UNIVERSIDAD REGIONAL AUTÓNOMA DE LOS ANDES
“UNIANDES”
FACULTAD DE SISTEMAS MERCANTILES
MAESTRIA EN INFORMATICA EMPRESARIAL
PROYECTO DE INVESTIGACIÓN PREVIO A LA OBTENCIÓN DEL
GRADO ACADÉMICO DE MAGISTER EN INFORMÁTICA
EMPRESARIAL
TEMA:
“SIEM BAJO SOFTWARE LIBRE PARA LA SEGURIDAD
OPERACIONAL EN LAS PYMES DE LA CIUDAD DE PELILEO”
Autor:
ING. PICO BARRERA FERNANDO MARCELO.
Tutor:
ING.
BAÑO NARANJO FREDDY PATRICIO. M.Sc
AMBATO – ECUADOR
CERTIFICACIÓN DEL ASESOR
En calidad de asesor del presente trabajo de investigación, certifico que el proyecto cuyo
título es “SIEM BAJO SOFTWARE LIBRE PARA LA SEGURIDAD OPERACIONAL
EN LAS PYMES DE LA CIUDAD DE PELILEO.”, elaborado por el Ing. FERNANDO
MARCELO PICO BARRERA, cumple con los requisitos metodológicos y científicos que
la Universidad Regional Autónoma de Los Andes UNIANDES exige, por lo tanto autorizo
su presentación para los trámites pertinentes.
Atentamente,
Ing. MSc. Freddy Baño
DECLARACIÓN DE AUTORÍA
Ante las autoridades de la Universidad Regional Autónoma de los Andes “UNIANDES” declaro
que el contenido del presente proyecto cuyo título es “SIEM BAJO SOFTWARE LIBRE
PARA LA SEGURIDAD OPERACIONAL EN LAS PYMES DE LA CIUDAD DE
PELILEO”, presentado como requisito previo a la obtención del título de MAGISTER EN
INFORMATICA EMPRESARIAL es original, de mi autoría y total responsabilidad.
Atentamente,
FERNANDO MARCELO PICO BARRERA
DEDICATORIA
A Dios, por permitirme continuar en este mundo
compartiendo triunfos y derrotas junto a mi
familia.
A mi esposa y a mi madre, por ser las mujeres que
me brindan su apoyo incondicional para alcanzar
éxitos en la vida.
A mis hijos Matías y Kristel, por ser el motor que
impulsa cada actividad que desarrollo en el
accionar de mis responsabilidades.
A mis hermanos, por ser los seres que consideran
que son un ejemplo a seguir
AGRADECIMIENTO
A mi esposa y a mis hijos, por ser las personas
víctimas de mi ausencia, y que hoy son testigos del
fruto de dicha espera.
A mi tutor, por ser el guía y consejero en el
desarrollo del presente proyecto.
A la Universidad UNIANDES, por permitir ser
parte de tan noble institución y alcanzar un peldaño
más en mi vida profesional.
ÍNDICE DE CONTENIDOS
CERTIFICACIÓN DEL ASESOR
DECLARACIÓN DE AUTORÍA
DEDICATORIA
AGRADECIMIENTO
RESUMEN EJECUTIVO
ABSTRACT
INTRODUCCIÓN ... 1
ANTECEDENTES DE LA INVESTIGACIÓN ... 1
PLANTEAMIENTO DEL PROBLEMA ... 2
FORMULACIÓN DEL PROBLEMA ... 3
DELIMITACIÓN DEL PROBLEMA ... 3
LÍNEA DE INVESTIGACIÓN ... 3
OBJETIVOS ... 3
OBJETIVO GENERAL ... 3
OBJETIVOS ESPECÍFICOS... 3
IDEA A DEFENDER ... 4
JUSTIFICACIÓN DEL TEMA ... 4
METODOLOGÍA ... 4
TÉCNICAS Y HERRAMIENTAS ... 5
RESUMEN DE LA ESTRUCTURA DE LA TESIS ... 5
APORTE TEÓRICO ... 6
NOVEDAD ... 6
SIGNIFICACIÓN PRÁCTICA ... 6
CAPÍTULO I ... 7
1. MARCO TEÓRICO... 7
1.1. SEGURIDAD DE LA INFORMACIÓN ... 7
1.1.1. OBJETIVOS DE LA SEGURIDAD ... 7
1.1.2. CONFIDENCIALIDAD ... 7
1.1.3. INTEGRIDAD ... 7
1.1.4. DISPONIBILIDAD ... 8
1.2. NORMAS DE CALIDAD ISO ... 8
1.2.1. NORMAS ISO27001 ... 8
1.3. REDES DE COMPUTADORAS ... 10
1.3.1. USO DE LAS REDES INFORMÁTICAS ... 11
1.3.1.1. APLICACIONES DE NEGOCIOS... 11
1.3.1.2. APLICACIONES DOMÉSTICAS ... 12
1.3.1.3. APLICACIONES MÓVILES ... 13
1.3.2. DIRECCIÓN IP ... 13
1.3.2.1. CLASES DE DIRECCIONES IP ... 13
1.3.2.2. DIRECCIONAMIENTO DHCP ... 14
1.3.3. MONITOREO DE REDES ... 16
1.5. CARACTERÍSTICAS DE SISTEMAS SIEM... 18
1.5.1. ACCESO CENTRALIZADO Y ADMINISTRACIÓN DE LOGS. ... 19
1.5.1.1. LOG ... 19
1.5.2. CUMPLIMIENTO NORMATIVO DE TI ... 20
1.5.3. CORRELACIÓN DE EVENTOS... 20
1.5.4. RESPUESTA ACTIVA (MONITOREO Y SEGURIDAD) ... 20
1.5.5. SEGURIDAD DE ENDPOINT Y ESCANEO DE EQUIPOS ... 20
1.6. AMENAZAS Y TIPOS DE AMENAZAS ... 21
1.6.1. VULNERABILIDADES... 21
1.6.2. PROTOCOLOS VULNERABLES ... 21
1.6.3. CONFIGURACIÓN ERRÓNEA... 21
1.6.4. CONCIENCIA Y ERRORES DE USUARIOS ... 22
1.6.5. INTENTOS MALICIOSOS ... 22
1.6.6. AMENAZAS INTERNAS ... 23
1.6.7. AMENAZAS EXTERNAS ... 23
1.7. SISTEMAS OPERATIVOS ... 24
1.8. SOFTWARE LIBRE... 25
1.8.1. VENTAJAS DEL SOFTWARE LIBRE O SOFTWARE DE CÓDIGO ABIERTO ... 26
1.8.2. DESVENTAJAS DEL SOFTWARE LIBRE O SOFTWARE DE CÓDIGO ABIERTO ... 26
1.9. HERRAMIENTAS OPEN SOURCE INCLUIDAS EN SISTEMAS DE SEGURIDAD ... 26
1.9.1. SNORT. ... 26
1.9.2. NMAP ... 27
1.9.3. HTOP ... 28
1.9.4. OCS-NG ... 28
1.10. RKHUNTER ... 28
1.11. IMPLANTACIÓN DE SISTEMAS DE SEGURIDAD ... 28
1.12. PYMES ... 29
1.12.1. IMPORTANCIA DE LAS PYMES ... 31
1.12.2. CARACTERÍSTICAS DE LAS PYMES ... 31
1.13. CONCLUSIONES PARCIALES DEL CAPÍTULO. ... 31
CAPÍTULO II ... 33
2. MARCO METODOLÓGICO ... 33
2.1. CARACTERIZACIÓN DEL SECTOR ... 33
2.2. DESCRIPCIÓN PROCEDIMIENTO METODOLÓGICO ... 34
2.2.1. MODALIDAD INVESTIGACIÓN ... 35
2.2.2. TIPO DE INVESTIGACIÓN ... 35
2.2.3. MÉTODOS, TÉCNICAS E INSTRUMENTOS ... 36
2.2.4. POBLACIÓN Y MUESTRA ... 37
2.2.5. ANÁLISIS E INTERPRETACIÓN DE RESULTADOS... 38
2.3. DESCRIPCIÓN DE LA PROPUESTA ... 48
2.4. CONCLUSIONES PARCIALES DEL CAPÍTULO ... 49
CAPÍTULO III ... 50
3. MARCO PROPOSITIVO. ... 50
3.1. TEMA... 50
3.2. OBJETIVOS ... 50
3.3.1. ANÁLISIS DE LA ESTRUCTURA DE RED ... 50
3.3.2. SELECCIÓN DE HERRAMIENTAS A IMPLEMENTAR EN EL SISTEMA SIEM ... 51
3.3.3. DISEÑO DE LA RED PARA LA IMPLANTACIÓN DEL SISTEMA SIEM ... 53
3.3.4. REQUERIMIENTOS HARDWARE MÍNIMOS PARA INSTALACIÓN DEL SISTEMA ... 54
3.3.5. INSTALACIÓN Y CONFIGURACIÓN ... 54
3.3.5.1. ACTUALIZACIÓN DE PAQUETES DE CENTOS ... 54
3.3.5.2. CONFIGURACIÓN DE DIRECCIONAMIENTO IP ... 56
3.3.5.3. INSTALACIÓN Y CONFIGURACIÓN DEL SERVICIO DHCP ... 56
3.3.5.4. CONFIGURACIÓN DE INVENTARIOS ... 59
3.3.5.5. INSTALACIÓN Y CONFIGURACIÓN DE OCS-NGINVENTORY ... 59
3.3.5.6. DETECCIÓN DE EVENTOS ... 73
3.3.5.7. INSTALACIÓN Y CONFIGURACIÓN DE SNORT ... 73
3.3.5.8. MONITOREO Y SEGURIDAD DEL SERVIDOR ... 78
3.3.5.9. INSTALACIÓN DE HTOP ... 78
3.3.5.10. INSTALACIÓN DE RKHUNTER ... 80
3.3.5.11. MONITOREO DE PUERTOS ... 82
3.3.5.12. INSTALACIÓN DE NMAP ... 82
3.3.5.13. VALIDACIÓN DE HERRAMIENTAS IMPLEMENTADAS... 83
3.3.5.13.1. DIRECCIONAMIENTO IP-DHCP ... 83
3.3.5.13.2. MONITOREO DEL SERVIDOR - HTOP ... 85
3.3.5.13.3. SEGURIDAD DEL SERVIDOR - RKHUNTER ... 87
