UNIVERSIDAD NACIONAL DE INGENIERÍA , , ,
FACULTAD DE INGENIERIA ELECTRICA Y ELECTRONICA
METODOLOGÍA DE IMPLEMENTACIÓN DEL ESTÁNDAR PCI-DSS · EN EL DISEÑO DE RED EN UNA ENTIDAD BANCARIA
INFORME DE SUFICIENCIA
PARA OPTAR EL TÍTULO PROFESIONAL DE:
INGENIERO DE TELECOMUNICACIONES
PRESENTADO POR:
ROLANDO CHARLITS NAVARRO JARA
PROMOCIÓN 2005 -1
LIMA-PERÚ 2011
A mis padres y familia por poner su entera
confianza en mí, aprendiendo de ellos que
nada es imposible y que con perseverancia se
llega siempre a la meta.
A todos mis amigos, quienes me brindaron su
apoyo incondicional y su sincera amistad.
SUMARIO
La "Norma de seguridad de datos para la Industria de Tarjetas de Pago", conocido
internacionalmente por sus siglas PCI DSS, ha sido desarrollada por el grupo PCI
Security Standard Council, organismo creado por las principales compañías de tarjetas
de pago como VISA, MasterCard, AMEX, JCB y DISCOVER. Esta norma debe de ser
implementada por entidades bancarias, proveedores de servicio y comercios que tratan
con datos de tarjetas de pago.
Por este motivo, el presente informe muestra la metodología empleada por una
institución financiera para la implementación de medidas correctivas en su diseño y
arquitectura de red con la finalidad de reducir el entorno sobre el que las auditorías de
las compañías de tarjetas de pago evalúan el cumplimiento de la norma.
El diseño y arquitectura de red se desarrolla a partir de la protección perimetral de
la red con la implementación de firewalls, sistemas de detección y prevención de intrusos
y la segmentación de la red interna actual separando los sistemas que deben de cumplir
con los requisitos de la norma de las demás redes.
Asimismo, se muestra los requisitos de configuración que deben de cumplir cada
uno de los componentes necesarios en el diseño y el plan de trabajo establecido para la
implementación del diseño de red propuesto en el ambiente productivo de la entidad
bancaria.
ÍNDICE
INTRODUCCIÓN ............................................................................................................................................. 1
CAPÍTULO 1
MARCO TEÓRICO CONCEPTUAL .................................................................................................................... 3
1.1 Introducción a la norma PCI DSS ............................................................................................. 3
1.2 Aplicabilidad de la norma PCI DSS ........................................................................................... 5
1.2.1 Datos del titular de la tarjeta ................................................................................................... 6
1.2.2 Datos confidenciales de autenticación .................................................................................... 7
1.3 Redes y subredes ..................................................................................................................... 8
1.3.1 Direccionamiento IPv4 ............................................................................................................. 8
1.3.2 Subredes ................................................................................................................................. 10
1.3.3 VLAN ....................................................................................................................................... 11
1.4 Defensa en profundidad ........................................................................................................ 12
1.4.1 Defensa de datos .................................................................................................................... 13
1.4.2 Defensa de aplicaciones ......................................................................................................... 13
1.4.3 Defensa de hosts .................................................................................................................... 14
1.4.4 Defensa de redes .................................................................................................................... 14
1.4.5 Defensa de perímetros ........................................................................................................... 14
1.4.6 Defensa física ......................................................................................................................... 15
1.4.7 Políticas y procedimientos ...................................................................................................... 16
1.5 Firewall .................................................................................................................................. 17
1.5.1 Tecnologías de los firewalls .................................................................................................... 17
1.5.2 Arquitecturas de firewalls ...................................................................................................... 22
1.6 Sistema de detección y protección de intrusos del tipo red .................................................. 27
1.6.1 Metodologías que emplean los IDPS ...................................................................................... 28
1.6.2 Componentes de un sistema IDPS .......................................................................................... 28
1.7 Modelo jerárquico en el diseño de redes LAN ....................................................................... 31
1.7.1 Capa de acceso ....................................................................................................................... 32
1.7.2 Capa de distribución ............................................................................................................... 32
1.7.3 Capa de núcleo ....................................................................................................................... 33
VII
1.8 Arquitectura de red orientada a servicios ............................................................................. 33
1.8.1 Capas del modelo de arquitectura SONA ............................................................................... 34
CAPÍTULO 11
PLANTEAMIENTO DE INGENIERÍA DEL PROBLEMA ..................................................................................... 35
2.1 Descripción del problema ...................................................................................................... 35
2.2 Objetivos del informe ............................................................................................................ 35
2.3 Evaluación del problema ....................................................................................................... 35
2.4 Limitaciones del informe ....................................................................................................... 37
2.4.1 Limitaciones en el diseño de red ........................................................................................... 37
2.4.2 Limitaciones en la gestión de seguridad de la información ................................................... 37
2.5 Síntesis del informe ............................................................................................................... 37
CAPÍTULO 111
METODOLOGÍA PARA LA SOLUCIÓN DEL PROBLEMA ................................................................................. 39
3.1 Introducción .......................................................................................................................... 39
3.2 Identificación del alcance ...................................................................................................... 40
3.2.1 Capacitación .......................................................................................................................... 40
3.2.2 Identificación del CDE ............................................................................................................ 40
3.2.3 Análisis de la red actual ......................................................................................................... 43
3.3 GAP análisis ........................................................................................................................... 43
3.4 Plan de acción ....................................................................................................................... 43
3.4.1 Consideraciones generales de diseño ................................................................................... 43
3.4.2 Segmentación de la red interna ............................................................................................ 45
3.4.3 Aseguramiento de las redes perimetrales ............................................................................ .46
CAPÍTULO IV
ANÁLISIS Y PRESENTACIÓN DE RESULTADOS .............................................................................................. 48
4.1 Introducción .......................................................................................................................... 48
4.2 Solución de la arquitectura de red ........................................................................................ 48
4.2.1 Sub red de almacenamiento de datos PCI ............................................................................. .48
4.2.2 Red de gestión y administración ........................................................................................... 50
4.2.3 Red DMZ de negocios ........................................... : ................................................................ 50
4.2.4 Red de navegación por lnternet ............................................................................................ 52
4.3 Recursos humanos y equipamiento ...................................................................................... 53
4.4 Costos y tiempos de ejecución .............................................................................................. 54
CONCLUSIONES Y RECOMENDACIONES ...................................................................................................... 55
ANEXO A ..................................................................................................................................................... 56
ANEXO B ..................................................................... � ................................................................................ 58
VIII
ANEXO C ...................................................................................................................................................... 60
ANEXO D ..................................................................................................................................................... 62
ANEXO E ...................................................................................................................................................... 64
ANEXO F ...................................................................................................................................................... 66
ANEXO G ..................................................................................................................................................... 70
ANEXO H ..................................................................................................................................................... 72
BIBLIOGRAFÍA ............................................................................................................................................. 77
INTRODUCCIÓN
En los 5 últimos años el crecimiento del uso de tarjetas de crédito y débito como
uno de los más importantes medios de pago por parte de las personas ha provocado el
incremento de fraudes y robo de información sensible de los clientes a través del robo de
cajeros electrónicos, la clonación de tarjetas, el robo de la información contenida en las
bases de datos de las empresas por parte de sus trabajadores o proveedores de
servicios, los ataques por Internet, entre otros. Por ejemplo en el año 2007 la empresa
americana T JX Companies lnc. reportó que en un periodo de 18 meses entre los años
2005 y 2007 sufrió el robo de aproximadamente 45 millones de datos de tarjetas de
crédito y débito por parte de atacantes cibernéticos, este incidente es considerado como
uno de las más grandes de los últimos años y nos permite apreciar la debilidad en la
implementación de medidas y estándares de seguridad relacionados con el manejo de los
datos de titulares de tarjetas. Por este motivo, el año 2006 se fundó el grupo PCI SSC
conformado por las principales compañías de la industria de tarjetas de pago, VISA,
MasterCard, American Express, JCB y DISCOVER con la finalidad de elaborar normas
que permitan salvaguardar la seguridad los datos de los titulares de tarjetas. Entre las
normas creadas se encuentra la norma PCI DSS que busca fomentar y mejorar la
seguridad de los datos del titular de la tarjeta con el fin de prevenir los fraudes que
involucran tarjetas de pago débito.
Por este motivo, la entidad bancaria sobre la cual se realiza el presente informe
consideró dentro de su plan estratégico cumplir con los requisitos expuestos en la norma
PCI DSS para garantizar el manejo seguro de la información de sus clientes que emplean
tarjetas de crédito o débito como medio de pago y además obtener resultados
satisfactorios en las evaluaciones de auditoría que realizan las compañías de tarjetas de
pago.
El presente informe muestra la aplicación de la metodología empleada para la
implementación de medidas correctivas en su diseño y arquitectura de red con la finalidad
de reducir el entorno sobre el que las auditorías de las compañías de tarjetas de pago
evalúan el cumplimiento de la norma. La implementación de las medidas correctivas
aplicadas son la creación de dos nuevos segmentos de red, uno para los sistemas que
procesan o transmiten datos de tarjetas y otro para las bases de datos que almacenan
datos de tarjetas, además, se diseñó una red perimetral segura empleando los firewalls
de la red actual, la implementación de un sistema de detección y prevención de intrusos y
la evaluación de un firewall de aplicaciones.
Cabe recalcar que no es parte del alcance de este estudio las conexiones con
oficinas remotas, la red que aloja el servicio de cajeros automáticos, la elaboración de
procedimientos, políticas y evaluaciones de seguridad.
Finalmente, se detalla el plan de trabajo para la implementación de los requisitos
que exige la norma en la configuración de los componentes de seguridad que forman
parte del diseño.
CAPÍTULO 1
MARCO TEÓRICO CONCEPTUAL
1.1 Introducción a la norma PCI DSS
PCI DSS significa "Seguridad de Datos de la Industria de Tarjetas de Pago" y tiene
por objetivo prevenir los fraudes que involucran tarjetas de pago asegurando la
información que se procesa, transmite ó almacena de los titulares de tarjeta.
La norma ha sido desarrollada por el "Comité de Estándares de Seguridad de la
Industria de Tarjetas de Pago - PCI SSC", el cual está conformado por las compañías
más importantes de tarjetas de pago y tiene como referencia los programas de seguridad
de cada una ellas, tal como se muestra en la TABLA Nº 1.1.
Las compañías que procesan, almacenan o transmiten datos de tarjetas deben de
cumplir con el estándar o arriesgan la pérdida de sus permisos y enfrentar auditorías
rigurosas o pago de multas.
TABLANº 1.1: Programas de seguridad
(Fuente: Elaboración Propia)
Visa lnternational
MasterCard WorldWide
American Express
Discover Financia! Services
JCB
Visa lnternational Account lnformation Security (AIS)
Visa Cardholder lnformation Security Program (CISP)
Site Data Protection (SDP)
Data Security Operating Policy (DSOP)
Discover lnformation Security and Compliance (DISC)
JCB Data Security Program
La norma está conformada por 6 secciones relacionadas lógicamente, que son
conocidas como "objetivos de control" y 12 requisitos, que son los siguientes:
• Desarrollar y Mantener una red segura
Requisito 1: Instale y mantenga una configuración de firewalls para proteger los
datos de los titulares de las tarjetas.
Requisito 2: No use contraseñas de sistemas y otros parámetros de seguridad
provistos por los proveedores.
• Proteger los datos del titular de tarjeta
Requisito 3: Proteja los datos del titular de la tarjeta que fueron almacenados.
Requisito 4: Cifrar la transmisión de los datos del titular de la tarjeta en las redes
públicas abiertas.
• Mantener un programa de administración de vulnerabilidad
Requisito 5: Utilice y actualice regularmente el software o los programas antivirus.
Requisito 6: Desarrolle y mantenga sistemas y aplicaciones seguras.
• Implementar medidas sólidas de control de acceso
4
Requisito 7: Restringir el acceso a los datos del titular de la tarjeta según la
necesidad de saber del negocio.
Requisito 8: Asignar una ID exclusiva a cada persona que tenga acceso por
computadora.
Requisito 9: Restringir el acceso físico a los datos del titular de la tarjeta.
• Supervisar y evaluar las redes con seguridad
Requisito 1 O: Rastree y supervise todos los accesos a los recursos de red y a los
datos de los titulares de las tarjetas.
Requisito 11: Pruebe con regularidad los sistemas y procesos de seguridad.
• Mantener una política de seguridad de información
Requisito 12: Mantenga una política que aborde la seguridad de la información para
todo el personal.
Los requerimientos principales están conformados por 220 a 240 sub
requerimientos, el número de ellos depende de la manera en cómo se cuenten las
sentencias, cláusulas y frases parciales. En la TABLA Nº
1.2 se muestra un extracto de
la norma.
TABLANº
1.2: Ejemplo de sub requisitos de la norma PCI DSS
(Fuente: PCI Security Standards Council LLC)
1.1 Establezca normas de
configuración para firewall y
router que incluyan lo siguiente:
1.1.1 Un proceso formal para
aprobar y probar todos los
cambios y las conexiones de
red en la configuración de
los firewalls y los routers
1.1.2 Un diagrama
actualizado de la red con
todas las conexiones que
acceden a los datos de los
titulares de tarjetas, incluida
toda red inalámbrica.
1.1 Obtenga e inspeccione las normas de configuración
del firewall y del router y otros documentos especializados
más abajo para verificar que las normas se completaron.
Com lete lo si uiente:
1.1.1 Verificar la existencia de un proceso formal para
probar y aprobar todos los cambios y las conexiones de
red en la configuración de los firewalls y de los routers.
1.1.2.a Verifique que exista un diagrama actualizado de
la red (por ejemplo, uno que muestre que los flujos de
los datos de los titulares de tarjeta en la red) y que
documenta todas las conexiones a los datos de los
titulares de tarjeta, incluida toda red inalámbrica.
1.1.2.b Verifique que el diagrama se mantenga al día.
1.2 Aplicabilidad de la norma PCI DSS
5
La norma PCI DSS se aplica donde sea que se almacenen, procesen o transmitan
información de los titulares de tarjetas de pago. La TABLA Nº 1.3 muestra los datos que
forman parte del alcance de la norma y su ubicación de cada una de ellas en las tarjetas
de pago se aprecia en la Fig. 1.1.
TABLANº 1.3: Información de los titulares de tarjetas de pago
(Fuente: PCI Security Standards Council LLC)
¡�·::_D_at�,� ... ��t�1t1:1_·l�-r,��;1,:,!ff:1�tf:cde,1p_agQ};·jrr¡lJ;>a{9\·:99,:t!ft�,eoc1iJ��:;�:�f��g;tEJn,!J�ác;,!9' �
t
�. 1.'1 -� \_� ,_ '�; ·� r,,J� -✓� _1_ '�' , ' ,, l:\�r. ��'-,e�,:';�;_,' �.��1.:"' .::�'�i,J\i,::/'; �',i�;���,¡;· .. _t��í�i�·t}:��� t!1�t��ll��:i�r��!:l1i����r�r�t�?�
Número de cuenta principal (PAN) Banda magnética
Nombre del titular de tarjeta Chip (No implementado en Perú)
Fecha de vencimiento CW/ CW2/CAV2/CVC2/CID
Código de servicio PIN/PIN Block
El número de cuenta principal (PAN) es el factor que define la aplicabilidad de los
requisitos de la norma PCI DSS. Los requisitos se aplican si se almacena, procesa o
transmite el PAN, caso contrario no se aplican los requisitos de la norma.
