UNIVERSIDAD NACIONAL DE

SAN ANTONIO ABAD DEL CUSCO

FACULTAD DE CIENCIAS QUÍMICAS, FÍSICAS Y MATEMÁTICAS

CARRERA PROFESIONAL DE INGENIERÍA INFORMÁTICA Y DE SISTEMAS

PRIMER LABORATORIO DE

ADMINISTRACION DE CENTROS DE COMPUTO

DOCENTE:Ing. MANUEL AURELIO PEÑALOZA FIGUEROA

PRESENTADO POR:

MERCADO LEON, JOHANN 110598

CUSCO – PERÚ2015

1. OBJETIVOS:1.1. Introducir al alumno en la identificación de amenazas y vulnerabilidades comunesencontradas en una infraestructura típica de TI.1.2. Introducir al alumno en el alineamiento de amenazas y vulnerabilidades a 1 de los 7dominios de una infraestructura de TI típica.1.3. Que el alumno gane conocimiento acerca de la gestión del riesgo.

2. BASE TEORICA COMPLEMENTARIA:GESTIÓN DEL RIESGO:La Gestión del Riesgo es importante para el éxito de cada compañía.— Una compañía que no toma riesgos no prospera.— Por otra parte, una compañía que ignora los riesgos puede caer cuando una amenazaconcreta es "explotada".— Hoy en día, las TI contribuyen al éxito de la mayor parte de las compañías, si no semaneja apropiadamente los riesgos de TI, ellos pueden contribuir también al fracasode la compañía.La gestión efectiva del riesgo comienza con el entendimiento de las amenazas y lasvulnerabilidades.— Se amplía este conocimiento mediante la identificación de los modos de mitigar losriesgos.— Los riesgos pueden ser mitigados con la reducción de las vulnerabilidades o con lareducción del impacto del riesgo.— Se puede crear diferentes planes para mitigar los riesgos en diferentes áreas de lacompañía.Riesgo es la posibilidad que una pérdida, daño, o perjuicio ocurrirá.— Las pérdidas, daños, o perjuicios ocurren cuando una amenaza pone al descubiertouna vulnerabilidad.— Las organizaciones de todos los tamaños enfrentan riesgos.— Algunos riesgos son tan severos que ocasionan que un negocio falle.— Otros riesgos son menores y pueden ser aceptados sin otra reflexión.

Identificando Amenazas:Una amenaza es cualquier circunstancia o evento con el potencial de causar un daño.La Identificación de Amenazas es el proceso de crear una lista de amenazas.— Esta lista intenta identificar todas las posibles amenazas a una organización.— La lista puede ser amplia.Las amenazas son con frecuencia son consideradas en las siguientes categorías:— Externo o Interno• Las amenazas externas están fuera del límite de la organización.• Las amenazas internas están dentro del límite de la organización.

— Natural o hecho por el hombre— Intencional o accidental

Cuando se ahonda en el riesgo y la gestión del riesgo, se dará cuenta que hay mucho porconsiderar. Afortunadamente, hay varios métodos y técnicas usadas para descomponerlos tópicos en "trozos" más pequeños.

Un exploit es el acto de explotar una vulnerabilidad.— Se hace esto mediante la ejecución de un comando o programa contra un sistema deTI para tomar ventaja de una debilidad.— El resultado es un compromiso al sistema, a una aplicación, o a los datos.— Se puede también pensar de un exploit como un ataque ejecutado mediante código.

LOS 7 DOMINIOS DE UNA INFRAESTRUCTURA DE TI TIPICA:Dominio del Usuario:Incluye a las personas.— Pueden ser los usuarios, empleados, contratistas, o consultores.El personal puede no entender el valor de la seguridad, y la seguridad puede ser pasadapor alto.Los usuarios pueden visitar sitios Web riesgosos, y descargar y ejecutar softwareinfectado.— Pueden sin saberlo traer virus desde la casa vía USB's.Exploits comunes contra usuarios están relacionados a la ingeniería social.…Dominio de la PC/ET (Estación de Trabajo):La PC/ET es la computadora del usuario final.— La PC/ET es susceptible a software malicioso, también conocido como malware.— La PC/ET es vulnerable si no es mantenida a la fecha con parches recientes.Puede también incluir las computadoras móviles o laptops.Bugs y vulnerabilidades constantemente están siendo descubiertas en los SO's yaplicaciones.— Algunos de los bug son inofensivos. Otros representan riesgos significativos.Las computadoras que no son parchadas pueden ser explotadas. Si no tienen softwareantivirus puede infectarse.Dos cosas comunes a chequear en las PC's/ET's son las actualizaciones y softwareantivirus.…Dominio LAN:Es el área que está del lado interno del firewall.— Puede ser unos pocos sistemas conectados en conjunto en una pequeña redempresarial.— Puede también ser una red grande con miles de computadoras.Los dispositivos de red tales como hubs, switches, y routers son usados para conectar los

sistemas en conjunto en una LAN.— La LAN interna es generalmente considerada una zona de confianza.

