Integridad

La integridad se define como: ¨Garantía de la exactitud de la información frente a la alteración, pérdida o destrucción, ya sea de forma accidental o fraudulenta¨, y se refiere a la fidelidad de la información que debe mantenerse entre el emisor y el receptor. La transmisión de datos de un punto a otro o de un punto a multipuntos, implica que habrá un momento en el cual la información ha de estar viajando por un medio ya sea guiado o no guiado, durante ese trayecto puede ser alterada por una persona no autorizada. Este problema potencialmente peligroso puede ser corregido con un servicio de integridad que garantice que la información recibida sea una fiel copia de la información enviada.
• Archivos
Los archivos de papel son por lo general más fáciles de proteger en su integridad que un archivo digital, es decir que un archivo digital puede ser modificado por cualquiera que tenga acceso a él.
Existen varias maneras de proteger los archivos en papel de una modificación:
• Paginas firmadas.
• Un sello.
• Almacenar la información en un libro.
• Distribuir copias del archivo.
Estos mecanismos de integridad se emplean para impedir la modificación no autorizada o para evitar la degradación de la misma, otra de las maneras para evitar la modificación de la información en papel es restringir a un grupo pequeño el acceso a la misma.

En los archivos electrónicos la modificación es mucho más fácil y mucho menos perceptible, ya que cuándo un archivo es guardado, la nueva información toma su lugar. La principal forma de proteger los archivos es el control de acceso a los archivos, sin embargo este no está configurado para denegar completamente el acceso, si no para que aunque permita la lectura del archivo, no permita hacerle modificaciones.
Una de las seguridades a implementarse para evitar la pérdida de integridad de un archivo electrónico, es un mecanismo conocido como firma digital (Método de autentificación y validación mediante la encriptación).

Los permisos de acceso a archivos funcionan bien si se los implementa dentro de un sistema o de una LAN.

• Intercepción durante la transmisión.

Es casi imposible evitar una modificación de la información mal intencionada durante la transmisión, ya que los medios de transmisión por lo general son públicos, la intercepción mediante sniffers puede ser una amenaza potencial, una buena implementación de un sistema de encriptación puede ser la solución a esta amenaza.
• Ataques que pueden ser evitados

Un ataque de modificación puede no tener éxito si el servicio de integridad está funcionando adecuadamente, una correcta implementación de un sistema de autenticación e identificación y un sistema de integridad pueden impedir la modificación no autorizada. La firma digital es un mecanismo válido para evitar una modificación.

Definición de riesgos
Riesgo se puede definir como aquella eventualidad que imposibilita el cumplimiento de un objetivo, de manera cuantitativa el riesgo es una medida de las posibilidades de incumplimiento o exceso del objetivo planteado; así definido, un riesgo conlleva dos tipos de consecuencias: ganancias o pérdidas.
En lo relacionado con tecnología, generalmente el riesgo se plantea solamente como amenaza, determinando el grado de exposición a la ocurrencia de una pérdida (por ejemplo el riesgo de perder datos debido a rotura de disco, virus informáticos, etc.).
La Organización Internacional por la Normalización (ISO) define riesgo tecnológico (Guías para la gestión de la seguridad de TI /TEC TR 13335-1, 1996) como:
“La probabilidad de que una amenaza se materialice, utilizando vulnerabilidades existentes de un activo o un grupo de activos, generándole perdidas o daños”.
Administración y análisis de riesgos
Como herramienta de diagnóstico para poder establecer la exposición real a los riesgos por parte de una organización se recurre a lo que se llama Análisis de Riesgos. Este análisis tiene como objetivos identificar los riesgos (mediante la identificación de sus elementos) y lograr establecer el riesgo total (o exposición bruta al riesgo) y luego el riesgo residual, tanto sea en términos cuantitativos o cualitativos.
Cuando se refiere al riesgo total, se trata de la combinación de los elementos que lo conforman.
Comúnmente se calcula el valor del impacto promedio por la probabilidad de ocurrencia para cada amenaza y activo.
De esta manera tendremos, para cada combinación válida de activos y amenazas:

