Universidad de Colima - digeset.ucol.mxdigeset.ucol.mx/tesis_posgrado/Pdf/Aaron_Clemente_Lacayo_A.pdf · Porque esta tesis corresponde a los estudios realizados con una beca otorgada

Universidad de Colima Facultad de Telemática

“ANÁLISIS E IMPLEMENTACIÓN DE UN ESQUEMA DE

SEGURIDAD EN REDES PARA LA UNIVERSIDAD DE COLIMA”

TESIS

Que para obtener el grado de

MAESTRO EN CIENCIAS, AREA TELEMATICA

Presenta

Ing. Aaron Clemente Lacayo Arzú

Asesor

M.C. Raymundo Buenrostro Mariscal

Colima, Colima Julio de 2004

Dedicatoria A Dios.

Por darme la fuerza espiritual que siempre le pedí para llegar a mis metas.

A mi Padre, Antonio Lacayo García, que en paz descanse.

Por que siempre me aconsejo y me indico el buen camino.

Te Amo, Papa, que Dios te tenga en su gloria.

A mi Madre, Bertha Isabel Arzú Cacho

Por estar siempre apoyándome y darme aliento para seguir adelante.

Te Amo, madre, que Dios te bendiga.

A mis hermanos

Por creer en mí y motivarme a seguir adelante.

A Patricia Alejandra Tabora Motiño.

Mi linda.

Por su inmenso amor y cariño

Te Amo.

Al Gobierno de México

Porque esta tesis corresponde a los estudios realizados con una beca otorgada por la

Secretaría de Relaciones Exteriores del Gobierno de México

Muchas gracias por darme la oportunidad de completar mis estudios de maestría.

Agradecimiento

Luego de un largo período y esfuerzo doy por terminada la Maestría en Ciencias Área

Telemática, por lo que deseo agradecer a todos los que día a día me brindaron su apoyo

incondicional.

Primeramente deseo darle gracias a Dios, por todas las bendiciones derramadas en mi vida

y principalmente por toda la fortaleza que obtuve y que hoy me permite culminar una etapa

importante en mi vida.

A mi familia, que me ha brindado apoyo y motivación constante para poder enfrentar este

reto tan importante para mi bienestar personal y profesional.

A la MAE. Patricia Alejandra Tábora Motiño por su tutoría constante en el desarrollo de la

investigación.

Al M.C. Raymundo Buenrostro por su apoyo incondicional para sacar adelante la

investigación.

A todos y cada uno de los profesores que participaron en el programa de la maestría por sus

enseñanzas, su comprensión y disponibilidad.

Al personal de la Dirección General de Servicios Telemáticos de la Universidad de Colima,

por su apoyo y aportaciones.

Al Gobierno de México, por permitirme culminar mis estudios gracias a la beca

otorgada por la Secretaría de Relaciones Exteriores.

y a todas y cada una de las personas que han estado a mi lado y me han brindado apoyo y

palabras de aliento.

Resumen La seguridad informática requiere no solo de recursos tecnológicos, sino también de procesos

y recursos humanos capacitados y especializados, esta meta es difícil de alcanzar pues existe

un constante cambio, ya que día a día se descubren nuevas vulnerabilidades, nuevos tipos de

ataques y nuevos parches que aplicar a los sistemas institucionales, convirtiendo la operación

de la seguridad en una tarea sumamente compleja y demandante.

El presente documento es sobre el desarrollo de la seguridad informática en la Intranet

Universitaria, considerando las amenazas de seguridad desde perspectivas diferentes para

permitir de esta forma conocer algunos riesgos que pueden afectar a la institución, así como

determinar el nivel de madurez de la seguridad informática con relación al estándar

ISO/17799, además se presentan una serie de lineamientos que la Dirección General de

Servicios Telemáticos tiene que seguir para la adecuada implementación del plan táctico que

se propone en la presente investigación.

Abstract Not only does computer security require technological resources, but also processes

combined with trained and specialized human resources. Due to constant changes this goal

is difficult to achieve, since new forms of vulnerability are discovered on a daily basis,

along with new kinds of attack and new patches to be applied in institutional systems,

hence turning the operation of security into a highly complex and demanding task.

This research project deals with the development of computer security in the university

Intranet, taking into consideration security threats from different perspectives so as to

identify some risks which could affect the institution. This project also intends to determine

the level of maturity regarding computer security in relation to the ISO/17799 standard, in

addition to presenting the guidelines that the General Department of Telematic Services has

to follow to properly implement the tactic proposed in this research project.

INDICE DE CONTENIDO

CONTENIDO …………………………………………………………………... Pagina Introducción ………………………………………………………………………………ii

Descripción de la Problemática ........................................................................................ iii

Objetivo General............................................................................................................... iv

Metas y Alcances .............................................................................................................. iv

Justificación ……………………………………………………………………………..iv

Capitulo 1: Seguridad Informática………………………............................................ 1 1.1 Antecedentes de la Seguridad ....................................................................... 2

1.2 Estándares de Seguridad en Redes ............................................................... 7

1.2.1. Estándar BS7799 .......................................................................................... 7

1.2.2. Estándar ISO/17799 ...................................................................................... 8

1.3 La Seguridad en Redes .............................................................................. 10

1.4 Tipos de Ataques y Amenazas.................................................................... 13

1.4.1 Amenazas Internas ...................................................................................... 15

1.4.1 Amenazas Externas..................................................................................... 19

1.4.2.1 Reconocimiento ....................................................................................... 20

1.4.2.2 Acceso no Autorizado ............................................................................. 23

1.4.2.3 Denegación de Servicios ......................................................................... 27

1.5 Mecanismos de Seguridad………………………………………………..32

1.5.1 Roles de los Mecanismos de Seguridad en Redes ...................................... 35

1.5.1.1. Seguridad Perimetral ........................................................................... 35

1.5.1.2 Control de Rutas Permitidas. ................................................................... 35

1.5.1.3 Detección de Intrusión ............................................................................. 36

1.6 Políticas de Seguridad…………………………………………………….37

1.6.1 Selección de Controles…………………………………………………….41

1.6.2 Puntos de Inicio para la Política de Seguridad Informática....................... 42

1.6.3 Factores Críticos de Éxito .......................................................................... 43

1.6.4 Documento de la Política de Seguridad Informática .................................. 44

1.6.5 Revisiones y Evaluaciones ......................................................................... 45

1.6.6 Coordinación de la Seguridad Informática ................................................. 45

1.6.7 Controles de Autorización para la Asignación de Recursos de Seguridad

Informática.................................................................................................. 47

1.6.8 Consejo de un especialista en seguridad informática ................................. 47

1.6.9 Coordinación entre organizaciones ............................................................ 48

1.6.10 Verificación independiente de la Política de seguridad informática .......... 48

1.6.11 Errores en la Planificación de la Seguridad Informática ............................ 48

Capitulo 2: Contextualización y Análisis de Vulnerabilidades …………..…………51

2.1. Marco Metodológico………………………………………………………52

2.1.1. Levantamiento Información ....................................................................... 53

2.1.2. Análisis de Vulnerabilidades ...................................................................... 53

2.1.3. Análisis de Riesgos ..................................................................................... 54

2.1.4. Plan táctico de seguridad ............................................................................ 55

2.2 Introducción al desarrollo de la metodología ............................................. 57

2.3 Contextualización ....................................................................................... 58

2.3.1. Redes y Comunicaciones ............................................................................ 61

2.3.2. Servicio Electrónicos de Intranet ................................................................ 65

2.3.3. Seguridad Perimetral .................................................................................. 68

2.3.3.1 Zona de Internet ......................................................................................... 69

2.3.3.2 Zona de Red Interna .................................................................................. 70

2.3.3.3 Zona Militarizada ...................................................................................... 70

2.3.3.4 Zona Desmilitarizada ................................................................................. 71

2.3.3.5 Estructura General de cada Campus .......................................................... 72

2.4 Infraestructura Tecnológica evaluada ......................................................... 77

2.5 Descripción de las pruebas ......................................................................... 79

2.5.1 Pruebas Internas .......................................................................................... 79

2.5.2 Pruebas Externas ........................................................................................ 80

2.6 Ejecución del Análisis de Vulnerabilidades ............................................... 80

2.6.1 Ejecución de las pruebas............................................................................. 81

2.5.3 Dispositivos de Comunicación ................................................................... 83

2.5.4 Firewalls ..................................................................................................... 83

2.6.2 Herramientas Utilizadas ............................................................................. 84

2.7 Análisis de Pruebas ..................................................................................... 85

2.7.1 Generación de reportes ............................................................................... 86

2.7.2 Interpretación de los resultados .................................................................. 87

2.8 Hallazgos Internos ...................................................................................... 88

2.9 Hallazgos Externos ..................................................................................... 90

Capitulo 3: Análisis de Riesgos………………..…………………………………..….92

3.1 Administración de Riesgos ......................................................................... 93

3.1.1. Valoración de riesgos ................................................................................. 94

3.1.2. Mitigación de Riesgos ................................................................................ 98

3.2 Desarrollo del Análisis de Riesgos………………………………………..99

3.2.1 Priorización de Riesgos ............................................................................ 108

3.2.2 Priorización de Controles ......................................................................... 108

3.2.3 Priorización de Actividades ...................................................................... 110

3.3 Controles de DIGESET respecto a las mejores prácticas ......................... 112

3.3.1 Nivel de madurez de los controles de Seguridad Informática con base en el

estándar ISO17799 ................................................................................... 113

3.3.2 Resultados Consolidados .......................................................................... 116

3.4. Mejoras a Corto Plazo………………………………….………………..118

Capitulo 4: Plan Táctico de Seguridad Informática………..……………………...122

4.1. Objetivo del Plan Táctico de Seguridad Informática para DIGESET ...... 123

4.2. Descripción General del Plan Táctico de Seguridad Informática............. 124

4.2.1. Preparación ............................................................................................... 126

4.2.2. Operación.................................................................................................. 127

4.2.3. Optimización ............................................................................................ 128

4.3. Estructura operativa del plan táctico ........................................................ 128

4.4. Desarrollo de la línea táctica de funciones de seguridad .......................... 129

4.4.1. Antecedentes ............................................................................................. 130

4.4.2. Objetivos de la línea táctica funciones de segurida .................................. 130

4.4.3. Departamento de seguridad Informática................................................... 130

4.4.4. Beneficios ................................................................................................. 132

4.4.5. Alcance ..................................................................................................... 132

4.4.6. Actividades ............................................................................................... 132

4.4.7. Resultados esperados de la línea táctica funciones de seguridad ............. 133

4.5. Desarrollo de la línea táctica Políticas de Seguridad ................................ 135

4.5.1. Antecedentes ............................................................................................. 136

4.5.2. Objetivo del desarrollo de las políticas de seguridad ............................... 136

4.5.3. Beneficios ................................................................................................. 136

4.5.4. Alcance ..................................................................................................... 136

4.5.5. Actividades ............................................................................................... 137

4.5.6. Políticas propuestas .................................................................................. 137

4.6. Desarrollo de la línea táctica programa de concienciación ...................... 151

4.6.1. Antecedentes ............................................................................................. 151

4.6.2. Objetivo del desarrollo de la línea táctica ................................................ 152

4.6.3. Beneficios ................................................................................................. 152

4.6.4. Alcance ..................................................................................................... 152

4.6.5. Actividades ............................................................................................... 152

4.6.6. Resultados esperados de la línea táctica de concienciación ..................... 153

4.7. Desarrollo de la línea táctica arquitectura tecnológica ............................. 154

4.7.1. Antecedentes ............................................................................................. 155

4.7.2. Objetivo .................................................................................................... 155

4.7.3. Alcances.................................................................................................... 155

4.7.4. Elementos administrados .......................................................................... 155

4.7.5. Actividades propuestas ............................................................................. 158

4.7.6. Resultados esperados de la línea táctica de arquitectura tecnológica ....... 161

4.8. Factores críticos de éxito…………………………………………………161

Capitulo 5: Conclusiones Y Recomendaciones………………….…………………..163

Bibliografía …………………………………………………………………………....169

Glosario ……………………………………………………………………………..172

Anexos……………………………………………………………………………….183

ÍNDICE DE TABLAS Y FIGURAS

Tabla 1.1 Incidentes de Delito Informático………………………………………….…4

Figura 1.1. Diez puntos claves para el contexto de ISO/17799……………………..…10

Figura 1.2. Representación de los tipos de intrusos en una red………………………..21

Figura 1.3. Muestra los posibles intrusos en una Intranet……………………………...24

Figura 1.4. Proceso normal de Acuerdo en Tres Fases………………………………..31

Figura 2.1. Metodología de la Investigación…………………………………………..52

Figura 2.2. Algunos servicios que proporciona DIGESET……………………………60

Tabla 2.1. Ubicación y modelo de los conmutadores………………………………….63

Figura 2.3. Diagrama General de la red Telefónica……………………………………64

Figura 2.4. Organigrama de DIGESET………………………………………………...65

Figura 2.5. Diagrama de la seguridad perimetral de DIGESET………………………..69

Figura 2.6. Diagrama general de los campus de la Universidad de Colima……………73

Tabla 2.2. Enlaces de la Universidad de Colima……………………………………….74

Figura 2.7. Diagrama del campus Colima………………………………………………77

Tabla 2.3 Equipos críticos incluidos en el análisis de vulnerabilidades………………...79

Tabla 2.4. Grupo de pruebas aplicadas a los servidores Windows 2000………………..82

Tabla 2.5. Grupo de pruebas aplicadas a los servidores Unix…………………………..83

Tabla 2.6. Grupo de pruebas aplicadas a dispositivos de comunicación………………..83

Tabla 2.7. Grupo de pruebas aplicadas al cortafuego …………………………………..84

Tabla 2.8. Herramientas utilizadas en el análisis de vulnerabilidades………………….85

Tabla 2.9. Clasificación de vulnerabilidades……………………………………………86

Figura 2.8. Porcentaje de vulnerabilidades en servidores Windows 2000………………88

Figura 2.9. Porcentaje de vulnerabilidades en servidores Unix…………………………89

Figura 2.10. Porcentaje de vulnerabilidades en dispositivos de comunicación…………90

Figura 2.11. Porcentaje de vulnerabilidades externas…………………………………...90

Figura 3.1. Cuatro actividades de la administración de riesgos…………………………94

Figura 3.2. Espectro de riesgos………………………………………………………….95

Tabla 3.1. Información de los hallazgos encontrados en DIGESET…………………...102

Figura 3.3. Priorización grafica de los hallazgos………………………………………108

Figura 3.4. Relación tiempo y costo de los controles de seguridad……………………109

Figura 3.5. Representación grafica de la priorización de actividades …………………110

Tabla 3.2. Niveles de madurez con base al estándar ISO/17799……………………....115

Tabla 3.3. Resultados de los niveles de madurez de DIGESET……………………….117

Figura 4.1. Diagrama conceptual del plan táctico de seguridad……………………….125

Figura 4.2. Relación de las etapas del modelo de operación………………………......126

Figura 4.3. Relación del plan táctico con el modelo de operación………………..…...129

Figura 4.4. Organigrama de DIGESET con el departamento de seguridad…………...131

Tabla 4.1. Dispositivos parte de la administración de seguridad……………………...156

Figura 4.4. Actividades propuestas para la administración de seguridad……………...158

Tabla de Contenido Introducción ...................................................................................................................... iiDescripción de la Problemática ......................................................................................iiiObjetivo ............................................................................................................................ ivMetas y Alcances ............................................................................................................. ivJustificación ..................................................................................................................... iv

“Análisis e Implementación de un Esquema de Seguridad en Redes para la Universidad de Colima”

Esta tesis corresponde a los estudios realizados con una beca otorgada por la Secretaría de Relaciones Exteriores del Gobierno de México

ii

Introducción La Dirección General de Servicios Telemáticos (DIGESET) tiene como objetivo

ofrecer servicios de telecomunicaciones e informática, para apoyar las actividades mas

importantes del área de comunicación de la universidad de Colima a través de la

investigación y modernización de la infraestructura Intranet universitaria. Otro objetivo,

es la vinculación de las dependencias de la Universidad de Colima con otras

instituciones, brindando asesorías, propiciando la transferencia de conocimiento y

tecnología. Además, busca impulsar la venta de servicios electrónicos en la comunidad

universitaria para tener una fuente alterna de financiamiento que permita apoyar las

inversiones en capacitación, recursos humanos e infraestructura de la dirección

(Telemáticos, 2002).

La DIGESET para cumplir con los objetivos planteados gestiona proyectos que

permitan incrementar y modernizar las tecnologías de información de la institución.

Entre ellos se tienen el PIFI, PROMEP, PRONAD e internos(Telemáticos, 2002).

La Universidad de Colima incorporó a su Intranet 1200 equipos de cómputo, con una

inversión que superó los 12 millones de pesos, donde el 20% fueron adquiridas con

recursos propios. En el año 2002 la Universidad instalo 28 redes y a la fecha se cuenta

con 4423 equipos conectadas a Internet. Se ha incrementado la capacidad del enlace que

une los campus de Coquimatlán y Villa de Álvarez. La universidad de colima se coloca

como una de las universidades estatales de México con tecnología de vanguardia y es

una institución compuesta por varias delegaciones regionales en una red Intranet, que

hace uso de muchas aplicaciones a través de Internet, permitiendo a los alumnos y

profesores estar en contacto con el mundo de la información en línea.(Telemáticos,

2002).

DIGESET incrementa su capacidad de ancho de banda de Internet de 4 Mbps a 34

Mbps y coloca su enlace de 2 Mbps al backbone de Internet 2, este crecimiento que se



iii

observa en la Universidad de Colima, trae consigo el incremento del uso de Internet y el

surgimiento de nuevas tecnologías, dando lugar a nuevos retos, uno de esos retos es el

mantenimiento de la seguridad e integridad de la información y servicios de las redes

informáticas, a través de procedimientos bien definidos que permitan disminuir las

vulnerabilidades, dicho en otras palabras, la Universidad de Colima está a la vanguardia

con la aplicación de esta tecnología, pero al mismo tiempo está expuesta a nuevas

vulnerabilidades que se pueden convertir en problemas si no se tratan a tiempo y con el

debido procedimiento.

Descripción de la Problemática Actualmente la Universidad de Colima se ha preocupado por la seguridad e integridad

de la información y servicios contenidos en su Intranet, por lo que ha invertido una

fuerte cantidad de dinero en equipos y aplicaciones que ayudan a disminuir las

vulnerabilidades de seguridad. Esta inversión a logrado incrementar el nivel de

seguridad pero no al grado que la institución requiere y esto se debe principalmente a

que estos equipos y aplicaciones no están funcionando a un cien por ciento, además la

falta de algunos elementos entre los que se pueden mencionar:

• Políticas oficializadas

• Procedimientos,

• Reglas de seguridad y

• Monitoreo constante de la información que proporcionan los equipos y

aplicaciones.

Por lo tanto DIGESET requiere de una planificación que involucre los puntos

anteriormente expuestos a través de un plan de táctico de seguridad informática para las

funciones críticas.



iv

Objetivo

Analizar el esquema actual de seguridad informática utilizado para la Intranet de la

Dirección General de Servicios Telemáticos, con el fin de mejorarlo a través de un plan

táctico que de solución a los puntos expuestos en la problemática.

Metas y Alcances

• Generar las políticas de seguridad para las áreas del nodo principal de la

Intranet.

• Establecer las mejoras necesarias para la correcta operación los equipos y

sistemas de seguridad, con el objetivo de proteger la Intranet universitaria de

intrusos internos y externos, especialmente aquellos de misión crítica del

nodo principal y así lograr un nivel de seguridad que evite las potenciales

perdidas tangibles o intangibles de la información en la red universitaria.

• Establecer una serie de lineamientos para el personal responsable del área de

seguridad informática, dando a conocer las amenazas y vulnerabilidades que

surgen día a día en la tecnología, con la única finalidad de capacitar al

personal para vigilar y mantener la integridad de la Intranet.

Justificación

Los sistemas de información de hoy en día están relacionados en un 100% con la

exposición de la información a entidades externas que son ajenas a la organización o

delegación a la que pertenecen. La Universidad de Colima esta compuesta por muchas

delegaciones y dependencias, cada una de ellas tienen sistemas de información

independientes que hacen uso de la red externa (Internet) e interna (Intranet). Esto los



v

hace vulnerables a eventos de amenazas que conllevan a riesgos que pueden provocar

perdidas tangible e intangibles, para evitar estas perdidas que en muchos de los casos

serán monetarias, se requiere del planteamiento de un esquema de seguridad que no solo

contemple elementos técnicos que comúnmente encontramos en el mundo de la

seguridad informática, sino que establezca una base sólida para el establecimiento de

controles, políticas y proyectos de seguridad que administren el ciclo de vida de la

seguridad informática. DIGESET es la dependencia encargada de la distribución y

administración de la red externa e interna de la Universidad de Colima, por lo tanto, será

el objeto de estudio de la investigación.

Tabla de Contenido

1.1 Antecedentes de la Seguridad Informática.................................................... 2 1.2 Estándares de Seguridad en Redes ................................................................ 7

1.2.1. Estándar BS7799 ........................................................................................... 8 1.2.2. Estándar ISO/17799 ...................................................................................... 8

1.3 La Seguridad en Redes ............................................................................... 10 1.4 Tipos de Ataques y Amenazas .................................................................... 13

1.4.1 Amenazas Internas ...................................................................................... 15 1.4.1 Amenazas Externas ..................................................................................... 19

1.4.2.1 Reconocimiento........................................................................................ 20 1.4.2.2 Acceso no Autorizado .............................................................................. 23 1.4.2.3 Denegación de Servicios .......................................................................... 27

1.5 Mecanismos de Seguridad .......................................................................... 32 1.5.1 Roles de los Mecanismos de Seguridad en Redes ...................................... 35

1.5.1.1. Seguridad Perimetral ............................................................................ 35 1.5.1.2 Control de Rutas Permitidas..................................................................... 35 1.5.1.3 Detección de Intrusión ............................................................................. 36

1.6 Políticas de Seguridad ................................................................................. 37 1.6.1 Selección de Controles ................................................................................ 41 1.6.2 Puntos de Inicio para la Política de Seguridad Informática ....................... 42 1.6.3 Factores Críticos de Éxito ........................................................................... 43 1.6.4 Documento de la Política de Seguridad Informática................................... 44 1.6.5 Revisiones y Evaluaciones .......................................................................... 45 1.6.6 Coordinación de la Seguridad Informática ................................................. 45 1.6.7 Controles de Autorización para la Asignación de Recursos de Seguridad

Informática. ................................................................................................. 47 1.6.8 Consejo de un especialista en seguridad informática .................................. 47 1.6.9 Coordinación entre organizaciones ............................................................. 48 1.6.10 Verificación independiente de la Política de seguridad informática ........... 48 1.6.11 Errores en la Planificación de la Seguridad Informática ............................. 48

Análisis e Implementación de un Esquema de Seguridad para la Universidad de Colima ______________________________________________________________________________________________


2

1.1 Antecedentes de la Seguridad Informática

No se puede proponer un esquema de seguridad sin antes de hablar de algunos

antecedentes trascendentales que determinaron la importancia de la seguridad

informática. Al mismo tiempo es necesario definir qué es la seguridad informática, los

elementos que intervienen en la seguridad y las diferentes tecnologías existentes para

asegurar la información y los servicios de una red informática.

El departamento de defensa de los Estados Unidos da los primeros pasos en cuestión de

seguridad, cuando en 1967, la unidad de Defensa Científica concentro sus esfuerzos en

un sistema de seguridad que salvaguardara la información confidencial que los sistemas

de acceso remoto compartían. Como resultado de la aplicación de este nuevo sistema en

febrero de 1970 se pública “Controles de Seguridad para los Sistemas de Cómputo”, el

cual era un reporte de una serie de políticas y recomendaciones técnicas en las prácticas

cotidianas de los sistemas de computo para reducir las amenazas que comprometían la

seguridad de la información confidencial (Latham, 1985).

En 1972 y 1973 se publicaron las primeras recomendaciones de políticas uniformes,

requerimientos de seguridad, controles administrativos y medidas de seguridad técnica,

para la protección de la información confidencial procesada por un sistema de cómputo.

A mediados de los años setenta, la fuerza aérea, la agencia de proyectos de investigación

avanzada y otras agencias de defensa, llevaron acabo investigaciones y desarrollo de

algunas soluciones para los problemas técnicos que conlleva el control del flujo de

información en los recursos de los sistemas de computo (Latham, 1985). La iniciativa

del departamento de defensa acerca de la seguridad en sistemas de computo inicia en

1977, con el auspicio de la secretaria de defensa para la investigación e ingeniería.

Actualmente este departamento se dirige a los asuntos de seguridad en computo

liderando a la NBS (Nacional Bureau of Standards) en la definición de problemas y

soluciones para la construcción, evaluación, y auditoria de sistemas de computo. Como

parte de este trabajo la NBS posee dos áreas de trabajo que son complementarias, estas



3

son la auditoria y la evaluación de seguridad en computo. La primera fue constituida en

marzo de 1977 y la segunda en noviembre de 1978. Uno de los resultados del trabajo

realizado en la evaluación fue un reporte definitivo sobre los problemas relacionados a

los criterios de evaluación y efectividad de técnicas de seguridad en cómputo. A

consecuencia de las recomendaciones publicadas en este reporte y soportando la

iniciativa del departamento de defensa, la corporación MITRE empieza a trabajar en

criterios de evaluación de seguridad en computo que contribuían a determinar el grado

de confianza que un sistema de seguridad podría tener al momento de proteger la

información confidencial. En 1981 nace en los Estados Unidos el “Centro de Seguridad

en Computo” para dotarse de personal y expandir el trabajo iniciado por el área de

ingeniería e Investigación del departamento de defensa (Latham, 1985). En agosto de

1985 el Centro de Seguridad en Computo del Departamento de Defensa cambio su

nombre a Centro Nacional de Seguridad en Computo.

El concepto de seguridad de redes no es nuevo cuando en 1974 surgen las primeras

conexiones que posteriormente dieron origen al Internet. Su crecimiento exponencial dio

lugar a las primeras aplicaciones comerciales que permitían al usuario intercambiar

información y con ella el crecimiento de posibles atacantes que día a día comprometían

el funcionamiento de las redes de computadoras. Hasta ese momento la seguridad no era

importante para los administradores de redes y es hasta el 2 de mayo de 1987, cuando

dos hackers alemanes ingresan sin autorización al sistema central de investigaciones

aeroespaciales mas grande del mundo, la NASA (Villalón Huerta, 2000). Aun cuando no

destruyeron ni robaron información, estos dos jóvenes demostraron lo vulnerable que

puede llegar a ser el sistema informático de la agencia espacial. Por otro lado, en 1988

Robert Morris propicia el primer incidente de perdida de información debido a que uno

de sus programas denominado worm o gusano, invadió gran parte de las computadoras a

través del navegador en Internet, imposibilitando durante días a más de 6000 sistemas

dañados o perjudicados. Es después de estos y otros acontecimientos que surge la

preocupación de los administradores por la seguridad en redes. La tabla 1.1 presenta

algunos eventos de delito informático.



4

Fecha Autor(es) Virus Descripcion Impacto Castigo

May-87 Wau Holland y Steffer Wenery

Ingresaron sin autorización al sistema de investigaciones de la NASA.

No destruyeron, no robaron información. Pero pone en estredicho la seguridad de la agencia espacial.

Ninguno

Nov-88 Robert Morris Gusano Morris lanzó un gusano diseñado por el mismo para navegar en internet y mutiplicarse por si solo, causando sobreutilización de recursos de la maquina.

Causó consumo de los recursos de muchisimas maquinas y que mas de 6000 sistemas resultaron dañados o fueron seriamente perjudicados. Significó días de productividad perdidos y millones de dólares.

Fue condenado y sentenciado a tres años de libertad condicional, 400 horas de servicio comunitario y US $10,000 de fianza, bajo el cargo de fraude computacional y abuso.

Ene-86 Herber Zinn (Shadowhack)

Zinn tenía 17 años cuando violó el acceso a AT&T y los sistemas del departamento de defensa.

Destruyó el equivalente a US$174,000 en archivos y copias de programas valorados en millones de dólares. Publicó contraseñas e instrucciones de cómo violar la seguridad de los sistemas computacionales.

Fue el primer sentenciado bajo el cargo de fraude Computacional y Abuso. Fue sentenciado a 9 meses de carcel y a una fianza de US $10,000.

No registrado David Smith Melissa Detenido por la FBI, junto con los ingenieros de American Online. Se le acuso de bloquear las comunicaciones públicas y dañar los sistemas informáticos.

Crea el Virus Melissa, que consiguió contaminar a más de 100,000 computadoras en todo el mundo. Afectó en forma sustancial buzones de millones de usuarios que utilizaban el Outlook Express.

Esta en espera de su condena, puede enfrentar 10 años de carcel. Esta en libertad bajo fianza de 10,000 dólares.

A raíz de estos incidentes el 17 de Noviembre de 1988, la agencia DARPA (Defense

Advanced Research projects Agency) creó el CERT1

1 CERT en ingles significa Computer Emergency Response Team

(Equipo de respuestas a incidentes

de Seguridad en Computo), un grupo formado en su mayoría por voluntarios calificados

de la comunidad informática, con el objetivo de proporcionar a soluciones rápidas a los

problemas de seguridad que se presenten en los host de Internet. Este organismo se

encarga de divulgar las noticias de seguridad de redes mas recientes, así como las

vulnerabilidades más importantes de las aplicaciones, sistemas operativos y productos.

Hoy por hoy, CERT cumple 15 años de proporcionar servicio a las organizaciones que

Tabla 1.1. Incidentes de Delito Informático



5

se han visto afectadas por incidentes de delito informático, convirtiéndose en la

institución que más publicaciones de seguridad ha realizado (Artigas, 2003).

Hay otras organizaciones que se dedican a la investigación de soluciones de seguridad,

tal es el caso de SANS2

(SysAdmin, Audit, Network, Security); la cual se dedica a la

investigación, certificación y capacitación de profesionales que sean capaces de diseñar

soluciones de seguridad. Esta institución fue creada en 1989 en respuesta a los

incidentes de delito informático que se suscitaron a causa del crecimiento exponencial

de Internet. SANS, cuenta con mas de 156,000 profesionales (seguridad, auditores,

administradores de sistemas y administradores) que comparten experiencias vividas con

respecto a la solución de nuevos retos que emergen del mundo de la seguridad. En el

corazón de esta institución se encuentran agencias de gobierno, corporaciones y

universidades de todo el mundo que invierten miles de horas anualmente en la

investigación y capacitación para apoyar a la comunidad de la seguridad informática.

Todas las instituciones anteriormente mencionadas se dedican a la publicación o

divulgación de los incidentes de delito informático que se presentan en las

organizaciones con aplicaciones de comercio electrónico.

En vista de que la mayoría de los ataques son realizados en Internet o bien en una

Intranet, CERT cuenta con una Centro de Coordinación (CERT/CC) el cual se dedica

exclusivamente a la seguridad en plataformas intranet. CERT/CC se dedica a

proporcionar consejos técnicos de prácticas de seguridad que ayuden a los

administradores de redes. Además, se encarga de coordinar las respuestas a los

incidentes de seguridad, trabajar en la solución de los problemas de seguridad,

identificar las tendencias de ataques de intrusos, divulgar información a toda la

comunidad, analizar código malicioso y las vulnerabilidades de los productos, publicar

documentos técnicos y proporcionar cursos de capacitación (University, 2003).

2 SANS (Administración de Sistemas, Auditoria, Redes, Seguridad)



6

La forma de operar del CERT/CC, está en la identificación de dos aspectos: Las

vulnerabilidades de los sistemas de información que usa una intranet y el análisis del

código maligno desarrollado por el intruso. En ambos aspectos lo que se busca es la

identificación de las fallas o defectos. Una vez identificados los defectos se procede a la

atención del incidente, que consiste en explotar los defectos encontrados en el sistema y

en el código maligno, para que éstas sean la base de la solución del incidente.

El CERT/CC cuenta con procedimientos bien definidos acerca de cómo se deben de

atender los delitos informáticos. Además, trabaja en alianza con las siguientes

instituciones (University, 2003):

• Departamento de Defensa de los Estados Unidos de América.

• Oficina Ejecutiva del Presidente de los Estados Unidos.

• Servicio de Seguridad de los Estados Unidos.

• Alianza de Seguridad de Internet.

• Agencia de Defensa de Sistemas Informáticos.

• Centro Nacional de Protección de Infraestructura de los Estados Unidos.

• Protección de la Infraestructura Nacional de los Estados Unidos (INFRAGARD)

• Sistema Nacional de Comunicaciones de los Estados Unidos.

• Unified Incident Reporting and Alert Scheme (UNIRAS)

• Australian Computer Emergency Response Team (AUSCERT)

• Comité Nacional de Asesores en Seguridad de las Telecomunicaciones

• Departamento de Homeland Security

• Internet Engineering Task Force (IETF)

• North American Network Operators Group (NANOG)

Sin embargo, el CERT, pública solo las vulnerabilidades que han sido reportadas por

parte de las empresas afectadas, pero se dan casos en los cuales muchos de los incidentes

de delito informático no son reportados por el temor de la misma empresa que se ve

afectada, ya que puede comprometer la imagen del negocio; por ejemplo, el acceso a la



7

base de datos de prestamos de un banco, puede ser algo catastrófico para la imagen del

negocio.

A raíz de los incidentes de inseguridad de la información que se suscitaron en otros

países surge en la ciudad de México el UNAM-CERT (Universidad Nacional Autónoma

de México - Computer Emergency Response Team) Básicamente se encarga de

proporcionar el servicio de respuestas a incidentes de seguridad en computo a sitios que

han sido victimas de algún ataque. También publica información acerca de las últimas

vulnerabilidades de seguridad, así como las alertas de la misma índole. Es reconocido

por el Gobierno Federal para capacitar a la policía informática en el manejo de este tipo

de delitos (Ponce Lopez & Guel Lopez, 2003). Además, es reconocido por el FIRST3

(Forum Incident Response Security Team) en América Latina. El UNAM-CERT es la

única institución en México, que cuenta con ese reconocimiento internacional.

Además, UNAM-CERT realiza investigaciones de la amplia área del cómputo con la

única finalidad de mejorar la seguridad de los sitios, y es un vínculo de apoyo al CERT

internacional en problemas suscitados en América Latina.

UNAM-CERT esta localizado en el Departamento de Seguridad en Computo (DSC) de

la Dirección General de Servicios de Computo Académico (DGSCA), de la UNAM.

1.2 Estándares de Seguridad en Redes BS77994

y ISO/17799 son estándares de seguridad que representa una serie de controles

basados en las mejores prácticas de seguridad informática. Cubren aspectos de equipos,

políticas, recursos humanos y asuntos legales.

3 FIRST (foro del Equipo de Respuesta de Incidentes de Seguridad en Cómputo) 4 BS (Estándar Británico)



8

1.2.1. Estándar BS7799

BS7799 (parte 2) contiene medidas para la eficiente administración del esquema de

seguridad. En 1995 surge la parte 1 del estándar BS 7799, establecido por el instituto

británico de estándares.

En 1998 surge la parte 2 de este estándar con mejoras de seguridad actualizadas (Callio,

2003). BS 7799-2 ayuda a la organización a establecer un sistema de administración de

seguridad informática y por lo tanto prepararse para la auditoria de certificación.

En Diciembre del 2000 el estándar británico BS7799 se convierte en un estándar

internacional con el nombre de ISO/17799 y fue adoptado bajo un procedimiento de

ruta rápida por el comité técnico ISO/IEC JTC 1. (ISO/IEC, 2000)

1.2.2. Estándar ISO/17799

ISO/17799 es el que contiene controles y recomendaciones a través de los cuales la

organización puede garantizar la seguridad de su información. Sus características son las

siguientes:

• Ha sido probado

• Es internacional

• Esta asociado a la calidad

• Evolutivo y flexible

• Disponibilidad de herramientas y soporte

La organización internacional de estandarización (ISO) y la comisión internacional

electrotécnica (IEC) forman un sistema especializado para la estandarización mundial.

Organismos nacionales que son miembros de ISO o de IEC participan en el desarrollo de

los estándares internacionales a través del establecimiento de comisiones que colaboran



9

mutuamente en un campo de interés. Además existen organizaciones internacionales,

gubernamentales y no gubernamentales, que están en alianza con ISO e IEC y también

forman parte del desarrollo de los nuevos estándares internacionales (ISO/IEC, 2000).

Los anteproyectos de los estándares internacionales son escritos en coordinación con los

reglamentos establecidos por las directivos de ISO/IEC.

En el campo de la tecnología de información, ISO e IEC establecen juntos un comité

técnico. Los anteproyectos de los estándares internacionales son examinados por el

comité técnico para posteriormente ser distribuidos a los organismos nacionales para que

éstos a su vez voten para su aprobación. Para que un estándar internacional sea

publicado requiere la aprobación de por lo menos el 75% de los organismos nacionales

que intervienen en la votación (ISO/IEC, 2000).

Existen diez puntos claves para el contexto de ISO/17799 y son los siguientes:

• Política de seguridad

• Seguridad organizacional

• Clasificación de bienes

• Personal de seguridad

• Seguridad física

• Administración de operaciones y comunicaciones

• Control de acceso

• Sistema de desarrollo y mantenimiento

• Administración continua

• Acatamiento

Estos diez puntos pueden ser jerárquicamente organizados en una pirámide que

comúnmente se encuentra en la administración. La figura 1.1 presenta los diez

elementos organizados ya con la operabilidad de cada uno de ellos.



10

1.3 La Seguridad en Redes

Información, es un bien importante como cualquier otro de los bienes del negocio, tiene

un valor para la organización y consecuentemente necesita una protección planificada.

La seguridad informática, protege la información de una gran gama de amenazas con la

finalidad de asegurar la continuidad del negocio, minimizar los daños del negocio y

maximizar el retorno de inversión. Además contribuyen al aumento de las oportunidades

del negocio (ISO/IEC, 2000).

En una organización se requiere de sistemas de protección que vayan orientados a la

administración, las instalaciones físicas, recursos humanos y sistemas de encriptación

Figura 1.1. Diez puntos claves para el contexto de ISO/17799.



11

para la protección de información que viaja en la red. Una efectiva seguridad se alcanza

cuando se logra un balance entre la protección y la disponibilidad de estos recursos. El

acceso sin restricción de los usuarios a los recursos atenta contra la integridad de los

mismos, por otro lado, un aseguramiento completo del sistema de información no

permitirá el acceso a los recursos y eso no es lo que se desea. Para alcanzar el balance

deseado, el nivel de seguridad para la organización debe de permitir un acceso razonable

que proteja contra las reales o potenciales amenazas.

Es extremadamente importante entender que la seguridad no sólo se trata de una

configuración o un determinado tipo de tecnología. Un administrador no puede ir al

centro comercial a cotizar un poco de seguridad. Seguridad finalmente es un propósito,

una tendencia, un pensamiento fijo, es saber que la información esta a salvo y que la red

no dejará de funcionar en un determinado momento.

Por lo tanto, a la seguridad también se le puede definir como algo subjetivo. Así como es

difícil de entender porque algunas personas se sienten conformes y otras inconformes

cuando dejan la puerta de enfrente de su casa abierta, mientras disfrutan de una reunión

en la parte de atrás; esto es igualmente difícil de definir cuando un administrador de la

red puede sentirse seguro en conocimiento de que sus sistemas de información están a

salvo, pero esto no le garantiza, que estén fuera de riesgo.

Las computadoras y el ambiente de red en el cual operan, involucran sistemas

sofisticados con un alto grado de complejidad en su operación, consecuentemente la

complejidad de la relación entre los sistemas de información y las redes, comprueban

que son un área de ilimitada vulnerabilidad. Por esto es necesario que las organizaciones

mantengan a la seguridad como una prioridad en su red de información.

Sintetizando, la seguridad es la cualidad o estado de estar libre de peligro, esto significa

protegerse de adversarios, aquellos que harán daño intencional o circunstancial. El

programa de seguridad nacional de los Estados Unidos es un ejemplo de un sistema de

multi-capas que protege la soberanía del estado, sus bienes, recursos, y a sus habitantes.



12

De la misma manera, alcanzar el nivel apropiado de seguridad para una organización

depende de un sistema multifacético, este sistema debe de proporcionar seguridad en las

siguientes áreas de la organización desde el punto de vista de la seguridad informática:

• Ambiente Físico

• Personal

• Operaciones cruciales de la organización

• Dispositivos de comunicaciones

• Integridad de la Red

• Acceso a la información

Los expertos afirman que no existen sistemas totalmente seguros, la seguridad se define

como una característica de un sistema o una red de computadores que indica que este

sistema o red esta libre de todo peligro, daño o riesgo. En la práctica todo esto es difícil

de alcanzar por la misma finalidad de una red, por ende, se habla de la fiabilidad de la

red, en lugar de seguridad. Cuando una red es fiable significa que la red se comporta tal

como se espera, y para lograr dicho comportamiento se necesita de la confidencialidad,

integridad y disponibilidad de la red (Villalón Huerta, 2000).

La confiabilidad señala que los recursos de la red han de ser accedidos únicamente por

entidades autorizados a ello, y que esas entidades autorizados no van a convertir la

información en disponible para otras entidades; la integridad significa que los recursos

de la red solo pueden ser modificados por entidades autorizadas y de una manera

controlada, y la disponibilidad indica que los recursos de la red deben permanecer

accesibles a las entidades autorizados (Villalón Huerta, 2000).

En contradicción de lo que piensa la mayoría, la primera línea de defensa de un sistema

bien protegido no tiene nada que ver con el flujo de paquetes que entran y salen de la

red. La primera línea de defensa de cualquier sistema es la política de seguridad.



13

Muchos profesionales de tecnología de información piensan que el cortafuego5

es la

primera línea de seguridad, sin embargo, el cortafuegos no puede ser configurado y

administrado apropiadamente sin una política de seguridad. Esta política de seguridad

debe de indicar ¿quien?, ¿Cuándo?, ¿Por qué?, ¿Cómo? y ¿Dónde? debe de circular el

flujo de datos.

