29-1-2014

Plan de Respuesta ante Incidentes Direccin de Informtica

Salvador Alcides Franco Sanchez UNIVERSIDAD TECNOLGICA DE EL SALVADOR

Plan de contingencia de sistemas

a. Constitucin de un Equipo de Respuestas a Incidentes

b. Definicin de una gua de procedimientos

Los desastres pueden tomar muchas formas, daos infligidos directamente por un

usuario o por el propio administrador al aplicar algn cambio requerido, daos

incontrolables e impredecibles producidos por un desastre natural como una

inundacin o un terremoto. En cualquiera de los casos se debe estar preparado ante

los desastres y lo bien que responda el equipo para recuperarse ante ellos.

1. Alerta inicial de desastre

a. Contactar a las personas por telfono

b. Describir el desastre

c. Hacer un reporte preliminar de los daos

d. Notificar a los dems grupos y personas

2. Evaluacin del dao causado por el desastre

a. Enviar el equipo de respuesta

b. Realizar una visita en el rea afectada

c. Determinar los servicios bsicos que sufrieron algn dao

Nombre rea de especialidad Direccin Telfonos

Lic. Jorge Alberto Portillo

Chvez

Director de TI Col. Costa Rica, Av.

San Jos 426, San

Salvador

Tel. Oficina: 2275-8962

Tel. Casa: 2557-5205

Tel. Celular: 7101-5811

Ing. Salvador Alcides

Franco Sanchez

Jefe de Informtica Res. Lincoln, Pasaje

9 Oriente, Casa

#56.I, Mejicanos

Tel. Oficina: 2275-8726

Tel. Casa: 2232-7153

Tel. Celular: 7923-5840

Tel. Celular: 7238-8870

Lic. Fidel Edgardo Murcia

Perdomo

Especialista de Base de

Datos

3a. Calle poniente,

#27 Int. Barrio el

calvario, mejicanos

Tel. Oficina: 2275-8731

Tel. Casa:

Tel. Celular: 6200-5958

Tel. Celular: 7776-2068

Ing. Ernesto Alejandro

Padilla

Especialista de Centro

de Datos

Res. brisas de San

Marcos, Polgono E

casa 3 San Marcos,

San Salvador

Tel. Oficina: 2275-8732

Tel. Casa: 2220-1661

Tel. Celular: 7986-0542

Ing. Jerant Elias Serrano

Lopez

Especialista de

Seguridad

AV PL, PG 12, #13.

Brisas del Sur II.

Soyapango

Tel. Oficina: 2275-8731

Tel. Casa: 2359-0433

Tel. Celular: 73728465

Tec. William Enrique Garca

Arias

Especialista de

Infraestructura de Red

Col. Jardines del

Pepeto 1. Pasaje. 3

Casa 28 B.

Soyapango

Tel. Oficina: 2275-8732

Tel. Casa:

Tel. Celular: 7306-4014

d. Determinar el dao del equipo

e. Restringir el acceso al sitio del percance

f. Estimar el tiempo de recuperacin

3. Activacin de los planes de recuperacin por desastres

a. Revisar la evaluacin del dao

b. Determinar si el plan se debe activar de forma completa, parcial o si se

debe abordar: Notifique al personal y a la administracin

c. Busca ayuda sobre asuntos legales y de contrato

d. Monitorear las actividades de recuperacin

4. Planes de reaccin

a. Planear la reubicacin del ambiente productivo a un sitio alterno

b. Validar los procesos para recuperar y sincronizar las bases de datos

5. Estrategia de procesamiento alterno

a. Identificar una estrategia de procesamiento alterno

b. Identificar el tiempo que se estar sin operaciones debido a la estrategia

utilizada

c. Determinar si los sitios daados deben ser reconstruidos

d. Determinar los costos para la parte de seguros

6. Determinar cul equipo debe ser remplazado, recuperado o comprado

a. Identificar los activos recuperables

b. Identificar los medios de recuperacin

c. Aislar los activos recuperados en un sitio apropiado

d. Ordenar el remplazo de los activos no recuperados

7. Preparar el sitio alterno

a. Coordinar las instalaciones

b. Validar los sistemas

c. Asegurar la disponibilidad de los suministros

8. Restauracin del ambiente operativo

a. Identificar los medios requeridos para restaurar los datos en el sitio alterno

