3. MARCO PROPOSITIVO
3.3. Desarrollo de la Propuesta
3.3.3. Metodología de la Seguridad por capas
3.3.4.1. Presentación del modelo de capas
Son varios los protocolos que cooperan para gestionar las comunicaciones, cada uno de ellos cubre una o varias capas TCP/IP, para establecer la comunicación entre dos Equipos Terminales de Datos (ETD), se emplea más de un protocolo, es por esta razón que se suele hablar no de protocolos aislados, sino que al hacer mención de alguno de ellos, se sobreentiende que se está hablando de una pila de protocolos.La Pila, stack o familia TCP/IP es un modelo que trata de simplificar el trabajo de las capas, y por no ser un estándar, se ve reflejado en la interpretación de los distintos autores como un modelo de cuatro o cinco capas.
Cada capa es la encargada de una serie de funciones que deberían ser autónomas, es decir no tendría por qué depender de lo que se haga en otro nivel. Dentro de este conjunto de tareas, es necesario destacar la razón de ser de cada una de ellas, su objetivo principal, el cual se lo puede resumir de la siguiente forma:
Aplicación: Usuario
Transporte: Es el primer nivel que ve la conexión de un extremo a otro Red: Las rutas
Enlace: Nodo inmediatamente adyacente
Físico: Aspectos mecánicos, físicos, eléctricos y ópticos
Nivel Físico: Esta capa recibe las tramas de nivel 2, las convierte en señales eléctricas u ópticas y las envía por el canal de comunicaciones. Define aspectos mecánicos, eléctricos u ópticos y procedimentales. Algunas de las especificaciones más comunes son: RS 232, V.24/V.28, X.21, X.25, SONET, etc.
Funciones y servicios:
Activar/desactivar la conexión física. Transmitir las unidades de datos. Gestión de la capa física.
Identificación de puntos extremos (Punto a punto y multipunto).
Secuenciamiento de bit (Entregar los bits en el mismo orden que los recibe).
Control de fallos físicos del canal.
Nivel Enlace: Establece la conexión con el nodo inmediatamente adyacente. Básicamente efectúa el control de flujo de la información. Funciones o servicios:
División de la conexión del enlace de datos (Divide un enlace de datos en varias conexiones físicas).
Control de flujo (Regula la velocidad a la cual la capa de enlace trabaja dinámicamente).
Proporciona parámetros de Calidad de Servicio (QoS), por ejemplo: Tiempo medio entre fallas, BER (Bit Error Rate), disponibilidad de servicio, retarde en el tránsito, etc.
Detección de errores (CRC {Control de Redundancia Cíclica} – Checksum). Corrección de errores (ARQ {Allowed to ReQuest}, FEC {Forward Error
Control}), sin eximir a capas superiores de hacerlo.
La IEEE lo subdivide en dos capas MAC (Medium Access Control) y LLC (Logical Link Control), si bien esto no es contemplado por OSI.
Nivel de Red: La tarea fundamental de esta capa es la de enrutado y conmutación de paquetes. Es por esta razón que su trabajo acorde al tipo de conexión es muy variable. En una red de conmutación de paquetes puede ser implementado en detalle, en cambio al conmutar circuitos prácticamente no tiene sentido. Sus funciones y servicios son:
Encaminamiento y retransmisión (Define las rutas a seguir). Conmutación de paquetes.
Multiplexación de conexiones de red. Establecimiento de circuitos virtuales. Direccionamiento de red.
Nivel de Transporte: Su tarea fundamental es la conexión de extremo a extremo (end to end). Funciones y servicios:
Correspondencia entre direcciones de transporte y de red. Supervisión de red.
Facturación de extremo a extremo.
Nivel de Sesión: Permite el diálogo entre usuarios, entre dos ETD. Funciones y servicios:
Establecimiento del diálogo Half Dúplex o Full Dúplex. Reseteado de sesión a un punto preestablecido.
Establecimiento de puntos de control en el flujo de datos para comprobaciones intermedias y recuperación durante la transferencia de archivos.
Abortos y re-arranques.
Nivel de Presentación: Asigna una sintaxis a los datos (Cómo se unen las palabras).Funciones y servicios:
Aceptación de datos de nivel siete (Enteros, caracteres, etc), negociando la sintaxis elegida (Ej: ASCII, EBCDIC, etc.).
Transformación de datos para fines especiales (Ej: Compresión). Codificación de caracteres gráficos y funciones de control gráfico. Selección del tipo de terminal.