La seguridad informática se alcanza a través de la aplicación de ciertos controles, los

cuales pueden ser prácticas, procedimientos, estructuras organizacionales y funciones de

software. Estos controles necesitan ser establecidos para asegurar que los objetivos

específicos de seguridad de una organización sean alcanzados.

La información, los procesos, los sistemas y las redes son importantes bienes del

negocio. La confiabilidad, integridad y disponibilidad de la información deben ser

esenciales para mantener el margen competitivo, el flujo de caja, la rentabilidad, los

acuerdos legales y imagen comercial.

La política de seguridad es el objeto de estudio de esta investigación, es necesario estar

al tanto de los factores que intervienen y que hay que tener en cuenta al momento de la

elaboración de una política de seguridad. Los siguientes temas expuestos son los factores

que intervienen en una política de seguridad.

1.4 Tipos de Ataques y Amenazas

Para determinar la mejor manera de proteger los recursos, hay que entender como estos

recursos pueden ser destruidos o bien, llegar a ser objeto de ataque.

Los ataques no se consideran una casualidad, la mayoría de los ataques tienen un

objetivo, quizás se pretende ganar algo con la destrucción de alguna información valiosa

para la organización o bien por simple ocio. Por ejemplo un ladrón prefiere robar a una

persona que tiene una buena apariencia física porque esto refleja una buena posición 5 Cortafuegos: Es un sistema o grupo de sistemas que hace cumplir una política de control de acceso entre dos redes (Villalón Huerta, 2000).



14

económica, lo mismo sucede con las empresas grandes como Microsoft, IBM, HP y

otras. Identificar quienes son los que ganan con la destrucción de los recursos de la

organización, es el primer paso en el proceso de la protección de la información

(Brenton, 1999).

Hacker y cracker, son palabras que comúnmente se utilizan como sinónimos, sin

embargo hay fuertes diferencias entre estos dos términos que permiten entender quien

ayudara al fortalecimiento de una postura segura en un sistema de información y quien

simplemente se quiere infiltrar en el sistema de información (Brenton, 1999).

Por lo anterior, se puede clasificar a los intrusos de la siguiente forma:

1. Crackers es un intruso malicioso, con la única finalidad de descubrir Bugs6

. La

instalación de puertas traseras a través de programas es una prueba fehaciente de

las capacidades que puede llegar a tener el cracker para entender el código fuente

y utilizar ese entendimiento para su beneficio.

2. Hacker es un intruso con profundo conocimiento de una tecnología. Ésta puede

ser informática, eléctrica o de comunicaciones. Comúnmente el hacker conoce

todos los terrenos en que se basa la tecnología actual, por lo tanto el verdadero

hacker es alguien que está ansioso por saberlo todo, es aquel que le gusta

investigar, especialmente aquello que es difícil de descifrar. La tecnología se

puede entender como una serie de protocolos y datos correlacionados en cadena,

por lo que, entender esas cadenas de datos conlleva a una superioridad de control

de cualquier tecnología. Ese entendimiento permite entre otras cosas, modificar

la información y ese es el objetivo principal del hacker.

En el mundo de los hackers existen varias categorías según el grado de experiencia del

atacante, por lo que, con el fin de entender los ataques, amenazas y vulnerabilidad, se

6 Es la instalación de puertas traseras en programas de comunicación que permiten realizar otras operaciones además de las permitidas.



15

utilizará en el presente estudio al hacker como único tipo de intruso que afectará las

redes de comunicaciones.

Vulnerabilidad es algo que se sabe, es cualquier situación que puede desembocar en un

problema de seguridad. Una amenaza es una acción específica que aprovecha una

vulnerabilidad para crear un problema de seguridad. Ambos conceptos están

íntimamente relacionados, si no existen vulnerabilidades, tampoco existen las amenazas

(Villalón Huerta, 2000).

Un Exploit es un método utilizado por los intrusos para obtener beneficios de las

vulnerabilidades existentes en un sistema o dispositivos de interconexión. Para evitar la

aplicación de este método se requiere estar en contacto con fabricantes de sistemas o

dispositivos de red, para obtener las últimas actualizaciones que permitirán disipar o

disminuir el número de vulnerabilidades. Los Exploit dejan a su paso patrones en el

comportamiento del sistema o del dispositivo de interconexión. Estos patrones reciben el

nombre de firmas (Signaturas). Los detectores de intrusos hacen uso estas firmas para

determinar posibles ataques (LearnKey, 2001).

1.4.1 Amenazas Internas

Muchos casos de estudio han demostrado que el origen de la mayoría de los ataques

proviene de las operaciones internas de la organización. Es decir que los estudios

describen que más del 70% de los ataques provienen de alguien que está dentro de la

organización o de alguien que cuenta con información confidencial (como Ex-

empleados con claves de acceso). Mientras se utilizan los cortafuegos para la protección

de la organización contra las amenazas externas, aún están los empleados que cuentan

con información acerca de cómo opera la red internamente. Esto puede ser negativo si se

observa desde el punto de vista de amenazas internas, porque éstos pueden ser

responsables de grandes daños. Estos daños pueden ser intencionales o accidentales

(Brenton, 1999).



16

El factor humano juega un papel muy importante en la aplicación de un programa de

seguridad. Las amenazas internas son las que pueden ocurrir dentro de la organización y

en su mayoría provienen del recurso humano. En ocasiones las amenazas internas son

aún más devastadoras que las externas. El administrador de la seguridad, no debe de

subestimar este tipo de amenazas, por ende, hay que estar pendiente de los empleados

que tienen acceso a la información confidencial. Es necesario realizar un estudio de los

procesos para atender el problema de abuso de los empleados.

Identificar a los empleados que tienen acceso a información confidencial, es el primer

paso para determinar una estrategia de defensa contra las amenazas internas de la

organización. Los empleados con acceso a la información confidencial por lo general

son aquellos de tiempo completo que manejan información crucial para el buen

funcionamiento de la institución. Además de los empleados a tiempo completo de deben

de considerar a las practicantes, estudiantes, contratistas, empleados temporales; es

decir, considerar a todas aquellas personas que están en capacidad de cruzar la seguridad

física de la institución. También es importante considerar que no solo los empleados que

tienen acceso físico al sistema de información, constituyen una amenaza; ya que

podemos considerar como amenaza interna a aquellos empleados que cuentan con

claves de acceso al sistema, esto puede ser por contratación de servicios con proveedores

o bien por algún servicio de acceso remoto que ofrece la institución. Por lo tanto, es

necesario tener bien identificados a estos usuarios remotos y tener un registro de todas

las actividades que realizan, cuándo se conectaron, qué operaciones realizaron y a qué

hora finaliza la sesión.

La capacitación en seguridad de los usuarios, es uno de los factores importantes para el

buen funcionamiento de las políticas y procedimientos aplicados en la institución. De

acuerdo a lo anterior se deben considerar las causas de violación de seguridad internas,

para que éstas sean los puntos a considerar el futuro programa de capacitación

(Corporation, 2003).



17

• Ignorancia. Los usuarios no están al tanto de las operaciones básicas de

seguridad que deben de seguir. Incluso, es un problema común que no sepan

cómo funcione la seguridad del mismo sistema de información. Es necesario

entonces, capacitar al usuario acerca de cómo funciona internamente el sistema

para que éste tenga una idea panorámica de todo el sistema de información.

• Descuido. Con el pasar del tiempo, los usuarios pueden entrar en la monotonía,

es decir pueden llegar a realizar actividades que no estén contempladas en las

políticas de seguridad, y muchas veces estas actividades pueden llegar a ser

perjudiciales para la institución, independientemente de la motivación del

usuario. Por lo tanto, se debe de contemplar la constante difusión de las

políticas y procedimientos.

• Indiferencia hacia las políticas de seguridad. Es frecuente que los usuarios

que tienen acceso a la información confidencial, actúen sabiendo que va en

contra de los reglamentos de la institución, por lo que se debe estar pendiente de

lo que hacen con relación a los reglamentos.

• Maldad. Esto sucede con usuarios que están o no en descontento con la

institución e intentan dañar o comprometer deliberadamente su propiedad

intelectual.

Las amenazas internas están íntimamente relacionadas con lo que es la ingeniería social.

Este es el aprovechamiento de la tendencia natural de las personas a confiar en los

demás y querer ayudar (Corporation, 2003). La ingeniería social es quizás la base de los

hackers, para obtener los datos o lo que le interese por medio de una conversación. Es la

forma de engañar a la víctima haciéndole creer que el hacker es una persona buena cuya

única finalidad es ayudar.

Los intentos de ingeniería social pueden suscitarse en cualquier momento, en un día

laboral normal. Las siguientes son amenazas que tienen que ver con la ingeniería social.



18

• Archivos adjuntos a correos electrónicos. Los archivos adjuntos con una

procedencia desconocida se convierten en amenazas internas para la institución,

pasando a un estado de vulnerabilidad ante los virus de la actualidad. Por esta

razón se recomienda instruir a los usuarios acerca de las consecuencias

catastróficas que pueden llegar a ocasionar en la información confidencial. “Los

virus “Anna Kournikova” y “I Love You” son ejemplos claros de los ataques de

la ingeniería social porque los sugestivos asuntos despertaron la curiosidad de los

destinatarios, lo que ocasionó que muchas personas abrieran el correo infectado”

(Corporation, 2003).

• Compartir Archivos. La confianza que los usuarios tienen en los archivos

compartidos es uno de los hábitos que frecuentemente utilizan los atacantes. Hoy

en día existen los spywares7

• Mensajeria instantánea por Internet. Los usuarios que utilizan todas estas

herramientas deben de estar al tanto de todas las artimañas que se pueden utilizar

para descargar y ejecutar software malicioso que le permita hacer uso del sistema

como plataforma de ataque, para lanzar ataques de denegación de servicios

distribuido.

que se encuentran escondidos entre los archivos

compartidos de los usuarios, con la única finalidad que el usuario ejecute el

archivo y automáticamente instalar el spyware.

• Solicitar información. La situación en la cual las personas se ven en la

obligación de proporcionar información, es aprovechada por los practicantes de

la ingeniería social. Los usuarios con acceso a la información confidencial deben

de estar consiente de que puede ser víctima de un engaño. También debe de estar

al tanto del procedimiento a seguir para brindarla.

Los ataques internos pueden suscitarse por las siguientes razones:

• Los empleados con intenciones poco honorables

7 Spyware son programas escondidos entre los archivos compartidos que permite al autor del programa y a otros usuarios de red ver lo que hace el empleado, qué sitios de Internet visita e incluso utilizar los recursos computacionales del empleado sin que lo sepa



19

• Los empleados que se ven envueltos en actividades sin intención de hacerlo

• Empleados que no administran el ambiente de trabajo

1.4.1 Amenazas Externas

Los ataques externos pueden provenir de diferentes lugares del mundo. La competencia

directa de la institución puede ser una amenaza externa.

Si la forma de operar de la institución da lugar a controversias fuertes, puede ser causa

de ataque debido a que sus adversarios no están de acuerdo con los servicios que presta.

Organizaciones que son muy conocidas pueden ser víctimas de ataques, simplemente

por la fama y prestigio que poseen. Muchos atacantes buscan este tipo de instituciones

con la única finalidad de ganar prestigio como hacker.

La competencia, los enemigos, ladrones, espías y empleados que fueron despedidos son

amenazas externas y pueden llegar a realizar ataques de distintas formas que mas

adelantes se describen. Determinar qué tan hábiles son los intrusos, es una tarea que el

administrador de la red debe de llevar acabo porque estos pueden ser buenos en C, C++,

Perl, Visual Basic ,Java Scripts y otros.

El camino ahora es la disponibilidad de las herramientas de hacking que son fáciles de

utilizar. La tendencia de hoy en día, es que crece el número de intrusos novatos que

pueden llegar más lejos con las nuevas herramientas de hacking.

Hay tres categorías de amenazas las que se deben de cuidar constantemente:

• Reconocimiento

• Acceso no autorizado

• Denegación de Servicio



20

Con base a estas categorías se pueden clasificar todos los tipos de ataques.

1.4.2.1 Reconocimiento

Reconocimiento está definido como el descubrimiento no autorizado de los dispositivos,

así como el mapeo, y monitoreo de los sistemas, servicios o vulnerabilidades en la red.

Este puede ser activo o pasivo, por lo tanto, se debe de considerar el reconocimiento de

los dispositivos como una forma indirecta de ataque.

Es básicamente el aprendizaje de la información TCP/IP8

como los nombres de domino,

nombres de los dispositivos, dirección IP o bien el rango de direcciones IP que utiliza la

organización.

Típicamente este tipo de ataque utilizará herramientas sencillas de reconocimiento como

por ejemplo escáner de puertos y ping sweep, o bien comandos de red como ser: ping,

whois, finger, rusers, nslookup, rcpinfo, telnet, dig, nmap. Que son parte de TCP/IP.

En la figura 2.2 se muestran los puntos potenciales de ataques, estos son:

1. De Internet

2. Captura de paquetes en el host de salvaguada, en la DMZ (Sucia, porque esta

antes del firewall)

3. Un analizador de protocolos en la red interna.

4. Ataques provenientes del acceso dial-up

8 TCP/IP (Transmission Control Protocol/Internet Protocol) . TCP es el protocolo de control de transmisión que junto con el protocolo de Internet (IP) conforman el lenguaje o protocolo básico de comunicación de la Internet. Puede ser utilizado como protocolo de comunicación para interconectar redes privadas.



21

Los ataques más populares son barrido de pings (Ping Sweeps) y el escáneo de puertos.

El primero consiste en el descubrimiento automático de los servidores y estaciones de

trabajo de toda la red o de una subred en especial. Se utiliza para desarrollar un mapa

conceptual de como se conforma toda la red. Básicamente lo que hace es el uso de los

requerimientos ECHO del protocolo ICMP para generar respuestas ECHO del mismo

protocolo. Algunas veces se combinan con otras opciones como ser el timestamp, la

máscara de la dirección IP o la información solicitada para obtener mucha mas

información que les permitirá conocer la red (LearnKey, 2001).

El escaneo de puertos consiste en el chequeo de un rango de puertos TCP o bien UDP

del servidor o estación de trabajo para determinar los servicios disponibles.

Normalmente los puertos que se prueban son los del 1-1023. Las atacantes utilizan la

fragmentación de paquetes donde establecen los bits de SYN y FIN para ocultar el

Figura 1.2. Representación de los tipos de intrusos y puntos vulnerables de una red.



22

escaneo. Una vez que tiene identificados los puertos abiertos como por ejemplo el FTP o

Telnet, el atacante puede usarlos para obtener mas información detallada de la máquina

objetivo o atacada (LearnKey, 2001).

Las empresas que proporcionan acceso a Internet, deben tener disponible el servicio de

DNS, por lo que se debe de tener cuidado; que entre los registros no encuentren los de

HINFO porque éstos proporcionan información valiosa acerca de la localización del

servidor, así como información aun mas detallada. Algunas herramientas de software

que se utilizan para el escaneo de puertos son:

• SATAN

• PortScan.c

• Nmap

• Neptune

• Network Toolbox

Todas estas herramientas son fáciles de encontrar en el Internet y hay una gran variedad

que día a día se vuelven más populares y sencillos de implementar.

Otro tipo de ataque de reconocimiento es la intercepción de la información, es

básicamente la observación pasiva de los paquetes que viajan a través de la red

utilizando alguna utilería. Tal es el caso del espionaje de los paquetes utilizando el

conocido olfateador (sniffer) o analizador de protocolos, el cual captura los paquetes y

los vuelve a colocar en el medio físico sin que se de cuenta el receptor ó el emisor de los

paquetes. El objetivo es obtener la mayor cantidad de paquetes posible y regenerar el

escenario de transmisión para determinar que información se envía por el medio de

transmisión. SNMP es un protocolo que puede ser fácilmente interpretado por el

atacantes a través de la utilización de los sniffers o bien los analizadores de protocolos.

Muchos de los casos de espionaje de paquetes que se dan internamente, es necesaria la

protección física de los puntos de acceso a la red.



23

Algunas herramientas que se pueden utilizar para la captura de paquetes son:

• Tcpdump

• Esniff.c (UNIX)

• Linsniffer.c (LINUX)

• Network Monitor (WINDOWS)

• HP Internet Advisor

• NetXray

Los atacantes hacen uso de las herramientas de reconocimiento para obtener la mayor

cantidad de información disponible de la red para que posteriormente se realice el ataque

real. Se puede entender entonces, que los intrusos para poder realizar un ataque

necesitan conocer información de dominios, direcciones IP, DNS, y un mapa conceptual

de la red. Por lo tanto, el objetivo principal del administrador de la red es la de evitar que

los intrusos puedan recolectar suficiente información de la red para realizar sus ataques.

Si esto se realiza con éxito se estarán evitando muchos ataques de mayor daño operativo

y financiero para la empresa (LearnKey, 2001).

1.4.2.2 Acceso no Autorizado

Para entender esta amenaza es necesario que se piense en la peor que puede suceder en

el acceso de la información. Lo peor que puede suceder es que un intruso tenga acceso

ilimitado a todos los recuerdos del sistema, es decir que el intruso tenga privilegios de

root9

o bien de administrador. En realidad es posible llevar acabo este tipo de acceso

por lo que es necesario tomar las medidas para evitarlo.

En la figura 1.3 se muestran los posibles intrusos que se pueden tener en una red Intranet

como es el caso de la Universidad de Colima. Por lo tanto, se tienen tres tipos de

9 Cuenta de usuario que se encuentra en los sistemas operativos basados en UNIX que tiene todos los privilegios de control del sistema.



24

intrusos. El primero es intruso de Internet, el cual es capaz de capturar información entre

dos Delegaciones de la Universidad, además puede atacar al enrutador de perímetro así

como a los servidores que se encuentren en la DMZ10

El Internet, la Intranet y los acceso remotos son las tres zonas que se deben de proteger

para evitar el accesos no autorizados a red de la Universidad (LearnKey, 2001).

. En DIGESET (Dirección General

de Servicios Telemáticos) se puede encontrar el segundo tipo de atacante, el cual se

conecta a través de línea telefónica a Internet y los usuarios no autorizados son el tercer

tipo de intrusos, éstos se encuentran dentro de la Intranet de la Universidad y pueden

llegar a tener acceso no autorizado a servicios de uso restringido.

Una vez que uno de estos tres tipos de intrusos tengan acceso a un host de la red, éste

tratará de encontrar más vulnerabilidades que le permitan obtener más privilegios de

acceso. Quizás utilice ataques de reconocimiento para obtener más información acerca

de la red, descubrir las direcciones IP y utilizar sniffers para capturar nombres de

usuarios y contraseñas. En la mayoría de las ocasiones el intruso utiliza el escaneo de

10 De-Militarized Zone: Es una zona desmilitarizada que añade un nivel de seguridad en las arquitecturas de cortafuegos situando una subred (DMZ) entre las redes externas e internas, de forma que se consigue reducir los efectos de un ataque exitoso al host que se encuentre en dicha subred.

Figura 1.3. Muestra los posibles intrusos que se pueden tener en una red Intranet



25

puertos en los servicios de Internet como ftp o web, para ver que puertos están abiertos y

así obtener privilegios de acceso(LearnKey, 2001).

Ingeniería social es uno de los procedimientos comúnmente utilizados por los intrusos,

para obtener acceso autorizado a la red, por lo que es necesario capacitar a los usuarios

de la red para que sepan en que momento se ven envueltos en una situación se ingeniería

social. War Dialer es una herramienta utilizada por los intrusos de líneas telefónicas para

tener acceso a servidores ISP. Básicamente esta herramienta lo que hace es el marcado

de una secuencia de números telefónicos hasta conseguir que le conteste un MODEM y

luego concentrarse en tratar de obtener información de usuarios y contraseñas. Los

usuarios que están en la red local, pueden tratar de obtener acceso tratando de descubrir

fallas de configuración en el firewall para tener acceso a ciertos servicios (LearnKey,

2001).

Habrán varios ataques de los cuales debemos de estar pendientes, el ataques de

reconocimiento de contraseñas es muy común para tratar de lograr el acceso. Los

llamados ataques de diccionario son conocidos como ataques de fuerza bruta porque se

utilizan programas que hacen combinaciones de contraseñas provenientes de un

diccionario que contiene las contraseñas que se utilizan mas a menudo para lograr

determinar la contraseña. Este proceso puede durar días o bien semanas. El sniffer es

otra herramienta que el intruso puede utilizar para capturar los paquetes provenientes de

un sesión de autenticación de un usuario. Además de estas herramientas, el intruso puede

hacer uso de utilerías para craquear las contraseñas de los sistemas operativos.

Para evitar estos ataques se recomienda lo siguiente:

• Aplicar una política compleja para la asignación de contraseñas.

• Evitar enviar las sesiones de autenticación en texto claro, fácil de capturar

por un sniffer. Utilizar para ello un mecanismo de encriptación.



26

Una vez que el intruso tiene acceso a la red, su siguiente paso es la limpieza de las

huellas que este dejo en el proceso del acceso no autorizado y dejar un acceso

irreconocible por parte de los administradores. Generalmente el Intruso limpia todos los

logs que intervienen en el acceso no autorizado, mueve archivos de cuentas de usuarios

para el directorio /tmp para que eventualmente sean borrados, instalan sniffers para

obtener mas información de la red y finalmente instalan una puerta trasera. Esta puerta

trasera puede ser a través de la adición de una cuenta de usuario con su respectiva

contraseña o bien instalando un troyano como Back orífice.

Se recomienda estar al día con este tipo de incidentes a través del CERT.

Por otro lado se debe de estar al tanto de las aplicaciones inseguras que por consiguiente

producen tráfico inseguro. Tal es el caso de los comandos de BSD(Berkeley Software

Distribution) que son fáciles de determinar a través de los sniffers, el FTP (File Transfer

Protocol) anónimo, el servicio finger que proporciona mucha información para el

proceso de reconocimiento, el sistema de archivos NFS (Network File System) que

proporciona acceso remoto con un mecanismo de autenticación muy débil, TELNET

envía la contraseña en texto legible por el intruso y los procedimientos de envió de

correo como ser SMTP, POP ,MIME, etc.. Estos procedimientos pueden ser utilizados

para obtener privilegios de root. Además de considerar HTTP, se debe de considerar los

errores en el software que proporciona este servicio así como la mala configuración del

mismo. Se debe de estar pendiente de los javaScripts y los Applets Activex que actúan

como caballos de Troya.

La mayoría de los programas de comunicaciones están escritos en código C que utilizan

buffers11

11 Buffer: es un área de datos compartida por el dispositivo de hardware o procesos del programa que operan en diferentes velocidades o en diferentes prioridades. El buffer le permite al dispositivo o proceso operar de forma independiente.

. Estos son utilizados para guardar información variable y pueden ser victimas

de un ataque a través de una sobre carga como resultado de un acceso no autorizado a

dicho dispositivo que utiliza el programa de comunicación. Los programas gusanos de

Internet utilizan los buffer para su propagación, para evitarlos se requiere estar al tanto



27

de los nuevos parches y monitorear los sitios Web que ofrecen información de esta

índole (como CERT).

Algunas contramedidas que se pueden tomar en cuenta para evitar el acceso no

autorizado son las siguientes:

• Inicie en la red perimetral, utilice un enrutador de perímetro que solo permita el

acceso a Internet de las áreas que usted desee. Utilice las listas de acceso.

• Aplique una segunda línea de defensa como es el caso de un cortafuego para

proteger la red interna.

• En los dispositivos de red, debe de asegurarse de no instalar servicios

innecesarios. Si se utiliza acceso a Internet por líneas telefónicas, asegúrese de

utilizar un programa de acceso remoto difícil de acceder por los intrusos. Aplique

la ultima versión o parches de los sistemas.

• Instale un detector de intrusos con sus respectivos sensores.

1.4.2.3 Denegación de Servicios La denegación de servicios (DoS) es uno de los ataques más comunes de hoy en día.

DoS provoca al sistema destino y a la red, indisponibilidad o inhabilidad a través de la

saturación de recursos o causando errores catastróficos que tengan como consecuencia

detener los procesos o a todo el sistema (Boswordth & M.E., 2002), por lo que, los

usuarios legítimos no tendrán acceso a la red, sistema o servicio denegado, son fáciles de

aplicar, solo basta seguir los pasos al pie de la letra para poner este tipo de ataque en

funcionamiento. Una real defensa en contra de este tipo de ataque vendrá cuando exista

una cooperación global de todos los ISP y sistemas individuales conectados a Internet.

En mucho de los casos los ataques DoS pueden ser utilizados por los administradores de

red para probar las vulnerabilidades del sistema como preludio a ataques futuros, para

rastrear al atacante o para vengarse por algo que sucedió en el pasado. El verdadero

asunto con este tipo de ataques es que el protocolo IP es inherentemente vulnerable. Las

herramientas de ataques de Denegación de Servicio pueden ser instaladas en cualquier



28

sistema operativo (Linux es el mas común) pueden atacar a cualquier sistema que tenga

instalado el protocolo IP. Adicionalmente como la implementación de IP es similar en

las diferentes plataformas, un ataque DoS puede estar destinado para varios sistemas

operativos y trabajar en cada uno de ellos. Una vez que los ataques DoS son escritos

para una plataforma en especial son lanzados, evolucionan (a través de la examinación

de los hackers y crackers) y en un periodo corto de tiempo (aproximadamente dos

semanas) surgen nuevas mutaciones del ataque DoS que trabajar virtualmente en todas

las plataformas. Por el impacto de este tipo de ataques, no se pueden tomar como algo

sencillo, los ataques DoS han estado presente de una forma u otra desde los 80’s. En

1999, estos ataques evolucionaron a ataques Distribuidos de Denegación de Servicio

(DDoS), primordialmente por el excesivo uso de la red interna e Internet. DDoS

funciona mediante la implementación coordinada de los ataques DoS desde varias

fuentes en contra de uno o mas destinos.

El primer ataque de denegación de servicio que se tiene registrado fue quizás, accidental.

Este tuvo lugar en Diciembre de 1987, cuando uno de los empleados de IBM en Europa,

envió una tarjeta electrónica vía correo electrónico. Sin embargo, el correo contenía un

programa que desplegaba un árbol navideño en la pantalla del receptor. Además, leía los

contactos del receptor para listar los usuarios del libro de direcciones así como el correo

electrónico de individuos que el receptor había enviado o recibido recientemente. Este

programa a su vez enviaba el mismo mensaje a las direcciones de correo que encontró

en contactos. Como resultado surgió un sobre carga en toda la red mundial de la

corporación IBM, afectando a Europa y Estados Unidos. Además debido a la fuga de

mensajes se desato un descalabro en las redes de educación (BITNET/EARN) e

investigación de Norte América y Europa. El incidente fue referenciado como virus, un

gusano o una broma, pero en realidad fue un autentico ataque de denegación de servicio.

(Boswordth & M.E., 2002). El Gusano creado por Robert Morris, es otra demostración

real de un ataque de denegación de servicio. Un ataque de denegación de servicio en

contra de las computadoras o de la red puede ser devastador para una organización.

Equipo de comunicación críticos, sistemas e incluso toda la red pueden terminar

inaccesibles a causa de estos ataques.



29

Los ataques de denegación de servicio son implementados deliberadamente por intrusos

o bien por procesos automáticos que le permite que el intruso inicie un ataque

remotamente. A estos programas se les conoce como demonios y a menudo son ubicadas

en otros sistemas a los cuales el hackers tiene acceso. Existen varios tipos de ataques y

son relativamente fáciles de implementar. Los siguientes párrafos explican brevemente

en que consisten.

Buscar que los recursos críticos para el funcionamiento del dispositivo de red sean

escasos, limitados e in renovables para obtener un mal rendimiento, es uno de los tipos

de ataques. Estos ataques se implementan a través de la red. Los recursos de este tipo

incluyen tiempo de CPU, espacio en disco, memoria, estructura de datos, ancho de

banda de la red, acceso a otras redes, computadoras y recursos ambientales como el aire

condicionado y la energía eléctrica.

Otro tipo de ataque puede ser destruir o alterar la información de configuración, debido a

la falta de una inapropiada configuración, las computadoras pueden no operar o hacerlo

parcialmente. Este tipo de ataque es muy severo.

Finalmente el último tipo de ataque es la destrucción u alteración física de los

componentes de la red, para la protección es necesaria una buena seguridad física que

salvaguarde las computadoras y otros componentes de red.

A continuación se mencionan algunos ataques de denegación de servicio que existe con

eventualidad; tomando en cuenta que existirán nuevos métodos.

Dispositivos Destructivos. Son programas cuya finalidad es la destrucción de la

información. Existen varias opciones dependiendo de que tan complejo es el dispositivo

de destrucción por lo que, estos pueden ser instrumentos de ataques de denegación de

servicio: Virus, bombas de correo electrónico y herramientas de denegación servicio que

pueden ser considerados dispositivos de destrucción. Los virus y las bombas de correo

electrónico se conocen como causa de ataques de denegación de servicio.



30

Bombas de Correo Electrónico. Una bomba de correo electrónico consiste en un

extenso número de mensajes que son utilizados para sobre cargar el buzón de la víctima.

Estos pueden como consecuencia el bloqueo de la conexión en línea, lentitud en el envío

de los correos electrónicos e incluso sobre carga del servidor de correo hasta que el

sistema esté inaccesible.

Sobre Carga del Buffer. Este ataque puede ser capcioso y ser dañino. Es posible enviar

una cadena de caracteres a un programa destino que contiene código propio y que es lo

suficientemente largo para sobrecargar el espacio en memoria o la entrada al Buffer.

Muchas veces el código de sobrecarga es ubicado en la cola de procesamiento del

sistema operativo para posteriormente ser procesado. Una sobrecarga puede ocurrir

cuando las peticiones de procesamiento de entrada sobrecargan el espacio en el buffer y

desemboca en la pila, en donde se escriben las peticiones previas y direcciones de

retorno.

Agotamiento del Ancho de Banda. Este tipo de ataque involucra la generación de un

sin número de paquetes grandes enviados a la red destino. Estos ataques pueden ocurrir

localmente o remotamente. Si el atacante tiene acceso, se puede decir que el ancho de

banda disponible puede ser víctima del atacante porque puede sobrecargar la conexión

de red de la víctima. Por otro lado, se podría utilizar cierto tipo de paquetes para esta

finalidad, los más comunes son los mensajes del protocolo de control de Internet (ICMP,

Intenet Control Message Protocol), a través de mensajes de Echo (generados por Ping).

A través de la utilización de múltiples sitios de renta, el atacante puede sobrecargar la

conexión de red de la víctima y puede amplificar el ataque de denegación de servicio. El

ataque más conocido para dicha amplificación es el llamado ataque SMURF. Este ataque

está particularmente interesado en la utilización de la herramientas ( Ping ) que residen

en cualquier sistema IP y emplear estas herramientas en otras redes sin la necesidad de

tener control de ningún sistema.



31

Sobrecargar SYN. Este ataque de denegación de servicio entra en la categoría de

agotamiento de recursos suficientes y explota el proceso de tres fases utilizado por las

estaciones TCP para la sincronización de la conexión lógica previa al intercambio de

datos. En un proceso normal de una conexión TCP de estación a estación, la estaciones

intercambian tres segmentos TCP previo al intercambio de los datos. La figura 1.4

muestra el proceso.

1. El cliente envia un segmento al servidor con su número de secuencia inicial (ISN,

Initial Sequence Number). La bandera SYN (sincronización) es establecida en

este segmento.

2. El servidor responde a través del envío de un segmento conteniendo su ISN y el

acuse de recibo del ISN correspondiente al cliente. Este segmento contendrá

ambas banderas SYN y ACK, hasta este punto el servidor asigna recursos para la

conexión que está a punto de establecer y espera el tercer segmento.

3. El cliente envía un segmento como un acuse de recibo dirigido al ISN del

servidor. Este y todos los segmentos siguientes sólo enviaran la bandera de ACK,

hasta que termine la sesión.

Figura 1.4. Proceso normal de Acuerdo en Tres Fases.



32

Una sobre carga SYN toma ventaja del proceso de tres fases, anteriormente expuesto en

el sentido de que el servidor sólo tiene un número finito de conexiones TPC abiertas. El

ataque comienza su operación cuando inicializa conexiones a las cuales nunca enviará

un tercer segmento. En circunstancias normales, el cliente va responder en unos pocos

segundos. El servidor puede esperar aproximadamente 10 segundos antes del tiempo de

cancelación y liberar el recurso. El ataque puede enviar más de 1000 mensajes de

conexión por segundo y esto da como resultado miles de solicitudes de conexión que el

servidor no puede atender por lo que, al cabo de un tiempo reducido no abran recursos

disponibles para las solicitudes legítimas de conexión. En pocas palabras el servidor se

vuelve inaccesible.

Los ataques de denegación de servicio pueden tomar una gran variedad de formas y

atacar a una gran variedad de servicios causando el incremento de la complejidad y

dificultad para los sistemas de protección. Los ataques de denegación de servicio deben

de tomarse en serio por qué las amenazas potenciales están presentes y deben de

realizarse intentos para educar al personal operativo antes que dichos ataques ocurran, de

esta forma poder documentar los ataques DoS, y revisar la documentación y acciones a

tomar después de la ocurrencia del incidente.

1.5 Mecanismos de Seguridad Es importante aclarar que un cortafuego no es un dispositivo como normalmente se

conoce. El cortafuegos es un componente o una serie de componentes que restringen el

acceso entre la red protegida y el Internet, o bien entre otra serie de redes. Por ende, el

cortafuego se le considera un mecanismo de seguridad que debe de funcionar

conjuntamente con los demás componentes de seguridad para proporcionar una red

segura.

Los cortafuegos son mecanismo de seguridad en redes que han proporcionado la

protección necesaria sin precedentes para la conectividad empresarial e institucional a

redes externas que son visibles en la red pública (Internet). Estos dispositivos tienen



33

roles bien específicos, sin embargo, no proporcionan los tipo de protección que a

menudo se les atribuye. No obstante, puede sobresalir en ciertas actividades y sin duda

alguna son un componente necesario en cualquier infraestructura de seguridad.

Antes de comenzar a hablar de los cortafuegos es importante dar a conocer los cambios

que surgieron en relación a la forma de utilizar la computadora, los cuales son:

paradigmas de la computación, modelos para la interacción del negocio y el cambio

global introducido por la emergente Internet, estos han alterado dramáticamente las

responsabilidades y capacidades de los componentes de seguridad tradicionales.

Las conexiones entre sistemas han cambiado la forma de utilizar las computadoras,

algunos elementos de seguridad han cambiado para ajustarse a ésta nueva forma de

utilizar las computadoras. La evolución del procesamiento centralizado de la

información a un procesamiento distribuido a través de sistemas de redes, ha cambiado

la idea de la seguridad perimetral. Adicionalmente, como resultado de las nuevas

conexiones, los requerimientos para la aplicación de seguridad han incrementado para

incluir nuevas inquietudes acerca de redes y dispositivos de seguridad.

El procesamiento centralizado de la información ha establecido tecnologías y

componentes de seguridad. La transición al procesamiento cliente/servidor ha dejado el

procesamiento centralizado significativamente atrás y continúa con el cambio al

procesamiento de redes descentralizadas que requieren de nuevos esquemas de

seguridad.

El procesamiento de redes descentralizadas tiene mucho que ver con el Internet. El

surgimiento de Internet como una plataforma comercial importante, ha influido en la

tecnología empresarial y educativa, directa e indirectamente. Las conexiones de Internet,

HTTP, FTP y otros servicios de Web han conducido a las redes empresariales y

educativas hacia el estándar de TCP/IP. Además, a medida que los fabricantes de la

infraestructura estandarizan sus productos sobre el protocolo de Internet y sus

tecnologías, los componentes disponibles para el uso interno del negocio se basan en el

uso de TCP/IP.



34

Las aplicaciones empresariales han migrado de la clásica aplicación de cliente en la PC a

aplicaciones que corren en servidores de nivel medio, para aplicaciones de múltiples

tareas con una ligera interfaz de cliente WEB enlazada a un servidor HTTP que está

respaldado por transacciones y bases de datos. El resultado de estos cambios es la

amplitud de ambientes de redes homogéneos que utilizan TCP/IP para proporcionar

conectividad.

Los diferentes problemas de seguridad perimetral han producido una sucesión de

mecanismos de seguridad en redes diseñadas para restringir rutas permitidas e

inspección de tráfico de red. Tal es el caso de las listas de control de acceso de los

enrutadores, estos son el corazón de las redes TCP/IP, enviando el tráfico de un

segmento a otro. Los fabricantes de enrutadores reconocen la necesidad de controles de

seguridad en las fronteras entre diferentes segmentos y redes, implementando controles

sencillos que pueden ser activados con bajo nivel de impacto en la usabilidad de la red,

utilizando declaraciones "permitir" y "denegar", las listas de control de acceso de los

enrutadores restringen el tráfico IP basado en la dirección fuente, dirección destino y

puertos, además, estos controles puede limitar el tráfico basado en otros parámetros

como por ejemplo, cuando un paquete debe ser contestado para establecer una conexión.

Los enrutadores llevan a cabo una inspección a cada paquete en un espacio vacío, sin la

existencia de tráfico previo.

Los cortafuegos instalados en servidores es otro mecanismo de seguridad en redes,

fueron creados para proveer capacidades adicionales que los enrutadores no están en la

disposición de ofrecer, esto incluye inspección de tráfico del protocolo, inspección del

tráfico contextual, autenticación global y alertas. Sirven como compuertas basadas en

software que reconstruye completamente los paquetes de la red para proteger el sistema

en las redes internas, además, estos cortafuegos están instalados en sistemas operativos

tales como Unix y Windows NT. Los cortafuegos perimetrales y personales son creados

para un propósito específico.



35

1.5.1 Roles de los Mecanismos de Seguridad en Redes El reconocimiento del valor de los mecanismos de seguridad en redes cambian de

acuerdo a como está construida y manejada la infraestructura de red. Mientras los

administradores de la tecnología de información incrementan sus experiencias y

reconocen la necesidad de estos mecanismos, a menudo tienen expectativas poco

realistas acerca de la capacidad de estos mecanismos. Los mecanismos de seguridad en

redes está muy lejos de ser una respuesta fácil para los asuntos de seguridad de Internet.

Un entendimiento de las capacidades y rol del estos componentes permiten la más

efectiva implementación de sus beneficios sin las indicadas consecuencias de

insuficiente protección en otras áreas. A continuación se presenta una breve descripción

de cada rol de los mecanismos de seguridad en redes. 1.5.1.1. Seguridad Perimetral

Lo más importante de este rol, es que los dispositivos que lo componen se encuentren en

una línea entre lo externo y lo interno, de tal manera que las debilidades, falta de

configuraciones y otras vulnerabilidades en los diferentes componentes sean escondidas

atrás de la interfase que controla el dispositivo perimetral. Para la adecuada

implementación de este rol y para facilitar las rutas disponibles de control que se siguen,

los controles perimetrales deben de seguir el principio de menos privilegio, para ser una

definición útil del perímetro, este dispositivo debe implícitamente bloquear todo el

tráfico que no está explícitamente permitido. Un área que se debe de tomar en cuenta

dependiendo de la medida de protección perimetral ofrecida por el dispositivo, es la

extensión del perímetro a través del tráfico permitido. Hay que tener sumo cuidado para

asegurar que los sistemas dentro de la red interna sean capaces de actuar como parte

lógica de la red perimetral. Esencialmente, los cortafuegos permiten a los

administradores enfocar sus esfuerzos de seguridad en un grupo especial de sistemas.

1.5.1.2 Control de Rutas Permitidas.

Mientras dispositivos de seguridad como los cortafuegos crean un distinguido perímetro



36

físico entre diferentes redes, éstos también deben de crear un perímetro lógico que se

extiende a los sistemas dentro de las redes protegidas.

La rutas de protección permitidas por los cortafuegos permiten que el tráfico de afuera

sea disponibles sólo para fluir en formas que el administrador de la red desee.

La protección perimetral y el control de rutas permitidas son roles de los mecanismos de

seguridad en redes que se combinan para formar "la puerta de enlace de menor

privilegio" que comprenden el origen de la función del "cortafuegos". Los profesionales

de seguridad en redes han aprendido que el tráfico externo maligno fácilmente puede

extenderse a través de las rutas permitidas. Gran parte de la responsabilidad de seguridad

aún descansa sobre el dispositivo destino dentro del área protegida.

1.5.1.3 Detección de Intrusión Finalmente el rol primario de los mecanismos de seguridad en redes es la detección de

intrusión: sonando una alarma cuando algo nos invade dentro de la red perimetral.

Dependiendo como estos mecanismos son implementados, las alertas van a

proporcionar información sumamente valiosa acerca de los problemas reales o de un

torrente informativo donde se da a conocer los intentos de ataques que realmente reciben

los dispositivos. Cuando un mecanismo de seguridad está funcionando bien, la

información de detección de intrusión es realmente una información que proporciona los

niveles de amenaza útiles en el mantenimiento de información y en los niveles de

entorno de la red protegida. Algunos cortafuegos incorporan características que permiten

notificar patrones de comportamientos, así como los que se encuentran en los detectores

de intrusos, esto con la finalidad de identificar tráfico hostil que viaja a través de las

rutas permitidas. De manera similar existen escáneres de virus que utilizan estos

patrones de comportamiento para identificar algún ataque a un protocolo en específico.

Existen roles adicionales que los mecanismos de seguridad en redes deben de cumplir,

uno de ellos es la respuesta a intrusiones. Los fabricantes de cortafuegos han integrado

varios tipos y niveles de respuestas a intrusiones que producen una respuesta automática

a las alertas de los detectores de intrusos. Otro de los roles es la encriptación, los



37

cortafuegos deben utilizar redes privadas virtuales para aumentar la seguridad perimetral

de la red que incluye sistemas remotos. La inspección de contenido es otro de los roles

que deben de cumplir los mecanismos de seguridad en redes, estas incluyen filtrado de

contenido, escaneo de virus y filtrado de código activo.

Los cortafuegos implementan los roles anteriormente expuestos, con constante extensión

en varios requerimientos básicos de seguridad. Cada sucesión de generaciones de

cortafuegos ha introducido nuevas técnicas para servir a los roles básicos, estos avances

se ha enfocado básicamente en él área de control de rutas permitidas, agregando varios

niveles de inspección de tráfico en cada ruta permitida.

