instituto nacional de antropologÍa e historia inah manualdepoliticas.pdfcorresponde al instituto...

INSTITUTO NACIONAL DE

ANTROPOLOGÍA E HISTORIA

INAH

MANUAL DE POLÍTICAS DE SEGURIDAD DE SERVICIOS INFOR MÁTICOS DEL INAH Elaboró : Agosto del 2008 Autorizó: Septiembre del 2008

INAH

Agosto del 2008

Manual de Políticas de Seguridad de Servicios Informáticos del INAH

Página 2

Página

ÍNDICE 1. INTRODUCCIÓN. 4 2. OBJETIVO. 6 3 ÁMBITO DE APLICACIÓN. 7 4 FUNDAMENTO LEGAL. 8 5. DISPOSICIONES GENERALES. 10 6. LINEAMIENTOS ESPECÍFICOS. 11 6.1 De las Computadoras (PC). 11 6.2 De los Servidores. 12 6.3 De las Redes. 14 6.4 De los Sistemas y Bases de Datos. 15 6.5 Del Correo Electrónico. 19 6.6 De Intranet e Internet. 20 6.7 De Violación de Seguridad en Servicios Informáticos. 21 6.8 De las Áreas de Resguardo Físico y Control de Equipos Informáticos. 22 6.9 Del Sistema de Detección de Intrusos (Sistema SNORT). 23 6.10 Del Respaldo y Recuperación de Información Institucional. 24 6.11 Del Control de Contraseñas. 27 7. DEFINICIONES. 28 8. INSTALACIÓN Y CONFIGURACIÓN DE UN SISTEMA DE DETECCIÓN DE INTRUSOS PARA EL INAH. 32

INAH

Agosto del 2008


Página 3

Página 9. METODOLOGÍA PARA EVALUAR SISTEMAS INFORMÁTICOS EN EL INAH. 41 10. ANEXOS. 46 11. AUTORIZACIONES. 49

INAH

Agosto del 2008


Página 4

1. INTRODUCCIÓN Los avances experimentados en el ámbito tecnológico, particularmente en el relativo a las tecnologías de la información, y la evidente penetración que éstas han tenido en prácticamente todos los campos de la actividad humana han provocado el uso cada vez más extendido de los recursos informáticos. En el caso de las organizaciones, tanto públicas como privadas, el uso masivo de estos recursos se ha llegado a convertir en un modelo mediante el cual el mayor grado de tecnificación, por sí mismo genera organizaciones más eficientes. Efectivamente la tecnología se presenta como una de las herramientas potencialmente más útiles para alcanzar, con un mayor nivel de eficiencia, los objetivos organizacionales. Sin embargo es importante considerar que contar con la infraestructura o los recursos informáticos adecuados es necesario pero no basta para alcanzar la eficiencia; para ello, resulta fundamental la definición de un patrón que permita el aprovechamiento homogéneo de este tipo de recursos, y transitar así del uso aislado de la computadora como herramienta de productividad personal, al uso sistémico de las mismas como herramienta de productividad institucional y de seguridad de servicios informáticos. El Instituto Nacional de Antropología e Historia ha comprendido esta necesaria evolución incorporándola incluso dentro su Programa de Trabajo 2007-2012 como una línea de acción enmarcada dentro de la innovación organizacional, señalando así la importancia de “incorporar aspectos tecnológicamente innovadores en el desarrollo de las actividades sustantivas y adjetivas, optimizando los procesos y promoviendo la transparencia de la gestión”. En este sentido, la Coordinación Nacional de Recursos Materiales y Servicios, emite el presente documento de interés general con el fin de establecer los lineamientos que promuevan un aprovechamiento homogéneo de la infraestructura tecnológica y de los servicios de valor agregado que por medio de ella se ofrecen, entendidos ambos elementos como un todo y denominados en el documento como recursos informáticos. Asimismo, al reconocer que los recursos informáticos resguardan y transportan la información que el Instituto genera o de la cual hace uso, las políticas aquí definidas tienden, de manera implícita, a señalar los criterios para su correcto almacenamiento e intercambio, con el fin de garantizar su confidencialidad, integridad, y disponibilidad. La seguridad de la información y los equipos que la resguardan se convierte así en un factor preponderante.

INAH

Agosto del 2008


Página 5

Debido a la naturaleza dinámica de los recursos informáticos, este “Manual de Políticas de Seguridad de Servicios Informáticos del INAH”, será enriquecido de manera continúa y respaldado mediante el establecimiento de políticas específicas, procedimientos, prácticas recomendadas, estándares, y herramientas de apoyo. Es responsabilidad de las dependencias y entidades de la Administración Pública Federal establecer normas y lineamientos de operación que faciliten y eficienten su funcionamiento y coadyuven de manera importante en el cumplimiento de los objetivos institucionales y atribuciones conferidas. Por tal motivo es importante subrayar que el presente Manual, tiene un carácter normativo y a la vez de difusión, implantación y apoyo a los usuarios del mismo. En tanto no existan disposiciones de la Administración Pública Federal que impliquen cambios en el mismo, continuará la implantación de este Manual, en caso contrario la Coordinación Nacional de Recursos Materiales y Servicios del Instituto emitirá las modificaciones pertinentes.

INAH

Agosto del 2008


Página 6

2. OBJETIVO Contar con un instrumento administrativo en las áreas del Instituto Nacional de Antropología e Historia, que permita normar, difundir y aplicar, las políticas y lineamientos recomendados para garantizar la seguridad y el uso adecuado y homogéneo de los recursos informáticos institucionales y de la información que ellos resguardan o transportan, señalando claramente los derechos y obligaciones que asumen los usuarios de los mismos.

INAH

Agosto del 2008


Página 7

3. ÁMBITO DE APLICACIÓN Corresponde al Instituto Nacional de Antropología e Historia, a la Secretaría Administrativa y a la Coordinación Nacional de Recursos Materiales y Servicios, a través de la Dirección de Procesos y Servicios Informáticos y los diferentes Centros INAH, la aplicación, instrumentación y difusión del presente Manual para atender la seguridad de los servicios informáticos en el Instituto. La observancia y aplicación de los lineamientos aquí contenidos es de carácter obligatorio y queda bajo la estricta responsabilidad de los Titulares y Administradores de las áreas y Unidades Administrativas del Instituto. Son sujetos de la presente normatividad, los Servidores Públicos que se encuentren activos en las áreas y Unidades Administrativas que conforman al Instituto y que son responsables del manejo de este tipo de seguridad de servicios informáticos.

INAH

Agosto del 2008


Página 8

4 FUNDAMENTO LEGAL - Constitución Política de los Estados Unidos Mexicanos. LEYES - Ley de Adquisiciones y Obras Públicas. - Ley Federal sobre Monumentos y Zonas Arqueológicos, Artísticos e Históricos. - Ley Federal de Responsabilidades de los Servidores Públicos. - Ley de Adquisiciones, Arrendamientos y Servicios del Sector Público. - Ley General de Bienes Nacionales. - Ley Orgánica del Instituto Nacional de Antropología e Historia. - Ley Orgánica de la Administración Pública Federal. REGLAMENTOS - Reglamento de la Ley Federal sobre Monumentos y Zonas Arqueológicos, Artísticos e Históricos. ACUERDOS - Acuerdo por el que se establecen normas mínimas de seguridad para la protección y resguardo del Patrimonio Cultural que albergan los Museos.

INAH

Agosto del 2008


Página 9

- Acuerdo por el que se establecen normas generales de seguridad para los Museos del INAH. - Acuerdo por el que se crea la Comisión Nacional para la Preservación del Patrimonio Cultural de la Nación. DECRETOS - Decreto de Austeridad. - Decreto por el que se reforma la Ley Orgánica del Instituto Nacional de Antropología e Historia. OTROS - Condiciones Generales de Trabajo del INAH. - Plan Nacional de Desarrollo 2006-2012. - Manual de Normas y Procedimientos de la Dirección de Procesos y Servicios Informáticos. - Manual de Políticas y Operación para el uso de computadoras portátiles. - Manual de Políticas y Lineamientos para el respaldo de información de los sistemas informáticos institucionales en servidores. - Procedimiento de ingreso y registro de nuevos usuarios a la paginah. - Lineamientos específicos para la aplicación y seguimiento de las medidas de austeridad y disciplina del gasto de la APF. - Nuevos Lineamientos de la Ley de Austeridad. - Código de Ética de los Servidores Públicos de la Administración Pública Federal. - Código de Conducta del Instituto Nacional de Antropología e Historia.

INAH

Agosto del 2008


Página 10

5. DISPOSICIONES GENERALES • El presente instrumento normativo tiene por objeto establecer las políticas, bases y lineamientos

generales en materia de seguridad en los servicios informáticos. • Corresponde al Instituto Nacional de Antropología e Historia, a la Secretaria Administrativa, a

través de la Coordinación Nacional de Recursos Materiales y Servicios y a la Dirección de Procesos y Servicios Informáticos el manejo de las políticas y lineamientos recomendados para garantizar la seguridad y el uso adecuado de los recursos informáticos institucionales y de la información que ellos resguardan o transportan, así como establecer las condiciones y criterios para su correcto almacenamiento e intercambio con el fin de garantizar su confidencialidad, integridad y disponibilidad.

• Debido a la naturaleza dinámica de los recursos informáticos, este “Manual de Políticas de

Seguridad de Servicios Informáticos del INAH”, será enriquecido de manera continúa y respaldado mediante el establecimiento de políticas específicas, procedimientos, prácticas recomendadas, estándares, y herramientas de apoyo.

• En lo referente al personal del Instituto Nacional de Antropología e Historia que maneja y utiliza

los servicios y recursos informáticos, éstos deberán ser capacitados por la Coordinación Nacional de Recursos Materiales Y Servicios y la Dirección de Procesos y Servicios Informáticos conjuntamente con la Coordinación Nacional de Recursos Humanos a través de personal especializado en la materia.

• Cualquier omisión al cumplimiento de las normas y procedimientos de este manual dará lugar a

que se finquen las sanciones y responsabilidades que se establecen en: Ley Federal de Responsabilidades Administrativas de los Servidores Públicos y las Condiciones Generales de Trabajo del Instituto Nacional de Antropología e Historia.

INAH

Agosto del 2008


Página 11

6. LINEAMIENTOS ESPECÍFICOS

6.1 DE LAS COMPUTADORAS (PC) • Todo equipo de cómputo que se entrega a las áreas administrativas y Centros INAH deberá

contar como seguridad, con un número de inventario asignado por la Coordinación Nacional de Recursos Materiales y Servicios.

• Todas las áreas y unidades administrativas del INAH, deberán efectuar el inventario de sus

equipos de cómputo por lo menos una vez al año enviando el listado correspondiente a la Dirección de Procesos y Servicios Informáticos.

• Ante todo robo o extravío de equipo de cómputo, el responsable del área o unidades

administrativas deberá levantar una acta de hechos e informar a las Coordinaciones Nacionales de Recursos Materiales y Servicios y de Asuntos Jurídicos para los trámites legales procedentes.

• La Dirección de Procesos y Servicios Informáticos supervisará, que toda la paquetería de

cómputo que está instale en los equipos cuente con licencia de uso correspondiente. • Es obligación de la Dirección de Procesos y Servicios Informáticos, monitorear la existencia de

software no autorizado, por lo que en caso de existir esta anomalía deberá proceder a su borrado inmediato y emitir un extrañamiento para la unidad administrativa.

• Como medida de seguridad, la Dirección de Procesos y Servicios Informáticos será la

responsable de atender los reportes de los Centros de trabajo del INAH en el área metropolitana así como implantar las soluciones pertinentes respecto a la reparación, mantenimiento y/o autorización del equipo informático bajo su resguardo debiendo constar por escrito en los formatos prestablecidos y conforme a normatividad vigente.

• Terminados los trabajos encomendados, el personal técnico de la Dirección de Procesos y

Servicios Informáticos será el responsable de comprobar el correcto funcionamiento de los equipos reparados en presencia de los resguardantes correspondientes y recabar su firma de conformidad en los formatos prestablecidos.

INAH

Agosto del 2008


Página 12

6.2 DE LOS SERVIDORES • La administración de los servidores será facultad exclusiva de la Coordinación Nacional de

Recursos Materiales y Servicios y de la Dirección de Procesos y Servicios Informáticos a través de personal debidamente autorizado.

• La definición de lineamientos sobre la administración y seguridad de los servidores será facultad

exclusiva de la Coordinación Nacional de Recursos Materiales y Servicios y de la Dirección de Procesos y Servicios Informáticos.

• El alta, baja y asignación de privilegios de usuarios de un servidor será facultad exclusiva del

personal autorizado por la Coordinación Nacional de Recursos Materiales y Servicios, por lo que queda estrictamente prohibido asignar claves de acceso con características de administrador o super-usuario a personal no autorizado. (Este párrafo no aplica para todos los servidores de la nómina y de la ENAH, ya que ellos tienen el superusuario de este servidor).

• La seguridad e integridad de los servidores será responsabilidad del área en que se encuentra

resguardado. • Todos los servidores en uso deben contar con un servicio ininterrumpido de corriente o “No

Break”. (cabe aclarar que no todos los servidores cuentan con UPS). • Queda prohibido colocar servidores en áreas de tránsito. • Queda prohibido desconectar accesorios o complementos que permitan el correcto

funcionamiento de los servidores. • Se deberán seguir los procedimientos de apagado que para ese efecto se señalan en el manual

de operación de cada servidor. • Para efectos del aprovechamiento máximo de los servidores instalados en cada área, se

enuncian todos los servicios adicionales, que se podrán instalar en ellos. � Proxy : Con este servicio se podrá restringir la visualización de páginas web, por usuario o por

área, así también agilizar la navegación al guardar en cache las páginas no dinámicas, este servicio se puede implementar en NT y Linux.

� Correo electrónico interno : Permite intercambio de correo localmente. (Linux y Solaris).

INAH

Agosto del 2008


Página 13

� DNS (Domain Name Server): Permite mediante TCP/IP identificar las máquinas por un nombre

en vez de una dirección ip. (NT, Linux, Solaris). � Base de datos : Permitirá almacenar la información generada por uno o más sistemas locales.

(Linux, Solaris). � Servidor de impresión: Si se cuenta con impresoras, éstas se podrán administrar desde al

servidor y definir permisos por usuario. (NT, Linux, Solaris). � Servidor de archivos : Cuando un grupo de personas manejan información común, ésta puede

estar almacenada en un servidor y en cualquier momento un grupo de personas podrán hacer uso de la misma.

� Servidor de ftp: Este servicio nos permite tener la información disponible en cualquier lugar de

la red interna. � Sistema SNORT: Sistema de detección de intrusos en tiempo real. � Servidor Web : Equipo encargado del alojamiento de páginas Web programadas en html,php. � Servidor de aplicaciones : Equipo encargado de mantener en línea los sistemas institucionales

del INAH programados en Java principalmente. • La Coordinación Nacional de Recursos Materiales y Servicios se reserva el derecho de aprobar

o bien remover servicios o productos instalados en los servidores que no se encuentren entre los arriba previstos. La configuración y administración de los elementos mencionados anteriormente es facultad exclusiva de la Coordinación.

INAH

Agosto del 2008


Página 14

6.3 DE LAS REDES • La red institucional será administrada solamente por personal autorizado por la Coordinación

Nacional de Recursos Materiales y Servicios y de la Dirección de Procesos y Servicios Informáticos. En el caso de las redes locales, esta responsabilidad recae en el enlace informático.

• Las altas, bajas y asignación de permisos de acceso a la red (institucional o local) sólo podrán

ser realizadas por personal autorizado por la Coordinación Nacional de Recursos Materiales y Servicios y de la Dirección de Procesos y Servicios Informáticos o bien por el enlace informático respectivamente.

• Queda prohibido compartir las claves de usuario y contraseña, llaves físicas y otros elementos

de seguridad asignados personalmente, dado que su uso supone lo hecho como realizado por aquel a quien se asignó, sin posibilidad de deslindar responsabilidades.

• Es responsabilidad de los usuarios garantizar la seguridad de su información, realizando

periódicamente respaldos, con la finalidad de evitar pérdidas por causas fortuitas. • Los usuarios deberán garantizar la seguridad de su información, compartiéndola a través de la

red sólo con personal que de acuerdo a su actividad institucional pueda hacer uso de ella, manejando para ello esquemas de acceso personalizado o el uso de contraseñas.

• Cualquier intento de acceso no autorizado, mediante cualquier medio lógico o físico será

considerado como un intento de ataque y será sancionado en los términos de las disposiciones administrativas aplicables.

• Será considerado como un intento de ataque el uso o detección de software dirigido al espionaje

o sabotaje, así como herramientas que saturen el flujo de la red. • Será considerado como un ataque cualquier daño de los medios físicos de transmisión de la

infraestructura informática.

INAH

Agosto del 2008


Página 15

6.4 DE LOS SISTEMAS Y BASES DE DATOS • Se considera área propietaria de los datos aquella que es poseedora de un acervo y define sus

políticas de consulta y difusión para una implantación específica de algún sistema ya sea institucional o de ámbito restringido.

• La Coordinación Nacional de Recursos Materiales y Servicios y la Dirección de Procesos y

Servicios Informáticos deberán solicitar al área propietaria de los datos la designación de un responsable administrador del sistema a fin de que vigile y salvaguarde el cumplimiento de las disposiciones que a este respecto se emitan.

• La alta, actualización y baja de usuarios se llevará a cabo por parte de la Coordinación Nacional

de Recursos Materiales y Servicios y de la Dirección de Procesos y Servicios Informáticos a solicitud del área propietaria de los datos, para el caso de los sistemas institucionales, mientras que para el caso de los sistemas de ámbito restringido esta responsabilidad recaerá en los administradores del sistema.

• Los privilegios deberán apegarse a 3 perfiles básicos, 1.- Operadores del sistema, 2.- Usuarios

institucionales y 3.- Público en general. Sólo los dos primeros casos requieren registro de usuario y contraseña por lo que se determinará para cada sistema el conjunto de información a que puede tener acceso cada perfil de privilegios.

• La Coordinación Nacional Recursos Materiales y Servicios, la Dirección de Procesos y Servicios

Informáticos o bien, el administrador del sistema según sea el caso, otorgará los privilegios de uso en estricto apego a lo solicitado por el área propietaria de los datos.

• El administrador del sistema deberá vigilar la correcta operación del mismo mediante el reporte

oportuno y bajo los procedimientos establecidos de los casos de falla. Ya sea por motivos de índole técnico o bien el surgimiento de nuevos requerimientos.

• A excepción de los sistemas en que por su naturaleza sea estrictamente indispensable, queda

prohibida la colocación de código fuente en los servidores en producción. Los códigos fuente de los programas deberán estar a resguardo de la Coordinación Nacional de Recursos Materiales y Servicios o del administrador del sistema según sea el caso.

• El acceso a los sistemas institucionales deberá ser exclusivamente mediante un control de

accesos que garantice la seguridad tanto de los sistemas como sus datos, así como la infraestructura requerida. Las medidas que con este fin se implementen serán responsabilidad de la Coordinación Nacional de Recursos Materiales y Servicios.

INAH

Agosto del 2008


Página 16

• Queda estrictamente prohibida cualquier forma de comercio, intercambio o envío de la

información generada por los sistemas institucionales o de ámbito restringido salvo en los casos y modalidades que la actividad institucional requiera. La decisión respecto de la pertinencia de estas acciones quedará a criterio del área propietaria de los datos.

• Queda estrictamente prohibida cualquier alteración a los registros contenidos en los sistemas

por causas personales o intereses particulares o fuera de los mecanismos y requerimientos institucionales.

• Deberá incluirse en las bases de adquisición de los servicios de desarrollo de sistemas la

inclusión de requerimientos de garantías que protejan de errores o vicios ocultos. • Para el caso de los sistemas de ámbito restringido los administradores, deberán remitir a la

Coordinación Nacional de Recursos Materiales y Servicios y a la Dirección de Procesos y Servicios Informáticos un reporte anual a mas tardar el último día del mes de septiembre a fin de que se incluya o actualice la información en el inventario de sistemas. Dicho informe deberá contener los siguientes elementos: nombre del sistema, usuarios principales, herramienta de desarrollo (indicando versión), base de datos y descripción general.

• Para los sistemas institucionales, la Coordinación Nacional de Recursos Materiales y Servicios y

la Dirección de Procesos y Servicios Informáticos deberán realizar un respaldo cada vez que se libere una versión de sistema a fin de garantizar la integridad de los programas. En el caso de los sistemas de ámbito restringido, esta responsabilidad queda a cargo del administrador del centro de trabajo y el administrador del sistema.

• Todo sistema deberá contar con los siguientes elementos: manual, diagrama E/R, copia de los

programas fuente, objeto y base de datos. La posesión de lo anterior correrá a cargo del Administrador del sistema o bien de la Coordinación Nacional de Recursos Materiales y Servicios.

• Queda prohibido compartir las claves de acceso, llaves físicas y otros elementos de seguridad

asignados personalmente, dado que su uso supone lo realizado como realizado por aquel a quien se asignó, sin posibilidad de deslindar responsabilidades.

• La definición de lineamientos sobre la administración y seguridad de la base de datos general

será facultad exclusiva de la Coordinación Nacional de Recursos Materiales y Servicios y de la Dirección de Procesos y Servicios Informáticos. Para el caso de las bases de datos particulares la administración y seguridad quedará a cargo del administrador del sistema al cual correspondan o bien del usuario responsable del acervo del que se trate.

INAH

Agosto del 2008


Página 17

• La alta, baja y asignación de privilegios de usuarios de la base de datos general será facultad

exclusiva del personal autorizado por la Coordinación Nacional de Recursos Materiales y Servicios y de la Dirección de Procesos y Servicios Informáticos, por lo que queda estrictamente prohibido asignar claves de acceso con características de administrador o super-usuario a personal no autorizado.

• La base de datos general, será administrada y operada exclusivamente por personal autorizado

por la Coordinación Nacional de Recursos Materiales y Servicios y de la Dirección de Procesos y Servicios Informáticos. Las bases de datos particulares de los sistemas de ámbito restringido serán gestionadas por los administradores de los sistemas.

• La definición del diseño y estructura de la base de datos general será facultad exclusiva de la

Coordinación Nacional de Recursos Materiales y Servicios y de la Dirección de Procesos y Servicios Informáticos. Para el caso de desarrollos realizados por terceros o por personal interno del Instituto diferente al de la Coordinación, el diseño y estructura deberá contar invariablemente con el visto bueno de la Coordinación e integrarse al esquema de seguridad institucional, salvo en los casos en que la Coordinación autorice por escrito o bien las bases de adquisición correspondientes establezcan algo distinto.

• El contenido de las bases de datos, es decir toda información que sea almacenada es

responsabilidad del área que la proporciona. • La Coordinación Nacional de Recursos Materiales y Servicios y la Dirección de Procesos y

Servicios Informáticos deberán realizar un respaldo total del contenido de la base de datos general con una periodicidad mínima trimestral.

• Para el caso de la base de datos general o de bases de datos particulares que correspondan

con sistemas que cumplan ciclos de proceso o se consideren transaccionales, los respaldos se realizarán mediante un calendario que para el efecto se deberá desarrollar por parte de la Coordinación Nacional de Recursos Materiales y Servicios o del administrador del sistema según sea el caso.

INAH

Agosto del 2008


Página 18

• En caso de pérdida de información en las bases de datos del Instituto Nacional de Antropología

e Historia la Subdirección de Bases de Datos, Internet e Intranet deberá llevar a cabo las siguientes acciones:

- Elabora oficio comunicando la pérdida de información en base de datos dirigido al Coordinador Nacional de Recursos Materiales y Servicios con copia para el Director de Procesos y Servicios Informáticos.

- En paralelo, el personal de la Subdirección de Bases de Datos, Internet e Intranet, trata de recuperar la información pérdida. - Informa a la Dirección de Procesos y Servicios Informáticos cuanta información y hasta que fecha se recuperó la información. - Solicita al área del INAH generadora de la información actualice los respaldos con la información faltante en la base de datos.

- En caso de que se compruebe que fue una intrusión ó un atentado a los servicios informáticos del INAH, se elabora oficio solicitando su intervención a la Coordinación Nacional de Asuntos Jurídicos.

- Se dará seguimiento permanente por parte de la Subdirección de Bases de Datos, Internet e Intranet, hasta recuperar la información perdida.

INAH

Agosto del 2008


Página 19

6.5 DEL CORREO ELECTRÓNICO El correo electrónico es una herramienta de comunicación que coadyuva al logro de los objetivos institucionales al permitir contar con un buzón de mensajería virtual por medio del cual se envían y/o reciben diferentes tipos de información. Para efectos de la política institucional, el correo electrónico se considera un servicio al cual se podrá tener acceso vía autorización del titular del centro de trabajo del empleado que requiera utilizarlo. • Queda prohibido el uso de cuentas de correo electrónico del Instituto para cualquier actividad

que sea lucrativa o comercial de carácter individual, privado, para negocio particular o en perjuicio de terceros.


Servicios Informáticos son responsables del correcto funcionamiento de este servicio, por lo que se reserva el derecho de suspenderlo parcial o totalmente así como cancelarlo en los casos o situaciones que pongan en riesgo la estabilidad del mismo o los recursos informáticos del Instituto.

• Queda prohibido el envío de archivos confidenciales a través del correo electrónico a menos que

se utilicen técnicas de criptografía y será responsabilidad del usuario determinar el nivel de confidencialidad y la pertinencia del destinatario.

• En el caso del correo electrónico consultado vía web, el usuario deberá depurar el contenido de

su cuenta a fin de no rebasar una cuota de 10 MB máximo. • La Coordinación Nacional de Recursos Materiales y Servicios, a través de personal autorizado,

podrá borrar el contenido de las cuentas que superen la cuota establecida o bien no sean consultadas por su usuario asignado.

• Cualquier uso indebido durante la sesión abierta será responsabilidad del propietario de la

contraseña.

INAH

Agosto del 2008


Página 20

6.6 DE INTRANET E INTERNET • El acceso a Intranet e Internet es un servicio que se presta a los usuarios de los recursos

informáticos del Instituto con el objetivo de poner a su alcance los diferentes acervos de información disponibles en este medio con al finalidad de coadyuvar al logro de sus objetivos específicos en el marco institucional.


Servicios Informáticos son responsables del correcto funcionamiento de este servicio, por lo que se reservan el derecho de suspenderlo parcial o totalmente así como cancelarlo en los casos o situaciones que pongan en riesgo la estabilidad del mismo o los recursos informáticos del Instituto.

• Las distintas áreas del Instituto podrán hacer uso de la Intranet como un medio de divulgación

interna de acuerdo a las modalidades que en cada caso se acuerden con la Coordinación Nacional de Recursos Materiales y Servicios y la Dirección de Procesos y Servicios Informáticos, por lo que la información publicada en Intranet es responsabilidad del área que la proporciona.

• Queda prohibido el uso de la Intranet para fines personales o de lucro. • Los usuarios de los foros de discusión deberán observar una conducta respetuosa y dentro de

los márgenes institucionales. • Los foros de discusión deberán limitarse exclusivamente a los ámbitos de competencia del

Instituto. • Es competencia de la Coordinación Nacional de Recursos Materiales y Servicios y de la

Dirección de Procesos y Servicios Informáticos el proporcionar acceso a las personas autorizadas a fin de alimentar las secciones que conforman la Intranet.

• Los Titulares de las Áreas y Unidades Administrativas son responsables de designar a aquellas

personas que de acuerdo a sus funciones institucionales deban de hacer uso de Internet.

INAH

Agosto del 2008


Página 21

6.7 DE VIOLACIÓN DE SEGURIDAD EN SERVICIOS INFORMÁT ICOS • En caso de existir alguna violación de tipo accidental , invariablemente se deberá llenar el

reporte “Informe de incidentes” (ver anexo 1, pág. 46 ) por el personal de la Dirección de Procesos y Servicios Informáticos, en donde se describan los daños causados y su solución e informando al jefe inmediato superior de la persona que realizo dicha violación así como al Director de Procesos y Servicios Informáticos.

• En caso de existir alguna violación de tipo intencional pasiva invariablemente se deberá llenar

el reporte “Informe de incidentes” (ver anexo 1) por el personal de la Dirección de Procesos y Servicios Informáticos, en donde se describan los daños causados y su solución e informando al jefe inmediato superior de la persona que realizo dicha violación así como al Director de Procesos y Servicios Informáticos para que éste a su vez levante una acta de hechos donde informe lo sucedido.

• En caso de existir alguna violación de tipo intencional activa invariablemente se deberá llenar

el reporte “Informe de incidentes” (ver anexo 1) por el personal de la Dirección de Procesos y Servicios Informáticos, en donde se describan los daños causados y su solución e informando al jefe inmediato superior de la persona que realizó dicha violación así como al Director de Procesos y Servicios Informáticos para que éste a su vez levante una acta de hechos donde informe lo sucedido.

• Invariablemente el (anexo 1) , será requisitado y firmado por personal de la Dirección de

Procesos y Servicios Informáticos y firmado por el titular del área afectada. • La investigación técnica y dictamen, será realizado por el personal de la Dirección de Procesos y

Servicios Informáticos. • El Director de Procesos y Servicios Informáticos levantara el acta de hechos donde informa de lo

sucedido y realizará los trámites pertinentes ante las instancias gubernamentales correspondientes y la Coordinación Nacional de Asuntos Jurídicos del INAH.

INAH

Agosto del 2008


Página 22

6.8 DE LAS ÁREAS DE RESGUARDO FÍSICO Y CENTROS DE C ONTROL DE EQUIPOS INFORMÁTICOS

• El o las áreas o sitios destinados para resguardo físico y centros de control de equipos

informáticos, (servidores, modems, PC, Etc.) que se definan en el área de trabajo o Centro INAH correspondiente, deberán apegarse a las normas y características de configuración, clima, conexiones eléctricas, de superficie, de protección sísmica, topográficas, ecológicas y de acceso que determine la Coordinación Nacional de Recursos Materiales y Servicios a través de la Dirección de Procesos y Servicios Informáticos.

• El área o sitio destinado para resguardo físico y centro de control de sistemas informáticos

deberá localizarse en una zona alejada de maquinaria, carpintería y laboratorios que puedan ser generadores de sobre calentamiento, inflamabilidad y explosión.

• El área de resguardo físico y centro de control de sistemas informáticos, deberá estar alejado de

salones de clases o bien de conglomeraciones de alumnos o personal del Instituto (oficinas, ventanillas de inscripción, laboratorios, salas de exposiciones museográficas, etc.).

• El área deberá estar construido, preferentemente, de material sólido (piedra ó ladrillo) con las

características que consideren los especialistas. • El área debe reunir como mínimo las condiciones siguientes: Contar con clima artificial

adecuado, pisos antiderrapantes y sellados, mesas de trabajo, instalaciones eléctricas seguras y reforzadas, materiales de construcción no inflamables, estantería en buen estado, buena ventilación, buena iluminación, sistema de aspersión contra incendios y debe mantenerse limpio y en orden.

• Debe contar con entradas y salidas de acceso que facilite el movimiento de personal en caso de

alguna contingencia. • Definir ruta de evacuación alternativa así como la señalización correspondiente. • Cualquier eventualidad como goteras, lamparas fundidas, cortos circuitos o cualquier otro evento

deberá ser atendido inmediatamente.

INAH

Agosto del 2008


Página 23

6.9 DEL SISTEMA DE DETECCIÓN DE INTRUSOS (Sistema S NORT) • La Coordinación Nacional de Recursos Materiales y Servicios a través de la Dirección de

Procesos y Servicios Informáticos tiene la obligación de proteger y salvaguardar la información, documentos y registros de las bases de datos del INAH, por tal motivo se cuenta con un sistema de detección de intrusos (Sistema SNORT) que nos permite recabar información de distintas fuentes del servidor en el que se instala, para alertar de una posible intrusión en nuestras redes o maquinas a nivel de seguridad preventiva.

• El Sistema de Detección de Intrusos (Sistema SNORT) está instalado dentro de los servidores

por lo tanto debe cumplir con las políticas de seguridad mencionadas para los servidores en puntos anteriores.

• El Sistema de Detección de Intrusos (Sistema SNORT) será administrado y controlado

solamente por personal autorizado de la Coordinación Nacional de Recursos Materiales y Servicios y de la Dirección de Procesos y Servicios Informáticos.

• El Sistema de Detección de Intrusos (Sistema SNORT) es un sistema en tiempo real que

permanece constantemente chequeando el sistema y buscando alguna señal de un incidente de seguridad e inmediatamente provocaran una alarma que se adapta a las medidas de seguridad preventiva que requiere el INAH.

• Una vez que el administrador del sistema SNORT detecta algo en el sistema, genera una alarma

que es vista y analizada por el personal de la Dirección de Procesos y Servicios Informáticos correspondientes.

• El personal, técnico o administrador de la Dirección de Procesos y Servicios Informáticos que se

presente en las diferentes áreas o Centros INAH donde se detecte la incidencia o violación de información, deberá identificarse con la credencial actualizada del Instituto Nacional de Antropología e Historia.

• Si se determina que existe una violación se levanta un informe para la Dirección de Procesos y

Servicios y Servicios Informáticos donde se comunican los pormenores de esta incidencia. • Cualquier intento de acceso no autorizado, mediante cualquier medio lógico o físico será

considerado como un intento de ataque y será sancionado en los términos de las disposiciones administrativas aplicables.

INAH

Agosto del 2008


Página 24

6.10 DEL RESPALDO Y RECUPERACIÓN DE INFORMACIÓN INS TITUCIONAL Del respaldo • La Coordinación Nacional de Recursos Materiales y Servicios y la Dirección de Procesos y

Servicios Informáticos serán las áreas responsables para establecer los lineamientos técnicos y políticas para el respaldo de información procesada en los diversos sistemas informáticos y controlados por los servidores del Instituto con el objetivo de garantizar su existencia y conservación.

• La Dirección de Procesos y Servicios Informáticos deberá designar un administrador para cada

uno o varios de los servidores existentes quienes serán a su vez corresponsables entre otros aspectos de respaldar, verificar y controlar la información institucional.

• Es obligación de los administradores de cada servidor verificar que los respaldos se efectúen

completa y correctamente y que esto se refleje en la bitácora de respaldo de información. • Invariablemente para respaldar la información institucional, considerada como “crítica” se deberá

ejecutar un script que realice el respaldo automático en el disco duro de respaldo que existe para el efecto.

• La Subdirección de Soporte Técnico, Redes y Atención a Usuarios deberá proveer por lo menos

cada tres meses de recursos informáticos para el respaldo de información, tales como: discos duros de al menos 120 GB, discos regrabables (DVD,S), quemadores para guardar información, o bien cintas de respaldo (5HDLT de 240 GB por año).

• La información a respaldar, considerada como critica es la siguiente: Bases de datos, archivos

de configuración, tablas de passwords, tablas de contraseñas y grupos, archivos de configuración de intranet, archivos de configuración tomcat, DNS, DHCP, correos de usuarios etc.

• El titular de la Dirección de Procesos y Servicios Informáticos, si así lo considera pertinente

definirán e implantaran nuevos calendarios de respaldo de información por cada uno de los servidores y tipo de información, el cual será dado a conocer a los administradores de servidores.

• Los recursos a respaldar variaran de acuerdo al espacio ocupado en disco, si éste llega a

terminarse se necesitará de otro disco o bien cintas o discos regrabables, de no ser así los respaldos no estarían completos.

INAH

Agosto del 2008


Página 25

• Todos los discos duros de respaldo que con que cuenta la Dirección de Procesos y Servicios

Informáticos deberán estar concentrados en un lugar físico diferente de donde se encuentra la información electrónica crítica.

De la recuperación OBJETIVO Realizar las pruebas necesarias para garantizar la integridad de la información respaldada al momento de recuperarla. RESPONSABILIDADES Verificar que los respaldos de información realizados sean completos y funcionales. PROCEDIMIENTOS

1. Montar un servidor con el Sistema Operativo adecuado para la recuperación de la información.

2. Actualizar el Sistema Operativo y aplicas parches necesarios. 3. Realizar los siguientes pasos dependiendo del o los servicios que se quieran recuperar.

a) Correo Electrónico. • Instalar los siguientes rpm´s o source´s: cyrus, horde, postfix, dovecot, MailScanner,

named. • Recuperar del respaldo los directorios: /etc/postfix, /etc/MailScanner. • Cargar la información respaldada de LDAP. • Configurar la parte de la SAN para recuperar los correos de los usuarios que

permanezcan en el servidor. • Configurar y recuperar los datos del respaldo referente al DNS (named.conf y el

directorio /var/named). • Recuperar el directorio horde y reconfigurar la parte de Correo en el Web.

INAH

Agosto del 2008


Página 26

b) Aplicaciones

• Instalar los siguientes rpm´s o source´s: apache, tomcat, jdk. • Recuperar los archivos principales de configuración (httpd.conf, vhostinah.conf,

Server.xml, web.xml, mod_jk.conf, worker.properties). • Recuperar la información de la SAN o de los respaldos de páginas y aplicaciones. • Levantar los servicios y hacer las pruebas pertinentes. • En caso de haber cambiado de IP´s hacer los cambios necesarios en DNS´s.

c) Bases de Datos

• Instalar la Base de Datos Oracle 10g y mysql versión 5. • Crear el ambiente adecuado para las bases de datos en el caso de Oracle (INAH e

INAHDESA). • Crear tablespaces y usuarios. • Cargar la información de todos los esquemas. • Configurar la Base de datos mysql y cargar la información de todas las bases. • Configurar archivos de comunicación como tnsnames.ora.

d) Servicios de Red ( squid, dhcp ).

• Instalar los rpm´s o source´s de squid y de dhcp en caso de que no lo tenga. • Recuperar archivos principales de respaldos (dhcp.conf, squid.conf con sus directorios

de accesos).

4. En caso de interrupción de algunos de los servicios arriba mencionados se enviará un mensaje a los usuarios avisando sobre el incidente y que se estará trabajando para replicarlo en otro servidor.

5. Al término de la puesta en marcha del equipo alterno se procederá a revisar las fallas del equipo reemplazante y proceder a solucionar el problema ya sea de hardware o software.

6. Diagrama “de recuperación de la Información”. Ver (Anexo 2) pág. 47 .

INAH

Agosto del 2008


Página 27

6.11 DEL CONTROL DE CONTRASEÑAS Políticas del control de contraseñas. Existe un control interno que consiste en: Hay un encargado de administrar y cambiar las contraseñas de todos los servidores, en un período no mayor de tres meses, mismos que son resguardados en un sobre cerrado, por ella en su escritorio bajo llave, al cual solo tiene acceso adicionalmente el Subdirector de Bases de Datos, Internet e Intranet. Es importante precisar que cada contraseña vigente es conocida por lo menos por dos de los integrantes de esta área. Para dicho control tampoco se genera una bitácora o control de cambios como medida de seguridad. En cuanto a bitácoras, estas son generadas automáticamente por cada servidor, al momento de activarse un acceso al sistema interno, mediante el cual se pueden monitorear acceso y cambios en la configuración o datos. Es importante señalar que todos los equipos pueden ser administrados de forma remota, para lo cual, se cuenta con equipos específicamente configurados para tal fin y se utiliza el método de accesos SSH (Secure Shell) servicio al que únicamente tiene acceso el personal de la citada área.

Políticas y procedimientos de acceso lógico a los s ervidores Existe un control interno que consiste en: Los equipos pueden ser administrados de forma remota, accediendo a ellos por medio de SSH, y se restringe dicho acceso por reglas de firewall, de manera que solo personal autorizado puede conectarse a los servidores, y en caso de necesitar un acceso remoto, se hace por medio de VPN´s

INAH

Agosto del 2008


Página 28

7. DEFINICIONES Acervo: Es aquel conjunto de información producto de las actividades propias de la institución. Administrador del Centro Virtual de Documentación: Responsable de la Coordinación Nacional de Recursos Materiales y Servicios encargado de controlar, asesorar y validar el alta de usuarios y otros servicios de la red interna del INAH (INTRANET). Aplicación: Sinónimo de programa. Base de datos: Soporte informático que contenga un acervo, independientemente del tipo de archivo o software en que se encuentre contenido. Base de datos general: Aquella que provea la información de un sistema institucional o bien se conciba con la finalidad de compartirse con otros ámbitos institucionales. Carácter: Símbolo alfanumérico que se muestra en pantalla. Compatibilidad: Capacidad de un dispositivo, programa o adaptador, para funcionar con un modelo determinado de computadora o programa. Computadora : Al equipo informático de plataforma Mac, PC, portátil o de bolsillo. Los presentes lineamientos aplican tanto al hardware como al software de estos equipos. Configuración: Opciones incluidas en la instalación de un programa para que cumpla con las necesidades del usuario. Contraseña (Password): Herramienta de autenticación empleada para identificar a los usuarios autorizados de un programa o de una red. Ejecutar: Poner a funcionar un programa. Explorador: Una aplicación de software que permite ver las páginas WEB. Icono: Símbolo en pantalla que representa un programa, archivo de datos u otra entidad o función de la computadora.

INAH

Agosto del 2008


Página 29

INTERNET: Grupo interconectado de redes que enlaza instituciones académicas, de investigación, gubernamentales y comerciales a nivel mundial. INTERNET EXPLORER: Programa denominado “navegador” y que se utiliza para: Poder visualizar las páginas WEB que se encuentran ubicadas en los diferentes servidores que conforman INTERNET: asimismo, permite revisar el correo electrónico y realizar transferencias de archivos. INTRANET: Red TCP/IP (Protocolo de Control de Transmisión) privada o interna, a veces localizada en algunas organizaciones. Manual: al Manual de Políticas de Seguridad de Servicios Informáticos del INAH. Navegador: Programa utilizado para solicitar y mostrar la información de la World Wide Web. PÁGINA WEB: Páginas de hipertexto (World Wide Web) ó Colección de documentos ligados en INTERNET y las redes TCP/IP privadas. Recurso informático: Conjunto de elementos físicos (hardware) y lógicos (software) que integran la infraestructura (redes, enlaces digitales, nodos, etc.), el equipamiento (servidores, computadoras, impresoras, etc.), así como los servicios que a través de ellos se ofrecen (correo electrónico, Internet, Intranet, bases de datos, sistemas, etc.). Red: Se define como el conjunto de elementos físicos y lógicos que permiten la conectividad y comunicación entre distintas computadoras y servidores propiedad o en uso por parte del Instituto. Esta definición incluye la totalidad de los elementos de hardware y software necesarios para su instalación, entre los que se encuentran: cableado, equipo de comunicaciones, medios de comunicación, tarjetas y periféricos de conexión, así como el software necesario para su operación. Red institucional: Conjunto de redes locales que se encuentran interconectadas y que a través de esta interconección hacen uso de servicios como correo electrónico, Intranet, Internet y el acceso a los sistemas institucionales. Red local: Aquella que se encuentre operando en un centro de trabajo y no se encuentre integrada a la red institucional. Red de computadoras: Es un conjunto de computadoras interconectadas para permitir que una de ellas se comunique con otras a través de un medio físico.

INAH

Agosto del 2008


Página 30

Riesgo: Todas aquellas prácticas que constituyen peligros de daño a los recursos informáticos. Los riesgos se califican: Para efectos del presente manual los riesgos se clasifican en: 1) Lógico – Accidental - Activo 2) Lógico – Accidental – Pasivo 3) Lógico – Intencional – Activo 4) Lógico – Intencional – Pasivo 5) Físico - Accidental - Activo 6) Físico - Accidental – Pasivo 7) Físico - Intencional – Activo 8) Físico - Intencional – Pasivo Se entiende por “riesgo lógico ” al peligro de daño que provenga de los elementos intangibles que conforman los recursos informáticos en uso o propiedad del Instituto. Por contraparte se entiende por “riesgo físico ” al peligro de daño que provenga de elementos físicos. Se entiende por “riesgo accidental ” al peligro de daño sin dolo o mala fe por parte del personal involucrado o se presenta a partir de imponderables, hechos circunstanciales o causas naturales. Se entiende por “riesgo intencional ” al peligro de daño que se presenta acompañado de dolo o mala fe por parte del personal involucrado o con la finalidad de causar algún tipo de daño. Se entiende por “riesgo pasivo ” al peligro de consumación de hechos que no son detectados en función de la falta de evidencias o hechos tangibles que pudieran suponer la realización del mismo. Se entiende por “riesgo activo ” al peligro de consumación o intento de ataque que es detectado en función de la existencia de evidencias o hechos tangibles de la realización del mismo. Servidor: Equipo informático que por sus funciones permite compartir o brindar servicios en el contexto de una red, y/o cuya ingeniería de hardware ha sido creada ex profeso para este fin. Sistema: Conjunto de elementos interrelacionados para el acopio, procesamiento y divulgación de un acervo. Para todo sistema corresponde una base de datos. Sistemas de ámbito restringido: Aquellos que atiendan necesidades particulares de las áreas o unidades administrativas y que no trasciendan las fronteras en su ámbito de competencia. Sistemas institucionales: Aquellos que trascienden el ámbito del área o unidad administrativa responsable de la definición de los criterios de uso de la información (propietario) y que aprovecha la red institucional como un canal de comunicación con sus usuarios.

INAH

Agosto del 2008


Página 31

Sistema SNORT: Es un sistema de detección de intrusos en tiempo real y basado en una red muy potente. Este sistema sigue el planteamiento de colocar una máquina con un interfaz promiscuo que monitorice el tráfico que circula por la red, de este modo SNORT busca patrones que hagan presagiar que se esta desencadenando un ataque sobre la red que éste monitoriza. Usuario: Nombre corto y único con el cual se identificará una persona en el sistema. También se refiere a la persona registrada en el sistema y que hace uso del el. Violación en seguridad de servicios informáticos: Para efectos del presente manual las violaciones en seguridad se clasifican en:

9) Lógica - Accidental - Activo 10) Lógica - Accidental – Pasivo 11) Lógica - Intencional – Activo 12) Lógica - Intencional – Pasivo 13) Física - Accidental - Activo 14) Física - Accidental – Pasivo 15) Física - Intencional – Activo 16) Física - Intencional – Pasivo

Se entiende por “violación lógica” a la intrusión y/o daño que provenga de los elementos intangibles que conforman los recursos informáticos en uso o propiedad del Instituto. Por contraparte se entiende por “ violación física” a la intrusión y/o daño que provenga de elementos físicos. Se entiende por “ violación accidental” a la intrusión y/o daño sin dolo o mala fe por parte del personal involucrado o se presenta a partir de imponderables, hechos circunstanciales o causas naturales. Se entiende por “ violación intencional” a la intrusión y/o daño que se presenta acompañado de dolo o mala fe por parte del personal involucrado o con la finalidad de causar algún tipo de daño. Se entiende por “ violación pasiva” a la intrusión y/o consumación de hechos que no son detectados en función de la falta de evidencias o hechos tangibles que pudieran suponer la realización del mismo. Se entiende por “ violación activa” a la intrusión y/o consumación de ataque que es detectado en función de la existencia de evidencias o hechos tangibles de la realización del mismo. WINDOWS: Sistema operativo de la compañía Microsoft.

INAH

Agosto del 2008


Página 32

8. INSTALACIÓN Y CONFIGURACIÓN DE UN SISTEMA DE DE TECCIÓN DE INTRUSOS PARA

EL INAH

INAH

Agosto del 2008


Página 33

Instalación y Configuración de un Sistema de Detecc ión de Intrusos para el INAH

Introducción ¿Qué es un sistema de detección de intrusos? La seguridad en un sistema podríamos clasificarla de dos modos: activa y preventiva. La seguridad activa de un sistema consiste en protegerlo todo lo posible ante potenciales intentos de abuso del mismo. Un Firewall es un buen ejemplo de seguridad activa, trata de filtrar el acceso a ciertos servicios en determinadas conexiones para evitar el intento de forzamiento desde alguno de ellos. Por otro lado, la seguridad preventiva es aquella que implantamos en nuestro sistema para que nos informe si en el está teniendo lugar una incidencia de seguridad. No pretende proteger el sistema, pretende alertarnos de que algo extraño esta sucediendo en el. Un buen ejemplo de seguridad preventiva es un sistema de detección de intrusos. Un sistema de detección de intrusos es aquel que nos permite recabar información de distintas fuentes del sistema en el que se implanta para alertar de una posible intrusión en nuestras redes o máquinas. La alerta puede ser del hecho de que existe un intento de intrusión, como del modo en el que este se está realizando y en algunos casos por parte de quién esta siendo efectuado. Podemos considerar un sistema de detección de intrusos como un control de auditoria que nos permitirá tomar decisiones a la hora de realizar una auditoria de seguridad de nuestro sistema. Un sistema de detección de intrusos surge como una medida preventiva, nunca como una medida para asegurar nuestros sistemas, ayudan al administrador de dicho sistema a permanecer al tanto de cualquier intención aviesa contra el sistema que administra. Tipos de sistemas de detección de intrusos Llegados a este punto es interesante clasificar de algún modo los distintos sistemas de detección de intrusos. Una primera clasificación puede ser entre sistemas en tiempo real y aquellos que no lo son. Los sistemas en tiempo real permanecerán constantemente chequeando el sistema buscando alguna señal de un incidente de seguridad e inmediatamente provocarán una alarma. Por contra, los sistemas de detección de intrusos que no son de este tipo se usan generalmente cuando existe la creencia de que estamos ante un incidente de seguridad y se usan para recabar información del tipo y alcance de esta incidencia, generalmente sobre registros o información del sistema.

INAH

Agosto del 2008


Página 34

Una clasificación más rigurosa la podemos realizar según los medios que utilizan los sistemas de detección de intrusos para monitorizar las incidencias. Tenemos según esta clasificación cuatro tipos de sistemas: Basados en el host. Estos sistemas recaban información del sistema para realizar un análisis de las posibles incidencias pero siempre desde el punto de vista del propio sistema y con sus recursos. Basados en la red. Sistemas que observan el tráfico de red buscando algún indicio de un ataque conocido. Generalmente un interfaz en modo promiscuo buscando datos sobre una red. (Suelen pertenecer también al tipo de tiempo real). Basados en la aplicación. Estos recaban datos de una aplicación activa en el sistema (por ejemplo los logs u otra) y buscan evidencias en estos datos. La diferencia con los basados en host es que estos los propios recursos son detectores de intrusos y en el caso de aplicación los datos han de ser filtrados para ser tratados como alarmas. Basados en el objetivo. Estos monitores se basan en salvaguardar la integridad del objetivo que podría ser cualquier recurso del sistema ( por ejemplo el sistema de ficheros ). Ya por último y para terminar esta taxonomía podemos diferenciar los sistemas de detección de intrusos según el tipo de análisis que realiza: Detección de uso inadecuado. En estos casos el sistema busca un patrón de un ataque bien definido. Detección de alguna anomalía. Se busca sobre el sistema alguna anomalía que pueda hacer creer que hay un incidente de seguridad, pero que puede no ser provocada por esto. Arquitectura de un sistema de detección de intrusos Prácticamente todos los sistemas de detección de intrusos tienen ciertas partes bien definidas que pasamos a comentar seguidamente:

INAH

Agosto del 2008


Página 35

Fuentes de recogida de datos de aplicaciones. Punto de recogida de datos para análisis actual o posterior que bien puede ser una red, el sistema o elementos que residen en el propio sistema. Reglas. Estas reglas en muchos casos son las que caracterizan las violaciones que pueden ser cometidas y contra las que se contrastan los datos obtenidos en el punto anterior. Filtro. Esta parte se encarga de contrastar las reglas contra los datos obtenidos. Detectores de anomalías. En los casos de análisis por anomalías son aquellos que detectan eventos extraños en el sistema o los recursos monitorizados. Generador de informes o alarmas. Una vez que se han procesado los datos contra las reglas por el filtro y si existe alguna situación que haga creer que se ha vulnerado o intentado vulnerar la seguridad del sistema, esta parte del detector de intrusos informa al administrador de este hecho (mediante correo, mensajes a móviles, avisos acústicos, etc). En la figura 1 podemos ver gráficamente como se puede diseccionar la arquitectura de un sistema de detección de intrusos.

INAH

Agosto del 2008


Página 36

Snort Snort es un sistema de detección de intrusos en tiempo real y basado en red muy potente. Este sistema sigue el planteamiento de colocar una máquina con un interfaz promiscuo que monitorice el tráfico que circula por la red, de este modo Snort busca patrones que hagan presagiar que se esta desencadenando un ataque sobre la red que este monitoriza. Al igual que logcheck y siguiendo la arquitectura general, el sistema incorpora paquetes de reglas para realizar chequeos determinados sobre el tráfico de red, en este caso categorizados en diversos (y numerosos) grupos como smtp.rules, ddos.rules, etcétera. Este el sistema de detección de intrusos que se utilizara en la red del INAH para la labor primaria de detectar actividades sospechosas o fuera de lo normal.

INAH

Agosto del 2008


Página 37

Instalación de Snort La instalación de snort en sistemas Red Hat o basados de RPM es muy simple solo es necesario bajar el rpm correspondiente (Red Hat Package Manager) y ejecutar la siguiente instrucción. # rpm –i snort-[versión]-[arquitectura].rpm Si se quiere instalar la ultima versión del software casi siempre este no se encuentra disponible en rpm así que se tiene que ir al sitio oficial de snort y bajar el archivo compreso (tar.gz) http://www.snort.org/dl/ para un sistema UNIX (en el caso del INAH Linux). Hay que asegurarse de que la librería libpcap se encuentra propiamente instalada. $ tar –xzvf snort-2.6.1.4.tar.gz $ cd snort-2.6.1.4 $ ./configure $ make $ make install Fin de la instalación. La instalación se hizo en el servidor de pruebas ixtlan.inah.gob.mx debido a las necesidades especificas que se tienen en la Instituto. Utilización de Snort Snort puede ser utilizado de 3 formas distintas las cuales se muestran a continuación. Modo sniffer En este modo, el snort no actúa como un IDS, sino que sencillamente puede capturar lo que circula por nuestra red: snort -v : Imprimirá los encabezados de los paquetes TCP/IP snort -vd : Imprimirá los encabezados así como los datos del paquete snort -vde : Además imprimirá los encabezados de la capa Data Link

INAH

Agosto del 2008


Página 38

Es de hacer notar que los switches (opciones) se pueden enviar separadamente además, este último comando, podía haberse invocado así: snort -v -d -e Packet logger Hasta el momento hemos visto que el snort puede mostrarnos estos comandos a pantalla. Pero que tal si quisiéramos guardar paquetes a disco? ./snort -dev -l ./log Lo que hemos hecho es agregar el switch -l indicándole que guarde los datos en el directorio ./log, si este directorio no existe hay que crearlo primeramente. Esto creará un directorio por cada IP que escuche en la red, si deseamos guardar nuestra red interna en una sola IP, podemos agregar: ./snort -dev -l ./log -h 192.168.1.0/24 esto crearía un solo directorio de históricos dentro de ./log para nuestra red interna (suponiendo que es 192.168.1.0/24) Modo NIDS (Network Intrusion Detection System) En este modo, el snort no guarda cada paquete que circula por la red, sino sencillamente los que ameritan por su patrón. Ejecutemos el snort en modo IDS: snort -d -h 192.168.1.0/24 -l /var/log/snort -c /etc/snort.conf Procederá a guardar los eventos inusuales dentro de /var/log/snort y leerá la configuración de estos eventos en: /etc/snort/snort.conf Si tenemos una cantidad enorme de paquetes circulando por la red, podemos indicarle al snort que ejecute en modo rapido, para guardar información mínima de los paquetes y no tener cuellos de botella: snort -d -h 192.168.1.0/24 -l /var/log/snort -A fast -c /etc/snort.conf

INAH

Agosto del 2008


Página 39

Si queremos correr snort en modo de demonio, agregamos el switch -D: snort -d -h 192.168.1.0/24 -l /var/log/snort -A fast -c /etc/snort.conf -D En este modo, snort comienza a correr y devuelve acceso al prompt. Archivo de configuración snort.conf Este archivo es el encargado de ejecutar las reglas del snort que serán usadas para detectar cualquier intento de intrusión. Las reglas las guardaremos en /etc/snort editemos /etc/snort/snort.conf y busquemos la palabra: RULE_PATH ../rules cambiémosla por: RULE_PATH /etc/snort reiniciemos el snort: killall -HUP snort o mejor, matémoslo y volvámoslo a llamar: service snort restart Eso es todo, el snort guardara los eventos definidos en snort.conf dentro de /var/log/snort/ Reglas Otra de las grandes virtudes de SNORT es que incorpora un sistema bastante sencillo para escribir nuestras reglas, de modo que podemos adaptarlo a nuestros requerimientos reescribiendo las reglas para los incidentes que deseamos monitorizar. Un ejemplo de regla de SNORT: alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS 80 (msg:"WEB-ATTACKS ps command attempt"; flags:A+; uricontent:"/bin/ps"; nocase; sid:1328; rev:1; classtype:web-application-attack;)

INAH

Agosto del 2008


Página 40

Con este lenguaje se nos permite introducir no solo el protocolo o el puerto al que va destinado el paquete, también podemos indicar el contenido de este, banderas determinados de los protocolos, etcétera, de modo que hace el programa extremadamente flexible. Con este tipo de reglas se están monitoreando diferentes puntos de la red INAH de los cuales creemos son cruciales o sospechamos de actividades ilegales por parte de los usuarios. La explicación del uso de las Reglas escapa del alcance de este documento al ser un tema sumamente extenso. Si se desea profundizar en este tema se puede entrar en la página de documentación de Internet del snort en http://www.snort.org/docs/.

INAH

Agosto del 2008


Página 41

9. METODOLOGÍA PARA EVALUAR SISTEMAS INFORMÁTICOS E N EL INAH

INAH

Agosto del 2008


Página 42

METODOLOGÍA La Metodología propuesta para evaluar cualquier sistema informático desarrollado interna o externamente puede llevarse a cabo a través de las siguientes vertientes: 1. Elaboración de autodiagnósticos por expertos involucrados en el desarrollo de sistemas informáticos. 2. Valuación por parte de usuarios directos y en su caso usuarios potenciales, mediante encuesta por cuestionarios.

OBJETIVOS Los objetivos que invariablemente deben evaluarse a través de autodiagnósticos y/o levantamiento de encuestas por cuestionarios, son los siguientes: 1. Asegurar el fácil acceso de los usuarios a los sistemas informáticos del INAH y a los equipos de Cómputo. 2. Asegurar el conocimiento integral de los sistemas informáticos del INAH para los usuarios. 3. Asegurar que los datos que se solicitan para alimentar los sistemas informáticos del INAH, sean los correctos y estén completos. 4. Asegurar el motivo o finalidad por la cual se pide la información. 5. Asegurar que los datos que se ingresan a los sistemas informáticos del INAH para su procesamiento, sean correctos, completos, autorizados, y en tiempo. 6. Asegurar que los informes que generen los sistemas informáticos sean los requeridos por los directivos para una adecuada evaluación y toma de decisiones, asimismo que sirva a los usuarios inmediatos como elementos de control personal. 7. Asegurar que los diferentes actores en el desarrollo y operación de los sistemas informáticos cumplan con sus funciones encomendadas en tiempo y forma.

INAH

Agosto del 2008


Página 43

8. Asegurar según proceda, que los sistemas informáticos del INAH se correlacionen promoviendo simplificación en captura de datos y eliminando inconsistencias entre bases de datos. 9. Asegurar que los sistemas se encuentren plenamente autorizados y documentados. 10. Asegurar que los costos y beneficios del sistema sean viables y produzcan ahorros. 11. Asegurar que las bases de datos no se pierdan por contingencias. 12. Asegurar que existan programas autorizados de crecimiento, mantenimiento y simplificación de los sistemas informáticos vigentes. 13. Asegurar que existan controles que detecten errores y desviaciones en el procesamiento de la información. 14. Asegurar que los sistemas informáticos del INAH, consideren la emisión de estándares, indicadores y estadísticas que coadyuven a las evaluaciones. 15. Asegurar que existan mecanismos de resolución inmediata a todo tipo de problemas que se detecten en la operación de los sistemas informáticos. FUNCIONES NORMATIVAS QUE LA COORDINACIÓN NACIONAL D E RECURSOS MATERIALES Y SERVICIOS ACORDE A SUS FACULTADES DELEGADAS D EBE CUMPLIR Y/O EN SU CASO, PROMOVER SU CUMPLIMIENTO EN LAS ÁREAS I NAH. 1. Establecer y mantener un ambiente de control In formático. 1.1 Realizar por lo menos una vez al año, una evaluación integral de los sistemas informáticos vigentes, con el objeto de mejorarlos. 1.2 Llevar un proceso de planeación y emisión de estrategias integral sobre equipamiento informático y desarrollo de sistemas. 1.3 Revisar normatividad externa sobre informática, así como emitir disposiciones internas en la materia, difundirla y evaluar su aplicación.

INAH

Agosto del 2008


Página 44

1.4 Crear los modelos organizacionales para delegar funciones informáticas y controlar los sistemas informáticos. 2. Identificar, evaluar y administrar los riesgos d e carácter informático. 2.1 Establecer modelos de administración de riesgos informáticos. 2.2 Precisar los efectos de riesgos informáticos, las causas y efectos y lugar donde pudiera materializarse. 3. Implementar y/o actualizar actividades de contr ol informático. 3.1 Establecer mecanismos para un adecuado resguardo físico y control de los equipos informáticos. 3.2 Establecer metodologías informáticas para la conformación de indicadores y otros parámetros de evaluación de sistemas informáticos y uso de equipos. 3.3 Promover que la alta dirección del INAH se involucre en la asignación de prioridades de desarrollo de sistema y equipamiento. 3.4 Establecer sistemas para monitorear y responder a interrupciones potenciales de las operaciones por incidentes de intrusión maliciosa en los sistemas informáticos del INAH y para actualizar los protocolos de seguridad y prevenirlos. 3.5 Establecer lineamientos que sancionen al personal que modifique sin autorización los sistemas informáticos institucionales. 4. Informar y comunicar. 4.1 Establecer procedimientos para respaldar regularmente los programas de aplicación y los archivos de los sistemas informáticos del INAH. 4.2 Respaldar diariamente y resguardar fuera de las instalaciones, la información electrónica crítica de los sistemas informáticos institucionales.

INAH

Agosto del 2008


Página 45

4.3 Conformar mecanismos para recuperar oportunamente los sistemas, procesos e información del INAH, en caso de desastres. 5. Supervisar y mejorar continuamente el control in formático institucional. 5.1 Evaluar periódicamente el control interno de los sistemas informáticos institucionales, estableciendo una política de mejora continúa. MEJORA CONTINÚA EN LOS SISTEMAS INFORMÁTICOS. Con el resultado de la codificación, análisis y evaluación de los autodiagnósticos y/o cuestionarios de evaluación, la Coordinación Nacional de Recursos Materiales y Servicios establecerá un programa de mejoras de los sistemas informáticos, mismo al que deberá darse el seguimiento adecuado. Para lo anterior se deberá considerar: - Capacidad y competencia laboral de los recursos humanos existentes. - Recursos financieros y materiales asignados. - Prioridades de tiempo. - Requerimientos especiales por alguna instancia del gobierno federal. Toda mejora a los sistemas informáticos deberá ser documentada, autorizada y difundida mediante un programa de capacitación.

INAH

Agosto del 2008


Página 46

10. ANEXOS

INAH

Agosto del 2008


Página 47

ANEXO 1.- INFORME DE INCIDENTES Servicio VULNERADO Reporte de Problema

A continuación se presenta un análisis del incidente ocurrido el día de la semana XX, de mes, de año con el servicio vulnerado. La finalidad es describir su causa y proponer soluciones al mismo, minimizando así como el impacto negativo del problema que se presentó en el funcionamiento del sistema y para prevenir incidentes futuros.

IDENTIFICACIÓN Y REGISTRO DEFINICIÓN DEL PROBLEMA:

ORIGEN: ÁREAS FUNCIONALES AFECTADAS:

FRECUENCIA: IMPACTO: URGENCIA:

TIPO DE PROBLEMA: POSIBLES CAUSAS: -

SÍNTOMAS ASOCIADOS: SERVICIOS INVOLUCRADOS: REVISIONES REALIZADAS: SOLUCIONES TEMPORALES:

CLASIFICACIÓN Y ASIGNACIÓN DE RECURSOS ELEMENTOS DE CONFIGURACIÓN

INVOLUCRADOS:

RECURSOS NECESARIOS PARA SU SOLUCIÓN:

-

Para llenar una vez que se cuente con los recursos necesarios:

COMPROBACIÓN DE LA CAUSA MÁS PROBABLE

CAUSA PROBABLE ¿SE REPRODUCE EL

PROBLEMA? MODIFICACIONES NECESARIAS PARA SU

CORRECCIÓN:

INAH

Agosto del 2008


Página 48

Anexo 2.- Diagrama de Recuperación de la informació n

Inicio

Falla de un servicio informático

Revisión de daños y estimado del tiempo

de respuesta

Montar servidores alternos con las aplicaciones

afectadas

Realizar las pruebas

necesarias para la

liberación del

servidor alterno

Liberación del

servidor

Término

INAH

Agosto del 2008


Página 49

11. AUTORIZACIÓN

instituto nacional de antropologÍa e historia inah manualdepoliticas.pdfcorresponde al instituto...

Documents