universidad regional autÓnoma de los andes...
TRANSCRIPT
UNIVERSIDAD REGIONAL AUTÓNOMA DE LOS ANDES
“UNIANDES”
FACULTAD DE SISTEMAS MERCANTILES
MAESTRIA EN INFORMATICA EMPRESARIAL
PROYECTO DE INVESTIGACIÓN PREVIO A LA OBTENCIÓN DEL
GRADO ACADÉMICO DE MAGISTER EN INFORMÁTICA
EMPRESARIAL
TEMA:
“SIEM BAJO SOFTWARE LIBRE PARA LA SEGURIDAD
OPERACIONAL EN LAS PYMES DE LA CIUDAD DE PELILEO”
Autor: ING. PICO BARRERA FERNANDO MARCELO.
Tutor:
ING. BAÑO NARANJO FREDDY PATRICIO. M.Sc
AMBATO – ECUADOR
2016
CERTIFICACIÓN DEL ASESOR
En calidad de asesor del presente trabajo de investigación, certifico que el proyecto cuyo
título es “SIEM BAJO SOFTWARE LIBRE PARA LA SEGURIDAD OPERACIONAL
EN LAS PYMES DE LA CIUDAD DE PELILEO.”, elaborado por el Ing. FERNANDO
MARCELO PICO BARRERA, cumple con los requisitos metodológicos y científicos que
la Universidad Regional Autónoma de Los Andes UNIANDES exige, por lo tanto autorizo
su presentación para los trámites pertinentes.
Atentamente,
Ing. MSc. Freddy Baño
Asesor
DECLARACIÓN DE AUTORÍA
Ante las autoridades de la Universidad Regional Autónoma de los Andes “UNIANDES” declaro
que el contenido del presente proyecto cuyo título es “SIEM BAJO SOFTWARE LIBRE
PARA LA SEGURIDAD OPERACIONAL EN LAS PYMES DE LA CIUDAD DE
PELILEO”, presentado como requisito previo a la obtención del título de MAGISTER EN
INFORMATICA EMPRESARIAL es original, de mi autoría y total responsabilidad.
Atentamente,
FERNANDO MARCELO PICO BARRERA
CI: 1803389301
DEDICATORIA
A Dios, por permitirme continuar en este mundo
compartiendo triunfos y derrotas junto a mi
familia.
A mi esposa y a mi madre, por ser las mujeres que
me brindan su apoyo incondicional para alcanzar
éxitos en la vida.
A mis hijos Matías y Kristel, por ser el motor que
impulsa cada actividad que desarrollo en el
accionar de mis responsabilidades.
A mis hermanos, por ser los seres que consideran
que son un ejemplo a seguir
Fernando.
AGRADECIMIENTO
A mi esposa y a mis hijos, por ser las personas
víctimas de mi ausencia, y que hoy son testigos del
fruto de dicha espera.
A mi tutor, por ser el guía y consejero en el
desarrollo del presente proyecto.
A la Universidad UNIANDES, por permitir ser
parte de tan noble institución y alcanzar un peldaño
más en mi vida profesional.
Fernando
ÍNDICE DE CONTENIDOS
CERTIFICACIÓN DEL ASESOR
DECLARACIÓN DE AUTORÍA
DEDICATORIA
AGRADECIMIENTO
RESUMEN EJECUTIVO
ABSTRACT
INTRODUCCIÓN ........................................................................................................................................ 1
ANTECEDENTES DE LA INVESTIGACIÓN ....................................................................................................................... 1
PLANTEAMIENTO DEL PROBLEMA ............................................................................................................................. 2
FORMULACIÓN DEL PROBLEMA ................................................................................................................................ 3
DELIMITACIÓN DEL PROBLEMA ................................................................................................................................. 3
LÍNEA DE INVESTIGACIÓN ........................................................................................................................................ 3
OBJETIVOS ........................................................................................................................................................... 3
OBJETIVO GENERAL ............................................................................................................................................... 3
OBJETIVOS ESPECÍFICOS.......................................................................................................................................... 3
IDEA A DEFENDER .................................................................................................................................................. 4
JUSTIFICACIÓN DEL TEMA ........................................................................................................................................ 4
METODOLOGÍA ..................................................................................................................................................... 4
TÉCNICAS Y HERRAMIENTAS ..................................................................................................................................... 5
RESUMEN DE LA ESTRUCTURA DE LA TESIS .................................................................................................................. 5
APORTE TEÓRICO .................................................................................................................................................. 6
NOVEDAD ............................................................................................................................................................ 6
SIGNIFICACIÓN PRÁCTICA ........................................................................................................................................ 6
CAPÍTULO I ............................................................................................................................................... 7
1. MARCO TEÓRICO.............................................................................................................................. 7
1.1. SEGURIDAD DE LA INFORMACIÓN ................................................................................................................ 7
1.1.1. OBJETIVOS DE LA SEGURIDAD ................................................................................................................. 7
1.1.2. CONFIDENCIALIDAD ............................................................................................................................. 7
1.1.3. INTEGRIDAD ....................................................................................................................................... 7
1.1.4. DISPONIBILIDAD .................................................................................................................................. 8
1.2. NORMAS DE CALIDAD ISO ......................................................................................................................... 8
1.2.1. NORMAS ISO 27001 .......................................................................................................................... 8
1.3. REDES DE COMPUTADORAS ...................................................................................................................... 10
1.3.1. USO DE LAS REDES INFORMÁTICAS ........................................................................................................ 11
1.3.1.1. APLICACIONES DE NEGOCIOS................................................................................................................ 11
1.3.1.2. APLICACIONES DOMÉSTICAS ................................................................................................................ 12
1.3.1.3. APLICACIONES MÓVILES ...................................................................................................................... 13
1.3.2. DIRECCIÓN IP ................................................................................................................................... 13
1.3.2.1. CLASES DE DIRECCIONES IP .................................................................................................................. 13
1.3.2.2. DIRECCIONAMIENTO DHCP ................................................................................................................ 14
1.3.3. MONITOREO DE REDES ....................................................................................................................... 16
1.4. SIEM .................................................................................................................................................. 18
1.5. CARACTERÍSTICAS DE SISTEMAS SIEM........................................................................................................ 18
1.5.1. ACCESO CENTRALIZADO Y ADMINISTRACIÓN DE LOGS. .............................................................................. 19
1.5.1.1. LOG ................................................................................................................................................ 19
1.5.2. CUMPLIMIENTO NORMATIVO DE TI ....................................................................................................... 20
1.5.3. CORRELACIÓN DE EVENTOS.................................................................................................................. 20
1.5.4. RESPUESTA ACTIVA (MONITOREO Y SEGURIDAD) ..................................................................................... 20
1.5.5. SEGURIDAD DE ENDPOINT Y ESCANEO DE EQUIPOS ................................................................................... 20
1.6. AMENAZAS Y TIPOS DE AMENAZAS ............................................................................................................ 21
1.6.1. VULNERABILIDADES............................................................................................................................ 21
1.6.2. PROTOCOLOS VULNERABLES ................................................................................................................ 21
1.6.3. CONFIGURACIÓN ERRÓNEA.................................................................................................................. 21
1.6.4. CONCIENCIA Y ERRORES DE USUARIOS ................................................................................................... 22
1.6.5. INTENTOS MALICIOSOS ....................................................................................................................... 22
1.6.6. AMENAZAS INTERNAS ......................................................................................................................... 23
1.6.7. AMENAZAS EXTERNAS ........................................................................................................................ 23
1.7. SISTEMAS OPERATIVOS ............................................................................................................................ 24
1.8. SOFTWARE LIBRE.................................................................................................................................... 25
1.8.1. VENTAJAS DEL SOFTWARE LIBRE O SOFTWARE DE CÓDIGO ABIERTO ............................................................. 26
1.8.2. DESVENTAJAS DEL SOFTWARE LIBRE O SOFTWARE DE CÓDIGO ABIERTO ........................................................ 26
1.9. HERRAMIENTAS OPEN SOURCE INCLUIDAS EN SISTEMAS DE SEGURIDAD ............................................................ 26
1.9.1. SNORT. ............................................................................................................................................ 26
1.9.2. NMAP ............................................................................................................................................. 27
1.9.3. HTOP .............................................................................................................................................. 28
1.9.4. OCS-NG ......................................................................................................................................... 28
1.10. RKHUNTER ............................................................................................................................................ 28
1.11. IMPLANTACIÓN DE SISTEMAS DE SEGURIDAD ............................................................................................... 28
1.12. PYMES ............................................................................................................................................... 29
1.12.1. IMPORTANCIA DE LAS PYMES ............................................................................................................. 31
1.12.2. CARACTERÍSTICAS DE LAS PYMES ........................................................................................................ 31
1.13. CONCLUSIONES PARCIALES DEL CAPÍTULO. .................................................................................................. 31
CAPÍTULO II ............................................................................................................................................ 33
2. MARCO METODOLÓGICO ............................................................................................................... 33
2.1. CARACTERIZACIÓN DEL SECTOR ................................................................................................................. 33
2.2. DESCRIPCIÓN PROCEDIMIENTO METODOLÓGICO .......................................................................................... 34
2.2.1. MODALIDAD INVESTIGACIÓN ............................................................................................................... 35
2.2.2. TIPO DE INVESTIGACIÓN ...................................................................................................................... 35
2.2.3. MÉTODOS, TÉCNICAS E INSTRUMENTOS ................................................................................................. 36
2.2.4. POBLACIÓN Y MUESTRA ...................................................................................................................... 37
2.2.5. ANÁLISIS E INTERPRETACIÓN DE RESULTADOS.......................................................................................... 38
2.3. DESCRIPCIÓN DE LA PROPUESTA ................................................................................................................ 48
2.4. CONCLUSIONES PARCIALES DEL CAPÍTULO ................................................................................................... 49
CAPÍTULO III ........................................................................................................................................... 50
3. MARCO PROPOSITIVO. ................................................................................................................... 50
3.1. TEMA................................................................................................................................................... 50
3.2. OBJETIVOS ............................................................................................................................................ 50
3.3. DESARROLLO DE LA PROPUESTA................................................................................................................ 50
3.3.1. ANÁLISIS DE LA ESTRUCTURA DE RED ..................................................................................................... 50
3.3.2. SELECCIÓN DE HERRAMIENTAS A IMPLEMENTAR EN EL SISTEMA SIEM ......................................................... 51
3.3.3. DISEÑO DE LA RED PARA LA IMPLANTACIÓN DEL SISTEMA SIEM ................................................................. 53
3.3.4. REQUERIMIENTOS HARDWARE MÍNIMOS PARA INSTALACIÓN DEL SISTEMA ................................................... 54
3.3.5. INSTALACIÓN Y CONFIGURACIÓN .......................................................................................................... 54
3.3.5.1. ACTUALIZACIÓN DE PAQUETES DE CENTOS ............................................................................................ 54
3.3.5.2. CONFIGURACIÓN DE DIRECCIONAMIENTO IP ........................................................................................... 56
3.3.5.3. INSTALACIÓN Y CONFIGURACIÓN DEL SERVICIO DHCP .............................................................................. 56
3.3.5.4. CONFIGURACIÓN DE INVENTARIOS ........................................................................................................ 59
3.3.5.5. INSTALACIÓN Y CONFIGURACIÓN DE OCS-NG INVENTORY ........................................................................ 59
3.3.5.6. DETECCIÓN DE EVENTOS ..................................................................................................................... 73
3.3.5.7. INSTALACIÓN Y CONFIGURACIÓN DE SNORT ............................................................................................ 73
3.3.5.8. MONITOREO Y SEGURIDAD DEL SERVIDOR .............................................................................................. 78
3.3.5.9. INSTALACIÓN DE HTOP ........................................................................................................................ 78
3.3.5.10. INSTALACIÓN DE RKHUNTER ............................................................................................................ 80
3.3.5.11. MONITOREO DE PUERTOS ............................................................................................................... 82
3.3.5.12. INSTALACIÓN DE NMAP .................................................................................................................. 82
3.3.5.13. VALIDACIÓN DE HERRAMIENTAS IMPLEMENTADAS............................................................................... 83
3.3.5.13.1. DIRECCIONAMIENTO IP - DHCP ...................................................................................................... 83
3.3.5.13.2. MONITOREO DEL SERVIDOR - HTOP .................................................................................................. 85
3.3.5.13.3. SEGURIDAD DEL SERVIDOR - RKHUNTER ............................................................................................. 87
3.3.5.13.4. INVENTARIOS – OCS ..................................................................................................................... 91
3.3.5.13.5. DETECCIÓN DE EVENTOS - SNORT ..................................................................................................... 96
3.3.5.13.6. ESCANEO – NMAP ..................................................................................................................... 100
RECOMENDACIONES ............................................................................................................................ 104
BIBLIOGRAFÍA
LINKOGRAFÍA
ANEXOS
ÍNDICE DE FIGURAS
Figura 1. Proceso de un servidor DHCP............................................................................................... 16
Figura 2. Sistemas operativos más utilizados ..................................................................................... 25
Figura 3. Distribución sectorial de pymes en Ecuador ....................................................................... 30
Figura 4. Cambio a usuario root .......................................................................................................... 54
Figura 5. Actualización de paquetes ................................................................................................... 55
Figura 6. Finalización de actualización ................................................................................................ 55
Figura 7. Verificación del servicio dhcpd en el sistema ...................................................................... 56
Figura 8. Instalación del servicio DHCP ............................................................................................... 57
Figura 9. Envío de archivo dhcpd a editor de texto ............................................................................ 57
Figura 10. Configuración del servicio DHCP ........................................................................................ 58
Figura 11. Direccionamiento IP fija ..................................................................................................... 58
Figura 12. Instalación de paquete perl-XML-Simple .......................................................................... 59
Figura 13. Instalación de perl-Compress-Zlib ..................................................................................... 60
Figura 14. Instalación del paquete perl-DBI ....................................................................................... 60
Figura 15. Instalación del paquete perl-DBI-MySQL .......................................................................... 60
Figura 16. Instalación del paquete perl-Net-IP ................................................................................... 61
Figura 17. Instalación del paquete perl-SOAP-Lite ............................................................................. 61
Figura 18. Instalación de wget............................................................................................................. 61
Figura 19. Instalación de perl-Apache-DBI.......................................................................................... 62
Figura 20. Instalación de epel-release ................................................................................................ 62
Figura 21. Instalación de phpMyAdmin .............................................................................................. 62
Figura 22. Iniciar el servicio mysqld .................................................................................................... 63
Figura 23. Ejecución de mysql_secure installation ............................................................................. 63
Figura 24. Comando setup ................................................................................................................... 63
Figura 25. Habilitación http y https ..................................................................................................... 64
Figura 26. Inicio automático del servicio httpd .................................................................................. 64
Figura 27. Inicio automático del servicio mysqld ............................................................................... 65
Figura 28. Reinicio del servicio iptables .............................................................................................. 65
Figura 29. Descarga de OCS-NG .......................................................................................................... 66
Figura 30. Descomprimir carpeta de OCS ........................................................................................... 66
Figura 31. Instalación de OCS .............................................................................................................. 66
Figura 32. Reinicio del proceso httpd ................................................................................................. 67
Figura 33. Comando para editar phpMyAdmin.conf.......................................................................... 67
Figura 34. Configuración de phpMyAdmin ........................................................................................ 67
Figura 35. Asignamiento de contraseña de administrador a mysql .................................................. 68
Figura 36. Establecer el máximo valor de paquetes........................................................................... 68
Figura 37. Modo permisivo de SELinux ............................................................................................... 68
Figura 38. Interfaz web de php MyAdmin .......................................................................................... 69
Figura 39. Usuario y base de datos ..................................................................................................... 69
Figura 40. Primer acceso a la interfaz web ......................................................................................... 70
Figura 41. Instalación de interfaz web de OCS ................................................................................... 70
Figura 42. Asignación de nombre de base de datos y clave .............................................................. 71
Figura 43. Archivo z-ocsinventory-server.conf ................................................................................... 71
Figura 44. Eliminación de install.php .................................................................................................. 72
Figura 45. Instalación y configuración de OCS Agent ......................................................................... 72
Figura 46. Interfaz de OCS Inventory .................................................................................................. 73
Figura 47. Instalación de dependencias de snort ............................................................................... 73
Figura 48. Instalación del paquete de desarrollo ............................................................................... 74
Figura 49. Descompresión paquete de libdnet .................................................................................. 74
Figura 50. Instalación de paquetes libdnet ......................................................................................... 74
Figura 51. Descompresión de paquete daq ........................................................................................ 75
Figura 52. Instalación del paquete daq ............................................................................................... 75
Figura 53. Instalación de snort ............................................................................................................ 75
Figura 54. Copia y renombre de white_list.rules ............................................................................... 75
Figura 55. Modificación de propietario .............................................................................................. 76
Figura 56. Edición del archivo snort.conf ............................................................................................ 76
Figura 57. Modificación de propietarios y permisos .......................................................................... 76
Figura 58. Inicio de snort ..................................................................................................................... 77
Figura 59. Permisos de registros ......................................................................................................... 77
Figura 60. Permisos de librerías .......................................................................................................... 77
Figura 61. Permisos de binarios .......................................................................................................... 78
Figura 62. Verificación de funcionamiento de snort .......................................................................... 78
Figura 63. Descarga repositorios para htop........................................................................................ 79
Figura 64. Instalación de paquetes para htop .................................................................................... 79
Figura 65. Instalación de htop ............................................................................................................. 79
Figura 66. Interfaz de htop .................................................................................................................. 80
Figura 67. Descarga del paquete rkhunter ......................................................................................... 80
Figura 68. Instalación del rkhunter ..................................................................................................... 81
Figura 69. Actualización de rkhunter .................................................................................................. 81
Figura 70. Funcionamiento de rkhunter ............................................................................................. 82
Figura 71. Instalación de nmap ........................................................................................................... 82
Figura 72. Funcionamiento de nmap .................................................................................................. 83
Figura 73. Direccionamiento IP ........................................................................................................... 83
Figura 74. IP de equipo Windows........................................................................................................ 84
Figura 75. IP de equipo Ubuntu........................................................................................................... 84
Figura 76. IP dinámica aleatorio .......................................................................................................... 84
Figura 77. Rango de IP – DHCP ............................................................................................................ 85
Figura 78. Ejecución de htop ............................................................................................................... 86
Figura 79. Comprobación de procesos en htop .................................................................................. 86
Figura 80. Identificación de procesos en htop ................................................................................... 87
Figura 81. Checking system commands .............................................................................................. 88
Figura 82. Checking for rootkits .......................................................................................................... 88
Figura 83. Performing checks .............................................................................................................. 89
Figura 84. Checking the network......................................................................................................... 89
Figura 85. Checking the local host....................................................................................................... 89
Figura 86. System checks summary .................................................................................................... 90
Figura 87. Copia de archivo infectado hacia directorio...................................................................... 90
Figura 88. Advertencia de rkhunter .................................................................................................... 90
Figura 89. Acceso ssh como root ......................................................................................................... 91
Figura 90. Identificación de acceso ssh ............................................................................................... 91
Figura 91. Equipos inventariados en OCS ........................................................................................... 92
Figura 92. Información general de PC ................................................................................................. 92
Figura 93. Procesador - OCS ................................................................................................................ 93
Figura 94. Memoria - OCS .................................................................................................................... 93
Figura 95. Almacenamiento - OCS ....................................................................................................... 93
Figura 96. Discos - OCS ........................................................................................................................ 94
Figura 97. Redes - OCS ......................................................................................................................... 94
Figura 98. Impresoras - OCS ................................................................................................................ 94
Figura 99. Monitores - OCS .................................................................................................................. 95
Figura 100. Software - OCS .................................................................................................................. 95
Figura 101. Archivo csv - OCS .............................................................................................................. 95
Figura 102. Snort en modo sniffer básico ........................................................................................... 96
Figura 103. Snort - contenidos de paquetes ....................................................................................... 97
Figura 104. Snort - capa de enlace ...................................................................................................... 97
Figura 105. Ejecución de reglas ........................................................................................................... 98
Figura 106. Snort en modo IDS ............................................................................................................ 98
Figura 107. Ping entre equipos de red ................................................................................................ 99
Figura 108. Detección de comando ping ............................................................................................ 99
Figura 109. Detección de nmap por snort ........................................................................................ 100
Figura 110. Comando nmap .............................................................................................................. 101
Figura 111. Escaneo de red ............................................................................................................... 101
Figura 112. Identificación de nueva IP .............................................................................................. 102
Figura 113. Información de equipo detectado ................................................................................. 102
ÍNDICE DE GRÁFICOS
Gráfico 1. Equipos informáticos .......................................................................................................... 38
Gráfico 2. Red LAN ............................................................................................................................... 39
Gráfico 3. Internet ................................................................................................................................ 40
Gráfico 4. Conexión inalámbrica ......................................................................................................... 41
Gráfico 5. Seguridad de acceso ........................................................................................................... 42
Gráfico 6. Políticas de seguridad ......................................................................................................... 43
Gráfico 7. Ataques informáticos .......................................................................................................... 44
Gráfico 8. Personal técnico .................................................................................................................. 45
Gráfico 9. Sistema de monitoreo ........................................................................................................ 46
Gráfico 10. Sistema de gestión ............................................................................................................ 47
Gráfico 11. Esquema básico de red ..................................................................................................... 51
Gráfico 12. Esquema de red propuesto .............................................................................................. 53
ÍNDICE DE TABLAS
Tabla 1. Población ................................................................................................................................ 37
Tabla 2. Equipos informáticos ............................................................................................................. 38
Tabla 3. Red LAN .................................................................................................................................. 39
Tabla 4. Internet ................................................................................................................................... 40
Tabla 5. Conexión inalámbrica ............................................................................................................ 41
Tabla 6. Seguridad de acceso .............................................................................................................. 42
Tabla 7. Políticas de seguridad ............................................................................................................ 43
Tabla 8. Ataques informáticos ............................................................................................................. 44
Tabla 9. Personal técnico ..................................................................................................................... 45
Tabla 10. Sistema de monitoreo ......................................................................................................... 46
Tabla 11. Sistema de gestión ............................................................................................................... 47
RESUMEN EJECUTIVO
La aplicación de las TIC’s dejó de ser un privilegio y hoy en día es una gran necesidad
para el desarrollo institucional de toda empresa, incluso dependiendo del performance de
las instituciones, el uso y aplicación de herramientas tecnológicas y aplicaciones
informáticas es una obligación para su normal desarrollo de funciones dentro del servicio
hacia la sociedad.
