducción de riesgo.
a. Errors and OmissionsUna de las vulnerabilidades más comunes y el más difícil proteger contraes la presencia de errores y omisiones. Los errores y omisiones ocurrenporque la gente actúa recíprocamente con el programa de control, yproporciona datos para TI. No hay ninguna contramedida directa paraprevenir todos los errores y omisiones. Algunas salvaguardas contraerrores y omisiones incluyen la entrada validators y la educación deusuario. Sin embargo, estos mecanismos ofrecen sólo una reducciónmínima de errores totales y omisiones encontradas en un ambiente de TI.
b. Fraud and TheftEl fraude y el robo son las actividades criminales que pueden sercometidas sobre ordenadores o son hechas posible por ordenadores. Lamayor parte de los mandos de acceso desplegados en un ambienteasegurado reducirán el fraude y el robo, pero no cada forma de estoscrímenes puede ser predicha y protegida contra. Tanto usuarios internosautorizados como intrusos externos no autorizados pueden explotarlo lainfraestructura para realizar varias formas de fraude y robo. Manteniendouna revisión intensiva y el programa de supervisión y el procesamientode todos los incidentes criminales ayudarán a reducir el fraude y el robo.
c. CollusionLa colusión es un acuerdo múltiple entre personas para realizar unaacción no autorizada o ilegal.Es dificultado por la separación de deberes , responsabilidades detrabajo restringidas, la tala de revisión de cuentas, y la rotación detrabajo, que todos reducen la probabilidad que un colega estarádispuesto a colaborar sobre un esquema ilegal o abusivo debido al riesgomás alto de detección. Sin embargo, estos salvaguardas principalmenteno son dirigidos hacia la prevención de Collusion. La reducción decolusión es simplemente las ganancias suplementarias de estos mandosde seguridad.
d. SabotageEl sabotaje de empleado puede hacerse una cuestión si un empleado esbastante bien informado sobre la infraestructura de TI de unaorganización, tiene el acceso suficiente para manipular los aspectoscríticos del ambiente. El sabotaje del empleado ocurre más a menudocuando un empleado sospecha que ellos serán terminados sin la justacausa. Esto es una terminación de razón importante debería ser
508
manejada rápidamente, incluyendo inutilizando todo el acceso a lainfraestructura (TI y físico) y el escoltar del ex-empleado de los locales.Las salvaguardas contra el sabotaje de empleado son la revisiónintensiva, la supervisión para la actividad anormal o no autorizada, laslíneas de cuidado de comunicación abierta entre empleados y gerentes, ycorrectamente la compensación y empleados de reconocer para laexcelencia y extra trabajan.
e. Loss of Physical and Infrastructure SupportLos of Physical and Infrastructure Support puede ser causado por parosdel suministro eléctrico, catástrofes, interrupciones de comunicación, eltiempo severo, la pérdida de cualquier utilidad principal o servicio,interrupción de transporte, huelgas, y casos de urgencia nacionales. Estopuede causarlo el tiempo de inactividad y casi siempreconsiderablemente reduce la productividad y la rentabilidad durante lalongitud del acontecimiento. Es casi imposible predecir y proteger contralos acontecimientos que causan físico y la pérdida de apoyo deinfraestructura. La recuperación de desastre y la planificación decontinuidad de negocio pueden proporcionar métodos de restauración siel acontecimiento de pérdida es severo. En la mayor parte de casos,usted simplemente debe esperar hasta que la emergencia o la condiciónexpiren y la vuelta de cosas a normal.
f. Malicious Hackers or CrackersSon los individuos que activamente procuran infiltrar a la infraestructurapara su propia fama, el acceso, o el beneficio financiero. Estasintrusiones o ataques son amenazas importantes contra las cuales supolítica de seguridad y su infraestructura de seguridad entera sondiseñadas para rechazar. La mayor parte de salvaguardas ycontramedidas protegen contra una amenaza específica o el otro, perono es posible proteger contra todas las amenazas posibles que uncracker representa. Lo restante sobre la seguridad, rastreando laactividad y poniendo en práctica sistemas de detección de intrusiónpuede proporcionar un nivel razonable de protección.
g. EspionageEs un mal acto de juntar la información propietaria, secreta, privada,sensible, o confidencial sobre una organización para el objetivo expresode revelación y a menudo el vender esto datos a un competidor u otraorganización interesada (como un gobierno extranjero). El espionaje aveces es cometido por los empleados internos que se han hechodescontentos con sus empleos y se han hecho comprometidos de algúnmodo. También puede ser cometido por un topo o la planta colocada ensu organización para robar la información para su patrón primariosecreto. Las contramedidas contra el espionaje deben estrictamentecontrolar el acceso a todos los datos no públicos, a fondo proteger anuevos candidatos de empleado, y de manera eficiente rastrear lasactividades de todos los empleados.
509
h. Malicious CodeEs cualquier script o programa que realiza una actividad no deseada, noautorizada, o desconocida sobre un sistema de ordenador. El evil scriptpuede tomar muchas formas, incluyendo virus, gusanos, caballos deTroya, documentos con macros destructivas, y bombas lógicas. Algunaforma de evil script existe para cada tipo de ordenador o el dispositivocalculador. La supervisión y la filtración del tráfico que entra y viajandentro de un ambiente asegurado es la única contramedida eficaz alcódigo malévolo.
i. Initial Program Load Vulnerabilities
Hay un período de tiempo entre los momentos cuando un dispositivo esdesconectado y cuando totalmente es boteado y operacional, que elsistema totalmente no es protegido por sus mecanismos de seguridad.Conocen este período de tiempo como la carga de programa inicial (IPL)y esto tiene numerosas vulnerabilidades. Sin la seguridad física, no hayningunas contramedidas para vulnerabilidades IPL. Alguien con el accesofísico a un dispositivo fácilmente puede explotar sus debilidades durantesu proceso de bootup. Echando a un sistema móvil de operaciones de unCD o el disquete, y tienen acceso a CMOS para cambiar ajustes deconfiguración, como el permiso o la incapacitación de dispositivos.
SummaryLa seguridad de operaciones requiere esfuerzos dirigidos en la revisión y la supervisión.Estos esfuerzos dan lugar al descubrimiento de ataques e intrusiones. Esto a su turnodirige la selección de contramedidas, anima pruebas de penetración, y ayuda a limitar,restringir, y prevenir actividades inadecuadas, crímenes, y otras amenazas. La revisiónes un examen metódico o la revisión de un ambiente para asegurar el cumplimiento porregulaciones y descubrir anormalidades, presenciales no autorizadas, o crímenesrotundos.Asegure los ambientes pesadamente confiables en la revisión. En general, la revisiónsirve como el tipo primario de control policíaco usado por un ambiente seguro. Rastrosde auditoría son los registros creados por registrando la información sobreacontecimientos y acontecimientos en una base de datos o registran el archivo, y ellospueden ser usados por ejemplo: reconstruya un acontecimiento, extraiga la informaciónsobre un incidente, y demuestre o refute la culpabilidad. Rastros de auditoría proveenuna forma pasiva de seguridad policíaca controla y sirve como una fuerza disuasoria enla misma manera que CCTV o las guardias de seguridad. Además, ellos pueden seresenciales como pruebas en el procesamiento de criminales. La retención de registro esla política de organización que define que información es mantenida y para cuantotiempo. En la mayor parte de casos, los registros en cuestión son los rastros deauditoría de actividad de usuario, incluyendo el archivo y el acceso de recurso, elmodelo de conexión, el correo electrónico, y el empleo de privilegios. La supervisión esuna forma de revisión que enfoca más en la revisión activa de la información revisada oel activo revisado. El más a menudo es usado en la conjunción con el funcionamiento,pero esto puede ser usado en un contexto de seguridad también. Los instrumentosreales y técnicas solían funcionar la supervisión varía enormemente entre ambientes yplataformas de sistema, pero hay varias formas comunes encontradas en la mayor partede ambientes: advirtiendo banderas, supervisión de pulsación, análisis de tráfico yanálisis de tendencia, y otros instrumentos de supervisión. Las pruebas de penetraciónson una tentativa prueba de romper su red protegida que usa alguno de estos medios
510
antes expresados, y esto es un método común para probar la fuerza de sus medidas deseguridad.Las organizaciones a menudo alquilan a consultores externos para realizar lapenetración que prueba entonces los probadores no son privados a los elementosconfidenciales de la configuración de la seguridad, conectan una red el diseño, y otrossecretos internos. La penetración que prueba métodos puede incluir la marcación deguerra, la aspiración, la escucha disimulada, la supervisión de radiación, el salto debasurero, y la ingeniería social. Actividades inadecuadas pueden ocurrir sobre unordenador o sobre la infraestructura de TI, y no pueden ser crímenes reales, pero ellosson a menudo razones para castigos internos o terminación. Actividades inadecuadasincluyen la creación o la inspección el contenido inadecuado, el hostigamiento sexual yracial, el gasto, y el abuso.La infraestructura de TI puede incluir numerosas vulnerabilidades contra las cuales allíno es ninguna amenaza inmediata o distinta y contra tales amenazas hay pocascontramedidas. Estos tipos de amenazas incluyen errores, omisiones, fraude, robo,colusión, sabotaje, pérdida de físico y el apoyo de infraestructura, crakers , espionaje, yel evil script. Hay, sin embargo, pasos que usted puede tomar para disminuir el impactode la mayor parte de estos.Exam EssentialsUnderstand auditing.. La revisión es un examen metódico o la revisión de un ambientepara asegurar el cumplimiento por regulaciones y descubrir anormalidades,presencias(acontecimientos) no autorizadas, o crímenes rotundos. Asegúrelo losambientes confían pesadamente en la revisión. En general, la revisión sirve como el tipoprimario de control policíaco usado por un ambiente seguro.Know the types or forms of auditing.. La revisión abarca una amplia variedad deactividades diferentes, incluyendo la grabación de datos de acontecimiento/presencia,examen de datos, la reducción de datos, el empleo de gatillos de alarma deacontecimiento/presencia, el análisis de tronco, y la respuesta (algunos otros nombrespara estas actividades registran, la supervisión, alarmas de examen, análisis, y hasta ladetección de intrusión). Esté capaz de explicar lo que cada tipo de revisar la actividadimplica.Understand compliance checking La comprobación de cumplimiento o pruebas decumplimiento asegura que todos los elementos necesarios y requeridos de una soluciónde seguridad correctamente son desplegados y funcionando como esperado. Lascomprobaciónes de cumplimiento pueden tomar muchas formas, como exploracionesde vulnerabilidad y pruebas de penetración. Ellos también pueden implicar la revisión yser realizado usando instrumentos de análisis de tronco para determinar si cualquiervulnerabilidad para la cual las contramedidas han sido desplegadas ha sido realizadasobre el sistema.Understand the need for frequent security audits. La frecuencia de una la revisión decuentas de seguridad de infraestructura de TI o la revisión de seguridad está basada enel riesgo. Usted debe determinar si el riesgo suficiente existe para garantizar el costo yla interrupción de una revisión de cuentas de seguridad en una base más o menosfrecuente. La frecuencia de revisiones de auditoría claramente debería ser definida yadherida a.Understand that auditing is an aspect of due care. Las revisiones de cuentas deSeguridad y revisiones de eficacia son elementos claves en la demostración del cuidadoprevisto. La dirección debe hacer cumplir el cumplimiento con revisiones de seguridadregulares periódicas o ellos serán imputados la responsabilidad y obligado de cualquierpérdida de activo que ocurre por consiguiente.Understand audit trails. Rastros de auditoría son los registros creados por la informaciónsobre acontecimientos y acontecimientos en una base de datos o registran el archivo.Ellos son usados para reconstruir un acontecimiento, extraer la información sobre unincidente, y demostrar o refutar la culpabilidad. La utilización de rastros de auditoría es
511
una forma pasiva de control de seguridad policíaco, y rastros de auditoría son pruebasesenciales en el procesamiento de criminales.Understand how accountability is maintained. La responsabilidad es mantenida parasujetos individuales por el empleo de rastros de auditoría. Las actividades de usuarios yacontecimientos causados por las acciones de usuarios mientras en línea pueden serregistradas así los usuarios pueden ser imputados la responsabilidad para susacciones. Esto directamente promueve el comportamiento de usuario bueno y elcumplimiento con la política de seguridad de la organización.Know the basic elements of an audit report. Informes de auditoría todos deberían dirigirunos conceptos básicos o centrales: el objetivo de la revisión de cuentas, el alcance dela revisión de cuentas, y los resultados descubiertos o revelados por la revisión decuentas. Ellos a menudo incluyen muchos otros detalles específicos al ambiente, comoel tiempo, la fecha, y sistemas específicos. Informes de auditoría pueden incluir unaamplia gama de contenido que se fija en problemas/acontecimientos/condiciones,normas/criterios/líneas de fondo, causa/razon, hacer impacto/efectuar, o salvaguardasde solutions/recomendaciones.Understand the need to control access to audit reports. Informes de auditoría incluyen lainformación sensible y deberían ser asignados una etiqueta de clasificación ymanejados de manera apropiada. Sólo la gente con el privilegio suficiente deberíatenerles el acceso. Un informe de auditoría también debería estar preparado en variasversiones según la jerarquía de la organización, proporcionando sólo los detallesrelevantes a la posición de los empleados para los que ellos están preparados.Understand sampling. El probar, o la extracción de datos, son el proceso de extraer loselementos de datos de un banco grande de datos para construir una representaciónsignificativa o el sumario del todo. Hay dos formas de probar: estadístico y noestadístico. Un instrumento de revisión que usa funciones exactas matemáticas paraextraer la información significativa de un volumen grande de datos realiza el probarestadístico. El probar estadístico es usado medir el riesgo asociado con el proceso deprobar.Understand record retention. Es el acto de conservar y mantenimiento de la informaciónimportante. Debería haber una política de organización que define que información esmantenida y para cuanto tiempo. Los registros en cuestión son los rastros por lo generalde auditoría de actividad de usuario, incluyendo el archivo y el acceso de recurso, elmodelo de conexión, el correo electrónico, y el empleo de privilegios. Dependiendo suindustria y su relación con el gobierno, usted puede tener que conservar registrosdurante tres años, siete años, o indefinidamenteUnderstand monitoring and the uses of monitoring tools. La supervisión es una forma derevisión que enfoca más en la revisión activa de la información revisada o el activorevisado. Es más usado a menudo en la conjunción con el funcionamiento, pero estopuede también ser usado en un contexto de seguridad. La supervisión puede enfocaracontecimientos, subsistemas, usuarios, hardware, software, o cualquier otro objetodentro del ambiente de TI. Aunque los instrumentos reales y técnicas suelan funcionarla supervisión varía enormemente entre ambientes y plataformas de sistema, hay variasformas comunes encontradas en la mayor parte de ambientes: Los warning barnners,supervisión de pulsación, análisis de tráfico y análisis de tendencia, y otros instrumentosde supervisión. Esté capaz de catalogar varios instrumentos de supervisión y sabercuándo y cómo usar cada instrumentoUnderstand failure recognition and response. Sobre los sistemas que usan la revisiónmanual, el reconocimiento de fracaso es la responsabilidad del observador o elinterventor. Para reconocer un fracaso, hay que entender que es normal y esperado.Cuando los acontecimientos supervisados o revisados de esta línea de fondo estándar,luego un fracaso, la intrusión, el error o el problema han ocurrido y una respuesta debeser iniciada.Understand what penetration testing is and be able to explain the methods used. Lasorganizaciones usan pruebas de penetración para evaluar la fuerza de su
512
infraestructura de seguridad. Sepa que esto implica ataques de intrusión de lanzamientosobre su red y ser capaz de explicar los métodos usados: marcación de guerra,aspiración y escucha disimulada, supervisión de radiación, salto de basurero, eingeniería social.Know what dumpster diving and scavenging are. El salto de basurero y el rescatandoimplican cavarse por el rechazar, restos, o restos de una organización o la operaciónpara descubrir o deducir la información confidencial. Las contramedidas al salto debasurero y el rescatando incluyen la disposición segura de toda la basura. Esto por logeneral significa el desfibrado toda la documentación e incinerando todo el material yotra basura. Otros salvaguardas incluyen el mantenimiento del control de acceso físico yla supervisión del empleo de actividad de privilegio en línea.Understand social engineering. Un ataque social de la ingeniería es una tentativa por unatacante para convencer a un empleado de realizar una actividad no autorizada paraderribar la seguridad de una organización. A menudo el objetivo de ingeniería social esde ganar el acceso a la infraestructura de TI o la facilidad física. El único modo deproteger contra ataques sociales de la ingeniería es de a fondo entrenar a usuarioscomo responder y actuar recíprocamente con comunicaciones así como con el personaldesconocido.Know what inappropriate activities are. Actividades inadecuadas son las acciones quepueden ocurrir sobre un ordenador o sobre la infraestructura de TI y no puede sercrímenes reales, pero es a menudo razones para castigos internos o terminación.Algunos tipos de actividades inadecuadas incluyen la creación o la inspección elcontenido inadecuado, el hostigamiento sexual y racial y el abuso.Know that errors and omissions can cause security problems. Una de lasvulnerabilidades más comunes y el más difícil proteger contra los errores y omisiones.Los errores y omisiones ocurren porque la gente actúa recíprocamente con, elprograma, el control, y proporciona datos para TI . No hay ningunas contramedidasdirectas para prevenir todos los errores y omisiones. Algunas salvaguardas contraerrores y omisiones incluyen la entrada validators y el entrenamiento del usuario. Sinembargo, estos mecanismos ofrecen sólo una reducción mínima de errores totales yomisiones encontradas en un ambiente de TIUnderstand fraud and theft. El fraude y el robo son las actividades criminales quepueden ser cometidas sobre ordenadores o hechas posibles por ordenadores. La mayorparte de los mandos de acceso desplegados en un ambiente asegurado reducirán elfraude y el robo, pero no cada forma de estos crímenes puede ser predicha y protegida.Tanto usuarios internos autorizados como intrusos externos no autorizados puedenexplotarlo su la infraestructura para realizar varias formas de fraude y robo.Manteniendo una revisión intensiva y el programa de supervisión y el procesamientotodos los incidentes criminales ayudarán a reducir el fraude y el robo.Understand employee sabotage. El sabotaje de empleado puede hacerse si unempleado es bastante bien informado sobre la infraestructura de TI de unaorganización, tiene el acceso suficiente para manipular los aspectos críticos delambiente. Los salvaguardas contra el sabotaje de empleado son la revisión intensiva, lasupervisión para la actividad anormal o no autorizada, las líneas de cuidado decomunicación abierta entre empleados y gerentes, y correctamente la compensación yempleados de reconocer para la excelencia y extra trabajan.Understand espionage. . El espionaje es el mal acto por un empleado interno de juntarla información propietaria, secreta, privada, sensible, o confidencial sobre unaorganización para el objetivo expreso de revelación y a menudo el vender estos datos aun competidor u otra organización interesada (como un gobierno extranjero). Lascontramedidas contra el espionaje deben estrictamente controlar el acceso a todos losdatos no públicos, a fondo proteger a nuevos candidatos de empleado, y de maneraeficiente rastrear las actividades de todos los empleados.
513
CCAAPPÍÍTTUULLOO 1155
PPllaanniiffiiccaacciióónn ddee llaa CCoonnttiinnuuiiddaadd ddeell NNeeggoocciioo
------------------------------------------------LOS TEMAS DEL EXAMEN CISSP CUBIERTOS EN ESTECAPÍTULO INCLUYE:
Planificando la continuidad del negocio. El Alcance de Proyecto y la Planificación La Valoración de Impacto del Negocio La Estrategia de Contención
Con formato: Fuente: 14 pto, Negrita
514
A pesar de nuestros mejores deseos, los desastres deuna forma u otra suceden eventualmente en cadaorganización. Podríamos mencionar conceptos dedesastre como un huracán o terremoto o un desastresintético como una explosión, cada organizaciónencontrará acontecimientos que amenazan su mismaexistencia. Las organizaciones fuertes son las quetienen planes y procedimientos en el lugar para ayudara mitigar los efectos en los que un desastre tiene nocorte sus operaciones permanentes y para acelerar elregreso para las operaciones normales. Reconociendola importancia de planificar la continuidad del negocio yrecuperación de desastre, (ISC) designando estos dos
procesos en 8 Dominios del Cuerpo Humano Común de Conocimiento para el CISSPprograma. El conocimiento de estos temas fundamentales le ayudará a prepararse para elexamen y ayudarle a preparar a su organización para lo inesperado.
En este capítulo, exploraremos los conceptos detrás de la Planificación de la Continuidaddel Negocio. Capítulo 16, " Planificando la recuperación de un desastre," , pudiendo asícontinuar con nuestro debate.
PLAN DE CONTINUIDAD DEL NEGOCIO
El Plan de Continuidad del Negocio (BCP) implica la valoración de una variedad deriesgos a los procesos organizacionales y la creación de políticas, planes yprocedimientos para minimizar el impacto que estos riesgos pueda tener su organizaciónsi estos ocurrerieran. Plan de Recuperación del Desastre (DRP), Por otra parte, describelas acciones a las que una organización tomará para continuar con de manera normal conlas operaciones, después de que un desastre interrumpa la actividad normal.
El proceso BCP, definido por (ISC), tiene cuatro pasos principales:
El Alcance de Proyecto y la Planificación La Valoración del Impacto del Negocio Plan de Continuidad La Aprobación y la Implementación
Las siguientes tres secciones de este capítulo abarca cada uno de estas fases en detalle.La última porción de este capítulo podría introducir algunos de los elementos críticos queusted debería tomar en cuenta al momento de compilar la documentación del plan deContinuidad del Negocio de su organización.
Con formato: Ancho columna nº 1:15.59 cm, Sin Forzar ancho de columnaigual
515
El Alcance de Proyecto y la Planificación
Al igual que con cualquier proceso comercial formalizado, el desarrollo de un plan decontinuidad de negocio fuerte, requiere el uso de una metodología probada. Esto requiereun análisis estructurado de la organización del negociodesde un punto de vista de planificación de crisis, la creación de un equipo BCP con laaprobación de la alta gerencia, una valoración de los recursos disponibles para participarde de actividades de continuidad del negocio, y un análisis de la parte legal y un paisajeque gobierna una organización respondiendo ante un acontecimiento catastrófico.
El Análisis del Negocio de la organización
Una de las primeras responsabilidades de los individuos responsables para laPlanificación de la continuidad del negocio es de realizar un análisis del Negocio uorganización para identificar todos los departamentos e individuos que van a estarinvolucrados en los procesos del Plan de Continuidad del Negocio. Algunas áreas aconsiderar son incluidas en la siguiente lista:
Los departamentos operacionales que son responsables para el core del negocio queprovee a sus clientes,
El servicio de soportes críticos, como el departamento de tecnologías de información,el departamento de Mantenimiento de Planta y otros grupos responsables para laconservación de los sistemas que soportan los departamentos operacionales
Los ejecutivos y otros individuos claves son esenciales para la viabilidad en curso dela organización
Este proceso de identificación es crítico para dos razones. Primero, este provee eltrabajo preliminar, necesario para ayudar a identificar a miembros potenciales de laContinuidad del Negocio Tener Prevista pareja (vea lo siguiente sección). En segundolugar, provee la fundación para el resto del proceso BCP.
Normalmente, el análisis de la organización del negocio es realizado por uno odos individuos, encabezando el esfuerzo BCP. Esto es aceptable, dado el hecho quenormalmente usa la salida del análisis para ayudar con la selección de los demásmiembros del equipo BCP. Sin Embargo, la revisión cabal de este análisis debería serunas de las primeras tareas asignadas para el equipo BCP cuando esta sea conveniente.Este paso es crítico porque los individuos realizan el análisis original pasando por alto ,funciones criticas del negocio, que solo lo saben los miembros del equipo BCP que laconforman otras partes de la organización.. Si el equipo continúa sin revisar el análisisorganizacional, el proceso entero BCP podría estar corrupto y el resultado en el desarrollodel Plan no pueda completamente ocuparse de las necesidades de respuesta deemergencia de la organización como un todo.
516
Selección del Equipo BCP
En muchas organizaciones, la tecnología de la información y/o los departamentosde Seguridad tienen la responsabilidad exclusiva para la planificación de la Continuidaddel Negocio. Departamentos operacionales y otros no son los que dan las entradas parael desarrollo del plan y podrían no conocer las existencias de estas a pesar de saber deposibles desastres. Éste es un desperfecto crítico. El desarrollo independiente de un plande continuidad el negocio puede deletrear el desastre en dos formas. Primero, que el planmismo no puede caer en la cuenta de saber los conocimientos que poseen solo losindividuos responsables que conocen el día a día de la organización. En segundo lugar,se mantiene los elementos operacionales "en la oscuridad" acerca de las especificacionesdel plan hasta que la implementación se convierta en necesaria
Esto reduce la posibilidad que elementos operacionales estarán de acuerdo conlas provisiones del plan y trabajarán con eficacia para ponerlo en práctica. Esto tambiénniega a las organizaciones las ventajas alcanzadas por un entrenamiento estructurado yel programa de pruebas para el plan.
Para prevenir estos acontecimientos de impactar adversariamente la Planificaciónde Continuidad de negocio, los individuos responsables del esfuerzo deberían tomar elcuidado especial seleccionando el equipo de BCP.El equipo debería incluir, como un mínimo, los individuos siguientes:
Departamentos de la organización responsables de los servicios principalesrealizados por los
Representantes de negocio de los departamentos de apoyo claves identificadospor el análisis de organización
Representantes de IT, expertos técnicos, en áreas cubiertas por el BCP. Representantes de Seguridad con el conocimiento del proceso BCP Representantes legales con corporaciones legales, reguladores y
responsabilidades contractuales Representantes de la alta gerencia.
Advertencia!!!!
Seleccione su equipo cuidadosamente!. Usted necesita un balance entre representardiferentes puntos de vista y crear un equipo con personalidades explosivas diferenciadas.Sus objetivos podrían ser el crear un grupo tan diverso como sea posible y que opere enarmonía.
Cada uno de los individuos mencionados en la lista precedente trae una perspectiva únicaal BCP tratan y tendrán tendencias individuales. Por ejemplo, los representantes de cadauno de los departamentos operacionales a menudo considerarán su departamento el máscrítico a la viabilidad continuada de la organización. Aunque estas tendencias al principiopuedan parecer divisivas, el líder del esfuerzo BCP debería acomodarlos y encaminarlosen una manera productiva. De ser usado con eficacia, las tendencias ayudarán a alcanzarun equilibrio sano en el plan final como cada representante aboga por las necesidades desu departamento. De otra parte, si no proporcionan el mando apropiado, estas tendenciaspueden pasar en las batallas destructivas que hacen descarrilar el esfuerzo BCP y dañanla organización en total.
517
Requerimientos de recursos
Después de que el equipo valida el análisis de organización de negocio, ellos deberíandar vuelta a una evaluación de los recursos requeridos por el esfuerzo BCP. Esto implicalos recursos requeridos por tres fases de BCP distintas:
Desarrollo del BCP, el equipo de BCP requerirá algunos recursos de realizar los cuatroelementos del proceso de BCP (el Alcance De proyecto y la Planificación, Valoración delImpacto del Negocio, la Planificación de Continuidad, la Aprobación y la Puesta enpráctica). Es más que probable que el recurso principal consumido por esta fase de BCPserá la mano de obra gastada por los miembros del equipo de BCP y el personal deapoyo que ellos apelan para asistir en el desarrollo del plan.
BCP pruebas, entrenamiento, y el mantenimiento las pruebas, el entrenamiento, y lasfases de mantenimiento de BCP requerirán algunos compromisos de hardware y software,pero otra vez, el compromiso principal en esta fase será la mano de obra de parte de losempleados complicados en aquellas actividades.
Escenario real del Mundo
Altos Ejecutivos y BCP
El papel de la Alta dirección en el proceso de BCP varía extensamente de la organización ala organización y depende de la cultura interna del negocio, el interés al plan desde arriba,y el ambiente legal y regulador en el cual el negocio funciona. Es muy importante queusted, como el líder de equipo BCP, busque obtener un papel tan activo como posible deun ejecutivo (directivo) mayor.Esto transporta la importancia del proceso de BCP a la organización entera y fortalece laparticipación activa de los individuos que de otra manera podrían amortizar BCP como unaun gasto de tiempo mejor gastado sobre actividades operacionales. Además, las leyes yregulaciones podrían requerir la participación activa de aquellos líderes mayores en elproceso de planificación. Si usted trabaja para una empresa públicamente negociada, ustedpuede desear recordar a ejecutivos (directivos) que los oficiales y los directores de la firmapodrían ser encontrados personalmente obligado si un desastre mutila el negocio y ellosson encontrados por no haber ejercido la diligencia prevista en sus planes de contingencia.Sus responsabilidades de fiduciario a los accionistas de la organización y la junta directivorequieren que ellos al menos aseguren que medidas de BCP adecuadas son en el lugar,incluso si ellos no toman un papel activo en su desarrollo.
encontrados para no haber ejercido la diligencia prevista en sus planes decontingencia.
518
BCP Implementación, Cuando un desastre golpea y el equipo de BCP lo consideranecesario de conducir una puesta en práctica a escala natural del plan de continuidad denegocio, requerirán recursos significativos.Esto incluye una cantidad grande de mano de obra (BCP probablemente se hará el focode una gran parte, si no todo, de la organización) y la utilización de recursos "Duros". Poresta razón, es importante que el equipo use sus poderes de puesta en práctica BCP concriterio, aún con decisión.
Un plan de continuidad eficaz de negocio requiere el gasto de una cantidad grande derecursos corporativos, extendiendo toda la manera de la compra y el despliegue deinstalaciones redundantes calculadoras a los lápices y el papel usado por miembros deequipo que rasguñan hacia fuera los primeros esbozos del plan.Sin embargo, como usted vio antes, uno de los recursos más significativos consumidospor el proceso de BCP es el personal. Muchos profesionales de seguridad pasan por altola importancia de contabilidad para el trabajo.Sin embargo, usted puede descansar seguro que la dirección no prodria. Líderes denegocio son agudamente conscientes del efecto que actividades de lado que lleva muchotiempo tienen sobre la productividad operacional de sus organizaciones y el verdaderocoste de personal en términos de sueldo, ventajas, y ocasiones perdidas.
Estas preocupaciones se hacen sobre todo supremas cuando usted solicita el tiempo deejecutivos(directivos) mayores. Usted debería esperar que los líderes responsables de ladirección de utilización de recurso pongan su oferta BCP bajo un microscopio, y usteddebería estar preparado para defender la necesidad de su plan con los argumentoscoherentes, lógicos que dirigen el caso de negocio para BCP.
Requerimientos Legales y Regulatorios
Muchas industrias pueden encontrarse atados según leyes federales, estatales, y localeso regulaciones que requieren que ellos pongan en práctica varios grados de Planificaciónde Continuidad De negocio. Ya hemos hablado de un ejemplo en este capítulo - losoficiales y los directores de firmas públicamente negociadas tienen responsabilidad defiduciario de ejercer diligencia prevista en la ejecución de sus impuestos(deberes) decontinuidad de negocio. En otras circunstancias, las exigencias (y las consecuencias defracaso) podrían ser más severas. Servicios de la emergencia, como la policía, el fuego, yoperaciones médicas de la emergencia, tienen una responsabilidad a la comunidad paraseguir operaciones en caso de un desastre. De verdad, sus servicios se hacen aún máscríticos en una emergencia cuando la seguridad pública es amenazada. El fracaso sobresu parte para poner en práctica BCP sólido podría causar la pérdida de vida y/ocaracterística(propiedad) y la confianza disminuida de la población en su gobierno.
En muchos países, instituciones financieras, como bancos, corretajes, y las firmas quetratan sus datos, son gobernados por el gobierno estricto y la banca internacional yregulaciones de valores diseñadas para facilitar su operación continuada para asegurar laviabilidad de la economía nacional. Cuando fabricantes farmacéuticos deben producirproductos en circunstancias menos de óptimas después de un desastre, requieren queellos certifiquen la pureza de sus productos a reguladores de gobierno. Allí son incontableotros ejemplos de las industrias que requieren para seguir manejando en caso de unaemergencia según varias leyes y regulaciones.
Escenario del Mundo Real
Explicando los beneficios del BCP
Uno de los argumentos más comunes contra la comisión de recursos a BCP es el empleoplaneado " del asiento de los pantalones " la planificación de continuidad, o la actitud que elnegocio siempre sobrevivía y los líderes claves entenderán (calcularán) algo en caso de undesastre. Si usted encuentra esta objeción, usted podría querer indicar (advertir) a ladirección los gastos que serán incurridos por el negocio (tanto gastos directos como elcoste indirecto de ocasiones perdidas) para cada día que el negocio está abajo. Entoncespídales considerar cuanto tiempo " un asiento de los pantalones " podría tomarse enrecuperarse comparado a una continuidad ordenada, planeada de operaciones.
Con formato: Sin Resaltar
519
Incluso si usted no es atado por ningunas de estas consideraciones, usted podríatener obligaciones contractuales a sus clientes que requieren que usted ponga en prácticael sonido BCP prácticas. Si sus contratos incluyen algún tipo de acuerdo de nivel deservicio (SLA), usted podría encontrarse en la brecha de aquellos contratos si un desastreinterrumpe su capacidad de atender a sus clientes. Muchos clientes puedencompadecerle y querer seguir usando sus productos/servicios, pero sus propiasexigencias de negocio podrían forzarlos a cortar la relación y encontrar a nuevosproveedores.
Sobre la otra cara de la moneda, desarrollando un plan de continuidad fuerte,documentado de negocio puede ayudar a su organización a ganar a nuevos clientes y elnegocio adicional de clientes existentes. Si usted puede mostrar los procedimientos sanosa sus clientes usted tiene en el lugar para seguir sirviéndolos en caso de un desastre,ellos colocarán la mayor confianza en su firma y podrían ser más probables paraescogerle como su vendedor preferido. ¡No una posición mala para estar!
Todos estos intereses indican una conclusión - es esencial incluir el consejo legalde su organización en el proceso de Planificación de Continuidad de negocio. Ellos estáníntimamente familiarizados con las obligaciones legales, reguladoras, y contractuales quese aplican a su organización y pueden ayudar a su equipo a poner en práctica un plan queencuentre aquellos requerimientos asegurando la viabilidad continuada de la organizaciónen beneficio de todos los empleados, accionistas, proveedores, y clientes igualmente.
Advertencia
Las leyes en cuanto a sistemas computacionales, prácticas de negocio, y manejo dedesastres se cambian con frecuencia y varían de jurisdicción a jurisdicción. Esté seguro demantener a sus abogados implicados en todo el tiempo de vida de su BCP, incluyendofases de mantenimiento y pruebas. Si usted restringe su participación a una revisión depuesta en práctica del plan, usted no puede darse cuenta del impacto que las leyes y lasregulaciones tienen sobre sus responsabilidades corporativas.
Con formato: Sin Resaltar
520
Evaluación del impacto de negocio
Una vez su equipo de BCP completa las cuatro etapas de preparación a crear unplan de continuidad de negocio, es hora de la zambullida en el corazón del trabajo - laEvaluación de Impacto De negocio (BIA).
El BIA identifica los recursos que son críticos a la viabilidad en curso de unaorganización y las amenazas planteadas a aquellos recursos. Esto también evalúa laprobabilidad que cada amenaza en realidad ocurrirá y el impacto aquellosacontecimientos tendrán sobre el negocio. Los resultados del BIA proveen de usted de lasmedidas cuantitativas que pueden ayudarle a priorizar el compromiso de recursos decontinuidad de negocio a varios riesgos sus caras de organización.
Es importante comprender que hay dos tipos diferentes de análisis queplanificadores de negocio usan afrontando una decisión:
La toma de decisiones cuantitativa: La toma de decisiones Cuantitativa implica el empleode números y fórmulas para alcanzar una decisión. Este tipo de datos a menudo expresaopciones en términos del valor dólar al negocio.
La toma de decisiones cualitativa: la toma de decisiones Cualitativa toma factores nonuméricos, como emociones, la confianza de inversionista/cliente, la estabilidad de manode obra, y otros intereses, en consideración. Este tipo de datos a menudo causa lascategorías de ordenación (como alto, medio, y bajo).
El proceso de BIA descrito en este capítulo se acerca al problema tanto de puntos de vistacuantitativos como de cualitativos. Sin embargo, esto muy tienta para un BCP combinan "ir con los números " y realizar una evaluación cuantitativa descuidando la evaluación algomás difícil cualitativa. Es importante que el equipo de BCP realice un análisis cualitativode los factores que afectan su proceso de BCP. Por ejemplo, si su negocio es sumamentedependiente sobre unos clientes muy importantes, su equipo de dirección estáprobablemente dispuesto a sufrir significativo a corto plazo pérdida financiera paraconservar a aquellos clientes a largo plazo. El equipo de BCP debe sentarse y hablar(preferentemente con la participación de dirección) de intereses cualitativas paradesarrollar un acercamiento comprensivo que satisface a todos los tenedores deapuestas.
Identificación de Prioridades
La primera tarea BIA que afronta la Continuidad De negocio que Planea el equipo es laidentificación de prioridades de negocio según su línea de negocios, habrá ciertas
Nota
El análisis cuantitativo y el análisis cualitativo ambos juegan un papel importante en elproceso de Planificación de Continuidad De negocio. Sin embargo, la mayoría de la gentetiende a favorecer un tipo de análisis sobre el otro. Seleccionando a los miembrosindividuales del equipo de BCP, trate de alcanzar un equilibrio entre la gente quien prefierecada estrategia. Esto causará el desarrollo de un bien redondeado BCP y beneficiará laorganización a la larga.
521
actividades que son las más esenciales a sus operaciones cotidianas cuando el desastregolpea. La tarea de identificación de prioridad implica la creación de una lista comprensivade procesos de negocio y clasificación de ellos por orden de la importancia. Aunque estatarea pueda parecer algo el desalentar, no es tan difícil como parece. Un gran modo dedividir la carga de trabajo de este proceso entre los miembros de equipo es de asignarcada responsabilidad participante de preparar una lista de prioridades que cubre lasfunciones de negocio de las cuales su departamento es responsable. Cuando el equipode BCP entero se reúne, los miembros de equipo pueden usar aquellas listas priorizadaspara crear a un maestro priorizando la lista para la organización entera.
Este proceso ayuda a identificar prioridades de negocio de un punto de vista cualitativo.Recuerde que describimos una tentativa de simultáneamente desarrollarse tantoTENDENCIA cualitativa como cuantitativa.Para comenzar la evaluación cuantitativa, el equipo de BCP debería sentarse y prepararuna lista de activo de organización y luego asignar un valor de activo (AV) en condicionesmonetarios a cada activo. Estos números serán usados en los pasos de BIA restantesdesarrollar BIA económicamente basado. La segunda medida cuantitativa que el equipodebe desarrollar es el tiempo de inactividad máximo tolerable (MTD) para cada función denegocio. Esto es el tiempo máximo una función de negocio puede ser inoperable sincausar el daño irreparable al negocio. El MTD proporciona la información valiosarealizando tanto la planificación de DRP como BCP.
Identificación de Riesgos
La siguiente fase de la Evaluación de Impacto De negocio es la identificación de riesgosplanteados a su organización. Algunos elementos de esta lista específica de organizaciónpueden venir a la memoria inmediatamente.La identificación de otro, riesgos más obscuros podría tomar una pequeña creatividad departe del equipo de BCP.Los riesgos vienen a dos formas: riesgos naturales y riesgos artificiales. La lista siguienteincluye algunos acontecimientos que plantean amenazas naturales:
Estados horrorosos de las carreteras/avalanchas Terremotos Tormentas/huracanes/tornados/ventiscas Erupciones Volcánicas
Amenazas Artificiales incluyen los acontecimientos siguientes:
Fuegos/explosiones Robo/vandalismo de malestar Actos/guerras/civil terroristas Paros del suministro eléctrico que Construyen Derrumbamientos Fracasos de Transporte
Recuerde, estos son listas en ningún caso inclusivas. Ellos simplemente identificanalgunos riesgos comunes que muchas organizaciones afrontan. Usted puede desearusarlos como un punto de partida, pero un listado lleno de riesgos que afrontan suorganización requerirá la entrada de todos los miembros del equipo de BCP.
522
La parte de identificación de riesgo del proceso es puramente cualitativa en la naturaleza.En este punto en el proceso, el equipo de BCP no debería estar preocupado sobre laprobabilidad que cada tipo de riesgo en realidad se materializará o la cantidad de daño talpresencia(acontecimiento) infligiría sobre la operación continuada del negocio. Losresultados de este análisis conducirán tanto partes cualitativas como cuantitativas de lastareas restantes BIA.
La Evaluación de Probabilidad
El paso precedente consistió en el equipo de BCP que prepara una lista comprensiva delos acontecimientos que pueden ser una amenaza a una organización. Ustedprobablemente reconoció que algunos acontecimientos mucho con mayor probabilidadpasan que otros. Por ejemplo, un negocio en California del Sur mucho con mayorprobabilidad afronta el riesgo de un terremoto que esto posado por una erupciónvolcánica. Un negocio basado en Hawai podría tener la probabilidad de antítesis que cadariesgo ocurriría.
Para considerar para estas diferencias, la siguiente fase de la Evaluación de Impacto Denegocio identifica la probabilidad que cada riesgo ocurrirá. Para guardar cálculosconstantes, esta evaluación por lo general es expresada en términos de una tarifaanualizada de presencia(acontecimiento) (ARO) que refleja el número de veces unnegocio espera experimentar un desastre dado cada año.
El equipo de BCP debería sentarse y determinar un ARO para cada riesgo identificado enla sección anterior. Estos números deberían estar basados sobre la historia corporativa, laexperiencia profesional de miembros de equipo, y el consejo de expertos, comometeorólogos, sismólogos, profesionales de prevención de incendios, y otros consultores,como necesario.
La Evaluación de Impacto
Como usted puede haber conjeturado basado sobre su nombre, la evaluación de impactoes una de las partes más críticas de la Evaluación de Impacto De negocio. En esta fase,usted analiza los datos juntados durante la identificación de riesgo y la evaluación deprobabilidad e intenta determinar que impacto cada uno de los riesgos identificadostendría sobre el negocio si ocurriera.
De un punto de vista cuantitativo, hay tres métrico específico que examinaremos: el factorde exposición, la expectativa de pérdida sola, y la expectativa de pérdida anualizada.Cada uno de estos valores es calculado para cada combinación de riesgo/activoespecífica evaluada durante las fases anteriores.El factor de exposición (EF) es la cantidad de daño que el riesgo plantea al activo,expresado como un porcentaje del valor del activo. Por ejemplo, si el equipo de BCPconsulta con expertos de fuego y determina que un fuego de edificio causaría al 70 porciento del edificio para ser destruido, el factor de exposición del edificio para encender esel 70 por ciento.
La expectativa de pérdida sola (SLE) es la pérdida monetaria que esperan cada vez elriesgo se materializa. Es calculado como el producto del factor de exposición (EF) y elvalor de activo (AV).
523
Siguiendo con el ejemplo precedente, si el edificio vale 500,000 dólares, la expectativa depérdida sola sería el 70 por ciento de 500,000 dólares, o 350,000 dólares. Usted puedeinterpretar esta número para pensar que esperarían un fuego solo en el edificio paracausar el valor de 350,000 dólares de daño.
La expectativa de pérdida anualizada es la pérdida monetaria que el negocio esperaocurrir como consecuencia del riesgo que daña el activo sobre el curso de un año. Escalculado como el producto de la tarifa anualizada de presencia(acontecimiento) (ARO dela sección anterior) y el valor de activo (AV).
El devolver otra vez a nuestro ejemplo de edificio, si los expertos de fuego predicen queun fuego ocurrirá en el edificio una vez cada 30 años, el ARO es 1/30, o 0.03.
La ALE es entonces el 3 por ciento de 350,000 dólares SLE, o 11,667 dólares. Ustedpuede interpretar este número para pensar que el negocio debería esperar perder 11,667dólares cada año debido a un fuego en el edificio. Obviamente, un fuego no ocurrirá cadaaño – este número representa el coste medio durante los 30 años entre fuegos. No essobre todo útil para consideraciones de hechura de un presupuesto, pero demuestrainestimable intentando priorizar la asignación de recursos BCP a un riesgo dado. Estosconceptos también fueron cubiertos en el Capítulo 6, " el Valor de Activo, la Política, yPapeles. "
TIP
Esté seguro usted es familiar con los fórmulas cuantitativos contenidos en este capítulo ylos conceptos de valor de activo (AV), el factor de exposición (EF), anualizada la tarifa depresencia(acontecimiento) (ARO), singulariza la expectativa de pérdida (SLE), y laexpectativa de pérdida anualizada (la ALE ). Conozca los fórmulas y ser capaz de trabajarpor un guión. El fórmula para calcular la expectativa de pérdida sola es SLE=AV*EF. Elfórmula para calcular la expectativa de pérdida anualizada es ALE=SLE*ARO.
524
De un punto de vista cualitativo, usted debe considerar el impacto no monetario que lasinterrupciones podrían tener sobre su negocio. Por ejemplo, usted podría quererconsiderar lo siguiente:
La pérdida de buena voluntad entre su cliente base La Pérdida de empleados después del tiempo de inactividad prolongado Responsabilidades Sociales/éticas a la comunidad Publicidad Negativa
Es difícil de poner valores dólar sobre artículos como el que para incluirlos en la partecuantitativa de la evaluación de impacto, pero ellos son igualmente importantes. ¡Despuésde todo, si usted diezma su base de cliente, usted no tendrá un negocio para volver acuándo usted está listo a reasumir operaciones!
Priorización de Recurso
La Ordenación de Recurso el paso final del BIA es una priorización de la asignación derecursos de continuidad de negocio a varios riesgos que usted se identificó y evaluó enlas tareas precedentes del BIA.De un punto de vista cuantitativo, este proceso es relativamente franco. Ustedsimplemente crea una lista de todos los riesgos que usted analizó durante el proceso deBIA y clasificarlos en la orden(el pedido) que desciende según la orden(el pedido) por laALE calculada durante calculado durante la fase de evaluación de impacto.Esto provee de usted de una lista priorizada de los riesgos que usted debería dirigir.Simplemente escogido como muchos artículos como usted está dispuesto y capaces dedirigir simultáneamente de la cima de la lista y el trabajo su bajada, añadiendo otroartículo al plato(a la placa) trabajador como usted está satisfecho que usted estápreparado para dirigir un artículo existente. ¡Eventualmente, usted alcanzará un punto enel cual usted ha agotado a cualquiera la lista de riesgos (improbablemente!¡) o todos susrecursos disponibles (mucho más probablemente!). La memoria de la sección anterior quetambién acentuamos la importancia de dirección de intereses cualitativamenteimportantes también. En secciones anteriores sobre el BIA, tratamos el análisiscuantitativo y cualitativo como funciones principalmente separadas con algún traslapo enel análisis. Ahora es hora de combinar las dos listas priorizadas, que son más de un arteque una ciencia. Usted debe sentarse con el equipo de BCP (y con esperanza) losrepresentantes de la dirección combinan y combinan las dos listas en una lista depriorizaciones única. Intereses cualitativos pueden justificar la elevación o la bajada laprioridad de riesgos que ya existen a la lista CLASIFICADA POR ALE cuantitativa. Porejemplo, si usted controla una empresa de supresión de fuego, su prioridad número unopodría ser la prevención de un fuego en su lugar principal de negocio, a pesar del hechoque un terremoto podría causar más lesión. La pérdida potencial de cara dentro de lacomunidad de negocio que es resultado de la destrucción de una empresa de supresiónde fuego por el fuego podría ser demasiado difícil para vencer y causar elderrumbamiento
525
Estrategia de Continuidad
Las dos primeras fases del proceso de BCP (el Alcance De proyecto y la Planificación y laEvaluación de Impacto De negocio) son enfocadas en la determinación como el procesode BCP trabajará y la ordenación del activo de negocio que debe ser protegido contra lainterrupción. La siguiente fase de desarrollo BCP, la Planificación de Continuidad, centrossobre el desarrollo y la puesta en práctica de una estrategia de continuidad de reducir almínimo el impacto riesgos comprendidos podría tener sobre el activo protegido.
Desarrollo de la estrategia
La fase de desarrollo de estrategia de continuidad que planea puentes el hueco entre laEvaluación de Impacto De negocio y la Continuidad que Planea las fases de desarrolloBCP. El equipo de BCP ahora debe tomar la lista de priorización de preocupacioneslevantadas por los ejercicios de ordenación de recursos cuantitativos y cualitativos ydeterminar cuales riesgos serán dirigidos por el plan de continuidad de negocio.Totalmente la dirección de todas las contingencias requeriría la puesta en práctica deprovisiones y procesos que mantienen una postura de tiempo de inactividad cero antetodo y cada riesgo posible.Para motivos obvios, poniendo en práctica una política este comprensivo es simplementeimposible.
El equipo de BCP debería mirar hacia atrás al tiempo de inactividad máximo tolerable(MTD) estimaciones creadas durante las tempranas etapas del BIA y determinar cualesriesgos es considerado aceptable y que debe ser mitigado por provisiones de continuidadBCP. Algunas de estas decisiones son obvias - el riesgo de una ventisca que golpea unafacilidad de operaciones en Egipto es insignificante y sería considerado un riesgoaceptable. El riesgo de un monzón en Nueva Delhi es bastante serio que debe sermitigado por provisiones de BCP.
Procesos y Provisiones
Las provisiones y la fase de procesos de planificación de continuidad son la carne del plande continuidad entero de negocio. En esta tarea, el equipo de BCP diseña losprocedimientos específicos y los mecanismos que mitigarán los riesgos consideraroninaceptable durante la etapa de desarrollo de estrategia. Hay tres categorías de activoque debe ser protegido por provisiones de BCP y procesos: la gente, edificios /instalaciones, e infraestructura. En las tres siguientes secciones, exploraremos algunastécnicas usted puede soler salvaguardar cada una de estas categorías.
