Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
INTEGRANTES
Bernal Rey Alvaro Jaulis Rua Jorge Luna Gomez Christian Vilcarromero Giraldo Renatto
Lima- Pe ! "#$%
*irecci+n) Calle Monterosas #,! &-icina .!#/ Chacarilla 0urco 1el2-ono) 3 4 ....
NDICE
ndice.........................................................................................................................................3 Resumen Ejecutivo...................................................................................................................2 Visin General de MAXIEFEC IV!....................................................................................3 "ecesidades de# "e$ocio% E&'ectativas ( )rioridades *RE+,ERIMIE" !-................./ 0ise1o de la solucin..............................................................................................................22
Requerimientos del Cliente...............................................................................................................12 Funciones especficas de la solucin................................................................................................13 Explicacin grfica..........................................................................................................................14 C R C!ER"#!"C # $ %E&! ' #............................................................................................1( #istema de )eteccin de "ntrusos *")#+...........................................................................................1, Este dispositi-o se encargara del monitoreo de las acti-idades de red o del sistema para las acti-idades maliciosas o -iolaciones a las polticas . produce informes a una estacin de administracin. lgunos sistemas pueden tratar de detener un intento de intrusin/ pero esto no es necesario ni se espera de un sistema de -igilancia. 0a deteccin de intrusiones . sistemas de pre-encin *1)"+ se centran principalmente en la identificacin de posi2les incidencias/ registro de informacin so2re ellos/ e informar los intentos...............................................................................1, )ecodificador de paquetes3 se encarga de tomar los paquetes que recoge la li2pcap . almacenarlos en una estructura de datos en la que se apo.an el resto de capas......................................................1, )iagrama de la rquitectura 1ropuesta...........................................................................................14 Co2ertura de los Requerimientos.....................................................................................................25 Escala2ilidad de la #olucin ...........................................................................................................22
C!"C#,-I!"E-..................................................................................................................23
'ara cual5uier consulta o duda re-erida al (resente documento6 -avor de contactarse con) L(-a G&me3 C/ i)*iaEMPRESA NET SECURITY Av. Roberto Revoredo / ",! 1el2-ono) 444# 433# Clunagomez 47gmail.com
RESUMEN EJECUTIVO
8ste (resente documento re-le9a la (ro(uesta comercial de nuestra em(resa :81 08C;RI1< 5ue se encarg+ de hacer una consultor=a (ara me9orar la seguridad de la em(resa MA>I8?8C1IV& 0AC 5ue es una entidad -inanciera 5ue se dedica a realizar (r2stamos de dinero a trav2s de dar garant=a a trav2s de 9oyas de oro. Luego de un (ro-undo an@lisis a la em(resa MaAie-ectivo6 hemos (odido hallar
de-iciencias6 a (esar de ser una entidad -inanciera6 donde (oseen un eAcelente control de seguridad -=sica B(ersonal y vigilanciaC 6 (ero concerniente al @mbito de redes es un (oco de-iciente. 'or ello6 esta (ro(uesta busca o(timizar la seguridad y calidad de sus coneAiones tanto internas como eAternas6 ya 5ue desea me9orar su modelo de negocio o-reciendo otros servicios (or internet (ara sus clientes o al mani(ular la in-ormaci+n. La soluci+n contem(la un Modelo de Acceso Basado en Roles BRBACC6 asegurando as= 5ue la in-ormaci+n sea consultada y mani(ulada s+lo (or usuarios autorizados. Adem@s6 se encargar@ de blo5uear e-icazmente el acceso a la red de dis(ositivos no deseados6 donde cada servidor realizar@ un servicio en es(ec=-ico6 controlar la duraci+n de acceso de los usuarios. As= mismo6 se (ro(ondr@ ca(acitar al (ersonal a trav2s de buenas (ol=ticas ya 5ue de nada sirve un RBAC cuando los em(leados divulgan las claves o los tienen ante en el acceso no autorizado de cual5uier (ersona ;na vez im(lementada esta soluci+n MA>I8?8C1IV& 0AC (odr@ dar un me9or servicio a sus cliente asegurando la integridad de sus datos
SEGURIDAD INFORMATICA
VISION 0er la em(resa de (r2stamos inmediatos m@s grande y reconocida (or los clientes6 en-oc@ndose en sistemas innovadores (ara consolidar la calidad6 la eAcelencia6 la seguridad y la ra(idez en nuestros servicios.
