Alejandro sierra munera pontificia universidad javeriana facultad de ingenieria



Descargar 296.24 Kb.
Página3/5
Fecha de conversión11.01.2017
Tamaño296.24 Kb.
1   2   3   4   5

Autenticidad: Una evidencia digital será autentica siempre y cuando se cumplan dos elementos:

  • El primero, demostrar que dicha evidencia ha sido generada y registrada en el lugar de los hechos

  • La segunda, la evidencia digital debe mostrar que los medios originales no han sido modificados, es decir, que la los registros corresponden efectivamente a la realidad y que son un fiel reflejo de la misma.

A diferencia de los medios no digitales, en los digitales se presenta gran volatilidad y alta capacidad de manipulación. Por esta razón es importante aclarar que es indispensable verificar la autenticidad de las pruebas presentadas en medios digitales contrario a los no digitales, en las que aplica que la autenticidad de las pruebas aportadas no será refutada, de acuerdo por lo dispuesto por el artículo 11 de la ley 446 de 1998: “Autenticidad de documentos. En todos los procesos, los documentos privados presentados por las partes para ser incorporados a un expediente judicial con fines probatorios, se reputarán auténticos, sin necesidad de presentación personal ni autenticación. Todo ello sin perjuicio de lo dispuesto en relación con los documentos emanados de terceros” [20].


Para asegurar el cumplimiento de la autenticidad se requiere que una arquitectura exhiba mecanismos que certifiquen la integridad de los archivos y el control de cambios de los mismos.
Confiabilidad: Se dice que los registros de eventos de seguridad son confiables si sus orígenes son “creíbles y verificables” [19]. Para probar la confiabilidad, se debe contar con una arquitectura de computación en correcto funcionamiento, la cual demuestre que los logs que genera tiene una forma confiable de ser identificados, recolectados, almacenados y verificados.
Una prueba digital es confiable si el “sistema que lo produjo no ha sido violado y estaba en correcto funcionamiento al momento de recibir, almacenar o generar la prueba” [18]. La arquitectura de computación del sistema logrará tener un funcionamiento correcto siempre que tenga algún mecanismo de sincronización del registro de las acciones de los usurarios del sistema y que a posea con un registro centralizado e íntegro de los mismos registros.
Suficiencia o completitud de las pruebas: Para que una prueba esté considerada dentro del criterio de la suficiencia debe estar completa. Para asegurar esto es necesario “contar con mecanismos que proporcionen integridad, sincronización y centralización” [19] para lograr tener una vista completa de la situación. Para lograr lo anterior es necesario hacer una verdadera correlación de eventos, la cual puede ser manual o sistematizada.
Apogeo y respeto por las leyes y reglas del poder judicial: Este criterio se refiere a que la evidencia digital debe cumplir con los códigos de procedimientos y disposiciones legales del ordenamiento del país. Es decir, debe respetar y cumplir las normas legales vigentes en el sistema jurídico.


        1. Manipulación de la Evidencia Digital

Es importante tener presente los siguientes requisitos que se deben cumplir en cuanto a la manipulación de la evidencia digital.




  • Hacer uso de medios forenses estériles (para copias de información)




  • Mantener y controlar la integridad del medio original. Esto significa, que a la hora de recolectar la evidencia digital, las acciones realizadas no deben cambiar nunca esta evidencia.




  • Cuando sea necesario que una persona tenga acceso a evidencia digital forense, esa persona debe ser un profesional forense.




  • Las copias de los datos obtenidas, deben estar correctamente marcadas, controladas y preservadas. Y al igual que los resultados de la investigación, deben estar disponibles para su revisión.




  • Siempre que la evidencia digital este en poder de algún individuo, éste será responsable de todas la acciones tomadas con respecto a ella, mientras esté en su poder.




  • Las agencias responsables de llevar el proceso de recolección y análisis de la evidencia digital, serán quienes deben garantizar el cumplimiento de los principios anteriores.




        1. centralización de registros de eventos dentro del ciclo de vida de la evidencia digital.