b. Notificar a las personas a se instalarn en el sitio de contingencia

Actividades a realizar

1. Infraestructura de Red

a. Adquisicin del servidor que soporte las mquinas virtuales respaldadas

b. Montaje de Servidor

c. Cablear el servidor a la red LAN

a. Instalacin y configuracin de Windows 2012 Server

b. Configuracin del direccionamiento IP

c. Instalacin y configuracin del Rol de Hyper-V

d. Configuracin de la infraestructura de red virtual

e. Pruebas de conectividad

2. Recuperacin de virtuales

a. Creacin de mquinas virtuales a partir de discos duros virtuales

respaldados

b. Verificacin de conectividad en la red

c. Verificacin de servicios de red de la mquina virtual

d. Verificacin de los sistemas en produccin Base de Datos y Servicios WEB

3. Monitoreo y pruebas

a. Pruebas de acceso a los sistemas desde la LAN

b. Pruebas de acceso a los sistemas desde la WAN e Internet

c. Anunciar que los sistemas estn disponibles

4. Restauracin de Bases de Datos (aplica si el entorno virtual no se puede recuperar)

a. Ejecutar el software DPM para la recuperacin de las bases de datos

b. Seleccionar el destino de la recuperacin de los datos

c. Recuperar los datos

d. Preparar la configuracin de la base de datos para acceder a los datos

recuperados

e. Realizar pruebas de acceso a la informacin

f. Configurar el servidor WEB para publicacin de los sistemas

g. Verificar que los usuarios pueden acceder a la informacin

c. Deteccin de un incidente de seguridad

No. Incidente de Seguridad

1 Evitar el escaneo de puertos, escaneo de vulnerabilidades de servidores, reconocimiento

de versiones de sistemas operativos y aplicaciones

2 Registrar las actividades extraas en los logs de los servidores y dispositivos de red o incremento sustancial de las entradas en los logs

3 Aparicin de nuevas carpetas o ficheros con nombres extraos en los servidores, o

modificaciones realizadas en determinados ficheros del sistema, utilizar herramientas de

revisin de integridad.

4 Cada o mal funcionamiento de los servidores: reinicios inesperados, fallos en algunos

servicios, aparicin de mensajes de error, incremento anormal de la carga del procesador

o del consumo de la memoria del sistema

5 Notable cada del rendimiento de la red o de algn servidor, debido a un incremento

inusual del trfico de datos

6 Cambios de configuracin de equipos de red: modificacin de las polticas de seguridad

y auditora, activacin de nuevos servicios, puertos abiertos que no estaban autorizados,

activacin de las tarjetas de red en modo promiscuo (para poder capturar trfico en la

red Sniffer), DHCP no autorizados, Cambio en la topologa de redundancia por equipos no autorizados.

7 Existencia de herramientas no autorizadas en el sistema

8 Aparicin de nuevas cuentas de usuarios o registro de actividad inusual en algunas

cuentas: conexin de usuarios en horarios extraos, utilizacin de la misma cuenta en

distintos equipos a la vez, bloqueo reiterado de cuentas por fallos en la autenticacin,

ejecucin inusual de determinados servicios desde algunas cuentas.

d. Anlisis de incidentes

El equipo de respuesta ante incidentes debe contemplar la siguiente matriz de

diagnstico para facilitar la actuacin.

El equipo de respuestas ante incidentes debe priorizar las actividades de la siguiente

forma:

1. Prioridad uno: proteger la vida humana y la seguridad de las personas

2. Prioridad dos: proteger datos e informacin sensible de la organizacin

3. Prioridad tres: proteger datos e informacin de la organizacin

4. Prioridad cuatro: prevenir daos en los sistemas informticos

5. Prioridad cinco: minimizar la interrupcin de los servicios ofrecidos a los

usuarios internos y externos

9 Informes de los propios usuarios del sistema alertando de algn comportamiento extrao

o de su imposibilidad de acceder a algunos servicios.

10 Deteccin de procesos extraos en ejecucin dentro del sistema, que se inician a horas

poco habituales o que consumen ms recursos de los normales, por ejemplo: memoria,

procesador, ancho de banda o Internet

11 Generacin de trfico extrao en la red: envo de mensajes de correo electrnico hacia el

exterior con contenido sospechoso, inusual actividad de transferencia de ficheros,

escaneo de otros equipos desde un equipo interno.

12 Notificacin de un intento de ataque lanzado contra terceros desde los equipos

pertenecientes a la propia organizacin

13 Aparicin de dispositivos extraos conectados directamente a la red o algunos equipos

de la organizacin

14 Alarmas generadas en el Firewall o herramientas de antivirus

Sntoma Cdigo malicioso Denegacin de

servicios (DoS)

Acceso no

autorizado

Escaneo de puertos Bajo Alto Medio

Cada del servidor Alto Alto Medio

Modificacin de los ficheros de

un equipo

Alto Bajo Alto

Trfico inusual en la red Medio Alto Medio

Envo de mensajes de correo

sospechosos

Alto Bajo Medio

Cada del rendimiento de la red Alto Alto Medio

Aparicin de nuevas cuentas de

usuario

Medio Alto Alto

Cambios en configuraciones de

equipos

Medio Alto Alto

Usuarios no pueden acceder al

sistema

Alto Alto Medio

Aparicin de dispositivos

extraos conectados a la red

Bajo Medio Alto

e. Contencin, erradicacin y recuperacin

Estrategia de contencin

Ante un incidente de seguridad el equipo de respuesta ante incidentes debe llevar a

cabo una rpida actuacin para evitar que el incidente pueda tener mayores

consecuencias para la organizacin. Es responsable de la desactivacin de los

servicios y de aislar, desconectar o apagar los equipos afectados. El equipo debe velar

por no poner en peligro la informacin confidencial que puedan generar prdidas

econmicas considerables.

Estrategia de erradicacin

El equipo ante incidentes realizara las siguientes actividades para eliminar los agentes

causantes de incidentes:

1. Evitar la instalacin de software que se encuentran en categora de puertas

traseras

2. Mantener actualizado los servidores con los parches de seguridad

recientes

3. Mantener actualizado los antivirus de la organizacin

4. Mantener actualizada la zona segura de los servidores, velar por abrir

puertos de aplicaciones que sean los necesarios y cerrar los que no se

utilizan

5. Definir roles y privilegios a los usuarios de la organizacin

6. Asegurar el permetro de la red utilizando polticas de control de acceso a

servicios internos y externos

7. Revisar otros sistemas que se puedan ver comprometidos por la relacin

de confianza con el sistema afectado

Estrategia de recuperacin

El equipo ante incidentes realizara las siguientes actividades para la recuperacin:

Estrategia 1

Virtualizacin:

1. Instalar el rol de Hyper-V en un nuevo servidor

2. Configurar los protocolos de conectividad entre el servidor y la SAN

3. Recuperar la mquina virtual a travs del software de recuperacin

4. Encender la mquina virtual e ingresar con las credenciales de

administrador

5. Configurar el enrutamiento de la red mquina virtual desde el sitio

alterno

6. Realizar las pruebas de accesibilidad a los servicios de la mquina virtual

7. Publicar los servicios interna y externamente

8. Notificar a usuarios el acceso a los servicios

Estrategia 2

Base de Datos y Servicios WEB

1. Ejecutar el software DPM para la recuperacin de las bases de datos

2. Seleccionar el destino de la recuperacin de los datos

3. Recuperar los datos

4. Preparar la configuracin de la base de datos para acceder a los datos

recuperados

5. Realizar pruebas de acceso a la informacin

6. Instalar y configurar rol de servidor Web

7. Configurar el servidor WEB para publicacin de los sistemas

8. Verificar que los usuarios pueden acceder a la informacin

f. Identificacin del atacante y posibles actuaciones legales

Acciones realizar para exigir responsabilidades:

1. Solicitar la colaboracin de los proveedores de servicios de Internet que pudieran

utilizar los atacantes

2. Revisin de logs de los equipos afectados para identificar las tcnicas de

exploracin utilizadas

3. Implementar un Sistema de Deteccin de Intrusos (IDS).

4. Presentar las evidencias del delito al departamento que vela por los aspectos

legales en la institucin para que se proceda con una denuncia formal

g. Comunicacin con terceros y relaciones pblicas

Proveedores

Rubro Proveedor Contacto Telfonos

Internet TIGO Victor Colorado 2280-9425 / 7946-4146

TIGO Julio Milln Rivera 2280-9349 /7894-9501

TELEFONICA Ada Samara Gochez 2257-4213 / 7833-0112

Seguridad SEFISA Roxana Rivas 2528-1013 / 7856-9861

Redes GBM Cristina Cceres 2250-5600

SSASIS Patrick Cisneros 2263-5686 / 7861-4895

Servidores ORBITAL Ingrid Granadino 2204-4704 / 7695 6806

AEEGLE Carlos Campos 2564-6680 / 7850-5077

AEEGLE Alex Biaza 2564-6680 / 78563353

Interlocutor para contactar con proveedores

Interlocutor para anunciar el incidente a los distintos medios

h. Documentacin del incidente de seguridad

El formato utilizado para registrar los incidentes de seguridad es tal y como se

muestra a continuacin:

Ing. Salvador Alcides

Franco Sanchez

Jefe de Informtica

Lic. Jorge Alberto Portillo

Chvez

Director de TI

Descripcin del incidente

Hechos registrados (eventos en los

logs de los equipos)

