Metodología de implementación del estándar PCI DSS en el diseño de red en una entidad bancaria

FACULTAD DE INGENIERIA ELECTRICA Y ELECTRONICA

METODOLOGÍA DE IMPLEMENTACIÓN DEL ESTÁNDAR PCI-DSS

·

EN EL DISEÑO DE RED EN UNA ENTIDAD BANCARIA

INFORME DE SUFICIENCIA

PARA OPTAR EL TÍTULO PROFESIONAL DE:

INGENIERO DE TELECOMUNICACIONES

PRESENTADO POR:

ROLANDO CHARLITS NAVARRO JARA

PROMOCIÓN

2005 -1

La "Norma de seguridad de datos para la Industria de Tarjetas de Pago", conocido internacionalmente por sus siglas PCI DSS, ha sido desarrollada por el grupo PCI Security Standard Council, organismo creado por las principales compañías de tarjetas de pago como VISA, MasterCard, AMEX, JCB y DISCOVER. Esta norma debe de ser implementada por entidades bancarias, proveedores de servicio y comercios que tratan con datos de tarjetas de pago.

Por este motivo, el presente informe muestra la metodología empleada por una institución financiera para la implementación de medidas correctivas en su diseño y arquitectura de red con la finalidad de reducir el entorno sobre el que las auditorías de las compañías de tarjetas de pago evalúan el cumplimiento de la norma.

El diseño y arquitectura de red se desarrolla a partir de la protección perimetral de la red con la implementación de firewalls, sistemas de detección y prevención de intrusos y la segmentación de la red interna actual separando los sistemas que deben de cumplir con los requisitos de la norma de las demás redes.

INTRODUCCIÓN ... 1

CAPÍTULO 1 MARCO TEÓRICO CONCEPTUAL ... 3

1.1 Introducción a la norma PCI DSS ... 3

1.2 Aplicabilidad de la norma PCI DSS ... 5

1.2.1 Datos del titular de la tarjeta ... 6

1.2.2 Datos confidenciales de autenticación ... 7

1.3 Redes y subredes ... 8

1.3.1 Direccionamiento IPv4 ... 8

1.3.2 Subredes ... 10

1.3.3 VLAN ... 11

1.4 Defensa en profundidad ... 12

1.4.1 Defensa de datos ... 13

1.4.2 Defensa de aplicaciones ... 13

1.4.3 Defensa de hosts ... 14

1.4.4 Defensa de redes ... 14

1.4.5 Defensa de perímetros ... 14

1.4.6 Defensa física ... 15

1.4.7 Políticas y procedimientos ... 16

1.5 Firewall ... 17

1.5.1 Tecnologías de los firewalls ... 17

1.5.2 Arquitecturas de firewalls ... 22

1.6 Sistema de detección y protección de intrusos del tipo red ... 27

1.6.1 Metodologías que emplean los IDPS ... 28

1.6.2 Componentes de un sistema IDPS ... 28

1.7 Modelo jerárquico en el diseño de redes LAN ... 31

1.7.1 Capa de acceso ... 32

1.7.2 Capa de distribución ... 32

1.8 Arquitectura de red orientada a servicios ... 33

1.8.1 Capas del modelo de arquitectura SONA ... 34

CAPÍTULO 11 PLANTEAMIENTO DE INGENIERÍA DEL PROBLEMA ... 35

2.1 Descripción del problema ... 35

2.2 Objetivos del informe ... 35

2.3 Evaluación del problema ... 35

2.4 Limitaciones del informe ... 37

2.4.1 Limitaciones en el diseño de red ... 37

2.4.2 Limitaciones en la gestión de seguridad de la información ... 37

2.5 Síntesis del informe ... 37

CAPÍTULO 111 METODOLOGÍA PARA LA SOLUCIÓN DEL PROBLEMA ... 39

3.1 Introducción ... 39

3.2 Identificación del alcance ... 40

3.2.1 Capacitación ... 40

3.2.2 Identificación del CDE ... 40

3.2.3 Análisis de la red actual ... 43

3.3 GAP análisis ... 43

3.4 Plan de acción ... 43

3.4.1 Consideraciones generales de diseño ... 43

3.4.2 Segmentación de la red interna ... 45

3.4.3 Aseguramiento de las redes perimetrales ... .46

CAPÍTULO IV ANÁLISIS Y PRESENTACIÓN DE RESULTADOS ... 48

4.1 Introducción ... 48

4.2 Solución de la arquitectura de red ... 48

4.2.1 Sub red de almacenamiento de datos PCI ... .48

4.2.2 Red de gestión y administración ... 50

4.2.3 Red DMZ de negocios ... : ... 50

4.2.4 Red de navegación por lnternet ... 52

4.3 Recursos humanos y equipamiento ... 53

4.4 Costos y tiempos de ejecución ... 54

CONCLUSIONES Y RECOMENDACIONES ... 55

ANEXO A ... 56

ANEXO C ... 60

ANEXO D ... 62

ANEXO E ... 64

ANEXO F ... 66

ANEXO G ... 70

ANEXO H ... 72

En los 5 últimos años el crecimiento del uso de tarjetas de crédito y débito como uno de los más importantes medios de pago por parte de las personas ha provocado el incremento de fraudes y robo de información sensible de los clientes a través del robo de cajeros electrónicos, la clonación de tarjetas, el robo de la información contenida en las bases de datos de las empresas por parte de sus trabajadores o proveedores de servicios, los ataques por Internet, entre otros. Por ejemplo en el año 2007 la empresa americana T JX Companies lnc. reportó que en un periodo de 18 meses entre los años 2005 y 2007 sufrió el robo de aproximadamente 45 millones de datos de tarjetas de crédito y débito por parte de atacantes cibernéticos, este incidente es considerado como uno de las más grandes de los últimos años y nos permite apreciar la debilidad en la implementación de medidas y estándares de seguridad relacionados con el manejo de los datos de titulares de tarjetas. Por este motivo, el año 2006 se fundó el grupo PCI SSC conformado por las principales compañías de la industria de tarjetas de pago, VISA, MasterCard, American Express, JCB y DISCOVER con la finalidad de elaborar normas que permitan salvaguardar la seguridad los datos de los titulares de tarjetas. Entre las normas creadas se encuentra la norma PCI DSS que busca fomentar y mejorar la seguridad de los datos del titular de la tarjeta con el fin de prevenir los fraudes que involucran tarjetas de pago débito.

Por este motivo, la entidad bancaria sobre la cual se realiza el presente informe consideró dentro de su plan estratégico cumplir con los requisitos expuestos en la norma PCI DSS para garantizar el manejo seguro de la información de sus clientes que emplean tarjetas de crédito o débito como medio de pago y además obtener resultados satisfactorios en las evaluaciones de auditoría que realizan las compañías de tarjetas de pago.

Cabe recalcar que no es parte del alcance de este estudio las conexiones con oficinas remotas, la red que aloja el servicio de cajeros automáticos, la elaboración de procedimientos, políticas y evaluaciones de seguridad.

1.1 Introducción a la norma PCI DSS

PCI DSS significa "Seguridad de Datos de la Industria de Tarjetas de Pago" y tiene por objetivo prevenir los fraudes que involucran tarjetas de pago asegurando la información que se procesa, transmite ó almacena de los titulares de tarjeta.

La norma ha sido desarrollada por el "Comité de Estándares de Seguridad de la Industria de Tarjetas de Pago - PCI SSC", el cual está conformado por las compañías más importantes de tarjetas de pago y tiene como referencia los programas de seguridad de cada una ellas, tal como se muestra en la TABLA Nº _1.1.

Las compañías que procesan, almacenan o transmiten datos de tarjetas deben de cumplir con el estándar o arriesgan la pérdida de sus permisos y enfrentar auditorías rigurosas o pago de multas.