Cifrado.
Nivel de Aplicación: Sirve de ventana a los procesos de aplicación. Tiene en cuenta la semántica (significado) de los datos. Funciones y servicios:
Servicios de directorio (Transferencia de archivos). Manejo de correo electrónico.
Terminal virtual.
Procesamiento de transacciones.
Implementación de la Seguridad por capas.
Cuando un dispositivo de red comienza a recibir información cada uno de los niveles de la pila TCP/IP comienza su tarea identificando bit a bit a qué módulo le corresponde trabajar.
El momento en que una información circula por la red e ingresa a un ETD, a medida que cada nivel la va evaluando, decide si se dirige hacia él o no en cada uno de los niveles, cuando no es para él entonces debe descartar esa información y en algunos casos reenviarla. Cuando se logra operar en modo promiscuo, esto implica que no descarte información, sino que procese todo, sea para este ETD o para cualquier otro. Por esta razón la idea de analizar el tráfico de una red, está particularmente dirigida a poder escuchar todo el tráfico que circula por ella.
Cuando se realiza el análisis de tráfico en una red, generalmente se lo relación con los conocidos Sniffers, que básicamente lo que hacen es husmear dentro de una red y capturar todo lo que se pueda, para posteriormente analizarlo. Un sniffer sólo captura tráfico y lo presenta de manera entendible. Un analizador de protocolos, realiza esta tarea y a su vez procesa esta información para obtener todas las posibles necesidades del usuario con la misma.
Un analizador de protocolos captura conversaciones entre dos o más sistemas o dispositivos. No solamente captura el tráfico, sino que también lo analiza,
decodifica e interpreta, brindando una representación de su escucha en lenguaje entendible por medio de la cual, se obtiene la información necesaria para el análisis de una red y las estadísticas que el analizador proporciona.
En síntesis, un analizador de protocolos debería proporcionar: estadísticas, captura de paquetes y decodificación y representación de información histórica.
Las técnicas de detección de sniffers que se emplean son varias y todas se basan en poder determinar si la interfaz de red se encuentra en modo promiscuo, lo cual es un claro síntoma de que desea recibir todo el tráfico que pasa por ella.
3.3.4.2. Seguridad en la Capa Física
Para la implementación de seguridad física, hay que tener en cuenta, los aspectos relacionados a:
Edificios, instalaciones, locales.
Autenticación y control de acceso físico.
Medios empleados para la transmisión de la información. Conductos y gabinetes de comunicaciones.
Medios físicos empleados para el almacenamiento como son el backup y procesamiento de la información.
Documentación, listados, plantillas, planos, etc.
Toda señal de comunicaciones para propagarse necesita de un medio físico, sin éste sería imposible establecer una comunicación
En el modelo TCP/IP se tiene la Capa de acceso de red que corresponden a la Capa 1 y 2 del modelo OSI. Esta capa, también llamada host a red, se ocupa de todos los aspectos que involucren convertir un paquete en una trama y transmitirlo en el medio físico. Esta capa se encarga de las funciones de las capas físicas y de enlace de datos del modelo OSI.
Las vulnerabilidades de la capa de red están estrechamente ligadas al medio sobre el que se realiza la conexión. Esta capa presenta problemas de control de acceso y de confidencialidad. Son ejemplos de vulnerabilidades a este nivel los ataques a las líneas punto a punto: desvío de los cables de conexión hacia otros sistemas, interceptación intrusiva de las comunicaciones como pinchar la línea, escuchas no intrusivas en medios de transmisión sin cables, etc.
Aspectos mecánicos:
Aquí revista especial importancia para auditar el canal de comunicaciones que se emplee, los canales que se emplean en la Cooperativa son los siguientes:
Canal arrendado: Un vínculo arrendado, puede ser interceptado; para este caso existen estrategias de canal seguro, túneles o criptografía que incrementa la seguridad.
Cable de cobre: Este medio presenta la característica que es difícil detectar su interceptación física o Pinchado de línea.
Fibra óptica: La fibra óptica se la puede considerar imposible de interceptar, pues si bien existen divisores ópticos, la colocación de los mismos implica un corte del canal y una fácil detección por pérdida de potencia óptica.
Radiofrecuencia: Las distintas ondas de radio cubren una amplia gama de posibilidades, desde la HF hasta las microondas y hoy las LMDS (Local Multipoint Distributed Signal). En general cualquiera de ellas son interceptables y su análisis de detalle implica el tipo de señal (digital o analógica), el ancho de banda disponible, el tipo de modulación, y la frecuencia empleada.
