UNIVERSIDAD NACIONAL DE INGENIERÍAcybertesis.uni.edu.pe/bitstream/uni/9591/1/navarro_jr.pdf · PCI...

UNIVERSIDAD NACIONAL DE INGENIERÍA , , ,

FACULTAD DE INGENIERIA ELECTRICA Y ELECTRONICA

METODOLOGÍA DE IMPLEMENTACIÓN DEL ESTÁNDAR PCI-DSS · EN EL DISEÑO DE RED EN UNA ENTIDAD BANCARIA

INFORME DE SUFICIENCIA

PARA OPTAR EL TÍTULO PROFESIONAL DE:

INGENIERO DE TELECOMUNICACIONES

PRESENTADO POR:

ROLANDO CHARLITS NAVARRO JARA

PROMOCIÓN 2005 -1

LIMA-PERÚ 2011

METODOLOGÍA DE IMPLEMENTACIÓN DEL ESTÁNDAR PCI-DSS EN EL DISEÑO DE RED EN UNA ENTIDAD BANCARIA

A mis padres y familia por poner su entera

confianza en mí, aprendiendo de ellos que

nada es imposible y que con perseverancia se

llega siempre a la meta.

A todos mis amigos, quienes me brindaron su

apoyo incondicional y su sincera amistad.

SUMARIO

La "Norma de seguridad de datos para la Industria de Tarjetas de Pago", conocido

internacionalmente por sus siglas PCI DSS, ha sido desarrollada por el grupo PCI

Security Standard Council, organismo creado por las principales compañías de tarjetas

de pago como VISA, MasterCard, AMEX, JCB y DISCOVER. Esta norma debe de ser

implementada por entidades bancarias, proveedores de servicio y comercios que tratan

con datos de tarjetas de pago.

Por este motivo, el presente informe muestra la metodología empleada por una

institución financiera para la implementación de medidas correctivas en su diseño y

arquitectura de red con la finalidad de reducir el entorno sobre el que las auditorías de

las compañías de tarjetas de pago evalúan el cumplimiento de la norma.

El diseño y arquitectura de red se desarrolla a partir de la protección perimetral de

la red con la implementación de firewalls, sistemas de detección y prevención de intrusos

y la segmentación de la red interna actual separando los sistemas que deben de cumplir

con los requisitos de la norma de las demás redes.

Asimismo, se muestra los requisitos de configuración que deben de cumplir cada

uno de los componentes necesarios en el diseño y el plan de trabajo establecido para la

implementación del diseño de red propuesto en el ambiente productivo de la entidad

bancaria.

ÍNDICE

INTRODUCCIÓN ............................................................................................................................................. 1

CAPÍTULO 1

MARCO TEÓRICO CONCEPTUAL .................................................................................................................... 3

1.1 Introducción a la norma PCI DSS ............................................................................................. 3

1.2 Aplicabilidad de la norma PCI DSS ........................................................................................... 5

1.2.1 Datos del titular de la tarjeta ................................................................................................... 6

1.2.2 Datos confidenciales de autenticación .................................................................................... 7

1.3 Redes y subredes ..................................................................................................................... 8

1.3.1 Direccionamiento IPv4 ............................................................................................................. 8

1.3.2 Subredes ................................................................................................................................. 10

1.3.3 VLAN ....................................................................................................................................... 11

1.4 Defensa en profundidad ........................................................................................................ 12

1.4.1 Defensa de datos .................................................................................................................... 13

1.4.2 Defensa de aplicaciones ......................................................................................................... 13

1.4.3 Defensa de hosts .................................................................................................................... 14

1.4.4 Defensa de redes .................................................................................................................... 14

1.4.5 Defensa de perímetros ........................................................................................................... 14

1.4.6 Defensa física ......................................................................................................................... 15

1.4.7 Políticas y procedimientos ...................................................................................................... 16

1.5 Firewall .................................................................................................................................. 17

1.5.1 Tecnologías de los firewalls .................................................................................................... 17

1.5.2 Arquitecturas de firewalls ...................................................................................................... 22

1.6 Sistema de detección y protección de intrusos del tipo red .................................................. 27

1.6.1 Metodologías que emplean los IDPS ...................................................................................... 28

1.6.2 Componentes de un sistema IDPS .......................................................................................... 28

1.7 Modelo jerárquico en el diseño de redes LAN ....................................................................... 31

1.7.1 Capa de acceso ....................................................................................................................... 32

1.7.2 Capa de distribución ............................................................................................................... 32

1.7.3 Capa de núcleo ....................................................................................................................... 33

VII

1.8 Arquitectura de red orientada a servicios ............................................................................. 33

1.8.1 Capas del modelo de arquitectura SONA ............................................................................... 34

CAPÍTULO 11

PLANTEAMIENTO DE INGENIERÍA DEL PROBLEMA ..................................................................................... 35

2.1 Descripción del problema ...................................................................................................... 35

2.2 Objetivos del informe ............................................................................................................ 35

2.3 Evaluación del problema ....................................................................................................... 35

2.4 Limitaciones del informe ....................................................................................................... 37