Circuito integrado /Chip--
PAN
CID (American Express)
:··: ,·,: .. �• r�1'".,�r.,,.dl • · -U -- _.._,,_. ,,-1 �rr�
• 1"'3<1 1·: 0000 ººº* 2345 6769
02101 021 rn 1________ _ !MY CAEOIT CARO liiilílit
Fecha de vencimiento
CAV2/CID/CVC2/CW2 (todas las demás marcas de pago)
Banda magnética (datos en pistas 1 y 2)
Fig. 1.1: Ubicación de los datos en una tarjeta
(Fuente: PCI Security Standards Council LLC)
Si el nombre del titular de la tarjeta, el ·código de servicio y/o la fecha de
vencimiento no se almacenan ni procesan ni transmiten con el PAN, ni están presentes
de alguna otra manera en el entorno de datos de titulares de tarjeta, se deben proteger
de acuerdo con todos los requisitos de la norma, a excepción del requisito 3.3 que se
refiere a ocultar el PAN cuando este sea mostrado en pantalla o impreso, teniendo en
consideración que sólo es permitido mostrar los primeros seis y los últimos cuatro dígitos,
y el requisito 3.4 que se refiere a mantener ilegible el PAN en cualquier lugar que se
6
almacene, mediante técnicas de cifrado ó enmascaramiento.
La norma representa un conjunto mínimo de objetivos de control que puede ser
reforzado con leyes y regulaciones locales, regionales y sectoriales. Además, la
legislación o las regulaciones pueden requerir protección específica de la información de
identificación personal u otros elementos de datos (por ejemplo, el nombre del titular de la
tarjeta), o definir las prácticas de divulgación de una entidad en lo que respecta a la
información de los consumidores. Un ejemplo claro es la legislación relacionada con la
protección de los datos de los consumidores, la privacidad, el robo de identidad o la
seguridad de los datos.
Es importante tener en cuenta que la norma no sustituye las leyes locales ni
regionales, las regulaciones del gobierno ni otros requisitos legales.
En la TABLA Nº1.4 muestra los elementos que forman parte de los datos de
titulares de tarjetas y los datos confidenciales de autenticación que habitualmente se
utilizan; independientemente de que esté permitido o prohibido el almacenamiento de
dichos datos y de que esos datos deban estar protegidos.
TABLA Nº1.4: Datos que protegen la norma PCI DSS
(Fuente: PCI Security Standards Council LLC)
Nombre del titular de la tarjeta
Código de servicio
Fecha de vencimiento
Datos completos de la banda Magnética
CAV2/CVC2/CW2/CID
PIN/Bloqueo de PIN
1.2.1 Datos del titular de la tarjeta
Si
Si
Si
No
No
No
No
No
No
No se pueden almacenar según el requisito 3.2
No se pueden almacenar según el requisito 3.2
No se pueden almacenar según el Requisito 3.2
a. Número de cuenta principal (PAN): Es el código numérico de 14 o 16 dígitos que se
encuentra impreso sobre la parte frontal de una tarjeta bancaria que contiene: el
identificador de las principales industrias del emisor de la tarjeta para identificar la cuenta
individual y un dígito ó código verificador de la autenticidad del número de cuenta.
b. Nombre del titular de tarjeta: Son los datos personales completos del titular impresos
en la parte frontal de una tarjeta bancaria.
c. Fecha de vencimiento: Es la fecha de expiración de la tarjeta, este valor se
7
encuentra impreso en la parte frontal de una tarjeta bancaria.
d. Código de servicio: Es un número de 3 dígitos basados en el estándar internacional
IS07813 que indica a un terminal de pagos la aceptación de los parámetros empleados
durante la transacción.
1.2.2 Datos confidenciales de autenticación
a. Banda magnética: Son los datos. codificados utilizados para la autorización de una
transacción con tarjeta presente.
La información contenida en la banda magnética de las tarjetas las companias que
forman parte del grupo PCI SSC se encuentra almacenada en dos pistas denominadas
pista 1 y pista 2 que tienen formato y estructura de datos regulados por el estándar
internacional IS07813, como se muestra en la Fig. 1.2.
PNI Sepolalor _____ ___,
Apellide -------s� �e� ________ ..........,
Svlljo----------'
Separado( dHfJIJl/xJó . . " . . ..
NomlXBdeJ]IIll -------------<
lnicí4r _____________ __,
C.-go _______________ _____,
� ----------------�
FtichadB
wnchniaflto ·-·--· -QldigO dB MHVido __________________ __,
Fig. 1.2: Datos de la banda magnética
�--CVVICVC
�--- Resf!IVl!dopSfH WlO conlidendal doJ srri:Mr do la t91j8Ut
(Fuente: PCI Security Standards Council LLC)
b. Chip: Contiene datos equivalentes a los de la banda magnética, así como también
otros datos confidenciales, incluido el valor de verificación de la tarjeta en el chip de
circuitos integrados (IC), que también se conoce como Chip CVC, iCW, CAV3 o iCSC.
c. CW/ CW2/CAV2/CVC2/CID: Es un código de tres o cuatro dígitos que proporciona
una comprobación criptográfica de la información grabada en la tarjeta y no es parte del
número de la tarjeta en sí. Este código, permite asegurarse que durante la transacción
por Internet el cliente posee la tarjeta de crédito/débito, y que la cuenta de la tarjeta es
legítima. En la TABLANº 1.5 se muestra el nombre propio que emplea cada compañía
miembro del PCI SSC para el código CW.
TABLA Nº 1.5: CW por compañía de pago
(Fuente: Elaboración propia)
Visa lnternational CW2
MasterCard WorldWide CVC2
American Express CID
Discover Financia! Services CID
JCB CAV2
8
d. PIN: Es el número de identificación personal ó contraseña ingresado por el titular de la
tarjeta durante una transacción con tarjeta presente.
e. PIN Block: Es una cadena de 64 bits que cifra el PIN para asegurar su transmisión a
lo largo de toda la red hasta finalizar la transacción.
1.3 Redes y subredes
1.3.1 Direccionamiento 1Pv4
El protocolo IP identifica a cada ordenador que se encuentre conectado a la red
mediante su correspondiente dirección. Esta dirección es un número de 32 bits en IPv4 ,
que debe ser único para cada servidor o computador, al que llamaremos "host". Las
direcciones IP suelen representarse como cuatro cifras decimales, de de 8 bit cada una,
separadas por puntos.
La dirección IP se utiliza para identificar tanto al host en concreto como la red a la
que pertenece, de manera que sea posible distinguir a los host que se encuentran
conectados a una misma red. Con este propósito, y teniendo en cuenta que en Internet
se encuentran conectadas redes de tamaños muy diversos, se establecieron cinco clases
diferentes de direcciones.
La Fig. 1.3 muestra las tres clases de direcciones propiamente dichas, A, By C, a
las cuales se le agregan las clases D y E para representar a todos los receptores
("multicast") y para uso futuro.
Los primeros bits (sombreados) definen la clase de dirección que llevan los bits
siguientes. A modo de referencia, con 8 bits se pueden tener 256 valores diferentes. Por
ejemplo una dirección de IP sería 192.228.17.57 (en bits 11000000 11100100 00010001
00111001 ), que representa una dirección clase C.
Veamos las principales características de cada clase:
a. Clase A: Son las que en sus primeros 8 bits contienen un bit O fijo (indicando clase A)
y 7 bits variables. Es decir que se pueden diferenciar de 00000000=0 a 0111111=127.
9
Sin embargo, el O y el 127 están reservados, por lo que sólo puede haber 126 direcciones de red clase A potenciales, las que corresponden al primer byte de la dirección. Los otros tres bytes (24 bits) están disponibles para cada uno de los hosts que pertenezcan a esta misma red. Esto significa que podrán existir 224 = 16387064 computadores o servidores en cada una de las redes de esta clase. Este tipo de direcciones es usado por redes muy extensas, pero hay que tener en cuenta que sólo puede haber 126 redes de este tamaño. Por esto, son utilizadas por grandes redes comerciales, aunque son pocas las organizaciones que obtienen una dirección de "clase A". Lo normal para las grandes organizaciones es que utilicen una o varias redes de "clase 8".
H> 1 Dirección de la red (7 bits) 1 Dirección del Host (24 bits)
j 1 ! O I Direcciónde lared(14bits) Dirección del Host(16bits)
11 l 1 I ®· 1 Direcc ión de la red (21 bits) Dirección del Host ( 8 bits)
Dirección multicast (28 bits)
,, ·1 1 1 1 1 11 1 o 1 Uso futuro (28 bits)
Fig. 1.3: Esquema de clases de direcciones IP (Fuente: www.oas.org)
CLASE A
CLASE B
CLASE C
CLASE D
CLASE E
b. Clase B: Estas direcciones utilizan en su primer byte los bits 1 O fijos (indicando clase8) y junto con el resto de los bits del primer byte admiten direcciones desde128=10000000 y 191=1011111, incluyendo ambos. En este caso el identificador de la redse obtiene de los dos primeros bytes de la dirección, teniendo que ser un valor entre128.1 y 191.254 (no es posible utilizar los valores O y 255 por tener ser las direcciones dered y la dirección de broadcast). Por lo tanto existirán 214 = 16384 redes clase Bdiferentes. Los dos últimos bytes de la dirección constituyen el identificador del hostpermitiendo, por consiguiente, un número máximo de 216 = 64516 computadoras en lamisma red. Este tipo de direcciones tendría que ser suficiente para la gran mayoría de lasorganizaciones grandes. En caso de que el número de ordenadores que se necesitaconectar fuese mayor, sería posible obtener más de una dirección de "clase B", evitandode esta forma el uso de una de "clase A".c. Clase C: En este caso el valor del primer byte incluirá los bits 11 O fijos (indicando claseC) y entonces el primer byte tendrá que estar comprendido entre 192=11000000 y223=11011111, incluyendo ambos valores. Este tercer tipo de direcciones utiliza los tresprimeros bytes para el número de la red, con un rango desde 192.1.1 hasta 223.254.254.Por lo tanto existirán 221 = 2097152 redes clase C diferentes. Entonces, queda libre unbyte (8 bits) para el host, lo que permite que se conecten un máximo de 254
10
computadoras a cada red, ya que 28 =256 pero no se usan el O y el 255.
d. Clase D: Se suele llamar clase D a las direcciones comenzadas por los bits 111 O fijos
seguidos por la dirección "multicast" es decir para todos los destinos.
e. Clase E: Se suele llamar clase E a la direcciones reservadas para uso futuro.
La TABLA Nº 1.6 resume las principales características de las direcciones de red
de clase A, B y C.
A 1 .. 26
TABLANº 1.6: Clases de direcciones IP
(Fuente: www.oas.org)
1 byte 3 bytes 126 16387064
B 128 .. 191 2 bytes 2 bytes 16256 64516
e 192 .. 223
1.3.2 Subredes
3 bytes 1 byte 2064512 254
En el caso de algunas organizaciones extensas puede surgir la necesidad de dividir
la red en otras redes más pequeñas (subredes). Entonces, los bits designados en cada
clase para la dirección de hosts, se dividen en dos grupos. Parte de ellos define la
subred, y el resto el computador dentro de la subred. Es necesario notar que para el
mundo externo (que maneja las direcciones de red solamente), esta decisión de la red
local, o grupo de computadores, pasa inadvertida. Entonces, cada subred puede
administrar sus bits de dirección de host como desee.
La división de los bits de dirección de host en subredes se realiza a través de una
"máscara" que es un patrón de bits definidos, que determina que bits son usados para
identificar la subred, y qué bits identifican al computador dentro de la subred.
Por ejemplo, consideremos los siguientes valores, para una dirección clase C:
Dirección IP: 192.228.15.57 en bits: 100000.11100100.00010001.00111001
Mascara: 255.255.255.224 en bits: 1111111.11111111.11111111.11100000
Sub red: 192.228.17.32 en bits: 1100000.11100100.00010001.00100000
Es decir, que de los últimos 8 bits, dedicados a la dirección de host en clase C, los
primeros 3 bits (en azul) determinan la subred, y los últimos 5 (en rojo) enmascaran la
dirección del computador dentro de la subred. El valor binario de los últimos 5 bits
originales determinará la dirección del computador dentro de la subred. · En este ejemplo,
la dirección 192.228.15.57 determina la red clase C 192.228.15, y dentro de ésta la
subred número 1 = 001 y dentro de la subred 1, el computador 25=11001.
La Fig. 1.4 muestra un ejemplo con 3 subredes, LAN X, LAN Y y LAN Z, siguiendo
el caso de las direcciones clase C vistas arriba.
11
El conjunto está visto para el resto de Internet como la dirección 192.228.17.x,
donde x representa la dirección de host clase C.
Dirección IP: 192.228.17.33 Host en subred: 1
�
Dirección IP: 192.228.17.57 Hosl en subred: 25
Dirección IP: 192.228.17.32----�------'!!!'!!.-,,,---�-Subred 1 - LAN X
Dirección IP: 192.228. 17.8
Dirección IP: 192.228.17.64 -�=""=�-=�-��!'!!!"""!!"""""'�...-��-�
Subred 2 - LAN Y
Dirección IP: 192.228.17.65 Host en subred: 1
Dirección IP: 192.228.17.96-------!"'!.�LA--
N!"'!,""!
z-----"'""'-"!!-.,-
(:
Subred 3 - LAN Z
Dirección IP: 192.228.17.98 Hosl en subred: 2
Fig. 1.4: Ejemplo de subredes
(Fuente: www.oas.org)
1.3.3 VLAN
Una red de área local (LAN) está definida como una red de computadoras dentro de
un área geográficamente acotada como puede ser una empresa o una corporación. Uno
de los problemas que nos encontramos es el de no poder tener una confidencialidad
entre usuarios de la LAN como pueden ser los directivos de la misma, también estando
todas las estaciones de trabajo en un mismo dominio de colisión el ancho de banda de la
misma no era aprovechado correctamente. La solución a este problema era la división de
la LAN en segmentos físicos los cuales fueran independientes entre sí, dando como
desventaja la imposibilidad de comunicación entre las LAN para algunos de los usuarios
de la misma.
La necesidad de confidencialidad como así el mejor aprovechamiento del ancho de
banda disponible dentro de la corporación ha llevado a la creación y crecimiento de las
VLANs.
Una VLAN se encuentra conformada por un conjunto de dispositivos de red
interconectados (hubs, bridges, switches o estaciones de trabajo) la definimos como una
subred definida por software y es considerada como un dominio de broadcast que
12
pueden estar en el mismo medio físico o bien puede estar sus integrantes ubicados en
distintos sectores de la corporación.
La tecnología de las VLANs se basa en el empleo de switches, en lugar de hubs, de
tal manera que esto permite un control más inteligente del tráfico de la red, ya que este
dispositivo trabaja a nivel de la capa 2 del modelo OSI y es capaz de aislar el tráfico, para
que de esta manera la eficiencia de la red entera se incremente. Por otro lado, al distribuir
a los usuarios de un mismo grupo lógico a través de diferentes segmentos, se logra el
incremento del ancho de banda en dicho grupo de usuarios. En la Fig. 1.5 se muestra un
diagrama de una red segmentada por VLANs.