Al analizar el documento de buenas prácticas en la administración de la evidencia digital, de Jeimmy J. Cano [21], se observa que dentro del ciclo de vida para la administración de la evidencia digital, el cual se comprende de 6 pasos, hay 2 de ellos que se deben tener en cuenta en el transporte de registro eventos. Los cuales son citados a continuación.
Paso 2. Producción de la evidencia.
Este paso esta compuesto de los siguientes objetivos:


  • “que el sistema o tecnología de información produzca los registros electrónicos

  • identificar el autor de los registros electrónicos almacenados

  • identificar la fecha y hora de creación

  • verificar que la aplicación está operando correctamente en el momento de la generación de los registros, bien sea en su creación o modificación.

  • Verificar la completitud de los registros generados”



Paso 3. Recolección de la evidencia.

El paso 3 requiere el cumplimiento de 5 objetivos citados a continuación:




  • “Establecer buenas prácticas y estándares para recolección de evidencia digital

  • Preparar las evidencias para ser utilizadas en la actualidad y en tiempo futuro

  • Mantener y verificar la cadena de custodia

  • Respetar y validar las regulaciones y normativas alrededor de la recolección de la evidencia digital

  • Desarrollar criterios para establecer la relevancia o no de la evidencia recolectada.”




  1. PROTECCIÓN DE INFORMACIÓN Y HERRAMIENTAS DE SEGURIDAD

Es necesario conocer las técnicas existentes para proteger la información y los recursos de una red. Estas técnicas se clasifican en dos tipos: Seguridad Física y Seguridad Lógica.


      1. Seguridad física

La seguridad física es uno de los aspectos más olvidados durante el diseño de un sistema de seguridad informática. Sin embargo, este es un tema de gran importancia y sin él, no tendría sentido la seguridad de la red.
La Seguridad Física se refiere a controlar e implementar mecanismos de seguridad dentro y alrededor del centro de cómputo. También provee mecanismos de seguridad en los medios de acceso remoto al centro. Estos mecanismos son implementados para proteger el hardware y medios de almacenamiento de datos. Este concepto se ajusta también, para el edificio o lugar físico en el que se encuentra la información.
Este tipo de seguridad está enfocado a prevenir las amenazas ocasionadas tanto por el hombre como por la naturaleza, al medio físico en que se encuentra ubicado el centro.
Las principales amenazas que se prevén en la seguridad física son:


  • Desastres naturales, incendios accidentales, tormentas e inundaciones.

  • Amenazas ocasionadas por el hombre.

  • Disturbios, sabotajes internos y externos voluntarios.

Como se mencionó anteriormente, ésta seguridad es de alta importancia y debe siempre ir de la mano con la seguridad lógica.



      1. Seguridad lógica

En las compañías, lo más importante que se tiene es la información, y por lo tanto deben existir técnicas, que complementen a la seguridad física, que la aseguren, lo cual es brindado por la Seguridad Lógica.

 

La seguridad lógica es de los mecanismos más importantes e influyentes de la seguridad informática. Este tipo de seguridad tiene como función la imposición de barreras y procedimientos que protejan el acceso a los datos y sólo se permita acceder a ellos a los usuarios autorizadas para hacerlo.


Los objetivos que plantea la seguridad lógica son:

  • Restringir el acceso a los programas y archivos.

  • Asegurar que no cualquier persona pueda modificar los programas ni los archivos sin ser autorizada.

  • Verificar que la información transmitida se reciba sólo por el destinatario al cual ha sido enviada.

  • Establecer que la información recibida sea la misma que ha sido transmitida.

      1. Protección

La mayoría de los problemas de seguridad son ocasionados por los usuarios de los sistemas y es responsabilidad del administrador detectarlos y encontrar la mejor manera de terminar con ellos.
A continuación se mencionan algunas herramientas o técnicas de protección de información, sin embargo es importante tener en cuenta que ninguna de las técnicas expuestas a continuación representará el 100% de la seguridad deseada, por tanto, será la suma de algunas de ellas las que convertirán un sistema interconectado en confiable.