TIP
Tenga presente que hay cuatro respuestas posibles a un riesgo: reduzca, asigne, acepte, yel desecho. Cada uno puede ser una respuesta aceptable basada sobre las circunstancias.Una vez que el equipo de BCP determina cuales riesgos requieren la mitigación y el nivelde los recursos que serán cometidos a cada tarea de mitigación, ellos están listos a seguiradelante a las provisiones y la fase de procesos de planificación de continuidad.
526
Personas
Ante todo, usted debe asegurar que la gente dentro de su organización este a salvoantes, durante, y después de una emergencia. Una vez que usted ha alcanzado aquelobjetivo, usted debe hacer provisiones para permitir a sus empleados conducir tanto suBCP como tareas operacionales en una manera tan normal como posible dado lascircunstancias.
La gente debería ser proveída de todos los recursos ellos tienen que completar sus tareasasignadas. Al mismo tiempo, si las circunstancias dictan a aquella gente estar presentesen el lugar de trabajo durante los períodos ampliados de tiempo, las disposiciones debenser hechas para el refugio y el alimento. Cualquier plan de continuidad que requiere estasprovisiones debería incluir instrucciones detalladas para el equipo de BCP en caso de undesastre. Las reservas de provisiones suficientes alimentarse el operacional y equipos deapoyo durante un período ampliado de tiempo deberían ser mantenidas en una posiciónaccesible y hechas girar de vez en cuando para prevenir el desperdicio.
El Edificio /instalaciones
Estos podrían incluir facilidades estándar de la oficina, confeccionando plantas, loscentros de operaciones, tienen cuidado con casas comerciales, distribución /logística seconcentra, y los depósitos de reparación /mantenimiento, entre otros. Cuando ustedrepresente a su BIA, usted identificará esas facilidades que juegan un papel crítico en suorganización la viabilidad continuada. Su plan de continuidad debería poner la direcciónen dos áreas para cada facilidad crítica:
21. Endureciendo comestibles su BCP debería esbozar mecanismos y métodosque pueden ser puestos en lugar para proteger sus instalaciones existentes encontra de los riesgos definidos en el desarrollo de estrategia la fase. Esto podríaincluir pasos tan simples como parchar un techo agujereado o tan complicadocomo instalar las contraventanas huracanadas reforzadas y las paredes a pruebade fuego.
22. Alterne sitios en caso que sea imposible endurecer una facilidad en contrade un riesgo, su BCP debería identificar alterna sitios donde las actividades denegocio pueden volver a la carga inmediatamente (o al menos en uno el períodode tiempo que es más corto que el máximo período de inactividad por fallastolerable para todo afectó el negocio es crítico las funciones). El siguiente capítulo,"desastre Recuperación Planificando," describe uno pocos de la facilidadmecanografía eso podría ser útil en esta etapa.
Advertencia
No pierda la vista el hecho que la gente es realmente su activo más valioso. En casi cadalínea de negocios, la seguridad de la gente siempre debe venir antes de los objetivos denegocio de la organización. ¡Asegúrese que su plan de continuidad de negocio haceprovisiones adecuadas para la seguridad de sus empleados, clientes, proveedores, ycualquier otro individuo que puede ser afectado!
Con formato: Sin Resaltar
Con formato: Sangría: Izquierda:0.63 cm, Con viñetas + Nivel: 1 +Alineación: 2.12 cm + Tabulacióndespués de: 2.75 cm + Sangría: 2.75cm, Punto de tabulación: No en 2.75cm
Con formato: Sangría: Izquierda:0.63 cm, Con viñetas + Nivel: 1 +Alineación: 2.12 cm + Tabulacióndespués de: 2.75 cm + Sangría: 2.75cm, Punto de tabulación: No en 2.75cm
527
La infraestructura
Cada negocio depende de alguna suerte de infraestructura para sus procesoscríticos. Para muchos los negocios, una parte crítica de esta infraestructura es unacolumna vertebral de tecnología de la información de comunicaciones y con los sistemasde ponente que tramitan órdenes, manejan la cadena del suministro, manejan interaccióndel cliente, y realice otras funciones comerciales. Esta columna vertebral comprende unnúmero de servidores, estaciones de trabajo, y los enlaces críticos de comunicacionesentre sitios. El BCP le debe dirigir la palabra cómo lo harán estos sistemas sea a pruebade riesgos identificados durante la fase de desarrollo de estrategia. Al igual que conedificios y las facilidades, hay dos métodos principales de con tal que esta protección:
Endureciendo sistemas usted puede proteger sistemas en contra de los riesgosintroduciendo mas protector los recursos como los sistemas seguros en lacomputadora de supresión de fuego y los suministros de fuerza ininterrumpidles.
Los sistemas alternativos Usted también puede proteger funciones comercialesintroduciendo redundancia (Ya sea los componentes redundantes o lossistemas/comunicaciones completamente redundantes se relacionan eso confíe enlas facilidades diferentes).
Estos mismos principios se aplican a cualquier cosa que los componentes deinfraestructura sirven su negocio crítico, los sistemas de _ transporte de procesos, lascuadrículas eléctricas de poder, la banca y los sistemas financieros, los abastecimientosde agua, etcétera.
TENGA PREVISTA APROBACIÓN
Una vez que el equipo BCP completa la fase del diseño del documento BCP, eshora de ganar nivel sobresaliente el endoso administrativo del plan. Si usted fuese losuficientemente afortunado para tener alta gerencia el envolvimiento a todo lo largo deldesarrollo pone en fase del plan, ésta debería ser una relativamente línea recta el procesodelantero. Por otra parte, si ésta es su gerencia de primera instancia que se acerca a conlo el documento BCP, usted debería estar preparado a proveer una larga explicación depropósito del plan y los comestibles específicos.
Usted ha visto en varios lugares que la aprobación de alta gerencia y la compra enes La condición para el éxito del esfuerzo global BCP.
Si es posible, usted debería tratar de endosar el plan por el alto ejecutivo en sunegocio el director de la empresa, el presidente, el presidente, o el similar líder comercial.Esta maniobra demuestra la importancia del plan para la organización entera y presenta alnegocio el compromiso del líder para la continuidad comercial. La firma de tal individuo enel plan también le da peso muy mayor y credibilidad en los ojos de otros altos gerentes,eso completamente como una iniciativa necesaria pero trivial de tecnología de lainformación.
Tenga Prevista Implementación
528
Una vez que usted ha recibido aprobación de alta gerencia, es hora de bucearadentro y empezar implementar su plan. El equipo BCP debería reunirse y deberíadesarrollar un horario de implementación eso utiliza los recursos dedicados al programa alograr la provisión y proceso indicado las metas en una manera tan dinámica comoposible dado el alcance de las modificaciones y el organiza el clima total.
Después de que todo los recursos sean con creces destacados, el equipo BCPdebería supervisar la conducta de un programa apropiado de mantenimiento BCP aasegurar que el plan permanece receptivo para la evolución necesaria del negocio.
El Entrenamiento y la Educación
El entrenamiento y la educación son elementos esenciales de la implementaciónBCP. Todo personal que estará involucrado en el plan (cualquier directamente oindirectamente) debería recibir alguna suerte de entrenamiento adelante el plan global ysus responsabilidades individuales. Todo el mundo en la organización debería reciba almenos una sesión informativa de visión general de plan para proveerles de la confianzaque la pista comercial los srs. han considerado que los riesgos posibles posasen para laoperación continuada del negocio y ha puesto un plan en el lugar a mitigar el impacto enla organización negocio debería ser desordenado. Las personas con BCP directo lasresponsabilidades deberían ser entrenadas y evaluadas en sus tareas específicas BCPpara asegure que pueden completarlos eficazmente cuando el desastre golpea. Además,en lo mínimo la persona del respaldo debería estar adiestrado para cada tarea BCP paraasegurar redundancia en ese momento el personal es herido o no puede alcanzar el lugarde trabajo durante una emergencia.
El entrenamiento y la educación son partes importantes de cualquier plan relatadoen seguridad y lo el proceso BCP no es excepción. Asegure a ese personal dentro de suorganización ¡es completamente consciente de sus responsabilidades BCP antes de lashuelgas de desastre!
BCP DOCUMENTACION
La documentación es un paso crítico en la Continuidad del Negocio TeniendoPrevisto proceso. La comisión su la metodología BCP al periódico provee variosbeneficios importantes:
Asegura a ese personal BCP tiene un documento escrito de continuidadpara el que establecer referencias en ese momento de una emergencia,aun si los miembros mayores del equipo BCP no asisten a guiar elesfuerzo.
Provee un historial del proceso BCP que será útil para el personal futurobuscando para ambos comprenda el razonamiento detrás de métodosdiversos, el implemento y el cambia en el plan.
Obliga a los miembros del equipo a cometer sus pensamientos paraempapelar un proceso que a menudo el fácil los item la identificación dedesperfectos en el plan. Tener el plan en periódico también le permiteadoptar en borrador los métodos a ser distribuidos para los individuos noen el equipo BCP para uno " el cheque de cordura.
529
En las siguientes secciones, exploraremos una cierta cantidad de los componentesimportantes de lo escrito el plan de continuidad del negocio.
La Continuidad Teniendo Previstas Metas
Ante todo, el plan debería describir las metas de continuidad planificando como seten adelante por ahí lo el equipo BCP y la alta gerencia. Se decidió por estas metas en oantes del primer BCP Mancomune encontrarse y más probablemente permaneceráinalterado a todo lo largo de la vida del BCP.
La meta más común del BCP es muy simple: Para asegurar la operación continuade lo el negocio haciendo frente a una situación de emergencia. Otras metas tambiénpueden estar insertas en este pasaje del documento para encontrar necesidadesorganizativas.
530
La Declaración de Importancia
La declaración de importancia refleja la criticidad del BCP para la organización escontinuada la viabilidad. Este documento comúnmente se plasma en una carta para losempleados de la organización indicando la razón que la organización le asignó losrecursos significativos al desarrollo BCP el proceso y pidiendo la cooperación de todopersonal en la fase de implementación BCP.
Aquí hay donde la importancia de compra mayor del ejecutivo en entra en juego. Siusted puede expulsar esto la carta bajo la firma del director general o un oficial en un nivelsimilar, el plan mismo llevará tren el peso de menudos como usted trata de implementarcambia a todo lo largo de la organización. Si usted tiene La firma de un gerente que semueve hacia abajo ras con ras, usted puede encontrar resistencia como usted trate detrabajar on porciones de la organización fuera del control directo de ese individuo.
La Declaración de Prioridades
La declaración de prioridades fluye directamente de lo identifica fase deprioridades del Negocio afecte Valoración. Simplemente implica listar las funcionesconsideradas críticas para negocio continuado las operaciones en una orden priorizada.Al listar estas prioridades, a usted también debería incluir uno la declaración que fuerondesarrollados como parte del proceso BCP y refleja la importancia de lo las funcionespara las operaciones comerciales continuadas en el caso de una emergencia y nada más.La lista de prioridades podría servir para resultado y propósitos no intencionados en unatierra enzacatada política batalle entre organizaciones irreconciliables en perjuicio del plande continuidad del negocio.
La Declaración de Responsabilidad Organizativa
La declaración de responsabilidad organizativa también viene de un ejecutivo denivel avanzado y puede ser incorporado en la misma carta como la declaración deimportancia. Básicamente hace eco del sentimiento ¡Eso " la Continuidad Del negocio esla Responsabilidad de Todos! La declaración de responsable organizativo el dice conotras palabras el compromiso de la organización para la Continuidad Del negocioPlanificando y revela información lo los empleados de la organización, los vendedores, ylos afiliados a los que son individualmente esperados hacen cada la cosa que puedenayudar con el proceso BCP.
La Declaración de Urgencia y Oportunidad del Momento
La declaración de urgencia y los expreses de oportunidad del momento lacriticidad de implementar al BCP y fuera le aplica delineador al horario de implementaciónbien definido en por el equipo BCP y estado de acuerdo para por hombre superior elagente. La redacción de esta declaración dependerá de la urgencia real asignada a loBCP vaya en procesión por el liderazgo de la organización. Si la declaración misma esincluida en la misma carta como la declaración de prioridades y declaración deresponsabilidad organizativa, el horario debería ser incluido como un documentoseparado. De otra manera, el horario y esta declaración pueden ser ponga en el mismodocumento.
La Determinación De Riesgo
531
La porción de determinación de riesgo de la documentación BCP esencialmenterecubre la toma de decisiones el proceso emprendido durante la Valoración Del negociode Impacto. Debería incluir un debate de todo de los riesgos considerados durante la BIAasí como también lo cuantitativo y análisis cualitativos por formado para evaluar estosriesgos. Para el análisis cuantitativo, el AV real, EF, ARO, SLE, y las figuras de ALEdeberían ser incluidas. Para el análisis cualitativo, el proceso pensado detrás del riesgo elanálisis debería ser provisto al lector.
Arriesgue Aceptación /mitigación
La sección de aceptación /mitigación de riesgo de la documentación BCP contieneel resultado de lo la porción de desarrollo de estrategia del BCP va en procesión. Deberíacubrir cada riesgo identificado en el riesgo la porción de análisis del documento y elcontorno un de dos procesos pensados:
Para los riesgos que fueron estimados aceptables, debería esbozar las razones elriesgo fueron consideradas los acontecimientos aceptables así como también potencialesy futuros que podrían garantizar reconsideración de esto la determinación.
Para los riesgos que fueron estimados inaceptables, debería esbozar loscomestibles de mitigación de riesgo y los procesos ponen en lugar a reducir el riesgo a laviabilidad continuada de la organización.
Los Registros Vitales Programan
La documentación BCP también debería esbozar un programa vital de registrospara la organización. Esto el documento indica dónde se guardarán los expedientes denegocio críticos y los métodos para hacer y almacenando copias de respaldo de esosregistros. Ésta es también una porción crítica de la recuperación de desastre el plan y esdiscutido en el Capítulo 16 la cobertura de ese tema.
Las Líneas Directivas de Respuesta de Emergencia
Las líneas directivas de respuesta de emergencia esbozan las responsabilidadesorganizativas e individuales para la respuesta inmediata para una situación deemergencia. Este documento provee a los primeros empleados para detecte unaemergencia con los pasos que deberían estar ocupados para activarse comestibles delBCP que automáticamente no se active. Estas líneas directivas deberían incluir losiguiente:
1. Los métodos inmediatos de respuesta (los métodos prendarios, losmétodos de supresión de fuego, notifica de agentes de respuesta deemergencia apropiadas, etc.) A quién a notificar (los ejecutivos, BCP formaen equipo a los miembros, etc.)
2. Los métodos secundarios de respuesta a tomar mientras en espera delBCP forman en equipo para reunirse
El mantenimiento
La documentación BCP y el plan mismo deben ser documentos vivos. Cadaorganización encuentra casi constante cambio, y esta naturaleza dinámica asegura que eldel negocio los requisitos de la continuidad también evolucionarán. El equipo BCP no
532
debería ser desbandado después del plan es desarrollado pero todavía deberíaencontrarse periódicamente para discutir el plan y revisar los resultados de plan laspruebas a asegurar que continúe encuentran necesidades organizativas. Obviamente, elmenor de edad cambia para lo el plan no requiere transmitir el proceso completo dedesarrollo BCP de la nada; Se pueden simplemente hágase en una reunión informal delequipo BCP por el consentimiento unánime. Sin embargo, mantenga en mente que loscambios drásticos en la misión o los recursos de una organización pueden requerirregresar a lo BCP dibujando pizarrón y comenzando de nuevo. Todas las versionesmayores del BCP deberían ser físicamente destruido y repuesto por la versión más actualtan ese no hay nunca cualquier confusión en lo que se refiere a lo corrija implementacióndel BCP. Es también una buena práctica incluir componentes BCP en las descripcionesde trabajo a asegurar que el BCP permanece fresco y correctamente realizado.
La experimentaciónLa documentación BCP también debería esbozar un programa formalizado de
experimentación para asegurar que el plan permanece actual y que a todo personal se leadecuadamente adiestra a realizar sus deberes en ese momento de un desastre real. Elproceso duro es realmente similar que eso acostumbró para la recuperación de desastreel plan, así es que el debate de los tipos experimentales específicos será confidencialpara el Capítulo 16.
RESUMEN
Cada dependiente de organización en recursos tecnológicos para su supervivenciadebería tener un compre el plan de continuidad de negocio del , en el lugar a asegurar laviabilidad sostenida de la organización cuándo las emergencias imprevistas tienen lugar.Hay un número de los conceptos importantes que están bajo de sólido el del negocioContinúan Planificando (BCP) practica, incluyendo Alcance de Proyecto y Planificando,Negocio Afecte Valoración, Continuidad Planificando, y la Aprobación y laImplementación. Cada organización deben tener tiene previsto y los métodos en lugar aayudar a mitigar los efectos un desastre lleva puesto continuar las operaciones y paraacelerar el regreso para las operaciones normales. Para determinar los riesgos que sunegocio las caras y eso requieren mitigación, usted debe transmitir una Valoración Delnegocio de Impacto de ambos guían los puntos de vista cualitativos. Usted debe tomarlos pasos apropiados en desarrollar un plan de contingencia, la estrategia para suorganización y sabe qué hacer para sobrellevar desastres futuros.
Finalmente, usted debe crear la documentación requerida para asegurar que suplan está eficazmente comunicado para presentar y los participantes futuros del equipoBCP. Tal documentación debe incluir la continuidad teniendo previstas líneas directivas.El plan de continuidad del negocio también debe contener declaraciones de laimportancia, las prioridades, la responsabilidad organizativa, y la urgencia y la oportunidaddel momento. Además, lo la documentación debería incluir planes para la determinaciónde riesgo, aceptación, y mitigación, uno vital los registros programan, líneas directivas derespuesta de emergencia, y planes para el mantenimiento y experimentando.
El siguiente capítulo tomará esta planificación para el siguiente paso _desarrollándose e implementando uno el plan de recuperación de desastre. El plan derecuperación de desastre patea en donde el plan de continuidad del negocio deja de.Cuando una emergencia ocurre eso interrumpe su negocio a pesar del BCP mas
533
recursos, el plan de recuperación de desastre guían los esfuerzos de recuperaciónnecesarios a restaurar su negocio para las operaciones normales tan rápido como seaposible.
Las Cosas Esenciales del Examen
Entienda que los cuatro pasos de la Continuidad Del negocio Planificar van en procesión.
El plan de continuidad del negocio (BCP) implica cuatro fases bien definidas: Alcance delproyecto y Negocio Planificador, Entran en Colisión la Valoración, ContinuidadPlanificando, y la Aprobación y la Implementación. Cada tarea contribuye para la metaglobal de asegurar esas operaciones de negocio continúe ininterrumpido uno la situaciónde emergencia.
Describa cómo realizar el análisis de la organización del negocio.En el análisis de la organización del negocio la responsabilidad individual para conducir elproceso BCP, determina que departamentos y individuos tienen una estaca en el plan decontinuidad del negocio. Este análisis es utilizado como una fundación para la seleccióndel equipo BCP y, después de que la validación por el equipo BCP, se use para guiar losiguiente las etapas de desarrollo BCP.
Liste a los miembros necesarios para conformar el equipo de Planificación de Continuidaddel Negocio.El equipo BCP debería tener como un mínimo, representantes de cada uno de losdepartamentos operacionales del soporte y; los técnicos expertos del DEPARTAMENTODE INFORMÁTICA; El personal de seguridad con habilidades BCP; aquel que va serfamiliar debido a que cuenta con responsabilidades legales, reguladoras, y contractuales;y representativas de alta gerencia. Los miembros adicionales del equipo dependen de laestructura y naturaleza de la organización.
Saben los requisitos legales y reguladores que afrontan proyectistas de continuidad delNegocio.
El negocio los líderes deben ejercitar diligencia propia para asegurar que losintereses de los accionistas son protegidos en ese momento el desastre golpea. Algunasindustrias están también sujetas a las reglas federales, estatales, y locales que tripulanfecha métodos específicos BCP. Muchos negocios también tienen obligacionescontractuales para sus clientesEso debe ser conocido, antes y después de un desastre.
Explique los pasos del proceso de Negocio de Valoración de Impacto.Los cinco pasos del Negocio afecte proceso de Valoración es identificación deprioridades, identificación de riesgos, probabilidad evalúe Ment, afecte valoración, ypriorización del recurso.
Describa el proceso usado para desarrollar una estrategia de continuidad. Durante eldesarrollo de estrategia la fase, el equipo BCP decide cuáles riesgos serán mitigados. Enlos comestibles y procesos pone en fase, los mecanismos y los métodos que realmentemitigarán los riesgos es diseñado. El plan luego debe ser aprobado por la alta gerencia eimplementado. El personal también debe recibir entrenarse adelante su los papeles en elBCP van en procesión.
534
Explique la importancia de completamente documentando el plan de continuidad delnegocio de una organización.Poner por escrito el plan provee la organización de una constancia escrita del proceso losdures a seguir cuando el desastre golpea. Impide lo "que está en mi" síndrome "principal"y asegura el progreso ordenado de acontecimientos en una emergencia.
535
Revisar Preguntas
1. Cuál es el primer paso que individuos responsable para el desarrollo de unaplan de continuidad del negocio ¿El plan debería funcionar?
A BCP mancomune selecciónB El análisis comercial de organizaciónC El análisis de requisitos del recursoD La valoración legal y reguladora
2. ¿Una vez que el equipo BCP es seleccionado, cuál debería ser el primerartículo colocado en el orden del día del equipo?
A La Valoración Comercial de ImpactoB El análisis comercial de organizaciónC El análisis de requisitos del recursoD La valoración legal y reguladora
3. Cuál es el término usado para describir la responsabilidad de los oficiales deuna firma y directores de escena a asegurar
4. Eso las medidas adecuadas es en el lugar minimizar el efecto de un desastreen la contra de la organización
A La responsabilidad corporativaB El requisito de desastreC La diligencia propiaD La responsabilidad de la empresa en marcha
5. ¿Cuál será el recurso principal consumido por el proceso BCP durante la faseBCP?
A El hardwareB El softwareC El tiempo de procesamientoD El personal
6. Qué unidad de medida debería usarse para asignarle los valores cuantitativosa los activos en la prioridad ¿La fase de la identificación de la Valoración deImpacto de Negocio?
A MonetarioB La utilidadC La importanciaD El tiempo
7. Cuál de la siguiente BIA llama identifica la cantidad de dinero que un negocioespera perder ¿Para un riesgo dado cada año?
A AROB SLEC EL ALED EF
8. Qué BIA métrica puede estar acostumbrada a expresa el más largo tiempo queuna función comercial puede estar agotada ¿Sin causarle la pérdida irreparablea la organización?
A SLE
536
B EFC MTDD ARO
9. Usted está preocupado por el riesgo que una avalancha plantea para su $3millones enviando instalación.
10. Basado en la opinión experta, usted determina que hay un 5 acaso de porciento que una avalancha hará ocurre cada año. Los expertos le aconsejan queuna avalancha completamente destruiría su edificio y requiere que ustedreconstruya en la misma tierra. Noventa por ciento del $3 millones aprecia dela facilidad es atribuido al edificio y 10 por ciento es atribuido a la tierra misma.Cuál es la pérdida sola ¿La expectación de su facilidad naviera paraavalanchas?
A. El $3,000,000B. El $2,700,000C. El $270,000D. El $135,000
11. ¿En lo referente a la panorama en duda 8, cuál es la expectativa de pérdidasanualizada?
A. El $3,000,000B. El $2,700,000C. El $270,000D. El $135,000
12. Su gerente está preocupado ese la Valoración de Impacto del Negociorecientemente completada por el BCP el equipo adecuadamente no tiene encuenta la pérdida de buena voluntad entre clientes que podrían el resultado deun tipo particular de desastre. ¿Dónde les debería gustar a los artículos estosea dirigido la palabra?
A La estrategia de continuidadB El análisis cuantitativoC La valoración de probabilidadD El análisis cualitativo
13. Cuál la tarea de BCP salva la brecha entre la Valoración del Negocio deImpacto y la Continuidad ¿Teniendo previstas fases?
A La priorización del recursoB La valoración de probabilidadC El desarrollo de estrategiaD Los comestibles y los procesos
14. ¿Cuál recurso debería proteger usted primero cuándo la continuidad de diseñotiene previstos comestibles y procesos?
A La planta físicaB La infraestructuraC FinancieroD Las personas
15. Cuál de las siguientes preocupaciones no sirven para medida cuantitativa
537
durante lo ¿La Valoración del Negocio de Impacto?A La pérdida de una plantaB El daño para un vehículoC Niegue publicidadD La interrupción de poder
16. El encendedor Que Industrias de Aire pretende que perdería $10 millones si untornado golpease su aeronave la facilidad de operaciones. Pretende que untornado podría golpear la facilidad una vez cada 100 años. Qué ¿Laexpectativa de pérdidas sola es para esta panorama?
A. 0.01B. El $10,000,000C. El $100,000D. 0.10
17. ¿En lo referente a la panorama en duda 13, cuál es la expectativa de pérdidasanualizada?
A. 0.01B. El $10,000,000C. El $100,000D. 0.10
18. En cuál Negociaciones Teniendo Prevista la Continuidad tarea tú la verdaddiseñaría procedimientos y mecha ¿Los mismos para mitigar riesgos estimaroninaceptables por el equipo BCP?
A El desarrollo de estrategiaB La Valoración del Negocio de ImpactoC Los comestibles y los procesosD La priorización del recurso
19. ¿La clase de provisión de mitigación es utilizada cuando los enlacesredundantes de comunicaciones son instalados?
A Endureciendo sistemasB Definiendo sistemasC Reduciendo sistemasD Los sistemas alternativos
20. La clase de plan esboza los métodos para seguir cuando un desastreinterrumpe la operación normal ¿Los atiende de un negocio?
A El plan de continuidad del NegocioB La Valoración Comercial de ImpactoC El plan de recuperación de desastreD La valoración de vulnerabilidad
21. ¿Qué debe la fórmula usada computar la expectativa de pérdidas sola parauna panorama de riesgo?
A SLE=AV *EFB SLE=RO *EFC SLE=AV *AROD SLE=EF *ARO
22. ¿Cuándo computando una expectativa de pérdidas anualizada, cuál es elalcance del número de salida?
538
A Todas las ocurrencias de un riesgo a través de una organizacióndurante la vida de la organización
B Todas las ocurrencias de un riesgo a través de una organizacióndurante el año siguiente
C Todas las ocurrencias de un riesgo afectando un activo organizativosolo durante la vida del activo
D Todas las ocurrencias de un riesgo afectando un activo organizativosolo durante el año siguiente
Responde A las Preguntas Retrospectivas
1. B. Las ayudas de análisis de la organización del negocio que los proyectistasiniciales seleccionan equipo apropiado BCP Los miembros y luego los guías elproceso global BCP.
2. B. La primera tarea del equipo BCP debería ser la revisión y la validación de laorganización del negocio análisis inicialmente funcionó por esos individuosresponsables para ser el líder del esfuerzo BCP. Esto asegura que el esfuerzoinicial, emprendido por un grupito de individuos, refleja las creencias del equipoentero BCP.
3. Los oficiales de la firma de la A C. y los directores de escena deben legalmenteejercitar diligencia propia en guiar su las actividades. Este concepto crea unaresponsabilidad fideicomisaria en su parte para asegurar eso adecuado losplanes de continuidad del negocio están en el lugar.
4. D. Durante la fase planificadora, la utilización del recurso más significativa seráel tiempo dedicado por miembros del BCP forme en equipo para el proceso deplaneación mismo. Esto representa un uso significativo de negocio los recursosy es otra razón que la compra adentro de alta gerencia es esencial.
5. A. que La porción cuantitativa de la identificación prioritaria debería asignaractivo aprecia en las unidades monetarias.
6. C. La expectativa de pérdidas anualizada (la ALE) representa la cantidad dedinero a la que un negocio espera pierda para un riesgo dado cada año. Estafigura es realmente útil al representar uno cuantitativo anterior la licitación deasignación de recursos de continuidad del negocio.
7. C. El máximo período de inactividad por fallas tolerable (MTD) representa elmás largo período que una función comercial representa esté agotado antes decausarle la pérdida irreparable al negocio. Esta figura es muy útil cuandodeterminando el nivel de recursos de continuidad del negocio para asignarle auna función particular.
8. B. El SLE es el producto del AV y el EF. De la panorama, usted sabe que el AVlo es el $3,000,000 y el EF son 90 el por ciento, basados el hecho que lamisma tierra puede ser usada para reconstruya la facilidad. Esto produce a unSLE de $2,700,000.
539
9. D. que Este problema requiere que usted compute la ALE, que es el productodel SLE y lo ARO. De la panorama, usted sabe que el ARO tiene 0.05 años deedad (o 5 por ciento). De pregunta 8, usted sé que el SLE es $2,700,000. Estoproduce a un SLE de $135,000.
10. D. que La porción de análisis cualitativo de la BIA le deja introducirpreocupaciones intangibles, algo semejante como pérdida de buena voluntaddel cliente, en la BIA teniendo previsto proceso.
11. C. La tarea de desarrollo de estrategia salva la brecha entre la ValoraciónComercial de Impacto y la continuidad Planificando por analizar la listapriorizada de riesgos desarrollados durante la BIA y disuade la minería que searriesga será tratada según el BCP.
12. D. La seguridad de vida humana siempre debe ser la preocupación supremaen el Plan de Continuidad del negocio. Tenga la seguridad de que su planreflexione esta prioridad, especialmente en la documentación escrita que es¡Diseminado para los empleados de su organización!
13. C. que cuesta mucho poner una figura del dólar en el negocio perdió debido apublicidad negativo. Allí hacia adelante, este tipo de interés es mejor evaluadodirecto un análisis cualitativo.
14. B. La expectativa de pérdidas sola (SLE) es el importe del daño que se deberíaa un soltero la ocurrencia del riesgo. En este caso, el SLE es $10 millones, eldaño esperado de un peñasco el nado. El hecho que un tornado ocurra solouna vez cada 100 años no se reflejan en el SLE sino se reflejaría en laexpectativa de pérdidas anualizada (la ALE).
15. C. La expectativa de pérdidas anualizada (LA ALE) es computado tomando elproducto de la pérdida sola la expectación (SLE), cuál fue $10 millones en estapanorama, y la tasa anualizada de ocurrencia (ARO), cuál fueron 0.01 en esteejemplo. Estas figuras producen una ALE de $100,000.
16. C. En los comestibles y los procesos ponen en fase, el equipo BCP realmentediseña los métodos y los ánimos para mitigar riesgos que estaban estimadosinaceptables durante el desarrollo de estrategia ponen en fase.
17. Los enlaces de comunicaciones D. Redundante son un tipo de sistema dealternativa puesto en su sitio para proveer los circuitos de apoyo en caso deque un enlace primario de comunicaciones yerra.
18. Los planes de recuperación C. Desastres se mejoran donde los planes decontinuidad del negocio dejan de. Después de un desastre las huelgas y elnegocio son interrumpidos, la recuperación de desastre planifica que larespuesta de guías forma en equipo adentro su los esfuerzos para rápidamenterestaurar operaciones comerciales para los niveles normales.
19. A. La expectativa de pérdidas sola (SLE) es computado como el producto delvalor del activo (AV) y lo el factor de exposición (EF). Las otras fórmulasexhibidas aquí exactamente no reflejan este cálculo.
540
20. D. La expectativa de pérdidas anualizada, como su nombre entraña, cubre lapérdida esperada debido a un riesgo el ingreso de un año solo. Los númerosde ALE son computados individualmente para cada activo dentro de unaorganización.
541
542
Capítulo 16: Plan de Recuperación de Desastres
Temas cubiertos en este capítulo:
Estrategia de RecuperaciónDesarrollo del Plan de RecuperaciónImplementaciónRecuperación del grupo de trabajoEntrenamiento/Pruebas/MantenimientoEventos BCP/DRP
En el capítulo anterior, se aprendieron los elementos esenciales del Plan de Continuidadde Negocio (BCP)- el arte de ayudar a la organización a evitar ser interrumpida porefectos devastadores ante una emergencia. Uno de los principios esenciales del BCP erala administración de riesgos – se debe definir la probabilidad de que una vulnerabilidadsea explotada y la probabilidad que determine el lugar apropiado en que los recursospuedan combatir una amenaza.
Los planes de continuidad de negocio no pretenden prevenir todo desastre posible queafecte a la organización debido al principio de administración de riesgos- esta meta seríaimposible. Por el contrario, los planes se realizan para limitar los efectos de los desastresmás comunes. Naturalmente, esto hace que las organizaciones estén vulnerables a ungran número de amenazas – aquellas amenazas que no se tomaron en cuenta.
Los pasos del Plan de Recuperación de Desastres (DRP) se complementa con el BCP.Cuando un BCP falla en prevenir la interrupción del negocio, el Plan de Recuperación deDesastres guía las acciones de repuesta de emergencia hasta que se alcance el objetivo– el negocio es restaurado a su capacidad operativa normal con respecto a susoperaciones primarias.
Este capítulo muchas áreas comunes entre los procesos BCP y DRP. Las discusiones dedesastres específicos proveen información en como manejarlas desde ambos puntos devista: BCP y DRP, lo que servirá para explicar la relación entres éstos dos procesos.Aunque la currícula de CISSP diferencia ambos, muchas organizaciones cuentan con unsolo plan/equipo que maneja ambos.
Plan de Recuperación de Desastres
El Plan de Recuperación de Desastres brinda orden a los eventos caóticos ante lainterrupción de las actividades normales en una organización. Por su misma naturaleza,el Plan de Recuperación de Desastres es implementado sólo cuando la tensión es alta yno es posible pensar bien. Imaginemos circunstancias en que sea necesario implementarmedidas DRP – un huracán, fuego que destruya el centro de procesamiento, actividadesterroristas que cierren el acceso a la ciudad.
El Plan de Recuperación de Desastres debería correr de manera casi automática.Personal esencial debe ser entrenada en sus deberes y responsabilidades ante undesastre y debe conocer los pasos que deben tomar para que la organización siga consus actividades lo antes posible. Empezaremos por analizar algunos de los posibles
543
desastres que puedan afectar a la organización y amenazas particulares a los que estáexpuesta. Muchos de estos fueron mencionados en el capítulo anterior, pero seexplorarán en este capítulo a detalle.
Desastres Naturales
Los desastres naturales representan la furia de nuestro hábitat – ocurrencias violentasque ocurren debido a cambios en la atmósfera o la corteza terrestre que están fuera delalcance del hombre. En algunos casos, como los huracanes, los científicos handesarrollado un sofisticado método para predecir éstos y advierten a la población antes deque ocurra el desastre. Otros, como los terremotos, pueden traer destruccionesimpredecibles. Su Plan de Recuperación de Desastres debe proveer mecanismos pararesponder a ambos tipos de desastres, como una gradual respuesta o como reaccióninmediata ante una crisis.
Terremotos
Los terremotos son causados por el cambio de placas sísmicas y pueden ocurrir casi encualquier parte del mundo sin previa advertencia. Sin embargo, los terremotos seproducen con mayor frecuencia en donde se encuentran las fallas constituidas por lasfronteras entre placas y se encuentran en muchas áreas del mundo. Un conocido ejemploes la falla de San Andrés, el cual representa un riesgo a la población del oeste de EstadosUnidos. Si usted vive en una región situada sobre una falla, su DRP debería contar conlos procedimientos necesarios para que su negocio pueda continuar con sus actividadessi un evento sísmico lo interrumpe.
La siguiente tabla 16.1 muestra los sitios de Estados Unidos donde la FEMA (FederalEmergency Management Agency) considera que hay peligro sísmico moderado, algo omuy alto. Note que los estados en la tabla comprometen el 80% de los 50 estados, locual significa que la mayoría de países tienen por lo menos un riesgo moderado deactividad sísmica.
Tabla 16.1 Nivel de Peligro Sísmico por Estado
544
Inundaciones
Las inundaciones pueden ocurrir casi en cualquier lugar en el mundo en cualquiermomento del año. Algunas inundaciones resultan de acumulación gradual de agua delluvia en los ríos, lagos, etc. los cuales se desbordan e inundan la comunidad. Otrasinundaciones son producto de las tormentas que ocurren en zonas donde se descargamás agua del que puede ser absorbido en corto tiempo por la tierra. Las inundacionespueden ocurrir cuando se abren las presas.
545
De acuerdo a las estadísticas del gobierno, las inundaciones son responsables depérdidas de más de $1 billón en los negocios y casas cada año en los Estados Unidos.Es importante que su DRP tenga planes de respuesta adecuadas ante la ocurrencia deuna inundación.
Cuando se evalúa un riesgo relacionado a daños por inundación al desarrollar el BCP yDRP, es también recomendable asegurarse de que su organización tiene el segurosuficiente para proteger la organización de un impacto financiero. En los EstadosUnidos, la mayoría de las políticas de los negocios no cubren los daños que puedan sercausados por inundaciones, se debe investigar obteniendo seguros respaldados por elgobierno ante inundaciones en el Programa de Aseguramiento Nacional deInundaciones de la FEMA.
Aunque las inundaciones son posibles teóricamente en casi cualquier región del mundo,es más probable que ocurra en ciertas áreas. El Programa de Aseguramiento Nacionalde Inundaciones de la FEMA es responsable del análisis de riesgos de inundaciones paratodo Estados Unidos, la FEMA se encarga de proveer esta data a todos los ciudadanosen forma gráfica. Los mapas se pueden ver en línea en la siguiente dirección:www.esri.com/hazards/. Este sitio también proporciona información importante dehistóricos de huracanes, terremotos, tormentas y otros desastres naturales para ayudar alas organizaciones a que realicen su análisis de riesgos. Al ver los mapas, como el quese muestra en la figura 16.1, se encontrarán dos tipos de riesgos asignados a las áreas: “100-year flood plain ” y “500-year flood plain”, lo cual significa que se espera unainundación por lo menos cada 100 y 500 años, respectivamente. Para mayor detalle leerel siguiente tutorial: www.fema.gov/mit/tsd/ot_firmr.htm
Tormentas
Las tormentas provienen de diferentes formas y los riesgos evaluados a los negocios sondiversos. Periodos prolongados de intensas lluvias podría resultar en el riesgo deinundación descrito en la sección anterior. Huracanes y tornados resultan en amenazasde vientos acelerados que exceden las 100 millas por hora, lo cual amenaza la integridadde las estructuras de los edificios y convierten los objetos como árboles y vehículos enmisiles. Las tormentas de granizo producen pedazos de hielo que caen del cielo, lo queresulta destructivo. Muchas de las tormentas con relámpagos pueden afectar a losaparatos electrónicos. Por esta razón, los BCP deberían detallar los mecanismosapropiados para protegerse contra el daño producido por relámpagos y el DRP debeproveer provisiones adecuadas para defenderse de los daños de energía y equipo quepuedan ser resultado de un relámpago. Nunca se debe subestimar el daño que unasimple tormenta podría causar.
Con formato: Número de columnas:1, Ancho columna nº 1: 15.24 cm
Con formato: Ancho columna nº 1:15.59 cm, Sin Forzar ancho de columnaigual
Código de campo cambiado
546
Figura 16.1 Mapa de inundaciones en Miami, Florida
Si usted vive en una de las áreas susceptibles a ciertos tipos de tormentas severas, esimportante que monitoree regularmente los pronósticos del clima dado por las agenciasdel gobierno. Por ejemplo, los especialistas de recuperación de desastres en áreas dehuracanes periódicamente deben chequear el sitio web: National Weather Service’sTropical Prediction Center (www.nhc.noaa.gov) durante la temporada de huracanes.Este sitio web le permite monitorear las tormentas del Atlántico y Pacífico que puedan
Con formato: Número de columnas:1, Ancho columna nº 1: 15.24 cm
Código de campo cambiado
547
causar un riesgo a su región antes de que sean publicadas en las noticias locales. Estole permite responder gradualmente a las tormentas antes de que ocurran.
Incendios
Los incendios pueden empezar por una variedad de razones: naturales y provocadas porel hombre, pero ambas formas pueden ser devastadoras. Durante el proceso deBCP/DRP, usted debería evaluar el riesgo de un incendio e implementar por lo menos lasmedidas básicas para mitigar el riesgo y preparar el negocio para recuperarse de unincendio catastrófico.
Algunas regiones del mundo son susceptibles a incendios durante la temporada de calor.Estos incendios, una vez empezados, se dispersan en patrones predecibles, los expertosen incendios en conjunto con los meteorologistas pueden comunicar el camino potencialque puede tomar el incendio.
Así como con muchos tipos de desastres naturales a gran escala, se puede obtenerinformación acerca de amenazas inminentes en la Web. En los Estados Unidos, elNational Interagency Fire Center cuelga actualizaciones diarias de incendios ypronósticos en su sitio Web: www.nifc.gov/firemaps.html. Otros países tienen sistemasde advertencias similares.
Otros Eventos Regionales
Algunas regiones en el mundo son propensas a determinados tipos de desastresnaturales. Durante el proceso de BCP/DRP, el equipo debería analizar todos los lugaresde operación de la organización y calibrar el impacto que estos tipos de acontecimientospodrían tener en su negocio. Por ejemplo, muchas regiones del mundo son propensas aerupciones volcánicas. Si conduce operaciones en una área cercana a un volcán activo oinactivo, su DRP debe tratar probablemente esta eventualidad. Otras ocurrenciasnaturales localizadas incluyen las monzones en Asia, tsunamis en el Pacífico sur,avalanchas en regiones montañosas, y deslizamientos de lodo en el occidente de EstadosUnidos. Si su negocio es geográficamente diverso, sería prudente incluir gente quepertenezca a estas áreas (nativos) en su equipo del planeamiento. Por lo menos, haceruso de los recursos locales como los equipos de emergencia del gobierno, lasorganizaciones de defensa civil, y las oficinas de seguros para ayudar a dirigir susesfuerzos. Estas organizaciones poseen abundante conocimiento y estarán generalmentemás que felices de ayudarle a preparar su organización para lo inesperado-después detodos, cada organización que resiste con éxito a un desastre natural es una organizaciónmenos que requiera recuperación de sus recursos valiosos después de que ocurra eldesastre.
Desastres artificiales
Con formato: Ancho columna nº 1:15.59 cm, Sin Forzar ancho de columnaigual
Con formato: Número de columnas:1, Ancho columna nº 1: 15.24 cm
Código de campo cambiado
Con formato: Ancho columna nº 1:15.59 cm, Sin Forzar ancho de columnaigual
548
La civilización avanzada construida por la humanidad durante siglos ha llegado a ser cadavez más dependiente sobre interacciones complejas entre los sistemas tecnológicos,logísticos, y naturales. Las mismas interacciones complejas que hacen posible nuestrasociedad sofisticada, también presentan un número de vulnerabilidades potenciales dedesastres artificiales intencionales y no intencionales. En las secciones siguientes,examinaremos algunos de los desastres más comunes para ayudarle a analizar lasvulnerabilidades de su organización al preparar un plan de la continuidad del negocio y unplan de recuperación de desastre.
Incendios
En la sección anterior, exploramos cómo los incendios pueden dispersarse por razonesnaturales. Muchos fuegos a pequeña escala ocurren a causa del hombre- descuido, fallosen cableado eléctrico, prácticas incorrectas en la protección contra los incendios, u otrasrazones. Los estudios del instituto Insurance Information Institute indican que hay por lomenos 1.000 fuegos diarios elaborados en los Estados Unidos. ¿Si uno de esos fuegos sedesatara en su organización, tendría las medidas preventivas apropiadas para contenerlorápidamente? ¿Si el fuego destruyera sus instalaciones, que tan rápido le permitiría suplan de recuperación de desastre continuar sus operaciones en otra parte?
Bombardeos/explosiones
Las explosiones pueden resultar de una variedad de ocurrencias realizadas por elhombre. Los gases explosivos de los escapes podrían llenar un cuarto/un edificio de losgases explosivos que encienden y causan más adelante una ráfaga perjudicial. Enmuchas áreas, los bombardeos son también un tema de inquietud. Desde un punto devista del planeamiento del desastre, los efectos de bombardeos y las explosiones sonsimilares a los causados por un fuego a gran escala. Sin embargo, el planear para evitarel impacto de un bombardeo es mucho más difícil y se basa en las medidas de seguridadfísicas como las discutidas en el capítulo 19, los “Requisitos Físicos de la Seguridad.”
Actos de terrorismo
Tras los ataques terroristas del 11 de septiembre del 2001, los negocios están másinteresados en el planteamiento de riesgos de una amenaza terrorista. Los ataques del 11de Septiembre causaron que muchas pequeñas empresas cierren simplemente porque notenían preparado sus planes BCP/DRP adecuados que aseguren la viabilidad decontinuidad del negocio. Muchos grandes negocios experimentaron pérdidas significativasque causaron daño a largo plazo. El instituto Insurance Information Institute publicó unestudio un año después de los ataques que estimaban el daño total de los ataques enNew York City en $40 mil millones.
Con formato: Número de columnas:1, Ancho columna nº 1: 15.24 cm
549
Su seguro de negocio general puede que no cubra correctamente su organización deactos del terrorismo. Antes de 11/9, la mayoría de los políticas o cubrían actor delterrorismo o no los mencionaban explícitamente. Después de sufrir una pérdidacatastrófica, muchas compañías de seguros respondieron rápidamente enmendandopolíticas para excluir las pérdidas por actividades del terrorismo. Si su BCP o DRPincluye seguro como recuperación de medios financieros (como probablementedebería!), se recomienda comprobar sus políticas y entrar en contacto con unprofesional para asegurarse de que todo será cubierto.
Los actos terroristas plantean un desafío único a los equipos de DRP debido a sunaturaleza impredecible. Antes de los ataques del 11/9 en Nueva York y Washington D.C.,pocos equipos de DRP consideraban suficientemente significativa la amenaza de unaeroplano que se estrellara en sus centros corporativos como para merecer la mitigación.Muchas compañías ahora se preguntan “qué pasaría si” para cuestiones relacionadas aactividades terroristas. En general, estos tipos de preguntas promueven el diálogo entrelos elementos del negocio con respecto a amenazas potenciales. Por otra parte, losplanificadores de la recuperación del desastre deben acentuar principios sólidos deadministración de riesgos y asegurarse de que los recursos no sean excedan en actosterroristas si no que se proteja el negocio contra amenazas que sean más probables dematerializarse.
Interrupciones de energía
Incluso el Plan de Recuperación de Desastre más básico contiene provisiones paraocuparse de la amenaza de una interrupción corta de la energía. Los sistemas críticos delnegocio son protegidos a menudo por los dispositivos de alimentación continua (UPS)capaces de hacerlos funcionar por lo menos el tiempo suficiente para apagarlos o hastaque los generadores de emergencia estén funcionando. Sin embargo, ¿es suorganización capaz del funcionamiento frente a una interrupción sostenida de la energía?Después de que el huracán Andrew se desatara en la Florida del sur en 1992, muchasáreas estaban sin la energía por semanas. ¿Su plan de continuidad del negocio incluyeprovisiones para sostener su negocio durante un período tan prolongado sin energía? ¿Suplan de recuperación de desastre hace las preparaciones amplias para la restauraciónoportuna de la energía aunque la energía siga estando no disponible?
¡Comprobar su UPS regularmente! Estos dispositivos críticos que se pasan por alto amenudo hasta llegan a ser necesarios. Muchos UPSs contienen mecanismos de auto-
Con formato: Ancho columna nº 1:15.59 cm, Sin Forzar ancho de columnaigual
Con formato: Número de columnas:1, Ancho columna nº 1: 15.24 cm
550
prueba que reportan sus problemas automáticamente, pero sigue siendo una buenaidea que estén sujetos a una prueba regular. También, es seguro revisar el número/eltipo de dispositivos enchufados a cada UPS. Es sorprendente cuánta gente piensa quees aceptable agregar “sólo un sistema más” a un UPS, y usted no desea sersorprendido cuando el dispositivo no puede manejar la carga durante una interrupciónverdadera de la energía.
Las organizaciones de tecnología son cada vez más dependientes de energía eléctrica, ysu equipo de BCP/DRP debe considerar el aprovisionamiento de las fuentes de energíaalternativas capaces de hacer funcionar los sistemas del negocio por un período detiempo indefinido. Un generador de reserva adecuado podría significar la diferenciacuando la supervivencia de su negocio esté en juego.
Otras fallas de Utilidad y de Infraestructura
Cuando los planificadores consideran el impacto que las interrupciones para uso generalpueden tener en sus organizaciones, piensan primero naturalmente en el impacto de unainterrupción de la energía. Sin embargo, también debe tener presente otras utilidades.¿Tienes sistemas críticos del negocio que confíen en el agua, alcantarillas, gas natural, uotras utilidades? También considerar la infraestructura regional tal como carreteras,aeropuertos, y ferrocarriles. Cualquiera de estos sistemas podría sufrir fallas que puedanestar relacionadas con el clima u otras condiciones descritas en este capítulo. Muchosnegocios dependen de uno o más de estos servicios de la infraestructura para mover lagente o los materiales. Una falla puede paralizar la capacidad de su negocio para seguirfuncionando.
Si contestó no rápidamente cuando se preguntó si tiene sistemas críticos del negocioque confían en el agua, alcantarillas, gas natural, u otras utilidades, piensencuidadosamente un poco más. ¿Considera a la gente como un sistema crítico delnegocio? Si una tormenta importante golpea hacia fuera el abastecimiento de agua asus instalaciones y se necesitó mantener las instalaciones en servicio, ¿usted podríaproveer a sus empleados del agua potable para satisfacer sus necesidades biológicas?¿Y qué pasa con sus sistemas de protección contra incendios? ¿Si cualquiera de ellosson a base de agua, hay un sistema del tanque que se sostiene para extinguir un incendioen el edificio si el sistema público de agua no está disponible? Los incendios causan amenudo daño serio en áreas afectadas por las tormentas, los terremotos, y otrosdesastres que pudieron también interrumpir la entrega del agua.
