Normativa Iso 27000

Practica 1.5.

Resumen de la normativa ISO 27000

¿Qué es ISO 27000?

Es una familia de estándares internacionales para Sistemas de Gestión de la Seguridad de la Información (SGSI) que proporcionan un marco de gestión de la seguridad de la información.

ESTA NORMA CONTIENE TÉRMINOS Y DEFINICIONES QUE SE EMPLEAN EN TODA LA SERIE 27000. LA APLICACIÓN DE CUALQUIER ESTÁNDAR NECESITA DE UN VOCABULARIO CLARAMENTE DEFINIDO, QUE EVITE DISTINTAS INTERPRETACIONES DE CONCEPTOS TÉCNICOS Y DE GESTIÓN.

                           

ISO 27001

Es la norma principal de la serie y contiene los requisitos del sistema de gestión de seguridad de la información.

ISO 27001 es una norma internacional emitida por la Organización Internacional de Normalización (ISO) y describe cómo gestionar la seguridad de la información en una empresa. La revisión más reciente de esta norma fue publicada en 2013 y ahora su nombre completo es ISO/IEC 27001:2013. La primera revisión se publicó en 2005 y fue desarrollada en base a la norma británica BS 7799-2.

ISO 27001 puede ser implementada en cualquier tipo de organización, con o sin fines de lucro, privada o pública, pequeña o grande. Está redactada por los mejores especialistas del mundo en el tema y proporciona una metodología para implementar la gestión de la seguridad de la información en una organización. También permite que una empresa sea certificada; esto significa que una entidad de certificación independiente confirma que la seguridad de la información ha sido implementada en esa organización en cumplimiento con la norma ISO 27001.

Este estándar internacional ha sido preparado para proporcionar un modelo para establecer, implementar, operar, monitorear, revisar, mantener y mejorar un Sistema de Gestión de Seguridad de la Información (SGSI).

Este estándar adopta el modelo de proceso Planear-hacer-chequear-actuar (PDCA), el cual se puede aplicar a todos los procesos SGSI.

Confidencialidad: la propiedad que esa información esté disponible y no sea divulgada a personas, entidades o procesos no-autorizados.

Seguridad de información: preservación de la confidencialidad, integridad, disponibilidad de la información; además, también pueden estar involucradas otras propiedades como la autenticidad, responsabilidad, no-repudio, y confiabilidad.

Sistema de gestión de la seguridad de la información: esa parte del sistema gerencial general, basado en un enfoque de riesgo comercial; para establecer, implementar, monitorear, revisar, mantener y mejorar la seguridad de la información.

ISO 27002

Es una guía de buenas prácticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la información. Contiene 39 objetivos de control y 133 controles, agrupados en 11 dominios.

ISO 27003

Es una guía de implementación de SGSI e información acerca del uso del modelo PDCA y de los requerimientos de sus diferentes fases.

ISO 27004

Especifica las métricas y las técnicas de medida aplicables para determinar la eficacia de un SGSI y de los controles relacionados.

“El empleo de este estándar permitirá a las organizaciones dar respuesta a los interrogantes de cuán efectivo y eficiente es el SGSI y qué niveles de implementación y madurez han sido alcanzados. Estas mediciones permitirán comparar los logros obtenidos en seguridad de la información sobre períodos de tiempo en áreas de negocio similares de la organización y como parte de continuas mejoras”.

ISO 27005

Establece las directrices para la gestión del riesgo en la seguridad de la información.

Está diseñada para ayudar a la aplicación satisfactoria de la seguridad de la información basada en un enfoque de gestión de riesgos, es aplicable a todo tipo de organizaciones que tienen la intención de gestionar los riesgos que puedan comprometer la organización de la seguridad de la información.

ISO 27006

Especifica los requisitos para la acreditación de entidades de auditoría y certificación de sistemas de gestión de seguridad de la información. Es decir, ayuda a interpretar los criterios de acreditación de ISO/IEC 17021 cuando se aplican a entidades de certificación de ISO 27001, pero no es una norma de acreditación por sí misma.

ISO/IEC 27007:

No certificable. Es una guía de auditoría de un SGSI, como complemento a lo especificado en ISO 19011. En España, esta norma no está traducida.

ISO/IEC TR 27008:

No certificable. Es una guía de auditoría de los controles seleccionados en el marco de implantación de un SGSI. En España, esta norma no está traducida.

ISO/IEC 27009:

No certificable. Es una guía sobre el uso y aplicación de los principios de ISO/IEC 27001 para el sector servicios específicos en emisión de certificaciones acreditadas de tercera parte.

ISO/IEC 27010:

Publicada el 20 de Octubre de 2012. Consiste en una guía para la gestión de la seguridad de la información cuando se comparte entre organizaciones o sectores. ISO/IEC 27010:2012 es aplicable a todas las formas de intercambio y difusión de información sensibles, tanto públicas como privadas, a nivel nacional e internacional, dentro de la misma industria o sector de mercado o entre sectores. En particular, puede ser aplicable a los intercambios de información y participación en relación con el suministro, mantenimiento y protección de una organización o de la infraestructura crítica de los estados y naciones.

ISO 27011

Es una guía de gestión de seguridad de la información específica para telecomunicaciones, elaborada conjuntamente con la ITU (Unión Internacional de Telecomunicaciones).

Esta norma está orientada a los organismos que proporcionan procesos de apoyo e información en las telecomunicaciones, instalaciones de telecomunicaciones, redes y líneas y para los que éstos suponen importantes activos empresariales.

La gestión de la seguridad de la información es sumamente necesaria con el fin de que los organismos de telecomunicaciones puedan gestionar adecuadamente estos activos de la empresa y continuar con éxito sus actividades.

ISO/IEC 27013:

Es una guía de implementación integrada de ISO/IEC 27001:2005 (gestión de seguridad de la información) y de ISO/IEC 20000-1 (gestión de servicios TI).

ISO/IEC 27014:

Consistirá en una guía de gobierno corporativo de la seguridad de la información.

ISO/IEC TR 27015:

Es una guía de SGSI orientada a organizaciones del sector financiero y de seguros y como complemento a ISO/IEC 27002:2005.

ISO/IEC TR 27016:

Consistirá en una guía de valoración de los aspectos financieros de la seguridad de la información.

ISO/IEC TS 27017:

Consistirá en una guía de seguridad para Cloud Computing.

ISO/IEC 27018:

Consistirá en un código de buenas prácticas en controles de protección de datos para servicios de computación en cloud computing.

ISO/IEC TR 27019:

Guía con referencia a ISO/IEC 27002:2005 para el proceso de sistemas de control específicos relacionados con el sector de la industria de la energía.

ISO/IEC 27031:

No certificable. Es una guía de apoyo para la adecuación de las tecnologías de información y comunicación (TIC) de una organización para la continuidad del negocio. El documento toma como referencia el estándar BS 25777. En España, esta norma no está traducida.

ISO/IEC 27032:

Proporciona orientación para la mejora del estado de seguridad cibernética, extrayendo los aspectos únicos de esa actividad y de sus dependencias en otros dominios de seguridad, concretamente: Información de seguridad, seguridad de las redes, seguridad en Internet e información de protección de infraestructuras críticas (CIIP). Cubre las prácticas de seguridad a nivel básico para los interesados en el ciberespacio. Esta norma establece una descripción general de Seguridad Cibernética, una explicación de la relación entre la ciberseguridad y otros tipos de garantías, una definición de las partes interesadas y una descripción de su papel en la seguridad cibernética, una orientación para abordar problemas comunes de Seguridad Cibernética y un marco que permite a las partes interesadas a que colaboren en la solución de problemas en la ciberseguridad.