En los últimos años el crecimiento industrial y comercial en la ciudad de Pelileo ha
incrementado notablemente, convirtiéndose en uno de los referentes económicos de la
provincia de Tungurahua y del país, sin embargo es perceptible que esta situación ha
obligado a que las empresas pelileñas adopten equipamiento moderno y de última
tecnología para estar acorde a las exigencias competitivas globales, pues utilizar tecnología
de muy alta calidad permite desarrollar procesos y procedimientos también de alta calidad,
lo cual las convierten en actores principales dentro de la generación económica social así
como en la generación de empleo.
Dentro de la actualización tecnológica también se encuentra inmiscuido el equipamiento
informático tanto a nivel de hardware como software, haciendo relación a este último se
debe definir que el presente proyecto se ha centrado básicamente para tratar de
salvaguardar las operaciones de las pymes a nivel intangible, pues es muy común encontrar
en este tipo de entidades una infraestructura informática demasiado frágil, situación que a
niveles gerenciales no son valoradas como amenazas dentro de sus organizaciones.
La implementación de sistemas SIEM permite tener un mejor control de las actividades
que suceden dentro de una lan, control que está orientado desde un nivel técnico, el mismo
que permite definir y establecer políticas de seguridad institucional, promoviendo la
relación con normas de calidad y gestión responsable, resultados que permitirán un
desempeño adecuado de las pymes en sus procesos operativos.
ABSTRACT
The application of Tics has stopped being a privilege and has turned into a great need for
the institution building of the present company, also depending on the performance of the
institutions, the use and application of technology tools and IT applications is an obligation
for its normal development of functions inside the service towards the company.
In last years the industrial and commercial growth in Pelileo’s city has increased notably,
turning into one of the economic modals of the Tungurahua’s province and of the country,
nevertheless it is perceptible that this situation has forced that the Pelileo’s companies
adopt modern equipment and of last technology to be identical to the competitive global
requirements, since to use a very high technology of quality there allows to develop
processes and procedures also of high quality, which they turn them into principal actors
inside the economic social generation and like generation employment.
Inside the technological update also the IT equipment is interfered so much to level of
hardware as software, doing the relations it is necessary to define that the present project
has centred basically to try to safeguard the operations of SMES to intangible level, since it
is very common to find in this type of entities an IT too fragile infrastructure, on situation
that to levels it manages they are not valued as threats inside his organizations.
The system implementation SIEM allows to have a better control of the activities that
happen inside a LAN, control that there is an oriented from a technical level the same one
that allows to define and to establish policies of institutional safety, promoting the relation
with procedure of quality and responsible management, results that will allow a suitable
performance of SMES in its operative processes.
1
INTRODUCCIÓN
Antecedentes de la Investigación
Se debe empezar señalando que por sus siglas un SIEM es un sistema orientado a la
información de la seguridad y gestión de eventos, aplicable a redes informáticas
institucionales.
El desarrollo de las organizaciones e instituciones ya sean públicas o privadas han
mostrado un balance positivo basadas en la utilización de medios tecnológicos orientados a
la informática, tanto en hardware como en software.
Al hablar de un crecimiento informático dentro de una entidad, se debe recalcar también la
necesidad de buscar alternativas orientadas a la seguridad integral de la información de
dicha empresa, debido al incremento de métodos y técnicas empleadas para violentar las
estructuras físicas y lógicas de información.
En la actualidad existe una cantidad considerable de administradores de redes
empresariales que no cuentan con alguna herramienta que permita precautelar la
información frente a la aparición de eventos no programados, situación que origina una
inadecuada gestión de problemas y monitoreo en tiempo real.
Mayores conocimientos sobre el tema no existen en el país, a nivel empresarial es donde ya
se trata acerca de los SIEM, pero lastimosamente en el área académica aún no se da un
estudio adecuado sobre la temática, por lo cual es un aspecto interesante a tener en cuenta
para su difusión y socialización especialmente en la región centro del país.
La administración de la seguridad depende de la importancia de planificar y describir los
componentes principales de la planificación organizacional e implementación de sistemas
de seguridad. (Withman, 2013)
También para una mejor seguridad los administradores de red pueden utilizar
administración comercial o herramientas de valoración para encuestas del medio y
comparar con los contenidos propios del sistema. (Tipton, 2012).
2
Planteamiento del problema
En la actualidad es muy común encontrar individuos tratando de acceder a redes privadas
con el afán de causar daños en la información organizacional, lo cual implica un atentado
en caso de no poseer las herramientas adecuadas para un control exhaustivo relacionado al
acceso indebido a recursos.
El robo de información o espionaje corporativo es otra de las amenazas muy frecuentes a
nivel de PYMES, aplicadas para descubrir fortalezas de sus similares. Estas amenazas han
derivado también en la suplantación de identidad y fraudes electrónicos, los mismos que
han originado perdidas y daños incalculables a nivel organizacional, debido a estas y otros
tipos de amenazas existentes en la actualidad es necesario lograr implementar algún medio
de seguridad y monitoreo a nivel de red.
Toda organización busca las mejores alternativas en cuanto a hardware y software que
permitan automatizar las distintas actividades dentro de la misma, todo este contexto
obligatoriamente origina una inversión económica, inversión que para la mayoría de
administradores o gerentes no justifica su adquisición, pues el alto costo de dichas
herramientas obliga a pensar si la institución tiene la capacidad económica y operativa para
dicho desembolso, convirtiéndose en ocasiones el punto fustigador para que la
organización no cumpla objetivos institucionales.
La seguridad juega un papel preponderante dentro del desarrollo de toda organización,
convirtiéndose en un pilar dominante dedicado a precautelar la integridad, la disponibilidad
y la confidencialidad del bien más preciado de toda empresa, aspecto que debe motivar a
todo administrador a implementar sistemas de seguridad dentro de sus entornos de trabajo.
Como alternativa para la implementación de sistemas de seguridad se debe mencionar que
en la actualidad tiene gran aceptación la implementación de herramientas bajo software
libre, lo cual permite obtener en varias ocasiones aplicaciones mucho más estables,
robustas y confiables que el software comercial.
3
Formulación del problema.
¿Cómo mejorar la seguridad de la información y la gestión de eventos en las PYMES de la
ciudad de Pelileo, con el fin de establecer un adecuado control de la seguridad
operacional?
Delimitación del problema
Objeto
Seguridad y gestión
Campo
Seguridad de la información y gestión de eventos en las redes informáticas.
Línea de Investigación
Tecnologías de la Información y Comunicaciones
Objetivos
Objetivo General
Implementar un SIEM bajo software libre que permita establecer un control
adecuado de las actividades operacionales de las PYMES de la ciudad de Pelileo,
aportando al mejoramiento de la seguridad institucional.
Objetivos Específicos
Analizar los referentes teóricos para la implementación de un sistema de seguridad
de información y gestión de eventos en las actividades operacionales
institucionales.
Determinar la factibilidad de la implementación de sistemas de gestión de eventos y
seguridad de la información en las PYMES de la ciudad de Pelileo.
Establecer herramientas y procedimientos idóneos para la implementación del
SIEM.
4
Comprobar la aplicabilidad y funcionamiento del SIEM propuesto en función de
actividades evaluativas.
Idea a defender
La implementación de un SIEM en el desarrollo de las actividades operacionales dentro de
las PYMES de la ciudad de Pelileo, aportará a mejorar el control y gestión de eventos
manteniendo la integridad de las actividades institucionales.
Justificación del tema
Uno de los aspectos más importantes en el campo informático hoy en día es la seguridad
tanto de la información así como la seguridad informática, dos variantes que al final
cumplen un solo objetivo, el proteger y salvaguardar el hardware y software de todo
usuario u organización.
El implementar sistemas de seguridad dentro de una organización conlleva el desembolsar
altos precios a cambio de herramientas que en su mayoría lastimosamente están limitadas a
condiciones de uso temporal, convirtiéndose en muchas ocasiones en herramientas
inalcanzables de adquirir.
La propuesta planteada trata de ser una herramienta aliada de toda organización ya sea
pequeña o mediana, donde la adquisición de software de seguridad sea una necesidad
urgente que permita mantener la integridad especialmente de la información, este caso es
muy notorio en las PYMES de la ciudad de Pelileo, donde muy pocas organizaciones
tienen personal capacitado o con conocimientos adecuados sobre las ventajas y beneficios
que aportará la implementación de un sistema SIEM en el desarrollo positivo de dichas
empresas.
Metodología
La investigación estará enmarcada en función de una metodología cualitativa, basándose
en los parámetros a ser considerados dentro de las actividades organizacionales a través de
redes informáticas, no obstante la metodología cuantitativa formará también parte de la
investigación aunque en menor porcentaje debido a que la fundamentación estadística es
primordial para lograr obtener los resultados esperados.
5
El método inductivo - deductivo será adoptado en el desarrollo de la investigación a fin de
determinar la mayor cantidad de aspectos y procesos inmiscuidos en el logro y alcance de
los objetivos planteados.
Además la metodología determinada permitirá aplicar secuencias lógicas que alcancen la
especificación de resultados, logrando la optimización y mejoramiento de procesos y
actividades organizacionales de manera adecuada.
Técnicas y herramientas
Entrevista: permitirá obtener el criterio y pensamiento de las personas relacionadas
en el proceso de administración y control de las seguridades en cada una de las
entidades.
Encuesta: servirá para obtener una mejor orientación acerca el campo de seguridad
institucional basándose en estructuras propias de las encuestas.
Observación: permitirá ser un testigo directo en el accionar de las actividades y
procedimientos informáticos dentro de las PYMES.
Resumen de la estructura de la tesis
Capítulo I.- Se estableció temas acordes a la fundamentación teórica, es decir se mostró la
sustentación bibliográfica inherente a los contenidos relacionados directamente con el
desarrollo del proyecto.
Cabe destacar que dentro de este capítulo es necesario resaltar el origen y evolución del
objeto de estudio, siempre sustentándose en el análisis de distintas posiciones teóricas que
permitan establecer valoraciones críticas capaces de definir una realidad valiosa para un
adecuado desarrollo del proyecto.
Capítulo II.- En este apartado se citó la metodología empleada por parte del investigador
para lograr cumplir con los objetivos planteados, basando el trabajo en la caracterización
de las entidades en función del problema de investigación, describiendo procesos y
procedimientos metodológicos que permitan exponer de forma clara la propuesta planteada
en el proyecto.
6
Capítulo III.- En este capítulo se realizó un análisis de los resultados obtenidos como
producto de la investigación, logrando examinar los procedimientos de la implantación de
la solución al problema investigado, enfocándose en la validación y evaluación de la
aplicación propuesta.
Aporte Teórico
La propuesta actual permitirá entregar una perspectiva diferente de la administración y
gestión de redes informáticas dentro de organizaciones, enfocadas principalmente en
PYMES, sirviendo como plataforma para que los administradores de redes logren aplicar
investigaciones referentes a temas similares.
Novedad
Se debe recalcar que esta propuesta en sí ya es novedosa, por ser un tópico no muy tratado
a nivel informático, otra característica considerada como relevante es la manera cómo
gestionar la seguridad y administración de eventos informáticos de una manera gráfica e
interactiva, además se debe mencionar que la propuesta está planteada bajo la utilización
de software libre, lo cual permite romper parámetros establecidos antiguamente en la
utilización de software privativo o propietario.
Significación Práctica
Dentro del aspecto práctico es necesario resaltar que puede llegar a constituirse en una
herramienta de gran ayuda para todo el personal encargado de administrar redes, pues
facilitará el monitoreo de las mismas a través de una interfaz gráfica, enmarcando procesos
simples y muy básicos dentro de la seguridad informática, con el fin de salvaguardar y
precautelar la integridad de la información mediante la toma de decisiones acertada en base
a fenómenos o circunstancias imprevistas presentadas dentro de la estructura
organizacional.
7
CAPÍTULO I
1. MARCO TEÓRICO
1.1.Seguridad de la información
En la actualidad se considera que “La seguridad ha pasado de utilizarse para preservar los
datos clasificados del gobierno en cuestiones militares o diplomáticas, a tener una
aplicación de dimensiones inimaginables y crecientes que incluye transacciones
financieras, acuerdos contractuales, información personal, archivos médicos, comercio y
negocios por internet, domótica, inteligencia ambiental y computación ubicua. Por ello se
hace imprescindible que las necesidades de seguridad potenciales sean tenidas en cuenta y
se determinen para todo tipo de aplicaciones.” (Areito, 2010)
La seguridad de la información tiene estrecha relación con la protección de datos, razón
por la cual las organizaciones estrictamente deben buscar medidas preventivas que
permitan precautelar sus intereses según los objetivos de la seguridad.
1.1.1. Objetivos de la seguridad.
Los objetivos de la seguridad dentro de un sistema de TI son considerados como base
fundamental para el desarrollo de toda organización. Entre los objetivos principales se
citan: integridad, confidencialidad y disponibilidad de la información.
1.1.2. Confidencialidad
La confidencialidad es un proceso matemático que permite obtener una esperanza
matemática aceptable de poder verificar que un mensaje, incluso a nivel de bits no puede
ser entendido por entes no autorizados, es decir la información debe ser conocida o
accedida por usuarios autorizados durante su procesamiento.
1.1.3. Integridad
La integridad es un proceso matemático que permite obtener una esperanza matemática
aceptable de poder verificar correctamente que un mensaje (incluso a nivel de bytes) no ha
sido modificado. Los sistemas deben ser administrados por personal autorizado que
establezca permisos acertadamente a usuarios con privilegios de modificación.
8
1.1.4. Disponibilidad
La disponibilidad es un proceso que garantiza el acceso a la información en el momento y
lugar que el usuario considere oportuno.
1.2.Normas de calidad ISO
International Standar Organization, siglas que permiten definir como la Organización
Internacional de Normalización, a la entidad encargada de establecer y publicar estándares
de calidad. Esta organización es la encargada de establecer normas de comercio,
fabricación y comunicación a nivel mundial, basadas en la creación de productos y
servicios destinados a cumplir la demanda y las necesidades de usuarios así como de
clientes.