TABLANº _{1.1: Programas de seguridad} (Fuente: Elaboración Propia)

Visa lnternational MasterCard WorldWide American Express

Discover Financia! Services JCB

Visa lnternational Account lnformation Security (AIS) Visa Cardholder lnformation Security Program (CISP) Site Data Protection (SDP)

Data Security Operating Policy (DSOP)

Discover lnformation Security and Compliance (DISC) JCB Data Security Program

La norma está conformada por 6 secciones relacionadas lógicamente, que son conocidas como "objetivos de control" y 12 requisitos, que son los siguientes:

• Desarrollar y Mantener una red segura

Requisito 1: Instale y mantenga una configuración de firewalls para proteger los datos de los titulares de las tarjetas.

Requisito 2: No use contraseñas de sistemas y otros parámetros de seguridad provistos por los proveedores.

• Proteger los datos del titular de tarjeta

Requisito 3: Proteja los datos del titular de la tarjeta que fueron almacenados.

públicas abiertas.

• Mantener un programa de administración de vulnerabilidad

Requisito 5: Utilice y actualice regularmente el software o los programas antivirus. Requisito 6: Desarrolle y mantenga sistemas y aplicaciones seguras.

• Implementar medidas sólidas de control de acceso

Requisito 7: Restringir el acceso a los datos del titular de la tarjeta según la necesidad de saber del negocio.

Requisito 8: Asignar una ID exclusiva a cada persona que tenga acceso por computadora.

Requisito 9: Restringir el acceso físico a los datos del titular de la tarjeta. • Supervisar y evaluar las redes con seguridad

Requisito 1 O: Rastree y supervise todos los accesos a los recursos de red y a los datos de los titulares de las tarjetas.

Requisito 11: Pruebe con regularidad los sistemas y procesos de seguridad. • Mantener una política de seguridad de información

Requisito 12: Mantenga una política que aborde la seguridad de la información para todo el personal.

Los requerimientos principales están conformados por 220 a 240 sub requerimientos, el número de ellos depende de la manera en cómo se cuenten las sentencias, cláusulas y frases parciales. En la TABLA Nº _{1.2 se muestra un extracto de} la norma.

TABLANº _{1.2: Ejemplo de sub requisitos de la norma PCI DSS} (Fuente: PCI Security Standards Council LLC)

1.1 Establezca normas de configuración para firewall y router que incluyan lo siguiente:

1.1.1 Un proceso formal para

aprobar y probar todos los cambios y las conexiones de red en la configuración de los firewalls y los routers 1.1.2 Un diagrama actualizado de la red con todas las conexiones que acceden a los datos de los titulares de tarjetas, incluida toda red inalámbrica.

1.1 Obtenga e inspeccione las normas de configuración del firewall y del router y otros documentos especializados más abajo para verificar que las normas se completaron. Com lete lo si uiente:

1.1.1 Verificar la existencia de un proceso formal para probar y aprobar todos los cambios y las conexiones de red en la configuración de los firewalls y de los routers.

1.1.2.a Verifique que exista un diagrama actualizado de la red (por ejemplo, uno que muestre que los flujos de los datos de los titulares de tarjeta en la red) y que documenta todas las conexiones a los datos de los titulares de tarjeta, incluida toda red inalámbrica.

1.2 Aplicabilidad de la norma PCI DSS

La norma PCI DSS se aplica donde sea que se almacenen, procesen o transmitan información de los titulares de tarjetas de pago. La TABLA Nº _{1.3 muestra los datos que} forman parte del alcance de la norma y su ubicación de cada una de ellas en las tarjetas de pago se aprecia en la

_{Fig. 1.1.}

TABLANº _{1.3: Información de los titulares de tarjetas de pago} (Fuente: PCI Security Standards Council LLC)

¡�·::_D_at�,� ... ��t�1t1:1_·l�-r,��;1,:,!ff:1�tf:cde,1p_agQ};·jrr¡lJ;>a{9\·:99,:t!ft�,eoc1iJ��:;�:�f��g;tEJn,!J�ác;,!9'

�t �. 1.'1 -� \_� ,_ '�; ·� r,,J� -✓� _1_ '�' , ' ,, l:\�r. ��'-,e�,:';�;_,' �.��1.:"' .::�'�i,J\i,::/'; �',i�;���,¡;· .. _t��í�i�·t}:��� t!1�t��ll��:i�r��!:l1

i����r�r�t�?�

Número de cuenta principal (PAN) Banda magnética

Nombre del titular de tarjeta Chip (No implementado en Perú) Fecha de vencimiento CW/ CW2/CAV2/CVC2/CID

Código de servicio PIN/PIN Block

El número de cuenta principal (PAN) es el factor que define la aplicabilidad de los requisitos de la norma PCI DSS. Los requisitos se aplican si se almacena, procesa o transmite el PAN, caso contrario no se aplican los requisitos de la norma.

Circuito MY CAEOIT CARO

liiilílit

Fecha de vencimiento

CAV2/CID/CVC2/CW2 (todas las demás marcas de pago)

Banda magnética (datos en pistas 1 y 2)

Fig. 1.1:

Ubicación de los datos en una tarjeta (Fuente: PCI Security Standards Council LLC)

almacene, mediante técnicas de cifrado ó enmascaramiento.

La norma representa un conjunto mínimo de objetivos de control que puede ser reforzado con leyes y regulaciones locales, regionales y sectoriales. Además, la legislación o las regulaciones pueden requerir protección específica de la información de identificación personal u otros elementos de datos (por ejemplo, el nombre del titular de la tarjeta), o definir las prácticas de divulgación de una entidad en lo que respecta a la información de los consumidores. Un ejemplo claro es la legislación relacionada con la protección de los datos de los consumidores, la privacidad, el robo de identidad o la seguridad de los datos.

Es importante tener en cuenta que la norma no sustituye las leyes locales ni regionales, las regulaciones del gobierno ni otros requisitos legales.

En la TABLA Nº_{1.4 muestra los elementos que forman parte de los datos de} titulares de tarjetas y los datos confidenciales de autenticación que habitualmente se utilizan; independientemente de que esté permitido o prohibido el almacenamiento de dichos datos y de que esos datos deban estar protegidos.

TABLA Nº_{1.4: Datos que protegen la norma PCI DSS} (Fuente: PCI Security Standards Council LLC)

Nombre del titular de la tarjeta Código de servicio

Fecha de vencimiento

Datos completos de la banda Magnética

CAV2/CVC2/CW2/CID

PIN/Bloqueo de PIN

1.2.1 Datos del titular de la tarjeta

Si

a. Número de cuenta principal (PAN): Es el código numérico de 14 o 16 dígitos que se encuentra impreso sobre la parte frontal de una tarjeta bancaria que contiene: el identificador de las principales industrias del emisor de la tarjeta para identificar la cuenta individual y un dígito ó código verificador de la autenticidad del número de cuenta.

b. Nombre del titular de tarjeta: Son los datos personales completos del titular impresos en la parte frontal de una tarjeta bancaria.

encuentra impreso en la parte frontal de una tarjeta bancaria.

d. Código de servicio: Es un número de 3 dígitos basados en el estándar internacional IS07813 que indica a un terminal de pagos la aceptación de los parámetros empleados durante la transacción.

1.2.2 Datos confidenciales de autenticación

a. Banda magnética: Son los datos. codificados utilizados para la autorización de una transacción con tarjeta presente.

La información contenida en la banda magnética de las tarjetas las companias que forman parte del grupo PCI SSC se encuentra almacenada en dos pistas denominadas pista 1 y pista 2 que tienen formato y estructura de datos regulados por el estándar internacional IS07813, como se muestra en la Fig. 1.2.

