MODULO 3

[ACTIVIDAD 1] Responsabilidades

Identificar las responsabilidades del responsable de la seguridad informática.

·         Monitorear la red
·         Bloquear puertos no deseados
·         Denegar servicios a gente externa a la empresa
·         Encriptar la información que se intercambia
·         Mantener estable la red
·         Mantenimiento a la red

[ACTIVIDAD 2] Metodología

Identifica una metodología para el análisis de riesgo
Identificar los riesgos en el ITSJR en cuanto a:
  • -       Control de acceso interno
  • -       Control de acceso externo
  • -       Administración de site
  • -       Administración de la red
  • -       Administración de los sistemas


Metodología BAA

1) Beneficio para el atacante. Aquellos datos personales que representen mayor beneficio tienen más probabilidad de ser atacados (por ejemplo, beneficio económico por venderlos o usarlos).

2) Accesibilidad para el atacante. Aquellos datos personales que sean de fácil acceso tienen mayor probabilidad de ser atacados (por ejemplo, miles de personas pueden acceder a la vez a una base de datos a través de un sitio web, pero sólo unas cuantas lo podrían hacer a un archivero).

3) Anonimidad del atacante. Aquellos datos personales cuyo acceso represente mayor anonimidad tienen más probabilidad de ser atacados (por ejemplo, internet es un medio más anónimo que presentarse físicamente a las instalaciones de una empresa).

El objetivo de la metodología es realizar una clasificación de los datos personales en función de las variables anteriores, a fin de ponderar el riesgo e identificar la información que por orden de prioridad requiera tener más protección.

[ACTIVIDAD 3] Virus

Clasifica los tipos de virus que hoy en día son una amenaza para los activos informáticos.

Virus de Boot: Uno de los primeros tipos de virus conocido, el virus de boot infecta la partición de inicialización del sistema operativo. El virus se activa cuando la computadora es encendida y el sistema operativo se carga.

Time Bomb o Bomba de Tiempo: Los virus del tipo "bomba de tiempo" son programados para que se activen en determinados momentos, definido por su creador. Una vez infectado un determinado sistema, el virus solamente se activará y causará algún tipo de daño el día o el instante previamente definido. Algunos virus se hicieron famosos, como el "Viernes 13" y el "Michelangelo".

Troyanos o caballos de Troya: Ciertos virus traen en su interior un código aparte, que le permite a una persona acceder a la computadora infectada o recolectar datos y enviarlos por Internet a un desconocido, sin que el usuario se dé cuenta de esto. Estos códigos son denominados Troyanos o caballos de Troya.

Hijackers: Los hijackers son programas o scripts que "secuestran" navegadores de Internet, principalmente el Internet Explorer. Cuando eso pasa, el hijacker altera la página inicial del navegador e impide al usuario cambiarla, muestra publicidad en pop-ups o ventanas nuevas, instala barras de herramientas en el navegador y pueden impedir el acceso a determinadas webs (como webs de software antivírus, por ejemplo).

Keylogger: El KeyLogger es una de las especies de virus existentes, el significado de los términos en inglés que más se adapta al contexto sería: Capturador de teclas. Luego que son ejecutados, normalmente los keyloggers quedan escondidos en el sistema operativo, de manera que la víctima no tiene como saber que está siendo monitorizada.

[ACTIVIDAD 4] Protección

Identifica cinco actividades que permitan la protección de una red corporativa incluyendo sus activos de la información.

-       Bloquear puertos y controlar los accesos
-       Utilización de firewall
-       Seguridad perimetral para controlar la seguridad física
-       Uso de antivirus
-       ACL’s
-       Control de descargas

[ACTIVIDAD 5] Plan de Contingencia

Consultar planes de contingencia

Plan de contingencia del Hospital Vitarte

Objetivo: Un Plan de Contingencia y Seguridad de la Información permite prever los riesgos a los que estará sometido el sistema de información que se va a implementar. El objetivo es doble: Por un lado, tomar las medidas necesarias para minimizar la probabilidad de que dichos riesgos se conviertan en una realidad y, por otra parte, si esto ocurriera, posibilitar que el sistema pueda responder sin que ello suponga un grave impacto para su integridad. Este presente Plan de Contingencia y Seguridad, involucra a toda la entidad directa o indirectamente. De este modo, es válido en cuanto se produce con la aprobación de todas las partes implicadas, con la total asunción de responsabilidad que a cada una pudiera corresponderle.

Apartados del Plan:

Análisis de Riesgos
Plan de Respaldo
Plan de Recuperación
Plan de Mantenimiento
Plan de Entrenamiento

Personal involucrado:
Responsables de la elaboración del Plan:
-Lic. Elizabeth Agui Reynoso
-Ing. Giovanni Huacho Aliaga
Responsable de Ejecución: Ing. Giovanni Huacho Aliaga

Periodo de vida del plan: El plan se va adecuando durante en un periodo indefinido.

[ACTIVIDAD 6] IDS: NIDS y HIDS

Lista 5 herramientas de software IDS para equipo y 5 para red, pueden ser libres y comerciales, y resaltando sus características que las hacen diferentes.

Nessus: Es la herramienta de evaluación de seguridad "Open Source" de mayor renombre.
Nessus es un escáner de seguridad remoto para Linux, BSD, Solaris y Otros Unix. Está basado en plug-in(s), tiene una interfaz basada en GTK, y realiza más de 1200 pruebas de seguridad remotas. Permite generar reportes en HTML, XML, LaTeX, y texto ASCII; también sugiere soluciones para los problemas de seguridad.

