Lista de Artículos Pagina de Inicio
- Año III  






Seguridad en las Tecnologías de internet (Parte 1 / 2)

Alonso E. Caballero Quezada / alonso_caballero(at)informatizate(dot)net / Enero 13 del 2005.

Area de Sistemas de La Cámara de Comercio de La Libertad
Webmaster del Portal Noticias Trujillo
Editor & Miembro de RareGaZz Security Team
Editor & Miembro de Security Wari Projects
Editor & Miembro Fundador de informatizate


Resumen.

El tema de la Seguridad, sé esta convirtiendo en un aspecto cotidiano de la mayoría de personas; es por ello que mi motivación principal; para realizar el presente artículo, ha sido el contribuir con la difusión del Manual de Metodología Abierta de Testeo de Seguridad. El presente escrito pretende dar a los interesados, un punto de referencia para iniciarse con ésta Metodología, así también, aplicaciones practicas de los lineamientos principales de éste Manual. Es mi propósito que el OSSTMM se difunda aún más, y consecuentemente el concepto utópico de 'Seguridad'.


Introducción.

Es inevitable percibir que nuestras vidas se rigen por parámetros; y en internet específicamente; por estándares. Es por ello la existencia del presente escrito, abocado al estándar profesional para el testeo de la seguridad, Manual de Metodología Abierta de Testeo de Seguridad [1], pero dado lo amplio de la metodología, se orientara el presente escrito, solo a una sección especifica del Mapa de Seguridad, esta es la sección de "Seguridad en las Tecnologías de Internet".

Para realizar el aspecto practico del presente escrito, nos apoyaremos de alguna distribución GNU/Linux; en mi caso particular; sugiero algún Debian GNU/Linux [6]; pero aquí en primera instancia, lo que se toma en consideración, no es la distribución en si; sino las diversas herramientas que cada uno de manera particular o grupal desee utilizar para conseguir un propósito especifico. También podemos hacer uso de algún live-CD basado en Linux orientado a la Seguridad, como pueden ser PHLAK [2], Knoppix-STD, o SASL, los cuales; son solo algunas distribuciones con herramientas que pueden ser utilizadas para llevar a cabo las tareas especificadas en los módulos de las secciones del Mapa de Seguridad.

El tema de las herramientas a utilizar para la realización de las tareas; es un tema harto complejo y de preferencias personales aun mas complejas; todos tienen (tenemos) alguna herramienta preferida o creada por uno mismo que hace mas efectivo el 'test', o tal vez alguna herramienta desarrollada 'al vuelo' para alguna tarea especifica. Hay algunas herramientas básicas y muy difundidas; 'pero de gustos y colores... '

Aun así, se expondrán y detallaran el funcionamiento de las herramientas, que permitirán realizar las tareas indicadas por módulos específicos del Manual.


Sobre La Seguridad de información.

La información es un recurso que, como el resto de los importantes activos comerciales, tiene valor para una organización y por consiguiente debe ser debidamente protegida. La seguridad de la información protege ésta de una amplia gama de amenazas, a fin de garantizar la continuidad comercial, minimizar el daño al mismo y maximizar el retorno sobre las inversiones y las oportunidades.

La seguridad de la información se define aquí como la preservación de las siguientes características:

  1. Confidencialidad: se garantiza que la información sea accesible sólo a aquellas personas autorizadas a tener acceso a ella.

  2. integridad: se salvaguarda la exactitud y totalidad de la información y los métodos de procesamiento.

  3. disponibilidad: se garantiza que los usuarios autorizados tengan acceso a la información y a los recursos relacionados con ella toda vez que se requiera.


La seguridad de la información se logra implementando un conjunto adecuado de controles, que abarca políticas, prácticas, procedimientos, estructuras organizacionales y funciones del software.

Se deben establecer estos controles para garantizar que se logren los objetivos específicos de seguridad de la organización.