■vLAN 1
11 VLAN 2
■ VLAN3
Fig. 1.5: Segmentación por VLANs
(Fuente: Elaboración propia)
1.4 Defensa en profundidad
Para reducir el riesgo en el entorno de la red, debe usar una estrategia de defensa
en profundidad para proteger los recursos de amenazas externas e internas. El término
defensa en profundidad procede de un término militar utilizado para describir la aplicación
de contramedidas de seguridad con el fin de formar un entorno de seguridad cohesivo sin
un solo punto de error. Las capas de seguridad que forman la estrategia de defensa en
profundidad incluyen el despliegue de medidas de protección desde los enrutadores
externos hasta la ubicación de los recursos, pasando por todos los puntos intermedios.
Con el despliegue de varias capas de seguridad, ayuda a garantizar que, si se pone
en peligro una capa, las otras ofrecerán la seguridad necesaria para proteger sus
recursos. Por ejemplo, que el servidor de seguridad de una organización esté en peligro,
no debe significar que un atacante pueda tener acceso sin trabas a los datos más
13
confidenciales de la organización. En el caso ideal, cada capa debe proporcionar
diferentes formas de contramedidas para evitar que se utilice el mismo método de
explotación en varias capas.
En la Fig. 1.6 se muestra una estrategia de defensa en profundidad eficaz:
Seguridad fisica
Directivas y procedimientos - - - - -
Fig. 1.6: Estrategia de defensa en profundidad
(Fuente: www.microsoft.com)
Es importante recordar que sus recursos no son sólo datos, sino que cualquier
elemento de su entorno es susceptible de ser atacado. Como parte de su estrategia de
administración de riesgos, debe examinar los recursos que protege y determinar si
dispone de protección suficiente para todos. Por supuesto, la cantidad de medidas de
seguridad que pueda aplicar dependerá de la evaluación de riesgos y el análisis de
costos y beneficios de la aplicación de contramedidas. Sin embargo, el objetivo consiste
en garantizar que un atacante necesitará unos conocimientos, tiempo y recursos
significativos para superar todas las contramedidas y tener acceso a sus recursos.
1.4.1 Defensa de datos
Para muchas empresas, uno de los recursos más valiosos son los datos. Si estos
datos cayeran en manos de la competencia o sufrieran daños, tendrían problemas
importantes.
A nivel de cliente, los datos almacenados localmente son especialmente
vulnerables. Si se roba un equipo portátil, es posible realizar copias de seguridad,
restaurar y leer los datos en otro equipo, aunque el delincuente no pueda conectarse al
sistema.
1.4.2 Defensa de aplicaciones
Como una capa de defensa más, el refuerzo de las aplicaciones es una parte
esencial de cualquier modelo de seguridad. Muchas aplicaciones utilizan el subsistema
14
de seguridad del sistema operativo para proporcionar seguridad. No obstante, es
responsabilidad del programador incorporar la seguridad en la aplicación para
proporcionar una protección adicional a las áreas de la arquitectura a las que la
aplicación puede tener acceso. Una aplicación existe en el contexto del sistema, de modo
que siempre se debe tener en cuenta la seguridad de todo el entorno al considerar la
seguridad de una aplicación.
Se debe probar en profundidad el cumplimiento de la seguridad de cada aplicación
de la organización en un entorno de prueba antes de permitir que se ejecute en una
configuración de producción.
1.4.3 Defensa de hosts
Debe evaluar cada host del entorno y crear directivas que limiten cada servidor sólo
a las tareas que tenga que realizar. De este modo, se crea otra barrera de seguridad que
un atacante deberá superar antes de poder provocar algún daño. Adicionalmente,
"Asegurar servidores basándose en su función", a través de directivas y buenas prácticas
de seguridad.
Un modo de hacerlo consiste en crear directivas individuales en función de la
clasificación y el tipo de datos que contiene cada servidor. Por ejemplo, las directivas de
una organización pueden estipular que todos los servidores Web son de uso público sólo
pueden contener información pública. Sus servidores de bases de datos están
designados como confidenciales de la empresa, lo que significa que la información debe
protegerse a cualquier precio.
1.4.4 Defensa de redes
Si dispone de una serie de redes en la organización, debe evaluarlas
individualmente para asegurarse de que se ha establecido una seguridad apropiada. Si
un enrutador sufre un ataque eficaz, puede denegar el servicio a partes enteras de la red.
Debe examinar el tráfico admisible en sus redes y bloquear el que no sea
necesario. También puede considerar el uso de IPSec para cifrar los paquetes en sus
redes internas y SSL para las comunicaciones externas. Asimismo, debe supervisar la
existencia de detectores de paquetes en la red, que sólo deben usarse bajo controles
estrictos.
1.4.5 Defensa de perímetros
La protección del perímetro de su red es el aspecto más importante para detener
los ataques externos. Si su perímetro permanece seguro, la red interna estará protegida
de ataques externos. La organización debe disponer de algún tipo de dispositivo de
seguridad para proteger cada punto de acceso a la red. Es necesario evaluar cada
dispositivo, decidir qué tipos de tráfico se permiten y desarrollar un modelo de seguridad
para bloquear el resto del tráfico.
15
Los firewalls son una parte importante de la defensa del perímetro. Necesitará uno
o más firewalls para asegurarse de minimizar los ataques externos, junto los sistemas de
detección y prevención de intrusos para estar seguro de detectar los ataques en caso de
que se produzcan.
También debe recordar que, para las redes que permiten el acceso remoto, el
perímetro puede incluir los equipos portátiles del personal e incluso los equipos
domésticos. Deberá asegurarse de que estos equipos cumplen con los requisitos de
seguridad antes de que se conecten a la red y que emplean un canal seguro tipo VPN.
1.4.6 Defensa física
Todo entorno en el que usuarios no autorizados puedan obtener acceso físico a
equipos es inherentemente inseguro. Un ataque de denegación de servicio muy eficaz
puede ser simplemente quitar el sistema de alimentación de un servidor o las unidades
de disco. El robo de datos (y la denegación de servicio) puede producirse si alguien roba
un servidor o incluso un equipo portátil.
Debe considerar la seguridad física como un elemento fundamental para su
estrategia de seguridad global. Una prioridad principal será la de establecer una
seguridad física para las ubicaciones de los servidores. Puede tratarse de salas de
servidores del edificio o de centros de datos enteros.
También debe tener en cuenta los accesos a los edificios de la organización. Si
alguien puede tener acceso a un edificio, puede tener oportunidades para llevar a cabo
un ataque aunque ni siquiera pueda conectarse a la red. Estos ataques pueden incluir:
• La denegación de servicio (por ejemplo, conectar un equipo portátil a la red como
servidor DHCP o desconectar la alimentación de un servidor)
• El robo de datos (por ejemplo, robar un equipo portátil o detectar paquetes en la red
interna).
• La ejecución de código malicioso (por ejemplo, activar un gusano desde el interior
de la organización).
• El robo de información de seguridad crítica (por ejemplo, cintas de copia de
seguridad, manuales de funcionamiento y diagramas de red).
• Como parte de la estrategia de administración de riesgos, debe determinar el nivel
de seguridad física apropiado para su entorno. A continuación se enumeran algunas de
las posibles medidas de seguridad física.
• Establecer seguridad física para todas las áreas del edificio (esto puede incluir
tarjetas de acceso, dispositivos biométricos y guardias de seguridad).
• Requerir a los visitantes que vayan acompañados en todo momento.
• Requerir a los visitantes que firmen un registro de entrada de todos los dispositivos
16
informáticos.
• Requerir a todos los empleados que registren cualquier dispositivo portátil de su
propiedad.
• Fijar físicamente todos los equipos de sobremesa y portátiles a las mesas.
• Requerir que se registren todos los dispositivos de almacenamiento de datos antes
de sacarlos del edificio.
• Ubicar los servidores en salas separadas a las que sólo tengan acceso los
administradores.
• Conexiones a Internet, alimentación, sistemas antiincendios, etc. Redundantes.
• Protección contra desastres naturales y ataques terroristas.
• Establecer seguridad para las áreas en las que se puede dar un ataque por
denegación de servicio (por ejemplo, las áreas en las que el cableado sale del edificio
principal).
1.4.7 Políticas y procedimientos
Casi todas las medidas descritas hasta ahora están destinadas a evitar el acceso
no autorizado a los sistemas. No obstante, está claro que habrá personas de su entorno
que necesiten acceso de alto nivel a los sistemas. Toda estrategia de seguridad será
imperfecta a menos que pueda garantizar que estas personas no van a hacer un uso
indebido de los derechos que se les han concedido.
Antes de contratar a nuevos empleados para la organización, debe asegurarse de
que se someten a un proceso de investigación de seguridad, con una investigación más
rigurosa para aquellos que vayan a tener un mayor acceso a los sistemas.
Respecto a los empleados existentes, resulta esencial que sean conscientes de las
directivas de seguridad y de lo que está permitido y prohibido (y, preferiblemente, también
por qué). Esto es importante por dos razones. En primer lugar, si los empleados no son
conscientes de lo que está prohibido, pueden llevar a cabo acciones que
inconscientemente pongan en peligro la seguridad del entorno. En segundo lugar, si un
empleado ataca adrede su entorno de TI y no se ha prohibido explícitamente en las
directivas de la empresa, puede resultar muy difícil entablar demanda contra esta
persona.
Puede notificar a sus usuarios acerca de la seguridad mediante un programa de
orientación seguido de recordatorios a intervalos regulares y actualizaciones visiblemente
expuestas de los procedimientos de seguridad. Resulta esencial que los empleados se
den cuenta de que cada uno de ellos desempeña un papel en el mantenimiento de la
seguridad.
17
1.5 Firewall
Los firewalls son dispositivos de red que restringen el acceso entre redes. En la
actualidad, muchas compañías emplean el firewall para restringir el acceso desde
Internet a sus redes privadas, como se puede apreciar en la Fig. 1.7.
Sin embargo, los firewalls se pueden usar para restringir el tráfico de rede entre dos
segmentos internos, por ejemplo, un administrador de red puede restringir el acceso
entre las redes de desarrollo e investigación configurando un firewall en la frontera de
ambas redes.
Fig. 1.7: Firewall como protección a Internet
(Fuente: Elaboración Propia)
Los firewalls monitorean los paquetes que ingresan ó salen de la red que protegen,
filtrando los paquetes que no cumplen con las políticas de seguridad que tienen
configuradas. Los paquetes son filtrados basados en las direcciones origen ó destino,
puertos, tipos de paquetes, tipo de protocolo, etc.
1.5.1 Tecnologías de los firewalls
A continuación se procede a describir cada una de las diversas tecnologías que se
pueden emplear al momento de implementar un firewall.
a. Filtrado de paquetes: Es la característica básica de un firewall y basa sus decisiones
en directivas o políticas denominadas "reglas".
Bajo esta modalidad, los firewalls operan en la capa de red y brindan control del acceso
basado en la información contenida en el paquete, como se muestra a continuación:
• Dirección IP origen ó destino del paquete
18
• Protocolo de red o transporte empleado en la comunicación, por ejemplo TCP, UDP
o lCMP.
• Puerto origen ó destino de la sesión, por ejemplo TCP 80 si el destino es un
servidor web o TCP 1320 si el puerto origen pertenece al acceso de una equipo personal
a un servidor.
• La interface por donde pasa el paquete y su dirección (inbound u outbound).
Este tipo de firewall es vulnerable a ataques que toman ventaja de problemas en las
capas TCP/IP. Por ejemplo, el filtrado de paquetes no tiene la capacidad de detectar
cuando la dirección IP de un paquete ha sido alterada con propósitos maliciosos.
b. Inspección de estados: La inspección de estados mejora las funciones del filtrado de
paquetes a través del seguimiento del estado de la conexión y bloqueando paquetes que
provienen de un estado que no ha sido identificado previamente. De la misma manera
que el filtrado de paquetes, la inspección de estados intercepta los paquetes y los
inspecciona para ver si ellos están permitidos por alguna regla existente en el firewall, sin
embargo, mantiene el estado de la conexión en una tabla denominada "Tabla de
estados". Los detalles de la "Tabla de estados" varían según la marca y modelo de los
firewalls, pero típicamente incluyen la dirección IP origen, la dirección IP destino, el
número del puerto, el estado de la conexión.
Para los protocolos del tipo TCP existen tres principales de estados:
• Establecimiento de la conexión - "lnitiated"
• Conexión en uso - "Established"
• Terminación de la conexión - "Closed"
En la TABLANº 1.7 se muestra el ejemplo de una tabla de estados de un firewall al
cual un equipo de la red 192.168.1.100 intenta conectarse al equipo con IP 192.0.2.71,
primero se revisa si existe alguna regla que permita o deniegue el acceso.
TABLANº 1.7: Ejemplo de tabla de estados
(Fuente: Elaboración propia)
192.168.1.100 1030 192.0.1.71
192.168.1.102 1031 10.12.18.74
192.168-1-101 1033 10.66.32.122
192.168.1.106 1035 10.231.32.12
80
80
25
79
lnitiated
Established
Established
Established
19
Para los protocolos UDP, que no tienen un proceso formal para inicializar,
establecer y terminar una conexión, su estado no puede ser establecido en la capa de
transporte como es el caso de TCP. Para estos protocolos, los firewall con inspección de
estados sólo hacen seguimiento a la IP origen, la IP destino y el puerto. Debido a que el
firewall no puede determinar cuando la sesión ha finalizado, la entrada es removida de la
tabla de estados luego de un tiempo de expiración configurado en el equipo.
c. Firewall de aplicaciones: Una tendencia reciente en la inspección de estado es
agregarle la capacidad de análisis del estado del protocolo, denominado por algunos
fabricantes inspección profunda de paquetes ó por su nombre en inglés "Deep Packet
lnspection". Esto permite a un firewall permitir o denegar el acceso basado en el
comportamiento de la aplicación en la red. Por ejemplo, un firewall de aplicaciones puede
determinar si un mensaje de correo electrónico contiene un tipo de archivo adjunto que la
organización no permite. Otra característica de esta tecnología es que puede bloquear
las conexiones sobre las que se realizan acciones específicas, como por ejemplo
prevenir el uso del comando PUT al usar el servicio FTP, el cual permite escribir archivos
en el servidor FTP. Los firewalls de aplicaciones se encuentran disponibles para muchos
protocolos como por ejemplo HTTP, base de datos (SQL), correo electrónico (SMTP,
POP, IMAP) y voz sobre IP (VolP).
Firewalls que tienen la capacidad de inspección de estados e inspección de
protocolos no se deben de considerar como reemplazo de equipos de detección y
prevención de intrusos, conocido por sus siglas IDPS, el cual ofrece un análisis mucho
más extensivo, por ejemplo el uso de análisis basado en firmas ó anomalías en el tráfico
de red.
d. Gateway Proxy de aplicaciones: Un Gateway Proxy de aplicaciones es una
característica de los firewalls avanzados que combinan las funcionalidades de control de
accesos en las capas inferiores con las capas superiores. Estos firewalls contienen un
agente proxy como intermediario entre dos equipos que desean comunicarse el uno con
el otro. Cada conexión establecida es resultado de dos conexiones separadas, una entre
el cliente y el proxy, y otra entre el proxy y el destino.