Como un ejemplo, ataques "sniffing" ocurren cuando un atacante usa un analizador deprotocolos para capturar paquetes de datos.La mayor parte de las organizaciones protegen los dispositivos de red en salas deservidores o armarios/gabinetes de cableado.Cualquier dato en la red que no está asegurada con controles de acceso apropiados esvulnerable.— Passwords débiles puede ser crackeados.— Permisos que no son asignados apropiadamente permiten acceso no-autorizado.…Dominio LAN-WAN:Conecta la LAN (red de área local) a la WAN (red de área amplia).— El Dominio LAN es considerado una zona de confianza puesto que está controladopor la compañía.— El Dominio WAN es considerado una zona de no-confianza porque no está controladapor la compañía y es accesible por los atacantes.Los dispositivos principales que están relacionados con este dominio son los firewalls.— Permiten crear una tercera zona llamada DMZ (zona desmilitarizada).Los firewalls en el Dominio LAN-WAN son firewalls en hardware.— Se los puede programar para permitir o bloquear tráfico específico.Entre la zona de confianza y la zona de no-confianza hay 1 ó más firewalls, esta "zona" esllamada "el límite".El lado público de este límite es conectado con frecuencia al Internet y tiene direccionesIP públicas.— Las direcciones IP públicas son accesibles desde cualquier parte en el mundo.Si los usuarios son permitidos visitar sitios web malicioso, ellos pueden por equivocacióndescargar software malicioso.— Los firewalls con puertos innecesarios abiertos puede permitir el acceso a la redinterna desde el Internet.Es el límite entre el Internet público y la red privada de organización.— Atacantes intentarán descubrir huecos de seguridad en el firewall y explotarlos.— …Dominio WAN:Para muchos negocios, la WAN es el Internet, sin embargo, un negocio puede tambiénalquilar líneas de comunicación semiprivadas hacia el Internet.— Estas líneas son semiprivadas porque ellos son raramente alquilados y usados porsola una única compañía. En vez de eso, ellas son compartidas con otras compañíasdesconocidas.— Las líneas semiprivadas no son tan fácilmente accesibles como el Internet. Sinembargo, una compañía raramente conoce con quien está compartiendo las líneas.

Incluye cualquier servidor que tiene acceso directo al Internet.— Esto incluye cualquier servidor que tiene una dirección IP pública.

— También incluye cualquier servidor de frente al lado público en la DMZ.Cualquier servidor de frente al lado público es susceptible de ataques DoS y DDoS.Los servicios WAN pueden incluir acceso de Internet dedicado y servicios administradospara los routers y firewalls de los clientes.Este dominio incluye cualquier servidor de frente al Internet.— Exploits comunes contra estos sistemas son ataques de desbordamiento de buffer.— …Dominio del Acceso Remoto:El acceso remoto es usado para otorgar a los trabajadores "móviles" acceso a la LANprivada.— El acceso remoto puede ser otorgado vía conexiones mediante llamada telefónicadirecta o usando una conexión VPN (Red Privada Virtual)Cuando:— La conexión mediante llamada telefónica es usada (dial-up), los clientes y servidorestienen módems y acceso a las líneas telefónicas.— Una VPN es usada, el servidor VPN tiene una dirección IP pública disponible en elInternet. Los clientes acceden al Internet, y entonces usan protocolos de "tunneling"para acceder al servidor VPN.Una VPN provee acceso a una red privada a través de una red pública.— La red pública usada por los VPN's es más comúnmente el Internet.— Los atacantes pueden accesar conexiones no protegidas.— Los atacantes también pueden intentar entrar sin autorización en los servidores deacceso remoto.Usuarios remotos pueden estar infectados con virus pero no lo saben.— Cuando los usuarios se conectan a la red interna vía el acceso remoto, los viruspueden infectar la red.Este dominio incluye servidores de acceso remoto mediante llamada telefónica yservidores VPN.— Exploits comunes intentan abrirse paso a través del proceso de autenticación yautorización para acceder a la red interna.— …Dominio Sistema/Aplicación:Se refiere a los servidores que alojan las aplicaciones servidor.— Los servidores de correo (reciben y envían e-mails).— Los servidores de bases de datos (alojan bases de datos que son accedidos porusuarios, aplicaciones, u otros servidores).— Los servidores DNS (mapean nombres a direcciones IP).— Los servidores Web.