Todos estos mecanismos de seguridad que se mencionan no tienen razón de ser si no

existe un componente que asegure el funcionamiento homogéneo e integral de todos

ellos. Este componente es la política de seguridad.

La política de seguridad nos ayudará a determinar las respuestas de las siguientes

incógnitas:

• ¿Cómo definir cual tráfico que se permitirá en las rutas de acceso? • ¿Donde deberá estar instalado el cortafuego? • ¿Qué servicios y dispositivos deben de estar en las zonas determinadas por los

cortafuegos? • ¿Dónde se debe de instalar el Detector de Intrusos?

La siguiente sección describe lo que es una política de seguridad, sus implicaciones,

factores de éxito, así como los controles de administración de la seguridad. Además

describe los componentes que intervienen en la generación de una política de seguridad.

1.6 Políticas de Seguridad

El propósito de una política de seguridad es describir el uso aceptable de los equipos de

la organización. La política de seguridad debe de establecer objetivos claros para cada

uno de los equipos utilizados en la defensa de la red, incluyendo los parámetros de



38

seguridad. La política es un documento o una serie de documentos que describen los

controles de seguridad que se deben de implementar en la organización, finalmente una

política de seguridad no seria efectiva sino se implementa, es por esta razón, que los

usuarios de la red deben de firmar un documento claramente detallado que explique que

es lo que se les permite hacer en el sistema de información, por lo menos, una política de

seguridad debe de incluir un resumen y una declaración de propósitos.

Toda política de seguridad implementada debe de estar comprometida para proteger a

los empleados, socios de la empresa y a la empresa misma, de acciones ilegales y

perjudiciales llevadas acabo por intrusos internos o externos.

La intención de publicar una política de seguridad no debe de ser para imponer

restricciones que son contradictorias al establecimiento de una cultura de disponibilidad,

confiabilidad e integridad, una efectiva seguridad requiere del esfuerzo de un equipo que

participe y dé soporte a cada empleado que interactúe con la información que se

considere confidencial. Es responsabilidad de los usuarios comprender los

procedimientos y llevar acabo sus actividades de acuerdo con lo establecido. Los

reglamentos deben de definir de alguna manera la protección del empleado y de la

organización en caso de alguna mala acción que ponga entre dicho la integridad de la

seguridad. Una lista de actividades prohibidas, debe de ser presentada a los empleados

antes de que firmen la aceptación de la política, además debe de contener las

excepciones a ciertas prohibiciones de acuerdo a la naturaleza del cargo que asumirá el

empleado (Ej. Los administradores de la red en algunas ocasiones será necesario que

deshabiliten el acceso de alguna estación de trabajo debido a que esta distorsionando la

estabilidad de la red)

La política de seguridad debe de establecer todo un programa que plantee como los

usuarios internos y externos, deben de interactuar con las computadoras de la

organización, también debe de plantear como la organización puede implementar la

topología de red y determinar donde deben de estar ubicados sus bienes. La política

deberá de evaluar las posibles amenazas en contra de productividad y los bienes

tangibles e intangibles de la organización que necesitan diferentes niveles de protección.



39

El grado de seguridad proporcionado está íntimamente relacionado con la apertura de

comunicaciones de las redes, a mayor apertura o alcance de la red, mayor es el grado de

seguridad que se requiere. Por ejemplo; las grandes empresas requieren de un nivel de

seguridad medio, este nivel debe de satisfacer los requisitos de herramientas de

monitoreo como un monitor de referencia que interviene en todos los accesos de

usuarios a los objetos, a fin de ser comprobada, y que sea lo bastante pequeña para ser

sujeta al análisis y pruebas (Departamento de Control de Calidad y Auditoria

Informática, 2000).

Definir el impacto de la política sobre los usuarios, reconocer los inconvenientes de la

seguridad, evitar una complejidad excesiva, hacer uso de las herramientas más comunes

de seguridad que han sido probadas y examinadas, decidir si va existir una persecución

en contra de los malhechores y en caso de que si exista una persecución entrenar al

personal para recolectar información necesaria, decidir el alcance, recordar

constantemente y diseminar periódicamente detalles de seguridad, son parte de las

actividades que debe de contemplar una política de seguridad.

La figura 1.1 (remitirse en la pagina No. 10), presenta una pirámide organizacional que

ilustra los elementos a contemplar en una política de seguridad. Las políticas ayudan a

definir lo que se considera de valor y especifican los pasos que se deben de tomar para

salvaguardar esos bienes.

Las políticas pueden ser formuladas en un numero variado de formas. Se puede escribir

una política muy simple y particular, una política general que comprendan varias

páginas, se pueden desarrollar una serie de políticas específicas como: política de correo

electrónico, de contraseñas, de contabilidad del sistema, de emisión de cuentas de

usuario, etc.

Las políticas juegan tres tipos de roles. El primero: aclarar que es lo que se requiere

proteger y porque?. Segundo, establece de manera clara la responsabilidad para lograr

esa protección. Tercera, provee la base sobre la que se interpreta y/o resuelve cualquier



40

conflicto posterior. Lo que una política NO debe hacer es listar amenazas específicas,

máquinas, individuos por nombre, las políticas deben de ser generales y cambiar

conforme se necesite a través del tiempo.

Para una política de seguridad es esencial que la organización notifique los

requerimientos de seguridad. Hay tres fuentes principales.

• La primera fuente es derivada de la valoración de riesgos de organización. A

través de la valoración de riesgos las amenazas a los activos son identificados, la

vulnerabilidad y la posibilidad de ocurrencia es evaluada y el impacto potencial

es estimado.

• La segunda fuente es la legal, requerimientos establecidos por la ley, reglamentos

y contratos que en la organización requieren para negociar con socios,

contratistas y proveedores de servicio.

• La tercera fuente son una series de principios, objetivos y requerimientos del

procesamiento de información que la organización debe de desarrollar para las

etapas de procesamiento que soportan sus operaciones.

La valoración de riesgos de seguridad. Este requiere de una valoración metódica para los

riesgos de seguridad, se necesita entonces hacer un balance de las fallas del negocio en

relación con los resultados de fallas de seguridad. Las técnicas de valoración de riesgos

pueden ser aplicadas a toda la organización, o bien sólo a una parte de ella, así como a

los sistemas de información individuales, un componente específico del sistema o un

servicio que sea práctico, realístico y de mucha ayuda.

La valoración de riesgos es una consideración sistemática de:

• La probabilidad de un daño del negocio que resulte de una falla de seguridad,

debe ser cargada en las consecuencias potenciales de pérdida de confiabilidad,



41

integridad o disponibilidad de la información y de otros bienes.

• La probabilidad real de dichas fallas que ocurren en la existencia de las amenazas

y vulnerabilidades, y los controles que actualmente se están implementando.

Los resultados de esta valoración pueden ser apoyo para la guía y determinación de la

apropiada administración de acciones y prioridades para el manejo de los riesgos de

seguridad informática, y para la implementación de controles selectivos que

proporcionen protección en contra de estos riesgos. El proceso de valoración de riesgos

y selección de controles probablemente necesite ser desarrollado un sinnúmero de veces

para cubrir diferentes partes de la organización o partes individuales de un sistema

informático.

Es importante determinar revisiones periódicas de los riesgos de seguridad y de los

controles implementados para:

A. Contabilizar los costos para los requerimientos y prioridades de la organización.

B. Considerar nuevas amenazas y vulnerabilidades.

C. Confirmar que los controles se mantengan efectivos y apropiados.

Las revisiones deben ser desarrolladas en los diferentes niveles de profundidad

dependiendo de los resultados de las previas valoraciones y de los cambios de los

niveles de riesgos que la administración está preparada a aceptar. La valoración de

riesgos es a menudo llevada a cabo primero en el nivel más alto, como una prioridad de

recursos en áreas de alto riesgo, y luego a un nivel más detallado, para atender riesgos

específicos.

1.6.1 Selección de Controles

Una vez que se edifican los requerimientos de seguridad, los controles necesarios deben

de ser seleccionados e implementados para asegurar un nivel reducido de aceptación de



42

riesgos. Este control puede ser seleccionado desde el estándar ISO/17799 haciendo la

aclaración de que no todos los controles son aplicables a todas las organizaciones, ya

que esto depende del ambiente de trabajo que prevalezca en la organización. Tal es el

caso de la aplicación del control de segregación de responsabilidades, esto no se podría

aplicar en una organización pequeña. Otro de los casos sería el control de monitoreo que

hace una revisión de lo que está haciendo el empleado, este control se podría ver

opacado por las leyes que protejan al empleado, estas leyes son el derecho a la

privacidad del empleado y de su área trabajo.

Los controles deben ser seleccionados basándose en el costo de implementación en

relación con el riesgo que se está reduciendo y con la pérdida potencial si la ruptura de la

seguridad ocurre.

1.6.2 Puntos de Inicio para la Política de Seguridad Informática.

Un cierto número de controles pueden ser considerados como guía principal para

proporcionar un buen punto de inicio para la implementación de la seguridad

informática. Esto puede estar basado en los requerimientos esenciales de legislación o

simplemente son considerados como mejores prácticas para la seguridad informática.

Los controles considerados esenciales para la organización desde el punto de vista

legislativo son:

A. Protección de datos y privacidad del información personal

B. Salvaguardar los registros organizacionales.

C. Derechos de propia intelectual.

Desde el punto de vista de mejores prácticas más comunes para la seguridad informática

los controles que se consideran son:

A. Documentos de políticas de seguridad informática.



43

B. Establecimiento de responsabilidades para seguridad informática

C. Educación y entrenamiento de la seguridad informática.

D. Reporte de incidentes de seguridad

E. Una continua administración del negocio

Estos controles aplican a la mayoría de las organizaciones y en la mayoría de los

ambientes, debe de observarse que todos los controles en este documento son

importantes, la relevancia de cualquier control debe ser determinado en la presencia de

un riesgo específico que la organización enfrenta.

1.6.3 Factores Críticos de Éxito

La experiencia del comité técnico de ISO/IEC ha demostrado que los siguientes factores

son a menudo críticos para el éxito de la implementación de la seguridad informática

dentro la organización:

A. Una política de seguridad, objetivos y actividades que reflejen los objetivos de la

organización.

B. Todo la guía de implementación de seguridad que sea consistente con la cultura

organizacional de la empresa.

C. Deberá existir apoyo y un compromiso por parte de la administración.

D. Una buena determinación de requerimientos de seguridad, valoración de riesgos y

administración de los mismos.

E. Una efectiva concientización de la seguridad para todos los administradores y

empleados

F. Distribución de la guía de la política de seguridad informática y de los estándares

para todos los empleados y contratistas.

G. Proporcionar una apropiada educación y un adecuado entrenamiento.

H. Un comprensivo y balanceado sistema de medición que será utilizado para evaluar

el rendimiento de la administración de seguridad informática y la adquisición de

sugerencias para el buen funcionamiento.



44

1.6.4 Documento de la Política de Seguridad Informática

Este documento de ser aprobado por la administración, debe ser publicado y comunicado

de la mejor manera posible a los empleados y establecer un compromiso por parte de la

administración y proporcionar las aproximaciones de la organización para el manejo de

seguridad informática. Como mínimo deben de seguirse algunas vías:

A. Una definición de la seguridad informática, sus objetivos globales y su alcance, así

como su importancia en la habilitación de mecanismos para compartir

información.

B. Una declaración por parte de la administración, para apoyar los objetivos y

principios de la seguridad informática.

C. Una pequeña explicación de las políticas de seguridad, los principios, los

estándares y acatamiento de los requerimientos para una importancia en particular

de la organización como por ejemplo:

1. Conformidad con los requerimientos legislativos y contractuales.

2. Requerimientos de educación de seguridad.

3. Prevención y detección de virus y otros programas maliciosos.

4. Continuidad por parte de la administración.

5. Consecuencias en las violaciones de las políticas de seguridad.

D. Una definición de las responsabilidades generales y específicas para

administración de la seguridad informática, incluyendo reportes de incidentes de

seguridad.

E. Referencias a documentación que respalde la política, por ejemplo más detalles de

la política de seguridad y procedimientos para un sistema específico de

información o bien, reglas que el usuario debe de seguir.



45

1.6.5 Revisiones y Evaluaciones

La política debe tener un propietario, el cuál debe de ser responsable del mantenimiento

y revisión de acuerdo con el proceso de evaluación definido. El proceso debe asegurar

que tal revisión debe ser ejecutada en respuesta de cualquier cambio efectuado en las

bases de la valoración de riesgos original. Además debe existir un programa de

actividades que se ejecute periódicamente para la revisión de lo siguiente:

A. La efectividad de la política demostrada por su naturaleza, numeración e impacto

de los incidentes de seguridad registrados.

B. Costo de los controles en relación con la eficiencia del negocio.

C. Efectos de costos en las tecnologías.

1.6.6 Coordinación de la Seguridad Informática

Para las partes relevantes de la organización ha de ser necesaria una coordinación de la

implementación de los controles de seguridad informática. Es por ello, que los

coordinadores de la seguridad informática deben de hacer lo siguiente:

A. Acordar ciertos roles y responsabilidad específicas de la seguridad informática a

través de la organización.

B. Establecer la metodología y procesos específicos para la seguridad informática.

C. Acordar y apoyar iniciativa de seguridad informática en toda la organización.

D. Asegurar que dicha seguridad sea parte del proceso de planificación informática.

E. Apoyar la adecuada coordinación en la implementación de algún control

específico de seguridad informática para un nuevo sistema o servicio.

F. Revisar incidentes de seguridad informática.

G. Promover el visible soporte de la seguridad informática para el negocio a través

de toda la organización.



46

La política de seguridad informática debe de ser la guía general para la asignación de

roles y responsabilidades de seguridad en la organización. Debe ser el suplemento,

dando una guía detallada para un sitio específico, sistema o servicio. Se asignan

localmente las responsabilidades para individuos físicos, activos informáticos y

procesos de seguridad, así aún que el negocio este en cambio continúo, estas

responsabilidades deben ser claramente definidas.

En muchas organizaciones el equipo encargado de la seguridad informática estará

enfocado en las responsabilidades globales para desarrollar la implementación de

seguridad e identificación de controles.

Sin embargo, la responsabilidad de determinar la implementación de controles estará en

manos de la administración individual. Una práctica común es asignar un propietario

para cada activo informático, el cuál debe ser responsable de la seguridad que requiere el

activo o bien.

El responsable del activo informático está en la libertad de delegar las responsabilidades

de seguridad a individuos o a proveedores de servicios, sin embargo, el propietario del

activo es el primer responsable del mismo, por lo tanto debe de procurar que la

delegación de responsabilidad sea correctamente asignada y ejecutada.

Es esencial que las áreas que estén bajo la responsabilidad del administrador estén

claramente definidas; en particular las siguientes deben ser establecidas:

A. Todos los activos y proceso de seguridad asociados a un sistema individual

deben ser identificados y claramente definidos.

B. El administrador responsable por cada reactivo o proceso de seguridad debe estar

de acuerdo y debe documentar los detalles de dicha responsabilidad.

C. Los niveles de autoridad deben ser claramente definidos y documentados



47

1.6.7 Controles de Autorización para la Asignación de Recursos de Seguridad

Informática.

Una administración de procesos de autorización para la información debe ser

establecida. Los siguientes controles deben ser considerados:

A. Los nuevos controles deben ser apropiadamente aprobados por la administración,

con la finalidad de autorizar su uso y propósito. Además los administradores

responsables deben de aprobar estos recursos asignados para el mantenimiento del

sistema de seguridad informática y así asegurar que se obtenga el cumplimiento las

políticas de seguridad correspondientes.

B. Donde sea necesario, hardware o Software, debe de ser verificado para asegurar que

sean compatibles con los otros componentes del sistema.

C. El uso de controles personales en la información para el funcionamiento del negocio

y cualquier otro control necesario deben ser autorizado.

D. El uso de controles personales en la información en el lugar de trabajo puede ser

causa de nuevas vulnerabilidades, por lo tanto deben ser evaluados y autorizados.

Estos controles son esencialmente importantes para el ambiente de redes informáticas.

1.6.8 Consejo de un especialista en seguridad informática El consejo de un especialista en seguridad es necesario en muchas organizaciones.

Idealmente, un experto dentro de la misma organización debe proporcionar los consejos

de seguridad informática. No todas las organizaciones desean contratar dicho

especialista de seguridad, dado el caso, se recomiendan que un individuo sea

identificado como el coordinador de las experiencias y conocimientos de seguridad

informática para asegurar consistencia al momento de proveer ayuda en las decisiones

de seguridad.



48

Consejeros de seguridad informática o equivalentes puntos de contacto deben ser

tomados en cuenta para obtener consejos que conciernen a la seguridad informática, ya

sea un consejo interno o externo. Estos deben ser objeto de consulta en el proceso de la

detección de un incidente de seguridad para que puedan proporcionar una dirección

especializada o recursos de investigación, considerando la calidad de sus valoraciones de

amenazas de seguridad y consejos acerca de los controles, para determinar la efectividad

de la seguridad informática de la organización. Para maximizar la efectividad y el

impacto se le permitirá acceso directo a la administración de toda la organización,

además muchos de los investigadores de seguridad internos normalmente llevarán a cabo

la administración de controles, los consejeros de seguridad informática deben ser

llamados para aconsejar, permitir o conducir la investigación.

1.6.9 Coordinación entre organizaciones

Se debe de mantener contacto con autoridades legislativas, cuerpos regulatorios,

proveedores de servicios informáticos y operadores de telecomunicaciones, para

asegurar la toma de una decisión apropiada y rápida, y obtener consejos, en la ocurrencia

de un incidente de seguridad, igualmente se deben de considerar los foros de grupos de

seguridad e industria.

1.6.10 Verificación independiente de la Política de seguridad informática

El documento de políticas de la seguridad informática establece responsabilidades para

dicho sistema. La implementación de este debe ser verificada para asegurar que las

prácticas de la organización reflejan la política.

1.6.11 Errores en la Planificación de la Seguridad Informática

1. Suponerse que sólo una línea de defensa es la adecuada. Esto es como decir "la

faja y los sostenes son redundantes", es una mala tendencia. Ésta tendencia



49

supone que sólo habrá un punto de falla en toda la arquitectura de seguridad, de

esa manera, sí un solo componente es el encargado de proporcionar seguridad a

toda la infraestructura de red, si este falla; el intruso gana. ¿Como esto puede ser

una seguridad efectiva?

2. Insuficiente entendimiento de la tecnología y sus matices, incluyendo los

acercamientos que el intruso puede tomar para realizar su ataque. Por ejemplo

muchos ingenieros de seguridad no entienden el rango de aplicaciones que

envían la contraseña "en texto claro".

3. Pensar en que habilitar es el opuesto de deshabilitar. Se recomienda deshabilitar

todas aquéllas capacidades que definitivamente no se utilizarán.

4. Olvidar que la seguridad es parte del ciclo de vida. Esto quiere decir que la

seguridad es un proceso evolutivo. Significa entonces que este proceso de

seguridad no debe ser finalizado y ser guardado en una repisa, y atender otros

problemas. La seguridad es una parte dinámica de la organización y el plan de

seguridad debe crecer y adaptarse a los cambios de seguridad que la organización

requiere.

5. Pasar por alto los aspectos de seguridad física-edificios, habitaciones, centros de

datos, acceso físico a las computadoras, etc.

6. Confiar excesivamente en mecanismos de confianza débiles. Un ejemplo típico

de este de error es el confiar solamente en el filtrado basándose en la dirección IP

origen.

7. Fallar en el entendimiento de la exposición a ataques que ponen en peligro de

integridad de la información e infraestructura de la organización.

8. La falla del entendimiento y en el encaminamiento de la relación entre red,

aplicación, y sistema operativo de seguridad, es necesario entender la tecnología

que estamos procediendo, no sólo las herramientas de seguridad.

9. Sistemas que presentan demasiadas "falsas alarmas". Esto hace que el equipo de

respuestas a incidentes y no atiendan la amenaza reales.

10. Inadecuado direccionamiento de riesgos en las brechas de seguridad por parte de

los que están dentro de la organización.



50

Pueda que no exista un documento de política de seguridad que cubra todas las

eventualidades. El campo de seguridad informática cambia constantemente, y de la

misma manera cambia las políticas. La seguridad informática es un proceso que requiere

de una administración de calidad, para el éxito, la política debe ser integrada a la cultura

corporativa. En pocas palabras, la política de seguridad es un proceso cíclico que

requiere de la definición, implementación y verificación constante.

Este trabajo de tesis busca implementar una política seguridad para la universidad de

Colima. Para ello se tomará en cuenta todo lo que se incluyó en este capítulo. A

continuación, en los próximos capitulo se desarrolla la metodología utilizada para la

implementación del esquema de seguridad en la universidad de Colima, este se resume

en la propuesta de un plan táctico que incluye entre otras contribuciones, el

establecimiento de las políticas de seguridad informática para la institución dedicada a

proporcionar el servicio de comunicaciones para toda la universidad. Esta institución es

la Dirección General de Servicios Telemáticos.

Contextualización y Análisis de Vulnerabilidades


51

Tabla de Contenido

2.1. Marco Metodológico ............................................................................................. 52 2.1.1. Levantamiento Información .................................................................................. 53 2.1.2. Análisis de Vulnerabilidades ................................................................................. 53 2.1.3. Análisis de Riesgos ............................................................................................... 54 2.1.4. Plan táctico de seguridad ....................................................................................... 55 2.2 Introducción al desarrollo de la metodología ........................................................ 57 2.3 Contextualización .................................................................................................. 58 2.3.1. Redes y Comunicaciones ...................................................................................... 61 2.3.2. Servicio Electrónicos de Intranet .......................................................................... 65 2.3.3. Seguridad Perimetral ............................................................................................. 68

2.3.3.1 Zona de Internet ................................................................................................ 69 2.3.3.2 Zona de Red Interna .......................................................................................... 70 2.3.3.3 Zona Militarizada .............................................................................................. 70 2.3.3.4 Zona Desmilitarizada ........................................................................................ 71 2.3.3.5 Estructura General de cada Campus .................................................................. 72

2.4 Infraestructura Tecnológica evaluada ................................................................... 77 2.5 Descripción de las pruebas .................................................................................... 79 2.5.1 Pruebas Internas .................................................................................................... 79 2.5.2 Pruebas Externas ................................................................................................... 80 2.6 Ejecución del Análisis de Vulnerabilidades .......................................................... 80 2.6.1 Ejecución de las pruebas ....................................................................................... 81 2.5.3 Dispositivos de Comunicación .............................................................................. 83 2.5.4 Firewall .................................................................................................................. 83 2.6.2 Herramientas Utilizadas ........................................................................................ 84 2.7 Análisis de Pruebas ............................................................................................... 85 2.7.1 Generación de reportes .......................................................................................... 86 2.7.2 Interpretación de los resultados ............................................................................. 87 2.8 Hallazgos Internos ................................................................................................. 88 2.9 Hallazgos Externos ................................................................................................ 90



52

2.1. Marco Metodológico

El marco metodológico que guía la investigación del esquema actual de seguridad informática

de DIGESET está compuesto principalmente por cuatro fases:

• Levantamiento de Información

• Análisis de Vulnerabilidades

• Análisis de Riesgos

• Plan Táctico de Seguridad

La figura 2.1 ilustra el marco metodológico que toma como base el estándar ISO/17799 para

definir los controles a establecer en la organización con el objetivo de elevar los niveles de

confiabilidad, integridad y disponibilidad de la información y recursos informáticos. Esta

metodología se obtuvo de la empresa de seguridad SCITUM y a continuación se describen

cuatro fases que están compuestas por seis actividades principales que se muestran en la figura

2.1.

Figura 2.1. Metodología de la investigación.



53

2.1.1. Levantamiento Información

Para tener todos los elementos que ayudan al entendimiento del negocio, es necesario que se

dé una etapa de contextualización. El objetivo de esta actividad fue recabar toda la

información necesaria para obtener un conocimiento profundo y detallado de la operación de

DIGESET, su organización, procesos, infraestructura y su nivel de seguridad actual, con la

finalidad de llevar a cabo una identificación amplia y objetiva de los riesgos y amenazas

potenciales. Consiste básicamente en entrevistas, visitas e inspecciones físicas a las

instalaciones de DIGESET, así como la recopilación de información proporcionada por sus

miembros. Con base en el marco metodológico esta etapa corresponde a la contextualización.

2.1.2. Análisis de Vulnerabilidades

Las vulnerabilidades desde el punto de vista de seguridad son características inherentes a un

equipo o sistema que si son explotadas, pueden debilitarlo e incluso inhabilitarlo.

Prácticamente todo sistema de cómputo es vulnerable de ataque.

El objetivo de este análisis fue detectar las vulnerabilidades existentes que representan riesgos

potenciales para los servicios de DIGESET que hemos determinados como críticos. Para este

análisis se llevó acabo lo siguiente:

• Monitoreo de la red: detectar tráfico extraño y verificar si la información sensible o

confiable (por ejemplo contraseñas) es transmitida por la red en forma legible (texto

claro).

• Pruebas de penetración: llevar a cabo una gran cantidad de ataques de manera

planeada y estructurada para verificar cuál es de ellos tuvieron éxito.

• Detección de intrusos: detectar acceso no autorizado a equipos y aplicaciones.

Las vulnerabilidades en las dimensiones de gente y procesos (administrativas, falta de

procedimientos, falta de capacitación, habilidades y concienciación, malos hábitos, etc.) se

detectaron durante las entrevistas con los empleados y revisión de documentación. Por su parte



54

las vulnerabilidades físicas se detectaron en las visitas e inspecciones a las instalaciones, así

como a través de las entrevistas y revisión del flujo de los procesos.

2.1.3. Análisis de Riesgos

El análisis de riesgos es la actividad que sirve para indicar, medir, controlar y minimizar los

riesgos de seguridad a los que están expuestos los activos informáticos de la empresa, además

se identifican los principales activos bajo riesgo, las amenazas y vulnerabilidades, y se

determinan los controles o salvaguardas adecuados con la mejor relación costo beneficio. Con

base en el marco metodológico esta etapa corresponde al a las actividades de análisis de

riesgos, determinación del nivel de madurez y las mejoras a corto plazo.

Valoración de Riesgos

En esta actividad se involucro al personad de DIGESET para estimar de manera conjunta, los

factores de riesgo (probabilidades) para todas las vulnerabilidades y amenazas encontradas,

considerando el grado de exposición y el valor económico de la destrucción o pérdida de los

activos en cuestión, así mismo, para cada una de las vulnerabilidades y amenazas detectadas se

identificaron las posibles medidas de seguridad o salvaguardas para controlar o disminuir el

riesgo, se calculó y estimó el costo de implementar o incorporar cada salvaguarda.

Todas aquellas salvaguardas o medidas de seguridad cuyo costo sea menor al del activo a que

protegen serán factibles de implementarse. Es muy importante mencionar que el éxito de esta

actividad depende en gran medida del nivel de involucramiento de los miembros de

DIGESET, pues ellos son quienes asumen los riesgos, los minimizan, los transfieren o los

aceptan.



55

Diagnóstico de Niveles de Seguridad

Tomando como base las mejores prácticas y particularmente el estándar ISO/17799, durante

esta actividad se está en posibilidades de establecer un diagnóstico de qué tan lejos o qué tan

apegada está la organización en el cumplimiento de los controles establecidos por estos

marcos de referencia.

2.1.4. Plan táctico de seguridad

Una vez identificadas las salvaguardas factibles de implementar, y definidas las prioridades y

los niveles aceptables de riesgo por parte de DIGESET, finalmente se establecieron las

actividades encaminadas a implementar e incorporar las salvaguardas, sentar las bases para el

desarrollo de las políticas de seguridad y la arquitectura tecnológica, y definir las necesidades

de capacitación. Este plan está enmarcado en el corto y mediano plazo con base en las

prioridades y urgencias detectadas.

Políticas de Seguridad

En este punto se desarrollaron las políticas de seguridad que servirán de guía para los

empleados de DIGESET a todos los niveles. Así mismo las políticas son la base para definir y

desarrollar los procedimientos de seguridad, partiendo de la premisa de que toda clasificación

de la información es arbitraria. El desarrollo de políticas de seguridad informática fue

agrupado en rubros importantes para DIGESET, delimitándolas de acuerdo a sus necesidades.

Los principales grupos de políticas son:

• Acceso Físico.

• Robo de Equipo.

• Protección Física.

• Respaldos.

• Intranet de la Universidad de Colima.

• Dependencias de la Universidad de Colima



56

• Uso aceptable de los usuarios

• Servidores de la Universidad de Colima

• Área de Seguridad en Cómputo

• Administradores de Tecnologías de Información

• Uso de los Servidores por los usuarios

• Antivirus de la Intranet

Programa de Concienciación

Las personas que interactúan de alguna manera con la información y los sistemas de cómputo

(usuarios, desarrolladores, administradores, etc.) representan el mayor riesgo de seguridad, y

al mismo tiempo, son el punto de protección o control más importante. El programa de

concienciación está dirigido a todos los niveles de la organización, y su objetivo principal es

incrementar la cultura de seguridad de todo el personal. Es importante que el programa resalte

la importancia de las políticas y su apego a las mismas.

Con base en los niveles de concienciación y necesidades detectadas en la fase de análisis, se

definió el contenido y alcance del programa de concienciación, enfatizando aquellos puntos

que se consideraron convenientes y prioritarios.

Arquitectura Tecnológica

El objetivo de este punto fue diseñar una arquitectura tecnológica robusta que le permitió a

DIGESET contar con una base sólida de tecnologías y mecanismos de seguridad,

fundamentada en los principios y filosofía general de las políticas y orientada a cubrir los

requerimientos que en la misma se establecen. La arquitectura se construyó en base en

diversas recomendaciones asociadas a la consideración de tecnologías que podrían

establecerse como estándar dentro de la organización, tomando en cuenta aspectos como

costos, beneficios, cambios culturales y curvas de aprendizaje en cuanto a instalación,

configuración y uso.



57

Las principales tecnologías a considerar son: Cortafuegos, Redes Privadas Virtuales (VPNs),

Detectores de intrusos, Criptografía y Antivirus.

A continuación se presenta el desarrollo de las fases levantamiento de información y análisis

de vulnerabilidades.

2.2 Introducción al desarrollo de la metodología En este capitulo se desarrollaron las siguientes fases: Levantamiento de información y análisis

de vulnerabilidades. Como anteriormente se expuso, el levantamiento de información es una

etapa de contextualización. La segunda etapa de esta investigación es el análisis de

vulnerabilidades, su finalidad fue detectar las amenazas existentes que representan riesgos

potenciales para los servicios de DIGESET que se han planteado como críticos. Las

vulnerabilidades desde el punto de vista de seguridad son características inherentes a un

equipo o sistema que si son explotadas, pueden debilitarlo e incluso inhabilitarlo,

prácticamente todo sistema de cómputo es vulnerable de ataque.

La etapa de contextualización es importante para el desarrollo de las fases de análisis de

vulnerabilidades y riesgos. En el caso del análisis de vulnerabilidades, la contextualización

proporcionó la información correspondiente a los equipos que conforman la infraestructura

Intranet de DIGESET. En el análisis de riesgo la contextualización proporcionó los hallazgos

en función de tres categorías: gente, procesos e infraestructura. Los hallazgos de gente y

procesos fueron obtenidos a través del levantamiento de la información, los de infraestructura

se obtuvieron en base a los resultados del análisis de vulnerabilidades.

Las actividades que se llevaron acabo en el análisis de vulnerabilidades son las siguientes:

• La contextualización y se obtuvo por medio de entrevistas a personas de diferentes

cargos y responsabilidades, su finalidad fue obtener el contexto en el que será evaluada

la infraestructura del nodo principal.



58

• Se seleccionaron las herramientas adecuadas para las pruebas. Con base en el servicio

que proporciona cada servidor se determinaron las herramientas especializadas, así

como los puntos de revisión.

• En coordinación con el personal operativo se seleccionaron los equipos a evaluar por

medio de la aplicación de las pruebas.

• Se obtuvieron los resultados de las vulnerabilidades, a través de la ejecución de las

pruebas. Finalmente, se interpretaron los resultados proporcionados por las

herramientas, se ponderaron las vulnerabilidades para posteriormente recomendar las

medidas de control necesarias y se documentaron los resultados.

Al final de este capitulo se obtuvo un documentos de hallazgos. Este documento esta

distribuido en las tres categorías ya mencionadas. Los pasos anteriormente expuestos se

utilizaron para la determinación de los hallazgos de la infraestructura. Los hallazgos

correspondientes a las categorías de gente y procesos (administrativas, falta de

procedimientos, falta de capacitación, habilidades y concienciación, malos hábitos, etc.) se

detectaron durante las entrevistas con los empleados y revisión de documentación, por otro

lado, las vulnerabilidades físicas se establecieron en las visitas e inspecciones a las

instalaciones, así como a través de las entrevistas y el análisis al flujo de los procesos.

En la próxima sección se describe cada uno de los servicios que se consideraron relevantes de

acuerdo al criterio del Director General de Servicios Telemáticos.

2.3 Contextualización Esta sección tiene como objetivo documentar la información que se obtuvo de forma verbal,

escrita y electrónica, de los servicios que se consideraron relevantes para fines de la

investigación. A través de los cuales se buscaba:



59

• Recopilar información relevante de los servicios principales que permiten determinar

un panorama suficientemente amplío de la operación de la Dirección General Servicios

Telemáticos, este panorama proporcionó el correcto entendimiento de la situación

actual de DIGESET con respecto a la seguridad informática.

• Soportar las actividades posteriores de la investigación.

Para entender la operación de DIGESET en cuanto gente, procesos e infraestructura

tecnológica, se llevaron acabo entrevistas a los responsables de las áreas involucradas en la

investigación:

1. Redes y comunicaciones: Son todos aquellos equipos de comunicación que pertenecen

al backbone de la Universidad de Colima, esta compuesta por el servicio de acceso

remoto y telefonía digital. Los dispositivos como ruteadores, que forman parte de la

infraestructura a evaluar, se identifican en esta sección.

2. Servicios electrónicos: Compuesto por el desarrollo web, Correo Electrónico y

servicio de DNS. Estos servicios se consideran los mas importantes para una

institución de educación superior.

3. Seguridad perimetral: Es parte del esquema de seguridad, su propósito es el de

agregar zonas entre la red protegida y la red de Internet para establecer niveles de

seguridad según la accesibilidad que se requiere. La accesibilidad se refiere a los

requerimientos de acceso del usuario en relación con los requerimientos de

confiabilidad e integridad.

Es importante aclarar que DIGESET forma parte integral de la Universidad de Colima, esta

dependencia es la encargada de administrar las redes de comunicación de toda la Universidad,

en pocas palabras todo tráfico proveniente de Internet o Intranet de cualquier facultad de la

Universidad de Colima tiene que pasar por el nodo principal de DIGESET, lo mismo pasa

cuando las diferentes delegaciones de la Universidad se comunican.

DIGESET con el objetivo de ofrecer servicios telemáticos, para apoyar las actividades

sustantivas de la Universidad de Colima, a través de la investigación y la modernización de la



60

infraestructura integrando las dependencias de la Universidad así como otras instituciones, ha

realizado arduos esfuerzos para la implementación de una Intranet que pueda cumplir a

cabalidad con las necesidades tecnológicas de la Universidad de Colima (Telemáticos, 2002).

Actualmente DIGESET cuenta con un backbone de Gigabitethernet en estrella que ofrece

1000 Mbps, permitiendo integrar las diferentes tecnologías de vanguardia como son Internet 2

y medios de transmisión de alta velocidad como es el cableado estructurado con fibra óptica.

La Dirección general de servicios telemáticos básicamente ofrece los servicios de acceso

remoto, telefonía, servicio de aplicaciones vía Web, correo electrónico, acceso a Internet,

instalación de software, redes LAN, etc. La figura 2.2, ilustra los servicios proporcionados por

DIGESET.

A continuación se procede a la descripción de cada una de las áreas de investigación que

posteriormente serán involucradas en el diseño de las políticas de seguridad de DIGESET.

Figura 2.2. Algunos servicios que proporciona DIGESET.



61

2.3.1. Redes y Comunicaciones

El acceso remoto se proporciona a través del equipo de comunicaciones llamado Total

Control de 3COM. Este servicio es proporcionado a usuarios individuales para el acceso a

Internet y a los diferentes bachilleratos que formaron parte de la Universidad de Colima.

El acceso remoto está distribuido en tres localidades: Tecoman, Manzanillo y Colima, donde

Colima cuenta con 120 líneas y Tecoman con 30 líneas siendo estas las más grandes. Colima,

a través de DIGESET es el centro de conexión y ofrece los servicios básicos de Internet y

acceso remoto a las bases de datos de la dependencias, en el acceso remoto se utilizan todos

los servicios, por lo tanto no existen restricciones debido a que el usuario paga por el mismo.

El control de acceso que se tienen en las conexiones remotas es a través de un RADIUS donde

solamente se requiere de una cuenta de usuario y una contraseña para obtener el acceso a

través de una conexión PPP.

El equipo Total Control de 3COM, cuenta con una interfaz principal que va conectada

directamente a la zona de Internet sin pasar por el cortafuego. La parte comercial de la

académica están separadas a través de la segmentación lógica de las redes, tal es el caso de

colima donde la parte comercial tiene una red 148. 223. 96.0 con sólo 128 dirección IP y en la

parte académica con una red clase B 148.213.0.0 con una mascara de 24 bits. En los campus

restantes la parte comercial no está separada de la académica ya que hacen uso de las subredes

de la misma red clase B con mascara de 24 bits (148. 213. 0. 0/24). El software propietario de

3COM que se utiliza para la administración de acceso remoto es el Total Security Accounting.

Los métodos de autentificación que utiliza el equipo son el CHAP (Challenge-Handshake

Authentication Protocol), EAP (Extensible Authentication Protocol), MS-CHAP (Microsoft

Challenge Handshake Authentication Protocol), y PAP (Password Authentication Protocol).

El equipo está configurado para que soporte estos cuatro métodos de autentificación; el primer

paso es verificar si el cliente soporta la autentificación CHAP, en caso de que la soporte

intenta establecer la conexión a través del método EAP, si el método EAP no es soportado por

el cliente entonces el equipo intenta con método MS-CHAP, en última instancia, si ninguno de



62

los anteriores es soportado por el cliente, entonces utiliza el método de autentificación PAP.

No existe ninguna política que obligue a los clientes a configurar el método de autentificación.

Para la administración remota del equipo se utiliza una sesión Telnet y el control de acceso se

lleva acabo a través de una lista de direcciones IP, el equipo mantiene una lista de direcciones

IP que el administrador da de alta para establecer una conexión de Telnet, cualquier dirección

fuente que no se encuentre en la lista de acceso vía Telnet, no podrá conectarse al Total

Control.

El 3COM Total Control cuenta con un plan de mantenimiento que consiste en la limpieza del

hardware una vez al año. El contrato de mantenimiento también incluye la sustitución de las

tarjetas en caso de alguna falla y garantiza que antes de 24 horas las tarjetas deben ser

reemplazadas.

El respaldo de los cuentas de usuarios se realiza diariamente, en caso de falla solo se perdería

un día de trabajo porque este respaldo de realiza al final del día.

El software de administración de acceso remoto mantiene un registro de las sesiones que han

sido atendidas por el Total Control de 3COM, se lleva un registro de la hora de inicio de

conexión, tiempo de conexión, hora de finalización, número paquetes transmitidos y de que

teléfono se conectó. Generalmente se encuentran problemas que se atribuyen al hardware.

La telefonía es otra de las áreas fuertes de la dirección general de servicios telemáticos,

DIGESET se encarga de proporcionar la telefonía digital a las diferentes delegaciones que

componen la universidad de Colima, cada delegación hace uso de las cuentas de usuarios con

su correspondiente código de acceso, cada usuario que utiliza la red telefónica, tiene su propio

código de acceso de tal manera que el consumo es contabilizado por cuenta de usuario

independientemente del lugar donde realice la llamada, esto es valido siempre que el usuario

este dentro de la red telefónica de la Universidad de Colima.

La red telefónica tiene una cobertura estatal con mas de 200 troncales y 700 extensiones y

consta de 9 conmutadores que se ubican en los distintos campus de las delegaciones. Los tipos



63

de conmutadores que se están usando son de Alcatel y los modelos básicos instalados

actualmente son:

• VoiceHub

• WM1

• M2

• M3

Los 9 conmutadores están conectados a través de una red con distintos enlaces. En el campus

de Colima se encuentra el conmutador principal modelo M3 (ubicado en DIGESET) y de el

dependen otros conmutadores que se encuentren dentro del mismo campus, estos

conmutadores son los que se encuentran en la biblioteca de sociales, biblioteca de ciencias y

en la biblioteca de medicina. En la biblioteca de sociales y en la biblioteca de medicina, se

encuentra un conmutador WM1. En la biblioteca de ciencias se encuentra un conmutador M2.

En el campus Villa de Álvarez se encuentra un conmutador modelo WM1 y en el campus

Coquimatlan es un M2. En Manzanillo y Tecoman se cuenta con un conmutador M2 y además

en Tecoman se encuentra un conmutador modelo WM1. En la faculta de derecho se tiene un

VoiceHub. La tabla 2.1 simplifica lo anteriormente expuesto.

Localidad Tipo de ConmutadorBiblioteca de Ciencias M2 Biblioteca de Ciencias Sociales WM1Biblioteca de Medicina WM1Coquimatlan M2 DIGESET M3Facultad de Derecho VoiceHubManzanillo M2 Tecoman WM1Villa de Alvarez WM1

Para la comunicación con los otros campus de la Universidad, el conmutador M2 de Tecoman

se comunica con el conmutador M3 de Colima a través de un enlace de datos inalámbrico de

Tabla 2.1. Ubicación y modelo de los conmutadores.



64

45Mbp. Manzanillo utiliza el mismo procedimiento pero con la diferencia que actualmente

cuenta con un enlace de 512 kbps contratado a TELMEX.