CERTIFICACIN DE LA EMPRESA
SEGURIDAD INFORMATICA
Si*(a.i,- A.*(a0 MA>I8?8C1IV& 0AC actualmente (resenta " agencias en todo el 'erD donde la mayor=a de ellas se encuentran (resentes en el de(artamento de Lima6 (or ende (odemos tener cuenta la cantidad de in-ormaci+n 5ue esta (osee. Adem@s de ello la em(resa tiene (resencia en otros (a=ses en Centroam2rica donde en cada una -unciona de manera inde(endiente. P i-.i'a0e) A1e-.ia)
SUCURSAL
SEGURIDAD INFORMATICA
'ara detallar los controles actuales 5ue lleva la em(resa mencionaremos acorde el siguiente gr@-ico donde seEala lo ideal 5ue deber=a o-recer la em(resa (ara (roteger no solo la in-ormaci+n sino tambi2n hardFare6 so-tFare y elementos -ungibles BdocumentosC.
SEGURIDAD INFORMATICA
C&-* &0 F4)i.&+ Vi1i0a-.ia+ Actualmente contratan los servicios de la em(resa G30 5ue les (rovee de (ersonal de seguridad en cada uno de las sucursales eAistentes.
CHma a) 2e Vi1i0a-.ia+ 'resentes dentro y -uera del local 5ue son Dtiles (ara la identi-icaci+n de (ersonas cuando se tratan de cometer asaltos.
SEGURIDAD INFORMATICA
C&-* &0 L,1i.& C TD.-i.&+ A(*e-*i.a.i,-+ 'resente al momento de identi-icar a los usuarios (rivilegiados 5ue (oseen acceso a la in-ormaci+n Si)*ema) 2e M&-i*& e&+ 'resente en los data center de la organizaci+n donde (or lo general solo tiene acceso (ersonas autorizadas6 (ero de todas maneras se realizan ya 5ue (uede surgir cual5uier im(revisto. C&-* &0 A2mi-i)* a*i6& P&04*i.a)+ Actualmente MA>I8?8C1IV& (resenta solo algunas (ol=ticas 5ue (ermiten una gesti+n media6 entre la 5ue (odemos destacar. 6 Gorarios) 8Aisten ciertas horas donde el (ersonal de mantenimiento solo (uede estar o cuando ocurre alguna eventualidades. 6 Mani(ulaci+n de documentos) A5uellos documentos 5ue son im(ortantes y 5ue (osteriormente ya no son necesarios son (icados y desechados6 no se 5ueman ya 5ue se tiene una tendencia ergon+mica. 6 Realizaci+n de res(aldos de las transacciones realizadas en un d=a6 a trav2s de un (roceso batch 5ue carga en una base de datos 0HL 0erver #!!. R# donde se carga la dis(onibilidad. A0*a Di)'&-i@i0i2a2+ *onde almacenan la in-ormaci+n diaria en cintas magn2ticas 5ue son almacenadas esto (ara tener res(aldos ante cual5uier desastre o ata5ue. S*a-2a e) Actualmente se 5uiere im(lantar un control estricto (ara (oder obtener la
certi-izacion I0& #,!!! ya 5ue actualmente tam(oco (oseen ni la I0& 4!!!. P &1 ama) 2e E-* e-amie-*&+ 'ara concientizar al (ersonal de 5ue no deben divulgar -@cilmente la in-ormaci+n interna a a terceros ya 5ue cual5uier eAtraEo (uede obtener el modus &(erandi de la em(resa
SEGURIDAD INFORMATICA
La siguiente to(olog=a muestra se almacena en una base de datos comDn todas las transacciones realizadas en cada agencia6 (or lo general llega a tomar hora y media6 (or ende se establece un determinado horario en la madrugado (ara (rocesarlas.