Daos producidos en el sistema

informtico

Decisiones y actualizacin del

equipo de respuesta

Comunicaciones que se han

realizado con terceros y con los

medios

Lista de evidencias obtenidas

durante el anlisis y la

investigacin

Comentarios e impresiones del

personal involucrado

Posibles actualizaciones y

recomendaciones para reforzar la

seguridad y evitar incidentes

similares a futuro

i. Anlisis y revisin a posteriori del incidente

Formato utilizado para presentacin del informe final despus del incidente

Aspectos Actividades Resultado

Investigacin sobre las causas y

las consecuencias del incidente

Estudio de la

documentacin

generada por el

equipo de respuesta

ante incidentes

Revisin de los

registros de actividad

logs de los equipos afectados

Evaluacin del costo

del incidente de

seguridad para la

organizacin

Anlisis de las

consecuencias que

haya podido tener

para terceros

Revisin del

intercambio de

informacin sobre el

incidente con otras

empresas e

instituciones

Seguimiento de las

posibles acciones

legales emprendidas

contra los

responsables del

incidente

Revisin de las decisiones y

actuaciones del equipo de

respuesta a incidentes

Composicin y

organizacin del

equipo

Formacin y nivel de

desempeo de los

miembros

Rapidez en las

actualizaciones y

decisiones

j. Estrategia de implementacin del centro alternativo

Sitio de contingencia

Este centro alternativo est en categora de frio, se trata de un centro alternativo

que cuenta con un equipamiento suficiente de hardware, software y de

comunicaciones para mantener los servicios crticos de la UTEC, as mismo en el

centro se guardan copias de seguridad de los datos y aplicaciones de la organizacin.

El tiempo de recuperacin puede ser de uno a varios das.

Anlisis de los procedimientos y

de los medios tcnicos

empleados en la respuesta al

incidente

Redefinicin de

aquellos

procedimientos que

no hayan resultado

adecuados

Adopcin de las

medidas correctivas

que se consideran

necesarias para

mejorar la respuesta

ante futuros

incidentes de

seguridad

Adquisicin de

herramientas y

recursos para reforzar

la seguridad del

sistema y respuesta

ante futuros

incidentes de

seguridad

Revisin de las Polticas de

Seguridad de la organizacin

Definicin de nuevas

directrices y revisin

de las actualmente

previstas por la

organizacin para

reforzar la seguridad

de su sistema

informtico

Tecnologa utilizada en el centro alternativo

Conectividad del sitio de contingencia

EDIFICIO JOSE MARTI

EDIFICIO SIMON BOLIVAR

EDIFICIO LOS FUNDADORES

CENTRO DE DATOS

SITIO DE CONTINGENCIA

LF-C4503E-CO

SB-C4503E-CO

UTEC-CSC4506-DOWN

Fibra Optica

Cobre

Redundancia en el centro alternativo

Enlace de fibra redundante

Fuentes de poder redundantes, Servidor y CORE-Switch

Discos en RAID 6

Equipo Marca/Modelo

Router-Switch CISCO Catalyst 4503

Servidor NAS HP X1600 G2

Librera de Respaldos HP MSL2024 1 LTO-4

UPS APC Smart-UPS

k. Estrategia de implementacin del centro principal y primer sitio de

contingencia

La tecnologa implementada en el centro principal de las aplicaciones y servicios

Fsica

Espacio fsico dedicado para servidores

Acceso biomtrico a las instalaciones de los servidores

Segmentacin de conectividad y servidores

Separacin de border (ISP) de infraestructura red y servidores de la UTEC

Aire acondicionado redundante

Un proveedor elctrico con UPS central y planta elctrica

Monitoreo a travs de circuito cerrado

Redundancia de conectividad hacia la red

Enlace de fibra redundante

Fuentes de poder redundantes, Servidores y CORE-Switch

Lgica

Dos servidores robustos con caractersticas tcnicas para virtualizacin

Sistema de Virtualizacin Hyper-V de Microsoft

Windows 2012 Data Center como sistema operativo

Servidores implementados en FailOver Cluster

Balanceo de carga de virtualizacin

SAN para almacenamiento de virtuales

Redundancia de tarjetas iSCSI entre servidores y SAN

RAID 6 para alta disponibilidad

SAN para respaldo de virtuales

Windows 2003, 2008 y Ubuntu Server como sistemas operativos de

mquinas virtuales

La alta disponibilidad implementada en el sitio principal, permite la recuperacin

ante fallos en horas.

Sitio principal y primer sitio de contingencia

NODO 1SERVIDOR DELL

POWER EDGE R610

NODO 0SERVIDOR DELL

POWER EDGE R610

SAN HP 2000

SITIO EN PRODUCCIN

WINDOWS 2012 DATA CENTER

HYPER-V

WINDOWS 2012 DATA CENTER

HYPER-V

CORE UPCISCO CATALYS 4506 CORE DOWN

CISCO CATALYS 4506

SERVIDOR DELLPOWER EDGE R310

SAN DELLMD3000i

PRIMER SITIO DE CONTINGENCIA

WINDOWS 2008 ENTERPRISE

DPM SERVER