En la facultad de derecho se tiene un enlace inalámbrico de 34 Mbps, a través de la tarjeta

RT2 del conmutador principal (modelo M3) se establece la conexión con la facultad de

Derecho, en esta facultad se tiene un conmutador VoiceHub. La figura 2.3 muestra un

diagrama general de la red telefónica.

Los conmutadores de red telefónica digital, son dispositivos de red que proporcionan el

servicio de telefonía IP y que cuenta con una plataforma UNIX, por lo tanto, son objeto de

estudio ya que son vulnerables a ataques que pueden dañar parcial o totalmente la red

telefónica. La tabla 2.3 describe las características de los conmutadores que son necesarias

para el análisis de vulnerabilidades.

Figura 2.3. Diagrama general de la red telefónica.



65

2.3.2. Servicio Electrónicos de Intranet

Los servicios o aplicaciones de Internet es otro los fuertes de la Dirección General de

Servicios Telemáticos, aquí se desarrollan el sitio Web institucional y los sitios web para las

dependencias de la Universidad, cada una de las facultades de la Universidad tiene la

oportunidad de tener su propia página Web. DIGESET se encarga de dar apoyo a los

encargados de la página Web de cada facultad a través de la recién establecida subdirección de

Despacho de Edición Digital; anteriormente se llamaba departamento de Web, pero debido a

un proyecto más fuerte que se le planteo al Rector de la Universidad de Colima, el

departamento de Web paso a ser una subdirección más de Servicios Telemáticos con el

nombre de Despacho de Edición Digital. La figura 2.4 presenta el organigrama actual de

DIGESET, esta nueva subdirección cuenta con diez personas y esta compuesta por las áreas de

Diseño, Redacción, Programación y Traducción

Para el mantenimiento del servidor, modificación de las páginas Web y para el respaldo a

través de FTP solo tienen acceso las personas del área de diseño y programación. El área de

Figura 2.4. Nuevo organigrama de DIGESET. Se agrega la nueva subdirección.



66

traducción tiene acceso al servidor a través de un sistema especial, Las demás áreas tienen

restricción de acceso al mismo.

Debido al constante cambio por los múltiples eventos que las dependencias o facultades llevan

acabo, las paginas Web existentes necesitan ser modificadas y actualizadas por lo que el

responsable de cada facultad o dependencia solicita una cuenta de FTP,

El respaldo de la información se realiza cada mes o cada 15 días por el responsable de cada

página. Por otro lado las personas del departamento de soporte y mantenimiento se encargan

de realizar los respaldos correspondientes. Las políticas de respaldo no están por escrito.

Cuando se da de alta a la cuenta de FTP, al que va hacer el responsable de la cuenta se le pide

la dirección IP de la maquina de donde va a realizar las actualizaciones de la página, se maneja

una bitácora de los cambios de los que se realizan a las páginas, para fines de seguridad

también se pide que a través de un oficio formal se establezca quien es el responsable del

mantenimiento de las páginas Web, ya el director de la dependencia es el único responsable de

todo lo que se publique, es decir, que el responsable de poner en línea el contenido de la

página debe de estar autorizado por el director de la dependencia.

Algunas consideraciones sobre el despacho de edición digital son: cuentan con políticas que

regulan el funcionamiento del servicio, no manejan información confidencial, tienen

respaldos como medida de contingencia al momento de una falla con el servidor y los

servidores que se utilizan son: Intranet, Serveredes, Volcan y Web.

Los operadores de este servicio están restringidos con respecto a la administración del host

donde se encuentra la información, debido a que el personal del área de soporte y

mantenimiento se encarga del control de los servidores, sin embargo los respaldos se realizan

cada 15 días o una vez al mes.

No existe una clasificación de la información, pero con la ley de transparencia, se creo un

comité de transparencia con la finalidad de clasificar la información en: pública, reservada y

confidencial. La información pública como su nombre lo indica, no requiere de una solicitud



67

previa para visualizar la información, en cambio, la clase de información reservada deberá ser

solicitada antes de ser visualizada y la información confidencial no deberá ser publicada ni

solicitada a través de Internet, solo será para uso administrativo e institucional.

El servicio de correo electrónico institucional es proporcionado por DIGESET, la

administración de las cuentas de correo electrónico es función del departamento de computo y

sistemas, las cuentas se dan de alta en los servidores triton, venus, tecomán y zlo, los

servidores Mail y Mail2 son el gateway que identifica la ubicación de la cuenta en cualquiera

de los servidores anteriores. En la actualidad se tienen aproximadamente 15 mil cuentas de

usuarios.

La creación de una cuenta de correo es vía Web y el proceso actual para la solicitud de una

cuenta de correo es el siguiente:

1. Ingresar al URL (Uniform Resource Locator, previamente llamado Universal

Resource Locator) http://digeset.ucol.mx/correo

2. Se debe de leer los requerimientos del nombre de usuario y contraseña.

3. Se selecciona a que grupo de cliente interno pertenece. Los grupos son:

Estudiantes, trabajadores y correo de dependencias.

4. Se proporciona la información necesaria para la validación y creación de la cuenta,

en este caso se solicita el número de cuenta, la facultad a la que pertenece (en el

caso de un estudiante) y la contraseña.

Se administran las cuentas de correo electrónico a los estudiantes, personal en general y

dependencias de la universidad de Colima. En la actualidad no existen políticas para la

administración de seguridad de dicho sistema, los estudiantes y maestros hacen solicitud de su

cuenta de correo vía Web y no existe ningún tipo de protocolo de autenticación y encriptación

que asegure la comunicación en el proceso anteriormente descrito, esto podría tener como

consecuencia la obtención de las cuentas.

El servicio de servidor de nombres, es otro los servicios importantes proporcionado por la

Dirección de Servicios Telemáticos. Todo nuevo sitio web que es dado de alta, debe de ser

http://digeset.ucol.mx/correo�



68

registrado en el servidor de nombres (DNS). Sin la existencia de un DNS en las instalaciones

de DIGESET, no fuese posible referenciar un nombre fácil de recordar para el acceso

controlado a los sitios Web de Internet y los sitios que son creados por la subdirección de

Despacho de Edición Digital. Este servicio es proporcionado por los servidores Volcan, como

servidor DNS primario y Orion como servidor DNS secundario. Por razones de seguridad los

servidores no utilizan registros HINFO, las bitácoras se verifican dos veces a la semana y la

información de configuración es almacenada en otro servidor con la finalidad de respaldarla.

La administración del servicio es responsabilidad de dos personas pertenecientes al

departamento de cómputo y sistemas. No existen políticas escritas para la administración de

este servicio.

2.3.3. Seguridad Perimetral

La seguridad perimetral esta conformada por la combinación de los mecanismos de seguridad

vistos en el capitulo 2. Las zonas que componen la seguridad perimetral son: zona militarizada

(MZ), zona desmilitarizada (DMZ), zona de Internet y zona de la red interna. La Universidad

de Colima cuenta con está seguridad perimetral. La figura 2.5 muestra cada una de las zonas.

A continuación se describe como esta diseñada actualmente la seguridad perimetral que

protege a la Universidad de Colima.

El corazón de la seguridad perimetral radica en la instalación de un cortafuego. Este cuenta

con cuatro puertos FastEthernet en los cuales están conectados las diferentes zonas de defensa.

Estas zonas de defensa se describen con mas detalle en las siguientes secciones de este

capitulo. DIGESET posee con un cortafuego modelo NOKIA IP530 que cuenta con el

software checkpoint versión NG AI (NextGeneration with Application Intelligence), este

sistema esta basado en el sistema operativo Unix.

La figura 2.5 ilustra el diseño actual de la seguridad perimetral que se encuentra en las

instalaciones de la Dirección General de Servicios Telemáticos. Como se puede observar el

cortafuego Nokia se encuentra entre la red interna y la red externa. Además se observan las

zonas que define el cortafuego. Los cuales se describen a continuación:



69

2.3.3.1 Zona de Internet En la zona Internet se encuentra el enrutador de WAN (WanRouter) para Internet 1 e

Internet 2 y el área comercial donde se brinda el servicio de conexión remota a través de el

equipo 3COM TOTAL CONTROL, además se encuentra el servicio que proporciona enlaces

inalámbricos a los usuarios externos de la universidad, este equipo es el Brezeecom, Telmex

es el proveedor de los enlaces de Internet 1 e Internet 2; teniendo en Internet 1 un enlace E31 y

en Internet 2 un enlace E12

1 Es un formato de transmisión europeo diseñado por ITU-TS. Tiene una tasa de transferencia de 34.368 millones de bits por segundo. Puede soportar 16 canales E1.

, por otro lado, todo tráfico dirigido hacia Internet 1 e Internet 2

pasa a través del packetshaper 6500/ISP cuya función es la de proporcionar calidad de servicio

al tráfico (QoS) que entra y sale de la red.

2 Es un formato de transmisión europeo diseñado por ITU-TS. Tiene una tasa de transferencia de 2.048 millones de bits por segundo y puede soportar hasta 32 canales de 64kbps cada uno.

Figura 2.5. Diagrama de Seguridad Perimetral de la Universidad de Colima



70

2.3.3.2 Zona de Red Interna

La zona de la red interna es lo que se conoce como la nube de la universidad de Colima, en

ellas se encuentran conectados los diferentes campus que conforman dicha red. Estos campus

son los siguientes:

1. Tecoman

2. Villa de Álvarez

3. Coquimatlán

4. Ciencias sociales.

5. Biblioteca de ciencias

6. Dirección de servicios telemáticos.

7. Trabajo social

8. Medicina

9. Manzanillo El Naranjo

A excepción de Tecoman y Manzanillo el Naranjo, todos estos campus cuentan con un

enlace de GigabitEthernet. Tecoman cuentan con un enlace inalámbrico de 45Mps y uno de

respaldo de 512 kbps y manzanillo con un enlace de 512 kbps el cual presenta problemas

fuertes de utilización del canal.

Cabe mencionar que la infraestructura del enlace inalámbrico esta instalada en las

instalaciones del gobierno de colima, por lo tanto, la Dirección de Servicios Telemáticos no

tiene control total del mantenimiento de la misma, los equipos que forman parte de esta

infraestructura presentan inconsistencias de energía eléctrica que dan como resultado

problemas constantes en el enlace, para este problema se esta pensando en la instalación de un

nodo especial que conecta a Tecoman y Manzanillo vía inalámbrica en instalaciones propias.

2.3.3.3 Zona Militarizada

En esta zona se deben de colocar solamente los servidores pertenecientes a la red interna de

la universidad de Colima, entre estos servidores podemos mencionar el servidor de control



71

escolar, recursos humanos y control financiero, además en esta zona se debe de colocar

cualquier aplicación que sea de uso exclusivo para los usuarios de la red interna de la

universidad, en pocas palabras esta zona es para las aplicaciones que solamente serán

utilizadas en la Intranet, actualmente en esta zona solo se encuentra el servidor de

administración de la intranet, utilizado por el departamento de redes y comunicaciones.

2.3.3.4 Zona Desmilitarizada

El termino de DMZ tiene su origen cuando durante la guerra provocada por la separación de

Corea del Norte y Corea del Sur cuando un zona de tierra en el paralelo 38 se encontraba fuera

de los limites de la zona militarizada, está es una área insegura entre las zonas seguras. Así

como en la guerra de Corea la DMZ se encontraba enfrente de la zona protegida, cuando se

aplica en las redes, está zona se encuentra fuera del firewall pero que tiene cierto grado de

seguridad. Dentro de esta zona se encuentran los servidores que proporcionar servicio a

Internet, es decir como el servidor de correo, servidor de nombres, y servidor de Web.

El detector de intrusos es otro los componentes que juega un papel importante en el

backbone de la universidad ya que se dedica a monitorear todo lo que entra y sale del

enrutador de Internet 1 e Internet 2, a través de una comparación interna de las firmas3

más

recientes con el tráfico concurrente, este equipo es un Dragon versión 5.0 de Enterasys, este

debe trabajar junto con el cortafuego o el enrutador para tomar decisiones al momento de

encontrar un comportamiento poco usual en la red. Para lograr dicho comportamiento se debe

de instalar la versión 6.0 del Dragon debido a que contiene facilidades para integrarse con el

checkpoint.

No todo el tráfico que viaja por la intranet de la universidad requiere de las mismas

condiciones, para entender esto se debe de hacer una relación entre las aplicaciones críticas y

la sensibilidad al retardo. Para los usuarios de la intranet de la Universidad de Colima las

aplicaciones criticas son el DNS, el correo electrónico, servicio de web y transporte de

archivos (FTP) sin embargo la sensibilidad al retardo de estas aplicaciones es baja. En caso 3 Son patrones utilizados por el detector de intrusos para determinar el comportamiento de un ataque dentro de la red, similar a un escáner de virus.



72

contrario, DIGESET esta por implementar aplicaciones de voz sobre IP que si tienen alto

grado de sensibilidad al retardo, por lo tanto, para administrar estas aplicaciones DIGESET

cuenta con el packetter QoS que se encarga de la administración de calidad de servicios para

tener control del ancho de banda disponible en la red. El modelo del packetter es el

Packetshaper 6500/ISP, tiene capacidad para administrar enlaces de distintas capacidades,

entre sus funciones principales se puede mencionar las siguientes:

• Identificación y clasificación del trafico de la red

• Garantiza el ancho de banda para flujos individuales

• Garantiza ancho de banda para un tipo de trafico

• Cuenta con una utilería que permite monitorear el tiempo de respuesta que se le

proporcionan a las aplicaciones.

Actualmente no se están explotado todas la características del packetshaper debido a que el

ancho de banda disponible actualmente no presenta problemas de sobre carga o saturación.

Básicamente el packetshaper esta siendo utilizado para controlar aquellas aplicaciones de

punto a punto (Kazza, Emule,Ares, etc.) que consumen mucho ancho de banda. Este

dispositivo se encuentra en el campus de colima (vea la figura 2.5).

2.3.3.5 Estructura General de cada Campus

Cada campus cuentan con un enrutador de backbone local que le proporciona interconexión

a las diferentes dependencias que la componen, además existe una delegación en la que

proporcionar servicio a cada una de sus dependencias, en esta delegación se ubica un servidor

al cual se conectan todas las dependencias, la delegación cuenta con una red local de 10 a 15

máquinas, cada dependencia también cuenta con su segmento red.



73

Una dependencia es toda facultad, escuela, dirección, subdirección, departamento y centro de

investigaciones de la Universidad de Colima. La figura 2.6 muestra el diagrama de red que se

encuentra en la mayoría de los campus que componen a la Universidad de Colima. El campus

Colima es diferentes de los demás campus y esto es porque se en ella se encuentra el backbone

principal de la Universidad de Colima, por lo que es importante determinar cuales son los

equipos que interactúan en este campus. En teoría hasta la fecha DIGESET (se encuentra en

el campus Colima) es el responsable de distribuir la información a aproximadamente 4000

estaciones de trabajo y por lo tanto es el responsable de mantener la confiabilidad, integridad y

disponibilidad de la red. Dicho en otras palabras, es responsable de mantener la seguridad de

la información que viaja por la red y de los servidores que brindan los servicios críticos de la

Universidad de Colima.

Esta seguridad debe de ser llevada acabo por el personal, junto con el equipo con que cuenta.

Actualmente Digeset tiene un SmartSwitch 8000 que ha su vez se conecta a un SmartSwitch

Router 8600 que se encarga de la distribución y concentración de los paquetes entrantes y

salientes de toda la Universidad de Colima. En este enrutador se encuentra configurado el

enlace de Internet a una velocidad 34 Mbps y el enlace de Internet 2 a una velocidad de 2

Figura 2.6. Diagrama de cada uno de los campus de la Universidad.



74

Mbps. El SmartSwitch Router 8600 a su vez distribuye la información a los ocho nodos

restantes; la siguiente tabla presenta que tipo de cableado y a que velocidad se comunican con

DIGESET.

Nodo Cableado Velocidad Enlace DedicadoBIBLIOTECA DE CIENCIAS Fibra Optica 1000 Mbps NoBIBLIOTECA DE MEDICINA Fibra Optica 1000 Mbps NoBIBLIOTECA DE CIENCIAS SOCIALES Fibra Optica 1000 Mbps NoCOQUIMATLAN Fibra Optica 100 Mbps NoVILLA DE ALVAREZ Fibra Optica 100 Mbps NoTECOMAN Inalámbrico 34 Mbps SiMANZANILLO Cobre 512 kbps Si

BIBLIOTECA DE CIENCIAS Este nodo actualmente tiene un SmartSwitch 6000 de 48 puertos. Contiene dos interfaces Fast

Ethernet (FE-100TX)que se conecta al equipo que exista antes de que se realizara la

actualización de los equipos de comunicación. Uno de los puertos se conecta a dos

SmartSwitch 2110 que se conectan en cascada. La otra interfaz se conecta a una serie de

SmartSwitch 2110 los cuales son cuatro y también se encuentran conectados en cascada.

Además este nodo conecta a todos los centros de investigación del campus colima.

BIBLIOTECA SOCIALES Al igual que todos los nodos, este nodo es de suma importancia debido a que proporciona

conexión a otros departamentos y facultades de la Universidad de Colima. Estos son:

• Ciencias políticas

• Bachillerato uno, dos y tres.

• Posgrado

• Dirección de Bachillerato uno, dos y tres.

• Facultad de Contabilidad

Tabla 2.2. Enlaces de DIGESET



75

Se tiene un SmartSwitch 6000 con 5 slots. Las tarjetas que contiene son las siguientes.

• Una 6H262-18 con 16 puertos (RJ-45) 10/100 Fast Ethernet.


• Dos convertidores de medios de RJ-71 a MMF con conectores ST.

BIBLIOTECA DE MEDICINA La biblioteca de medicina es otro de los nodos que proporciona acceso otros departamentos y

facultades. Estas son:

• Sala multiusos de la facultad de medicina

• Programa Universidad de Colima

• Aula virtual de ciencias de la salud

• Facultad de Letras y Comunicaciones

• Facultad de Medicina

• Laboratorio de Radio

• Facultad de enfermería

Se tiene un SmartSwitch 6000 con 5 slots. Las tarjetas que contiene son las siguientes.



• Dos convertidores de medios de RJ-71 a MMF con conectores ST.

VILLA DE ALVAREZ Villa de Alvarez cuenta con un enlace Gigabit hacia DIGESET. Tiene un SmartSwitch Router

con 16 puertos de 10/100 Fast Ethernet con dos slots de expansión. También cuenta con un

SmartSwitch 1500 para la conexión del conmutador, un puerto Fast Ethernet de UTP para la

conexión a la red y un puerto de F.O. Monomodo de ATM con tecnología OC-3 para el enlace

con el MDF. Este nodo conecta todas las dependencias de este campus.



76

COQUIMATLAN Coquimatlan, tiene un enlace Gigabit hacia DIGESET. Cuenta con un SmartSwitch Router

con 16 puertos de 10/100 Fast Ethernet con dos slots de expansión. También cuenta con un

SmartSwitch 1500 para la conexión del conmutador, un puerto Fast Ethernet de UTP para la

conexión a la red y un puerto de F.O. Monomodo de ATM con tecnología OC-3 para el enlace

con el MDF.

TECOMAN Cuenta con un SmartSwitch Router con 16 puertos de 10/100 Fast Ethernet con dos slots de

expansión. En uno de los slots de expansión se colocara una tarjeta con dos puertos seriales

para la conexión con el MDF. Tiene un ELS100-24TXM con 24 pueros para dar servicio a los

usuarios del Site. También tiene dos convertidores de medios de RJ-71 a MMF con conectores

ST. Este nodo se conecta hacia colima por dos enlaces como ya se menciono, uno es a través

de un enlace inalámbrico de 34 Mbps y el otro a través de un enlace dedicado de 512 kbps.

MANZANILLO Cuenta con un SmartSwitch Router con 16 puertos de 10/100 Fast Ethernet con dos slots de

expansión. En uno de los slots de expansión se colocara una tarjeta con dos puertos seriales

para la conexión con el MDF. Tiene un ELS100-24TXM con 24 pueros para dar servicio a los

usuarios del Site. También tiene dos convertidores de medios de RJ-71 a MMF con conectores

ST. La figura 2.7 presenta una descripción de la estructura de red del campus Colima.



77

2.4 Infraestructura Tecnológica evaluada Una vez que se obtuvo la recopilación de la información relevante de los servicios principales

que permiten determinar un panorama lo suficientemente amplío de la operación de la

Dirección General Servicios Telemáticos, se procede a la selección de los servidores y

dispositivos de comunicación a evaluar, está selección se basa en la determinación de los

servidores que proporcionan los servicios relevantes para la Universidad de Colima, así

mismo, se toman en cuenta los dispositivos de comunicación y de seguridad perimetral que

hacen posible el transporte seguro del tráfico, esta infraestructura a evaluar fue aprobada por el

director general de DIGESET. La tabla 2.3 muestra los equipos que fueron evaluados.

Figura 2.7. Diagrama del campus Colima.



78

Tipo de Dispositivo

Nombre del Dispositivo Servicios Activos

Sistema Operativo Dirección IP

Responsable del

Dispositivo Servidor Antivirus Http Windows

2K 148.213.1.22 Encargado de

Los servidores Windows 2k

Servidor Intranet Ftp, Http, sql, mysql, smtp, https.

Windows 2K

148.213.1.29 Encargado de Los servidores Windows 2k

Servidor Serveredes http, ftp, smtp, mysql Windows 2K


Servidor bdigital http, ftp,https, mysql Windows 2K


Servidor venus smtp, ftp, http, https, pop3, pop3s, imap, imaps, Mysql, sftp

Solaris 8 148.213.1.4 Encargado de Los servidores Unix

Comutador M3(Colima) Telnet, smtp, pop3, tftp, ftp, http,epmap, rlogin.

BSD UNIX 4.3

148.213.1.110 Encargado de La red Telefónica

Conmutador M1(Villa) Telnet, smtp, pop3, tftp, ftp, http,epmap, rlogin.

BSD UNIX 4.3


Conmutador M2(Tecoman) Telnet, smtp, pop3, tftp, ftp, http,epmap, rlogin.

BSD UNIX 4.3


Conmutador M2(Manzanillo) Telnet, smtp, pop3, tftp, ftp, http,epmap, rlogin.

BSD UNIX 4.3


Conmutador M2 Coquimatlan Telnet, smtp, pop3, tftp, ftp, http,epmap, rlogin.

BSD UNIX 4.3


Servidor triton smtp, http, https, pop3, pop3s, imap, imaps, Mysql, sftp, ssh


Servidor tecoman smtp, http, https, pop3, pop3s, imap, imaps, Mysql, sftp, ssh


Servidor zlo smtp, http, https, pop3, pop3s, imap, imaps, Mysql, sftp, ssh


Servidor Volcan dns, ssh, sftp NetBSD/sparc64

148.213.1.2 Encargado de Los servidores Unix

Servidor Orion dns, ssh, sftp NetBSD/sparc64


Servidor Listas smtp, ssh, sftp Solaris 8 148.213.1.8 Encargado de Los servidores Unix

Servidor dns smtp,smtp_auth, http, https, pop3, pop3s, imap, imaps, sftp,ftp


Servidor mail smtp, dns cache, ssh, sftp FreeBSD/i386


Servidor mail2 smtp, dns cache, ssh, sftp FreeBSD/i386


Acceso Remoto

http, telnet,snmp, pop3, bootps, bootpc, tftp, ntp, Ripv1, Ripv2, nfsd, epmap

Propietario 148.223.96.8 Encargado del acceso remoto

Router Hercules snmp,smtp, ripv1, ripv2, pop3

Propietario 148.213.201.1 Responsable de los routers



79

Router Einstein smtp, pop3, BGP, netbios-NS, netbios-DGM, snmp, bootps.

Propietario 148.213.3.1 Responsable de los routers

IDS Dragon snmp,smtp, ripv1, ripv2, pop3, ssh, syslog, ms-sql-s,ssdp

Unix 148.213.1.200 Responsable del IDS

Web Web Ssh, ftp, Http, pop3, SunRPC, smtp, Exec, login,Shell, epmap, NTP, syslog, RPC, Name, Netbios-NS

Solaris 148.213.1.5 Responsable de los servidores UNIX

Firewall Checkpoint Ssh,http,snmp Unix 148.213.1.1 Responsable de los servidores Unix

2.5 Descripción de las pruebas En esta sección se describe el procedimiento a seguir para la ejecución de las pruebas, además,

se da a conocer las causas por las cuales se realiza cada una de las etapas que se describen a

continuación.

2.5.1 Pruebas Internas

Las pruebas se realizaran desde la red interna de la DIGESET en horarios no críticos para la

operación de los servicios y con el consentimiento de los responsables, estas pruebas serán

aplicadas a los dispositivos con dirección IP no homologada.

A continuación se enumeran las actividades realizadas:

1. Escaneo de puertos, para todos los equipos. Esto se realizó con la finalidad de

determinar los servicios que esta proporcionando el dispositivo de red, además se

comprueba la información que se obtuvo en la etapa de contextualizacion.

2. Pruebas específicas para cada servidor dependiendo de su función (equipos de

comunicación, servidores UNIX, servidores en plataforma Windows, etc).

Tabla 2.3. Equipos cruciales para DIGESET que son involucrados en el análisis de vulnerabilidades.



80

2.5.2 Pruebas Externas

En el caso de las pruebas externas, fueron implementadas por una empresa de seguridad

informática PROTEGO, en la ciudad de Copenhague, Dinamarca, por ende, los resultados son

agregados a este documento y no se describe su implementación o ejecución, las pruebas

fueron realizadas con previa aceptación del Director General de Servicios Telemáticos.

PROTEGO posee una línea de productos de detección de vulnerabilidades para los sistemas

telemáticos, esta empresa cuenta con un grupo de expertos que con su experiencia y

conocimientos en redes computacionales, seguridad y métodos de pruebas, generan un reporte

completo de las vulnerabilidades de las aplicaciones de Web (PROTEGO, 2004).

Las vulnerabilidades reportadas por PROTEGO, son potenciales, sin embargo estas

vulnerabilidades deben de ser comparadas con la política de seguridad de la Universidad de

Colima para establecer una prioridad en las acciones correctivas.

Estas pruebas se implementaron al servidor que contiene el portal de la Universidad de

Colima, por lo que, cuenta con una dirección IP pública. Cabe aclarar que en el caso de este

servidor que cuentan con una dirección publica y una dirección interna, se le aplicaron ambas

pruebas (internas y externas).

2.6 Ejecución del Análisis de Vulnerabilidades

Cada herramienta fue personalizada de acuerdo a los servidores, equipo de comunicación y

cortafuegos. La personalización de las pruebas estuvo basada en el levantamiento de la

información técnica de cada dispositivo de red, por otro lado, se identificó la ubicación física y

lógica de los dispositivos, para comprobar las configuraciones de filtrado de paquetes, así

como las políticas del cortafuego. A continuación se muestran las herramientas utilizadas y

las tablas con los grupos de pruebas correspondientes por cada tipo de dispositivos.



81

2.6.1 Ejecución de las pruebas

En esta etapa se llevaron acabo las pruebas, se realizó una identificación y validación de

direcciones IP; en esta fase se verificó que la dirección lógica asociada a cada dispositivo

correspondiera con la información proporcionada, Se validó que los dispositivos a examinar se

encontraran en la zona perimetral correspondiente a la información obtenida en la etapa de

contextualizacion, por otro lado se determinó que el dispositivo dedicado a la ejecución de las

pruebas se ubicase estratégicamente para que de esta manera pudiese tener acceso a todas las

zonas perimetrales, seguidamente, se identificaron los puertos habilitados UDP/TCP y el

respectivo servicio proporcionado a través de estos puertos. Esto se obtuvo utilizando la

herramienta de escaneo de puertos LANGuard.

Las pruebas realizadas tienen la finalidad de verificar las vulnerabilidades en los servicios de

la Intranet, para esto, se personaliza cada prueba por el tipo de dispositivo de red, la

herramienta Nessus permitió dicha personalización de cada una de las pruebas que se llevaron

acabo. Las siguientes tablas muestran las pruebas que se implementaron en cada uno de los

dispositivos según la plataforma de sistema operativo o según su función en la intranet de la

Universidad de Colima. La tabla 2.4 da a conocer las pruebas que se le deben de aplicar a los

servidores Windows 2000. Cada una de estas pruebas son seleccionadas y posteriormente

configuradas en Nessus. Esta configuración va a depender de los servicios que proporcione el

servidor, sin dejar por alto las pruebas propuestas en la tabla de pruebas que le corresponden.

A los servidores Intranet, Serveredes, Antivirus y Bdigital se les aplico las pruebas base de la

tabla 2.4.

Sistema Operativo Aplicación de parches Debilidad de contraseña Red Barrido de puertos Negación de servicios Puertas traseras CGIs Demonios DCOM DNS



82

correo electrónico FTP Recolección de información Aspectos críticos de NT Grupos NT Red NT Contraseñas NT Parches NT Políticas NT Registro NT Servicios NT Usuarios NT RPC Shares SNMP

A los servidores y dispositivos de comunicación con plataforma UNIX se les aplica las

pruebas de la tabla 2.5. Gran parte de los servidores de la infraestructura de DIGESET son

servidores UNIX, estos son: Venus, Triton, Tecoman, Volcan, Orion, Listas, Dns, Mail,

Mail2, Web y Zlo. En vista que estos servidores de plataforma Unix, son varios, se decidió

dividirlos en grupos, con la finalidad de no cargar la computadora que realizaba las pruebas y

al ancho de banda de la red. Los conmutadores de la red telefónica y el cortafuego de la

seguridad perimetral, tienen sistema operativo basado en la plataforma Unix .

Sistema Operativo Permisos en archivos Relaciones de confianza Archivos de calendarizacion de tareas Archivos de configuración RC Configuración de NFS Aplicación de parches Debilidad de contraseña Red Barrido de puertos Negación de servicios Puertas traseras CGIs Demonios DCOM DNS correo electrónico

Tabla 2.4. Grupo de pruebas aplicadas a servidores Windows 2000.



83

FTP Recolección de información NFS NIS RPC Zares SNMP

2.5.3 Dispositivos de Comunicación Se consideran dispositivos de comunicación a los equipos que proporcionan interconexión

entre los nodos de la Universidad de Colima. Los ruteadores y conmutadores de la red

telefónica que funcionan en el nodo principal, pertenecen a esta categoría, la tabla 2.6 describe

las pruebas que se llevaron acabo para estos dispositivos.

Sistema Operativo Aplicación de parches Red Barrido de puertos Negación de servicios Fuerza bruta Recopilación de información SNMP Vulnerabilidades CISCO Vulnerabilidades router/switches

2.5.4 Firewall El cortafuego o firewall, es el dispositivo principal de la seguridad perimetral, este contiene las

reglas que determinan que tráfico es permitido o denegado. El cortafuego soluciona todos

aquellos problemas que el filtrado de paquetes a través de ruteadores no puede resolver, estos

no son perfectos en permitir o denegar el tráfico, se requiere entonces, conocer el cortafuego,

así como su sistema operativo. Por consiguiente se debe de analizar periódicamente para

mantener la integridad la red. La tabla 2.7, muestra las pruebas que deben de tomarse en

cuenta al momento de realizar un análisis de vulnerabilidades a un cortafuego.

Tabla 2.5. Grupo de pruebas aplicadas a servidores Unix y Linux.

Tabla 2.6. Grupo de pruebas aplicadas a dispositivos de comunicación.



84

Sistema Operativo Aplicación de parches Debilidad de contraseña Red Barrido de puertos Negación de servicios Fuerza bruta Recopilación de información SNMP Vulnerabilidades CISCO Vulnerabilidades firewalls

2.6.2 Herramientas Utilizadas

Las herramientas que se utilizan en el análisis son software de diferentes fuentes, tal es el caso

de NESSUS, que es una poderosa herramienta de software libre que permite llevar acabo un

diagnostico para los servicios de Internet y determinar la robustez, solidez e invulnerabilidad

del sistema mediante el escaneo remoto de vulnerabilidades, basándose para ello en una base

de datos que contiene todas las vulnerabilidades conocidos hasta el momento de la ultima

actualización que se lleva acabo vía Internet.

Otra de las herramientas utilizadas es el WEB CHECK de PROTEGO, esta aplicación es un

conjunto de herramientas de análisis que se implementan de manera conjunta para crear un

reporte de vulnerabilidades lo mas completo posible, los hallazgos de estas pruebas se

describen en la figura 2.12. La tabla 2.8 presenta una descripción general de algunas de las

herramientas utilizadas para el análisis de vulnerabilidades.

Tabla 2.7. Grupo de pruebas aplicadas al cortafuego



85

Nombre Descripción Objetivo de UsoInternet Scanner Herramienta de valoracion de seguridad que verifica la vulnerabilidad de

los ataques de todas las entidades accesibles de la red. También examina todos los servicios TCP/IP de la red e incluye revisiones de vulnerabilidades especifica para sistemas operativos, servidores web y firewalls.

Ejecuta las pruebas de negación de servicio. Realiza el análisis inicial de vulnerabilidades en routers, switches y firewalls.

Nessus Software de diagnostico para los servicios de Intetnet, para determinar la robustes, solidez e invulnerabilidad del sistema mediante el escaneo remoto de vulnerabilidades, basándose para ello en una base de datos conteniendo todos los ataques conocidos hasta el momento de la ultima actualización que se lleva acabo vía conexión a internet.

Identificar vulnerabilidades en servicios de Internet

Web Check Conjunto de herramientas de análisis que se implementan de maneraconjunta para crear un reporte de vulnerabilidades lo mas completoposible.

Identificar vulnerabilidades en servicios de Web

2.7 Análisis de Pruebas

El análisis de las pruebas básicamente consistió en dos partes:

• Determinación de los hallazgos de la infraestructura actual.

• Determinación de hallazgos generales.

Los hallazgos de la infraestructura actual son la determinación de las vulnerabilidades que se

encontraron en los servidores y equipos de comunicación que son considerados como el pilar

del funcionamiento de DIGESET, esto con la finalidad de que posteriormente sean parte de los

hallazgos generales.

Los hallazgos generales están compuestos por tres planos que deben trabajarse en conjunto

para lograr incrementar los niveles de seguridad de DIGESET, el primer plano es la gente y la

organización necesaria para lograr los niveles de seguridad informática requeridos por

DIGESET, el segundo plano son los procesos de seguridad informática sobre los cuales debe

operarse la infraestructura tecnológica de DIGESET y el tercer y último plano esta compuesto

por los dispositivos tecnológicos que soportan la seguridad de los sistemas de información de

DIGESET.

Tabla 2.8. Herramientas utilizadas en el análisis de vulnerabilidades



86

2.7.1 Generación de reportes

Los resultados de las pruebas proporcionadas por Nessus fueron trasladados a un documento

electrónico y la información fue ordenada por dispositivo, finalmente se obtuvieron los

hallazgos de la infraestructura actual, estos hallazgos fueron reportados a los operadores de

cada dispositivo examinado y posteriormente se llevo acabo una reunión para la discusión de

las implicaciones de los cambios sugeridos en el reporte. En estos hallazgos se establecen los

niveles de riesgo. Existen tres niveles de riesgos y un nivel clasificado como informativo. La

tabla 2.9 describe cada nivel.

Nivel DescripciónAlto Cada exposición grave, al ser explotada afecta de forma directa su

seguridad, compromete la confiabilidad, integridad y disponibilidad del información crítica. Habilita al atacante con privilegios y control/manipulación sobre el sistema

Medio Es posible acceder y modificar de forma indirecta datos y archivo de configuración del dispositivo. Explotando una o varias vulnerabilidades de este nivel se puede obtener resultados comparables como los mencionados en las vulnerabilidades de alto nivel

Bajo Se puede obtener información muy específica de los dispositivos como: nombre de usuarios y archivos, configuraciones, servicios. La información que proporcione puede servir como entrada, para explotar vulnerabilidades de nivel medio o alto

Informativo Son datos proporcionados por las aplicaciones y los sistemas operativos (versiones, dirección IP entre otros) su divulgación no compromete a la seguridad de los dispositivos

En la tabla de hallazgos generales existen dos tipos de impactos: el impacto individual y el

impacto contextual. El impacto individual se refiere a nivel de severidad de la vulnerabilidad

encontrada en el equipo, viéndolo como un ente individual, sin tomar en cuenta el entorno en

que se encuentra. En contraparte, el impacto contextual no sólo toma en cuenta la

vulnerabilidad encontrada, sino que para asociar el nivel de impacto se toma en cuenta la

ubicación del equipo en la red, la protección que recibe de otros equipos y la criticidad del

dispositivo. La valoración de estos impactos se abarca en el capitulo 3.

Tabla 2.9. Clasificación de vulnerabilidades.



87

2.7.2 Interpretación de los resultados

La finalidad de esta fase es identificar que toda vulnerabilidad tenga su significado en contexto

a la situación actual que presenta la infraestructura tecnológica de la DIGESET, priorizar los

problemas de seguridad de acuerdo al impacto que pudiera tener y definir la dirección de las

acciones a realizar para solucionar los huecos de seguridad.

La interpretación consiste en comprender como la vulnerabilidad afecta la seguridad del

dispositivo, es decir, el alcance e impacto si la vulnerabilidad es explotada y la solución más

adecuada para el manejo de las vulnerabilidades así como su disminución y eliminación. En el

capitulo 3 se aborda este tema.

Las vulnerabilidades que se encontraron en la aplicación de la herramienta Nessus, se puede

obtener el significado contextual de la situación actual que presenta la infraestructura de la

Universidad de Colima. Por ende se puede interpretar que es lo que un intruso puede llevar

acabo en la infraestructura actual:

• Se puede llevar acabo la etapa de reconocimiento (Sección 1.4.2.1). Fácilmente se

pueden obtener de los servidores la versión del sistema operativo, nombre del login de

usuarios, login de correo electrónico, versiones de las aplicaciones, nombres de

comunidades del protocolo SNMP y otros.

• Es posible llevar acabo la denegación de servicio, a través del derramamiento del

buffer.

• La información que viaja tanto en la intranet como en el Internet de la Universidad de

Colima, es transmitida si métodos de encriptación. Por lo tanto es posible que el

atacante pueda utilizar un sniffer para capturar información de interés particular.

• Se pueden establecer conexiones no autorizadas en los servidores con plataforma

Windows y Unix, en muchos de los casos esta intrusión puede ser posible por las

aplicaciones que los servidores poseen llegando al punto de poder ejecutar código no

autorizado.



88

• Existen cuentas de usuarios en los servidores Windows 2000 que están configuradas

con la opción, “contraseña nunca caduca”. Si el intruso logra tener acceso al servidor

con esa cuenta, tendrá tiempo ilimitado para hacer de las suyas.

• Es posible obtener los archivos de log del servidor Web, estos archivos pueden

contener información confidencial de suma importancia para el rastreo de las

transacciones.

• El contenido de los scripts o de las versiones previas se pasan de regreso al navegador

de peticiones en "texto claro", permitiendo que leer el código fuente o un contenido

especifico de un archivo.

A continuación se presentan los hallazgos de la infraestructura actual tanto internos como

externos.

2.8 Hallazgos Internos Los hallazgos son todas las vulnerabilidades encontradas en los equipos. Esta clasificado en:

Dispositivos de comunicación, firewalls, servidores Windows y servidores UNIX. Los

resultados de esta sección son solamente los producidos por las pruebas internas realizadas por

el grupo de DIGESET. A continuación se presenta la figura 2.8 que establece los resultados

del análisis de vulnerabilidades, que se llevo acabo a los servidores Windows 2000. En la

tabla 2.3 se pueden observar los servidores Windows 2000 de interés para el análisis.

Figura 2.8. Porcentaje de Vulnerabilidades encontradas en los servidores Windows 2000



89

Para más detalles de los hallazgos por servidor se puede abocar al anexo 1, “Reportes de

Vulnerabilidades”.

La figura 2.9 presenta los resultados de las pruebas realizadas a los servidores con plataforma

UNIX. Solo se muestran los porcentajes de las vulnerabilidades que se encontraron, si desea

verificar los detalles de las vulnerabilidad, puede ver el anexo 1. Como resumen se tienen los

siguientes resultados:

Nivel de Riesgo Cantidad Del Riesgo Alto (51%) 25

Medio (35%) 17 Bajo (14%) 7

Vulnerabilidades en los Servidores UNIX

Alto (51%)Medio (35%)Bajo (14%)

A continuación se presenta la figura 2.10 que ilustra el estado de los equipos de comunicación

(rutadores, RADIUS, IDS y Conmutadores) con respecto a las vulnerabilidades encontradas en

la herramienta Nessus. Para ver detalles consulte el anexo 1. Como se puede observar, los

equipos de comunicación no presentan problemas de vulnerabilidades de alto riesgo. En

resumen se tienen los siguientes resultados:

Nivel de Riesgo Cantidad Del Riesgo Alto (14%) 1 Medio (14%) 1 Bajo (72%) 5

Figura 2.9. Vulnerabilidades encontradas en los servidores con plataforma Unix



90

Vulnerabilidades de los Dispositivos de Comunicación


El firewall Nokia Check-Point IP-530 y los conmutadores no presentan vulnerabilidades, es

imprescindible revisar periódicamente los dispositivos para que siga en estas condiciones.

2.9 Hallazgos Externos Los hallazgos externos son todas las vulnerabilidades encontradas en el sitio Web de la

Universidad de Colima. La herramienta que se utilizo fue el WEBCHK, de la empresa de

PROTEGO. La figura 2.11 representa gráficamente dichos hallazgos.

Vulnerabilidades Encontradas por PROTEGO


Figura 2.10. Vulnerabilidades encontradas en los dispositivos de comunicación.

Figura 2.11. Vulnerabilidades encontrados por PROTEGO al servidor Web de la UDC.