Con formato: Ancho columna nº 1:15.59 cm, Sin Forzar ancho de columnaigual
Con formato: Número de columnas:1, Ancho columna nº 1: 15.24 cm
Con formato: Ancho columna nº 1:15.59 cm, Sin Forzar ancho de columnaigual
551
Escenario RealApagón NYC
El 14 de agosto del 2003, las luces se apagaron en New York City y porciones grandesde los Estados Unidos del noreste cuando una serie de fallas de conexiones encascada causó el derrumbamiento de una fuente importante de energía.Afortunadamente, los profesionales de seguridad en el área de Nueva York estabanlistos. Preparados a la acción por los ataques terroristas del 11/9, muchos negociospusieron al día sus planes de recuperación de desastre y tomaron medidas paraasegurar la continuidad de sus operaciones como consecuencia de otro desastre. Elapagón sirvió como prueba, muchas organizaciones pudieron continuar funcionandocon fuentes suplentes de energía o la transferencia de control a centros deprocesamiento de datos offsite. Había algunas lecciones aprendidas importantesdurante el apagón que proporcionan la penetración para los equipos de BCP/DRPalrededor del mundo: Asegurarse de que su suplente que procesa sitios seasuficientemente lejano a su sitio principal para que no sean afectados probablementepor el mismo desastre. Recuerde que su organización hace frente a amenazas que soninternas y externas. Un próximo desastre podría ser un ataque terrorista, un incendio oun código malévolo. Se deben tomar las medidas para asegurarse de que sus sitiosalternos estén segregados de la facilidad principal de una forma que se proteja contratodas estas amenazas. Los desastres no vienen generalmente con la advertenciaanticipada. Si las operaciones en tiempo real son críticas a su organización, asegúreseque sus sitios de reserva están listos para asumir estado primario en cualquiermomento.
Fallas de los Equipos y Programas de Computación
Le guste o no, los sistemas informáticos fallan. Los componentes de hardware rechazancontinuar la ejecución o sufren daños físicos. Los sistemas de software contienen bugs ose dan instrucciones de funcionamiento incorrectas/inesperadas. Por esta razón, losequipos de BCP/DRP deben proporcionar redundancia adecuada en sus sistemas. Si escero el tiempo muerto es un requisito obligatorio, la mejor solución es utilizar losservidores completamente redundantes y tolerantes a fallas en localizaciones separadasunidos a puentes de comunicaciones e infraestructuras separadas. Si se daña o sedestruye un servidor, el otro debe asumir el control inmediatamente, asume la carga deproceso. Para más información sobre este concepto, ver la sección “Mirroring Remoto”más adelante en este capítulo. Debido a los apremios financieros, mantener sistemascompletamente redundantes no es siempre posible. En esas circunstancias, el equipo deBCP/DRP debe tratar cómo las piezas de cambio se obtendrán e instalarán. Tantas partescomo posible se deben mantener en el inventario local para el reemplazo rápido.
Huelgas
Al diseñar sus planes de continuidad y recuperación de desastres del negocio, noolvidarse sobre la importancia del factor humano en el planeamiento de la emergencia.Una forma de desastre artificial que se pasa por alto a menudo es la posibilidad de unahuelga o de otra crisis del trabajo. ¿Si se fuera al mismo tiempo un segmento grande desus empleados al mismo tiempo, qué impacto tendría en su negocio? ¿Cuánto tiempo
552
podría sostener sus operaciones sin los empleados a tiempo completo regulares? Susequipos de BCP y de DRP deben tratar estas preocupaciones, proporcionando planesalternativos si ocurre una crisis de trabajo.
Robo/Vandalismo
En la sección anterior, mirábamos la amenaza que las actividades terroristas plantean auna organización. El robo y el vandalismo representan la misma clase de actividad en unaescala mucho más pequeña. En la mayoría de los casos, sin embargo, hay unaprobabilidad mayor que su organización se vea afectada por robo o vandalismo a que sevea afectada por un ataque terrorista. El seguro proporciona cierta protección financieracontra estos acontecimientos (con ciertas limitaciones), solamente los actos de estanaturaleza puede causar serios daños a su negocio, a corto plazo y a largo plazo. Lacontinuidad del negocio y los planes de recuperación de desastre deben incluir medidaspreventivas adecuadas para controlar la frecuencia de estas ocurrencias así como planesde contingencia para atenuar los efectos del robo y vandalismo para tener susoperaciones en curso.
Considere el impacto que el robo puede tener en sus operaciones l planear sus piezasde inventario. Sería una buena idea guardar un inventario adicional de artículos con unaalta probabilidad de robo, tal como computadoras portátiles.
ESTRATEGIA DE LA RECUPERACIÓN
Cuando un desastre interrumpe su negocio, su plan de recuperación de desastre debeactuar casi automáticamente y comenzar a proporcionar la ayuda a las operaciones derecuperación. El plan de recuperación de desastre se debe diseñar de manera que losprimeros empleados en la escena puedan comenzar inmediatamente el esfuerzo de larecuperación en una manera organizada, aunque los miembros del equipo de DRPtodavía no hayan llegado. En las secciones siguientes, examinaremos las subtareascríticas implicadas en hacer un plan de recuperación de desastre eficaz que dirija larestauración rápida de los procesos normales del negocio y la reanudación de la actividaden la localización primaria del negocio.
Prioridades de la unidad de negocio
Para recuperar sus operaciones de negocio con la mayor eficacia posible, usted debedirigir su plan de recuperación de desastre para recuperar las unidades de negocio con laprioridad más alta primero. El equipo de DRP debe primero identificar esas unidades denegocio y acordar un orden de prioridad. ¡Este proceso debe sonarle familiar! Esto es muysimilar a la tarea del priorización que el equipo de BCP se realizó durante el análisis delimpacto del negocio, discutido en el capítulo anterior. De hecho, si tiene un BIA terminado
Con formato: Número de columnas:1, Ancho columna nº 1: 15.24 cm
Con formato: Ancho columna nº 1:15.59 cm, Sin Forzar ancho de columnaigual
553
puede utilizar la documentación que resulta como la base para esta tarea de priorización.Como requisito mínimo, la salida de esta tarea debe ser un listado simple de unidades denegocio ordenado por prioridad. Sin embargo, un entregable mucho más útil sería unalista más detallada en procesos específicos del negocio en orden de prioridad. Esta listaorientada a procesos de negocio es mucho más real, pero requiere esfuerzo adicionalconsiderable. Sin embargo, ayudará bastante a la recuperación. Puede ser queencuentre que sería mejor restaurar la unidad de más alta prioridad a 50 por ciento decapacidad y después moverse a las unidades de baja prioridad para alcanzar un ciertomínimo de capacidad de funcionamiento a través de la organización antes de procurar unesfuerzo completo de la recuperación.
Administración de Crisis
Si un desastre ocurre en su organización, es probable que el pánico se propague. Lamejor manera de combatir esto será con un plan de recuperación de desastre organizado.Los individuos en su negocio que son más probables a notar primera una situación deemergencia (es decir, protectores de seguridad, personal técnico, etc.) deben serentrenados completamente en procedimientos de recuperación del desastre y saber losprocedimientos de notificación apropiados y los mecanismos de respuesta inmediatos.Muchas cosas que parecen normalmente como sentido común (tal como llamar 911 encaso de un incendio) puede deslizarse de las mentes de empleados aterrados el intentarhuir en una emergencia. La mejor manera de combatir esto está con el entrenamientocontinuo en responsabilidades de la recuperación del desastre. Volviendo al ejemplo deincendio, todos los empleados se deben entrenar para activar la alarma de incendio opara entrar en contacto con funcionarios de la emergencia (después, por supuesto, detomar medidas apropiadas de protegerse). Después de todo, es mejor que el cuerpo debomberos reciba 10 diversas llamadas telefónicas que divulgan un incendio en suorganización que está para que cada uno asuma que algún otro tomó ya el cuidado de él.
La administración de la crisis es una ciencia y una forma de arte. Si su presupuesto deentrenamiento lo permite, la inversión en el entrenamiento en crisis para sus empleadossería una buena idea. Esto se asegurará de que por lo menos algunos de tus empleadossepan la manera apropiada de manejar situaciones de emergencia.
Comunicaciones de Emergencia
Cuando ocurre un desastre, es importante que la organización pueda comunicarseinternamente así como con el mundo exterior. Un desastre de cualquier significación senota fácilmente, y si la organización no puede mantener al mundo exterior informado desu estado de recuperación, el público teme lo peor y asume que la organización no puedarecuperarse. Es también esencial que la organización pueda comunicarse internamentedurante un desastre de modo que los empleados sepan qué esperar. En algunos casos,las circunstancias que causaron el desastre pueden causar daños en algunos o todos losmedios de comunicaciones normales. Una tormenta o un terremoto pueden afectar lossistemas de telecomunicaciones.
Recuperación del Grupo de Trabajo
554
Al diseñar tu plan de recuperación de desastre, es importante mantener en mente la meta-la restauración de los grupos de trabajo al punto que puedan reasumir sus actividades. Esmuy fácil pensar en la recuperación del desastre como puramente esfuerzo centrado en larestauración de sistemas y de procesos. Para facilitar este esfuerzo, es mejor a vecesdesarrollar instalaciones separadas de la recuperación para diversos grupos de trabajo.Por ejemplo, si tienes varias organizaciones subsidiarias que estén en diferenteslocalizaciones y realizan las tareas similares a las tareas que los grupos de trabajo en tuoficina realizan, se puede considerar temporalmente el volver a poner esos grupos detrabajo en otro lugar y tenerlos comunicados electrónicamente y vía teléfono con otrasunidades de negocio hasta que estén listas para volver a la facilidad principal de lasoperaciones. Organizaciones más grandes pueden tener dificultad el encontrar deinstalaciones de la recuperación capaces de la dirección operación de negocio entera.Éste es otro ejemplo de una circunstancia en la cual independiente la recuperación dediversos grupos de trabajo es apropiada.
Sitios de Procesamiento Alternos
Uno de los elementos más importantes del plan de recuperación de desastre es laselección del sitio de procesamiento suplente que se utilizarán cuando los sitios primariosno estén disponibles. Hay muchas opciones disponibles al considerar las instalaciones dela recuperación, limitadas solamente por las mentes creativas de los planificadores de larecuperación del desastre y de los abastecedores de servicio. En las seccionessiguientes, echaremos una ojeada a los cuatro tipos principales de sitios de uso generalen el planeamiento de la recuperación del desastre: sitios fríos, sitios calientes, sitiostibios, y sitios móviles.
¡Al elegir cualquier tipo de sitio de proceso alterno, debe asegurarse de ponerlobastante lejano de su localización primaria para que no sea afectada probablemente porel mismo desastre que inhabilita tu sitio primario!
Sitios fríos
Sitios fríos son las instalaciones bastante grandes que esperan manejar la carga deprocesamiento de una organización y con los sistemas eléctricos y ambientalesapropiados. Pueden ser grandes almacenes, edificios de oficinas vacíos, u otrasestructuras similares. Sin embargo, el sitio frío no tiene ninguna facilidad que computa(hardware o software) instalada previamente y no ha activado puentes de comunicacionesde banda ancha. Muchos sitios fríos tienen por lo menos algunos las líneas telefónicas delcobre, y algunos los sitios pueden tener acoplamientos espera que se puedan activar conla notificación mínima. La ventaja principal de un sitio frío es su coste relativamentebarato, se manda la cuenta recién cuando el sitio esté en funcionamiento. Sin embargo,las desventajas de tal sitio son obvias-hay un enorme retraso entre el tiempo que ladecisión se toma para activar el sitio y el tiempo en el que el sitio esté realmente listo paraapoyar operaciones de negocio. Los servidores y los sitios de trabajo deben ser
Con formato: Número de columnas:1, Ancho columna nº 1: 15.24 cm
Con formato: Ancho columna nº 1:15.59 cm, Sin Forzar ancho de columnaigual
555
configurados. Los datos deben ser restaurados de las cintas de reserva. Los puentes decomunicaciones deben ser activados o ser establecidos. El tiempo de activación de unsitio frío se mide a menudo en semanas, haciendo la recuperación oportuna casiimposible.
Sitios calientes
Sitio caliente es el contrario exacto del sitio frío. En este tipo de configuración, unafacilidad de reserva está mantenida en orden de funcionamiento constante, con uncomplemento completo de servidores, de sitios de trabajo, y de puentes decomunicaciones listos a asumir responsabilidades primarias de las operaciones. Losservidores y los sitios de trabajo son todos preconfigurados y cargados con el sistemaoperativo y el software de uso apropiados. Los datos sobre los servidores primarios delsitio se repliegan periódicamente o continuamente a los servidores correspondientes en elsitio caliente, asegurándose de que el sitio caliente tiene datos actualizados. Los datos delsitio caliente se pueden replicar periódicamente si se tiene ancho de banda apropiado. Siése es el caso, los operadores podrían mover simplemente operaciones al sitio calienteen cualquier momento. Si no es el caso, los encargados de la recuperación del desastretienen tres opciones para activar el sitio caliente:
Si hay suficiente tiempo antes de que el sitio primario deba ser cerrado, puedenforzar la réplica entre los dos sitios antes de la transición del control operacional.
Si esto no es posible, se pueden llevar las cintas de reserva de los registros de latransacción del sitio primario al sitio en caliente y aplicar manualmente cualquiertransacción que ocurriera desde la réplica pasada.
Si no hay ninguna reserva disponible y no es posible forzar la réplica, el equipo dela recuperación del desastre puede aceptar simplemente la pérdida de una porciónde los datos.
Las ventajas de un sitio caliente son nivel absolutamente obvio- la protección de larecuperación del desastre proporcionada por este tipo de sitio es sin igual. Sin embargo,el coste es extremadamente alto. Mantener un sitio caliente esencialmente dobla elpresupuesto de la organización para el hardware, el software, y los servicios y requiere eluso de la mano de obra adicional para mantener el sitio.
Si utiliza un sitio caliente, nunca olvide de que tiene copias de sus datos de laproducción. Asegúrese de proveer en este sitio el mismo nivel de la seguridad técnica yfísica que proporciona en su sitio primario.
Si una organización desea mantener un sitio caliente pero desea reducir el costo delequipo y del mantenimiento, puede ser que opte utilizar una facilidad compartida del sitiocaliente manejada por un contratista exterior. Sin embargo, el peligro inherente en estasinstalaciones es que pueden ser demasiado exigidos en caso de un desastre y no poder
Con formato: Número de columnas:1, Ancho columna nº 1: 15.24 cm
Con formato: Ancho columna nº 1:15.59 cm, Sin Forzar ancho de columnaigual
556
mantener a todos sus clientes simultáneamente. Si su organización considera tal arreglo,asegúrese de investigar estos problemas a fondo, antes de firmar el contrato yperiódicamente durante el término del contrato.
Sitios tibios
Los sitios tibios están intermedios entre los sitios calientes y los sitios fríos para losespecialistas de la recuperación del desastre. Contienen siempre el equipo y los circuitosde datos necesarios para establecer rápidamente operaciones. Como en sitios calientes,este equipo está preconfigurado y listo para funcionar y para reestablecer las operacionesde la organización. A diferencia de los sitios calientes, los sitios tibios no contienentípicamente las copias de los datos del cliente. El requisito principal en traer un sitiocaliente al estado operacional completo es el transporte de medios de reserva apropiadosal sitio y a la restauración de datos críticos sobre los servidores. La activación de un sitiotibio toma típicamente por lo menos 12 horas a partir del tiempo que se declara undesastre. Sin embargo, los sitios tibios evitan los costes de las telecomunicaciones y loscostes significativos de personal inherentes en el mantenimiento de una copia cercana alambiente operacional de los datos. Como con los sitios calientes y los sitios fríos, lossitios tibios se pueden también obtener sobre una base compartida de la facilidad. Sieliges esta opción, asegurarse que se cuenta con una política de “no lockout” escrita ensu contrato que garantiza el uso de una facilidad apropiada incluso durante un período dela alta demanda. Es una buena idea tomar este concepto y examinar físicamente lasinstalaciones y el plan operacional del contratista para tranquilizarse que la facilidad podráde hecho sostener la garantía de “no lockout”.
Sitios móviles
Los sitios móviles son alternativos a los sitios tradicionales de recuperación. Consisten entípicamente los acoplados autónomos u otras unidades que fácilmente se vuelven aponer. Estos sitios vienen con todo el sistema de control del medio ambiente necesariospara mantener un ambiente de cómputo seguro. Las corporaciones mantienen a vecesestos sitios sobre una base “fly-away”, lista a desplegarse en cualquier localizaciónalrededor del mundo vía el aire, el carril, el mar, o el transporte superficial. Firmas máspequeñas pueden contratar un de sitio móvil para proporcionar estos servicios en unabase necesaria.
Si su plan de recuperación de desastre depende de una estrategia de recuperación delgrupo de trabajo, los sitios móviles pueden ser una manera excelente de poner eseacercamiento en ejecución.
Con formato: Número de columnas:1, Ancho columna nº 1: 15.24 cm
557
Sitios móviles a menudo son configurados como sitios fríos o sitios calientes,dependiendo según el plan de recuperación de desastre estos son diseñados paraapoyar. Es también posible configurar un sitio móvil como un sitio caliente, pero estonormalmente no es hecho porque a menudo no lo saben o no lo conocen poradelantado donde un sitio móvil será desplegado.
Acuerdos de Ayuda Mutuos –( Mutual Assistance Agreements)Acuerdos de Ayuda Mutuos (MAA) son populares en la literatura de recuperación dedesastre, pero raras veces, son puestos en la práctica real a nivel mundial. En la teoría,proporcionan una excelente alternativa de opción de proceso. Bajo un MAA, dosorganizaciones prometen asistir el uno al otro en caso de un desastre para compartirinstalaciones computadores u otros recursos tecnológicos. A primera vista pueden sersumamente rentables - No es necesario para una u otra organización mantener laalternativa de procesar sitios (como los sitios calientes, sitios calientes, sitios fríos, ysitios de tratamiento móviles descritos en las secciones anteriores).De verdad, muchos MAA son estructurados para proporcionar uno de los niveles deservicio descrito. En el caso de un sitio frío, cada organización simplemente puedemantener algún espacio abierto en sus instalaciones de tratamiento de otraorganización para usar en caso de un desastre. En el caso de un sitio caliente, lasorganizaciones pueden recibir a servidores totalmente redundantes el uno para el otro.Sin embargo, hay muchas desventajas a los Acuerdos de Ayuda Mutuos que previenensu empleo:
_ MAA son difícil de hacer cumplir. Las partes involucradas colocan la confianzael uno en el otro que el apoyo materializará en caso de un desastre. Sinembargo, cuando el empuje viene para empujar, la no víctima podría faltar alacuerdo. La víctima puede tenerles remedios legales disponibles, pero esto noayudará al esfuerzo de recuperación de desastre inmediato._ Organizaciones que cooperan deberían ser localizadas en la proximidadrelativamente cercana el uno al otro así facilite el transporte de empleados entresitios. ¡Sin embargo, esta proximidad significa que ambas organizacionespueden ser vulnerables a las mismas amenazas! ¡Su MAA no le hará muchobien si un terremoto nivel A ocurriera en su ciudad, destruyendo los sitios detratamiento de ambas organizaciones de participación!_ Las preocupaciones de confidencialidad a menudo impiden a negocios colocarsus datos en las manos de otros. Estos pueden ser preocupaciones legales(como en el manejo de atención de salud o datos financieros) o preocupacionesde negocio (como secretos de fabricación u otras cuestiones de propiedadintelectual).
A pesar de estas preocupaciones, un Acuerdo de Ayuda Mutuo puede ser una soluciónde recuperación de desastre buena para su organización. Un MAA podría proporcionarun grado de protección valiosa en el caso un desastre afecte su negocio.
La Recuperación de Base de datosMuchas organizaciones confían sobre bases de datos para tratar y rastrearoperaciones, ventas, logística, y otras actividades vitales a su viabilidad continuada. Poresta razón, es esencial que usted incluya técnicas de recuperación de base de datos en
Con formato: Ancho columna nº 1:15.24 cm, Sin Forzar ancho decolumna igual
558
sus proyectos de recuperación de desastre. Esto es una idea sabia de tener a unespecialista de base de datos sobre el DRP en el equipo, para proporcionar entrada encuanto a la viabilidad técnica de varias ideas. ¡Después de todo, usted no quiere asignarvarias horas para restaurar una reserva de base de datos cuándo es técnicamenteimposible completar la restauración en menos de medio día. En las seccionessiguientes, miraremos a las tres técnicas principales que solía crear las copias de offsitede contenido de base de datos: bóveda electrónica, journaling remoto, y reflejar remoto.Cada uno tiene ventajas específicas y desventajas - usted tendrá que analizar lasexigencias informáticas de su organización y recursos disponibles, debiendo asíseleccionar la opción mejor que satisfaga a su firma.
La Bóveda Electrónica (Electronic Vaulting)En un escenario de bóveda electrónica, las reservas de base de datos son transferidasa un sitio remoto en una manera de transferencia de bulto. La ubicación remota puedeser un sitio de recuperación dedicado alternativo (como un sitio caliente) o simplementeuna posición offsite manejada dentro de la empresa o por un contratista para el objetivode mantener datos de reserva. Si usted usa la bóveda electrónica, tiene presente quepuede haber un retraso de tiempo significativo entre el tiempo que usted declara undesastre y el tiempo que su base de datos es listo para la operación con datoscorrientes. Si usted decide activar un sitio de recuperación, los técnicos tendrán querecuperar las reservas apropiadas de la bóveda electrónica y los aplicarán a servidoresde producción en el sitio de recuperación.
Para un contrato de bóveda electrónica considere una seleccióncuidadosa de vendedores .Las definiciones de bóveda electrónicavarían extensamente dentro de la industria. No se conforme con unapromesa vaga " de la capacidad de bóveda electrónica. " Insista en unadefinición escrita del servicio que proporcionarán, incluyendo lacapacidad de almacenaje, la amplitud de banda de la línea decomunicaciones a la bóveda electrónica, y el tiempo necesario derecuperar datos saltados en caso de un desastre.
Como con cualquier tipo de escenario de reserva, estar seguro para de vez en cuandoprobar su sistema de bóveda electrónico. Un gran método para probar soluciones dereserva es de dar al personal de recuperación de desastre " una prueba de sorpresa"pidiéndolos restaurar datos a partir de un cierto día.
Journaling Remoto (Remote Journaling)Con Journaling remoto, las transferencias de datos son realizadas en una manera másexpeditiva. Las transferencias de datos todavía ocurren en una manera de transferenciade bulto, pero ellos ocurren en una base más frecuente, por lo general una vez cadahora o menos. A diferencia de los escenarios de bóveda electrónicos, donde losarchivos de reserva de base de datos son transferidos, las copias de transferencia desistemas remotas journaling de los troncos de transacción de base de datos quecontienen las transacciones que ocurrieron desde la transferencia de bulto anterior.Journaling remoto es similar a la bóveda electrónica en la cual los troncos detransacción transferidos al sitio remoto no son aplicados a un servidor de base de datosvivo, pero son mantenidos en un dispositivo de reserva.Cuando un desastre es declarado, los técnicos recuperan los troncos de transacciónapropiados y los aplican a la base de datos de producción.
Reflejar Remoto (Remote Mirroring)Reflejar Remoto es la solución de reserva de base de datos más avanzada. ¡Nosorprendentemente, es también lo más caro! Reflejar remoto va más allá de latecnología usada por journaling remoto y la bóveda electrónica; con reflejar remoto, unservidor de base de datos vivo es mantenido en el sitio de reserva. El servidor remoto
559
recibe las copias de las modificaciones de base de datos al mismo tiempo ellos sonaplicados al servidor de producción en el sitio primario. Por lo tanto, el servidor reflejadoestá listo a asumir un papel operacional en el aviso de un momento.Reflejar remoto es una estrategia de reserva de base de datos popular paraorganizaciones que procuran poner en práctica un sitio caliente. Sin embargo, pesandola viabilidad de una solución remota que refleja, estar seguro para tener lainfraestructura en cuenta y costes de personal requeridos para apoyar al servidorreflejado así como el tratamiento en lo alto que será añadido a cada transacción debase de datos sobre el servidor reflejado.
DESARROLLO DE UN PLAN DE RECUPERACIONRecovery Plan DevelopmentUna vez que usted ha establecido sus prioridades de unidad de negocio y gocen deunas ideas buenas de los sitios de recuperación apropiadas alternativos para suorganización, es hora de poner la pluma para empapelar y comenzar a bosquejar unplan de recuperación de desastre verdadero. No espere sentarse y escribir el plan llenoen una sesión. Es probable que el equipo de DRP examine muchas evoluciones dedocumentos preliminares antes del alcance de un final el documento escrito quesatsifaga las necesidades operacionales de unidades críticas de negocio y caídasdentro del recurso, el tiempo, y las coacciones de costo del presupuesto derecuperación de desastre y la mano de obra disponible.En las secciones siguientes, exploraremos algunos artículos importantes para incluir ensu desastre plan de recuperación. Dependiendo el tamaño de su organización y elnúmero de la gente complicada en el esfuerzo DRP, esto puede ser una idea buena demantener varios tipos diferentes de documentos de plan, intencionados para el públicodiferente. La lista siguiente incluye algunos tipos de documentos para considerar:
_ El sumario ejecutivo._ Específicos de departamento._ Guías Técnicas para ello el personal es responsable de poner en práctica y
mantener sistemas críticos de reserva._ Listas de comprobación para los miembros individuales de la recuperación dedesastre.
_ Las copias Llenas del plan para miembros de equipo de recuperación dedesastre críticos.
El empleo de documentos adaptados por costumbre se hace sobre todo importantecuando un desastre ocurre o es inminente. El personal que tiene que refrescarse sobrelos procedimientos de recuperación de desastre que afectan varias partes de laorganización será capaz de referirse a su proyecto específico del departamento.. Losmiembros de equipo de recuperación de desastre críticos tendrán listas decomprobación para ayudar, dirigir sus acciones entre la atmósfera caótica de undesastre. Para ello el personal tendrá guías técnicas de ayudarles a despertar los sitiosalternos y la carrera. Finalmente, los gerentes y el personal de relaciones públicastendrán un documento simple de un cuadro de alto nivel de la sinfonía coordinada de unesfuerzo de recuperación de desastre activo sin requerir la interpretación de miembrosde equipo ocupados de tareas directamente relacionadas con el esfuerzo.
La Respuesta De la emergencia (Emergency Response)El plan de recuperación de desastre debería contener simples instrucciones aúncomprensivas para el personal esencial para seguir inmediatamente después delreconocimiento que un desastre es en curso o es inminente.Estas instrucciones variaran extensamente según la naturaleza del desastre, el tipo elde personal que responde al incidente, y el tiempo disponible antes de que lasinstalaciones tienen que ser evacuadas y/o el equipo cerrado. Por ejemplo, las
560
instrucciones para un fuego en gran escala serán mucho más concisas que lasinstrucciones para como prepararse para un huracán que es todavía 48 horas dedistancia cercano al sitio operacional. Proyectos de respuesta de la emergencia amenudo son reunidos en forma de listas de comprobación. Diseñando estas listas decomprobación, mantener un principio de diseño esencial en mente: ¡Arregle las tareasde lista de comprobación por orden de la prioridad, con la tarea más importante primero!Es esencial que usted tenga presente que estas listas de comprobación seránejecutadas en medio de una crisis. Es muy probable que los respondedores no seancapaces de completar la lista de comprobación entera, sobre todo en caso de undesastre de aviso rápido. Por esta razón, usted debería poner las tareas más esenciales(p. ej., " Active la alarma de edificio ") primero sobre la lista de comprobación. El másabajo un artículo a la lista, el más abajo la probabilidad que será completado antes deuna evacuación/.
La Notificación de Personal (Personnel Notification)El plan de recuperación de desastre también debería contener una lista de personalpara ponerse en contacto en caso de con un desastre. Normalmente, esto incluirá a losmiembros claves del equipo de DRP así como aquel personal quien ejecuta tareas derecuperación de desastre críticas en todas partes de la organización. Esta lista decomprobación de respuesta debería incluir el medio alterno de contacto (p. ej., númerosde buscapersonas, números de teléfono móvil, etc.) así como contactos de reserva paracada papel en el caso el contacto primario no puede ser alcanzado o no puede alcanzarel sitio de recuperación para una razón o el otro.
El Poder de Listas de comprobación (The Power of Checklists)
Es un instrumento inestimable ante el desastre. Ellos proporcionan el sentido de laorden entre los acontecimientos caóticos que rodean un desastre. Tome el tiempopara asegurar que sus listas de comprobación de respuesta proveen de primerosrespondedores de un plan claro que protegerá la vida y la propiedad y asegurará lacontinuidad de operaciones.Una lista de comprobación para la respuesta a un fuego de edificio podría incluir lospasos siguientes:
1. Activar el sistema de alarma de edificio.2. Asegurar que una evacuación ordenada es en curso.3. Después de la salida del edificio, use un teléfono celular para llamarse 911
para asegurar que las autoridades de la emergencia recibieron la notificacióndespertadora. Proporcione la información adicional sobre cualquier respuestarequerida de la emergencia.
4. Asegurar que cualquier personal herido recibe el tratamiento médicoapropiado.
5. Activar la recuperación de desastre de la organización planifican asegurar lacontinuidad de operaciones.
Esté seguro para consultar con los individuos en su organizaciónresponsable de la intimidad antes de la montadura y la diseminación deuna lista de comprobación de notificación telefónica.Usted puede tener que cumplir con la política especial en cuanto alempleo de números telefónicos de casa y otra información personal en lalista de comprobación.
561
Deberían proporcionar la lista de comprobación de notificación a todo el personal quepodría responder a un desastre. Esto permitirá la notificación sin falta de personal clave.Muchas firmas organizan sus listas de comprobación de notificación en " un árboltelefónico " el estilo: cada miembro del árbol se pone en contacto con la persona debajode ellos, extendiendo la carga de notificación entre los miembros del equipo en vez deconfiar sobre una persona para hacer un número de llamadas telefónicas.
Si usted decide poner en práctica un esquema de notificación de árboltelefónico, estar seguro para añadir una red de seguridad. Tenga laúltima persona en cada cadena se ponen en contacto con el autor paraconfirmar que su cadena entera ha sido notificada. Esto le dejadescansar seguro que la activación de equipo de recuperación dedesastre es suavemente en camino.
Las reservas y el Almacenaje Offside (Backups and Offsite Storage)Su plan de recuperación de desastre (sobre todo la guía técnica) totalmente deberíadirigir la estrategia de reserva perseguida por su organización. De verdad, esto es unode los elementos más importantes de cualquier plan de continuidad de negocio y el plande recuperación de desastre.
Muchos administradores de sistema son ya familiares con varios tipos dereservas, y usted se beneficiará a uno o varios individuos con la maestría específicatécnica en este área en el BCP/DRP combinan proporcionar la dirección experta. Haytres tipos principales de reservas:
Reservas llenas Como el nombre implica, reservas llenas almacenan una copiacompleta de los datos contenidos sobre el dispositivo protegido.
Reservas incrementales Reservas Incrementales almacenan sólo aquellos archivos quehan sido modificados desde el tiempo de la reserva llena o incremental más reciente.
El cálculo diferencial hace una copia de seguridad de reservas Diferenciales almacenantodos los archivos que han sido modificados desde el tiempo de la reserva llena másreciente.
La mayor parte de organizaciones adoptan una estrategia de reserva que utiliza másque uno de estos tipos de reserva con un esquema de rotación de medios decomunicación. Ambos permiten el acceso de administradores que de reserva a unagama suficientemente grande de reservas para completar al usuario solicite yproporcione la tolerancia de defecto reduciendo al mínimo la cantidad de dinero quedebe ser gastada sobre medios de comunicación de reserva. Una estrategia común esde realizar reservas llenas durante el fin de semana y reservas incrementales odiferenciales sobre un todas las noches.Hay dos estrategias de rotación de cinta comúnmente usadas: la estrategia " el abueloengendra al hijo " (GFS) " y la Torre de Hanoi " . Un ejemplo de la estrategia GFSdebería usar cuatro juegos de medios de comunicación de reserva para el lunes, elmartes, el miércoles, y reservas del jueves. Estas cintas son superpuestas cadasemana. Otro grupo de cinco juegos es usado para las reservas semanales quePlanifica nuestro escenario, esto sería hecho el viernes. Un grupo final de tres juegos esusado mantener mensualmente reservas (realizado el viernes pasado del mes). Esteesquema le permite mantener una muy larga historia de reservas con un númeromínimo de cintas. Note que los números reales usados en elescenario son flexibles. Porejemplo, algunas firmas pueden decidir mantener el valor de un año de reservasmensuales. Esto simplemente requeriría la utilización 12 juegos en la rotación mensualen vez de 3.
562
La Torre de estrategia de Hanoi usa cinco juegos de medios de comunicación dereserva. El 1r juego es usado para cada otra reserva, que comienza durante el Día 1 (p.ej., Días 1, 3, 5, etc.). El 2o juego es usado para cada 4a reserva, que comienzadurante el Día 2 (p. ej., Días 2, 6, 10, etc.). El 3r juego es usado para cada 8a reserva,que comienza durante el Día 4 (p. ej., Días 4, 12, 20, etc.). El 4o juego es usado paracada 16a reserva, que comienza durante el Día 8 (p. ej., Días 8, 24, 40, etc.). El juegofinal es usado para cada 16a reserva, que comienza durante el Día 16 (p. ej., Días 16,32, 48, etc.).
La diferencia más importante entre reservas incrementales y diferenciales es el tiempoque tuvo que restaurar datos en caso de una emergencia. Si usted usa unacombinación de reservas llenas y diferenciales, usted sólo tendrá que restaurar dosreservas - la reserva llena más reciente y la reserva diferencial más reciente. De otraparte, si su estrategia combina reservas llenas con reservas incrementales, usted tendráque restaurar la reserva llena más reciente así como todas las reservas incrementalesrealizadas desde aquella reserva llena. La compensación es el tiempo requerido paracrear las reservas diferenciales de reservas no toman como mucho tiempo pararestaurar, pero ellos toman más largo para crear que reservas incrementales.El almacenaje de los medios de comunicación de reserva es igualmente crítico. Puedeser conveniente almacenar medios de comunicación de reserva en o cerca del centrode operaciones primario para fácilmente realizar que el usuario solicite datos dereserva, pero usted definitivamente tendrá que guardar las copias de los medios decomunicación en al menos una ubicación offsite para proporcionar la redundancia en elcaso su ubicación primaria de operaciones de pronto sea destruida.
Las Disposiciones de Garantía de Software (Software Escrow Arrangements)Un arreglo de garantía de software es un instrumento único que solían proteger unaempresa contra el fracaso de un desarrollador de software de proporcionar el apoyoadecuado a sus productos o contra la posibilidad que el desarrollador se retire delnegocio y ningún soporte técnico estará disponible para el producto.
Enfoque sus esfuerzos en acuerdos de garantía de software quenegocian con aquellos proveedores que usted piense que se puedenir del negocio debido a su tamaño. No es probable que usted estécapaz de negociar tal acuerdo con una firma como Microsoft, a no serque usted sea responsable de una cuenta sumamente grandecorporativa con el poder serio negociador. De otra parte, esigualmente improbable que una firma de la magnitud de Microsoft irádel negocio, dejando a usuarios finales altos y secos.
Si su organización depende del software desarrollado por costumbre o productos desoftware producidos por una pequeña firma, usted puede desear pensar desarrollar estetipo de arreglo como la parte de su plan de recuperación de desastre. Conforme a unacuerdo de garantía de software, el desarrollador proporciona las copias del códigooriginal de aplicación a una organización de tercero independiente. Este terceroentonces mantiene las copias puestas al día de reserva del código original en unamanera segura. El acuerdo entre el usuario final y el desarrollador especifican "circunstancias desencadenantes, " como el fracaso del desarrollador de encontrar las
563
condiciones de un acuerdo de nivel de servicio (SLA) o la liquidación de la firma deldesarrollador. Cuando una circunstancia desencadenante ocurre, las copias deliberaciones de tercero del código original de aplicación al usuario final. El usuario finalentonces puede analizar el código original para resolver problemas de aplicación oactualizaciones de software.
Comunicaciones Externas (External Communications)Durante el proceso de recuperación de desastre, será necesario comunicarse convarias entidades fuera de su organización. Usted tendrá que ponerse en contacto convendedores para proporcionar provisiones como ellos son necesarios para apoyar elesfuerzo de recuperación de desastre. Sus clientes querrán ponerse en contacto conusted para el reaseguro. Los funcionarios de relaciones públicas pueden tener queponerse en contacto con los medios de comunicación o firmas de la inversión, y losgerentes pueden tener que hablar a autoridades gubernamentales. Para estos motivos,es esencial que su plan de recuperación de desastre incluya los canales apropiados decomunicación al mundo exterior en una cantidad suficiente para encontrar susnecesidades operacionales.
Utilidades (Utilities)Como hablado en las secciones anteriores de este capítulo, su organización es confiadasobre varias utilidades para proporcionar los elementos críticos de su energía deinfraestructura, agua, gas natural, el servicio de alcantarilla, etcétera. Su plan derecuperación de desastre debería contener la información de contacto y procedimientospara solucionar estos servicios si los problemas surgen durante un desastre.
La logística y Provisiones (Logistics and Supplies)Los problemas logísticos que rodean una operación de recuperación de desastre soninmensos. Usted de repente afrontará el problema de mover los números grandes depersonas, equipo, y provisiones para alternar sitios de recuperación. Es también posibleque la gente en realidad viva en aquellos sitios durante un período ampliado de tiempo,y el equipo de recuperación de desastre será responsable de proveer de ellos delalimento, el agua, el refugio y asignará instalaciones. Su plan de recuperación dedesastre debería contener provisiones para este tipo de operación si esto se cae en laamplitud de sus necesidades esperadas operacionales.
La recuperación contra la Restauración (Recovery vs. Restoration)Ello es a veces útil para separar tareas de recuperación de desastre de tareas derestauración de desastre. Esto es sobre todo verdadero cuando esperan que el esfuerzode recuperación tome una cantidad de tiempo significativa. Un equipo de recuperaciónde desastre puede ser asignado poner en práctica y mantener operaciones en el sitio derecuperación mientras un equipo de salvamento es asignado restaurar el sitio primario ala capacidad operacional. Estas asignaciones deberían ser hechas según lasnecesidades de su organización y los tipos de desastres que usted afronta
En la conclusión de cualquier esfuerzo de recuperación de desastre, el tiempo vendrápara restaurar operaciones en el sitio primario y terminará cualquier sitio de tratamientoque funciona conforme al acuerdo de recuperación de desastre.Su DRP debería especificar que los criterios solían determinar cuando es apropiadovolver al sitio primario y dirigir la recuperación DRP y salvar equipos por una transiciónordenada.
DESASTRE Y DOCUMENTACIONComo con el plan de continuidad de negocio, es esencial que usted proporcione elentrenamiento todo el personal que estará implicado en el esfuerzo de recuperación dedesastre. El nivel de entrenamiento será según el papel de un individuo en el esfuerzo y
564
su posición dentro de la empresa. Diseñando un plan que se entrena, usted deberíaconsiderar incluyendo los elementos siguientes:
_ La orientación que se entrena para todos los nuevos empleados._ La Inicial que se entrena para empleados que toman un nuevo papel derecuperación de desastre por primera vez.
_ El entrenamiento detallado frescapara miembros de equipo de recuperación de desastre.
_ Información del entrenamiento fresca para todos otros empleados (puede serlograda como la parte de otras reuniones y por un medio como los boletines denoticias del correo electrónico enviados a todos los empleados).
Carpetas de hojas sueltas proporcionan una opción excelente para elalmacenaje de proyectos de recuperación de desastre. ¡Usted puededistribuir la página sola se cambia al plan sin destruir un bosquenacional!
El plan de recuperación de desastre también totalmente debería ser documentado.Antes en este capítulo, le hablamos de varias de las opciones de documentacióndisponibles. Esté seguro que usted pone en práctica los programas de documentaciónnecesarios y modifica la documentación como los cambios al plan ocurren. A causa dela naturaleza que se cambia rápidamente de la recuperación de desastre y proyectos decontinuidad de negocio, usted podría considerar la publicación sobre una parteasegurada del intranet de su organización.Su DRP debería ser tratado como un documento sumamente sensible y proporcionadoa individuos. Los individuos que participan en el plan totalmente deberían entender suspapeles, pero ellos no tienen que conocer o tener el acceso al plan entero. Desde luego,es esencial asegurar que la llave DRP miembros de equipo y dirección tiene el accesoal plan entero y entiende los detalles de puesta en práctica de alto nivel. Ustedseguramente no quiere que este conocimiento descanse en la mente de un individuo.
Recuerde que un desastre puede dar su intranet no disponible. ¡Si usteddecide distribuir su recuperación de desastre y proyectos de continuidadde negocio por un intranet, estar seguro que usted mantiene un númeroadecuado de las copias impresas del plan en ambos los sitios primarios yalternos y mantiene sólo la copia más corriente!
PRUEBAS Y MANTENIMIENTOCada plan de recuperación de desastre debe ser probado en una base periódica paraasegurar que las provisiones del plan son viables y que esto encuentra las necesidadesque se cambian de la organización. Los tipos de pruebas que usted es capaz deconducir le dependerán de los tipos de instalaciones de recuperación disponibles, lacultura de su organización, y la disponibilidad de miembros de equipo de recuperaciónde desastre. Las cinco pruebas de lista de comprobación de tipos principales de prueba,paseo-throughs estructurado, pruebas de simulación, pruebas paralelas, las pruebas deinterrupción llena - son habladas en las secciones restantes de este capítulo.
La Prueba de Lista de comprobaciónLa prueba de lista de comprobación es una de las pruebas más simples para conducir,pero ello es también uno de los más críticos. En este tipo de prueba, usted simplementedistribuye las copias de las listas de comprobación de recuperación de desastre a losmiembros del equipo de recuperación de desastre para la revisión. Esto le permitesimultáneamente lograr tres objetivos. Primero, esto asegura que el personal clave esconsciente de sus responsabilidades y tiene aquel conocimiento refrescado en una baseperiódica. Segundo, esto provee de individuos de una oportunidad de repasar las listasde comprobación para la información anticuada y poner al día cualquier artículo que
565
requiere la modificación debido a cambios dentro de la organización. ¡Finalmente, enorganizaciones grandes, esto ayuda en la identificación de situaciones en las cuales elpersonal clave ha dejado la empresa y nadie se molestó en asignar de nuevo susresponsabilidades de recuperación de desastre! Esto es también una buena razón porqué las responsabilidades de recuperación de desastre deberían ser incluidas endescripciones de trabajo
El Paseo EstructuradoPor el paseo estructurado - por toma pruebas de un paso más lejos. En este tipo deprueba, a menudo mencionaba " un ejercicio tablero, " los miembros del equipo derecuperación de desastre juntan en una sala de conferencias grande y el juego de rolesun guión de desastre. Normalmente, conocen el guión exacto sólo al asesor de prueba,que presenta los detalles al equipo en la reunión. Los miembros de equipo entonces serefieren a sus copias de la recuperación de desastre planean y hablan de las respuestasapropiadas a aquel tipo particular de desastre.
Las pruebas de Simulación de Prueba de simulaciónSon similares al paseo-throughs estructurado. En pruebas de simulación, los miembrosde equipo de recuperación de desastre son presentados con un guión y pedidodesarrollar una respuesta apropiada. A diferencia de las pruebas antes habló, algunasde estas medidas de respuesta entonces son probadas. Esto puede implicar lainterrupción de actividades no críticas de negocio y el empleo de algún personaloperacional.
Pruebas paralelas ParalelasDe prueba representan el siguiente nivel en pruebas e implican en realidad el personalde trasladar al sitio de recuperación alterno y procedimientos de activación de sitio derealización. Los empleados trasladaron al sitio realizan sus responsabilidades derecuperación de desastre en la misma manera que ellos para un desastre real. La únicadiferencia es que las operaciones en la facilidad principal no son interrumpidas. Aquelsitio conserva la responsabilidad llena de conducir el negocio cotidiano de laorganización.
Las pruebas de Interrupción llenaPrueba de interrupción llena funcionan en una manera similar a pruebas paralelas, peroellos implican en realidad operaciones de cerrar en el sitio primario y el cambio ellos alsitio de recuperación. Para motivos obvios, las pruebas de interrupción llena sonsumamente difíciles de arreglar y usted a menudo encuentra la resistencia de ladirección.
El MantenimientoRecuerda que su plan de recuperación de desastre es un documento vivo. Como elcambio de necesidades de su organización, usted debe adaptarse la recuperación dedesastre planea encontrar aquellas necesidades cambiadas. Usted descubrirá muchasmodificaciones necesarias por el empleo de un plan de pruebas bien organizado ycoordinado. Cambios menores a menudo pueden ser hechos por una serie deconversaciones telefónicas o correos electrónicos, mientras que cambios principalespueden requerir una o varias reuniones del equipo de recuperación de desastre lleno.Sumario. La planificación de recuperación de desastre es una parte crítica de unprograma de seguridad comprensivo de la información. No importa como comprensivosu plan de continuidad de negocio, el día puede venir cuando su negocio esinterrumpido por un desastre y usted tiene la tarea de rápidamente y de maneraeficiente el restaurar operaciones al sitio primario. Tenga presente el viejo adagio queuna onza de prevención vale una libra de cura. Los gastos del tiempo y el esfuerzo que
566
desarrolla un plan de recuperación de desastre comprensivo van enormemente alivie elproceso de operaciones que se recuperan en medio de una emergencia caótica.El plan de recuperación de desastre de una organización es uno de los documentosmás importantes bajo el articulado de profesionales de seguridad. Esto deberíaproporcionar la dirección al personal responsable de asegurar la continuidad deoperaciones ante el desastre. El DRP proporciona una secuencia ordenada deacontecimientos diseñados para activar el suplente que procesa sitios simultáneamenterestaurando el sitio primario al estado operacional. Los profesionales de Seguridaddeberían asegurar que programas adecuados son en el lugar de modo que aquellosmiembros de equipo cargados con deberes de recuperación de desastre.
OBJETOS DE PRIMERA NECESIDAD DE EXAMEN
Conozca los tipos comunes de los catástrofes que pueden amenazar a unaorganización. Los catástrofes que comúnmente amenazan a organizaciones incluyenterremotos, inundaciones, tormentas, fuegos, tsunamis, y erupciones volcánicas.
Conozca los tipos comunes de los desastres artificiales que pueden amenazar a unaorganización. Las explosiones, fuegos eléctricos, actos terroristas, paros del suministroeléctrico, otros fracasos de utilidad, fracasos de infraestructura, hardware / fracasos desoftware, dificultades de trabajo, robo, y el vandalismo son todos los desastres comunesartificiales.
Esté familiar con los cuatro tipos principales de instalaciones de recuperación y lasventajas y las desventajas de cada uno.Los cuatro tipos principales de instalaciones de recuperación son sitios calientes, quereciben las copias vivas de datos; caliente sitios, que contienen todo el equipo y elsoftware necesario de comenzar operaciones; sitios fríos, que contienen sistemasambientales, pero ningún hardware preconfigurado; y sitios móviles, que fácilmentepueden ser trasladados.
Explique las ventajas potenciales detrás de Acuerdos de Ayuda Mutuos así como losmotivos ellos comúnmente no son puestos en práctica en negocios hoy. Acuerdos deAyuda Mutuos (MAAS) proporcionan una alternativa barata a sitios de recuperación dedesastre, pero ellos comúnmente no son usados porque ellos son difíciles de hacercumplir. Las organizaciones que participan en un MAA también pueden ser cerradas porel mismo desastre, y preocupaciones de confidencialidad de aumento de MAAS.
Conozca los cinco tipos de pruebas de plan de recuperación de desastre y el impactoque cada uno tiene sobre operaciones normales de negocio. Los cinco tipos de pruebasde plan de recuperación de desastre son pruebas de lista de comprobación, estructurówalkthroughs, pruebas de simulación, pruebas paralelas, y pruebas de interrupciónllena. Las pruebas de lista de comprobación son puramente ejercicios de trabajoadministrativo, mientras que el paseo-throughs estructurado implica una reunión deequipo de proyecto. Ninguno tiene un impacto sobre operaciones de negocio. Laspruebas de simulación pueden cerrar unidades no críticas de negocio. Pruebasparalelas implican la re-localización de personal, pero no afectan operaciones
567
cotidianas. Full-interrupción pruebas implican sistemas primarios que se cierran ycambio de la responsabilidad a la facilidad de recuperación.
Respuesta de LaboratorioEscrita las preguntas siguientes sobre Planificación de Recuperación de Desastre:1. ¿Cuáles son algunos negocios de preocupaciones principales tienen considerando la
adopción de un Acuerdo de Ayuda Mutuo?2. La lista y explica los cinco tipos de pruebas de recuperación de desastre.3. Explicar las diferencias entre los tres tipos de estrategias de reserva habladas en este
capítulo.
Revisión1. ¿Cuál es el objetivo de final de Planificación de Recuperación de Desastre?
A. Prevención de interrupción de negocioB. Fundación de operaciones temporales de negocioC. Restaurar actividad económica normalD. Reducción al mínimo del impacto de un desastre
2. ¿Cuál de lo siguiente es un ejemplo de un desastre artificial?A. TsunamiB. TerremotoC. Paro del suministro eléctricoD. Huelga relámpago
3. ¿Según la Agencia de Dirección Federal De la emergencia, aproximadamente quéporcentaje de estados estadounidenses, como se considera, tiene al menos un riesgomoderado de actividad sísmica?