— Los servidores DHCP.— …

Se debería siempre proteger los servidores usando "buenas prácticas":— Remover servicios y protocolos no necesitados.— Cambiar los passwords por defecto.— Regularmente o automáticamente parchar y actualizar los sistemas servidor.Los servidores de bases de datos puede estar sujetos a ataques de inyección SQL.— En un ataque de inyección SQL, el atacante puede leer la base de datos entera.— Los ataques de inyección SQL también pueden modificar datos en la BD.Mantiene todos los sistemas de misión-crítica, aplicaciones, y datos.— Los usuarios autorizados pueden tener acceso a muchos componentes en estedominio.— El acceso seguro puede requerir chequeos de segundo-nivel.Es donde los datos de la organización están.Exploits en este dominio son dependientes del sistema o de la aplicación.— Servidores de bases de datos tienen exploits específicos tales como ataques deinyección SQL.— Servidores Web no-parchados comúnmente son vulnerables a ataques dedesbordamiento del buffer.— Servidores de e-mail son vulnerables a spam infectado con malware,— …

3. RECURSOS:3.1. Ninguno.

4. DESARROLLO DE LA PRACTICA:Este laboratorio es un ejercicio de apareamiento. Se alineará el riesgo, amenaza, ovulnerabilidad con 1 de los 7 dominios de una infraestructura de TI típica para el caso quehaya un impacto de riesgo o factor de riesgo a considerar.Escenario:Los siguientes riesgos, amenazas, o vulnerabilidades fueron encontrados en lainfraestructura de TI de una Institución de Asistencia Médica (que da servicio a pacientesde alto riesgo).Dada la lista, seleccionar cuál de los 7 dominios de una infraestructura de TI típica esprimariamente impactada por el riesgo, amenaza, o vulnerabilidad.

Riesgo – Amenaza – Vulnerabilidad Dominio Privado Impactado / Involucrado

1.- Acceso no autorizado desde el Internet Publico. Dominio WAN2.- Usuario destruye datos en la aplicación y borra todos los archivos. Dominio de Usuario3.- Hacker penetra la infraestructura de TI y gana acceso a la red interna. Dominio de Acceso

Remoto4.- Fuego destruye DataCenter primario /principal. Gestion de Riesgo5.- Cortes de los circuitos de comunicación. Domini LAN-WAN6.- SO de la ET/PC tiene una vulnerabilidad de software conocida. Dominio de la ET/PC7.- Acceso no autorizado a ET’s /PC’s de propiedad de la organización. Dominio del Usuario8.- Perdida de los datos de producción. Dominio Sistema

/Aplicación.9.- Ataque de Denegacion de Servicio (DoS) sobre el servidor e-mal de la organización.

Dominio WAN

10. Comunicaciones remotas desde el despacho (del hogar) Dominio WAN11. SO del servidor LAN tiene un vulnerabilidad de software conocida Dominio LAN12. Usuario descarga un archivo adjunto de un e-mail desconocido Dominio Usuario13. Navegador de ET/PC tiene vulnerabilidad de software Dominio de la ET/PC14. Proveedor de Servicio tiene un corte de red mayor Dominio LAN-

WAN(Verificar)15. Filtros de tráfico débiles de ingreso/egreso degrada el rendimiento Dominio LAN-WAN16. Usuario inserta CDs y discos duros USB con fotos, música, y vípersonales en computadoras de propiedad de la organización