Además de las reglas configuradas en un firewall, alguno agentes proxy tienen la
capacidad de requerir autenticación a cada usuario de la red. Esta autenticación puede
ser de varias maneras, por ejemplo usuario y contraseña, token tipo hardware o software
y biométrica.
Así como los firewalls de aplicaciones, los gateway proxy operan en la capa de
aplicación y pueden inspeccionar el contenido del tráfico. Por este motivo, pueden tomar
decisiones para permitir o denegar el tráfico basado en la información de la cabecera ó
20
cuerpo del protocolo de aplicación.
La principal ventaja de este tipo de tecnología sobre los firewalls de aplicaciones es
que previene conexiones directas entre dos equipos, inspecciona el contenido del tráfico
para identificar violaciones en las reglas configuradas. Otra potencial ventaja es que
posee la ventaja de descifrar paquetes, examinarlos y volverlos a cifrar antes de ser
enviados a su destino.
Firewalls con gateway proxy de aplicaciones pueden tener muchas desventajas
comparadas con el filtrado de paquetes e inspección de estados. Primero, debido a que
analiza todo el paquete, el firewall toma mucho más tiempo para tomar una decisión. Otra
desventaja es que tiende a ser limitado en términos de soportar nuevas aplicaciones y
protocolos de red, una aplicación específica requiere un agente proxy específico.
e. Proxy dedicado: A diferencia de los gateway proxy de aplicaciones es que posee
capacidades limitadas a nivel de firewall. Debido a que poseen limitadas capacidades de
firewall, como el bloqueo de tráfico basado el origen o destino son típicamente
desarrollados detrás de plataformas tradicionales de firewalls. Un ejemplo es el HTTP
proxy implementado detrás de un firewall, los usuarios necesitarán conectarse al proxy
para luego conectarse con los servidores web.
Los proxy dedicados son generalmente empleados para reducir la carga de
procesamiento en los firewall.
1 Outbound Request l.Afl,1
Firewall ►·
2 Filtered Request
Fig. 1.8: Diagrama de red que emplea un HTTP Proxy
(Fuente: National lnstitute of Standards and Technology)
En la Fig. 1.8 se muestra un diagrama de red a manera de ejemplo que emplea un
HTTP proxy situado detrás de otro firewall. El HTTP proxy conectará las conexiones de
salida a los servidores web externos, permitiendo aplicar filtros. Las solicitudes de los
usuarios irán primero al proxy, el proxy analiza la petición dentro de sus reglas y envía la
solicitud al servidor web. La respuesta del servidor web regresa al proxy, quién lo reenvía
21
a usuario. Muchas organizaciones habilitan la característica de "caché" para que las
solicitudes a páginas web frecuentes sean respondidas por el proxy, reduciendo el tráfico
de red y mejorando los tiempos de respuesta.
f. Redes privadas virtuales (VPN): Los firewalls situados en la frontera de una red son
requeridos muchas veces para hacer más que bloquear el tráfico de red no deseada. Un
requerimiento común para ellos es cifrar y descifrar el tráfico de red para proteger la
información de redes externas. Una red privada virtual, conocida por sus siglas VPN es la
que proporciona una comunicación segura entre redes. Por ejemplo, la tecnología VPN
es ampliamente usada para extender de manera segura las comunicaciones entre sedes
de una misma compañía a través de Internet.
Las dos arquitecturas más comunes para las VPN son "gateway-to-gateway'' y
"host-to-gateway''. Gateway-to-Gateway, conecta múltiples sedes sobre una red pública a
través de "VPN gateways". Un VPN gateway usualmente es un dispositivo de red como
un firewall o enrutador. Cuando la VPN es establecida entre los dos gateways, los
usuarios de las sedes remotas pueden conectarse de manera segura con los equipos de
la sede principal. Host-to-Gateway, provee una conexión segura a la red para equipos de
los usuarios, conocidos como "usuarios remotos".
Para que un firewall tenga la capacidad de VPN requiere recursos adicionales a
nivel de procesamiento y memoria que dependen de la cantidad de tráfico y el tipo de
encriptación empleada.
g. Control de acceso a redes: Es otro requerimiento común para los firewalls que se
encuentran en el perímetro de una red, el cual consiste en revisar las conexiones
entrantes de usuarios remotos y tomar decisiones para permitir o denegar el acceso. La
revisión que se realiza esta basada principalmente en las siguientes políticas:
• Actualizaciones instaladas en los programas como antimalware, antivirus.
• Parámetros de configuración del antivirus, antimalware.
• Nivel de parches de seguridad del sistema operativo y aplicaciones previamente
definidas.
• Parámetros de configuración del sistema operativo y aplicaciones previamente
definidas.
Para la revisión del cumplimiento de las políticas el firewall requiere que los equipos
de los usuarios tengan instalado un agente.
h. Administración de amenazas unificada (UTM): Muchos firewalls combinan múltiples
características en un solo sistema, la idea es facilitar el mantenimiento de las políticas y
reglas a través de un único sistema de administración. Un típico UTM posee un firewall,
detección y eliminación de malware, antispam, entre los principales. Una de las ventajas
22
de implementar un UTM es que reduce la complejidad de la red. Sin embargo, el tener
muchas funcionalidades habilitadas en un mismo equipo conlleva a un mayor consumo
de memoria y degradación en la velocidad de procesamiento del CPU.
i. Firewall de aplicaciones web: El protocolo HTTP usado en los servidores web ha
sido el principal punto de ataque por parte de los hackers que aprovechan la falta de
controles de seguridad en las aplicaciones web instaladas en estos servidores.
Por este motivo, la función principal de un firewall de aplicaciones web es aplicar
políticas de protección ante las amenazas de seguridad más populares sobre las
aplicaciones web, por ejemplo inyección de código SQL mal intencionado, inserción de
código web malicioso, entre las principales.
1.5.2 Arquitecturas de firewalls
Los firewalls pueden ser situados en diferentes lugares sobre una red, pueden
proteger una red interna de redes externas y actuar como un punto de choque para todo
el tráfico. Un firewall puede ser usado para segmentar una red y reforzar los controles de
acceso entre sub redes. Adicionalmente pueden ser empelados para crear una red
desmilitarizada, conocida como DMZ.
En la Fig. 1.9 se muestra el diagrama de una red con un segmento DMZ basada en
dos firewalls conectados en línea.
LAN interna
Fig. 1.9: Red con segmento DMZ configurado
(Fuente: CISSP all in one Exam Guide)
¡ Router
Una red DMZ es un segmento de red localizada entre una red protegida y una red
no protegida. El objetivo de la red DMZ es que las conexiones desde la red interna y
externa hacia la DMZ estén permitidas, mientras que las conexiones desde la DMZ sólo
23
se permitan hacia la red externa, es decir que los equipos que se encuentran en la DMZ
no se puedan conectar con los equipos de la red interna. Para cualquiera de la red
externa que sea conectarse a la red interna, la zona desmilitarizada se comporta como
una jaula. La red DMZ usualmente contiene servidores de servicio público como
servidores Web, servidores DNS, interfaces web de servidores de correo, servidores FTP,
servidores SFTP.
Una DMZ se crea en base a opciones de configuración de firewall, donde cada red
se conecta a una interface independiente.
a. Firewall Dual-Homed: Es un dispositivo que tiene dos interfaces (red interna y red
externa) y no dejan pasar paquetes IP (como sucede en el caso del filtrado de paquetes),
tal como se muestra en la Fig. 1.10.
Un usuario interior que desee hacer uso de un servicio exterior, deberá conectarse
primero al firewall, donde este actúa como proxy para atender su solicitud, y en base a
las políticas configuradas éste permitirá o denegará la solicitud.
Fig. 1.1 O: Arquitectura Dual-Homed
(Fuente: Elaboración propia)
b. Firewall multihomed: Muchos equipos actualmente son denominados "multihomed"
debido a que poseen más de dos interfaces de red para conectar más de dos redes. Esta
arquitectura permite a las compañías tener más de una DMZ. Por ejemplo, una DMZ
puede ser empleada para alojar los servidores que brindan servicios del tipo extranet
24
entre compañías, otra DMZ puede alojar los servidores que brindan servicios del tipo públicos como DNS, Mail y finalmente una DMZ que aloje los servidores que contienen la página web de la compañía. La finalidad de tener más de una DMZ es asegurar que si
uno de las DMZ es comprometida, los servicios que se encuentran en las otras DMZ no sean accesibles por el atacante.
En la Fig. 1.11 se muestra un firewall configurado bajo la arquitectura "multihomed"
recomendado por Microsoft para la implementación de su servicio de correo electrónico (Microsoft Exchange).
c. Screened Host: Un Screened host es un firewall que comunica directamente unenrutador perimetral con la red interna. La Fig. 1.12 muestra este tipo de arquitectura. El
tráfico recibido desde Internet es primero filtrado mediante "filtrado de paquetes" en elenrutador. El Screened host es el único dispositivo que recibe el tráfico directamente
desde el enrutador, ningún paquete va directamente desde Internet a través del enrutadorhacia la red interna.
DMZ de acceso autenticado DMZ de acceso anónimo
Router
ISA Firewall
Servidor ¡Exchange ¡ Back-end
�··-----------•-;; _..,_, - --
Controlador de dominio:
! Red Interna/Corporativat.. 111& H. ll■&a I& lt HOMI ....
Fig. 1.11: Arquitectura Multihomed - Microsoft Exchange
(Fuente: ISAserver.org)
25
El término "screening" en este contexto se muestra en la Fig. 1.12 el enrutador es el
dispositivo "screening" y el firewall es el "Screened host".
Dispositivo "Screening" Dispositivo
"Screened''
Red interna
Fig. 1.12: Arquitectura firewall screened host
(Fuente: CISSP all in one Exam Guide)
d. Screened Subnet: La arquitectura "screened-subnet" agrega una capa de seguridad a
la arquitectura screened-host. El firewall externo protege los datos que ingresan a la red
DMZ. Sin embargo, en lugar que este firewall redirija el tráfico hacia la red interna, un
firewall interno filtra el tráfico. Es decir, la DMZ es creada empleando dos firewalls
físicamente diferentes, tal como se muestra en la Fig. 1.13.
Dispositivo 11Screening" Firewall
Subred "Screened"
Servidor DNS
�I
J Servidor Correo
Fig. 1.13: DMZ creada entre 2 firewalls
(Fuente: CISSP all in one Exam Guide)
Red interna
26
En un ambiente screened-host, si un atacante rompe la seguridad del firewall, no se
tiene un mecanismo que permita prevenir su acceso a la red interna. Por el contrario, en
un ambiente usando screened-subnet, un atacante tendría que vulnerar la seguridad del
otro firewall para obtener el acceso a la red interna.
La Fig. 1.14 muestra una red screened-subnet, en la cual se tienen dos firewalls
que protegen distintos servidores pero comparten un mismo punto de conexión a la red
externa y otro punto en común para la red interna.
1
1
1
1
,.----- --------------------------------------
Router exterior
: Red perimetral 1 1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
r ---.,,,,,,._, 'ª
Firewall 1
Router interior
Red perimetral 2
, __ --- ----- ---
1 ¡
....,z-,. «ñ� át
Red interna
,,
��
Fig. 1.14: Arquitectura screened-subnet basada en dos firewalls
(Fuente: CISSP all in one Exam Guide)
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
l
1
/
27
La Fig. 1.15 muestra una arquitectura de red que tiene dos screened-subnet, con
enrutadores independientes para la conexión a la red externa e interna .
/
......
...... ,
"' ',
\ \ .\. l \
I \ r-------------- I ----, ----- \
r Router de I Router e� --------------,
1 1 ' 1
Respaldo • orde 1 : borde
¡ 1t,_ _____ R_ed ..... l_pe-r-im__.!-tr-al ___ _
1 1 1 1 1
1 1 1 1 1 1 1 1 1 Servi :web 1 1 1 1 1 1 1
correo
Red perimetral
Router interno 1
1
1 1
1 1,
ONS
Red perimetral
Firewall l 1 1 1 1
J, 1 1 1
1 1 1 1 1
1 1 1 1 1 1
1 1 Router 1
interno 2 l L--------------- ________ 1 ��------�-- _________ J
- -t...._v ca
Fig. 1.15: Screened-subnet de dos firewalls
(Fuente: CISSP all in one Exam Guide)
1.6 Sistema de detección y protección de intrusos del tipo red
Red interna
Este sistema monitorea el tráfico de red de un segmento en particular analizando
los protocolos de red, transporte y aplicación para identificar actividad sospechosa. Un
sistema de detección y prevención de intrusos (IDPS) es una mezcla de las tecnologías
IDS e IPS, es decir, cuenta con el proceso de detección más la posibilidad de bloquear
posibles incidentes.
28
1.6.1 Metodologías que emplean los IDPS
a. Detección basada en firmas: Una firma es un patrón que corresponde a una
amenaza conocida. La detección basada en firmas es el proceso de comparar firmas con
los eventos observados para identificar posibles incidentes. Ejemplos de firmas son:
• Intentos de acceso vía telnet usando el usuario "administrador''
• Un correo electrónico con una archivo adjunto "freepics.exe"
b. Detección basada en comportamientos anómalos: Este proceso consiste en
comparar definiciones de que actividad es considerada normal contra los eventos
observados para identificar desviaciones. Un IDPS que emplea este mecanismo emplea
perfiles que representan un comportamiento normal en la red o en los hosts, los perfiles
son desarrollados en base al monitoreo de las actividades por un periodo de tiempo. Por
ejemplo, un perfil podría ser la actividad de su servidor web consume en promedio el 13%
de su ancho de banda de Internet durante las horas de trabajo.
c. Análisis del estado del protocolo: Este proceso compara perfiles predeterminados
de actividades del estado del protocolo contra los eventos monitoreados para identificar
desviaciones. A diferencia de la detección basada en el comportamiento anómalo, el cual
usa perfiles de la red o de los hosts, el análisis del estado del protocolo se basa en los
perfiles creados por el fabricante del IDPS que especifica como ciertos protocolos deben
o no deben de ser empleados. Es capaz de entender y hacer seguimiento al estado del
protocolo sobre el cual tiene conocimiento, permitiéndole detectar muchos ataques que
otros no puede. El principal problema con este método es que es imposible desarrollar
modelos totalmente exactos para los protocolos, consume gran cantidad de recursos y
no puede detectar ataques que no violen las características generales del
comportamiento del protocolo.
1.6.2 Componentes de un sistema IDPS
a. Sensor o agente: Es el encargado de monitorear la actividad. El término sensor es
empleado para monitorear redes y el término agente para monitorear hosts.
Servidor de administración: Es un dispositivo central que recibe la información de los
sensores o agentes para administrarlos.
b. Base de datos: Es el repositorio de los eventos monitoreados por los sensores,
agentes y servidores de administración.
c. Consola: Es un programa que permite brinda a los administradores una interface para
configurar los sensores o agentes, aplicar actualizaciones, monitorear el estado de
actividad de los sensores o agentes, etc.