A. del 20 por ciento.B. El 40 por cientoC. del 60 por ciento.D. El 80 por ciento
4. ¿Cuál de los tipos de desastre siguientes normalmente no es cubierto por el negocioestándar o el seguro del propietario?
A. de Terremoto.B InundaciónC. de Fuego.D. Robo
5. ¿Tras los ataques 9/11 terroristas, lo que la industria hizo cambios drásticos quedirectamente chocan actividades DRP/BCP?
A. de Turismo.B. BancaC. De seguros.
568
D. Línea aérea
6. ¿Cuál de las declaraciones siguientes sobre la Planificación de Continuidad Denegocio y la Planificación de Recuperación de Desastre no es correcto?
A. La Planificación de Continuidad De negocio es concentrada en el cuidado defunciones de negocio ininterrumpido cuando un desastre golpea.
B. Las organizaciones pueden escoger si hay que desarrollar la Planificación deContinuidad De negocio o la Recuperación de Desastre que Planeaproyectos.
C. La Planificación de Continuidad De negocio recoge donde la Recuperación deDesastre que Planea hojas de.
D. Recuperación de Desastre que Planea guías
7. ¿Qué hace el término " tierras inundables de 100 años " significa a funcionarios deestado de preparación de la emergencia?
A. La última inundación de cualquier clase para golpear el área era hace más de100 años.
B. Esperan que una inundación golpee el área una vez cada 100 años.C. Esperan que el área sea salvos de desbordarse durante al menos 100 años.D. La última inundación significativa para golpear el área era hace más de 100
años.
8. ¿En el cual de las técnicas de recuperación de base de datos siguientes es una copiaexacta, actualizada de la base de datos mantenida en una posición alternativa?
A. Transacción que registraB. Journaling remotoC. Bóveda electrónicaD. Reflejar remoto
9. ¿Qué principio de recuperación de desastre mejor protege su organización contra elfracaso de hardware?
A. de Consistencia.B. EficaciaC. de Redundancia.D. Primacía 10.
10. ¿Qué Continuidad De negocio que Planea técnica puede ayudarle a preparar latarea de ordenación de unidad de negocio de Planificación de Recuperación deDesastre?
A. de Análisis de Vulnerabilidad.B. Evaluación de Impacto De negocioC. de Manejo arriesgado.D. Planificación de Continuidad
11. ¿Que de la alternativa siguiente que procesa sitios toma el tiempo más largo paraactivar?
A. Sitio calienteB. Sitio móvilC. Sitio fríoD. Sitio caliente
12. ¿Qué la estimación de tiempo típica debe activar un sitio caliente a partir del tiempoun desastre es declarado?
A. 1 horaB. 6 horas
569
C. 12 horasD. 24 horas
13. ¿Cuál de los artículos siguientes es una característica de sitios calientes, pero nouna característica de sitios calientes?
A. Circuitos de comunicacionesB. Terminales de trabajoC. de Servidores.D. Datos corrientes
14. ¿Qué tipo de la estrategia de reserva de base de datos implica las transferencias debulto de datos a un sitio remoto en una base periódica, pero no implica elmantenimiento de un servidor vivo de reserva en el sitio remoto?
A. Transacción que registraB. Journaling remotoC. Bóveda electrónicaD. 15 remotos que reflejan.
15.¿Qué tipo del documento ayudará a especialistas de relaciones públicas y otrosindividuos que necesitan un sumario de alto nivel de esfuerzos de recuperación dedesastre mientras ellos están en camino?
A. ejecutiva sumaria.B. Guías técnicasC. Proyectos específicos de departamentoD. Listas de comprobación
16. ¿Qué instrumento de Planificación de Recuperación de Desastre puede ser usadoproteger una organización contra el fracaso de una firma de software crítica deproporcionar el apoyo apropiado a sus productos?
A. Cálculo diferencial hace una copia de seguridadB. Evaluación de Impacto De negocioC. Reservas incrementalesD. Acuerdo de garantía de software
17. ¿Qué tipo de la reserva implica siempre las copias de almacenaje de todos losarchivos modificados desde la reserva llena más reciente?
A. El cálculo diferencial hace una copia de seguridadB. Reserva parcialC. Reservas incrementalesD. Reserva de base de datos
18. ¿Qué combinación de estrategias de reserva proporciona el tiempo de creación másrápido de reserva?
A. Reservas llenas y cálculo diferencial hacen una copia de seguridadB. Reservas parciales y reservas incrementalesC. Reservas llenas y reservas incrementalesD. Reservas incrementales y reservas diferenciales
19. ¿Qué combinación de estrategias de reserva proporciona el tiempo de restauraciónmás rápido de reserva?
A. Reservas llenas y cálculo diferencial hacen una copia de seguridadB. Reservas parciales y reservas incrementalesC. Reservas llenas y reservas incrementalesD. Reservas incrementales y cálculo diferencial hacen una copia de seguridad
570
20. ¿Qué tipo de la prueba de plan de recuperación de desastre totalmente evalúaoperaciones en la facilidad de reserva, pero no cambia la responsabilidad deoperaciones primaria del sitio principal?
A. Paseo estructuradoB. Prueba paralelaC. Prueba de interrupción llenaD. Prueba de simulación.
Respuestas para Repasar Preguntas
1. C. La Planificación de Recuperación de Desastre recoge donde la Continuidad Denegocio que Planifica hojas de. Una vez que un desastre interrumpe las operacionesde negocio, el objetivo de DRP es de restaurar la actividad económica normal tanrápidamente como posible.
2. C. Un paro del suministro eléctrico es un ejemplo de un desastre artificial. Otrosacontecimientos catalogados-tsunamis, terremotos, y huelgas relámpago - todosnaturalmente ocurren acontecimientos.
3. D. Como mostrado en la Mesa 16.1, 40 de los 50 estados estadounidenses, comose considera, tienen un moderado, el alto, o muy alto riesgo de actividad sísmica.
4. B. La mayoría de él seguro general de negocio y las pólizas de seguros delpropietario no proporcionan ninguna protección contra el riesgo de inundaciones oriadas. Si las inundaciones plantean un riesgo a su organización, usted deberíapensar comprar el seguro de inundación suplemental conforme al Programa deSeguro de Inundación Nacional del FEMA.
5. C. Aunque todas las industrias catalogadas en las opciones hicieran cambios a susprácticas después de que 9/11, el cambio de la industria de seguros hacia la nocobertura de los actos de terrorismo el más directamente afecta el proceso deBCP/DRP.
6. C. La parte de enfrente de esta declaración es la Planificación de Recuperación dedesastre verdadero recoge donde la Continuidad De negocio que Planifica hojas de.Otras tres declaraciones son todas las reflexiones exactas del papel de Planificaciónde Continuidad De negocio y la Planificación de Recuperación de Desastre.
7. B. El término " tierras inundables de 100 años " es usado describir un área dondeesperan inundaciones una vez cada 100 años. También se puede decir que hay unaprobabilidad del 1 por ciento de inundaciones en cualquier año dado.
8. D. Cuando usted usa reflejar remoto, una copia exacta de la base de datos esmantenida en una posición alternativa. Usted mantiene la copia remota actualizadapor ejecutando todas las transacciones tanto sobre el sitio primario como sobreremoto al mismo tiempo.
9. C. Sistemas/componentes redundantes proporcionan la protección contra el fracasode un pedazo particular de hardware.
10. B. Durante la fase de Evaluación de Impacto De negocio, usted debe identificar lasprioridades de negocio de su organización para ayudar con la asignación derecursos BCP. Esta misma información puede ser usada conducir la ordenación deunidad DRP de negocio.
11. C. El sitio frío no contiene ninguno del equipo necesario de restaurar operaciones.Todo el equipo debe ser traído y configurado y los datos deben serle restauradosantes de que las operaciones puedan comenzar. Esto a menudo toma semanas.
12. C. Sitios calientes típicamente toman aproximadamente 12 horas para activar apartir del tiempo un desastre es declarado. Esto es comparado a la activaciónrelativamente instantánea de un sitio caliente y el muy largo (al menos una semana)el tiempo requerido para traer un sitio frío al estado operacional.
13. D. Sitios calientes y sitios calientes tanto contienen terminales de trabajo, losservidores, como las comunicaciones dan la vuelta necesarios de alcanzar el estado
571
operacional. La diferencia principal entre las dos alternativas es el hecho que sitioscalientes contienen cerca en tiempo real
14. C. En un escenario de bóveda electrónico, las transferencias de bulto de datosocurren entre el sitio primario y la ubicación de reserva en una base periódica. Estasreservas son almacenadas en la posición remota, pero no son mantenidas sobre unservidor de base de datos vivo. Una vez que un desastre es declarado, los técnicosrecuperan los datos de la bóveda y lo aplican a servidores de producción.
15. A. El sumario ejecutivo proporciona una vista de alto nivel de los esfuerzos derecuperación de desastre de la organización entera. Este documento es útil para losgerentes y los líderes de la firma así como el personal de relaciones públicas quiennecesita una perspectiva no técnica sobre este esfuerzo complejo.
16. D. Los acuerdos de garantía de software colocan el código original de aplicación enlas manos de un tercero independiente, así proporcionando firmas " con una red deseguridad " en el caso un revelador va del negocio o falla en honrar los términos deun acuerdo de servicio.
17. A. Reservas diferenciales implican siempre las copias de almacenaje de todos losarchivos modificados desde la reserva llena más reciente independientemente decualquier reserva incremental o diferencial creada durante el período de tiempointerventor.
18. C. Cualquier estrategia de reserva debe incluir reservas llenas en algún punto en elproceso. Reservas incrementales son creadas más rápido que reservasdiferenciales debido al número de archivos que es necesario sostener cada vez.
19. A. Cualquier estrategia de reserva debe incluir reservas llenas en algún punto en elproceso. Si una combinación de reservas llenas y diferenciales es usada, unmáximo de dos reservas debe ser restaurado. Si una combinación de los llenos.
20. B. Pruebas paralelas implican el personal móvil al sitio de recuperación yoperaciones de aumentación, pero la responsabilidad de conducir las operacionescotidianas de los restos de negocio en el centro de operaciones primario.
Respuestas a Laboratorio EscritoLo siguiente es respuestas a las preguntas en el laboratorio escrito de este capítulo:
1. Hay tres negocios de preocupaciones principales tienen considerando la adopciónde Acuerdos de Ayuda Mutuos. Primero, la naturaleza de un MAA a menudo hacenecesario esto los negocios para ser localizados en la proximidad cercanageográfica. Sin embargo, esta exigencia también aumenta el riesgo que los dosnegocios se caerán la víctima con la misma amenaza. Segundo, MAAS son difícilesde hacer cumplir en medio de una crisis. Si una de las organizaciones es afectadapor un desastre y el otro no es, la organización no afectada podría echarse atrás enel último minuto y otra organización es desafortunada. Finalmente, laspreocupaciones de confidencialidad (tanto legal como de negocio relacionado) amenudo impiden a negocios confiar en otros con sus datos sensibles operacionales.
2. Hay cinco tipos principales de pruebas de recuperación de desastre:Las pruebas de lista de comprobación implican la distribución de recuperación listasde comprobación a personal de recuperación de desastre para revisión.El paseo-throughs estructurado es los ejercicios "tableros" que implican lamontadura de la recuperación de desastre combinan hablar de un escenario dedesastre.Las pruebas de simulación son más comprensivas y pueden afectar una o variasunidades no críticas de negocio de la organización.Pruebas paralelas implican el personal de trasladar al sitio alterno y operaciones decomienzo allí.Las pruebas de interrupción llena implican re-localizar personal al sitio alterno yoperaciones que se cierran en el sitio primario.
572
3. Reservas llenas crean una copia de todos los datos almacenados sobre un servidor.Reservas incrementales crean las copias de todos los archivos modificados desde laúltima reserva llena o incremental. Reservas diferenciales crean las copias de todoslos archivos modificados desde la última reserva llena sin el respeto a cualquiercálculo diferencial anterior o las reservas incrementales que pueden haber ocurrido.
573
Capitulo 17
Ley e investigaciones
Los temas de examen de CISSP cubiertos de esto Inclusión de capítulo:
Leyes Categorías muy importantes y tipos de leyes Investigaciones
En los primeros días de la seguridad de computadora, los profesionales de seguridad deinformación hacían por su cuenta defender sus sistemas solos contra los ataques.No tenían mucha ayuda del criminal y sistemas de justicia civil. Cuando pidieron laayuda de la ejecución de la ley, con el que fueron conocidos la renuencia por agenteshecho trabajar demasiado que no tenían un acuerdo básico de cómo algo esoinvolucrado una computadora podía ser un crimen en realidad.El poder legislativo de gobierno no había diseccionado el asunto del delito informático, yel fieltro del poder ejecutivo que sólo no tenían la autorización legal o obligación deseguir ésos hechos.Afortunadamente, tanto nuestro sistema jurídico como los hombres y mujeres de laejecución de la ley han venido una manera larga sobre las dos décadas anteriores. Lospoderes legislativos de gobiernos por aquí el el mundo ha intentado abordar los asuntosdel delito informático por lo menos. Muchos organismos de ejecución de la leyTenga investigadores de delito informático de tiempo completo y bien entrenamiento deseguridad en estado avanzado. Aquellos que no saben dónde doblar cuando requiereneste tipo de la experiencia generalmente.En este capítulo, echaremos un vistazo a las vario clases de leyes que tratan sobre laseguridad de computadora Asuntos. Revisaremos los asuntos legales abordan el delitoinformático, la privacidad, la propiedad intelectual, y varios otros temas relacionados.También cubriremos las técnica curiosas básicas, Incluir los pros y los contras de lallamada en la ayuda de la ejecución de la ley.
Categorías de leyesHay tres categorías principales de leyes que tienen un papel en nuestro sistemajurídico. Cada uno es acostumbrado a cubrir una variedad de diferentes circunstancias,y las penas para infringir leyes en las categorías diferentes Variedad extensamente. Enlo siguiente al que secciones, nosotros echaremos un vistazo cómo derecho penal,derecho civil, y Ley administrativa interactúa para constituir la Web complicada denuestro sistema de justicia.
Derecho penalEl derecho penal moldea la base del cuerpo de leyes que mantienen la paz y retienennuestra sociedad segura. Muchos casos del tribunal prominentes involucran los temasde derecho penal; éstas son las leyes eso la policía y la otras agencias de ley por lasque los organismos se preocupan. Criminal a quien ley contiene las prohibiciones encontra de leyes como el homicidio, la agresión, el robo, el incendio provocado, y losdelitos similares. Las multas para infringir leyes parlamentarias delictivas entran en unaextensión que incluye horas de servicio comunitario, el servicio las penas monetarias enforma de multas (pequeña y grande), privación de civil las libertades en forma de laspenas de prisión, y en los casos más extremos, la confiscación de sus vidas a través dela puesta en práctica de la pena de muerte.
574
Categorías de leyes
509Hay varias leyes delictivas que sirven para proteger la sociedad contra el delitoinformático. Hacia dentro secciones posteriores de este capítulo, usted aprenderá cómoa algunas leyes, les gustan el fraude de computadora y el abuso la ley, los el Ley dePrivacidad de comunicaciones electrónico, y el robo de identidad y Fuerza de disuasiónde Asunción (entre otros), suministre criminal multas para los casos serios del delitoinformático. Técnicamente los fiscales perspicaces unidos con organismos de ejecuciónde la ley preocupados han dado grave sopla al "Movimiento clandestino tosiendo"usando el sistema del tribunal sobre el que abofetear las penas largas delincuentesculpables de lo qué solían ser considerados las bromas inofensivas.En los Estados Unidos, los cuerpos legislativos en todos niveles de gobierno establecenleyes delictivas a través de representantes votados. En el nivel federal, ambos losCámara de Representantes y el Senado debe aprobar derecho penal para el que losproyectos de ley por una mayoría votan por el proyecto de ley (en muchos casos) pororden Hágase ley. Una vez pasado, estas leyes se hacen la ley federal entonces/luegoy son aplicable en todos los casos dónde el El gobierno federal tiene jurisdicción(embala eso principalmente involucrar el comercio interestatal, embalar eso límites deestado federal de cross, o cajas que son los delitos contra el gobierno federal mismo).Si federalLa jurisdicción no es aplicable, las autoridades del estado manejan el caso usar leyesaprobadas en una manera similar por legisladores estatales.Todas leyes federal y estatales deben obedecer el documento que determina cómonuestro sistema de El gobierno trabaja –la Constitución de U.S.. Todos por los que lasleyes están sujetas a la revisión judicial regional tribunales con el derecho de laapelación todo el camino hasta la suprema corte de los Estados Unidos. Si un tribunaldescubre que una ley es inconstitucional, tiene el poder de golpearlo y darlo inválido.Guarde que el derecho penal es un tema serio. Si usted se encuentra involucrado en untema en cuál criminal del que las autoridades se ponen involucradas - o como untestigo, acusado, o víctima uno el delito informático - usted sería bien recomendadopedir el consejo de un abogado familiarizado con el criminal sistema de justicia yespecíficamente con los temas del delito informático. No es sabio "ir solo" en tal sistemacomplicado.
Derecho civilLas leyes civiles constituyen la mayor parte de nuestro cuerpo de leyes. Son diseñadosmantener a una sociedad ordenada y gobierne los temas que no son los crímenes peroexija que un árbitro imparcial se asiente entre personas individuales y organizaciones.Ejemplos de las clases de temas que pueden ser juzgados bajo el derecho civil incluyalas disputas de contrato, las transacciones de bienes raíces, los temas de empleo, y losprocedimientos de sucesión / validación de un testamento.Las leyes civiles también son use crear la base de gobierno eso el ejecutivo transfiera elcontrol a los usos para llevar sus responsabilidades. Estas leyes suministranpresupuestos para las actividades gubernamentales y dejar a la autoridad concedida alpoder ejecutivo de crear leyes administrativas (ver la próxima sección).
Las leyes civiles son promulgadas en la misma manera como leyes delictivas. Debenpasar por el legislativo procesar la promulgación antes y estar sujeto a los mismosparámetros constitucionales y procedimientos de evaluación judiciales. En el nivelfederal, tanto delictivo como civil en el que las leyes son expresadas el código de losEstados Unidos (USC).
575
La diferencia muy importante entre leyes civiles y leyes delictivas es la manera que sonhecha cumplir.Normalmente, autoridades de ejecución de la ley no se ponen involucradas en lostemas del derecho civil llendo a tomar acciones necesarias para restituir la orden. En unjuicio delictivo, el gobierno, a través de ley investigadores de ejecución y fiscales,interponen el movimiento contra una persona acusada de un crimen. En los temasciviles, está impuesto sobre la persona que siente que han sido agraviada prevalecer
510Chapter 17Ley e investigacionesAbogado legal y presente una demanda judicial civil contra la persona ellos sentir serresponsable de su queja.El gobierno (a menos que son el demandante o el acusado) no toma las parte en ladisputa o argumente una postura o lo demás. El único papel del gobierno en los temasciviles es proveer los jueces, jurados, y instalaciones del tribunal use escuchar lasacciónes civiles y tener un papel administrativo en dirigir el sistema judicial conformidadcon la ley.Como con derecho penal, es mejor obtener la ayuda legal si usted siente que ustedtiene que presentar uno civil demanda judicial o usted temen que una demanda judicialcivil puede ser presentada contra usted. Aunque el derecho civil no provee para elencarcelamiento, la fiesta perdiendo podría enfrentar sumamente penas financierasgraves. Una necesidad mire más que las noticias nocturnas para ejemplos - los casosde varios millones de dólares en contra del tabaco compañías sociedades anónimasmuy importantes, y personas individuales adineradas son escuchadas todos los días.
Ley administrativaEl poder ejecutivo de nuestro gobierno acusa organismos numerosos de lasresponsabilidades de gran alcance para asegurar que el gobierno funciona eficazmente.Es el deber de estos organismos para aguantar y haga cumplir las leyes delictivas yciviles promulgadas por el poder legislativo. Sin embargo, como lata lo seaFácilmente imaginado, criminal y derecho civil no podria colocar reglas y procedimientosque deben Sea seguido en cualquier situación posible. Por lo tanto, los organismos delpoder ejecutivo tienen un poco de libertad Promulgar ley administrativa, en forma depolíticas, procedimientos, y reglas que gobiernan el operaciones diarias del organismo.Ley administrativa cubre los temas tan rutinarios como los procedimientosSer usado dentro de un organismo federal al que obtener un teléfono de escritorio comoel que mayor cantidad concreta hace pública tanto como las políticas de inmigraciónque serán use hacer cumplir las leyes aprobadas por el congreso. Administrativo la leyes promulgada en el Código de Reglamentos Federales, a menudo refernte como elCFR.Aunque ley administrativa no requiere que una ley del poder legislativo gane la fuerzaDe ley, debe obedecer toda ley civil y delictiva existente. Agencias gubernamentales nopueden implemente reglas que contradicen leyes existentes aprobadas por la legislaturadirectamente. Además, ley administrativa (y las acciones de agencias gubernamentales)también debe obedecer con la Constitución de los EE.UU. y estar sujeto a la revisiónjudicial.
LeyesEn todas estas secciones, revisaremos varias leyes que se relacionan con tecnología dela información. Por la necesidad, esta discusión es los EE.UU.-centric, como ser la telacubierta por el examen de CISSP.Miraremos algunas leyes extranjeras prominentes, como el acto de privacidad de datosdel la unión europea. Sin embargo, si usted opera en un ambiente que involucra
576
jurisdicciones extranjeras, que usted debe conservar abogado legal local guiarlo através del sistema. Cada seguridad de información de la que profesional debe tener unacuerdo básico la ley como él(ella/eso) se relaciona con tecnología de la información.Lección sin embargo, más importante ser aprendido está sabiendo cuándo es necesariollamar a un profesional legal. Si usted siente que usted está en un "Terreno pocodefinido" legal, es mejor pedir el consejo profesional.
Leyes
511Delito informáticoLos primeros asuntos de seguridad de computadora es dirección por legisladores eranaquellos que involucraban el delito informático. Los juicios de delito informáticotempranos fueron intentados bajo derecho penal tradicional, y muchos fue desestimadoporque jueces sintieron eso aplicar ley tradicional a este moderno tipo de pecado erademasiado lejano de una prolongación. Legisladores respondieron aprobando leyesparlamentarias específicas que definieron crímenes de computadora y penasespecíficas colocar para los crímenes varios. En la siguiente secciones, prenderemosuno mire varios de esas leyes parlamentarias.Las U.S. leyes habladas de en este capítulo son las leyes federales. Casi cada estadoen el sindicato ha promulgado un poco de forma de la legislación respecto acomputadoraLa seguridad es emitida. Debido a el alcance mundial de la Internet, muchascomputadora los crímenes cruzan fronteras interestatales y estan incluído en lajurisdicción federal y lo son, por lo tanto, Entabló una acción judicial en el sistema deltribunal federal. Sin embargo, en algunas circunstancias, las leyes estatales pueden sermás restrictivas que las leyes federales y molestar más severo penas.
Fraude de computadora e acto de abuso de 1984El congreso primero promulgar el fraude de computadora y abuso actúan (CFAA)In 1984 y él quedar hacia dentro fuerce hoy, con algunas enmiendas. Esta ley fueescrita cuidadosamente para exclusivamente cubrir los delitos informáticos quecruzaron límites de estado federal para evitar violar los derechos y atribuciones de cadaestado ySe comportar sobre hielo constitucional fino. Las condiciones muy importantes del actoson que es un crimen para llevar a cabo lo siguiente:
Acceda a la información confidencial o la información financiera en un sistemafederal sin la autorización o superior(es) a los privilegios autorizados
Acceda a una computadora utilizada exclusivamente por el gobierno federal sinla autorización
Usar una computadora federal para perpetrar un fraude (a menos que el únicocentro del fraude era adelantar Uso de la computadora misma)
La causa el daño malicioso para un sistema de computadora federal en excesosde $1,000
Modifique registros médicos en una computadora cuando lo hacer afecta opueda afectar el examen, la diagnosis, trato, o atención médica de una personaindividual
Traficar en contraseñas de computadora si el tráfico afecta el comerciointerestatal o involucrar uno sistema de computadora federal
El CFAA fue corregido en 1986 para cambiar el alcance del acto. En lugar desimplemente cubriendo computadoras federales que procesaron la informaciónconfidencial, el acto fue cambiado Cubra todas "Interés federal" computadoras. Estoensanchó la cobertura del acto para incluir las siguientes:
577
Cualquier computadora utilizada exclusivamente por el gobierno estadounidense Cualquier computadora utilizada exclusivamente junto a una institución
financiera
512Chapter 17Ley e investigaciones
Ninguno que computadora usada por el gobierno o una institución financieracuando el delito impide La habilidad del gobierno o la institución usar esesistema.
Cualquier combinación de computadoras solía cometer un delito cuando noestán todos ubicados hacia dentro el mismo estado.
1994 enmiendas de CFAAEn 1994, el congreso reconoció que la cara de la seguridad de computadora habíacambiado desde entonces drásticamente el CFAA fue corregido en último lugar en 1986y hizo varios cambios radicales para el acto. Colectivamente estos cambios semencionan como el Acto de Enmiendas de Abuso de Ordenador de 1994 e incluyeronlas provisiones siguientes:
Prohibió la creación de cualquier tipo de clave maliciosa que podía causar eldaño para una computadora sistema
Modificó el CFAA para cubrir que cualquier computadora usó en el comerciointerestatal más bien que justo "Interés federal" sistemas de computadora
Tenía en cuenta el encarcelamiento de delincuentes, sin considerar si pensaronhacerlo/serlo en realidad cause el daño
Proveyó la autoridad legal para las víctimas del delito informático perseguir elmovimiento civil para adquirir liberación por mandato judicial y compensaciónpara indemnización por daños y perjuicios.
Ley de seguridad de computadora de 1987Después de corregir el CFAA en 1986 para cubrir una variedad más amplia de sistemasde computadora, el congreso se volvió su vista hacia dentro y revisó el estado en cursode la seguridad de computadora en gobierno federas sistemas. Miembros del Congresono estaban satisfechos con el lo lo que vieron y representaron el Ley (CSA) deseguridad de computadora de 1987 para autorizar requisitos de seguridad de punto departida para todos organismos federales. En la introducción para el CSA, de la que elcongreso especificó cuatro propósitos principales el acto:
Dar la agencia nacional de los padrones (ahora el laboratorio nacional de lospadrones y Tecnología, o NIST) la responsabilidad para desarrollar los padronesy las pautas porque federal Sistemas de computadora, incluyendo laresponsabilidad para desarrollar los padrones y las pautas porque federalsistemas de computadora. Recurrir al consejo técnico y la ayuda (incluyendo eltrabajo productos) de la agencia de seguridad nacional donde es apropiado.
Para proporcionar la divulgación de tales padrones y pautas. Para requerir que el establecimiento de la seguridad planee por todos
operadores de sistemas de computadora federales eso contenga la informaciónconfidencial.
Requerir el entrenamiento periódico obligatorio para todas personasinvolucradas en la dirección, el uso, o operación de sistemas de computadorafederales que contienen la información confidencial.
578
Esta ley puso varios requisitos que constituían la base de computadora federalevidentemente política de seguridad por años. También dividió la responsabilidad parala seguridad de computadora entre dos organismos federales. La agencia de seguridadnacional (NSA), que tenía autorización antes sobre todos los asuntos de seguridad decomputadora, ahora conservaban la autoridad sobre sistemas secretos. NIST adquirió laresponsabilidad para asegurar todos otros sistemas del gobierno federal.Leyes513
Normas de imposición de sentencia federalesEl Normas de imposición de sentencia federales soltar en 1991 proporcionado laspautas de castigo de ayudar federal los jueces interpretan las leyes de delitoinformático. Hay tres previsiones muy importantes de estas pautas eso ha tenido unimpacto duradero sobre la comunidad de seguridad de información:Ellos formalizar el hombre regla prudente,Que requerir a altos ejecutivos para llevar personales la responsabilidad para asegurarel cuidado merecido que personas individuales corrientes, prudentes podrian hacerejercicio en el misma situación. Esta regla, desarrollado en la esfera de laresponsabilidad fiscal, es aplicable a la información ahora la seguridad también.Permitieron que organizaciones y ejecutivos minimizaran el castigo para las infraccionesse manifestando que usaron diligencia merecida en la conducción de sus servicios deseguridad de información. Dieron una idea general de tres carga de la prueba paranegligencia.Primero, debe haber uno legalmente acreditado obligación de la persona acusada de lanegligencia. Segundo, la persona debe haber dejado de obedecer con los padronesreconocidos. Definitivamente, debe haber una causalidad entre el acto de la negligenciay indemnización por daños y perjuicios siguientes.
Ley de protección de infraestructura de información nacional de 1996En 1996, el congreso pasó aún el otro juego de enmiendas para el fraude decomputadora e ley de insulto diseñar prolongar la protección que provee más lejos.Incluía las siguientes nuevas áreas principales de la cobertura:
Amplía la ley además de la que cubrir sistemas de computadora usados en elcomercio internacional sistemas usar en el comercio interestatal
Prolonga las protecciones similares a partes de la infraestructura nacional apartede computar sistemas, como ferrocarriles, gasoductos de gas redes de energíaeléctricas, y telecomunicaciones circuitos
Trata cualquier acto intencional o imprudente que causa el daño para partescríticas de la competencia nacional infraestructura como un crimen
Ley de reforma de seguridad de información del gobierno de 2000La ley de reforma de seguridad de información del gobierno de 2000 corrige el Códigode los Estados Unidos hacerlo/serlo implemente las políticas de seguridad deinformación adicionales y los procedimientos. En el texto del acto, el congresoColocó cinco propósitos básicos para establecer el GISRA:
De suministrar un marco exhaustivo establecer y asegurar la eficacia de paraControles sobre recursos de información que soportan las operaciones federalesy posesiones
Para reconocer la naturaleza muy conectado a una red del ambiente decomputación federal, incluir la necesidad para la interoperabilidad del gobiernofederal, y en la puesta en funcionamiento de mejorar las medidas de
579
administración de seguridad, garantizar que las oportunidades para lainteroperabilidad no lo son afectar adversamente
Para proveer la dirección gobierno eficaz y la vigilancia de la informaciónrelacionada los riesgos para la seguridad, incluir la coordinación de los esfuerzosde seguridad de información desde el principio hasta el fin el civil, la seguridadnacional, y las comunidades de ejecución de la ley 514 Capirulo 17 Ley einvestigaciones
Para proporcionar el desarrollo y el mantenimiento de controles mínimosrequeridos para proteger federal información y sistemas de información
Para suministrar un mecanismo para la vigilancia mejorada de la seguridad deinformación del organismo federal programas las previsiones del GISRAcontinúan llenar el laboratorio nacional de los padrones y La tecnología y laagencia de seguridad nacional con las responsabilidades de vigilancia deseguridad para sistemas de procesamiento de la información sin clasificar ysecretos, respectivamente. Sin embargo, GISRA poner la carga de mantener laseguridad y la integridad de la información del gobierno y sistemas deinformación directamente sobre los hombros de líderes del organismoindividuales.
GISRA también crea una nueva categoría del sistema de computadora. Mision criticadel que los sistemas conocen uno de los siguientes criterios:
Es definido como un sistema de seguridad nacional por otras provisiones de ley. Es protegido por procedimientos establecidos para la información confidencial.
La pérdida, mal uso, revelación, o los no autorizado acceso para o modificaciónde cualquier información se procesa tener un impacto extenuante sobre lamisión de un organismo.
El GISRA suministra la autoridad de evaluación y auditoria específica para sistemasmisión critica al Secretario de Defensa y al director de servicios de inteligenciacentrales. Éste es un intento para asegurar todos los organismos del gobierno, inclusoaquellos que no se las arreglan con la seguridad nacional secreta con regularidadInformación, implementar controles de seguridad suficientes sobre sistemas que soncompletamente críticos para persistente funcionamiento del organismo.
Propiedad intelectualEl papel en la economía mundial de América se está alejando de un fabricante deartículos y hacia un proveedor de servicios. Esta tendencia también se muestra enmuchos de el(la/los/las) de el mundo grande industrializada naciones. Con este cambiohacia proveer servicios, intelectual que propiedad asume uno papel cada vez másimportante en muchas firmas. Efectivamente, es posesiones tan más valiosasdiscutiblesDe muchos las compañías multinacionales grandes son sólo los nombres de marca quehemos todos llegado a reconocer, y los nombres de la compañía como Dell, Proctor &Gamble, y Merck causan la credibilidad inmediata a cualquier producto. La industriaeditorial de la que compañías, productores de película, y artistas dependen su creativoProducir para ganar su medio de vida. Muchos productos dependen de recetasconfidenciales o producción las técnica - tome la fórmula confidencial legendaria por elsecreto de Coca Cola o el Coronel Mézclese de hierbas y especias, por ejemplo.Éstos como los que los activos intangibles son colectivamente hechos referenciaPropiedad intelectual, y un solo anfitrión de leyes exista para proteger los derechos desus propietarios. Después de todo, sólo no sería justo si una música tienda solamentecomprado una copia del CD de cada artista y copias quemadas para todos sus clientes -
580
eso privar al artista de los beneficios de su trabajo. En las siguientes secciones, loseremos/haremos Analizar las leyes abordando los cuatro tipos muy importantes de lapropiedad intelectual - los derechos de autor, marcas, patentes, y secretos defabricación. También hablaremos cómo éstos de los que los conceptos específicamentetratan profesionales de seguridad de información. Muchos a quienes los paísesprotegen (o el reprobado para proteger) estos derechos hacia dentro diferente lasmaneras, pero los conceptos básicos suenan verdaderos en todo el mundo.
Leyes515Algunos países son conocidos para invadir derechos de propiedad intelectual. Elejemplo mas notable es China. China es mundo - renombrado para su indiferenciaflagrante del derecho de autor y el derecho de patente. Si usted está planeando hacer laempresa en esto región del mundo, usted debe consultar con un abogado que seespecializa definitivamente en esta área.
Derechos de autorDerecho de autor la ley garantiza a los creadores de "Obras originales de la autoría"protección en contra el duplicación no autorizada de su trabajo. Hay ocho categoríasamplias de obras que reúnen las condiciones necesarias para la protección de derechode autor:
Obras literarias Obras musicales
Obras dramáticas Pantomimas y obras de coreografías Obras ilustradas y gráficas, y esculturales Películas y otras obras audiovisuales Grabaciones de sonido Obras arquitectónicas
Ahí el precedente estar para registrar los derechos - de software de computadoras delque es hecho bajo el alcance literario trabaja. Sin embargo, es importante notar que lasleyes de copyright solamente protege la expresión inherente en el software decomputadoras - es decir el código fuente verdadero. No protege las ideas o la citacióndetrás del software. Ha sido también alguna pregunta sobre si los derechos de autorpueden serlo allí extender para cubrir la "Expresión y la tacto" del interfaz de usuariográfico de un paquete de software. Tribunal las decisiones han entrado en ambasinstrucciones sobre este tema; si usted estará involucrado en esto escribir a máquina desea emitido, usted debe consultar con un abogado de propiedad intelectual titulado paradeterminar la corriente estado de legislación y jurisprudencia.Hay un procedimiento formal obtener un derecho de autor que supone enviar a copiasde el protegido Trabaje al mismo tiempo que un honorarios de registro apropiados a laBiblioteca del Congreso. Para más información Sobre este proceso, visitar el sitio webde la biblioteca en Www.loc.gov/copyright/. Sin embargo, es importantePara notar que oficialmente hacer constar un derecho de autor no es un requisitoesencial para la ejecución de derecho de autor. efectivamente, la ley dice que el creadorde una obra tiene un derecho de autor automático del instante el el trabajo es causado.Si usted puede probar en el tribunal que usted era el creador de una obra (quizáspublicando el), usted será protegido bajo las leyes de copyright. El registro oficialsimplemente provee el gobierno es el reconocimiento de que recibieron su trabajo sobreuna fecha específica. La propiedad de derecho de autor incumple al creador de una
581
obra siempre. Las excepciones para esta política obras para alquilar. Una obra esconsiderada "Para alquilar" durante cuándo es hecho para un empleador el cursonormal de la jornada laboral de un empleado. Por ejemplo, cuando un empleado en elpúblico de una compañíaEl departamento de relaciones escribe un comunicado de prensa, el comunicado deprensa es considerado una obra para alquilar. AEl trabajo también puede ser considerado una obra para alquilar cuando es hecho comoparte de un contrato escrito Declarar él como tanto.
516Chapter 17Ley e investigacionesLeyes de Copyright en curso asegura un período muy largo de la protección. Trabajarantes de la una o más escritores son protegidos hasta 70 años después de la muertedel último escritor sobreviviente. Trabajar en empleado y obras anónimas sonsuministrados la protección para el más breve de 95 años de la fecha de primerapublicación o 120 años de la fecha de la creación.
Ley de derecho de autor de milenio de Digital de 1998En 1998, el congreso reconoció el paisaje digital rápidamente cambiando que se estabaextendiendo el alcance de las leyes de copyright existente. Para ayudar conocer estedesafío, representó al ferozmente debatir digital ley de derecho de autor de milenio. ElDMCA en el que también los saques hacerlo/serlo traen las leyes de copyright de losEstados Unidos acatamiento con los términos de dos tratados de World IntellectualProperty Organization (WIPO).La primera previsión muy importante del DMCA es la prohibición de los intentos deevitar el derecho de autor mecanismos de protección puestos sobre una obra protegidapor el recipiente de derecho de autor. Esta cláusula ser diseñado proteger mecanismosde copia - prevención puestos sobre entornos digitales como CDs y DVD. El DMCAproporciona penas de hasta $1,000,000 y 10 años en prisión para la repeticiónDelincuentes. Las instituciones no lucrativas como bibliotecas y escuelas son eximidasde de esta previsión.El DMCA también limita la responsabilidad del proveedor de servicios de internetcuando sus circuitos son usados por criminales que infringen las leyes de copyright. ElDMCA reconoce que ISPs tienen una situación jurídica similar a la "Empresa detransporte público" estado de compañías telefónicas y hembras no los sujetanresponsables para las "Actividades temporales" de sus usuarios. Para reunir lascondiciones necesarias para esta exención, el servicio Las actividades del proveedordeben cubrir los siguientes requisitos (citó al digital directamente ley de derecho deautor de milenio de 1998 el resumen de la oficina de derecho de autor de los EE.UU.,diciembre 1998):
la transmisión debe ser iniciado por una persona aparte del proveedor. las transmisión, direccionamiento, por los que la previsión de conexiones, o
copiar debe ser llevado uno Automático el proceso técnico sin la selección delmaterial por el proveedor de servicio.
el proveedor de servicio no debe determinar a los receptores de la tela. algún mediador aparte del que las copias no deben normalmente ser asequibles
para alguien prevido receptores, y elemento esencial no son conservados forlonger que razonablemente necesario.
582
el material debe ser transmitido sin modificación a su contenido.
El DMCA también exime de las actividades de proveedor de servicio relacionado con losistema almacenar, la búsqueda motores, y el almacenamiento de la información en unared por usuarios individuales. Sin embargo, en ésos cajas, el proveedor de serviciodebe tomar el movimiento de indicador de comandos retirar materiales registrado losderechos sobre la notificación de la violación.El congreso también incluidas provisiones en del que el DMCA que admite la creaciónde la copia de seguridad se presta a ser copiado el software de computadoras ycualquier mantenimiento, la prueba, o las actividades de uso de rutina que requieren elsoftwareDuplicación. Estas condiciones solamente son aplicables si el software es autorizadopara el uso sobre un detalle computadora, el uso es de acuerdo con el acuerdo delicencia, y tanto copias son inmediatamente eliminó cuando más requerir para unaactividad permitida.Definitivamente, el DMCA deletrea la aplicación de los principios de leyes de copyrightpara el aparecer campo del webcasting, o enviar un mismo mensaje a todas lasestaciones audio y/o contenido de video a receptores sobre la Internet.Esta tecnología es referente a como el sistema de audio continuo o el sistema de videocontinuo a menudo. Los estados federales de DMCA que estos usos son ser tratadoscomo las "Transmisiones de non subscription elegibles.". La ley en esta área todavíaestá bajo el desarrollo, así que si usted planea participar en estos tipos de actividad,usted debe contactar un abogado asegurar que usted está en el acatamiento con ley encurso.
Leyes 517
MarcasLas leyes Copyright son usadas para proteger obras creativas; también hay protecciónpara marcas, que lo son palabras, los lemas, y los logotipos solían identificar unacompañía y sus productos o servicios. Para el ejemplo, uno la empresa podría obtenerun derecho de autor sobre su folleto de ventas para asegurar del que competidores nopueden hacer una copia su materiales de ventas. Que la misma empresa tambiénpodría tratar de obtener la protección típica para su compañía el nombre y los nombresde productos y servicios específicos que ofrece a sus clientes.El objetivo principal de la protección típica es evitar la confusión en el rato del mercadoProteger los derechos de propiedad intelectual de personas y organizaciones. Comocon la protección de derecho de autor, marcas de fábrica no necesitan ser oficialmenteregistrado para ganar la protección bajo la ley. Si usted usa una marca en el transcursode sus actividades públicas, usted está automáticamente protegido bajo alguno leytípica relevante y puede usar el símbolo para mostrar a quien usted piensa protegerpalabras o lemas como marcas. Si usted quiere el reconocimiento oficial de su marca,usted puedeRegístrelo con el (USPTO) de patentes y Marcas office de Estados Unidos. Esteproceso en general exige que un abogado lleve a cabo una "Diligencia merecida"búsqueda de compresiva para marcas existentes eso podría impedir su registro. Elregistro entero del que el proceso puede tomar más de un año empiece a terminar. Unavez usted ha recibido su certificado de registro del USPTO, usted puede signifique sumarca como una marca de fábrica registrada con el símbolo de ®.Una ventaja muy importante del registro típico es que usted puede registrar una marcaeso usted pensar hacerlo/serlo el uso pero ser no necesariamente ya usar. Este tipo desolicitud es declarada uno "Concentrado al uso" la solicitud y expresa la proteccióntípica como de la fecha de presentar proporcionar a usted a eso use la marca enrealidad en el comercio dentro de cierto período de tiempo. Si usted no opta por noregistrarse
583
Su marca con el PTO, su protección comienza solamente cuando usted usa la marcaprimero. Hay dos requisitos principales para la aprobación de una aplicación típica haciadentro el los Estados Unidos:
la marca no debe ser confusamente similar a otra marca - usted debe determinarEsto durante el búsqueda de diligencia merecido de su abogado. Ser unasoposición abiertas allí el período durante el que las otras compañías puedenrefutar su aplicación típica.
la marca no debe ser descriptivo de los bienes y servicios que usted brindará.Para Ejemplo, "La compañía de software de Mike" no sería un buen candidatotípico porque Describe el producto producir por la compañía. El USPTO puederechazar una aplicación si considera la marca descriptiva.
En los Estados Unidos, las marcas son consentidas para un período inicial de 10 años ypueden serlo Renovar para los períodos 10-años sucesivos.PatentesLas patentes protegen los derechos de propiedad intelectual de inventores. Suministranun período de 20 años durante que el inventor es consentido los derechos exclusivos deusar la invención (si directamente o Vía contratos de licencia). Al final del período deexclusividad de patente, la invención está entonces/luego dada el dominio públicopermitido para que alguien la use.Hay tres requisitos principales para una patente:
la invención debe ser nueva. Las invenciones son solamente patentable si sonlas ideas ingeniosas.
la invención debe ser útil. Debe trabajar en realidad y lograr algunas tareas.518 capitulo 17 - Ley y las investigaciones
la invención debe ser no obvia. Usted no podía obtener una patente, porejemplo, para su La idea de usar una taza de bebida para coleccionar agua delluvia. Ésta es una solución obvia. Usted podría, Sin embargo, pueda patentaruna taza especialmente diseñada que optimiza la cantidad de agua de lluviaColeccionar mientras minimizar la evaporación.
En el campo de tecnología, las patentes han sido use proteger dispositivos de equipofísico y fabricación mucho tiempoProcesos. Hay muchos precedente en el lado de los inventores en esas áreas. RecienteLas patentes también han sido hechas público cubriendo software programas ymecanismos similares, solamente el los jurados todavía están resplandeciente sobre siestas patentes resistirán al escrutinio de los tribunales.Un caso prominente involucró la patente de Amazon.com en las "Compras un clic"Metodología de comercio electrónico. Reclamos de Amazon.com que su patenteconcede el compañía derechos exclusivos de usar esta técnica. Peleas en contra deeste reclamo gire en torno a la novedad y los requisitos de carácter no obvio de derechode patente.
Secretos de fabricaciónMuchas compañías tienen propiedad intelectual que es completamente crítico a suempresa y causar el daño importante si fuera descubierto a competidores y/o al público- en el otro las palabras, los secretos de fabricación. Nosotros dos antes mencionado delos que los ejemplos de esto escriben a máquina de la información la cultura popular - lafórmula confidencial para la mezcla "Confidencial de Coca Cola y Kentucky FriedChicken de hierbas y especias." Los otros ejemplos son abundantes - una compañía defabricación puede desear hacerlo/serlo guardar el secreto cierto proceso de fabricaciónque solamente algunos empleados de tecla completamente comprenden, o unacompañía de análisis estadística podría desear proteger un modelo avanzadodesarrollado para inhouse Uso. dos de las herramientas de propiedad intelectuales
584
antes habladas - los derechos de autor y las patentes – podía sea use proteger este tipode la información, pero con dos desventajas muy importantes:
presentar un derecho de autor o patente que la solicitud requiere de los queusted públicamente revela los detalles su trabajo o invención. Esto quita lanaturaleza de "Secreto" de su propiedad automáticamente Y puede dañar sufirma quitando el aura de misterio alrededor un producto o lo permitiendoCompetidores inescrupulosos copiar su propiedad en la violación de intelectualinternacionalLeyes de propiedad.
los derechos de autor y las patentes suministran la protección por un período detiempo limitado tanto. Una vez su la protección legal expira, las otras firmas sonfree usar su trabajo a voluntad (y tienen todos el ¡Detalles de la revelaciónpública que usted hizo durante el proceso de aplicación!).
Ahí gran parte de un proceso oficial en realidad estar respecto a secretos de fabricación- por su naturaleza usted no los registra con alguien. Usted sólo debe implementarcontroles suficientes dentro Su organización de asegurar eso solamente autorizó apersonal que tenían que saber los secretos tenga acceso para ellos en el transcurso desus servicios. Usted también debe asegurar a alguien a eso quién hembras tener esto eltipo del acceso es el salto por un contrato de no divulgación (NDA) o el otro legaldocumente que eso los prohíbe de compartir la información con otros y provea penaspara la infracción del acuerdo. Es importante asegurar que el acuerdo dura el períodomáximo permitía por ley.
Leyes 519La protección de secreto de fabricación es una de las mejores maneras proteger elsoftware de computadoras. Como hablar de en la sección previa, el derecho de patenteno suministra la protección suficiente para el software de computadoras productos. Lasleyes de Copyright solamente protege el texto verdadero del código fuente y no hacer élprohibir otros de reescribir su clave en una forma diferente y lograr el mismo objetivo. Siusted tratar su código fuente como un secreto de fabricación, él lo retienen afuera de lasmanos de sus competidores en el primer lugar. Esto es la técnica usada por compañíasde desarrollo de software grandes como Microsoft para proteger su base de puntoprincipal de la propiedad intelectual.
Concesión de licenciaLos profesionales de seguridad también deben estar familiarizados con los asuntoslegales alrededor la concesión de licencia de software contratos. Ahí tres tipos comunesde contratos de licencia estar en uso hoy:
los contratos de licencia contractuales utilizan un contrato escrito entre eldistribuidor de software y el cliente que da una idea general de lasresponsabilidades de cada uno. Estos contratos son encontrados comúnmentepara paquetes de software caros y/o muy especializados.
envoltura retráctil que los contratos de licencia son escritos sobre el exterior delsoftware embalar. Ellos reciba su nombre porque incluyen una proposicióndiciendo que usted reconoce la concordancia comúnmente a los términos delcontrato sólo estropeando la envoltura retráctil cierre en el paquete.
los contratos de licencia de clic - corte se están haciendo más cliché queempaquetar en plástico contratos.
En este tipo de acuerdo, los términos de contrato son escritos tampoco sobre la caja desoftware o incluir en la documentación de software. Durante el proceso de instalación,usted es exigido hacerlo/serlo haga clic en un botón indicando que usted ha leído los
585
términos del acuerdo y aceptar cumplir con ellos. Esto añade un consentimiento activopara el proceso, asegurar eso del que la persona individual es consciente el acuerdo esla existencia antes de la instalación.
Ley de espionaje económico de 1996Los secretos de fabricación son muy a menudo las joyas de la corona de sociedadesanónimas muy importantes, y la gobierno de Estados Unidos reconoció la importanciade proteger este tipo de propiedad intelectual cuando el congreso promulgó la ley deEspionaje económica de 1996. Esta ley tiene dos provisiones muy importantes:
alguien encontraba culpable de robar secretos de fabricación de unassociedades anónimas de los EE.UU. con la intención de Se beneficiar para elque un gobierno extranjero o agente pueden ser multados up a $500,000 yencarcelarhasta 15 años.
alguien encontrado culpable de robar secretos de fabricación bajo las otrascircunstancias puede ser multado arriba Para $250,000 y encarcelar por hasta10 año.
Los términos de la ley de Espionaje económica dan dientes verdaderos a los derechosde propiedad intelectuales de propietarios de secreto de fabricación. La ejecución deesto que ley requiere que las compañías toman suficiente los pasos de asegurar quesus secretos de fabricación son protegidos bien y no puesto por casualidad en eldominio público.520 Capitulo 17 - Leyes y las investigacionesDos grupos de la industria importantes proveen la orientación y las actividades deejecución respecto a la concesión de licencia de software. Usted puede conseguir másinformación de sus sitios web.La alianza de software de la empresa (BSA) puede ser encontrado en www.bsa.org, yLa anti- piratería de balneario puede ser encontrado en www.spa.org/piracy/default.asp.