Existen Libros completos y documentos que tratan en profundidad sobre el tema, y consecuentemente los remito al ítem 'cinco' [5] de la sección Referencias para que se tenga un punto de inicio excelente sobre el Tema.


Sobre el Testeo de Seguridad.

Hace algunos años; no muchos por cierto; el tema de la Seguridad era solo tema de científicos y profesionales especializados del área en cuestión; desde aquellas épocas, con historias de polillas o 'bichos', que generaban fallas inesperadas en los sistemas, el tema de la Seguridad ha ido en constante evolución; aunque digo 'evolución' expresado de una manera peculiar, dado que en mi corta estancia en la red de redes, unos ocho años, he sido testigo de algo que se puede resumir de la siguiente manera; las fallas sigan existiendo, tal vez sean mas difíciles de ubicar y explotar, pero una vez localizadas, pueden provocar estragos iguales o superiores a los que se pudieron originar hace algunos años. Tal vez una frase que no compartan conmigo, pero es mi percepción.

La responsabilidad de una red segura; o una internet segura, ya no depende solo de profesionales de la seguridad, ahora, mucha mas responsabilidad recae en los usuarios finales, usuarios de escritorio. Con un mundo globalizado y con un acceso mayoritario de las masas a internet, la seguridad se ha convertido en un tema cotidiano, cosas tan simples como revisar un correo, visitar una web, debe tratarse con cuidado y con educación. El acercamiento a la red de redes; a originado que cualquier persona con escasos conocimientos y con mucha paciencia, pueda irrumpir en un sistema ajeno; que una persona con conocimientos moderados en temas informáticos, pueda esparcir un código o utilizar algún ardid para conseguir cualquier propósito poco licito, y que una persona con elevados conocimientos, pueda intentar colapsar internet, con algún worm o virus, que en cuestión de minutos puede ser un epidemia global, aquello que se origina en algún lugar de Rusia, puede tocar a tu pc de casa o tal vez el server de tu empresa.

Es por ello que se hacia necesaria, una Metodología que sea una referencia para los profesionales y personas interesadas en el tema; ahora se tiene una referencia fiable, actualizada y aceptada; por profesionales especializados en Seguridad. Y obvio, esta Metodología es 'Abierta' y de Libre Distribución.

Para lo que se va a desarrollar a continuación, es necesario un conocimiento básico de Seguridad, conocimientos mas que básicos sobre Redes de Computadoras y así también el dominio de alguna distribución GNU/Linux, y de las herramientas que se detallen en el presente escrito, aunque con una buena y concienzuda lectura al 'man' correspondiente, y una buena base de los elementos detallados como prerequisitos, no debe existir problema alguna para la comprensión adecuada del presente escrito.


Manual de la Metodología Abierta de Testeo de Seguridad

En el año 2000 Peter Herzog, comienza un proyecto de diseñar un estándar basado en los principios del Software Libre. Y en Diciembre del 2000 se presenta el primer esbozo del OSSTMM.[1]

Este manual es un estándar profesional para el testeo de seguridad en cualquier entorno desde el exterior al interior. Este Manual como un estándar profesional, incluye los lineamientos de acción, la ética del testeador profesional, la legislación sobre el testeo de seguridad y un conjunto integral de tests.

El objetivo de este manual es crear un método aceptado para ejecutar un test de seguridad minucioso y cabal. EL OSSTMM intenta ser el manual de referencia del profesional.

El OSSTMM, frente a otras metodologías incluye el uso de "Valores de Evaluación del Riesgo". Estos valores se definen en cada módulo y tienen como objetivo principal medir la degradación de la seguridad respecto al tiempo. Los RAVs se calculan matemáticamente por medio de tres factores:

  • El ritmo de degradación de cada módulo desde su punto máximo.

  • El ciclo que determina el tiempo máximo de degradación hasta alcanzar el cero.

  • Diversos valores de ponderación según el módulo que estemos analizando, por ejemplo, puntos de acceso, visibilidad del sistema, etc.


