CAP

CAP

TULO1.
TULO1.
PRINCIPIOS DE SEGURIDAD
PRINCIPIOS DE SEGURIDAD
Y ALTA DISPONIBILIDAD
Y ALTA DISPONIBILIDAD
Autor: Jes
Autor: Jes

s Costas Santos
s Costas Santos
SEGURIDAD Y ALTA
SEGURIDAD Y ALTA
DISPONIBILIDAD
DISPONIBILIDAD

ndice de contenidos
ndice de contenidos
1.1 INTRODUCCI
1.1 INTRODUCCI

N A LA SEGURIDAD
N A LA SEGURIDAD
INFORM
INFORM

TICA
TICA
1.2 FIABILIDAD, CONFIDENCIALIDAD,
1.2 FIABILIDAD, CONFIDENCIALIDAD,
INTEGRIDAD Y DISPONIBILIDAD
INTEGRIDAD Y DISPONIBILIDAD
1.3 ELEMENTOS VULNERABLES EN EL
1.3 ELEMENTOS VULNERABLES EN EL
SISTEMA INFORM
SISTEMA INFORM

TICO: HARDWARE,
TICO: HARDWARE,
SOFTWARE Y DATOS
SOFTWARE Y DATOS
1.4 AMENAZAS
1.4 AMENAZAS
1.5 PROTECCI
1.5 PROTECCI

N
N
SEGURIDAD Y ALTA
SEGURIDAD Y ALTA
DISPONIBILIDAD
DISPONIBILIDAD
1.1 INTRODUCCI 1.1 INTRODUCCI N A LA SEGURIDAD INFORM N A LA SEGURIDAD INFORM TICA TICA
Hoy en d Hoy en d a un sistema inform a un sistema inform tico totalmente seguro es imposible, la tico totalmente seguro es imposible, la
conectividad global, extiende el campo de posibles amenazas. conectividad global, extiende el campo de posibles amenazas.
La seguridad inform La seguridad inform tica: asegurar que los recursos del tica: asegurar que los recursos del
sistema de informaci sistema de informaci n sean utilizados de la manera que n sean utilizados de la manera que
se decidi se decidi y que el acceso y modificaci y que el acceso y modificaci n a la informaci n a la informaci n, n,
solo sea posible a las personas que se encuentren solo sea posible a las personas que se encuentren
acreditadas y dentro de los l acreditadas y dentro de los l mites de su autorizaci mites de su autorizaci n. n.
SEGURIDAD Y ALTA
SEGURIDAD Y ALTA
DISPONIBILIDAD
DISPONIBILIDAD
1.1 INTRODUCCI 1.1 INTRODUCCI N A LA SEGURIDAD INFORM N A LA SEGURIDAD INFORM TICA TICA
Objetivos
Objetivos
de la seguridad inform
de la seguridad inform

tica:
tica:

Detectar los posibles problemas y amenazas.

Detectar los posibles problemas y amenazas.

Garantizar la adecuada utilizaci

Garantizar la adecuada utilizaci

n de los
n de los
recursos y de las aplicaciones de los sistemas.
recursos y de las aplicaciones de los sistemas.

Limitar las p
Limitar las p

rdidas y conseguir una adecuada

rdidas y conseguir una adecuada
recuperaci
recuperaci

n en caso de un incidente.
n en caso de un incidente.

Cumplir con el marco legal y con los requisitos

Cumplir con el marco legal y con los requisitos
impuestos a nivel organizativo.
impuestos a nivel organizativo.
SEGURIDAD Y ALTA
SEGURIDAD Y ALTA
DISPONIBILIDAD
DISPONIBILIDAD
1.2 FIABILIDAD, CONFIDENCIALIDAD, INTEGRIDAD 1.2 FIABILIDAD, CONFIDENCIALIDAD, INTEGRIDAD
Y DISPONIBILIDAD Y DISPONIBILIDAD
Seguridad absoluta no es posible
Seguridad absoluta no es posible
Seguridad inform
Seguridad inform

tica:
tica:
t
t

cnicas
cnicas
para
para
obtener
obtener
altos niveles de
altos niveles de
seguridad
seguridad