Hoy en día es muy común hallar entidades públicas o privadas relacionadas estrechamente
con normas de calidad ISO, pues se considera que al estar ligadas a estas normas ofrecen
productos o servicios de mejor calidad que su competencia, brindando confianza a sus
clientes o usuarios, lo cual les asegura obtener ventajas competitivas frente a sus similares.
Dentro de las normas ISO existe una gran familia de normas, entre las cuales se cita como
referentes a seguridad las normas ISO 27001 y 27002, las primeras definen las directrices
necesarias para la implementación controles de seguridad, mientras tanto que las 27002
proporcionan información o recomendaciones de cómo implementar los mencionados
controles.
1.2.1. Normas ISO 27001
ISO 27001 es una norma internacional emitida por la International Standardization
Organization (ISO) que define los sistemas de gestión de seguridad de la información. Su
nombre completo es ISO/IEC 27001:2013. Esta norma fue desarrollada a partir de la norma
británica BS 7799-2, fue publicada inicialmente como ISO/IEC 27001:2005 y ahora se ha
convertido en una de las principales normas internacionales para la seguridad de la
información.
La implementación de ISO 27001 reduce los riesgos relacionados con la confidencialidad,
disponibilidad e integridad de la información en una organización. También ayuda a la
organización a dar cumplimiento a la legislación que regula la protección de información
confidencial, de sistemas de información, de datos personales, etc. que ya está establecida
9
en la mayoría de los países. Finalmente, la implementación de la norma debería reducir los
costos comerciales debido a la menor cantidad de incidentes y a las mejoras en la
comercialización por la publicidad que se puede conseguir con la norma. (Dejan, 27001
Academy, 2010)
ISO/IEC 27001 se divide en 11 secciones más un anexo; las secciones 0 a 3 son
introductorias (y no son obligatorias para la implementación), mientras que las secciones 4
a 10 son obligatorias, lo que implica que una organización debe implementar todos sus
requerimientos si quiere cumplir con la norma. Los controles del Anexo A deben
implementarse sólo si se determina que corresponden en la Declaración de aplicabilidad.
De acuerdo con el Anexo SL de las Directivas ISO/IEC de la Organización Internacional
para la Normalización, los títulos de las secciones de ISO 27001 son los mismos que en
ISO 22301:2012, en la nueva ISO 9001:2015 y en otras normas de gestión, lo que permite
integrar más fácilmente estas normas.
Sección 0 – Introducción – explica el objetivo de ISO 27001 y su compatibilidad con otras
normas de gestión.
Sección 1 – Alcance – explica que esta norma es aplicable a cualquier tipo de organización.
Sección 2 – Referencias normativas – hace referencia a la norma ISO/IEC 27000 como
estándar en el que se proporcionan términos y definiciones.
Sección 3 – Términos y definiciones – de nuevo, hacen referencia a la norma ISO/IEC
27000.
Sección 4 – Contexto de la organización – esta sección es parte de la fase de Planificación
del ciclo PDCA y define los requerimientos para comprender cuestiones externas e
internas, también define las partes interesadas, sus requisitos y el alcance del SGSI.
10
Sección 5 – Liderazgo – esta sección es parte de la fase de Planificación del ciclo PDCA y
define las responsabilidades de la dirección, el establecimiento de roles y responsabilidades
y el contenido de la política de alto nivel sobre seguridad de la información.
Sección 6 – Planificación – esta sección es parte de la fase de Planificación del ciclo PDCA
y define los requerimientos para la evaluación de riesgos, el tratamiento de riesgos, la
Declaración de aplicabilidad, el plan de tratamiento de riesgos y la determinación de los
objetivos de seguridad de la información.
Sección 7 – Apoyo – esta sección es parte de la fase de Planificación del ciclo PDCA y
define los requerimientos sobre disponibilidad de recursos, competencias, concienciación,
comunicación y control de documentos y registros.
Sección 8 – Funcionamiento – esta sección es parte de la fase de Planificación del ciclo
PDCA y define la implementación de la evaluación y el tratamiento de riesgos, como
también los controles y demás procesos necesarios para cumplir los objetivos de seguridad
de la información.
Sección 9 – Evaluación del desempeño – esta sección forma parte de la fase de Revisión
del ciclo PDCA y define los requerimientos para monitoreo, medición, análisis, evaluación,
auditoría interna y revisión por parte de la dirección.
Sección 10 – Mejora – esta sección forma parte de la fase de Mejora del ciclo PDCA y
define los requerimientos para el tratamiento de no conformidades, correcciones, medidas
correctivas y mejora continua.
Las normas muestran un anexo que proporciona un catálogo de 114 controles (medidas de
seguridad) distribuidos en 14 secciones (secciones A.5 a A.18). (Dejan, 27001 Academy,
2010).
1.3. Redes de computadoras
Con el pasar del tiempo toda organización progresivamente ha eliminado la mecánica
laboral donde un solo computador era el encargado de realizar todos los procesos o
11
transacciones informáticas, en la actualidad los procesos organizacionales están basados en
verdaderas estructuras de networking, donde un computador es una simple estación de
trabajo.
Según (Tanenbaum, 2012) “El modelo antiguo de una sola computadora que realiza todas
las tareas computacionales de una empresa ha sido reemplazado por otro en el que un gran
número de computadoras separadas pero interconectadas hacen el trabajo. Estos sistemas
se denominan redes de computadoras.”
En los tiempos actuales también se puede definir como un conjunto de computadoras
interconectadas entre sí, entendiendo por interconectadas a la acción de compartir recursos.
1.3.1. Uso de las redes informáticas
A través del tiempo el uso del computador ha facilitado el desempeño humano dentro de
varios campos, por ejemplo en la educación, el comercio, gestión documental, multimedia,
actividades de oficina e incluso en actividades domésticas, actividades que han exigido
desarrollarse dentro de redes informáticas, debido al uso de recursos comunes que agilicen
las actividades cotidianas.
Entre los ámbitos más relevantes y generalizados se citan:
1.3.1.1. Aplicaciones de negocios
Hoy en día las empresas cumplen sus actividades a través de departamentos, por ejemplo
departamento de ventas, departamento financiero, departamento informático, etc, todos
estos departamentos comparten recursos especialmente la información, recurso al que
todos los departamentos deben tener acceso para ejecutar sus respectivos procesos.
En cambio en las PYMES es muy posible que muchos departamentos funciones dentro de
una sola oficina, pero que el funcionamiento básico de la red es muy similar al de las
grandes organizaciones.
Este tipo de actividades permite aprovechar al máximo todas las prestaciones de una red de
computadoras, logrando cumplir el objetivo para el cual están diseñadas, debiendo resaltar
que las redes de computadoras tienen mayor uso dentro de las organizaciones, razón por la
cual cada vez se van desarrollando equipos que mejoren el rendimiento al momento de
compartir recursos.
12
Dentro de este modelo se identifican plenamente equipos servidores y equipos clientes o
estaciones de trabajo.
1.3.1.2. Aplicaciones domésticas
Según Tanenbaum, A. (2008), “En 1997 Ken Olsen era presidente de Digital Equipment
Corporation, que en esa época era el segundo proveedor de computadoras en el mundo
(después de IBM). Cuando se le pregunto por qué Digital no perseguía el mercado de las
computadoras personales en gran volumen, contestó: “No hay razón alguna para que un
individuo tenga una computadora en su casa”. La historia demostró lo contrario y Digital
ya no existe.”
El crecimiento tecnológico y específicamente el informático ha desarrollado una evolución
que hasta unos quince años atrás era inimaginable, debido a que se suponía que las
computadoras eran objetos de uso exclusivo de las oficinas sin encontrar razón alguna que
suponga su uso dentro de los hogares.
Hoy en día es muy normal encontrar hogares con una, dos o más computadoras destinadas
al uso de actividades diarias relacionadas a:
Educación
Acceso a información
Comunicación
Entretenimiento
Comercio electrónico, etc.
Sin embargo el uso de los computadores en hogares ya no se los realiza de manera
independiente ya que por tener acceso al internet obligadamente están dentro de una red
doméstica de computadoras, lo cual demuestra que dentro de los hogares también es
necesario implementar la interconectividad de equipos informáticos.
En aplicaciones domésticas no necesariamente las redes de computadoras están
distribuidas a través de computadores servidores ni computadores clientes, en este modelo
todos los computadores están al mismo nivel de desarrollar sus actividades respectivas, a
menos que sea necesario la ejecución de aplicaciones de control o administración que se
ejecuten de manera centralizada.
13
1.3.1.3. Aplicaciones móviles
En los últimos años los computadores de escritorio han perdido espacio en el mercado
informático, debido exclusivamente al aspecto de movilidad y transporte, características
que aparecieron en otros equipos informáticos, tales como laptops, netbooks, tablets o
smartphones.
Esta categoría de equipos son más apreciados debido a la facilidad de transportarlos ya sea
dentro de las organizaciones o dentro de los hogares, pero la mayor utilidad de los equipos
es la de conectarse a redes de computadoras de manera inalámbrica, lógicamente con
equipos de red apropiados para el tipo de conexión.
Es muy común encontrar redes inalámbricas dentro de organizaciones, PYMES, centros
educativos, oficinas, hogares e incluso en parques y centros de diversión, permitiendo
innovar la manera de conectarse a una LAN, a una intranet o a internet.
1.3.2. Dirección IP
Las direcciones IP son números únicos e irrepetibles con los cuales se identifican a los
equipos conectados a una red. Las direcciones IPv4 se expresan por combinaciones de
números de hasta 32 bits que permiten 232 posibilidades (4294967). Se dividen en dos
partes: la ID de red y la ID de host. Dentro de la ID de red se identifica el segmento de la
red en donde se encuentra alojado el equipo, es decir en que segmento de ella trabajará.
Todas las máquinas que deseen interactuar entre si deberán tener en primera instancia la
misma ID de red. La ID de host, la segunda parte de la IP, identifica los dispositivos y
determina la cantidad máxima de ellos que podrán conectarse a la red
Los dos segmentos funcionan de manera correlativa, de modo que puedan existir equipos
asignados a un mismo número (ID host) pero en distintas zonas (ID red). (Budris, 2013)
1.3.2.1. Clases de direcciones IP
Con la forma determinada de las direcciones IP y las partes que le asignan una posición, la
ICANN (Internet Corporation of Assigned Names and Numbers) define las tres clases de
direcciones IP que se pueden formar, que se presentan como: clase A, B y C.
14
Clase A
El primer octeto (8 bits) se asigna a la ID de red, y los últimos octetos (24 bits), a la ID de
host con lo cual quedan 128 redes y 16777214 host en un rango de 1.0.0.0 –
126.255.255.255.
Clase B
Los dos primeros octetos (16 bits) son asignados a la ID de red, y los dos restantes a host
(16 bits), lo que da 16384 redes y 65534 host en un rango de 128.0.0.0 – 191.255.255.255.
Clase C
Los primeros tres octetos se asignan a la red para maximizar la disponibilidad, y el último
octeto a los host. Habrá 2097152 redes y 254 host en un rango de 192.0.0.0 –
223.255.255.255. (Budris, 2013)
1.3.2.2. Direccionamiento DHCP
El direccionamiento DHCP tiene como principal característica la asignación dinámica de
direcciones IP a equipos informáticos dentro de una red, mediante el uso del protocolo
DHCP (Dynamic Host Configuration Protocol), es decir cada computador obtener su
configuración de red de forma automática. De esta forma, los administradores pueden
ahorrarse mucho trabajo si tienen que configurar nuevos equipos o hacer cambios en los ya
existentes.
El protocolo DHCP establece una configuración predeterminada para el equipo que la
solicita, es decir, una configuración que ha sido definida con antelación para la red o
subred en la que están conectados los equipos. El protocolo DHCP permite que a los
equipos de la red se les asigne una dirección IP automáticamente sólo cuando la necesiten.
DHCP puede utilizarse también dentro del ámbito de una red local y, en este caso, los
ordenadores deben solicitar una dirección a una estación especial que funcione como
servidor DHCP. Esta estación mantiene una tabla de direcciones asignadas y libres para esa
red. La ventaja de este método consiste en que las estaciones solamente tienen asignadas
IPs cuando realmente se conectan y hacen uso de la red y permanecen libres mientras no se
necesitan, lo que ahorra direcciones que pueden asignarse a otras estaciones. Además, se
15
reducen las tareas de los administradores de la red cuando hay que cambiar de lugar
estaciones, ya que no tienen que volver a configurarlas. (Molina, 2014).
El protocolo DHCP es abierto (no depende del sistema operativo utilizado), lo que
significa que se puede utilizar sobre una red heterogénea. Así, un servidor DHCP
Windows, Mac OS X, GNU/Linux, Novell, etc., puede asignar direcciones sin ningún
problema a estaciones Windows, Mac OS X, GNU/Linux, etc.
Hay que recalcar que en la configuración de un equipo cliente no se especifica la dirección
IP del servidor DHCP. El protocolo establece que las estaciones, puesto que no tienen IP
asignada y no conocen direcciones de servidores ni máscaras de red, deben lanzar una
petición usando el protocolo UDP a la dirección de difusión (la dirección de difusión IPv4
es 255.255.255.255). Todos los servidores DHCP contestan con una dirección IP, también
por un mensaje UDP de difusión. El cliente tomará una de esas direcciones y enviará otro
mensaje de difusión anunciando a todos los servidores DHCP cuál es la IP tomada.
Finalmente, el servidor que ha ofrecido la dirección asignada envía al cliente la
confirmación de la operación y actualiza sus tablas con las direcciones asignadas y libres.
Dependiendo de la implementación que se realice del servidor DHCP, es posible que su
comportamiento sea algo diferente de unas versiones a otras. (Molina, 2014)
Algunas versiones actuales de los servidores DHCP disponibles para GNU/ Linux realizan
comprobaciones adicionales antes de asignar las direcciones a los clientes. En estos casos,
cuando un servidor DHCP recibe una petición de un cliente, comprueba su tabla de
direcciones libres (dentro del rango que puede asignar) y, para asegurarse de que esa
dirección no está siendo utilizada por ningún otro equipo en la red (que haya sido
configurado de forma manual), envía un mensaje eco ICMP (Internet Control Message
Protocol) a esa dirección. Si un equipo contesta, significa que esa dirección ha sido
asignada de forma manual (estática) y la marca como “abandonada” para no asignarla a
ningún cliente. Si no contesta ningún equipo, entonces asigna esa dirección. En caso de
que no existan direcciones libres para asignar dentro del rango, el servidor vuelve a
comprobar con mensajes eco ICMP si alguna de las direcciones abandonadas está libre.
(Molina, 2014)
16
Una característica de los servidores DHCP es que se puede asignar direcciones IP de forma
automática, pero también es factible determinar ciertas IP como estáticas para ciertos
equipos específicos, esto implica a que el administrador de red tenga el control total del
direccionamiento logrando facilitar la gestión dentro de una lan.
Figura 1. Proceso de un servidor DHCP
Fuente: http://www.bsrtech.net/2014/11/dhcp-server-configuration-on-linux.html
1.3.3. Monitoreo de redes
Así como el avance tecnológico ha desarrollado equipos para colocar computadores en red,
existen usuarios que han desarrollado amenazas e inseguridades para violentar dichas redes
con el afán de obtener algún bien determinado, motivos por el cual hoy en día existen
herramientas y procedimientos para controlar y evitar que usuarios ajenos a las
organizaciones tengan acceso a fuentes privadas, estos procedimientos también son
conocidos como monitoreo de redes.
La detección de amenazas de manera oportuna dentro de una red de computadoras permite
brindar un servicio eficiente y eficaz a los usuarios de la comunidad, con esto se deduce
que el monitoreo de redes tiene gran relevancia en la ejecución de las actividades diarias y
en el desarrollo de las organizaciones.
17
El monitoreo de redes actualmente se lo puede realizar mediante la utilización de
aplicaciones de escritorio o incluso desde aplicaciones web, permitiendo revisar y controlar
los siguientes elementos informáticos:
Estaciones de trabajo.
Servidores.
Equipos de red (router, switch, etc).
Aplicaciones - software (firewalls, bases de datos, apache, etc).
Las redes de cómputo de las organizaciones, se vuelven cada vez más complejas y la
exigencia de la operación es cada vez más demandante. Las redes, cada vez más, soportan
aplicaciones y servicios estratégicos de las organizaciones. Por lo cual el análisis y
monitoreo de redes se han convertido en una labor cada vez más importante y de carácter
pro-activo para evitar problemas.
Anteriormente, cuando no se disponía de las herramientas que hoy existen, era necesario
contratar a una empresa especializada para esta labor, con un costo muy elevado. Las
herramientas que actualmente se ofrece, permite al usuario realizar esta importante labor, y
contar un sistema experto como aliado que le ayuda en la interpretación de los resultados
obtenidos que se quedan registrados todo el tiempo y es considerado como parte de su
activo.
En el pasado existían herramientas que permitían monitorear redes pero con valores
altamente costosos, en cambio en la actualidad encontramos una extensa gama de
aplicaciones gratuitas y licenciadas que permiten realizar el monitoreo informático, sin
embargo no todas las herramientas señaladas realizan las mismas funciones, algunas son
dedicadas a monitorear de manera gráfica lo que hacen los usuarios conectados a la red, es
decir muestra la pantalla de los computadores activos, en cambio otras herramientas
controlan procesos internos que se presentan en la actividad de los computadores dentro de
una red.
Muchas de las herramientas reconocidas en el campo del monitoreo de redes son
desarrolladas sobre plataformas de software libre, debido a que son herramientas con alto
desempeño en el campo tratado.
18
En organizaciones que poseen una estructura informática bien definida es muy común
encontrar 3 tipos de herramientas destinadas para el monitoreo de redes:
Herramientas independientes (nmap, maltego, etc.)
Frameworks (SIEM, SEM, etc.)
Estructuras de seguridad (CSIRT, IRT, etc.)
Según el grado de desempeño de los tipos antes mencionados se puede resumir que la
agrupación de herramientas de seguridad da origen a frameworks de seguridad y la
utilización de éstos dan paso a las estructuras de seguridad.