Importación / exportaciónEl gobierno federal reconoce eso es muy igual computadoras y tecnologías deencriptación eso impulsar la Internet y el comercio electrónico también puede serherramientas sumamente fuertes en manos de unos ejércitos fuerza. Para esta razón,durante la Guerra Fría, el gobierno desarrolló un juego complicado de reglascontrolar la exportación de productos de equipos físico y lógico delicados a otrasnaciones.Hasta hace poco, era muy difícil exportar computadoras alto -poderozo fuera de losUnited Estados federales, exceptuar de a unas selectas puñado de naciones aliadas.Los controles sobre exportar el software de encriptación era bastante mas grave,dándolo prácticamente imposible exportar cualquier tecnología de encriptación exteriordel país. Los cambios recientes en la política federal han aflojado estas restricciones ysuministrar para el comercio más abierto.
Controles sobre las exportaciones de computadoraActualmente las firmas de los EE.UU. pueden exportar sistemas computacionales degran rendimiento a prácticamente cualquier país sin recibir la aprobación previa delgobierno. Hay excepciones a esta regla para países designados por el Ministerio deComercio como disponer en filas 3 países. Esto incluye países como India, Pakistán,Afganistán, y países en el Medio Oriente. La exportación de ningunoComputadora que es capaz de operar in exceso de MTOPS (millón operacionesteóricas Por segundo) deber ser pre-aprovadas por el Ministerio de Comercio.
Código de campo cambiado
586
Una lista completa de países y sus gradas de exportación de computadoracorrespondientes pueden sea encontrado sobre el sitio web del Ministerio de Comercioen www.bxa.doc.gov/HPCs/ctpchart.htm.
Las transacciones de información de computadora uniformes actúanLa ley de Transacciones de información de computadora uniforme (UCITA) es una leyfederal diseñada para la adopción por cada uno de los 50 estados federales de los queproveer una base común para la conducta computadora –relacionadas transacciones dela empresa. UCITA contiene las condiciones que abordan la concesión de licencia desoftware. Los términos de El UCITA da el apoyo legal a las prácticas antescuestionables de envoltura retráctil autorizar y clic - envolver la concesión de licenciadándoles el estado como contratos legalmente obligatorios. UCITA también requerirque los fabricantes suministran usuarios de software con la alternativa de rechazar lostérminos de la licencia el acuerdo antes de terminar la instalación procesa y recibe unreembolso completo de el(la/los/las) de el software precio de compra.Leyes 521La exportación de computadoras de gran rendimiento para cualquier país actualmentesobre la lista de Tier 4 es prohibida.Estos países incluyen Cuba, Irán, Irak, Libia, Corea del Norte, Sudán, y Siria.
Controles sobre las exportaciones de encriptaciónLa agencia de industria y seguridad del Ministerio de Comercio pone reglas con elExportación de productos de encriptación fuera de los Estados Unidos. Bajo reglasprevias, lo fue prácticamente imposible exportar la incluso la tecnología de encriptaciónrelativamente de baja calidad aparte de el los Estados Unidos. Este puso fabricantes desoftware de los EE.UU. en una gran desventaja competitiva hacerlo/serlo firmasextranjeras que no enfrentaron ninguna regla similar. Después de una campañalobbying larga por el software industria, el presidente ordenó al Departamento deComercio que cambiara sus reglas para promover el crecimiento de la industria desoftware de seguridad estadounidense.Las reglas en curso indican las categorías de la venta al por menor y el software deseguridad de mercado general ahora.Las reglas permiten que firmas presenten estos productos para la evaluación por elDepartamento de Comercio ahora, pero la evaluación tomará no más de 30 días.Después de la terminación próspera de esto repase, las compañías pueden exportarestos productos libremente.
PrivacidadEl derecho a la privacidad ha por años sido un asunto ferozmente refutado en losEstados Unidos. La tubería matriz la fuente de este argumento ser que el Declaraciónde Derechos de la Constitución explícitamente no proporciona un derecho para laprivacidad. Sin embargo, este derecho ha sido confirmado por tribunales numerosos yes enérgicamente perseguir por organizaciones como la Unión Estadounidense deLibertades Civiles (ACLU).Los europeos han estado preocupados por su privacidad mucho tiempo también.Efectivamente, a los países les gusta Suiza ser mundo - renombrado para su habilidadde mantener los secretos financieros. En segundo tiempo de esta sección, revisaremoscómo afectan compañías las nuevas leyes de privacidad de datos de Union Europea yUsuarios de internet.
Ley de privacidad de los EE.UU.Aunque no hay garantía constitucional de la privacidad, hay unas miríadas de las leyesfederales (muchos promulgar en los últimos años) diseñar proteger la informaciónconfidencial que el gobierno mantiene sobre ciudadanos tanto como porciones de tecla
Código de campo cambiado
587
del semejante privado sector financieras, educativo, y instituciones de atenciónsanitaria. En esta sección, revisaremos un número de estas leyes federales.
Cuarta EnmiendaLa base para los derechos de privacidad está en la Cuarta Enmienda a the U.S.Constitución. Lee de la siguiente manera:"El derecho de las personas de ser seguro en sus personas, casas, trabajos, y efectos,en contra irrazonables búsquedas y ataques, no ser infringido, y ningunas órdenesjudiciales serán emitido, solamente sobre la causa probable, respaldado por eljuramento o la afirmación, y describiendo el lugar de serlo particularmente buscó, y laspersonas o las cosas de ser embargado."La interpretación directa de esta enmienda prohíbe a agentes del gobierno de buscarparticular propiedad sin una orden judicial y causa probable. Los tribunales hanampliado su interpretación de la Cuarta Enmienda incluir las protecciones contra laintervención telefónica y las otras invasiones de la privacidad.522 Capitulo17- Leyes y las investigaciones
Ley de Privacidad de 1974La Ley de Privacidad de 1974 es quizás lo más importante trozo de legislación restringirde privacidad la manera el gobierno federal puede las arreglarse con la informaciónconfidencial sobre ciudadanos individuales. Él limita la habilidad de agenciasgubernamentales federales revelar la información confidencial al otro seriamentePersonas o organismos sin el consentimiento escrito previo de la persona individualafectada (s). Provee para excepciones que involucran el censo, la ejecución de la ley,los Archivos Nacionales, la salud y Seguridad, y órdenes judiciales.La Ley de Privacidad autoriza que los organismos solamente mantienen los registrosque son necesario para la conducta de su empresa y eso que destruyen esos registroscuando no son más necesitado para uno legítimo función de gobierno. Provee unprocedimiento formal para personas individuales adquirir el acceso para los registros elEl gobierno sostiene sobre ellos y a la solicitud que los registros incorrectos soncorregidos.
Ley de Privacidad de comunicaciones electrónico de 1986Las comunicaciones electrónicas Ley de Privacidad (ECPA) lo hace un pecado invadirla privacidad electrónica de una persona individual. Protege contra la observación decorreo electrónico y comunicaciones de correo vocal y impide a proveedores de esosservicios de hacer las revelaciones no autorizadas de su contenido.Una de las previsiones más notables del ECPA es el hecho de que lo hace ilegalmonitorear conversaciones de teléfono celular. A decir verdad, tal observación essancionable con una multa de hasta $500 y una pena de hasta cinco año.
Portabilidad de seguro médico y ley de rendición de cuentas de 1996En 1996, el congreso aprobó la ley de portabilidad y rendición de cuentas de seguromédico (HIPAA), Que hacer los cambios numerosos para las leyes que gobernaban elseguro médico y la mantenimiento de salud organizaciones (organizaciones sanitarias).Entre las provisiones de HIPAA ser reglas requerir de privacidad estricto la seguridadmide para hospitales, médicos, compañías de seguros, y otras organizaciones esoProcese o guarde la información médica confidencial sobre personas individuales.Las reglas de privacidad de HIPAA son muy complicadas. Usted debe ser familiar conLas intenciones amplias del acto, tan descrito aquí. Si usted trabaja la atención sanitariaLa industria, usted debe considerar devoto el tiempo a un estudio exhaustivo deel(la/los/las) de esta ley provisiones.El HIPAA también define los derechos de personas individuales que son el tema de losregistros médicos evidentemente y exige que organizaciones que mantienen talesregistros descubran estos derechos por escrito.
588
La ley de protección de privacidad en línea de 1998 de niñosEn abril 2000, provisiones de la privacidad en línea de los niños ley de protección(COPPA) se puso el ley de la región en los Estados Unidos. COPPA hace a series ofdemandas sobre sitios web que abastecen de comida a niños o a sabiendas coleccionela información de niños:
los sitios web deben tener una notificación de privacidad que dice lo clases deinformación que coleccionan evidentemente y el lo que es usado para,incluyendo si cualquier información es revelada a terceros. El La notificación deprivacidad también debe incluir la información de contacto para los operadoresdel sitio. Leyes 523
los padres deben ser suministrados con la oportunidad de la que examinarcualquier información coleccionada sus niños y elimínelo permanentemente delos registros del sitio.
los padres deben dar el consentimiento comprobable a la colección de lainformación sobre niños debajo de al edad de 13 antes de culaquier colección.hay excepciones en la ley que admite el sitio para coleccionar la informaciónmínima únicamente para el propósito de obtener tal consentimiento paternal.
Ley de Bliley de - lixíviese - de Gramm de 1999Hasta que la Gramm - Leach - Bliley ley (GLB) se hizo ley en 1999, había barrerasgubernamentales estrictas entre instituciones financieras. Bancos, compañías deseguros, y proveedores de crédito eran seriamente limitado en los servicios que podíanproveer y la información que podían compartir con sí. GLB aflojó las reglas algo conrespecto a los servicios que cada organización podía proveer. Cuándo el congresoaprobó esta ley, se dio cuenta de que esta latitud incremente podía tener privacidadtrascendental implicancias. Debido a esta incumbencia, incluía un número de laslimitaciones sobre lo clases de información eso podía ser cambiado incluso entre filialesde las mismas sociedades anónimas y requerido financiero instituciones proveerpolíticas de privacidad escritas a todos sus clientes antes de 1 de julio de 2001.
Patriota ley de USA de 2001El congreso aprobó la ley de Patriotas de USA de 2001 en la reacción directa para los9/11 terrorista ataques.La ley de Patriotas amplió los poderes de organizaciones de ejecución de la ley yservicios de inteligencia enormemente organismos enfrente varias áreas, incluyendo laobservación de las comunicaciones electrónicas.
Uno de los cambios muy importantes incitados por la ley de Patriotas gira en torno a elmuy del gobierno Los organismos obtienen autorizaciones de intervención telefónica.Antes, la policía podía obtener órdenes judiciales para solamente u n circuito a la vez,después de probar que el circuito fue usado por alguien sujeto a la observación.Las previsiones de la ley de Patriotas permiten que autoridades obtengan unaautorización general para una persona y luego monitoree todas comunicaciones a o deesa persona bajo la orden judicial sola.Otro cambio muy importante está en la manera en que el gobierno se las arregla conproveedores de servicios de Internet (ISPs). Bajo los términos de la ley de Patriotas, conlos que ISPs pueden voluntariamente suministrar el gobierno uno alcance grande de lainformación. La ley de Patriotas también permite que el gobierno obtenga la informacióndetallada en la usuario actividad a través del uso de una citación (a diferencia de unaintervención telefónica).
589
Definitivamente, la ley de Patriotas de USA corrige la ley de fraude e insulto decomputadora (sí, otro se poner de ¡Enmiendas!) Para suministrar penas más gravespara los actos delictivos. El patriota a quien la ley asegura los tiempo deencarcelamiento de hasta 20 año y la una vez amplían la cobertura del CFAA otra vez.
Derechos de Educacional de familia y Ley de PrivacidadLos derechos educativos Familia y la Ley de Privacidad (FERPA) es otra privacidadespecializada factura a eso afecta cualquier institución de enseñanza que aceptacualquier formulario de la financiación del gobierno federal (La mayoría vasta deescuelas). Concede ciertos derechos de suscripción de privacidad a estudiantes sobrela edad de 18 y los padres de estudiantes menores. Las protecciones de FERPAespecíficas incluyen lo siguiente:
los padres / estudiantes tienen el derecho de inspeccionar cualquier registroseducativos mantener por la institución sobre el estudiante.
los padres / estudiantes tienen el derecho de pedir la corrección de registrosellos sentir ser erróneo y el derecho de incluir una declaración en los registrosrefutando algo que no ser corregido.
las escuelas no pueden dar a conocer la información personal de los estudianteregistros sin el consentimiento escrito,Exceptúe de under ciertas circunstancias.524 Chapter 17 _ Law y las investigaciones
Robo de identidad y Fuerza de disuasión de Asunción leyEn 1998, el presidente firmó la ley de robo y Fuerza de disuasión de Asunción deidentidad en ley. Presente el al pasar, las únicas víctimas legales del robo de identidaderan las acreedoras que fueron estafados. Este acto hace el robo de identidad unpecado contra la persona cuya identidad fue robada y provee graves penas delictivas(involucrado en una pena 15-años y/o una multa de $250,000) para alguien encontrarculpable De infringir esta ley.
Privacidad en el lugar de trabajoCuando usted ha leído este capítulo, los U.S. sistema del tribunal ha defendido elderecho tradicional mucho tiempo a la privacidad como una extensión de derechosconstitucionales básicos. Sin embargo, los tribunales han mantener que un elemento detecla de este derecho es que la privacidad debe estar garantizada solamente cuando allíEs una "Expectativa razonable de la privacidad." Por ejemplo, si usted envía por correouna carta para alguien uno sobre cerrado, usted podría esperar razonablemente quesea repartido sin ser leído por el camino - usted tiene una expectativa razonable de laprivacidad. Por otro lado, si usted envié su mensaje sobre una postal, usted lo hace conel conocimiento que uno o más puebla poder leer su nota antes de que llegue a otro -de final que usted no tiene uno razonable expectativa de la privacidad.Las resoluciones judiciales recientes han descubierto que empleados no tienen unaexpectativa razonable de la privacidad mientras usar equipo de comunicacionesempleador -propietario en el lugar de trabajo. Si usted transmite uno mensaje que usa lacomputadora de un empleador, la conexión de Internet, el teléfono, o las otrascomunicaciones dispositivo, su empleador puede monitorearlo como un procedimientode la empresa de rutina.Eso dijo, si usted está planeando monitorear las comunicaciones de sus empleados,usted debe tome las precauciones razonables para asegurar que no hay ninguna
590
expectativa implícita de la privacidad. Aquí ser algunas medidas comunes paraconsiderar:
cláusulas en contratos de empleo que dicen que el empleado no tiene ningunaexpectativa de la privacidad mientras usar equipo corporativo
declaraciones escritas similares en el uso aceptable corporativo y las políticas deprivacidad
la advertencia de banners de entrada en el sistema de que todascomunicaciones están sujetas a la observación
etiquetas de advertencia sobre computadoras y teléfonos que advierten para quela observación como con muchos de los asuntos hablado de en este capítulo,con los que es una buena idea de asesorar su legal consulte antes deemprender cualquier esfuerzos de observación de comunicaciones.
Ley de privacidad de la Unión Europea
El 24 de octubre de 1995, el parlamento de la Unión Europea aprobó una directivaresumiendo las medidas de privacidad que deben implementarse para proteger losdatos personales procesados por sistemas de información. La directiva entró envigencia desde octubre de 1998. El texto completo del acuerdo lo podemos descargarde la Web de la Unión Europea (http://europa.eu.int).
La directiva requiere que el procesamiento de la los datos de los empleados cumplancon uno de los siguientes criterios:
Acuerdo Contrato Obligaciones legales
La directiva también hace referencia a los derechos principales de las personas acercade que datos son procesados o retenidos:
Derechos de acceso a datos Derecho a conocer el origen de los datos Derecho de corregir data incorrecta Derecho de tomar acciones legales si estos derechos son trasgredidos
Código de campo cambiado
591
Las compañías estadounidenses haciendo negocio en Europa podrán obtenerprotección mediante un acuerdo entra la Unión Europea y Estados Unidos que permiteal Departamento de Comercio certificar a las empresas que cumplan con lasregulaciones ofreciéndoles cierta protección frente a juicios.
Para poder calificar a esta protección, las compañías estadounidense que hacennegocios en Europa deben contar con los 7 requisitos para el procesamiento deinformación personal:
Observar: Ellos deben informar a las personas acerca de que informaciónrecogen acerca de ellos y cómo la información será usada.
Elección: Ellos deben permitir a las personas a elegir si la infamación será usadacon otro propósito o si será compartida con terceros.
Transferencia: Las organizaciones solo deben compartir los datos con otrasorganizaciones que cumplan con los principios de protección.
Acceso: A las personas se les debe permitir el acceso a los registros quecontienen su información personal.
Seguridad: mecanismos apropiados deben ser puestos en práctica para protegerlos datos frente a pérdida, mal uso y fuga de información.
Integridad de datos: Las organizaciones deben tomar acciones para asegurar laconfiabilidad de la información que ellos mantienen.
Reforzamiento: Las organizaciones deben con un proceso de resolución dedisputas disponible a las personas y proveer certificaciones a agenciasreguladoras que cumplan con los principios de protección.
Investigaciones
Todo profesional de seguridad de información deberá encontrar, en un momento u otro,un incidente de seguridad que requiera investigación. En muchas casos, estainvestigación será una pequeña e informal presunción que el problema no es tan serioque ameriten tomar acciones mayores o la presencia de autoridades que refuercen laley. Sin embargo, en algunos casos, la amenaza o daño causado será tan severo querequerirá un mayor interrogatorio. Cuando esto ocurra, los investigadores deberán sercuidadosos para asegurar que se sigan procedimientos apropiados. Fallas toleradas porlos procedimientos violarían los derechos civiles de aquellos individuos investigados yresultaría en un juicio fallido o incluso se tomarían acciones legales contra elinvestigador.
Evidencia
Para ganar un juicio, los abogados deben mostrar evidencias que prueben la culpa delindividuo. En las siguientes secciones, revisaremos los requisitos que la evidencia debetener antes de ingresar a la corte, las diferentes tipos de evidencia que puedenpresentarse, y los requisitos para manejar y documentar la evidencia.
Evidencia admisible
592
Existen 3 tipos básicos de requerimientos para las evidencias que serán ingresadas enla corte. Para que sean consideradas como evidencia admisible, debe contar con los 3requisitos como lo determina el juez, previo a ser tomado en cuenta en la corte:
La evidencia debe ser relevante El hecho que la evidencia busca determinar debe ser relativo al caso. La evidencia debe obtenerse legalmente. La evidencia obtenida de manera ilegal
será no admitida.
Tipos de evidencia
Existen 4 tipos de evidencia que pueden ser usadas en la corte: evidencias reales,documentadas, testimoniales y demostrativas. Cada uno de las tipos de evidencia tienediferentes requerimientos adicionales.
Evidencia real
La evidencia real (conocido como evidencia objetiva) esta compuesto de elementos quedeben ser llevados a la corte. En procedimientos de criminalística, esto incluyeelementos como un objeto contundente, ropa, u otros objetos físicos. En un caso decrimen informático, la evidencia real puede incluir teclados con huellas digitales o undisco duro de la PC de un hacker. Dependiendo de las circunstancias, las evidenciasreales también pueden ser consideradas como evidencia irrefutable, como el ADN.
Cadena de evidencia
Las evidencias reales, como cualquier tipo de evidencia, debe cumplir losrequerimientos de relevancia, materialidad y competencia antes de ser admitidos en lacorte. Adicionalmente, este tipo de evidencia debe ser autenticado. Esto debe realizarsepor un testigo que pueda identificar un objeto como único (ej. “Ese cuchillo con minombre escrito en el, es el que el intruso tomó de la mesa de mi casa y me atacó”).
En muchos casos, no es posible para un testigo identificar un objeto en la corte. Enesos casos, una cadena de evidencias (conocido también como cadena de custodia)debe de establecerse. Esto involucra a todos aquellos que manejan evidencias –incluyendo a la policía que originalmente la recolecta, los técnicos de evidencia que laprocesan, y los abogados que la utilizan en la corte. La ubicación de las evidenciasdebe estar completamente documentada desde el momento en que fue recolectadahasta el momento en que aparece en la corte para asegurar que es la misma. Estorequiere un exhaustivo etiquetamiento de la evidencia e historiales indicando quienestuvieron acceso a la evidencia en un momento específico y las razones por las cualesrequirieron esos accesos.Cuando la evidencia es etiquetada para preservar la cadena de custodia, la etiquetadebe incluir los siguientes tipos de información:
Descripción general de la evidencia Hora, fecha y ubicación exacta de la evidencia Nombre de la persona que requiere de la evidencia Circunstancias relevantes referentes a la evidencia
Cada persona que maneja la evidencia debe firmar el registro de cadena de custodiaindicando la hora en que toman contacto con la evidencia y la hora en que entregan la
593
evidencia a la siguiente persona en la lista de la cadena de custodia. La cadena debeproveer una secuencia de eventos para llevar un registro de la evidencia desde elmomento en que fue recolectada hasta que se inicia el juicio.
Evidencia documentada
Este tipo de evidencia incluye cualquier elemento escrito llevado a corte para probaralgún hecho. Asimismo, también debe ser autenticado. Por ejemplo, si un abogadodesea presentar un log (historial) de una PC como evidencia, deben traer un testigo (ej.El administrador del sistema) a la corte para que testifique que el log fue recolectadocomo parte de una practica rutinaria del negocio y es el log que el sistema recoge.
Hay 2 reglas adicionales que se aplican específicamente a la evidencia documentada:
La regla de la mejor prueba señala que cuando un documento es usado como evidenciaen la corte, se debe presentar el documento original. Copias de la evidencia original(conocidas como evidencia secundaria) no serán aceptadas como evidencia a menosque ciertas excepciones a la regla se apliquen.
La regla de la evidencia verbal menciona que cuando un acuerdo entre partes es puestopor escrito, se asume que el documento contiene todos los términos del acuerdo yningún acuerdo vernal puede modificar lo escrito
Si la evidencia documentada cumple con la materialidad, competencia y relevancia, ytambién cumple con la regla de la mejor prueba y la regla verbal, puede que seaadmitida en la corte.
Evidencia testimonial
Se conoce como evidencia testimonial al testimonio de un testigo, ya sea verbal en lacorte o por escrito almacenado en un medio. Los testigos deben de prometer decir laverdad y deben ser concientes de lo que dicen (pueden consultar notas o audios paraayudarles a recordar los hechos). Los testigos pueden ofrecer evidencias directas:testimonios orales que prueben la verdad o falsedad de una afirmación en base a suobservación directa. La evidencia testimonial de la mayoría de testigos debe serestrictamente limitado a evidencia directa basado en las observaciones del testigo. Sinembargo, esto no aplica si un testigo ha sido aceptado por la corte como un experto encierto campo. En ese caso, el testigo debe ofrecer una opinión de experto basada enotros hechos presentados y en su conocimiento personal en determinado campo.
La evidencia testimonial no debe considerarse como rumor. Esto significa que un testigono debe atestiguar basándose en algo que alguien le comentó fuera de la corte. Loslogs de la PC que no son autenticados por un administrador de sistemas también seconsideran como rumores.
Proceso de investigación
Cuando se inicia una investigación referente a seguridad informática, se debe conformarun equipo de analistas competentes que ayuden con la investigación.
Llamado al aseguramiento de la ley
Una de las primeras decisiones que deben hacerse en una investigación es si debenllamarse a autoridades que refuercen la ley. Esto es una decisión algo complicada quedebe involucrar oficiales señor de gestión. Hay muchos factores a favor de llamar a los
594
expertos. Por ejemplo, el FBI mantiene una escuadra que combate el crimeninformático que incluye individuos con las siguientes características:
Grado en computación Trabajo previo en instituciones académicas e industria. Entrenamiento básico y avanzado en comercio Conocimiento de datos y redes de telecomunicaciones Experiencia con UNIX u otro sistema operativo
Por otro lado, existen también 2 factores que pueden causar a una empresa evitarllamar a las autoridades. En primer lugar, la investigación será pública y estoavergonzaría a la empresa. Segundo, las autoridades que refuercen la ley estánlimitadas a conducir una investigación que cumpla con el Cuarto Arreglo y otrosrequerimientos legales que no apliquen en una investigación privada.
Autorización de búsqueda
Incluso el espectador más casual de programas de crimen está familiarizado con lapregunta: ¿Cuenta con alguna autorización? El Cuarto Arreglo de la Constituciónestadounidense señala que la carga colocada sobre los investigadores debe tener unpermiso válido antes de iniciar algún tipo de investigación y los obstáculos legales paraobtener dicha autorización.
El derecho de las personas de estar seguras en sus casas, papeles y efectos, sobreinvestigaciones sin sentido, no debe ser trasgredido, y ninguna autorización debeotorgarse, basada en una causa probable, soportada en afirmaciones, queparticularmente describen el lugar a ser investigado, y las personas y elementos a serconsiderados.
Esta corrección contiene importantes medidas que guían las actividades del personal derefuerzo de la ley:
Los investigadores deben obtener autorización antes de investigar las posesionesprivadas de las personas, asumiendo que hay una expectativa razonable de privacidad.Existe un número documentado de excepciones a este requerimiento, tal como cuandola evidencia de un crimen salta a la vista, o existe un suceso amenazante que requiereuna investigación.
Las autorizaciones pueden ser emitidas basadas solo en causas probables. Debe existiralgún tipo de evidencia que un crimen ocurrió y que la investigación en cuestiónrevelará evidencia relativa al crimen. El concepto de causa probable requerido paraobtener una autorización es mas débil que el de evidencia requerida para asegurar unaconvicción. La mayoría de las autorizaciones son aprobadas basadas solamente en eltestimonio de investigadores.
Las autorizaciones deben ser específicas en su alcance. La autorización debe conteneruna descripción detallada de los límites legales de la investigación y detención.
Si los investigadores fallan en cumplir con algún detalle mínimo de lo mencionadoanteriormente, la autorización les será denegada y el resultado de la investigaciónrealizada será considerado inadmisible. Esto nos lleva a otro de aquellas expresionescoloquiales estadounidenses: “fue descalificado por un tecnicismo”.
Conduciendo la investigación
595
Si eliges no llamar refuerzos de ley, debes esperar pacientemente el proceso deinvestigación para asegurar la exactitud e imparcialidad. Es importante recordar unosprincipios claves:
Nunca conduzcas una investigación en un sistema que ha sido comprometido. Realizaun backup y utilízalo para realizar la investigación.
No intentes en tomar la justicia por tus propias manos. Puedes comprometeraccidentalmente a una tercera persona y ser considerado como sospechoso de uncrimen informático.
Normalmente, es mejor comenzar el proceso de investigación usando técnicas deentrevista informal. Esto es usado para obtener información y determinar la esencia delcaso. Cuando son identificados personas específicas, deben ser interrogados usandotécnicas de interrogación. Nuevamente, esta es un área que debe dejarse de lado si nose cuenta con una opinión legal.
Resumen
La seguridad informática necesariamente hace referencia a altos grados departicipación por parte de la comunidad legal. En este capítulo, has aprendido acerca degran cantidad de leyes que rigen situaciones de seguridad como crimen informático,propiedad intelectual, privacidad de los datos, y licenciamiento de software. Tambiénaprendimos acerca de los procedimientos que deben seguirse cuando se investiga unincidente y se recoge evidencia que más tarde puede ser admitida en la corte duranteun juicio.
A los profesionales en seguridad informática no se les espera que comprendan losdetalles de las leyes que cubren la seguridad informática. Sin embargo, el objetivoprincipal es proveer al lector de los conceptos principales de este tema. La mejorhabilidad que un candidato a CISSP debe tener es saber identificar un problema legal ysaber en qué momento contar con un abogado que se especialice en las leyesinformáticas.
Puntos esenciales del examen
Comprenden las diferencias entre ley crinimalística, ley civil, ley administrativa. La leycriminalística protege a la sociedad contra la transgresión de los principios en los cualescreemos. La violación de esta ley es castigada por el gobierno. Las leyes civilesproveen un marco de trabajo para la transacción de negocios entre personas yorganizaciones. La violación de las leyes civiles es llevada a corte y discutida por las 2partes afectadas. Las leyes administrativas son usadas por las agencias del gobiernopara poder llevar efectivamente sus actividades diarias.
Ser capaz de explicar los conceptos básicos de los grandes diseños de ley paraproteger a la sociedad del crimen informático. El acta de fraude informático y abuso,protege a las computadoras usadas por el gobierno. El acta de seguridad informáticaresalta los pasos que el gobierno debe tomar para proteger sus propios sistemas frentea ataques. El acta de reforma de la seguridad informática del gobierno desarrolla elprograma de seguridad de información del gobierno.
596
Conocer la diferencia entre copyright, marca registrada, patente e intercambio secreto.Copyright protege los trabajos propios de los autores, como libros, artículos, poemas hcanciones. Marcas registradas son nombres, logos, frases que identifican a unacompañía, producto o servicio. Las patentes proveen protección a los creadores denuevos inventos. Las leyes de intercambio secreto protegen los secretos operativos delas firmas.
Ser capaz de explicar los conceptos básicos del acta de copyright del milenio digital de1998. El acta de copyright del milenio digital prohibe la evasión de mecanismos deprotección de copia colocados en elementos digitales y limita la responsabilidad de losproveedores de servicio de Internet frente a las actividades de sus usuarios.
Conocer los conceptos básicos referentes al acta de espionaje económico de 1996. Eacta de espionaje económico provee penalidades para individuos encontrados culpablesdel robo de información secreta. Duras penas son aplicadas cuando un individuoconoce que la información va a beneficiar a un gobierno extranjero.
Comprender los diferentes tipos de licencia de software. Acuerdos contractuales sonacuerdos escritos entre un proveedor de software y el usuario. Shrink-wrap agreementsson acuerdos escritos en paquetes de software y entran en vigencia cuando el usuarioabre el paquete. Clic-wrap agreements son acuerdos incluidos en un paquete querequiere que el usuario acepte los término durante el proceso de instalación delsoftware.
Explicar el impacto del acta de transacción de información sobre licencia de software.Esta acta provee de un marco de trabajo para reforzar los acuerdos shrink-wrap y clic-wrap por el gobierno.
Comprender las restricciones colocadas sobre la exportación de hardware de altorendimiento y tecnología de encriptación fuera de los Estados Unidos. Computadoras deno tan alto rendimiento o tecnología de encriptación será exportada a países de capa 4.La exportación de hardware capaz de operar sobre los 190 000 MTOPS a países decapa 3 debe ser aprobado por el departamento de comercio. Nuevas reglas permiten lafácil exportación de software de encriptación a un mercado masivo.
Comprender las leyes que rigen la privacidad de la información personal tanto enEstados Unidos como en la Unión Europea. Estados Unidos tiene un número de leyessobre privacidad que afectan el uso de información del gobierno, así como el uso deinformación por industrias específicas, como compañías de servicios financieros yorganizaciones de cuidado de la salud, que manejan información sensible. La UniónEuropea tiene una mejor directiva sobre privacidad de los datos que regulan el uso eintercambio de información personal.
Conocer los requisitos básicos para que una evidencia sea admisible en la corte: paraser admisible, la evidencia debe ser relevante, el hecho debe ser relativo al caso, y laevidencia debe ser competente, o legalmente obtenida.
Explicar los diferentes tipos de evidencia que pueden ser usados en un juicio civil openal: evidencia real consiste de objetos que pueden ser llevados a la corte. Evidenciadocumentada consiste de documentos escritos que proveen información referente a loshechos. Evidencia testimonial consiste de declaraciones orales o escritas hechas portestigos.
Laboratorio escrito
597
Responder las preguntas sobre leyes e investigaciones:
1. ¿Cuáles son los derechos principales garantizados a los individuos bajo la directivade la Unión Europea acerca de privacidad de datos?
2. ¿Cuáles son los 3 requerimientos básicos que la evidencia debe cumplir para seradmisible en la corte?
3. ¿Cuáles son los pasos que los empleados toman para notificar a los empleadosacerca de la monitorización del sistema?
Preguntas de repaso
1. ¿Qué ley criminalística fue la primera en implementar penalidades para los creadoresde virus, gusanos y otros tipos de código malicioso que cause daño a los sistemas delas computadoras?
a. Acta de seguridad informáticab. Acta de protección de infraestructurac. Acta de fraude informático y abusod. Acta de privacidad de comunicaciones electrónicas.
598
2. ¿Qué ley requirió primero de operadores de sistemas computarizados que pasen porentrenamiento periódico en asuntos relacionados a seguridad informática?
a. Acta de seguridad informáticab. Acta de protección de infraestructurac. Acta de fraude informático y abusod. Acta de privacidad de comunicaciones electrónicas.
3. ¿Qué tipo de ley no requiere de un acta del congreso para implementarse a nivelfederal, pero que es promulgada por la rama ejecutiva en la forma de regulaciones,políticas y procedimientos?
a. Ley criminalb. Ley comúnc. Ley civild. Ley administrativa
4. ¿Qué agencia del gobierno tiene responsabilidad en asegurar la seguridad de lossistemas computarizados del gobierno que no son usados para procesar informaciónsensible y/o clasificada?
a. Agencia de seguridad nacionalb. FBIc. Instituto nacional de estándares y tecnologíad. Servicio secreto
5. ¿Cuál es la categoría más amplia de sistemas de computadora protegidos por el actade fraude computarizado y abuso?
a. Sistema propio del gobiernob. Sistema de interés federalc. Sistemas usados en comercio entre estadosd. Sistemas ubicados en los EE.UU.
6. ¿Qué ley protege los derechos de los ciudadanos a la privacidad a través derestricciones a la autoridad concedida a las agencias de gobierno para investigarresidencias privadas e instalaciones?
a. Acta de privacidadb. Cuarta mejorac. Segunda mejorad. Acta Gramm-Leach-Bliley
7. Matthew es autor de un algoritmo innovador para resolver un problema matemático yél desea compartirlo con el mundo. Sin embargo, antes de publicar el código delsoftware en un diario técnico, el prefiere obtener alguna protección de propiedadintelectual. ¿Cuál es el mejor tipo de protección para sus necesidades?
a. Copyrightb. Trademarkc. Pantented. Trade secret
599
8. Mary es la cofundadora de Acme Widgets, una firma de manufacturas. Junto con susocio, Joe, ella ha desarrollado un aceite especial que mejorará drásticamente elproceso de manufactura de widgets. Para mantener la fórmula en secreto, Mary y Joe,planean hacer grandes cantidades del aceite por sus propios medios en la plantadespués que los trabajadores se han ido. Ellos quisieran proteger esta fórmula tantocomo sea posible.
a. Copyrightb. Trademarkc. Pantented. Trade secret
9. Richard ha creado un nombre para un nuevo producto al cual se lo piensa poner deinmediato. Él conversó con su abogado y lleno apropiadamente el formulario paraproteger el nombre del producto pero aún no ha recibido una respuesta del gobiernorelacionada a su pedido. ¿Qué símbolo debe usar junto al nombre para indicar su estadprotegido?
a. ©b. ®c. ™d. †
10. ¿Qué ley previene que las agencias del gobierno den a conocer informaciónpersonal que un individuo provee al gobierno bajo circunstancias protegidas?
a. Acta de privacidadb. Acta de privacidad de comunicaciones electrónicasc. Acta de portabilidad de seguros de salud y contabilidadd. Acta Gramm-Leach-Bliley
11. ¿Qué ley formaliza muchas licencias usadas por la industria del software e intentaestandarizar su uso de estad en estado?
a. Acta de seguridad informáticab. Acta de transacciones de información uniformec. Acata de copyright del milenio digitald. Gramm-Leach-Bliley
12. El acta de protección de la privacidad de los niños en línea fue diseñada paraproteger la privacidad de los niños que usan Internet. ¿Cuál es la mínima edad que unniño debe tener antes que las compañías puedan recoger información personal de ellossin el consentimiento de sus padres?
a. 13b. 14c. 15d. 16
13. ¿Cuál de las siguientes afirmaciones no es un requerimiento que los Proveedoresde servicio de Internet deben satisfacer para obtener protección bajo la cláusula deactividades transitorias del acta de copyright del milenio digital?
600
a. El proveedor del servicio y el origen del mensaje deben estar ubicados endiferentes estados.
b. La transmisión, ruteo, provisión de conexiones, o copia debe llevarse a cabo porun proceso automatizado sin selección de material por parte del proveedor deservicios.
c. Toda copia intermedia no debe ser accedida por nadie salvo por el receptor y nodebe ser retenida por largos periodos.
d. La transmisión debe ser originada solo por el proveedor.
14. ¿Cuál de las siguientes leyes no fue diseñada para proteger los derechos deprivacidad de los consumidores y usuarios de Internet?
a. Acta de portabilidad de seguro de salud y contabilidadb. Acta de presunción de robo de identidad y prevenciónc. Acta patriota de EE.UU.d. Acta Gramm-Leach-Bliley
15. ¿Cuál de los siguientes tipos de licencia es más conocido porque no requiereque el usuario tome acciones para asegurar que han leído el acuerdo antes deejecutarlo?
a. acuerdo de licencia estándarb. acuerdo shrink-wrapc. acuerdo clic-wrapd. acuerdo verbal
16. ¿Qué industria recibe un mayor impacto por el acta Gramm-Leach-Bliley?
a. Cuidado de saludb. Bancac. Reforzamiento de leyd. Defensa de contratista
17. ¿Cuál es la duración estándar de la protección de la patente en EE.UU.?
a. 14 años desde la fecha de la aplicaciónb. 14 años desde el día en que la patente es otorgadac. 20 años desde la fecha de aplicaciónd. 20 años desde el día en que la patente es otorgada
18. ¿Cuál de las siguientes afirmaciones no es una razón legal válida para procesarinformación acerca de un individuo bajo la directiva de privacidad de datos de laUnión Europea?
a. Contratistab. Obligaciones legalesc. Necesidades de marketingd. Consentimiento
601
19. ¿Qué tipo de evidencia debe ser autenticado por un testigo que puedaidentificarla de manera única o a través del a cadena de custodia?
a. Evidencia documentadab. Evidencia testimonialc. Evidencia reald. Rumor
20. ¿Qué principio de evidencia señala que un acuerdo escrito contiene todos lostérminos de un acuerdo?
a. Evidencia materialb. Mejor evidenciac. Evidencia verbald. Evidencia relevante
Respuesta a las preguntas de repaso
602
1. C. El acta de fraude informático y abuso, provee penalidades civiles y delictivas paraaquellos condenados por usar virus, gusanos, troyanos, y otros tipos de códigomalicioso para causar daño a sistemas computarizados.
2. A. El acta de seguridad computarizada requiere entrenamiento periódico para todaslas personas involucradas en la administración, uso u operación de computadorasfederales que contienen información sensible.
3. D. Las leyes administrativas no requieren un acta de la rama legislativa paraimplementarse al nivel federal. Las leyes administrativas se componen de políticas,procedimientos, y regulaciones promulgadas por las agencias de la parte ejecutiva delgobierno. Si bien no se requiere un acta del congreso, estas leyes son sujeto de revisiónjudicial y deben cumplir con las leyes civiles y delictivas promulgadas por la partelegislativo.
4. C. El instituto nacional de estándares y tecnología está cargado con la administraciónde la seguridad de todos los sistemas de computadoras que no son usadas paraprocesar información sensible. La agencia de seguridad nacional (parte deldepartamento de defensa) es responsable de la gestión de esos sistemas que procesaninformación clasificada y/o sensible.
5. C. El acta original de fraude informático y abuso de 1987 cubrió solo los sistemasusados por el gobierno e instituciones financieras. El acta fue ampliada en 1986 paraincluir todos los sistemas de interés. El acta de correcciones de abusos informáticos de1994 corrige la CFAA para cubrir todos los sistemas que son usados entre estados,cubriendo una gran parte de los sistemas computarizados de EEUU.
6. B. La cuarta corrección a la constitución rige la causa probable que los oficiales querefuerzan la ley deben seguir cuando conducen investigaciones y decomiso depropiedad privada. También señala que aquellos oficiales deben obtener un permisoantes que obtengan acceso a dicha propiedad.
7. A. La ley de Copyright es el único tipo de protección de propiedad intelectualdisponible para Matthew. Cubre solo el código que Matthew usó. No cubre el proceso oideas detrás del software. La protección por trademark no es apropiada para estasituación. La patente no aplica a algoritmos matemáticos. Matthew no puede buscarprotección de secreto porque piensa publicar el algoritmo en un diario.
8. D. Mary y Joe deben tratar la fórmula de aceite como un secreto. Mientras ellos nodivulguen la fórmula, la pueden mantener como un secreto indefinido de la compañía.
9. C. El nombre del producto de Richard debe protegerse baja la ley de trademark.Hasta que su registro sea aprobado, el puede usar el símbolo ™ junto a este parainformar a los demás que está protegido bajo la ley de trademark. Una vez que suaplicación es aprobada, el nombre se convierte en una marca registrada y Richarddeberá usar el símbolo ®.
10. A. El acta de privacidad de 1974 limita las formas que las agencias de gobiernopuedan usar la información que ciudadanos entregaron e ellos bajo ciertascircunstancias.
11. El acta de transacciones de información computarizada (UCITA) pretendeimplementar un marco de trabajo estándar de leyes relacionadas con transaccionesinformáticas a ser adoptadas en todos los estados. Uno de los puntos tocados con laUCITA es la legalidad de varios tipos de licencias de software.
603
12. A. El acta de protección de la privacidad de los niños en línea (COPPA) proveeseveras penas para aquellas compañías que recogen información de niños sin elconsentimiento de sus padres. La COPPA señala que este consentimiento debe serobtenido de los padres de los niños debajo de los 13 años.
13. A. El acta de copyright del milenio digital no incluye ningún área geográfica paraproteger bajo las actividades transitorias. Las otras opciones son 3 de los 5requerimientos obligatorios. Los otros 2 requerimientos son que los proveedores deservicios no deben determinar el receptor del material y el material debe ser transmitidosin modificaciones en su contenido.
14. C. El acta patriota de EEUU. fue adoptada luego del ataque del 9/11. Esta actaextiende los poderes del estado para monitorear las comunicaciones entre ciudadanos yesto debilita los derechos de privacidad de los consumidores y usuarios de Internet. Lasotras leyes mencionadas contienen elementos para fortalecer los derechos deprivacidad del individuo.
15. B. Las licencias Shrink-wrap se volvieron efectivas cuando los usuarios abren unpaquete de software. Los acuerdos Clic-wrap requieren que el usuario de varios clicdurante el proceso de instalación. Licencias estándares requieren que el usuario firmeun acuerdo escrito previo a usar el software. Acuerdos verbales nos son normalmenteusados para licenciar software pero también requiere grandes niveles de participaciónpor parte del usuario.
16. B. El acta Gramm-Leach-Bliley provee regulaciones referentes a la manera en queinstituciones financieras pueden manejar información privada relativa a sus clientes.
17. C. La ley de patentes de EEUU. provee de un periodo de 20 años comenzando en elmomento en que la patente es enviada a la oficina de patentes y marcas registradas.
18. C. Las necesidades de marketing no son válidas para procesar informaciónpersonal, como se define en la directiva de privacidad de la Unión Europea.
19. C. Evidencia real debe ser identificada como única por un testigo o autenticada através de una cadena de custodia.
20. C. La regla del rumor señala que en un acuerdo escrito se consideran todos lostérminos de un acuerdo u no puede ser modificado por algún acuerdo verbal.
Respuestas al laboratorio escrito
1. Las personas tienen derecho a acceder a los registros que se tienen acerca de ellos yconocer el origen de los datos en esos registros. Ellos también tienen el derecho acorregir registros erróneos. Las personas tienen el derecho de mantener elconsentimiento de los procesadores de datos y tienen los recursos legales i estosderecho son violados.
2. Para ser admisible, la evidencia debe ser confiable, competente y referente al caso.
3. Algunos pasos que los empleadores toman para notificar a los empleados acerca delmonitoreo incluyen cláusulas en los contratos que mencionan que el empleado no debetener expectativas de privacidad mientras utilizan los equipos de la corporación, avisos
604
de logueo que advierten que todas las comunicaciones son sujetos a monitorear, yetiquetas de aviso en computadoras y teléfonos avisan sobre el monitoreo.
605
Incidentes y ÉticasLOS TÓPICOS DEL EXAMEN CISSPCUBIERTOS EN ESTE CAPÍTULOINCLUYEN:
Las principales categorías en crimen decomputación
Dirección del Incidente
Ética Incident Handling
Con formato: Fuente: 14 pto, Negrita
Con formato: Fuente: 14 pto, Negrita
606
En este capítulo, continuaremos la discusión del Capítulo 17analizando los dominios de la ley, investigación y ética delCommon Body of Knowledge (CBK) para el examen de
certificación de CISSP.Este dominio trata con temas y tópicos relacionados con las leyes de crímenes decomputación y regulaciones, técnicas investigativas usadas para determinar si se hacometido un crimen de computadoras y para coleccionar evidencias cuando seaapropiado, también sobre temas de éticas y códigos de conductas para los usuarios decomputadoras.El primer paso para decidir como responder a un ataque, es saber como y cuando aocurrido el ataque. Uno debe de saber determinar que un ataque está ocurriendo o haocurrido antes de encaminar alguna acción. Una vez que se ha determinado que aocurrido una incidencia el siguiente paso es conducir una investigación y recolectarevidencia para descubrir que ha ocurrido y determinar la extensión de los daños que sepueden haber realizado. Uno debe de asegurarse que esta investigación está deacuerdo con las leyes locales y las prácticas.
Crímenes de computadoras más comunes
Hay muchas maneras de atacar los sistemas de las computadoras y muchasmotivaciones para hacerlo. Los trabajadores en seguridad de sistemas ubican el crimende computadoras en varias categorías. Simplemente colocan, un crimen decomputadora es un crimen (o violación a las regulaciones de la ley) que involucra unacomputadora. El crimen puede ser en contra de la computadora, o la computadorapuede haber sido o la computadora se habría podido utilizar en la comisión real delcrimen. Cada una de las categorías de los delitos informáticos representa el propósitode un ataque y de su resultado previsto.Cualquier individuo que viola una o más de una política de seguridad es considerado unatacante.Un atacante utiliza diversas técnicas para alcanzar una meta específica. Entender lasmetas ayuda a clarificar los diversos tipos de ataques. Recordar que el crimen escrimen, y las motivaciones detrás del delito informático no es diferente a lasmotivaciones detrás de cualquier otro tipo de crimen.La única verdadera diferencia puede estar en los métodos que los atacantes utilizanpara realizar sus objetivos. El crimen informático está generalmente clasificado por losiguiente:
Ataque Militar y de Inteligencia Ataques Financieros Ataques terroristas Ataques maliciosos Ataques por diversión
607
Es importante entender las diferentes categorías sobre crimen informático para poderentender mejor como debemos de proteger nuestro sistema y reaccionar cuando losataques ocurran. La cantidad y el tipo de evidencia dejado por el atacante generalmentedependen de la experiencia del mismo. En las siguientes secciones discutiremos sobrelas diferentes categorías de crímenes informáticos y que tipos de evidencias se podránencontrar después de un ataque. La evidencia puede ayudarnos a determinar que fue loque hizo el atacante y cual fue el objetivo principal de su ataque. Puede encontrar quesu sistema o computadora sólo fue un eslabón en la cadena de computadoras o redespara alcanzar a la víctima verdadera y esto posiblemente haga el camino más difícilpara encontrar al atacante.Ataques Militares y de InteligenciaLos ataques militares y de inteligencia son lanzados básicamente para obtenerinformación secreta y restringida de fuentes militares, tecnológicas o legales. Acceso atal información puede comprometer investigaciones, interrumpir el planeamiento militar,y amenazar la seguridad nacional. Los ataques para recolectar la información militar ootra inteligencia sensible preceden a menudo otros, ataques más perjudiciales.Un atacante puede estar buscando la siguiente clase de información:
Información descriptiva militar de cualquier tipo, incluyendo la información deldespliegue, la información de la preparación, y órdenes de los planes de batalla.
Información secreta de inteligencia reunida para leyes o propósitos militares. Descripciones y localizaciones del almacenaje de la evidencia obtenidas en una
investigación criminal. Cualquier información secreta que puede ser utilizada después en algún otro
ataque.
Debido a la delicada información que utilizan las agencias militares y de inteligencia, sussistemas y computadoras son constantemente un atractivo objetivo de los ataques paralos atacantes expertos. Para protegerse de una mayor cantidad de atacantes, uno va aencontrar generalmente mayor cantidad de políticas de seguridad en sistemas, lugareso equipos que tengan dicha clase de información. Como aprendimos en el capítulo 5,“Conceptos y principios para la administración de seguridad”, la información puede serclasificada de acuerdo a la sensibilidad de la misma y al almacenamiento de seguridadrequerido. Es común encontrar perímetros de seguridad marcados así como tambiéncontroles internos para acceder a documentos clasificados en los sistemas de agenciasmilitares o de inteligencia.Puedes estar seguro que los ataques serios para adquirir la información de los militareso de la inteligencia son realizados por los profesionales. Los atacantes profesionalesson generalmente muy cuidadosos en cubrir sus pistas. Hay generalmente evidenciamuy pequeña a recoger después de tal ataque. Los atacantes en esta categoría son losmás acertados y satisfechos cuando nadie se entera que ocurrió un ataque.