        1. Criptografía.

Esta técnica de protección es una de las mejores defensas de las comunicaciones. La criptografía es una técnica que permite mantener los datos de un modo privado y protegido, lo cual impide que un intruso logré ver la información real.
El tener la información que se envía por la red cifrada, garantiza que no sea la información original, sino que se encuentra codificada y carente de sentido excepto para el receptor, quien cuenta con los medios precisos para decodificarla.
La criptografía ayuda a proteger la confidencialidad de la información. Su objetivo principal es dificultar el acceso por parte de un individuo no autorizado, a la información, incluso si posee la información cifrada y conoce el algoritmo criptográfico empleado. Generalmente se requiere tiempo y dinero para lograr interpretar la información cifrada.
Algunos de los métodos más usados actualmente para ésta técnica son: criptografía simétrica, criptografía asimétrica y criptografía híbrida (combinación de las dos anteriores). Los métodos anteriores hacen manejo de llaves y funciones matemáticas.


  • Algoritmos simétricos: éste método utiliza la misma clave para cifrar y descifrar la información, lo cual lo hace rápido y fácil de implementar tanto en hardware como en software. Los algoritmos simétricos no proporcionan Autenticación. Un ejemplo de éstos algoritmos, es el algoritmo DES.




  • Algoritmos asimétricos: estos algoritmos utilizan dos claves diferentes (pública y privada) relacionadas entre sí, en donde la información cifrada por la primera de ellas solamente puede ser descifrada por su par y viceversa.

Con algoritmos asimétricos se obtiene confidencialidad y autenticación. Un ejemplo de algoritmos simétricos es RSA.




        1. Autenticación.

La autenticación se refiere al proceso de verificar la identidad de una persona. Éste proceso se puede llevar a cabo por medio de sistemas biométricos (huella digital, retina, etc) smart cards, firmas digitales, passwords, PKI, etc.


        1. Firewalls.

Estas herramientas son unas de las más conocidas al momento de establecer seguridad, y deben ser uno de los sistemas a los que más se debe prestar atención.
Un firewall es un sistema que ejerce políticas de seguridad establecidas. Este sistema puede ser de software ejecutándose en un sistema operativo o en un enrutador, o puede ser hardware. El firewall puede proteger una red confiable de una que no lo es (por ejemplo Internet). Esta herramienta es utilizada para controlar el tráfico entre redes y para examinar los paquetes que llegan o salen de la red en la que se encuentran. Si el firewall encuentra algún elemento extraño en el tráfico de la red, restringe el paso.
Sin embargo, vale la pena nombrar que el firewall no protege ataques como: virus y bombas lógicas, tunelling, ataques físicos, y todo aquello que circule por la red sin pasar por el firewall.

        1. Listas de control de acceso (ACL).

Las ACL, son listas que permiten definir permisos a usuarios y grupos concretos. Por ejemplo, puede definirse sobre un Proxy una lista de todos los usuarios (o grupos de ellos) a quien se le permite el acceso a Internet, FTP, o cualquier otro servicio. También podrán definirse otras características como limitaciones de anchos de banda y horarios.


        1. Sistema de Detección de Intrusos (IDS).

Los IDS son sistemas diseñados para examinar tráfico que viaja por la red con el fin de identificar amenazas y detectar escaneos, pruebas y ataques.
Los objetivos de los detectores de intrusos son:


  • Monitorear el tráfico de la red buscando posibles ataques.

  • Controlar los logs de los servidores para descubrir anomalías (tanto de intrusos como de usuarios autorizados).

  • Mantener almacenado el estado exacto de cada uno de los archivos del sistema para detectar la modificación de los mismos.

  • Controlar el ingreso de cada nuevo archivo al sistema para detectar caballos de troya o ataques semejantes.

  • Controlar el núcleo del Sistema Operativo para detectar posibles infiltraciones en él, con el fin de controlar los recursos y acciones del mismo.

  • Alarmar al administrador de cualquiera de las acciones mencionadas.

Los IDS utilizan dos métodos de detección:




  • Por anomalías: a partir de la caracterización del tráfico y estadísticas del sitio, el IDS busca desviaciones.




  • Por firmas: el IDS busca patrones predefinidos dentro del tráfico.

Aunque los IDS son muy importantes dentro del esquema de seguridad de un sistema, tiene algunos defectos como el hecho de arrojar resultados falsos positivos o falsos negativos.




