seguridad informática

Introducción general a la Seguridad Informática

Seguridad Informática

En este post veremos a manera general los elementos más comunes y vitales en la Seguridad Informática de una organización. Esto, debido a que es una rama de las Tecnologías de Información y Comunicaciones (TIC) casi inconmensurable por la gran cantidad de elementos técnicos y personales que le intervienen. Además de que su constante evolución exige que el profesional esté en constante educación.

 

Ser un experto en este campo, es un estilo de vida, se vive para este cuento. Además de tener pasión por absorber conocimientos, el experto de esta rama siempre está en busca de soluciones a problemas que otros no tendrían actitud para enfrentarlos. Como en todas las ramas de los sistemas, el experto debe estar en constante aprendizaje, actualización y reeducación.

Diferencia entre Ciberseguridad y Seguridad Informática, aquí

En palabras concisas, la seguridad informática es un cuerpo de procedimientos enfocados a garantizar la Disponibilidad, Confidencialidad, Integridad, Autenticidad y no repudio de la información. Estos cuatro conceptos integran los atributos de la información en los sistemas informáticos.

 

¿Y qué es la información? Es un conjunto estructurado de datos procesados, que compone un mensaje sobre algo o alguien. En una empresa se considera un bien o activo intangible.

 

Amenazas de la información en las TIC


Cada uno de los cuatro atributos tiene su respectiva amenaza; Interrupción, Interceptación, Modificación y Generación.

Interrupción: Evento que impide el funcionamiento o procesamiento de la información.

Interceptación: Acceso no autorizado al sistema y a su información.

Modificación: Alteración de la información sin intención o delictivamente.

Generación: Es la producción clandestina de nuevos elementos en el sistema, suplantando la identidad o elemento de un sistema. Por ejemplo, agregar usuarios a una base de datos o agregar transacciones no autorizadas.

En cualquier lugar las personas solemos producir, transmitir y recibir información (conversaciones, documentos, bases de datos). En las organizaciones la información casi siempre es sensible y se presenta en grandes volúmenes. Ahí es donde las Tecnologías de la Información y las Comunicaciones nos apoyan dinamizándola a través de recursos tecnológicos. Estos procedimientos la almacenan, la transmiten y la recibe por distintos medios y dispositivos. De manera que citarémos los recursos más generales que dinamizan el flujo de la información:

  • Electrónica
  • Programación de software
  • Administración de dispositivos activos
  • Administración de sistemas operativos
  • Gestión de usuarios
  • Administración de antivirus
  • Administración de firewalls (físicos y de aplicación)
  • Seguridad de sitios Web y Correo
  • Administrar sistemas de criptografía
  • Administrar sistemas de detección de intrusos
  • Backups
  • Administrar escáneres de vulnerabilidades
  • PenTesting
  • Administrar sistemas de monitoreo
  • Administración de la seguridad WIFI
  • Ofuscación
  • VPN
  • Control de Acceso
  • CCTV
  • Normas técnicas de cableado
  • PSI

La lista es larga y su contenido es extenso, sin embargo, vamos a resumirlo a modo de acercamiento:

 

Electrónica en la Seguridad Informática


Siendo esta disciplina una rama de las TIC, no es fundamental tener un buen conocimiento de la electrónica, pero es recomendable adquirirlo para virtud del experto. Seguramente le servirá para consolidar un criterio holístico sobre la implementación de soluciones afines a la seguridad. Por ejemplo, a la hora de adquirir un swicth PoE, el experto necesitará saber la potencia de operación que soportará el funcionamiento de los dispositivos conectados. Así podría evitar caídas e inconvenientes con la operación de la red. De este modo, tendrá un punto a favor para garantizar la Disponibilidad del sistema de información. Es más, un buen hacker puede poseer perfectamente cierto dominio sobre la electrónica.

 

Disciplinarse en electrónica nos aporta criterios para la toma de decisiones relacionadas con las protecciones electrónicas. Por ejemplo, en zonas de alta actividad atmosférica, es prioridad instalarle a la red de datos protecciones DPS como medida cautelar ante los relámpagos.

seguridad informática

Protección DPS para redes de datos a velocidades 10/100/1000 y soporte PoE, marca CITEL.

Ampliar más sobre protecciones DPS, aquí

El cambio de una fuente de poder también requiere algo de electrónica, para ser acertado en su reemplazo. Suponga que reemplazamos una fuente defectuosa por otra nueva de menos potencia. El usuario continúa su trabajo en el sistema y la fuente nueva, falla, provocando una corrupción en los archivos o en la base de datos que trabajaba. Es decir, afectando la Integridad de la información.