Ataques a NegociosLos ataques a negocios generalmente se enfocan en obtener ilegalmente informaciónilegal de la organización. Esta podría ser la información que es crítica para la operaciónde la organización, tal como una receta secreta, o información que podría dañar lareputación de la organización si se encuentra divulgada, por ejemplo la informaciónpersonal sobre sus oficiales. La reunión de la información confidencial de uncompetidor, también llamado espionaje industrial no es un nuevo fenómeno. Losnegocios han utilizado medios ilegales para adquirir la información competitiva pormuchos años. La tentación de robar los secretos y la facilidad de un competidor con loscuales un atacante listo puede comprometer algunos sistemas informáticos para extraerlos archivos que contienen la investigación valiosa o la otra información confidencialpuede hacer este tipo de ataque muy atractivo. La meta de los ataques del negocio essolamente extraer la información confidencial. El uso de la información recolectadadurante el ataque causa generalmente más daño que el ataque en sí mismo.
608
Un negocio que ha sufrido un ataque de este tipo, puede ponerse en una situación de lacual no se recupere. Está en ti como profesional de seguridad asegurarse de que lossistemas que contienen datos confidenciales sean seguros. Además, una política debeser desarrollada para manejar tal intrusión si es que ocurriera.(Para más información sobre políticas de la seguridad, ver el capítulo 6, “el valor de losactivos, las políticas, y los papeles.”)
Ataques FinancierosLos ataques financieros se realizan para obtener ilegalmente el dinero o servicios. Sonel tipo de delito informático que se oye con mayor frecuencia. La meta de un ataquefinanciero puede ser aumentar el equilibrio en una cuenta bancaria o poner llamadastelefónicas interurbanas “libres”. Probablemente ha escuchado hablar de los individuosque se quebraban las computadoras de la compañía telefónica y que ponían llamadaslibres. Este tipo de ataque financiero se llama quebrantando el teléfono.Robo de tiendas y vandalismo son ejemplos de ataques financieros. Uno puededeterminar la sofisticación del atacante por la cantidad de daños en efectivo que realizó.Los atacantes menos sofisticados buscan objetivos más sencillos y aunque lo dañoseconómicos sean mínimos estos pueden aumentar con el pasar del tiempo. Los ataquesfinancieros lanzados por los atacantes sofisticados pueden dar lugar a dañossubstanciales. Aunque la infiltración al teléfono hace a la compañía telefónica perder elcrédito de las llamadas realizadas, los ataques financieros serios pueden dar lugar apérdidas que ascienden a millones de dólares. Según los ataques descritospreviamente, la facilidad con la que puedas detectar un ataque y seguir al atacantedepende en gran parte al nivel de habilidad del atacante.
Ataques terroristasLos ataques terroristas son una realidad en muchas diversas áreas de nuestrasociedad. Nuestro aumento de confianza en los sistemas de información, hace cada vezmás atractivo el ataque para los terroristas. Estos ataques son diferentes a los ataquesmilitares y de inteligencia. El propósito de un ataque terrorista es interrumpir la vidanormal, mientras que un ataque militar o de inteligencia se diseña para extraer lainformación secreta.El acopio de la Inteligencia precede generalmente a cualquier tipo de ataque terrorista.Los mismos sistemas que son víctimas de un ataque terrorista fueron comprometidosprobablemente en un ataque anterior para recoger información. Mientras más diligenteseas en la detección de ataques de cualquier tipo, mejor preparado deberás estar paraintervenir antes de que ocurran ataques más serios.Los blancos posibles de un ataque terrorista de tecnologías podrían ser los sistemasque regulan centrales eléctricas o controlan telecomunicaciones o la distribución deenergía. Tales controles y sistemas reguladores son automatizados y vulnerables a laacción del terrorista. De hecho, existe la posibilidad de un ataque físico y automatizadosimultáneamente del terrorista. Nuestra capacidad de responder a tal ataque seríadisminuido enormemente si el ataque físico fue lanzado simultáneamente con un ataqueinformático diseñado para golpear hacia fuera energía y comunicaciones.La mayoría de las compañías de energía grandes y de telecomunicaciones tienenpersonal especializado en la seguridad, para asegurar sus sistemas, pero muchasempresas pequeñas que tienen sistemas conectados con Internet son vulnerables a losataques. Debes supervisar minuciosamente tus sistemas para identificar cualquierataque para después responder rápidamente al mismo.
609
Ataques MaliciososLos ataques maliciosos son los ataques que se realizan para dañar a una organizacióno a una persona. Los daños pueden ser la pérdida de capacidades o de daño de lainformación o del tratamiento de la información a la organización o a la reputación deuna persona. La motivación detrás de un ataque malicioso es generalmente unasensación de resentimiento, y el atacante podría ser un empleado actual o anterior oalguien al que desean mala voluntad sobre una organización. El atacante estácontrariado con la víctima y toma hacia fuera su frustración bajo la forma de ataquemalicioso.Un empleado que se ha molestado recientemente es un ejemplo típico de una personaque puede realizar un ataque malicioso para “vengarse” de la organización. Otroejemplo es una persona que ha sido rechazado por otra persona dentro de la empresa.La persona rechazada pudo lanzar un ataque para destruir datos sobre el sistema de lavíctima.La política de seguridad debe tratar el potencial de ataques de los empleadoscontrariados. Por ejemplo, tan pronto como despidan a un empleado, todo el acceso delsistema de ese empleado debe ser eliminado. Esta acción reduce la probabilidad de unataque malicioso y quita las cuentas posibles de acceso que pueden ser utilizadas enlos ataques futuros.Aunque la mayoría de los atacantes maliciosos son apenas personas contrariadas concapacidades cortas y limitadas, algunos poseen habilidades para causar dañosubstancial. Un cracker infeliz puede ser un laborioso para los profesionales de laseguridad. Hay que tomar cuidado extremo cuando una persona con capacidad yconocimientos para hacer daño deja tu compañía. En el menor de los casos, debesrealizar un gravamen de la vulnerabilidad de todos los sistemas a los que la personapodría tener acceso. Puedes ser sorprendido al encontrar una o más “puertas traseras”dejados en el sistema. Pero inclusive en ausencia puertas traseras, el empleadoanterior que esté al corriente de la arquitectura técnica de la organización pueda saberexplotar sus debilidades.Los ataques maliciosos pueden ser devastadores si la seguridad no es ardua. Lossistemas de supervisión y acceso de sistemas para las vulnerabilidades son la mejorprotección para la mayoría de los ataques maliciosos.
Ataques por diversiónLos ataques por diversión son los ataques que los crackers con pocas habilidadesverdaderas lanzan. Los atacantes que carecen de capacidad para idear sus propiosataques descargan a menudo los programas que hacen el trabajo para ellos. Estosatacantes a menudo se llaman los “script kiddies” porque corren solamente programasde otros, o scripts, para lanzar un ataque. La motivación principal detrás de ataques dela diversión es la emoción de entrar a un sistema. Si eres la víctima de un ataque pordiversión, la incidencia más común que sufrirás es una interrupción del servicio. Aunqueun atacante de este tipo puede destruir datos, la motivación principal es infiltrarse en unsistema y quizás utilizarlo para lanzar un ataque contra otra víctima.
610
EvidenciaEl capítulo 17 cubre los tópicos sobre la evidencia. Recuerda que el término evidenciaes referido a cualquier software y hardware o información que puedes usar para probarla identidad y acciones de un atacante. Asegúrate que entendiste adecuadamente elmanejo y colección de la evidencia después de un ataque.La capacidad de recuperar daños en una corte legal puede depender solamente de tuprocedimiento durante el proceso de la colección de la evidencia. De hecho, tucapacidad de determinar el grado de un ataque depende de tu evidencia. Cuando se haidentificado un ataque, debes comenzar el proceso de la colección de la evidencia.Asumir siempre que un ataque dará lugar a una batalla legal. Es más fácil tomar elproceso de la colección de la evidencia seriamente desde el principio que realizarlo másadelante cuando un ataque más severo que el primero lo alcance y decida retomar lospasos. Después de la colección estándar de la evidencia los procedimientos deben deasegurar de que conduzcas tu investigación de una manera ordenada y científica. Lamayoría de los ataques dejan evidencia de una cierta clase. Sin embargo, los atacantesprofesionales pueden no dejar evidencia o que sea tan sutil que es difícil o imposibleencontrar. Otro problema con evidencia es que es a menudo sensible al transcurso deltiempo. Tus registros corren periódicamente y se pierde la vieja información. ¿Sabes lafrecuencia de tus rutinas de la limpieza de los registros? Algunos ataques dejan rastrosen memoria. El bulto de la evidencia será perdido cuando quitas energía en el sistema.Cada medida que tomas al recoger evidencia debe ser conversado y biendocumentado. Debes saber como es el fondo de tu sistema y como funciona de unmodo normal. Sin este conocimiento, será demasiado difícil reconocer un ataque osaber dónde buscar para obtener evidencia valiosa. Los profesionales experimentadosde la seguridad aprenden cómo funcionan sus sistemas sobre una base diaria y atrabajar con las operaciones regulares del sistema. Mientras más sepas de tussistemas, más conocimiento tendrás de un ataque de fuera.
Dirección del IncidenteCuando ocurre un incidente, debes manejarlo de una forma que se amolde a tu políticade seguridad y este acorde con leyes y regulaciones locales. El primer paso en lamanipulación de un incidente es reconocer correctamente cuando ocurre uno. Inclusoantes del estado del reconocimiento, necesitas entender claramente que es un incidentey cual es el que ocurrió. Tu política de seguridad debe tener definidos los incidentesmás comunes, pero la definición general del incidente es una violación o la amenaza deuna violación de tu política de seguridad. La razón más común por la cual no sereportan los incidentes, es porque estos no han sido identificados. Tú podrías tenermuchas violaciones de la política de la seguridad al transcurrir cada día, pero si notienes una manera de identificarlos, nunca lo sabrás. Por lo tanto, tu política deseguridad debe identificar y enumerar todas las violaciones y maneras posibles dedetectarlas. Es también importante poner al día tu política de seguridad como nuevostipos de violaciones y ataques emergentes. ¿Qué haces cuando encuentras que haocurrido un incidente? depende del tipo de incidente y alcance del daño. La ley dictaque algunos incidentes deben ser divulgados, como aquellos que impactancomputadoras federales o del gobierno (una computadora de interés federal es una quees utilizada por las instituciones financieras y por los sistemas de infraestructuras talescomo sistemas de agua y de energía) o ciertas transacciones financieras, sin importar lacantidad de daño. Después, miraremos algunos de los diversos tipos de incidentes y derespuestas típicas.
611
Tipos comunes de incidentesDiscutimos los diversos tipos de ataques en el capítulo 2. Un incidente ocurre cuando elataque, o la violación de una política de seguridad se realiza contra tu sistema. Haymuchas maneras de clasificar incidentes; aquí está una lista general de categorías:
Exploración Compromisos Código Malicioso Negación del servicio
Estas cuatro áreas son los puntos de entrada básicos para que los atacantes afecten unsistema. Debe centrarse en cada una de estas áreas para crear una estrategia desupervisión eficaz que detecte incidentes del sistema. Cada área del incidente tienefirmas representativas que pueden indicar a un administrador mediante una alerta en laseguridad que ha ocurrido un incidente. Debes cerciorarte de saber tu ambiente delsistema operativo y donde buscar las muestras indicadoras de cada tipo de incidente.
ExploraciónAtaques por exploración son los incidentes que indican generalmente que otro ataquees posible. Atacantes recopilarán tanta información sobre tu sistema como sea posibleantes de lanzar un ataque dirigido. Buscar cualquier actividad inusual en cualquierpuerto o dirección única. Un alto volumen del Simple Network Management Protocol(SNMP) los paquetes pueden señalar una exploración sistemática de tu sistema.Recordar que simplemente la exploración de tu sistema, no es ilegal. Es similar a“chequear” a un vecino antes de un robo con allanamiento de morada. Puede indicarque la actividad ilegal seguirá, así que es una buena idea para tratar exploracionescomo incidentes y recoger la evidencia de explorar actividad. Puedes encontrar que laevidencia que recoges del sistema está explorada, entonces podría ser el acoplamientonecesario más adelante para encontrar al responsable del ataque más reciente. Porquela exploración es una ocurrencia tan común, debes definitivamente automatizarevidencia de colección. Instalar tu cortafuego para registrar el tráfico del SNMP y paraarchivar tus ficheros diarios. Los registros pueden llegar a ser relativamente grandes,pero ése es el precio que pagas para conservar la evidencia.
CompromisoPara un sistema que contiene información sensible, un compromiso podría ser elincidente más serio. Un sistema compromiso es cualquier acceso desautorizado alsistema o a la información almacenada en tu sistema. Un compromiso puede originarsedentro o fuera de la organización. Para poner peor el panorama, un compromiso puedevenir de un usuario válido. Un uso desautorizado de un user-id válido es justo tanto unincidente de compromiso como una cracker experimentado que corrompe desde elexterior. Los compromisos del sistema pueden ser muy difíciles de detectar. Lo máscomún, el guardián de los datos nota algo inusual sobre los datos. Podría faltar, sealteró, o se movió; los grupos fecha/hora podían ser diferentes; o es algo incorrecto.Cuanto más sabes sobre la operación normal de tu sistema, estarás mejor preparado ydetectarás el comportamiento anormal del sistema.
612
Código MaliciosoCuando código malévolo se menciona, tú piensan probablemente en virus. Aunque unvirus es un campo común tipo de código malévolo, es un tipo de varios. (En el capítulo4, “seguridad de comunicaciones y las contramedidas,” discutimos diversos tipos decódigo malévolo.) La detección de este tipo de un incidente malévolo del código viene ode un usuario final que divulga el comportamiento causado por el código malévolo o seha encontrado una alerta automatizada divulgando a eso el código explorado quecontenía un componente malévolo. La manera más eficaz de proteger tu sistema contracódigo malévolo es poner código en ejecución los exploradores y mantienen la base dedatos de la firma actualizada. Además, tu política de la seguridad debe tratar laintroducción del código exterior. Ser específico en cuanto a qué código no prohibirás ausuarios finales a la instalación.
Negación del servicioEl tipo final de incidente es la negación del servicio (DOS). Este tipo de incidente es amenudo el más fácil de detectar. Un usuario o una herramienta automatizada divulgauno o más servicios (o la máquina entera) es inasequibles. Aunque es simple detectar,evitarlo es una línea de buenas prácticas difíciles de implementar. Es teóricamenteposible alterar dinámicamente reglas del cortafuego para rechazar tráfico de la red delDOS, pero estos últimos años la sofisticación y la complejidad de los ataques del DOShacen ellas extremadamente difíciles de defender contra. Porque hay así que muchasvariaciones del ataque del DOS, poner esta estrategia en ejecución es una tarea notrivial.
Investigación de los ataques de Negación-de-Servicio de Gibson: ¿Diversión oresentimiento?
Steve Gibson es un buen conocedor sobre desarrollo de software y personal IT de laindustria para las cuales alta visibilidad deriva no sólo de los productos altamentemirados asociados a su compañía, investigación de Gibson, pero también a partir desus muchos años como columnista vocal y abierto Mundo de computadoracompartimiento. Estos últimos años, él ha hecho absolutamente activo en el campo dela seguridad de la computadora, y su sitio ofrece servicios libres de la exploración de lavulnerabilidad y una variedad de remiendos y de arreglos para las vulnerabilidades delsistema operativo. Él funciona un Web site en http://grc.com ése ha sido el tema denegación bien documentada numerosa de los ataques del servicio. Es interesanteespecular si tales ataques están motivados cerca envidian (es decir, por los queintentan avanzar sus reputaciones rompiéndose en un punto obvio y probablementebien-defendido del ataque) o por la diversión (es decir, por ésos con exceso de tiempoen sus manos que pudieron intentar para probarse contra un adversario digno sinnecesariamente contar con ningún aumento con excepción de notoriedad de susacciones). El Web site de Gibson de hecho ha estado conforme a la negación biendocumentada dos de los ataques del servicio que puedes leer alrededor detalladamenteen su sitio:_“Distributed Reflection Denial of Service,” Febrero 22, 2002,http://grc.com/dos/drdos.htm_“The Strange Tale of the Denial of Service Attacks Against GRC.COM,” últimaactualización Marzo 5, 2002,http://grc.com/dos/grcdos.htm
613
Aunque se parecen sus discusiones anónimas subsecuentes con uno de los autoresimplicados para indicar que el motivo para algunos de estos ataques era daños de ladiversión más bien que del negocio o actuando en un resentimiento, estos informes sonfascinantes debido al modelo excelente que proporcionan para el incidente que dirige yque divulga. Estos documentos contienen una breve sinopsis de los síntomas y de lacronología de los ataques eso ocurrido, junto con el cortocircuito y arreglos y cambiosdel largo plazo decretados para prevenir repeticiones. También tensionan la importanciacrítica de la comunicación con los abastecedores de servicio que infraestructuras sepueden implicar en ataques mientras que están en curso. Qué está diciendoextremadamente alrededor El informe de Gibson sobre la negación de los ataques delservicio es que él experimentó 17 horas del tiempo muerto porque él no podíaestablecer el contacto con un ingeniero bien informado, competente en el suyo elabastecedor de servicio que podría ayudar a definir las clases derechas de tráfico sefiltra al stymie que las inundaciones del tráfico que caracterizan la negación del servicioatacan. El análisis de Gibson también indica su minuciosidad en analizar las fuentes dela negación distribuida de los ataques del servicio y en la documentación de lo que élllama “un perfil exacto del tráfico malévolo que es generado durante estos ataques.”Esta información permitió que su ISP definiera un sistema de los filtros que bloquearonmás lejos tal tráfico de transiting los acoplamientos finales T1 del Internet ServiceProvider de Gibson a sus servidores. Pues su experiencia prueba tan concluyente, elreconocimiento, analizar, y caracterizar de ataques es absolutamente esenciales paradefinir los filtros u otras contramedidas que pueden bloquearlas o derrotar.
Equipos de respuestaMuchas organizaciones ahora tienen un equipo dedicado responsable de investigarcualquier incidente de la seguridad de la computadora que ocurra. Conocen a estosequipos comúnmente como los equipos de la respuesta del incidente de la computadora(CIRTs) o equipos de la respuesta del incidente de la seguridad de la computadora(CSIRTs). Cuando ocurre un incidente, el equipo de la respuesta tiene cuatroresponsabilidades primarias:
Determinar la cantidad del daño causado por el incidente Determinar si es que información confidencial fue comprometida durante el
incidente Implementar cualquier procedimiento de recuperación necesario para restaurar
la seguridad y recuperarse de los daños del incidente. Supervisar la implementación de cualquier seguridad adicional necesaria para
mejorar la seguridad y prevenir una repetición del incidente.
Como parte de estos deberes, el equipo debe facilitar a revisión post mortem delincidente dentro una semana de la ocurrencia para asegurarse de que los jugadoresdominantes en el incidente compartan su conocimiento y desarrollen las mejoresprácticas de asistir a los esfuerzos futuros de la respuesta del incidente.
Actividades sospechosas y anormalesLa llave a identificar incidentes es identificar cualquier actividad anormal o sospechosa.Esperanzadamente, cualquier actividad sospechosa también será anormal. La únicamanera de identificar comportamiento anormal es saber qué comportamiento normalparece. Cada sistema es diferente. Aunque puedes detectar muchos los ataques porsus firmas características, los atacantes experimentados saben “volar debajo del radar.”Debes estar muy enterado de cómo tu sistema funciona normalmente.
614
Anormal o sospechosas actividades son cualquier actividad del sistema que no ocurranormalmente en tu sistema. Un atacante con un de alto nivel de habilidades tienegeneralmente poco impacto obvio en tu sistema. El impacto estará allí, pero puede serque tome habilidad substancial para detectarla. No es infrecuente que los atacantesexperimentados substituyan el sistema operativo común que supervisa utilidades por lascopias que lo hacen no divulgar actividad del sistema correctamente. Aun cuandopuedes sospechar que un incidente está en marcha e investigas, tú no puedes verninguna actividad inusual. En este caso, la actividad existe pero se ha ocultado deladministrador ocasional. Utilizar siempre las fuentes múltiples de datos al investigar unincidente. Ser sospechoso cualquier cosa eso no tiene sentido. Asegurarte de quepuedas explicar claramente cualquier actividad que veas no eres normal para tusistema. Si apenas “no se siente” derecho, podría ser la única pista que tienes queintervenir con éxito en un incidente en curso.
Confiscando equipos, software e Información
Una vez que te determines que ha ocurrido un incidente, el paso siguiente es elegir unalínea de conducta. Tu política de la seguridad debe especificar pasos para tomar paralos varios tipos de incidentes. Proceder siempre con la asunción que un incidenteterminará para arriba en una corte de la ley. Tratar cualquier evidencia que recojascomo si deba pasar estándares de la admisibilidad. Una vez que corrompas evidencia,no hay parte posterior. Debes asegurarse de que la cadena de la evidencia estémantenida. Es común confiscar el equipo, el software, o datos para realizar unainvestigación apropiada. La manera de la cual se confisca la evidencia es importante. Laincautación de la evidencia se debe realizar en una manera apropiada. Hay tresalternativas básicas. Primero, la persona que posee la evidencia podría voluntariamenteentrega él. Este método está generalmente apropiarte solamente de cuando el atacanteno es el dueño. Pocas partes culpables se entregan dispuesto la evidencia que sabenlas incriminará. Los atacantes Menos-experimentados pueden creer que han cubiertocon éxito sus pistas y entregar voluntariamente evidencia importante. Un bueninvestigador forense puede extraer mucho “cubierto encima” de la información de unacomputadora. En la mayoría de los casos, pidiendo la evidencia de un atacantesospechado apenas alerta a sospechoso que estás cerca de tomar la demanda legal.En segundo lugar, podrías conseguir una corte a la edición a citación, o el orden judicial,de que obliga a individuo u organización para entregar evidencia y para hacer la citaciónservir por la aplicación de ley. Una vez más esta línea de conducta proporciona elsuficiente aviso para alguien de alterar la evidencia y de hacerla inútil ante el tribunal. Laopción pasada es a autorización de la búsqueda. Esta opción debe ser utilizadasolamente cuando debes tener acceso para evidenciar sin inclinar del otro personal dela evidencia del dueño o. Debes tener una suspicacia fuerte con el razonamiento creíblepara convencer a un juez que persiga esta línea de conducta. Los tres alternativas seaplican al equipo de confiscación tanto en el interior como en el exterior unaorganización, pero hay otra medida que puedes tomar para asegurar a eso laincautación del equipo eso pertenece a tu organización se realiza correctamente. Estállegando a ser más común para hacer que todos los nuevos empleados firmen unacuerdo que proporcione consentimiento a la búsqueda y agarra cualquier evidencianecesaria durante una investigación. De este modo, el consentimiento se proporcionacomo término del empleo acuerdo. Esto hace la incautación mucho más fácil y reducelas ocasiones de una pérdida de evidencia mientras que espera el permiso legal deagarrarlo. Se cercioran de tus direcciones de la política de la seguridad este asuntoimportante.
615
Incidentes de integridad de información y redenciónNo importa cómo la evidencia persuasiva puede ser, puede ser lanzada de corte si lacambias durante el proceso de la colección de la evidencia. Cerciorarte de que puedasprobar que mantuviste la integridad de toda la evidencia. ¿(El capítulo 17, “ley y lasinvestigaciones,” incluye más información sobre reglas de la evidencia.) Pero qué sobrela integridad de datos antes de él se recoge? No puedes detectar todos los incidentesmientras que están sucediendo. Una investigación revela a veces que había losincidentes anteriores que iban desapercibidos. Está desalentando para seguir un rastrode la evidencia y para encontrar que se ha purgado un fichero de diario dominante quepodría señalar de nuevo a un atacante. Considerar cuidadosamente el sino de losficheros de diario o de otras localizaciones posibles de la evidencia. Una política quearchiva simple puede ayudar a asegurarse de que la evidencia dominante estádisponible sobre demanda no importa cómo ocurrió hace tiempo el incidente. Porquemuchos ficheros de diario pueden contener evidencia valiosa, los atacantes procuran amenudo esterilizar ellos después de un ataque acertado. La toma camina para protegerla integridad de los ficheros de diario y para disuadir su modificación. Una técnica esponer los registros en ejecución alejados. Aunque no una solución perfecta, élproporciona una cierta protección contra el limpiamiento del fichero de diario del poste-incidente. Otra técnica forense importante es preservar la evidencia original. Recordareso mismo la conducta de tu investigación puede alterar la evidencia que estásevaluando. Por lo tanto, es siempre la mejor trabajar con una copia de la evidencia realsiempre que sea posible. Por ejemplo, al conducir una investigación en el contenido deuna impulsión dura, hacer una imagen de esa impulsión, sellar la impulsión original enun bolso de la evidencia, y después utilizar la imagen del disco para tu investigación.Como con cada aspecto del planeamiento de la seguridad, no hay solución. Conseguiral corriente de tu sistema y tomar las medidas que tienen la mayoría del sentido paraque tu organización la proteja.
Reportando incidents¿Cuándo debes divulgar un incidente? ¿Quién debes divulgarlo? Estas preguntas son amenudo difíciles de contestar. Tu política de la seguridad debe contener pautas encontestar a ambas preguntas. Hay un problema fundamental con la divulgación deincidentes. Si divulgas cada incidente, corres el riesgo muy verdadero de ser visto comoruidoso. Cuando tienes un incidente serio, puedes ser no hecho caso. También, ladivulgación de un incidente poco importante podría dar la impresión que tu organizaciónes más vulnerable que el caso. Esto puede tener un efecto perjudicial serio para lasorganizaciones que deben mantener seguridad terminante. Por ejemplo, el oír hablarincidentes diarios de tu banco no inculcaría probablemente confianza adicional en susprácticas de la seguridad. Por otra parte, la escalada y la demanda legal llegan a sermás difíciles si no divulgas un incidente pronto después del descubrimiento. Si retrasasel notificar de autoridades de un incidente serio, tendrás que probablemente contestar apreguntas sobre tu motivación para retraso. Incluso una persona inocente podría mirarcomo si estén intentando ocultar algo no divulgando un incidente en una maneraoportuna. Como con la mayoría de los asuntos de la seguridad, la respuesta no es fácil.De hecho, cerca te obligan ley o regulación para divulgar algunos incidentes. Si tuorganización es regulada por una autoridad del gobierno y el incidente hizo tuorganización desviarse de cualquier regulación, debes divulgar el incidente. Tecercioras de saber qué incidentes debes divulgar. Por ejemplo, cualquier organizaciónque almacene la información personal de la salud debe divulgar cualquier incidente enel cual el acceso de tal información ocurriera.
616
Antes de que encuentres un incidente, es muy sabio establecer una relación con tupersonal legal corporativo y las agencias apropiadas de la aplicación de ley. Descubrirquién son los contactos apropiados de la aplicación de ley para tu organización y hablarcon ellos. Cuando el tiempo vienen divulgar un incidente, tus esfuerzos en estableceruna relación de funcionamiento anterior pagarán apagado. Tú pasarán lejos menostiempo en introducciones y las explicaciones si conoces ya a la persona con quien estáshablando. Una vez que te determines de divulgar un incidente, te cercioras de tenertanto la siguiente información como sea posible:
Cuál es la naturaleza del incidente, cómo fue iniciada, y por quién? Cuándo hizo el incidente ocurrir? (Ser tan exacto como sea posible con las
fechas y las épocas.) Donde hizo el incidente ocurrir? Si estuvo sabido, qué herramientas el atacante utilizó? Cuál era el daño resultando del incidente?
Puedes ser pedido proporcionar la información adicional. Estar preparado paraproporcionarla en tan oportuno una manera como sea posible. Puedes también pedircuarentena para tu sistema. Como con cualquier acción de la seguridad tomas, guardasun registro de toda la comunicación y haces las copias de cualesquiera documentos queproporciones mientras que divulgas un incidente.
ÉticaSostienen a los profesionales de la seguridad con responsabilidades substanciales a unmayor nivel de la conducta. Las reglas que gobiernan conducta personal se conocencolectivamente como reglas de éticas. Varias organizaciones han reconocido lanecesidad de reglas estándares del ética, o de códigos, y han ideado pautas para elcomportamiento ético. Presentamos dos códigos de éticas en las secciones siguientes.Estas reglas no son leyes. Son estándares mínimos para el comportamiento profesional.Deben proveer de ti una base para el sonido, juicio ético. Cualquier profesional de laseguridad debe esperar habitar por estas pautas sin importar su área de la especialidad.Te cercioras de entender y convenir con los códigos de éticas contorneados en lassecciones siguientes.
(ISC)2 Código de éticasEl cuerpo que gobierna que administra la certificación de CISSP es el consorciointernacional de la certificación de la seguridad de los sistemas de información (ISC) 2.(ISC) el código 2 de ética fue desarrollado para proporcionar la base para elcomportamiento de CISSP. Es un código simple con un preámbulo y cuatro cánones.Código del preámbulo de ética:
La seguridad de la bien sabida, deber a nuestros principales, y requiere el uno alotro que adhiramos, y se considere para adherir, a los estándares éticos másaltos del comportamiento.
Por lo tanto, la adherencia terminante a este código es una condición de lacertificación.
617
Código de los canon del ética:• Protege la sociedad, la Commonwealth, y la infraestructura. Los profesionales de laseguridad tienen gran responsabilidad social. Nos cargan con la carga de asegurarse deque nuestras acciones beneficien el bueno común.• Acto honorable, honesto, justo, responsable, y legalmente. La integridad es esencialpara la conducta de nuestros deberes. No podemos realizar nuestros deberes coneficacia si otros dentro de nuestra organización, de la comunidad de la seguridad, o delpúblico en general tienen dudas sobre la exactitud de la dirección que proporcionamos olos motivos detrás de nuestras acciones.• proporciona servicio diligente y competente a los principales. Aunque tenemosresponsabilidades a la sociedad en su totalidad, también tenemos responsabilidadesespecíficas a las que nos han empleado para proteger su infraestructura. Debemosasegurarnos de que estemos en una posición para proporcionar servicio imparcial,competente a nuestra organización.•protege la profesión. Nuestra profesión elegida cambia continuamente. Comoprofesionales de la seguridad, debemos asegurarnos de que nuestro conocimiento sigasiendo corriente y de que contribuimos nuestro propio conocimiento al cuerpo común dela comunidad del conocimiento.
Todos los candidatos de CISSP deben estar al corriente (ISC) del códigoentero 2 del ética porque tienen que firmar un acuerdo de el cual adhierana este código el ética. ¿Los detalles (ISC) de la interpretación de 2 delcódigo se pueden encontrar en www.isc2.org/cgi/content.cgi? category=12
.
Internet y ÉticaEn enero de 1989, el tablero consultivo del Internet (IAB) publicó una declaración de lapolítica referente al uso apropiado del Internet. El contenido de esta declaración esválido incluso hoy. Es importante que sabes el contenido básico del documento,nombrado el “ética y el Internet,” Pedido el comentario (RFC) 1087, porque la mayoríade los códigos de los éticas pueden remontar sus raíces de nuevo a este documento. Ladeclaración es una breve lista de las prácticas consideradas poco éticas. Donde uncódigo de ética indica lo que debes hacer, los contornos de este documento qué nodebes hacer. El RFC 1087 indica que cualquier actividad con los propósitos siguienteses inaceptable y poco ética:
Intenta tener el acceso desautorizado a los recursos del Internet. Interrumpe el uso previsto del Internet Pierde los recursos (gente, capacidad, computadora) con tales acciones Destruye la integridad de la información computarizada el Compromete la aislamiento de usuarios
618
Diez mandamientos de éticas de la computadora
El instituto de ética de la computadora creó su propio código de ética. Los diezmandamientos de éticas de la computadora son como sigue:1. No debe usar una computadora para dañar la gente.2. No debe interferir con el trabajo de la computadora de la gente.3. No debe alrededor en los ficheros informáticos de la gente.4. No debe una computadora de robar.5. No debe una computadora de llevar el testigo falso.6. Software propietario de la copia del No debe no has pagado.7. Recursos de la computadora de la gente No debe uso sin la autorización o laremuneración apropiada.8. No debe no se apropia de la salida intelectual de la gente.9. No debe piensa de las consecuencias sociales del programa que eres escritura o elsistema estás diseñando.10. El uso siempre una computadora de las maneras que aseguran la consideración y larespetan por tus seres humanos del compañero.
SumarioLos delitos informáticos se agrupan en varias categorías importantes, y los crímenes encada categoría comparten motivaciones comunes y resultados deseados. Entendiendoes un qué atacante después de que pueda ayudar en correctamente asegurar unsistema. Por ejemplo, los ataques de los militares y de la inteligencia se lanzan paraadquirir la información secreta que no se podría obtener legalmente. Los ataques delnegocio son similares salvo que apuntan sistemas civiles. Otros tipos de ataquesincluyen ataques financieros (el phreaking del teléfono es un ejemplo de un ataquefinanciero) y los ataques del terrorista (que, en el contexto de los delitos informáticos, esun ataque diseñado para interrumpir vida normal). Finalmente, hay los ataques delresentimiento, el propósito de los cuales es causar daño por datos que destruyen oinformación con desconcertar a una organización o a una persona, y la diversión ataca,lanzado por las galletas inexpertas para comprometer o para inhabilitar un sistema.Aunque no están sofisticados generalmente, los ataques de la diversión pueden sermolestos y costosos. Un incidente es una violación o la amenaza de una violación de tupolítica de la seguridad. Cuando se sospecha un incidente, debes comenzarinmediatamente una investigación y recoger tanta evidencia como sea posible porque,si decides divulgar el incidente, debes tener bastante evidencia admisible para apoyartus demandas.
619
El sistema de las reglas que gobiernan tu comportamiento personal se llama un códigode ética. Hay varios códigos de éticas, de general al específico en la naturaleza, que losprofesionales de la seguridad pueden utilizar para dirigirlo. (ISC) las 2 marcas laaceptación de su código del ética un requisito para la certificación.
Bases Del Examen Saber la definición del delito informático. El delito informático es un crimen (o
violación de una ley o de una regulación) contra que se dirige, o implicadirectamente, una computadora.
Ser capaz de enumerar y de explicar las seis categorías de los delitosinformáticos. Los delitos informáticos son agrupado en seis categorías: ataquede los militares y de la inteligencia, ataque del negocio, ataque financiero,ataque del terrorista, ataque del resentimiento, y ataque de la diversión. Poderexplicar el motivo de cada tipo de ataque.
Saber la importancia de recoger evidencia. Pues pronto descubres un incidente,debes comenzar a recoger evidencia y tanta información sobre el incidente comosea posible. La evidencia se puede utilizar en una demanda legal subsiguiente oen encontrar la identidad del atacante. La evidencia puede también asistirte en ladeterminación del grado del daño.
Entender que un incidente es cualquier violación, o amenaza de una violación,de tu política de la seguridad. Los incidentes se deben definir en tu política de laseguridad. Aun cuando los incidentes específicos no se pueden contornear, laexistencia de los sistemas de la política el estándar para el uso de tu sistema.Cualquier salida del uso aceptado de tu sistema se define como incidente.
Ser capaz de enumerar los cuatro tipos comunes de incidentes y de saber lasmuestras indicadoras de cada uno. Un incidente ocurre cuando el ataque o laotra violación de tu política de la seguridad se realiza contra tu sistema. Losincidentes se pueden agrupar en cuatro categorías: exploración, compromisos,código malévolo, y negación del servicio. Poder explicar lo que implica cada tipode incidente y qué muestras de buscar.
Conocer la importancia de identificar actividad anormal y sospechosa. Losataques generarán una cierta actividad que no sea normal. El reconocimiento deactividad anormal y sospechosa es el primer paso hacia la detección deincidentes.
Saber cómo investigar intrusiones y cómo recopilar la suficiente información delequipo, del software, y de los datos. Debes tener posesión del equipo, delsoftware, o de los datos a analizar y la utiliza como evidencia. Debes adquirir laevidencia sin la modificación de ella o permitir que cualquier persona lomodifique.
Conocer las tres alternativas básicas para la evidencia de confiscación y cuandocada uno es apropiado. Primero, la persona que posee la evidencia podríaentregarla voluntariamente. En segundo lugar, una citación se podía utilizar paraobligar conforme a entrega la evidencia. Tercero, una autorización de labúsqueda es la más útil cuando necesitas confiscar evidencia sin dar al temauna oportunidad de alterarla.
Saber la importancia de conservar datos del incidente. Porque descubrirásalgunos incidentes después de que hayan ocurrido, perderás evidencia valiosa amenos que te asegures de que los ficheros de diario críticos estén conservadospor un período del tiempo razonable. Puedes conservar ficheros de diario y lainformación de estado de sistema en lugar o en archivos.
620
Estar al corriente de cómo divulgar un incidente. El primer paso es estableceruna relación de funcionamiento con el personal de la aplicación corporativa y deley con quien trabajarás para resolver incidente. Cuando tienes una necesidadde divulgar un incidente, frunce tanta información descriptiva como sea posible yde hacer el informe de una manera oportuna.
Entender la importancia de ética al personal de la seguridad. Conceden losmédicos de la seguridad un muy de alto nivel de la autoridad y de laresponsabilidad de ejecutar sus funciones de trabajo. El potencial para el abusoexiste, y sin un código terminante del comportamiento personal, los médicos dela seguridad podrían ser mirados como teniendo energía desenfrenada. Laadherencia a un código de las ayudas del ética asegura a eso tales la energía nose abusa.
Saber (ISC) el código 2 del ética y de RFC 1087, el “ética y el Internet.” Todoslos candidatos de CISSP deben estar al corriente (ISC) del código entero 2 deética porque tienen que firmar un acuerdo que adhieran a él. Además, estar alcorriente de las declaraciones básicas de RFC 1087
.
621
Review Questions
1. ¿Cuál es un delito informático?A. Cualquier ataque enumeró específicamente en tu política de la seguridadB. Cualquier ataque ilegal que comprometa una computadora protegidaC. Cualquier violación de una ley o de una regulación que implica una computadoraD. Falta de practicar diligencia debida en seguridad de la computadora
2. ¿Cuál es el propósito principal de un ataque de los militares y de la inteligencia?A. Para atacar la disponibilidad de sistemas militaresB. Para obtener la información secreta y restricta de militares o de fuentes de laaplicación de ley C. Para utilizar sistemas de la agencia de los militares o de inteligenciapara atacar otros sitios no militares
3. ¿Qué tipo de ataque apunta la información secreta comercial almacenó en el sistemade una organización civil?A. Ataque del negocioB. Negación del ataque del servicioC. Ataque financieroD. Ataque de los militares y de la inteligencia
4. ¿Qué meta no es un propósito de un ataque financiero?A. Tener acceso a los servicios que no has compradoB. Divulgar la información personal confidencial del empleadoC. Transferir los fondos de una fuente desaprobada en tu cuenta
5. ¿Cuál es una meta posible de un ataque del terrorista?A. Alterar los documentos secretos comerciales sensiblesB. Dañar la capacidad de comunicarse y de responder a un ataque físicoC. Robar la información sin clasificarD. Transferir los fondos a otros países
6. ¿Cuál del siguiente no sería una meta fundamental de un ataque del resentimiento?A. Divulgar la información personal embarazosa
B. Lanzar un virus en el sistema de una organizaciónC. Enviar el E-mail inadecuado con a spoofed la dirección de las creaciones de laorganizaciónD. de la víctima. Utilizar las herramientas automatizadas para explorar los sistemas dela organización para los puertos vulnerables
622
7. Cuales son las razones primarias atacantes enganchan a ataques de la “diversión”?(Elegir todos que se apliquen.)A. Las derechas de jactanciaB. Dinero de la venta de documentos robadosC. Orgullo de conquistar un sistema seguroD. Venganza contra una persona o una organización
8. ¿Cuál es la regla más importante a seguir al recoger evidencia?A. No dar vuelta apagado a una computadora hasta que tú fotografía la pantalla.B. Enumerar todo el presente de la gente mientras que recoge evidencia. C. Nuncamodificar la evidencia durante el proceso de la colección.D. Transferir todo el equipo a una localización segura del almacenaje.
9. ¿Cuál sería una discusión válida para no inmediatamente quitar energía de unamáquina cuando se descubre un incidente?A. Se ha hecho todos los daños. Dar vuelta a la máquina apagado no pararía dañoadicional.B. No hay otro sistema que puede sustituir éste si se da vuelta apagado.C. Demasiados usuarios son entrados y con el sistema.D. La evidencia valiosa en memoria será perdida.
10. ¿Cuál es la razón muchos incidentes nunca se divulga?A. Implica demasiado papeleo.B. La divulgación de demasiados incidentes podía lastimar la reputación de unaorganización.C. El incidente nunca se descubre.D. Demasiada hora ha pasado y se va la evidencia.
11. ¿Cuál es un incidente?A. Cualquier ataque activo que cause daño a tu sistemaB. Cualquier violación de un código de éticaC. Cualquier crimen (o violación de una ley o de una regulación) que implique unacomputadora D. Cualquier violación de tu política de la seguridad
12. ¿Si la exploración portuaria no hace ningún daño a un sistema, por qué seconsidera generalmente un incidente?A. Todas las exploraciones portuarias indican comportamiento adversario.B. Las exploraciones del puerto pueden preceder los ataques que estropean y puedenindicar un ataque futuro.C. La exploración de un puerto, daño al puerto.
623
13. ¿Qué tipo de incidente es caracterizado obteniendo un nivel creciente del privilegio?A. CompromisoB. Negación del servicioC. Código malévoloD. Exploración
14. ¿Cuál es la mejor manera de reconocer comportamiento anormal y sospechoso entu sistema? A. Estar enterado de los más nuevos ataques.B. Configurar tus identificaciones para detectar y para divulgar todo el tráfico anormal.C. Saber lo que parece tu actividad normal del sistema.D. Estudiar las firmas de la actividad de los tipos principales de ataques.
15. ¿Si necesitas confiscar una PC de un atacante sospechado que no trabaje para tuorganización, qué avenida legal debes perseguir?A. El acuerdo del consentimiento firmó por los empleadosB. Autorización de la búsquedaC. CitaciónD. Consentimiento voluntario
16. ¿Por qué debes evitar de suprimir ficheros de diario sobre una base diaria?A. Un incidente no se puede descubrir por varios días y la evidencia valiosa podría serperdida.B. El espacio de disco es barato y los ficheros de diario se utilizan con frecuencia.C. Los ficheros de diario se protegen y no pueden ser alterados.D. Cualquier información en un fichero de diario es inútil después de que sea variashoras viejas.
17. ¿Cuáles de las condiciones siguientes indican que debes divulgar un incidente?(Elegir todos que se apliquen.)A. La información confidencial protegida por la regulación del gobierno fue divulgadaposiblemente.B. Los daños excedieron de $1.500.C. El incidente ha ocurrido antes.D. El incidente dio lugar a una violación de una ley.
18. ¿Qué son éticas?A. Acciones obligatorias requeridas para satisfacer requisitos de trabajoB. Estándares profesionales de regulacionesC. Las regulaciones dispusieron por una organización profesionalD. Reglas del comportamiento personal
624
19. ¿Según (ISC) el código 2 de ética, cómo se espera que CISSPs actúe? A. Honesto,diligente, responsable, y legalmenteB. Honorable, honesto, justo, responsable, y legalmenteC. Manteniendo la política y la protección de la seguridad de la organizaciónD. Leal, amistoso digno de confianza, courteously
20. Cuáles de las acciones siguientes se consideran inaceptables y poco éticas segúnRFC 1087, el “ética y el Internet”?A. Acciones que comprometen aislamiento de la información clasificadaB. Acciones que comprometen aislamiento de usuariosC. Acciones que interrumpen actividades de organizaciónD. Acciones en las cuales una computadora es de una forma contraria usado con unapolítica indicada de la seguridad
625
Respuesta a las preguntas de revisión1. C. Un crimen es cualquier violación de una ley o de una regulación. La estipulaciónde la violación define la acción como crimen. Es un delito informático si la violaciónimplica una computadora como la blanco o herramienta.
2. B. Un ataque de los militares y de la inteligencia se apunta en los datos clasificadosque residen en el sistema. Al atacante, el valor de la información justifica el riesgoasociado a tal ataque. La información extraída de este tipo de ataque es de usofrecuente planear ataques subsecuentes.
3. A. La información confidencial que no se relaciona con las agencias de los militares ode inteligencia es la blanco del negocio ataca. La última meta podía ser destrucción,alteración, o acceso de la información confidencial.
4. B. Un ataque financiero se centra sobre todo en la obtención de servicios y financiailegal.
5. B. Un ataque del terrorista es lanzado para interferir con una manera de la vidacreando una atmósfera del miedo. Un ataque del terrorista de la computadora puedealcanzar esta meta reduciendo la capacidad de responder a un ataque físicosimultáneo.
6. D. Cualquier acción que pueda dañar una persona o una organización, directamenteo con la vergu|enza, sería una meta válida de un ataque del resentimiento. El propósitode tal ataque es “consigue detrás” en alguien.
7. A, ataques de la diversión de la C. no tiene ninguna recompensa con excepción deproporcionar un alza al orgullo y al ego. La emoción de lanzar un ataque de la diversiónviene del acto de participar en el ataque (y de no conseguir cogido).
8. C. Aunque las otras opciones tienen cierto mérito en casos individuales, la regla másimportante debe nunca modificarse, o corrupción, evidencia. Si modificas evidencia,llega a ser inadmisible ante el tribunal.
9. D. La razón que obliga lo más de no quitar energía de una máquina es que perderásel contenido de la memoria. Considerar cuidadosamente los pros y el contra de quitarenergía. Después de que se considere todo, puede ser la mejor opción.
10. C. Aunque una organización no desearía divulgar una gran cantidad de incidentes (amenos que la divulgación de ellos es obligatoria), la realidad es que muchos incidentesnunca están descubiertos. La carencia de usuarios bien ensen$ados da lugar a muchosincidentes que nunca se reconozcan.
11. D. Un incidente es definido por tu política de la seguridad. Acciones que definespues un incidente no se puede considerar un incidente en otra organización. Porejemplo, tu organización puede prohibir Acceso del Internet mientras que otraorganización lo anima. Tener acceso al Internet sería incidente en tu organización.
12. B. Algunas exploraciones portuarias son normales. Un volumen inusualmente altode actividad portuaria de la exploración puede ser una actividad del reconocimiento queprecede un ataque más peligroso. Cuando ves la exploración portuaria inusual, tú debeinvestigar siempre.
626
13. A. Siempre un atacante excede su autoridad, el incidente se clasifica comocompromiso del sistema. Esto incluye a usuarios válidos que exceden su autoridad asícomo los usuarios inválidos que ganan tener acceso con el uso de un user-id válido.
627
14. C. Aunque las opciones A, B, y D son las acciones que pueden hacerte enterado dequé ataques parecer y cómo detectarlos, detectarás nunca con éxito la mayoría de losataques hasta que sabes tu sistema. Cuando sabes lo que parece la actividad en tusistema encendido un día normal, puedes detectar inmediatamente cualquier actividadanormal.
15. B. En este caso, necesitas una autorización de la búsqueda confiscar el equipo sindar la época sospechada de destruir evidencia. Si el sospechoso trabajado para tuorganización y ti tenía todos los acuerdos del consentimiento de la muestra de losempleados, podrías confiscar simplemente el equipo.
16. A. Los ficheros de diario contienen un de gran capacidad de la informacióngeneralmente inútil. Sin embargo, cuando estás intentando seguir abajo un problema oun incidente, pueden ser inestimables. Aunque un incidente se descubre como estásucediendo, él se pudo haber precedido por otros incidentes. Los ficheros de diarioproporcionan pistas valiosas y deben ser protegidos y ser archivados.
17. A, D. Debes divulgar un incidente cuando el incidente dio lugar a la violación de unaley o de una regulación. Esto incluye cualquier daño (o el daños potencial) a o accesode la información protegida.
18. D. Los éticas son simplemente reglas del comportamiento personal. Muchasorganizaciones profesionales establecen códigos formales de los éticas para gobernar alos sus miembros, pero los éticas son uso personal de los individuos de las reglas paradirigir sus vidas.
19. B. El segundo canon (ISC) del código 2 de los estados del ética cómo un CISSPdebe actuar, que está honorable, honesto, justo, responsable, y legalmente.
20. El RFC 1087 del B. no trata específicamente las declaraciones en A, C, o la D.Aunque cada tipo de actividad enumerado es inaceptable, sólo la actividad identificadaen la opción B se identifica en RFC 1087.
628
CAPITULO 19
Requerimientos Físicos de Seguridad
TEMAS DEL EXAMEN CISSP CUBIERTOS EN ESTECAPITULO
Amenazas Físicas de Seguridad Requerimientos de Facilidad Formas de Accesos de Control Físicos Controles Técnicos Ambiente y Salva Vidas
Con formato: Fuente: 14 pto, Negrita
629
El dominio Físico de Seguridad del Common Body of
Knowledge (CBK) para el examen de certificación CISSP
tiene que lidiar con temas y problemas relacionados con
facilidades de construcción y localización, las principales
seguridades de una facilidad, formas de controles de
accesos físicos de seguridad, tipos controles de técnicas
físicas de seguridad y mantenimiento de la seguridad
sosteniendo apropiado ambiente y protección de la vida humana.
El propósito de la seguridad física es proteger contra amenazas físicas. Los siguientes
tipos de amenazas físicas son algunas de las más comunes:
Fuego y humo
Agua (Llenando cuartos / caída de agua)
Movimiento de la tierra (terremotos, temblores, volcanes)
Tormentas (viento, rayos, lluvia, nieve, granizado, hielo)
Sabotaje / vandalismo
Explosiones / destrucción
Colapso de edificios
Materiales tóxicos
Perdida de utilidades (poder, calor, aire, frió, agua)
Caída de equipo
Perdida de personal (huelgas, enfermedad, accesos, transporte)
Este capitulo explora cada uno de estos problemas y provee discusiones de
salvaguardas y contramedidas para proteger contra esos desastres. En muchos casos,
un plan de recuperación de desastres o un plan de continuidad de negocio será
necesario para que los eventos serios de amenazas físicas (como una explosión,
sabotaje o desastres naturales) no se conviertan en realidad. Ver Capitulo 15,
“Planeando la Continuidad del Negocio”, y Capitulo 16 “Planeando la Recuperación de
Desastres”, para mayores detalles.