3.3.5.13.4. INVENTARIOS –OCS ... 91
3.3.5.13.5. DETECCIÓN DE EVENTOS - SNORT ... 96
3.3.5.13.6. ESCANEO –NMAP ... 100
RECOMENDACIONES ... 104 BIBLIOGRAFÍA
ÍNDICE DE FIGURAS
Figura 1. Proceso de un servidor DHCP... 16
Figura 2. Sistemas operativos más utilizados ... 25
Figura 3. Distribución sectorial de pymes en Ecuador ... 30
Figura 4. Cambio a usuario root ... 54
Figura 5. Actualización de paquetes ... 55
Figura 6. Finalización de actualización ... 55
Figura 7. Verificación del servicio dhcpd en el sistema ... 56
Figura 8. Instalación del servicio DHCP ... 57
Figura 9. Envío de archivo dhcpd a editor de texto ... 57
Figura 10. Configuración del servicio DHCP ... 58
Figura 11. Direccionamiento IP fija ... 58
Figura 12. Instalación de paquete perl-XML-Simple ... 59
Figura 13. Instalación de perl-Compress-Zlib ... 60
Figura 14. Instalación del paquete perl-DBI ... 60
Figura 15. Instalación del paquete perl-DBI-MySQL ... 60
Figura 16. Instalación del paquete perl-Net-IP ... 61
Figura 17. Instalación del paquete perl-SOAP-Lite ... 61
Figura 18. Instalación de wget... 61
Figura 19. Instalación de perl-Apache-DBI... 62
Figura 20. Instalación de epel-release ... 62
Figura 21. Instalación de phpMyAdmin ... 62
Figura 22. Iniciar el servicio mysqld ... 63
Figura 23. Ejecución de mysql_secure installation ... 63
Figura 24. Comando setup ... 63
Figura 25. Habilitación http y https ... 64
Figura 26. Inicio automático del servicio httpd ... 64
Figura 27. Inicio automático del servicio mysqld ... 65
Figura 28. Reinicio del servicio iptables ... 65
Figura 29. Descarga de OCS-NG ... 66
Figura 30. Descomprimir carpeta de OCS ... 66
Figura 31. Instalación de OCS ... 66
Figura 32. Reinicio del proceso httpd ... 67
Figura 33. Comando para editar phpMyAdmin.conf... 67
Figura 34. Configuración de phpMyAdmin ... 67
Figura 35. Asignamiento de contraseña de administrador a mysql ... 68
Figura 36. Establecer el máximo valor de paquetes... 68
Figura 37. Modo permisivo de SELinux ... 68
Figura 38. Interfaz web de php MyAdmin ... 69
Figura 39. Usuario y base de datos ... 69
Figura 40. Primer acceso a la interfaz web ... 70
Figura 41. Instalación de interfaz web de OCS ... 70
Figura 43. Archivo z-ocsinventory-server.conf ... 71
Figura 44. Eliminación de install.php ... 72
Figura 45. Instalación y configuración de OCS Agent ... 72
Figura 46. Interfaz de OCS Inventory ... 73
Figura 47. Instalación de dependencias de snort ... 73
Figura 48. Instalación del paquete de desarrollo ... 74
Figura 49. Descompresión paquete de libdnet ... 74
Figura 50. Instalación de paquetes libdnet ... 74
Figura 51. Descompresión de paquete daq ... 75
Figura 52. Instalación del paquete daq ... 75
Figura 53. Instalación de snort ... 75
Figura 54. Copia y renombre de white_list.rules ... 75
Figura 55. Modificación de propietario ... 76
Figura 56. Edición del archivo snort.conf ... 76
Figura 57. Modificación de propietarios y permisos ... 76
Figura 58. Inicio de snort ... 77
Figura 59. Permisos de registros ... 77
Figura 60. Permisos de librerías ... 77
Figura 61. Permisos de binarios ... 78
Figura 62. Verificación de funcionamiento de snort ... 78
Figura 63. Descarga repositorios para htop... 79
Figura 64. Instalación de paquetes para htop ... 79
Figura 65. Instalación de htop ... 79
Figura 66. Interfaz de htop ... 80
Figura 67. Descarga del paquete rkhunter ... 80
Figura 68. Instalación del rkhunter ... 81
Figura 69. Actualización de rkhunter ... 81
Figura 70. Funcionamiento de rkhunter ... 82
Figura 71. Instalación de nmap ... 82
Figura 72. Funcionamiento de nmap ... 83
Figura 73. Direccionamiento IP ... 83
Figura 74. IP de equipo Windows... 84
Figura 75. IP de equipo Ubuntu... 84
Figura 76. IP dinámica aleatorio ... 84
Figura 77. Rango de IP – DHCP ... 85
Figura 78. Ejecución de htop ... 86
Figura 79. Comprobación de procesos en htop ... 86
Figura 80. Identificación de procesos en htop ... 87
Figura 81. Checking system commands ... 88
Figura 82. Checking for rootkits ... 88
Figura 83. Performing checks ... 89
Figura 84. Checking the network... 89
Figura 85. Checking the local host... 89
Figura 87. Copia de archivo infectado hacia directorio... 90
Figura 88. Advertencia de rkhunter ... 90
Figura 89. Acceso ssh como root ... 91
Figura 90. Identificación de acceso ssh ... 91
Figura 91. Equipos inventariados en OCS ... 92
Figura 92. Información general de PC ... 92
Figura 93. Procesador - OCS ... 93
Figura 94. Memoria - OCS ... 93
Figura 95. Almacenamiento - OCS ... 93
Figura 96. Discos - OCS ... 94
Figura 97. Redes - OCS ... 94
Figura 98. Impresoras - OCS ... 94
Figura 99. Monitores - OCS ... 95
Figura 100. Software - OCS ... 95
Figura 101. Archivo csv - OCS ... 95
Figura 102. Snort en modo sniffer básico ... 96
Figura 103. Snort - contenidos de paquetes ... 97
Figura 104. Snort - capa de enlace ... 97
Figura 105. Ejecución de reglas ... 98
Figura 106. Snort en modo IDS ... 98
Figura 107. Ping entre equipos de red ... 99
Figura 108. Detección de comando ping ... 99
Figura 109. Detección de nmap por snort ... 100
Figura 110. Comando nmap ... 101
Figura 111. Escaneo de red ... 101
Figura 112. Identificación de nueva IP ... 102
ÍNDICE DE GRÁFICOS
Gráfico 1. Equipos informáticos ... 38
Gráfico 2. Red LAN ... 39
Gráfico 3. Internet ... 40
Gráfico 4. Conexión inalámbrica ... 41
Gráfico 5. Seguridad de acceso ... 42
Gráfico 6. Políticas de seguridad ... 43
Gráfico 7. Ataques informáticos ... 44
Gráfico 8. Personal técnico ... 45
Gráfico 9. Sistema de monitoreo ... 46
Gráfico 10. Sistema de gestión ... 47
Gráfico 11. Esquema básico de red ... 51
ÍNDICE DE TABLAS
Tabla 1. Población ... 37
Tabla 2. Equipos informáticos ... 38
Tabla 3. Red LAN ... 39
Tabla 4. Internet ... 40
Tabla 5. Conexión inalámbrica ... 41
Tabla 6. Seguridad de acceso ... 42
Tabla 7. Políticas de seguridad ... 43
Tabla 8. Ataques informáticos ... 44
Tabla 9. Personal técnico ... 45
Tabla 10. Sistema de monitoreo ... 46
RESUMEN EJECUTIVO
La aplicación de las TIC’s dejó de ser un privilegio y hoy en día es una gran necesidad
para el desarrollo institucional de toda empresa, incluso dependiendo del performance de