Es importante resaltar que al aplicar el OSSTMM, una planilla de datos de test de seguridad es necesaria, firmada por el/los testeador(es), acompañando todos los reportes finales para obtener un test certificado de OSSTMM. Una planilla de datos que indique que solamente algunos módulos específicos de una Sección de OSSTMM han sido testeados debido a restricciones de tiempo, problemas en el proyecto o negativa del cliente, NO puede ser considerado como un test OSSTMM completo de la Sección en cuestión

El objetivo principal es establecer un estándar en metodologias de testeo de Seguridad que cuando es utilizado reúne condiciones de seguridad practicas y funcionales.

Este Manual obviamente; no es la única referencia, un documento inevitable y obligado de lectura, para los que están interesados en estos temas; es el ISO/IEC 17799:2000 [a][b] - Código de Practica para la Administración de la seguridad de la información.

[El documento completo en formato pdf y versión español, puede ubicarlo en el ítem [1] de la sección Referencias.]


Secciones y Módulos.

La metodología esta dividida en secciones, módulos y tareas. Las secciones son puntos específicos en el mapa de seguridad que se sobreponen entre si y comienzan a descubrir un todo que es mucho mayor a la suma de sus partes. Los módulos son el flujo de la metodología desde un punto de presencia de seguridad hacia otro. Cada modulo tiene una salida y una entrada. La entrada es la información usada en el desarrollo de cada tarea. Las salidas es el resultado de las tareas completadas. La salida puede o no ser datos analizados (también conocido como inteligencia) para servir como entrada para otro modulo. Incluso puede ocurrir que la misma salida sirva como entrada para un modulo o sección.

Algunas tareas no brindan resultados, esto significa que existen módulos para los cuales no hay entrada. Los módulos que no tienen entrada pueden ser ignorados durante el análisis. El hecho de ignorar módulos no indica necesariamente un análisis inferior, al contrario indica un nivel de seguridad superior.

Los módulos que no tienes salida como resultado, pueden significar una de tres cosas:

  • Las tareas no fueron ejecutadas apropiadamente

  • Las tareas no se aplicaban

  • Las tareas revelaron niveles superiores de seguridad

    • Los datos resultante de la tarea se analizaron inapropiadamente.


Metodología


La metodología fluye desde el modulo inicial hasta completar el modulo final. La metodología permite la separación entre la recolección de datos y test de verificación de y sobre los datos recolectados. El flujo también determina los puntos precisos de cuando extraer e insertar estos datos.

Al definir la metodología de análisis, es importante no restringir la creatividad del analista introduciendo estándares excesivamente formales e inflexibles que la calidad de los tests sufran. Adicionalmente, es importante dejar tareas abiertas a alguna interpretación donde la definición exacta causara problemas a la metodología cuando una nueva tecnología sea introducida.

Cada modulo tiene una relación con el inmediatamente anterior y con el inmediatamente posterior. Cada sección tienes aspectos interrelacionados a otros módulos y algunos se interrelacionan con todas las otras secciones.

El modelo de seguridad completo puede ser divido en secciones administrables para las pruebas. cada sección puede a su vez ser vista como una colección de módulos de test con cada modulo dividido en un conjunto de tareas.


Razones para usar la Metodología OSSTMM

  • Se describe un análisis secuencial que permite realizar paso a paso todas las tareas necesarias de forma sistemática.

    • Es una Metodología escalable, abierta y publica. Esto permite que administradores de sistemas, responsables de Seguridad y empresas especializadas contribuyan a mejorar esta metodología.

  • Se ajusta a los estándares internacionales (ISO 17799).


Mucho antes de la existencia de esta Metodología, ya se podían encontrar en internet, algunos textos o escritos que detallaban y se asemejaban mucho a este Manual o Secciones de este Manual. Y aunque al desarrollar la metodología, algunas tareas no brinden resultados esperados o no sean aplicables a una situación determinada, ello no implica un análisis inferior, pero tampoco resta importancia a la concepción de la Metodología como un todo.