 

Verificación visual del estado de los componentes electrónicos


Ahora, podemos destapar un servidor y quizá encontrar que tiene algunos condensadores soplados. En esos casos no lo pensemos dos veces. Debemos emprender un acción preventiva para mitigar ese riesgo, así garantizamos la Disponibilidad y la Integridad del sistema y su información.

seguridad informática

A la izquierda condensadores en buen estado. La parte superior se ve plana y limpia. A la derecha condensadores soplados. La parte superior se ve levantada y manchada.

Aliándonos con la electrónica podemos implementar un sencillo monitoreo de temperatura, o data logger de temperatura. Las normas técnicas recomiendan tener un ambiente controlado en el centro de datos. De manera que podemos materializar este control con una placa de Arduino interconectada a una base de datos MySQL.

seguridad informatica

Data logger de temperatura con Arduino, PHP y MySQL

Vea cómo Construir un Sensor de Temperatura con Arduino

Programación de software


Este punto es indefectible. Tener la habilidad de programar software nos permitirá desarrollar soluciones de seguridad específicas para nuestra red. Sin dejar de mencionar, que nos permitirá interpretar código de fallas o de algún componente en la red de datos. Más aún si tenemos alguna solución basada en software libre que requiera ser adaptada a nuestro perfil informático.

 

Administración de dispositivos de activos


Para aplicar las medidas de gestión, prevención y defensa más comunes en estos dispositivos, debemos tener dominio en su gestión técnica. Es necesario tener conocimientos en gestión de dispositivos de fabricantes como D-Link, Allied Telesis y Cisco. Estos son algunos de los más populares.

 

Administración de sistemas operativos (Desktop y Servers)


Fundamental, es la parte que más interactúa directamente con los usuarios. Establezca unas políticas para el endurecimiento de la gestión de contraseñas. Por ejemplo, un atacante puede capturar el hash de una contraseña enviada a través de la red, y tener un par de semanas para descifrarla y así obtener acceso a un sistema.

Las políticas deben incluir lineamientos sobre el tratamiento de la información y del sistema. Eso mitigará los riesgos del mal manejo que el usuario le pueda dar a la información y al sistema. Por ejemplo, un nivel de acceso estándar o restringido dentro del Microsoft Windows evita que el usuario esculque las configuraciones en busca de la contraseña del WiFi y puede garantizar años de buen funcionamiento sin formatear.

 

Administración de antivirus


Lo mejor es un antivirus corporativo, de administración centralizada en consola, tal como el antivirus Kaspersky. Es una solución contra virus muy completa y agrega más capas de seguridad para controlar acceso a memorias USB, escanear automáticamente medios de almacenamientos masivos, así como proteger con contraseña de acceso al antivirus, además de controlar el acceso a la red con NAC, entre otras funciones.

También puede hacer control de navegación, para controlar la navegación en Internet.  Más información de ésta función en este link https://support.kaspersky.com/sp/11971

 

Administración de firewalls


Un firewall es un dispositivo que protege una red de intrusos provenientes generalmente de Internet. La implementación y gestión de estos dispositivos exige un dominio de los conceptos más generales de los elementos del modelo OSI, en especial del protocolo TCP/IP. Entonces, un firewall basa su funcionamiento en el analisis de señales (paquetes) que recibe, y así decide aceptar aceptar o rechazar las conexiones, según unas reglas establecidas.

Bien sea un firewall PIX, ASA (Cisco), Fortigate (Fortinet), CheckPoint, IPTABLES (Linux) o los nuevos Next Generation, su funcionamiento fundamentalmente se basa en el análisis del protocolo TCP/IP.

Si usted tiene un Firewall con Linux, puede adicionarle más herramientas para convertirlo en un potente UTM. Por ejemplo, podemos dotarlo con un control de navegación con el paquete Squid Proxy, además de soporte de Redes Privadas Virtuales con OpenVPN, como también de un antivirus perimetral con SquidClamav y un IDS.

El paquete Squid Proxy tiene un módulo opcional llamado Delay pools para segmentar la velocidad del canal de Internet. Así, podemos definir una velocidad de descarga de ficheros según criterios evaluados y establecidos. De esta forma, protegemos el canal de alguna saturación producida por el ocio o por virus informáticos.

Vea Configuración de un Servidor Proxy, aquí

Seguridad Informática en las redes WiFi


Con la conectividad WiFi se gana comodidad en la administración de la red, pues requiere poco cableado. Sin embargo, su administración lógica se torna compleja, debido a que las radiación electromagnética no conoce de límites físicos, geográficos o políticos y su cobertura puede ser interceptada por algún inescrupuloso o malintencionado.