Análisis de Riesgos


93

En el capítulo anterior se desarrollo la contextualización y el análisis de vulnerabilidades (vea

figura 2.1) del marco metodológico, por lo que, se obtuvo como resultado los hallazgos en las

categorías de gente, procesos e infraestructura. Estos hallazgos fueron el punto de inicio del

análisis de riesgos y se analizaron en función de su ocurrencia e impacto, por lo tanto, este

capitulo presenta una breve explicación que lo que es la administración de riesgos con la

finalidad de entender el desarrollo del análisis de riesgos. Posteriormente se procedió al

desarrollo práctico del análisis de riesgos que consistió en la priorización de los riesgos, la

priorización de los controles de mitigación y finalmente la priorización de las actividades a

realizar para mitigar los riesgos. Las etapas de análisis de brechas y mejoras a corto plazo del

marco metodológico, se desarrollan en este capitulo.

3.1 Administración de Riesgos

La administración de riesgos es una forma de estar al tanto de lo que ocurre o de lo que puede

ocurrir con los sistemas información. Un riesgo es la posibilidad de sufrir una pérdida o daño,

la definición muestra que hay dos partes del riesgo: la posibilidad de ocurrencia de un evento

de riesgo y el daño o pérdida que resulta de la ocurrencia del evento de riesgo.

Un programa de administración de riesgos tiene especial énfasis en dos aspectos: valoración

de riesgos y mitigación de riesgos. La administración de riesgos puede llevarse a cabo en

cuatro etapas; la primera etapa de la administración de riesgos de un sistema TI es la

valoración del mismo, la segunda etapa es la utilización de la valoración de riesgos para

identificar las medidas de mitigación más óptimas, la tercera etapa, es la administración de

seguridad que proporciona las acciones necesarias para la efectiva corrección de los riesgos y

la cuarta etapa es la auditoria de seguridad, la cual es utilizada para detectar condiciones que

requieren una revaloración de riesgos. Está última etapa también es utilizada para la

implementación de nuevas medidas de mitigación o modificaciones al programa de

administración de seguridad. Para fines de este capitulo, las actividades de valoración de

riesgos y las medidas de mitigación son los temas principales, por lo que se toma especial

atención en el desarrollo de estas actividades. La administración de la seguridad y la auditoria

de seguridad se desarrollan en el capitulo 5. Si el programa de administración de riesgos de



94

una organización es deficiente, la organización puede sufrir excesivas pérdidas o daños y al

mismo tiempo puede llegar a perder recursos en medidas de mitigación deficientes, en casos

extremos, la pérdida provocada por un riesgo puede ser lo suficientemente grande para destruir

la organización. La figura 3.1 muestra las cuatro actividades para la administración de riesgos.

3.1.1. Valoración de riesgos

Como se puede observar en la figura 3.1 el flujo de trabajo va de izquierda a derecha por lo

que el primer paso es la valoración de los riesgos cuyo objetivo es generar información acerca

de las exposiciones de riesgos necesarias para establecer y mejorar las decisiones de

mitigación de riesgos. Con la valoración de riesgos se tiene la oportunidad de comparar los

riesgos y determinar el costo de la implementación de controles de mitigación de riesgos

Porque no existe ninguna organización con recursos ilimitados, es necesario determinar que

medidas se deben implementar, sería conveniente que existiera una serie de estándares de

seguridad que se apliquen homogéneamente a los sistemas de TI pero no es posible este caso

por dos razones básicas:

1. Cada sistema de tecnología de información cuenta con su propio ambiente de riesgos y

2. Cada sistema de tecnologías de información tiene una sobrecarga de trabajo única.

Por estas dos razones, cada sistema TI va a tener requerimientos de seguridad únicos, las

Figura 3.1. Cuatro actividades de la administración de riesgos.



95

mismas corresponden a los dos elementos de la definición de riesgo: el ambiente de riesgos

determina la posibilidad de experimentar un daño o pérdida y la sobrecarga del sistema junto

con los activos relacionados al sistema TI, determinan la magnitud de la pérdida o daño.

El riesgo es importante para el diseño y administración de los sistemas de información porque

estos son parte esencial de la operación de una organización, en vista de la creciente

dependencia de los sistemas de información tecnológica, tanto la magnitud del daño o pérdida

potencial como la posibilidad de un evento de riesgo se mantienen en un crecimiento

exponencial.

En el modelo de riesgos, todos los eventos de riesgo se les asume que pueden tener una tasa de

ocurrencia baja o alta, al mismo tiempo el impacto de un evento de riesgo se les asume una

tasa de consecuencias baja o alta.

Existe un modelo de riesgos que se clasifica en cuatro clases de riesgos: baja-baja (1), alta-

baja (2), baja-alta (3) y alta-alta (4). Para fines de la investigación esta la clase 4 es de mucha

utilidad en la priorización de los riesgos, ya que esta clase tiende a presentar mayor relevancia

para dicha actividad. Vea la figura 3.2.

Figura 3.2. Especto de riesgos



96

Seymour Bostworth y M.E. Kabay, sugieren que sólo deben de existir dos clases de riesgos

con relevancia: la clase alta-baja (2) y la clase baja-alta (3), es importante reconocer que en el

mundo real los riesgos no caen exactamente en estas dos clases, lo que se tiene realmente es

un espectro de riesgos que va de la clase alta-baja a la clase baja-alta (Boswordth & M.E.,

2002). Si se desea clasificar los posibles riesgos a los cuales se puede ver envuelta la

organización, quizás esta afirmación puede ser de ayuda, pero cuando se desea darle una

prioridad a los riesgos, el modelo de riegos, no debe ser utilizado para determinar si el riesgo

puede ser real o no, simplemente se clasifican para asignarles una ponderación de importancia.

Perdidas Potenciales Conocer las perdidas potenciales a las cuales se puede ver expuesta la organización, es de

suma importancia para la concienciación de la importancia de una administración de riesgos.

Existen tres clases de pérdidas básicas de los sistemas de tecnologías de información

1. Pérdidas de daño de propiedad. Una pérdida de propiedad ocurre cuando uno de

los bienes de la organización es impactado por un evento de amenaza, el bien puede

ser una propiedad física que ha sido dañada, por ejemplo por incendio o inundación,

por otro lado, el bien puede ser intangible como la inapropiada divulgación o

destrucción de la información confidencial que causa pérdidas a la organización.

2. Pérdidas por obligación. La operación de los sistemas de información pueden

poner a la organización en obligaciones debido a daños agravios. Por ejemplo, la

inapropiada configuración de las reglas de filtrado en el cortafuego o firewall, puede

causar problemas en el funcionamiento correcto de las aplicaciones y servicios que

se encuentran en las zonas perimetrales. La inapropiada divulgación de la

información personal de los empleados puede terminar en una demanda en contra de

la organización.

3. Pérdidas por interrupción de servicio. Estas pérdidas ocurren cuando los servicios

de los sistemas de información son interrumpidos o no han iniciado en un período de

tiempo determinado, por lo general entre mas largo es el tiempo fuera de servicio,

mas alto es el costo de la pérdida, esto significa que las pérdidas por interrupción de



97

servicio deben ser representadas en forma de tabla de valores apropiados para los

rangos de duración de la interrupción.

Las pérdidas por interrupción de servicio se aplican a todos los servicios proporcionados por

los sistemas de información a los usuarios finales. El primer paso es la identificación de las

pérdidas de información a causa de interrupción de servicio, esto a través de la construcción de

una lista de servicios sobre los cuales recae una pérdida potencial. La exploración de una gran

gama de funciones sugiere que existan tres diferentes causas de pérdidas por interrupción de

servicios. Repasando las causas con las personas mas familiarizadas con cada servicio,

usualmente usurarios finales, se determina cuales son los que aplican. Las causas son las

siguientes:

• Reducción de productividad. ¿Las personas estarían desocupadas si se presentase

una interrupción de servicio? En caso afirmativo. ¿Cuántos y que tanto? ¿Cuál es el

pago total en condiciones normales, incluyendo beneficios?

• Retardo en la colecta de fondos. ¿Las aplicaciones activan colección de fondos

para la organización a través de un sistema de facturación? Si es afirmativo,

determine un promedio de la cantidad colectada diariamente, la cual se verá

afectada por la interrupción del servicio.

• Reducción de ingresos. ¿La interrupción de servicio impacta sobre las ganancias de

ventas u otra forma de ingreso? Si es afirmativo se requiere estimar la cantidad de

ingresos perdidos.

3.1.2. Mitigación de Riesgos Los efectos de la exposición del sistema de tecnología de información a los riegos pueden ser

desde triviales hasta catastróficos y no siempre se sabe cual efecto es el más peligroso. La

Mitigación de riesgos es la consideración y aplicación de prácticas de reducción de riesgos en

eventos que generan valoraciones cuantitativas.



98

Se sugiere obtener un promedio de todas aquellas amenazas que tienen una magnitud de

pérdida similar para la organización y que pertenecen a las clases alta-baja y baja-alta. Este

concepto se cuantifica a través de una noción de Perdida Anual Estimada (PAE).

El PAE es simplemente el producto de las tasas de ocurrencia, expresadas en ocurrencia por

año y las perdidas resultantes de una sola ocurrencia expresada en términos monetarios.

Ejemplo: pesos.

El PAE es un concepto útil para la comparación de riegos, pero que esta elaborado

intuitivamente, por lo que eso hace que no se convierta en una base enteramente satisfactoria

para la toma de decisiones de mitigación de riesgos, hay dos razones que contribuyen a esta

afirmación; la primera razón es la dificultad de crear una estimación creíble de las

consecuencias de un evento con baja probabilidad de ocurrencia, donde la tasa de ocurrencia

puede ser falsa, también se debe considerar que los riesgos provenientes de acciones humanas

(fraude, robo y sabotaje) son particularmente difíciles de cuantificar y la segunda razón es que

la consecuencia y la probabilidad de ocurrencia de un evento de riesgo van cambiando con el

paso del tiempo, además los administradores de riesgos tienen que reaprender la lección acerca

de las acciones a tomar para mitigar los riesgos.

Por otro lado el administrador de riesgos debe de tratar de imaginar cada posible riesgo que la

organización puede enfrentar, incluso aquellos que no han experimentado y desarrollar

estimaciones del impacto de cada riesgo, seguidamente el administrador de riesgos debe de

esforzarse para identificar la respuesta mas optima para cada riesgo a través de la

identificación de las medidas de seguridad que tienen un retorno de inversión positivo. En

pocas palabras, el objetivo del administrador de riesgo es encontrar el paquete de medidas de

mitigación que representen el mejor retorno de inversión.

Para ayudar a los administradores a entender el especto de riesgos a los cuales la organización

se ve expuesta, se puede definir una tasa de ocurrencia de una amenaza con significado

mínimo que se considere una perdida tolerable, la idea está, en la eliminación de todas

aquellas amenazas que están por debajo de la tasa de ocurrencia mínima o bien atender las que

estén por arriba de la tasa. Si se estima que la perdida a causa de la ocurrencia de una amenaza

excede la perdida que se considera tolerable y la tasa de ocurrencia excede la tasa mínima,



99

entonces se deben llevar acabo los pasos necesarios para reducir la perdida, quizás

transfiriendo el riesgo a una política de aseguramiento o reduciendo la tasa de ocurrencia

estimada a un valor mas bajo que la tasa de ocurrencia mínima.

Cuatro razones por las cuales se debe de adoptar las medidas de mitigación

1. Las medidas de mitigación son requeridas por la ley o regulaciones.

2. El costo de la medida de mitigación es trivial, pero el beneficio se materializa.

3. Las medidas de mitigación encaminan los riesgos de la clase baja-alta que tiene una

ocurrencia de pérdida intolerable.

4. El costo de la medida de mitigación de riesgos es menor que el costo producido para

contrarrestar las perdidas futuras, dicho en otras palabras, la medida de mitigación

posee un retorno de inversión positivo, por ende, es muy común utilizarlas para

justificar la protección en contra de riegos de la clase alta-baja.

Usualmente las medidas de mitigación no se aplican a aquellos eventos de riesgos que posee

muy baja probabilidad de ocurrencia. Existen tres opciones para atender los riegos que tiene

una tasa de ocurrencia baja, pero un alto costo en perdidas: la primera es la transferencia del

riesgo a través de la adquisición de un seguro que vaya en contra del riego, la segunda opción

es desembolsar dinero para adoptar las medidas necesarias que reduzcan la probabilidad de

exposición del riesgo y finalmente se puede reducir la vulnerabilidad del sistema TI para dicho

riesgo.

Ahora que se ha descrito en forma general en que consisten las dos primeras fases de la

administración de riesgos, es decir, la valoración de los riesgos y la mitigación de riesgos, se

puede proceder al desarrollo practico del análisis de riesgos que le corresponde a DIGESET.

3.2 Desarrollo del Análisis de Riesgos

El objetivo de este análisis es presentar los riesgos identificados en:



100

• Estructura Organizacional. Riesgos asociados con la organización de las funciones y

responsabilidades para la operación de la infraestructura tecnológica (TI), evaluando

aspectos de separación de tareas y rendimiento de cuentas (accountability).

• Outsourcing. Riesgos asociados al mantenimiento de niveles satisfactorios de

seguridad cuando la responsabilidad del procesamiento de información ha sido

delegada al outsourcing.

• Políticas de seguridad. Riesgos asociados con los lineamientos y normas para dar

soporte a la seguridad informática.

• Procesos de TI. Riesgos asociados con la operación de la infraestructura tecnológica,

evaluando los procesos de: Control de cambios, Administración de configuraciones,

Administración de respaldos, Control de accesos y Generación y explotaci6n de

bitácoras

• Infraestructura Tecnológica. Riesgos asociados con las vulnerabilidades detectadas en

sistemas operativos, bases de datos y dispositivos de comunicación (switches y routers).

Un hallazgo es establecer una situación que puede significar un riesgo para la integridad de la

Intranet de la Universidad de Colima, estos riesgos pueden tener como resultado una perdida

tangible o intangible. A cada hallazgo se le asigna un probabilidad de ocurrencia y de

impacto, los que tengan valor de 0 en la probabilidad de ocurrencia o en el impacto no se

tomará en cuenta para la priorarización de controles debido a que los riesgos no impactaría

significativamente en la organización en caso de presentarse, la asignación de la probabilidad

de ocurrencia y de impacto esta dada a criterio del experto en el área de impacto de DIGESET.

El director de la Dirección General de Servicios Telemáticos es la única persona que conoce

en su totalidad el funcionamiento de DIGESET y la problemática que la institución puede

tener al presentarse un riesgo o daño, por lo tanto, esta en la capacidad de asignar, según su

criterio, las ponderaciones correspondientes al impacto y probabilidad de ocurrencia. La tabla

3.1 contiene la información correspondiente a los hallazgos y riesgos que se encontraron en

DIGESET; esta tabla contiene la siguiente información:

• ID: es el identificador único del hallazgo.

• Hallazgo: se refiere al área de oportunidad detecta.



101

• Riesgo: es el peligro que DIGESET o la infraestructura de la Intranet corre debido al

hallazgo detectado.

• Probabilidad de ocurrencia: se refiere la posibilidad de que se presente el hallazgo

correspondiente. Los posibles valores de esta columna son:

0: no aplican

1: bajo

2: bajo-medio

3: medio

4: medio-alto

5: alto

• Impacto: es la severidad que tendría el riesgo en caso de materializarse dentro de la

organización. Los posibles valores de la columna "impacto" también es del 0 al 5 y

básicamente tiene la misma interpretación.

• Factor de riesgo: es la suma de los valores entre las columnas "probabilidad de

ocurrencia" e "impacto". Además se utiliza para la priorización de las actividades

necesarias para la mitigación de riesgos.

• Control: se refiere la medida que se debe implantar para la mitigación del riesgo

A continuación se muestran los hallazgos y riesgos observados durante la recuperación de

información y en la realización de las entrevistas a los responsables de los servicios que

intervinieron en el análisis de vulnerabilidades. Los hallazgos y riesgos se encuentran

divididos en tres rubros:

• Gente: la gente y la organización necesaria para lograr alcanzar los niveles de

seguridad informática requeridos por DIGESET.

• Procesos: procesos de seguridad informática sobre los cuales debe operar se la

infraestructura tecnológica de DIGESET.

• Infraestructura: las herramientas heroicas que soportan la seguridad e integridad de

los sistemas de información de DIGESET.



102

ID HALLAZGO RIESGO PROBABILIDAD DE

OCURRENCIA

IMPACTO FACTOR DE

RIESGO

CONTROL

GENTE 1 No existe un área de

seguridad informática formalmente definida

Se requiere que la organización formalice la seguridad informática. Se debe de establecer responsabilidades de seguridad informática a una persona en especifico y los procesos de control deben de aplicarse consistentemente a través de toda la institución.

3 5 8 Crear un área de seguridad informática con la mayor jerarquía posible y crear un comité ejecutivo de seguridad auspiciado por la alta dirección de DIGESET.

2 La seguridad informática es una responsabilidad formal de una sola persona.

La Seguridad informática debe de ser aplicada de manera horizontal en la organización, por ende se requiere que todos los departamentos sean involucrados en la tareas de seguridad. No sirve de nada asegurar solo algunos departamentos de DIGESET, si esos mismos departamentos se ven vulnerables a causa de los otros departamentos que no estan protegidos.

5 4 9 Realizar un plan estratégico de seguridad informática que involucre todas las áreas de DIGESET que permita atacar todas las funciones de seguridad. Es importante priorizar las actividades para realizar los controles

3 El personal que elabora en el área de seguridad no cuenta con alguna certificación de especialización en seguridad.

No sustentar las capacidades y conocimientos de las personas a través de un reconocimiento expedido por alguna organización reconocida a nivel nacional o internacional.

4 2 6 Certificar al personal en alguna especialidad, por ejemplo: Conocimientos en seguridad: CCIE (Cisco Certified Internetwork Expert) Security y SSCP (System Security Certified Practitioner)



103

4 No existe una política que indique las medidas de protección que DIGESET debe tomar en cuenta para contrarrestar los riesgos asociados con la adquisición de software pirata y archivos que se descargan de Internet, o de cualquier otro medio.

Copiar software ilegalmente, ya sea intencionalmente o no, es una propuesta arriesgada que puede causarle grandes problemas legales a la Universidad de Colima.

5 4 9 Definir una serie de políticas que se encarguen de la administración de software.

5 No existen políticas con enfoque de seguridad informática que rijan al comportamiento del personal de DIGESET.

No se cuenta con un marco legal y normativo para sancionar a los responsables de algún incidente.

4 4 8 Elaborar un juego de procedimientos y reglas que fortalezca el plan de seguridad informática, obligaciones, responsabilidades y permisos de los empleados y sistemas; también se deben de homologar las políticas existentes.

6 Los riesgos de seguridad en las iniciativas de DIGESET no se analizan en un foro multidisciplinario para determinar los requerimientos (de seguridad) en una solución integral.

Hay riesgo de no tomar en cuenta puntos importantes en la resolución de un problema de seguridad.

4 4 8 Conformar un grupo multidiciplinario para la solución de problemas de seguridad.

PROCESOS

12 No existen políticas que se encarguen de regular el buen uso de la infraestructura de la Intranet universitaria.

No se contará con un marco técnico y normativo para controlar el funcionamiento de la Intranet de la Universidad de Colima.

5 3 8 Elaborar una serie de políticas que contengan las obligaciones y responsabilidades necesarias para obtener un eficiente uso de la Intranet universitaria.



104

13 No existe un plan de divulgación de políticas, las cuales se encargan de la producción, mantenimiento, gestión y uso de servicios y bienes informáticos.

Posible abuso o mal uso de la infraestructura; lo anterior no se puede determinar con exactitud debido a que no existen los controles suficientes para auditar las acciones de los usuarios.

5 4 9 Crear un plan de difusión de las políticas existentes y que los usuarios firmen de entendido las políticas.

14 No existe una bitácora de las entradas y salidas a las instalaciones de DIGESET

Se debe de mantener una bitácora de entrada y salida de los visitantes que ingresan a las instalaciones, de lo contrario no será posible evitar el espionaje y/o robo de información y equipos a través de una intrusión física.

5 1 6 Generar bitácoras de entradas y salidas a las instalaciones de DIGESET.

15 En el cortafuegos no existe una política de negación de acceso a aquellos dispositivos que producen un trafico excesivo o anormal en la red.

El cortafuego puede verse afectado al aceptar miles de peticiones de conexión por segundo, y de esta manera permitir una denegación de servicio.

4 5 9 Definir una política que cancele el acceso a los servicios proporcionados por el cortafuego, cuando un dispositivo de red produzca trafico no normal.

16 No existen procedimientos de control de cambios en las áreas de telefonía, comunicaciones y seguridad perimetral

Al no existir la administración de cambios, pueden presentarse pérdidas intangibles en la recuperación de las fallas a causa de la falta de configuraciones oportunas.

4 4 8 Establecer los controles necesarios para la administración de cambios.



105

17 El Firewall no presenta una configuración personalizada de las políticas de filtrado que vayan de acuerdo a los requerimientos de acceso, necesarios para DIGESET.

Al tener políticas de filtrado any to any, permite pasar cualquier tipo de tráfico a la red interna. Las zonas no están claramente definidas, por lo que no se puede determinar la defensa de los servidores críticos.

3 4 7 Establecer un análisis e implementación de un filtrado personalizado que incluya solamente los aplicaciones que DIGESET requiere.

INFRAESTRUCTURA

22 Se puede llevar acabo la etapa de reconocimiento (Sección 2.4.2.1). Fácilmente se pueden obtener de los servidores la versión del sistema operativo, los nombres de cuentas de usuarios, los "login" de correo electrónico, versiones de las aplicaciones, nombres de comunidades del protocolo SNMP y otros.

Los atacantes hacen uso de las herramientas de reconocimiento para obtener la mayor cantidad de información disponible de la red para que posteriormente se realice el ataque real.

3 3 6 Configurar los dispositivos que fueron examinados de tal forma que proporcionen el mínimo de información posible acerca de los servicios que proporcionan.

23 Es posible llevar acabo la denegación de servicio, a través del derramamiento del buffer.

Se puede imposibilitar a un host e incluso a toda la red, ya que es posible llevar acabo la saturación de recursos o provocación de errores catastróficos que tengan como consecuencia detener el procesamiento normal del dispositivo afectado.

2 3 5 Actualizar los dispositivos afectados por las vulnerabilidades de DoS. Se debe de establecer un control que garantice la verificación de nuevas vulnerabilidades de Denegación de Servicio.



106

24 La información de los sistemas de control escolar y financiero que viaja en la intranet de la Universidad de Colima, es transmitida sin métodos de encriptación.

Por lo tanto es posible que el atacante pueda utilizar un sniffer para capturar información de interés particular. El contenido de los scripts se pasan de regreso al generador de peticiones (Browser) en "texto claro", permitiendo que leer el código fuente o un contenido especifico de un archivo.

5 4 9 Se deben de establecer controles que garanticen la comunicación encriptada entre los dispositivos de la intranet. La Instalación de un agente VPN en los servidores de la cada dependencia podría ser una buena solución.

25 Se pueden establecer conexiones no autorizadas en los servidores con plataforma Windows y Unix.

En muchos de los casos esta intrusión puede ser posible por las aplicaciones que los servidores poseen llegando al punto de poder ejecutar código malicioso provocando que las aplicaciones se dañen.

2 3 5 Se debe de mantener el sistema operativo, con las ultimas actualizaciones y parches.

26 No se cuenta con una base de conocimientos sobre incidentes de seguridad.

Las causas de los incidentes no se detectarían y se repetirían los incidentes. Rastros de algún incidente se perderán y no se podrá saber la causa.

5 2 7 Crear una base de conocimientos y registrar todos los eventos de seguridad, así como las soluciones. Además se debe de difundir esta base de conocimientos.

27 Existen cuentas de usuarios en los servidores Windows 2000 que están configuradas con la opción, “contraseña nunca caduca”.

Si el intruso logra tener acceso al servidor con esa cuenta, tendrá tiempo ilimitado para hacer uso de los recursos del mismo.

2 3 5 Se deben de establecer los controles adecuados para la administración de cuentas de usuarios en los servidores con plataforma Windows y UNIX, así como los demás dispositivos que requieran de una contraseña para su administración.



107

28 Es posible obtener los archivos de bitácoras del servidor Web. Estos archivos pueden contener información confidencial de suma importancia para el rastreo de las transacciones

Los atacantes pueden hacer uso de los bitácoras para determinar información acerca del uso de los servicios que proporciona el dispositivo. Por otro lado, el tener acceso a los bitácoras del sistema, significa que estos pueden ser alterados para borrar los rastros dejados por el atacante.

4 3 7 Establecer los controles adecuados para la protección de los bitácoras.

29 No se les obliga a los usuarios de acceso remoto a utilizar un método de autenticación en especial.

El equipo está configurado para quien soporte estos cuatro métodos de autentificación. El primer paso es verificar si el cliente soporta la autentificación CHAP, en caso de que no soporte intenta establecer la conexión a través del método EAP. Si el método EAP no es soportado por el cliente entonces el equipo intenta con MS-CHAP. En última instancia si ninguno de los anteriores es soportado por el cliente entonces utiliza el método de autentificación PAP, siendo ultimo el menos seguro.

4 4 8 Generar y aplicar una política que garantice los requerimientos mínimos de seguridad Informática.

30 No se cuenta con un detector de intrusos para todos los campus de conforman la intranet.

La inspección de las actividades de red que se llevan acabo en las dependencias de los diferentes campus, no están siendo monitoreadas, por lo que en el caso de una intrusión o ataque no se puede llevar un rastreo de que sucedió o esta por suceder en la red.

4 3 7 Se debe de establecer un IDS en cada campus universitario. Además los servidores deberán tener disponible el sensor del IDS.

Tabla 3.1. Información de los hallazgos encontrados en DIGESET.



108

3.2.1 Priorización de Riesgos Una vez que se tienen los hallazgos es necesario establecer una prioridad para mitigar el riesgo

que implica. La figura 3.3 muestra gráficamente la priorización de riesgos basadas en los ejes

de probabilidad de ocurrencia e impacto. Los números en la gráfica corresponden al

identificador (ID) del hallazgo descrito en la tabla 3.1. Se puede observar que la clase alta-alta,

es la que presenta mayor número de hallazgos, esta clase tiene relevancia para fines del

estudio debido a que refleja claramente que hallazgos se les debe tomar atención primero.

3.2.2 Priorización de Controles A continuación se muestra la priorización de controles, en donde ase tomo en cuenta el costo

de los dichos controles y el tiempo en que se podrían establecer. Con base en esta valoración

se obtuvo la figura 3.4. Esta establece la relación tiempo-costo correspondiente a cada medida

de seguridad que se toma en cuenta. Los números de la grafica corresponden al identificador

único (ID) del hallazgo. Los cuadrantes de la grafica se interpretan de la siguiente forma:

Figura 3.3. Representación grafica de los hallazgos según su impacto y probabilidad de ocurrencia.



109

Cuadrante 1: Poco tiempo y costo monetario bajo

Cuadrante 2: Mediano tiempo y costo monetario bajo

Cuadrante 3: Poco tiempo y costo monetario alto

Cuadrante 4: Mediano tiempo y costo monetario alto

Se considera como poco tiempo a un periodo de 3 meses y mediado tiempo a uno de 6 meses.

Para el costo monetario, se aplica la siguiente formula:

.coscos

seguridaddemedidalaimplentarparaincurreoperadorquetiempodeltoEsTehardwareelconverquetienenqueactivosdetosaquellosaecorrespondCC

DondeTeCCCosto

==

+=

Se hizo una estimación a criterio de la alta gerencia y del grupo encargado de la seguridad de

la infraestructura de red de DIGESET para la asignación del costo y tiempo de cada una de los

controles, por lo tanto, a las variables CC y Te se les asigna una ponderación alta o baja.

Los controles que se encuentran en los cuadrantes 1 y 2 son los que se podrían implementar a

corto y mediano plazo, debido a que no tienen un costo monetario alto y se pueden establecer

Figura 3.4. Representación grafica de la relación tiempo y costo de cada medida de seguridad.



110

en corto tiempo o en mediano tiempo, en cambio, para el caso de los controles de los

cuadrantes 3 y 4 se deben de establecer controles de mediano y largo plazo ya que el costo

monetario es alto.

3.2.3 Priorización de Actividades

Para la priorización de las actividades, se hace uso del factor de riesgos, el cual es la suma de

la probabilidad de riesgo e impacto y nos ayuda a determinar las actividades que merecen

atención inmediata.

;DondeIPF or +=

=rF Factor de riesgo

=oP Probabilidad de ocurrencia

=I Impacto

A continuación se presenta un grafico que combina las dos graficas anteriores; a través de la

cual se podrían identificar las acciones que DIGESET deberá de realizar de forma inmediata.

Los hallazgos que se encuentran en la zona sombreada son las actividades de mitigación de

riesgo que se deben de realizar primero.

Figura 3.5. Representación grafica de la priorización de actividades



111

En la grafica anterior se puede observar un área sombreada; esta contiene los controles que se

deben de establecer de forma inmediata por parte de DIGESET debido a su factor de riesgo. El

orden con el que los controles se deben implementar, con base en el costo monetario y en el

tiempo de implementación, es:

1. Generar las plazas necesarias para que la seguridad sea una tarea formal.

2. Generar bitácoras de entradas y salidas a las instalaciones de DIGESET.

3. Definir una serie de políticas que se encarguen de la administración de software.

4. Definir una política que cancele el acceso a los servicios promocionados por el

cortafuego, cuando un dispositivo de red produzca tráfico no normal.

5. Crear un área de seguridad informática con la mayor jerarquía posible y crear un

comité ejecutivo de seguridad auspiciado por la alta dirección de DIGESET.

6. Elaborar un juego de procedimientos y reglas que fortalezca el plan de seguridad

informática, obligaciones, responsabilidades y permisos de los empleados y sistemas;

también se deben de homologar las políticas existentes.

7. Elaborar una serie de políticas que contengan las obligaciones y responsabilidades de

los usuarios y/o administrativos para obtener un eficiente uso de la Intranet

universitaria.

8. Generar y aplicar una política que garantice los requerimientos mínimos de seguridad

Informática.

9. Crear un plan de difusión de las políticas existentes y que los usuarios firmen de

entendido las políticas.

10. Establecer los controles necesarios para la administración de cambios.

11. Establecer los controles adecuados para la protección de las bitácoras.

12. Crear una base de conocimientos y registrar todos los eventos de seguridad, así como

las soluciones. Además se debe de difundir esta base de conocimientos.

13. Establecer un análisis e implementación de un filtrado personalizado que incluya

solamente las aplicaciones que Universidad de Colima requiere.

14. Se debe de establecer un IDS en cada campus universitario. Además los servidores

deberán tener disponible el sensor del IDS.



112

15. Configurar los dispositivos que fueron examinados (vea al anexo 1) de tal forma que

proporcionen el mínimo de información posible acerca de los servicios que

proporcionan.

16. Certificar al personal en alguna especialidad, por ejemplo: Conocimientos en

seguridad: CCIE (Cisco Certified Internetwork Expert) Security y SSCP (System

Security Certified Practitioner)

17. Se debe de mantener el sistema operativo de los sistemas institucionales, con las

últimas actualizaciones y parches.

18. Se deben de establecer los controles adecuados para la administración de cuentas de

usuarios en los servidores con plataforma Windows y UNIX, así como los demás

dispositivos que requieran de una contraseña para su administración.

19. Actualizar los dispositivos afectados por las vulnerabilidades de DoS. Se debe de

establecer un control que garantice la verificación de nuevas vulnerabilidades de

Denegación de Servicio.

20. Se deben de establecer controles que garanticen la comunicación encriptada entre los

dispositivos de la intranet. La Instalación de un agente VPN en los servidores de la

cada dependencia podría ser una buena solución.

Se debe recordar que debido a que la seguridad informática es un área que cambia junto con la

visión, misión y objetivos de DIGESET, los controles a largo plazo podrían cambiar.

3.3 Controles de DIGESET respecto a las mejores prácticas

En esta sección se encuentra la situación actual de seguridad informática de la Dirección

General de Servicios Telemáticos haciendo referencia a las mejores prácticas de seguridad

informática y los controles actualmente implementados por DIGESET.

Los resultados que se muestran corresponden a la infraestructura, gente y procesos que se

encuentran alrededor de las áreas de telefonía digital, servicio de correo electrónico, servicio

de desarrollo web, servicio DNS, acceso remoto y seguridad perimetral.



113

Se hizo una selección de los controles enfocados a las actividades de la operación diaria de

DIGESET para presentarlos en las siguientes tablas con un grado de madurez y su máxima

puntuación alcanzada.

3.3.1 Nivel de madurez de los controles de Seguridad Informática con base en el estándar ISO17799

Se debe de hacer una selección de los controles enfocados a las actividades de la operación

diaria de DIGESET para representarlos en las siguientes hojas de trabajo. Los controles deben

de estar clasificados en las siguientes categorías:

1. Política de seguridad. Es para proveer administración, dirección y soporte para la

seguridad de la información.

2. Control y clasificación de activos. Es para mantener una apropiada protección de

los activos de la organización. Para cada activo, debe de existir un propietario. La

responsabilidad sobre los activos ayuda a que se mantenga una adecuada seguridad.

El propietario de cada activo debe ser identificado para posteriormente establecer

la responsabilidad de mantener los controles apropiados para la protección. La

responsabilidad de implementar controles debe ser delegada, pero el propietario

asignado al activo siempre será el que asuma las consecuencias en caso de daño o

pérdida del activo. Para que los activos reciban el nivel de protección, se debe de

clasificar la información, ya que algunos activos informáticos requieren un nivel de

protección mas elevado que otros, se debe de utilizar un esquema de clasificación

de la información que defina los niveles de protección y determine medidas de

seguridad que se deben de llevar acabo para cada nivel de protección.

3. Seguridad Física y del entorno. Es para prevenir acceso no autorizado, daños e

interferencia a las reglas del negocio y la información. Las instalaciones en las que

se lleva acabo el procesamiento de la información deben de acomodarse en áreas

seguras, protegidas por una seguridad perimetral con las barreras y controles de

entradas apropiadas. Las áreas deben de ser físicamente protegidas del acceso no

autorizado, daño e interferencia de las reglas del negocio. La definición de la

protección debe ser proporcional a los riesgos identificados, por lo tanto, se



114

requiere de una política de filtrado para reducir el acceso no autorizado, daño e

interferencia de las reglas del negocio. El equipo debe de ser protegido contra

amenazas de seguridad y riesgos ambientales. La protección de los equipos es

necesaria para reducir el riesgo, daño y acceso no autorizado a la información. La

infraestructura de cableado y el sistema de tierras físicas son ejemplos de

protección de los equipos.

4. Administración de las operaciones y comunicaciones. Para asegurar la correcta y

segura operación de la infraestructura de información e instalaciones. Se deben de

establecer responsabilidades y procedimientos para la administración y operación

de todo el procesamiento de la información. Esto incluye el desarrollo de

instrucciones de operación y procedimientos de respuesta a incidentes de

seguridad. Se debe de llevar acabo una segregación de responsabilidades para

reducir el riesgo de negligencia o uso indebido del sistema.

5. Control de acceso a datos. Para controlar el acceso a la información, el acceso a

los procesos de la organización, en especial a la información; debe ser con base a

las actividades principales de la institución y los requerimientos de seguridad, por

lo tanto, se debe de tomar en cuenta una política de distribución y autorización de

la información y establecer procedimientos formales para el control de la

asignación de derechos de acceso a los sistemas de información. La administración

de acceso de usuarios es parte del control de acceso, esto es, el establecimiento de

procedimientos que cubren todas las etapas del ciclo de vida de una cuenta de

usuario; desde el registro inicial de una cuenta de usuario hasta el momento en el

cual ya no se requiere su utilización, eliminándola por completo. Debe de prestarse

especial atención (cuando se requiera) al control de asignación de privilegios de

derechos de acceso que permiten a los usuarios sustituir o anular los controles del

sistema. El control de acceso a los servicios de la red interna y externa debe de ser

controlado, esto se lleva acabo para asegurar que los derechos de acceso de los

usuarios no comprometan el funcionamiento de los servicios de red.

Estas categorías son los dominios de que se evaluaron en la determinación del nivel de

madurez de DIGESET. A cada dominio se le asigna un nivel de madurez que tienen como



115

base los criterios que utiliza el estándar ISO/17799 para evaluar los controles de seguridad. 0

es la calificación más baja y 5 la calificación más alta. En la tabla 3.2 presenta la descripción

de cada nivel de madurez representado el significado de la escala.

Nivel de Madurez Definicion

0 No aplica1 No se detectan controles de seguridad (o los pocos existentes no son relevantes)

2Hay evidencia de uso de controles de seguridad con base en pruebas y entrevistas. Sin embargo su aplicacion es irregular, es decir, no se aplican con criterios bien definidos y formalizados. No estan documentados.

3Existe evidencia bien sustentada de la aplicacion de controles de seguridad. Estos controles se aplican de manera regular, sin embargo el nivel de formalizacion de estos, aun no se encuentra plenamente establecido.

4

Se cuenta con evidencia bien sustentada de la aplicacion de controles de seguridad. Estos controles se aplican de manera regular y estan debidamente formulados atraves de planes, politicas y manuales de operacion bien definidos. Sin embargo estos controles no se encuentran plenamente difundidos en las areas de negocio y ademas no hay mecanismos formales para la medicion periodica de los niveles de seguridad con los que esta operando la organizacion.

5

Se cuenta con evidencia bien sustentada de la aplicacion de controles de seguridad. Estos controles se aplican de manera regular y estan debidamente formulados atraves de planes, politicas y manuales de operacion bien definidos. Las areas de negocio estan involucradas en la difusion y aplicacion de los controles de seguridad, ademas de existir un compromiso de la alta direccion en el cumplimiento de normas y estandares de seguridad.

Además de la tabla de resultados, el nivel de madurez se determino con base en los resultados

de las siguientes actividades:

• Pruebas realizadas a la infraestructura tecnológica

• Tabla de análisis de riesgos

• Entrevistas realizadas al personal de DIGESET en las siguientes áreas:

o Servicios Electrónicos de Intranet

o Servicios de Redes y comunicaciones

o Seguridad Perimetral

Tabla 3.2. Niveles de madurez con base al estándar ISO/17799



116

3.3.2 Resultados Consolidados

En esta sección se presentan los resultados consolidados del nivel de madurez por cada

dominio evaluado. Para obtener el nivel de madurez de cada dominio se recurrió a la lectura

del estándar ISO/17799 con la finalidad de obtener los controles verificados para cada uno de

los dominios.

La tabla 3.3 proporciona los resultados y está compuesta por las siguientes columnas:

• Dominio ISO17799: Nombre del dominio establecido en el estándar ISO17799.

• Objetivo: descripción de la meta que se debe de alcanzar a través de los controles del

dominio correspondiente.

• Controles de DIGESET: numero de controles implementados en DIGESET

• Controles verificados: Numero de controles verificados establecidos por el estándar

ISO17799.

• Porcentaje de cumplimiento: porcentaje que cubren los controles implementados por

DIGESET respecto al total de controles recomendados.

• Nivel de madurez: calificación que obtuvo DIGESET en el dominio correspondiente

con base en los controles revisados, entrevistas y documentación entregada.

A continuación se muestra la tabla 3.3 en la cual se puede observar que se requiere de realizar

varios ajustes para alcanzar niveles mayores.

Dominio

ISO/17799 Objetivo Controles

de DIGESET

Controles verificados

% de cumplimiento

Nivel de Madurez

Política de Seguridad

Se refiere a la existencia de una política corporativa que guié a DIGESET en cuanto a la seguridad informática.

3 20 15% 1

Control y clasificación de Activos

Detalla los controles para mantener orden y protección a los activos de DIGESET

1 8 12.5% 1

Seguridad Física

Controles para prevenir acceso no autorizado, daño y/o interferencia con los objetivos del negocio e información.

14 25 56% 3



117

Administración de operaciones y comunicación

Asegurar la correcta y segura operación sobre la información, a través de la infraestructura tecnológica.

9 30 30% 2

Control de Accesos

Se refiere al control de acceso a la información 6 20 30% 2

Finalmente se llegan a algunas conclusiones de acuerdo a los resultados mostrados en la tabla

3.3 por cada dominio evaluado:

1. Política de seguridad. DIGESET no cuenta con la clara política de seguridad

corporativa, desarrollada y apoyada desde la dirección, con el apego de todas las

áreas que integran la Infraestructura Tecnológica. El documento que contiene los

objetivos, visión y misión respecto a la seguridad informática tampoco existe.

2. Control y clasificación de activos. Con base en información proporcionada por la

subdirección de Redes y comunicaciones, la dirección general de servicios

telemáticos cuenta con algunos controles tecnológicos para sustentar el control de

activos dentro de la Intranet, sin embargo aunque existen los controles

tecnológicos, el proceso que sustenta este control de activos no es el más confiable,

ya que en ocasiones, los responsables de mantener la integridad de alta, baja o

modificación de un activo son los encargados de cada dependencia y no la

Dirección General de Servicios Telemáticos, por ende se deben de establecer los

procesos adecuados que permitan coordinar los controles de mantenimiento para

los activos de cada dependencia, en pocas palabras se debe de buscar que

DIGESET solo sea un moderador de las dependencias, delegar las

responsabilidades de control, determinando que es lo que esta explícitamente

permitido.

3. Seguridad Física y del entorno. Se deben definir áreas públicas y privadas donde

se guarde información sensible del negocio. El centro de cómputo de DIGESET es

un área restringida, sin embargo no cuenta con los controles necesarios para su

Tabla 3.3. Resultados de los niveles de madurez de DIGESET.



118

protección (bitácora de entrada y salida de visitantes, política específicas para el

acceso al centro de cómputo, revisión periódica de las entradas y salidas de

empleados, etc.).

4. Administración de las operaciones y comunicaciones. El personal relacionado con

la operación que cubre este dominio conoce sus responsabilidades y operan día con

día con orden explícito a las necesidades de su área, sin embargo, los procesos y

procedimientos no se encuentran documentados, por lo que el personal desarrolla

sus actividades sin una guía específica, por otro lado, el personal no lleva un

registro de los incidentes que causaron perdida o daño a la información de

DIGESET.

5. Control de acceso a datos. A través de los controles de acceso se debe verificar el

acceso a la información con base en las políticas de autorización. DIGESET cuenta

con algunos controles de acceso a la información, sin embargo no cuenta con todos

los que se requiere, tampoco cuenta con las políticas que definan quiénes deben

tener acceso a que información.