PNI

C.-go _______________ _____,

�

---�

FtichadB

wnchniaflto ·-·--·

-QldigO dB MHVido __________________ __,

Fig. 1.2: Datos de la banda magnética

�--CVVICVC �---Resf!IVl!dopSfH

WlO conlidendal doJ srri:Mr do la t91j8Ut

(Fuente: PCI Security Standards Council LLC)

b. Chip: Contiene datos equivalentes a los de la banda magnética, así como también otros datos confidenciales, incluido el valor de verificación de la tarjeta en el chip de circuitos integrados (IC), que también se conoce como Chip CVC, iCW, CAV3 o iCSC.

c. CW/ CW2/CAV2/CVC2/CID: Es un código de tres o cuatro dígitos que proporciona una comprobación criptográfica de la información grabada en la tarjeta y no es parte del número de la tarjeta en sí. Este código, permite asegurarse que durante la transacción por Internet el cliente posee la tarjeta de crédito/débito, y que la cuenta de la tarjeta es

miembro del PCI SSC para el código CW.

TABLA Nº _{1.5: CW por compañía de pago}

(Fuente: Elaboración propia)

Visa lnternational CW2

MasterCard WorldWide CVC2

American Express CID

Discover Financia! Services CID

JCB CAV2

d. PIN: Es el número de identificación personal ó contraseña ingresado por el titular de la tarjeta durante una transacción con tarjeta presente.

e. PIN Block: Es una cadena de 64 bits que cifra el PIN para asegurar su transmisión a lo largo de toda la red hasta finalizar la transacción.

1.3 Redes y subredes 1.3.1 Direccionamiento 1Pv4

El protocolo IP identifica a cada ordenador que se encuentre conectado a la red mediante su correspondiente dirección. Esta dirección es un número de 32 bits en IPv4 , que debe ser único para cada servidor o computador, al que llamaremos "host". Las direcciones IP suelen representarse como cuatro cifras decimales, de de 8 bit cada una, separadas por puntos.

La dirección IP se utiliza para identificar tanto al host en concreto como la red a la que pertenece, de manera que sea posible distinguir a los host que se encuentran conectados a una misma red. Con este propósito, y teniendo en cuenta que en Internet se encuentran conectadas redes de tamaños muy diversos, se establecieron cinco clases diferentes de direcciones.

La Fig. 1.3 muestra las tres clases de direcciones propiamente dichas, A, By C, a las cuales se le agregan las clases D y E para representar a todos los receptores ("multicast") y para uso futuro.

Los primeros bits (sombreados) definen la clase de dirección que llevan los bits siguientes. A modo de referencia, con 8 bits se pueden tener 256 valores diferentes. Por ejemplo una dirección de IP sería 192.228.17.57 (en bits 11000000 11100100 00010001 00111001 ), que representa una dirección clase C.

Veamos las principales características de cada clase:

Sin embargo, el O y el 127 están reservados, por lo que sólo puede haber 126 direcciones de red clase A potenciales, las que corresponden al primer byte de la dirección. Los otros tres bytes (24 bits) están disponibles para cada uno de los hosts que pertenezcan a esta

misma red. Esto significa que podrán existir 224 _{= 16387064 computadores o servidores}

en cada una de las redes de esta clase. Este tipo de direcciones es usado por redes muy extensas, pero hay que tener en cuenta que sólo puede haber 126 redes de este tamaño. Por esto, son utilizadas por grandes redes comerciales, aunque son pocas las organizaciones que obtienen una dirección de "clase A". Lo normal para las grandes organizaciones es que utilicen una o varias redes de "clase 8".

H>

1

Dirección de la red (7 bits)

1

Dirección del Host (24 bits) j 1 ! O I Direcciónde lared(14bits) Dirección del Host(16bits)

11

l 1 I ®· 1 Dirección de la red (21 bits) Dirección del Host ( 8 bits)

Dirección multicast (28 bits)

,, ·1

1

1

1

1

11 1

o

1

Uso futuro (28 bits)

Fig. 1.3: Esquema de clases de direcciones IP (Fuente: www.oas.org)

b. Clase B: Estas direcciones utilizan en su primer byte los bits 1 O fijos (indicando clase 8) y junto con el resto de los bits del primer byte admiten direcciones desde 128=10000000 y 191=1011111, incluyendo ambos. En este caso el identificador de la red se obtiene de los dos primeros bytes de la dirección, teniendo que ser un valor entre 128.1 y 191.254 (no es posible utilizar los valores O y 255 por tener ser las direcciones de

red y la dirección de broadcast). Por lo tanto existirán 214 _{= 16384 redes clase B}

diferentes. Los dos últimos bytes de la dirección constituyen el identificador del host

permitiendo, por consiguiente, un número máximo de 216 _{= 64516 computadoras en la}

misma red. Este tipo de direcciones tendría que ser suficiente para la gran mayoría de las organizaciones grandes. En caso de que el número de ordenadores que se necesita conectar fuese mayor, sería posible obtener más de una dirección de "clase B", evitando de esta forma el uso de una de "clase A".

computadoras a cada red, ya que 28 _{=256 pero no se usan el O y el 255.}

d. Clase D: Se suele llamar clase D a las direcciones comenzadas por los bits 111 O fijos seguidos por la dirección "multicast" es decir para todos los destinos.

e. Clase E: Se suele llamar clase E a la direcciones reservadas para uso futuro.

La TABLA Nº _{1.6 resume las principales características de las direcciones de red}

de clase A, B y C.

A

1 .. 26

TABLANº _{1.6: Clases de direcciones IP}

(Fuente: www.oas.org)

1 byte 3 bytes 126 16387064

B 128 .. 191 2 bytes 2 bytes 16256 64516

e

192 .. 223 1.3.2 Subredes

3 bytes 1 byte 2064512 254

En el caso de algunas organizaciones extensas puede surgir la necesidad de dividir la red en otras redes más pequeñas (subredes). Entonces, los bits designados en cada clase para la dirección de hosts, se dividen en dos grupos. Parte de ellos define la subred, y el resto el computador dentro de la subred. Es necesario notar que para el mundo externo (que maneja las direcciones de red solamente), esta decisión de la red local, o grupo de computadores, pasa inadvertida. Entonces, cada subred puede administrar sus bits de dirección de host como desee.

La división de los bits de dirección de host en subredes se realiza a través de una "máscara" que es un patrón de bits definidos, que determina que bits son usados para identificar la subred, y qué bits identifican al computador dentro de la subred.

Por ejemplo, consideremos los siguientes valores, para una dirección clase C: Dirección IP: 192.228.15.57 en bits: 100000.11100100.00010001.00111001 Mascara: 255.255.255.224 en bits: 1111111.11111111.11111111.11100000 Sub red: 192.228.17.32 en bits: 1100000.11100100.00010001.00100000

Es decir, que de los últimos 8 bits, dedicados a la dirección de host en clase C, los primeros 3 bits (en azul) determinan la subred, y los últimos 5 (en rojo) enmascaran la dirección del computador dentro de la subred. El valor binario de los últimos 5 bits originales determinará la dirección del computador dentro de la subred. · En este ejemplo, la dirección 192.228.15.57 determina la red clase C 192.228.15, y dentro de ésta la subred número 1 = 001 y dentro de la subred 1, el computador 25=11001.

El conjunto está visto para el resto de Internet como la dirección 192.228.17.x, donde x representa la dirección de host clase C.

Dirección IP: 192.228.17.33

Dirección IP: 192.228.17.64

-�=""=�-=�-��!'!!!"""!!"""""'�...-��-�

Subred 2 -LAN Y

Fig. 1.4: Ejemplo de subredes (Fuente: www.oas.org) 1.3.3 VLAN

Una red de área local (LAN) está definida como una red de computadoras dentro de un área geográficamente acotada como puede ser una empresa o una corporación. Uno de los problemas que nos encontramos es el de no poder tener una confidencialidad entre usuarios de la LAN como pueden ser los directivos de la misma, también estando todas las estaciones de trabajo en un mismo dominio de colisión el ancho de banda de la misma no era aprovechado correctamente. La solución a este problema era la división de la LAN en segmentos físicos los cuales fueran independientes entre sí, dando como desventaja la imposibilidad de comunicación entre las LAN para algunos de los usuarios de la misma.