ISO/IEC 27033:

Norma dedicada a la seguridad en redes, consistente en 7 partes: 27033-1, conceptos generales; 27033-2, directrices de diseño e implementación de seguridad en redes; 27033-3, escenarios de referencia de redes; 27033-4, aseguramiento de las comunicaciones entre redes mediante gateways de seguridad; 27033-5, aseguramiento de comunicaciones mediante VPNs; 27033-6, convergencia IP; 27033-7, redes inalámbricas.

ISO/IEC 27034:

Parcialmente desarrollada. Norma dedicada la seguridad en aplicaciones informáticas, consistente en 6 partes: 27034-1, conceptos generales; 27034-2, marco normativo de la organización; 27034-3, proceso de gestión de seguridad en aplicaciones; 27034-4, validación de la seguridad en aplicaciones; 27034-5, estructura de datos y protocolos y controles de seguridad de aplicaciones; 27034-6, guía de seguridad para aplicaciones de uso específico.

ISO/IEC 27035:

Publicada el 17 de Agosto de 2011. Proporciona una guía sobre la gestión de incidentes de seguridad en la información. En España, no está traducida.

ISO/IEC 27036:

En fase de desarrollo, con publicación prevista a partir de 2013. Consistirá en una guía en cuatro partes de seguridad en las relaciones con proveedores: 27036-1, visión general y conceptos; 27036-2, requisitos comunes; 27036-3, seguridad en la cadena de suministro TIC; 27036-4, seguridad en entornos de servicios Cloud.

ISO/IEC 27037:

Publicada el 15 de Octubre de 2012. Es una guía que proporciona directrices para las actividades relacionadas con la identificación, recopilación, consolidación y preservación de evidencias digitales potenciales localizadas en teléfonos móviles, tarjetas de memoria, dispositivos electrónicos personales, sistemas de navegación móvil, cámaras digitales y de video, redes TCP/IP, entre otros dispositivos y para que puedan ser utilizadas con valor probatorio y en el intercambio entre las diferentes jurisdicciones.

ISO/IEC 27038:

Consistirá en una guía de especificación para seguridad en la redacción digital.

ISO/IEC 27039:

Consistirá en una guía para la selección, despliegue y operativa de sistemas de detección y prevención de intrusión (IDS/IPS).

ISO/IEC 27040:

Consistirá en una guía para la seguridad en medios de almacenamiento.

ISO/IEC 27041:

Consistirá en una guía para la garantizar la la idoneidad y adecuación de los métodos de investigación.

ISO/IEC 27042:

Consistirá en una guía con directrices para el análisis e interpretación de las evidencias digitales.

ISO/IEC 27043:

Desarrollará principios y procesos de investigación.

ISO/IEC 27044:

Gestión de eventos y de la seguridad de la información - Security Information and Event Management (SIEM).

ISO 27799:

Es un estándar de gestión de seguridad de la información en el sector sanitario aplicando ISO 17799 (actual ISO 27002)

Especifica un conjunto detallado de controles y directrices de buenas prácticas para la gestión de la salud y la seguridad de la información por organizaciones sanitarias y otros custodios de la información sanitaria en base a garantizar un mínimo nivel necesario de seguridad apropiado para la organización y circunstancias que van a mantener la confidencialidad, integridad y disponibilidad de información personal de salud.

Practica 1.4. Metasploits

                                Seguridad y Alta Disponibilidad

Practica 1.4

Metasploits.

Metasploits es un programa para analizar las vulnerabilidades más comunes, se puede realizar con herramienta interfaz modo comando y web, que posee un conjunto de exploits para aprovechar las vulnerabilidades más conocidas de puertos, sistemas y aplicaciones.

Vamos a empezar por la instalación de Metasploits:

Lo primero lo descargamos de la página de internet y hacemos doble clic sobre el archivo descargado, nos aparecerá esta ventanita para iniciar la instalación:

Pulsamos siguiente (next): y aceptamos las licencias:

Escribimos el lugar donde queremos tener guardada la instalación:

Debemos introducir el puerto que va a usar el programa metasploits:

Y seleccionamos el nombre y días de validez para ese puerto:

Y pulsamos next para comenzar la instalación:

Comenzará a instalar el programa (tardará unos minutos):

Una vez completado el proceso de instalación pulsamos finish.