La implementación de este sistema puede ser conectando los componentes a
través de la red de la organización o través de una red estrictamente designada para la
29
administración de los equipos, esta red es conocida como "Red de Gestión y
Administración". Si una red de gestión y administración es empleada, cada sensor o host
que tenga instalado un agente debe de tener una interface adicional conocida como
"Interface de Administración", además cada sensor o host de los agentes no permite el
tráfico entre la interface de administración y cualquier otra interface. Esta arquitectura
aísla la administración y gestión de los equipos de la red de servicios productivos. Los
beneficios de emplear esta arquitectura protegen al sistema de ataques como por
ejemplo, ataques distribuidos de denegación de servicios. Sin embargo, la principal
desventaja de esta arquitectura es que incrementa el costo de implementación.
En caso no se implemente una red separada para la administración de los IDPS,
otra alternativa es crear redes virtuales de administración empleando LAN virtuales
(VLAN). Usar VLAN brinda un adecuado nivel de protección pero no como una red de
administración separada, debido a que errores de configuración en las VLAN podría
exponer la seguridad del sistema. Por ejemplo, un ataque de denegación de servicio
distribuido podría saturar la VLAN y por ende impactar contra la disponibilidad y
funcionamiento adecuado del sistema de protección y detección de intrusos.
A continuación se procede a explicar los modos de implementación de los agentes:
a. lnline: Es desarrollado para monitorear el tráfico que pasa a través de la red. El
principal motivo de contar con este modo es tener la capacidad de bloquear ataques.
Usualmente los sensores implementados bajo este modo son situados detrás del firewall
que protege la red interna de redes externas, en la Fig. 1.16 se muestra un ejemplo.
b. Passive: En este modo el IDPS monitorea una copia del tráfico de red, es decir, el
tráfico no pasa a través del sensor. Los sensores en este modo pueden monitorear el
tráfico principalmente de las siguientes maneras:
• Spanning Port: Muchos switches poseen la capacidad de configurar un puerto en
modo "spanning" el cual puede ver todo el tráfico que pasa a través del switch. Al
conectar el sensor al puerto configurado en este modo podrá monitorear el tráfico de red
que pasa a través de este switch. El principal problema al configurar este modo sobre un
puerto es el incremento en uso de recursos de procesamiento y memoria del switch.
• Network tap: El "tap" es un dispositivo que permite el monitoreo de los datos que
pasan a través de dos puntos en la red. Si el medio de comunicación entre dos puntos A
y B en una red es un cable físico, un "network tap" puede ser una alternativa para lograr
el monitoreo. Este dispositivo posee al menos tres puertos, un puerto A, un puerto B y
puerto de monitoreo. Un tap es insertado entre los puntos A y B replicando el tráfico al
puerto de monitoreo.
• IDS Load Balancer: Es un dispositivo que concentra y dirige el tráfico a sistemas de
30
monitoreo, incluyendo sensores. Puede recibir copias de tráfico de red de uno o más
puertos configurados en modo "spanning port", "network tap" o sensores IDPS para
distribuirlas en uno o más dispositivos de monitoreo basado en reglas configurado por el
administrador. Las configuraciones más comunes son: Enviar todo el tráfico a múltiples
sensores IDPS, dividir dinámicamente el tráfico entre múltiples sensores IDPS basados
en el volumen y dividir el tráfico entre múltiples sensores IDPS basados en direcciones
IP, protocolos u otra característica .
.,,..... ........ �·-·""'
e Internet
Router
Switch
Firewall
Sensor IDPS
Switch
Interface de monitoreo
Interface de�� .... =--- ......... ········· gestión
········-'ºteriace demonitoreo
Red interna
Servidor
de gestión IDPS
Fig 1.16: Implementación de IDPS en modo "inline"
(Fuente: National lnstitute of Standards and Technology)
3l.
La Flg. 1.17 muestra sensores en modo 11Passlve" conectados a una red que
emplea IDS Load Balancer, Network taps y Spannlng Ports.
Internet
Red
interna
Network tap
Balanceo de carga IDPS
Puerto "Spannlng" , . . . .
/ f
Sensor IOPS
Servidor de gestión IDPS
Flg. 1.17: Ejemplo de arquitectura de red que emplea IDPS en modo 11Passive"
(Fuente: National lnstitute of Standards and Technology)
1.7 Modelo Jerárquico en el diseno de redes LAN
El modelo jerárquico de redes LAN consta de 3 niveles o capas tal como se
muestra en la Flg. 1.18 y tiene muchos beneficios ya que permite que la red sea más
predecible. Esto debido a que la red es dividida en capas y en cada capa se define los
servicios que esta brinda. En comparación con otros dlsef\os de redes, una red Jerárquica
se administra y expande con más facilidad y los problemas se resuelven con mayor
rapidez.
32
¡-'
���"'
�"'
··:
E.iall--�J1T�•::.·:::.:·:::.·::.·:::.·:::::::::·.�·::.�·-·:.·.·:� f:> \;;tN�a9;• .... 1� � IIJ.I' �-.��-��··-' ' . . •· -. . . . ! .... -- ------- ,.._ --·--,---... --- ------ -- - ........ _ ....... �,.. .......... - -----.-.., ......... . ' . .. . . . '
. .
: . . . .. '
¡
' . .: 6;.
...- ·. ff"c,STR1auc,0N ···· 1- ., - �---- "-· ' ' . . . ' . . .. .. . . . .· .. ; . .
1 ..... --- ----,.·------ -;-- .. -e .. ---.----.--•• - --""'·r:- .. -·------_':' ______ _.. __ .. ---·--.. • .. .. . ·. . " . •. .· . ·.
a ,.
f jjn
Fig. 1.18 Modelo de redes jerárquica
(Fuente: redesweb.com)
ACCESO
Entre las ventajas que existen al separar la redes en 3 niveles es que resulta más
fácil diseñar, implementar, mantener y escalar la red, además de que la hace más
confiable, con una mejor relación costo/beneficio. Cada capa tiene funciones específicas
asignadas y no se refiere necesariamente a una separación física, sino lógica; así que
podemos tener distintos dispositivos en una sola capa o un dispositivo haciendo las
funciones de más de una de las capas.
1.7.1 Capa de acceso
La capa de acceso de la red es el punto en el que cada usuario se conecta a la red.
Ésta es la razón por la cual la capa de acceso se denomina a veces capa de puesto de
trabajo, capa de escritorio o de usuario. Los usuarios así como los recursos a los que
estos necesitan acceder con más frecuencia, están disponibles a nivel local. El tráfico
hacia y desde recursos locales está confinado entre los recursos, switches y usuarios
finales. En la capa de acceso podemos encontrar múltiples grupos de usuarios con sus
correspondientes recursos. En muchas redes no es posible proporcionar a los usuarios
un acceso local a todos los servicios, como archivos de bases de datos, almacenamiento
centralizado o acceso telefónico al Web. En estos casos, el tráfico de usuarios que
demandan estos servicios se desvía a la siguiente capa del modelo: la capa de
distribución.
1.7.2 Capa de distribución
La capa de distribución marca el punto medio entre la capa de acceso y los
servicios principales de la red. La función primordial de esta capa es realizar funciones
33
tales como enrutamiento, filtrado y acceso a WAN.
En un entorno de sede principal, la capa de distribución abarca una gran diversidad
de funciones, entre las que figuran las siguientes:
• Servir como punto de concentración para acceder a los dispositivos de capa de
acceso.
• Enrutar el tráfico para proporcionar acceso a los departamentos o grupos de
trabajo.
• Segmentar la red en múltiples dominios de difusión / multidifusión.
• Traducir los diálogos entre diferentes tipos de medios, como Token Ring y Ethernet
• Proporcionar servicios de seguridad y filtrado.
La capa de distribución puede resumirse como la capa que proporciona una
conectividad basada en una determinada política, dado que determina cuándo y cómo los
paquete pueden acceder a los servicios principales de la red. La capa de distribución
determina la forma más rápida para que la petición de un usuario (como un acceso al
servidor de archivos) pueda ser remitida al servidor. Una vez que la capa de distribución
ha elegido la ruta, envía la petición a la capa de núcleo. La capa de núcleo podrá
entonces transportar la petición al servicio apropiado.
1.7.3 Capa de núcleo
La capa del núcleo, principal o "Core" se encarga de desviar el tráfico lo más
rápidamente posible hacia los servicios apropiados. Normalmente, el tráfico transportado
se dirige o proviene de servicios comunes a todos los usuarios. Estos servicios se
conocen como servicios globales o corporativos. Algunos de tales servicios pueden ser
correo electrónico, el acceso a Internet o la videoconferencia. Cuando un usuario
necesita acceder a un servicio corporativo, la petición se procesa al nivel de la capa de
distribución. El dispositivo de la capa de distribución envía la petición del usuario al
núcleo. Este se limita a proporcionar un transporte rápido hasta el servicio corporativo
solicitado. El dispositivo de la capa de distribución se encarga de proporcionar un acceso
controlado a la capa de núcleo.
1.8 Arquitectura de red orientada a servicios
Conocido también por sus siglas de su nombre en inglés SONA (Service Oriented
Network Architecture), es un modelo de arquitectura de red diseñada por la compañía
Cisco que muestra cómo los sistemas integrados a lo largo de una red totalmente
convergente permiten flexibilidad, al tiempo que la estandarización y la virtualización de
los recursos incrementa la eficiencia. Este enfoque puede ayudar a:
• Diseñar funciones avanzadas de red en la infraestructura.
• Ofrecer una guía para conectar los servicios de red a las aplicaciones, a fin de
34
habilitar soluciones empresariales.
• Proporcionar mejores prácticas y modelos de eficacia comprobada para lograr el
éxito.
1.8.1 Capas del modelo de arquitectura SONA
El modelo de arquitectura SONA posee tres capas, tal como se aprecia en la Fig.
1.19 y se detalla a continuación:
a. La capa de infraestructura en red: donde todos los recursos de tecnología están
interconectados a través de los cimientos de una red convergente.
b. La capa de servicios de red: que permite la localización inteligente de recursos para
las aplicaciones y los procesos de negocios provistos a través de la Infraestructura en
Red.
c. La capa de aplicaciones: que contiene las aplicaciones de negocios y colaborativas
que impulsan la eficiencia de los seNicios interactivos.
· .,:. �7 ,,f '-· . •
; 1
Fig. 1.19: Marco de la arquitectura SONA
(Fuente: www.cisco.com)
CAPÍTULO 11
PLANTEAMIENTO DE INGENIERÍA DEL PROBLEMA
2.1 Descripción del problema
Actualmente en el Perú, las compañías de tarjetas de crédito ó débito más
relevantes del mercado, VISA, MasterCard y American Express no exigen el
cumplimiento de la norma PCI DSS. Sin embargo, desde el 2007 las auditorías que
realizan estas compañías a las entidades bancarias basan sus evaluaciones en los
requisitos de la norma PCI DSS.
La entidad bancaria sobre la cual se centra el presente informe es una de las
instituciones financieras más importantes del país y posee una trayectoria de más de 100
años y como parte de su proceso de expansión adquirió otras empresas del sistema
financiero peruano. Por este motivo es una organización que ha sufrido cambios
importantes a lo largo de los años en sus procesos, su infraestructura tecnológica y sus
recursos.
Debido a lo expuesto en el párrafo anterior, el principal problema para esta entidad
financiera es la convivencia de todos sus sistemas en una única red, es decir que los
sistemas que procesan, transmiten y almacenan datos de tarjetas de pago comparten la
red con los usuarios, los sistemas de desarrollo, los sistemas de certificación y los
sistemas de producción que no emplean datos de tarjeta.
Por este motivo las medidas que se cuentan para mitigar el riesgo de exposición a
la fuga de información involucran una inversión elevada con respecto a otras instituciones
de menor tamaño o que cuentan con una segmentación de red adecuada.
2.2 Objetivos del informe
El presente trabajo tiene por objetivos:
• Mostrar la metodología empleada por la institución financiera para cumplir con los
requisitos de la norma PCI DSS para el diseño y arquitectura de red actual.
• Presentar los criterios de diseño para la implementación del diseño y arquitectura
de red.
2.3 Evaluación del problema
Cuando una empresa desea cumplir con los requisitos de la norma PCI DSS es
necesario limitar el alcance sobre el cual será evaluado. Para ello requiere conocer los
36
procesos, las normas o políticas internas, la infraestructura tecnológica, y recursos
humanos que procesan, transmiten o almacenan los datos de los titulares de tarjetas de
crédito o débito.
En la Fig. 2.1 se muestra como los requisitos de la norma cruzan de manera
transversal los puntos mencionados en el párrafo anterior.
-Tecnología:
Procesos:
Gobi�rno:
Personas;
DESARROLLAR Y MANTENER UNA
RED SEGURA
PROTEGERLOS DATOS DEL
TITULAR DE LA TARJETA
MANTENER UN PROGRAMA DE
ADMINISTRACIÓN DE
VULNERABILIDAD
IMPLEMENTAR MEDIDAS
SÓLIDAS DE CONTROL DE
ACCESO
SUPERVISAR Y EVALUARLAS REDES CON
REGULARIDAD
MANTENER UNA POLITICADE
SEGURIDAD DE
INFORMACIÓN
Firewall. IDS/IPS, cifrado de base de datos, configuración segura de servidores, antivirus, etc.
Gestión de actualizaciones de seguridad, ges1ión de cambios , gestión de vulnerabilidades, gestión de incidentes. desarrollo seguro de aplicaciones, ate.
Políticas de seguridad de información y estándares, monitoreo de v.ulnerabilidades, interacción con empresas terceras , etc.
Capacitación en seguridad de información, conocimiento de las políticas de seguridad de información, seguridad flsica, etc.
Fig. 2.1: Interacción de los requisitos de la norma PCI DSS con los recursos
(Fuente: Elaboración propia)
En ta Fig.2.2 se muestra el diagrama de red actual sobre el cual se debe de diseñar
la segmentación de la red y protección perimetral de los sistemas que formen parte del
alcance de la norma PCI DSS.
; .' :t , ,.i ZUJCURBAlfS
S<.Nldoros<I<> baoo d<> dosos, do orehlvoo, de outenlicoción, da COITOO, do aplicaciones, de
lmprosoms, ele.
Perímetro Malnlrame
Fig. 2.2 Diagrama de red actual
(Fuente: Elaboración propia)
\
,·,
)
\
f \ .. '
37
2.4 Limitaciones del informe
Para desarrollar el presente trabajo, debe de realizarse la revisión del diseño actual
de la red e identificar los requisitos de la norma PCI DSS que requieren implementación
de medidas correctivas. Seguidamente formular una solución e implementarla. La
complejidad de este proceso se complementa con ciertos factores que intervienen en su
viabilidad.
2.4.1 Limitaciones en el diseño de red
El presente estudio se enfoca en el diseño y segmentación de la red que permita
reducir el alcance de los sistemas que sean evaluados para el cumplimiento de la norma.
Adicionalmente, se busca incrementar el nivel de protección perimetral del entorno de red
que se obtenga como resultado de la segmentación de red con la implementación
firewalls, sistemas de detección y protección contra intrusos y firewall de aplicaciones
web.
2.4.2 Limitaciones en la gestión de seguridad de la información
Este caso de estudio está focalizado en los requisitos de la norma que están
relacionados con la implementación de medidas correctivas tecnológicas sobre el diseño
y arquitectura de red, no se consideran los requisitos que estén relacionados con:
• La gestión de la seguridad de la información, como lo son la elaboración de
procedimientos, la implementación de políticas, la creación estándares de seguridad, la
implementación de metodologías de desarrollo seguro.