Ethereal: Oliendo el pegamento que mantiene a Internet unida.
Ethereal es un analizador de protocolos de red para Unix y Windows, y es libre {free}. Nos permite examinar datos de una red viva o de un archivo de captura en algún disco. Se puede examinar interactivamente la información capturada, viendo información de detalles y sumarios por cada paquete. Ethereal tiene varias características poderosas, incluyendo un completo lenguaje para filtrar lo que querramos ver y la habilidad de mostrar el flujo reconstruído de una sesión de TCP. Incluye una versión basada en texto llamada tethereal.

Snort: Un sistema de detección de intrusiones (IDS) libre para las masas.
Snort es una sistema de detección de intrusiones de red de poco peso (para el sistema), capaz de realizar análisis de tráfico en tiempo real y registro de paquetes en redes con IP. Puede realizar análisis de protocolos, búsqueda/identificación de contenido y puede ser utilizado para detectar una gran varidad de ataques y pruebas, como por ej. buffer overflows, escaneos indetectables de puertos {"stealth port scans"}, ataques a CGI, pruebas de SMB {"SMB Probes"}, intentos de reconocimientos de sistema operativos {"OS fingerprinting"} y mucho más. Snort utilizar un lenguaje flexible basado en reglas para describir el tráfico que debería recolectar o dejar pasar, y un motor de detección modular. Mucha gente también sugirió que la Consola de Análisis para Bases de Datos de Intrusiones (Analysis Console for Intrusion Databases, ACID) sea utilizada con Snort.

Netcat: La navaja multiuso para redes.
Una utilidad simple para Unix que lee y escribe datos a través de conexiones de red usando los protocolos TCP o UDP. Está diseñada para ser una utilidad del tipo "back-end" confiable que pueda ser usada directamente o fácilmente manejada por otros programas y scripts. Al mismo tiempo, es una herramienta rica en características, útil para depurar {debug} y explorar, ya que puede crear casi cualquier tipo de conexión que podamos necesitar y tiene muchas habilidades incluidas


Nagios: Nagios es considerado como uno de los más populares, si no el más popular sistema de monitorización de red de código abierto disponible. Fue diseñado originalmente para ejecutarse en Linux, pero otras variantes de Unix son soportadas también. Nagios proporciona supervisión de los servicios de red (SMTP, POP3, HTTP, NNTP, ICMP, SNMP, FTP, SSH) y recursos de host (carga del procesador, uso de disco, los registros del sistema), entre otros.

[ACTIVIDAD 7] Tipos de Código Malicioso

Lee detenidamente dos artículos de internet y lista al menos 5 tipos de código malicioso y resalta la contramedida.

CIH (alias Chernobyl)
CIH es el más antiguo de los códigos maliciosos de esta lista; se descubrió por primera vez en 1998. Este virus causó tantos daños entre las víctimas que salió en las noticias año tras año. Para propagarse, CIH se ocultaba en espacios “vacíos” de archivos no maliciosos, lo que dificultaba mucho su desinfección, ya que el tamaño de dichos espacios varía mucho, por lo que el código del virus se dividía de distintas maneras y se hacía muy difícil asegurarse de que las rutinas de desinfección eliminaban hasta los últimos rastros de los archivos. Esto significaba en muchos casos el reemplazo manual de los archivos ejecutables dañados.

ExploreZip
ExploreZip también es un virus bastante antiguo; se descubrió por primera vez en 1999. Se remonta a los días en que las personas empezaban a usar el término “amenaza combinada” para describir la táctica cada vez más popular de los gusanos para propagarse  mediante una variedad de mecanismos diferentes. Éste código malicioso se propagaba de dos formas: al responder correos electrónicos no leídos con una copia de sí mismo y al buscar archivos compartidos en red donde se pudiera copiar en forma silenciosa.

CryptoLocker
CryptoLocker es la amenaza más nueva de la lista; se descubrió por primera vez hace unos meses y también provoca cambios en los archivos de los usuarios afectados. Este malware es del tipo ransomware, es decir que está diseñado para secuestrar la información del usuario y pedir a cambio de la misma una suma de dinero en un período de tiempo antes de destruir la información.

Mebromi
Mebromi fue descubierto en 2011, similar al CIH en que también actualiza el BIOS para almacenar parte de su código. Pone parte de su código disperso en el disco duro, lo que significa que queda fuera del alcance de los mecanismos normales de desinfección. Muchas veces es necesario trabajar sobre la motherboard para lograr la desinfección, lo cual no es una tarea sencilla.

ZMist
Este código malicioso es de la familia de los virus polimórficos: cambian la apariencia de su código entre una infección y otra para mostrarse distintos, y de esa forma tratar de engañar a las soluciones de seguridad. La ventaja es que el código utilizado para cambiar de forma es estático, lo cual puede ser utilizado como forma de identificar el virus. ZMist, descubierto en 2002, se denominó virus “metamórfico” porque llevó esta idea a un nivel incluso más complicado.

[ACTIVIDAD 8] NMAP Evaluación

Realiza una evaluación al sitio oficial al nmap y resuelve el siguiente cuestionario

¿Para qué es este sitio?
Es una herramienta de código abierto para exploración de red y auditoria de seguridad

¿Qué ofrece el sitio?
Determina que equipos se encuentran disponibles en una red, qué servicios ofrecen, qué SO ejecutan, etc.

¿Quiénes pueden utilizar este sitio?
Administradores de redes

Menciona algunos tipos de pruebas que ofrece nmap
-       Control de tiempo y rendimiento
-       Descubriendo sistemas
-       Detección de SO

Menciona algún tipo de análisis  que se puede realizar con nmap
-       Escaneo de puertos


No hay comentarios:

Publicar un comentario

Suscribirse a: Entradas (Atom)