Se nos abrirá esta página web:

En esta página al final nos aparece este mensaje:

Nos aparece esta página para rellenarla con nuestros datos:

Una vez tenemos los datos obligatorios rellenos pulsamos crear una cuenta.

Pasamos entonces a crear la cuenta mediante esta página web:

Debemos pulsar en obtener clave de producto para activar la licencia:

Nos abre esta página web en la que debemos elegir metasploit community:

En la parte inferior nos aparece este botón para activar la licencia:

Al pulsar debemos rellenar los datos para la activación mediante un correo en el cual nos enviara la clave de activación:

Aquí vemos todo rellenado y solamente nos queda pulsar en el botón inferior:

Nos llegara al correo la activación de la licencia que debemos copiar y pegar en el punto dos:

Una vez copiado, debemos pulsar en el botón activar licencia.

Ya estaríamos dentro del programa y vemos una pestaña llamada nuevo proyecto, en ella podemos comenzar a explorar vulnerabilidades.

En el menú de inicio vemos también como se a instalado el programa completo, y sus distintas aplicaciones que tiene:

Como por ejemplo metasploit console, para abrirlo en modo consola.

Volvemos a la página web y seleccionamos el botón de nuevo proyecto: creamos un nombre nuevo y una descripción y las IP del alcance de la red y pulsamos crear proyecto.

Una vez esta creado el proyecto en la siguiente venta pulsamos en escanear:

Si ha encontrado algo, comienza a buscar las principales vulnerabilidades en mi ejemplo uso una red del aula y vemos como comienza a capturar.

Aquí vemos los resultados obtenidos con sus vulnerabilidades:

Al completarse la búsqueda podemos ver en la pestaña host, sus principales datos del sistema, también podemos ver las notas en donde vienen posibles vulnerabilidades y los servicios.

Una vez, vista esta pequeña introducción vamos a realizar unas pruebas usando una máquina virtual metasploit Linux a la que vamos a intentar atacar desde nuestra máquina virtual windows 7 con el programa metasploit instalado.

Abrimos un terminal en windows 7 y comprobamos nuestra dirección IP y hacemos lo mismo en la maquina Linux. Intentamos hacer un ping entre ambas máquinas para comprobar que ambas tienen conectividad:

Máquina Windows 7:

Máquina Linux:

Vemos que la IP de windows 7 es: 192.168.255.153/24

Y la IP de Linux es: 192.168.255.157/24

Ambas máquinas tienen conexión entre ellas.

Arrancamos la consola metasploit en la máquina windows 7:

Tenemos abierto el terminal en windows 7 y ejecutamos el siguiente comando:

Nmap –T4 –A 192.168.255.157

Nos muestra un análisis de todo el equipo Linux con sus puertos abiertos, el servicio que usan, y nos muestra la versión que usa ese puerto.

Nos vamos una vez visto este análisis al metasploit en modo consola que tenemos abierto en windows 7:

Y escribimos el comando search y el nombre de la versión que queremos analizar:

Por ejemplo aquí vemos el nombre de la versión del puerto 21 ftp: vsftpd

Pondremos entonces en la consola: search vsftpd

Nos muestra aquí la posible vulnerabilidad que tenemos en esa versión.

El siguiente paso sería usar esa ruta para comenzar a atacar a la máquina.

Ejecutamos en la consola el siguiente comando y la ruta:

Use exploit/unix/ftp/vsftpd_234_backdoor

Ya estaríamos dentro de la posible vulnerabilidad encontrada.

El siguiente paso sería mostrar los PAYLOADS dentro de esta ruta a los que podríamos atacar:

Usaremos el comando show payloads

Nos muestra el nombre de la ruta o rutas posibles que podemos introducir para atacar.