        1. Antivirus.

El antivirus es un programa creado para prevenir la penetración de los virus en un equipo, evitando su propagación a los diferentes sistemas. Estas herramientas tienen algunos mecanismos de detección, eliminación y reparación de archivos infectados. Los antivirus se encuentran constantemente monitoreando el sistema.


        1. Dispositivos de red.

Estos dispositivos tienen la capacidad de analizar los paquetes y darles la ruta más adecuada dependiendo de su destino. Y aunque no es su función principal, pueden ser configurados para alertar el intento de entrar a redes privadas, así como también tienen la posibilidad de temporizar el login para evitar ataques de fuerza bruta.
Los enrutadores pueden también, hacer control del ancho de banda y evitar de éste modo ataques como denegación de servicios
Los enrutadores o cualquier dispositivo de red, no debe ser considerado, ni siquiera en ambientes pequeños, como el único elemento de seguridad. De hecho, debe ser usado en primera instancia, para cumplir su función con la que fue diseñado.


        1. Sistemas Anti-Sniffers.

Estas herramientas tienen como función detectar Sniffers en el sistema. Por lo general los anti-sniffers se basan en verificar el estado de la tarjeta de red, para detectar si está en modo promiscuo.

      1. Inversión

Los costos de las diferentes herramientas de protección se están haciendo accesibles, en general, incluso para las organizaciones más pequeñas. Esto hace que la implementación de mecanismos de seguridad se dé prácticamente en todos los niveles: empresas grandes, medianas, chicas y usuarios finales. Todos pueden acceder a las herramientas que necesitan y los costos van de acuerdo con el tamaño y potencialidades de la herramienta.


También es importante mencionar que actualmente, en Internet, se encuentran gran cantidad de herramientas de libre distribución.

 


  1. CLASIFICACIÓN Y TIPOS DE ATAQUES INFORMÁTICOS

      1. Vulnerabilidad

Las vulnerabilidades de seguridad, es la posibilidad de que el sistema u organización esté expuesto a una amenaza. Las vulnerabilidades pueden ser aprovechadas por un atacante para acceder a un sistema o una red.
En la actualidad las vulnerabilidades son un punto crítico en la seguridad informática. Sin embargo, vale la pena mencionar, que la gran mayoría de las vulnerabilidades se deben malas configuraciones de las aplicaciones, sistemas operativos y equipos de trabajo, así como a los descuidos de los oficiales de seguridad.


        1. Tipo de vulnerabilidades

A continuación se definirán algunas vulnerabilidades más comunes en los sistemas. Ésta clasificación fue tomada de [25].
Service Deny (DoS): Durante éste ataque, el intruso intenta evitar que un usuario tenga acceso a información o recursos [26]. Sucede cuando el atacante hace uso excesivo del recurso a atacar, evitando de este modo, que el usuario real pueda acceder a este recurso, perjudicando el funcionamiento del sistema.
Buffer Overflow: Este tipo de vulnerabilidad, es causado por un error de programación. Sucede cuando se escribe una cantidad de datos mayor sobre el buffer de la que éste puede almacenar.
Cross-site scripting: Ésta vulnerabilidad consiste en que un intruso redirige a la víctima de un web Server legítimo a una página dañina que contiene HTML malévolo [27].
Commands Inyection: éste error de sistema permite al atacante introducir código dañino por medio del servicio web a otros sistemas a través del protocolo http o mediante scripts.
SQL Injections: Esta vulnerabilidad hace referencia a una técnica de explotar aplicaciones Web que no validan la información suministrada por el cliente, para enviar consultas SQL maliciosas por medio de un campo o parámetro de la aplicación, con el fin de realizar modificaciones sobre la base de datos.
Stack Overflow: Esta vulnerabilidad ocurre cuando el tamaño máximo de la pila del sistema es excedido.
Heap Overflow: El heap es una región de memoria que es inicializada dinámicamente para un programa. Un heap overflow ocurre cuando el contenido del heap es sobrescrito por código arbitrario. Esto sucede por un error de programación, al no poner límites a algún componente del programa.
Integer Overflow: Estos errores suceden debido a la no comprobación y a las malas suposiciones de los programadores en la conversión entre diferentes tipos y operaciones aritméticas.
Path Manipulation: Consiste en la manipulación del path de las aplicaciones, lo cual provee ubicaciones distintas y por tanto recursos distintos a los normalmente utilizados.