• La seguridad en dispositivos finales como computadoras, laptops y dispositivos
móviles.
• Las consideraciones para el desarrollo seguro de aplicaciones.
• La gestión de incidentes.
• La definición de roles y responsabilidades.
• Los planes de continuidad del negocio.
• Interacción con proveedores.
2.5 Síntesis del informe
El presente informe muestra la metodología empleada por una institución financiera
para la implementación de medidas correctivas en su diseño y arquitectura de red con la
finalidad de reducir el entorno sobre el que las auditorías de las compañías de tarjetas de
pago evalúan el cumplimiento de la norma.
El informe inicia con el capítulo I donde mostramos todo la descripción general de la
norma PCI DSS, los conceptos generales para el diseño de una red y los fundamentos de
seguridad informática, que son la base conceptual para el desarrollo de este informe.
El capítulo 111 describe la metodología y técnicas empleadas para el diseño de la
38
red, donde se tomará en consideración todos los requerimientos relacionados al diseño y
arquitectura de una red. Entre ellos se encuentran la adecuada segmentación de la red,
la implementación de firewalls y sistemas de detección y protección contra intrusos.
El capítulo IV muestra los resultados y costos del recurso humano y equipamiento
necesarios para el despliegue de la metodología y su aplicación sobre el diseño de red.
Como punto final presentamos las conclusiones y recomendaciones tomadas en
base a los resultados y análisis de cada etapa del diseño.
CAPÍTULO 111
METODOLOGÍA PARA LA SOLUCIÓN DEL PROBLEMA
3.1 Introducción
Debido a que la norma PCI DSS es un proceso continuo, la metodología más
adecuada para su implementación es el ciclo POCA, también conocido como "Círculo de
Deming".
En la Fig. 3.1 se muestra las principales tareas que se deben de tener en cuenta
para la implementación de la norma PCI DSS.
-
IDENTIFICACIÓN··
·DELALCANCE'
'
', . EVALUACIÓN DE'·, '
� '
,
CUMPUMIENTO . ' . ' . '
PlAN DE ACCIÓN
Fig. 3.1: Metodología POCA aplicada a la norma PCI DSS
(Fuente: Elaboración propia)
El caso de estudio del presente informe esta focalizado en el diseño de red y es por
esta razón que nos centramos en las tres primeras etapas de la metodología. En la Fig.
3.2 se muestra las tareas ejecutadas.
Además, para el diseño de red se emplea el marco de referencia de diseño de
redes SONA - Arquitectura de red orientada a seNicios. En la Fig. 3.3 se muestra la
aplicación del marco de referencia SONA sobre los seNicios de la red bancaria en
evaluación.
Fig. 3.2: Metodología de gestión empleada para la solución del problema
(Fuente: Elaboración propia)
G) @ © ® (® o ®1 '
C..Wi.aaa..s ..... llalla1ladie SqpiW Gmiány ""'' li ..._
.. -..... Adnn,im,ü,
■-------
Fig. 3.3: Marco de la arquitectura orientada a servicios de la entidad bancaria
(Fuente: Elaboración propia)
3.2 Identificación del alcance
3.2.1 Capacitación
40
Este actividad de capacitación general aplica a los profesionales asignados al
proyecto de cumplimiento de la norma PCI DSS, que participarán en el diagnóstico,
diseño, reporte, monitoreo o implementación de las medidas de seguridad
correspondientes.
3.2.2 Identificación del CDE
Esta etapa es importante para determinar el entorno de los datos del titular de
tarjeta (CDE) en la institución. Los componentes y sistemas que formen parte del CDE
son los que deben de cumplir con los requisitos de la norma PCI DSS.
Las actividades que se realizan en esta etapa se muestran en la Fig. 3.4:
Fig. 3.4: Actividades en la identificación del CDE
(Fuente: Elaboración propia)
41
La primera actividad es identificar a las personas denominadas "personas claves"
que son parte de los diversos procesos de tarjetas de pago, como es el caso de los
administradores de base datos, los administradores de servidores, los administradores de
red entre los principales y en el caso de considerar procedimientos y políticas debe de
incluirse al usuario de negocio, por ser el actor principal.
En el ANEXO A se muestra una matriz que permite identificar a las personas clave
en base a los conocimientos necesarios por cada uno de los requisitos de la norma para
una adecuada identificación del CDE.
Debido a que el presente informe tiene por objetivo implementar medidas
correctivas sobre el diseño de la red, las personas claves en el proyecto son:
• Administradores de redes
• Administradores de firewalls
• Administradores de sistemas operativos
• Administradores de base de datos
• Analistas en desarrollo de aplicaciones
• Analistas en certificación de aplicaciones
• Analistas en seguridad de información
La segunda actividad es la recolección de información, la cual debe de ser
proporcionada por las personas identificadas como "personas claves" en el proyecto para
cumplir con los requisitos mencionados en la sección 1.1 del capítulo I del presente
informe que impacten sobre el diseño perimetral de la red, como lo son la consideración
de firewalls, sistemas de detección y protección contra intrusos, estos requisitos son:
• Requisito 1: Instale y mantenga una configuración de firewalls para proteger los
datos de los titulares de las tarjetas.
• Requisito 6: Desarrolle y mantenga sistemas y aplicaciones seguras.
• Requisito 11: Pruebe con regularidad los sistemas y procesos de seguridad.
La TABLA Nº 3.1 nos muestra la documentación necesaria para los requisitos que
forman parte del alcance del proyecto.
Dentro de la documentación solicitada se encuentra el diagrama de red, el cual se
42
muestra en el ANEXO B en donde se aprecia que la "Red Interna" es una red del tipo
plana, es decir que alberga los equipos de los usuarios y los servidores bajo un mismo
segmento de red y la "Red Perimetral" que está comprendida por dos segmentos, la red
"Perímetro de Navegación" por donde los usuarios internos acceden a la Internet y la red
"Perímetro de Negocio" empleada por las aplicaciones o servicios que se brindan a los
clientes.
TABLA Nº
3.1: Documentación necesaria previa al diseño de red
(Fuente: Elaboración propia)
' - • •-•-- ...,_., � l 1 -• / .,., l �, ,�- • ,--,,. �-a-,• ( ••- e,• toe • •- _, � 1 �, ,K h ---�-- \• .... .. ·�· ':;Q'.;"'•.(�-;¡<.•- <,•- -• • � ,.,.-.,, �'<C�•,=r/•,-c,W-i
t.::.,.,· ;� �. "'.:,}i:!•:. •·/_';l _A.�-.�:•''",ttr ·" -- ./"�\�•·� t"'Docüineritációh"a.{j:>resentar'/:exP,oner)'.'i,�, .. /1 "-; Requerim 1ento · PCI DSS 1 t+:B,1"¡ '.�'.''\ '"'"'-1'1"1". "'"'� x, "i; .. ·.F.· '",.- '>•;"'!. 11: ,:,,'- ''•:'�: (l.f\ r :.:�" �,,:;:. _c;;;,,;�ii-'.¡<·:.rt1W:.."!�;.�,·,.-�- ,.�·�·f1¡:i1{/1':PQt:., p�rt�,,cte:Jo!?,·P�.�•�!Pé!�!e_�i,1:;_\,., ,-:ra
Requisito 1: Instale y mantenga una configuración de firewalls para proteger los datos de los titulares de las tarjetas
Requisito 6: Desarrolle ymantenga sistemas y aplicaciones seguras
Requisito 11 : Pruebe con regularidad los sistemas y procesos de seguridad.
. Diagrama Topológico de la Red Interna, DMZ y Externa . Segmentos de Red separados por los FWs . Descripción general sobre la Administración Técnica del FW . Descripción general sobre la Administración Técnica del Router
. Diagrama Topológico de la Red Interna que identifique los ambientes de Producción, Desarrollo y Testing ( certificación o QA) . Descripción general de las Guias de Seguridad utilizadas para el Desarrollo de Aplicaciones Web
. Ultimo informe de Análisis de la Red Interna, host y vulnerabilidades de aplicaciones dentro del entorno de datos de tarjetas . Ultimo informe de Análisis de Vulnerabilidades Externas . Ultimo informe de Pruebas de Penetración (Ethical Hacking) de la Capa de Red y la Capa de Aplicación ._Zonas en las que esta implementado el sistema de detección y protección contra intrusos.
La tercera actividad en realidad consiste en do� sub actividades que son el obtener
el listado total de las aplicaciones que emplean el PAN en su lógica de programación y la
enumeración de los componentes tecnológicos que soportan estas aplicaciones. Para
esto, se ha diseñado una matriz que permite mapear estos componentes tecnológicos
como por ejemplo, las bases de datos, los servidores de aplicación, los servidores de
archivos, servidores en la DMZ.
En el ANEXO C se muestra la matriz empleada para la enumeración de estos
componentes.
43
3.2.3 Análisis de la red actual
En el ANEXO B se muestra el diagrama de red actual, en donde se puede apreciar
que es una red del tipo "red plana o simple", es decir que no se encuentra segmentada.
Sin la adecuada segmentación de red (denominada "red simple"), toda la red se
encuentra dentro del alcance de la evaluación de la norma PCI DSS. Por este motivo, la
reducción del entorno sobre el que aplican los requisitos de la norma se logra a partir de
la apropiada segmentación de red, aislando los sistemas que procesan, transmiten o
almacenan los datos del titular de tarjeta del resto de sistemas.
Además de reducir el alcance de evaluación, una adecuada segmentación nos
permite disminuir:
• El costo de evaluación del cumplimiento de la norma PCI DSS.
• El costo y la dificultad de la implementación y mantenimiento de los controles.
• El riesgo a la exposición de fraude, robo, multas y pérdida de imagen.
3.3 GAP análisis
Esta actividad consiste en aplicar requisito de la norma PCI DSS sobre cada
componente físico y lógico del inventario resultado de la actividad descrita en el punto
3.2.2, según corresponda.
Para el desarrollo de esta actividad se cuenta con el soporte de un profesional con
amplia experiencia en auditar y certificar a diversas entidades financieras en Sudamérica
en el cumplimiento de la norma PCI DSS y además debe estar autorizado por PCI SSC.
Además se empleará la matriz de autoevaluación que se muestra en la TABLA Nº
3.2, la cual se encuentra en el documento oficial de la norma "Requisitos y
procedimientos de evaluación de seguridad". Esta actividad es muy crítica, y por este
motivo se debe de tener consideración los siguientes factores críticos de éxito:
• La disponibilidad de los recursos de necesarios para el desarrollo del proyecto.
• La validez e integridad de la información suministrada.
• Las revisiones y aprobaciones oportunas por parte de la gerencia del proyecto.
3.4 Plan de acción
3.4.1 Consideraciones generales de diseño
a. Alta disponibilidad de los servicios: La alta disponibilidad es el principal
requerimiento para los centros de cómputo. La redundancia de sistemas críticos y su
activación ante fallas para enlaces WAN, enlaces a Internet, enrutadores, dispositivos de
seguridad y otros equipos son necesarias para un óptimo acceso a los recursos por parte
de los usuarios y clientes.
b. Conectividad de la red: Los clientes y usuarios requieren un acceso rápido a las
aplicaciones e información que se encuentran en el centro de cómputo. Las aplicaciones
44
modernas como servicios Web demandan de un alto índice de desempeño de la red por
lo que la conectividad debe de ser confiable y generar poca latencia. Por ese motivo se
considera:
• Alta velocidad de conexión a nivel LAN (1GbE -10GbE)
• Conexiones a Internet independientes: servicios a clientes, navegación Web de
usuarios y acceso de empresas terceras.
• Suscripción de líneas dedicadas para los enlaces WAN entre oficinas remotas,
sucursales y la sede principal.
TABLANº 3.2: Matriz de evaluación del cumplimiento de la norma
(Fuente: PCI Security Standards Council LLC)
1.1 Establezca normas de configuración para firewall y router que incluyan lo siguiente:
1.1.1 Un proceso formal para aprobar y probar todos los cambios y las conexiones de red en la configuración de los firewalls y los routers
1.1.2 Un diagrama actualizado de la red con todas las conexiones que acceden a los datos de los titulares de tarjetas, incluida toda red inalámbrica.
1.1 Obtenga e inspeccione las normas de configuración del firewall y del router y otros documentos especializados más abajo para verificar que las normas se completaron. Complete lo siguiente:
1.1.1 Verificar la existencia de un proceso formal para probar y aprobar todos los cambios y las conexiones de red en la configuración de los firewalls y de los routers.
1.1.2.a Verifique que exista un diagrama actualizado de la red (por ejemplo, uno que muestre que los flujos de los datos de los titulares de tarjeta en la red) y que documenta todas las conexiones a los datos de los titulares de tarjeta, incluida toda red inalámbrica.
1.1.2.b Verifique que el diagrama se mantenga al día
c. Seguridad: La seguridad es un factor importante para el centro de cómputo y crítico si
desea cumplir con normas o exigencias de entes externos como es este caso de estudio
que busca cumplir con los requisitos de la norma PCI DSS. Para este fin nos basamos en
45
el principio de la seguridad en profundidad y la aplicamos mediante la implementación de
firewalls como firewall básico, firewall de aplicaciones web y listas de acceso, reforzados
por sensores IDPS.
3.4.2 Segmentación de la red interna
En primer lugar consiste en separar a los servidores de la red de usuario. Para lo
cual se emplea un nuevo segmento de red que permita la migración de los equipos de
forma gradual y reduciendo el riesgo de cometer errores, tal como se muestra:
• Segmento de red de usuarios: 172.16.0.0/16
• Segmento de red del centro de cómputo: 172.17.0.0/16
Luego de ello, la red de servidores se debe de segmentar en un conjunto de
subredes que permitan aislar las bases de datos que almacenan datos del titular de
tarjeta, los sistemas de producción que procesan datos del titular de tarjeta de los
sistemas pre productivos y de los sistemas de producción que no procesan datos de
tarjeta.
A la red de servidores se le asigna el nuevo segmento de red 172.17.0.0/16 sobre
la que se crearán cinco subredes:
a. Subred núcleo: La subred núcleo está conformada por switches de capa 3, que son
los encargados del enrutamiento entre las subredes creadas, la red de usuarios y el
perímetro. Los criterios considerados para este segmento son:
• Alta disponibilidad
• Altas velocidades de conexión entre los miembros de la subred - 1 0Gbps
• Enlaces redundantes
b. Subred de base de datos PCI: Los servidores que almacenan información de los
datos de tarjeta que forman parte de los datos del titular de tarjeta y los datos
confidenciales de autenticación que la norma PCI DSS permite almacenar forman parte
de la subred "Base de datos PCI" o "Almacenamiento". Los criterios considerados para
esta subred son:
• Alta disponibilidad del servicio
• Almacenamiento en tecnología SAN
• Empleo de servidores de tecnología Blade
• Redundancia de enlaces
• Protección con firewalls.