Para usar una de ellas lo haremos con el siguiente comando:

Set PAYLOAD cmd/unix/interact

Una vez seleccionado el Payload al que vamos a atacar, pasamos a ver las distintas opciones que tenemos de ataque, con el comando:

Show options

En este paso nos muestra las posibles modificaciones que podemos añadir para conseguir atacar al equipo vulnerable.

En este caso podemos atacarlo si modificamos el RHOST y le añadimos su dirección IP.

Podemos modificarlo usando este comando:

Set RHOST 192.168.255.157

Aquí vemos como lo he modificado y ya podemos pasar a lanzar el exploit.

Para lanzar el exploit usamos el comando:

exploit

Vemos como comienza a conectarse al equipo atacado.

Una vez estamos conectados al otro equipo, depende de la vulnerabilidad encontrada podremos hacer unas cosas u otras. En mi caso podría mirar dentro de todo su ordenador cualquier cosa y copiar y modificar todos los archivos, etc.

Podemos usar el comando ls por ejemplo para listar todos sus directorios:

Introducirnos dentro de cualquier directorio con el comando cd

Y podríamos crearle y borrarle cualquier carpeta o archivo que queramos, ya que tenemos permisos de administrador para todo.

Para salir del exploit lanzado usaremos el comando back

Y con esto quedaría finalizada la práctica de metasploits.

1.3.Disponibilidad

                                Seguridad y Alta Disponibilidad
Practica 1.3

Disponibilidad.

Nmap (mapeador de redes): es una herramienta de código abierto para exploración de red y auditoria de seguridad. Usa paquetes IP para determinar que equipos se encuentran disponibles en una red, que servicios ofrecen y mediante que aplicaciones (nombre y versión de aplicación), que sistemas operativos (y sus versiones) ejecutan, que tipo de filtros de paquetes o cortafuegos están usando, etc.

Para las versiones de software de servidores y de los sistemas operativos es posible buscar posibles vulnerabilidades existentes:

1.

www.securityfocus.com informa sobre vulnerabilidades en aplicaciones y sistemas operativos.

Puedes registrarte y recibir las vulnerabilidades de cualquier producto que elijas:

Aquí vemos un ejemplo de cómo buscar vulnerabilidades de Microsoft Windows 7 ultimate:

2.

www.nessus.org. Esta aplicación detecta vulnerabilidades, tanto para sistemas y aplicaciones de Windows como GNU/Linux.

Puedes descargar esta aplicación de la página web de forma gratuita una versión de prueba.

Entrando en descargar nessus:

También podemos descargar en Documentación nessus:

Guías de instalación y de usuario.

Para recibir un código de activación del programa nessus, debemos registrarnos y nos enviaran un código al correo para activar el programa de prueba.

Nos registramos:

Y instalamos en una máquina virtual, ya que el código de activación únicamente sirve para un solo programa nessus.

Una vez termina la instalación:

Nos pedirá que hagamos clic en el siguiente enlace:

Nos aparecerá esta ventana, donde pulsaremos Opciones avanzadas:

Nos conectaremos mediante un correo y un usuario completamente nuevo creado:

Captura con mi clave una vez hemos accedido con el usuario y contraseña:

Una vez hecho esto nos aparecerá esta ventana:

Y comenzara a descargar el plugins:

Después de la descargar pasara a instalarse y finalizar.

Este sería el resultado de la instalación: donde podemos comenzar a escanear para encontrar vulnerabilidades.

Debemos como primer paso una vez abierto el programa, debemos crear una política nueva y añadiremos el tipo de búsqueda que queremos seleccionar.

Seleccionamos la policy que queremos y la completamos con sus datos:

Una vez creada la política, pasamos a crear un nuevo escáner:

Seleccionaremos el escáner que queremos realizar:

Y comenzamos el escaneo completo pulsando aceptar:

Aquí en la imagen podemos ver como a comenzado el escaneo:

Una vez que se complete el escaneo pulsaremos haciendo clic en el nombre y nos aparecerán las posibles vulnerabilidades del equipo:

Aquí vemos el total de escaneos y a su lado las posibles vulnerabilidades existentes.