La necesidad de confidencialidad como así el mejor aprovechamiento del ancho de banda disponible dentro de la corporación ha llevado a la creación y crecimiento de las VLANs.

pueden estar en el mismo medio físico o bien puede estar sus integrantes ubicados en distintos sectores de la corporación.

La tecnología de las VLANs se basa en el empleo de switches, en lugar de hubs, de tal manera que esto permite un control más inteligente del tráfico de la red, ya que este dispositivo trabaja a nivel de la capa 2 del modelo OSI y es capaz de aislar el tráfico, para que de esta manera la eficiencia de la red entera se incremente. Por otro lado, al distribuir a los usuarios de un mismo grupo lógico a través de diferentes segmentos, se logra el incremento del ancho de banda en dicho grupo de usuarios. En la Fig. 1.5 se muestra un diagrama de una red segmentada por VLANs.

■

vLAN 1

11

VLAN 2

■

VLAN3

Fig. 1.5: Segmentación por VLANs

(Fuente: Elaboración propia)

1.4 Defensa en profundidad

Para reducir el riesgo en el entorno de la red, debe usar una estrategia de defensa en profundidad para proteger los recursos de amenazas externas e internas. El término defensa en profundidad procede de un término militar utilizado para describir la aplicación de contramedidas de seguridad con el fin de formar un entorno de seguridad cohesivo sin un solo punto de error. Las capas de seguridad que forman la estrategia de defensa en profundidad incluyen el despliegue de medidas de protección desde los enrutadores externos hasta la ubicación de los recursos, pasando por todos los puntos intermedios.

confidenciales de la organización. En el caso ideal, cada capa debe proporcionar diferentes formas de contramedidas para evitar que se utilice el mismo método de explotación en varias capas.

En la Fig. 1.6 se muestra una estrategia de defensa en profundidad eficaz:

Seguridad fisica

Directivas y procedimientos

-

-Fig. 1.6: Estrategia de defensa en profundidad (Fuente: www.microsoft.com)

Es importante recordar que sus recursos no son sólo datos, sino que cualquier elemento de su entorno es susceptible de ser atacado. Como parte de su estrategia de administración de riesgos, debe examinar los recursos que protege y determinar si dispone de protección suficiente para todos. Por supuesto, la cantidad de medidas de seguridad que pueda aplicar dependerá de la evaluación de riesgos y el análisis de costos y beneficios de la aplicación de contramedidas. Sin embargo, el objetivo consiste en garantizar que un atacante necesitará unos conocimientos, tiempo y recursos significativos para superar todas las contramedidas y tener acceso a sus recursos.

1.4.1 Defensa de datos

Para muchas empresas, uno de los recursos más valiosos son los datos. Si estos datos cayeran en manos de la competencia o sufrieran daños, tendrían problemas importantes.

A nivel de cliente, los datos almacenados localmente son especialmente vulnerables. Si se roba un equipo portátil, es posible realizar copias de seguridad, restaurar y leer los datos en otro equipo, aunque el delincuente no pueda conectarse al sistema.

1.4.2 Defensa de aplicaciones

de seguridad del sistema operativo para proporcionar seguridad. No obstante, es responsabilidad del programador incorporar la seguridad en la aplicación para proporcionar una protección adicional a las áreas de la arquitectura a las que la aplicación puede tener acceso. Una aplicación existe en el contexto del sistema, de modo que siempre se debe tener en cuenta la seguridad de todo el entorno al considerar la seguridad de una aplicación.

Se debe probar en profundidad el cumplimiento de la seguridad de cada aplicación de la organización en un entorno de prueba antes de permitir que se ejecute en una configuración de producción.

1.4.3 Defensa de hosts

Debe evaluar cada host del entorno y crear directivas que limiten cada servidor sólo a las tareas que tenga que realizar. De este modo, se crea otra barrera de seguridad que un atacante deberá superar antes de poder provocar algún daño. Adicionalmente, "Asegurar servidores basándose en su función", a través de directivas y buenas prácticas de seguridad.

Un modo de hacerlo consiste en crear directivas individuales en función de la clasificación y el tipo de datos que contiene cada servidor. Por ejemplo, las directivas de una organización pueden estipular que todos los servidores Web son de uso público sólo pueden contener información pública. Sus servidores de bases de datos están designados como confidenciales de la empresa, lo que significa que la información debe protegerse a cualquier precio.

1.4.4 Defensa de redes

Si dispone de una serie de redes en la organización, debe evaluarlas individualmente para asegurarse de que se ha establecido una seguridad apropiada. Si un enrutador sufre un ataque eficaz, puede denegar el servicio a partes enteras de la red.

Debe examinar el tráfico admisible en sus redes y bloquear el que no sea

Los firewalls son una parte importante de la defensa del perímetro. Necesitará uno o más firewalls para asegurarse de minimizar los ataques externos, junto los sistemas de detección y prevención de intrusos para estar seguro de detectar los ataques en caso de que se produzcan.

También debe recordar que, para las redes que permiten el acceso remoto, el perímetro puede incluir los equipos portátiles del personal e incluso los equipos domésticos. Deberá asegurarse de que estos equipos cumplen con los requisitos de seguridad antes de que se conecten a la red y que emplean un canal seguro tipo VPN.

1.4.6 Defensa física

Todo entorno en el que usuarios no autorizados puedan obtener acceso físico a equipos es inherentemente inseguro. Un ataque de denegación de servicio muy eficaz puede ser simplemente quitar el sistema de alimentación de un servidor o las unidades de disco. El robo de datos (y la denegación de servicio) puede producirse si alguien roba un servidor o incluso un equipo portátil.

Debe considerar la seguridad física como un elemento fundamental para su estrategia de seguridad global. Una prioridad principal será la de establecer una seguridad física para las ubicaciones de los servidores. Puede tratarse de salas de servidores del edificio o de centros de datos enteros.

También debe tener en cuenta los accesos a los edificios de la organización. Si alguien puede tener acceso a un edificio, puede tener oportunidades para llevar a cabo un ataque aunque ni siquiera pueda conectarse a la red. Estos ataques pueden incluir:

• La denegación de servicio (por ejemplo, conectar un equipo portátil a la red como

servidor DHCP o desconectar la alimentación de un servidor)

• El robo de datos (por ejemplo, robar un equipo portátil o detectar paquetes en la red

interna).

• La ejecución de código malicioso (por ejemplo, activar un gusano desde el interior

de la organización).

• El robo de información de seguridad crítica (por ejemplo, cintas de copia de

seguridad, manuales de funcionamiento y diagramas de red).

• Como parte de la estrategia de administración de riesgos, debe determinar el nivel

de seguridad física apropiado para su entorno. A continuación se enumeran algunas de las posibles medidas de seguridad física.

• Establecer seguridad física para todas las áreas del edificio (esto puede incluir tarjetas de acceso, dispositivos biométricos y guardias de seguridad).

• Requerir a los visitantes que vayan acompañados en todo momento.

informáticos.

• Requerir a todos los empleados que registren cualquier dispositivo portátil de su

propiedad.

• Fijar físicamente todos los equipos de sobremesa y portátiles a las mesas.

• Requerir que se registren todos los dispositivos de almacenamiento de datos antes

de sacarlos del edificio.

• Ubicar los servidores en salas separadas a las que sólo tengan acceso los

administradores.

• Conexiones a Internet, alimentación, sistemas antiincendios, etc. Redundantes.

• Protección contra desastres naturales y ataques terroristas.

• Establecer seguridad para las áreas en las que se puede dar un ataque por

denegación de servicio (por ejemplo, las áreas en las que el cableado sale del edificio principal).