las instituciones, el uso y aplicación de herramientas tecnológicas y aplicaciones
informáticas es una obligación para su normal desarrollo de funciones dentro del servicio
hacia la sociedad.
En los últimos años el crecimiento industrial y comercial en la ciudad de Pelileo ha
incrementado notablemente, convirtiéndose en uno de los referentes económicos de la
provincia de Tungurahua y del país, sin embargo es perceptible que esta situación ha
obligado a que las empresas pelileñas adopten equipamiento moderno y de última
tecnología para estar acorde a las exigencias competitivas globales, pues utilizar tecnología
de muy alta calidad permite desarrollar procesos y procedimientos también de alta calidad,
lo cual las convierten en actores principales dentro de la generación económica social así
como en la generación de empleo.
Dentro de la actualización tecnológica también se encuentra inmiscuido el equipamiento
informático tanto a nivel de hardware como software, haciendo relación a este último se
debe definir que el presente proyecto se ha centrado básicamente para tratar de
salvaguardar las operaciones de las pymes a nivel intangible, pues es muy común encontrar
en este tipo de entidades una infraestructura informática demasiado frágil, situación que a
niveles gerenciales no son valoradas como amenazas dentro de sus organizaciones.
La implementación de sistemas SIEM permite tener un mejor control de las actividades
que suceden dentro de una lan, control que está orientado desde un nivel técnico, el mismo
que permite definir y establecer políticas de seguridad institucional, promoviendo la
relación con normas de calidad y gestión responsable, resultados que permitirán un
ABSTRACT
The application of Tics has stopped being a privilege and has turned into a great need for
the institution building of the present company, also depending on the performance of the
institutions, the use and application of technology tools and IT applications is an obligation
for its normal development of functions inside the service towards the company.
In last years the industrial and commercial growth in Pelileo’s city has increased notably,
turning into one of the economic modals of the Tungurahua’s province and of the country,
nevertheless it is perceptible that this situation has forced that the Pelileo’s companies
adopt modern equipment and of last technology to be identical to the competitive global
requirements, since to use a very high technology of quality there allows to develop
processes and procedures also of high quality, which they turn them into principal actors
inside the economic social generation and like generation employment.
Inside the technological update also the IT equipment is interfered so much to level of
hardware as software, doing the relations it is necessary to define that the present project
has centred basically to try to safeguard the operations of SMES to intangible level, since it
is very common to find in this type of entities an IT too fragile infrastructure, on situation
that to levels it manages they are not valued as threats inside his organizations.
The system implementation SIEM allows to have a better control of the activities that
happen inside a LAN, control that there is an oriented from a technical level the same one
that allows to define and to establish policies of institutional safety, promoting the relation
with procedure of quality and responsible management, results that will allow a suitable
1 INTRODUCCIÓN
Antecedentes de la Investigación
Se debe empezar señalando que por sus siglas un SIEM es un sistema orientado a la
información de la seguridad y gestión de eventos, aplicable a redes informáticas
institucionales.
El desarrollo de las organizaciones e instituciones ya sean públicas o privadas han
mostrado un balance positivo basadas en la utilización de medios tecnológicos orientados a
la informática, tanto en hardware como en software.
Al hablar de un crecimiento informático dentro de una entidad, se debe recalcar también la
necesidad de buscar alternativas orientadas a la seguridad integral de la información de
dicha empresa, debido al incremento de métodos y técnicas empleadas para violentar las
estructuras físicas y lógicas de información.
En la actualidad existe una cantidad considerable de administradores de redes
empresariales que no cuentan con alguna herramienta que permita precautelar la
información frente a la aparición de eventos no programados, situación que origina una
inadecuada gestión de problemas y monitoreo en tiempo real.
Mayores conocimientos sobre el tema no existen en el país, a nivel empresarial es donde ya
se trata acerca de los SIEM, pero lastimosamente en el área académica aún no se da un
estudio adecuado sobre la temática, por lo cual es un aspecto interesante a tener en cuenta
para su difusión y socialización especialmente en la región centro del país.
La administración de la seguridad depende de la importancia de planificar y describir los
componentes principales de la planificación organizacional e implementación de sistemas
de seguridad. (Withman, 2013)
También para una mejor seguridad los administradores de red pueden utilizar
administración comercial o herramientas de valoración para encuestas del medio y
2 Planteamiento del problema
En la actualidad es muy común encontrar individuos tratando de acceder a redes privadas
con el afán de causar daños en la información organizacional, lo cual implica un atentado
en caso de no poseer las herramientas adecuadas para un control exhaustivo relacionado al
acceso indebido a recursos.
El robo de información o espionaje corporativo es otra de las amenazas muy frecuentes a
nivel de PYMES, aplicadas para descubrir fortalezas de sus similares. Estas amenazas han
derivado también en la suplantación de identidad y fraudes electrónicos, los mismos que
han originado perdidas y daños incalculables a nivel organizacional, debido a estas y otros
tipos de amenazas existentes en la actualidad es necesario lograr implementar algún medio
de seguridad y monitoreo a nivel de red.