Podemos pulsar sobre las vulnerabilidades y nos aparecerá la información de cada una de ellas y nos muestra el número de puerto por el que aparece.

3. Microsoft Baseline Segurity Analyzer (MBSA)

Esta herramienta está diseñada para analizar el estado de seguridad según las recomendaciones de seguridad de Microsoft y ofrece orientación de soluciones específicas.

Sirve para detectar los errores más comunes de configuración de seguridad y actualizaciones de seguridad que falten.

Se analizan aspectos como:

-sistema de ficheros. Recomendado NTFS por su mayor nivel de seguridad.

-cuentas de usuario. Analiza si poseen contraseñas y son seguras.

-actualizaciones. Analiza si el sistema posee las últimas actualizaciones que previenen de vulnerabilidades actuales.

-cortafuegos activo y configurado.

-número de cuentas de administrador

Descargamos de la página de Microsoft:

Seleccionamos una opción de descarga:

Pulsamos en Siguiente y nos aparecerá el archivo descargando en la parte inferior izquierda:

Pulsamos en el archivo descargado y se abrirá el asistente de instalación siguiendo estos pasos:

Y pulsamos siguiente para que comience la instalación:

Le damos “SI” para permitir que el programa se instale. Y lo abrimos:

Este programa tiene dos opciones de escaneo de vulnerabilidades:

La primera opción Scan a computer sirve para escanear un único puerto a través de su dirección IP de la red o mediante el nombre del equipo.

La segunda opción nos permiten escanear varios equipos a la vez de forma simultánea:

Esta es la primera opción en la que vamos a escanear mediante el nombre del equipo nuestro:

Pulsamos en comenzar a escanear y cuando finalice nos aparecerán las posibles vulnerabilidades de nuestro equipo escaneado.

Del análisis y estudio de las vulnerabilidades se aprovechan los desarrolladores de exploits.

El fin de exploit puede ser violar las medidas de seguridad para poder acceder al mismo de forma no autorizada y emplearlo en beneficio propio o como origen de otros ataques a terceros.

Existe una aplicación como metasploits, herramienta en modo comando y web, que posee un conjunto de exploits para aprovechar las vulnerabilidades más conocidas de puertos, sistemas y aplicaciones.

Recomendaciones que debemos tener en cuenta después de conocer estos programas:

   -Actualizar los sistemas y las aplicaciones lo antes posible.

   -Poner como predeterminado las actualizaciones automáticas y controlar la veracidad de las actualizaciones antes de instalarlas.

Actualmente existe software malicioso (malware) que sobrescribe las actualizaciones de aplicaciones conocidas como el caso de algunos productos Adobe Reader 9 y productos Java.

Por lo tanto podemos estar instalando software malicioso en lugar de la verdadera actualización.

Aquí vamos a usar el programa Nmap que es una aplicación que se utiliza en modo comando o mediante una interfaz gráfica denominada znmap o zenmap.

Vamos a instalarlo y a realizar un análisis típico de la red:

Una vez abierto, insertamos la dirección IP y pulsamos a escanear:

Podemos visualizar distintas opciones de escaneo, según lo que busques, ya sea puertos TCP o UDP, ya sea un escaneo intenso, etc.

Aquí podemos ver como está comenzando el análisis y ya nos ha encontrado varios puertos de la red que están abiertos y su dirección IP.

También podemos ver las distintas opciones de análisis:

Para realizar un análisis con este programa podemos visualizar las vulnerabilidades tanto de un equipo en concreto poniendo su dirección IP, como toda la red, poniendo la dirección de red con su máscara, y también podemos analizar mediante nombres de dominio o páginas web como por ejemplo www.google.es.

La versión gráfica ZNMAP o ZENMAP para Linux puede obtenerse mediante el comando:

Sudo apt-get install zenmap.

Aquí vemos el recorrido para abrir el zenmap u otras aplicaciones como nmap en modo comando.

Aquí tenemos una imagen del Zenmap de Linux en proceso de ejecución de forma similar al de Windows.