• Sistema de detección y prevención contra intrusos.
c. Subred de aplicaciones PCI: Los servidores de aplicaciones que transmiten o
procesan datos de tarjeta que forman parte de los datos del titular de tarjeta y los datos
confidenciales de autenticación que la norma PCI DSS permite almacenar forman parte
de la subred "Aplicaciones PCI". Los criterios considerados para esta subred son:
• Alta disponibilidad
• Redundancia de enlaces
• Empleo de servidores de tecnología Blade
46
d. Subred de aplicaciones productivas no PCI: Esta subred es implementada para los
servidores de producción que no forman parte del entorno de evaluación de la norma PCI
DSS. Las consideraciones de diseño para esta subred son.
• Alta disponibilidad
• Redundancia de enlaces
• Empleo de servidores de tecnología Blade
e. Subred de gestión y administración: La subred de gestión y administración está
diseñada para ser la subred en donde deben de ser implementados las consolas de
administración de cada una de las soluciones:
• Consola de administración y gestión de los sensores del sistema IDPS
• Consola de gestión central de los firewalls
• Consola de gestión del firewall de aplicaciones
• Interface de administración de los servidores Blade
• Consola de administración de la SAN
Para esta subred se considera los siguientes criterios de diseño:
• Configuración de listas de control de acceso (ACLs)
• En esta etapa no se considera alta disponibilidad para esta subred
3.4.3 Aseguramiento de las redes perimetrales
a. Red DMZ: La red DMZ aloja a los servidores de acceso público entre los que se
encuentran los servidores del servicio de Banca por Internet, servidores de transferencia
de archivos con empresas terceras que manejan datos de tarjeta que forman parte de los
datos del titular de tarjeta para su impresión y entrega a los clientes. Por este motivo se
consideran los siguientes criterios de diseño:
• Alta disponibilidad del servicio
• Empleo de servidores de tecnología Blade
• Redundancia de enlaces
• Protección con firewalls perimetrales y de aplicación Web.
• Sistema de detección y prevención contra intrusos.
b. Red de navegación a Internet: La red de navegación a Internet, es aquella por donde
los usuarios de la compañía acceden a los servicios de Internet como por ejemplo visitar
páginas Web, Messenger, correo electrónico, entre los principales. Por este motivo se
considera los siguientes criterios de diseño:
• Alta disponibilidad en el proveedor de servicio.
• Servidor Proxy
• Protección de firewalls
• Servicio independiente a la DMZ de servicios de negocio
• Sistema de detección y prevención contra intrusos
• Prevención de fuga de información por correo electrónico corporativo
• Filtro de contenido web
47
CAPÍTULO IV
ANÁLISIS Y PRESENTACIÓN DE RESULTADOS
4.1 Introducción
El análisis y presentación de resultados se enfoca en el diseño de la red interna, el
direccionamiento de las subredes, el diseño de las redes perimetrales, ya que es la
actividad más inmediata a realizar.
4.2 Solución de la arquitectura de red
En base a las consideraciones de diseño mencionadas en el punto anterior se
muestra la arquitectura de red segmentada en el ANEXO D y en el ANEXO E se muestra
el direccionamiento interno de los segmentos de red creados, así mismo, la VLAN a la
cual pertenece cada uno de los segmentos.
Adicionalmente, en la TABLA Nº 4.1 se muestra el direccionamiento empleado para
las redes perimetrales, es importante mencionar que la conexión entre los firewalls
perimetrales es una conexión sobre la cual no se conecta ningún tipo de servidor y por
ello es denominada "Red Nula". El objetivo de la red nula es el brindar defensa en
profundidad a partir de la implementación de firewalls en cascada de diferentes marcas
que permitan proteger a la red interna en caso el firewall que se encuentra expuesto a
Internet sea comprometido por algún atacante, este tendría que emplear un tiempo
adicional para vulnerar el segundo firewall, este tiempo nos permitiría remediar el
problema y restablecer el servicio.
TABLA Nº 4.1: Direccionamiento perimetral
(Fuente: Elaboración propia)
',x';" ... �c � · · NOMBRE1,:¡:, � ,/-';.; ���-f_r:,?t·);if-���:J.•¿_, ... ":,fX:1: :··,_.¡•:::i:!.iNita'tié'bi1iECCIONÉSt1� SEGMENT� 1�É,,lVLAN ID:: • .._. ,.-� :i) ./i�.Ji·I.I-, '\ti·) 1if,:;OESCRIPCIONt�·· ·;H' , ·,:· �,,.:;.!��:""l'·?!:''H� ..... , .. 4."r-,�i.-i'¡,i ;0,'.\"lt!'i'C:• 1•·�• .. ,•-.•0"'·r• 1 ,\'\oil, ·:,./,; ��." . ';".. .�\!i:AN ,:� •�,: .. ,c..-1. , 1, �{;;,i;�, ·-t!'.::I:i �'t:\{ ¡, t ': (· r ::-� .. , ... �;V .. � .l.�-� ECE$.ARl�S ��<:tt,,; REO ��IGJ,JADQ ¡
110 VLAN 110 Red Nula - Negocios no mayor a 6 192.168.1.0/29
120 VLAN 120 Red Nula - Navegación por Internet no mayor a 6 192.168.1.8/29
130 VLAN 130 Red Externa - Negocios no mayor a 6 192.168.1.16/29
140 VLAN 140 Red externa - Navegación por Internet no mayor a 6 192.168.1.24/29
150 VLAN 150 Red DMZ no mayor a 254 192.168.2.0/24
4.2.1 Subred de almacenamiento de datos PCI
En la Fig. 4.1 se muestra la arquitectura para la subred de almacenamiento de
datos PCI.
NUCLEO
-------------Conexión de control,•- ...... ,. ... - - • 4
- - • • - - • - -.. --- -C:onexlón de datos---• ---• -----
IA 2A
IDPS 3A 4A
1B 2B 3:3 4B
Servidores tipo BladeSy$tem
-- - --
VLAN_MGMT
Servidores tipo BladeSy&tem
Fig. 4.1: Diseño de subred de almacenamiento de datos PCI
(Fuente: Elaboración propia)
49
so
4.2.2 Red de gestión y administración
En la Fig. 4.2 se muestra el diseño de la subred de gestión y administración, la cual
está conformada por las consolas de administración de:
Consola de administración de los servidores virtuales
Consola de administración de los firewalls
Consola de administración de los switches
Consola de administración de los IDPS
Consola central de los arreglos tipo BLADE
Consola central del firewall de aplicaciones Web.
NUCLEO
/
, -,.
.-.- -
� � � � o o o
�. �. � � ' ,I'
Vmware vCenter Firewall Central Switch Central IDPS Central Manager Manager Manager Manager
·--'-
� o
�: 1 //
Blade Central Manager
Fig. 4.2: Diseño de red de gestión y administración
(Fuente: Elaboración propia)
4.2.3 Red DMZ de negocios
o
�-
WAF Central Manager
En la Fig. 4.3 se muestra la arquitectura para la red DMZ de negocios. Esta red
alberga los servicios públicos de la institución financiera, como lo son:
Los servidores Web públicos del servicio de Banca por Internet.
Los servidores Web públicos del servicio de Banca Móvil.
Los servidores FTP empleados para la transferencia de archivos no sensibles.
Los servidores SFTP empleados para la transferencia segura de archivos sensibles.
El servidor Web que aloja la página principal de la institución.
_.------___,...----------------------..... --__ _
INTERNET 2-__ )
1 �11■�11■li�¡ 1■,Ji• -· ••••• ---· ··-· ..... ---- - - •• --•• - •• -- ·-··-� ■I� )�---·············-·······--·········-··--·
1■11: _,,./1 •. ,.. // -
/ / ,/
NÚCLEO
----· --··-- ------�-
VLAN MGMT
Fig. 4.3: Red DMZ de negocios
(Fuente: Elaboración propia)
51
52
4.2.4 Red de navegación por Internet
En la Fig. 4.4 se muestra la arquitectura para la red de navegación por internet. La
cual es empleada para el servicio de navegación Web de los colaboradores de la
institución.
---··-�··-·---�-
,,.----f' __ --.----------�--··---------.. '.¿,____
--,.� INTERNET (
-------�-� SERVIDOR �
PROXYCON FILTRO
CONTENIDO
VLAN_MGMT
Fig. 4.4: Red Navegación por Internet
(Fuente: Elaboración propia)
4.3 Recursos humanos y equipamiento
53
Con la finalidad de garantizar resultados óptimos se contó con el apoyo de una
empresa especializada para las etapas I y 11 de la metodología, conformándose un equipo
de trabajo mixto que se muestra en la Fig. 4.5.
1
11\StitUción Financiera
!
Comitéde dirección del
proyecto
1
Empresa Consultora
[�•��oj '
[,���] Administradores de sistemas de
información
l. Analistas de
Seguridad Responsable del
Neeocio
Fig. 4.5: Equipo de trabajo - etapa 1
(Fuente: Elaboración propia)
Equipo de consultores
La etapa 111 se lleva a cabo con la participación de los equipos internos de las áreas
de Seguridad de Información y Tecnologías de Información, tal como se muestra en la
Fig. 4.6.
J Seguridad de1 . , Información
Especialista en seguridad de
redes
Especialista en políticas y normas
Uder del proyecto
(Seguridad de Información)
Analista[]
e arquitectura tecnológica
1...· ··---·· ·--··-·· �----· .
1
Tecnologia de Información
Administrador de redes y
comunicaciones
Fig. 4.6: Equipo de trabajo - etapa 2
(Fuente: Elaboración propia)
Analista de arquitectura de
aplicaciones
4.4 Costos y tiempos de ejecución
54
En el ANEXO F se muestran los costos para el diseño de red que forman parte del
proyecto revisado en el presente informe, en base al cumplimiento de los requisitos de la
norma PCI DSS.
Tal como se indicó en el punto 4.3, el recurso empleado en el proyecto es el
recurso humano proveniente de dos principales grupos. El primero, es el grupo interno de
la empresa, el cual es un gasto operativo dentro de la misma y está calificado dentro de
los costos como OPEX. El segundo, es el grupo externo que presta el servicio de
consultoría especializada, en este caso el gasto incurrido en este servicio afecta al
CAP EX en el rubro de "Consultorías".
Es importante mencionar que los montos indicados no consideran el impuesto a la
renta I.G.V.
En el ANEXO G se muestra el detalle de las actividades desarrolladas para cumplir
con los puntos mencionados en el presente informe.
CONCLUSIONES Y RECOMENDACIONES
1. Los procesos y personas que interactúan con los datos de titulares de tarjetas deben
de ser correctamente identificados, con la finalidad de poder dimensionar de manera
eficaz el ámbito sobre el cual se debe de cumplir con los requisitos de la norma PCI DSS.
2. La asesoría de una empresa que cuente con personal especializado, de preferencia,
acreditada por el grupo PCI SSC es un factor crítico de éxito.
3. El cumplimiento de la norma es un proceso multidisciplinario, por tal motivo es muy
importante contar con el respaldo de la "Alta Gerencia", de manera que se tenga la
disponibilidad de la mayor cantidad de personas.
4. El diseño de red es el primer paso para el cumplimiento de la norma, se debe de
tener presente que la norma requiere además de la elaboración de políticas y
procedimientos, estándares de seguridad para el desarrollo de aplicaciones, estándares
de seguridad para la adecuada configuración de dispositivos.
5. Si la institución busca certificar el cumplimiento de la norma debe de tener en claro
que es necesario desarrollar un proceso de mantenimiento y control. La adecuada
segmentación y protección perimetral no es suficiente. Se debe de contar con un
procedimiento de monitoreo y documentación ante cambios en la infraestructura.
6. Se recomienda la elaboración e implementación de estándares de seguridad para la
configuración de los routers, firewalls, sistemas de detección y prevención contra intrusos
alineados a los requerimientos de la norma PCI DSS.
7. Se recomienda la adquisición de nuevas plataformas tecnológicas, como es el caso
del firewall de aplicaciones se recomienda solicitar a los fabricantes un documento en
donde detalle que su producto cumple con la norma.
8. Se recomienda que en el desarrollo de aplicaciones evitar el almacenamiento del
PAN, salvo que sea sumamente necesario para el negocio.
9. Se recomienda la implementación del proceso de gestión de cambios en la
infraestructura de red y los firewalls.
1 O. Se recomienda la implementación del proceso de atención de eventos e incidentes
!alertados por el sistema de detección y protección contra intrusos.
(- _, :_ .. : ... '{;--;�,-.:� ... , j.. __ _ ry ·-t�1:1P,<? ,��r,: ,----�� -�,� �� r · t:-� .. � ��-; �-..:�· ";}· �'Y��;�:· -:.•--t-�:.-y',!� _'.-'r�t t' .. J:I � -:�i¡(t�;-.J;.:.l,'(:f��ills -re'quiri�os: .,•-:::.,._;.:PF- J J-'"-f >lo-_ - f¡: �-�: �--.-�� - --, -, �--- -_...-.- .. ·:-· ·_:·-�;.-- ; ,- :-i . :: ... -., -_
,t, / :;eJü�;¡�i:;,�f·�c/;�: ;r::,, ·:�é�th'�'áci( ,:r� - !�i --.�s"'! �. tk�-i�i;} .:��st:;Ja� -�:Sé� f: l ��;'.i ,�o.:;::rioi1��,- �¡li�ad 'cii- -S�g�'ri�á� ',.-,-���in�d�: .-, :;, : -:
7
•• ?�pi;,s�d�' :. ;,:\ .. i;,. ➔'�r!��J',; .:- .;. __ -�''')-,,Información' 'l.:��e_w.a_' �-... �' ·rswiiJti"'.<ciperatiVó. :'.,,Datos' f ·, e "'f4:.!-· �softtvare¿, .' S�ftwarei-<:, FísicaJ , ",:: _?Ve_s_. -· ,'. _orreo_.' ,respal�o i :;; ;,_ -:��-�-,,: :. { ·.s:.:: !li,•,f.-:, _ ��?"� ,•,' "�- �,,_, • .i i:- •¡,r :•,� :/Jt;.J� . _ -'--�"'°º'�-��'.:}-:-•c.-"':-�� ,1'.� ,t: ,"! � �•'�; l�-�'�•_'!:'.c:•. ,·11· ,.:._ ;, _; · _, _:_�:; ):,,_,.. �,:' c_r!�0_g�_a_f_1_Cli�:"-1: '": .·.• ��· �JB!l_c_kup)i,
Requisito 1: instale y mantenga una configuración de firewalls para proteger los datos de los titulares de las tarjetas Requisito 2: No use contraseñas de sistemas y otros parámetros de seguridad provistos por los proveedores Requisito 3: Proteja los datos del titular de la tarjeta que fueron almacenados Requisito 4: Codifique la transmisión de los datos de los titulares de tarjetas a través de redes públicas abiertas. Requisito 6: Utilice y actualice regularmente el software o los programas antivirus
Requisito 6: Desarrolle y mantenga sistemas y aplicaciones seguras
Requisito 7: Restrinja el acceso a los datos de los titulares de las tarjetas conforme a la necesidad de· conocer de la empresa Requisito 8: Asigne una ID única a cada persona que tenga acceso a equipos. Requisito 9: Restrinja el acceso físico a datos de titulares de tarjetas.
Requisito 10: Rastree y supervise todo acceso a los recursos de red y datos de titulares de tarjetas.