3.4. Mejoras a Corto Plazo

Esta etapa consiste en la reconfiguración de la infraestructura, es decir, que se debe

reconfigurar los servidores, dispositivos de red y mecanismo de seguridad. Para este fin la

dirección general de servicios telemáticos se encuentra actualmente en el proceso de

reconfiguración del cortafuegos y el servidor WEB. Para el caso del servidor WEB se tienen

las siguientes consideraciones:

Diagnostico: Versión de Apache 1.3.27 aparentemente vulnerable, mas no necesariamente,

información de seguridad para versión estándar, mas la versión instalada es con parche de

SSL.



119

Proceso de actualización:

Elección de versión de servidor: En base al funcionamiento mostrado por la versión de Apache

con el parche de extensión de SSL (Apache-SSL).

Versión actual disponible de Apache: 1.3.31

Versión de parche SSL: 1. para apache 1.3.29

Dependencia de Apache: OpenSSL, versión actual, 0.9.7d

mm 1.3.1

Sitio de apache-ssl.org muestra los problemas de seguridad de la versión sin novedad.

Además de esta actualización, se requiere actualización de extensión, como Php.

La versión actual de Php es 4.3.6 y sus dependencias son: OpenSSL, Mysql (Tambien

actualizado), Tiff, libpng, libjpeg, freetype-2, libad y imap-c

Para versiones de instalación en servidores con servidor de correo, php deberá tener integrado

las funciones de Imap-cyrus.

Cada uno de estas funcionalidades extra a php se ha revisado en cuanto a seguridad,

encontrando en la versión de libpng parches adicionales para evitar una vulnerabilidad.

Una vez realizada la búsqueda de las versiones y posibles problemas de seguridad, es

necesario compilar cada uno de los softwares e integrarlos. Al momento de realizar estas

operaciones, además debe de verificarse las opciones que puedan aumentar el eficiente uso de

las capacidades del servidor. Ejemplo de esto es modificar la cantidad por default máxima de

clientes que el servidor de Apache puede despachar simultáneamente.

Una vez llevada a cabo la instalación inicial con un tiempo de 5-6 horas, se lleva a cabo la

prueba en un servidor fuera de producción.



120

Se puede llevar acabo de nuevo la comprobación de vulnerabilidad para confirmar el hecho de

que no se han instalado versiones vulnerables. Para esta situación se debe previamente

descargar la actualización de búsqueda de vulnerabilidades del día.

Para el caso de la reconfiguracion del cortafuegos, lo que se esta haciendo es el

establecimiento de reglas personalizadas para cada servidor de critico. Por ejemplo, hace un

mes se puso en funcionamiento la regla del servidor triton.ucol.mx que solo acepta las

aplicaciones de http, https, pop3, echo-request, pop3s y imaps proveniente de las redes del

campus colima y las redes comerciales. La regla esta funcionando correctamente. Lo que se

busca es tener este tipo de reglas para cada servidor, controlando la fuente y destino del

trafico.

Como se puede observar las reconfiguraciones de los servidores y de los dispositivos de red,

no es tarea fácil, la complejidad de los servicios críticos hace que los cambios de

configuración deban ser aplicados gradualmente y en condiciones bajo control.


Tabla de Contenido

4.1. Objetivo del Plan Táctico de Seguridad Informática para DIGESET 123 4.2. Descripción General del Plan Táctico de Seguridad Informática ....... 124

4.2.1. Preparación .......................................................................................................... 126 4.2.2. Operación ............................................................................................................ 127 4.2.3. Optimización ....................................................................................................... 128

4.3. Estructura operativa del plan táctico ..................................................... 128 4.4. Desarrollo de la línea táctica de funciones de seguridad ...................... 129

4.4.1. Antecedentes ....................................................................................................... 130 4.4.2. Objetivos de la línea táctica funciones de segurida ............................................. 130 4.4.3. Departamento de seguridad Informática ............................................................. 130 4.4.4. Beneficios ............................................................................................................ 132 4.4.5. Alcance ................................................................................................................ 132 4.4.6. Actividades .......................................................................................................... 132 4.4.7. Resultados esperados de la línea táctica funciones de seguridad ........................ 133

4.5. Desarrollo de la línea táctica Políticas de Seguridad ............................ 135 4.5.1. Antecedentes ....................................................................................................... 136 4.5.2. Objetivo del desarrollo de las políticas de seguridad .......................................... 136 4.5.3. Beneficios ............................................................................................................ 136 4.5.4. Alcance ................................................................................................................ 136 4.5.5. Actividades .......................................................................................................... 137 4.5.6. Políticas propuestas ............................................................................................. 137

4.6. Desarrollo de la línea táctica programa de concienciación .................. 151 4.6.1. Antecedentes ....................................................................................................... 151 4.6.2. Objetivo del desarrollo de la línea táctica ........................................................... 152 4.6.3. Beneficios ............................................................................................................ 152 4.6.4. Alcance ................................................................................................................ 152 4.6.5. Actividades .......................................................................................................... 152 4.6.6. Resultados esperados de la línea táctica de concienciación ................................ 153

4.7. Desarrollo de la línea táctica arquitectura tecnológica ........................ 154 4.7.1. Antecedentes ....................................................................................................... 155 4.7.2. Objetivo ............................................................................................................... 155 4.7.3. Alcances .............................................................................................................. 155 4.7.4. Elementos administrados ..................................................................................... 155 4.7.5. Actividades propuestas ........................................................................................ 158 4.7.6. Resultados esperados de la línea táctica de arquitectura tecnológica ................. 161

4.8. Factores críticos de éxito .......................................................................... 161

Plan Táctico de Seguridad Informática


123

La seguridad informática requiere no solo de recursos tecnológicos, sino también de procesos y

recursos humanos capacitados y especializados. Esta meta es difícil de alcanzar, pues existe un

constante cambio ya que día a día se descubren nuevas vulnerabilidades, nuevos tipos de ataques

y nuevos parches que aplicar a los sistemas institucionales, convirtiendo la operación de la

seguridad en una tarea sumamente compleja y demandante, este capitulo es el desarrollo de la

sexta y ultima etapa del marco metodología (plan táctico) visto en el capitulo 3. En el capitulo

anterior se hablo de la administración de riesgos, y se desarrollo un análisis de riesgos que será la

base para el desarrollo del plan táctico. Los actividades relacionadas a la administración de la

seguridad y la auditoria de seguridad se ven reflejadas en el plan táctico que tiene como finalidad

documentar las actividades que deberá llevar a cabo el personal de DIGESET, para facilitar la

operación de la seguridad, por lo tanto, se debe de definir y desarrollar los lineamientos de

los proyectos que se deberán llevar a cabo en los próximos meses para incrementar los niveles

de seguridad actuales. Para esto, se propone un modelo de operación que DIGESET debe de

seguir para lograr los objetivos del plan táctico. Este capitulo debe ser conocido por todos los

miembros que participan directamente en la planeación, implementación y operación de la

función de seguridad informática de DIGESET. Para el total entendimiento de este reporte, se

sugiere que el lector revise previamente los documentos de análisis de riesgos y análisis de

vulnerabilidades.

4.1. Objetivo del Plan Táctico de Seguridad Informática para DIGESET

• Presentar el plan táctico de seguridad informática que deberá ser evaluado

e implementado por el personal de sistemas y comunicaciones.

• Definir las líneas tácticas más importantes para implementarlas dentro de DIGESET.

• Tener los elementos para planear y consolidar el marco normativo de seguridad

informática de DIGESET.



124

4.2. Descripción General del Plan Táctico de Seguridad Informática El plan táctico propuesto por esta investigación esta compuesto por cuatro líneas tácticas que

serán la base para la implementación del esquema de seguridad informática. A continuación se

presenta una descripción general de cada línea táctica.

1. Funciones de seguridad: Tal como se comento en uno de los hallazgos del análisis

de riesgos, DIGESET deberá asignar a uno o más responsables de dar seguimiento a

esta y todas las líneas tácticas de seguridad. En realidad todas las líneas tácticas

dependen de la definición, desarrollo e implementación de una función de seguridad, ya

sea para crear una responsabilidad nueva dentro de DIGESET o para separar las tareas

existentes y con esto extender el alcance de la seguridad en toda el área de estudio. La

función de seguridad ira creciendo conforme sean cubiertos mas requerimientos de este

plan táctico y los que de el se deriven.

2. Arquitectura tecnológica: Busca atender los hallazgos relacionados con la

infraestructura tecnológica. Se deben determinar detalles de la seguridad perimetral, así

como las actividades que se deben de llevar acabo para el mantenimiento de la

integridad, confiabilidad y disponibilidad de los servicios brindados por DIGESET.

3. Políticas: Las políticas de seguridad tienen por objeto establecer las medidas de índole

técnica y de organización, necesarias para garantizar la seguridad de las tecnologías de

información y de las personas que interactúan haciendo uso de los servicios asociados a

ellos y que se aplican a todos los usuarios de cómputo de la Institución.

4. Programa de concienciación: La finalidad de esta línea táctica es concienciar a los

empleados, equipo directivo y estudiantes acerca de la importancia de la seguridad

informática. El programa de concienciación debe de apoyar principalmente la

implementación de las líneas tácticas de funciones de seguridad y políticas.



125

La figura 4.1 presenta el diagrama conceptual del plan táctico. El tópico principal (plan

táctico) es implementado vía cuatro líneas tácticas, las cuales atienden los hallazgos

encontrados en el desarrollo de la investigación. Cada línea táctica esta compuesta por

antecedentes, objetivos, beneficios, alcances y actividades a realizar. En los antecedentes se

establecen todos aquellos hallazgos que dieron origen al desarrollo de la línea táctica. Los

objetivos son las metas que deberán cumplirse al finalizar la ejecución de la línea táctica. Los

beneficios son los elementos relevantes que podrá obtener DIGESET al finalizar cada proyecto

a partir de haber cumplido con los objetivos, el alcance describe la extensión y campo de acción

de cada línea táctica. Finalmente, las actividades describen lo principal que deberá llevar a

cabo el personal de seguridad para ejecutar la línea táctica.

Para la implementación correcta del plan táctico de seguridad es necesario tener un modelo de

operación que incluya todas aquellas actividades necesarias para la correcta administración de

la seguridad informática. El modo de operación de la dirección general de servicios

telemáticos para el departamento de seguridad debe constar de tres etapas principales:

Figura 4.1. Diagrama conceptual del plan táctico de seguridad



126

preparación, operación y optimización. Estas etapas van desde la inicialización del proceso

hasta la mejora continua de los mismos.

En toda institución de educación superior la etapa principal es, como resultado natural, la

operación; sin embargo el etapa de preparación y de optimización, dan los elementos

necesarios para que la operación puede ser ejecutada correctamente. La figura 4.2 muestra la

relación que existe entre las etapas, así como las funciones de operación necesarias para el

correcto funcionamiento de los servicios proporcionados por DIGESET. A continuación se

describe cada una etapa.

4.2.1. Preparación En esta etapa se consideran las actividades necesarias para que todas las aplicaciones y

servidores que ofrecen los servicios descritos en la etapa de contextualización, entren en el

esquema de operación. Esto se debe a que existen ciertos requisitos de configuración,

adecuación de procesos, etc., que son necesarios tenerlos para poder iniciar con la operación.

Algunos aspectos que se pueden considerar en esta etapa son los siguientes:

Figura 4.2 Relación de las etapas del modelo de operación



127

• Instalación de hardware y de software de seguridad como pueden ser firewall, detectar

intrusos, software de control de acceso a Web, etc.

• Configuración de cualquier otro elemento que intervenga en la operación, por ejemplo:

dar de alta los equipos de la infraestructura de la intranet en las herramientas de

monitoreo y explotación de bitácora, aplicar las reglas o política de seguridad en los

dispositivos para estandarizar, etc.

• Establecimiento de niveles de calidad de servicio.

• Adecuación del equipo de operadores para asignar los roles de responsabilidades que le

corresponden a cada área, entre otras.

4.2.2. Operación Esta etapa considera todas aquellas actividades necesarias para garantizar el cumplimiento de

los niveles de servicios comprometidos por DIGESET. Está conformado por cinco funciones:

• Administración de configuraciones. Responsable de mantener la base de datos de

configuraciones de todos los elementos involucrados en la operación de la

infraestructura Intranet de la Universidad de Colima, así como de proveer información

a las demás funciones sobre dichos elementos para su correcta ejecución.

• Administración de cambios. Responsable de canalizar todos los requerimientos de

cambios en la infraestructura Intranet, así como de evaluarlos, analizar su impacto,

aprobarlos y darles seguimiento hasta su correcta implementación.

• Administración de vulnerabilidades. Responsable de obtener de los diversos sitios

especializados en Internet todas aquellas vulnerabilidades que puedan impactar a los

elementos administrados, probar las soluciones de dichas vulnerabilidades en un

ambiente controlado y emitir las solicitudes de cambios necesarios para poner en

operación las soluciones encontradas.



128

• Administración de la operación. Responsable de todas las actividades diarias de

monitoreo y administración de la infraestructura, así como de la identificación y

notificación de incidentes y de la generación de reportes estadísticos de la operación.

Dentro de esta función se considera elementos como: administración de elementos de

red, administración de respaldos y almacenamiento, explotación de bitácoras, y

seguridad en la operación.

• Manejo de incidentes. Responsable de la respuesta a incidentes, considerando la

ejecución por parte de los involucrados, de todas las actividades necesarias para la

recuperación del servicio y la investigación de lo sucedido. Dentro de esta función se

consideran elementos como son.: identificación y notificación de incidentes,

contención para reducir el efecto adverso de los incidentes, recuperación de la

operación normal de los servicios, eliminación de la vulnerabilidades explotada para

causar el incidente, a través de la investigación de las pistas dejadas por el atacante;

seguimiento a todo el ciclo de vida del incidente para garantizar su resolución. Además

se debe de considerar el aprendizaje, por lo que se debe de llevar acabo reuniones para

revisar el desempeño del equipo de respuesta a incidentes y los procesos y

procedimientos utilizados para buscar optimizarlos puntos.

4.2.3. Optimización En esta etapa se consideran las actividades necesarias para identificar aquellas etapas de

procesos, procedimientos, políticas o elementos tecnológicos cuyo desempeño no sea

adecuado, para corregir las desviaciones y así obtener los mejores resultados posibles.

4.3. Estructura operativa del plan táctico La figura 4.3 muestra la relación que existe entre el plan táctico y el modelo de operación

propuesto. Tres (funciones de seguridad, políticas y programa de concienciación) de las cuatro

líneas tácticas propuestas en la investigación son utilizadas para lograr la preparación que

requiere la universidad de Colima en la administración de la seguridad informática. Por otro



129

lado, la línea táctica arquitectura tecnológica, representa la etapa de operación del modelo,

donde se lleva a cabo todas las actividades expuestas en la sección anterior. Finalmente se

tiene la auditoria de niveles de seguridad, que aunque no es contemplada en la investigación,

la dirección general de servicios telemáticos tiene la obligación de establecer controles que

permitan la optimización de la administración de seguridad informática. La investigación está

orientada en la etapa preparación y operación de la seguridad informática, por lo tanto, a

continuación se presenta el desarrollo de cada una de las líneas tácticas propuestas en el plan

táctico de seguridad informática.

4.4. Desarrollo de la línea táctica de funciones de seguridad Esta línea táctica busca la asignación de responsabilidades para dar seguimiento a la

administración de la seguridad informática.

Figura 4.3 Relación del plan táctico con el modelo de operación



130

4.4.1. Antecedentes

Se considera el desarrollo de esta línea táctica debido a que:

• No se tiene una entidad responsable de la seguridad informática dentro de DIGESET.

• Los riesgos de seguridad en las iniciativas de DIGESET no se analizan en un foro

multidisciplinario para determinar los requerimientos (de seguridad) en una solución

integral.

• DIGESET no cuenta con un esquema de separación de tareas que defina las funciones y

responsabilidades en términos de seguridad en los perfiles de puesto.

• La seguridad informática es una responsabilidad formal de una sola persona.

4.4.2. Objetivos de la línea táctica funciones de seguridad

El propósito de llevar a cabo esta línea táctica es:

• Establecer una serie de lineamientos para el personal responsable del área de seguridad

informática

4.4.3. Departamento de seguridad Informática Para garantizar el cumplimiento eficiente de los niveles de servicio requeridos por DIGESET,

esta investigación propone la adecuación de un departamento de seguridad informática. Dos

operadores, un especialista y un coordinador de operaciones, son los perfiles que se proponen

para esta estructura operativa. La figura 4.4 muestra el organigrama de DIGESET con el

nuevo departamento de seguridad informática.

Los operadores deben cubrir la operación según lo haya establecido la alta gerencia. Deben

de estar organizados en turnos de tal forma que siempre existe personal con las capacidades

suficiente para monitorear y administrar la seguridad informática. Ellos contaran con los

conocimientos y certificaciones sobre la herramientas que manejan (checkpoint CCSA y

CCSE) además de contar con proceso y procedimientos detallados para la operación.



131

El especialista apoya los operadores eran labores de análisis e interpretación del información

generada por las herramientas, así como en la investigación y respuestas a incidentes. Ellos

deben contar con certificaciones en productos pero también cuentan con certificaciones como

profesionales en seguridad (CISSP) y como auditor en sistemas de información.

El coordinador de operaciones realiza una labor que permite dar el seguimiento adecuado a

todos los pendientes y compromisos de la administración de seguridad informática, así como

garantizar el cumplimiento de los niveles de servicio. Este coordinador debe contar con la

certificación de profesional en seguridad.

Figura 4.4. Organigrama de DIGESET con el Depto de seguridad propuesto.



132

Administradores de Tecnologías de Información (ATI). Es el responsable de la

administración de los equipos de cómputo, sistemas de información y redes de telemática de

una dependencia de la Universidad de Colima

4.4.4. Beneficios

Al ejecutar esta línea táctica, DIGESET estará en la posibilidad de:

• Involucrar a todas las áreas para poder mantener un mejor nivel de protección en la

infraestructura.

• Facilitar el rendimiento de las áreas de servicios en caso de un incidente de seguridad.

Reducir la no repudiación a partir del rastreo de actividades a funciones.

• Facilitar la definición y mantenimiento de procesos administrativos y operativos.

• Reducir los riesgos derivados del conflicto de interés, actos coludidos, etc.

• Se formaliza la seguridad informática, estableciendo las responsabilidades de a un grupo

de personas en específico y los procesos de control se aplican consistentemente a través

de toda la institución.

4.4.5. Alcance

El alcance de esta línea táctica contempla:

1. Consolidar el Comité de Seguridad Informática.

2. Consolidar el departamento de Seguridad Informática, a través de una coordinación de

operación.

3. Establecer un marco de separación de tareas de seguridad informática dentro de

DIGESET.

4.4.6. Actividades

El desarrollo de esta línea táctica contempla las siguientes actividades:

• Asignar a una persona responsable (tiempo completo) de dar seguimiento y



133

continuidad a las iniciativas de seguridad que se desprendan de esta investigación.

• Realizar un plan de trabajo enfocado a cubrir los requerimientos y preparativos

para arrancar la función del ISI (Ingeniero de Seguridad Informática).

• Nombrar y arrancar las operaciones del ISI.

• Establecer un plan de trabajo maestro para ir incorporando las funciones de

seguridad sugeridas de acuerdo con el plan de ejecución de cada una de las líneas

tácticas.

• Consolidar el “Departamento de Seguridad Informática” a partir de implementar

las funciones de seguridad.

• Consolidar y arrancar las funciones del “Comité de Seguridad Informática”.

• Convocar y difundir las funciones del Comité de Seguridad Informática de acuerdo

con los entregables mencionados mas adelante.

• Establecer las metas en el corto, mediano y largo plazo y los mecanismos de

evaluación para validar el avance del plan.

• Incrementar el número de personas y funciones de manera gradual de acuerdo con

el avance del plan.

• Establecer y difundir los procedimientos y reglamentos para la adecuada

separación de tareas en el resto de DIGESET.

En este proceso deberá participar el departamento de Recursos Humanos para la

generación y asignación formal de las responsabilidades de seguridad y la

documentación de la descripción de puestos. Además intervendrá en otros procesos para

seleccionar, convocar, contratar y capacitar al Comité y a los integrantes de la nueva

gerencia. A continuación se presentan los resultados esperados, una vez que la DIGESET

implemente esta línea táctica.

4.4.7. Resultados esperados de la línea táctica funciones de seguridad

Al ejecutar esta línea táctica DIGESET deberá obtener:

Un Comité de Seguridad Informática que deberá definir y obtener lo siguiente:

• El nivel de autoridad del Comité de Seguridad.



134

• Las responsabilidades del Comité de Seguridad.

• El tipo de asuntos o iniciativas que analizara el Comité.

• Los mecanismos de solicitud, análisis y aprobación de iniciativas.

• La frecuencia de sus reuniones.

• Los perfiles que deberán ser representados en el Comité.

• Las responsabilidades que tendrán que asumir los integrantes del Comité.

• Los mecanismos de evaluación del Comité.

• Los mecanismos para dar seguimiento a las actividades del Comité.

• Las bases para Identificar, convocar y seleccionar a los integrantes.

• El método para lograr el compromiso de los integrantes.

• Las políticas, procedimientos y lineamientos para el Comité.

• En cuanto a la Gerencia de Seguridad Informática, se deberá definir y obtener:

• Las limitaciones de autoridad.

• Los impactos del cambio en la cultura de la organización.

• Los estatutos de calidad.

• Las urgencias de DIGESET para preparar al equipo para resolver esas necesidades en

primera instancia.

• Los flujos de trabajo (relacionar las responsabilidades actuales de DIGESET y las de

los outsourcers).

• Los equipos subordinados a la Gerencia de Seguridad Informática.

• Las líneas de interacción con los outsourcers y con otras áreas internas.

• Los detalles sobre las funciones descritas en el perfil del ISI.

• Las políticas, procedimientos y estándares de la Gerencia.

• El plan de selección y reclutamiento (apoyarse de los procedimientos de Recursos

Humanos)

• Identificar candidatos internos.

• Identificar candidatos externos

• Las necesidades de capacitación

• Identificar las tecnologías en las que se necesita capacitación.



135

• Desarrollar el plan de capacitación para cada puesto de la Gerencia.

• Programar la capacitación.

• Los mecanismos para medir su desempeño.

La definición de funciones y responsabilidades de seguridad deberá incluir y obtener:

• La descripción de puestos existentes.

• La descripción y flujos de las prácticas administrativas y operativas existentes.

• Las mejores practicas de cada práctica administrativa y operativa.

• Las responsabilidades de seguridad de acuerdo con la descripción del puesto por

• escrito.

• Estas responsabilidades traducidas en políticas, procedimientos y estándares de

segundad para ayudar en su cumplimiento.

• Plan de implementación de controles para hacer cumplir estas responsabilidades y

establecer esquemas de monitoreo para medir el cumplimiento.

• El plan de difusión para estas responsabilidades.

• El plan de capacitación de acuerdo con las responsabilidades definidas

4.5. Desarrollo de la línea táctica Políticas de Seguridad El propósito de una política de seguridad es describir el uso aceptable de los equipos de la

organización, debe de establecer objetivos claros para cada uno de los equipos utilizados en la

defensa de la red, incluyendo los parámetros de seguridad. La política es un documento o una

serie de documentos que describen los controles de seguridad que se deben de implementar en

la organización, finalmente una política de seguridad no seria efectiva sino se implementa, es

por esta razón, los usuarios de la red deben de conocer un documento claramente detallado que

explique que es lo que se les permite hacer en el sistema de información.



136

4.5.1. Antecedentes Se considera el desarrollo de esta línea táctica debido a:

• No existe una política que indique las medidas de protección que DIGESET debe

tomar en cuenta para contrarrestar los riesgos asociados con la adquisición de software

pirata y archivos que se descargan de Internet, o de cualquier otro medio.

• No existen políticas con enfoque de seguridad informática que rijan al comportamiento

del personal.

• No existen políticas que se encarguen de regular el buen uso de la infraestructura de

DIGESET.

• No existe un plan de divulgación de políticas, las cuales se encargan de la producción,

mantenimiento, gestión y uso de servicios y bienes informáticos.

4.5.2. Objetivo del desarrollo de las políticas de seguridad Generar las políticas de seguridad para las áreas del nodo principal de la Intranet.

4.5.3. Beneficios

• Reforzar la seguridad de los equipos de misión crítica entre los que se encuentran los

servidores de los sistemas institucionales y los servidores de los servicios principales

como el correo electrónico y el portal Web. • Contribuyen a la definición de lineamientos tácticos que se deben de llevar acabo para

que el personal de DIGESET de solución a la problemática de seguridad.

4.5.4. Alcance

1. Consolidar una base para el establecimiento de controles de operación y monitorio de la

Infraestructura Intranet de la Universidad e Colima.

2. Establecer un marco de separación de tareas de seguridad informática dentro de

DIGESET.



137

3. Proveer administración, dirección y soporte para la seguridad de la información.

4.5.5. Actividades

El desarrollo de esta línea táctica contempla las siguientes actividades:

• Reuniones extraordinarias del comité de seguridad para la revisión y modificación de

las políticas propuestas.

• Oficializar las políticas.

• Desarrollar mecanismos de difusión de las políticas de seguridad, a la comunidad de la


• Consolidación del plan de capacitación de los encargados de administrar la Red de

Cómputo y Comunicaciones de cada una de las dependencias, utilizando las nuevas

tecnologías de comunicación como videoconferencia.

• Establecer las metas en el corto, mediano y largo plazo y los mecanismos de

evaluación para validar el avance de la implementación de las políticas de

seguridad.

• Establecer los procedimientos y reglamentos para la adecuada implementación de

las políticas de seguridad informática.

• Difusión de los avances en la implementación de esquemas de seguridad al interior de

la Universidad.

• Mantener actualizada la relación de contactos con los responsables de las IES.

• Difusión de las políticas de seguridad en cómputo e información sobre mejores

prácticas en materia de cómputo a los usuarios de los servicios de información a través

del portal web de la Universidad de Colima.

4.5.6. Políticas propuestas Las siguientes políticas están basadas en el trabajo de la ANUIES (Asociación Nacional de

Universidades e Instituciones de Educación Superior) que tiene como objetivo establecer un

marco de trabajo que facilite a las instituciones de educación superior la formación de recurso

humano capacitado para atender las necesidades seguridad en cómputo. No esta de mas



138

mencionar que la Universidad de Colima es una institución educación superior y pertenece al

proyecto de seguridad en cómputo dirigido por ANUIES.

El objetivo es desarrollar un esquema seguridad en cómputo que incluya los niveles de

seguridad adecuados en las tecnologías de información y datos facilitando el desarrollo de las

actividades académicas, administrativas y de gestión. El consejo desarrolló una serie de

políticas que para fines de la investigación, fueron formuladas para cumplir con las

necesidades de seguridad informática de la Universidad de Colima. A continuación se describe

en seis capítulos las políticas básicas de seguridad informática

POLÍTICAS INSTITUCIONALES DE SEGURIDAD INFORMATICA

CAPÍTULO 1

DISPOSICIONES GENERALES

Artículo 1. Definiciones

ABD Administrador de las bases de datos del Sistema Institucional de Información de la IES.

DSI Departamento de Seguridad Informática de la Universidad de Colima. Se encarga de definir esquemas y políticas de seguridad en materia de cómputo para la Institución.

ATI Administrador de Tecnologías de Información. Responsable de la administración de los equipos de cómputo, sistemas de información y redes de telemática de una dependencia de la Universidad de Colima

Base de datos Colección de archivos interrelacionados. Centro de cómputo Salas de cómputo y/o salas de procesamiento de

información que cuenten con equipamiento de cómputo.

Centro de telecomunicaciones Espacio designado en la dependencia a los equipos de telecomunicaciones y servidores.

Contraseña Conjunto de caracteres que permite el acceso de un usuario a un recurso informático.

Dependencia Es toda Facultad, Escuela, Dirección, Subdirección, Departamento y Centro de Investigaciones de la Universidad de Colima.



139

DIGESET Dirección General de Servicios Telemáticos. Es la dependencia que se encarga del funcionamiento y operación de las Tecnologías de Información y comunicaciones de la Universidad de Colima.

IES Institución de Educación Superior Recurso informático Cualquier componente físico o lógico de un

sistema de información. Intranet En la red interna de la Universidad de Colima

que hace uso de la tecnología de Internet. En ella se encuentran los equipos de cómputo, sistemas de información y redes de telemática que requieren de cierto nivel de seguridad.

SII Sistema Institucional de Información

Solución Antivirus Recurso informático empleado en la IES para solucionar problemas con virus.

Usuario Cualquier persona que haga uso de los servicios proporcionados por la Universidad de Colima, responsables de los equipos de cómputo, sistemas de información y redes de telemática.

Virus informático Pieza de código ejecutable con habilidad de reproducirse, regularmente escondido en documentos electrónicos, que causan problemas al ocupar espacio de almacenamiento, así como destrucción de datos y reducción del desempeño de un equipo de cómputo.

Artículo 2: Ámbito de aplicación y fines

2.1. Las políticas de seguridad en cómputo tienen por objeto establecer las medidas de índole

técnica y de organización, necesarias para garantizar la seguridad de las tecnologías de

información (equipos de cómputo, sistemas de información, redes de telemática) y

personas que interactúan haciendo uso de los servicios asociados a ellos y se aplican a

todos los usuarios de cómputo de la Universidad de Colima.

2.2. La Dirección General de Servicios Telemáticos es la responsable de dar a conocer y

hacer cumplir estas políticas de seguridad internamente.

2.3. DIGESET pueden agregar guías particulares complementarias de acuerdo a su naturaleza

y funciones.



140

Artículo 3. Frecuencia de evaluación de las políticas.

3.1. Se evaluarán las políticas del presente documento, con una frecuencia anual por el

comité de seguridad informática.

3.2. Las políticas de DIGESET serán evaluadas por el departamento de seguridad informática

con una frecuencia semestral.

CAPÍTULO 2

POLÍTICAS SEGURIDAD FÍSICA

Artículo 4. Acceso Físico

4.1. Todos los sistemas de comunicaciones estarán debidamente protegidos con

infraestructura apropiada de manera que el usuario no tenga acceso físico directo.

Entendiendo por sistema de comunicaciones: el equipo Activo y los sistemas de

cableado

4.2. Las visitas internas o externas podrán acceder a los centros de cómputo siempre y

cuando se encuentren acompañadas cuando menos por un responsable de la institución

visitante, habiendo previamente solicitado el permiso de acceso a los ATI existiendo una

razón suficiente que amerite el acceso a las mismas. Así mismo el ATI deberá asignar a

una persona que guiará dicha visita.

4.3. Se deberán establecer horarios de acceso a instalaciones físicas, especificando los

procedimientos y en qué casos se deberá hacer excepciones.

4.4. Se debe definir qué personal está autorizado para mover, cambiar o extraer equipo de las

dependencias de la Universidad de Colima a través de identificaciones y formatos de

entrada y salida; y se debe informar de estas disposiciones a personal de seguridad.

Artículo 5. Robo de Equipo

5.1. DIGESET deberá definir procedimientos para inventario físico, firmas de resguardo para

préstamos y usos dedicados de equipos de tecnología de información.



141

5.2. El resguardo de los equipos de cómputo deberá quedar bajo el área de informática

contando con un control de los equipos sin asignación personalizada que permita

conocer siempre la ubicación física de los equipos.

5.3. El centro de operaciones, así como las áreas que cuenten con equipos de misión crítica

deberán contar con vigilancia y/o algún tipo de sistema que ayude a recabar evidencia de

accesos físicos a las instalaciones.

Artículo 6. Protección Física

6.1. Las puertas de acceso a las salas de cómputo deben ser preferentemente de vidrio

transparente, para favorecer el control del uso de los recursos de cómputo.

6.2. El centro de telecomunicaciones de la Universidad de Colima debe:

• Recibir limpieza al menos una vez por semana, que permita al centro de

telecomunicaciones mantenerse libre de polvo.

• Ser un área restringida.

• Estar libre de contactos e instalaciones eléctricas en mal estado

• Contar por lo menos con un extinguidor de incendio adecuado y cercano al

centro de telecomunicaciones.

• El centro de telecomunicaciones deberá seguir los estándares vigentes para una

protección adecuada de los equipos de telecomunicaciones y servidores.

6.3. Los sistemas de tierra física del centro de telecomunicaciones deberán recibir

mantenimiento anual con el fin de determinar la efectividad del sistema.

6.4. Cada vez que se requiera conectar equipo de cómputo, se deberá comprobar la carga de

las tomas de corriente.

6.5. Programa de mantenimiento para sistemas de protección e instalaciones eléctricas donde

haya conectado algún equipo de cómputo y/o comunicaciones.

6.6. Se debe contar con una póliza de seguro contra desastres naturales que incluya

primeramente el equipo de mayor impacto hasta el de menor en la operación de la IES.

Obtener una póliza de servicio de mantenimiento y/o reemplazo de equipo.



142

Artículo 7. Respaldos

7.1. Las Bases de Datos de los servicios críticos proporcionados por DIGESET serán

respaldados diariamente en forma automática y manual, según los procedimientos

generados para tal efecto.

7.2. Los respaldos de los servicios críticos deberán ser almacenados en un lugar seguro y

distante del sitio de trabajo.

CAPÍTULO 3 POLÍTICAS DE SEGURIDAD LÓGICA

DE LA INTRANET DE LA UNIVERSIDAD DE COLIMA

Artículo 8. Intranet de la Universidad de Colima

8.1. La Intranet de la Universidad de Colima tienen como propósito principal servir en la

transformación e intercambio de información entre organizaciones académicas y de

investigación, entre éstas y otros servicios locales, nacionales e internacionales, a través

de conexiones con otras redes.

8.2. Si una aplicación en la Intranet es consistente con los propósitos descrito en el inciso 8.1,

entonces las actividades necesarias para esa aplicación serán consistentes con los

propósitos de toda IES.

8.3. La Intranet de la Universidad de Colima no es responsable por el contenido de datos ni

por el tráfico que en ella circule, la responsabilidad recae directamente sobre el usuario

que los genere o solicite.

8.4. Nadie puede ver, copiar, alterar o destruir la información que reside en los equipos que

pertenecen a la infraestructura de Intranet de DIGESET sin el consentimiento explícito

del responsable del equipo.

8.5. No se permite interferir o interrumpir las actividades de los demás usuarios por cualquier

medio o evento salvo que las circunstancias así lo ameriten, como casos de contingencia,

los cuales deberán ser reportados en su momento a sus autoridades correspondientes.

8.6. No se permite el uso de los servicios de la red cuando no cumplan con los

requerimientos básicos preestablecidos.



143

8.7. Las cuentas de ingreso a los sistemas y los recursos de cómputo son propiedad de la

Universidad de Colima y se usarán exclusivamente para actividades relacionadas con la

institución.

8.8. Todas las cuentas de acceso a los sistemas y recursos de cómputo de la Intranet de la

Universidad de Colima son personales e intransferibles, se permite su uso única y

exclusivamente durante la vigencia de derechos del usuario.

8.9. El uso de analizadores de red es permitido única y exclusivamente por el personal del

Departamento de comunicaciones y del departamento de seguridad informática y por los

ATI que ellos autoricen para monitorear la funcionalidad de la Intranet, contribuyendo a

la consolidación del sistema de seguridad en la Universidad de Colima bajo las políticas

y normatividades de toda IES.

8.10. No se permitirá el uso de analizadores para monitorear o censar redes ajenas a las de la

Universidad de Colima y no se deberán realizar análisis de la Intranet desde equipos

externos.

8.11. Cuando se detecte un uso no aceptable, se cancelará la cuenta o se desconectará temporal

o permanentemente al usuario o red involucrados dependiendo de la normatividad de la

Universidad de Colima. La reconexión se hará en cuanto se considere que el uso no

aceptable se ha suspendido.

Artículo 9. Dependencias de la Universidad de Colima

9.1. Las Dependencias deben llevar un control total escrito y/o sistematizado de sus recursos

de cómputo.

9.2. Las Dependencias son las responsables de calendarizar y organizar al personal encargado

del mantenimiento preventivo y correctivo de los equipos de cómputo.

9.3. Las Dependencias deberán reportar al ATI y/o Dirección General de Servicios

Telemáticos cuando un usuario deje de laborar o de tener una relación con la institución.

9.4. Si una dependencia viola las políticas vigentes de uso aceptable de la Intranet de la

Universidad de Colima, la Dirección General de Servicios Telemáticos aislará la red de

esa dependencia.



144

9.5. Para reforzar la seguridad de la información de la cuenta bajo su criterio deberá hacer

respaldos de su información dependiendo de la importancia y frecuencia del cambio de

la misma.

9.6. Todo usuario debe respetar la intimidad, confidencialidad de derechos individuales de

los demás.

9.7. Los administradores no podrán remover del sistema ninguna información de cuentas

individuales, a menos que la información sea de carácter ilegal, o ponga en peligro el

buen funcionamiento de los sistemas, o se sospeche de algún intruso utilizando una

cuenta ajena.

Artículo 10. Políticas de uso aceptable de los usuarios

10.1. Los recursos de cómputo empleados por el usuario:

• Deberán ser afines al trabajo desarrollado.

• No deberán ser proporcionados a personas ajenas.

• No deberán ser utilizados para fines personales.

10.2. Todo usuario debe respetar la intimidad, confidencialidad y derechos individuales de los

demás usuarios.

10.3. El correo electrónico no se usará para envío masivo, materiales de uso no académico o

innecesarios (entiéndase por correo masivo todo aquel que sea ajeno a la institución,

tales como cadenas, publicidad y propaganda comercial, política o social, etcétera).

10.4. Para reforzar la seguridad de la información de su cuenta, el usuario conforme su

criterio- deberá hacer respaldos de su información, dependiendo de la importancia y

frecuencia de modificación de la misma.

10.5. Queda estrictamente prohibido inspeccionar, copiar y almacenar programas de cómputo,

software y demás fuentes que violen la ley de derechos de autor.

10.6. Los usuarios deberán cuidar, respetar y hacer un uso adecuado de los recursos de

cómputo y de la Intranet de la Universidad de Colima, de acuerdo con las políticas que

en este documento se mencionan.

10.7. Los usuarios deberán solicitar apoyo al ATI de su dependencia ante cualquier duda en el

manejo de los recursos de cómputo de la institución.



145

Artículo 11. Servidores de la Universidad de Colima

11.1. La Dirección General de Servicios Telemáticos tiene la responsabilidad de verificar la

instalación, configuración e implementación de seguridad, en los servidores conectados a

la Intranet de la universidad.

11.2. La instalación y/o configuración de todo servidor conectado a la Intranet deberá ser

notificada DIGESET.

11.3. Durante la configuración del servidor los responsables de su adquisición deben de

establecer controles del uso de los recursos del sistema y de la red, principalmente la

restricción de directorios, permisos y programas a ser ejecutados por los usuarios.

11.4. Los servidores que proporcionen servicios a través de la Intranet e Internet deberán:

• Funcionar 24 horas del día los 365 días del año.

• Recibir mantenimiento preventivo semanal.

• Recibir mantenimiento mensual que incluya depuración de bitácoras.

• Recibir mantenimiento semestral que incluya la revisión de su configuración.

• Ser monitoreados por el ATI de la Dependencia y por DIGESET

11.5. La información de los servidores deberá ser respaldada de acuerdo con los siguientes

criterios:

• Diariamente, los correos e información crítica.

• Semanalmente, los documentos web.

• Mensualmente, configuración del servidor y bitácoras.

11.6. Los servicios institucionales hacia Internet sólo podrán proveerse a través de los

servidores autorizados por DIGESET.

11.7. DIGESET es el encargado de asignar las cuentas a los usuarios para el uso de correo

electrónico en los servidores que administra.

11.8. Para efecto de asignarle su cuenta de correo al usuario, éste deberá llenar el formato de

solicitud que se encuentra en el portal Web de la Universidad y proporcionar una cuenta

que deberá estar conformada por un nombre de usuario y su contraseña asignada. El

nombre de usuario deberá contar como máximo de 8 caracteres y no deberá contener

alias.

11.9. La cuenta será activada en 48 horas después del momento en que el usuario realizo la

solicitud vía Web. con una identificación personal como lo es el numero de cuenta, en el



146

caso de los estudiantes y numero de trabajador en el caso de los trabajadores, siendo

DIGESET el responsable de verificar la asignación de la contraseña.

11.10. Los servidores deberán ubicarse en un área física que cumpla las recomendaciones

para un centro de comunicaciones:

• Acceso restringido.

• Temperatura adecuada.

• Protección contra descargas eléctricas.

• Mobiliario adecuado que garantice la seguridad de los equipos.

11.11. En caso de olvido de la contraseña por parte del usuario, DIGESET podrá apoyarse

con el ATI de la dependencia para el cambio de contraseña.


PARA ADMINISTRACIÓN DE LOS RECURSOS DE CÓMPUTO

Artículo 12. Área de Seguridad en Cómputo

12.1. El DSI es el encargado de suministrar medidas de seguridad adecuadas contra la

intrusión o daños a la información almacenada en los sistemas así como la instalación

de cualquier herramienta, dispositivo o software que refuerce la seguridad Informática.

Sin embargo, debido a la amplitud y constante innovación de los mecanismos de

ataque no es posible garantizar una seguridad completa.

12.2. El DSI debe mantener informados a los usuarios y poner a disposición de los mismos

el software que refuerce la seguridad de los sistemas de cómputo de la Universidad de

Colima.

12.3. El DSI y el departamento de comunicaciones son lo únicos autorizados para

monitorear constantemente el tráfico de paquetes sobre la red, con el fin de detectar y

solucionar anomalías, registrar usos indebidos o cualquier falla que provoque

problemas en los servicios de la Intranet de la Universidad.



147

Artículo 13. Administradores de Tecnologías de Información

13.1. El ATI debe cancelar o suspender las cuentas de los usuarios previa notificación,

cuando se le solicite mediante un documento explícito por las autoridades de una

Dependencia en los siguientes casos:

• Si la cuenta no se está utilizando con fines institucionales.

• Si pone en peligro el buen funcionamiento de los sistemas.