      1. Amenazas y ataques

Como consecuencia de las vulnerabilidades en los sistemas se crean las amenazas. Una amenaza es una condición del entorno de la información, que se puede presentar en una persona, máquina, suceso o idea, la cual, dada una oportunidad, podría dar lugar a que se produjese una violación de los principios de la seguridad. Cuando dicha violación de seguridad se produce, se habla de un ataque.


        1. Clasificación de ataques según el principio violado

Las amenazas o ataques se pueden clasificar de la siguiente manera según su modo de acción:
Interrupción: Este tipo de ataque sucede cuando el atacante atenta contra un recurso del sistema dejándolo en un estado no disponible o inoperable, debido a la destrucción del recurso, o de ocasionar el mal funcionamiento del mismo. La interrupción es un ataque contra la disponibilidad. Algunos ejemplos de interrupciones son la destrucción de un recurso de hardware, dañar una línea de comunicación o deshabilitar un servidor de base de datos.


Figura 2. Interrupción [28]



Intercepción: Éste ataque ocurre cuando un intruso consigue acceso no autorizado a un recurso. La intercepción atenta contra la confidencialidad. Debido a que en este ataque no se produce ningún tipo de alteración sobre los recursos, es muy complicado detectarlo. Ejemplos de este ataque son la copia no permitida de información, o la interferencia de una red para observar los datos que viajan por ella.

Figura 3. Intercepción [28]



Modificación: En este ataque, el intruso accede al recurso y lo altera o modifica. Este es un ataque contra la integridad. Es el más peligroso de los ataques, pues puede ocasionar mucho daño. Los ejemplos más comunes de este ataque son: modificación de los datos de un archivo, y alteración de los datos que viajan por la red.

Figura 4. Modificación [28]




Fabricación: Es el ataque en el cual un intruso fabrica información falsa y la inserta en el sistema a atacar. Este es un ataque contra la autenticidad. Ejemplos de este ataque son la inserción de mensajes falsos en una red o añadir registros a un archivo.

Figura 5. Fabricación [28]




        1. Clasificación de ataques según su efecto.

Los ataques se pueden así mismo clasificar de forma útil en términos de ataques pasivos y ataques activos.


  • Ataques pasivos. Estos ataques, el intruso únicamente monitorea o escucha la información que viaja por la red, no la modifica, ni la altera. Con el fin de interceptar datos y analizar el tráfico que viaja por la red para obtener información.

Como se menciono anteriormente, estos ataques son muy difíciles de detectar, ya que no provocan ninguna modificación de los datos. La forma de evitar estos ataques es usando métodos para cifrar la información.




  • Ataques activos. Este tipo de ataque, sucede cuando el intruso realiza alguna modificación de los datos que viajan por la red o cuando se lleva a cabo la creación de un falso flujo de datos.

Estos ataques son los más perjudiciales para el atacado.


 

  1. SINCRONIZACION DE RELOJES DE TIEMPO

NTP (Netowork Time Protocol) es un protocolo de red que provee mecanismos para sincronizar el tiempo en los dispositivos presentes en una red. Este protocolo se ha desarrollado hasta la versión 4, el cual ha sido formalizado en el RFC 1305. Existe también una versión simple del protocolo (SNTP) la cual se encuentra descrita en el RFC 2030. [37]
El tiempo es extremadamente importante en los dispositivos de red. Éste es el único marco de referencia que hay entre ellos. Por este motivo es importante mantener sincronizado el tiempo de la red y poder de así realizar una correlación confiable, teniendo en cuenta los logs generados por los dispositivos. [38]