Toda organización busca las mejores alternativas en cuanto a hardware y software que
permitan automatizar las distintas actividades dentro de la misma, todo este contexto
obligatoriamente origina una inversión económica, inversión que para la mayoría de
administradores o gerentes no justifica su adquisición, pues el alto costo de dichas
herramientas obliga a pensar si la institución tiene la capacidad económica y operativa para
dicho desembolso, convirtiéndose en ocasiones el punto fustigador para que la
organización no cumpla objetivos institucionales.
La seguridad juega un papel preponderante dentro del desarrollo de toda organización,
convirtiéndose en un pilar dominante dedicado a precautelar la integridad, la disponibilidad
y la confidencialidad del bien más preciado de toda empresa, aspecto que debe motivar a
todo administrador a implementar sistemas de seguridad dentro de sus entornos de trabajo.
Como alternativa para la implementación de sistemas de seguridad se debe mencionar que
en la actualidad tiene gran aceptación la implementación de herramientas bajo software
libre, lo cual permite obtener en varias ocasiones aplicaciones mucho más estables,
3 Formulación del problema.
¿Cómo mejorar la seguridad de la información y la gestión de eventos en las PYMES de la
ciudad de Pelileo, con el fin de establecer un adecuado control de la seguridad
operacional?
Delimitación del problema
Objeto
Seguridad y gestión
Campo
Seguridad de la información y gestión de eventos en las redes informáticas.
Línea de Investigación
Tecnologías de la Información y Comunicaciones
Objetivos
Objetivo General
Implementar un SIEM bajo software libre que permita establecer un control adecuado de las actividades operacionales de las PYMES de la ciudad de Pelileo,
aportando al mejoramiento de la seguridad institucional.
Objetivos Específicos
Analizar los referentes teóricos para la implementación de un sistema de seguridad de información y gestión de eventos en las actividades operacionales
institucionales.
Determinar la factibilidad de la implementación de sistemas de gestión de eventos y seguridad de la información en las PYMES de la ciudad de Pelileo.
4
Comprobar la aplicabilidad y funcionamiento del SIEM propuesto en función de actividades evaluativas.
Idea a defender
La implementación de un SIEM en el desarrollo de las actividades operacionales dentro de
las PYMES de la ciudad de Pelileo, aportará a mejorar el control y gestión de eventos
manteniendo la integridad de las actividades institucionales.
Justificación del tema
Uno de los aspectos más importantes en el campo informático hoy en día es la seguridad
tanto de la información así como la seguridad informática, dos variantes que al final
cumplen un solo objetivo, el proteger y salvaguardar el hardware y software de todo
usuario u organización.
El implementar sistemas de seguridad dentro de una organización conlleva el desembolsar
altos precios a cambio de herramientas que en su mayoría lastimosamente están limitadas a
condiciones de uso temporal, convirtiéndose en muchas ocasiones en herramientas
inalcanzables de adquirir.
La propuesta planteada trata de ser una herramienta aliada de toda organización ya sea
pequeña o mediana, donde la adquisición de software de seguridad sea una necesidad
urgente que permita mantener la integridad especialmente de la información, este caso es
muy notorio en las PYMES de la ciudad de Pelileo, donde muy pocas organizaciones
tienen personal capacitado o con conocimientos adecuados sobre las ventajas y beneficios
que aportará la implementación de un sistema SIEM en el desarrollo positivo de dichas
empresas.
Metodología
La investigación estará enmarcada en función de una metodología cualitativa, basándose
en los parámetros a ser considerados dentro de las actividades organizacionales a través de
redes informáticas, no obstante la metodología cuantitativa formará también parte de la
investigación aunque en menor porcentaje debido a que la fundamentación estadística es
5
El método inductivo - deductivo será adoptado en el desarrollo de la investigación a fin de
determinar la mayor cantidad de aspectos y procesos inmiscuidos en el logro y alcance de
los objetivos planteados.
Además la metodología determinada permitirá aplicar secuencias lógicas que alcancen la
especificación de resultados, logrando la optimización y mejoramiento de procesos y
actividades organizacionales de manera adecuada.
Técnicas y herramientas
Entrevista: permitirá obtener el criterio y pensamiento de las personas relacionadas en el proceso de administración y control de las seguridades en cada una de las
entidades.
Encuesta: servirá para obtener una mejor orientación acerca el campo de seguridad institucional basándose en estructuras propias de las encuestas.
Observación: permitirá ser un testigo directo en el accionar de las actividades y procedimientos informáticos dentro de las PYMES.
Resumen de la estructura de la tesis
Capítulo I.- Se estableció temas acordes a la fundamentación teórica, es decir se mostró la sustentación bibliográfica inherente a los contenidos relacionados directamente con el
desarrollo del proyecto.
Cabe destacar que dentro de este capítulo es necesario resaltar el origen y evolución del
objeto de estudio, siempre sustentándose en el análisis de distintas posiciones teóricas que
permitan establecer valoraciones críticas capaces de definir una realidad valiosa para un
adecuado desarrollo del proyecto.
Capítulo II.- En este apartado se citó la metodología empleada por parte del investigador para lograr cumplir con los objetivos planteados, basando el trabajo en la caracterización
de las entidades en función del problema de investigación, describiendo procesos y
procedimientos metodológicos que permitan exponer de forma clara la propuesta planteada
6
Capítulo III.- En este capítulo se realizó un análisis de los resultados obtenidos como producto de la investigación, logrando examinar los procedimientos de la implantación de
la solución al problema investigado, enfocándose en la validación y evaluación de la
aplicación propuesta.
Aporte Teórico
La propuesta actual permitirá entregar una perspectiva diferente de la administración y
gestión de redes informáticas dentro de organizaciones, enfocadas principalmente en
PYMES, sirviendo como plataforma para que los administradores de redes logren aplicar
investigaciones referentes a temas similares.
Novedad
Se debe recalcar que esta propuesta en sí ya es novedosa, por ser un tópico no muy tratado
a nivel informático, otra característica considerada como relevante es la manera cómo
gestionar la seguridad y administración de eventos informáticos de una manera gráfica e
interactiva, además se debe mencionar que la propuesta está planteada bajo la utilización
de software libre, lo cual permite romper parámetros establecidos antiguamente en la
utilización de software privativo o propietario.
Significación Práctica
Dentro del aspecto práctico es necesario resaltar que puede llegar a constituirse en una
herramienta de gran ayuda para todo el personal encargado de administrar redes, pues
facilitará el monitoreo de las mismas a través de una interfaz gráfica, enmarcando procesos
simples y muy básicos dentro de la seguridad informática, con el fin de salvaguardar y
precautelar la integridad de la información mediante la toma de decisiones acertada en base
a fenómenos o circunstancias imprevistas presentadas dentro de la estructura
7 CAPÍTULO I
1. MARCO TEÓRICO
1.1.Seguridad de la información
En la actualidad se considera que “La seguridad ha pasado de utilizarse para preservar los
datos clasificados del gobierno en cuestiones militares o diplomáticas, a tener una
aplicación de dimensiones inimaginables y crecientes que incluye transacciones
financieras, acuerdos contractuales, información personal, archivos médicos, comercio y
negocios por internet, domótica, inteligencia ambiental y computación ubicua. Por ello se
hace imprescindible que las necesidades de seguridad potenciales sean tenidas en cuenta y
se determinen para todo tipo de aplicaciones.” (Areito, 2010)
La seguridad de la información tiene estrecha relación con la protección de datos, razón
por la cual las organizaciones estrictamente deben buscar medidas preventivas que
permitan precautelar sus intereses según los objetivos de la seguridad.