• Si se sospecha de algún intruso utilizando una cuenta ajena.

13.2. El ATI deberá ingresar de forma remota a computadoras única y exclusivamente para

la solución de problemas y bajo solicitud explícita del propietario de la computadora.

13.3. El ATI deberá utilizar los analizadores previa autorización del DSI y bajo la

supervisión de éste, informando de los propósitos y los resultados obtenidos.

13.4. El ATI deberá realizar respaldos periódicos de la información de los recursos de

cómputo que tenga a su cargo, siempre y cuando se cuente con dispositivos de

respaldo.

13.5. El ATI debe actualizar la información de los recursos de cómputo de la Dependencia a

su cargo, cada vez que adquiera e instale equipo o software.

13.6. El ATI debe registrar cada máquina en el padrón único de control de equipo de

cómputo y red de la Dependencia a su cargo.

13.7. El ATI debe auditar periódicamente los sistemas y los servicios de red, para verificar la

existencia de archivos no autorizados, configuraciones no válidas o permisos extra que

pongan en riesgo la seguridad de la información.

13.8. EL ATI debe realizar la instalación o adaptación de sus sistemas de cómputo de

acuerdo con las solicitudes del DSI en materia de seguridad.

13.9. Es responsabilidad del ATI revisar diariamente las bitácoras de los sistemas a su cargo.

13.10. EL ATI reportará al DSI los incidentes de seguridad, de acuerdo con el formato de

control de incidentes de la DIGESET, junto con cualquier experiencia o información

que ayude a fortalecer la seguridad de los sistemas de cómputo.



148


PARA EL USO DE SERVIDORES DE RED

Artículo 14. Servidores en las dependencias universitarias

14.1. Cada dependencia definirá los servicios de red a ofrecer en los servidores e informará

al Departamento de Seguridad Informática para su autorización.

14.2. Las dependencias pueden utilizar la infraestructura de la Intranet para proveer servicios

a los usuarios de la misma dependencia y/o pertenecientes a la Universidad de Colima.

14.3. El ATI es el responsable de la administración de contraseñas y deberá guardar su

confidencialidad, siguiendo el procedimiento para manejo de contraseñas de la


14.4. La Dependencia deberá notificar al ATI cuando un usuario deje de laborar o de tener

relación con la Universidad.

14.5. La Dependencia deberá notificar a DIGESET cuando el ATI deje de tener alguna

relación oficial con la Dependencia o con la Universidad.

14.6. El ATI deberá realizar las siguientes actividades en los servidores de su dependencia:

• Respaldo de información conforme a los procedimientos indicados por el

centro de operaciones.

• Revisión de bitácoras y reporte cualquier eventualidad al Departamento de

Seguridad Informática de la Universidad de Colima.

• Implementar de forma inmediata las recomendaciones de seguridad

proporcionados por el DSI y reportar DIGESET posibles faltas a las políticas

de seguridad en cómputo.

• Monitoreo de los servicios de red proporcionados por los servidores a su cargo.

• Calendarizar y organizar y supervisar al personal encargado del mantenimiento

preventivo y correctivo de los servidores.

14.7. El ATI es el único autorizado para asignar las cuentas a los usuarios de su dependencia

con previa anuencia de las autoridades de la dependencia.

14.8. El DIGESET aislará cualquier servidor de red, notificando a los ATI, usuarios y

autoridades de la Dependencia, en las condiciones siguientes:



149

• Si los servicios proporcionados por el servidor implican un tráfico adicional en

la Intranet.

• Si se detecta la utilización de vulnerabilidades que puedan comprometer la

seguridad en la Intranet.

• Si se detecta la utilización de programas que alteren la seguridad y/o

consistencia de los servidores.

• Si se detectan accesos no autorizados que comprometan la integridad de la

información.

• Si se viola las políticas de uso de los servidores.

Artículo 15. Uso de los Servidores por los usuarios

15.1. El usuario deberá establecer su contraseña de acuerdo al procedimiento establecido por

el ATI.

15.2. El usuario deberá renovar su contraseña y colaborar en lo que sea necesario, a solicitud

del ATI, con el fin de contribuir a la seguridad de los servidores en los siguientes

casos:

• Cuando ésta sea una contraseña débil o de fácil acceso.

• Cuando crea que ha sido violada la contraseña de alguna manera.

15.3. El usuario deberá notificar al ATI en los siguientes casos:

• Si observa cualquier comportamiento anormal (mensajes extraños, lentitud en

el servicio o alguna situación inusual) en el servidor.

• Si tiene problemas en el acceso a los servicios proporcionados por el servidor.

15.4. Si un usuario viola las políticas de uso de los servidores, el ATI podrá cancelar

totalmente su cuenta de acceso a los servidores, notificando a las autoridades

correspondientes.



150


PARA EL USO DEL ANTIVIRUS INSTITUCIONAL

Artículo 16. Antivirus de la Intranet

16.1. Deberán ser utilizadas en la implementación y administración de la Solución Antivirus.

16.2. Todos los equipos de cómputo de la Universidad de Colima deberán tener instalada la

Solución Antivirus que proponga la DIGESET.

16.3. Semanalmente se hará el rastreo en los equipos de cómputo de la Universidad de

Colima y se realizarán las siguientes acciones:

• Actualización automática de las firmas antivirus proporcionadas por el

fabricante de la Solución Antivirus en los equipos conectados a la Intranet.

• Actualización manual de las firmas antivirus por el ATI en los equipos no

conectados a la Intranet.

Artículo 17 Políticas antivirus de las dependencias universitarias

17.1. El ATI será el responsable de:

• Implementar la Solución Antivirus en las computadoras a su cargo.

• Solucionar contingencias presentadas ante el surgimiento de virus que la

solución no haya detectado automáticamente.

• Configurar el analizador de red de su dependencia para la detección de virus.

• Notificar a la CAV en caso de contingencia con virus.

17.2. DIGESET aislará la red de una dependencia notificando a las autoridades competentes,

en caso que la dependencia viola las políticas antivirus o cuando la contingencia con

virus no es controlada, con el fin de evitar la propagación del virus a otras redes de la

Intranet.

17.3. Cada vez que los usuarios requieran hacer uso de discos flexibles, éstos serán

rastreados por la Solución Antivirus en la computadora del usuario o en un equipo

designado para tal efecto en las áreas de cómputo de las dependencias.



151

17.4. En caso de contingencia con virus el ATI deberá seguir el procedimiento establecido

por la IES.

Artículo 18. Uso del Antivirus por los usuarios

18.1. El usuario no deberá desinstalar la solución antivirus de su computadora pues ocasiona

un riesgo de seguridad ante el peligro de virus.

18.2. Si el usuario hace uso de medios de almacenamiento personales, éstos serán rastreados

por la Solución Antivirus en la computadora del usuario o por el equipo designado para

tal efecto.

18.3. El usuario que cuente con una computadora con recursos limitados, contará con la

versión ligera de la Solución Antivirus Institucional.

18.4. El usuario deberá comunicarse con el ATI de su dependencia en caso de problemas de

virus para buscar la solución.

18.5. El usuario será notificado por el ATI en los siguientes casos:

• Cuando sea desconectado de la red con el fin evitar la propagación del virus a

otros usuarios de la dependencia.

• Cuando sus archivos resulten con daños irreparables por causa de virus.

• Si viola las políticas antivirus.

4.6. Desarrollo de la línea táctica programa de concienciación Las personas que interactúan de alguna manera con la información y los sistemas de cómputo

(usuarios, desarrolladores, administradores, etc.) representan el mayor riesgo de seguridad, y

al mismo tiempo, son el punto de protección o control más importante. El programa de

concienciación está dirigido a todos los niveles de la organización, y su objetivo principal es

incrementar la cultura de seguridad de todo el personal. Es importante que el programa resalte

la importancia de las políticas y de su apego a las mismas.

4.6.1. Antecedentes Se considera el desarrollo de esta línea táctica debido a:



152

• El personal que elabora en el área de seguridad no cuenta con alguna certificación de

especialización en seguridad.

• El personal administrativo y docencia requiere de una capacitación que de inicio al

proceso de soluciones de seguridad concretas.

• Los estudiantes y demás usuarios deben tomar las precauciones básicas para evitar

ataques de virus.

4.6.2. Objetivo del desarrollo de la línea táctica Capacitar a la docencia y estudiantado de la universidad de colima para satisfacer las

necesidades de la seguridad informática.

4.6.3. Beneficios

• Contar con personal capacitado en el uso y aplicación de las Tecnologías de

Información en la Universidad de Colima.

• Contar con personal capacitado y actualizado en el uso y aplicación de técnicas y

herramientas de seguridad en cómputo.

4.6.4. Alcance

• Determinar los niveles de conocimiento en materia de Tecnologías de Información del

personal de las áreas de cómputo y red de la Universidad de Colima.

• Determinar los niveles de conocimiento en materia de Seguridad informática del

personal de las áreas de cómputo y red de la Universidad.

• Proporcionar cursos al personal de cómputo y comunicaciones de la Universidad de

Colima, de acuerdo a las tecnologías que se vayan incorporando en las mismas.

4.6.5. Actividades

• Difusión de los eventos de capacitación a nivel institucional, regional y nacional.



153

• Utilizar a las Instituciones de Educación Superior (IES) que cuenten con programas de

cómputo o informática para el desarrollo de los cursos.

• Incorporar a Estudiantes para apoyar las labores de seguridad y asesorar el desarrollo

de trabajos de titulación relacionados con seguridad en cómputo.

• Generar propuestas y llevar a cabo las acciones necesarias para lograr la cooperación

entre las dependencias de la Universidad de Colima, permitiendo estandarizar el

desarrollo seguro de las áreas de cómputo y red, así como mejorar los niveles de

seguridad actuales.

4.6.6. Resultados esperados de la línea táctica de concienciación Los resultados esperados de esta línea táctica van a depender del comité de seguridad, ya que

es el encargado de definir un plan de capacitación de acuerdo con las responsabilidades

definidas. Algunas temas de tecnologías de seguridad a considerar son las siguientes: INTRODUCCION

Antecedentes de Seguridad en Redes Definición de la Seguridad en Redes

Seguridad Física Seguridad Lógica

Repaso de TCP/IP Estándares de Seguridad Organismos dedicados a la Seguridad en Redes

DELITO INFORMATIVO (HACKING)

Antecedentes de Delitos Informáticos Vulnerabilidades de los Sistemas Operativos Tipos de Ataques Amenazas de ataques

CRIPTOLOGÍA

Introducción Criptosistemas Clasificación de los Criptosistemas Criptosistemas de clave Secreta Criptosistemas de clave Publica Criptoanálisis Criptografía Clásica



154

Criptosistema de Vigenere Criptosistema RSA Tendencias de la Criptografía

FILTRADO DE LOS ENRUTADORES Y CORTAFUEGOS

Introducción al Filtrado de los Enrutadores Filtrado de Paquetes Filtrado de Paquetes de las PCs Teoría y Arquitecturas de los Cortafuegos Implementación de los Cortafuegos Introducción a los IDS Implementación de IDS Productos existentes de Filtrado de Información

DISEÑO DE POLÍTICAS DE SEGURIDAD

Planeación de la Red de Seguridad Análisis de Riesgos Definición de Responsabilidades Definición de Procedimientos Planes de Contingencia Mecanismos de Monitoreo

HERRAMIENTAS DE SEGURIDAD

Analizadores de Trafico Detectores de Vulnerabilidades Descifrado de Contraseñas Comandos de Administración de Redes de S.O.

4.7. Desarrollo de la línea táctica arquitectura tecnológica Con esta línea táctica lo que se busca de la integridad, confiabilidad y disponibilidad de los

servicios brindados por la dirección general de servicios telemáticos. Para ello se proporciona

una lista de los elementos ha administrar por parte del departamento de seguridad informática

así como una lista de tecnologías a considerar para la operación de la seguridad. Además se

proporciona una descripción de las actividades propuestas que van en busca de la correcta

operación de la seguridad.



155

4.7.1. Antecedentes

• Es posible llevar acabo la denegación de servicio, a través del derramamiento del

buffer.

• No se cuenta con una base de conocimientos sobre incidentes de seguridad.

• Es posible obtener los archivos de bitácoras del servidor Web. Estos archivos pueden

contener información confidencial de suma importancia para el rastreo de las

transacciones

4.7.2. Objetivo

El objetivo específico de la línea táctica arquitectura tecnológica es la de brindar una serie de

lineamientos que ayudaran a la correcta administración y operación de la infraestructura de

Intranet de la universidad de Colima. Al mismo tiempo, se pretende implementar la

administración de seguridad informática.

4.7.3. Alcances

Con base a los objetivos específicos para esta investigación, así como en los requerimientos

expuestos por los responsables de la infraestructura tecnológica de la Universidad de Colima,

el esquema de seguridad planteado por esta investigación propone los siguientes elementos a

tomar en cuenta para la administración de seguridad informática, así como una propuesta de

actividades a realizar.

4.7.4. Elementos administrados

En esta propuesta, se definen los elementos ha considerar para ser incluidos en el proceso de

transición a la administración de la seguridad informática. Los elementos se dividen

básicamente en los de protección perimetral y los servidores y/o dispositivos de

comunicaciones, estos son los siguientes:



156

• Protección perimetral

Los dispositivos de seguridad perimetral son los encargados de mantener la seguridad del flujo

del trafico que viaja en la intranet de la Universidad de Colima. Los dispositivos con los que

cuenta la universidad son los siguientes:

Un cortofuegos checkpoint de alta disponibilidad

Un detector de intrusos de red (Dragon de EnteraSys)

Un administrador de ancho de banda (Packetshaper 6500/ISP).

• Servidores y dispositivos de comunicación

La tabla 4.1 presenta todos los servidores y dispositivos que deben ser objeto de

administración de seguridad informática, es decir, a cada uno de los dispositivos se le

aplicaran las actividades que posteriormente se describen en este documento. Los servicios

activos por cada servidor y/o dispositivo de comunicación deben ser utilizados para la

definición las reglas de acceso o restricción de flujos de información en el cortafuego de la

institución.

Nombre del Dispositivo Servicios Activos

Antivirus Http Intranet Ftp, Http, sql, mysql, smtp, https.

Serveredes http, ftp, smtp, mysql

Bdigital http, ftp,https, mysql

Venus smtp, ftp, http, https, pop3, pop3s, imap, imaps, Mysql, sftp

M3(Colima) Telnet, smtp, pop3, tftp, ftp, http,epmap, rlogin.

M1(Villa) Telnet, smtp, pop3, tftp, ftp, http,epmap, rlogin.

M2(Tecoman) Telnet, smtp, pop3, tftp, ftp, http,epmap, rlogin.

M2(Manzanillo) Telnet, smtp, pop3, tftp, ftp, http,epmap, rlogin.



157

M2 Coquimatlan Telnet, smtp, pop3, tftp, ftp, http,epmap, rlogin. Triton smtp, http, https, pop3, pop3s, imap, imaps,

Mysql, sftp, ssh Tecoman smtp, http, https, pop3, pop3s, imap, imaps,

Mysql, sftp, ssh Zlo smtp, http, https, pop3, pop3s, imap, imaps,

Mysql, sftp, ssh Volcan dns, ssh, sftp Orion dns, ssh, sftp Listas smtp, ssh, sftp Dns smtp,smtp_auth, http, https, pop3, pop3s, imap,

imaps, sftp,ftp Mail smtp, dns cache, ssh, sftp mail2 smtp, dns cache, ssh, sftp Acceso remoto http, telnet,snmp, pop3, bootps, bootpc, tftp, ntp,

Ripv1, Ripv2, nfsd, epmap Hercules snmp,smtp, ripv1, ripv2, pop3

Einstein smtp, pop3, BGP, netbios-NS, netbios-DGM, snmp, bootps.

Dragon snmp,smtp, ripv1, ripv2, pop3, ssh, syslog, ms-sql-s,ssdp

Web Ssh, ftp, Http, pop3, SunRPC, smtp, Exec, login,Shell, epmap, NTP, syslog, RPC, Name, Netbios-NS

Las principales tecnologías a considerar para el establecimiento de una arquitectura

tecnológica segura son:

• VPNs

• Single sign in

• Criptografía

• Infraestructura de llave publica (PKI)

• Tarjetas inteligentes y basadas en tokens

• Antivirus

• Seguridad para el desarrollo de aplicaciones Web

• APIs de seguridad.

Tabla 4.1. Dispositivos críticos para ser parte de la administración de seguridad informática.



158

• Herramienta de control de acceso.

• Herramientas de auditoria

4.7.5. Actividades propuestas La figura 4.5 presenta un resumen de las actividades que se proponen en esta investigación

para la administración de la seguridad informática, a continuación se describe brevemente en

qué consiste cada una de ellas.

Actividades para el inicio de operaciones

Estas actividades se realizan antes de arrancar propiamente con la servicios de monitoreo de la

seguridad. Para en el caso de DIGESET se incluirán las siguientes actividades:

Afinación de reglas y/o filtros: este servicio incluyera revisión de las reglas que hoy se tienen

en el cortofuego y los cambios y adiciones que requieran para el funcionamiento adecuado de

la seguridad. Nota: para realizar lo anterior, se debe realizar un inventario de aplicaciones y

servicios, asociado a cada uno de sus necesidades de tráfico (tipo de protocolo, puertos,

dirección IP, etc.). En el caso de los detectores de intrusos se tendrán establecer uno en cada

Figura 4.5. Actividades propuestas para la administración de la seguridad informática.



159

campus, ya que actualmente no se cuenta con ellos. Además se incluye la afinación inicial o

filtros para minimizar los falsos positivos (falsas alarmas) cuando se arranquen los servicios

de monitoreo permanente.

Aseguramiento de la plataforma: Para los distintos elementos involucrados, estas tareas

comprenden el configurar en forma segura los sistemas operativos y servicios asociados:

modificar parámetros por omisión, eliminar servicios que no se usen, aplicar últimos parches

(previo análisis de impacto), reconsiderar parámetros y variables de ambiente, etc.

Actividades permanentes

Las actividades permanentes son aquellas que se realiza de forma continua, durante todo el

ciclo de vida de la seguridad informática, a diferencia las actividades de inicio de operaciones

que generalmente se realizan antes de iniciar las actividades permanentes.

• Administración de cambios: aquí se agrupan actividades de reconfiguración de

equipos y software y/o de adición a reglas o filtros, de esta forma, por ejemplo, cuando

el personal responsable del sistema de control financiero vaya a montar una aplicación

nueva que utiliza otros puertos, por ende, requerirá de agregar o modificar reglas en el

cortafuego y usar el procedimiento de control de cambios definido por el comité de

seguridad.

• Administración general: estas tareas se refiere a quién será el responsable administrar

los dispositivos o equipos en cuestión. Para este proyecto, el departamento de

seguridad será responsable de la administración general de los dispositivos

correspondiente a la seguridad perimetral. Además estará la responsabilidad de definir

los procedimientos para el buen funcionamiento los servidores.

• Monitoreo de eventos de seguridad: en forma permanente los operadores del

departamento de seguridad informática están vigilando que el comportamiento de los

elementos bajo monitoreo, estén operando en forma normal. Para ello existen dos

fuentes principales de información: los eventos generados en las consolas de seguridad

y los eventos registrados en algunas de las bitácoras. Los procedimientos operativos



160

del departamento de seguridad informática establecen los criterios que aplica el

personal del departamento para hacer éste monitoreo en forma continua y para

establecer si un incidente de seguridad ha ocurrido.

• Manejo de incidentes. Cuando los operadores del departamento de seguridad

informática determinan que ha ocurrido un incidente de seguridad, realizan acciones

necesarias para su contención y la recuperación de servicio. En forma paralela, la

investigación pasa a los especialistas de segundo nivel, que revisa el incidente, y

determinan acciones para prevenir que vuelva a ocurrir (por ejemplo, bloquear ciertas

direcciones IP). Los analistas generan además, los reportes periódicos hacia la

gerencia, informándole del cumplimiento los niveles de servicio, así como los

principales eventos sucedidos en el período y la acciones tomadas para mejorarlos.

• Administración de vulnerabilidades: en forma continua, el personal encargado de la

seguridad informática está monitoreando los principales sitios de Internet que notificar

sobre las nuevas vulnerabilidades. Cuando se detecta una nueva vulnerabilidad, se

realiza un análisis para conocer si afectará el ambiente de operación normal y si es

viable realiza los cambios a las configuraciones (incluyendo parches) o definir

soluciones alternas, y avisar al personal involucrado.

• Pruebas de penetración: El equipo de penetración, permanentemente estará

intentando vulnerar la infraestructura de Intranet administrada por el departamento de

seguridad informática. Cualquier hueco detectado será reportado al grupo de

vulnerabilidades y al coordinador de operaciones.

• Monitoreo del disponibilidad: Aprovechando toda la infraestructura tecnológica y el

personal del departamento de seguridad informática, el monitoreo de disponibilidad se

enfoca a estar vigilando que los elementos bajo el esquema de seguridad estén activos

(funcionando) durante los periodos críticos. De acuerdo a los alcances que se

establezcan existen dos opciones: opción uno, DIGESET no será responsable del

restablecimiento de servicio, sino que se limitará a avisar a la dependencia responsable,

para atender al usuario final que se ve en problemas, y a monitoreo del cumplimiento

los niveles de servicio, opción dos, si será responsable del restablecimiento de servicio

de las dependencias, cumpliendo con los niveles de servicios establecidos para tal

efecto.



161

• Monitoreo de la utilización de recursos: Esta actividad es complementaria del

departamento de seguridad, permite conocer la utilización de recursos de los elementos

bajo el esquema de seguridad. De esta forma, se está monitoreando variables como

nivel de utilización (canal, cpu, discos, memoria), que determinan el rendimiento del

elemento. Si los valores monitoreados rebasan alguno de los umbrales definidos,

entonces se envía un incidente hacia los administradores del sistema en cuestión.

4.7.6. Resultados esperados de la línea táctica de arquitectura tecnológica

A continuación se describe los resultados que se esperan entregar como parte de servicio

correspondiente a monitoreo y operación de la seguridad:

• Reporte de fallas (eventos de soporte técnico, en caso de existir)

• Reporte mensual de actividades sospechosas e incidente de seguridad (en caso de

existir)

• Reporte mensual con los requerimientos atendidos en el periodo y tiempos de respuesta

• Reporte mensual de disponibilidad

• Reporte mensual de la principal actividad en el corto fuegos

• Reporte de la principal actividad buen de los usuarios internos

• Reporte mensual de cumplimiento de niveles de servicio.

4.8. Factores críticos de éxito Para la implementación exitosa del plan táctico se recomienda lo siguiente:

1. Que exista una persona dedicada al 100% para coordinar los esfuerzos en materia de

seguridad en DIGESET.

2. Cada línea táctica debe ser desarrollada bajo las mejores prácticas para la administración de

proyectos, de forma que se asegure un buen desarrollo y sobre todo el cumplimiento de

las metas en el tiempo estimado.



162

3. El programa de concienciación debe de apoyar la aplicación de las líneas tácticas que se

establecen en el plan táctico, por lo tanto, cada proyecto de seguridad debe de estar

acompañado por un plan de actividades que integre la capacitación del recurso

humano y la implementación de la solución de seguridad.

4. Las líneas tácticas de manejo de respuesta a incidentes de seguridad, optimización de

seguridad en el perímetro, monitoreo de la seguridad en DIGESET, y programa de

auditoria de niveles de seguridad deben estar diseñadas para aplicarse sobre los elementos

de la infraestructura tecnológica considerados como críticos (para ver el detalle de la

selección, consultar el capitulo 2), de acuerdo con la tabla 2.3.

5. Para asegurar los resultados de las líneas tácticas en relación con la planeación de la

Universidad de Colima, se deben revisar los objetivos institucionales establecidos y las

necesidades de tecnología de información derivadas del proceso de planeación estratégica de

la Universidad de Colima.

6. Establecer un marco de referencia básico para la clasificación general de la información,

así como la asignación de responsables de controlar el acceso a la información

considerada como crítica por DIGESET.

7. Para asegurar los resultados de las líneas tácticas del bloque de operación, deben revisarse

los siguientes aspectos:

• Monitoreo de nuevas tecnologías

• Planes de adquisición de sistemas de información

• Segregación de funciones

• Roles y responsabilidades

• Descripción de puestos

• Niveles de asignación de personal

• Código de ética / conducta

• Políticas de seguridad

• Políticas de control interno

Conclusiones y Recomendaciones


164

Conclusiones En la Universidad de Colima no existe un documento oficial de políticas de seguridad

informática que controle todas las eventualidades de la infraestructura de la Intranet. El campo

de seguridad informática cambia constantemente, y de la misma manera cambia las políticas,

por lo tanto, la seguridad informática es un proceso que requiere de una administración

constante, para alcanzar el éxito en la integración de la seguridad a la cultura organizacional

de DIGESET. En otras palabras, la seguridad informática es un proceso cíclico que requiere de

la definición, implementación y verificación constante.

El establecimiento de un esquema de seguridad, no es tarea de una sola persona, todos los

integrantes de la institución deben ser involucrados y las políticas de seguridad deben

implementarse gradualmente, e ir acompañadas de un programa de concienciación.

DIGESET es la dependencia encargada de la distribución y administración de la red externa e

interna de la Universidad de Colima, por lo tanto, debe incorporar la toma de decisiones

basada en el análisis de riesgos para responder a tres preguntas básicas sobre la seguridad,

estas son: ¿Qué quieren proteger?, ¿Contra quién (o qué) quieren protegerse? y ¿Como lo

quieren proteger? Para ello se implementó la metodología de la empresa SCITUM que

permitió obtener resultados importantes para el esquema de seguridad actual de la Universidad

de Colima

El primer resultado que se obtuvo de la implementación de esta metodología fue el análisis de

vulnerabilidades que involucró los dispositivos (Servidores, ruteadores, firewall e IDS)

críticos de la Intranet para llegar a obtener hallazgos a nivel de infraestructura, tal es el caso se

los servidores Windows 2000 que cuentan con vulnerabilidades en la administración de las

cuentas de usuarios; ya que las cuentas “guest” y “TsInternerUser” nunca han sido utilizadas y

por ende nunca han sido desactivadas, además existen cuentas de usuarios que contienen

contraseñas que nunca caducan, también estos servidores hacen uso de la aplicación FTP, por

lo que se requiere que el personal responsable lleve acabo las actualizaciones necesarias para

el buen funcionamiento de la aplicación Serv-U. Por otro lado, los servidores Unix evaluados

cuentan con diversos tipos de vulnerabilidades de riesgo alto y medio, a través de las cuales un



165

intruso podría ejecutar comandos remotamente o ganar acceso a los equipos con privilegios de

administrador, en este conjunto de servidores es importante llevar acabo la actualización de

versiones de algunas aplicaciones como OpenSSL, Apache y SSH entre otros, así como la

planificación para la aplicación de los cambios necesarios; con estos hallazgos actualmente los

administradores de los servidores se encuentran implementando las mejoras a corto plazo de

los equipos para apoyar la etapa de preparación, que conllevará a la implementación del

modelo de operación propuesto en el capitulo 4.

Se pudo establecer a partir de todos los hallazgos que se encontraron en la etapa de análisis de

vulnerabilidades, que los dispositivos de comunicación (conmutadores, ruteadores y acceso

remoto), cuentan con relativamente pocas vulnerabilidades, en el caso de los ruteadores solo

se debe de considerar la utilización de algún tipo de encriptación para la configuración remota.

La infraestructura utilizada para los servicios de acceso remoto vía MODEM a la intranet

universitaria no establece algún método de autenticación en especial, por lo tanto es deseable

especificar un método seguro.

Por otro lado, se encontró que:

• La seguridad perimetral cuenta con una configuración básica.

• Aun no se aplican las políticas específicas para cada servicio de la red.

• Los servidores aún no están en la zona que les corresponde en el firewall.

• No existe un protector de intrusos para cada delegación de la Universidad, que le

permita determinar a los administradores de la intranet que es lo que se esta

transmitiendo en dicho campus.

Se debe considerar que con la investigación se logró recopilar la información necesaria para la

configuración adecuada de la seguridad perimetral.

La metodología no solo permitió encontrar hallazgos a nivel de infraestructura, sino que

también a obtener hallazgos en función de procesos y gente, estas dos categorías se

obtuvieron a través de entrevistas, visitas a las instalaciones de DIGESET e información

proporcionada por el personal. Además los estudios de madurez nos permitió obtener una



166

medición del nivel de seguridad de la Intranet en algunos dominios con respecto al estándar

ISO/17799 (ver tabla 3.3).

Con los hallazgos encontrados se llevó a cabo el análisis de riesgos que nos ayudo a

determinar los controles necesarios para mitigar los riesgos y establecer una prioridad de las

actividades a realizar de acuerdo a su tiempo de implantación y costo. Estas actividades se

encuentran descritas en el capitulo 4.

Finalmente se formuló un plan táctico que consistió en el establecimiento de lineamientos, que

incluyen todas las líneas tácticas vistas en el capitulo 4, por ejemplo la definición de funciones

de seguridad y la consideración de un programa de concienciación y establecimiento de las

políticas de seguridad de la Intranet universitaria, que debe de seguir el personal de DIGESET

para adoptar el modelo de operación que se plantea. El proceso de mejoramiento de la

seguridad es gradual y por fases, por lo tanto, las líneas tácticas permiten definir una ruta

crítica de ejecución que elevará el nivel de seguridad, dependerá entonces, del comité de

seguridad de DIGESET el llevar acabo la implementación del plan táctico. Al final del

capitulo 4 se presentan los factores críticos de éxito que son resultado de un análisis minucioso

de la investigación con los cuales la Dirección puede iniciar la implementación, esto les

permitirá reducir tiempos y por ende obtener resultados a corto plazo.

Recomendaciones Las delegaciones necesitan mayor protección perimetral en su red interna, por lo que se

recomienda que se trabaje en una propuesta de fortalecimiento de la seguridad informática, la

cual debe de consistir en asegurar las conexiones de los clientes de los sistemas institucionales

con los servidores internos (Sistema Integral de Información Administrativa, SIIA), así como

la implementación de una sola solución de antivirus que sea administrada por los ATI de cada

centro de computo, pero con la responsabilidad de DIGESET en la selección de la tecnología a

implementar.



167

Por otro lado, es importante, la oficialización y difusión de las políticas de seguridad para el

fortalecimiento de la seguridad informática en relación con la cultura organizacional de la

Universidad de Colima, se recomienda entonces, conformar un Comité de Seguridad,

mediante un grupo de personas que sean miembros de todas las áreas de trabajo de DIGESET,

con la finalidad de que la implementación de la seguridad sea horizontal. La obligación de este

comité es la de oficializar las políticas y establecer los controles necesarios para el

mantenimiento y auditorias del ciclo de vida de la seguridad informática.

Es importante establecer procedimientos y reglamentos para el correcto funcionamiento y

monitoreo de los servicios críticos de la Universidad de Colima con la finalidad de clarificar a

los responsables de esas actividades los procesos específicos y detallados que deben de llevar

acabo.

Es transcendental enfatizar que se debe trabajar en el análisis de la seguridad física para

revisar aspectos de servicios eléctricos hacia los equipos de la intranet, planta de emergencia

eléctrica, sistemas de aparta rayos y tierras físicas, así como equipos de protección contra

incendios e inundaciones; con la finalidad de cerrar las dos grandes brechas de la seguridad

informática (Seguridad física y seguridad lógica).

Como trabajo futuro se puede proponer la digitalización de políticas de seguridad, el cual

consiste en la implementación de un lenguaje multi-niveles de política (requerimientos de alto

nivel o controles detallados) que se utilice para describir la política de seguridad deseada

mientras se utiliza un lenguaje de sistema para describir los sistemas destino (topología de

interconexión, funcionalidad y capacidades de seguridad, etc.). Un examinador deberá evaluar

si la política deseada puede ser implementada en el sistema destino y medirá el nivel de

seguridad alcanzado. Las configuraciones para los elementos de seguridad luego serán

generadas automáticamente y aplicadas a través de la red, un monitor utilizará la política de

seguridad para una detección de intrusos proactivo (un intruso es cualquier cosa que no

cumpla con la política de seguridad) adicional a la detección de intrusos reactiva que

comúnmente se maneja. Ya existe un proyecto cuyo nombre es POSITIF que esta trabajando

en esta posibilidad.



169

1. Bibliografía

1.1. Artigas, J. (2003). Diplomado Teracast en Seguridad en Redes. Colima: Teracast.

1.2. Boswordth, S., & M.E., K. (2002). Computer Security Handbook ( Fouth ed. Vol.

Fouth). Canada: John Wiley & Sons, Inc.

1.3. Brenton, C. (1999). Mastering Network Security ( Primera edicion ed.). San

Francisco: Bybex, Network Press.

1.4. Callio, T. (2003). BS7799/ISO 17799 (first), [PowerPoint Presentation]. Callio,

Technologies. Available: www.callio.com [2004, 24/02/2004].

1.5. Corporation, S. (2003). Tras el Firewall Amenazas Internas. Symantec

Corporation. Available:

http://www.symantec.com/region/mx/enterprisesecurity/content/framework/LAM_

2122.html [2003, 14 de Noviembre 2003].

1.6. Departamento de Control de Calidad y Auditoria Informática. (2000). Vista

General del Libro Naranja (pp. 60).

1.7. ISO/IEC. (2000, 2001-12-01). International Standard ISO/IEC 17799 (First),

[PDF]. ISO & IEC [2003, 02-11-2003].

1.8. Latham, C. D. (1985). Department of Defense Trusted Computer System

Evaluation Criteria.Unpublished manuscript, Washington D.C.

1.9. LearnKey. (2001). Managing Cisco's Network Security: LearnKey.

1.10. Ponce Lopez, J. L., & Guel Lopez, J. C. (2003). Red Nacional de Seguridad en

Computo UNAM-ANUIES (primera). Available: http://www.unam-cert.unam.mx/

[2003, 14/11/2003].

1.11. University, C. M. (2003). CERT/CC Overview.Unpublished manuscript, Pittsburgh,

USA.

1.12. Villalón Huerta, A. (2000). Seguridad en Unix y Redes. Madrid.

1.13. PROTEGO. (2004). Reporte de Vulnerabilidades (No. 1): PROTEGO.

1.14. University, C. M. (2004, Marzo 10). CERT. Retrieved 03/04/2004, 2004, from www.cert.org

1.15. Shipley, G. (2003). Core Security. Vormetric, 14

http://www.cert.org/�



170

2. Referencias en Internet

2.1. GRUPO DE SEGURIDAD DE REDCUDI

http://seguridad.internet2.ulsa.mx/

2.2. SYSADMIN, AUDIT, NETWORK, SECURITY (SANS)

http://www.sans.org/

2.3. COMPUTER EMERGENCY RESPONSE TEAM

http://www.cert.org/

2.4. UNIVERSIDAD NACIONAL AUTÓNOMA DE MÉXICO - COMPUTER EMERGENCY RESPONSE TEAM

http://www.unam-cert.unam.mx

2.5. PROYECTO NESSUS

http://www.nessus.org/

2.6. PROTEGO

http://www.protego.dk/index.html

http://seguridad.internet2.ulsa.mx/�

http://www.sans.org/�

http://www.cert.org/�

http://www.unam-cert.unam.mx/�

http://www.nessus.org/�

http://www.protego.dk/index.html�

Glosario: Términos y Siglas


172

Apache Es un servidor de web gratuito que se distribuye a través una licencia

"open Source". La versión 2.0 funciona en la mayoría de los

servidores con plataforma Unix (como por ejemplo Linux, Solaris y

AIX) y en Windows 2000

Activex Un objeto ActiveX se define como el que se adhiere al Modelo de

Objetos Componentes (Component Object Model COM) definido por

Microsoft. Un objeto ActiveX, esta esperando, sin hacer nada, hasta

que es llamado. ActiveX, se puede ver como la evolución de OLE

donde OLE + Internet = ActiveX.

DMZ Demilitarized zone, también llamada red protegida. En esta zona están

alojados los servicios (Dial In, Dial out, Callback, FTP, navegación

WEB, WEB Proxy, correo electrónico) a los cuales los clientes tanto

dentro del centro operativo como en las dependencias tienen acceso.

ACK El campo Número de acuse de recibo contiene información válida, es

decir, el segmento actual lleva un ACK.

Análisis de

Riesgo

Término que hace referencia al proceso necesario para responder a tres

cuestiones básicas sobre nuestra seguridad que queremos proteger,

contra quién o qué lo queremos proteger y como lo queremos proteger.

Applets una pequeña aplicación accesible en un servidor Internet, que se

transporta por la red, se instala automáticamente y se ejecuta in situ

como parte de un documento Web

BS7799 BS7799 es el estándar lo más extensamente posible reconocido de la

seguridad del mundo. Aunque fue publicado originalmente a mediados

de lo años noventa, fue con la revisión de mayo 1999 que realmente

lo puso en el mundo de hoy. En última instancia, se desarrolló el

estándar ISO17799 en diciembre de 2000. BS 7799 (ISO17799) es

comprensivo en su cobertura de los asuntos de seguridad, conteniendo

un número significativo de los requisitos de control. La conformidad

con el estándar esta lejos de ser una tarea trivial, por lo tanto, es algo

complejo y uniforme para la mayoría de la seguridad consciente de

organizaciones.



173

Buffers Es el área de almacenamiento temporal, usualmente la RAM. El

propósito es trabajar como un área de retensión que le permita al CPU

manipular la información antes que sea enviada a algún dispositivo.

CERT Es el equipo de respuestas a incidentes de seguridad en cómputo, lo

conforma un grupo formado en su mayoría por voluntarios calificados

de la comunidad informática, con el objetivo de proporcionar a

soluciones rápidas a los problemas de seguridad que se presenten en

los host de Internet. Este organismo se encarga de divulgar las noticias

de seguridad de redes mas recientes, así como las vulnerabilidades

más importantes de las aplicaciones, sistemas operativos y productos.

CERT/CC Centro de Coordinación del CERT

CGI CGI es una norma para establecer comunicación entre un servidor

Web y un programa, de tal modo que este último pueda interactuar con

Internet. También se usa la palabra CGI para referirse al programa

mismo, aunque lo correcto debería ser script.

CHAP Challenge Handshake Authentication Protocol. Es un método de

autenticación que no permite al que realiza la llamada intentar la

autenticación sin un desafió (challenge) previo. El valor del challenge

es único e impredecible, por lo que se proporciona protección frente a

ataques, además realiza una verificación periódica para mejorar la

seguridad (en el PAP solo se verifica una vez).

DARPA Defense Advanced Research projects Agency

DCOM Distributed Component Object Model, es una serie de conceptos e

interfaces de programación creadas por Microsoft con los cuales el

programa cliente solicita servicios al servidor a través de la red.

Denegación de

Servicio

En general, estos ataques se basan en utilizar la mayor cantidad

posible de recursos del sistema objetivo, de manera que nadie más

pueda usarlos, perjudicando así seriamente la actuación del sistema,

especialmente si debe dar servicio a mucho usuarios.

DGSCA Dirección General de Servicios de Computo Académico

DIGESET Dirección General de Servicios Telemáticos



174

DNS Es un servicio de Internet que traduce los nombres de dominios a

direcciones IP, debido a que los nombres son más fáciles de recordar.

El sistema DNS conforma una red, si un servidor DNS no logra

traducir un nombre de dominio, esté pregunta a otro servidor

consecutivamente hasta obtener la dirección IP correcta.

DSC Departamento de Seguridad en Computo

E1 Es un formato de transmisión europeo diseñado por ITU-TS. Tiene

una tasa de transferencia de 2.048 millones de bits por segundo y

puede soportar hasta 32 canales de 64kbps cada uno.

E3 Es un formato de transmisión europeo diseñado por ITU-TS. Tiene

una tasa de transferencia de 34.368 millones de bits por segundo.

Puede soportar 16 canales E1.

EAP Extensible Authentication Protocol, es un estándar del IETF a través

del RFC-2284. Fue inicialmente para PPP (Enlaces dial-up), pero

puede operar sobre cualquier protocolo de capa de enlace (802.3,

802.11, etc.). Es extensible porque no especifica el método de

autenticación.

ECHO Este es el tipo de mensaje que envía la maquina cuando se emplea el

comando ping. La solicitud de Eco pide a la maquina destino que

responda con una Respuesta de Eco con un numero de secuencia

apropiado.

FastEthernet Es un estándar de transmisión para redes de área local que proporciona

una velocidad de 100 mega bits por segundo. Referirse como 100Base

T.

Firewall Un firewall o cortafuegos es un equipamiento, combinación de

hardware y software que muchas empresas u organizaciones instalan

entre sus redes internas y el Internet. Un cortafuegos permite que sólo

un tipo específico de mensajes pueda entrar y/o salir de la red interna.

Esto protege a la red interna de los piratas o hackers que intentan

entrar en redes internas a través del Internet.



175

FTP Siglas de File Transfer Protocol. Método muy común para transferir

uno o más ficheros de un ordenador a otro. FTP es un medio

específico de conexión de un sitio Internet para cargar y descargar

ficheros. FTP fue desarrollado durante los comienzos de Internet para

copiar ficheros de un ordenador a otro. Con la llegada del World Wide

Web, y de los navegadores , ya no se necesitan conocer sus complejos

comandos; se puede utilizar FTP escribiendo el URL en la barra de

localización que se encuentra en la parte superior de la pantalla del

navegador

GigabitEthernet Es un estándar de transmisión para redes de área local y área amplia

que proporciona una velocidad de 1000 mega bits por segundo.

Referirse como 1000Base T.

Gusano o Worm Es un virus que se reproduce por si solo, que no altera los archivos

pero que reside activo en memoria y se duplica así mismo. Los

gusanos utilizan partes el sistema operativo que son automáticas y que

usualmente son invisibles para el usuario.

HINFO Registro que proporciona información del host, no es funcional.

Utilizado para declarar el tipo de computadora y sistema operativo.

HTTP Hypertext Transfer Protocol. Es el protocolo utilizado para navegar en

la Web. Utiliza TCP el puerto 80.

