B4T5 Seguridad - PDF

Bloque 4 - Tema 5 CONCEPTOS DE SEGURIDAD DE LOS SISTEMAS DE INFORMACIÓN. SEGURIDAD FÍSICA. SEGURIDAD LÓGICA. AMENAZAS Y VULNERABILIDADES. TÉCNICAS CRIPTOGRÁFICAS Y PROTOCOLOS SEGUROS. MECANISMOS DE FIRMA DIGITAL. INFRAESTRUCTURA FÍSICA DE UN CPD: ACONDICIONAMIENTO Y EQUIPAMIENTO. SISTEMAS DE GESTIÓN DE INCIDENCIAS. CONTROL REMOTO DE PUESTOS DE USUARIO PREPARACIÓN OPOSICIONES TÉCNICOS AUXILIARES DE INFORMÁTICA B4T5 SEGURIDAD, CPD Y CRIPTOGRAFÍA TAI ÍNDICE ÍNDICE.............................................................................................................................................................. 2 1. CONCEPTOS DE SEGURIDAD DE LOS SISTEMAS DE INFORMACIÓN........................................................... 3 1. Conceptos básicos................................................................................................................................ 3 2. MAGERIT.............................................................................................................................................. 9 3. Serie ISO 27000.................................................................................................................................. 11 4. Evaluación de seguridad de productos TIC......................................................................................... 14 2. SEGURIDAD FÍSICA. SEGURIDAD LÓGICA. AMENAZAS Y VULNERABILIDADES......................................... 16 1. Seguridad física.................................................................................................................................. 16 2. Seguridad lógica................................................................................................................................. 17 3. Amenazas y vulnerabilidades............................................................................................................. 20 3. SOLUCIONES DE CIBERSEGURIDAD......................................................................................................... 27 4. INFRAESTRUCTURA FÍSICA DE UN CPD: ACONDICIONAMIENTO Y EQUIPAMIENTO................................ 38 1. Elementos de CPDs............................................................................................................................. 39 2. Uptime Institute................................................................................................................................. 45 3. Norma ANSI/TIA-942.......................................................................................................................... 46 4. Redundancia en CPDs......................................................................................................................... 47 5. Clasificación de CPDs.......................................................................................................................... 47 5. TÉCNICAS CRIPTOGRÁFICAS Y PROTOCOLOS SEGUROS. MECANISMOS DE FIRMA DIGITAL................... 50 1. Técnicas criptográficas....................................................................................................................... 50 2. Mecanismos de firma digital.............................................................................................................. 56 3. Esteganografía................................................................................................................................... 62 4. Protocolos seguros............................................................................................................................. 62 6. SISTEMAS DE GESTIÓN DE INCIDENCIAS................................................................................................. 65 7. CONTROL REMOTO DE PUESTOS DE TRABAJO........................................................................................ 66 PABLO ARELLANO www.theglobeformacion.com Página 2 B4T5 SEGURIDAD, CPD Y CRIPTOGRAFÍA TAI 1. CONCEPTOS DE SEGURIDAD DE LOS SISTEMAS DE INFORMACIÓN 1. Conceptos básicos Se define SEGURIDAD como la capacidad de las redes o de los sistemas de información de resistir, con un determinado nivel de confianza, los accidentes o acciones ilícitas o malintencionadas que comprometan la disponibilidad, autenticidad, integridad y confidencialidad de los datos almacenados o transmitidos y de los servicios que dichas redes y sistemas ofrecen o hacen accesibles (Reglamento 460/2004, por el que se crea la Agencia Europea de Seguridad de las Redes y de la Información). En relación con los sistemas de información la SEGURIDAD DE LA INFORMACIÓN es la confianza en que los sistemas de información están libres y exentos de todo peligro o daño inaceptables. Es por ello que es necesario proteger las diferentes dimensiones de seguridad de los datos y servicios (ACIDT): - AUTENTICIDAD: propiedad o característica consistente en que una entidad es quien dice ser o bien que garantiza la fuente de la que proceden los datos. - CONFIDENCIALIDAD: propiedad o característica consistente en que la información ni se pone a disposición ni se revela a individuos, entidades o procesos no autorizados. - INTEGRIDAD: propiedad o característica consistente en que el activo no ha sido alterado de manera no autorizada. - DISPONIBILIDAD: aseguramiento de que los usuarios autorizados tienen acceso cuando lo requieran a la información y sus activos asociados. - TRAZABILIDAD: aseguramiento de que en todo momento se podrá determinar quién hizo qué y en qué momento. El concepto de seguridad de las TIC es mucho más amplio que la simple protección de los datos desde un punto de vista lógico, interviniendo factores tecnológicos, pero también aspectos como la protección física, las salvaguardas organizativas o el cumplimiento normativo y teniendo en cuenta múltiples condicionantes, tanto internos como externos a una Organización. Así, la Seguridad de las Tecnologías de la Información y Comunicaciones (STIC) hace referencia al conjunto de medidas de seguridad para proteger la información almacenada, procesada o transmitida por sistemas de información y telecomunicaciones, de manera que se preserve la confidencialidad, integridad y disponibilidad de la información y la integridad y la disponibilidad de los elementos que la tratan. PABLO ARELLANO www.theglobeformacion.com Página 3 B4T5 SEGURIDAD, CPD Y CRIPTOGRAFÍA TAI Por tanto, los objetivos de la STIC se concretan en el mantenimiento de las características enumeradas previamente: confidencialidad, integridad y disponibilidad. La taxonomía más básica de amenazas que afectan a estas características es la siguiente: - INTERRUPCIÓN (disponibilidad): amenazas que motivan la pérdida, inutilización o no disponibilidad de la información. - INTERCEPTACIÓN (confidencialidad): amenazas que motivan el acceso de un actor no autorizado a la información. - MODIFICACIÓN (integridad): amenazas que motivan la alteración no autorizada de la información; un caso especial es la destrucción, entendida como modificación que inutiliza la información. - FABRICACIÓN: amenazas que tratan de generar información similar de forma que sea difícil distinguir entre la versión original y la fabricada. Según la definición del término STIC, la seguridad de la información y de los sistemas que la tratan puede conseguirse protegiendo cada uno de los recursos que componen la configuración de dichos sistemas. De este modo, las medidas de seguridad, en función del objeto de protección en cada caso, pueden clasificarse en (según la Guía de Seguridad de las TIC CCN-STIC 400 Manual STIC: - TRANSEC. Medidas que aseguran los canales de transmisión (Seguridad de las Transmisiones). - COMPUSEC. Medidas que protegen el proceso automático de datos (Seguridad de los Ordenadores). - EMSEC. Medidas que protegen a los equipos frente a la emisión de radiaciones no deseadas (Seguridad de las Emisiones). - NETSEC. Medidas que protegen los elementos de red (Seguridad de las Redes). - CRYPTOSEC. Medidas que aseguran que la información está protegida mediante procedimientos criptográficos adecuados (Seguridad Criptológica). Conviene señalar que el término NETSEC está relacionado con la protección de las redes contra la modificación, destrucción o revelación de la información mientras circula por ellas, diferenciándose así del término TRANSEC, vinculado este último con la prevención contra la obtención de información por medio de la interceptación, radiolocalización y análisis de las señales electromagnéticas. Es preciso conocer el significado concreto de un conjunto de conceptos en materia de seguridad ofrecidos por organismos nacionales e internacionales. Antes, destacamos las siguientes normas: - ISO 31000: Sistemas de Gestión de riesgos. - UNE-ISO/IEC Guía 73:2010: Gestión del riesgo. Vocabulario. - UNE 71504:2008: Metodología de análisis y gestión de riesgos para los sistemas de información. PABLO ARELLANO www.theglobeformacion.com Página 4 B4T5 SEGURIDAD, CPD Y CRIPTOGRAFÍA TAI Sistema de información Conjunto organizado de recursos para que la información se pueda recoger, almacenar, procesar (tratar), mantener, usar, compartir, distribuir, poner a disposición, presentar o transmitir. Según MAGERIT, es el conjunto de elementos físicos, lógicos, elementos de comunicación, datos y personal que permiten el almacenamiento, transmisión y proceso de la información. Sistema de Gestión de la Seguridad de la Información (SGSI) Conjunto de políticas, procedimientos y directrices junto a los recursos y actividades asociados que son administrados colectivamente por una organización, en la búsqueda de proteger sus activos de información esenciales. Los SGSIs formalizan cuatro etapas cíclicas: Activo Componente o funcionalidad de un sistema de información susceptible de ser atacado deliberada o accidentalmente con consecuencias para la organización. Incluye: información, datos, servicios, aplicaciones (software), equipos (hardware), comunicaciones, recursos administrativos, recursos físicos y recursos humanos. También se define como recursos del sistema de información o relacionados con éste, necesarios para que la Organización funcione correctamente y alcance los objetivos propuestos por su dirección. PABLO ARELLANO www.theglobeformacion.com Página 5 B4T5 SEGURIDAD, CPD Y CRIPTOGRAFÍA TAI Vulnerabilidad Defecto o debilidad en el diseño, implementación u operación de un sistema que habilita o facilita la materialización de una amenaza. Según la ISO, son las propiedades intrínsecas de que algo se produzca como resultado de una sensibilidad a una fuente de riesgo que puede conducir a un suceso con una consecuencia. Amenaza Causa potencial de un incidente que puede causar daños a un sistema de información o a una organización. Ataque Intento de destruir, exponer, alterar o inhabilitar un sistema de información o la información que el sistema maneja, o violar alguna política de seguridad de alguna otra manera. Definido alternativamente como cualquier acción deliberada encaminada a violar los mecanismos de seguridad de un sistema de información. Impacto Consecuencia que sobre un activo tiene la materialización de una amenaza. Un tipo de impacto es el impacto