Dominio ET/PC

17. Túneles VPN entre computador remoto y router de ingreso/egreso Dominio de Acceso Remoto

18. Puntos de acceso WLAN son necesarios para la conectividad LANdentro de un almacén

Dominio LAN

19. Necesidad de prevenir usuarios "rogue"/ficticios) de obtener accesono autorizado a la WLAN

Dominio LAN

4.1. (4.5 puntos) Uno de los primeros pasos más importantes para la gestión del riesgo eimplementación de una estrategia de mitigación del riesgo es identificar riesgos,amenazas, y vulnerabilidades conocidas y organizarlos. El propósito de los 7 dominiosde una infraestructura de TI típica es ayudar a organizar los roles, lasresponsabilidades, y las responsabilidades laborales para la gestión del riesgo y lamitigación del riesgo.Ese laboratorio requiere que los alumnos identifiquen riesgos, amenazas, yvulnerabilidades y los mapeen al dominio que estos impacten desde una perspectivade gestión del riesgo.Dado el escenario de la Institución de Asistencia Médica, responder las siguientespreguntas de evaluación desde una perspectiva de gestión del riesgo:4.1.1. Las organizaciones de Atención de la Salud están obligados a cumplir con losrequerimientos de privacidad dispuesta por los entes reguladores respectivos,los cuales requieren que una organización tenga controles de seguridadapropiados para manejar la privacidad de los datos de la información médicapersonal. Esto incluye controles de seguridad para la infraestructura de TI quemaneja la privacidad de los datos. ¿Cuál de los riesgos, amenazas, ovulnerabilidades listados puede violar estos requerimientos de privacidad?Nota: (indicar el más congruente)

Usuario destruye datos en la aplicación y borra todos los archivos. Fuego destruye data center primario/principal. Cortes de los circuitos de comunicación.

4.1.2. De los 3 riesgos, amenazas, y/o vulnerabilidades identificadas para el DominioSistemas/Aplicaciones, ¿Cuál requiere un plan de recuperación de desastres yplan de continuidad del negocio para mantener las operaciones continuasdurante un corte catastrófico?

Fuego destruye data center primario/principal.

4.1.3. ¿Cuál dominio representa el más grande riesgo e incertidumbre para unaorganización?

Dominio de Sistema/Aplicación

4.1.4. ¿Cuál dominio requiere controles de acceso estrictos y encriptación paraconectividad a recursos corporativos desde el hogar?

Dominio WAN.

4.1.5. ¿Cuál dominio requiere capacitación anual de concientización sobre seguridady comprobaciones de los antecedentes de los empleados para puestossensibles para ayudar a mitigar el riesgo de sabotaje por parte de losempleados?

Dominio Usuario

4.1.6. ¿Cuáles dominios necesitan evaluaciones de vulnerabilidad del software paramitigar riesgo a partir de vulnerabilidades de software?

Dominio de la PC/ET.

4.1.7. ¿Cuál dominio requiere AUP's (Políticas de Uso Aceptables) para minimizarinnecesario tráfico de Internet iniciado por el Usuario y pueda ser monitoreadoy controlado por filtros de contenido web?

LAN – WAN.

4.1.8. ¿En cuáles dominios se implementa filtros de contenido web?

LAN – WAN, Dominio de Acceso Remoto.

4.1.9. Si se implementa una WLAN (LAN inalámbrica) para soportar conectividad paralaptops en el dominio ET's/PC's, ¿Dentro de que dominio cae la WLAN?

LAN.

5. (6 puntos) CUESTIONARIO:

5.1 Una compañía decide reducir las pérdidas, daños, o perjuicios de una amenaza con lacompra de seguros. Esto es conocido como ______________ del riesgo.a. evitaciónb. transferenciac. disminuciónd. aceptación

5.2 Una amenaza es cualquier actividad que representa un daño posible, con el potencialde afectar la confidencialidad, la integridad, y/o la disponibilidad.a. Verdaderob. Falso

5.3 ¿Cuáles son algunas fuentes de las amenazas internas?a. Empleados descontentosb. Fallas de los equiposc. Fallas del softwared. La pérdida de datose. Ninguna de las anteriores

5.4 Se desea identificar si alguna de las vulnerabilidades descubiertas puede serexplotada. ¿Qué se debería realizar?a. Una auditoríab. Un test de las transacciones y de las aplicacionesc. Un test de funcionalidadd. Una evaluación del exploit

5.5 Ud. está explicando los fundamentos de la seguridad a la administración superior enun intento para obtener un incremento en el presupuesto para la red informática.Uno de los miembros del equipo de gestión menciona que ellos han oído de unaamenaza de un virus que intenta auto enmascararse con ocultar su código delsoftware antivirus. ¿A qué tipo de virus se está refiriendo?a. Virus armored (blindados)b. Virus polimórficosc. Gusanosd. Macro viruse. Ninguno de los anteriores

5.6 Cuando un hueco de seguridad es encontrado en cualquier software, y los atacantescomienzan a explotarlo hasta el mismo día que es descubierto por el desarrolladordel software, ¿Cómo qué tipo de ataque es conocido?a. Polimórficob. Xmasc. Miembro/Socio maliciosod. Día-cero (Zero-day)

6. BIBLIOGRAFIA:– GIBSON, Darril Managing Risk in Information Systems Jones & Bartlett Learning, 2011.