Requerimientos de Facilidad
Debe ser evidentemente obvio si se leyó el previo capítulo 18 que sin control sobre el
ambiente físico, sin contar los controles de accesos administrativo, técnico o lógico
pueden proveer adecuada seguridad. Si una persona maliciosa puede ganar físico
acceso a nuestras facilidades o equipos, ellos pueden todo lo que les plazca, desde
destrucción a bloqueado y alteraciones.
630
Hay muchos aspectos y elementos para implementar y mantener seguridades físicas.
Uno de los principales o fundamentales elementos es seleccionar o diseñar las
facilidades que van a dar hogar a tu infraestructura de TI y las operaciones de tu
organización. El proceso de selección o diseño para asegurar las facilidades debe
empezar con un plan.
Plan de Seguridad de Facilidades
Un Plan de Seguridad de Facilidades delimita las necesidades de la seguridad de la
organización y enfatiza métodos o mecanismos para emplear o proveer seguridad.
Dicho plan se desarrolla a través de un proceso conocido como Análisis Crítico de
Camino. Análisis Crítico de Camino es un esfuerzo sistemático para identificar
relaciones entre aplicaciones, procesos y operaciones críticos para la misión y todos los
elementos de soporte necesarios. Por ejemplo, un servidor de e-commerce usado para
vender productos por la Web se apoya en accesos de Internet, hardware de
computadora, electricidad, control de temperatura, facilidad de guardado, y más.
Cuando un Análisis Crítico de Camino se desarrolla apropiadamente, se produce una
foto completa de las interdependencias e interacciones necesarias para sostener la
organización. Una vez que el análisis es completado, los resultados sirven como una
lista de cosas por asegurar. El primer paso diseñando una infraestructura de TI segura
es proveer seguridad para los requerimientos básicos de la organización y sus
computadoras. Los requerimientos básicos incluyen electricidad, control ambiental (p.e.
un edificio, aire acondicionado, calefacción, control de humedad, etc.) y agua / aguas
residuales.
Controles de Seguridad Físicas
Los controles de seguridad implementada para manejar la seguridad física puede ser
dividida en tres grupos: administrativa, técnica y física. Porque estos son de la misma
categoría usada para describir controles de acceso, es importante mantener en mente
la naturaleza física de seguridad de estos grupos.
Técnicas de Seguridad Administrativas: Incluyen construcción y selección de
facilidades, manejo de sitios, controles de personal, entrenamiento de prevención, y
respuesta y procedimientos a emergencias.
Controles de seguridad Técnica Física incluye controles de acceso; detección de
intrusión; alarmas; televisión de circuito cerrado (CCTV); monitoreado; calefacción;
631
ventilación; y aire acondicionado (HVAC); fuentes de poder; y detección de fuego y
supresión.
Controles Físicos para Seguridad Física: Incluye Barreras, luces, cerraduras,
construcción de materiales, trampas, perros y guardias.
Selección de Sitio
Selección de Sitio debe ser basada en las necesidades de seguridad de la organización.
Costo, localización y tamaño son importantes, pero direccional los requerimientos de
seguridad debe ser siempre precedente.
Cuando elegimos un sitio donde construir una facilidad o seleccionar una estructura
preexistente, asegurarse de examinar cuidadosamente cada aspecto de la localización.
Visibilidad
Visibilidad es importante. ¿Que es un rededor de terreno? ¿Sería fácil el acercamiento
de vehículos a la facilidad por vehículos o a pie sin ser vistos? ¿El arreglo de las áreas
rededores es muy importante? ¿Es en un área residencial, de negocios o áreas
industriales? ¿Cuál es el ratio de criminalidad en la zona? ¿Dónde están localizados los
servicios de emergencia mas próximos? ¿Qué peligros únicos se encuentran en esa
área (plantas químicas, refugios de vagabundos, universidades, construcciones, etc.)?
Accesibilidad
La accesibilidad a un área es también muy importante. Una entrada independiente es
perfecta para proveer seguridad, pero múltiples entradas son mejores para evacuación
durante emergencias. ¿Qué tipos de caminos existen cerca? ¿Qué tipo de trasporte es
fácilmente accesible (trenes, autopistas, aeropuertos, envíos)? ¿Qué tipo de nivel de
tráfico existe durante el día?
Desastres Naturales
Otra preocupación es e efecto de desastres naturales en el área. ¿Es propensa a
terremotos, fango, charcos, fuego, inundaciones, huracanes, tornados, caída de rocas,
nieve, lluvia, hielo, humedad, calor, frió extremo, y mas?. Debes estar preparado para
desastres naturales y preparar el ambiente de tu equipo de TI para o sobrevivir un
evento o poder remplazarlo fácilmente,
Diseño de Facilidades
Cuando diseñas una facilidad para construir, necesitas entender el nivel de seguridad
necesitada por la organización. El apropiado nivel de seguridad debe ser planeado y
diseñado antes de construir. Algunos problemas importantes a considerar incluyen la
632
combustión, nivel de fuego, materiales de construcción, grado de carga,
posicionamiento y control de cosas como puertas, paredes, techos, piso, HVAC, poder,
agua, aguas residuales, gas y más. Intrusiones forzadas, accesos de emergencia,
resistencia de entrada, dirección de entradas y salidas, uso de alarmas y conductividad
son también aspectos importantes para evaluar. Todos los elementos con facilidades
deben evaluarse en términos de cómo podría ser usado para y contra la protección de
la infraestructura de TI y personal (por ejemplo, flujos positivos para aire y agua dentro
de la facilidad hacia fuera de la facilidad).
Áreas de Trabajo
El diseño y configuración de áreas de trabajo y visitantes deben ser cuidadosamente
considerados. No debe haber acceso equitativo para todas las locaciones con
facilidades. Áreas que contienen activos de más valor o importancia tienen accesos
restringidos. Por ejemplo, cualquiera que entre a la facilidad debe ser capaz de acceder
a los baños y al teléfono publico, pero solo la red de administradores y staff de
seguridad debe tener acceso a los cuartos de servidores. Activos valiosos y
confidenciales deben localizarse en el corazón o centro de la protección proveída para
la facilidad. En efecto, enfocarse en despliegue de círculos concéntricos de protección.
Este tipo de configuración requiere incrementar niveles de autorización para ganar
acceso a las áreas más sensibles de la organización.
Paredes o particiones pueden ser usadas para separar similares pero distintas áreas de
trabajo. Dichas divisiones evaden a los curiosos que quieren escuchar o ver detrás de la
puerta. Estas actividades se conocen como actos de reunión de información del sistema
observando el monitor o el uso de los teclados por el operador. Paredes desde el piso al
techo deben ser usados para separar áreas con diferentes niveles de sensibilidad y
confidencialidad.
Cada área de trabajo debe ser evaluada y asignado un tipo de clasificación como
cualquier otro de activo de TI. Solo gente con responsabilidad o clasificación
correspondiente a la clasificación del área de trabajo debe ser permitida de acceder.
Las áreas con diferentes propósitos o usos deben ser asignados niveles de acceso o
restricciones. El mayos acceso a activos como equipo en las áreas ofrecidas, mas
grande las restricciones del control paras quien entre a las esas áreas y las actividades
que realizan.
Sala de Servidor
Servidores centralizados o Salas de computadoras no necesitan compatibilidad
humana. De hecho, mientras mayor el factor humano incompatible, será mayor la
633
protección ofrecida contra los ataques casuales y determinados. Incompatibilidad
humana puede ser alcanzada incluyendo Halon o otros sistemas dispositivos de
oxigeno para la detección de fuego y extinción, temperatura baja, poca o ninguna luz, y
equipos apilados que no dejan espacio para caminar o moverse. Salas de servidores
deben ser diseñados para soportar de mejor manera las operaciones de una
infraestructura de TI y prevenir accesos humanos desautorizados o intervenciones.
Visitantes
Si la facilidad emplea áreas restringidas para el control físico de seguridad, entonces se
requiere un mecanismo para manejar las visitas. Algunas veces una escolta es
asignada para los visitantes y sus accesos y actividades son monitorizadas de cerca.
Fallar en el seguimiento de las acciones de los externos cuando tienen permisos de
acceso a áreas protegidas puede resultar en actividades maliciosas contra los activos
mas protegidos.
Escenarios del Mundo Real
Desplegando Accesos de Control Físicos
En el mundo Real, desplegaras múltiples capas de controles de acceso físico para
manejar el trafico de individuos autorizados y no autorizados en tu facilidad. La capa
externa debe ser iluminada. El perímetro externo en su totalidad debe ser claramente
encendida. Esto proveerá una fácil identificación del personal y hará mas fácil el
localizar intrusos. Puntos específicamente controlados a lo largo de la barrera o pared
debe tener puntos de entrada. Deben existir puertas, cerraduras y trampas todos
monitorizados por televisión de circuito cerrado (CCTV) y guardias de seguridad.
Identificación y autentificación debe ser requerida en estos puntos de entradas antes
que la entrada sea permitida.
Dentro de las Facilidades, las áreas con diferente nivel de diferente sensibilidad o
confidencialidad deben estar distintivamente separadas y con compartimientos. Esto
es cierto principalmente en áreas públicas accesibles a visitantes. Un proceso de
identificación/autentificación adicional para validar una entrada debe ser requerida
cuando cualquiera este moviéndose entre áreas, los recursos y sistemas mas sensible
deben encontrarse aislados para todos menos el mas privilegiado del personal y
localizado en el centro o núcleo de la facilidad,
634
Formas de Acceso de Control Físico
Hay muchos tipos de mecanismos de control de accesos que pueden desplegarse en
un ambiente de control, monitor y manejo de accesos a las facilidades, estos van desde
mecanismos de impedimentos a detenciones.
Las múltiples secciones, divisiones o áreas de un sitio o facilidad deben encontrarse
claramente designados como públicos, privados o restringidos. Cada una de estas
áreas requiere controles de acceso físico únicos y enfocados, mecanismos de
monitoreo y prevención. Las siguientes secciones muestran varios mecanismos que
pueden ser usados para separar, aislar y controlar accesos a varios tipos de áreas en el
sitio.
Barreras, puertas, puerta giratoria y trampas
Una barrera es un dispositivo de perímetro definido. Barreras son usadas para
claramente diferenciar entre áreas que están bajo un específico nivel de protección
seguridad y aquellos que no lo son. Crear barreras puede incluir un ancho rango de
componentes, materiales y métodos de construcción. Puede consistir en rayas pintados
en el piso, barreras con cadenas, alambras de púas, paredes de concreto, y aún
perímetros invisibles usando láser, detectores de movimiento o detectores de calor.
Varios tipos de barreras son efectivas contra diferentes tipos de intrusos:
Barreras que son 3 o 4 pies de altura impiden traspasos casuales.
Barreras que son 6 o 7 pies de altura son muy difíciles de trepar.
Las cercas que tienen 8 pies de alto con tres filamentos de alambre de púas
disuaden a intrusos resueltos.
Una puerta es un punto de entrada y salida controlado en la barrera. El nivel de
impedimento de la puerta debe ser equivalente al nivel de impedimento de la barrera
para sostener la efectividad de la barrera como un todo. Las bisagras y los mecanismos
de cerrado/aseguramiento se deben endurecer contra el tratamiento de forzar, la
destrucción, o el retiro. Cuando una puerta es cerrada, no debe ser ofrecida ningún tipo
de acceso adicional de vulnerabilidad. Puertas deben mantenerse al mínimo. Se debe
resguardar con guardias o no. Cuando no son protegidas por guardias, el uso de perros
o CCTV es recomendado.
Una puerta giratoria (Ver Fig. 19.1) es una forma de puerta que previene a más de una
persona de lograr entrar a la vez y generalmente restringirlos a una sola dirección. Es
util para la recepción pero no para la salida ni viceversa. Una puerta giratoria es
básicamente un equivalente a una barrera o a una puerta de seguridad.
Una trampa es una puerta doble que ofrece protección por guardias (Vea Fig. 19.1. Su
propósito es contener a un sujeto hasta q su identidad y autentificación es verificada. Si
635
ellos son aprobados para entra, puerta interna, permitiendo la entrada a la facilidad o
premisa. Si no se autoriza, las dos puertas se mantienen cerradas hasta que una
escolta (típicamente un guardia o policía) llega para escoltarlo fuera de la propiedad o
arrestarlo por traspaso.
Iluminación
La iluminación es uno de las formas mas comúnmente usado por el perímetro de control
de seguridad. El propósito principal es desalentar a intrusos casuales, traspasos,
merodeadores y posibles ladrones para evitar que realicen sus malicias en la oscuridad.
Sin embargo, la luz no es un impedimento fuerte. Non debe ser usado como un
mecanismo primario o único de protección excepto en áreas con un bajo nivel de
amenaza,
FIGURA 19.1 Un límite seguro Físico con una puerta trampa y una puerta giratoria.
La iluminación no debe iluminar posiciones de guardias, perros, postas de patrulla o
similares elementos de seguridad. Debe ser combinado con guardias, perros, CCTV o
otras formas de intrusión, detección o mecanismos de vigilancia. Iluminación no debe
ser causa de fastidio o problemas para residentes cercanos, caminos, autopistas,
aeropuertos y más.
El instituto Nacional de Estándares y Tecnología (NIST) estandariza los perímetros de
protección usando luces en un área critica debe iluminarse con dos postas a una altura
de 8 pies.
Guardias y Perros de Seguridad
636
Todos los controles de seguridad físico, sean mecanismos de impedimentos estáticos o
detección activa, se apoyan en personal que interviene y detiene intrusiones reales y
ataques. Guardias de seguridad existen para llenar esta necesidad. Guardias deben ser
posicionados cerca del perímetro o dentro para monitorear puntos de acceso o vigilar
detecciones y monitores de vigilancia. El beneficio real de guardias es que ellos son
capaces de adaptar y reaccionar a cualquier condición o situación. Guardias son
capaces de aprender y reconocer ataques e actividades de intrusiones y patrones,
pueden ajustarse a cambiar en el ambiente y son capaces de hacer decisiones y
llamadas prejuiciosas. Guardias de seguridad son generalmente un apropiado control
de seguridad cuando se necesita una toma de decisión, manejo de la situación, en el
sitio y momento.
Desafortunadamente, usando guardias de seguridad no es una situación perfecta. Hay
numerosas desventajas de usar, mantener y apoyarse en un guardia de seguridad. No
todos los ambientes y facilidades soportan guardias de seguridad. Esto puede causar
una incompatibilidad humana o de la salida, diseño, localización y construcción de las
facilidades. No todos los guardias de la seguridad son confiables. Monitorearlo, hacer
lazos y entrenarlos no garantizan que puedan terminar con una inefectiva y desconfiable
guardia de seguridad. Así aun cuando inicialmente el guardia se confiable, son sujetos
de heridas físicas y enfermedades, toman vacaciones, pueden volverse desempleados
por abuso de sustancias. Además pueden algunas veces concentrarse en la
preservación propia en vez de la preservación de la seguridad de la facilidad que vigila.
Esto puede significar que la seguridad puede ofrecer protección solo hasta el punto
donde sus vidas se encuentran en peligro. Adicionalmente, guardias de seguridad
usualmente desconocen el alcance de las operaciones con la facilidad y por esto no
están completamente equipados para saber como responder a todas las situaciones.
Finalmente, los guardias de seguridad pueden ser costosos.
Los perros guardianes pueden ser una alternativa a los guardias de seguridad. Ellos
pueden actuar como controles de seguridad de perímetro. Como detección e
impedimento, perros son extremadamente efectivos. Sin embargo son costosos,
requieren un alto nivel de mantenimiento y pueden ser un serio requerimiento de
aseguramiento y confiabilidad,
Llaves y Cerraduras con Combinaciones
Cerraduras son usadas para mantener cerradas puertas. Están diseñadas y
desplegadas para prevenir acceso a todos sin autorización apropiada. Una cerradura es
una forma cruda de mecanismo de identificación y autorización. Si posees la llave o
combinación correcta esta considerada autorizada y con permiso para entrar.
637
Cerraduras basadas en llaves son las mas comunes y baratas de dispositivos de
controles de acceso físico .Generalmente son conocidas como predefinidas llaves.
Cerraduras programables algunas veces ofrecen un largo rango de control. Algunos
programables pueden ser configurados con múltiples combinaciones validas de acceso
o puede incluir controles electrónicos o digitales empleando Keypads, smart cards o
dispositivos Cipher.
Servidores bloqueados es una alternativa para salvaguardar como un control de acceso
de control de perímetro de entrada. Una puerta puede ser abierta y cerrada para
permitir acceso por guardias de seguridad quienes verifican las identidades antes de
permitir los accesos, o bloquearse así mismas puede servir como dispositivo de
verificación que solo permite o restringe entradas.
Placa
Placas, tarjetas de identificación y IDs de seguridad son formas de identificación física
y/o electrónica de control de seguridad. Una placa puede ser tan simple como una
indicación de nombre así seas un empleado valido o un visitante. O puede ser compleja
como un a tarjeta inteligente o dispositivo Token que emplea autentificación multifactor
para verificar y probar la identidad y proveer autentificación y autorización para acceder
a facilidades, específicos cuartos o estaciones de trabajo seguras. Placas generalmente
incluyen fotos, cintas magnéticas con data codificada y detalles personales para ayudar
a asegurar la verificación de la identidad.
Placas pueden ser usados en ambientes en donde accesos físicos es primariamente
contr5olados por guardias de seguridad. En cuyas condiciones,, las placas sirven de
herramienta de identificación visual para los guardias. Ellos verifican la identidad
comparando la foto con la persona y consultando una lista de autorizaciones impresa o
digital del personal para determinar si tienen o no acceso valido.
Placas pueden servir también, en ambientes vigilados por dispositivos de escaneo en
vez de guardias de seguridad. En dichas condiciones, la placa puede ser usada por
para autentificación o identificación. Cuando una placa es usada como identificación, es
guardada en un dispositivo y luego el dueño debe proveer una o mas factores de
autentificación, como un password, frase clave, o rasgo biológico (si un dispositivo
biométrico es usado). Cuando la placa es usada para autentificación, el dueño provee
su ID, Username y mas y luego muestra la placa para autentificarse.
Detectores De Movimiento
638
Un detector de movimiento, o sensor de movimiento, es un dispositivo que detecta la
ocurrencia del movimiento en un área específica. Hay diversos tipos de detectores de
movimiento, incluyendo el infrarrojo, el calor, el patrón de la onda, la capacitáncia,
fotoeléctricos, y audio pasivo. Monitores de infrarrojo detectores de movimiento para los
cambios significativos o muy significativos en el patrón infrarrojo de la iluminación de un
área supervisada. Monitores detectores del movimiento basados del calor para los
cambios significativos o muy significativos en los niveles y los patrones del calor en un
área supervisada. Un patrón de onda detector del movimiento transmite una constante
onda baja ultrasónica o una alta frecuencia de microondas en el área supervisada y los
monitores para los cambios o los disturbios significativos o muy significativos en el
patrón reflejado. Un detector del movimiento de la capacitancia detecta cambios en el
campo eléctrico o magnético que rodea un objeto supervisado. Un detector fotoeléctrico
del movimiento detecta cambios en los niveles ligeros visibles del área supervisada. Los
detectores fotoeléctricos del movimiento generalmente se despliegan en los cuartos
internos que no tienen ninguna ventana y se mantienen oscuros. Un detector audio
pasivo del movimiento escucha sonidos anormales en el área supervisada.
Alarmas de Intrusión
Siempre que un detector del movimiento identifique un cambio significativo o muy
significativo en el ambiente, acciona una alarma. Una alarma es un mecanismo
separado que acciona un impedimento, un repulsivo, y/o una notificación. Las alarmas
que accionan impedimentos pueden abarcar cerraduras adicionales, cierra puertas, etc.
La meta de tales alarmas es hacer la intrusión o el ataque más difícil. Las alarmas que
accionan los ataques tocan un sonido de sirena o una y generalmente la luz da vuelta
encendidose. Estas clases de alarmas se utilizan para desalentar al intruso o al
atacante de continuar sus actividades malévolas o de violaciones y para conseguirlas
dejar sus propósitos. Las alarmas que accionan notificaciones son a menudo
silenciosos a la perspectiva de un intruso/atacante, pero estas alarmas registran datos
sobre el incidente y notifican a los administradores, agentes policiales, y al ejército. La
grabación de un incidente puede tomar la forma de ficheros de diario y/o de cintas de
CCTV. El propósito de una alarma silenciosa es traer a personal autorizado de la
seguridad a la localización de la intrusión o del ataque con esperanzas de coger a la
persona que comete los actos indeseados.
Los sistemas de alarmas locales deben difundir una señal de la alarma audible que se
pueda oír fácilmente hasta 400 pies lejos. Además, deben ser protegidos, generalmente
por los agentes de seguridad, para evitar la desinstalación o el mal funcionamiento.
Para que un sistema de alarma local sea eficaz, debe haber un equipo de seguridad o
639
agentes cercando para que puedan responder cuando se accione la alarmar. Un
sistema de alarma centralizado puede no tener una alarma local; cuando se acciona la
alarma se asigna un telecontrol centralizado supervisando la estación.
Los sistemas de alarmas auxiliares se pueden agregar a los sistemas de alarmas
locales o centralizados. El propósito de un sistema de alarma auxiliar es notificar al
policía o bomberos cuando se acciona una alarma.
Mecanismos Secundarios de Verificación
Cuando se utilizan los detectores, los sensores, y las alarmas de movimiento, los
mecanismos secundarios de verificación deben estar en el lugar. Pues la sensibilidad de
estos dispositivos se aumenta, una alerta falsa ocurrirá más a menudo. Los
acontecimientos inofensivos tales como la presencia de animales, de pájaros, de
insectos, y del personal autorizado pueden accionar alarmas falsas. Desplegando dos o
más sistemas de detecciones y requerir del sensor dos o más alertas en la sucesión
rápida antes de que se accione una alarma y así reducir perceptiblemente las alarmas
falsas y aumentar la certeza de detectar intrusiones o ataques reales.
CCTV (circuito cerrado vía cámaras de televisión) es un mecanismo de seguridad
relacionado con los detectores, los sensores, y las alarmas de movimiento. Sin
embargo, CCTV no es un sistema automatizado de detección y respuesta. CCTV
requiere que un personal mire el vídeo capturado para detectar actividades
sospechosas y malévolas y para accionar la alarma. En muchos casos, CCTV no se
utiliza como herramienta primaria de la detección debido al alto coste de pagar a una
persona para sentarse y mirar las pantallas del vídeo. En su lugar, se utiliza como
mecanismo secundario o de la prueba recordativa que se usa después de que ocurra
una alerta por un sistema automatizado.
Controles Técnicos
Los controles técnicos son los más empleados a menudo como un mecanismo del
control de acceso para manejar el acceso físico, incluye tarjetas inteligentes y la
biométrica. Además de control de acceso, los mecanismos físicos de la seguridad
incluyen rastros de intervención, registros de acceso, y los sistemas de la detección de
la intrusión (IDSs).
Tarjeta Inteligente
Las Tarjeta Inteligentes son identificaciones, divisas o pases de seguridad que tienen
una tira magnética, código de barras o un circuito integrado en la misma. Pueden
contener la información sobre el portador autorizado que se puede utilizar para los
640
propósitos de la identificación y/o de la autentificación. Algunas tarjetas inteligentes son
incluso capaces de procesar la información o se pueden utilizar para almacenar
cantidades razonables de datos en un chip de memoria.
Dumb cards son identificaciones que pueden ser leídas por todos, usualmente tienen
una foto y una información escrita sobre el portador autorizado. Las Dumb cards están
para el uso en los ambientes en los cuales automatizó controles son restringidos o
inasequible pero los protectores de seguridad son prácticos.
Sensor de Proximidad
Además de tarjetas inteligentes y dumb cards, los sensores de proximidad pueden ser
utilizados para controlar el acceso físico.
Un sensor de proximidad puede ser un dispositivo pasivo, un dispositivo accionado del
campo o un transpondor.
El sensor de proximidad es usado o llevado a cabo por el personal autorizado. Cuando
pasan el sensor de proximidad, el lector puede determinar quien es el portador y si han
autorizado el acceso. Un dispositivo pasivo refleja o altera de otra manera el campo
electromagnético generado por el sensor. Esta alteración es detectada por el sensor; el
dispositivo pasivo no tiene ninguna electrónica activa. Un dispositivo accionado del
campo tiene electrónica, se activa cuando incorpora el campo electromagnético
generado por el sensor. Un dispositivo del transpondor es auto accionado y transmite
una señal recibida por el sensor.
Además de las tarjetas inteligentes y dumb cards, los sensores de proximidad pueden
ser utilizados para controlar el acceso físico se puede manejar con los dispositivos
biométricos del control de acceso. Vea el capítulo 1, "control de la responsabilidad y de
acceso," para una descripción de dispositivos biométricos.
Access Violentados
No importa que forma de control de acceso físico se utiliza, el agente de seguridad o el
otro sistema de supervisión debe ser desplegado para prevenir el abuso, masquerading,
y llevando a cuestas. Los ejemplos de abusos de los controles de acceso físicos están
soportados por puertas aseguradas abiertas y las cerraduras rotas. Masquerading
consiste simplemente en suplantar la identidad de cierto usuario autorizado y entrar con
facilidad.
Piggybacking está siguiendo a alguien a través de una puerta o de un umbral asegurada
sin ser identificado o el ser autorizado personalmente.
641
Los rastros de intervención y los registros del acceso son herramientas útiles incluso
para el control de acceso físico. Pueden necesitar ser creado manualmente por los
agentes de seguridad. O pueden ser generados automáticamente si los suficientes
mecanismos automatizados del control de acceso (tales como tarjetas inteligentes y
ciertos sensores de la proximidad) están en lugar. El tiempo que un punto solicita la
entrada, el resultado del proceso de la autentificación, y la longitud del tiempo que la
puerta es abierta son elementos importantes a incluir en rastros de intervención y para
tener acceso a registros. Además del rastro electrónico o de papel, se debe considerar
la supervisión de puntos de entrada con CCTV. CCTV que le permite comparar los
rastros de intervención y tener acceso a registros con una historia visualmente
registrada de los acontecimientos. Tal información es crítica para reconstruir los
acontecimientos de una intrusión, de una abertura, o de un ataque.
Sistemas De la Detección De la Intrusión
Los sistemas de la detección de la intrusión son sistemas (automatizados o manuales)
que se diseña para detectar la intrusión procurada, practicar una abertura, o ataque de
un individuo no autorizado; el uso de un punto de entrada desautorizado; o el confiar del
acontecimiento en un rato desautorizado o anormal. Los sistemas de detección de
intrusión son usados para supervisar actividad física, pueden incluir a agentes de
seguridad, controles de acceso automatizados, y los detectores del movimiento, así
como la otra especialidad que supervisa técnicas. Los sistemas físicos de detección de
intrusión, también llamados las alarmas de ladrón, detectan actividades desautorizadas
y notifican a las autoridades (seguridad interna o aplicación de ley externa). Los
sistemas físicos de detección de intrusión pueden supervisar las vibraciones, el
movimiento, los cambios de temperatura, el sonido, los cambios en campos
electromagnéticos, y mucho más. El tipo más común de sistema utiliza un circuito
simple (a.k.a. interruptores secos del contacto) que abarca la cinta de la hoja en puntos
de la entrada para detectar cuando se ha abierto una puerta o una ventana. Un
mecanismo de detección de la intrusión es útil solamente si está conectado con una
alarma de la intrusión. Una alarma de intrusión notifica a autoridades sobre una abertura
de la seguridad física. Hay cuatro tipos de alarmar:
Sistema de alarma Local Una alarma suena localmente y se puede oír hasta 400 pies
lejos
Sistema central La alarma es silenciosa localmente, pero del sitio que supervisan los
agentes se notifican así que pueden responder a la abertura de la seguridad. La
mayoría de los sistemas residenciales de la seguridad son de este tipo. La mayoría de
642
los sistemas centrales de la estación son compañías de seguridad bien conocidas o
nacionales, tales como “Brinks” y “ADT”.
Sistema propietario Ésta es la misma cosa que un sistema central de la estación; sin
embargo, la organización anfitriona tiene su propio personal de la seguridad del sitio
que espera para responder a las aberturas de la seguridad.
Estación auxiliar Cuando se practica una abertura el perímetro de la seguridad, los
servicios de emergencia se notifican para responder al incidente y para llegar la
localización. Esto podía incluir el fuego, policía, y servicios médicos.
Dos o más de estos tipos de sistemas de la intrusión y de alarma se pueden incorporar
en una sola solución. Sin embargo, hay dos aspectos de cualquier sistema de la
detección y de alarma de la intrusión que pueden hacerla fallar: cómo consigue su
energía y cómo se comunica. Si el sistema pierde energía, no funcionará. Así, una
detección y un sistema de alarma confiable tiene una reserva de la batería con bastante
energía almacenada por 24 horas. Si se cortan las líneas de comunicación, la alarma
puede no funcionar y los servicios del personal y de emergencia de la seguridad no
serán notificados. Así, una detección y un sistema de alarma confiable tienen un sensor
del latido del corazón. Un sensor del latido del corazón es un mecanismo por el cual el
camino de la comunicación es comprobado constantemente o periódicamente con una
señal de la prueba. Si la estación de recepción detecta siempre una señal fallada del
latido del corazón, el alarmar se acciona automáticamente. Ambas de estas medidas e
diseñan para evitar que un intruso evite el sistema de la detección y de alarmar.
Seguridad De Emanación
Muchos dispositivos eléctricos emanan señales eléctricas o radiaciones que se pueden
interceptar por los individuos desautorizados. Estas señales pueden contener datos
confidenciales, sensibles, o confidenciales. Los ejemplos obvios de los dispositivos de la
emanación son la arquitectura de una red wireless y teléfonos móviles, pero hay
muchos otros dispositivos que son vulnerables a la interceptación. Algunos ejemplos
posibles podrían ser monitores, módems, y los drivers internos y externos (disco duro,
disqueteras, CDs, etc.). Con el correcto equipo, los usuarios no autorizados podrían
interceptar las señales de la radiofrecuencia electromágnetica o (conocidas
colectivamente como emanaciones) y extraer datos confidenciales.
TEMPEST
Claramente, si un dispositivo está enviando una señal que se pueda interceptar por
alguien fuera de su organización, es necesaria una precaución de seguridad. Los tipos
643
de contramedidas y de salvaguardias usadas para proteger contra ataques de la
emanación se conocen como equipos electromágnetico transitoris del pulso que blinda
los dispositivos de las técnicas (TEMPEST). La TEMPEST era originalmente un estudio
de la investigación del gobierno dirigido protegiendo el equipo electrónico contra daño
del pulso electromágnetico (EMP) de explosiones nucleares. Se inicio desde una
ampliado estudio general de supervisar emanaciones y de prevenir la interceptación de
la emanación. Así la TEMPEST ahora es un nombre formal que se refiere a una amplia
categoría de actividades más bien que siglas para un propósito específico.
COMBATIENDO TEMPEST
Algunas contramedidas de la TEMPEST son jaulas de Faraday, ruido blanco, y zonas
del control. Una jaula de Faraday es una caja, un cuarto móvil, o un edificio entero que
se diseña con una piel externa del metal, a menudo un acoplamiento de alambre, que
rodea completamente un área en los seis lados (es decir, frente, parte posterior,
izquierdo, derecho, superior, y fondo). Esta piel de metal electrificada levemente para
producir a condensador como el efecto (conocido como Faraday) que evita que todas
las señales electromagnéticas (emanaciones) salgan o entren del área incluida por la
jaula de Faraday. Las jaulas de Faraday son muy eficaces en el bloqueo de señales del
EM. En hecho, dentro de una jaula activa de Faraday, los teléfonos móviles no
funcionan se pueden tomar diferentes estaciones de la radio o de la televisión.
El ruido blanco es simplemente la difusión del tráfico falso para enmascarar y para
ocultar la presencia de emanaciones verdaderas. El ruido blanco puede consistir en una
señal verdadera de otra fuente que no sea confidencial, una señal constante de una
frecuencia específica, aleatoriamente una señal de la variable (Tal como el ruido blanco
oído entre las estaciones de radio o las estaciones de la televisión), o aún una señal del
atasco que haga el equipo de la interceptación fallar. El ruido blanco es el más eficaz
cuando está creado alrededor del perímetro de un área de modo que sea difusión hacia
fuera para proteger el área interna donde las emanaciones pueden ser necesarias para
las operaciones normales. El tipo final de contramedidas de la TEMPESTAD, una zona
del control, es simplemente la puesta en práctica de una jaula de Faraday o de la
generación de ruido blanca en un ambiente donde se protege un área específica
mientras que no es el resto. Una zona de control puede ser un cuarto, un piso, o un
edificio entero. Las zonas del control son esas áreas donde las señales de la emanación
son apoyadas y utilizadas por el equipo necesario, tal como establecimiento de una red
sin hilos, los teléfonos móviles, las radios, y las televisiones. Fuera de las zonas del
control, se bloquea la interceptación de la emanación o prevenido con el uso de vario un
aspecto importante del control y de mantener de acceso físico la seguridad de una
644
facilidad está protegiendo los elementos básicos del ambiente y de la vida humana de
protección. En todas las circunstancias y bajo todas las condiciones, el aspecto más
importante de la seguridad es proteger a la gente. La prevención de daño a la gente es
la meta más importante de todas las soluciones de la seguridad.
Seguridad Del Personal
La parte de seguridad que mantiene al personal está manteniendo el ambiente básico
de una facilidad. Por períodos de tiempo cortos, la gente puede sobrevivir sin el agua, el
alimento, el aire acondicionado, y la energía. Pero en algunos casos, la pérdida de
estos elementos puede tener resultados desastrosos o pueden ser síntomas de
problemas más inmediatos y más peligrosos. “El flooding”, los fuegos, el lanzamiento de
materiales tóxicos, y los desastres naturales todos amenazan vida humana así como la
estabilidad de una facilidad. Los procedimientos físicos de la seguridad deben centrarse
en la protección de vida humana y entonces en la restauración de la seguridad del
ambiente y la restauración de las utilidades necesarias para IT infraestructura para
funcionar.
Energía y electricidad
La energía provista por las compañías eléctricas no está siempre constante y limpia. La
mayoría de equipos electrónicos exige energía limpia de funcionar correctamente. Los
daños de equipo debido a las fluctuaciones de la energía es una ocurrencia común.
Muchas organizaciones optan manejar su propia energía con varios medios. Una fuente
de alimentación continua (UPS) es un tipo de batería de auto carga que se puede
utilizar para proveer energía limpia constante al equipo sensible. Una UPS funciona
básicamente tomando energía adentro del enchufe de pared, almacenándola en una
batería, sacando la energía a la batería, y después alimentando esa energía a
cualesquiera dispositivos que estén conectados con ella. Por la corriente que dirige a
través de su batería, puede mantener una fuente de alimentación limpia constante. Una
UPS tiene una segunda función, una que se utilice lo más a menudo posible como
punto de venta. Una UPS proporciona energía continua incluso después la fuente de
energía primaria falle. Una UPS puede continuar proveyendo la energía por minutos o
las horas, dependiendo de su capacidad y de la cantidad de energía el equipo necesita.
Otros medios de asegurarse de que el equipo no sea dañado por fluctuaciones de la
energía son el uso de las tiras de la energía con los protectores de oleada. Un protector
de oleada incluye un fusible que sople antes de que los niveles de la energía cambien
perceptiblemente bastante al daño de la causa al equipo. Sin embargo, una vez que un
fusible o el circuito del protector de oleada esté disparado, el flujo eléctrico se
645
interrumpe totalmente. Los protectores de oleada deben ser utilizados solamente
cuando la terminación inmediata de la electricidad no causará daño o pérdida al equipo.
Si no, una UPS debe ser empleada. Si mantener las operaciones por tiempo
considerable a pesar de un marrón hacia fuera o del apagón es una necesidad,
entonces en los generadores eléctricos del sitio se requieren. Tales generadores se
giran automáticamente cuando se detecta un apagón. La mayoría de los generadores
funcionan con un depósito de gasolina del propulsor líquido o gaseoso que se deba
mantener para asegurar confiabilidad. Los generadores eléctricos se consideran las
fuentes de energía alternas o de reserva. Los problemas con energía son numerosos.
Aquí está una lista de los términos asociados a las ediciones de la energía que usted
debe ser familiar con:
Avería una pérdida momentánea de energía
Apagón una pérdida completa de energía
Tensión momentánea baja de voltaje
Brownout fuera de la baja tensión prolongada
Spike Alto voltaje momentáneo del punto
Surg Alto voltaje prolongado
Inrush En acometidas una oleada inicial de la energía se asoció generalmente a
conectar con una fuente de energía, es primario o secundario alterno
Ruido Un disturbio que interfiere la constante
Transien una duración corta de ruido
Limpio la energía pura que fluctúa
Ground el alambre en un circuito eléctrico se pone a tierra
Un brownout es una edición interesante de la energía porque su definición se refiere a
los estándares del ANSI para la energía. Los estándares del ANSI permiten una gota de
8 por ciento en energía entre la fuente de energía y el metro de la facilidad y una gota
de 3.5 por ciento entre el metro de la facilidad y el enchufe de pared antes de que el
caso de la baja tensión prolongada se etiquete como brownout.
Ruido
El ruido puede causar más que apenas problemas con cómo funciona el equipo; puede
también interferir con la calidad de comunicaciones, de transmisiones, y del aparato de
lectura. El ruido generado por la corriente eléctrica puede afectar cualquier medio de la
transmisión de datos que confía en mecanismos electromágneticos del transporte, tales
como teléfono, celular, televisión, audio, radio, y mecanismos de la red. Hay dos tipos
646
de interferencia electromágnetica (EMI): modo común y modo travieso. El ruido común
del modo es generado por la diferencia en energía entre los alambres calientes y de
tierra de una fuente de energía o el equipo eléctrico de funcionamiento. El ruido travieso
del modo es generado por la diferencia en energía entre los alambres calientes y
neutrales de una fuente de energía o el equipo eléctrico de funcionamiento.
Una edición similar es interferencia de la radiofrecuencia (IRF), que puede afectar
muchos de los mismos sistemas que la EMI. La IRF es generada por un número amplio
de aplicaciones eléctricas comunes, incluyendo luces fluorescentes, de cables
eléctricos, de calentadores eléctricos del espacio, de computadoras, de elevadores, de
motores, y de imanes eléctricos. La protección de su fuente de alimentación y de su
equipo contra ruido es una parte importante de mantener un ambiente productivo y de
funcionamiento para su ÉL infraestructura. Los pasos a tomar para esta clase de
protección incluyen prever la suficiente energía que condiciona, estableciendo poner a
tierra apropiado, blindar todos los cables, y la limitación de la exposición a las fuentes
de la EMI y de la IRF.
Temperatura, humedad, y Estática
Además de consideraciones de la energía, mantener el ambiente implica control sobre
los mecanismos de la HVAC. Los cuartos que contienen sobre todo las computadoras
se deben guardar en 60 a 75 grados los grados de Fahrenheit (15 a 23 centígrados). La
humedad en una sala de ordenadores se debe mantener entre 40 y 60 por ciento.
Demasiada humedad puede causar la corrosión. Demasiado poca humedad causa
electricidad estática. Incluso en el alfombrado no estático, si el ambiente tiene humedad
baja sigue siendo posible generar las descargas estáticas 20,000-volt. Como usted
puede ver en la tabla 19.1, incluso los niveles mínimos de la descarga estática pueden
destruir el equipo electrónico.
Agua
La salida y el “flooding” del agua se deben tratar en su política y procedimientos
ambientales de seguridad. Los escapes de la plomería no son una ocurrencia diaria,
sino que cuando suceden, causan a menudo daño significativo. El agua y la electricidad
no se mezclan. Si sus sistemas informáticos vienen en contacto con agua,
especialmente mientras que están funcionando, el daños son seguros ocurrir. El agua
más y la electricidad crean un riesgo serio del electrocution al personal. Siempre que
sea posible, localice los cuartos del servidor y el material informático crítico lejos de
cualquier fuente de agua o transporte las pipas. Usted puede también desear instalar
647
los circuitos de detección del agua en el piso alrededor de sistemas críticos de la
misión.
Tabla 19.1 Voltaje estático y Daño
Voltaje estático Posible Daño
40 Destrucción de circuitos sensibles y de otros componentes
electrónicos
1,000 El revolver de las exhibiciones del monitor
1,500 Destrucción de los datos almacenados en impulsiones duras
2,000 Parada normal del sistema precipitada
4,000 Atasco de la impresora o daños del componente
17,000 Daños permanente del circuito
Los circuitos de detección del agua sonarán un alarmar y le alertarán si el agua está
usurpando sobre el equipo. Reducir al mínimo emergencias, sea familiar con las
válvulas de cierre y las localizaciones del drenaje. Además de la supervisión para los
escapes de la plomería, usted debe evaluar la capacidad de su facilidad de manejar la
lluvia severa o el flooding en su área. ¿La facilidad está situada en una colina o en un
valle? ¿Hay suficiente drenaje? ¿Hay una historia del flooding o de la acumulación del
agua derecha? ¿Su sitio del servidor está situado en el sótano o en la primera planta?
Detección y supresión de fuego
La detección y la supresión de fuego no deben ser pasadas por alto. El personal de
protección del daño debe siempre ser la meta más importante de cualquier seguridad o
sistema de protección. Además de la gente de protección, la detección y la supresión de
fuego se diseña para mantener el daño causado por el fuego, el humo, el calor, y los
materiales de la supresión a un mínimo, especialmente en vista de la infraestructura.
Uno de los fundamentos de la gerencia del fuego es entrenamiento apropiado del
conocimiento del personal. Cada uno debe ser a fondo familiar con los mecanismos de
la supresión del fuego en su facilidad. Cada uno debe también ser familiar con por lo
menos dos rutas de la evacuación de su localización primaria del trabajo y saber
localizar las rutas de la evacuación a otra parte en la facilidad. El personal debe ser
entrenado en la localización y el uso de los extintores. Otros artículos que se pueden
incluir en fuego o el entrenamiento general de la respuesta de la emergencia es
entrenamiento de la resucitación cardiopulmonar (CPR), los procedimientos de la
parada de la emergencia, y lo pre establecido para la verificación de la localización o de
seguridad (tal como mensaje de voz).
648
Extintores
Hay varios tipos de extintores. Entendiendo qué tipo es esencial utilizar en varias formas
de fuego para la supresión eficaz del fuego. Si un extintor se utiliza incorrectamente o la
forma incorrecta de extintor se utiliza, el fuego podría separarse e intensificarse en vez
de ser apagado. Los extintores deben ser utilizados solamente cuando un fuego todavía
está en la etapa incipiente. La tabla 19.2 enumera los tres tipos comunes de extintores.
Tabla 19.2 Clases de Extintor
Clase Tipo Material De la Supresión
A Combustibles comunes Agua, ácido (polvo seco)
B Liquido CO2, Halon, ácido
C Eléctrico CO2, Halon
Sistemas De Detección De Fuego
Proteger correctamente una facilidad contra el fuego es instalar un sistema
automatizado de la detección y de la supresión. Hay muchos tipos de sistemas de
detección de fuego. Los sistemas fijos de la detección de la temperatura accionan la
supresión cuando se alcanza una temperatura específica. El aletador es generalmente
un componente del metal o del plástico que está en la cabeza de regadera y derrite en
una temperatura específica. El índice de los sistemas de la detección de la temperatura
de la subida acciona la supresión cuando la velocidad a la cual los cambios de
temperatura alcanzan un nivel específico. Flamee la supresión actuada del disparador
de los sistemas basada en la energía infrarroja de llamas. Fume la supresión actuada
del disparador de los sistemas basada en los sensores fotoeléctricos o radiactivos de la
ionización. La mayoría de los sistemas de detección de fuego se pueden ligar para
encender mecanismos de la notificación del servicio de la respuesta. Cuando se
acciona la supresión, tales sistemas ligados entrarán en contacto con a equipo local de
la respuesta del fuego y solicitarán la ayuda usando un mensaje o un alarmar
automatizado. Según lo para los mecanismos de la supresión usados, pueden ser
basados en el agua o en un sistema del gas de la supresión del fuego. El agua es la
más común de ambientes humano-amistosos, mientras que los sistemas gaseosos son
más apropiados para las salas de ordenadores en donde no reside el personal
típicamente.
Sistemas De la Supresión Del Agua
649
Hay cuatro tipos principales de sistemas de la supresión del agua. Un sistema wet pipe
system (también conocido como sistema del closedhead) es siempre lleno de agua.
Descargas del agua inmediatamente cuando se acciona la supresión. Un sistema dry
pipe system contiene el aire comprimido. Una vez que se accione la supresión, el aire
se escapa, abriendo una válvula del agua que alternadamente haga las pipas llenar y
descargar el agua en el ambiente. Un sistema del diluvio es otra forma de sistema seco
de la pipa que utilice pipas más grandes y por lo tanto un volumen perceptiblemente
más grande de agua. Los sistemas del diluvio son inadecuados para los ambientes que
contienen electrónica y las computadoras. Un sistema del preaction es un sistema seco
de la pipa de la combinación pipe/wet. El sistema existe como pipa seca hasta las
etapas iniciales de un fuego (humo, calor, los etc.) se detectan y entonces las pipas se
llenan de agua. Se lanza el agua solamente después que los alertadores de la
activación de la cabeza de regadera son derretidos por suficiente calor. Si se apaga el
fuego antes de que se accionen las regaderas, las pipas se pueden vaciar manualmente
y reajuste. Esto también permite para que la intervención manual pare el lanzamiento
del agua antes de que ocurra el accionar de la regadera. Los sistemas de Pre acción
son el sistema a base de agua más apropiado para los ambientes que incluyen a las
computadoras y a seres humanos en las mismas localizaciones.
Sistemas De Escape Del Gas
Los sistemas de escape de gas son generalmente más eficaces que sistemas de
escape de agua. Sin embargo, los sistemas de escape de gas no se deben emplear en
los ambientes en los cuales la gente está situada. Los sistemas de escape del gas
quitan generalmente el oxígeno del aire, así haciéndolos peligrosos al personal.
Emplean un medio gaseoso presurizado de la supresión, tal como CO2, halon, o FM-
200 (un reemplazo del halon). El halon es un compuesto muy eficaz de la supresión del
fuego, pero convierte a los gases tóxicos en 900 grados de Fahrenheit. Además, no es
ambientalmente amistoso. Por lo tanto, es substituido generalmente por un medio más
ecológico y menos más tóxico. La lista siguiente incluye los reemplazos para el halon:
_ FM-200 (HFC-227ea)
_ CEA-410 or CEA 308
_ NAF-S-III (HCFC Blend A)
_ FE-13 (HCFC-23)
_ Aragon (IG55) or Argonite (IG01)
_ Inergen (IG541)
650
El halon se puede también sustituir por las nieblas de baja presión del agua, pero esos
sistemas no se emplean generalmente en salas de ordenadores o instalaciones del
almacenaje del equipo.
Daños
La dirección de la detección y de la supresión de fuego incluye ocuparse de la
contaminación y del daño posible causado por el fuego. Los elementos destructivos de
un fuego incluyen humo y calor, pero también incluyen el medio de la supresión, tal
como agua o ácido de la soda. El humo es perjudicial a la mayoría de los dispositivos de
almacenaje. El calor puede dañar cualquier componente electrónico o de la
computadora. Los medios de la supresión pueden causar los circuitos cortos, corrosión
iniciada, o de otra manera haga el equipo inútil. Todas estas ediciones deben ser
tratadas al diseñar un sistema de la respuesta del fuego.
No importa qué la calidad del equipo su organización elige comprar y es instalar, fallará
eventualmente. Se debe entender este hecho y estar preparados para asegurar la
disponibilidad en curso de su infraestructura y la ayuda a proteger la integridad y la
disponibilidad de sus recursos. La preparación para la falta de equipo puede tomar
muchas formas. En algunas situaciones críticas, simplemente saber dónde usted puede
comprar las piezas de recambio para un tiempo de reemplazo 48 horas es suficiente. En
otras situaciones, que mantiene el recambio de las piezas es obligatorio. Tenga
presente que el tiempo de reacción en volver un sistema de nuevo a un estado
completamente de funcionamiento es directamente proporcional al coste implicado en
mantener tal solución.
Los costes incluyen el almacenaje, transporte, comprando, y manteniendo en la
instalación del sitio y la maestría de la restauración. En algunos casos, el mantener en
reemplazos del sitio es in factible. Para esos casos, establecer un acuerdo del
porcentaje de disponibilidad (SLA) con el vendedor de hardware es esencial.
Un SLA define claramente el tiempo de reacción que un vendedor proporcionará en el
acontecimiento de una emergencia de la falta de equipo. El hardware del
envejecimiento se debe programar para el reemplazo y/o la reparación. El horario para
tales operaciones se debe basar en el Horario de Greenwich a la falta (MTTF) y el
Horario de Greenwich de reparar las estimaciones (MTTR) establecidas para cada
dispositivo. MTTF es el curso de la vida funcional típico previsto del dispositivo dado un
ambiente de funcionamiento específico. El MTTR es la longitud del tiempo media
requerida para realizar una reparación en el dispositivo. Un dispositivo puede
experimentar a menudo reparaciones numerosas antes de que una falta catastrófica
651
espere. Sea seguro programar todos los dispositivos para ser substituido antes de que
expire su MTTF. Cuando un dispositivo se envía para las reparaciones, usted necesita
tener una solución alterna o un dispositivo de reserva que completar para la duración
del tiempo de reparación. A menudo, el esperar hasta que ocurre una falta de menor
importancia antes de que se realice una reparación es satisfactorio, pero que espera
hasta que ocurre una falta completa antes de que el reemplazo sea una práctica
inaceptable de la seguridad.