FIABILIDAD.
FIABILIDAD.
Sistema seguro (o fiable), garantizar
Sistema seguro (o fiable), garantizar
CIDAN: Confidencialidad, Integridad y
CIDAN: Confidencialidad, Integridad y
Disponibilidad + Autenticaci
Disponibilidad + Autenticaci

n y No
n y No
Repudio.
Repudio.
SEGURIDAD Y ALTA
SEGURIDAD Y ALTA
DISPONIBILIDAD
DISPONIBILIDAD
1.2 FIABILIDAD, CONFIDENCIALIDAD, INTEGRIDAD Y 1.2 FIABILIDAD, CONFIDENCIALIDAD, INTEGRIDAD Y
DISPONIBILIDAD DISPONIBILIDAD
Confidencialidad
Confidencialidad
: privacidad o
: privacidad o
protecci
protecci

n de informaci
n de informaci

n o
n o
comunicaci
comunicaci

n.
n.
Integridad
Integridad
: comprobar que no ha sido
: comprobar que no ha sido
alterada cierta informaci
alterada cierta informaci

n o
n o
comunicaci
comunicaci

n.
n.
Disponibilidad
Disponibilidad
: capacidad de un
: capacidad de un
servicio, datos o sistema, a ser accesible.
servicio, datos o sistema, a ser accesible.
SEGURIDAD Y ALTA
SEGURIDAD Y ALTA
DISPONIBILIDAD
DISPONIBILIDAD
1.2 CONFIDENCIALIDAD, INTEGRIDAD Y DISPONIBILIDAD 1.2 CONFIDENCIALIDAD, INTEGRIDAD Y DISPONIBILIDAD
Ejemplos Confidencialidad Ejemplos Confidencialidad: :
EFS. Cifrado de archivos en sistema operativo EFS. Cifrado de archivos en sistema operativo
Windows. Windows.
Cifrado asim Cifrado asim trico/sim trico/sim trico en comunicaciones trico en comunicaciones
SEGURIDAD Y ALTA
SEGURIDAD Y ALTA
DISPONIBILIDAD
DISPONIBILIDAD
1.2 CONFIDENCIALIDAD, INTEGRIDAD Y DISPONIBILIDAD 1.2 CONFIDENCIALIDAD, INTEGRIDAD Y DISPONIBILIDAD
Ejemplos de Integridad Ejemplos de Integridad: :
Comprobaci Comprobaci n de integridad, no falsificaci n de integridad, no falsificaci n o n o
modificaci modificaci n, de archivos del sistema ( n, de archivos del sistema (anti anti- -rootkit rootkit). ).
Windows (SFC) Windows (SFC) GNU/Linux ( GNU/Linux (Rootkit Rootkit Hunter Hunter) )
Firma digital y funciones resumen o Firma digital y funciones resumen o hash hash en en
comunicaciones. comunicaciones.
SEGURIDAD Y ALTA
SEGURIDAD Y ALTA
DISPONIBILIDAD
DISPONIBILIDAD
1.2 FIABILIDAD, CONFIDENCIALIDAD, INTEGRIDAD Y 1.2 FIABILIDAD, CONFIDENCIALIDAD, INTEGRIDAD Y
DISPONIBILIDAD DISPONIBILIDAD
Ejemplos de Disponibilidad
Ejemplos de Disponibilidad
:
:
Comprobaci Comprobaci n de disponibilidad de servicios, n de disponibilidad de servicios,
protocolos y aplicaciones inseguras: NMAP, protocolos y aplicaciones inseguras: NMAP,
NESSUS, MBSA, etc. NESSUS, MBSA, etc.
Alta disponibilidad ( Alta disponibilidad (High High Availability Availability): ): aplicaciones aplicaciones
y datos se encuentren operativos para los y datos se encuentren operativos para los
usuarios autorizados en todo momento y sin usuarios autorizados en todo momento y sin
interrupciones interrupciones, , car car cter cr cter cr tico tico. .
M Mantener sistemas funcionando 24 horas, 7 d antener sistemas funcionando 24 horas, 7 d as, as,
365 d 365 d as a salvo de interrupciones. El mayor nivel as a salvo de interrupciones. El mayor nivel
acepta 5 minutos de inactividad al a acepta 5 minutos de inactividad al a o, o,
disponibilidad de 5 nueves: 99,999%. disponibilidad de 5 nueves: 99,999%.
Ejemplo de AD: Centros de procesamiento de datos Ejemplo de AD: Centros de procesamiento de datos
(CPD). (CPD).
SEGURIDAD Y ALTA
SEGURIDAD Y ALTA
DISPONIBILIDAD
DISPONIBILIDAD
1.2 FIABILIDAD, CONFIDENCIALIDAD, INTEGRIDAD Y DISPONIBILIDAD 1.2 FIABILIDAD, CONFIDENCIALIDAD, INTEGRIDAD Y DISPONIBILIDAD
Autenticaci Autenticaci n n: verificaci : verificaci n de la identidad de un n de la identidad de un
usuario, aporta alg usuario, aporta alg n modo que permita verificar que n modo que permita verificar que
es quien dice ser (credencial: usuario o es quien dice ser (credencial: usuario o login login + +
contrase contrase a o a o password password) ). .
No repudio No repudio o o irrenunciabilidad irrenunciabilidad: permite probar la : permite probar la
participaci participaci n de las partes en una comunicaci n de las partes en una comunicaci n. n.
Existen dos posibilidades: Existen dos posibilidades:
No repudio en origen No repudio en origen: el emisor no puede negar el env : el emisor no puede negar el env o. La o. La
prueba la crea el propio emisor y la recibe el destinatario. prueba la crea el propio emisor y la recibe el destinatario.
No repudio en destino No repudio en destino: el receptor no puede negar que : el receptor no puede negar que
recibi recibi el mensaje porque el emisor tiene pruebas de la el mensaje porque el emisor tiene pruebas de la
recepci recepci n. En este caso la prueba irrefutable la crea el receptor n. En este caso la prueba irrefutable la crea el receptor
y la recibe el emisor. y la recibe el emisor.
SEGURIDAD Y ALTA
SEGURIDAD Y ALTA
DISPONIBILIDAD
DISPONIBILIDAD
1.2 FIABILIDAD, CONFIDENCIALIDAD, INTEGRIDAD 1.2 FIABILIDAD, CONFIDENCIALIDAD, INTEGRIDAD
Y DISPONIBILIDAD Y DISPONIBILIDAD
1
1

Disponibilidad de servicio. Sin ese

Disponibilidad de servicio. Sin ese
par
par

metro no se pueden sustentar los

metro no se pueden sustentar los
otros.
otros.
SEGURIDAD Y ALTA
SEGURIDAD Y ALTA
DISPONIBILIDAD
DISPONIBILIDAD
1.3 ELEMENTOS VULNERABLES EN EL SISTEMA INFORM 1.3 ELEMENTOS VULNERABLES EN EL SISTEMA INFORM TICO: TICO:
HARDWARE, SOFTWARE Y DATOS HARDWARE, SOFTWARE Y DATOS
Seguridad
Seguridad


problema integral
problema integral
.
.
Los problemas no aislados
Los problemas no aislados

la seguridad del
la seguridad del
sistema = punto m
sistema = punto m

s d
s d

bil.
bil.
Datos: principal elemento a proteger
Datos: principal elemento a proteger
SEGURIDAD Y ALTA
SEGURIDAD Y ALTA
DISPONIBILIDAD
DISPONIBILIDAD
1.4 AMENAZAS
1.4 AMENAZAS
Personas:
Personas:
Personal de una organizaci Personal de una organizaci n. n.
Hacker Hacker: : White White / / Grey Grey / / Black Black ( (cracker cracker) )
Newbie Newbie / / wanabber wanabber / / script script- -kiddie kiddie / / luser luser. .
F
F

sicas o ambientales:
sicas o ambientales:
Robos, incendio, inundaci Robos, incendio, inundaci n, terremoto, cortes de n, terremoto, cortes de
suministro el suministro el ctrico, interferencias ctrico, interferencias
electromagn electromagn ticas, etc. ticas, etc.
L
L

gicas o de software:
gicas o de software:
Malware Malware (virus, gusano, (virus, gusano, troyano,etc troyano,etc), ), rootkit rootkit, ,
rogueware rogueware, , backdoor backdoor, , sw sw bacteria, canal cubierto, bacteria, canal cubierto,
etc. etc.
SEGURIDAD Y ALTA
SEGURIDAD Y ALTA
DISPONIBILIDAD
DISPONIBILIDAD
1.4 AMENAZAS
1.4 AMENAZAS
T
T