1.4.7 Políticas y procedimientos

Casi todas las medidas descritas hasta ahora están destinadas a evitar el acceso no autorizado a los sistemas. No obstante, está claro que habrá personas de su entorno que necesiten acceso de alto nivel a los sistemas. Toda estrategia de seguridad será imperfecta a menos que pueda garantizar que estas personas no van a hacer un uso indebido de los derechos que se les han concedido.

Antes de contratar a nuevos empleados para la organización, debe asegurarse de que se someten a un proceso de investigación de seguridad, con una investigación más rigurosa para aquellos que vayan a tener un mayor acceso a los sistemas.

Respecto a los empleados existentes, resulta esencial que sean conscientes de las directivas de seguridad y de lo que está permitido y prohibido (y, preferiblemente, también por qué). Esto es importante por dos razones. En primer lugar, si los empleados no son conscientes de lo que está prohibido, pueden llevar a cabo acciones que inconscientemente pongan en peligro la seguridad del entorno. En segundo lugar, si un empleado ataca adrede su entorno de TI y no se ha prohibido explícitamente en las directivas de la empresa, puede resultar muy difícil entablar demanda contra esta persona.

1.5 Firewall

Los firewalls son dispositivos de red que restringen el acceso entre redes. En la actualidad, muchas compañías emplean el firewall para restringir el acceso desde

Internet a sus redes privadas, como se puede apreciar en la Fig. 1.7.

Sin embargo, los firewalls se pueden usar para restringir el tráfico de rede entre dos segmentos internos, por ejemplo, un administrador de red puede restringir el acceso entre las redes de desarrollo e investigación configurando un firewall en la frontera de ambas redes.

Fig. 1.7: Firewall como protección a Internet (Fuente: Elaboración Propia)

Los firewalls monitorean los paquetes que ingresan ó salen de la red que protegen, filtrando los paquetes que no cumplen con las políticas de seguridad que tienen configuradas. Los paquetes son filtrados basados en las direcciones origen ó destino, puertos, tipos de paquetes, tipo de protocolo, etc.

1.5.1 Tecnologías de los firewalls

A continuación se procede a describir cada una de las diversas tecnologías que se pueden emplear al momento de implementar un firewall.

a. Filtrado de paquetes: Es la característica básica de un firewall y basa sus decisiones en directivas o políticas denominadas "reglas".

• Protocolo de red o transporte empleado en la comunicación, por ejemplo TCP, UDP o lCMP.

• Puerto origen ó destino de la sesión, por ejemplo TCP 80 si el destino es un servidor web o TCP 1320 si el puerto origen pertenece al acceso de una equipo personal a un servidor.

• La interface por donde pasa el paquete y su dirección (inbound u outbound).

Este tipo de firewall es vulnerable a ataques que toman ventaja de problemas en las capas TCP/IP. Por ejemplo, el filtrado de paquetes no tiene la capacidad de detectar cuando la dirección IP de un paquete ha sido alterada con propósitos maliciosos.

b. Inspección de estados: La inspección de estados mejora las funciones del filtrado de

paquetes a través del seguimiento del estado de la conexión y bloqueando paquetes que provienen de un estado que no ha sido identificado previamente. De la misma manera que el filtrado de paquetes, la inspección de estados intercepta los paquetes y los inspecciona para ver si ellos están permitidos por alguna regla existente en el firewall, sin embargo, mantiene el estado de la conexión en una tabla denominada "Tabla de estados". Los detalles de la "Tabla de estados" varían según la marca y modelo de los firewalls, pero típicamente incluyen la dirección IP origen, la dirección IP destino, el número del puerto, el estado de la conexión.

Para los protocolos del tipo TCP existen tres principales de estados:

• Establecimiento de la conexión - "lnitiated" • Conexión en uso - "Established"

• Terminación de la conexión - "Closed"

En la TABLANº _{1.7 se muestra el ejemplo de una tabla de estados de un firewall al} cual un equipo de la red 192.168.1.100 intenta conectarse al equipo con IP 192.0.2.71, primero se revisa si existe alguna regla que permita o deniegue el acceso.

TABLANº _{1.7: Ejemplo de tabla de estados} (Fuente: Elaboración propia)

192.168.1.100 1030

192.0.1.71

192.168.1.102 1031 10.12.18.74

192.168-1-101 1033 10.66.32.122

192.168.1.106 1035 10.231.32.12

Para los protocolos UDP, que no tienen un proceso formal para inicializar, establecer y terminar una conexión, su estado no puede ser establecido en la capa de transporte como es el caso de TCP. Para estos protocolos, los firewall con inspección de estados sólo hacen seguimiento a la IP origen, la IP destino y el puerto. Debido a que el firewall no puede determinar cuando la sesión ha finalizado, la entrada es removida de la tabla de estados luego de un tiempo de expiración configurado en el equipo.

c. Firewall de aplicaciones: Una tendencia reciente en la inspección de estado es agregarle la capacidad de análisis del estado del protocolo, denominado por algunos fabricantes inspección profunda de paquetes ó por su nombre en inglés "Deep Packet lnspection". Esto permite a un firewall permitir o denegar el acceso basado en el comportamiento de la aplicación en la red. Por ejemplo, un firewall de aplicaciones puede determinar si un mensaje de correo electrónico contiene un tipo de archivo adjunto que la organización no permite. Otra característica de esta tecnología es que puede bloquear las conexiones sobre las que se realizan acciones específicas, como por ejemplo prevenir el uso del comando PUT al usar el servicio FTP, el cual permite escribir archivos en el servidor FTP. Los firewalls de aplicaciones se encuentran disponibles para muchos protocolos como por ejemplo HTTP, base de datos (SQL), correo electrónico (SMTP, POP, IMAP) y voz sobre IP (VolP).

Firewalls que tienen la capacidad de inspección de estados e inspección de protocolos no se deben de considerar como reemplazo de equipos de detección y prevención de intrusos, conocido por sus siglas IDPS, el cual ofrece un análisis mucho más extensivo, por ejemplo el uso de análisis basado en firmas ó anomalías en el tráfico de red.

d. Gateway Proxy de aplicaciones: Un Gateway Proxy de aplicaciones es una característica de los firewalls avanzados que combinan las funcionalidades de control de accesos en las capas inferiores con las capas superiores. Estos firewalls contienen un agente proxy como intermediario entre dos equipos que desean comunicarse el uno con el otro. Cada conexión establecida es resultado de dos conexiones separadas, una entre el cliente y el proxy, y otra entre el proxy y el destino.

Además de las reglas configuradas en un firewall, alguno agentes proxy tienen la capacidad de requerir autenticación a cada usuario de la red. Esta autenticación puede ser de varias maneras, por ejemplo usuario y contraseña, token tipo hardware o software y biométrica.

cuerpo del protocolo de aplicación.

La principal ventaja de este tipo de tecnología sobre los firewalls de aplicaciones es que previene conexiones directas entre dos equipos, inspecciona el contenido del tráfico para identificar violaciones en las reglas configuradas. Otra potencial ventaja es que posee la ventaja de descifrar paquetes, examinarlos y volverlos a cifrar antes de ser enviados a su destino.

Firewalls con gateway proxy de aplicaciones pueden tener muchas desventajas comparadas con el filtrado de paquetes e inspección de estados. Primero, debido a que analiza todo el paquete, el firewall toma mucho más tiempo para tomar una decisión. Otra desventaja es que tiende a ser limitado en términos de soportar nuevas aplicaciones y protocolos de red, una aplicación específica requiere un agente proxy específico.

e. Proxy dedicado: A diferencia de los gateway proxy de aplicaciones es que posee capacidades limitadas a nivel de firewall. Debido a que poseen limitadas capacidades de firewall, como el bloqueo de tráfico basado el origen o destino son típicamente desarrollados detrás de plataformas tradicionales de firewalls. Un ejemplo es el HTTP proxy implementado detrás de un firewall, los usuarios necesitarán conectarse al proxy para luego conectarse con los servidores web.