residual: se define como el Impacto remanente en el sistema tras la implantación de las salvaguardas determinadas en el plan de seguridad de la información. Análisis de impacto Estudio de las consecuencias que tendría una parada de X tiempo sobre la Organización. PABLO ARELLANO www.theglobeformacion.com Página 6 B4T5 SEGURIDAD, CPD Y CRIPTOGRAFÍA TAI Riesgo Estimación del grado de exposición a que una amenaza se materialice sobre uno o más activos causando daños o perjuicios a la Organización. Según ISO, efecto de la incertidumbre sobre la consecución de los objetivos. Según MAGERIT, posibilidad de que se produzca un impacto determinado en un activo, en un dominio o en todo la Organización. Tipos de riesgos: - Riesgo ACUMULADO: calculado tomando en consideración el valor propio de un activo y el valor de los activos que depende de él. - Riesgo POTENCIAL: riesgos del sistema de información en la hipótesis de que no hubieran salvaguardas presentes. - Riesgo REPERCUTIDO: calculado tomando en consideración únicamente el valor propio de un activo. - Riesgo RESIDUAL: riesgo remanente en el sistema después del tratamiento del riesgo, es decir, tras la implantación de las salvaguardas. El impacto nos indica las consecuencias de la materialización de una amenaza. El nivel de riesgo es una estimación de lo que puede ocurrir y se valora, de forma cuantitativa, como el producto del impacto, (consecuencia), asociado a una amenaza (suceso), por la probabilidad de la misma. Análisis de riesgos Proceso sistemático para estimar la magnitud de los riesgos a que está expuesta una organización. Según la ISO, el análisis del riesgo es el proceso que permite comprender la naturaleza del riesgo y determinar el nivel de riesgo. Según MAGERIT, es la identificación de las amenazas que acechan a los distintos componentes pertenecientes o relacionados con el sistema de información (activos); para determinar la vulnerabilidad del sistema ante esas amenazas y para estimar el impacto o grado de perjuicio que una seguridad insuficiente puede tener para la organización, obteniendo cierto conocimiento del riesgo que se corre. PABLO ARELLANO www.theglobeformacion.com Página 7 B4T5 SEGURIDAD, CPD Y CRIPTOGRAFÍA TAI Gestión de riesgos Actividades coordinadas para dirigir y controlar una organización en lo relativo al riesgo. Según MAGERIT, es la selección e implantación de salvaguardas para conocer, prevenir, impedir, reducir o controlar los riesgos identificados. Hay dos grandes tareas a realizar: - ANÁLISIS de riesgos: permite determinar qué tiene la Organización y estimar lo que podría pasar. - TRATAMIENTO de los riesgos: permite organizar la defensa, defendiendo para que no pase nada malo y al tiempo estando preparados para atajar las emergencias, sobrevivir a los incidentes y seguir operando en las mejores condiciones. Como nada es perfecto, se dice que el riesgo se reduce a un nivel residual que la Dirección asume. Ambas actividades, análisis y tratamiento se combinan en el proceso denominado Gestión de Riesgos. El proceso de gestión de riesgos se puede estructurar a través del siguiente esquema: Incidente de seguridad Suceso (inesperado o no deseado) con consecuencias en detrimento de la seguridad del sistema de información. Según MAGERIT, evento con consecuencias en detrimento de la seguridad del sistema de información. Salvaguarda Procedimiento o mecanismo tecnológico que reduce el riesgo. PABLO ARELLANO www.theglobeformacion.com Página 8 B4T5 SEGURIDAD, CPD Y CRIPTOGRAFÍA TAI El siguiente diagrama muestra las relaciones entre varios de los conceptos enumerados: 2. MAGERIT MAGERIT versión 3 es la Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información elaborada por la Comisión de Estrategia TIC. El análisis y gestión de los riesgos es un aspecto clave del ENS que tiene la finalidad de poder dar satisfacción al principio de proporcionalidad en el cumplimiento de los principios básicos y requisitos mínimos para la protección adecuada de la información. MAGERIT es, por tanto, un instrumento para facilitar la implantación y aplicación del ENS. MAGERIT está formado por 3 Libros: - Libro I: Método. - Libro II: Catálogo de Elementos. - Libro III: Guía de Técnicas. MAGERIT permite conocer el riesgo al que están sometidos los elementos de trabajo, imprescindible para poder gestionarlos adecuadamente. Así pues, se persigue una aproximación metódica que no deje lugar a la improvisación, ni dependa de la arbitrariedad de los analistas. Por este motivo, MAGERIT se alinea con la norma ISO 31000: estándar internacional para la gestión de riesgos dentro de las organizaciones, cuyo objetivo es proporcionar una serie de principios y directrices genéricas que puedan ponerse en práctica de forma universal, en cualquier organización independientemente de su naturaleza. PABLO ARELLANO www.theglobeformacion.com Página 9 B4T5 SEGURIDAD, CPD Y CRIPTOGRAFÍA TAI PILAR es una herramienta que implementa la metodología MAGERIT de análisis y gestión de riesgos. MAGERIT persigue los siguientes objetivos: - Concienciar a los responsables de las organizaciones de información de la existencia de riesgos y de la necesidad de gestionarlos. - Ofrecer un método sistemático para analizar los riesgos derivados del uso de tecnologías de la información y comunicaciones (TIC). - Ayudar a descubrir y planificar el tratamiento oportuno para mantener los riesgos bajo control Indirectos. - Preparar a la Organización para procesos de evaluación, auditoría, certificación o acreditación, según corresponda en cada caso. Hay dos grandes tareas a realizar: (1) ANÁLISIS de riesgos: permite determinar qué tiene la Organización y estimar lo que podría pasar. Se consideran los siguientes elementos: o Activos: son los elementos del sistema de información (o estrechamente relacionados con este) que soportan la misión de la Organización. o Amenazas: son cosas que les pueden pasar a los activos causando un perjuicio a la Organización. o Salvaguardas (o contra medidas): son medidas de protección desplegadas para que aquellas amenazas no causen [tanto] daño. Con estos elementos se puede estimar: o El impacto: lo que podría pasar. o El riesgo: lo que probablemente pase. El análisis de riesgos permite analizar estos elementos de forma metódica para llegar a conclusiones con fundamento y proceder a la fase de tratamiento. Es una aproximación metódica para determinar el riesgo siguiendo unos pasos pautados: PABLO ARELLANO www.theglobeformacion.com Página 10 B4T5 SEGURIDAD, CPD Y CRIPTOGRAFÍA TAI o Determinar los activos relevantes para la Organización, su interrelación y su valor, en el sentido de qué perjuicio (coste) supondría su degradación. Hay 2 activos esenciales: la información que maneja y los servicios que presta. o Determinar a qué amenazas están expuestos aquellos activos. o Determinar qué salvaguardas hay dispuestas y cuán eficaces son frente al riesgo. o Estimar el impacto, definido como el daño sobre el activo derivado de la materialización de la amenaza. o Estimar el riesgo, definido como el impacto ponderado con la tasa de ocurrencia (o expectativa de materialización) de la amenaza. (2) TRATAMIENTO de los riesgos: permite organizar la defensa concienzuda y prudente, defendiendo para que no pase nada malo y al tiempo estando preparados para atajar las emergencias, sobrevivir a los incidentes y seguir operando en las mejores condiciones; como nada es perfecto, se dice que el riesgo se reduce a un nivel residual que la Dirección asume. A partir del análisis disponemos de información para tomar decisiones conociendo lo que queremos proteger (activos valorados), de qué lo queremos proteger (amenazas valoradas) y qué hemos hecho por protegerlo (salvaguardas valoradas). Todo ello sintetizado en los valores de impacto y riesgo. Ambas actividades, análisis y tratamiento se combinan en el proceso denominado Gestión de Riesgos. 3. Serie ISO 27000 La Serie ISO 27000 son un conjunto de guías de referencia útiles para la implantación, mantenimiento, auditoría y certificación de los Sistemas de Gestión de la Seguridad de la Información (SGSIs). Recordamos que un SGSI es un conjunto de políticas, procedimientos y directrices junto a los recursos y actividades asociados que son administrados colectivamente por una organización, en la búsqueda de proteger sus activos de información esenciales. Dentro de esta serie de normas tenemos: - ISO/IEC 27000: proporciona una visión general de las normas que componen la serie 27000, indicando para cada una de ellas su alcance de actuación y el propósito de su publicación. Recoge todas las definiciones para la serie 27000 y aporta las bases de por qué es importante la implantación de un SGSI, una introducción a los SGSI, una breve descripción de los pasos para el establecimiento, monitorización, mantenimiento y mejora de un SGSI (la última edición no aborda ya el ciclo Plan-Do-Check-Act para evitar convertirlo en el único marco de referencia para la mejora continua). PABLO ARELLANO www.theglobeformacion.com Página 11 B4T5 SEGURIDAD, CPD Y CRIPTOGRAFÍA TAI - ISO/IEC 27001: es la norma principal de la serie y contiene los requisitos del SGSI y es la norma con arreglo a la cual las organizaciones certifican sus SGSIs por auditores externos. - ISO/IEC 27002: guía de buenas prácticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la información. No certificable. - ISO/IEC 27003: se centra en los aspectos críticos necesarios para el diseño e implementación con éxito de un SGSI de acuerdo ISO/IEC 27001. Describe el proceso de especificación y diseño desde la concepción hasta la puesta en marcha de planes de implementación, así como el proceso de obtención de aprobación por la dirección para implementar un SGSI. No certificable. - ISO/IEC 27004: guía para el desarrollo y utilización de métricas y técnicas de medida aplicables para determinar la eficacia de un SGSI y de los controles o grupos de controles implementados. - ISO/IEC 27005: proporciona directrices para la gestión del riesgo en la seguridad de la información. No certificable. - ISO/IEC 27006: especifica los requisitos para la acreditación de entidades de auditoría y certificación de SGSI. No es una norma de acreditación por sí misma. - ISO/IEC 27007: guía de auditoría de un SGSI. No certificable. - ISO/IEC 27008: guía de auditoría de los controles seleccionados en el marco de implantación de un SGSI. No certificable. - ISO/IEC 27009: define los requisitos para el uso de la norma ISO/IEC 27001 en cualquier sector específico (campo, área de aplicación o sector industrial). No certificable. - ISO/IEC 27010: guía para la gestión de la seguridad de la información cuando se comparte entre organizaciones. - ISO/IEC 27011: guía de interpretación de la implementación y gestión de la seguridad de la información en organizaciones del sector de telecomunicaciones basada en ISO/IEC 27002. - ISO/IEC 27013: guía de implementación integrada de ISO/IEC 27001 (gestión de seguridad de la información) y de ISO/IEC 20000-1 (gestión de servicios TI). - ISO/IEC 27014: guía de gobierno corporativo de la seguridad de la información, la ciberseguridad y privacidad. - ISO/IEC 27015: guía de SGSI orientada a organizaciones del sector financiero y de seguros. - ISO/IEC 27016: guía de valoración de los aspectos financieros de la seguridad de la información. - ISO/IEC 27017: guía de seguridad para Cloud Computing alineada con ISO/IEC 27002 y con controles adicionales específicos de estos entornos de nube. Certificable. - ISO/IEC 27018: buenas prácticas en controles de protección de datos para aquellos proveedores de servicios de computación en Cloud Computing. Certificable. PABLO ARELLANO www.theglobeformacion.com Página 12 B4T5 SEGURIDAD, CPD Y CRIPTOGRAFÍA TAI - ISO/IEC 27019: para el proceso de sistemas de control específicos relacionados con el sector de la industria de la energía. - ISO/IEC 27021: especifica los requisitos de competencia para profesionales que participan en el establecimiento, implementación, mantenimiento y mejora continua de uno o más procesos del SGSI. - ISO/IEC 27030: cubre la seguridad y privacidad en principios, riesgos y controles aplicables a IoT. En fase de desarrollo. - ISO/IEC 27031: para la adecuación de las TIC de una organización para la continuidad del negocio. No certificable. - ISO/IEC 27032: proporciona orientación para la mejora del estado de ciberseguridad de una organización. - ISO/IEC 27033: dedicada a la seguridad en redes, consta de 6 partes: (1) Conceptos generales, (2) Directrices de diseño e implementación de seguridad en redes, (3) Escenarios de referencia de redes, (4) Aseguramiento de las comunicaciones entre redes mediante gateways de seguridad, (5) Aseguramiento de comunicaciones mediante VPNs y (6) Securización de redes IP Wireless. - ISO/IEC 27034: seguridad en aplicaciones informáticas, consta de 7 partes: (1) Conceptos generales, (2) Marco normativo de la organización, (3) Proceso de gestión de seguridad en aplicaciones, (4) Validación de la seguridad en aplicaciones, (5) Estructura de datos y protocolos y controles de seguridad de aplicaciones, (6) Guía de seguridad para aplicaciones de uso específico y (7) Marco predictivo de en la seguridad. - ISO/IEC 27035: gestión de incidentes de seguridad en la información. Consta de 3 partes: (1) Principios en la gestión de incidentes, (2) Guías para la elaboración de un plan de respuesta a incidentes y (3) Guía de operaciones en la respuesta a incidentes. - ISO/IEC 27036: guía de seguridad en las relaciones con proveedores. - ISO/IEC 27037: proporciona directrices para las actividades relacionadas con la identificación, recopilación, consolidación y preservación de evidencias digitales potenciales (en teléfonos móviles, tarjetas de memoria, dispositivos electrónicos personales, sistemas de navegación móvil, cámaras digitales y de video, redes TCP/IP), para que puedan ser utilizadas con valor probatorio y en el intercambio entre las diferentes jurisdicciones. - ISO/IEC 27038: especificación para seguridad en la redacción digital. - ISO/IEC 27039: para la selección, despliegue y operativa de IDS/IPS. - ISO/IEC 27040: para la seguridad en medios de almacenamiento. - ISO/IEC 27041: para la garantizar la idoneidad y adecuación de los métodos de investigación. - ISO/IEC 27042: guía con directrices para el análisis e interpretación de las evidencias digitales. - ISO/IEC 27043: desarrolla principios y procesos de investigación para la recopilación de evidencias digitales. PABLO ARELLANO www.theglobeformacion.com Página 13 B4T5 SEGURIDAD, CPD Y CRIPTOGRAFÍA TAI - ISO/IEC 27045: cubre procesos de seguridad y privacidad en sistemas de big data. - ISO/IEC 27050: norma sobre la información almacenada en dispositivos electrónicos en relación con su identificación, preservación, recolección, procesamiento, revisión, análisis y producción. - ISO/IEC 27070: requisitos de seguridad para establecer raíces virtualizadas de confianza en la nube, es decir, para la provisión de entornos informáticos confiables en la nube, donde las máquinas virtuales se crean dinámicamente para proporcionar servicios en la nube. - ISO/IEC 27071: controles de seguridad para establecer conexiones confiables entre dispositivos y servicios en la nube. - ISO/IEC 27099: requisitos de gestión de seguridad de la información para los proveedores de servicios de confianza de PKI. - ISO/IEC 27100: descripción general de los conceptos de ciberseguridad. - ISO/IEC TS 27101: guía para desarrollar marcos de ciberseguridad. - ISO/IEC 27102: proporciona pautas en el momento de considerar la contratación de un ciberseguro como una opción de tratamiento de riesgos para gestionar el impacto de un ciberincidente. - ISO/IEC 27103: norma que proporciona orientación sobre cómo aprovechar las normas existentes en un marco de ciberseguridad. - ISO/IEC 27550: guía sobre diversos aspectos de privacidad en ingeniería de sistemas TIC. - ISO/IEC 27553: requisitos para la autenticación biométrica en dispositivos móviles. - ISO/IEC 27554: guía para evaluar el riesgo relacionado con la gestión de identidad. - ISO/IEC 27555: orientaciones sobre la eliminación de datos personales. - ISO/IEC 27556: marco centrado en el usuario para manejar la eliminación de datos personales en función de las preferencias de privacidad. - ISO/IEC 27570: orientación sobre privacidad para ciudades inteligentes. - ISO/IEC 27701: requisitos y orientación para establecer, implementar, mantener y mejorar continuamente un Sistema de gestión de información de privacidad. - ISO 27799: proporciona directrices para apoyar la interpretación y aplicación en el sector sanitario, en cuanto a la seguridad de la información sobre los datos de salud de los pacientes. 4. Evaluación de seguridad de productos TIC Para medir el nivel de seguridad de las TIC se utiliza la norma ISO/IEC 15408, también conocida como Common Criteria (CC). Esta norma define los criterios de evaluación para la seguridad de productos informáticos a nivel internacional. PABLO ARELLANO www.theglobeformacion.com Página 14 B4T5 SEGURIDAD, CPD Y CRIPTOGRAFÍA TAI Esta norma se basa en el concepto clave de los perfiles de protección, que define un conjuntos de requisitos y objetivos de seguridad que deben cumplir los productos de una determinada categoría o familia. Se entiende por categoría de producto aquello que satisface necesidades de usuarios similares. El Common Criteria establece 7 niveles de confianza (EAL, Evaluation Assurance Level), que define cómo de profundamente se ha probado el producto, desde EAL1 (menor) hasta EAL7 (mayor): - EAL0: sin garantías. - EAL1: probado funcionalmente. - EAL2: probado estructuralmente. - EAL3: probado y chequeado metódicamente. - EAL4: diseñado, probado y revisado metódicamente. - EAL5: diseñado y probado semiformalmente. - EAL6: diseñado, probado y verificado semiformalmente. - EAL7: diseñado, probado y verificado formalmente (siguiendo una metodología definida). Consideraciones: - Para pasar a EALN implica haber pasado previamente por EAL anteriores. - EALN no significa que el producto sea más seguro que EALN-1, implica que se ha probado más en profundidad. Los niveles anteriores se han desarrollado de manera que sean compatibles con los estándares previos a la norma ISO/IEC 15408, como el TCSEC e ITSEC. LINCE (Certificación Nacional Esencial de Seguridad) es una metodología de evaluación para la certificación de productos de seguridad TIC desarrollada por el CCN y basada en los principios de Common Criteria. Se ha diseñado para ser un medio objetivo que permita evaluar la seguridad básica de productos TIC. Esta metodología está prevista en entornos con nivel de amenaza de tipo básico o medio. LINCE es empleada exclusivamente para la cualificación de productos para el CPSTIC (Catálogo de Productos de Seguridad TIC). El CCN ha publicado varias guías (2001, 2002, 2003 y 2004) sobre la metodología LINCE, destacando la Guía CCN-STIC 2002 Metodología de Evaluación para la Certificación Nacional Esencial de Seguridad (LINCE). PABLO ARELLANO www.theglobeformacion.com Página 15 B4T5 SEGURIDAD, CPD Y CRIPTOGRAFÍA TAI 2. SEGURIDAD FÍSICA. SEGURIDAD LÓGICA. AMENAZAS Y VULNERABILIDADES 1. Seguridad física La SEGURIDAD FÍSICA es el conjunto de medidas usadas para proporcionar protección física a los recursos de información contra amenazas intencionadas o accidentales (definición ISO). Por otro lado, también se puede definir la seguridad física como el conjunto de controles externos al ordenador, que tratan de proteger a éste y su entorno de amenazas de naturaleza física como incendios, inundaciones, atentados, etc. Exponemos, agrupadas según el activo a proteger, las diferentes medidas de seguridad física a implementar. PROTECCIÓN DE LAS INSTALACIONES E INFRAESTRUCTURAS: - Control de accesos físico: disponer de mecanismos de control de acceso a locales y salas restringidas donde se encuentra el equipamiento TIC mediante tarjetas personales, sistemas biométricos o una combinación de ambos. - Áreas de trabajo separadas: el equipamiento del CPD en áreas separadas. - Acondicionamiento de los locales respecto a temperatura, humedad, material inflamable, cableado, amenazas identificadas en el análisis de riesgos. - Energía eléctrica: disposición de tomas de energía eléctrica para infraestructura IT, uso de centros/módulos de transformación, suministro eléctrico de emergencia mediante SAIs para el cierre ordenado de los equipos y grupos electrógenos, disponibilidad de proveedores alternativos para el suministro eléctrico. - Climatización: HVAC y CRAC. - Protección frente a incendios: aplicación de la normativa industrial. o Prevención y detección: cartelería para evacuación, armarios y puertas ignífugos, sistemas de detección de humo conectado a central de alarmas 24x7, etc. o Sistemas de extinción manual y automática y confección de planes de evacuación. o Formación del personal. - Protección frente a inundaciones: o Evitar cercanía de ríos o corrientes de agua y tuberías encima de los equipos. o Medidas como aislamiento de humedades, sistemas de detección conectado a central de alarmas 24x7, plan de detección, reacción y recuperación ante desastres y canalizaciones de desagüe con procedimientos regulares de limpieza. - Registro de entradas y salidas de equipamiento. PABLO ARELLANO www.theglobeformacion.com Página 16 B4T5 SEGURIDAD, CPD Y CRIPTOGRAFÍA TAI - Instalaciones alternativas: CPD de respaldo, el cual debe implementar las mismas medidas de seguridad que el CPD principal. - Adquisición de componentes certificados de los disponibles en el Catálogo de Productos y Servicios de Seguridad de las Tecnologías de la Información y Comunicación (CPSTIC) del CCN. - Dimensionamiento y capacidad: establecimiento de las necesidades de procesamiento, almacenamiento y de comunicaciones. - Documentación de la arquitectura de seguridad: instalaciones, áreas, puntos de acceso, equipos. - Inventario de equipamiento. - Etiquetado del cableado. PROTECCIÓN DE LOS EQUIPOS: - Puestos de trabajo despejados: sin material encima de la mesa salvo el requerido para la actividad que se esté realizando en cada momento. - Bloqueo de puestos de trabajo y cierre de sesiones al superar un tiempo de inactividad. - Protección de equipos portátiles: registro de asignación de equipos a usuarios (inventario), protección perimetral (cortafuegos personal), distinción entre accesos remotos y accesos desde la red de la organización. - Medios alternativos disponibles en caso de que fallen los equipos habituales. PROTECCIÓN DE LOS SOPORTES DE INFORMACIÓN: - Los discos, dispositivos móviles y otras unidades de almacenamiento deben ser etiquetados, la información contenida ha de estar cifrada (criptografía), deber ser custodiadas y se debe establecer un mecanismo de borrado seguro de los datos y de destrucción de los soportes. - Redundancia de discos: RAID. 2. Seguridad lógica La SEGURIDAD LÓGICA se define la seguridad en el uso de software y los sistemas, la protección de los datos, procesos y programas, así como la del acceso ordenado y autorizado de los usuarios a la información. A continuación, y de manera agrupada se detallan las medidas de seguridad lógica a aplicar. CONTROL DE ACCESO: - Identificación: asignar un identificador único a cada usuario o proceso. PABLO ARELLANO www.theglobeformacion.com Página 17 B4T5 SEGURIDAD, CPD Y CRIPTOGRAFÍA TAI - Requisitos de acceso: basado en un identificador y un mecanismo de control de acceso (usuario/password). - Autorización y control de acceso lógico: permisos y ACLs. Uso del principio de mínimo privilegio. - Segregación de funciones y tareas: para prevenir errores e impedir el abuso de privilegios por parte de usuarios autorizados mediante la determinación de perfiles de usuarios (grupos). - Mecanismos de autenticación: validación de la identidad de un usuario, tanto para usuarios externos como internos. Mecanismos: algo que se conoce, algo que se tiene, algo que se es/que es propio del usuario (contraseñas, tarjetas y características biométricas, respectivamente). - Intentos de acceso: limitados. EXPLOTACIÓN: - Inventariado de activos y gestión de cambios. - Configuración, gestión de la configuración, mantenimiento y actualizaciones de seguridad. Bastionado, uso de IaC, parcheado, mínimo privilegio y funcionalidad mínima, uso de entorno de preproducción. - Protección frente a código dañino: antivirus y soluciones CCN. - Registro de las actividades de los usuarios. - Incidentes: registro y gestión de incidentes mediante solución LUCÍA y adhesión a los Sistemas de Alerta Temprana (SAT-SARA y SAT-INET) del CCN-CERT. - Interconexión de sistemas (información y servicios) documentado y con autorización previa. PROTECCIÓN DE LAS COMUNICACIONES: - Perímetro seguro: arquitectura de seguridad mediante la definición de un esquema de líneas de defensa a través varios niveles de cortafuegos (firewalls) redundantes. - Protección de la confidencialidad: uso de criptografía para garantizar el secreto de los datos transmitidos (VPN, TLS/SSL, SSH, SCP y SFTP). - Protección de la autenticidad y de la integridad: mediante la autenticidad del otro extremo (claves o certificados electrónicos) y establecimiento de VPNs (redes privadas virtuales) mediante software o dispositivos hardware. - Segregación de redes: para controlar la entrada de usuarios en cada segmento, la salida de información disponible en cada segmento y el control de las aplicaciones de cada segmento. Mediante: o Definición de la arquitectura de red potenciando la segmentación de redes (VLANs). Las comunicaciones inalámbricas en un segmento separado. o Establecimiento de una o varias DMZs. PABLO ARELLANO www.theglobeformacion.com Página 18 B4T5 SEGURIDAD, CPD Y CRIPTOGRAFÍA TAI - Medios alternativos: disponer de medios de comunicación alternativos en caso de fallo. - Monitorización: mediante sistemas de prevención de intrusos (IPS), sistemas de detección de intrusos (IDS), sistemas de gestión de eventos e información de seguridad (SIEM) como GLORIA o MÓNICA y herramientas de monitorización de tráfico (Nagios). PROTECCIÓN DE LA INFORMACIÓN: - Datos de carácter personal: establecimiento de medidas indicadas en la normativa vigente en materia de protección de datos. - Calificación de la información: establecimiento de un esquema de niveles de calificación de la información según necesidades de confidencialidad. - Cifrado: garantizar la confidencialidad de la información durante su almacenamiento como durante su transmisión. En claro solo mientras se hace uso de ella. - Firma electrónica: para garantizar autenticidad, integridad y no repudio en origen mediante algoritmos criptográficos. Uso de FIRe, Cl@ve firma, Autofirm@ y Cliente de @firma móvil. - Sellos de tiempo: evitar repudio futuro de la información. Uso de TS@. - Limpieza de documentos: eliminación de metadatos. Uso de metaOLVIDO. - Copias de seguridad: elaborar una política de backups, realizar copias de respaldo (backups) para una posterior recuperación en la misma ubicación y/o en ubicaciones remotas (soluciones cloud). - Emisiones electromagnéticas: protección frente a amenazas TEMPEST. - Otros dispositivos conectados a la red: para impresoras, escáneres, proyectores, IoT, dispositivos personales (modelo de propiedad BYOD) se controlará el flujo de E/S de información. PROTECCIÓN DE LAS APLICACIONES INFORMÁTICAS: - Desarrollo: sistemas diferentes y separados para desarrollo y producción (varios entornos), incluir la seguridad como parte integral del desarrollo, pruebas con datos no reales (ver tema B3T9). - Aceptación y puesta en servicio: pruebas de aceptación y análisis de vulnerabilidades. PROTECCIÓN DE LOS SERVICIOS: - Protección del correo electrónico: mediante soluciones antispam y antivirus. - Protección de servicios y aplicaciones web: ante ataques y amenazas que le son propias. Listado OWASP (ver B3T9 y apartado siguiente). - Protección de la navegación web: navegación autenticada, uso de proxies, restricción de acceso a webs según contenido y de descarga según tipos de fichero. - Protección frente a la denegación de servicio: medidas frente a ataques DoS y DDoS. PABLO ARELLANO www.theglobeformacion.com Página 19 B4T5 SEGURIDAD, CPD Y CRIPTOGRAFÍA TAI 3. Amenazas y vulnerabilidades El desarrollo que en la sociedad han alcanzado las TIC durante los últimos años ha sido espectacular. Estas tecnologías aportan múltiples beneficios (racionalización de costes, aparición de nuevos servicios y mejora de los existentes, apoyo a la toma de decisiones…), pero a medida que se ha ido alcanzando un mayor grado de utilización de la tecnologías, también ha ido creciendo el grado de dependencia con respecto a las mismas. El uso de estos entornos implica nuevos riesgos, que hay que valorar y gestionar convenientemente y cuya importancia depende de las vulnerabilidades y amenazas a las que se deba hacer frente. Ya hemos definido el concepto de amenaza como la causa potencial de un incidente que puede causar daños a un sistema de información o a una organización. Así la información puede sufrir una degradación de su seguridad en cualquiera de sus dimensiones: confidencialidad (acceso, difusión, observación, copiado, robo...), integridad (modificar, sustituir, reordenar, distorsionar...) o disponibilidad (destruir, dañar, contaminar, dejar fuera de servicio...). Las amenazas van desde desastres naturales, tales como inundaciones, accidentes o incendios, hasta abusos deliberados como fraudes, robos o virus, con un origen tanto interno como externo a la organización. Junto a la definición de amenaza también se ha definido una vulnerabilidad como el defecto o debilidad en el diseño, implementación u operación de un sistema que habilita o facilita la materialización de una amenaza. Las vulnerabilidades pueden ser de naturaleza técnica, procedimental u operacional. De esta forma, en el ámbito TIC, la vulnerabilidad suele ir asociada a un defecto en el software o en la configuración del mismo que puede permitir que se materialice una amenaza. El factor humano, es decir, las personas, constituyen el elemento más vulnerable en el marco de la seguridad de las TIC. Voluntaria o involuntariamente, el punto más débil de la seguridad de la información lo constituyen las personas que la tratan: errores, desconocimiento, ataques intencionados... Por este motivo, son las personas un objetivo prioritario en cualquier atacante que quiera acceder de forma no autorizada a la información corporativa. Uno de los ataques más habituales contra la seguridad de la información a través de las personas es sin duda la ingeniería social, consistente en la manipulación de las personas para que voluntariamente realicen actos que normalmente no harían. Aunque la manipulación en algunos casos no es excesivamente perjudicial, si las intenciones de quien la pone en práctica no son buenas se convierte quizás el método de ataque más sencillo, menos peligroso para el atacante y por desgracia en uno de los más efectivos. Por lo que raras veces hay que recurrir a un ataque técnico. No todos los ataques con éxito basados en ingeniería social son debidos a la ingenuidad de los empleados. La mayoría de los casos se debe a la ignorancia de buenas prácticas de seguridad y a la falta de concienciación por parte de los usuarios de la organización. Hay que considerar que cuanto más sofisticadas sean las tecnologías empleadas para proteger la información, más se van a centrar los ataques en explotar las debilidades de las personas debido a la complejidad de la vía técnica. El usuario puede constituir un buen aliado para la PABLO ARELLANO www.theglobeformacion.com Página 20 B4T5 SEGURIDAD, CPD Y CRIPTOGRAFÍA TAI seguridad, pero para ello necesita ser formado y concienciado. De lo contrario, ese mismo usuario se convertirá en el peor enemigo de la seguridad, debido al desconocimiento de las buenas prácticas habituales. No hay que olvidar que los usuarios son la principal razón para que un sistema de información sea operativo, pero se debe considerar que, como se ha expresado anteriormente, constituyen una amenaza significativa para la seguridad de la organización. El personal interno es el responsable de buena parte de los problemas de seguridad de la información, tanto que este tipo de atacantes hasta ha recibido un nombre propio: el insider. A continuación, desglosamos los ataques más comunes agrupados por tipo. SOFTWARE MALICIOSO (MALWARE) - Virus: programas que se reproducen infectando ficheros e intentando que esos ficheros sean accedidos en otro entorno para que éste también sea infectado. - Caballo de troya (troyano): programa que aparentemente realiza una función útil para quien lo ejecuta, pero que en realidad ejecuta una acción que el usuario desconoce, generalmente dañina. A diferencia de los virus, un troyano no se reproduce infectando otros ficheros ni se propaga haciendo copias de sí mismo como hacen los gusanos. o Puerta trasera (backdoor): trozos de código en un programa que permiten a quien conoce su funcionamiento saltarse los métodos usuales de autenticación para realizar cierta tarea. o Keylogger: programa espía, que toma el control de los equipos, para espiar y robar información registrando las pulsaciones del teclado, para robar información como contraseñas de páginas financieras o sistemas de correo electrónico. o Stealer: troyano que accede a la información privada almacenada en el equipo. o Ransonware: código malicioso para secuestrar datos, una forma de explotación en la cual el atacante encripta los datos de la víctima y exige un pago por la clave de descifrado. - Gusano: se limita a realizar copias de sí mismo, sin alterar necesariamente ningún otro fichero, pero se reproduce a tal velocidad que pueden colapsar por saturación las redes en las que se infiltran. - Bomba lógica: programa que carece de la capacidad de replicación y que consiste en una cadena de código que se ejecuta cuando una determinada condición se produce (efecto retardado), por ejemplo, tras encender el ordenador una serie de veces, o pasados una serie de días desde el momento en que la bomba lógica se instaló en nuestro ordenador. - Código móvil malicioso: software que es transmitido desde un sistema remoto para ser ejecutado en un sistema local, típicamente sin consentimiento explícito del usuario. - Botnet: red de equipos infectados por un atacante remoto (red zombi). Los equipos quedan a su merced cuando desee lanzar un ataque masivo, tal como envío de spam o denegación (distribuida) de servicio. PABLO ARELLANO www.theglobeformacion.com Página 21 B4T5 SEGURIDAD, CPD Y CRIPTOGRAFÍA TAI - Rogueware (Rogue software): malware que aparenta ser una herramienta de desinfección (como un antivirus), pero que realmente no es más que un troyano que engaña al usuario haciéndole creer que primero tiene una infección y a continuación que este antivirus falso desinfecta la máquina. - Criptojacking: utilizan nuestros dispositivos sin nuestro consentimiento para llevar a cabo "extracciones" de criptomonedas. Durante el proceso, utilizan los recursos del sistema. Las criptomonedas son un tipo de divisa virtual muy popular desde hace varios años que puede utilizarse para pagar por Internet. Sin embargo, gracias a que permiten anonimizar las transacciones son muy utilizadas por los ciberdelincuentes como forma de pago en sus extorsiones. - Adware: malware que, más que dañar la máquina u obtener información confidencial del usuario, tiene como objetivo generar publicidad en el equipo de la víctima mediante múltiples ventanas sin que el usuario tenga ningún control sobre éstas. - Rootkit: colección de herramientas utilizadas para ocultar una intrusión y obtener acceso con privilegios de administrador a un sistema. - Spyware: malware similar a los troyanos, de tal manera que los usuarios añaden este software malicioso a su sistema sin saberlo cuando instalan otras aplicaciones. Los programas spyware actúan como programas independientes y ejecutables teniendo capacidad para: monitorizar el uso del teclado; analizar archivos del disco de forma arbitraria; espiar a otras aplicaciones como procesadores de texto o programas de chat; leer cookies y cambiar la página por defecto del navegador web y monitorizar diversos aspectos del comportamiento del usuario. - Joke: programa inofensivo que simula las acciones de un virus informático en el ordenador. Su objetivo no es atacar, sino gastar una broma a los usuarios, haciéndoles creer que están infectados por un virus y que se están poniendo de manifiesto sus efectos. Aunque su actividad llega a ser molesta, no produce por sí mismo efectos dañinos. ATAQUES A CONTRASEÑAS - Fuerza bruta: ataque sólo al texto cifrado en el que el criptoanalista, conociendo el algoritmo de cifra, intenta su descifrado probando con cada clave del espacio de claves. Si el cardinal de este último es un número muy grande, el tiempo invertido en recorrer el citado espacio es fabuloso, y las probabilidades de éxito escasísimas. - Ataques por diccionario: método empleado para romper la seguridad de los sistemas basados en contraseñas (password) en la que el atacante intenta dar con la clave adecuada probando todas (o casi todas) las palabras posibles o recogidas en un diccionario idiomático. Generalmente se emplean programas especiales que se encargan de ello. PABLO ARELLANO www.theglobeformacion.com Página 22 B4T5 SEGURIDAD, CPD Y CRIPTOGRAFÍA TAI ATAQUES POR INGENIERÍA SOCIAL Los ataques por ingeniería social se basan en un conjunto de técnicas dirigidas a nosotros, los usuarios, con el objetivo de conseguir que revelemos información personal o permita al atacante tomar control de nuestros dispositivos. Existen distintos tipos de ataques basados en el engaño y la manipulación, aunque sus consecuencias pueden variar mucho, ya que suelen utilizarse como paso previo a un ataque por malware. - Phising, Vishing y Smishing: envío de un mensaje suplantando a una entidad legítima, como puede ser un banco, una red social, un servicio técnico o una entidad pública, con la que nos sintamos confiados, para lograr su objetivo. o Phishing: consiste en el envío de correos electrónicos que, aparentando provenir de fuentes fiables (por ejemplo, entidades bancarias), intentan obtener datos confidenciales del usuario. Para ello, suelen incluir un enlace que, al ser pulsado, lleva a páginas web falsificadas. De esta manera, el usuario, creyendo estar en un sitio de toda confianza, introduce la información solicitada que, en realidad, va a parar a manos del estafador. o Vishing: se lleva a cabo mediante llamadas de teléfono. o Smishing: el canal utilizado son los SMS. - Baiting o Gancho: también conocido como “cebo”, se sirve de un medio físico y de la curiosidad o avaricia del usuario. Utilizando un cebo, los atacantes consiguen que los usuarios infecten sus equipos o que compartan información personal. - Shoulder surfing: consigue información del usuario mirando "por encima del hombro" desde una posición cercana, mientras que el usuario utiliza los dispositivos sin darse cuenta. - Dumpster diving: proceso de "buscar en la basura del usuario" para obtener información útil sobre su persona o su empresa que luego pueda utilizarse contra el usuario para otro tipo de ataques. - Spam: conjunto de correos publicitarios enviados de forma masiva a miles de usuarios de todo el mundo, usuarios que obviamente no han autorizado el envío de dicha publicidad a sus buzones de correo. La recepción de spam, tan habitual hoy en día, puede evitarse mediante filtros y listas negras bien en el servidor de correo, bien en el propio cliente. ATAQUES A LAS CONEXIONES - Redes trampa: consiste en la creación de una red wifi gemela a otra legítima y segura, con un nombre igual o muy similar a la original, que crean utilizando software y hardware. Luego, la configuran con los mismos parámetros que la original, esperando conexiones a esta. - Spoofing: técnica de suplantación de identidad a través de la Red, llevada a cabo por un intruso generalmente con usos de malware o de investigación. Los ataques de seguridad en las redes a través de técnicas de spoofing ponen en riesgo la privacidad de los usuarios que navegan por Internet, así como la integridad de sus datos. PABLO ARELLANO www.theglobeformacion.com Página 23 B4T5 SEGURIDAD, CPD Y CRIPTOGRAFÍA TAI o IP Spoofing: consiste en la suplantación de la dirección IP de origen de un paquete TCP/IP por otra dirección IP a la cual se desea suplantar. De este modo, consigue saltarse las restricciones del router o firewall y, por ejemplo, hacer llegar un paquete con malware. o ARP spoofing: suplantación de identidad por falsificación de tabla ARP. Las tablas ARP (Address Resolution Protocol) son un protocolo de nivel de red que relaciona una dirección de hardware con la dirección IP del ordenador. Por lo tanto, al falsear la tabla ARP de la víctima, todo lo que ésta envíe, será direccionado al atacante. o MAC spoofing: consiste en la suplantación de una dirección MAC. o Web spoofing: consiste en la suplantación de una página web real por otra falsa. La web falsa es una copia del diseño de la original, llegando incluso a utilizar una URL muy similar. El atacante trata de hacer creer al usuario que la web falsa es la original. o Mail Spoofing: consiste en suplantar la dirección de correo de una persona o entidad de confianza. También suele ser usado para enviar de forma masiva correos de spam o cadenas de bulos u otros fraudes. o DNS Spoofing: es una suplantación de identidad por nombre de dominio, la cual consiste en una relación falsa entre IP y nombre de dominio. Así, aunque el usuario intente acceder a la URL correcta, el navegador redireccionará al usuario a la web fraudulenta, ya que el atacante habría modificado el DNS. - Pharming: consiste en modificar o sustituir el archivo del servidor de nombres de dominio cambiando la dirección IP legítima de una entidad (comúnmente una entidad bancaria) de manera que en el momento en el que el usuario escribe el nombre de dominio de la entidad en la barra de direcciones, el navegador redirigirá automáticamente al usuario a otra dirección IP donde se aloja una web falsa que suplantará la identidad legítima de la entidad, obteniéndose de forma ilícita las claves de acceso de los clientes la entidad. - Secuestro: método de ataque a una sesión establecida con el resultado de que el atacante se adueña de la sesión, es decir, se beneficia de la autenticación establecida el inicio de la sesión. - Secuestro de DNS (domain hijacking): técnica de ataque contra un dominio de Internet. El atacante silencia al servidor DNS legítimo por medio de algún ataque de denegación de servicio. Una vez silenciado, lo reemplaza, funcionalmente, por un servidor fraudulento bajo dominio del atacante. - Clickjacking: el hacker utiliza diferentes capas transparentes o en marca de agua para poder engañar al usuario para que haga clic en un determinado botón o enlace en otro sitio cuando pretendía hacer clic en la página de nivel superior. De esta forma se pueden secuestrar los clics que están destinados a la página original y los enruta a otra web, que seguramente es propiedad de otra app o dominio. - Whaling (fraude del CEO): ataque de ingeniería social, variante del spear phishing, que se caracteriza porque el fraude está dirigido a miembros concretos de la organización, principalmente ejecutivos de alto nivel, con el objeto de obtener sus claves, contraseñas y todo tipo de información confidencial que permita a los atacantes el acceso y control de los sistemas de información de la empresa. La forma en que se comete el ataque bajo PABLO ARELLANO www.theglobeformacion.com Página 24 B4T5 SEGURIDAD, CPD Y CRIPTOGRAFÍA TAI esta figura es muy similar a la de los ataques de phishing. Se procede mediante el envío de correos electrónicos falsos que contienen enlaces a sitios web fraudulentos, con la diferencia de que en el caso de phishing el afectado no es necesariamente un directivo o alto cargo de la organización. - Ataques por envenenamiento: o Envenenamiento de DNS (DNS cache poisoning): técnica de ataque contra el servicio DNS. Consiste en enviarle información falsa haciéndole creer que procede de una fuente fiable. Si el DNS cae en el engaño, contribuirá a difundir la falsa información. o Envenenamiento del motor de búsqueda (search engine poisoning): consiste en manipular los resultados devueltos por un motor de búsqueda de contenidos en la red, redirigiendo al usuario a sitios que contienen software dañino. - Ataques a cookies: una cookie es archivo de pequeño tamaño que conserva información acerca del uso de un sitio web, bien de forma temporal para una sesión bien de forma persistente para identificar a un usuario en visitas sucesivas. Desafortunadamente, las cookies persistentes pueden ser utilizadas como spyware para rastrear la navegación web del usuario (tracking cookies). - Ataque DoS: mediante este tipo de ataques se busca sobrecargar un servidor y de esta forma no permitir que sus legítimos usuarios puedan utilizar los servicios por prestados por él. - Ataque DDoS: ataque de denegación de servicio distribuido consistente en atacar un servidor web al mismo tiempo desde muchos equipos diferentes para que deje de funcionar al no poder soportar tantas peticiones. - Ataque smurf: ataque de denegación de servicio que utiliza mensajes de ping al broadcast con spoofing para inundar (flood) un objetivo. - TCP SYN attack: ataque por el que se inunda a un sistema de peticiones de conexión TCP, usualmente sin llegar a completarlas. Es un ataque de tipo DoS. - Ataques flood: por inundación. o SYN Flood: ataque de denegación de servicio inundando de peticiones un servidor de conexiones TCP (SYN, de Synchronization), usualmente sin llegar a completarlas, hasta la saturación. Es un ataque de tipo DoS. TCP SYN attack y SYN Flood son el mismo ataque con dos denominaciones distintas. o IP Flood: ataque de denegación de servicio consistente en enviar una cantidad abrumadora de paquetes IP con el ánimo de saturar y bloquear el sistema receptor. o ICMP Flood: ataque de denegación de servicio que actúa saturando al receptor de paquetes ICMP (ping). - Ping mortal: ataque a través de la red. Consiste en enviar paquetes ICMP lo bastante grandes como para causar un fallo en el sistema receptor. - Nuke: familia de ataques en red consistente en el envío de paquetes ICMP mal construidos. PABLO ARELLANO www.theglobeformacion.com Página 25 B4T5 SEGURIDAD, CPD Y CRIPTOGRAFÍA TAI - Inyección SQL: inserta líneas de código SQL maliciosas en la propia aplicación web, obteniendo acceso parcial o completo a los datos, pudiendo ser monitorizados, modificados o robados por el atacante. - Escaneo de puertos (portscan): proceso en el que se analiza automáticamente los puertos de una máquina conectada a la red con la finalidad de analizar los puertos e identificar cuáles están abiertos, cerrados o cuentan con algún protocolo de seguridad. - Man in the middle: el atacante se sitúe entre el usuario y el servidor con el que se está comunicando, interceptando la información intercambiada. - Sniffing: técnica que utiliza un programa que analiza el tráfico que pasa a través de una red de comunicaciones (sniffer). Los atacantes suelen utilizar estas herramientas para capturar información de autenticación u otra información sensible. - Ataque piggyback: ataque de interceptación activa en el que el atacante aprovecha los periodos de pausa de un usuario legítimo para colarse. OTROS - Amenazas avanzadas persistentes (APT): amenaza persistente avanzada es que se trata de un ataque selectivo de ciberespionaje o cibersabotaje llevado a cabo bajo el auspicio o la dirección de un país, por razones que van más allá de las meramente financieras/delictivas o de protesta política. No todos los ataques de este tipo son muy avanzados y sofisticados, del mismo modo que no todos los ataques selectivos complejos y bien estructurados son una amenaza persistente avanzada. La motivación del adversario, y no tanto el nivel de sofisticación o el impacto, es el principal diferenciador de un ataque APT de otro llevado a cabo por ciberdelincuentes o hacktivistas. - Exploit: tipo de software, un fragmento de datos, o una secuencia de comandos que aprovecha un fallo o una vulnerabilidad en el sistema de un usuario para provocar un comportamiento no deseado o imprevisto. Las acciones que se suelen realizar la violenta toma de control de un sistema, una escalada de privilegios o un ataque de denegación de servicio. PABLO ARELLANO www.theglobeformacion.com Página 26 B4T5 SEGURIDAD, CPD Y CRIPTOGRAFÍA TAI 3. SOLUCIONES DE CIBERSEGURIDAD Se presentan una serie de soluciones desarrolladas por el Centro Criptológico Nacional para garantizar la seguridad de los sistemas y contribuir a una mejor gestión de la ciberseguridad en cualquier organización y permitir una mejor defensa frente a los ciberataques. ADA Plataforma de análisis avanzado de malware Es capaz de conseguir un análisis en profundidad similar al resultante de un proceso de investigación en detalle. Evolución natural de: - las capacidades de análisis dinámico (MARTA) y - las capacidades de análisis estático (MARÍA), incluye capacidades adicionales orientadas al enriquecimiento de los resultados obtenidos. De esta forma, la solución permite controlar, gestionar y acceder a los resultados de todas las tecnologías de análisis que integra desde un solo interfaz unificado. Integración de las capacidades de MARTA y MARÍA en la solución ADA, de tal forma que los análisis dinámicos de código dañino deberán realizarse a través de esta nueva plataforma. AMPARO Implantación de seguridad y conformidad del ENS Desarrollada para la gobernanza de la ciberseguridad de uso exclusivo para las Entidades de Certificación (EC) y Órganos de Auditoría Técnica (OAT). Incorpora diversas funcionalidades para facilitar los procesos de auditoría de conformidad, evaluando automáticamente la conformidad del sistema y facilitando la gestión de la Certificación de Conformidad. ANA Automatización y Normalización de Auditorías ANA (Automatización y Normalización de Auditorías) es un sistema de auditoría continua que tiene por objetivo incrementar la capacidad de vigilancia y conocer la superficie de exposición. Con esta herramienta se pretende reducir los tiempos en la gestión de la seguridad, mediante una gestión eficiente de la detección de vulnerabilidades y de la notificación de alertas, así como ofreciendo recomendaciones para un tratamiento oportuno de las mismas. ANGELES Portal de formación y talento en ciberseguridad No es en sí mismo una solución de ciberseguridad. Es una solución dedicada íntegramente a la formación, concienciación y capacitación de profesionales en materia de ciberseguridad y personas interesadas en este ámbito. PABLO ARELLANO www.theglobeformacion.com Página 27 B4T5 SEGURIDAD, CPD Y CRIPTOGRAFÍA TAI ATENEA Plataforma de desafíos de seguridad Permite demostrar el conocimiento y destreza de los usuarios ante diferentes desafíos de seguridad de diversas temáticas: criptografía y esteganografía, exploiting, Forense, análisis de tráfico, reversing… ATENEA Escuela es una plataforma básica de desafíos de seguridad informática compuesta por diferentes retos para fomentar el aprendizaje de los usuarios menos entendidos en el campo de la seguridad. CARLA Protección y trazabilidad del dato Solución de protección centrada en los datos, que permite que la información corporativa viaje protegida y bajo control en todo momento, minimiza la posibilidad de fugas de datos aumentando el control de la organización sobre los mismos más allá de las defensas de protección perimetrales. Permite consultar, gracias a su completa auditoría de acceso a la información, quién ha accedido a un documento, con qué permisos, así como monitorizar intentos de acceso bloqueados. El servicio dispone de 2 modalidades: - CARLA: servicio limitado a un subconjunto de usuarios de la organización con funcionalidades básicas. - CARLA-GLOBAL despliegue en toda la organización e incluye todos los módulos opcionales. Con el fin de minimizar los riesgos asociados a la compartición de documentos confidenciales en dispositivos móviles, se ha incorporado una nueva funcionalidad que permite la apertura de documentación protegida en entornos iOS, Android y macOS. Carla Viewer permite la visualización de documentos de CARLA, el control de acceso biométrico y la revocación o bloqueo de acceso al fichero en cualquier dispositivo móvil o Mac. PABLO ARELLANO www.theglobeformacion.com Página 28 B4T5 SEGURIDAD, CPD Y CRIPTOGRAFÍA TAI CARMEN Defensa de ataques avanzados/APT Solución desarrollada con el objetivo de identificar el compromiso de la red de una organización por parte de amenazas persistentes avanzadas (APT). La solución dispone de capacidades para la protección avanzada ante amenazas en la organización, de forma que tanto los tráficos de red salientes e internos de la organización como los tráficos de red entrantes son adquiridos, procesados y analizados para la defensa de ésta. Así, es posible identificar la existencia de usos indebidos y detectar anomalías o intentos de intrusión. Aporta capacidades para la detección de la amenaza en la etapa de persistencia, por lo que uno de sus objetivos fundamentales es la identificación de movimientos externos, como exfiltraciones o comunicaciones con servidores de mando y control, así como el reconocimiento de movimientos laterales de mantenimiento de persistencia o de robo de información en la red corporativa. CCNDroid Seguridad para Android Herramientas de seguridad para dispositivos con sistema operativo Android: CCNDroid Wiper (borrado seguro de ficheros) y CCNDroid Crypter (cifrado de ficheros). CLARA Auditoría de Cumplimiento ENS/STIC en Sistemas Windows Herramienta para analizar las características de seguridad técnicas en el ENS. Permite realizar una auditoría de cumplimiento con el ENS/STIC. La aplicación se compone de CLARA ENS (versión 32 y 64 bits), para análisis independiente en entornos Microsoft Windows y CLARA ENS LINUX para entornos Linux. Herramienta para la detección de amenazas complejas en el CLAUDIA puesto de usuario Solución de endpoint integrada con la herramienta Carmen que permite tener una visión más completa de lo que ocurre dentro de una red, siendo su objetivo principal la detección de malware complejo y movimiento lateral relacionado con APT. PABLO ARELLANO www.theglobeformacion.com Página 29 B4T5 SEGURIDAD, CPD Y CRIPTOGRAFÍA TAI microCLAUDIA Centro de vacunación Capacidad basada en el motor de CLAUDIA que proporciona protección contra código dañino de tipo ransomware a los equipos de un organismo. Para ello, hace uso de un agente ligero para sistemas Windows que se encarga del despliegue y ejecución de vacunas. La conexión del agente al servicio central de microCLAUDIA, ubicado en la nube del CCN- CERT, permite descargar y ejecutar las vacunas que el organismo haya configurado para sus equipos. ELENA Simulador de técnicas de cibervigilancia Simulador que permite a los usuarios tomar el rol del analista en un entorno simulado de investigación basado en situaciones reales, que posibilita desarrollar y poner en práctica las técnicas, tácticas y procedimientos necesarios para realizar labores de ciberinvestigación. ELSA Exposición Local y Superficie de Ataque Solución de análisis de exposición que permite la monitorización a nivel nacional de todos los activos conectados a Internet para detectar posibles vectores de ataque y vulnerabilidades de todo organismo o entidad de la Administración pública, con el objetivo de mejorar la capacidad de respuesta ante incidentes gubernamental. PABLO ARELLANO www.theglobeformacion.com Página 30 B4T5 SEGURIDAD, CPD Y CRIPTOGRAFÍA TAI EMMA Visibilidad y control sobre la red Solución desarrollada cuyo objetivo es el control de acceso a