cnicas de ataque:
cnicas de ataque:
Malware Malware
Ingenier Ingenier a social / a social / Scam Scam / / Phishing Phishing
Botnet Botnet
Dos / Dos / DDos DDos
Spam Spam
Sniffing Sniffing
Spoofing Spoofing / / Pharming Pharming
Password Password cracking cracking / / Shoulder Shoulder surfing surfing
SEGURIDAD Y ALTA
SEGURIDAD Y ALTA
DISPONIBILIDAD
DISPONIBILIDAD
1.5 PROTECCI
1.5 PROTECCI

N
N
Auditor
Auditor

a
a
: An
: An

lisis de amenazas y riesgos

lisis de amenazas y riesgos
potenciales
potenciales

Adoptar medidas de seguridad.

Adoptar medidas de seguridad.
Requisitos de
Requisitos de
auditor
auditor

a
a
y sistemas de
y sistemas de
gesti
gesti

n de seguridad
n de seguridad
: est
: est

ndar
ndar
ISO 27001
ISO 27001
.
.
Fases de
Fases de
auditor
auditor

a
a
:
:
Enumeraci Enumeraci n de sistemas operativos, servicios, n de sistemas operativos, servicios,
aplicaciones, topolog aplicaciones, topolog as y protocolos de red. as y protocolos de red.
Detecci Detecci n, comprobaci n, comprobaci n y evaluaci n y evaluaci n de n de
vulnerabilidades. vulnerabilidades.
Medidas espec Medidas espec ficas de correcci ficas de correcci n. n.
Recomendaciones sobre implantaci Recomendaciones sobre implantaci n de medidas n de medidas
preventivas. preventivas.
SEGURIDAD Y ALTA
SEGURIDAD Y ALTA
DISPONIBILIDAD
DISPONIBILIDAD
1.5 PROTECCI
1.5 PROTECCI

N
N
Tipos
Tipos
de
de
auditor
auditor

a
a
:
:

Interna, perimetral,
Interna, perimetral,
test
test
de intrusi
de intrusi

n, de
n, de
c
c

digo de aplicaciones, an
digo de aplicaciones, an

lisis forense.
lisis forense.
Ejemplo pr
Ejemplo pr

cticos:
cticos:
Auditor Auditor a a wireless wireless
Auditor Auditor a a de acceso a sistemas operativos de acceso a sistemas operativos
Auditor Auditor a a de acceso a datos y aplicaciones de acceso a datos y aplicaciones
seguras. seguras.
Auditor Auditor a a de versiones inseguras de de versiones inseguras de
aplicaciones y sistema operativo. aplicaciones y sistema operativo.
SEGURIDAD Y ALTA
SEGURIDAD Y ALTA
DISPONIBILIDAD
DISPONIBILIDAD
1.5 PROTECCI
1.5 PROTECCI

N
N
Medidas de seguridad:
Medidas de seguridad:

Recurso a proteger:
Recurso a proteger:
Seguridad f Seguridad f sica sica
Seguridad l Seguridad l gica gica

Momento de ponerlas en marcha:

Momento de ponerlas en marcha:
Activas o preventivas: Seguridad l Activas o preventivas: Seguridad l gica gica
acceso a sistemas, permisos de usuario, acceso a sistemas, permisos de usuario,
antimalware antimalware, criptograf , criptograf a, etc. a, etc.
Pasivas o correctivas: copias de seguridad, Pasivas o correctivas: copias de seguridad,
sistemas de alimentaci sistemas de alimentaci n ininterrumpida, etc. n ininterrumpida, etc.
SEGURIDAD Y ALTA
SEGURIDAD Y ALTA
DISPONIBILIDAD
DISPONIBILIDAD
DIRECCIONES DE INTER DIRECCIONES DE INTER S S
INTECO INTECO - - Instituto Nacional de Tecnolog Instituto Nacional de Tecnolog as de la Comunicaci as de la Comunicaci n n: :
www.inteco.es www.inteco.es
Blog Blog y repositorio de y repositorio de blogs blogs de seguridad inform de seguridad inform tica de INTECO: tica de INTECO:
http http:// ://www.inteco.es www.inteco.es/ /blog blog/Seguridad/Observatorio/ /Seguridad/Observatorio/BlogSeguridad BlogSeguridad
Hispasec Hispasec Sistemas: Seguridad y Tecnolog Sistemas: Seguridad y Tecnolog as de informaci as de informaci n. Noticias diarias n. Noticias diarias
y res y res menes anuales de noticias de actualidad sobre seguridad inform menes anuales de noticias de actualidad sobre seguridad inform tica: tica:
www.hispasec.com www.hispasec.com
Informes sobre vulnerabilidades en aplicaciones y sistemas opera Informes sobre vulnerabilidades en aplicaciones y sistemas operativos, se tivos, se
puede buscar informaci puede buscar informaci n sobre las versiones de los productos de distintos n sobre las versiones de los productos de distintos
fabricantes, e incluso descargar fabricantes, e incluso descargar exploits exploits de verificaci de verificaci n. n.
www.securityfocus.com www.securityfocus.com. .
Gu Gu a completa de seguridad inform a completa de seguridad inform tica tica
http http:// ://www.rediris.es www.rediris.es/ /cert cert/ /doc doc/ /unixsec unixsec/ /unixsec.html unixsec.html
Web de seguridad inform Web de seguridad inform tica de la empresa de tecnolog tica de la empresa de tecnolog as de informaci as de informaci n n
(IT) IDG. (IT) IDG.
www.idg.es www.idg.es
Blog Blog de seguridad inform de seguridad inform tica de la empresa tica de la empresa Trend Trend Micro con noticias Micro con noticias
actuales: actuales:
http http:// ://blog.trendmicro.es blog.trendmicro.es
SEGURIDAD Y ALTA
SEGURIDAD Y ALTA
DISPONIBILIDAD
DISPONIBILIDAD
DIRECCIONES DE INTER DIRECCIONES DE INTER S S
Portal de ISO 27001 en espa Portal de ISO 27001 en espa ol: ol:
www.iso27000 www.iso27000.es .es
Blog Blog sobre sobre auditor auditor a a y seguridad inform y seguridad inform tica ISO 27001: tica ISO 27001:
http http:// ://sgsi sgsi- -iso27001. iso27001.blogspot.com blogspot.com
Sitio Sitio web web sobre seguridad inform sobre seguridad inform tica de GNU/Linux, de tica de GNU/Linux, de Criptonomic Criptonomic n n, un , un
servicio ofrecido libremente desde el Instituto de F servicio ofrecido libremente desde el Instituto de F sica Aplicada del CSIC: sica Aplicada del CSIC:
http http:// ://www.iec.csic.es www.iec.csic.es/ /CRIPTonOMICon CRIPTonOMICon/ /linux linux/ /
Blog Blog de la empresa de m de la empresa de m xima seguridad S21SEC xima seguridad S21SEC
http http:// ://blog.s21sec blog.s21sec. .com com/ /
Blogs Blogs sobre seguridad inform sobre seguridad inform tica. Para estar a la tica. Para estar a la ltima en novedades sobre ltima en novedades sobre
vulnerabilidades y ataques. vulnerabilidades y ataques.
http http:// ://www.opensecurity.es www.opensecurity.es/ /
http http:// ://www.bloginformatico.com www.bloginformatico.com/etiqueta/seguridad /etiqueta/seguridad- -informatica informatica
Blog Blog de an de an lisis de aplicaciones de seguridad inform lisis de aplicaciones de seguridad inform tica: tica:
http http:// ://lestathijackthis.wordpress.com lestathijackthis.wordpress.com/ /
TESIS completa sobre Seguridad inform TESIS completa sobre Seguridad inform tica. tica.
http http:// ://www.segu www.segu- -info.com.ar info.com.ar/tesis/ /tesis/
SEGURIDAD Y ALTA DISPONIBILIDAD