Los proxy dedicados son generalmente empleados para reducir la carga de procesamiento en los firewall.

1

Outbound Request

l.Afl,1

Firewall

►·

2

Filtered Request

Fig. 1.8: Diagrama de red que emplea un HTTP Proxy (Fuente: National lnstitute of Standards and Technology)

a usuario. Muchas organizaciones habilitan la característica de "caché" para que las solicitudes a páginas web frecuentes sean respondidas por el proxy, reduciendo el tráfico de red y mejorando los tiempos de respuesta.

f. Redes privadas virtuales (VPN): Los firewalls situados en la frontera de una red son requeridos muchas veces para hacer más que bloquear el tráfico de red no deseada. Un requerimiento común para ellos es cifrar y descifrar el tráfico de red para proteger la información de redes externas. Una red privada virtual, conocida por sus siglas VPN es la que proporciona una comunicación segura entre redes. Por ejemplo, la tecnología VPN es ampliamente usada para extender de manera segura las comunicaciones entre sedes de una misma compañía a través de Internet.

Las dos arquitecturas más comunes para las VPN son "gateway-to-gateway'' y "host-to-gateway''. Gateway-to-Gateway, conecta múltiples sedes sobre una red pública a través de "VPN gateways". Un VPN gateway usualmente es un dispositivo de red como un firewall o enrutador. Cuando la VPN es establecida entre los dos gateways, los usuarios de las sedes remotas pueden conectarse de manera segura con los equipos de la sede principal. Host-to-Gateway, provee una conexión segura a la red para equipos de los usuarios, conocidos como "usuarios remotos".

Para que un firewall tenga la capacidad de VPN requiere recursos adicionales a nivel de procesamiento y memoria que dependen de la cantidad de tráfico y el tipo de encriptación empleada.

g. Control de acceso a redes: Es otro requerimiento común para los firewalls que se encuentran en el perímetro de una red, el cual consiste en revisar las conexiones entrantes de usuarios remotos y tomar decisiones para permitir o denegar el acceso. La revisión que se realiza esta basada principalmente en las siguientes políticas:

• Actualizaciones instaladas en los programas como antimalware, antivirus. • Parámetros de configuración del antivirus, antimalware.

• Nivel de parches de seguridad del sistema operativo y aplicaciones previamente definidas.

• Parámetros de configuración del sistema operativo y aplicaciones previamente definidas.

Para la revisión del cumplimiento de las políticas el firewall requiere que los equipos de los usuarios tengan instalado un agente.

de implementar un UTM es que reduce la complejidad de la red. Sin embargo, el tener muchas funcionalidades habilitadas en un mismo equipo conlleva a un mayor consumo de memoria y degradación en la velocidad de procesamiento del CPU.

i. Firewall de aplicaciones web: El protocolo HTTP usado en los servidores web ha sido el principal punto de ataque por parte de los hackers que aprovechan la falta de controles de seguridad en las aplicaciones web instaladas en estos servidores.

Por este motivo, la función principal de un firewall de aplicaciones web es aplicar políticas de protección ante las amenazas de seguridad más populares sobre las aplicaciones web, por ejemplo inyección de código SQL mal intencionado, inserción de código web malicioso, entre las principales.

1.5.2 Arquitecturas de firewalls

Los firewalls pueden ser situados en diferentes lugares sobre una red, pueden proteger una red interna de redes externas y actuar como un punto de choque para todo el tráfico. Un firewall puede ser usado para segmentar una red y reforzar los controles de acceso entre sub redes. Adicionalmente pueden ser empelados para crear una red desmilitarizada, conocida como DMZ.

En la Fig. 1.9 se muestra el diagrama de una red con un segmento DMZ basada en dos firewalls conectados en línea.

LAN interna

Fig. 1.9: Red con segmento DMZ configurado (Fuente: CISSP all in one Exam Guide)

¡

Router

se permitan hacia la red externa, es decir que los equipos que se encuentran en la DMZ no se puedan conectar con los equipos de la red interna. Para cualquiera de la red externa que sea conectarse a la red interna, la zona desmilitarizada se comporta como una jaula. La red DMZ usualmente contiene servidores de servicio público como servidores Web, servidores DNS, interfaces web de servidores de correo, servidores FTP, servidores SFTP.

Una DMZ se crea en base a opciones de configuración de firewall, donde cada red se conecta a una interface independiente.

a. Firewall Dual-Homed: Es un dispositivo que tiene dos interfaces (red interna y red externa) y no dejan pasar paquetes IP (como sucede en el caso del filtrado de paquetes), tal como se muestra en la Fig. 1.10.

Un usuario interior que desee hacer uso de un servicio exterior, deberá conectarse primero al firewall, donde este actúa como proxy para atender su solicitud, y en base a las políticas configuradas éste permitirá o denegará la solicitud.

Fig. 1.1 O: Arquitectura Dual-Homed (Fuente: Elaboración propia)

entre compañías, otra DMZ puede alojar los servidores que brindan servicios del tipo públicos como DNS, Mail y finalmente una DMZ que aloje los servidores que contienen la página web de la compañía. La finalidad de tener más de una DMZ es asegurar que si uno de las DMZ es comprometida, los servicios que se encuentran en las otras DMZ no sean accesibles por el atacante.

En la Fig. 1.11 se muestra un firewall configurado bajo la arquitectura "multihomed" recomendado por Microsoft para la implementación de su servicio de correo electrónico (Microsoft Exchange).

c. Screened Host: Un Screened host es un firewall que comunica directamente un

enrutador perimetral con la red interna. La Fig. 1.12 muestra este tipo de arquitectura. El tráfico recibido desde Internet es primero filtrado mediante "filtrado de paquetes" en el enrutador. El Screened host es el único dispositivo que recibe el tráfico directamente desde el enrutador, ningún paquete va directamente desde Internet a través del enrutador hacia la red interna.

DMZ de acceso autenticado DMZ de acceso anónimo

Router

ISA Firewall

Servidor ¡Exchange ¡ Back-end

�

·

·

---

---

-

•-;;

-

_..,_,

- -

-Controlador de dominio:

! Red Interna/Corporativa t.. 111& H. ll■&a I& lt HOMI ....

Fig. 1.11: Arquitectura Multihomed - Microsoft Exchange

El término "screening" en este contexto se muestra en la _{Fig. 1.12} el enrutador es el dispositivo "screening" y el firewall es el "Screened host".

Dispositivo

"Screening"

_Dispositivo

"Screened''

Red interna

Fig. 1.12: Arquitectura firewall screened host (Fuente: CISSP all in one Exam Guide)

d. Screened Subnet: La arquitectura "screened-subnet" agrega una capa de seguridad a la arquitectura screened-host. El firewall externo protege los datos que ingresan a la red DMZ. Sin embargo, en lugar que este firewall redirija el tráfico hacia la red interna, un firewall interno filtra el tráfico. Es decir, la DMZ es creada empleando dos firewalls físicamente diferentes, tal como se muestra en la _{Fig. 1.13.}

Dispositivo

11

Screening" Firewall

Subred "Screened"

Servidor

DNS

�I

J

Servidor

Correo

Fig. 1.13: DMZ creada entre 2 firewalls (Fuente: CISSP all in one Exam Guide)

En un ambiente screened-host, si un atacante rompe la seguridad del firewall, no se tiene un mecanismo que permita prevenir su acceso a la red interna. Por el contrario, en un ambiente usando screened-subnet, un atacante tendría que vulnerar la seguridad del otro firewall para obtener el acceso a la red interna.

La Fig. 1.14 muestra una red screened-subnet, en la cual se tienen dos firewalls que protegen distintos servidores pero comparten un mismo punto de conexión a la red externa y otro punto en común para la red interna.

1

Fig. 1.14: Arquitectura screened-subnet basada en dos firewalls (Fuente: CISSP all in one Exam Guide)

La Fig. 1.15 muestra una arquitectura de red que tiene dos screened-subnet, con enrutadores independientes para la conexión a la red externa e interna .

/

Fig. 1.15: Screened-subnet de dos firewalls (Fuente: CISSP all in one Exam Guide)

1.6 Sistema de detección y protección de intrusos del tipo red

Red interna

1.6.1 Metodologías que emplean los IDPS

a. Detección basada en firmas: Una firma es un patrón que corresponde a una amenaza conocida. La detección basada en firmas es el proceso de comparar firmas con los eventos observados para identificar posibles incidentes. Ejemplos de firmas son:

• Intentos de acceso vía telnet usando el usuario "administrador'' • Un correo electrónico con una archivo adjunto "freepics.exe"

b. Detección basada en comportamientos anómalos: Este proceso consiste en comparar definiciones de que actividad es considerada normal contra los eventos observados para identificar desviaciones. Un IDPS que emplea este mecanismo emplea perfiles que representan un comportamiento normal en la red o en los hosts, los perfiles son desarrollados en base al monitoreo de las actividades por un periodo de tiempo. Por ejemplo, un perfil podría ser la actividad de su servidor web consume en promedio el 13% de su ancho de banda de Internet durante las horas de trabajo.

c. Análisis del estado del protocolo: Este proceso compara perfiles predeterminados de actividades del estado del protocolo contra los eventos monitoreados para identificar desviaciones. A diferencia de la detección basada en el comportamiento anómalo, el cual usa perfiles de la red o de los hosts, el análisis del estado del protocolo se basa en los perfiles creados por el fabricante del IDPS que especifica como ciertos protocolos deben o no deben de ser empleados. Es capaz de entender y hacer seguimiento al estado del protocolo sobre el cual tiene conocimiento, permitiéndole detectar muchos ataques que otros no puede. El principal problema con este método es que es imposible desarrollar modelos totalmente exactos para los protocolos, consume gran cantidad de recursos y no puede detectar ataques que no violen las características generales del comportamiento del protocolo.

1.6.2 Componentes de un sistema IDPS

a. Sensor o agente: Es el encargado de monitorear la actividad. El término sensor es empleado para monitorear redes y el término agente para monitorear hosts.

Servidor de administración: Es un dispositivo central que recibe la información de los sensores o agentes para administrarlos.

b. Base de datos: Es el repositorio de los eventos monitoreados por los sensores, agentes y servidores de administración.

c. Consola: Es un programa que permite brinda a los administradores una interface para configurar los sensores o agentes, aplicar actualizaciones, monitorear el estado de actividad de los sensores o agentes, etc.

administración de los equipos, esta red es conocida como "Red de Gestión y Administración". Si una red de gestión y administración es empleada, cada sensor o host que tenga instalado un agente debe de tener una interface adicional conocida como "Interface de Administración", además cada sensor o host de los agentes no permite el tráfico entre la interface de administración y cualquier otra interface. Esta arquitectura aísla la administración y gestión de los equipos de la red de servicios productivos. Los beneficios de emplear esta arquitectura protegen al sistema de ataques como por ejemplo, ataques distribuidos de denegación de servicios. Sin embargo, la principal desventaja de esta arquitectura es que incrementa el costo de implementación.

En caso no se implemente una red separada para la administración de los IDPS, otra alternativa es crear redes virtuales de administración empleando LAN virtuales (VLAN). Usar VLAN brinda un adecuado nivel de protección pero no como una red de administración separada, debido a que errores de configuración en las VLAN podría exponer la seguridad del sistema. Por ejemplo, un ataque de denegación de servicio distribuido podría saturar la VLAN y por ende impactar contra la disponibilidad y funcionamiento adecuado del sistema de protección y detección de intrusos.

A continuación se procede a explicar los modos de implementación de los agentes: a. lnline: Es desarrollado para monitorear el tráfico que pasa a través de la red. El principal motivo de contar con este modo es tener la capacidad de bloquear ataques. Usualmente los sensores implementados bajo este modo son situados detrás del firewall que protege la red interna de redes externas, en la Fig. 1.16 se muestra un ejemplo. b. Passive: En este modo el IDPS monitorea una copia del tráfico de red, es decir, el tráfico no pasa a través del sensor. Los sensores en este modo pueden monitorear el tráfico principalmente de las siguientes maneras:

• Spanning Port: Muchos switches poseen la capacidad de configurar un puerto en modo "spanning" el cual puede ver todo el tráfico que pasa a través del switch. Al conectar el sensor al puerto configurado en este modo podrá monitorear el tráfico de red que pasa a través de este switch. El principal problema al configurar este modo sobre un puerto es el incremento en uso de recursos de procesamiento y memoria del switch. • Network tap: El "tap" es un dispositivo que permite el monitoreo de los datos que pasan a través de dos puntos en la red. Si el medio de comunicación entre dos puntos A y B en una red es un cable físico, un "network tap" puede ser una alternativa para lograr el monitoreo. Este dispositivo posee al menos tres puertos, un puerto A, un puerto B y puerto de monitoreo. Un tap es insertado entre los puntos A y B replicando el tráfico al puerto de monitoreo.

monitoreo, incluyendo sensores. Puede recibir copias de tráfico de red de uno o más puertos configurados en modo "spanning port", "network tap" o sensores IDPS para distribuirlas en uno o más dispositivos de monitoreo basado en reglas configurado por el administrador. Las configuraciones más comunes son: Enviar todo el tráfico a múltiples sensores IDPS, dividir dinámicamente el tráfico entre múltiples sensores IDPS basados en el volumen y dividir el tráfico entre múltiples sensores IDPS basados en direcciones IP, protocolos u otra característica .

.,,... ...

�·-·""'

e

Internet

Router

Switch

Firewall

Sensor IDPS

Switch

Interface de monitoreo

Interface de�� ....

=---

.

.

..

.

.... ···

gestión

···-'ºteriace

de monitoreo

Red interna

Servidor

de gestión

IDPS

La

Flg. 1.17

muestra sensores en modo 11Passlve" conectados a una red que

emplea IDS Load Balancer, Network taps y Spannlng Ports.

Internet

Red

interna

Network

tap

Balanceo

de carga IDPS

Puerto "Spannlng" ,

.

.

.

.

/ f

Sensor IOPS

Servidor de gestión

IDPS

Flg. 1.17:

Ejemplo de arquitectura de red que emplea IDPS en modo 11Passive"

(Fuente: National lnstitute of Standards and Technology)

1.7 Modelo Jerárquico en el diseno de redes LAN

¡

Fig. 1.18 Modelo de redes jerárquica (Fuente: redesweb.com)

ACCESO

Entre las ventajas que existen al separar la redes en 3 niveles es que resulta más fácil diseñar, implementar, mantener y escalar la red, además de que la hace más confiable, con una mejor relación costo/beneficio. Cada capa tiene funciones específicas asignadas y no se refiere necesariamente a una separación física, sino lógica; así que podemos tener distintos dispositivos en una sola capa o un dispositivo haciendo las funciones de más de una de las capas.

1.7.1 Capa de acceso

tales como enrutamiento, filtrado y acceso a WAN.

En un entorno de sede principal, la capa de distribución abarca una gran diversidad de funciones, entre las que figuran las siguientes:

• Servir como punto de concentración para acceder a los dispositivos de capa de acceso.

• Enrutar el tráfico para proporcionar acceso a los departamentos o grupos de trabajo.

• Segmentar la red en múltiples dominios de difusión / multidifusión.

• Traducir los diálogos entre diferentes tipos de medios, como Token Ring y Ethernet • Proporcionar servicios de seguridad y filtrado.