Las medidas de prevención y defensa en esta tecnología comprende lo que son ACLs, contraseñas de cifrado, hasta la distribución y monitoreo de sus canales. En qué consiste esto último, pues que el experto debe estar monitoreando los canales de su red WiFi para evitar que sean interceptadas, o solapadas, por otras redes WiFi ajenas a su red. Por ejemplo, un vecino puede colocar cerca de nuestra red su router WiFi, y en el mismo canal, tumbándonos así la conexión de la red inalámbrica, afectando así la Disponibilidad del sistema de información.

 

Jammers y Deauth Attacks


Cuando la situación anterior se vuelve mal intencionada, es decir, que interfieren deliberadamente con la señal electromagnética de la red WiFi y los protocolos de conexión, se le conoce como Jamming WiFi y Deauth attacks, respectivamente.

La interferencia electromagnética deliberada generalmente se lleva a cabo con un jammer. En cambio, el Deauth Attack lo ejecuta un dispositivo que envía paquetes “deauth” para desconectar los clientes del router WiFi. En sí los paquetes “deauth” no son malos, pues hacen parte de la operación normal de un router WiFi o Acces Point para controlar las conexiones que le llegan. Por ejemplo, cuando un cliente escribe mal la contraseña del WiFi, el router lo desconecta con el paquete “deauth”. El router también le puede enviar el paquete “deauth” cuando ha llegado a límite máximo de conexiones. 

Es bueno contar con herramientas que monitoreen la porción del espectro electromagnético en la que opera el WiFi. Dichas herramientas son un Analizador de espectro y un analizador de WiFi.

seguridad informática

Un analizador WiFi es una app que solo monitorea los canales de una red WLAN

seguridad informática

Un Analizador de espectro es un dispositivo más completo y preciso. Rastrea todas las frecuencias del espectro

Administrar sistemas de criptografía


Siempre es bueno tener a la mano herramientas de criptografía, tales como VeraCrypt, PGP o GPG. Su uso nos permitirá asegurar la información almacenada o enviada a través de Internet, ocultándola de personas o destinatarios indebidos. Éste método también garantiza el no repudio de los datos y la no suplantación.

Si usamos estas herramientas en procesadores que soporten aceleración de hardware, o Advanced Encryption Standard (AES), el proceso de cifrado será de 4 a 8 veces más rápido.

 

Administrar sistemas de detección de intrusos


Así como el firewall es el guardián del portal que nos comunica con Internet, un sistema de detección de intrusos (IDS) es como el circuito cerrado de televisión. La función de un IDS es la vigilar lo que sucede dentro de nuestra red, o lo que está a espaldas del firewall.

Soluciones como Snort y Suricata, así como Kismet dan resultados 100% confiables.

 

Administrar escáneres de vulnerabilidades


Un servicio de escaneo de vulnerabilidades analiza la red de una organización, externa o internamente, en busca de huecos de seguridad. El servicio simula el “olfato” de un hacker mal intencionado, que buscaría la explotación de algún recurso. La solución OpenVas es un paquete de herramientas especializadas en el escaneo de vulnerabilidades informáticas. Cuando se agota el alcance de éste método, se acude al Fuzzing para hurgar más profundo en busca de alguna vulnerabilidad.

Finalmente el objetivo de éste método es entregar un informe sobre el estado del blindaje de la red. Además de recomendaciones y acciones correctivas.

 

Pen Testing


Se trata de un ambiente de pruebas en el que se aplican ataques informáticos a un sistema. Esto es con el objetivo de detectar vulnerabilidades y poner a prueba su resistencia en una situación real de ataque. Este tipo de práctica es legal siempre con previo consentimiento de nuestros clientes. Los vectores de ataque más simulados son:

 

  • DoS (Denial of Service): Este ataque colapsa la TCB del protocolo de transporte. Algunos scripts usados para este cometido son Low Orbit Ion Cannon y Hight Orbit Ion Cannon.
  • Desbordamiento de búfer (buffer overflow)
  • Pruebas de contraseñas
  • Metaesploits
  • Ataques de fuerza bruta (Jhon the Ripper)
  • Cracking WIFI
  • SQL injecton
  • Xss
  • Port flooding (scripts como Yersinia o Macof llevan a cabo este cometido)
  • DHCP spoof
  • Test de intrusión
  • OSSTMM
  • Kali Linux (antes BackTrack, distribución GNU/Linux especializada en Pen Testing)
seguridad informática

Interfaz del Low Orbit Ion Cannon

Administrar sistemas de monitoreo


Tener un sistema o interfaz de monitoreo debe estar presente en la gestión de la prevención informática. Eso nos ayudará a estar al tanto de lo que ocurre en la red y en los servidores. Sin estas herramientas, estaríamos casi ciegos con lo que ocurre en el tráfico de paquetes.

Vea como Monitorear Tráfico del canal de Internet con GNU/Linux

 

Segunda Parte >

 

Comparte esto en
Publicado en Seguridad Informática.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *