ANALISIS DE RIESGOS Y VULNERABILIDADES · PDF fileficha #230490 gestion de redes de datos. so cpu disc o ra m ip mac windows 7 ultimate intel ® core ™ 2 duo cpu e7500 @ 2.93ghz

ANALISIS DE RIESGOS Y VULNERABILIDADES IMPLEMENTACION CENTRO PARA ALMACENAMIENTO DE DATOS 28/09/2012 SENA-SERVICIO NACIONAL DE APRENDIZAJE CESGE-CENTRO DE SERVICIOS Y GESTION EMPRESARIAL

PRESENTADO POR BRENDA TOVAR LIBARDO CORREA PRESENTADO AL INSTRUCTOR JULIAN CIRO

FICHA #230490 GESTION DE REDES DE DATOS

SO CPU DISC

O

RA

M IP MAC

WINDOWS 7 ULTIMATE

Intel ® Core ™ 2 DUO CPU E7500 @ 2.93GHz 2.93GHz

400 GB

2 GB

192.168.5.16

00-27-0E-10-18-OD

WINDOWS 7 ULTIMATE


400 GB

2 GB

192.168.5.32

E0-69-95-36-67-20

WINDOWS 7 ULTIMATE


400 GB

2 GB

192.168.5.31

00-50-DA-79-E9-F0

WINDOWS 7 ULTIMATE


400 GB

2 GB

192.168.50.41

00-50-DA-79-E9-E9-6F

WINDOWS 7 ULTIMATE


400 GB

2 GB

192.168.50.47

00-50-DA-79-EA-3A

WINDOWS 7 ULTIMATE


400 GB

2 GB

192.168.50.14

E0-69-95-36-78-B5

WINDOWS 7 ULTIMATE


400 GB

2 GB

192.168.5.37

00-10-7D-36-7E-06

WINDOWS 7 ULTIMATE


400 GB

2 GB

192.168.137.1

08-00-27-27-00-30-0B

WINDOWS 7 ULTIMATE


400 GB

2 GB

192.168.5.18

00-1D-7D-36-84-8E

WINDOWS 7 ULTIMATE


400 GB

2 GB

192.168.5.20

00-27-OE-A2-EA

WINDOWS 7 ULTIMATE


400 GB

2 GB

192.168.5.24

00-27-0E-10-17-99

WINDOWS 7 ULTIMATE


400 GB

2 GB

192.168.56.1

08-00-27-00-38-E7

WINDOWS 7 ULTIMATE


78.0 GB

1 GB

192.168.0.129

00-1D-7D-36-7F-2A

WINDOWS 7 ULTIMATE


78.0 GB

1 GB

192.168.0.150

00-1D-7D-36-7E-20

WINDOWS 7 ULTIMATE


78.0 GB

1 GB

192.168.0.125

00-1D-7D-36-7G-40

WINDOWS 7 ULTIMATE


78.0 GB

1 GB

192.168.0.155

00-1D-7D-36-8A-15

WINDOWS 7 ULTIMATE


78.0 GB

1 GB

192.168.0.120

00-1D-7D-36-33-22

WINDOWS 7 ULTIMATE


78.0 GB

1 GB

192.168.0.130

00-1D-7D-36-7E-15

WINDOWS 7 ULTIMATE


78.0 GB

1 GB

192.168.0.140

00-1D-7D-36-7F-5B

WINDOWS 7 Intel ® Core ™ 2 DUO CPU E4500 @ 78.0 1 192.168. 00-1D-7D-36-

1. AMBIENTE MANTENIMIENTO

ACTIVOS INTANGIBLES

ULTIMATE 2.20GHz 2.20GHz GB GB 0.145 8A-55

WINDOWS 7 ULTIMATE


78.0 GB

1 GB

192.168.0.135

00-1D-7D-36-96-56

WINDOWS 7 ULTIMATE


78.0 GB

1 GB

192.168.0.142

00-1D-7D-36-7G-33

WINDOWS 7 ULTIMATE


78.0 GB

1 GB

192.168.0.138

00-1D-7D-36-69-30

WINDOWS 7 ULTIMATE


78.0 GB

2 GB

192.168.0.128

00-1D-7D-36-7E-20

WINDOWS 7 ULTIMATE


97.5 GB

1 GB

192.168.0.160

00-1D0-7D-36-80-65

WINDOWS 7 ULTIMATE

Intel ® Core ™ i5-2400 CPU @3.10GHz

500 GB

4 GB

192.168.5.21

C8-9C-DC-EE-55-6E

WINDOWS 7 ULTIMATE


500 GB

4 GB

192.168.5.10

C8-9C-DC-EE-56-C1

WINDOWS 7 ULTIMATE


500 GB

4 GB

192.168.5.17

C8-9C-DC-EE-55-13

WINDOWS 7 ULTIMATE


500 GB

4 GB

192.168.5.19

C8-9C-DC-EE-54-B1

WINDOWS 7 ULTIMATE


500 GB

4 GB

192.168.5.27

C8-9C-DC-EE-53-C3

WINDOWS 7 ULTIMATE


500 GB

4 GB

192.168.5.13

C8-9C-DC-EE-55-80

WINDOWS 7 ULTIMATE


500 GB

4 GB

192.168.5.11

C8-9C-DC-EE-55-01

WINDOWS 7 ULTIMATE


500 GB

4 GB

192.168.5.28

C8-9C-DC-EE-58-46

WINDOWS 7 ULTIMATE

AMD Processor Model unknown 2.71GHz

60 GB

1 GB

192.168.5.34

00-24-21-9F-8C-2C

WINDOWS 7 ULTIMATE


500 GB

2 GB

192.168.5.25

00-27-0E-06-50-2F

ACTIVOS TANGIBLES

Dispositivo Switch

Referencia D-Link DES 3226

Cantidad 2

N° puertos 24

Velocidad 10/100Mbps

Módulos de puertos FastEthernet

IP 192.168.5.1- 192.168.0.1

Dispositivo Impresoras

Cantidad 2

Referencia hp laserjet p1006

Tipo de procesador Tensilica®

Velocidad de impresión 16 ppm

Velocidad del procesador 266 MHz

Memoria de serie 8 MB

Dispositivo access point

Referencia procurve msm 410

Cantidad 4

N° puertos 1

Velocidad de transferencia

10, 100, 1000 Mbit/s.

Módulos de puertos FastEthernet

Dispositivo Router

Referencia Linksys WRT300N Wireless-N Broadband

Cantidad 2

N° puertos 4

Velocidad de transferencia 100 Mbit/s.

Módulos de puertos Wireless

2. IMPORTANCIA DE DISPOSITIVOS ACTIVOS (1 AL 5)

SERVIDOR Gracias a los servidores existe internet, este dispositivo permite compartir información con los clientes -----5

ROUTER Dispositivo que se encarga de enviar el trafico a su respetivo destino como PC, dispositivos móviles -----------5

SWITCH Este dispositivo es vital para múltiples conexiones en una red---------------------------------------------------------4

ACCESPOIN Con este dispositivos podemos tener conexión y movilidad por todo el

T ambiente ----------------------------------3 CAMARA VIDEO

las cámaras son estupendas para prevenir y detectar situaciones de crímenes y hurtos --------------------------3

PC Los pc son dispositivos que permiten interactuar en una red mediante un servidor a otros dispositivos -------3

3. PARA VERLO MAS GRANDE DAR CLIC aqui_mapa.png

*lo azul son los intangibles

*los rojos son los tangibles

*lo amarillo son los rack

4. TABLA COMPARATIVA

METODOLOGIA PARA EL ANALISIS DE RIESGO

Magerit (Metodología de análisis y gestión de riesgos de sistemas de información)

Octave (Amenaza de vista operativo critico, activo y vulnerabilidad. Evaluación)

Es la metodología que se esfuerza por

enfatizarse en dividir los activos de la organización en grupos, para identificar más riesgos y evitar cualquier inconveniente.

Es la metodología que se enfoca en realizar

la gestión de activos, conocer posibles amenazas y evaluar vulnerabilidad, brindando herramientas, técnicas y métodos

para el análisis de riesgo.

Prepara a la organización para procesos de

evaluación, auditoria, certificación, o acreditación, según el caso.

Prepara a la organización a tomar decisiones

basándose en sus riesgos, proteger los activos claves de información, dirigir y gestionar sus evaluaciones de riesgos.

Ayudar a descubrir y planificar las medidas oportunas para mantener los riesgos bajo

control.

Presentar los principios básicos y la estructura de las mejores prácticas

internacionales que guían los asuntos no técnicos.

Esta directamente relacionada con la generalización del uso de las tecnologías de la información, magerit les permite saber que

esta en juego y les ayudara a protegerlos.

Esta directamente relacionado con planeación y consultoría estratégica en seguridad basada en el riesgo.

Apunta a la generalización del uso de las

tecnologías de la información y minimizar con medidas de seguridad que generen confianza.

Apunta a dos aspectos diferentes, riesgos

operativos y practicas de seguridad.

Análisis funcional:

Análisis de riesgos

Gestión de riesgos

Catalogo de amenazas

Escala alternativa de estimación del riesgo.

Análisis funcional:

Construcción de perfiles de

amenazas basados en activos.

Identificación de a infraestructura de vulnerabilidades.

Desarrollo de planes y estrategias de seguridad.

Es gratuita y se encuentra disponible en

español.

Es gratis y se encuentra disponible en ingles.

Consta de cuatro fases

Planificación del proyecto de riesgo.

Análisis de riesgo.

Gestión de riesgos.

Selección de salvaguardas.

Consta de tres fases

Creativos basados en perfiles de amenazas.

Identificar las vulnerabilidades de la

infraestructura.

Desarrollar la estrategia y planes de seguridad.

Su metodología se centra en

Análisis de riesgos

Activos

Tipos

Dependencias

Amenazas

Su metodología se centra en

Activos

Amenazas

Vulnerabilidades

Impactos

Riesgos

Determinación del riesgo

Activos

Salvaguardas

Selección de salvaguardas

Salvaguardas (funciones, servicios y mecanismos)

Documentación e información

Existe buena documentación en línea

Documentación e información

Su documentación no es amplia.

5. HACKING ETICO

Son profesionales dotados de conocimiento para encontrar debilidades o

vulnerabilidades en los sistemas utilizando el mismo conocimiento de un hacker

malicioso, aprendiendo a escanear, probar, hackear y asegurar sus propios sistemas.

También trabaja en una penetración de su sistema para mantener controlada la red

a su cargo

ANALISIS DE VULNERABILIDADES

1. Instalación por defecto de programas y aplicaciones

2. Cuentas sin contraseñas y contraseñas débiles

3. Backus incompletos o inexistentes

4. Gran numero de puertos abiertos

5. Recursos en una red no protegidos

PRUEBA DE INTRUSION (PEN TESTING)

Con esta prueba podemos descubrir la falencia de nuestra red para evitar el ataque

de agentes maliciosos, evitamos que algún intruso nos robe información.

6. ENSAYO

INFORME DE UN ANALISIS DE RIESGO

Las computadoras alrededor del mundo están siendo victima de intensos ataques,

capaces de comprometer un sistema, robar o borrar completamente información

valiosa en minutos, por tal motivo es necesario hacer periódicamente análisis de

vulnerabilidades y riesgos, para mantener protegido o darse cuenta de algo

sospechoso y prevenimos más daños.

Se considera que al hacer un análisis de vulnerabilidad nos permite asegurarnos de

qué manera deberá ser planeada la seguridad informática, previniendo así riesgos

irreparables.

Los resultados del análisis de riesgo nos permiten obtener una valiosa información

sobre las debilidades y vulnerabilidades que posee la empresa u organización, esto

se realiza con el fin de garantizarnos una información segura, además se debe

evaluar la seguridad técnica de los sistemas de información, redes de computadoras,

aplicaciones web, servidores, etc. Debemos pensar como maliciosos para encontrar

la forma en que operaran los ataques.

A parte de perder la información por atacantes externos desde internet y desde la

red interna, también se podría presentar el caso de una sobrecarga en el fluido

eléctrico, debemos analizar la vulnerabilidad y los riesgos para dar una solución

efectiva, tomando medidas de seguridad necesarias para evitar en riesgo el activo

más importante de la empresa, que es la información.

Entonces, un análisis de riesgos incluye el análisis de vulnerabilidad para estar alerta,

saber cuales son las amenazas que podrían explotar las vulnerabilidades,

permitiendo establecer medidas preventivas y correctivas viables que nos garanticen

un alto nivel de seguridad en la información, el análisis de riesgos debe garantizarle a

la empresa la tranquilidad de tener identificados los riesgos y las medidas

preventivas que permitan actuar ante tal evento o permitirle evitarlos , esto tiene

muchos beneficios, uno de ellos, es mantener una imagen de credibilidad y

competitiva en el mercado.

Con los riesgos detallados, sabremos que hacer, si controlarlo (fortaleciendo los

controles existentes), eliminarlo (al activo y con él se eliminara el riesgo), compartirlo

(se traspasa a terceros), y aceptar el riesgo (el nivel de exposición es adecuado),

siempre y cuando monitoreando periódicamente los efectos consecuentes del

riesgo.

7. Esta es una manera de exponer o presentar una información clara y detallada,

permitiéndonos plasmar la información obtenida en los análisis de vulnerabilidades y

de riesgos.

DISPOSITIVOS

AMENAZAS EVALUACIÓN DE

VULNERABILIDAD

NIVEL DE RIESGO

ESTRATEGIAS PARA MITIGAR RIESGOS

ROUTER Corto circuito Manipulación Personal no autorizado

Estos dispositivos

están expuestos ala manipulación de personal no

autorizado

Muy alto Controlar el personal y cambiarlos a un sitio mas

seguro

SWITCH Sobre carga o corto circuito

Manipulación de personal no autorizado

El cableado de red y energía no cumple las

normas de seguridad

Muy alto Instalar adecuadamente el cableado

Moverlo a un cuarto con mayor seguridad

PC Personal no autorizado, falta de conocimiento en el manejo del

equipo, Instalaciones de red y energía mal

conectados

Expuesto los equipos a

personal no autorizado,

Muy alto Cumplir con las normas de instalación, controlar y

capacitar en el personal en el manejo de los equipos

ACCES POINT Manejo de personal no autorizado,

Cambios en la infraestructura

inesperados

Muy alto Instalar el equipo con las normas que le competen

ALTO RIESGO (12-16)

MEDIO RIESGO (8-9)

VALORES:

1= INSIGNIFICANTE

2= BAJA

3=MEDIANA

4=ALTA

8. ENTREVISTA

1. DIFERENCIAS ENTRE UN HACKER Y UN CRACKER

HACKER: Es una persona que esta en constante aprendizaje en el mundo de las

redes, busca soluciones a muchos problemas que se presentan en las redes.

CRACKER: Es un individuo que utiliza sus conocimientos para dañar sistemas,

computadores, robar bancos, contraseñas, estafar, piratear programas

2. COMO RESPALDAN LA INFORMACION?

La información se respalda debido que es lo mas importante que generan los

usuarios a diario

Lo hacemos con un Backus a todos los equipos de la entidad ya que cada equipo

maneja su propia información

Hacemos tres copias una en el servidor, en el computador y en un disco externo

También utilizamos el servicio de archivos sin conexión en cual esta guardada en el

servidor

3. ¿CADA CUANTO ACTUALIZAN LOS DISPOSITIVOS TANGIBLES E INTANGIBLES?

Lo hacemos cada que vemos la necesidad en nuestra universidad la información es

almacenada en discos duros externos y cuando se esta llenando adquirimos otro de

mayor capacidad y en el sistema de software estamos en constante actualización

debido a que la tecnología lo requiere

4. ¿COMO REALIZAN EL ANALIZIS DE RIESGOS?

Debido a que la infraestructura ya esta montada nuestra red estamos pendiente dos

veces ala semana de todo sistema de energía y de red buscando donde se nos puede

presentar una falla y prevenir el problema

5. ¿SE HAN A LAS VULNERABILIDADES?

BAJO RIESGO (1-6)

Las vulnerabilidades las podemos sufrir a diario debido a que la entidad esta

expuesta a los cambios climáticos y nos puede traer daños.

6. ¿HAN TENIDO ATAQUES INTERNOS O EXTERNOS EN LA RED?

El mayor problema que tenemos en nuestro campo es la cantidad de virus que traen

los estudiante en los dispositivos de almacenamiento y la descarga de programas y

aplicaciones sin el conocimiento adecuado de lo que están haciendo, también

tuvimos el problema con un virus que escondía la información en los pc

SOLUCIONES: antivirus, firewall actualizados y nos toco capacitar el personal

administrativo en la descarga de programas y manejo de USB de terceros en los pc.

9. diapositiva, relación entre las diferentes amenazas y vulnerabilidades existentes

para los diferentes activos. Da clic aquí para verla vulnerabilidad y amenaza.pptx

10. TIPOS DE ESCANER

Escáner de red: nos permite escanear todas las vulnerabilidades en la red del

ambiente

GFI LANguard: Un escáner de red no-libre para Windows.

LANguard escanea redes y reporta información como el nivel de "service pack" de

cada máquina, faltas de parches de seguridad, recursos compartidos, puertos

abiertos, servicios/aplicaciones activas en la computadora, datos del registro {"key

registy entries"}, passwords débiles, usuarios y grupos; y más. Los resultados del

escaneo se muestran en un reporte en formato HTML, que puede ser modificado a

gusto propio o consultado. Aparentemente, una versión gratuita está disponible para

prueba y usos no comerciales.

Escáner de puerto: programas que nos permitan encontrar los puertos abiertos en

una por los cuales nos puedan atacar

SuperScan: El escáner de TCP para Windows de Foundstone.

Un escáner de puertos de TCP, pinger y resolvedor de nombres {"hostname

resolver"} basado en connect(). Viene sin el código fuente. Puede manejar escaneos

por ping y escaneo de puertos utilizando rangos de IP especificados. También puede

conectarse a cualquier puerto abierto descubierto utilizando aplicaciones

"ayudantes" especificadas por el usuario (e.g. Telnet, Explorador de Web, FTP).

Escáner para la Seguridad en aplicaciones web: podemos realizar evaluaciones de

riesgo para evitar ataques en los aplicativos web

Nikto: Un escáner de web de mayor amplitud.

Nikto es un escáner de servidores de web que busca más de 2000 archivos/CGIs

potencialmente peligrosos y problemas en más de 200 servidores. Utiliza la

biblioteca LibWhisker pero generalmente es actualizado más frecuentemente que el

propio Whisker.

Acunetix Para quienes no conozcan Acunetix, se trata de un escáner de

vulnerabilidades que permite analizar la seguridad de las aplicaciones Web de una

manera sencilla. Basta con configurar la url/ip/puerto donde se encuentra la

aplicación, y seleccionar el perfil de ataque para lanzar un escáner. Acunetix es capaz

de probar vulnerabilidades de tipo Cross-Site Scripting (XSS), Cross-Site Request

Forgery (CSRF), SQL Injection, Code Execution, Directory Traversal, HTTP Parameter

Pollution, File Inclusion, Script Source Code Disclosure, CRLF Injection, Cross Frame

Scripting (XFS), PHP Code Injection, XPath Injection, Path Disclosure (Unix and

Windows), LDAP Injection, Cookie Manipulation, Arbitrary File creation, Arbitrary File

deletion, Email Injection, File Tampering, URL redirection, Remote XSL inclusion,

DOM XSS, MultiRequest Parameter Manipulation : Blind SQL/XPath Injection, Input

Validation, Buffer Overflows, Sub-Domain Scanning, permite escanear puertos

abiertos, métodos habilitados, fuzzear en busca de archivos no linkados, comprobar

listados de directorios, y un largo etc.

Escáner base de datos: Debido a que es el activo más importante en una entidad

debemos correr el mejor software.

13. dar clic en tabla de activos.xlsx

17. INFORME EJECUTIVO

RIESGOS Y VULNERABILIDADES

Los negocios de todos los tipos y tamaños confían en una información computarizada

para facilitar su operación ya que esta se ha puesto cada vez más visible e

importante para la vida social y económica.

En esta documentación se trata de la seguridad en la información de una

organización, dándoles a conocer los diferentes procesos en que podríamos

presentar dificultados en la confidencialidad, disponibilidad e integridad de la

información, lo que resulta importante mantener un alto nivel de prevención de

riesgos causados por una vulnerabilidad, convirtiéndose en una amenaza dando el

caso de no poder ser reparada; para que en una empresa halla un buen control en la

seguridad, se recomienda realizar constantes análisis de riesgos, teniendo en cuenta

las vulnerabilidades y fallos por muy insignificantes que parezcan.

Lo que resulta mas increíble es la falta de precauciones, poner nuestra confianza en

que la información sea almacenada solo en el sistema, siendo ésta una computadora

pobremente armada tanto del punto de vista hardware y software, siendo el caso en

que nuestro disco duro deje de funcionar, el daño puede ser irreversible, puede

significar la pérdida total de nuestra información.

La tecnología no esta exente de errores o fallas, por tal razón, la seguridad de la

información es un plan contingente, es decir, puede ocurrir en un momento

cualquiera, siendo provocada o no, siendo totalmente imprevista, convirtiéndose en

una amenaza. Este trabajo comprende técnicas desarrolladas para proteger los

equipos informáticos individuales y conectados en una red frente a los daños

accidentales o intencionados, estos daños hacen posible el mal funcionamiento del

hardware, pérdida física de datos, el acceso del personal no autorizado, fallos de

electricidad, errores de software, caídas de red, incendios, virus informático, errores

humanos, inundaciones, ataques exteriores, etc. Aunque se presente el caso en el

que no se pueda prevenir estas interrupciones, si podemos prepararnos para

evitarnos las consecuencias que estas puedan tener sobre la información.

INFORME TECNICO

SEGURIDAD EN ACTIVOS TANGIBLES E INTANGIBLES (AMENAZA, Y

VULNERABILIDAD).

INTRODUCCION

La seguridad es primordial en una organización o empresa, tanto para activos tangibles e

intangibles; la seguridad en lo tangible, hace referencia a la seguridad física (hardware), y

soportes de datos, así como la seguridad de los edificios e instalaciones (red, energía). El

encargado de la seguridad debe afrontar situaciones de incendios, inundaciones, robos,

catástrofes naturales, sabotajes, etc.

Con las políticas de seguridad, tiene como objetivo minimizar los riesgos informáticos.

Después de haber hecho un recorrido, y haber hecho el seguimiento de riesgos, se deben

clasificar en altos, medios y bajos, y recomendaciones de soluciones si se encuentran

vulnerabilidades,

OBJETIVO GENERAL

Realizar el análisis de vulnerabilidades y amenazas, para ir planeando nuevas políticas de

seguridad, mejorando el nivel de seguridad, de acuerdo a cada situación y dar soluciones al

respecto.

OBJETIVOS ESPECIFICOS

Evaluar los controles de accesos de los usuarios a la información, y a los datos que

esta gestiona, con el fin de detectar los obstáculos a confidencialidad,

disponibilidad e integridad de la información.

Evaluar periódicamente los equipos, los dispositivos, los medios de

almacenamiento y el personal que conforman el sistema informático de la

empresa y el cumplimiento de las políticas de seguridad.

RECOMENDACIONES:

El personal encargado de la seguridad, debe garantizar que la información y los

activos de la empresa, sean confidenciales, íntegros y disponibles para todos los

usuarios.

Disponer de una política de seguridad es fundamental, se debe estar al tanto de las

actualizaciones para poder enfrentar un ataque; estar al tanto de lo que sucede,

permite mejorar la política de seguridad para que esta sea mas efectiva.

Se debe estar preparado y dispuesto a reaccionar con rapidez ya que las amenazas y

las vulnerabilidades están cambiando constantemente.

Documents

ANALISIS DE RIESGOS Y VULNERABILIDADES · PDF fileficha #230490 gestion de redes de datos. so cpu disc o ra m ip mac windows 7 ultimate intel ® core ™ 2 duo cpu e7500 @ 2.93ghz