1.4. SIEM
El término SIEM (System Information and Event Management) es utilizado para señalar a
las herramientas relacionadas a la información de seguridad y administración de eventos
dentro de un contexto informático a nivel de networking. Una herramienta SIEM es el
resultado de la combinación de tres herramientas antecesoras: Security Information
Management (SIM), Security Event Management (SEM) y Security Event and Information
Management (SEIM).
Básicamente la función principal de un SIEM se basa en el monitoreo en tiempo real de las
actividades suscitadas dentro de la red institucional, actividades que dan origen a varias
alertas, logrando definir causas o advertencias de aspectos sospechosos para el normal
desempeño tanto del hardware y software institucional, las amenazas pueden proyectarse
desde el internet o desde el interior de la misma organización.
El diseño de un sistema SIEM está orientado preferencialmente para la administración de
la seguridad de las pequeñas y medianas empresas, basando el criterio específicamente en
el aspecto financiero. Las tecnologías SIEM están creadas sobre herramientas opensource,
lo cual afianza su utilización como mecanismo de seguridad a nivel de networking.
1.5. Características de sistemas SIEM
En la actualidad los sistemas SIEM han evolucionado de manera vertiginosa básicamente
en identificación de eventos reales y en aspectos de interfaz, logrando observar que la
mayor cantidad de estos sistemas muestran interfaces gráficas o interfaces web en donde
19
consolidan todos sus servicios así como sus principales herramientas. Entre las
características más comunes y básicas se citan:
Control de direccionamiento IP
Acceso centralizado y administración de logs.
Cumplimiento normativo de TI.
Correlación de eventos.
Respuesta activa del servidor (seguridad y monitoreo local)
Seguridad de endpoint y escaneo de equipos.
1.5.1. Acceso centralizado y administración de logs.
Un sistema SIEM posee la cualidad de centralizar todos los procesos que se encuentran
disponibles para lograr obtener su cometido, adicional la administración de logs empieza
con la configuración de nodos dentro de un sistema de tecnologías de la información,
particularmente los nodos más importantes o más críticos, para enviar la información
relevante y eventos de aplicaciones (logs) a una base de datos centralizada y administrada
por la aplicación SIEM. La base de datos de la aplicación SIEM primero analiza y
normaliza los datos enviados por los numerosos y muy rápidos nodos existentes dentro de
un sistema de tecnologías de la información.
1.5.1.1.Log
El término log es utilizado en actividades de loggin, análisis de logs y administración de
logs, debido a que posee varios significados.
Básicamente son archivos contenedores de texto que pueden mostrar información ocurrida
después de un evento o diagnosticar problemas para lograr una solución, considerando que
no pueden ser modificados o alterados automáticamente durante el normal uso de algún
sistema específico.
Los logs usualmente tienen referencias de tiempo en cada grabación, almacenando una
secuencia cronológica de eventos, que no solo muestra lo que sucedió, sino cuando sucedió
y en qué orden.
20
1.5.2. Cumplimiento normativo de TI
Una vez que todos los eventos sean registrados en el sistema, es factible aplicar filtros o
reglas para actividades de auditoría, evaluación de cumplimiento o identificación de
violaciones de los requerimientos básicos.
Las normas exigidas a los logs de los sistemas por lo general requieren la frecuencia de los
cambios de contraseñas, identificación de sistemas operativos, errores de aplicaciones que
no se puedan instalar y auditorias de antivirus y antispyware.
1.5.3. Correlación de eventos
La correlación de eventos permite aportar al sistema SIEM con un nivel de inteligencia
mayor debido a que no muestra únicamente los eventos sino también la posibilidad de
reaccionar o no a dicha acción, fundamentándose en varias condiciones una vez ejecutadas
las alarmas.
El motor de correlación de los sistemas SIEM está diseñado para investigar y considerar
eventos existentes dentro de una base de datos dispuesta para este fin.
1.5.4. Respuesta activa (monitoreo y seguridad)
Esta característica permite tomar medidas como respuesta a incidentes suscitados dentro
del servidor, eventos que pueden afectar al sistema y por consiguiente traer resultados
inesperados.
La configuración del sistema de seguridad para que responda de manera adecuada es
recomendado que posee herramientas eficientes pero ligeras, pues ayudará a que las
actividades del servidor no colapsen, ya que puede suceder que el sistema se encuentre
respondiendo a falsos positivos o es posible que ejecutara una DoS hacia su propia red, lo
cual implica un desperdicio en el uso de recursos, tanto hardware como software, dando la
posibilidad de que la respuesta activa se convierta en el evento maligno dentro de la
organización.
1.5.5. Seguridad de endpoint y escaneo de equipos
La mayoría de sistemas SIEM ofrecen la posibilidad de monitorear la seguridad en los
puntos finales o nodos, logrando identificar incluso si algún punto se infectó con spyware o
dependiendo del sistema SIEM es factible administrar la seguridad en los puntos finales
facilitando realizar ajustes y mejoras en la configuración de cortafuegos asi como instalar
21
actualizaciones antispyware o antispam. No se puede dejar de lado que el complemento de
seguridad endpoint es el escaneo de equipos, para saber y conocer que posibles
vulnerabilidades poseen.
1.6. Amenazas y tipos de amenazas
Dentro de los sistemas SIEM es necesario saber que los eventos inusuales que se presenten
son denominados como amenazas, debido a que dan origen a distintos incidentes de
seguridad.
Entre los tipos de amenazas más comunes que son monitoreados dentro de un sistema
SIEM se citan:
1.6.1. Vulnerabilidades
Como vulnerabilidades son consideradas todas las debilidades de los sistemas o redes
informáticas a través de las cuales los atacantes tienen acceso a la información.
El sistema SIEM es el encargado de verificar y reportar dichas vulnerabilidades ofreciendo
al usuario la posibilidad de obtener eventos de seguridad o asignarle la responsabilidad de
reconfigurar los equipos de red.
1.6.2. Protocolos vulnerables
Los protocolos son el medio empleado para establecer la comunicación entre
computadores dentro de redes, pero también a través del tiempo se han detectado
vulnerabilidades en el funcionamiento de muchos de ellos, logrando tener en la actualidad
reemplazo de sus versiones originales.
Al momento de intentar proteger el entorno de la organización es necesario evitar el uso de
puertos vulnerables conocidos mediante la ejecución de políticas de seguridad como el
filtrado de protocolos vulnerables en el sistema SIEM o también referenciados como
herramientas o sistemas IDS, ya que no siempre los protocolos pueden atravesar router
alguno dentro de algún segmento de la red corporativa.
1.6.3. Configuración errónea
Una configuración acertada dentro de un sistema SIEM garantiza una eficiente seguridad
en el desarrollo institucional, ya que de lo contrario es muy posible que las
22
vulnerabilidades dentro del sistema tengan una presencia mayoritaria lo cual puede incidir
una posible sustracción de información organizacional.
Las configuraciones erróneas no siempre son intencionales, existe ocasiones en las que su
origen provienen de accidentes o descuidos del administrador e incluso de pequeñas
acciones laborales como por ejemplo desactivar o apagar un firewall, no iniciar algún
servidor o personal no calificado en la manipulación de servidores o estaciones de trabajo.
En muchos sistemas SIEM existe la posibilidad de gestionar las configuraciones y sistemas
de verificación, los mismos que sirven para identificar e informar los cambios realizados
sobre configuraciones específicas o cambios en archivos dentro de sistemas críticos.
1.6.4. Conciencia y errores de usuarios
Muchos errores y vulnerabilidades son generados o introducidos por parte de los usuarios a
los entornos de los sistemas SIEM, una de las soluciones no recomendadas es el bloqueo
de determinados usuarios, lastimosamente no es la correcta, ya que los usuarios son
quienes aprovechan los recursos de la red.
Uno de los casos más comunes en este aspecto sucede cuando un usuario se aleja de su
ordenador dejando desbloqueada su cuenta, entonces ese momento es aprovechado por otro
usuario para realizar alguna anomalía dentro del sistema organizacional o intentar acceder
a contenidos no autorizados, lo cual generará errores que se almacenarán en los logs del
servidor SIEM, otra de las posibles consecuencias podría ser el acceso a mails que
verdaderamente sean ataques de phishing lo cual sería considerado como una gran pérdida
para la organización.
1.6.5. Intentos maliciosos
A más del uso de protocolos, errores de usuario y configuraciones erróneas, otra de las
causas principales de riesgo para los sistemas de tecnología de la información se produce
cuando un ataque es dirigido específicamente hacia la organización.
El motivo que lleva a los atacantes puede ser que deseen vender su información comercial
a la competencia, obtener el listado de clientes con su información personal o simple
satisfacción de violentar sistemas ajenos.
23
En muchas ocasiones estos ataques son realizados por empleados de la organización, muy
común es encontrar a empleados descontentos o empleados imprudentes que realizan estos
ataques por dinero, venganza o alguna otra causa.
1.6.6. Amenazas internas
La mayoría de redes organizacionales invierten grandes cantidades de recursos para
mejorar la seguridad externa de dichas entidades con el fin de evitar inconvenientes con
ataques originados por terceros.
Este hecho da origen a que los diseñadores y administradores de redes descuiden la
seguridad interna, pensando tener el control y sin tomar en cuenta que las amenazas
internas pueden ser mayores a las externas, incluso alcanzando entre el 50% y 90% del
total de amenazas existentes.
Se debe discurrir que los ataques internos son una amenaza real y deben ser considerados
en los programas de seguridad de organizaciones, permitiendo establecer políticas
institucionales de seguridad al momento de implementar redes informáticas.
1.6.7. Amenazas externas
En la actualidad las amenazas externas se han convertido en amenazas más fáciles de
detectar y controlar, debido a que la gran mayoría de organizaciones implementan sistemas
de seguridad apuntando hacia afuera de la organización, implicando un peligro latente las
amenazas originadas en el interior de las organizaciones.
Las amenazas externas pueden ir desde un simple script que permita saber si el sistema es
vulnerable o toda una estructura que permita violentar las seguridades organizacionales
con el fin de tener acceso a información o bases de datos que faciliten la obtención de
réditos económicos o reconocimiento social.
Las amenazas externas pueden ser manuales o automáticas, las manuales se presentan
cuando algún individuo o atacante intenta acceder de manera sistemática y sutil en algún
sistema, claro está que el proceso será lento y centrado. En cambio las amenazas
24
automáticas se presentan en forma de virus, gusanos o ataques de secuencia de comandos,
dando origen a una tasa mayor de intentos fallidos.
1.7. Sistemas operativos
Son aplicaciones que permiten gestionar los componentes hardware del computador,
mediante la interacción del usuario con el software del mismo computador.
Es necesario resaltar que sin un sistema operativo un computador sería un equipo
tecnológico inservible.
La elección del sistema operativo a instalar en un computador se fundamenta en el uso que
se dé a dicho equipo, básicamente un equipo puede ser utilizado como servidor o
simplemente como cliente.
En el mercado informático existe principalmente dos grandes alternativas de sistemas
operativos: los sistemas operativos Windows y los sistemas operativos Linux, el primero
tiene un uso específico, es decir puede ser utilizado solo como cliente o solo como
servidor, claro está dependiendo de la versión de cada uno de los sistemas operativos
Windows, ej: Windows 10, Windows 7, Windows Server 2008, etc. En cambio los
sistemas operativo Linux tienen la posibilidad de interactuar como cliente o como servidor,
esto debido a la robustez que poseen estos sistemas, entre las distribuciones más conocidas
están, Centos, RedHat, Ubuntu, Mint, etc.
Otro de los aspectos a tener en cuenta al momento de decidirse por un sistema operativo es
el factor económico, pues los sistemas Windows son sistemas comerciales, los cuales
tienen un costo económico que permite su instalación y uso, en cambio las distribuciones
Linux pertenecen al grupo de software de código abierto o también conocido como
software libre, sin querer interpretar que esto sea sinónimo de gratuidad, por ejemplo la
distribución RedHat es una distro Linux que obligatoriamente requiere la adquisición de
una licencia para su respectivo uso.
25
Figura 2. Sistemas operativos más utilizados Fuente: Gómez Julio (2014). Administración de sistemas operativos
1.8. Software libre
Según Stallman, R. (2004), “La tarea de enseñar a los nuevos usuarios el valor de la
libertad se complicó especialmente en 1998, cuando parte de la comunidad decidió
abandonar el término «software libre» y empezó a hablar de «software de código abierto»”
El objetivo de este cambio fue el de evitar la confusión entre los términos libre y gratuito,
con la finalidad de convencer a los usuarios que era factible desarrollar software de código
abierto de gran calidad y capacidad, pero sin embargo los dos términos citados hacen
referencia a la misma categoría de software, pero implican aspectos muy distintos referente
al software y sus valores.
Según (Zazo, 2010), “El software libre y el software de código abierto, así como los
movimientos que hay detrás de ambos, han pasado de ser fenómenos marginales a
convertirse en los últimos años en herramientas muy conocidas y utilizadas por gran parte
de la sociedad.”
Este tipo de software es muy importante en el desarrollo del software a nivel mundial, pues
es muy común encontrar anuncios de software propietario sobre plataformas de software
libre o software de código abierto.
Las aportaciones del software libre han sido el germen de un gran debate intelectual y
social sobre nuevos modelos de regulación de los derechos de autor y la circulación del
conocimiento; debate que, lejos de quedarse en presupuestos teóricos, ha dado sus frutos
en numerosas propuestas ya implementadas y exitosas para la libre construcción y
26
circulación del conocimiento, sobre todo a través de las tecnologías computacionales
conectadas en red. Es común encontrar comunidades detrás de cada producto de software
libre, permitiendo una constante evolución tanto en desarrollo como es soporte, logrando
alcanzar mejoras contínuas en cada una de las aplicaciones desarrolladas
1.8.1. Ventajas del software libre o software de código abierto
Acceso a software de alta calidad
Ahorro en el pago de licencias
Disponibilidad del código fuente para todo el mundo
Posibilidad de que entidades educativas puedan mejorar el código fuente
La desaparición de “dueños” de los sistemas o programas.
La factibilidad de copiar parte del código de algún software.
1.8.2. Desventajas del software libre o software de código abierto
Al ser “gratuito” no contará con soporte técnico.
La falta de publicidad para dar a conocer el software
Pocos recursos económicos para invertir en publicidad ya que no tiene sentido
publicitar productos “gratuitos”.
Al ser de código abierto aumenta la posibilidad de ataques por alguna vulnerabilidad
existente.
1.9. Herramientas open source incluidas en sistemas de seguridad
Los sistemas SIEM en su mayoría utilizan herramientas open source como motores de
gestión en cada una de sus funciones. Entre las más utilizadas en la gestión de proyectos
SIEM se citan:
1.9.1. Snort.
Es un sistema de detección de intrusos (IDS) y un sniffer de paquetes, diseñado para
monitorear un dominio de colisión en base a reglas y filtros que pueden ser configurados,
cuya información puede ser almacenada en archivos de texto o en bases de datos de
MySQL.
27
“Snort es la principal fuente abierta IDS disponibles en la actualidad.” (Miller, 2011)
La característica más apreciada de snort, además de su funcionalidad, es su subsistema
flexible de firmas de ataques. Snort tiene una base de datos de ataques que se está
actualizando constantemente y a la cual se puede añadir o actualizar a través del internet.
Los usuarios pueden crear firmas basadas en las características de los nuevos ataques de
red y enviarlas a la lista de correo de firmas de snort, para que así todos los usuarios se
puedan beneficiar. Esta ética de comunidad y compartir ha convertido a snort en uno de
los IDS basado en red más populares, actualizados y robustos.
1.9.2. Nmap
Nmap (mapeador de redes) es una herramienta de código abierto para exploración de red y
auditoría de seguridad. Se diseñó para analizar rápidamente grandes redes, aunque
funciona muy bien contra equipos individuales. Nmap utiliza paquetes IP "crudos", en
formas originales para determinar qué equipos se encuentran disponibles en una red, qué
servicios ofrecen, qué sistemas operativos ejecutan, qué tipo de filtros de paquetes o
cortafuegos se están utilizando así como docenas de otras características. Aunque
generalmente se utiliza Nmap en auditorías de seguridad, muchos administradores de redes
y sistemas lo encuentran útil para realizar tareas rutinarias, como puede ser el inventariado
de la red, la planificación de actualización de servicios y la monitorización del tiempo que
los equipos o servicios se mantiene activos. (Nmap, 2012)
La salida de Nmap es un listado de objetivos analizados, con información adicional para
cada uno dependiente de las opciones utilizadas. La información primordial es la “tabla de
puertos interesantes”. Dicha tabla lista el número de puerto y protocolo, el nombre más
común del servicio, y su estado. El estado puede ser open (abierto), filtered (filtrado),
closed (cerrado), o unfiltered (no filtrado). Abierto significa que la aplicación en la
máquina destino se encuentra esperando conexiones o paquetes en ese puerto. Filtrado
indica que un cortafuegos, filtro, u otro obstáculo en la red está bloqueando el acceso a ese
puerto, por lo que Nmap no puede saber si se encuentra abierto o cerrado. Los puertos
cerrados no tienen ninguna aplicación escuchando en los mismos, aunque podrían abrirse
en cualquier momento. Los clasificados como no filtrados son aquellos que responden a los
sondeos de Nmap, pero para los que que Nmap no puede determinar si se encuentran
abiertos o cerrados. Nmap informa de las combinaciones de estado open/filtered y
28
closed/filtered cuando no puede determinar en cual de los dos estados está un puerto. La
tabla de puertos también puede incluir detalles de la versión de la aplicación cuando se ha
solicitado detección de versiones. Nmap ofrece información de los protocolos IP
soportados, en vez de puertos abiertos, cuando se solicita un análisis de protocolo IP con la
opción (-sO).
Además de la tabla de puertos interesantes, Nmap puede dar información adicional sobre
los objetivos, incluyendo el nombre de DNS según la resolución inversa de la IP, un listado
de sistemas operativos posibles, los tipos de dispositivo, y direcciones MAC
1.9.3. Htop
Htop es una aplicación liviana que muestra los procesos y permite gestionarlos. También
enseña el estado de la memoria, la swap y el consumo de CPU. El análogo gráfico es el
“Monitor de sistema“. Para consola, el comando que se suele usar para ver los procesos es
htop, mostrando una interfaz colorida diferenciándose a versiones anteriores.