Requisito 11: Pruebe con regularidad los sistemas y procesos de seguridad. Requisito 12: Mantenga una política que aborde la seguridad de la información para empleados y contratistas
X
X
X
X
X
X
X
X
X
X
X
X
X X X X
X X X X
X X X X X X X
X X X X X X X X
X X
X X X X X X
X X X X
X X X X
X X X X X
X X X X X X X
X X X X X X
X X X
57
SUCURSALES
���� _,. fflt$) ��i¡a----------------------------�
rf�:\ J SEDE PRINCIPAL
Red Interna
Acceso
Sert/idores de :>ase de datos, de archivos, de autenticación, de correo. de aplicaciores, de
Impresoras, etc.
· Servidores
, ;::,:.blicc-s
1
\ \
! ,�/ r l
59
Banca por Internet APP_01
Consolidado de pagos APP _02
X X
X X X
Banca por Internet Servidor01
Servidor02 T Servidor BD 01 BD_APP01
Consolidado de pagos Servidor 04 p
Banca por Internet Servidor_03 FOLDER_APP01
Consolidado de pagos Servidor_03 FOLDER_APP02
.bel
.xls
61
A
A
A
SEDE PRINCIPAL
Base datos PCI
Aplicaciones Producción PCI
·�
�Aplicaciones
Producción NO PCI
Gestión
y administración
Sef"llfdores
PúóliGCS
r(\ , h I \
1 1 \
JNTERNET
)
·,, ! \ 1
, I
63
10
20 30
40
50
60
70
80
VL41'J 10 Conexión a la WAN de su�cursales y tiendas \JLAN 20 . Conexión a la nr1vegaóón WP.b pa;,; uc;ur1ríos VL41'J_30 Conexión a los servidos de ne�oc e VLAl'J_ 40 Conexión a loe; sistPmas d.- alr-,acenamiento de datos PCI
VL41'J_50 Cone><ión al fistema rv:ainframe VlAN 60 Servidores de a licaciones PCI �Producción)
VIAN_70 Sistemas de almacenamiento de datos PCI VlAN 80 Red de estión almacena.míe nto
serví dores de aplicaciones no PC (Producción) Vl/\N_90 Se · ·100
· . VLAN::_100 , Red de usuariPi · .
no mayur a 14 hosts 172.17.1.0/28 no mayor a 14 hosts 172.17.1.16/28 no ,rayora 14ho�ts 172.17.1.32/28 no mayor a 14 hosts 1/2.1/.1.48/1�
no í""ayor a 14 h05ts 172.17.1.64/28 noma 1or a 254 172.17 .6. 0/24
no ma-,•or a 254 172.17.7.0/24 noma ·ora 254 17217 .8. 0/24
no mayor a 254 172.17.9. 0/24
'Mantiene su segmento de red 172.16.0.0/16
65
Caeacitación en la norma PCI
DSS
Este actividad de capacitación general aplica a los profesionales asignados al CAPEX Consultoría Consultora especializada 1 40 50 $ 2,000.00 proyecto.
El entregable de esta actividad serán los materiales del curso, en formato digital, certificado de asistencia.
Identificación del CDE
Para el desarrollo de esta CAPEX Consultoría Consultora especializada 3 160 200 $ 32,000.00
actividad se analiza el entorno físico y lógico de la empresa.
Los entregables de esta OPEX Planilla Jefe Proyectos - Local 1 160 15 $ 2,400.00 actividad, serán:
· Diagrama de flujo del recorridode los datos de tarjetas sobre eldiagrama topológico de red.· Lista de equipos donde se hadetectado almacenamiento dedatos de tarjetas.· Propuesta de estrategias de OPEX Planilla Analista Seguridad - Local 1 160 7 $ 1,120.00 seguridad orientadas aminimizar el alcance de la normaPCI DSS.
67
GAP Análisis
Esta actividad será desarrollado de manera detallada y aplicando CAPEX Consultoría Consultora especializada 3 224 200 $ 44,800.00 cada requerimiento del PCI DSS sobre cada componente físico y lógico del inventario resultado de la actividad 11, según corresponda.
Los entregables de esta OPEX Planilla Jefe Proyectos - Local 1 80 15 $ 1,200.00 actividad, serán:
· Informe detallado de brechasde cumplimiento para cadarequerimiento de la norma.· Plan de remediación a corto,mediano y largo plazo, sobrecada re.querimiento de la norma,con la validación respectiva de
OPEX Planilla Analista Seguridad - Local 1 80 7 $ 560.00 las áreas responsables de suimplementación.
68
Plan de acción OPEX Planilla Jefe de proyectos - local 1 256 15 $ 3,840.00
En esta actividad se realiza el diseño de la red, considerando
las ausencias indicadas en el GAP análisis. Seguridad Información -
OPEX Planilla Local
2 256 20 $ 5,120.00
Los entregables en es ta etapa
son:
· Diagrama de las nuevasTecnología Información -
subredes de la red interna. OPEX Planilla 3 256 30 $ 7,680.00 · Diagrama de la red perimetral.
Local
69
Nombre de tarea 1 - Implementación PCI DSS
__ ¡
2 - Etapa Identificación del alcance3 - Capacitación4
5 --7
6 1
-··,--·¡8 1
---- -i
9 10 11 j
-12--113 1
--14-1 -1-5 í--�16 i ____ j
17 !
18 ¡ 19 i
1 ¡
20 -- _ _J21
Preparación de capac�ación y presentacione - Kick-off
Vvorkshops Entre istas con personal operativo Entrevistas con personal TI Hito 1: Identificación del CDE
- Etapa 11: GAP Análisisldentificacion de brechas Preparación del informe Presentación del informe Ajustes
Presentacion final Hito 2: Reporte de brechas
- Etapa 111: Plan de acción
Diseño de red interna Diseño de redes perimetrales Oocumentacíón final de los diseños Hito 3: Presentación del diseño,
t Duración I Predect '_me_s_1 __ 111
_,_l•
me••
s_ ■2-■-■..._!
■mes-■_ ■-3•••[ •me_
■-s•
4•••j me••
s•s11_mes
_6___,83días • ♦
26días •••---•♦
5dÍas
5días
5 d'ias Sdías 4
S días 6 10 días 7
1 día 8 29 días 10 días 9
S días 11 Sdías 12 3 días 13 S días 14 1 día 15
33días
10 oías 16 1Sdias 18
7 dias 19 1 día 20
..
íi-
71
73
Administrador de bases de datos: Denominado también "DBA", se refiere al
responsable de administrar bases de datos.
Administrador de red: Personal responsable de administrar la red dentro de una
entidad. Entre las responsabilidades generalmente se incluyen, a modo de ejemplo, la
seguridad, las instalaciones, las actualizaciones, el mantenimiento y la supervisión de la
actividad de la red.
Aplicación: Incluye todos los programas o grupos de programas de software adquiridos y
personalizados, así como también las aplicaciones internas y externas.
Aplicación Web: Una aplicación a la que generalmente se accede mediante un
explorador web o a través de servicios Web. Las aplicaciones web pueden estar
disponibles a través de Internet o en una red privada e interna.
ATM: Conocido en el medio local como cajero automático. El cajero automático es una
máquina expendedora usada para extraer dinero utilizando una tarjeta de crédito ó
débito.
Base de datos: Formato estructurado que permite organizar y mantener información de
fácil recuperación. Algunos ejemplos simples de base de datos son las tablas y las hojas
de cálculo.
Blade: Tipo de tecnología de servidor
BPI: Acrónimo de banca por Internet.
Bridge: es un dispositivo para interconexión de redes locales.
Broadcast: transmisión de un paquete que será recibido por todos los dispositivos en
una red.
CAPEX: Significa "los gastos de capital," gasto de capital es la cantidad de dinero
gastado por una empresa para mejorar, adquirir o mantener y tangibles depreciables los
activos físicos plazo de duración.
CDE: Acrónimo del entorno de datos de tarjeta. El CDE está conformado por las
personas, los procesos y la tecnología que almacenan, procesan o transmiten datos de
titulares de tarjetas o datos confidenciales de autenticación, incluidos todos los
componentes del sistema conectados.
CPU: Unidad central de procesamiento, es el componente del computador y otros
dispositivos programables, que interpreta las instrucciones contenidas en los programas y
procesa los datos.
DMZ: Abreviatura de zona desmilitarizada, viene del término en inglés "demilitarized
zone". Subred física o lógica que proporciona una capa de seguridad adicional a la red
privada interna de una organización.
Enmascaramiento: Técnica empleada para ocultar valores de en pantalla o impresos
mediante el empleo de asteriscos o algún símbolo similar.
74
Firewall: Dispositivo de red empleado para bloquear el acceso no autorizado de redes no
confiables hacia una red confiable, permitiendo al mismo tiempo comunicaciones
autorizadas.
FTP: Acrónimo del protocolo de transferencia de archivos. Protocolo de red que se utiliza
para transferir datos de una computadora a otra mediante un red pública, como Internet.
En general, se considera que FTP es un protocolo inseguro, porque permite enviar
contraseñas y contenido de archivos sin protección y en texto simple.
Gap: Análisis realizado para determinar las diferencias entre el estado actual y el estado
al cual se desea llegar como parte del cumplimiento de un estándar, de una meta
financiera, etc.
Gateway: Es un dispositivo, con frecuencia una computadora, que permite interconectar
redes con protocolos y arquitecturas diferentes a todos los niveles de comunicación.
Host: Es el término empleado para identificar un nodo de red como por ejemplo una
computadora o laptop.
HTTP: Acrónimo del protocolo de transferencia de hipertexto. Protocolo abierto de
Internet que permite transferir o transmitir información en Internet.
HTTPS: Acrónimo del protocolo de transferencia de hipertexto a través de una capa de
conexión segura. HTTP seguro que proporciona autenticación y comunicación cifrada en
Internet diseñado para comunicaciones que dependen de la seguridad, tales como los
inicios de sesión basados en la web.
Hub: dispositivo que permite centralizar el cableado de una red y poder ampliarla. Esto
significa que dicho dispositivo recibe una señal y repite esta señal emitiéndola por sus
diferentes puertos.
ICMP: Acrónimo del protocolo de mensajes de control de Internet. Es el encargado de
control y notificación de errores del protocolo IP.
IDPS: Acrónimo de sistema de detección y prevención de intrusos.
IMAP: Acrónimo del protocolo de acceso a mensajes de Internet. Es un protocolo de red
de acceso a mensajes electrónicos almacenados en un servidor.
IP: Acrónimo del protocolo de Internet. Protocolo de capas de red que contiene
información sobre direcciones y algunos datos de control, y permite el ruteo de paquetes.
IP es el protocolo primario de capas de red en la suite de protocolos de Internet.
1Pv4: Versión 4 del protocolo IP.
IPSec: Es un conjunto de protocolos cuya función es asegurar las comunicaciones sobre
el Protocolo de Internet (IP) autenticando y/o cifrando cada paquete.
lnbound: Tráfico entrante hacia una red.
LAN: Acrónimo de red de área local. Grupo de computadoras y/u otros dispositivos que
comparten una línea de comunicaciones común, generalmente, en un edificio o grupo de
75
edificio.
Mainframe: Computadoras diseñadas para trabajar con grandes volúmenes de entrada y
salida de datos y para enfatizar el rendimiento informático.
Multicast: Envío de la información en una red a múltiples destinos simultáneamente.
OPEX: Es el costo de la ejecución de los servicios de TI. Frecuentemente se trata de
pagos. Por ejemplo, el costo de personal, el mantenimiento de hardware o el consumo
eléctrico.
Outbound: Tráfico saliente de una red.
PAN: Acrónimo de número de cuenta principal, también denominado "número de cuenta".
Número exclusivo de una tarjeta de pago que identifica al emisor y la cuenta específica
del titular de la tarjeta.
PCI DSS: Norma de seguridad que deben cumplir las organizaciones que procesan,
transportan o almacenan datos de titulares de tarjeta.
PCI SSC: Es el acrónimo del comité PCI Security Standards Council, el cual es un foro
mundial abierto destinado a la formulación, la mejora, el almacenamiento, la difusión y la
aplicación permanentes de las normas de seguridad para la protección de datos de
cuentas.
POP: En informática se utiliza el protocolo de la oficina de correo en clientes locales de
correo para obtener los mensajes de correo electrónico almacenados en un servidor
remoto.
Proxy: Dispositivo que realiza una acción en representación de otro, esto es, si una
hipotética máquina A solicita un recurso a una C, lo hará mediante una petición a B; C
entonces no sabrá que la petición procedió originalmente de A.
SAN: Acrónimo de red de área de almacenamiento.
Servidor Web: Computadora con un programa capaz de aceptar pedidos HTTP de
clientes web y brindar respuestas HTTP (en general, páginas web).
SFTP: Acrónimo del protocolo de transferencia segura de archivos.
SMTP: Acrónimo del protocolo simple de transferencia de correo, es empleado para el
intercambio de mensajes de correo electrónico entre computadoras u otros dispositivos.
SONA: Acrónimo del modelo de arquitectura de redes orientado a servicios establecido
por la compañía Cisco.
SQL: Acrónimo del lenguaje de consulta estructurado. Lenguaje informático utilizado para
crear, modificar y recuperar datos de sistemas de administración de bases de datos
relacionales.
SSL: Acrónimo del protocolo de capa de conexión segura, que es empleado para
proporcionar una comunicación segura en Internet.
76
Switch: dispositivo digital de lógica de interconexión de redes de computadores que
opera en la capa de enlace de datos del modelo OSI.
TCP: Acrónimo del protocolo de control de transmisión. Lenguaje comunicativo o
protocolo básico de Internet.
UDP: Acrónimo del protocolo de datagramas de usuario. Proporciona una sencilla interfaz
entre la capa de red y la capa de aplicación sin ofrecer garantías para la entrega de sus
mensajes.
UTM: Acrónimo de gestión unificada de amenazas, estos dispositivos pueden unificar
algunas funcionalidades como, VPN, firewall, filtro de contenidos, antivirus, IDPS.
VLAN: Abreviatura de LAN virtual o red de área local virtual. Red de área local lógica que
se extiende más allá de una sola red física de área local.
WAN: Acrónimo de red de área amplia. Red informática que abarca un área amplia, a
menudo parte de un sistema con cobertura en toda una región o empresa.
BIBLIOGRAFÍA
[1] Requisitos y procedimientos de evaluación de seguridad, Versión 2.0, PCI SSC.
[2] Navegación de las PCI DSS, Versión 2.0, PCI SSC.
[3] Security Rules and Procedures, Merchant Edition, MasterCard.
[4] Guidelines on Firewalls and Firewall Policy, Karen Scarfone & Paul Hoffman.
[5] Guide to lntrusion Detection and Prevention Systems (IDPS), Karen Scarfone & PeterMell.
[6] CISSP All-in-One Exam Guide, Shon Harris.
[7] The Role of Cisco SONA in Enterprise Architecture Frameworks and Strategies, lanFoo.
[8] Internet Edge Solution Overview, Cisco Systems.
[9] Evolución en la seguridad de medios de pago, Fabián Garzón Garzón.
[1 O] Cisco IT Case Study Service Oriented Network Architecture, Cisco Systems.
[11] Security Architecture Blueprint, Gunnar Peterson
[12] Network Architecture Standard, Office of Technology Services Security Management
Division.
[13] PCI DSS Compliance- Payment Card lndustry Data Security Standard, Vanesa GilLaredo.
[14] PCI DSS Compliance Overview, Braintree Payment Solutions.