las infraestructuras de red y para agilizar la visualización de activos en una red, su autenticación y segregación, así como la automatización de auditorías de seguridad de la infraestructura. Pretende facilitar a las organizaciones visibilidad y control completo de la capa de acceso a la red (routers, switches, puntos de acceso, controladores, etc.), un punto crucial para verificar quién o qué está conectado en una red. En el contexto actual, los modelos de seguridad requieren de una verificación de identidad estricta para cada persona y dispositivo. Los módulos que componen EMMA: Visibilidad, Control/Respuesta, Segmentación, Cumplimiento, BYOD, Gestión de invitados y Vigilancia en Acceso Remoto. PABLO ARELLANO www.theglobeformacion.com Página 31 B4T5 SEGURIDAD, CPD Y CRIPTOGRAFÍA TAI ESE Entorno de Superficie de Exposición “S” (ESE) ESE es una red neuronal en constante proceso de adaptación al medio y mejora continua, diseñada para mejorar las capacidades de vigilancia y reducir la superficie de exposición de los sistemas frente a las amenazas del ciberespacio, en tiempo real. Constituye la integración de soluciones destinadas al análisis del estado de la seguridad de las entidades y su previsible evolución, a través de la Verificación, la Auditoría y la Gestión de la Implementación de la Seguridad. De esta forma es posible reducir los niveles de exposición a los que se encuentran sometidos los sistemas de información, predecir el potencial ataque y anticiparse a la materialización de las amenazas. Proporciona una capa de acceso a todos los Recursos, Soluciones, Desarrollos, Guías, Noticias, Cursos de Formación, Cultura de Ciberseguridad…, dedicados a dar respuestas eficaces que permitan proteger de forma eficiente los sistemas, frente al incremento constante en número, sofisticación y complejidad de los ciberataques. PABLO ARELLANO www.theglobeformacion.com Página 32 B4T5 SEGURIDAD, CPD Y CRIPTOGRAFÍA TAI GLORIA Gestor de logs para responder ante incidentes y amenazas GLORIA (Gestor de Logs para Respuesta ante Incidentes y Amenazas) es una plataforma para la gestión de incidentes y amenazas de ciberseguridad a través de técnicas de correlación compleja de eventos. Basado en los sistemas SIEM (Security Information and Event Management), va un paso más allá de las capacidades de monitorización, almacenamiento e interpretación de los datos relevantes. GLORIA es la solución SIEM utilizada por el CCN-CERT en los Sistemas de Alerta Temprana (SAT) y en otros Centros de Operaciones de Ciberseguridad (COC) para la recogida de información de usos indebidos y anomalías en red. INES Informe de Estado de Seguridad en el ENS INES (Informe Nacional del Estado de Seguridad) es una solución desarrollada para la gobernanza de la ciberseguridad, que permite evaluar regularmente el estado de la seguridad de los sistemas TIC de las entidades y su adecuación al ENS adaptándose a otros estándares o normas reguladoras en caso necesario. Existen 2 modalidades de INES: - Entidad matriz: entidad con entidades vinculadas o dependientes de ella. - Entidad individual: una única entidad sin entidades vinculadas o dependientes. IRIS Estado de la ciberseguridad del sector público IRIS (Indicadores Relacionados para Informar de la Situación) es la plataforma para conocer en tiempo real el estado de la ciberseguridad del sector público y la situación de la ciberamenaza a nivel nacional. Mediante mapas interactivos y representaciones gráficas y visuales, alerta en tiempo real y de forma inmediata de la detección de ciberataques, vulnerabilidades y riesgos en las AAPP, indicando tipología y peligrosidad. PABLO ARELLANO www.theglobeformacion.com Página 33 B4T5 SEGURIDAD, CPD Y CRIPTOGRAFÍA TAI LORETO Almacenamiento en la nube Herramienta de uso compartido en la nube para el almacenamiento virtual de información (archivos, muestras, aplicaciones, etc.) que permite el intercambio de los mismos con colaboradores y partners. LUCIA Sistemas de Gestión Federada de Tickets LUCIA (Listado Unificado de Coordinación de Incidentes y Amenazas) es una herramienta de ticketing para la Gestión de Ciberincidentes en las entidades del ámbito de aplicación del ENS. Con ella se pretende mejorar la coordinación entre el CCN-CERT y los distintos organismos y organizaciones con las que colabora. MARIA Plataforma Multiantivirus en tiempo real Análisis estático en profundidad. MARÍA es accesible únicamente desde ADA, al haberse integrado en con esta solución. Desaparece del catálogo de soluciones como herramienta independiente. MARTA Análisis avanzados de ficheros Plataforma avanzada de multi-sandboxing dedicada al análisis automatizado (dinámico) de múltiples tipos de ficheros que pudieran tener un comportamiento malicioso. MARTA es accesible desde ADA. PABLO ARELLANO www.theglobeformacion.com Página 34 B4T5 SEGURIDAD, CPD Y CRIPTOGRAFÍA TAI MONICA Gestión de eventos e información de seguridad Sistema automatizado de gestión de información y eventos de seguridad que recoge en una única plataforma toda la información existente sobre amenazas potenciales, permitiendo no solo reaccionar ante los ataques, sino adelantarse a ellos para remediarlos antes de que sucedan. La solución es conocida como MONICA NGSIEM. MONICA permite consumir información de data lakes existentes en su vertiente forense o aprovechar su capacidad forense propia y gestionar casos de uso mediante su motor de correlación en tiempo real, con capacidad de procesado en origen, lo que permite ser independiente de la disponibilidad o no del registro de eventos (logs) para dar una respuesta inmediata. Esta solución se une a GLORIA como soluciones SIEM a utilizar por las AAPP. OLVIDO Borrado seguro de datos Solución que realiza tareas de sobreescritura y borrado sobre los sistemas de archivos y discos. Ofrece al usuario la posibilidad de borrar de forma segura distintos elementos: ficheros y carpetas; espacio libre de disco; fragmentos de clúster no utilizados; discos y volúmenes. metaOLVIDO Gestión de metadatos Permite aplicar políticas de seguridad corporativas de prevención de fugas de información, limpiando los metadatos e información sensible oculta en los ficheros ofimáticos generados en una organización, reduciendo así los riesgos derivados del uso malintencionado de los metadatos. Ofrece soluciones automatizadas, que no requieren intervención por parte del usuario, para el procesamiento de metadatos en cliente y servidores de correo, servidores de ficheros, servidores web. Por tanto, detecta en tiempo real los ficheros creados o modificados y elimina o personaliza los metadatos asociados de forma automática y sin intervención del usuario. Modalidades de despliegue: - Aislado: para pequeños organismos. - Corporativo: para grandes organizaciones. PABLO ARELLANO www.theglobeformacion.com Página 35 B4T5 SEGURIDAD, CPD Y CRIPTOGRAFÍA TAI PILAR Análisis y Gestión de Riesgos Conjunto de herramientas EAR (Entorno de Análisis de Riesgos) cuya función es el análisis y la gestión de riesgos de un sistema de información siguiendo la metodología MAGERIT. Además de la solución completa PILAR, se presentan otras versiones: - PILAR Basic: versión sencilla para PYMES y Administración local. - μPILAR: PILAR reducida a la mínima expresión para realizar análisis de riesgos muy rápidos. - RMAT (Risk Management Additional Tools): estas herramientas permiten preparar y mantener personalizaciones, que se incorporan dinámicamente a la biblioteca, extendiéndola para adaptarse a un determinado contexto. REYES Intercambio de Información de Ciberamenazas Solución para agilizar la labor de análisis de ciberincidentes y compartir información de ciberamenazas. Es un repositorio común y estructurado de amenazas y código dañino. El núcleo de información de REYES está basado en la tecnología MISP (Malware Information Sharing Platform), que es enriquecida con fuentes externas de información que permiten agilizar la prevención y la respuesta a incidentes. Inspección de Operación. Auditoría de configuraciones de ROCIO dispositivos de red Solución para la automatización de las tareas básicas realizadas por un auditor de seguridad sobre equipos de comunicaciones: enrutadores, conmutadores y cortafuegos. Así, permite verificar el nivel de seguridad de dichos equipos. PABLO ARELLANO www.theglobeformacion.com Página 36 B4T5 SEGURIDAD, CPD Y CRIPTOGRAFÍA TAI VANESA Grabaciones y emisiones de vídeo en streaming Plataforma de retransmisión de sesiones formativas en directo. Conserva las grabaciones y el material empleado, de manera que se permita su posterior visionado. Resumen de soluciones de ciberseguridad CCN - ADA: plataforma avanzada de análisis de malware. o MARIA: plataforma multiantivirus en tiempo real. o MARTA: análisis avanzados de ficheros. - AMPARO: implantación de seguridad y conformidad del ENS. - ANA: Automatización y Normalización de Auditorías. - ANGELES: portal de formación. - ATENEA: plataforma de desafíos. - CARLA: protección y trazabilidad del dato. - CARMEN: defensa de ataques avanzados/APT. - CCNDroid: seguridad para Android. - CLARA: auditoría de cumplimiento ENS/STIC en Sistemas Windows. - CLAUDIA: herramienta para la detección de amenazas complejas en el puesto de usuario. - microCLAUDIA: centro de vacunación. - ELENA: simulador de técnicas de cibervigilancia. - ELSA: exposición local y superficie de ataque. - EMMA: visibilidad y control sobre la red. - ESE: Entorno de Superficie de Exposición. - GLORIA: Gestor de Logs para responder ante incidentes y amenazas. - INES: INforme de Estado de Seguridad en el ENS. - IRIS: estado de la ciberseguridad del sector público. - LORETO: almacenamiento en la nube. - LUCIA: sistemas de gestión federada de tickets. - MONICA: gestión de eventos e información de seguridad. - OLVIDO: borrado seguro de datos. - metaOLVIDO: gestión de metadatos. - PILAR: análisis y gestión de riesgos. - REYES: intercambio de información de ciberamenazas. - ROCIO: inspección de operación. Auditoría de configuraciones de dispositivos de red. - VANESA: grabaciones y emisiones de vídeo en streaming. PABLO ARELLANO www.theglobeformacion.com Página 37 B4T5 SEGURIDAD, CPD Y CRIPTOGRAFÍA TAI 4. INFRAESTRUCTURA FÍSICA DE UN CPD: ACONDICIONAMIENTO Y EQUIPAMIENTO Se denomina CPD (Centro de Proceso de Datos) o Data Center como aquellas ubicaciones donde se concentra el equipamiento para prestación de servicios de TIC a una o varias organizaciones, disponiendo para ello de las infraestructuras para prestar estos servicios de manera gestionada, eficiente en coste, sostenible, predecible y con los requisitos de calidad, seguridad, eficiencia y robustez requeridos. Zonas de un CPD: - Centro de operaciones (telecomunicaciones): oficina contigua a las salas de servidores en donde se encuentran los operadores y técnicos de operación y soporte. Dispone habitualmente de sistemas de monitorización e inspección remota. Habitualmente se realiza también el control de acceso a las salas. - Sala de entrada: contiene los elementos de comunicaciones de los proveedores de acceso, así como almacenes o áreas de carga y descarga. - Sala principal (sala TI): sala que contiene los servidores y otros equipos