1.9.4. OCS-NG
“El ordenador y el inventario de software abierto de próxima generación (OCS-NG)
proporciona la capacidad de gestión de activos multiplataforma. Esta herramienta
proporciona una forma automatizada para realizar un seguimiento de lo que tiene y
proporciona a la analista de seguridad con esa información, según sea necesario.” (Miller,
2011)
1.10. Rkhunter
Es una herramienta dedicada a sistemas Linux que cumplne la función de analizar y
detectar scripts maliciosos, rootkits, malware, backdoors, o incluso exploits locales, el
proceso que utiliza es mediante la comparación de los hash md5 de los directorios y
ficheros principales.
1.11. Implantación de sistemas de seguridad
Uno de los aspectos más destacados del ISO 27000 es la descripción del proceso de
implantación de sistemas de seguridad y control. Básicamente se resume en un proceso
29
cíclico continuo que pasa por las fases Plan-Do-Check-Act (PDCA) y vuelta a empezar.
(Escrivá, 2015)
1.11.1. Arranque o inicio del proyecto
En esta fase es necesario un compromiso por parte de la dirección de la empresa u
organización, la realización de una buena planificación, así como la asignación de los
responsables del proyecto.
1.11.2. Planificación (Plan)
En esta fase se deberían concretar aspectos como: la definición del alcance del sistema de
seguridad, la política y los objetivos en materia de seguridad, la metodología y enfoque a
utilizar para la evaluación de riesgos, el inventario de activos, la identificación de puntos
débiles, la identificación de impactos, etc.
1.11.3. Realización (Do)
En esta fase se definiría e implantaría el plan de tratamiento de riesgos, se implementarían
elementos de control, tareas de formación y concienciación al personal y se operaría ya con
el sistema de seguridad.
1.11.4. Revisión (Check)
Posteriormente a la fase de realización, se hace necesario revisar el proceso con el fin de
medir la eficacia de los controles y revisar otros riesgos. Se realizan auditorías internas del
sistema de seguridad, así como un registro de las distintas acciones y eventos.
1.11.5. Actuación (Act)
En esta fase se implantarían mejoras y se adoptarían medidas correctoras y preventivas,
con el fin de comprobar la eficacia de las acciones realizadas.
1.12. PYMES
Según: http://www.sri.gob.ec/de/32: “Se conoce como PYMES al conjunto de pequeñas y
medianas empresas que de acuerdo a su volumen de ventas, capital social, cantidad de
trabajadores, y su nivel de producción o activos presentan características propias de este
tipo de entidades económicas. Por lo general en nuestro país las pequeñas y medianas
30
empresas que se han formado realizan diferentes tipos de actividades económicas entre las
que destacamos las siguientes:
Comercio al por mayor y al por menor.
Agricultura, silvicultura y pesca.
Industrias manufactureras.
Construcción.
Transporte, almacenamiento y comunicaciones.
Bienes inmuebles y servicios prestados a las empresas.
Servicios comunales, sociales y personales.
Figura 3. Distribución sectorial de pymes en Ecuador
Fuente: http://investiga.ide.edu.ec/index.php/revista-perspectiva/138-
febrero-2006/736-analisis-y-ranking-de-pymes
Dentro del Ecuador y específicamente en el cantón Pelileo las PYMES juegan un rol muy
importante en el desarrollo económico social debido a que en su gran mayoría son
entidades generadoras de empleo a través de actividades relacionadas a bienes y servicios.
31
1.12.1. Importancia de las PYMES
Según: http://www.sri.gob.ec/de/32: “Las PYMES en nuestro país se encuentran en
particular en la producción de bienes y servicios, siendo la base del desarrollo social del
país tanto produciendo, demandando y comprando productos o añadiendo valor agregado,
por lo que se constituyen en un actor fundamental en la generación de riqueza y empleo.”
1.12.2. Características de las PYMES
Para poder distinguir una PYME de una gran empresa es necesario considerar ciertas
características propias de este tipo de entidades:
El número de empleados no excede el valor de 50
Las ventas anuales no deben rebasar los $ 100000
Gozar de capacidades técnicas y financieras orientadas a la producción,
transformación y/o prestación de servicios.
Existe un aspecto que debe ser resaltado dentro del grupo de las pymes, pues están
compuestas por estructuras comerciales que poseen limitaciones operativas y financieras,
entre las que resaltan las siguientes:
Microempresas
Pequeñas empresas
Medianas empresas
1.13. Conclusiones parciales del capítulo.
La seguridad de la información es un elemento fundamental en las empresas
actualmente, ya que la información es el principal componente de los procesos.
Las Normas ISO 27000 son una fundamentación muy relevante dentro del
desarrollo de actividades y procesos relacionados a la información de toda empresa,
brinda seguridad, confiabilidad y disponibilidad al momento de tener acceso a datos
legítimos.
Los sistemas SIEM se han convertido en una herramienta indispensable dentro de
la gestión de la seguridad en organizaciones donde se maneje información, pues
ofrecen herramientas de seguridad relacionadas en una sola interfaz, facilitando el
control y gestión de dicha información.
Las PYMES actualmente son consideradas como las principales entidades
generadoras del desarrollo económico del país, debido a la cantidad existente en el
32
país y el número considerable de fuentes de empleo que se han generado dentro de
las mismas, distribuidas en varios sectores laborales.
Se debe recalcar que el desarrollo teórico es fundamental para alcanzar los
objetivos propuestos al comienzo del proyecto, ya que servirá como plataforma de
conocimientos para lograr desarrollar la parte práctica detallada en el tema del
documento.
33
CAPÍTULO II
2. MARCO METODOLÓGICO
2.1. Caracterización del sector
El presente documento está orientado a las PYMES del cantón Pelileo debido a que en su
mayoría son quienes generan el movimiento y desarrollo económico de la localidad,
convirtiéndose en organizaciones en constante crecimiento tanto en aspectos de
automatización así como en tecnificación.
El aspecto principal por el cual se escogió a este tipo de entidades para desarrollar el
presente proyecto se basa fundamentalmente en la escasa seguridad aplicada a los sistemas
informáticos que poseen, inconveniente que se ha vuelto común debido al poco
conocimiento por parte del personal gerencial o administrativo de las PYMES.
En los últimos años las PYMES han ido adquiriendo equipos de cómputo con el fin de
digitalizar la información que regularmente sus actividades generan, comenzando la
ejecución de este objetivo mediante el uso de herramientas básicas de ofimática, hasta
alcanzar actualmente la utilización de sistemas informáticos que permiten automatizar
procesos de producción así como procesos contables, lógicamente abordados por personas
dedicadas a la comercialización de este tipo de software, las mismas que tienen por
objetivo el comercializar dichos sistemas dejando de lado la seguridad que
obligatoriamente la organización debería instalar para proteger su bien preciado, su
información.
Los entes encargados de proporcionar software de automatización a las PYMES tratan de
mantener su negocio sugiriendo a los clientes que ningún otro profesional puede manipular
los sistemas de información, sugerencia que los administradores de las PYMES cumplen
con rigurosidad, creyendo erróneamente que acatando dichas ordenes mantendrán fuera de
cualquier peligro su información.
El actual proyecto es planteado en función de la mayoría de las PYMES de la ciudad de
Pelileo, por cuanto poseen sistemas de información pero no cuentan con aplicaciones o
sistemas de seguridad ni con personal técnico capaces de solventar inconvenientes con la
presencia de amenazas o vulnerabilidades dentro de su red corporativa, pues los escasos
34
escudos de protección y seguridad con el que cuentan las PYMES no brindan confianza ni
protección para salvaguardar la integridad de su información.
Es necesario resaltar que las protecciones son muy limitadas y escasas, e incluso
información privada es de conocimiento de la mayoría de empleados y operarios de las
organizaciones.
Así también el único personal técnico encargado de brindar soporte en caso de existir
novedad alguna son los mismos proveedores de los sistemas informáticos contables,
personal que en muchos casos no tiene los conocimientos necesarios dentro del campo de
la informática, siendo incluso algunos de ellos profesionales en otras áreas que únicamente
adquirieron experiencia en el manejo de los sistemas informáticos con el fin de poder
comercializarlos, dejando a los administradores de las PYMES la responsabilidad de
buscar a una persona quien ofrezca un servicio adecuado que permita resolver el problema
suscitado.
2.2. Descripción procedimiento metodológico
Histórico – lógico
La utilización de este procedimiento metodológico permite determinar cómo se han
desarrollado las diferentes actividades de las PYMES en el campo informático a través del
tiempo, además permite conocer los aspectos que intervinieron en los cambios o evolución
que han sufrido las organizaciones debido al avance tecnológico.
Analítico – sintético
Con el uso del método analítico – sintético se realizó un análisis de la problemática
mediante la descomposición de los factores o elementos que dan origen al proyecto
planteado, consecuentemente sintetizar los parámetros relevantes que permitan determinar
conclusiones valederas que justifiquen los objetivos planteados en el mejoramiento de las
actividades informáticas de las entidades estudiadas.
Inductivo – deductivo
A través del empleo del método inductivo – deductivo se obtuvo los principios necesarios
para lograr definir que la implementación de un sistema de seguridad SIEM es urgente e
importante para el correcto desempeño de las PYMES y de esa forma proteger y mantener
la integridad de la información.
35
2.2.1. Modalidad investigación
La investigación tiene por objetivo adquirir nuevos conocimientos y la modalidad que se
decida adoptar es fundamental para lograr cumplir dicho objetivo, ya que de esa elección
dependerá el éxito de la investigación según la tesis planteada, no se puede dejar de lado
que la modalidad a elegir debe tener estrecha relación con la solución propuesta al
problema dado.
Por consiguiente la modalidad elegida para la presente investigación es la modalidad
cualitativa-cuantitativa, dicha elección se ha considerado que es la más adecuada al
presente proyecto por ser una modalidad que se fundamenta en la comprensión de hechos y
fenómenos, es decir esta modalidad permite obtener conocimientos en función de los
procesos a desarrollar en la propuesta planteada evitando el análisis masivo de datos
cuantitativos sobre variables.
La modalidad de la investigación cualitativa permite al investigador ser testigo de los
hechos y procesos que las entidades desarrollan antes de la ejecución de la propuesta
planteada, añadiendo la posibilidad de que el investigador sea capaz de plantear
inquietudes a los entes relacionados en el proceso acerca de requerimientos operacionales,
para resumir se puede decir que con esta modalidad el investigador es testigo directo de las
actividades ejecutadas por las entidades a investigar.
2.2.2. Tipo de investigación
El tipo de investigación considerado para el desarrollo del proyecto es la investigación de
campo pero sin dejar de lado la fundamentación basada en la investigación documental,
pues no puede existir investigación de campo sin un previo análisis de documentos que
contengan información valedera para el desarrollo de una investigación fundamentada, el
análisis del tipo de investigación permite determinar que la elección concuerda con los
principios prácticos de la propuesta planteada.
Se debe recalcar que los proyectos basados en el desarrollo o implementación de software
también es conocido como proyecto especial, debido a que para su respectivo proceso es
necesario la intervención de la investigación documental y de la investigación de campo,
36
por ser necesaria la utilización de libros, documentos, revistas, etc., basados en técnicas
aplicables en la vida diaria.
Se ha designado la investigación de campo como la de mayor prioridad debido a que el
investigador cumple el rol de testigo directo en cada una de las PYMES analizadas, con el
fin de comprender el funcionamiento de los sistemas de seguridad de cada una de ellas,
logrando determinar que prácticamente todas las PYMES revisadas carecen de medios de
seguridad informática, lo cual implica que la propuesta planteada ayudaría al mejor
desarrollo de las actividades cotidianas de dichas empresas.
2.2.3. Métodos, técnicas e instrumentos
El método de investigación a utilizar para el presente proyecto es el método deductivo, por
considerar que la investigación empezará analizando desde los aspectos más generales
hasta abarcar los aspectos específicos, aquellos que permitirán determinar la factibilidad y
el beneficio de la propuesta planteada.
El método a emplear para la realización de la investigación obtendrá una información
inicial sobre los temas más generales que engloban los equipos de cómputo dentro de una
LAN institucional y todos los aspectos que estos sistemas conllevan, es decir que finalizará
con datos específicos sobre temas relevantes para el correcto estudio de la investigación
planteada.
Para una adecuada recolección de información también es necesario definir las técnicas e
instrumentos que permitan obtener datos valiosos para la investigación en curso.
Como técnica básicamente se ha establecido a la observación y la entrevista por considerar
que son las técnicas que encajan acertadamente en el proyecto planteado, pues es
imprescindible que el investigador verifique personalmente todos los procesos que las
PYMES ejecutan en las actividades de seguridad de sus sistemas computacionales, con el
objetivo de tratar captar todos los pormenores que faciliten que el proyecto actual logre
mejorar o implementar en pos de mejorar la seguridad de las PYMES en tratamiento.
En cambio como instrumento para la investigación y recolección de datos se ha definido a
la encuesta, instrumento que por sus características particulares permitirá ser específicos en
37
las inquietudes planteadas por el investigador así como en las respuestas de las personas
encuestadas, ya sean los gerentes, administradores o encargados de las PYMES o también
los técnicos o personas destinadas a la gestión y administración de los equipos
informáticos de las PYMES en análisis.
2.2.4. Población y muestra
Para la guía de la población se ha clasificado a las PYMES por los siguientes
sectores:
Comercial
Textil
Dentro del sector comercial se ha incluido empresas dedicadas a la generación de servicios
y comercialización de artículos o artefactos del hogar, equipos electrónicos y maquinaria
para la confección.
En cambio dentro del sector textil se incluyó empresas dedicadas a la confección y
terminado de prendas jeans.
Se ha determinado que la encuesta sea dirigida a los gerentes o administradores de las
diferentes entidades.
ESTRATO UNIDAD DE ANALISIS
(Sector)
N°
Gerentes/administradores COMERCIAL 2200
TEXTIL 2200
Tabla 1. Población
Fuente: Ayo Johana (2015) – Adaptación del uso de las tics en pymes dedicadas a
actividades de exportación y comercialización textil de jeans confeccionados en la ciudad
de Pelileo.
Muestra
𝑛 =𝑘2 ∗ 𝑝 ∗ 𝑞 ∗ 𝑁
(𝑒2 ∗ (𝑁 − 1)) + 𝑘2 ∗ 𝑝 ∗ 𝑞
Donde:
N: tamaño de la población
k: constante – nivel de confianza
e: error muestral
p: probabilidad de éxito
q: probabilidad de fracaso
n: tamaño de muestra
38
𝑛 =1.652 ∗ 0.5 ∗ 0.5 ∗ 4400
(102 ∗ (4400 − 1)) + 1.652 ∗ 0.5 ∗ 0.5
𝒏 = 𝟔𝟕
2.2.5. Análisis e interpretación de resultados
Luego de haber obtenido los resultados en base a los métodos, técnicas e instrumentos
empleados en la presente investigación se los analizó y se puede interpretar lo siguiente
según los gerentes o administradores de las PYMES:
1). Cuenta su empresa con equipos informáticos que permitan automatizar procesos
relacionados a su actividad económica?
N° Ítem Frecuencia Porcentaje
1 Si 67 100%
2 No 0 0%
Total 67 100%
Tabla 2. Equipos informáticos
Fuente: Elaborado por el investigador
Gráfico 1. Equipos informáticos
Fuente: Elaborado por el investigador
Análisis e interpretación
Del total de PYMES analizadas se deduce que la totalidad de pymes encuestadas
automatizan de manera informática algún proceso relacionado a la actividad económica, lo
100%
0%
Cuenta su empresa con equipos informáticos que permitan automatizar procesos relacionados a su
actividad económica?
SI
NO
39
cual indica una alta probabilidad que ostenten algún sistema contable o de producción ya
que son los tipos de software más utilizados en la actualidad. Entonces según los resultados
es factible representar la información según el gráfico 1.
2). Su empresa cuenta con una red LAN que facilite la comunicación informática
N° Ítem Frecuencia Porcentaje
1 Si 58 87%
2 No 9 13%
Total 67 100%
Tabla 3. Red LAN
Fuente: Elaborado por el investigador
Gráfico 2. Red LAN
Fuente: Elaborado por el investigador
Entre las entidades intervenidas se puede notar que la mayoría cuenta con alguna red LAN,
mientras que un bajo porcentaje carece de este tipo de comunicación y tan solo trabaja con
computadores de forma independiente, lógicamente que para consolidar algunos datos o
información desde un computador a otro lo realizan mediante el uso de dispositivos de
almacenamiento externo.
87%
13%
Su empresa cuenta con una red LAN que facilite la comunicación informática?
SI
NO
40
Lo cual implica que ya existe un desperdicio de recursos dentro de la organización,
significando pérdidas considerables al momento de generar balances.
3). Posee su empresa conexión a internet?
N° Ítem Frecuencia Porcentaje
1 Si 67 100%
2 No 0 0%
Total 67 100%
Tabla 4. Internet
Fuente: Elaborado por el investigador
Gráfico 3. Internet
Fuente: Elaborado por el investigador
La conexión a internet hoy en día se ha convertido en un necesidad básica en todos los
campos, es por eso que la totalidad de las entidades encuestadas poseen el servicio de
internet con el fin de mejorar la comunicación con clientes y proveedores de manera
eficiente, implicando estar al nivel de la competencia y las exigencias actuales.
100%
0%
Posee su empresa conexión a internet?
SI
NO
41
4). Dentro de su empresa existe alguna conexión inalámbrica?
N° Ítem Frecuencia Porcentaje
1 Si 67 100%
2 No 0 0%
Total 67 100%
Tabla 5. Conexión inalámbrica
Fuente: Elaborado por el investigador
Gráfico 4. Conexión inalámbrica
Fuente: Elaborado por el investigador
El auge de los dispositivos móviles ha obligado que las conexiones inalámbricas aumenten
de una manera considerable, a tal punto que encontramos este tipo de conexiones en
restaurantes, centros comerciales, parques, etc, y con mayor razón en la comodidad de los
hogares y oficinas de empresas.
Este es el caso de todas las empresas en estudio, incluso en algunas de ellas no existe red
cableada alguna pero si cuentan con una conexión inalámbrica, que a criterio de sus
administradores es más importante especialmente para un buen desempeño de sus
dispositivos móviles, ignorando la funcionalidad de una red LAN dentro de las
organizaciones.
100%
0%
Dentro de su empresa existe alguna conexión inalámbrica?
SI
NO
42
5). Su conexión inalámbrica posee alguna seguridad de acceso?
N° Ítem Frecuencia Porcentaje
1 Si 67 100%
2 No 0 0%
Total 67 100%
Tabla 6. Seguridad de acceso
Fuente: Elaborado por el investigador
Gráfico 5. Seguridad de acceso
Fuente: Elaborado por el investigador
Las conexiones inalámbricas hoy en día es un medio de comunicación muy utilizado y
preferentemente por la facilidad de transporte en cuanto a dispositivos móviles, su
seguridad depende básicamente del tipo de encriptación y las cadena de texto que se le
agregue como contraseña de acceso, es así que todas las PYMES tienen sus conexiones
bloqueadas con sus respectivas contraseñas, claro está que no todas las contraseñas
establecidas son seguras, pues algunas son fáciles de deducir, lo cual implica una alta
probabilidad de que esa seguridad sea violentada de manera sencilla.
100%
0%
Su conexión inalámbrica posee alguna seguridad de acceso?
SI
NO
43
6). Su empresa cuenta con políticas de seguridad en el campo informático?
N° Ítem Frecuencia Porcentaje
1 Si 54 80%
2 No 13 20%
Total 67 100%
Tabla 7. Políticas de seguridad
Fuente: Elaborado por el investigador
Gráfico 6. Políticas de seguridad
Fuente: Elaborado por el investigador
La seguridad es uno de los aspectos más importantes a ser considerada dentro de toda
entidad, en todo nivel y campo, y si de salvaguardar el bien más preciado de los sistemas
se trata, obligadamente en necesario implementar ciertas políticas de seguridad, sin
embargo es un pilar descuidado en las PYMES encuestadas, a tal punto que la mayor parte
de las pymes encuestadas, no cuentan con políticas de seguridad informática, mientras que
un bajo porcentaje tiene políticas erróneas o mal infundadas.
20%
80%
Su empresa cuenta con políticas de seguridad en el campo informático?
SI
NO
44
7). Su red corporativa o sus equipos informáticos han sido víctimas de algún ataque
informático?
N° Ítem Frecuencia Porcentaje
1 Si 9 13%
2 No 27 40%
3 Desconoce 31 47%
Total 67 100%
Tabla 8. Ataques informáticos
Fuente: Elaborado por el investigador
Gráfico 7. Ataques informáticos
Fuente: Elaborado por el investigador
En la actualidad es muy común escuchar la palabra “hackear”, término que hace referencia
a la acción de violentar algún tipo de seguridad o limitación en el acceso a determinado
equipo informático o de red.
Esta acción era realizada únicamente por personal profesional con vastos conocimientos en
vulnerabilidades de los mencionados equipos, pero hoy en día también lo pueden realizar
personas con conocimientos básicos en el área informática, pues existen gran cantidad de
videos o manuales en el internet explicando paso a paso como violentar seguridades tanto
en componentes software como en hardware, siendo muy posible que los pseudo atacantes
13%
40%
47%
Su red corporativa o sus equipos tecnológicos han sido víctimas de algún ataque informático?
SI
NO
DESCONOCE
45
estén dentro de las mismas organizaciones convirtiéndose en una amenaza mucho más
peligrosa e insistente.
Las entidades encuestadas no dejan de estar expuestas a este tipo de ataques, y con mayor
razón por el desconocimiento del tema por parte de los administradores, es así que un bajo
porcentaje manifiesta que han sido víctimas de algún ataque, mientras que el porcentaje
mayor desconoce si en determinada ocasión fueron objeto de alguna violación en sus
equipos o red institucional, dejando al porcentaje restante como entidades que nunca
sufrieron ataque alguno.
8). Su empresa cuenta con personal técnico propio, encargado de administrar sus equipos y
sistemas informáticos?
N° Ítem Frecuencia Porcentaje
1 Si 49 73%
2 No 18 27%
Total 67 100%
Tabla 9. Personal técnico
Fuente: Elaborado por el investigador
Gráfico 8. Personal técnico
Fuente: Elaborado por el investigador
27%
73%
Su empresa cuenta con personal técnico propio, encargado de administrar sus equipos y sistemas
informáticos?
SI
NO
46
El buen desempeño informático dentro de toda empresa depende mucho del personal
calificado que se encuentre disponible para dar pronta solución a los problemas
presentados, sin embargo según los resultados obtenidos la minoría de las PYMES cuentan
con personal propio destinado para el área informática, pero no todo ese personal tiene la
capacitación necesaria para poder cumplir el rol de administrador o técnico en caso de
presentarse algún inconveniente, mientras que la mayoría no posee personal propio, lo cual
implica que los administradores o gerentes hagan uso de la prestación de servicios
profesionales de personal externo que se encuentre disponible en el momento para
satisfacer las necesidades presentadas.
9). Su empresa cuenta con algún sistema de monitoreo y gestión de eventos frente a
ataques informáticos?
N° Ítem Frecuencia Porcentaje
1 Si 0 0%
2 No 67 100%
Total 67 100%
Tabla 10. Sistema de monitoreo
Fuente: Elaborado por el investigador
Gráfico 9. Sistema de monitoreo
Fuente: Elaborado por el investigador
Para lograr tener una seguridad básicamente operativa es indispensable tener las
herramientas adecuadas que permitan visualizar o monitorear los eventos que se generen
0%
100%
Su empresa cuenta con algún sistema de monitoreo y gestión de eventos frente a ataques
informáticos?
SI
NO
47
dentro de una red o conjunto de equipos informáticos, sin necesidad de hacer gastos
inmensurables es factible encontrar en internet pequeñas aplicaciones que muestran todos
los equipos conectadas a una LAN, o herramientas que muestran el tráfico de la red,
parámetros que dan la óptica al personal informático para saber qué es lo que está
sucediendo dentro de la entidad y poder tomar los correctivos que el caso amerite, en esta
virtud ninguna de las PYMES cuentan con algún sistema o herramientas que permitan
monitorear y gestionar eventos frente a algún ataque informático, por consiguiente no
cuentan con herramienta alguna que ayude a determinar a tiempo algún suceso o evento
ajeno al normal desempeño informático dentro de la empresa.
10). Considera factible la implementación de un sistema de gestión de eventos dentro de su
empresa?
N° Ítem Frecuencia Porcentaje
1 Si 58 87%
2 No 9 13%
Total 67 100%
Tabla 11. Sistema de gestión
Fuente: Elaborado por el investigador
Gráfico 10. Sistema de gestión
Fuente: Elaborado por el investigador
87%
13%
Considera factible la implementación de un sistema de gestión de eventos dentro de su empresa?
SI
NO
48
A criterio de determinados administradores o gerentes el contratar personal informático de
planta o adquirir algún sistema informático es un gasto innecesario pues consideran que los
ataques informáticos no tienen lugar en nuestro medio, es así que la mayoría de los
gerentes encuestados creen que si es meritorio implementar algún sistema o herramienta
que permita gestionar eventos en beneficio de la seguridad informática institucional,
mientras que un bajo porcentaje piensa que no es necesaria la implementación por los
criterios antes mencionados.
2.3. Descripción de la propuesta
Ante la poca seguridad existente en las PYMES analizadas, la propuesta para el presente
proyecto es totalmente factible, pues generará resultados positivos en el control y
monitoreo de las redes LAN de cada una de las entidades.
La propuesta planteada en el presente proyecto trata de la implementación de un sistema
SIEM que permita monitorear en tiempo real algunas de las actividades que se ejecuten
dentro de una LAN y que arroje como resultados información que normalmente no es
captada por algún administrador informático, además permita adoptar alternativas de
solución frente a la aparición de eventos no programados.
Hoy en día en el mercado informático existes muchos sistemas SIEM, ya sea bajo software
libre o software propietario, claro está que a más del valor económico la diferencia radica
en el rendimiento y el soporte técnico, aspectos que encarecen su costo comercial,
convirtiéndose en herramientas imposibles de adquirir por pequeñas y medianas empresas.
Los sistemas SIEM bajo software propietario son diseñados para grandes empresas como
por ejemplo google, target, adobe, etc., sin que las pequeñas entidades tengan sistemas de
seguridad a este nivel, pero lo que si existen son pequeñas herramientas que ayudan de una
u otra manera a gestionar y monitorear redes dentro de las empresas en mención,
específicamente herramientas pertenecientes a software libre como por ejemplo: nagios,
ntop, snort, nmap, htop, etc., a partir de estas herramientas se generan los sistemas SIEM
tanto para software propietario así como para software libre logrando vincularlas para una
mejor disposición de cada herramienta integrada.
49
Es así como entre las tendencias de sistemas SIEM bajo software propietario están: HP
ArcSight, Cisco-MARS, Splunk, etc., mientras que bajo software libre aparecen Icinga,
OSSIM, Zabbix, e incluso una versión libre de Splunk, y sistemas propios de usuarios en
distros Linux.
Para el presente proyecto se ha decidido la implementación bajo la plataforma de CentOS,
es necesario resaltar que este sistema se encuentra disponible en la web, pues pertenece a la
categoría de software libre, claro está que para la implementación se utilizará en conjunto
con aplicaciones como OCS, htop, nmap, snort, DHCP, rkhunter.
La propuesta integra varias herramientas de gestión y manipulación de redes, facilitando
tener un control centralizado tanto de las actividades así como de los computadores de las
LAN. Son paquetes que se encuentran disponibles en el internet desde donde se lo puede
descargar e instalar en cualquier distribución de Linux.
2.4. Conclusiones parciales del capítulo
Según los resultados obtenidos de la aplicación de los instrumentos de
investigación se deduce la factibilidad de ejecución de la propuesta planteada, pues
por mínimo que sea el aporte de la herramienta, servirá para mejorar el desempeño
operativo de las PYMES en el campo informático, debido a que las entidades no
cuentan con alternativas para salvaguardar la integridad de sus componentes
hardware y software.
La definición de políticas de seguridad y su cumplimiento es un aspecto relevante a
ser considerado dentro del desarrollo de actividades informáticas en las PYMES,
permitirán establecer medios de convivencia armónica entre jefes y empleados.
La capacitación a los administradores o gerentes es otra condición importante para
la normal implementación de la herramienta, claro está que dicha capacitación no
será con carácter técnico, sino como socialización de los beneficios a obtener en el
aspecto operativo de las PYMES.
50
CAPÍTULO III
3. MARCO PROPOSITIVO.
3.1. Tema
Implementar un sistema SIEM bajo software libre para mejorar la seguridad operacional en
las pymes de la ciudad de Pelileo
3.2. Objetivos
Identificar requerimientos para la adecuada implementación del sistema SIEM.
Analizar las estructuras de networking existentes en las pymes.
Seleccionar las herramientas adecuadas para implementar en el sistema SIEM
cumpliendo con un acertado control de las actividades informáticas dentro de las
pymes.
Diseñar los procedimientos de implantación del sistema SIEM, capaz de ser adoptado
por la estructura de red existente.
Implementación del sistema SIEM para mejorar las actividades operacionales de las
pymes.
Verificar el correcto funcionamiento del sistema SIEM mediante la aplicación de
pruebas reales.
3.3. Desarrollo de la Propuesta
3.3.1. Análisis de la estructura de red
En términos generales la estructura que poseen la mayoría de pymes en la ciudad de
Pelileo es una estructura común, desarrollada de forma básica, pues los requerimientos y
exigencias a criterio de los administradores de dichas entidades no son mayores.
Generalmente las empresas poseen una estructura LAN, la misma que incluye una
combinación de tecnologías entre cableada e inalámbrica, debido a que cuentan con el
servicio de internet proporcionado por la empresa estatal CNT, no es muy común encontrar
otros proveedores de internet a causa de la situación geográfica de la ciudad, lo cual
complica tener otro tipo de conexión hacia el servicio de internet.
51
A continuación se citan los componentes de las estructuras de red que poseen las pymes,
además se representa un esquema estándar que es muy común en la mayoría de ellas.
Equipos de red (router, switch)
Equipos informáticos (computadores desktop, servidores, impresoras y equipos
portátiles)
Gráfico 11. Esquema básico de red Fuente: Elaborado por el investigador
Un aspecto a tratar es la ausencia de sistemas o herramientas de control y seguridad en las
estructuras de red, pues el único aspecto de seguridad que poseen todas las pymes son
programas antivirus versiones free, lo cual implica que las actividades operacionales de
dichas entidades se encuentran totalmente descuidadas.
3.3.2. Selección de herramientas a implementar en el sistema SIEM
En el mercado informático existen muchas aplicaciones SIEM que permiten aplicar
controles y seguridades en estructuras de networking, debe quedar claro que muchas de
ellas son aplicaciones comerciales mientras que el resto son aplicaciones opensource,
además existen herramientas que pueden ser configuradas dentro de un sistema SIEM
propio, es decir en un sistema operativo Linux es posible configurar un servidor SIEM bajo
las necesidades y requerimientos del usuario, básicamente utilizando herramientas de
código abierto compatibles con sistemas Linux. Es necesario resaltar que los sistemas
SIEM comerciales existentes ofrecen mejores prestaciones en comparación con las
52
aplicaciones de código libre que tienen limitaciones en su funcionamiento y
específicamente en la generación de reportes y logs.
Entre los sistemas SIEM más utilizados se citan las siguientes:
Software comercial:
ArcSight
Cisco MARS
Splunk
Q1 Labs QRadar
Opensource:
OSSIM
ICINGA
Mientras que en el grupo de aplicaciones, sistemas operativos y servicios de red utilizados
para implementar sistemas SIEM encontramos entre los más reconocidos los siguientes:
Herramientas y servicios:
Snort
DHCP
NMAP
OCS-NG
Htop
Rkhunter
Sistemas operativos:
Ubuntu
Fedora
Windows server
CentOS
Debian
RedHat
Del listado anterior se ha decidido que para la respectiva configuración del servidor SIEM
se utilizará la plataforma de Linux CentOS (Community ENTerprise Operative System)
53
versión 6.8, por ser una distribución opensource que ofrece características de fiabilidad,
robustez y eficiencia, cualidades que permitirán ejecutar de una forma adecuada las
acciones de monitoreo y control en las actividades que se presentarán en las pymes,
llegando a concluir que el sistema operativo seleccionado concuerda con las expectativas
de seguridad de las entidades en estudio.
3.3.3. Diseño de la red para la implantación del sistema SIEM
Luego de haber analizado la estructura de red de las pymes y haber seleccionado el sistema
sobre el cual se configurará el sistema SIEM se procede a definir un diseño que permita al
sistema adaptarse a dichas estructuras, con el fin de que el funcionamiento operativo sea el
más adecuado tratando de reducir riesgos y amenazas.
Para optimizar los recursos y las estructuras de las pymes los aspectos que se han
propuesto es agregar un sensor del sistema SIEM, un router y un switch dentro de las redes
existentes, pues la topología está acorde a las exigencias de las pequeñas empresas.
El diseño planteado es una sugerencia que los administradores deben cumplir para obtener
el mayor de los beneficios, caso contrario existe la posibilidad de un incremento de
vulnerabilidades de seguridad.
Por consiguiente el diseño planteado se muestra a continuación:
Gráfico 12. Esquema de red propuesto Fuente: Elaborado por el investigador
54
3.3.4. Requerimientos hardware mínimos para instalación del sistema
Los requerimientos hardware para la instalación y configuración del sistema SIEM
dependerá de los elementos que se desea monitorear e instalar en CentOS, es decir que
mientras más sean los complementos a instalar, mayores serán los requerimientos, sin
embargo los requerimientos mínimos son:
4GB de memoria RAM
25 GB de espacio en disco
Procesador de 32 o 64 bits (de preferencia 64 bits)
Es considerable el hecho de rendimiento del computador, es asi que si el computador tiene
mejores características hardware, mejor será el rendimiento del software. Además se debe
tener en cuenta la forma de respaldar el sistema o la información, hoy en día una
alternativa es el almacenamiento en la nube, pero no es segura, lo que se sugiere es utilizar
alternativas de respaldo mucho más eficientes y seguras, como por ejemplo RAID.
3.3.5. Instalación y configuración
Para dar inicio al proceso de instalación y configuración del sistema de seguridad, es
primordial empezar por actualizar los repositorios y paquetes del sistema operativo,
dejando para luego la configuración de los aspectos relacionados a los servicios de red.
3.3.5.1. Actualización de paquetes de CentOS
Para poder actualizar los paquetes de CentOS, incluidos los que se encuentran obsoletos es
necesario tener conexión a internet y ejecutar el comando yum upgrade desde una terminal
en modo de usuario root.
Figura 4. Cambio a usuario root Fuente: Servidor SIEM
55
A continuación se ejecuta la actualización de paquetes de CentOS.
Figura 5. Actualización de paquetes Fuente: Servidor SIEM
La verificación del éxito de la actualización permitirá tener la seguridad de que los
procesos de instalación se realizarán sin mayores contratiempos.
Figura 6. Finalización de actualización
Fuente: Servidor SIEM
56
3.3.5.2. Configuración de direccionamiento IP
Con el objetivo de tener un control adecuado del acceso a la red lan, se ha definido que el
direccionamiento será configurado bajo la modalidad automática conocida como DHCP,
ya sea por asignamiento automático establecido en el rango así como asignamiento de ip
fijas, esta característica permite que el monitoreo de equipos dentro de la red sea mucho
más confiable que el asignamiento aleatorio.
3.3.5.3.Instalación y configuración del servicio DHCP
Luego de haber actualizado el sistema operativo es necesario establecer la configuración de
la red, uno de los aspectos principales de todo sistema de seguridad es el de tener el control
sobre el direccionamiento IP, motivo por el cual es ineludible la configuración del servicio
de direccionamiento DHCP, debiendo empezar por verificar si el servicio está instalado.
Para esta verificación se ejecuta el comando service dhcpd status.
Figura 7. Verificación del servicio dhcpd en el sistema
Fuente: Servidor SIEM
57
El resultado mostrado indica que el servicio no se encuentra instalado en el sistema, por
consiguiente se debe proceder a su respectiva instalación.