SEGURIDAD INFORMATICA
Se 6i2& 2e A'0i.a.i&-e)
La to(olog=a muestra c+mo se mantiene la comunicaci+n entre todos los servidores de base de datos ya 5ue eAiste una base de datos (or cada localidad es decir una (ara Lima y los otras en su res(ectivo de(artamento. 8ste servidor se utiliza a nivel de toda la organizaci+n (ara mantener un seguimiento de los em(leados o terceros entrantes a zonas es(ec=-icas (ara realizar labores6 donde el usuario encargado de realizar el registro de terceros lleva el control de las (ersonas 5ue solicitan ingresar (ara realizar un servicio solicitado (or la em(resa.
SEGURIDAD INFORMATICA
P &@0ema) EIi)*e-*e) E-.&-* a2&) Como resultado del an@lisis realizado6 a(reciamos las de-iciencias de seguridad en las redes 5ue (osee la em(resa6 entre las cuales (odemos mencionar. 6 :o contar con -ireFalls establecidos entre cada sucursal ya 5ue el -lu9o de la in-ormaci+n 5ue (ermite a usuarios no autorizados tener acceso a las redes (rivadas de la em(resa. 6 :o (oseer un :I*0 B0istema de detecci+n de intrusos en una RedC bien establecido6 el cual detecte anomal=as 5ue inicien un riesgo (otencial6 tales como ata5ues de denegaci+n de servicio6 escaneadores de (uertos o intentos de entrar en un ordenador6 analizando el tr@-ico en la red en tiem(o real.
8s (or ello 5ue (ro(onemos im(lementar un 0istema de Gesti+n de Acceso a Redes (ara controlar de manera e-iciente y e-icaz la in-ormaci+n mane9ada6 ya sea dentro de la em(resa como la de sus clientes6 al momento de o-recer sus variados servicios.
A continuaci+n detallaremos nuestra (ro(uesta6 la cual ayudar@ a me9orar la calidad y seguridad de sus diversos (rocesos de negocio.
Los ob9etivos del (resente (royecto son) Gesti+n centralizada de redes. Me9orar la seguridad de la in-ormaci+n de la em(resa. &btener una certi-icaci+n 5ue me9ore la 'erce(ci+n (or (arte de los clientes *isminuir los riesgos de -uga de in-ormaci+n. 'ermitir el acceso s+lo a (ersonal autorizado basado en roles. 8n base a estos re5uerimientos (ro(onemos la siguiente soluci+n)
SEGURIDAD INFORMATICA
10
I-)*a0a.i,- e Im'0eme-*a.i,- 2e (- Si)*ema 2e Ge)*i,- 2e A..e)& a Re2e)7 La (resente soluci+n contar@ con las siguientes caracter=sticas) Blo5uear e-icazmente el acceso a la red de dis(ositivos no deseados. Registrar de -orma autom@tica a un cliente o dis(ositivo. Controlar la duraci+n de acceso a la red mediante (ar@metros de con-iguraci+n. Modelo de Acceso Basado en Roles BRBACC6 etc.
SEGURIDAD INFORMATICA
11
DISEJO DE LA SOLUCIN
La soluci+n 5ue se (resenta a continuaci+n contem(lar@ las acciones (ara controlar de manera e-iciente y e-icaz la in-ormaci+n mane9ada (or la em(resa :et0ecurity. 0eguidamente detallaremos los re5uerimientos tomados en cuenta (ara el *iseEo de la soluci+n)
'roteger las claves de acceso a los sistemas de in-ormaci+n. La identi-icaci+n y autenticaci+n en los dis(ositivos y sistemas de c+m(uto de las entidades deber@ ser Dnica y (ersonalizada.