      1. Arquitectura del sistema

El protocolo NTP fue diseñado para ser usado por un conjunto de clientes y servidores de tiempo. En éste existe un servidor primario (Stratum 1), el cual debe estar conectado a un reloj de referencia de gran precisión y debe contar con el software necesario para manejar NTP. La idea es que este servidor primario transmita la información del tiempo a otros servidores de tiempo (Stratum 2) quienes, a su vez, deben transmitir la información y sincronizar a otros servidores. Todos los participantes de este esquema deben tener el software requerido para la sincronización por NTP.
En NTP, existen dos formas de sincronización. La mencionada anteriormente, en la cual existe un cliente que se sincroniza con un servidor. Este cliente se comporta a su vez como un servidor de otro cliente, y tendrá una numeración de Stratum inmediatamente superior a la de su servidor. En la otra forma, existen dos maquinas que se prestan servicios de sincronización entre sí, es decir, cada máquina se configura para comportarse como cliente o servidor, según el que sea m. En esta configuración los servidores se llaman peers.
La siguiente Figura refleja el esquema jerárquico usado por NTP. Ésta jerarquía puede ser usada hasta 16 niveles.

Figura 6. Esquema jerárquico de NTP. [37]

NTP provee una precisión de tiempo de uno o dos milisegundos en LANs, y hasta 10 milisegundos en WANs.
Este protocolo trabaja enviando mensajes UDP a través del puerto 123


  1. SSH

SSH (The Secure Shell) es un protocolo que permite transportar datos de manera segura. SSH actúa transmitiendo datos sobre TCP/IP, y utiliza mecanismos fuertes de cifrado y autenticación que garantizan la integridad, confidencialidad y autenticación durante la transferencia de los datos. [41]
El cifrado de los datos se realiza de una manera transparente para los usuarios. Cuando los datos van a ser enviados a través de la red, SSH los cifra automáticamente, y al ser recibidos los descifra automáticamente.

      1. Arquitectura de SSH

SSH utiliza una arquitectura cliente/servidor, en la cual una máquina actúa como servidor SSH, el cual debe tener un programa servidor corriendo, y es el encargado de aceptar o denegar conexiones con los diferentes clientes, dependiendo del éxito de la autenticación. Así como, de prestar los servicios propios de SSH.
Las máquinas que actúan como clientes, deben tener configurado e instalado un programa cliente SSH, por el cual se realizan las peticiones al servidor.
El servidor escucha por el puerto 22 esperando para establecer la conexión con el cliente. El servidor puede conectarse con muchos clientes y la comunicación entre cliente/servidor es bidireccional. Tal y como se muestra en la Figura 6.


Figura 7. Esquema de distribución de SSH

Una vez los clientes se conectan al servidor, el servidor acepta la conexión y responde al cliente enviando su versión de identificación. El cliente recibe la identificación del servidor y envía la suya propia. Esto se realiza con el fin de verificar que la conexión se realizo por el puerto correcto, además de declarar la versión del protocolo usado y del software utilizado de cada uno.


Después del intercambio de identificaciones, se pasa a un protocolo binario basado en paquetes, en el cual el servidor envía su llave de host (cada host tiene un llave RSA utilizada para autenticar el host), la llave del servidor, y otra información al cliente. Cuando el cliente la recibe, genera una llave de sesión, la cifra usando ambas llaves de RSA, y envía la llave de sesión cifrada y el tipo de cifrado seleccionado al servidor. El servidor envía un mensaje cifrado de confirmación al cliente. [43]
Luego, el cliente se autentica usando alguno de los métodos de autenticación. Si la autenticación es exitosa, el cliente hace peticiones de preparación para la sesión.


      1. Características de SSH.

SSH tiene algunas características, descritas a continuación, que proveen un nivel de seguridad alto, y protegen la comunicación entre cliente-servidor.


        1. Privacidad.

SSH suministra privacidad de los datos que viajan por la red por medio del cifrado. Éste cifrado se basa en llaves aleatorias que son negociadas seguramente para la sesión y luego destruidas cuando la sesión es finalizada. El protocolo Secure Shell soporta una variedad de algoritmos de cifrado para los datos, incluyendo los siguientes: TSS, RC4, IDEA, DES, y triple-DES (3DES).