1.1.1. Objetivos de la seguridad.
Los objetivos de la seguridad dentro de un sistema de TI son considerados como base
fundamental para el desarrollo de toda organización. Entre los objetivos principales se
citan: integridad, confidencialidad y disponibilidad de la información.
1.1.2. Confidencialidad
La confidencialidad es un proceso matemático que permite obtener una esperanza
matemática aceptable de poder verificar que un mensaje, incluso a nivel de bits no puede
ser entendido por entes no autorizados, es decir la información debe ser conocida o
accedida por usuarios autorizados durante su procesamiento.
1.1.3. Integridad
La integridad es un proceso matemático que permite obtener una esperanza matemática
aceptable de poder verificar correctamente que un mensaje (incluso a nivel de bytes) no ha
sido modificado. Los sistemas deben ser administrados por personal autorizado que
8 1.1.4. Disponibilidad
La disponibilidad es un proceso que garantiza el acceso a la información en el momento y
lugar que el usuario considere oportuno.
1.2.Normas de calidad ISO
International Standar Organization, siglas que permiten definir como la Organización
Internacional de Normalización, a la entidad encargada de establecer y publicar estándares
de calidad. Esta organización es la encargada de establecer normas de comercio,
fabricación y comunicación a nivel mundial, basadas en la creación de productos y
servicios destinados a cumplir la demanda y las necesidades de usuarios así como de
clientes.
Hoy en día es muy común hallar entidades públicas o privadas relacionadas estrechamente
con normas de calidad ISO, pues se considera que al estar ligadas a estas normas ofrecen
productos o servicios de mejor calidad que su competencia, brindando confianza a sus
clientes o usuarios, lo cual les asegura obtener ventajas competitivas frente a sus similares.
Dentro de las normas ISO existe una gran familia de normas, entre las cuales se cita como
referentes a seguridad las normas ISO 27001 y 27002, las primeras definen las directrices
necesarias para la implementación controles de seguridad, mientras tanto que las 27002
proporcionan información o recomendaciones de cómo implementar los mencionados
controles.
1.2.1. Normas ISO 27001
ISO 27001 es una norma internacional emitida por la International Standardization
Organization (ISO) que define los sistemas de gestión de seguridad de la información. Su
nombre completo es ISO/IEC 27001:2013. Esta norma fue desarrollada a partir de la norma
británica BS 7799-2, fue publicada inicialmente como ISO/IEC 27001:2005 y ahora se ha
convertido en una de las principales normas internacionales para la seguridad de la
información.
La implementación de ISO 27001 reduce los riesgos relacionados con la confidencialidad,
disponibilidad e integridad de la información en una organización. También ayuda a la
organización a dar cumplimiento a la legislación que regula la protección de información
9
en la mayoría de los países. Finalmente, la implementación de la norma debería reducir los
costos comerciales debido a la menor cantidad de incidentes y a las mejoras en la
comercialización por la publicidad que se puede conseguir con la norma. (Dejan, 27001
Academy, 2010)
ISO/IEC 27001 se divide en 11 secciones más un anexo; las secciones 0 a 3 son
introductorias (y no son obligatorias para la implementación), mientras que las secciones 4
a 10 son obligatorias, lo que implica que una organización debe implementar todos sus
requerimientos si quiere cumplir con la norma. Los controles del Anexo A deben
implementarse sólo si se determina que corresponden en la Declaración de aplicabilidad.
De acuerdo con el Anexo SL de las Directivas ISO/IEC de la Organización Internacional
para la Normalización, los títulos de las secciones de ISO 27001 son los mismos que en
ISO 22301:2012, en la nueva ISO 9001:2015 y en otras normas de gestión, lo que permite
integrar más fácilmente estas normas.
Sección 0 – Introducción – explica el objetivo de ISO 27001 y su compatibilidad con otras
normas de gestión.
Sección 1 – Alcance – explica que esta norma es aplicable a cualquier tipo de organización.
Sección 2 – Referencias normativas – hace referencia a la norma ISO/IEC 27000 como
estándar en el que se proporcionan términos y definiciones.
Sección 3 – Términos y definiciones – de nuevo, hacen referencia a la norma ISO/IEC
27000.
Sección 4 – Contexto de la organización – esta sección es parte de la fase de Planificación
del ciclo PDCA y define los requerimientos para comprender cuestiones externas e
10
Sección 5 – Liderazgo – esta sección es parte de la fase de Planificación del ciclo PDCA y
define las responsabilidades de la dirección, el establecimiento de roles y responsabilidades
y el contenido de la política de alto nivel sobre seguridad de la información.
Sección 6 – Planificación – esta sección es parte de la fase de Planificación del ciclo PDCA
y define los requerimientos para la evaluación de riesgos, el tratamiento de riesgos, la
Declaración de aplicabilidad, el plan de tratamiento de riesgos y la determinación de los
objetivos de seguridad de la información.
Sección 7 – Apoyo – esta sección es parte de la fase de Planificación del ciclo PDCA y
define los requerimientos sobre disponibilidad de recursos, competencias, concienciación,
comunicación y control de documentos y registros.
Sección 8 – Funcionamiento – esta sección es parte de la fase de Planificación del ciclo
PDCA y define la implementación de la evaluación y el tratamiento de riesgos, como
también los controles y demás procesos necesarios para cumplir los objetivos de seguridad
de la información.
Sección 9 – Evaluación del desempeño – esta sección forma parte de la fase de Revisión
del ciclo PDCA y define los requerimientos para monitoreo, medición, análisis, evaluación,
auditoría interna y revisión por parte de la dirección.
Sección 10 – Mejora – esta sección forma parte de la fase de Mejora del ciclo PDCA y
define los requerimientos para el tratamiento de no conformidades, correcciones, medidas
correctivas y mejora continua.
Las normas muestran un anexo que proporciona un catálogo de 114 controles (medidas de
seguridad) distribuidos en 14 secciones (secciones A.5 a A.18). (Dejan, 27001 Academy,
2010).
1.3. Redes de computadoras
Con el pasar del tiempo toda organización progresivamente ha eliminado la mecánica
11
transacciones informáticas, en la actualidad los procesos organizacionales están basados en
verdaderas estructuras de networking, donde un computador es una simple estación de
trabajo.
Según (Tanenbaum, 2012) “El modelo antiguo de una sola computadora que realiza todas
las tareas computacionales de una empresa ha sido reemplazado por otro en el que un gran
número de computadoras separadas pero interconectadas hacen el trabajo. Estos sistemas
se denominan redes de computadoras.”
En los tiempos actuales también se puede definir como un conjunto de computadoras
interconectadas entre sí, entendiendo por interconectadas a la acción de compartir recursos.
1.3.1. Uso de las redes informáticas
A través del tiempo el uso del computador ha facilitado el desempeño humano dentro de
varios campos, por ejemplo en la educación, el comercio, gestión documental, multimedia,
actividades de oficina e incluso en actividades domésticas, actividades que han exigido
desarrollarse dentro de redes informáticas, debido al uso de recursos comunes que agilicen
las actividades cotidianas.
Entre los ámbitos más relevantes y generalizados se citan:
1.3.1.1. Aplicaciones de negocios
Hoy en día las empresas cumplen sus actividades a través de departamentos, por ejemplo
departamento de ventas, departamento financiero, departamento informático, etc, todos
estos departamentos comparten recursos especialmente la información, recurso al que
todos los departamentos deben tener acceso para ejecutar sus respectivos procesos.
En cambio en las PYMES es muy posible que muchos departamentos funciones dentro de
una sola oficina, pero que el funcionamiento básico de la red es muy similar al de las
grandes organizaciones.