Para poder implementar de la seguridad de la capa física se debe iniciar con la siguiente información:
Planos de Edificios, instalaciones, locales.
Grafico No. 3.2. Plano Instalaciones.
Fuente: Departamento de Sistemas Cooperativa.
Autenticación y control de acceso físico.
Área/Departamento Nombres Cargo Horario
Cajas Atención al Cliente Relacionador Publico M.Yancha M.Arias C. Ramírez V. Flores L. Toapanta Jefe de Cajas Cajera Cajera At. Clientes Rel. Publico 08:00 a 13:00 y 14:00 a 17:00 08:00 a 12:00 y 13:00 a 17:00 08:00 a 12:00 y 13:00 a 17:00 08:00 a 13:00 y 14:00 a 17:00 08:00 a 13:00 y 14:00 a 17:00
Tabla No. 3.1. Autenticación y control de acceso físico Planta Baja. Fuente: Departamento de Sistemas Cooperativa.
Área/Departamento Nombres Cargo Horario Roles y Anticipos de Sueldo Oficial de Cumplimiento Presidencia Gerencia General Sub Gerencia General Secretaria G. Jarrin M. Mestanza P. Orta V. Gaibor G. Jarrin E. Velastegui G. Arias Jefe de Roles Asis. Roles O. Cumplim. Presidente Gerente General Sub – Gerente Secretaria 08:00 a 13:00 y 14:00 a 17:00 08:00 a 12:00 y 13:00 a 17:00 08:00 a 12:00 y 14:00 a 18:00 16:00 a 18:00 S/H 08:00 a 12:00 y 14:00 a 18:00 08:00 a 12:00 y 14:00 a 18:00
Tabla No. 3.2. Autenticación y control de acceso físico Primer Piso. Fuente: Departamento de Sistemas Cooperativa.
Área/Departamento Nombres Cargo Horario
Talento Humano Contadora General Jefe de Crédito I. Gaibor M. Augusta M. Heredia M. Gaibor S. Jácome Jefe de RR.HH Cont. General Aux. contab. Aux. contab. Jefe de Crédito Asesor1 Asesor2 Asesor3 08:00 a 12:00 y 14:00 a 16:00 08:00 a 12:00 y 14:00 a 18:00 08:00 a 12:00 y 14:00 a 18:00 08:00 a 13:00 y 14:00 a 17:00 08:00 a 12:00 y 14:00 a 18:00 08:00 a 12:00 y 14:00 a 18:00 08:00 a 13:00 y 14:00 a 17:00 08:00 a 12:00 y 14:00 a 18:00
Tabla No. 3.3. Autenticación y control de acceso físicoSegundo Piso. Fuente: Departamento de Sistemas Cooperativa.
Tramos críticos: Se analiza las áreas de la Cooperativa donde físicamente residen las cuentas que tramitarán la información de mayor importancia.
Área/Departamento Usuario Medio de Conexión
Sistemas y Comunicaciones Auditoria Interna Jefatura de Crédito Gerencia Cumplimiento M. Guzmán A. Ramírez P. Lucio S. Jácome E. Velastegui P. Orta
Conexión área Local
Conexión área Local Conexión área Local Conexión área Local Conexión área Local Tabla No. 3.4. Tramos críticos.
Fuente: Departamento de Sistemas Cooperativa.
Conclusión: Sobre estos canales incrementar las medidas de seguridad, en lo posible emplear fibra óptica.
Gabinetes de comunicaciones: Ubicación, llaves, seguridad de acceso al mismo, componentes que posee, identificación de las bocas.
Componente Ubicación Identificación Seguridad de Acceso Rack Servidores Patch panel Unidad de Enfriamiento C. Sistemas C. Sistemas C. Sistemas Rser_4501 Ppan_4502 Rout_4503 Puerta de acceso a C. Sistemas de acero semi Blindada.
Ingreso a la Unidad de Sistemas, restringido, puerta de madera, cerradura eléctrica. Tabla No. 3.5. Gabinetes de comunicaciones.
Fuente: Departamento de Sistemas Cooperativa.
Caminos que siguen: Planos de los locales y perfectamente identificados los conductos que siguen, es eficiente su ubicación por colores (Zócalos, bajo pisos, falso techos, cable canal, etc.).