        1. Autenticación.

El protocolo SSH contiene dos autenticaciones: el cliente verifica la identificación del servidor SSH y el servidor valida la identidad de los clientes que requieren una conexión.
La autenticación del servidor se realiza para que el cliente esté seguro de que el servidor no es un atacante que quiera realizar acciones no autorizadas.
La autenticación es usualmente realizada con contraseñas, sin embargo éste esquema es una forma débil de autenticación, ya que la contraseña puede ser obtenida por un atacante. Existen otros métodos de autenticación tales como autenticación por rhosts, autenticación por rhosts basado en RSA, y autenticación por RSA. Sin embargo, existen configuraciones en las cuales se agregan otros métodos de autenticación.


        1. Autorización.

Los servidores de SSH tiene varios esquemas para la restricción de las acciones de los clientes: acceso a sesiones interactivas, reenvío de puertos (port forwarding), agente de reenvío de llaves, entre otros. Esto se hace con la intención de no dar privilegios iguales a todos los clientes, sino por el contrario, se restringen de acuerdo a sus funciones.


        1. Integridad

Para asegurar que los datos que llegan al receptor no fueron alterados y son los mismos que envío el emisor, el transporte con SSH revisa la integridad de los datos, por medio del uso de algoritmos hash basados en MD5 y SHA-1.


        1. Túnel (Tunneling)

La creación de un túnel SSH se realiza para encapsular algún servicio basado en TCP (como telnet) en una sesión de SSH. Esto se realiza con el fin de dar la seguridad de SSH a otros protocolos.


      1. Usos comunes de SSH

El protocolo SSH es usado comúnmente para las siguientes actividades:


  • Administrar sistemas de forma segura. SSH fue creado inicialmente para proveer acceso seguro a terminales de servidores Unix sobre redes TCP/IP. Se usa para remplazar las conexiones basadas en telnet y lograr la administración remota a los servidores de forma segura.




  • Transferencia segura de archivos. Esta tecnología se utiliza para remplazar la funcionalidad de FTP y es usada para la transferencia de archivos de forma segura, sobre todo cuando los datos transmitidos contienen información confidencial.




  • Conexiones seguras en aplicaciones. SSH ofrece dos diversos medios de asegurar conexiones de aplicaciones entre los equipos de los usuarios finales y los servidores de la aplicación. Con el uso de línea de comandos, puede ser usado como terminal seguro para remplazar el acceso basado en Telnet de los hosts. Otro medio es usar SSH para hacer un túnel TCP, y redireccionar los puertos de conexión sobre el canal cifrado en ambas direcciones de la comunicación. Así establecer la comunicación a través del túnel, lo que garantiza integridad, confidencialidad y autenticación en la comunicación, aun sin la necesidad de cambiar la funcionalidad de la aplicación ni la interfaz de usuario. Ésta característica hace que SSH sea una solución genérica para asegurar las conexiones.


  1. DESARROLLO DEL PROYECTO

El desarrollo de éste proyecto está orientado a la definición de una guía metodológica para la gestión centralizada de registros de eventos de seguridad de red, para que pueda ser utilizada en organizaciones de pequeña y mediana escala. Para lograr lo anterior, el proyecto fue desarrollado en cinco etapas consecutivas.


La etapa inicial busca la apropiación del conocimiento asociado a la gestión de seguridad, registros de eventos y computación forense. Esta etapa se desarrollo por medio de la investigación en fuentes bibliográficas e indagación con personas más cercanas a los conceptos de interés. Ésta etapa se ve reflejada en el capítulo 2 de éste documento.
Una vez, obtenido el conocimiento propio del tema a desarrollar, la etapa siguiente es realizar el análisis y definición de requerimientos para la gestión centralizada de registros eventos de seguridad. La definición de los requerimientos se realiza con base en un análisis de las características de una red típica de una pyme. y en los conceptos de correlación y evidencia digital obtenidos en la etapa inicial.
Luego de la etapa de levantamiento de requerimientos, se ejecuta la definición de una infraestructura de software y hardware para la gestión centralizada de registros de eventos de seguridad que soporte los requerimientos definidos anteriormente. La definición de dicha infraestructura se realiza por medio del diseño de un sistema de centralización que debe cumplir con los requerimientos definidos, y de la definición de herramientas que soporten dicho diseño.
A continuación, se procede a definir una guía metodológica para la implantación de la infraestructura definida. Ésta etapa se desarrolla estructurando el diseño del sistema de centralización que se definió anteriormente. Para esto se definen una serie de actividades y métodos que debe realizar el usuario final con el fin de lograr la centralización de los registros de eventos de seguridad.
Finalmente, la etapa a realizar es validar la guía metodológica mediante la definición e implementación de un caso de prueba que se ajuste a las características de la red de una pyme. Esta etapa de validación se realiza mediante el seguimiento paso a paso de la guía metodológica y observando los resultados obtenidos.
Este capítulo abarca las etapas 2, 3 y 4 del desarrollo del proyecto. La etapa de validación de la guía metodológica se encuentra comprendido en el capitulo 4 “Validación de la guía Metodológica” de este documento