Este tipo de actividades permite aprovechar al máximo todas las prestaciones de una red de
computadoras, logrando cumplir el objetivo para el cual están diseñadas, debiendo resaltar
que las redes de computadoras tienen mayor uso dentro de las organizaciones, razón por la
cual cada vez se van desarrollando equipos que mejoren el rendimiento al momento de
12
Dentro de este modelo se identifican plenamente equipos servidores y equipos clientes o
estaciones de trabajo.
1.3.1.2. Aplicaciones domésticas
Según Tanenbaum, A. (2008), “En 1997 Ken Olsen era presidente de Digital Equipment
Corporation, que en esa época era el segundo proveedor de computadoras en el mundo
(después de IBM). Cuando se le pregunto por qué Digital no perseguía el mercado de las
computadoras personales en gran volumen, contestó: “No hay razón alguna para que un
individuo tenga una computadora en su casa”. La historia demostró lo contrario y Digital
ya no existe.”
El crecimiento tecnológico y específicamente el informático ha desarrollado una evolución
que hasta unos quince años atrás era inimaginable, debido a que se suponía que las
computadoras eran objetos de uso exclusivo de las oficinas sin encontrar razón alguna que
suponga su uso dentro de los hogares.
Hoy en día es muy normal encontrar hogares con una, dos o más computadoras destinadas
al uso de actividades diarias relacionadas a:
Educación
Acceso a información
Comunicación
Entretenimiento
Comercio electrónico, etc.
Sin embargo el uso de los computadores en hogares ya no se los realiza de manera
independiente ya que por tener acceso al internet obligadamente están dentro de una red
doméstica de computadoras, lo cual demuestra que dentro de los hogares también es
necesario implementar la interconectividad de equipos informáticos.
En aplicaciones domésticas no necesariamente las redes de computadoras están
distribuidas a través de computadores servidores ni computadores clientes, en este modelo
todos los computadores están al mismo nivel de desarrollar sus actividades respectivas, a
menos que sea necesario la ejecución de aplicaciones de control o administración que se
13 1.3.1.3. Aplicaciones móviles
En los últimos años los computadores de escritorio han perdido espacio en el mercado
informático, debido exclusivamente al aspecto de movilidad y transporte, características
que aparecieron en otros equipos informáticos, tales como laptops, netbooks, tablets o
smartphones.
Esta categoría de equipos son más apreciados debido a la facilidad de transportarlos ya sea
dentro de las organizaciones o dentro de los hogares, pero la mayor utilidad de los equipos
es la de conectarse a redes de computadoras de manera inalámbrica, lógicamente con
equipos de red apropiados para el tipo de conexión.
Es muy común encontrar redes inalámbricas dentro de organizaciones, PYMES, centros
educativos, oficinas, hogares e incluso en parques y centros de diversión, permitiendo
innovar la manera de conectarse a una LAN, a una intranet o a internet.
1.3.2. Dirección IP
Las direcciones IP son números únicos e irrepetibles con los cuales se identifican a los
equipos conectados a una red. Las direcciones IPv4 se expresan por combinaciones de
números de hasta 32 bits que permiten 232 posibilidades (4294967). Se dividen en dos
partes: la ID de red y la ID de host. Dentro de la ID de red se identifica el segmento de la
red en donde se encuentra alojado el equipo, es decir en que segmento de ella trabajará.
Todas las máquinas que deseen interactuar entre si deberán tener en primera instancia la
misma ID de red. La ID de host, la segunda parte de la IP, identifica los dispositivos y
determina la cantidad máxima de ellos que podrán conectarse a la red
Los dos segmentos funcionan de manera correlativa, de modo que puedan existir equipos
asignados a un mismo número (ID host) pero en distintas zonas (ID red). (Budris, 2013)
1.3.2.1. Clases de direcciones IP
Con la forma determinada de las direcciones IP y las partes que le asignan una posición, la
ICANN (Internet Corporation of Assigned Names and Numbers) define las tres clases de
14 Clase A
El primer octeto (8 bits) se asigna a la ID de red, y los últimos octetos (24 bits), a la ID de
host con lo cual quedan 128 redes y 16777214 host en un rango de 1.0.0.0 –
126.255.255.255.
Clase B
Los dos primeros octetos (16 bits) son asignados a la ID de red, y los dos restantes a host
(16 bits), lo que da 16384 redes y 65534 host en un rango de 128.0.0.0 – 191.255.255.255.
Clase C
Los primeros tres octetos se asignan a la red para maximizar la disponibilidad, y el último
octeto a los host. Habrá 2097152 redes y 254 host en un rango de 192.0.0.0 –
223.255.255.255. (Budris, 2013)
1.3.2.2. Direccionamiento DHCP
El direccionamiento DHCP tiene como principal característica la asignación dinámica de
direcciones IP a equipos informáticos dentro de una red, mediante el uso del protocolo
DHCP (Dynamic Host Configuration Protocol), es decir cada computador obtener su
configuración de red de forma automática. De esta forma, los administradores pueden
ahorrarse mucho trabajo si tienen que configurar nuevos equipos o hacer cambios en los ya
existentes.
El protocolo DHCP establece una configuración predeterminada para el equipo que la
solicita, es decir, una configuración que ha sido definida con antelación para la red o
subred en la que están conectados los equipos. El protocolo DHCP permite que a los
equipos de la red se les asigne una dirección IP automáticamente sólo cuando la necesiten.
DHCP puede utilizarse también dentro del ámbito de una red local y, en este caso, los
ordenadores deben solicitar una dirección a una estación especial que funcione como
servidor DHCP. Esta estación mantiene una tabla de direcciones asignadas y libres para esa
red. La ventaja de este método consiste en que las estaciones solamente tienen asignadas
IPs cuando realmente se conectan y hacen uso de la red y permanecen libres mientras no se
15
reducen las tareas de los administradores de la red cuando hay que cambiar de lugar
estaciones, ya que no tienen que volver a configurarlas. (Molina, 2014).
El protocolo DHCP es abierto (no depende del sistema operativo utilizado), lo que
significa que se puede utilizar sobre una red heterogénea. Así, un servidor DHCP
Windows, Mac OS X, GNU/Linux, Novell, etc., puede asignar direcciones sin ningún
problema a estaciones Windows, Mac OS X, GNU/Linux, etc.
Hay que recalcar que en la configuración de un equipo cliente no se especifica la dirección
IP del servidor DHCP. El protocolo establece que las estaciones, puesto que no tienen IP
asignada y no conocen direcciones de servidores ni máscaras de red, deben lanzar una
petición usando el protocolo UDP a la dirección de difusión (la dirección de difusión IPv4
es 255.255.255.255). Todos los servidores DHCP contestan con una dirección IP, también
por un mensaje UDP de difusión. El cliente tomará una de esas direcciones y enviará otro
mensaje de difusión anunciando a todos los servidores DHCP cuál es la IP tomada.
Finalmente, el servidor que ha ofrecido la dirección asignada envía al cliente la
confirmación de la operación y actualiza sus tablas con las direcciones asignadas y libres.
Dependiendo de la implementación que se realice del servidor DHCP, es posible que su
comportamiento sea algo diferente de unas versiones a otras. (Molina, 2014)
Algunas versiones actuales de los servidores DHCP disponibles para GNU/ Linux realizan
comprobaciones adicionales antes de asignar las direcciones a los clientes. En estos casos,
cuando un servidor DHCP recibe una petición de un cliente, comprueba su tabla de
direcciones libres (dentro del rango que puede asignar) y, para asegurarse de que esa
dirección no está siendo utilizada por ningún otro equipo en la red (que haya sido
configurado de forma manual), envía un mensaje eco ICMP (Internet Control Message
Protocol) a esa dirección. Si un equipo contesta, significa que esa dirección ha sido
asignada de forma manual (estática) y la marca como “abandonada” para no asignarla a
ningún cliente. Si no contesta ningún equipo, entonces asigna esa dirección. En caso de
que no existan direcciones libres para asignar dentro del rango, el servidor vuelve a
comprobar con mensajes eco ICMP si alguna de las direcciones abandonadas está libre.