Resumen
Si usted no tiene control sobre el ambiente físico, ninguna cantidad de controles
administrativos o de técnico/lógico de acceso puede proporcionar seguridad adecuada.
Si una persona malévola puede tener el acceso físico a su facilidad o equipo, lo poseen.
Hay muchos aspectos y elementos a poner y a mantener seguridad en ejecución física.
Uno de los elementos de la base es que selecciona o que diseña la facilidad que lo
contendrá su infraestructura y las operaciones de su organización. Usted debe
comenzar con un plan que contornee las necesidades de la seguridad de su
organización y acentúe métodos o mecanismos para emplear para proporcionar
seguridad. Tal plan se desarrolla con un proceso conocido como análisis de trayectoria
crítica. Los controles de la seguridad puestos en ejecución para manejar seguridad
física se pueden dividir en tres grupos: administrativo, técnico, y comprobación. Los
controles físicos administrativos de la seguridad incluyen la construcción y selección de
la facilidad, gerencia del sitio, los controles del personal, entrenamiento del
conocimiento, y respuesta y los procedimientos de la emergencia. Los controles físicos
técnicos de la seguridad incluyen controles de acceso, detección de la intrusión, los
alarmar, CCTV, supervisión, HVAC, las fuentes de alimentación, y detección y
supresión de fuego.
Los ejemplos de los controles físicos para la seguridad física incluyen a cercar, a
encenderse, a las cerraduras, a los materiales de construcción, a los mantraps, a los
perros, y a protectores. Hay muchos tipos de mecanismos físicos del control de acceso
que se puedan desplegar en un ambiente para controlar, para supervisar, y para
manejar el acceso a una facilidad. Éstos se extienden de impedimentos a los
mecanismos de la detección. Pueden ser cercas, puertas, torniquetes, mantraps,
iluminación, protectores de seguridad, perros de la seguridad, cerraduras dominantes,
cerraduras de combinación, divisas, detectores del movimiento, sensores, y alarmar.
Los controles técnicos lo más a menudo posible encontraron empleado como un
mecanismo del control de acceso para manejar el acceso físico incluye tarjetas y la
652
biométrica. Además de control de acceso, los mecanismos físicos de la seguridad
pueden estar en la forma de rastros de intervención, de registros del acceso, y de
sistemas de la detección de la intrusión. Un aspecto importante del control y de
mantener de acceso físico la seguridad de una facilidad está protegiendo los elementos
básicos del ambiente y de la vida humana de protección. En toda la circunstancia y bajo
todas las condiciones, el aspecto más importante de la seguridad está protegiendo a
gente. La prevención de daño es la meta extrema de todas las soluciones de la
seguridad. El abastecimiento de fuentes de energía limpias y el manejo del ambiente
son también importantes. La detección y la supresión de fuego no deben ser pasadas
por alto. Además de la gente de protección, la detección y la supresión de fuego se
diseña para mantener daño causado por el fuego, el humo, el calor, y los materiales de
la supresión a un mínimo, especialmente en vista de la infraestructura.
Entienda porqué no hay seguridad sin seguridad física. Sin control sobre el ambiente
físico, ninguna cantidad de controles administrativos o de técnico/lógico de acceso
puede proporcionar seguridad adecuada. Si una persona malévola puede tener el
acceso físico a su facilidad o equipo, pueden hacer apenas sobre cualquier cosa que
desean, de la destrucción al acceso y a la alteración.
Poder enumerar controles físicos administrativos de la seguridad. Los ejemplos de los
controles físicos administrativos de la seguridad son construcción y selección de la
facilidad, gerencia del sitio, controles del personal, entrenamiento del conocimiento, y
respuesta y procedimientos de la emergencia
Poder enumerar los controles físicos técnicos de la seguridad. Los controles físicos
técnicos de la seguridad pueden ser controles de acceso, detección de la intrusión,
alarmar, CCTV, supervisión, HVAC, fuentes de alimentación, y detección y supresión de
fuego.
Poder nombrar los controles físicos para la seguridad física. Los controles físicos para la
seguridad física son el cercar, el encenderse, cerraduras, materiales de construcción,
mantraps, perros, y protectores.
Conocer los elementos dominantes en la fabricación de una selección de sitio y diseñar
una facilidad para la construcción.
Los elementos dominantes en la fabricación de una selección de sitio son la visibilidad,
composición de los alrededores, de la accesibilidad del área, y de los efectos de
desastres naturales. Un elemento dominante en diseñar una facilidad para la
653
construcción está entendiendo el nivel de la seguridad necesitado por su organización y
está planeando para él antes de que la construcción comience.
Conocer como diseñar y configurar áreas de trabajo seguras. No debe haber igualdad
de acceso a todas las localizaciones dentro de una facilidad. Las áreas que contienen
activos de un valor o de una importancia más alto deben haber restringido el acceso.
Los activos valiosos y confidenciales se deben situar en el corazón o el centro de la
protección proporcionado por una facilidad. También, el servidor o las salas de
ordenadores centralizado no necesita ser compatibles humano.
Entender cómo manejar visitantes en una facilidad segura. Si una facilidad emplea
áreas restrictas a la seguridad física del control, después un mecanismo para manejar
visitantes se requiere. Asignan a menudo un acompañamiento a los visitantes y su
acceso y actividades se supervisan de cerca. El no poder seguir las acciones de
forasteros cuando se conceden el acceso en un área protegida puede dar lugar a
actividad malévola contra los activos protegidos.
Saber las tres categorías de los controles de la seguridad puestos en ejecución para
manejar seguridad física y para poder nombrar ejemplos de cada uno. Los controles de
la seguridad puestos en ejecución para manejar seguridad física se pueden dividir en
tres grupos: administrativo, técnico, y comprobación. Entienda cuando y cómo utilizar
cada uno y poder enumerar ejemplos de cada uno bueno.
Saber las amenazas comunes a los controles de acceso físicos. No importa qué la
forma de control de acceso físico se utiliza, el protector de seguridad o el otro sistema
de supervisión debe ser desplegado para prevenir el abuso, “masquerading”, y llevando
a cuestas. Los abusos del control de acceso físico están apoyando puertas aseguradas
abiertas y están puenteando las cerraduras o los controles de acceso. “Masquerading”
está utilizando a algún otro identificación de la seguridad para ganar la entrada en una
facilidad. El llevar a cuestas está siguiendo a alguien a través de una puerta o de un
umbral asegurada sin ser identificado o el ser autorizado personalmente.
Entender la necesidad de rastros de intervención y tenga acceso a los registros. Los
rastros de intervención y los registros del acceso son herramientas útiles incluso para el
control de acceso físico. Pueden necesitar ser creado manualmente por los protectores
de seguridad.
O pueden ser generados automáticamente si los mecanismos suficientemente
automatizados del control de acceso están en el lugar (es decir, las tarjetas elegantes y
654
ciertos lectores de la proximidad). Usted debe también considerar el supervisar de
puntos de entrada con CCTV. Con CCTV, usted puede comparar los rastros de
intervención y tener acceso a registros con una historia visualmente registrada de los
acontecimientos. Tal información es crítica a reconstruir los acontecimientos de una
intrusión, de una abertura, o de un ataque.
Entender la necesidad de la energía limpia. La energía provista por las compañías
eléctricas no está siempre constante y limpia. La mayoría del equipo electrónico exige
energía limpia para funcionar correctamente. Los daños de equipo debido a las
fluctuaciones de la energía es una ocurrencia común. Muchas organizaciones optan
manejar su propia energía con varios medios. Una UPS (fuente de alimentación
continua) es un tipo de batería de uno mismo-carga que se puede utilizar para proveer
energía limpia constante al equipo sensible. UPS’s también proporciona energía
continua incluso después la fuente de energía primaria falle. Una UPS puede continuar
proveyendo la energía para los minutos o las horas dependiendo de su capacidad y el
drenaje por el equipo.
Saber los términos asociados comúnmente a las ediciones de la energía. Sepa las
definiciones del siguiente: avería, apagón, holgura, “brownout”, punto, oleada, “inrush”,
ruido, transeúnte, limpio, y tierra.
Entender el control el ambiente. Además de consideraciones de la energía, mantener el
ambiente implica control sobre los mecanismos de la HVAC. Los cuartos que contienen
sobre todo las computadoras se deben guardar en 60 a 75 grados los grados de
Fahrenheit (15 a 23 centígrados). La humedad en una sala de ordenadores se debe
mantener entre 40 y 60 por ciento. Demasiada humedad puede causar la corrosión.
Demasiado poca humedad causa electricidad estática.
Saber sobre electricidad estática. Incluso en el alfombrado no estático, si el ambiente
tiene humedad baja, sigue siendo posible generar las descargas estáticas 20,000-volt.
Incluso los niveles mínimos de la descarga estática pueden destruir el equipo
electrónico.
Entender la necesidad de manejar salida y flujo del agua. La salida y el flooding del
agua se deben tratar en su política y procedimientos ambientales de seguridad. Los
escapes de la plomería no son una ocurrencia diaria, sino que cuando suceden, causan
a menudo daño significativo. El agua y la electricidad no se mezclan. Si sus sistemas
informáticos vienen en contacto con agua, especialmente mientras que están
655
funcionando, los daños son seguros ocurrir. Siempre que sea posible, localice los
cuartos del servidor y el material informático crítico lejos de cualquier fuente de agua o
transporte las pipas.
Entender la importancia de la detección y de la supresión de fuego. La detección y la
supresión de fuego no deben ser pasadas por alto. El personal de protección del daño
debe siempre ser la meta más importante de cualquier seguridad o sistema de
protección. Además de la gente de protección, la detección y la supresión de fuego se
diseña para mantener daño causado por el fuego, el humo, el calor, y los materiales de
la supresión a un mínimo, especialmente en vista de la infraestructura.
Entender la contaminación y el daño posibles causados por un fuego y una supresión.
Los elementos destructivos de un fuego incluyen humo y calor, pero también incluyen el
medio de la supresión, tal como agua o ácido de la soda. El humo es perjudicial a la
mayoría de los dispositivos de almacenaje. El calor puede dañar cualquier componente
electrónico o de la computadora. Los medios de la supresión pueden causar los
circuitos cortos, corrosión iniciada, o de otra manera haga el equipo inútil. Todas estas
ediciones deben ser tratadas al diseñar un sistema de la respuesta del fuego.
Preguntas De la Revisión
1. ¿Cuál de los siguientes es el aspecto más importante de la seguridad?
A. Seguridad física
B. Detección de la intrusión
C. Detección y supresión de fuego
D. Entrenamiento del conocimiento
2. ¿Qué método se puede utilizar para mapear las necesidades de una organización
para una nueva facilidad?
A. Intervención del fichero de diario
B. Análisis de trayectoria crítica
C. Análisis del riesgo
D. Inventario
3. ¿Qué tipo de controles físicos de la seguridad se centra en la construcción y
selección de la facilidad, gerencia del sitio, los controles del personal, entrenamiento del
conocimiento, y respuesta y los procedimientos de la emergencia?
656
A. Técnico
B. Físico
C. Administrativo
D. Lógico
4. ¿Cuál del siguiente no es un elemento seguridad-enfocado del diseño de una
facilidad o de un sitio?
A. Separación de las áreas del trabajo y del visitante
B. Acceso restricto a las áreas con un valor o una importancia más alto
C. Activos confidenciales situados en el corazón o el centro de una facilidad
D. Igualdad de acceso a todas las localizaciones dentro de una facilidad
5. ¿Cuál del siguiente no necesita ser verdad para mantener el más eficiente y asegurar
el sitio del servidor?
A. Debe ser compatible humano.
B. Debe incluir el uso de los supresores del fuego
C. La humedad se debe guardar entre 40 y 60 por ciento.
D. La temperatura se debe guardar entre 60 y 75 grados de Fahrenheit.
6. ¿Qué es un dispositivo perímetro-definido usado para disuadir ocasional está
violando?
A. Puertas
B. Cercar
C. Agentes Policiales
D. Detectores del movimiento
7. ¿Cuál del siguiente es un sistema doble de puertas que es protegido por un protector
y utilizado a menudo para contener un tema hasta su identidad y se verifica la
autentificación?
A. Puertas
B. Torniquete
C. Mantrap
D. Proximity detector
657
8. ¿Cuál es la forma más común de dispositivos o de mecanismos de seguridad del
perímetro?
A. Agente de seguridad
B. Cercas
C. CCTV
D. Alarmas
9. ¿Cuál del siguiente no es una desventaja de usar a protectores de seguridad?
A. Los protectores de seguridad son generalmente inconscientes del alcance de las
operaciones dentro de una facilidad.
B. No todos los ambientes e instalaciones apoyan a protectores de seguridad.
C. No todos los protectores de seguridad son ellos mismos confiables.
D. Pre defendiendo, enlazando, y entrenando no garantiza a protectores de seguridad
eficaces y confiables.
10. ¿Cuál del siguiente es una ventaja de los perros de la seguridad?
A. Costo
B. Capacidad de actuar como mecanismo de la detección y del impedimento
C. Nivel del mantenimiento
D. Requisitos del seguro y de la responsabilidad
11. ¿Cuál es la forma más común y más barata de dispositivo físico del control de
acceso?
A. Alarmas
B. Agente de seguridad
C. Cerraduras
D. Cercas
12. ¿Qué tipo de detector del movimiento detecta cambios en el campo eléctrico o
magnético que rodea un objeto supervisado?
A. Onda
B. Fotoeléctrico
C. Calor
D. Capacitancia
13. ¿Cuál del siguiente no es un tipo típico de alarma que se puede acciona para la
seguridad física?
A. Preventivo
658
B. Impedimento
C. Repulsivo
D. Notificación
14. ¿No importa qué la forma de control de acceso físico se utiliza, el protector de
seguridad o el otro sistema de supervisión debe ser desplegado para prevenir todos
sino las cuales del siguiente?
A. Piggybacking
B. Espionage
C. Masquerading
D. Violación
15. ¿Cuál es la meta más importante de todas las soluciones de la seguridad?
A. Prevención del acceso
B. Integridad que mantiene
C. Seguridad humana
D. Disponibilidad que sostiene
16. ¿Cuál es la gama de humedad ideal para una sala de ordenadores?
A. 20–40 porciento
B. 40–60 porciento
C. 60–75 porciento
D. 80–95 porciento
17. ¿En qué nivel voltaico puede la electricidad estática causar la destrucción de datos
almacenó en impulsiones duras?
A. 4,000
B. 17,000
C. 40
D. 1,500
18. ¿Un tipo extintor de B puede utilizar todos sino las cuales de los medios siguientes
de la supresión?
A. Agua
B. CO2
C. Halon
D. Ácido
659
19. ¿Cuál es el mejor tipo de sistema a base de agua de la supresión del fuego para
una instalación informática?
A. Sistema mojado de la pipa
B. Sistema seco de la pipa
C. Sistema de Preaccion
D. Sistema del diluvio
20. ¿Cuál del siguiente no es típicamente un culpable en causar daño al material
informático en el acontecimiento de un fuego y de una supresión accionada?
A. Calor
B. Medio de la supresión
C. Humo
D. Luz
660
Respuestas para repasar preguntas
1. A. La seguridad física es el aspecto más importante de la seguridad total.
2. B. El análisis de trayectoria crítica se puede utilizar para mapear las necesidades de
una organización para una nueva facilidad.
Un análisis de trayectoria crítica es el proceso de identificar relaciones entre los usos,
los procesos, y las operaciones críticos elementos de soporte.
3. C. Los controles físicos administrativos de la seguridad incluyen la construcción y
selección de la facilidad, gerencia del sitio, los controles del personal, entrenamiento del
conocimiento, y respuesta y los procedimientos de la emergencia.
4. D. La igualdad de acceso a todas las localizaciones dentro de una facilidad no es un
elemento seguridad-enfocado del diseño. Cada área que contiene activos o recursos de
la diversos importancia, valor, y secreto debe tener un nivel correspondiente de la
restricción de la seguridad puesto en ella.
5. A. Una sala de ordenadores no necesita ser compatible humano a ser eficiente y
segura. Tener un cuarto humano-incompatible del servidor proporciona un mayor nivel
de la protección contra ataques.
6. B. El cercar es un dispositivo perímetro-que define usado para disuadir la violación
ocasional. Las puertas, los protectores de seguridad, y los detectores del movimiento no
definen el perímetro de una facilidad.
7. C. Un mantrap es un sistema doble de puertas que es protegido a menudo por un
protector y utilizado se verifica contener un tema hasta su identidad y autentificación.
8. D. La iluminación es la forma más común de dispositivos o de mecanismos de
seguridad del perímetro. Su sitio entero debe ser encendido claramente. Esto prevee la
identificación fácil del personal y hace más fácil notar intrusiones.
9. A. Los protectores de seguridad son generalmente inconscientes del alcance de las
operaciones dentro de una facilidad, que apoya secreto y las ayudas reducen la
661
posibilidad que un protector de seguridad estará implicado en acceso de la información
confidencial.
10. B. Una ventaja de los perros de la seguridad es que pueden actuar como una
detección e impedimento. Cueste, nivele de mantenimiento, y los requisitos del seguro y
de la responsabilidad son todas las desventajas a los perros de la seguridad
11. C. Las cerraduras dominantes son la forma más común y más barata de dispositivo
físico del control de acceso. La iluminación, los protectores de seguridad, y las cercas
son todo el mucho más coste intensivo.
12. D. Un detector del movimiento de la capacitancia detecta cambios en el campo
eléctrico o magnético que rodea un objeto supervisado.
13. A. No hay alarmar preventivo. Los alarmar se accionan siempre en respuesta a una
intrusión o a un ataque detectada.
14. B. No matter what form of physical access control is used, a security guard or other
monitoring system must be deployed to prevent abuse, masquerading, and
piggybacking. Espionage cannot be prevented by physical access controls.
15. C. La seguridad humana es la meta más importante de todas las soluciones de la
seguridad.
16. B. La humedad en una sala de ordenadores debe idealmente ser a partir 40 a 60 por
ciento.
17. D. La destrucción de los datos almacenados en impulsiones duras se puede causar
por 1.500 voltios de electricidad estática.
18. A. El agua nunca es el medio de la supresión en el tipo extintores de B porque se
utilizan en los fuegos líquidos.
19. C. Un sistema del pre acción es el mejor tipo de sistema a base de agua de la
supresión del fuego para una instalación informática.
662
20. D. La luz no es generalmente perjudicial a la mayoría del material informático, pero
el fuego, el humo, y el medio de la supresión (típicamente agua) son muy destructivos.
663
GLOSARIO DE TERMINOS
664
Números y Símbolos
*(Inicio) Integridad de axioma (* Axioma): Un axioma del modelo de Biba indica que un tema alnivel de la clasificación especifica no se le puede escribir datos a un nivel mas alto que el declasificación. Esto es frecuentemente acortado por “no escribir extensamente”.
* (Inicio) Característica de seguridad (* Característica): Una característica del modelo Bell-LaPadula indica que un tema al nivel de la clasificación específica no se le puede escribir datos aun nivel menor que el de la clasificación. Esto es frecuentemente acortado por “no poner porescrito”
1000Base-T:Una forma de cable de par trenzado que soporta 1000Mbps ó 1Gb a través de 100 metros dedistancia. Frecuentemente es llamado Gigabit Ethernet.
100Base-TXOtra forma de cable de par trenzado parecido al 100Base-T
10Base2Un tipo de cable coaxial. Frecuentemente es usado para conectar sistemas a troncalesbackbone.10Base2 tiene un máximo de extensión de 185 metros con un máximo rendimiento de 10Mbs.
10Base5Un tipo de cable coaxial. Frecuentemente es usado en las redes backbone. 10Base5 tiene unmáximo de extensión de 500 metros con un máximo rendimiento de 10 Mbps. Es llamadotambien thicknet.
10Base-TUn tipo de cable de red que es hecho de 4 pares de alambres que son trenzados unos con otrosy luego forrado con un aislador PVC. También llamado par trenzado.
665
A
Actividad anormal: Cualquier actividad del sistema que no ocurra normalmente en tu sistema.También referido a una actividad sospechosa.
Abstracción: Colección de elementos similares agrupados, clases, o roles para la asignación decontroles de seguridad, restricciones, o permisos como agrupación.
Aceptando riesgo: La valoración por el manejo del análisis costo/beneficio de posiblessalvaguardas y la determinación de que el costo de las contramedidas compensa grandementeel coste posible de pérdida debido a un riesgo.
Acceso: La transferencia de la información de un objeto a un sujeto.
Control de acceso: El mecanismo por el cual los sujetos son concedidos o restringidos a losobjetos.
Lista de control de acceso (ACL): La columna de una matriz de control de acceso queespecifica qué nivel de acceso tiene cada sujeto sobre un objeto.
Matriz de control de acceso: Una tabla de sujetos y objetos que indica las acciones y funcionesque cada sujeto puede ejecutar en cada objeto. Cada fila de la matriz es una lista de capacidad.
Rastreando acceso: Auditando, registrando y monitoreando el intento de acceso o actividadesde un sujeto. También referido a las actividades de seguimiento.
Cierre de la Cuenta: Un elemento de los controles de las políticas de programación decontraseña que deshabilitan a las cuentas de usuarios después de un número especifico deintentos fallidos de autenticación. El cierre de una cuenta es una contramedida efectiva para elforzado y ataques de diccionario contra el intento de autenticación a un sistema.
Responsabilidad: El proceso de mantener a alguien responsable para algo. En este contexto, laresponsabilidad es posible si la identidad y las acciones de un tema pueden ser seguidas y serverificadas.
Acreditación: La declaración formal por la autoridad aprobada señala (DAA) que sistema seaprueba para funcionar en un modo particular de la seguridad usando un sistema prescrito desalvaguardias en un nivel aceptable del riesgo.
Modelo ACID: Las letras en ACID representan cuatro características requeridas en las bases dedatos:Atomicidad, consistencia, Aislamiento y durabilidad.
Contenido activo: Los programas Web que los usuarios descargan a sus computadoras paraejecutarlos en ves de consumir recursos del servidor.
ActiveX: Respuesta de Microsoft a Sun Java applets. Funciona en una manera muy similar, peroActiveX es implementado usando una variedad de lenguajes, incluyendo Visual Basic, C, C++, yJava.
Address Resolution Protocol (ARP): Un subprotocol del protocolo TCP/ip que funciona en lacapa de red (capa 3). El ARP es utilizado para descubrir el MAC address de un sistema por lainterrogación usando su IP address.
Direccionando: Los medios por los cuales un procesador refiere a varias localizaciones enmemoria.
666
Controles de acceso administrativo: Las politicas y procedimeintos definidos por la politica deseguridad de la organización para implementar y hacer cumplir los controles de acceso total.Los ejemplos de controles de acceso administrativos incluyen prácticas, chequeos de fondo,clasificación de los datos, el entrenamiento de la seguridad, revisiones de los historiales,supervisión del trabajo, controles del personal, y la pruebas.
Ley administrativa: Regulaciones que cubren una gama de asuntos de los procedimientos quese utilizarán dentro de una agencia federal a las políticas de la inmigración que serán utilizadaspara hacer cumplir los leyes que pasaron por congreso. La ley administrativa se publica en elcódigo de las regulaciones federales (CFR).
Controles físicos de la seguridad administrativa: Controles de la seguridad que incluyen laconstrucción de la facilidad y selección, administración de sitio, controles del personal,entrenamiento del conocimiento, y respuesta de emergencia y procedimientos.
Evidencia adminisble: Evidencia que es relevante para determinar un hecho. El hecho que laevidencia busque para determinar debe ser materializado hacia el caso. Adicionalmente, laevidencia debe ser competente, esto significa que esta debe haber obtenido legalidad. Evidenciaque resulta de una búsqueda ilegal puede ser inadmisible porque no es competente.
Estandar de encriptacion avanzada: El estandar de encriptacion seleccionado in Octubre 2000por el Intituto nacional de estadares y tecnología (NIST) que esta basado en el Rijndael Chipre.
Política consultiva: Una política que discute los comportamientos y las actividades que sonaceptables y define consecuencias de violaciones. Una política consultiva discute los deseos dela gerencia mayor para la seguridad y la conformidad dentro de una organización. La mayoría delas políticas son consultivas.
Agente: Objetos de codigo inteligentes que realizan acciones a nombre de un usuario. Tomantípicamente instrucciones iniciales del usuario y después continúan su actividad de una maneradesatendida por un período del tiempo predeterminado, hasta que se resuelven ciertascondiciones, o por un período indefinido.
Funciones agregadas: Funciones del SQL, por ejemplo CUENTA (), MINUTO (), MÁXIMO (),SUMA (), y AVG (), eso se puede correr contra una base de datos para producir un conjunto deinformación.
Agregación: Un número de funciones que combinan expedientes de unas o más tablas paraproducir la información potencialmente útil.
Alarma: Un mecanismo que es separado de un detector de movimiento y provoca una fuerzadisuasoria, provoca una oposición, y/o provoca una notificación. Siempre que un detector demovimiento registre un cambio significativo en el ambiente, esto provoca una alarma.
Disparadores de alarmas: Notificaciones enviadas a administradores cuando un acontecimientoespecífico ocurre.
AND: La operación (representado por el símbolo ^) que comprueba para ver si dos valores sonverdaderos.
Annualized loss expectancy (ALE): El coste posible anual de todos los casos de una amenazaespecífica realizada contra un activo específico. La ALE es calculada usando el fórmula la ALE =single loss expectancy (SLE) * annualized rate of occurrence (ARO).
Annualized rate of occurrence (ARO):La frecuencia esperada de que una amenaza específica o el riesgo ocurrirá(p. ej., se realizara)solo dentro de un año.
Detección de anormalidades: Ve la detección en base al comportamiento.
667
Applet: Código de programilla enviados de un servidor a un cliente para realizar alguna acción.Los Applet son los programas independientes en miniatura que se ejecutan independientementedel servidor que las envió.
Capa Aplicación: La capa 7 de la Interconexión abierta de Sistemas del (OSI) modelo.
Application-level gateway firewall: Un firewall que filtra el tráfico basado en el servicio deInternet solía transmitir o recibir los datos. Son conocidas las Application-level gateways comolos firewalls de segunda generación.
Lenguaje ensamblador: Una alternativa de nivel más alto a código de lenguaje máquina. Loslenguajes de ensamblado usan nemotécnicas para representar las instrucciones básicas de unaCPU pero todavía requieren del conocimiento específico de hardware.
Valoración de activo: Un valor asignado a un activo basado en coste real y gastos nomonetarios, como gastos para desarrollarse, para mantener, administrar, hacer publicidad,apoyar, reparar, y sustituir; así como otros valores, como confianza pública, apoyo de industria,realce de productividad, equidad de conocimiento, y ventajas de propiedad.
Valor de activo: un valor asignado a un activo basado en coste real y gastos nomonetarios.
Asignación de riegos: ver la transferencia del riesgo.
Clave asimétrica: Algoritmos que proporcionan una solución de clave criptológica parala llave pública de sistemas criptológicos.
Señal de contraseña asincrónica dinámica: Dispositivo simbólico que generacontraseñas basadas en el acontecimiento de un acontecimiento. Una señal deacontecimiento requiere que el sujeto presione una llave sobre la señal y sobre el servidorde autenticación. Esta acción avanza al siguiente valor de contraseña.
Atomicidad: Una de las cuatro características requeridas de todas las transacciones debase de datos. Una transacción de base de datos debe ser "un todo o nada", de ahí elempleo de atómico.
Si cualquier parte de la transacción falla, la transacción entera se considera como si estanunca ocurrió.
En la informática, una operación atómica es la que se completa totalmente, o no tieneningún efecto durable.
Ataque: Explotación de una vulnerabilidad por un agente de amenaza.
Atacante: Cualquier persona que intenta realizar una acción malévola contra un sistema.
Atenuación: Pérdida de fuerza de señal e integridad sobre un cable debido a la longituddel cable.
Atributo: Una columna dentro de una tabla de una base de datos relacionada.
Rastros de auditoria: Los registros creados por la información de grabación sobreacontecimientos y presencias (acontecimientos) en el archivo de base de datos. Rastros de
668
auditoria son usados para reconstruir un acontecimiento, extraer la información sobre unincidente, demostrar o refutar la culpabilidad, y mucho más.
Auditoria: Examen metódico o revisión de un ambiente para asegurar el cumplimientode las regulaciones y descubrir anormalidades, acontecimientos no autorizadas, o fallasgraves.
Auditor: Persona o el grupo responsable de probar y verificar que la política deseguridad (valor) es correctamente puesta en práctica y que las soluciones de seguridad(valor) sacadas son adecuadas.
Sistema alarma auxiliar: Una función adicional que puede ser añadida a sistemas dealarmas locales o a centralizados El objetivo de un sistema de alarma auxiliar es denotificar a la policía local o servicios a los bomberos cuando una alarma es provocada.
Disponibilidad: Aseguramiento de que los sujetos son autorizados a tiempo eininterrumpidos al acceso de a objetos.
Conciencia: Una forma de seguridad que enseña lo que es un requisito previo a laeducación(al entrenamiento). El objetivo de conciencia es de traer la seguridad en lavanguardia y hacerlo una entidad aprobada para estudiantes/usuarios.
B
Badges: Formas de identificacion fisica y/o de control de acceso electronico adispositivos. Una badge puede ser tan simple como una etiqueta de nombre que indica siusted es un empleado válido o un visitante. O puede ser tan complejo como una tarjetainteligente o el dispositivo token que emplea la autenticación de multifactor para verificary demostrar su identidad y proporcionar la autenticación y la autorización de tener accesoa una facilidad, espacios específicos, o terminales de trabajo asegurados. Tambiénreferido a carnets de identidad y IDs de seguridad.
Direccion Base+Offset: la dirección de un esquema que usa un valor almacenado en unode los registros de la CPU como la posición base para comenzar a contar. La CPUentonces añade la compensación suministrada de la instrucción a aquella dirección base yrecupera el operando de la posición de memoria calculada.
Baseband: Un medio de comunicación que apoya sólo una sola señal de comunicación ala vez.
Baseline: El nivel mínimo de seguridad que debe de encontrarse en cada sistema de todala organización.Basic Input/Output System (BIOS): " El sistema de operaciones independiente "instrucciones primitivas que un ordenador tiene que arrancar y cargar en el sistema deoperaciones desde el disco.
Basic Rate Interface (BRI): Un servicio de tipo ISDN que proporciona dos B, o datos,canales y una D, o administracion, canal. Cada canal B ofrece 64Kbps, y un canal Dofrece 16Kbps.
669
Behavior-based detection: Mecanismo de descubrimiento de intrusión usado por IDS.El behavior-based detection averigua sobre las actividades normales y acontecimientossobre su sistema por ejecucion y el aprendizaje. Una vez que esto ha acumulado bastantesdatos sobre la actividad normal, esto puede descubrir actividades anormales y posiblesacontecimientos maliciosos. La desventaja primaria de IDS a behavior-based detectionconsiste en que esto produce muchas falsas alarmas. También conocido como detecciónde intrusión estadística, detección de anomalía, y detección a base de heurística.
Bell-LaPadula model: Modelo de enfocado en la seguridad basado en el estado modelode estado de la maquina y el empleo de controles de acceso obligatorios y el modelolattice.
Mejores reglas de evidencia: Una regla que declara cuando un documento es usadocomo pruebas en un porcedimiento tribunal, el documento original debe ser presentado.Las copias no serán aceptadas como pruebas a no ser que ciertas excepciones a la regla seapliquen.
Biba model: Un modelo de integridad de seguridad enfocado, este se encuentra basadoen el modelo de estado de maquina y el empleo de mandos de acceso obligatorios y elmodelo lattice.
Biometrics: El empleo de características humanas fisiológicas o conductuales comofactores de autenticación para acceso lógico e identificación para acceso físico.
Birthday attack: Un ataque en el cual el individuo malévolo procura substituir en unacomunicación digitalmente firmada un mensaje diferente que produce el mismo resumende mensaje, así manteniendo la validez de la firma original digital; basado en la anomalíaestadística que en un espacio con 23 personas, la probabilidad de dos de más personasque tienen el mismo cumpleaños es mayor que el 50 %.
blackout: Una pérdida completa de poder.
Block cipher: una cifra que aplica el algoritmo de cifrado a un bloque de mensaje enteroal mismo tiempo. Las cifras de transposición son los ejemplos de cifras de bloque.
Blowfish: Una cifra de bloque que funciona sobre los bloques de 64 bit de texto y usallaves de longitud variable en los límites de los 32 bits relativamente inseguros a los 448bits sumamente fuertes.
Boot sector: Parte de dispositivo de almacenamiento usado para cargar el sistemaoperativo y los tipos de virus que atacan aquel proceso.
Bot: Un agente inteligente que continuamente avanza lentamente una variedad de sitiosweb datos que recuperan y procesan de parte del usuario.
Bounds: La ocurrencia de mecanismos de seguridad que son pasados o frustrado por unagente de amenaza.
670
Breach: Acontecimiento de un mecanismo de seguridadsiendo evitado o frustrado por unagente de amenazas.
Broadband: Un medio de comunicación que apoya múltiples señales de comunicaciónsimultáneamente.
Broadcast: Transmisión de comunicaciones múltiples pero no identificados receptores.
Broadcast address: Una dirección de red de broadcast o de difusión es usada durante unataque de Smurf.
Ataque forzado: Un ataque hecho contra un sisteama para descubrir la contrasena de unaidentidad conocida. Un ataque forzado usa una prueba sistemática de todas lascombinaciones de carácter posibles para descubrir la contraseña de una cuenta.
Buffer overflowel: Una vulnerabilidad que puede hacer que un sistema colapse o quepermitan al usuario ejecutar comandos Shell y lograr el acceso al sistema. Lasvulnerabilidades del buffer overflow son sobre todo frecuentes en el código desarrolladorápidamente para el Web que usa CGI u otras lenguas que permiten a programadoresinexpertos rápidamente crear páginas web interactivas.
Ataque al negocio: Un ataque que se enfoca ilegalmente en la obtención de lainformación confidencial de una organización.
671
FFirmware : El software que es almacenado en un chip de memoria sólo de lectura.Flooding : un ataque que implica el enviar a bastante tráfico a una víctima para causarDoS. También llamado un ataque de corriente.
Fourth Amendment : una enmienda a la constitución estadounidense que prohibe aagentes de gobierno buscar la propiedad privada sin una autorización y la causa probable.Los tribunales han ampliado su interpretación de la Cuarta Enmienda para incluirprotecciones contra la intervención de las conexiones telefónicas y otras violaciones de laintimidad
fraggle : una forma de negación de servicio atacan similar a Smurf, pero esto usapaquetes UDP en vez de ICMP.
fragment : Cuando una red recibe un paquete más grande que su tamaño de paquetemáximo aceptable, esto lo rompe en dos o más fragmentos. Estos fragmentos son cadaasignados a un tamaño y una compensación (correspondiente a la posición de partida delfragmento).
fragmentation attacks : un ataque que explota vulnerabilidades en la funcionalidad denueva sesión de fragmento del montón de protocolo TCP/IP.
frequency analysis : un análisis criptográfico o el ataque que busca la repetición decartas en un mensaje cifrado y compara esto con la estadística de uso de carta para unalengua específica, como la frecuencia de las cartas la E, la T, A, la O, la N, la R, yo, la S,y la H en la lengua inglesa.
full backup una copia completa de datos contenidos sobre el dispositivo protegido sobrelos medios de comunicación de reserva. También se refiere al proceso de hacer una copiacompleta de datos, como en " la realización de una reserva llena. "
full-interruption tests una prueba de recuperación de desastre que implica en realidadoperaciones de cerrar en el sitio primario y el cambio ellos al sitio de recuperación
fun attacks un ataque lanzado por crackers con pocas habilidades verdaderas. Lamotivación principal detrás de ataques de diversión es la emoción de entrar en unsistema.
G
gate Una salida controlada y la entrada señalan en una valla.
gateway un dispositivo de red que conecta diferente PC en diferentes redes.
Government Information Security Reform Act of 2000 el Acto de un de las enmiendasdel Código de los Estados Unidos para poner en práctica la política de seguridadadicional de la información y procedimientos
government/military classification la seguridad comúnmente empleado sobre sistemasseguros usados por los militares. La seguridad militar , la gama de la sensibilidad más
672
alta frente al más bajo: encabece el secreto, el secreto, confidencial, sensible, pero noclasificado, y no clasificado (encabeze el secreto, el secreto, confidencial en conjunto loconoce como clasificado).
Gramm-Leach-Bliley (GLB) Actúan una ley de 1999 que alivió las barreras estrictasgubernamentales entre instituciones financieras. Los bancos, empresas de seguros, yproveedores de crédito con severidad fueron limitados en los servicios que ellos podríanproporcionar y la información que ellos podrían compartir uno con el otro. GLB algorelajó las regulaciones acerca de los servicios cada organización podría proveer.
Ground: el cable en un circuito eléctrico que es conectado con tierra (es decir unido conla tierra).
group un acceso de controlar el mecanismo de simplificación de dirección similar a unpapel. Usuarios similares son hechos a los miembros de un grupo. Un grupo es asignadoel acceso a un objeto. Así, conceden a todos los miembros del grupo el mismo acceso aun objeto. El empleo de grupos enormemente simplifica el administrativo en lo alto deacceso de usuario directivo a objetos.
grudge attack Ataque por lo general motivado por un sentimiento de resentimiento yrealizado para dañar una organización o una persona. El daño podría estar en la pérdidade información o dañar a la organización o la reputación de una persona. A menudo elatacante es un empleado corriente o antiguo o alguien que que desea el mal vaya a sobreuna organización.
Guideline un documento que ofrece recomendaciones sobre como las normas y líneas defondo son puestas en práctica. Las metodologías de contorno de directrices, incluyaacciones sugeridas, y no son obligatorias
H
hacker un estudiante de tecnologia que no tiene acciones malas. Muchos autores y losmedios de comunicación a menudo usan al hacker de término cuando ellos en realidadhablan de publicaciones que se relacionan con cracker.
Halon un material de fuego que se convierte a gases tóxicos en 900 grados Fahrenheit yagota la capa de ozono de la atmósfera y por lo tanto por lo general es substituido por unmaterial alternativo.
handshaking un proceso de tres caminos utilizado según el protocolo TCP/IP apilan paraestablecer conexiones entre dos anfitriones.
hardware un dispositivo físico real, como un disco duro, tarjeta de LAN, impresora,etcétera.
hardware segmentation una técnica que pone en práctica el aislamiento de proceso en elnivel de hardware por haciendo cumplir coacciones de acceso de memoria.
hash See hash function.
673
hash function el proceso de tomar un mensaje potencialmente largo y generar un valorde salida único sacado del contenido del mensaje. Este valor comúnmente es mencionadoel resumen de mensaje.
hash total Lisa de verificacion que realiaza la integridad física
hash value un número que es generado de una cuerda de texto y es considerablementemás pequeño que el texto sí mismo. Un fórmula crea un valor de picadillo en un caminoque es poco probable que cualquier otro texto producirá el mismo valor de picadillo.
Hashed Message Authentication Code (HMAC) un algoritmo que pone en práctica una firma
digital , esto garantiza la integridad de un mensaje durante la transmisión, pero esto no asegura elno rechazo.
hearsay evidence Pruebas que consisten en declaraciones hechas a un testigo por alguien más,fuera del tribunal. Los archivos del log de ordenador que no son autenticados por un administradorde sistema también pueden ser pruebas de rumores consideradas.
heart/pulse pattern un ejemplo de un factor biométrico, que es una característica conductual ofisiológica que es única a un sujeto. El modelo de corazón/pulso de una persona es usadoestablecer la identidad o proporcionar la autenticación.
heuristics-based detection See behavior-based detection. High-Speed Serial Interface (HSSI) La capa 1 del protocol usado para conectar los rauter y
multiplexores de dispositivos ATM o Frame Relay high-level languages los Lenguajes de programación que no son lenguajes máquina o lenguajes
ensambladores. Estas lenguas no son el dependiente de hardware y son más comprensibles por lagente. Tales lenguas deben ser convertidas al lenguaje máquina antes o durante la ejecución.
hijack attack un ataque en el cual un mal usuario es colocado entre un cliente y el servidor , luegointerrumpe la sesión y lo asume. A menudo, el mal usuario imita al cliente entonces ellos puedenextraer datos del servidor. El servidor es inconsciente que cualquier cambio del compañero decomunicación ha ocurrido.
honey pot ordenadores Individuales o redes enteras creadas para servir como una trampa paraintrusos.El Honey pot imita actos como una red legítima, pero esto es la falsificación del 100 por ciento. Loshoney Pot tientan a los intrusos a estrar, ya que están con vulnerabilidades de seguridad y sinprotección así como recepción de atractivo. Los Hanoy pot son diseñados para agarrar la atenciónde un intruso y dirigirlos en el patio restringido manteniéndolos lejos de la red legítima y recursosconfidenciales
host-based IDS un sistema de detección de intrusión (IDS) que es instalado sobre un ordenadorsolo , puede supervisar las actividades sobre aquel ordenador. IDS a base de anfitrión es capaz deseñalar los archivos y procesos comprometidos o empleados por un mal usuario para realizar laactividad no autorizada. El programilla hostil Cualquier pedazo de código móvil que intenta realizaractividades no deseadas o malévolas.
hot site una configuración en la cual una facilidad de reserva es mantenida en la ordenconstantemente, con un complemento lleno de servidores, terminales de trabajo, y líneas decomunicaciones listas de asumir responsabilidades de operaciones primarias.
hub · un dispositivo de red solía conectar múltiples sistemas juntos en una topología de estrella. Loscubos repiten el tráfico entrante sobre todos los puertos de salida.
Hypertext Transfer Protocol over Secure Sockets Layer (HTTPS) Un estándar que usa elpuerto 443 para negociar sesiones de comunicaciones cifradas entre servidores de web y clientesde browser.
I
identification El proceso por el cual un sujeto tiene una identidad y la responsabilidad es iniciada.El proceso de identificación puede consistir en un usuario que proporciona un username, unaconexión ID, un número de identificación personal o un proceso que proporciona un proceso ID elnúmero.
identification card Generalmente un identificacion física, donde esta contenida la foto del sujetoy/o una banda magnetica, que contiene información adicional
Con formato: Numeración y viñetas
Con formato: Numeración y viñetas
Con formato: Numeración y viñetas
Con formato: Numeración y viñetas
674
Identity Theft and Assumption Deterrence Act un acto que hace el robo de identidad , un crimencontra la persona cuya identidad fue robada y proporciona penas severas a los criminales (hastaun término de 15 años de la prisión y/o una multa de 250,000 dólares) para alguien declaradoculpable de violación de ello.
ignore risk Negar que un riesgo existente y esperando que por no hacer caso de un riesgo nuncaserá comprendido.
immediate addressing Un modo de referencia a los datos que es suministrada a la CPU como laparte de una instrucción.
impersonation La asunción de identidad de alguien o cuenta en línea, por lo general por losmecanismos de spoofing y repetición de sesión. Un ataque de personificación es considerado unataque más activo que mascara.
inappropriate activities Las acciones que pueden ocurrir sobre un ordenador o sobre lainfraestructura de TI , esto no pueden ser crímenes reales, pero son a menudo razones paracastigos internos o terminación. Algunos tipos de actividades inadecuadas incluyen el contenidoinadecuado que ve, el hostigamiento sexual y racial y el abuso
incident Un acontecimiento para una intrusión del sistema. incremental backups Una reserva que almacena sólo aquellos archivos que han sido
modificados desde el tiempo de la reserva llena o incremental más reciente. También el procesode crear tal reserva.
indirect addressing La dirección de memoria que es suministrada a la CPU como la parte de lainstrucción y no contiene el valor real que la CPU debe usar como un operando. En cambio, ladirección de memoria contiene otra dirección de memoria (quizás localizado en una páginadiferente). La CPU entonces recupera el operando real de aquella dirección.
industrial espionage Acto illegal que algunos utilizan para tener informacion confidencial inference Un ataque que implica la utilización de una combinación de varios pedazos de
información insensible para ganar el acceso a la información que debería ser clasificada en unnivel más alto.
inference engine El segundo componente principal de un sistema experto que analiza lainformación en la base de conocimiento para llegar a la decisión apropiada
information flow model un modelo que enfoca en el flujo de información para asegurar que laseguridad es mantenida y haciendo cumplir no importa como la fluides de la información. Losmodelos de flujo de Información están basados en un modelo de máquina estatal.
information hiding Colocación de datos y un sujeto en dominios de seguridad diferentes para elobjetivo de ocultar los datos de aquel sujeto.
informative policy Una política que es diseñada para proporcionar la información o elconocimiento sobre un sujeto específico, como objetivos de empresa, declaraciones de misión, ocomo la organización actúa recíprocamente con compañeros y clientes. Una política informativa esno ejecutoria.
inherit En POO herencia es que una clases tenga 1 o mas miembros de otra clase. Tan cuando unmétodo tiene uno o varios de los mismos métodos de otra clase, se dice para haberlos "heredado".
inrush Una oleada inicial de poder por lo general asociado con la conexión a una fuente de poderprimario , alterno/secundario.
instance En POO una instancia puede ser un objeto ejemplo, la representacion de una clase integrity Un estado caracterizado según el aseguramiento que las modificaciones no son hechas
por usuarios no autorizados y usuarios autorizados no hace modificaciones no autorizadas. intellectual property Activos intangibles, como recetas secretas o técnicas de producción. International Data Encryption Algorithm (IDEA) Una cifra de bloque que fue desarrollada en
respuesta a quejas sobre la longitud insuficiente clave del algoritmo DES. LA IDEA funciona sobrelos bloques de 64 bit de plain-/ciphertext, pero comienza su operación con una llave de 128 bit.
International Organization for Standardization (ISO) Una organización de descuidoindependiente que define y mantiene el ordenador, la interconexión, y normas de tecnología, conmás de 13,000 otras normas internacionales para el negocio, el gobierno, y la sociedad.
Internet Key Exchange (IKE) un protocolo que asegura el cambio de llaves criptográficas entreparticipantes IPSEC.
Internet Message Access Protocol (IMAP) Un protocolo solía transferir mensajes electrónicosdel servidor de un correo electrónico al cliente de un correo electrónico.
Internet Security Association and Key Management Protocol (ISAKMP) Un protocolo queproporciona servicios de apoyo de seguridad de fondo para IPSEC.
interpreted languages Los lenguajes de programacion primero deben de convertirce en legnuaje demaquina para poder ser interpertado
interrupt (IRQ) Un mecasnismo que es usado por despositivos y componentes en unacomputadora para tener la atencion del CPU
intranet Una red privada que es disenado para que la informacion confidencial no se encuentre eninternet
675
intrusion La condición en la cual un agente de amenaza ha ganado el acceso a la infraestructurade una organización por el circumvention de seguridad controla y es capaz de directamente poneren peligro el activo. También llamada. penetración
intrusion detection Una forma específica de supervisión tanto acontecimientos registrados de lainformación como en tiempo real para descubrir acceso de sistema no deseado.
intrusion detection system (IDS) Un producto que automatiza la inspección de troncos deauditoría y acontecimientos de sistema de tiempo real. IDSs generalmente son usados descubrirtentativas de intrusión, pero ellos también pueden ser empleados para descubrir fracasos desistema o tarifa el funcionamiento total.
J
Java un lenguaje libre de progrmacion echa por Sun Microsystems. job description Un documento detallado que perfila una posición específica necesaria por una
organización. Una descripción de trabajo incluye la información sobre la clasificación de seguridad,tareas de trabajo, etcétera.
job responsibilities Requieren las tareas de trabajo específicas un empleado para funcionar enuna base regular.
job rotation El medio por el cual una organización mejora su seguridad total por haciendo girar aempleados entre numerosas posiciones de trabajo. La rotación de trabajo sirve dos funciones.Primero, esto proporciona un tipo de redundancia de conocimiento. Segundo, moviendo elpersonal alrededor reduce el riesgo de fraude, la modificación de datos, el robo, el sabotaje, y elmal uso de información
K
Kerberos Un Ticket el mecanismo basado de autenticación que emplea a un tercero confiado enpara proporcionar la identificación y la autenticación.
kernel La parte de un sistema de operaciones que siempre permanece residente en la memoria(de modo que esto pueda correr en demanda en cualquier momento).
kernel proxy firewalls Un firewall que es integrado en el corazón de un sistema de operacionespara proporcionar múltiples niveles de la evaluación de paquete y sesión. Conocen cortafuegosgrano por poderes como cortafuegos de la quinta generación.
key un valor secreto que tiene el usuario , esta puede ser encriptada o desencriptada key escrow system Un mecanismo de recuperación criptográfico por el cual las llaves son
almacenadas en una base de datos y puede ser recuperado sólo por agentes de garantíaautorizados claves la pérdida en caso de clave o el daño.
keystroke monitoring El acto de grabación de las pulsaciones de un teclado que un usuario hace.El acto de grabación puede ser visual (como con un registrador de vídeo) o lógico/técnico (comocon un dispositivo de hardware de captura o un programa de software)..
knowledge base Un componente de un sistema experto, la base de conocimiento contiene lasreglas sabidas(conocidas) por un sistema experto y procura codificar el conocimiento de expertoshumanos en una serie "de si/entonces" declaraciones.
knowledge-based detection Un mecanismo de instruccion descubierto por un mecasnimode IDS y basado en BBDD sobre firmas . La desventaja primaria a IDS que esta basada enconocimientos , es eficaz sólo contra métodos de ataque conocidos.
known plaintext attack un ataque en el cual el atacante tiene una copia del mensaje cifrado conel mensaje plaintext solía generar el ciphertext. Esto asiste enormemente al atacante en la roturade códigos más débiles.
Con formato: Numeración y viñetas
Con formato: Numeración y viñetas