  1. RED TIPICA DE UNA PYME.

La definición de una red típica de una pyme se planeo realizar por medio del levantamiento de información en entidades públicas o privadas, cuyo objetivo fuese el estudio y apoyo a las pymes. Sin embargo, al realizar esta actividad, se encontró que no existen grandes estudios a nivel tecnológico de la pequeña y mediana empresa, la cual nos pudiera revelar información apropiada para la definición de las características de una pyme.
De este modo, se planeo en segunda medida realizar un estudio con una muestra significativa de pequeñas y medianas empresas, para lograr así obtener la información deseada. Al ejecutar esta acción, se encontró que no es sencillo obtener información en cuanto al manejo de la seguridad informática y de la red de pymes donde no se tiene una relación de confianza previa, por lo que el levantamiento de información no tuvo éxito.
Finalmente, se decidió buscar la información de las características de una red típica de una pyme por medio del tamaño definido para estas legalmente, obteniendo así un número aproximado de usuarios. Seguidamente, se buscó información en los proveedores de tecnología para pymes, de esta manera se consiguió obtener la información deseada y se pudo realizar un esquema genérico de una red típica de una red.

      1. Tamaño de una Pyme

Según la ley LEY 905 DE 2004 que reforma la LEY 590 DE 2000 se define el tamaño las microempresas, pequeñas empresas y medianas empresas de la siguiente manera:

“ARTÍCULO 2o. El artículo 2o de la Ley 590 de 2000 quedará así:

 

Artículo 2o. Definiciones. Para todos los efectos, se entiende por micro incluidas las Famiempresas pequeña y mediana empresa, toda unidad de explotación económica, realizada por persona natural o jurídica, en actividades empresariales, agropecuarias, industriales, comerciales o de servicios rurales o urbanos, que responda a dos (2) de los siguientes parámetros:



 

1. Mediana empresa:

 

a) Planta de personal entre cincuenta y uno (51) y doscientos (200) trabajadores, o



 

b) Activos totales por valor entre cinco mil uno (5.001) a treinta mil (30.000) salarios mínimos mensuales legales vigentes.

 

2. Pequeña empresa:



 

a) Planta de personal entre once (11) y cincuenta (50) trabaja-dores, o

 

b) Activos totales por valor entre quinientos uno (501) y menos de cinco mil (5.000) salarios mínimos mensuales legales vigentes o,


3. Microempresa:

 

a) Planta de personal no superior a los diez (10) trabajadores o,



 

b) Activos totales excluida la vivienda por valor inferior a quinientos (500) salarios mínimos mensuales legales vigentes o, …”


Para efectos de la definición del tamaño de una red el factor que interesa es el número de trabajadores, por lo cual se puede deducir que siendo una Pyme una empresa pequeña o mediana, el número de trabajadores podría oscilar entre 11 y 200 trabajadores.


      1. Características de una red típica de una PyME

        1. Red típica SMB Microsoft®

En [29] definen una red típica SMB con productos Microsoft® de la siguiente manera.

Figura 8.Red Típica de una pyme definida por Microsoft. [29]


En esta red se identifican los servidores típicos así como los equipos típicos tanto de usuarios como de red y seguridad que se enuncian a continuación:
1   2   3   4   5


La base de datos está protegida por derechos de autor ©bazica.org 2016
enviar mensaje

    Página principal