Figura 8. Instalación del servicio DHCP Fuente: Servidor SIEM
Se recomienda que aún no se inicialice el servicio DHCP, hasta configurarlo, aunque
muchas fuentes de consulta recomiendan lo contrario, entonces para configurar es
necesario modificar el archivo dhcpd.conf utilizando un editor. Por ejemplo podría ser el
editor vi.
Figura 9. Envío de archivo dhcpd a editor de texto Fuente: Servidor SIEM
58
La información básica que es parte del servicio DHCP se la debe ingresar mediante el
editor de texto.
Figura 10. Configuración del servicio DHCP Fuente: Servidor SIEM
El servicio DHCP también será configurado para que asigne direcciones IP fijas, pues es
una forma de tener un control mucho más seguro del acceso a la red.
Figura 11. Direccionamiento IP fija Fuente: Servidor SIEM
59
3.3.5.4. Configuración de inventarios
Dentro de las características de sistemas SIEM y de seguridad es parte fundamental la
aplicación de herramientas que permitan tener un inventario tanto de hardware como
software existente en los equipos conectados a la red lan de la entidad, esto facilita mucho
la toma de decisiones al momento de solucionar inconvenientes de funcionamiento en cada
uno de los equipos informáticos.
La aplicación generadora de inventarios a ser utilizada dentro del sistema se seguridad es
OCS inventory.
3.3.5.5. Instalación y configuración de OCS-NG Inventory
La aplicación es una de las más utilizadas al momento de gestionar inventarios dentro de
redes de equipos informáticos, para su correcta instalación y configuración se debe
empezar por instalar las dependencias necesarias.
El primer paquete a instalar es perl-XML-Simple, utilizado para la fácil y simple lectura de archivos
xml, característica propia de sitios web o interfaces web.
Figura 12. Instalación de paquete perl-XML-Simple
Fuente: Servidor SIEM
60
Es indispensable la instalación del paquete perl-Compress-Zlib, para la compatibilidad con
librerías de compresión web.
Figura 13. Instalación de perl-Compress-Zlib Fuente: Servidor SIEM
A continuación se muestra la instalación del paquete perl-DBI, utilizado para permitir el
acceso a bases de datos mediante la interfaz web, además de la instalación de paquete perl-
DBD-MySQL, paquete destinado a la gestión de base de datos en MySQL.
Figura 14. Instalación del paquete perl-DBI
Fuente: Servidor SIEM
Figura 15. Instalación del paquete perl-DBI-MySQL Fuente: Servidor SIEM
61
En las siguientes figuras se muestra la instalación del paquete Net-IP, empleado para la
manipulación de IPv4 y v6, además la instalación del paquete SOAP-Lite, brindando una
interfaz liviana hacia el protocolo de acceso orientado a servicios.
Figura 16. Instalación del paquete perl-Net-IP Fuente: Servidor SIEM
Figura 17. Instalación del paquete perl-SOAP-Lite Fuente: Servidor SIEM
La instalación de la herramienta de descarga desde servidores web también es necesario
para OCS, para este fin se instala el paquete de wget.
Figura 18. Instalación de wget Fuente: Servidor SIEM
62
Al saber que OCS trabaja mediante una interfaz web, se debe tener en cuenta que
obligatoriamente se debe instalar apache, con el fin de ejecutar aquella interfaz web a
modo de servidor web http, para este fin se instala el paquete perl-Apache-DBI.
Figura 19. Instalación de perl-Apache-DBI Fuente: Servidor SIEM
El paquete epel-release perimet la instalación de paquetes adicionales para Linux
empresarial, es decir permite instalar paquetes con origen Fedora, compatibles para
CentOS y RedHat.
Figura 20. Instalación de epel-release
Fuente: Servidor SIEM
PhpMyAdmin permite interactuar con una base de datos mediante el empleo de una
interfaz web, a continuación se muestra la instalación del paquete en mención.
Figura 21. Instalación de phpMyAdmin
Fuente: Servidor SIEM
63
Luego de haber instalado los paquetes de gestión de datos mediante interfaz web es
necesario iniciar el servicio de mysql, para ello se ejecuta el siguiente comando.
Figura 22. Iniciar el servicio mysqld Fuente: Servidor SIEM
Una vez instalado el servidor de mysql, es necesario permitir que el servidor requiera una
contraseña de acceso, para ello es necesario el siguiente comando
Figura 23. Ejecución de mysql_secure installation Fuente: Servidor SIEM
Ejecutar el comando setup para ingresar a la opción de configuración del cortafuegos
Figura 24. Comando setup Fuente: Servidor SIEM
64
Luego de haber ingresado al cortafuegos es necesario habilitar los servicios http y https.
Figura 25. Habilitación http y https Fuente: Servidor SIEM
A continuación es necesario configurar los servicios httpd y mysqld para inicio automático.
Figura 26. Inicio automático del servicio httpd Fuente: Servidor SIEM
65
Figura 27. Inicio automático del servicio mysqld Fuente: Servidor SIEM
Para finalizar el proceso de los servicios es obligatorio el reinicio del servicio de iptables
Figura 28. Reinicio del servicio iptables
Fuente: Servidor SIEM
66
Hasta este punto se ha finalizado con la instalación de dependencias, a continuación se
visualiza la instalación de OCS-NG Inventory, se puede instalar desde el equipo o
directamente desde la web, tal como muestra la imagen.
Figura 29. Descarga de OCS-NG Fuente: Servidor SIEM
Luego de haber descargado el paquete, este necesita ser descomprimido, acción que se la
realiza con la ejecución del siguiente comando.
Figura 30. Descomprimir carpeta de OCS Fuente: Servidor SIEM
Cuando la carpeta se encuentra descomprimida, se debe acceder a ese directorio e instalar
la aplicación utilizando la siguiente sintaxis.
Figura 31. Instalación de OCS Fuente: Servidor SIEM
67
Como siguiente proceso se debe volver a reiniciar el archivo httpd, ubicado en el directorio
/etc/init.d/
Figura 32. Reinicio del proceso httpd Fuente: Servidor SIEM
Luego se debe configurar el archivo phpMyAdmin ubicado en la carpeta http del directorio /etc/
Figura 33. Comando para editar phpMyAdmin.conf Fuente: Servidor SIEM
Lo que se debe hacer en este archivo es comentar las líneas que de texto que se muestran
en la siguiente imagen.
Figura 34. Configuración de phpMyAdmin Fuente: Servidor SIEM
68
Será necesario asignar contraseña de administrador al mysql desde consola.
Figura 35. Asignamiento de contraseña de administrador a mysql Fuente: Servidor SIEM
Dentro de la configuración de mysql también se debe definir el tamaño máximo de
paquetes
Figura 36. Establecer el máximo valor de paquetes Fuente: Servidor SIEM
En determinados casos la ejecución de OCS genera inconvenientes con SELinux, siendo
recomendado colocar en modo permisivo a dicho módulo.
Figura 37. Modo permisivo de SELinux Fuente: Servidor SIEM
69
La gestión del usuario y la base de datos para interactuar con OCS se los realizarán con
phpMyAdmin, razón por la cual también se debe acceder su respectiva interfaz web.
Figura 38. Interfaz web de php MyAdmin
Fuente: Servidor SIEM
En phpAdmin se crearán el usuario y la base de datos, según los requerimientos.
Figura 39. Usuario y base de datos Fuente: Servidor SIEM
70
En la siguiente imagen se visualiza el primer acceso a la interfaz web de OCS, esto servirá
para la instalación y configuración de la interfaz web de la herramienta.
Figura 40. Primer acceso a la interfaz web Fuente: Servidor SIEM
Luego de haber completado el formulario anterior, el sistema mostrará la información de
que se generó de forma correcta.
Figura 41. Instalación de interfaz web de OCS Fuente: Servidor SIEM
71
Ahora se debe asignar la información del usuario y base de datos al archivo
dbconfig.inc.php y también a z-ocsinventory-server.conf quedando de la siguiente manera.
Figura 42. Asignación de nombre de base de datos y clave Fuente: Servidor SIEM
Figura 43. Archivo z-ocsinventory-server.conf Fuente: Servidor SIEM
72
Luego de la instalación es obligatorio eliminar el archivo de instalación, para evitar que en
cada inicio se repita la instalación.
Figura 44. Eliminación de install.php
Fuente: Servidor SIEM
Luego de haber instalado y configurado en el servidor se procede a la instalación en los
clientes, mostrando la siguiente información.
Figura 45. Instalación y configuración de OCS Agent Fuente: Servidor SIEM
73
Cuando se encuentra listo el servidor y los agentes, la interfaz del OCS mostrará la
información de cada uno de los equipos tanto de hardware como de software, lo cual
permitirá poseer un inventario de los equipos.
Figura 46. Interfaz de OCS Inventory Fuente: Servidor SIEM
3.3.5.6. Detección de eventos
La detección de eventos dentro de una red es un aspecto muy importante al momento de
hablar de seguridad, pues permite tener conocimiento de lo que sucede a nivel de
funcionamiento, para este caso se ha decidido utilizar la herramienta perteneciente al grupo
de sistemas de detección de intrusos llamado snort.
3.3.5.7. Instalación y configuración de snort
Para dar inicio a la instalación de snort es necesario instalar algunas dependencias para
evitar inconvenientes durante la instalación y configuración
Figura 47. Instalación de dependencias de snort Fuente: Servidor SIEM
74
Además de la instalación de dependencias, también es necesaria la instalación del paquete
de desarrollo, tal como se muestra a continuación.
Figura 48. Instalación del paquete de desarrollo Fuente: Servidor SIEM
En las siguientes imágenes se observa la instalación de librerías de red mediante el paquete
libdnet.
Figura 49. Descompresión paquete de libdnet Fuente: Servidor SIEM
Figura 50. Instalación de paquetes libdnet Fuente: Servidor SIEM
75
De igual forma se instala librerías de adquisición de datos daq, paquete descargado desde
la web.
Figura 51. Descompresión de paquete daq Fuente: Servidor SIEM
Figura 52. Instalación del paquete daq Fuente: Servidor SIEM
Al igual que la instalación del paquete daq, también se realiza el paquete de snort
Figura 53. Instalación de snort Fuente: Servidor SIEM
Dentro del directorio /etc/ es importante la creación de la carpeta snort, donde se copiará el
todo el contenido del siguiente directorio /usr/local/src/snort-2.9.8.2/etc/. Además
descomprimir las reglas snapshot descargadas desde la web, y crear una copia de
white_list.rules con otro nombre.
Figura 54. Copia y renombre de white_list.rules Fuente: Servidor SIEM
76
Como siguiente paso se debe modificar el propietario a los siguientes directorios de snort,
para proceder a la modificación del archivo snort.conf.
Figura 55. Modificación de propietario Fuente: Servidor SIEM
La modificación en el archivo snort.conf debe contener la siguiente información: asignar la
ip del servidor, definir homenet asi como los directorios de snort y sus respectivas reglas.
Figura 56. Edición del archivo snort.conf Fuente: Servidor SIEM
Dentro del directorio /usr/local/src/ se debe modificar los propietarios y permisos de los
siguientes paquetes.
Figura 57. Modificación de propietarios y permisos Fuente: Servidor SIEM
77
Luego de haber modificado los permisos, se procede a iniciar snort, para lo cual se debe
ingresar al directorio de snort dentro del /usr/ y copiar el demonio de snort a /etc/init.d con
el fin de que se encuentre entre los procesos de inicialización del sistema, de igual forma el
archivo de configuración de snort, también aplicar el el inicio automático de la aplicación
con el comando chkconfig.
Figura 58. Inicio de snort Fuente: Servidor SIEM
El cambio de permisos también se lo debe realizar sobre los archivos de registros,
debiendo ejecutar los siguientes comandos.
Figura 59. Permisos de registros Fuente: Servidor SIEM
El proceso anterior se debe aplicar a las librerías generadas por snort.
Figura 60. Permisos de librerías Fuente: Servidor SIEM
78
Los archivos binarios correspondientes a snort también deben ser modificados los
permisos, quedando de la siguiente forma.
Figura 61. Permisos de binarios Fuente: Servidor SIEM
Luego de haber asignado permisos es obligatorio ejecutar los siguientes comandos para
verificar y solucionar inconvenientes en la instalación y configuración anterior.
Figura 62. Verificación de funcionamiento de snort Fuente: Servidor SIEM
3.3.5.8. Monitoreo y seguridad del servidor
El control de carga del servidor en un aspecto a tener en cuenta al manejar sistemas de
seguridad, un monitoreo de carga puede ayudar al buen desempeño del equipo y por
consiguiente de la red. Para el monitoreo del servidor se ha decidido instalar htop, una
herramienta muy liviana que no afecta el rendimiento del servidor y que ofrece únicamente
la información relevante propia del equipo. En cambio para seguridad del servidor se
instala la aplicación rkhunter, cuyas características también ayudarán a que el rendimiento
del servidor no se vea afectado.
3.3.5.9.Instalación de htop
Para empezar la instalación de htop se debe instalar los repositorios epel correspondientes
a la distro y versión de Linux.
79
Para este cometido se debe obtener dichos paquetes ejecutando el siguiente comando.
Figura 63. Descarga repositorios para htop Fuente: Servidor SIEM
Ya instalados los repositorios resta instalarlos mediante rpm
Figura 64. Instalación de paquetes para htop Fuente: Servidor SIEM
Cuando se haya ejecutado lo anterior de forma correcta se podrá proceder a la instalación
de htop, usando la siguiente sintaxis.
Figura 65. Instalación de htop Fuente: Servidor SIEM
80
Si todo el proceso fue exitoso, se podrá ejecutar la aplicación únicamente realizando un
llamado desde consola: htop, debiendo mostrar una pantalla muy similar a la que se
muestra.
Figura 66. Interfaz de htop Fuente: Servidor SIEM
3.3.5.10. Instalación de rkhunter
Al igual que la mayoría de herramientas de seguridad disponibles para distros Linux,
rkhunter también es una aplicación muy liviana, pero que en desempeño muestra
características muy interesantes a la hora de proteger un servidor.
Como primer paso es necesario instalar el rpmforge de rkhunter, pues es la herramienta
que permite la descarga del paquete, este proceso se lo realiza mediante el siguiente
comando.
Figura 67. Descarga del paquete rkhunter Fuente: Servidor SIEM
81
Luego de descargar el paquete se debe continuar con la respectiva instalación, mediante el
uso del módulo yum.
Figura 68. Instalación del rkhunter Fuente: Servidor SIEM
Algo que un administrador no puede obviar es la actualización de herramientas de
seguridad, las bases de datos que contiene cada herramienta están en constante
actualización con el fin de entregar un mejor rendimiento a los servidores donde se los
instale, por consiguiente la actualización de rkhunter se realiza de la siguiente forma.
Figura 69. Actualización de rkhunter Fuente: Servidor SIEM
82
Para verificar la funcionalidad de rkhunter se debe convocarlo para el chequeo local
mediante el comando rkhunter -c
Figura 70. Funcionamiento de rkhunter Fuente: Servidor SIEM
3.3.5.11. Monitoreo de puertos
Uno de los aspectos que debe contener un servidor de seguridad sin duda alguna es una
herramienta de escaneo de puertos, las distros dedicadas a la seguridad como por ejemplo
kali ya traen incluido este tipo de herramientas, en cambio para la actual propuesta se
utiliza la herramienta llamada nmap.
3.3.5.12. Instalación de nmap
La instalación de nmap es muy sencilla, depende únicamente de la ejecución del siguiente
comando.
Figura 71. Instalación de nmap Fuente: Servidor SIEM
83
La comprobación del funcionamiento de nmap se la puede realizar tal como muestra la
siguiente imagen
Figura 72. Funcionamiento de nmap Fuente: Servidor SIEM
3.3.5.13. Validación de herramientas implementadas
3.3.5.13.1. Direccionamiento IP - DHCP
Para iniciar el arranque de los computadores pertenecientes a la red es necesario recordar
que la asignación de direcciones IP está basada mediante DHCP, adicional el DHCP
establece IP’s fijas para ciertas computadoras de la red.
Las máquinas con IP’s fijas son aquellas que contienen las siguientes direcciones mac,
según muestra la imagen del archivo de configuración.
Figura 73. Direccionamiento IP
Fuente: Servidor SIEM
84
Luego de haber arrancado los computadores se muestran las direcciones IP mediante el uso
de los comandos ipconfig e ifconfig, pues los computadores utilizados poseen sistemas
operativos Windows y Linux.
Figura 74. IP de equipo Windows
Fuente: Servidor SIEM
Figura 75. IP de equipo Ubuntu
Fuente: Servidor SIEM
Pero como en toda red siempre existirán equipos que necesitan conectarse de forma
temporal, el asignamiento IP también permite un direccionamiento dinámico aleatorio
enmarcado en el rango definido.
Figura 76. IP dinámica aleatorio
Fuente: Servidor SIEM
85
En la siguiente imagen se observa el rango de IP’s definido en la configuración, rango que
contiene la IP asignada de forma aleatoria a un computador según la imagen anterior.
Figura 77. Rango de IP – DHCP
Fuente: Servidor SIEM
Como conclusión del direccionamiento IP se comprueba que el funcionamiento es correcto
dentro de los parámetros configurados, lo cual implica tener una asignación eficiente y
eficaz al momento de gestionar una red con el sistema planteado.
3.3.5.13.2. Monitoreo del servidor - htop
La herramienta instalada para este propósito es htop, herramienta ideal para tener un
monitoreo del servidor sin consumir mayores recursos del mismo, logrando asignar dichos
recursos al resto de herramientas de gestión.
Con este proceso se evita uno de los grandes males entre los administradores de servidores,
pues es muy común encontrar servidores sin ningún medio para automonitorearse o
autocontrolarse.
El consumo de CPU bajo las condiciones normales no debe exceder más allá del
10%, excepto al arrancar alguna aplicación o abrir un archivo que puede alcanzar
un porcentaje demasiado alto de consumo de CPU, otro de los rangos de consumo
frecuente puede ser hasta un 20% especialmente al tener en ejecución algunas
herramientas no correlacionadas.