que forman parte del CPD. Habitualmente cuenta con un falso suelo para el mantenimiento más sencillo del cableado, y los equipos se distribuyen en armarios (rack) situados en hileras. - Otras zonas: áreas de distribución principal, horizontal, por zona y de equipos. PABLO ARELLANO www.theglobeformacion.com Página 38 B4T5 SEGURIDAD, CPD Y CRIPTOGRAFÍA TAI 1. Elementos de CPDs INFRAESTRUCTURA COMPLEMENTARIA Elementos de ORGANIZACIÓN FÍSICA: - Racks: estructuras estandarizadas para el alojamiento de equipamiento informático, de comunicación (switch, router, paneles de conexión, cableado), alimentación eléctrica (SAIs), etc, permitiendo alojar grandes cantidades de elementos de forma compacta y ordenada. La anchura típica de los módulos es de 19” (482.6 mm). La altura de los racks y de los módulos que se integran en ellos medida en unidad rack (1U), equivale a 1.75” / 44.45 mm. El montaje y la fijación de módulos es sencilla. Los racks se deben proporcionar con una puerta de cristal transparente que permita su cierre con llave para mayor seguridad. En los racks destaca el uso de Patch panel: paneles de parcheo para el cableado estructurado. Los latiguillos o patch cord tendrán la longitud apropiada para minimizar el impacto de los cables sobrantes en el parcheo (tanto en cobre como fibra), los requerimientos mínimos de ancho de banda serán de 10 Gbps (40 Gbps aconsejado) y cumplirán al menos las prestaciones Categoría 6A/Clase EA y OM4 (Categoría 8 y OM5 recomendado). Es fundamental el etiquetado del cableado para mantener el orden y la limpieza. Cabe destacar el concepto de POD (Point Of Delivery), que es grupo de racks de sala TI que comparten instalaciones de refrigeración y eléctricas para la ubicación de elementos del CPD (componen un cerramiento de pasillo). - Suelos técnicos elevados: son losetas estándar 60x60cm utilizadas para la canalización de cableado (datos y/o potencia) y para la circulación del aire acondicionado. - Falsos techos: como alternativa a los suelos técnicos o instalados de forma complementaria. PABLO ARELLANO www.theglobeformacion.com Página 39 B4T5 SEGURIDAD, CPD Y CRIPTOGRAFÍA TAI Elementos de ALIMENTACIÓN ELÉCTRICA: Necesarios para asegurar el suministro eléctrico y evitar paradas, conforme a las especificaciones y niveles de redundancia del Tier del CPD. La alimentación eléctrica junto con la climatización son aspectos clave en la eficiencia energética de los CPDs (Power usage effectiveness, PUE). Son: - SAI (Sistema de alimentación ininterrumpida): adapta la entrada de suministro eléctrico al centro (protege los equipos de sobretensiones y subtensiones) y proporciona alimentación mediante baterías un tiempo limitado para realizar un apagado ordenado en caso de fallo del suministro eléctrico principal. También denominado UPS. Tipos de SAIs: off-line, inline y online (mejor opción). - Grupo electrógeno: generadores eléctricos, habitualmente de gasolina o diésel, ubicados en el exterior y detenidos hasta que entran en funcionamiento en el caso de fallo del suministro eléctrico principal (compañía eléctrica). Con carácter general, el arranque es de accionamiento automático. - PDU (Power Distribution Unit): dispositivo que permite conectar los equipos ubicados dentro de un rack a la corriente eléctrica. " Es como una “regleta mejorada”. Suelen ser “inteligentes” y permiten diversos grados de gestión (cuentan con puertos de conexión para monitorización). Motivados por la disponibilidad, cada rack contará con 2 PDUs para alimentación desde las 2 ramas del sistema eléctrico a los equipos. - Cuadros eléctricos: se dispondrá de un Cuadro eléctrico General de baja tensión como origen de la instalación eléctrica que dará servicio a la sala CPD. De este Cuadro, al menos, se requiere la instalación de dos ramas independientes eléctricamente (A y B) de distribución de energía redundante exclusivamente al equipamiento IT y los equipos de climatización y alumbrado, gestionadas por 2 Cuadros. PABLO ARELLANO www.theglobeformacion.com Página 40 B4T5 SEGURIDAD, CPD Y CRIPTOGRAFÍA TAI - Otros: canalizaciones, regletas, etc. Elementos de CLIMATIZACIÓN: Necesarios para asegurar las condiciones ambientales (temperatura, humedad, filtrado de partículas en suspensión) fijados por el nivel Tier y los requisitos específicos del equipamiento del CPD. Suponen un aspecto crítico en el rendimiento del CPD y en aspectos de eficiencia energética, pudiendo ser exclusivos del CPD (dedicados) o del edificio que lo alberga (compartidos). Son: - HVAC (Heating, Ventilation, and Air Conditioning): sistema de control ambiental en su conjunto: control de temperatura, humedad, flujo y caudal de aire, partículas en suspensión. - CRAC (Computer Room Air Conditioners): dispositivos de aire acondicionado instalados en las salas del CPD. Variante: CRAH Unit (Computer Room Air Handler Unit): unidad de precisión de climatización con batería de agua enfriada. Para medir la temperatura y la humedad se dispondrán de sensores repartidos de manera uniforme por el CPD que podrán ser monitorizados desde un equipo de control. PABLO ARELLANO www.theglobeformacion.com Página 41 B4T5 SEGURIDAD, CPD Y CRIPTOGRAFÍA TAI Configuración de RACKS desde el punto de vista de la climatización: Pasillo Frío – Pasillo Caliente - Cold aisle (pasillo frío): es el pasillo al que se orientan los lados de los racks por los que entra el aire frío a los equipos TI, procedente de los equipos de climatización. Las partes frontales de los racks enfrentadas. El sistema de climatización impulsa aire frío por las rejillas del suelo técnico. - Hot aisle (pasillo caliente): es el pasillo al que se orientan los lados de los racks por los que sale el aire caliente expulsado por los equipos TI, y que debe recogerse por el retorno de los equipos de climatización. Las partes traseras de los racks enfrentadas (salidas de ventilación). El aire caliente se eleva (menor densidad y empuje del aire frío de la climatización). PABLO ARELLANO www.theglobeformacion.com Página 42 B4T5 SEGURIDAD, CPD Y CRIPTOGRAFÍA TAI Pasillo Cerrado En usos con densidad media o alta, la presencia de pasillos fríos y calientes no basta para impedir que se mezclen el aire de impulsión y el de retorno. Una mejora es el sistema de cerramiento modular adaptable, el cual optimiza la eficacia mediante el empleo, entre otras características, de puertas automáticas y elementos para evitar la recirculación del aire. De esta forma, el aire procedente de la unidad de refrigeración entra por las rejillas de la parte frontal del rack, a través del suelo técnico. La forma y tamaño de los conductos de refrigeración, así como la dirección y caudal del flujo, influyen directamente sobre la cantidad real de aire frío que se entrega a las zonas más críticas de cada rack. Sistemas de refrigeración La refrigeración puede realizarse por gas o por agua. Existe una tercera alternativa, un fluido dieléctrico (refrigeración por inmersión). Tipos: - Expansión Directa (DX) por Condensación por aire Sistemas económicos, fiables, con un buen rendimiento y escalabilidad. - Condensación por torre de refrigeración Usados en CPDs de tamaño medio/alto. - Free cooling Consiste en utilizar las bajas temperaturas del aire exterior para refrigerar el CPD sin necesidad de consumir electricidad para producir frío. Obviamente sólo cuando las temperaturas exteriores son inferiores a la necesaria dentro del CPD (ejemplo, CPDs en Soria). Es un sistema de refrigeración modular donde las unidades de climatización, que tienen formato tipo rack, se instalan en línea con los racks de equipos informáticos, intercalándose entre los racks dentro de las filas que conforman los pasillos del CPD, recogiendo por la parte trasera el aire caliente que expulsan los servidores y aportando aire refrigerado por la parte delantera para dar servicio a los frontales de los racks (la parte frontal de inRow dará a un pasillo frío y la parte trasera a un pasillo caliente). Se suele identificar a estos equipos con el nombre de equipos in-row. Se puede utilizar con cerramiento de pasillo, que permite mejor rendimiento energético, o sin el cerramiento. HOT El sistema inRow permite la creación de pasillos fríos y pasillos calientes a partir de una fila de armarios en el CPD COLD PABLO ARELLANO www.theglobeformacion.com Página 43 B4T5 SEGURIDAD, CPD Y CRIPTOGRAFÍA TAI INFRAESTRUCTURA DE PROCESAMIENTO SERVIDORES: Gran parte de los CPDs están ocupados por la infraestructura de cómputo encargada de procesar los datos manejados por la organización. Se materializa en una colección de servidores interconectados entre sí, con la infraestructura de almacenamiento y con el exterior. Normalmente los servidores están organizados en clusters: - Clusters de balanceo de carga. - Clusters de alta disponibilidad: redundancia, tolerancia a fallos y balanceo de carga. - Clusters de alto rendimiento: procesamiento distribuido. La tendencia actual es la virtualización de la capacidad de cómputo, mediante la consolidación de servicios agrupándolos en menor número de máquinas físicas (ahorro energético y simplificación de administración) y mayor nivel de abstracción (cloud computing). Alternativamente, se dispone de: - Servidores independientes (stand alone): equipos "completos" e independiente que no necesitan otra infraestructura. Es típico en servidores para pequeñas organizaciones. - Servidores en rack: equipos "enrackables" montados en módulos 1U o varias U. Ofrecen menores requisitos de espacio y mayor facilidad de integración en un CPD basado en racks. Es la opción más habitual en CPDs de tamaño medio/grande. - Servidores Blade: equipo simplificado montado en una "tarjeta" (incluye microprocesador, memoria y buses). Se montan en un chasis (4U, 8U,...) que integra el resto de elementos (ventilador, fuente alimentación replicadas, switch y puertos de redes). Permiten una mayor densidad de capacidad de cómputo con menores costes de adquisición y de consumo energético. Además, permiten el cambio "en caliente". Mención especial en relación con los servidores es su bastionado (configuración de seguridad). En términos generales, para el bastionado de servidores debemos considerar siempre: aplicación de parches y actualizaciones de seguridad, eliminación de los servicios no necesarios, restricciones de acceso adecuadas, políticas de gestión de usuarios y contraseñas robustas, permisos correctos en todo el sistema de archivos y monitorización y control. INFRAESTRUCTURA DE ALMACENAMIENTO Los elementos para dar soporte al almacenamiento conforman el otro gran bloque de componentes de los CPDs. De modo general se identifican dos grandes alternativas: - Redes de almacenamiento (SAN). PABLO ARELLANO www.theglobeformacion.com Página 44 B4T5 SEGURIDAD, CPD Y CRIPTOGRAFÍA TAI - Sistemas de archivos distribuidos: los nodos de procesamiento (servidores) tienes sus propios dispositivos de almacenamiento y se dispone con un sistema de fichero distribuido que los unifica. Ejemplos de sistemas de ficheros distribuidos: GFS (Google File System), HDFS (Hadoop Distributed File System),

B4T5 Seguridad - PDF

Document Details

Tags

Related

Summary

Full Transcript

Upgrade to continue