Dispositivos de Hardware de red: Dispositivos existentes, su ubicación, claves de acceso, configuración de los mismos, resguardo de configuraciones, permisos de accesos, habilitación o deshabilitación de puertos.
Dispositivo Ubicación Clave de Acceso Configuración Routers de tipo
Mikrotick,
Router de Tipo Cisco
C. Sistemas **** Con direcciones ip configuradas por el proveedor desde las antenas de enlace nacional hacia la institución.
Switchs Cisco C. Sistemas **** Los equipo de capa 2 dependen de las direcciones ip que el router los asigne de manera automática para su efecto de asignar a las NIC de las estaciones de trabajo. Antenas de Tipo NanoestationsM5 Terraza Institucion **** Los Proveedores dejan configurado las antenas de enlace nacional desde el
NODO SAN
MIGUEL de manera directa
direccionando a la Antena principal que recepta esa señal. Tabla No. 3.6. Dispositivos de Hardware de red.
Grafico No. 3.3. Topología de Red Coac Juan Pio de Mora Fuente: Departamento de Sistemas Cooperativa.
Plan de Inspecciones periódicas: Es importante contar con un cronograma de trabajo que contemple la inspección (recorridas, controles, verificación remota de configuraciones, control de cambios, roturas, etc.) de los detalles anteriormente mencionados, para evitar justamente alteraciones intencionales o no.
Responsable Fecha Tipo de Acción Observaciones
Lic. Maribel Guzmán
Tclgo. Alex Ramírez
Lic. Maribel Guzmán
Tclgo. Alex Ramírez
1 – 10 marzo 11 – 20 marzo 21 – 30 marzo Monitoreo de dispositivos de red. Monitoreo e inspección de cableado y conexiones.
Inspección del área de Servidores, Sistema de enfriamiento Se mantiene configuraciones estables. Configuraciones estables, conexiones de red entre dispositivos estables.
Inesperada desconexión debido a cortes de alimentación de energía.
Tabla No. 3.7. Plan de Inspecciones periódicas. Fuente: Plan de Inspecciones periódicas.
Inventarios de equipamiento: El control de inventarios es una buena medida. En particular haciendo hincapié en cambios y repotenciaciones, pues involucra dispositivos que pueden haber almacenado información. Se usa la herramientanetwork-inventory-advisor para desplegar esta información:
Grafico No. 3.4. Inventario de equipamiento. Fuente: Departamento de Sistemas Cooperativa.
Grafico No. 3.5. Inventario de servidores. Fuente: Departamento de Sistemas Cooperativa.
Grafico No. 3.6. Inventario Software antivirus. Fuente: Departamento de Sistemas Cooperativa.
Grafico No. 3.7. Inventario Software aplicaciones. Fuente: Departamento de Sistemas Cooperativa.
Medidas de resguardo de información: La pérdida de datos es un error grave en un servidor, el responsable de una base de datos, no es el usuario que tiene derecho a no conocer los mecanismos de seguridad en el Backup, sino directamente el Administrador de ese servidor. Las medidas de Backup nunca deben ser únicas, se deben implementar todas las existentes y con más de un nivel de redundancia acorde a la importancia de la información a respaldar (cintas, discos extraíbles, Jazz, entre otros.).
Área/Departamento Periocidad Información Medio Sistemas Gerencia Secretaria Consejo Administración Consejo de Vigilancia Diaria (5 veces al día) Diaria Diaria Diaria Semanal, Quincenal Mensual Quincenal Quincenal
Respaldos Base de Datos de Sistema contable Coop; Sistema de Cajeros; Sistema Tarjetas de Débito; Documentos de Entes de control Documentos, Oficios Documentos, Actas Documentos, Actas Dvd – CD; servidor Backup CD, Memory Memory CD, Memory CD, Memory
Tabla No. 3.8. Medidas de resguardo de información. Fuente: Departamento de Sistemas Cooperativa.
También deben ser considerados los dispositivos de almacenamiento: Memorias de todo tipo, discos externos, mp3, móviles, ipod, ipad, etc., prestando especial atención a la metodología de conexión: USB, firewire, bluetooth.
Dispositivo Descripción Capacidad Serie Uso
Disco Duro Externo Disco Duro Externo Disco Duro Externo Memorys Samsung HP HP HP 500GB 1TB 500GB 16GB Sy09hv00 Respaldos BD Videos de Seguridad Información/Documen tación Documentación
Tabla No. 3.9. Dispositivos de almacenamiento. Fuente: Departamento de Sistemas Cooperativa.