8vitar 5ue (rogramas o dis(ositivos ca(turen la in-ormaci+n de sus clientes y de sus o(eraciones. &-recer el so(orte necesario (ara 5ue los clientes (uedan realizar sus o(eraciones monetarias (or los di-erentes medios siem(re y cuando 2stos lo (ermitan. &-recer una buena (ol=tica de gesti+n de contraseEas
SEGURIDAD INFORMATICA
12
Da S&'& *e 2e )&5*Ka e 2e Ne*K& L A..e)) C&-* &0) 8l so-tFare de CI0C& I&0 :etForI Access Control da so(orte a los distintos ti(os de usuarios y gestionarlos de manera e-icaz (ara cum(lir las directivas.
Da S(mi-i)* & 2e 5(-.i&-a0i2a2 e)e-.ia0 2e Ne*K& L A..e)) C&-* &0 ) con el dis(ositivo :etForI Access Control integrado6 (uede suministrar control de acceso basado en la identidad y basado en la a(licaci+n (ara end(oints no gestionados6 como invitados y contratistas.
Ge)*i&-a 0a) .&-eIi&-e) e-* a-*e)) Registrar el acceso a la red de ciertas com(utadoras (ara me9orar los sistemas de riesgos6 como los (ort@tiles de terceras (ersonas.
SEGURIDAD INFORMATICA
13
8A(licaci+n gr@-ica
CARAC18RI01ICA0 < V8:1AJA0 O@*e-e (- .(m'0imie-*& -& ma*i6& .&-*i-(& Com(robar el cum(limiento de la Alta *irecci+n antes de (ermitir el acceso a la red. 8sto servir@ tambi2n (ara cuando se realicen auditor=as donde se debe obtener validaci+n de la directiva em(resarial y de seguridad en tiem(o real.
E6i*a ame-a3a) 2e 5& ma .&-*i-(a Blo5uear amenazas antes y des(u2s de la admisi+n utilizando un conocimiento (ro-undo del estado variable del sistema6 el cum(limiento de las normativas y los usuarios.
P &*e1e 0a) &5i.i-a) em&*a) C )(.( )a0e) Asegurarse de 5ue sea im(osible acceder a los recursos de la sede central estableci2ndola de -orma segura y -iable.
C&-)i1a 6i)i@i0i2a2 e- *iem'& ea0 0u(ervisar al (ersonal interno en tiem(o real6 des(u2s de las coneAi+n6 (ara (oder conocer el com(ortamiento de estos.
A2a'*a 0&) .&-* &0e) 2e a..e)& Ada(tar los controles de acceso de(endiendo de una situaci+n es(ec=-ica (ara asegurarse de 5ue todos los usuarios6 desde los altos mandos hasta visitantes6 obtengan el acceso a(ro(iado al tiem(o 5ue mantiene la seguridad de su red.
0i)*ema 2e De*e..i,- 2e I-* ()&) ;IDS< 8ste dis(ositivo se encargara del monitoreo de las actividades de red o del sistema (ara las actividades maliciosas o violaciones a las (ol=ticas y (roduce in-ormes a una estaci+n de administraci+n. Algunos sistemas (ueden tratar de detener un intento de intrusi+n6 (ero esto no es necesario ni se es(era de un sistema de vigilancia. La detecci+n de intrusiones y sistemas de (revenci+n B'*IC se centran (rinci(almente en la identi-icaci+n de (osibles incidencias6 registro de in-ormaci+n sobre ellos6 e in-ormar los intentos.
S-& *
8s un I*0 en tiem(o real desarrollado (or Martin Roesch y dis(onible. 0e (uede e9ecutar en ;:I> y JindoFs. Actualmente es el sistema de detecci+n de intrusos m@s utilizado. La versi+n .4 dis(one de unas .,!! reglas y de multitud de a(licaciones (ara el an@lisis de sus alertas. 0nort se basa en la librer=a lib(ca( (ara la ca(tura de (a5uetes.