SEGURIDAD Y ALTA DISPONIBILIDAD
SOFTWARE SOFTWARE
Rootkit Rootkit Hunter Hunter: Analizador de : Analizador de rootkit rootkit para sistemas GNU/Linux: para sistemas GNU/Linux:
www.rootkit.nl www.rootkit.nl/ /
VirusTotal VirusTotal: analizador online de archivos potencialmente : analizador online de archivos potencialmente malware malware: :
www.virustotal.com www.virustotal.com
NESSUS: NESSUS: Aplicaci Aplicaci n que detecta vulnerabilidades tanto para sistemas y aplicacione n que detecta vulnerabilidades tanto para sistemas y aplicaciones de Windows como s de Windows como
GNU/Linux. En su GNU/Linux. En su ltima versi ltima versi n Nessus4, funciona como servidor n Nessus4, funciona como servidor web web. .
www.nessus.org www.nessus.org. .
Microsoft Microsoft Baseline Baseline Security Security Analyzer Analyzer (MBSA) (MBSA): analizador del el estado de seguridad seg : analizador del el estado de seguridad seg n las n las
recomendaciones de seguridad de Microsoft, ofrece orientaci recomendaciones de seguridad de Microsoft, ofrece orientaci n de soluciones espec n de soluciones espec ficas. Sirve para ficas. Sirve para
detectar los detectar los errores m errores m s comunes de configuraci s comunes de configuraci n de seguridad y actualizaciones de seguridad n de seguridad y actualizaciones de seguridad
que falten. que falten.
http http:// ://technet.microsoft.com technet.microsoft.com/es /es- -es es/ /security security/cc184924 /cc184924
NMAP NMAP: programa de c : programa de c digo abierto que sirve para efectuar rastreo de puertos. digo abierto que sirve para efectuar rastreo de puertos.
http://www.insecure.org/nmap/ http://www.insecure.org/nmap/
Microsoft Microsoft Update Update: para ver las : para ver las ltimas actualizaciones del sistema operativo Windows en caso de ltimas actualizaciones del sistema operativo Windows en caso de
tenerlo instalado en nuestro equipo. Podremos hacerlo entrando c tenerlo instalado en nuestro equipo. Podremos hacerlo entrando con Internet Explorer 5 o superior en: on Internet Explorer 5 o superior en:
http http:// ://www.update.microsoft.com www.update.microsoft.com/ /
Comprueba el estado de actualizaci Comprueba el estado de actualizaci n de tus aplicaciones, con un an n de tus aplicaciones, con un an lisis desde la lisis desde la web web de de Secunia Secunia y y
su inspector online: su inspector online:
http http:// ://secunia.com secunia.com/ /vulnerability_scanning vulnerability_scanning/online/? /online/?lang lang=es =es
Analizador del nivel de fortaleza en tus contrase Analizador del nivel de fortaleza en tus contrase as: as:
http http:// ://www.microsoft.com www.microsoft.com/ /latam latam/ /protect protect/ /yourself yourself/ /password password/ /checker.ms checker.ms
px px
SEGURIDAD Y ALTA
SEGURIDAD Y ALTA
DISPONIBILIDAD
DISPONIBILIDAD
DIRECCIONES DE INTER DIRECCIONES DE INTER S S
Mantenerse siempre informado y al
Mantenerse siempre informado y al
d
d

a es la primera y mejor
a es la primera y mejor
recomendaci
recomendaci

n en materia de
n en materia de
seguridad inform
seguridad inform

tica
tica
.
.
Origen y evoluci Origen y evoluci n del n del eFraude eFraude
http http:// ://www.securitybydefault.com www.securitybydefault.com/2010/01/origen /2010/01/origen- -y y- -evolucion evolucion- -del del- -
efraude.html efraude.html
Los peligros m Los peligros m s comunes para los usuarios de Internet los s comunes para los usuarios de Internet los
encontramos en las denominadas redes sociales, ya que son encontramos en las denominadas redes sociales, ya que son
actualmente de las actualmente de las webs webs m m s usadas. Para ello se propone s usadas. Para ello se propone
analizar la siguiente noticia analizar la siguiente noticia Cinco nuevas estafas en Cinco nuevas estafas en Facebook Facebook y y
Twitter Twitter . .
Fuente: Fuente:http http:// ://www.csospain.es www.csospain.es/Cinco /Cinco- -nuevas nuevas- -estafas estafas- -en en- -Facebook Facebook- -y y- -
Twitter Twitter/ /seccion seccion- -alertas/articulo alertas/articulo- -196360 196360