La capa de distribución puede resumirse como la capa que proporciona una conectividad basada en una determinada política, dado que determina cuándo y cómo los paquete pueden acceder a los servicios principales de la red. La capa de distribución determina la forma más rápida para que la petición de un usuario (como un acceso al servidor de archivos) pueda ser remitida al servidor. Una vez que la capa de distribución ha elegido la ruta, envía la petición a la capa de núcleo. La capa de núcleo podrá entonces transportar la petición al servicio apropiado.

1.7.3 Capa de núcleo

La capa del núcleo, principal o "Core" se encarga de desviar el tráfico lo más rápidamente posible hacia los servicios apropiados. Normalmente, el tráfico transportado se dirige o proviene de servicios comunes a todos los usuarios. Estos servicios se conocen como servicios globales o corporativos. Algunos de tales servicios pueden ser correo electrónico, el acceso a Internet o la videoconferencia. Cuando un usuario necesita acceder a un servicio corporativo, la petición se procesa al nivel de la capa de distribución. El dispositivo de la capa de distribución envía la petición del usuario al núcleo. Este se limita a proporcionar un transporte rápido hasta el servicio corporativo solicitado. El dispositivo de la capa de distribución se encarga de proporcionar un acceso controlado a la capa de núcleo.

1.8 Arquitectura de red orientada a servicios

Conocido también por sus siglas de su nombre en inglés SONA (Service Oriented Network Architecture), es un modelo de arquitectura de red diseñada por la compañía Cisco que muestra cómo los sistemas integrados a lo largo de una red totalmente convergente permiten flexibilidad, al tiempo que la estandarización y la virtualización de los recursos incrementa la eficiencia. Este enfoque puede ayudar a:

• Diseñar funciones avanzadas de red en la infraestructura.

habilitar soluciones empresariales.

• Proporcionar mejores prácticas y modelos de eficacia comprobada para lograr el

éxito.

1.8.1 Capas del modelo de arquitectura SONA

El modelo de arquitectura SONA posee tres capas, tal como se aprecia en la Fig. 1.19 y se detalla a continuación:

a. La capa de infraestructura en red: donde todos los recursos de tecnología están interconectados a través de los cimientos de una red convergente.

b. La capa de servicios de red: que permite la localización inteligente de recursos para las aplicaciones y los procesos de negocios provistos a través de la Infraestructura en Red.

c. La capa de aplicaciones: que contiene las aplicaciones de negocios y colaborativas

que impulsan la eficiencia de los seNicios interactivos.

· .,:. �7 ,,f '-• ; 1 · .

Fig. 1.19: Marco de la arquitectura SONA

2.1 Descripción del problema

Actualmente en el Perú, las compañías de tarjetas de crédito ó débito más relevantes del mercado, VISA, MasterCard y American Express no exigen el cumplimiento de la norma PCI DSS. Sin embargo, desde el 2007 las auditorías que realizan estas compañías a las entidades bancarias basan sus evaluaciones en los requisitos de la norma PCI DSS.

La entidad bancaria sobre la cual se centra el presente informe es una de las instituciones financieras más importantes del país y posee una trayectoria de más de 100 años y como parte de su proceso de expansión adquirió otras empresas del sistema financiero peruano. Por este motivo es una organización que ha sufrido cambios importantes a lo largo de los años en sus procesos, su infraestructura tecnológica y sus recursos.

Debido a lo expuesto en el párrafo anterior, el principal problema para esta entidad financiera es la convivencia de todos sus sistemas en una única red, es decir que los sistemas que procesan, transmiten y almacenan datos de tarjetas de pago comparten la red con los usuarios, los sistemas de desarrollo, los sistemas de certificación y los sistemas de producción que no emplean datos de tarjeta.

Por este motivo las medidas que se cuentan para mitigar el riesgo de exposición a la fuga de información involucran una inversión elevada con respecto a otras instituciones de menor tamaño o que cuentan con una segmentación de red adecuada.

2.2 Objetivos del informe

El presente trabajo tiene por objetivos:

• Mostrar la metodología empleada por la institución financiera para cumplir con los requisitos de la norma PCI DSS para el diseño y arquitectura de red actual.

• Presentar los criterios de diseño para la implementación del diseño y arquitectura de red.

2.3 Evaluación del problema

procesos, las normas o políticas internas, la infraestructura tecnológica, y recursos humanos que procesan, transmiten o almacenan los datos de los titulares de tarjetas de crédito o débito.

En la _{Fig. 2.1} se muestra como los requisitos de la norma cruzan de manera transversal los puntos mencionados en el párrafo anterior.

-Tecnología:

Firewall. IDS/IPS, cifrado de base de datos, configuración segura de servidores, antivirus, etc.

Gestión de actualizaciones de seguridad, ges1ión de cambios , gestión de vulnerabilidades, gestión de incidentes. desarrollo seguro de aplicaciones, ate.

Políticas de seguridad de información y estándares, monitoreo de v.ulnerabilidades, interacción con empresas terceras , etc.

Capacitación en seguridad de información, conocimiento de las políticas de seguridad de información, seguridad flsica, etc.

Fig. 2.1: Interacción de los requisitos de la norma PCI DSS con los recursos (Fuente: Elaboración propia)

En ta _Fig.2.2 se muestra el diagrama de red actual sobre el cual se debe de diseñar la segmentación de la red y protección perimetral de los sistemas que formen parte del alcance de la norma PCI DSS.

; .' :t , ,.i ZUJCURBAlfS

S<.Nldoros<I<> baoo d<> dosos, do orehlvoo, de outenlicoción, da COITOO, do aplicaciones, de

lmprosoms, ele.

Perímetro Malnlrame

2.4 Limitaciones del informe

Para desarrollar el presente trabajo, debe de realizarse la revisión del diseño actual de la red e identificar los requisitos de la norma PCI DSS que requieren implementación de medidas correctivas. Seguidamente formular una solución e implementarla. La complejidad de este proceso se complementa con ciertos factores que intervienen en su viabilidad.

2.4.1 Limitaciones en el diseño de red

El presente estudio se enfoca en el diseño y segmentación de la red que permita reducir el alcance de los sistemas que sean evaluados para el cumplimiento de la norma. Adicionalmente, se busca incrementar el nivel de protección perimetral del entorno de red que se obtenga como resultado de la segmentación de red con la implementación firewalls, sistemas de detección y protección contra intrusos y firewall de aplicaciones web.

2.4.2 Limitaciones en la gestión de seguridad de la información

Este caso de estudio está focalizado en los requisitos de la norma que están relacionados con la implementación de medidas correctivas tecnológicas sobre el diseño y arquitectura de red, no se consideran los requisitos que estén relacionados con:

• La gestión de la seguridad de la información, como lo son la elaboración de procedimientos, la implementación de políticas, la creación estándares de seguridad, la implementación de metodologías de desarrollo seguro.

• La seguridad en dispositivos finales como computadoras, laptops y dispositivos móviles.

• Las consideraciones para el desarrollo seguro de aplicaciones.

• La gestión de incidentes.

• La definición de roles y responsabilidades.

• Los planes de continuidad del negocio.

• Interacción con proveedores.

2.5 Síntesis del informe

El presente informe muestra la metodología empleada por una institución financiera para la implementación de medidas correctivas en su diseño y arquitectura de red con la finalidad de reducir el entorno sobre el que las auditorías de las compañías de tarjetas de pago evalúan el cumplimiento de la norma.

El informe inicia con el capítulo I donde mostramos todo la descripción general de la norma PCI DSS, los conceptos generales para el diseño de una red y los fundamentos de seguridad informática, que son la base conceptual para el desarrollo de este informe.

red, donde se tomará en consideración todos los requerimientos relacionados al diseño y arquitectura de una red. Entre ellos se encuentran la adecuada segmentación de la red, la implementación de firewalls y sistemas de detección y protección contra intrusos.

El capítulo IV muestra los resultados y costos del recurso humano y equipamiento necesarios para el despliegue de la metodología y su aplicación sobre el diseño de red.