Mapa de Seguridad

Es una imagen de la presencia de seguridad. Esta corresponde al ambiente de una análisis de seguridad y esta compuesta por seis secciones equivalentes a las de este manual. La secciones se superponen entre si y contienen elementos de todas las otras secciones. Un análisis apropiado de cualquier sección debe incluir los elementos de todas las otras secciones, directa o indirectamente.



  1. Seguridad de la Información
  2. Seguridad de los Procesos
  3. Seguridad en las tecnologías de Internet
  4. Seguridad en las Comunicaciones
  5. Seguridad Inalámbrica
  6. Seguridad Física

Lista de Módulos del Mapa de Seguridad

La lista de Módulos del mapa de seguridad son los elementos primarios de cada sección. Cada modulo debe incluir todas las Dimensiones de Seguridad que están integradas con tareas a ser desarrolladas. Para desarrollas un análisis de seguridad OSSTMM de una sección particular, todos los módulos de la sección deben ser desarrollados y aquellos para los que no exista infraestructura y no puede ser verificada, debe definirse como NO APLICABLE en la hoja de datos OSSTMM anexa al informe final.

Tener presente que para el presente escrito hay que ubicarse en el tercer ítem, 'Seguridad en las tecnologías de Internet'

Todos los ítems listados a continuación, serán desarrollados de de manera teórica y práctica en la Segunda Parte del presente Artículo.

  1. Logística y Controles
  2. Sondeo de Red
  3. Identificación de los Servicios de Sistemas
  4. Búsqueda de Información Competitiva
  5. Revisión de la Privacidad
  6. Obtención de Documentos.
  7. Búsqueda y Verificación de Vulnerabilidades
  8. Testeo de Aplicaciones de Internet.
  9. Enrutamiento
  10. Testeo de Sistemas confiados.
  11. Testeo de Control de Acceso
  12. Testeo de medidas de Contingencia
  13. Descifrado de Contraseña
  14. Testeo de Denegacion de Servicio.
  15. Evaluación de Políticas de Seguridad.


La mayor parte de información contenida en ésta Primera entrega, se ha basado; obviamente; en el Manual que estamos exponiendo (OSSTMM [1]), pues es inconcebible realizar una Segunda Parte 'Teórica y Práctica ', de lo que el Manual de la Metodología Abierta de Testeo de Seguridad indica, sin conocer sus conceptos.


Referencias:

[1] OSSTMM - http://www.osstmm.org
[2] PHLAK - http://www.phlak.org
[3] Instituto para la Seguridad y las Metodologias Abiertas - http://www.isecom.org
[4] Estándares Británicos BS7799, BS7799-1 / BS7799-2002
[5] Norma ISO 17799
[6] GNU/Linux Debian - http://www.debian.org
[7] http://www.seis.es/inforsalud04
[8] http://www.ausejo.net/seguridad/osstmm.htm

[a] ISO - INTERNATIONAL ORGANIZATION FOR STANDARIZATION
[b] IEC - INTERNATIONAL ELECTROTECHNICAL COMMISSION










   






 

  Otros Artículos del Autor:
  Fecha Publicación:
 


 

  Razones para usar Debian GNU/Linux 

  Julio 19 del 2004 
 


 

  Apología a Debian GNU/Linux

  Marzo 8 del 2004 
 


 

  Proxy. Buen punto

  22 de Agosto del 2003 
 


 

  Linux en las Empresas

  8 de Diciembre del 2002
 















Google


















		
					
		


		




		     
	     
		     
  		

		

		

			Copyright © 2002-2005 Grupo
		      Informatizate. Reservados todos los derechos. 

		      Prohibida la reproducción total o parcial en cualquier 
		      formato sin previa autorización.

		      On-line desde el 27 de Noviembre del 2002