A M(i*e.*( a S-& *
De.&2i5i.a2& 2e 'aM(e*e)+ se encarga de tomar los (a5uetes 5ue recoge la lib(ca( y almacenarlos en una estructura de datos en la 5ue se a(oyan el resto de ca(as.
A Ni6e0 E)'e.45i.&+
(ersonalizar las condiciones ba9o las cuales realicen o(eraciones monetarias (or los di-erentes canales6 siem(re y cuando 2stos lo (ermitan. 8n estos eventos se (uede (ermitir 5ue el cliente inscriba las cuentas a las cuales realizar@ trans-erencias6 registre las direcciones I' -i9as y el o los nDmeros de tele-on=a m+vil desde los cuales o(erar@. &-recer la (osibilidad de mane9ar contraseEas di-erentes (ara los instrumentos o canales6 en caso de 5ue 2stos lo re5uieran yMo lo (ermitan. 8stablecer (rocedimientos (ara el blo5ueo de canales o de instrumentos (ara la realizaci+n de o(eraciones6 cuando eAistan situaciones o hechos 5ue lo ameriten o des(u2s de un nDmero de intentos de accesos -allidos (or (arte de un cliente6 as= como las medidas o(erativas y de seguridad (ara la reactivaci+n de los mismos. 8laborar el (er-il de las costumbres transaccionales de cada uno de sus clientes y de-inir (rocedimientos (ara la con-irmaci+n o(ortuna de las o(eraciones monetarias 5ue no corres(ondan a sus h@bitos.
Cum(le. Brinda seguridad a cada una de los canales re5ueridos (or el usuario.
Cum(le. 0e (uede (rogramar las veces 5ue se (ueden intentar ingresar a la sesi+n adem@s de avisar al usuario la incidencia.
E).a0a@i0i2a2 2e 0a S&0(.i,La escalabilidad se re-iere a la ca(acidad de un sistema de aumentar su rendimiento y a9ustarse a ello. 8sto se condigue al sumarle ca(acidad de hardFare e im(lementar nuevas -unciones 5ue aumente la -luidez del (roceso.
:et0ecurity :etForI Access Control es una soluci+n inde(endiente al sistema o(erativoBJindoFs6 linuA6 MAC&0>C. 8sto intenta no encerrar al cliente en un ti(o de tecnolog=a y -acilitar la im(lementaci+n. 1ambien so(orta com(letamente $3 bits
E).a0a@i0i2a2 6e *i.a0 8st@ su9eto a la me9ora de su sistema aumentando recursos6 (or e9em(lo ad5uirir I*0 5ue (ermitan vigilar el tr@-ico de las redes internas
Consiste en aEadir m@s m@5uinas a la a(licaci+n6 (or e9em(lo tener otros servidores 5ue sirvan como es(e9o y uno m@s 5ue sea el balanceador de carga.
CONCLUSIONES
8l sistema de gesti+n de acceso a red :et0ecurity :etForI Access Control es ca(az de controlar a nivel de red y gestionarla.
8l sistema (ermite un acceso desde cual5uier lugar logrando obtener los mismos servicios y esto nos va a -acilitar ya 5ue (oseemos varias sucursales.
La venta9a com(etitiva ad5uirida nos va servir (ara (oder me9orar nuestros servicios y obtener una buena seguridad de la in-ormaci+n6 (or ende otorgar un me9or servicio al cliente
La im(lantaci+n del I*0 es im(ortante y se 9usti-ica ya 5ue eAisten muchos riesgos actualmente desde so-tFare es(ecializado y hacIer6 cracIer y ciberterroristas.
8s im(ortante tambi2n veri-icar los huecos de seguridad 5ue ocurren en el so-tFare6 donde el ci-rado en los (a5uetes es im(ortante.