16
Una característica de los servidores DHCP es que se puede asignar direcciones IP de forma
automática, pero también es factible determinar ciertas IP como estáticas para ciertos
equipos específicos, esto implica a que el administrador de red tenga el control total del
direccionamiento logrando facilitar la gestión dentro de una lan.
Figura 1. Proceso de un servidor DHCP
Fuente: http://www.bsrtech.net/2014/11/dhcp-server-configuration-on-linux.html
1.3.3. Monitoreo de redes
Así como el avance tecnológico ha desarrollado equipos para colocar computadores en red,
existen usuarios que han desarrollado amenazas e inseguridades para violentar dichas redes
con el afán de obtener algún bien determinado, motivos por el cual hoy en día existen
herramientas y procedimientos para controlar y evitar que usuarios ajenos a las
organizaciones tengan acceso a fuentes privadas, estos procedimientos también son
conocidos como monitoreo de redes.
La detección de amenazas de manera oportuna dentro de una red de computadoras permite
brindar un servicio eficiente y eficaz a los usuarios de la comunidad, con esto se deduce
que el monitoreo de redes tiene gran relevancia en la ejecución de las actividades diarias y
17
El monitoreo de redes actualmente se lo puede realizar mediante la utilización de
aplicaciones de escritorio o incluso desde aplicaciones web, permitiendo revisar y controlar
los siguientes elementos informáticos:
Estaciones de trabajo.
Servidores.
Equipos de red (router, switch, etc).
Aplicaciones - software (firewalls, bases de datos, apache, etc).
Las redes de cómputo de las organizaciones, se vuelven cada vez más complejas y la
exigencia de la operación es cada vez más demandante. Las redes, cada vez más, soportan
aplicaciones y servicios estratégicos de las organizaciones. Por lo cual el análisis y
monitoreo de redes se han convertido en una labor cada vez más importante y de carácter
pro-activo para evitar problemas.
Anteriormente, cuando no se disponía de las herramientas que hoy existen, era necesario
contratar a una empresa especializada para esta labor, con un costo muy elevado. Las
herramientas que actualmente se ofrece, permite al usuario realizar esta importante labor, y
contar un sistema experto como aliado que le ayuda en la interpretación de los resultados
obtenidos que se quedan registrados todo el tiempo y es considerado como parte de su
activo.
En el pasado existían herramientas que permitían monitorear redes pero con valores
altamente costosos, en cambio en la actualidad encontramos una extensa gama de
aplicaciones gratuitas y licenciadas que permiten realizar el monitoreo informático, sin
embargo no todas las herramientas señaladas realizan las mismas funciones, algunas son
dedicadas a monitorear de manera gráfica lo que hacen los usuarios conectados a la red, es
decir muestra la pantalla de los computadores activos, en cambio otras herramientas
controlan procesos internos que se presentan en la actividad de los computadores dentro de
una red.
Muchas de las herramientas reconocidas en el campo del monitoreo de redes son
desarrolladas sobre plataformas de software libre, debido a que son herramientas con alto
18
En organizaciones que poseen una estructura informática bien definida es muy común
encontrar 3 tipos de herramientas destinadas para el monitoreo de redes:
Herramientas independientes (nmap, maltego, etc.)
Frameworks (SIEM, SEM, etc.)
Estructuras de seguridad (CSIRT, IRT, etc.)
Según el grado de desempeño de los tipos antes mencionados se puede resumir que la
agrupación de herramientas de seguridad da origen a frameworks de seguridad y la
utilización de éstos dan paso a las estructuras de seguridad.
1.4. SIEM
El término SIEM (System Information and Event Management) es utilizado para señalar a
las herramientas relacionadas a la información de seguridad y administración de eventos
dentro de un contexto informático a nivel de networking. Una herramienta SIEM es el
resultado de la combinación de tres herramientas antecesoras: Security Information
Management (SIM), Security Event Management (SEM) y Security Event and Information
Management (SEIM).
Básicamente la función principal de un SIEM se basa en el monitoreo en tiempo real de las
actividades suscitadas dentro de la red institucional, actividades que dan origen a varias
alertas, logrando definir causas o advertencias de aspectos sospechosos para el normal
desempeño tanto del hardware y software institucional, las amenazas pueden proyectarse
desde el internet o desde el interior de la misma organización.
El diseño de un sistema SIEM está orientado preferencialmente para la administración de
la seguridad de las pequeñas y medianas empresas, basando el criterio específicamente en
el aspecto financiero. Las tecnologías SIEM están creadas sobre herramientas opensource,
lo cual afianza su utilización como mecanismo de seguridad a nivel de networking.
1.5.Características de sistemas SIEM
En la actualidad los sistemas SIEM han evolucionado de manera vertiginosa básicamente
en identificación de eventos reales y en aspectos de interfaz, logrando observar que la
19
consolidan todos sus servicios así como sus principales herramientas. Entre las
características más comunes y básicas se citan:
Control de direccionamiento IP
Acceso centralizado y administración de logs.
Cumplimiento normativo de TI.
Correlación de eventos.
Respuesta activa del servidor (seguridad y monitoreo local)
Seguridad de endpoint y escaneo de equipos.
1.5.1. Acceso centralizado y administración de logs.
Un sistema SIEM posee la cualidad de centralizar todos los procesos que se encuentran
disponibles para lograr obtener su cometido, adicional la administración de logs empieza
con la configuración de nodos dentro de un sistema de tecnologías de la información,
particularmente los nodos más importantes o más críticos, para enviar la información
relevante y eventos de aplicaciones (logs) a una base de datos centralizada y administrada
por la aplicación SIEM. La base de datos de la aplicación SIEM primero analiza y
normaliza los datos enviados por los numerosos y muy rápidos nodos existentes dentro de
un sistema de tecnologías de la información.
1.5.1.1.Log
El término log es utilizado en actividades de loggin, análisis de logs y administración de
logs, debido a que posee varios significados.
Básicamente son archivos contenedores de texto que pueden mostrar información ocurrida
después de un evento o diagnosticar problemas para lograr una solución, considerando que
no pueden ser modificados o alterados automáticamente durante el normal uso de algún
sistema específico.
Los logs usualmente tienen referencias de tiempo en cada grabación, almacenando una
secuencia cronológica de eventos, que no solo muestra lo que sucedió, sino cuando sucedió
20 1.5.2. Cumplimiento normativo de TI
Una vez que todos los eventos sean registrados en el sistema, es factible aplicar filtros o
reglas para actividades de auditoría, evaluación de cumplimiento o identificación de
violaciones de los requerimientos básicos.
Las normas exigidas a los logs de los sistemas por lo general requieren la frecuencia de los
cambios de contraseñas, identificación de sistemas operativos, errores de aplicaciones que
no se puedan instalar y auditorias de antivirus y antispyware.
1.5.3. Correlación de eventos
La correlación de eventos permite aportar al sistema SIEM con un nivel de inteligencia
mayor debido a que no muestra únicamente los eventos sino también la posibilidad de
reaccionar o no a dicha acción, fundamentándose en varias condiciones una vez ejecutadas
las alarmas.
El motor de correlación de los sistemas SIEM está diseñado para investigar y considerar
eventos existentes dentro de una base de datos dispuesta para este fin.
1.5.4. Respuesta activa (monitoreo y seguridad)
Esta característica permite tomar medidas como respuesta a incidentes suscitados dentro
del servidor, eventos que pueden afectar al sistema y por consiguiente traer resultados
inesperados.