RT (riesgo total) = probabilidad x impacto promedio

Por ejemplo, si la probabilidad de incendios en el año es de 0.0001 y el impacto promedio en términos monetarios de los activos amenazados por un incendio es $600.000, la exposición al riesgo anual es de 60. A este cálculo se debe agregar el efecto de medidas mitigantes de las amenazas, generándose el riesgo residual. El riesgo residual es el riesgo remanente (que queda de algo) luego de la aplicación de medidas destinadas a minimizar los riesgos existentes.
El ciclo de administración de riesgo se cierra (luego de efectuar las tareas referentes al análisis) con la determinación de las acciones a seguir respecto a los riesgos residuales identificados.
Estas acciones pueden ser:

Controlar el riesgo: Se fortalecen los controles existentes o se agregan nuevos.
Eliminar el riesgo: Se elimina el activo relacionado y por ende el riesgo.
Compartir el riesgo: Mediante acuerdos contractuales se traspasa parte del riesgo. (o su totalidad) a un tercero (un ejemplo son los seguros).
Aceptar el riesgo: Determinar que el nivel de exposición es adecuado.
La opción elegida deberá ser adecuadamente fundamentada y autorizada por el nivel jerárquico correspondiente sobre la base del riesgo asociado.

Proceso de administración del riesgo
El proceso de administración de riesgos es un proceso continuo, dado que es necesario evaluar periódicamente si los riesgos identificados y la exposición a los mismos calculada en etapas anteriores se mantienen vigentes. La dinámica en la cual se ven inmersa las organizaciones actualmente demanda este esfuerzo día a día. Es por eso que ante cada nuevo emprendimiento se realice en tempranas etapas (sería recomendable luego de fijar los objetivos) un análisis de riesgo del referido proyecto así como su impacto futuro en la estructura de riesgos de la organización.
Controles
Los procedimientos efectuados para lograr asegurar el cumplimiento de los objetivos son definidos como controles.
El ayudar al cumplimiento de las metas indica claramente que estos procedimientos tienen un efecto directo mitigante sobre los riesgos existentes.
Como se describió anteriormente estas acciones mitigantes logran actuar sobre el riesgo total reduciendo la exposición al mismo a una medida menor (riesgo residual).
Por lo establecido anteriormente existe una relación biunívoca entre riesgo y control, es por ello que se intenta cuantificar el riesgo al calcular el Riesgo Total (RT). El valor resultante indica cual debería ser el costo asociado al control que actúa sobre ese riesgo para ser eficiente.
Para ilustrar mejor se vuelve al ejemplo anterior en el cual el RT calculado para un activo referente a la amenaza: incendio, es de $60, por lo tanto los costos anuales asociados al control que debo implantar no deben ser muy superiores a esa cifra, dado que si lo fueran estaría gastando más en la realidad que lo que eventualmente podría perder.
Los distintos procedimientos de controles pueden ser agrupados (sobre la base de los objetivos primarios que quieren satisfacer) en tres categorías, aquellos integrantes del sistemas de control interno, aquellos referidos a brindar seguridad y aquellos destinados a brindar calidad de las operaciones.
Estas categorías no son excluyentes, o sea existen procedimientos que se repetirán dentro de las tres categorías.
Como se estableció anteriormente la agrupación se realiza sobre la base de objetivos de alto nivel que se quieren satisfacer, o sea estos procedimientos buscan que la información que procesan cuenten con cierta característica independientemente del objetivo específico por el cual fue creado (que como se estableció lo determinan los riesgos existentes).
De esta manera se establece para cada grupo los objetivos a cumplir. Esta definición no es arbitraria sino que se basa en los marcos de referencia más recibidos, a saber COSO6, ISO, SAC, etc.

• Control Interno: Este busca asegurar eficiencia y eficacia de las operaciones, cumplimiento de leyes, normas y regulaciones, y confiabilidad de la información (básicamente aquella publicable).

• Seguridad: Busca asegurar la disponibilidad, confidencialidad e integridad de las operaciones.