HTTPS Hypertext Transfer Protocol (HTTP), en combinación con el protocolo

SSL o TLS se refiere al protocolo HTTPS. Este protocolo viene con la

mayoría de los navegadores de Web para proporcionar una conexión

segura entre el cliente y el servidor Web. Utiliza TCP a través del

puerto 443.

ICMP El Protocolo de control de mensajes Internet (ICMP, Internet Control

Message Protocol) es un estándar TCP/IP necesario que está definido

en RFC 792, "Internet Control Message Protocol (ICMP)" (Protocolo

de control de mensajes Internet (ICMP)). Con ICMP, los hosts y

ruteadores que utilizan la comunicación IP pueden informar de errores

e intercambiar información de control y estado limitada.



176

IDS Es un modelo de seguridad aplicable tanto a ordenadores como a

redes. Un sistema IDS recolecta y analiza información procedente de

distintas áreas de un ordenador o red de ordenadores con el objetivo de

identificar posibles fallos de seguridad. Este análisis en busca de

intrusiones incluye tanto los posibles ataques externos (desde fuera de

nuestra organización) como los internos (debidos a un uso abusivo o

fraudulento de los recursos).

IMAP IMAP es el acrónimo de Internet Message Access Protocol. Este tipo

de correo fue desarrollado en 1986 en la Universidad de Stanford pero

no fue muy aceptado, se comenzó a utilizar hasta la década siguiente,

aún actualmente no es muy conocido. Este protocolo representa un

mecanismo de comunicación para que los clientes de mail interactúen

con servidores, y manipulen buzones (mailboxes). A pesar de que el

protocolo de acceso a correo es el Post Office Protocol (POP), el cual

también cubre las necesidades de acceso a correo remoto. IMAP

ofrece un súper conjunto de las características de POP, ya que permite

una interacción mucho mas compleja y provee un modelo de acceso

mas eficiente que el modelo POP. IMAP te permite la utilización

completa de el ancho de banda que tienes disponible y diferente a los

primeros servidores POP (esto a cambiado en la ultimas versiones),

IMAP esta centrado en la noción que el servidor es tu repositorio

primario de correos. Los mensajes son siempre retenidos en el servidor

Ingeneria Social Es la manipulación de las personas para convencerlas de que ejecuten

acciones o actos que normalmente no realizan para que revele todo lo

necesario para superar las barreras de seguridad

ISP Proveedor de servicio de Internet



177

JavaScripts JavaScript es un lenguaje de scripts desarrollado por Netscape para

incrementar las funcionalidades del lenguaje HTML. Es un lenguaje

orientado a eventos. Cuando un usuario pincha sobre un enlace o

mueve el puntero sobre una imagen se produce un evento. Mediante

JavaScript se pueden desarrollar scripts que ejecuten acciones en

respuesta a estos eventos. Además, es un lenguaje orientado a objetos.

El modelo de objetos de JavaScript está reducido y simplificado, pero

incluye los elementos necesarios para que los scripts puedan acceder a

la información de una página y puedan actuar sobre la interfaz del

navegador.

MIME Siglas de Multipurpose Internet Mail Extension. Sistema que permite

integrar dentro de un mensaje de correo electrónico ficheros binarios

(imágenes, sonido, programas ejecutables, etc.).

MITRE Corporación Mitre es una organización sin fines de lucro,

caracterizada para trabajar a beneficio del interés público. Como

recurso nacional, Mitre aplica sus experiencias en sistemas de

ingeniería, tecnologías información, conceptos operacionales, y en las

corporaciones modernas para dirigir el patrocinio de sus necesidades

críticas. Mitre esta compuesta por tres centros financieros federales de

investigación y desarrollo: uno para departamento de defensa

(conocido como Comando DOD, control, comunicaciones de

inteligencia), otro para la administración federal de aviación (centro

avanzado de desarrollo de sistemas de aviación) y el tercero para el

ingreso de nuevos servicios internos (centro modernización

empresarial). Mitre también cuenta con su propio programas de

investigación y desarrollo que permite explorar las nuevas tecnologías

para resolver los problemas de sus patrocinadores en términos

cercanos o en términos futuros.



178

MS-CHAP es un protocolo de autenticación mutua, lo que significa que ambos, el

cliente y el servidor, deben demostrar sus identidades. Si la conexión

está configurada para utilizar MS-CHAP v2 como único método de

autenticación y el servidor con el que conecta no proporciona pruebas

de su identidad, se cerrará la conexión. Anteriormente, los servidores

podían omitir la autenticación y, simplemente, aceptar la llamada. Este

cambio asegura que puede configurar una conexión para que conecte

con el servidor esperado.

NASA Administración Nacional de Aeronáutica y del espacio

NBS Nacional Bureau of Standards

Openssl El proyecto OpenSSL es un esfuerzo colectivo para desarrollar una

serie de herramientas para la implementación del SSL v2/v3 (Secure

Socket Layer ) y del TLS (Transport Layer Security) que sea robusto,

versátil y Open Source . El proyecto esta siendo manejado por

voluntarios que utilizan Internet como medio de comunicación.

PAP El Protocolo de autenticación de contraseña (PAP, Password

Authentication Protocol) utiliza contraseñas en texto simple y es el

protocolo de autenticación menos sofisticado. Se negocia,

normalmente, si el cliente y el servidor de acceso remoto no pueden

negociar una forma de validación más segura

PIFI Este proyecto, cuenta con sistema de redes y telecomunicaciones y con

sistema de videoconferencia universitaria, ambos busca modernizar y

ampliar infraestructura tecnológica de la Intranet universitaria, que

permita mejorar los servicios que ofrece. Además de dotar de nuevos

ambientes de aprendizaje para diversificar posibilidades de acceso y

difusión de conocimientos.

POP Siglas de Point of Presence. Un POP es el punto de acceso a Internet

de un usuario

POP3 (Post Office Protocol 3) es la versión del protocolo de recepción de

correo electrónico mas reciente. Es un protocolo Cliente/Servidor en el

cual se reciben los correos electrónicos y espera por el cliente a través



179

del servidor de Internet.

PPP Siglas de Point-to-Point Protocol. Es un protocolo de comunicaciones

utilizado para transmitir datos de la red a través de las líneas

telefónicas. Este tipo de conexión permite comunicar directamente con

otros ordenadores de la red por medio de conexiones TCP/IP.

PROMEP Este proyecto consiste en proporcionar conexión de Internet para

profesores. Apoya así en todos profesores de tiempo completo que

cumpla con el perfil deseado, con el fin de que tengan acceso redes

informáticas de Internet. Actualmente, DIGESET tiene cubierto 90%

de la menta este proyecto por lo que se ha dedicado a realizar nuevas

obras de conectividad.

PRONAD Consiste en dotar de infraestructura tecnológica para que la institución

modernice procesos administrativos y los certifique.

RADIUS Es un protocolo de autenticación para conexiones remotas (dial-up).

Un Servidor RADIUS compara el login y contraseña del usuario y la

compara con la base de datos de seguridad. Si el servidor RADIUS

falla, entonces no se podrá tener acceso a la red.

Riesgo es la posibilidad de sufrir una pérdida o daño, la definición muestra

que hay dos partes del riesgo: la posibilidad de ocurrencia de un

evento de riesgo y el daño o pérdida que resulta de la ocurrencia del

evento de riesgo.

RLOGIN Es otro protocolo similar a Telnet, con la diferencia fundamental que

rlogin utiliza servicios UDP y telnet usa servicios TCP en la capa de

transporte. Este protocolo establece una sesión desde el terminal local

hasta la máquina remota. Las lista de estas máquinas se encuentra en

el servidor de nombres DNS o en la base local de datos.



180

RPC Es una tecnología de programación para el transporte de mensajes que

le permite a las aplicaciones ejecutar procedimientos e interactuar con

los servicios que proporciona la computadora remota a través de la

red. Fue desarrollado por Sun Microsystems y mejorado por la

fundación Open software. El RPC es el método preferido por el

procesamiento cliente/servidor en las plataformas Windows y su

funcionamiento es compatible con otros sistemas operativos como

IBM AIX, HP-UX y Sun Solaris

SANS SysAdmin, Audit, Network, Security; es una organización que se

dedica a la investigación, certificación y capacitación de profesionales

que sean capaces de diseñar soluciones de seguridad. Esta institución

fue creada en 1989 en respuesta a los incidentes de delito informático

que se suscitaron a causa del crecimiento exponencial de Internet.

Scripts Un script es un tipo de programa que consiste de una serie de

instrucciones que serán utilizadas por otra aplicación

Signatura Dentro del contexto de un detector de intrusos, una firma (signature)

es conocida como el patrón de ataque de un hacker.

SMTP SMTP ( Simple Mail Transfer Protocol - Protocolo de Transferencia

de Correo Simple ) es un protocolo TCP/IP utilizado en el envío y la

recepción de e-mail. Sin embargo dado que este es limitado en su

capacidad para encolar los mensajes que va recibiendo, a menudo se

utiliza uno de dos protocolos, POP3 ( Post Office Protocol 3 ) o IMAP

(Internet Message Access Protocol ), que permiten que el usuario

almacene sus mensajes en el buzón del servidor y pueda descargarlos

periódicamente desde el servidor. En otras palabras, los usuarios

utilizan frecuentemente programas que usan SMPT para enviar e-mail

y POP o IMAP para recibir.



181

Sniffer Es un producto que integra componentes de hardware y/o software y

que, como su nombre lo indica, husmea en la red a la cual está

conectado para analizar el tráfico existente en la misma ayudando a

detectar problemas y/o cuellos de botella en cualquiera de sus

segmentos, de forma tal que el administrador de la red pueda solventar

los inconvenientes y mantenga los datos fluyendo eficientemente.

SNMP Simple Network Management Protocol. Es protocolo de

administración de redes para la configuración y obtención de

estadísticas operativas de los dispositivos.

Spyware son programas escondidos entre los archivos compartidos que permite

al autor del programa y a otros usuarios de red ver lo que hace el

usuario, qué sitios de Internet visita e incluso utilizar los recursos

computacionales del usuario sin que lo sepa

SSH Secure Shell. Es un protocolo seguro de transporte comúnmente

utilizado por los administradores que se preocupan por la seguridad.

Existen excelentes herramientas disponibles para los administradores

de sistemas, incluyendo las versiones SSH de FTP y telnet.

SYN Synchronous Idle, significa una inactividad sincronía, para la

sincronización.

TCP/IP TCP/IP son las siglas de Transmission Control Protocol/Internet

Protocol, el lenguaje que rige todas las comunicaciones entre todos los

ordenadores en Internet. TCP/IP es un conjunto de instrucciones que

dictan cómo se han de enviar paquetes de información por distintas

redes. También tiene una función de verificación de errores para

asegurarse que los paquetes llegan a su destino final en el orden

apropiado. IP, Internet Protocol, es la especificación que determina

hacia dónde son encaminados los paquetes, en función de su dirección

de destino. TCP, o Transmission Control Protocol, se asegura de que

los paquetes lleguen correctamente a su destino. Si TCP determina que

un paquete no ha sido recibido, intentará volver a enviarlo hasta que

sea recibido correctamente.



182

TELNET Es un emulador de terminal basado en TCP/IP, comúnmente utilizado

por los administradores de redes para el mantenimiento remoto de los

dispositivos de red. Para mejorar la seguridad, Telnet debe ser

combinado con SSH.

TI Tegnologias de Información.

Timestamp Es el tiempo concurrente de un evento que fue registrado por una

computadora. A través de mecanismos como el NTP (Network Time

Protocol), la computadora mantiene actualizado el tiempo

concurrente.

Troncales Al Módulo Troncal pertenecen todos los equipos e infraestructura

necesarios para la conexión entre las diferentes centrales telefónicas de

conmutación, cuando hay más de una central en la red, y para la

interconexión de la red con las demás redes telefónicas adyacentes y/o

complementarias, mediante fibra óptica con tecnología SDH.

UDP El Protocolo de datagrama de usuario (UDP, User Datagram Protocol)

es un estándar TCP/IP que está definido en RFC 768, "User Datagram

Protocol (UDP)" (Protocolo de datagrama de usuario (UDP)). Algunos

programas utilizan UDP en lugar de TCP para el transporte de datos

rápido, compacto y no confiable entre hosts TCP/IP. UDP proporciona

un servicio de datagramas sin conexión que ofrece entrega de mejor

esfuerzo, lo que significa que UDP no garantiza la entrega ni

comprueba la secuencia de los datagramas. Un host de origen que

necesita comunicación confiable debe utilizar TCP o un programa que

proporcione sus propios servicios de secuencia y confirmación.

UNAM-CERT Universidad Nacional Autónoma de México - Computer Emergency

Response Team

URL Siglas de Uniform Resource Locator. Es la dirección de un sitio o de

una fuente, normalmente un directorio o un fichero, en el World Wide

Web y la convención que utilizan los navegadores para encontrar

ficheros y otros servicios distantes

184

Reporte de Vulnerabilidades de los Servidores UNIX En la semana 26 al 28 de abril se llevaron acabo los análisis de vulnerabilidades de los

servidores con plataforma Unix. Las pruebas que se llevaran acabo fueron las siguientes:

Sistema Operativo Permisos en archivos Relaciones de confianza Archivos de calendarizacion de tareas Archivos de configuración RC Configuración de NFS Aplicación de parches Debilidad de contraseña Red Barrido e puertos Negación de servicios Puertas traseras Fuerza bruta CGIs Demonios DCOM DNS correo electrónico FTP Recolección de información NFS NIS RPC Shares SNMP

Las pruebas se realizaron desde la red interna de la Dirección General de servicios

Telemáticos en horarios no críticos para la operación de los servicios y con el consentimiento

de los responsables. Estas pruebas se realizaron a los dispositivos con dirección IP no

homologada.

Tabla 1. Grupo de pruebas aplicadas a servidores con plataforma Unix.

185


1. Escaneo de puertos, para todos los equipos. Esto se realizo con la finalidad de

determinar los servicios que esta proporcionando el dispositivo de red. Además se

comprueba la información que se obtuvo en la etapa de contextualización.

2. Se llevaron acabo las pruebas que se presentan en la tabla 1 para los servidores UNIX.

La herramienta que se utilizo fue Nesuss, la cual es un software de diagnostico para los

servicios de Internet, para determinar la robustez, solidez e invulnerabilidad del

sistema mediante el escaneo remoto de vulnerabilidades, basándose para ello en una

base de datos conteniendo todos los ataques conocidos hasta el momento de la ultima

actualización que se lleva acabo vía conexión a Internet.

3. Se procedió a la tabulación de los hallazgos proporcionados por el analizador de

vulnerabilidades (Nessus).

Resumen de los Hallazgos Con el fin de dar a conocer un resumen de los resultados se presenta una grafica de pastel que

refleja los resultados de las pruebas. Antes de presentar la grafica es prudente hacer una breve

descripción de la severidad de los hallazgos. La tabla 2 presenta una descripción del impacto

que se le puede asignar a un hallazgo.

Nivel DescripciónAlto Cada exposición grave, al ser explotada afecta de forma directa su

seguridad, compromete la confiabilidad, integridad y disponibilidad del información crítica. Habilitar al atacante con privilegios y control/manipulación sobre el sistema

Medio Es posible acceder y modificar de forma indirecta datos y archivo de configuración del dispositivo. Explotando una o varias vulnerabilidades de este nivel se puede obtener resultados comparables como los mencionados en las vulnerabilidades de alto nivel

Bajo Se puede obtener información muy específica de los dispositivos como: nombre de usuarios y archivos, configuraciones, servicios. La información que proporcione puede servir como entrada, para explotar vulnerabilidades de nivel medio o alto

Informativo Son datos proporcionados por las aplicaciones y los sistemas operativos (versiones, dirección IP entre otros) su divulgación no compromete a la seguridad de los dispositivos

Tabla 2. Clasificación de vulnerabilidades.

186

Por la cantidad de servidores (7) de plataforma Unix, se decidió llevar acabo el análisis en dos

grupos.

Grupo 1

Este grupo esta compuesto por los servidores Triton, Volcan y Orion,

De las vulnerabilidades encontradas en los servidores con plataforma Unix del grupo 1, se

registro un 45% de vulnerabilidades que se encuentran en el nivel alto, 11% en el nivel

medio y 43% en el nivel bajo. De las vulnerabilidades que se encuentran en el nivel alto, la

aplicación HTTPS presenta mayor numero de incidencia de vulnerabilidad. De los servidores

que fueron parte del análisis de vulnerabilidad, el servidor Triton es el presenta el mayor

porcentaje (76%) de las vulnerabilidades totales de alto riesgo.

La figura 1 muestra un resume de los hallazgos encontrados. La figura 2 presenta los

resultados de que aplicaciones son las causantes de las vulnerabilidades con alto nivel de

riesgo.

Figura 1. Grafica que ilustra el porcentaje de los niveles de riesgos encontrados.

187

La figura 3 muestra el servidor que tiene el porcentaje mas alto riesgos en el grupo 1. El

servidor Triton registró un total de 15 vulnerabilidades de alto riesgo.

Figura 2. Servicios más peligros en la red.

Figura 3. Servidor que presenta el mayor porcentaje de vulnerabilidades de alto riesgo en el grupo 1.

188

Grupo 2

Los dispositivos correspondientes a este grupo son los servidores Listas, Mail, Mail2 y el IDS

Dragon .

De las vulnerabilidades encontradas en los dispositivos con plataforma Unix del grupo 2, se

registro un 40% de vulnerabilidades que se encuentran en el nivel alto, 16% en el nivel

medio y 44% en el nivel bajo. De las vulnerabilidades que se encuentran en el nivel alto, la

aplicación http presenta mayor numero de incidencia de vulnerabilidad. De los servidores que

fueron parte del análisis de vulnerabilidad, el servidor Listas es el presenta el mayor

porcentaje (57%) de las vulnerabilidades totales de alto riesgo.



riesgo.

Figura 4. Grafica que ilustra el porcentaje de los niveles de riesgos encontrados.

189


Figura 6. Servidor que presenta el mayor porcentaje de vulnerabilidades de alto riesgo en el grupo 2.

190

Host Servicio Vulnerabilidad Consecuencia Impacto Individual

Impacto General Control/Medida

Volcan

ssh (22/tcp) El servidor esta corriendo una versión OpenSSH mas viaja que la 3.7.1

Una versión OpenSSH menor a la 3.7.1 tiene problemas con el manejo de las funciones de administracion de buffer, permitiendole al atacante ejecutar codigo en el servidor.

Alto Alto Actualizar la versión de OpenSSH a la 3.7.1 o mas nueva.

ssh (22/tcp) El servidor esta corriendo OpenSSH-portable versión 3.6.1 .

La versión permite al atacante sobre pasar los controles de acceso que el administrador alla configurado.

Bajo Bajo Actualizar la versión de OpenSSH-portable a la 3.6.2 o mas nueva.

ssh (22/tcp) El demonio SSH soporta conexiones con la versión 1.33 y/o 1.5 del protocolo SSH.

El protocolo no es completamente criptografico, no se debe de utilizar.

Bajo Bajo Si utiliza OpenSSH configure la opción "Protocolo" a "2". Si utiliza SSH.com's, configure la opción "Ssh1Compatibility" a "no".

DNS (53/tcp) El servidor DNS permite búsquedas recursivas por dispositivos que corren el demonio de Nessus. "Si el DNS es interno, Olvide esta vulnerabilidad"

Si se desea investigar el servidor de nombres, esta vulnerabilidad le permite a cualquier usuario resolver nombres de terceros (como www.popa.hn). Esto habilita al atacante a realizar ataques sumamente peligrosos en contra del DNS. Si la búsqueda recursiva la lleva acabo a través de UDP, pueden atacar a otros sistemas.

Alto Alto Restrigir las búsquedas recursivas a las redes que hacen uso del servidor DNS. Si utilizas Bind 8, configura la opción "allow-recursion" en la seccion de opciónes del archivo named.conf. Si utiliza Bind 9 defina una agrupación de direcciones internas con el comando "acl", luego dentro de la opción Block, se pude definir explícitamente "allow-recursion {hosts_definidos_acl}".

191

General de tcp El servidor utiliza un identificador de Ip que no es aleatorio por lo que es posible predecir el proximo valor del campo ip_field del paquete enviado por el servidor.

Con esta vulnerabilidad el atacante puede determinar el patrón de trafico de la red.

Bajo Bajo Contactar a tu proveedor para que proporcione un parche.

Triton smtp (25/tcp) El servidor esta corriendo

una versión de Postfix que es o mas vieja que la 1.1.12.

Existen dos vulnerabilidades de esta versión que permite la elaboración de ataques DDoS.

Alto Alto Actualizar la versión de Postfix a la 2.0.

smtp (25/tcp) El servidor de smtp esta funcionando como repetido.

Le permite a los spammers utilizar el servidor de correo para enviar correo a todo el mundo, causando perdida de ancho de banda.

Bajo/Medio Medio Configurar el servidor smtp para que ya no funcione como servidor repetidor de correos.

ssh (22/tcp) El servidor esta corriendo una versión OpenSSH mas viaja que la 3.7.1

Una versión OpenSSH menor a la 3.7.1 tiene problemas con el manejo de las funciones de administración de buffer, permitiéndole al atacante ejecutar código en el servidor.



El protocolo no es completamente criptográfico, no se debe de utilizar.


http (80/tcp) El servidor esta corriendo una versión de apache mas vieja que 1.3.28

Hay varias fallas de esta versión, entre ellas podemos mencionar que el servidor puede ser deshabilitado remotamente por el atacante.

Alto Alto Actualizar la versión de Apache a la 1.3.28 o a una versión mas alta.

192

http (80/tcp) El servidor tiene instalada una versión de ApacheSSL que es mas vieja que la 1.3.29/1.53.

Esto trae como consecuencia que los atacantes puedan falsificar el certificado de alguno de los clientes.

Alto Alto Actualización a la versión ApacheSSL 1.3.29/1.53 o mas nueva.


Permite la ejecución de código a través de mod_alias y mod_rewrite.


http (puerto 80) El Servidor soporta los métodos de depuración de conexiones TRACE y TRACK.

Los servidores que soportan estos métodos son sujetos de ataques Cross-site-scripting, llamados XST para "Cross-Site-Tracing", cuando usan conjunciones con varias debilidades en los navegadores. El atacante puede utilizar esta falla para engañar a los usuarios legítimos para que le proporcionen información personal.

Medio Medio Deshabilitar los métodos de depuracion. Si utiliza apache agregué lo siguiente en el archivo de configuración: RewriteEngine on RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK) RewriteRule .* - [F]

pop3 (110/tcp) y imap (143/tcp)

El servidor POP3 proporciona información acerca del software que esta corriendo a través de un banner de login.

Esto tiene como consecuencia que el atacante puede obtener la información necesaria para aplicar una estrategia de ataque en especial.

Bajo Bajo Cambiar el banner de login a algo mas genérico.

https (443/tcp) El servidor esta corriendo una versión de OpenSSL mas vieja que 0.9.6k o 0.9.7.c

La versión contiene bugs que permiten al atacante tener acceso al shell del servidor.

Alto Alto Actualización del OpenSSL a la versión 0.9.6k o 0.9.7.c o mas nueva.

https (443/tcp) El servidor esta corriendo una versión de apache mas vieja que 1.3.28



193

https (443/tcp) El servidor tiene instalada una versión de ApacheSSL que es mas vieja que la 1.3.29/1.53.



https (443/tcp) El servidor esta utilizando TURBA, un componente del sistema webmail Horbe.

Fallas en el archivo "start.php", le permiten al atacante obtener la ruta física del web root.

Medio Medio Configurar apropiadamente las opciones "display_errors" y "log_errors" en el archivo php.ini. Para evitar que se muestren los procedimientos al momento de la ocurrencia de un error.

https (443/tcp) El servidor esta utilizando TURBA, un componente del sistema webmail Horbe. Existe un script IMP de prueba que es accesible desde afuera.

Este script puede causar una fuga de información interna del servidor que puede ser de suma importancia para el atacante.

Medio Medio Los scrips "test.php" y "imp/test.php" deben ser borrados o bien hacerlos inaccesibles por el servidor Web.

sometimes-rpc8 (32772/udp)

El servidor esta corriendo el servicio RPC rstatd.

Este servicio permite tener información acerca del uso del CPU, red y tiempo del sistema.

Bajo Bajo No se recomienda tener este servicio corriendo en el servidor.

Orion ssh (22/tcp) El servidor esta corriendo

una versión OpenSSH mas viaja que la 3.7.1





Bajo Bajo Actualizar la versión de OpenSSH-portable a la 3.6.2 o mas nueva.




194

DNS (53/tcp) El servidor DNS permite búsquedas recursivas por dispositivos que corren el demonio de Nessus. "Si el DNS es interno, Olvide esta vulnerabilidad"

Si se desea investigar el servidor de nombres, esta vulnerabilidad le permite a cualquier usuario resolver nombres de terceros (como www.popa.hn). Esto habilita al atacante a realizar ataques sumamente peligrosos en contra del DNS. Si la búsqueda recursiva la lleva acabo a través de UDP, pueden atacar a otros sistemas.

Alto Alto Restringir las búsquedas recursivas a las redes que hacen uso del servidor DNS. Si utilizas Bind 8, configura la opción "allow-recursion" en la sección de opciones del archivo named.conf. Si utiliza Bind 9 defina una agrupación de direcciones internas con el comando "acl", luego dentro de la opción Block, se pude definir explícitamente "allow-recursion {hosts_definidos_acl}".

General de tcp El servidor utiliza un identificador de Ip que no es aleatorio por lo que es posible predecir el próximo valor del campo ip_field del paquete enviado por el servidor.



Mail2 ssh (22/tcp) El servidor esta corriendo

una versión OpenSSH mas viaja que la 3.7.1





Bajo Bajo Actualizar la versión de OpenSSH-portable a la 3.6.2 o más nueva.




195

ftp (21/tcp) El servidor FTP es vulnerable a una falla de programación relacionada con una conversión de enteros cuando se envía un comando de RESET.

El atacante puede utilizar esta vulnerabilidad para dañar el demonio de FTP y posiblemente ejecutar código maligno en el servidor.

Alto Alto Busca la actualización correspondiente.

ftp (21/tcp) El servidor FTP permite conexiones anonimas .

El servidor es accesible por cualquier usuario de la red. Los siguientes directorios se encuentran en contenido del FTP: bin, etc, incoming y pub.

Bajo Bajo Si no desea compartir información con nadie desconocido, debe de desactivar las cuentas anonymas.




Listas ssh (22/tcp) Se esta corriendo en el

servidor el servicio OpenSSH 3.7p1 or 3.7.1p1.

Esta versión tiene una vulnerabilidad cuya falla se encuentra en la forma en que se tramita la autenticación PAM , teniendo como consecuencia el acceso al shell del servidor.

Alto Alto Actualización a la versión ApacheSSL 1.3.29/1.53 o mas nueva OpenSSH 3.7p2 o deshabilitar PAM soportado en el archivo sshd_config.




http (80/tcp) El servidor tiene instalada una versión de ApacheSSL que es mas vieja que la 1.3.29/1.53.



196

http (puerto 80) y https (443/tcp)

El Servidor soporta los métodos de depuración de conexiones TRACE y TRACK.


Medio Medio Deshabilitar los métodos de depuración. Si utiliza apache agregué lo siguiente en el archivo de configuración: RewriteEngine on RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK) RewriteRule .* - [F]

https (443/tcp) El servidor esta corriendo una versión de OpenSSL mas vieja que 0.9.6k o 0.9.7.c

La versión contiene bugs que permiten al atacante tener acceso al shell del servidor.

Alto Alto Actualización del OpenSSL a la versión 0.9.6k o 0.9.7.c o mas nueva.




https (443/tcp) El servidor tiene instalada una versión de ApacheSSL que es mas vieja que la 1.3.29/1.53.



x11 (6000/tcp) Puerto de X11 sin filtración de conexiones.

Es posible que el atacante envié datos basura que puede disminuir el funcionamiento del servidor o bien puede llegar a dejar de funcionar.

Bajo Bajo Filtrar las conexiones en los puertos 6000-6009.

197

XDMCP(177/udp) Esta corriendo el protocolo XDMCP. Proporciona el despliegue de las conexiones de las terminales X.

Este servicio es totalmente inseguro. Esto es porque la contraseña y el trafico generado se transporta sin encriptación. El atacante pude capturar la contraseña del usuario que usa el servicio XDMCP

Medio Medio Deshabilite este servicio.

sometimes-rpc8 (32772/udp)

El servidor esta corriendo el servicio RPC rstatd.

Este servicio permite tener información acerca del uso del CPU, red y tiempo del sistema.

Bajo Bajo No se recomienda tener este servicio corriendo en el servidor.

ntp (123-udp) El servidor esta corriendo el servicio NTP.

El servicio es vulnerable a la sobrecarga de buffer.

Alto Alto Si es vulnerable, actualizar el servicio.

Mail ssh (22/tcp) El demonio SSH soporta

conexiones con la versión 1.33 y/o 1.5 del protocolo SSH.



ntp (123-udp) El servidor esta corriendo el servicio NTP.

El servicio es vulnerable a la sobrecarga de buffer.

Alto Alto Si es vulnerable, actualizar el servicio.

198

Reporte de Vulnerabilidades de los Servidores Windows 2000 En la semana 26 al 28 de abril se llevaron acabo los análisis de vulnerabilidades de los

servidores Windows 2000. Las pruebas que se llevaran acabo fueron las siguientes:

Sistema Operativo Aplicación de parches Debilidad de contraseña Red Barrido e puertos Negación de servicios Puertas traseras Fuerza bruta CGIs Demonios DCOM DNS correo electrónico FTP Recolección de información Aspectos críticos de NT Grupos NT Red NT Contraseñas NT Parches NT Políticas NT Registro NT Servicios NT Usuarios NT RPC Shares SNMP

Las pruebas se realizaron desde la red interna de la Dirección General de servicios

Telemáticos en horarios no críticos para la operación de los servicios y con el consentimiento

de los responsables. Estas pruebas se realizaron a los dispositivos con dirección IP no

homologada.

Tabla 1. Grupo de pruebas aplicadas a servidores Windows 2000.

199


4. Escaneo de puertos, para todos los equipos. Esto se realizo con la finalidad de

determinar los servicios que esta proporcionando el dispositivo de red. Además se

comprueba la información que se obtuvo en la etapa de contextualizacion.

5. Se llevaron acabo las pruebas que se presentan en la tabla 1 para los servidores

Windows 2000. La herramienta que se utilizo fue Nesuss, la cual es un software de

diagnostico para los servicios de Internet, para determinar la robustez, solidez e

invulnerabilidad del sistema mediante el escaneo remoto de vulnerabilidades,

basándose para ello en una base de datos conteniendo todos los ataques conocidos

hasta el momento de la ultima actualización que se lleva acabo vía conexión a Internet.

6. Se procedió a la tabulación de los hallazgos proporcionados por el analizador de

vulnerabilidades (Nessus).

Resumen de los Hallazgos Con el fin de dar a conocer un resumen de los resultados se presenta una grafica de pastel que

refleja los resultados de las pruebas. Antes de presentar la grafica es prudente hacer una breve

descripción de la severidad de los hallazgos.

De las vulnerabilidades encontradas en los servidores de Windows 2000, se registro un 18%

de vulnerabilidades que se encuentran en el nivel alto, 35% en el nivel medio y 47% en el

nivel bajo. De las vulnerabilidades que se encuentran en el nivel alto, la aplicación FTP

presenta mayor numero de incidencia de vulnerabilidad. De los servidores que fueron parte del

análisis de vulnerabilidad, el servidor Serveredes es el presenta el mayor porcentaje (29%)

de vulnerabilidades de alto riesgo.

200



riesgo.

Figura 1. Riesgos de Seguridad de Windows 2000 Server.

Figura 2. Servidor que presenta el mayor porcentaje de vulnerabilidades de alto riesgo.

201

A continuación se presenta la información tabulada de las vulnerabilidades encontradas en los

servidores con plataforma Windows 2000.


202

Host Servicio Vulnerabilidad Consecuencia Impacto Individual

Impacto General Control/Medida

Antivirus

http (puerto 80) El servidor web remoto tiene activada la pagina de bienvenida.

Es probable que este servidor no utilice el servicio.

Bajo Bajo En caso de no utilizar el servicio, deshabilite el servicio

http (puerto 80) El servidor tiene habilitado el servicio WebDAV

El servidor en respuesta de una solicitud maliciosa puede llegar a deshabilitarlo por causa del consumo de CPU.

Medio Medio Deshabilitar el servicio o bien disminuir el impacto. Puede encontrar información en http://support.microsoft.com/default.aspx?kbid=241520.

http (puerto 80) El servidor IIS cuenta con el mapeo de un filtro IDA ISAPI.Existen varias vulnerabilidades debido a este filtro.

Puede llegar a proporcionar al atacante una intrusión al servidor web con un nivel de acceso de sistema.

Medio Medio Para Deshabilitar el filtro con la extensión .IDA: 1. Abrir Internet Services Manager. 2.clic-derecho al servidor Web seleccione Propiedades del menú de contexto. 3.Propiedades Master 4.Seleccione WWW Service -> Editar -> DirectorioHome -> Configuración y elimine la referencia .ida de la lista. También puede descargar e instalar la herramienta URLSCAN que bloquea todas las solicitudes ida.

203

http (puerto 80) IIS 5 tiene soporte para el protocolo de impresión vía Internet (IPP). IPP se implementa como una extensión ISAPI.

Puede causar una sobre carga del buffer.

Bajo Bajo Deshabilitar el protocolo. Para Deshabilitar el filtro con la extensión .printer: 1. Abrir Internet Services Manager. 2.clic-derecho al servidor Web seleccione Propiedades del menú de contexto. 3.Propiedades Master 4.Seleccione WWW Service -> Editar -> DirectorioHome -> Configuración y elimine la referencia .printer de la lista.



Medio Medio Deshabilitar los métodos de depuración. Si utiliza apache agregué lo siguiente en el archivo de configuración: RewriteEngine on RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK) RewriteRule .* - [F] Si utiliza IIS utilice la herramienta URLSCAN para denegar solicitudes HTTP Trace o permitir solo los métodos que necesita el servidor.

http (puerto 80) Se puede saber el tipo y versión del servidor de Web.

Puede ayudar al intruso a recopilar información que posteriormente puede utilizar para llevar acabo un ataque.

Informativo Medio Utilizar el URLSCAN para cambiar esta opción.

204

loc-srv (135tcp) Esta corriendo el servicio DCE. El servidor puede ser listado a través de una conexión en el puerto 135 y haciendo las solicitudes apropiadas.

El atacante puede obtener mas información del servidor.

Bajo Bajo Filtrar el trafico entrante en el puerto 135. Asi como los puertos 1027, 1029 y 1031, que corresponden a otros servicios.

netbios-ns(137udp)

Se obtienen todos los nombres netbios del servidor.


Medio Medio Filtrar el trafico entrante en el puerto 137.

Microsoft-ds(445tcp)

El identificador de seguridad (SID) del servidor de obtiene remotamente.

El atacante puede utilizar el SID para obtener la lista de usuarios del servidor.

Medio Medio Filtrar el trafico entrante en los puertos 137-139 y 445.


Las cuentas de usuarios Guest y TsInternetUser, nunca han sido utilizadas.

Las cuentas de usuarios que no son utilizadas son de mucha utilidad para los atacantes.

Medio Medio Borrar estas cuentas de usuario.


Existen cuentas de usuarios que contienen contraseñas que nunca expiran.

El atacante puede obtener la contraseña de alguna de estas cuentas de usuarios y no existirá un tiempo limitado para acceder al servidor.

Medio Medio Deshabilitar la opción la contraseña nunca expira en las cuentas de usuarios. Asignar las políticas que recomienda Microsoft para la administración de cuentas de usuarios.


El servidor permite el listado de los nombres de host con los cuales ha tenido comunicación.

Permite que el atacante tenga los nombres de los hosts que pueden ser atacados.

Bajo Bajo Filtrar el trafico entrante en el puerto 445.


Fue posible realizar un login en el servidor con una sesión nula.

Es posible dar acceso al servidor con privilegios de invitado.

Medio Medio Visite el site de Microsoft y busque los siguientes artículos: MS KB Articulo Q143474 (NT 4.0) and Q246261 (Windows 2000).

205

ms-sql-sr (1433tcp)

El servicio de SQL esta corriendo en el servidor.

Usuarios no autorizados pueden establecer una conexión con el servicio.

Informativo Informativo Bloque es el servicio para los usuarios externos.

Serveredes FTP (21/tcp) Existe una falla en la forma

que se atienen las solicitudes de MTDTM que le permite al intruso ejecutar código arbitrario en el servidor.

Se puede llegar a deshabilitar al servidor a través de una sobrecarga del buffer.

Alto Alto Actualizar a la versión Serv-U Server 4.3.0 o mas nueva.

FTP (21/tcp) Existe una falla en la forma que se atienen las solicitudes de SITE CHMOD que le permite al intruso ejecutar código arbitrario en el servidor.



smtp (25/tcp) Tiene la librería ASN.1 la cual es vulnerable, el atacante solo necesita enviar un paquete con un código especial ASN.1 que cumpla con las longitudes apropiadas.

Es una falla que puede permitir a un atacante ejecutar código arbitrario en el servidor.

Alto Alto Se debe de aplicar el parche apropiado. Descargarlo en la siguiente dirección url: http://www.microsoft.com/TechNet/security/bulletin/ms04-007.mspx

http (puerto 80) Tiene la librería ASN.1 la cual es vulnerable, el atacante solo necesita enviar un paquete con un código especial ASN.1 que cumpla con las longitudes apropiadas.



http (puerto 80) Se determina la versión del servidor web

El intruso puede tener mas información para llevar acabo el ataque.

Bajo Bajo Utilizar el URLSCAN para cambiar esta opción.

206




netbios-ns(137udp)




microsoft-ds(445/tcp)

Tiene la librería ASN.1 la cual es vulnerable, el atacante solo necesita enviar un paquete con un código especial ASN.1 que cumpla con las longitudes apropiadas.















207





mysql (3306/tcp) Esta corriendo la versión mas vieja que la 4.0.15 de SQL.

Cualquier intruso que tenga credencial para entrar al servidor puede entrar a la base de datos a través de la ejecución de código que cambiara la contraseña por una mas larga que contenga código shell.

Medio Medio Actualizar a la versión 4.0.15 de MySQL o a una mas nueva.




Servidor Intranet

FTP (21/tcp) Existe una falla en la forma que se atienen las solicitudes de MTDTM que le permite al intruso ejecutar código arbitrario en el servidor.






208













netbios-ns(137udp)












ms-sql-sr (1433tcp)

El servicio de SQL esta corriendo en el servidor.

Usuarios no autorizados pueden establecer una conexión con el servicio.

Informativo Informativo Bloque es el servicio para los usuarios externos.

209



Bajo Bajo Filtrar el trafico entrante en el puerto 135. Asi como los puertos 1027, 1029 y 1031, que corresponden a otros servicios.







Bdigital

FTP (21/tcp) Existe una falla en la forma que se atienen las solicitudes de MTDTM que le permite al intruso ejecutar código arbitrario en el servidor.






210

http (puerto 80) El servidor web remoto tiene activada la pagina de bienvenida.

Es probable que este servidor no utilice el servicio.

Bajo Bajo En caso de no utilizar el servicio, deshabilite el servicio

http (puerto 80) El servidor tiene habilitado el servicio WebDAV

El servidor en respuesta de una solicitud maliciosa puede llegar a deshabilitarlo por causa del consumo de CPU.

Medio Medio Deshabilitar el servicio o bien disminuir el impacto. Puede encontrar información en http://support.microsoft.com/default.aspx?kbid=241520.

http (puerto 80) El servidor IIS cuenta con el mapeo de un filtro IDA ISAPI.Existen varias vulnerabilidades debido a este filtro .

Puede llegar a proporcionar al atacante una intrusión al servidor web con un nivel de acceso de sistema.

Medio Medio Para Deshabilitar el filtro con la extensión .IDA: 1. Abrir Internet Services Manager. 2.clic-derecho al servidor Web seleccione Propiedades del menú de contexto. 3.Propiedades Master 4.Seleccione WWW Service -> Editar -> DirectorioHome -> Configuración y elimine la referencia .ida de la lista. También puede descargar e instalar la herramienta URLSCAN que bloquea todas las solicitudes ida.

211

http (puerto 80) IIS 5 tiene soporte para el protocolo de impresión vía Internet (IPP). IPP se implementa como una extensión ISAPI.

Puede causar una sobre carga del buffer.

Bajo Bajo Deshabilitar el protocolo. Para Deshabilitar el filtro con la extensión .printer: 1. Abrir Internet Services Manager. 2.clic-derecho al servidor Web seleccione Propiedades del menú de contexto. 3.Propiedades Master 4.Seleccione WWW Service -> Editar -> DirectorioHome -> Configuración y elimine la referencia .printer de la lista.



Medio Medio Deshabilitar los métodos de depuracion. Si utiliza apache agregué lo siguiente en el archivo de configuración: RewriteEngine on RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK) RewriteRule .* - [F] Si utiliza IIS utilice la herramienta URLSCAN para denegar solicitudes HTTP Trace o permitir solo los métodos que necesita el servidor.



Bajo Bajo Filtrar el tráfico entrante en el puerto 135. Así como los puertos 1027, 1029 y 1031, que corresponden a otros servicios.

netbios-ns(137udp)

Se obtienen todos los nombres netbios del

El atacante puede obtener mas información del

Medio Medio Filtrar el tráfico entrante en el puerto 137.

212

servidor. servidor.
















Bajo Bajo Filtrar el tráfico entrante en el puerto 445.





blackjack (1025/tcp)

Esta corriendo el servicio DCE. El servidor puede ser listado a través de una conexión en el puerto 135 y haciendo las solicitudes apropiadas.


Bajo Bajo Filtrar el tráfico entrante en el puerto 135. Así como los puertos 1025, 1026 y 1028, que corresponden a otros servicios.

213







Documents

Universidad de Colima - digeset.ucol.mxdigeset.ucol.mx/tesis_posgrado/Pdf/Aaron_Clemente_Lacayo_A.pdf · Porque esta tesis corresponde a los estudios realizados con una beca otorgada