La configuración del sistema de seguridad para que responda de manera adecuada es
recomendado que posee herramientas eficientes pero ligeras, pues ayudará a que las
actividades del servidor no colapsen, ya que puede suceder que el sistema se encuentre
respondiendo a falsos positivos o es posible que ejecutara una DoS hacia su propia red, lo
cual implica un desperdicio en el uso de recursos, tanto hardware como software, dando la
posibilidad de que la respuesta activa se convierta en el evento maligno dentro de la
organización.
1.5.5. Seguridad de endpoint y escaneo de equipos
La mayoría de sistemas SIEM ofrecen la posibilidad de monitorear la seguridad en los
puntos finales o nodos, logrando identificar incluso si algún punto se infectó con spyware o
dependiendo del sistema SIEM es factible administrar la seguridad en los puntos finales
21
actualizaciones antispyware o antispam. No se puede dejar de lado que el complemento de
seguridad endpoint es el escaneo de equipos, para saber y conocer que posibles
vulnerabilidades poseen.
1.6. Amenazas y tipos de amenazas
Dentro de los sistemas SIEM es necesario saber que los eventos inusuales que se presenten
son denominados como amenazas, debido a que dan origen a distintos incidentes de
seguridad.
Entre los tipos de amenazas más comunes que son monitoreados dentro de un sistema
SIEM se citan:
1.6.1. Vulnerabilidades
Como vulnerabilidades son consideradas todas las debilidades de los sistemas o redes
informáticas a través de las cuales los atacantes tienen acceso a la información.
El sistema SIEM es el encargado de verificar y reportar dichas vulnerabilidades ofreciendo
al usuario la posibilidad de obtener eventos de seguridad o asignarle la responsabilidad de
reconfigurar los equipos de red.
1.6.2. Protocolos vulnerables
Los protocolos son el medio empleado para establecer la comunicación entre
computadores dentro de redes, pero también a través del tiempo se han detectado
vulnerabilidades en el funcionamiento de muchos de ellos, logrando tener en la actualidad
reemplazo de sus versiones originales.
Al momento de intentar proteger el entorno de la organización es necesario evitar el uso de
puertos vulnerables conocidos mediante la ejecución de políticas de seguridad como el
filtrado de protocolos vulnerables en el sistema SIEM o también referenciados como
herramientas o sistemas IDS, ya que no siempre los protocolos pueden atravesar router
alguno dentro de algún segmento de la red corporativa.
1.6.3. Configuración errónea
Una configuración acertada dentro de un sistema SIEM garantiza una eficiente seguridad
22
vulnerabilidades dentro del sistema tengan una presencia mayoritaria lo cual puede incidir
una posible sustracción de información organizacional.
Las configuraciones erróneas no siempre son intencionales, existe ocasiones en las que su
origen provienen de accidentes o descuidos del administrador e incluso de pequeñas
acciones laborales como por ejemplo desactivar o apagar un firewall, no iniciar algún
servidor o personal no calificado en la manipulación de servidores o estaciones de trabajo.
En muchos sistemas SIEM existe la posibilidad de gestionar las configuraciones y sistemas
de verificación, los mismos que sirven para identificar e informar los cambios realizados
sobre configuraciones específicas o cambios en archivos dentro de sistemas críticos.
1.6.4. Conciencia y errores de usuarios
Muchos errores y vulnerabilidades son generados o introducidos por parte de los usuarios a
los entornos de los sistemas SIEM, una de las soluciones no recomendadas es el bloqueo
de determinados usuarios, lastimosamente no es la correcta, ya que los usuarios son
quienes aprovechan los recursos de la red.
Uno de los casos más comunes en este aspecto sucede cuando un usuario se aleja de su
ordenador dejando desbloqueada su cuenta, entonces ese momento es aprovechado por otro
usuario para realizar alguna anomalía dentro del sistema organizacional o intentar acceder
a contenidos no autorizados, lo cual generará errores que se almacenarán en los logs del
servidor SIEM, otra de las posibles consecuencias podría ser el acceso a mails que
verdaderamente sean ataques de phishing lo cual sería considerado como una gran pérdida
para la organización.
1.6.5. Intentos maliciosos
A más del uso de protocolos, errores de usuario y configuraciones erróneas, otra de las
causas principales de riesgo para los sistemas de tecnología de la información se produce
cuando un ataque es dirigido específicamente hacia la organización.
El motivo que lleva a los atacantes puede ser que deseen vender su información comercial
a la competencia, obtener el listado de clientes con su información personal o simple
23
En muchas ocasiones estos ataques son realizados por empleados de la organización, muy
común es encontrar a empleados descontentos o empleados imprudentes que realizan estos
ataques por dinero, venganza o alguna otra causa.
1.6.6. Amenazas internas
La mayoría de redes organizacionales invierten grandes cantidades de recursos para
mejorar la seguridad externa de dichas entidades con el fin de evitar inconvenientes con
ataques originados por terceros.
Este hecho da origen a que los diseñadores y administradores de redes descuiden la
seguridad interna, pensando tener el control y sin tomar en cuenta que las amenazas
internas pueden ser mayores a las externas, incluso alcanzando entre el 50% y 90% del
total de amenazas existentes.
Se debe discurrir que los ataques internos son una amenaza real y deben ser considerados
en los programas de seguridad de organizaciones, permitiendo establecer políticas
institucionales de seguridad al momento de implementar redes informáticas.
1.6.7. Amenazas externas
En la actualidad las amenazas externas se han convertido en amenazas más fáciles de
detectar y controlar, debido a que la gran mayoría de organizaciones implementan sistemas
de seguridad apuntando hacia afuera de la organización, implicando un peligro latente las
amenazas originadas en el interior de las organizaciones.
Las amenazas externas pueden ir desde un simple script que permita saber si el sistema es
vulnerable o toda una estructura que permita violentar las seguridades organizacionales
con el fin de tener acceso a información o bases de datos que faciliten la obtención de
réditos económicos o reconocimiento social.
Las amenazas externas pueden ser manuales o automáticas, las manuales se presentan
cuando algún individuo o atacante intenta acceder de manera sistemática y sutil en algún
24
automáticas se presentan en forma de virus, gusanos o ataques de secuencia de comandos,
dando origen a una tasa mayor de intentos fallidos.
1.7.Sistemas operativos
Son aplicaciones que permiten gestionar los componentes hardware del computador,
mediante la interacción del usuario con el software del mismo computador.
Es necesario resaltar que sin un sistema operativo un computador sería un equipo
tecnológico inservible.
La elección del sistema operativo a instalar en un computador se fundamenta en el uso que
se dé a dicho equipo, básicamente un equipo puede ser utilizado como servidor o
simplemente como cliente.
En el mercado informático existe principalmente dos grandes alternativas de sistemas
operativos: los sistemas operativos Windows y los sistemas operativos Linux, el primero
tiene un uso específico, es decir puede ser utilizado solo como cliente o solo como
servidor, claro está dependiendo de la versión de cada uno de los sistemas operativos
Windows, ej: Windows 10, Windows 7, Windows Server 2008, etc. En cambio los
sistemas operativo Linux tienen la posibilidad de interactuar como cliente o como servidor,
esto debido a la robustez que poseen estos sistemas, entre las distribuciones más conocidas
están, Centos, RedHat, Ubuntu, Mint, etc.
Otro de los aspectos a tener en cuenta al momento de decidirse por un sistema operativo es
el factor económico, pues los sistemas Windows son sistemas comerciales, los cuales
tienen un costo económico que permite su instalación y uso, en cambio las distribuciones
Linux pertenecen al grupo de software de código abierto o también conocido como
software libre, sin querer interpretar que esto sea sinónimo de gratuidad, por ejemplo la
distribución RedHat es una distro Linux que obligatoriamente requiere la adquisición de