• La gestión de calidad: Busca asegurar la adecuada calidad, entrega y costo de las operaciones.
El adecuado cumplimiento de los objetivos anteriormente detallados permitirá alcanzar una razonable seguridad en el cumplimiento de los objetivos planteados para los diversos procedimientos de TI.
Los controles aplicables a los procesos vinculados a los procesos de TI se establecen en dos capas.
La primera llamada de controles generales, contiene aquellos controles aplicables a los procesos que afectan a todo el procesamiento de información.
Y la segunda llamada de controles de aplicación, que contiene los controles contenidos en las diferentes aplicativos que soportan determinados procesos del negocio y por ende procesan solamente determinado tipo de información.
Los controles generales se dividen en controles de acceso al sistema, estructura organizacional adecuada, mantenimiento de la continuidad del procesamiento y controles sobre cambios no autorizados.
Mientras que los controles de aplicación se dividen en controles de acceso a los aplicativos, controles de ingreso de datos a los aplicativos, controles de procesamiento de los aplicativos y controles sobre rechazos de los mismos.
La relación existente entre estos dos grupos de controles puede establecerse como piramidal, donde los controles generales son la base y los controles de aplicación se distribuyen sobre esta base hasta el vértice superior de esta pirámide virtual.
De lo anterior podemos concluir que una inadecuada estructura de controles generales no puede ser mitigada por una adecuada estructura de controles de aplicación.

Diego Alexander Sanmartin
Miguel Angel Masache Ojeda

ATAQUES DE DENEGACIÓN DE SERVICIOS

• (DoS, Denial-of-Service) son ataques que niegan el uso de los recursos a los usuarios legítimos del sistema, de la información o de la capacidades.

• Provoca la pérdida de la conectividad de la red por el consumo del AB de la red de la víctima.

• Se genera mediante la saturación de los puertos con flujo de información, haciendo que el servidor se sobrecargue. Utilizan el protocolo TCP/IP.

Métodos de Ataques

Ataque de la inundación

El atacante envía más tráfico que la víctima podía manejar. Esto requiere que el atacante tiene una conexión de red más rápida que la víctima.

Ataque SYN

El atacante inunda el objetivo con mensajes SYN falsa para aparentar ser inalcanzable de las direcciones de Internet

1-Cliente ——-SYN—–>  2 Servidor

4-Cliente <—–SYN/ACK—- 3 Servidor

5-Cliente ——-ACK——> 6 Servidor

Ataque LAND (LAND attack)

Se realiza al enviar un paquete TCP/SYN falsificado con la dirección del servidor objetivo como si fuera la dirección origen y la dirección destino a la vez.

Inundación ICMP (ICMP floods)

Consiste en enviar de forma continua un número elevado de paquetes ICMP echo request (ping) de tamaño considerable a la víctima, de forma que esta ha de responder con paquetes ICMP echo reply (pong).

Smurf

El atacante dirige paquetes ICMP echo request a una dirección IP de broadcast.

ATAQUES DE REFUTACIÓN

Es un ataque en contra de la responsabilidad de la información o proporcionando información falsa en una transacción o evento ocurridos.

• Simulación: Actuar como, o hacerse pasar, por alguien más o por algún otro sistema. Denegación de un evento: negar que la acción se haya realizado como fue registrada

• Denegación de un evento: negar que la acción se haya realizado como fue registrada.

POR: Tuesman Castillo

Jaime Romero

Introducción:

Un principio fundamental de seguridad es la disponibilidad. Es la propiedad que requiere que los recursos de un sistema abierto sean accesibles y utilizables cuando se realice una petición de una entidad autorizada. También permite que los sistemas de comunicaciones transmitan información entre ubicaciones o sistemas de cómputo.

Algunas medidas tomadas son el uso de respaldos, recuperación de fallas, recuperación de desastres y acciones para evitar ataques.

En si la disponibilidad es garantizar el correcto funcionamiento de los sistemas de información.