El uso de memoria en cambio es todo lo contrario al uso de la CPU, debido a que es
la encargada de sostener en ejecución todos los procesos del sistema, no existen
parámetros definidos en cuanto al porcentaje de uso, ya que depende de las
actividades que se realice en sobre el sistema operativo, pero en este caso como las
herramientas instaladas son muy ligeras se puede observar que el porcentaje de
consume es aproximadamente el 30%, lo cual implica que el servidor trabajará con
normal desempeño.
86
La memoria de intercambio no será muy utilizada debido a que la memoria
principal y el CPU todavía poseen recursos disponibles, en cuanto al tamaño de la
memoria de intercambio existe una teoría que dice que debe ser el doble de la
memoria principal, pero esto es aplicable únicamente en memorias de hasta 1 GB
de capacidad, en la actualidad la capacidad de las memorias rompen este paradigma
dejando el tamaño de la swap a criterio del administrador.
Figura 78. Ejecución de htop
Fuente: Servidor SIEM
En la siguiente ventana se muestra el inicio del demonio httpd con su respectivo ID de
proceso, el mismo que es reconocido por htop (proceso seleccionado).
Figura 79. Comprobación de procesos en htop
Fuente: Servidor SIEM
87
En la imagen se puede observar como un proceso está tratando de iniciar su ejecución, se
puede observar que su estado está en LISTEN 0.0.0.0, esto implica que se encuentra
disponible para toda la red, lo cual puede desencadenar en un proceso sospechoso o
malicioso, a menos que se verifique el comando y archivo de origen.
Figura 80. Identificación de procesos en htop
Fuente: Servidor SIEM
Como conclusión del desempeño de htop, es factible manifestar que se puede tener un
control centralizado de los procesos que se ejecutan dentro del servidor, permitiendo
gestionar de manera correcta y oportuna para un normal desempeño del computador y
todas sus aplicaciones.
3.3.5.13.3. Seguridad del servidor - rkhunter
La seguridad del servidor siempre debe ser tratada en base a su naturaleza, pues no es lo
mismo aplicar seguridad a un sistema Windows que a un sistema Linux, para el sistema
SIEM se utiliza la herramienta rkhunter como medio para gestionar su seguridad.
Rkhunter tiene la característica de clasificar las revisiones, pues es la forma como el
administrador podrá tener resultados organizados.
En las siguientes imágenes se observa el normal estado del servidor, es decir no se
mostrará anomalía alguna:
88
Figura 81. Checking system commands
Fuente: Servidor SIEM
Figura 82. Checking for rootkits
Fuente: Servidor SIEM
89
Figura 83. Performing checks
Fuente: Servidor SIEM
Figura 84. Checking the network
Fuente: Servidor SIEM
Figura 85. Checking the local host
Fuente: Servidor SIEM
90
Figura 86. System checks summary Fuente: Servidor SIEM
Para comprobar el funcionamiento de rkhunter se copiará un archivo exe infectado hacia el
directorio /dev, directorio considerado como de sumo cuidado para el normal desempeño
de un sistema Linux.
Figura 87. Copia de archivo infectado hacia directorio
Fuente: Servidor SIEM
El archivo infectado se encuentra alojado en el directorio propuesto, rkhunter reconoce de
la existencia sospechosa de un archivo y lanza la advertencia en el desarrollo de revisión
de archivos del sistema.
Figura 88. Advertencia de rkhunter Fuente: Servidor SIEM
91
Además se modifica la configuración de acceso ssh como usuario root, la misma que altera
la seguridad por defecto de Linux.
Figura 89. Acceso ssh como root Fuente: Servidor SIEM
En la siguiente imagen se observa como esta configuración riesgosa es identificada por
rkhunter.
Figura 90. Identificación de acceso ssh
Fuente: Servidor SIEM
En conclusión rkhunter ha demostrado ser capaz de identificar archivos sospechosos dentro
del sistema servidor, así como configuraciones riesgosas, brindando confiabilidad al
momento de gestionar sistemas de seguridad.
3.3.5.13.4. Inventarios – OCS
El poseer un control relacionado al inventario informático es una ventaja extremadamente
beneficiosa para una gestión adecuada de sistemas, pues evita tener información
incompleta e incoherente acerca del hardware y software de los computadores.
Para solucionar este inconveniente el sistema presenta el uso de la herramienta OCS, cuyo
propósito es brindar al administrador gran cantidad de información relacionada al hardware
y software únicamente de los equipos que el administrador desee.
92
Luego de haber instalado y configurado el aplicativo en el servidor así como en los
agentes, se obtendrá una ventana en la cual OCS mostrará todos los equipos inventariados,
es decir aquellos equipos de los cuales ya obtuvo su información, a continuación se
muestra la ventana principal de los equipos registrados.
Figura 91. Equipos inventariados en OCS Fuente: Servidor SIEM
Para proceder a revisar la información de cada equipo simplemente es necesario
seleccionarlos de la columna computador, según el registro OCS muestra 3 equipos, dos
Windows y uno Linux, se procede a verificar la información del primer equipo con
Windows y se visualiza su información por categorías de la siguiente manera.
Figura 92. Información general de PC
Fuente: Servidor SIEM
93
A continuación se muestra la información relacionada al procesador del equipo
seleccionado.
Figura 93. Procesador - OCS
Fuente: Servidor SIEM
En al siguiente imagen se observa la información acerca de la memoria del equipo
Windows.
Figura 94. Memoria - OCS
Fuente: Servidor SIEM
Otro de los aspectos a ser considerados dentro de un inventario es el almacenamiento que
posee el equipo.
Figura 95. Almacenamiento - OCS
Fuente: Servidor SIEM
94
La disponibilidad de disco es otro aspecto importante para tener en cuenta dentro del
normal desarrollo de una red informática, es así como OCS también muestra esta
información al administrador.
Figura 96. Discos - OCS
Fuente: Servidor SIEM
OCS también comparte los datos referentes a la red y sus adaptadores, con el fin de
monitorear las formas como el equipo puede conectarse a una LAN.
Figura 97. Redes - OCS Fuente: Servidor SIEM
Otros aspectos relevantes en cuanto al hardware de un computador son las impresoras y
monitores.
Figura 98. Impresoras - OCS Fuente: Servidor SIEM
95
Figura 99. Monitores - OCS
Fuente: Servidor SIEM
Además ofrece información sobre ranuras, puertos, drivers, dispositivos de entrada, y
BIOS, aspectos que no son trascendentales al momento de generar reportes de inventarios.
El software que contiene cada equipo es otra de las características que ofrece OCS, un
ejemplo se muestra a continuación.
Figura 100. Software - OCS
Fuente: Servidor SIEM
La información siempre estará disponible en la interfaz de OCS, pero en caso de querer
descargar, se lo puede hacer en archivos csv, tan solo dando click en el enlace de descarga
localizado en la parte superior de cada inventario.
Figura 101. Archivo csv - OCS
Fuente: Servidor SIEM
96
3.3.5.13.5. Detección de eventos - snort
La aparición de eventos dentro de un servidor o una red es uno de los aspectos que más
cuidado debe tener un administrador a la hora de salvaguardar un equipo centralizado, pues
no se tiene un control adecuado sobre este aspecto que está continuamente sucediendo
dentro de una red. Snort es una de las herramientas más indicadas para ayudar a solventar
la problemática antes mencionada, pues es una aplicación que puede ejecutarse como
sniffer o ids.
Para ejecutar como sniffer en su forma muy básica tan solo es necesario ejecutar el
comando snort –v para que empiece a capturar el tráfico, bajo esta disposición de snort la
información que se mostrará contendrá los encabezados TCP/IP, tal como se muestra a
continuación.
Figura 102. Snort en modo sniffer básico Fuente: Servidor SIEM
97
Si se desea que a más de las cabeceras se amplíe el contenido de los paquetes capturados es
necesario ejecutar el comando snort –vd.
Figura 103. Snort - contenidos de paquetes Fuente: Servidor SIEM
También es posible añadir la información de la capa de enlace ejecutando el comando snort
–vde, obteniendo resultados como el siguiente.
Figura 104. Snort - capa de enlace
Fuente: Servidor SIEM
98
Además de sniffer snort también trabaja bajo la forma de IDS, basado en reglas que se
encuentran en el directorio de instalación de la herramienta.
A continuación se muestra la ejecución de una regla que identifica si algún computador
establece conexión con el servidor, es decir si aparece la ejecución del comando ping.
Figura 105. Ejecución de reglas Fuente: Servidor SIEM
Luego de haber ejecutado el comando, snort empieza a ejecutarse hasta que algún evento
suceda.
Figura 106. Snort en modo IDS
Fuente: Servidor SIEM
99
En la siguiente gráfica se observa como desde la IP 172.16.26.0 ejecuta un ping hacia la IP
172.16.10.0, esperando a que snort logre identificar dicho suceso.
Figura 107. Ping entre equipos de red
Fuente: Servidor SIEM
Mientras esto sucede, snort muestra la siguiente pantalla.
Figura 108. Detección de comando ping
Fuente: Servidor SIEM
100
Se realizó la ejemplificación con el ping, pues existe un gran porcentaje de probabilidad de
que cualquier ataque que pueda sufrir un servidor siempre empezará por probar conexión
con el objetivo.
Con estas ejemplificaciones se demuestra un adecuado funcionamiento por parte de la
herramienta snort dentro del servidor SIEM.
3.3.5.13.6. Escaneo – NMAP
El escaneo dentro de una red es una de las actividades más comunes que se realizan hoy en
día, pues sirve como seguridad de una empresa, así como para vulnerar alguna seguridad
de alguna entidad.
En la siguiente imagen se puede observar como la ejecución de nmap hacia una IP es
detectada por snort. Esto significa que la configuración de snort también ayuda para evitar
que algún usuario no autorizado trate de escanear vulnerabilidades de entidades ajenas.
Figura 109. Detección de nmap por snort Fuente: Servidor SIEM
101
Nmap como aliado puede mostrar información acerca de puertos disponibles pero además
puede facilitar información del sistema operativo y servicios ejecutando el siguiente
comando.
Figura 110. Comando nmap Fuente: Servidor SIEM
Para tener un escaneo de toda la red es necesario ejecutar el siguiente comando
Figura 111. Escaneo de red
Fuente: Servidor SIEM
102
Nmap permite identificar a todos los equipos conectados a la red, estos pueden ser equipos
autorizados o no autorizados, lo cual permite saber si algún intruso está dentro de la lan
institucional, para la ejemplificación se agregó un equipo con Kali Linux para tratar de
verificar si nmap es capaz de detectarlo ejecutando el siguiente comando.
Nmap –oG 172.16.0-255.0-255 –p 22 -vv
Figura 112. Identificación de nueva IP Fuente: Servidor SIEM
La nueva IP que nmap reconoció es 172.16.20.6, ahora resta ejecutar otro comando para
ver las características del equipo que posee la nueva IP.
Figura 113. Información de equipo detectado
Fuente: Servidor SIEM
Con esta ejemplificación se comprueba que nmap será de gran ayuda para mejorar la
seguridad operacional en pymes que utilicen sistemas informáticos.
103
CONCLUSIONES
El aporte teórico guarda concordancia con los requerimientos y exigencias que toda
organización prioriza al momento de establecer seguridades y controles
informáticos, características que también ofrecen las herramientas y aplicaciones
tanto de gestión y monitoreo de estructuras de red.
Las estructuras de networking que mantienen en ejecución las pymes permiten
establecer una factibilidad positiva para la implementación de un sistema de
seguridad, pues al estar sin control alguno todo aporte que ayude a mejorar el
control de dichas estructuras serán un aporte valioso, tanto para el área gerencial así
como para el área operativa, independientemente de las actividades que cada
entidad realice.
La investigación permitió establecer los procedimientos más acertados para la
correcta implementación del sistema de seguridad, pues en base a las características
operativas y financieras de las pymes, se considera que las herramientas del sistema
son las básicas para un control aceptable en actividades informáticas.
La verificación y evaluación del sistema SIEM en términos generales fue tolerable,
ya que los resultados obtenidos en la práctica fueron en base a actividades
cotidianas y frecuentes que normalmente realizan los empleados de las pymes, sin
descartar que en algún momento puedan existir actividades inusuales dentro de la
estructura de red, por consiguiente la aplicabilidad y el funcionamiento son viables
para una correcta ejecución.
104
RECOMENDACIONES
Mantener en ejecución el sistema SIEM, esto permitirá tener un control contínuo de
los evento que suceda en la red.
Actualizar y mejorar los componentes de networking, acorde a las exigencias
actuales, lo cual permitirá tener una red mucho más eficiente.
Establecer usuarios de acceso al sistema tanto con privilegios así como
limitaciones, para poder tener información integra y veraz.
Concienciar al talento humano de cada una de las pymes, pues de su correcto
desempeño dependerá la seguridad informática.
Tratar de mantener actualizado el sistema SIEM, lo cual permitirá tener un sistema
confiable e íntegro.
Investigar acerca de los resultados poco conocidos que arroje el sistema de
seguridad, pues pueden informar de alguna anomalía en la estructura de red.
BIBLIOGRAFÍA
Miller D., (2011). Security Information and Event Management (SIEM)
Implementation. Mc.Graw-Hill
Molina, F., (2014). Servicios en Red, Madrid, RAMA.
Dhillon G., (2001). Information Security Management. Global Challenges in the New
Millennium. http: http://www.igi-global.com
Withman M, mattord H., D. (2013): Management of Information Security, Fourd
Edition, Cengage Brain, http://www.cengagebrain.com
Taylor A, Alexander D, Ficnh A. (2008). Information Security Management Principles.
Second Edition
Tipton H, Krause M, (2012). Information Security Management. Sixth Edition
Tanenbaum, Andrew, (2012): Computers Networks, Fifth Edition, Pearson Edition
Budris, P., (Redes y seguridad), Primera edición, Buenos Aires, Sevagraf SA.
Andrew, T. (2010). Redes de computadoras. México, McGraw-Hill
Zazo, R. Á., & Alonso, B. J. L. (2010). Herramientas de software libre para el trabajo
científico colaborativo. España: Ediciones Universidad de Salamanca. Retrieved from
http://www.ebrary.com (Zazo, 2010)
Dejan K (2010). The ISO 27001
Escrivá, G. (2015). Seguridad Informática. Madrid, MACMILLAN.
Sánchez, M. J., Barreras, L. O. L., & Fuentes, G. S. (2010). Resultado del estudio de la
introducción del software libre en la salud. Camagüey, Abril 2006-2007. En:
Memorias Universidad 2008. Cuba: Editorial Universitaria. Retrieved from
http://www.ebrary.com
Chinchilla, A. R. (2011). El software libre: Una alternativa para automatizar unidades
de información. Revista Bibliotecas. Vol. 29, No. 1, 2011. Costa Rica: Red
Universidad Nacional de Costa Rica. Retrieved from http://www.ebrary.com
Gómez, J. (2014). Administración de sistemas operativos. Madrid, RA-MA
LINKOGRAFÍA
http://advisera.com/27001academy/es/faqs/#faq3
http://advisera.com/27001academy/es/que-es-iso-27001/
http://kinomakino.blogspot.com/2014/03/ossim-monitorizacion-de-eventos-de.html
http://www.snort.org
http://www.admin-magazine.com/Archive/2014/20/Open-Source-Security-
Information-and-Event-Management-system
http://www.securitybydefault.com/2013/05/mi-analisis-de-alienvaultossim-421.html
http://www.solarwinds.com/es/network-performance-monitor.aspx
http://www.nmap.org
http://www.manageengine.mx/monitoreo-redes/analisis-de-trafico-en-la-red.html
https://www.alienvault.com/products/ossim
http://networkadmin.blogspot.es/
ANEXO A
Preguntas de encuesta
1). Cuenta su empresa con equipos informáticos que permitan automatizar procesos
relacionados a su actividad económica?
SI ……..
NO ……..
2). Su empresa cuenta con una red LAN que facilite la comunicación informática
SI ……..
NO ……..
3). Posee su empresa conexión a internet?
SI ……..
NO ……..
4). Dentro de su empresa existe alguna conexión inalámbrica?
SI ……..
NO ……..
5). Su conexión inalámbrica posee alguna seguridad de acceso?
SI ……..
NO ……..
6). Su empresa cuenta con políticas de seguridad en el campo informático?
SI ……..
NO ……..
7). Su red corporativa o sus equipos informáticos han sido víctimas de algún ataque
informático?
SI ……..
NO ……..
DESCONOCE ………
8). Su empresa cuenta con personal técnico propio, encargado de administrar sus equipos y
sistemas informáticos?
SI ……..
NO ……..
9). Su empresa cuenta con algún sistema de monitoreo y gestión de eventos frente a
ataques informáticos?
SI ……..
NO ……..
10). Considera factible la implementación de un sistema de gestión de eventos dentro de su
empresa?
SI ……..
NO ……..
ANEXO B
Certificado de Implementación
ANEXO C
Costos de Implementación
Cant Equipo/Actividad C.U TOTAL
1 PC: 8GB RAM – ssd – I3 6Gen 900 900
1 Router Dlink Dir-850l 150 150
1 Switch Dlink Dgs-1016d 10-100-1000 150 150
20 Horas/implementación 11 220
1420
ANEXO D
Instalación de CentOS
Para dar inicio a la instalación de CentOS se debe configurar el computador para que
realice el boot desde la unidad donde se encuentre el instalador del sistema operativo.
Luego de arrancar el computador se debe seleccionar la opción que el asistente menciona
instalar.
Desde el asistente en modo gráfico se debe empezar seleccionando el idioma del sistema y
del teclado.
A continuación se observa una ventana con el resumen de la instalación, esto facilita
mucho el proceso, debido a que muestra claramente los aspectos básicos necesarios para
una adecuada instalación, estos requerimientos se muestran con texto de color rojo,
específicamente la configuración del disco duro.
Entonces se procede a configurar los requerimientos de almacenamiento
Es factible elegir el software a instalar, entre las características pueden ser elegidas las
interfaces gráficas o solo texto.
Luego de las respectivas configuraciones y personalizaciones al sistema se debe dar click
sobre el botón “Empezar instalación”
Cuando empieza el proceso de instalación el sistema solicita la creación de usuario y
asignación de contraseña para el usuario root
La venta para el ingreso de la contraseña se mostrará de la siguiente manera
Mientras que la de creación de usuario será la siguiente
Una vez finalizada la configuración solo resta esperar a que termine la instalación.