El servicio de disponibilidad mantiene la utilidad de la información. Esta permite a los usuarios tener acceso a  los sistemas de cómputo, a la información en los sistemas  y a las aplicaciones que realizan operaciones sobre la información. También permite que los sistemas de comunicaciones  transmitan información entre ubicaciones o sistemas de cómputo. A menudo se piensa que la información y las capacidades  a las que nos referimos cuando hablamos  de disponibilidad  sean todas electrónicas. Sin embargo, la disponibilidad de los archivos de información en papel también puede ser protegida.

Respaldos:

Los respaldos son la forma más simple de disponibilidad. El concepto es tener una segunda copia de la información importante almacenada en una ubicación segura. Los respaldos pueden ser archivos en papel cuando son documentos importantes o pueden ser electrónicos como por ejemplo cintas de respaldo de computadora. Los respaldos evitan la perdida completa de la información en el caso de una destrucción accidental o malintencionada de los archivos.

Las ubicaciones seguras para los respaldos pueden estar en el mismo sitio, en un recinto o contorno  a prueba de incendios o bien en un sitio remoto con medidas de seguridad física.

Mientras que los respaldos mantienen la disponibilidad de la información, no necesariamente mantienen la disponibilidad de manera oportuna. Esto significa que los respaldos pueden tener que ser recuperados desde una ubicación remota, transportados hasta las instalaciones de la organización, y cargados en el sistema apropiado en un tiempo requerido por cada aplicación o sistema.

Nota:Incluso cuando existen respaldos, todavía es posible que los archivos queden eliminados por un acto accidental o malintencionado. Si el acto destructivo ocurrió hace mucho tiempo, es posible que la cinta con el archivo ya no exista. Es importante incluir un mecanismo de detección para identificar los archivos importantes que estén perdidos dentro de una cantidad razonable de tiempo. Recuperación de fallas:

Conocido como Fail-over. Esta mantiene la reconstitución de la información o de una capacidad. A diferencia de los respaldos; los sistemas configurados con recuperación de falas pueden detectar los fallos y restablecer una capacidad  ya sea de procesamiento, acceso a la información  o comunicaciones, mediante un proceso automático a través del uso de hardware redundante.

Nota:Los mecanismos de disponibilidad pueden ser los más costosos en una organización. Es muy importante  seguir un procedimiento de administración de riegos apropiado, para determinar los tipos de mecanismos que deberían ser implementados. Recuperación de desastres:La recuperación de desastres protege sistemas, información y capacidades de los grandes desastres, como incendios e inundaciones. La recuperación de desastres  es un proceso complicado que reconstituye a una organización cuando las instalaciones completas o habitacionales importantes  dentro de una instalación quedan inutilizables. Ataques que pueden ser evitados:

La disponibilidad se utiliza para recuperarse de los ataques de denegación de servicio. Existen alguna maneras buenas  y económicas de evitar un ataque de DOS, pero se puede utilizar el servicio de disponibilidad para reducir los efectos del ataque y para recuperarse del mismo restableciendo  los sistemas y las capacidades  en línea.

Bibliografía:

MAIWALD, Eric , FUNDAMENTOS DE SEGURIDAD DE REDES, Segunda Edición, Editorial McGraw-Hill, 2004

Por: Juan Carlos Romero - Pedro Damian Velez

Presentacion

La principal diferencia entre el manejo de seguridad empresarial y particular, radica en el uso de procesos, protocolos y procedimientos (PP&P), los cuales, para una empresa, son muy estrictos, lo que puede significar limitantes para programadores e informáticos que trabajen con recursos y software que no estén incluidos en los PP&P. Mientras que para una empresa particular, existe flexibilidad debido a que se puede utilizar recursos selectos dependiendo del programador.
Si una empresa presiona de forma estricta en el uso de los PP&P, puede correr el riesgo de perder personal en el campo de la programación, y es aquí donde se debe equilibrar la “seguridad vs. flexibilidad”, es decir, utilizar herramientas de configuración centralizada (CCM), las cuales “incrementan la flexibilidad del sistema sin sacrificar la seguridad y los estándares corporativos.”
Comentario realizado por: Roger Agreda, Vicente Martínez.

La principal diferencia entre el manejo de seguridad empresarial y particular, radica en el uso de procesos, protocolos y procedimientos (PP&P), los cuales, para una empresa, son muy estrictos, lo que puede significar limitantes para programadores e informáticos que trabajen con recursos y software que no estén incluidos en los PP&P. Mientras que para una empresa particular, existe flexibilidad debido a que se puede utilizar recursos selectos dependiendo del programador.

Si una empresa presiona de forma estricta en el uso de los PP&P, puede correr el riesgo de perder personal en el campo de la programación, y es aquí donde se debe equilibrar la “seguridad vs. flexibilidad”, es decir, utilizar herramientas de configuración centralizada (CCM), las cuales “incrementan la flexibilidad del sistema sin sacrificar la seguridad y los estándares corporativos.”

Comentario realizado por: Roger Agreda, Vicente Martínez.

A nivel de empresa es necesario brindar una seguridad correcta de la información caso contrario puede traer consecuencias negativas tanto a nivel económico como legales. Por ejemplo, la pérdida de datos de los clientes puede significar una menor confianza del consumidor-usuario hacia la empresa que los gestiona. En materia de seguridad encuentra diversas resistencias, ya que supone inversiones por parte de las empresas. He allí la necesidad de ocuparse de la seguridad antes que preocuparse por la cantidad de información, recursos y dinero perdidos.
La intención en sí de “Seguridad informática para empresas y particulares” es elevar el nivel de conocimiento de seguridad de la información que no desea ser pública, así como concienciarle en los temas referentes a la seguridad de la información. En realidad, con muy poco esfuerzo se puede alcanzar un nivel de seguridad razonable, capaz de satisfacer las expectativas de seguridad de particulares y de pequeñas y medianas empresas. Haciendo uso de herramientas que vienen suministradas con el propio sistema operativo o que son en su mayoría gratuitas

Grupo 10
Ricardo Agila
Jimmy Sanchez

Seguridad Empresarial vs. Seguridad Particular
El tema de seguridad ha sido desde siempre difícil de manejar debido a las vulnerabilidades de los sistemas y de las capacidades desarrolladas de infiltración de parte de terceros interesados en el acceso a la información ajena. A este respecto, se añade una dificultad más. Hoy en día, las grandes empresas se ven involucradas en un campo de trabajo demasiado amplio; muchas tienen oficinas departamentales muy variadas en un mismo edificio, ciudad y países, lo que dificulta mucho el tener un sistema de seguridad que cubra todas las necesidades de la empresa. El gran número de usuarios conectados a la red hace que cada uno de ellos establezca sus preferencias en tema de seguridad, ya sea por necesidad laboral o por simple comodidad en la función que desempeñan.
Se pueden entonces desarrollar sistemas de seguridad que protejan un equipo a nivel personal pero que puede diferir mucho de las directrices de negocio que tengan las empresas. En algunas grandes compañías se han instalado Sistemas Seguridad de Configuración Centralizada, lo que permite mantener un estándar de seguridad homogéneo y adicionalmente se instala un software compatible con el desempeño del sistema global. Estos programas permiten al usuario mantener una configuración apropiada a sus requerimientos pero siguiendo la misma línea de protección general.

Grupo No. 14: José Armijos Peña
Santiago Buri Castillo

Primeramente quiero aprovechar para darles la Bienvenida a la Materia de SEGURIDAD DE REDES, la cual se la va ir desarrollando con el apoyo de tod@s Uds., este blog que he creado con el objetivo de ir intercambiando los conocimientos adquiridos en esta materia.

En la actualidad la mayor cantidad de las comunicaciones se las realiza a través de redes, pudiendo ser estas redes LAN, MAN o WAN. Es por ello que cada vez se necesita asegurar la información que se transmite de forma correcta. Por lo que conocer como gestionar, monitorear y proteger una red es fundamental para un profesional del área de Telecomunicaciones. En el transcurso de la materia se irán revisando cada uno de los capítulos y realizando prácticas en los Sistemas Operativos Windows y Linux que son los más utilizados en la actualidad.

Les invito a que colaboren en este blog, colocando sus comentarios sobre temas que se pida en la clase o sobre novedades que Uds. quieran compartir relacionadas a la SEGURIDAD DE REDES