2.4.1 Limitaciones en el diseño de red ........................................................................................... 37

2.4.2 Limitaciones en la gestión de seguridad de la información ................................................... 37

2.5 Síntesis del informe ............................................................................................................... 37

CAPÍTULO 111

METODOLOGÍA PARA LA SOLUCIÓN DEL PROBLEMA ................................................................................. 39

3.1 Introducción .......................................................................................................................... 39

3.2 Identificación del alcance ...................................................................................................... 40

3.2.1 Capacitación .......................................................................................................................... 40

3.2.2 Identificación del CDE ............................................................................................................ 40

3.2.3 Análisis de la red actual ......................................................................................................... 43

3.3 GAP análisis ........................................................................................................................... 43

3.4 Plan de acción ....................................................................................................................... 43

3.4.1 Consideraciones generales de diseño ................................................................................... 43

3.4.2 Segmentación de la red interna ............................................................................................ 45

3.4.3 Aseguramiento de las redes perimetrales ............................................................................ .46

CAPÍTULO IV

ANÁLISIS Y PRESENTACIÓN DE RESULTADOS .............................................................................................. 48

4.1 Introducción .......................................................................................................................... 48

4.2 Solución de la arquitectura de red ........................................................................................ 48

4.2.1 Sub red de almacenamiento de datos PCI ............................................................................. .48

4.2.2 Red de gestión y administración ........................................................................................... 50

4.2.3 Red DMZ de negocios ........................................... : ................................................................ 50

4.2.4 Red de navegación por lnternet ............................................................................................ 52

4.3 Recursos humanos y equipamiento ...................................................................................... 53

4.4 Costos y tiempos de ejecución .............................................................................................. 54

CONCLUSIONES Y RECOMENDACIONES ...................................................................................................... 55

ANEXO A ..................................................................................................................................................... 56

ANEXO B ..................................................................... � ................................................................................ 58

VIII

ANEXO C ...................................................................................................................................................... 60

ANEXO D ..................................................................................................................................................... 62

ANEXO E ...................................................................................................................................................... 64

ANEXO F ...................................................................................................................................................... 66

ANEXO G ..................................................................................................................................................... 70

ANEXO H ..................................................................................................................................................... 72

BIBLIOGRAFÍA ............................................................................................................................................. 77

INTRODUCCIÓN

En los 5 últimos años el crecimiento del uso de tarjetas de crédito y débito como

uno de los más importantes medios de pago por parte de las personas ha provocado el

incremento de fraudes y robo de información sensible de los clientes a través del robo de

cajeros electrónicos, la clonación de tarjetas, el robo de la información contenida en las

bases de datos de las empresas por parte de sus trabajadores o proveedores de

servicios, los ataques por Internet, entre otros. Por ejemplo en el año 2007 la empresa

americana T JX Companies lnc. reportó que en un periodo de 18 meses entre los años

2005 y 2007 sufrió el robo de aproximadamente 45 millones de datos de tarjetas de

crédito y débito por parte de atacantes cibernéticos, este incidente es considerado como

uno de las más grandes de los últimos años y nos permite apreciar la debilidad en la

implementación de medidas y estándares de seguridad relacionados con el manejo de los

datos de titulares de tarjetas. Por este motivo, el año 2006 se fundó el grupo PCI SSC

conformado por las principales compañías de la industria de tarjetas de pago, VISA,

MasterCard, American Express, JCB y DISCOVER con la finalidad de elaborar normas

que permitan salvaguardar la seguridad los datos de los titulares de tarjetas. Entre las

normas creadas se encuentra la norma PCI DSS que busca fomentar y mejorar la

seguridad de los datos del titular de la tarjeta con el fin de prevenir los fraudes que

involucran tarjetas de pago débito.

Por este motivo, la entidad bancaria sobre la cual se realiza el presente informe

consideró dentro de su plan estratégico cumplir con los requisitos expuestos en la norma

PCI DSS para garantizar el manejo seguro de la información de sus clientes que emplean

tarjetas de crédito o débito como medio de pago y además obtener resultados

satisfactorios en las evaluaciones de auditoría que realizan las compañías de tarjetas de

pago.

El presente informe muestra la aplicación de la metodología empleada para la

implementación de medidas correctivas en su diseño y arquitectura de red con la finalidad

de reducir el entorno sobre el que las auditorías de las compañías de tarjetas de pago

evalúan el cumplimiento de la norma. La implementación de las medidas correctivas

aplicadas son la creación de dos nuevos segmentos de red, uno para los sistemas que

procesan o transmiten datos de tarjetas y otro para las bases de datos que almacenan

datos de tarjetas, además, se diseñó una red perimetral segura empleando los firewalls

de la red actual, la implementación de un sistema de detección y prevención de intrusos y

la evaluación de un firewall de aplicaciones.

Cabe recalcar que no es parte del alcance de este estudio las conexiones con

oficinas remotas, la red que aloja el servicio de cajeros automáticos, la elaboración de

procedimientos, políticas y evaluaciones de seguridad.

Finalmente, se detalla el plan de trabajo para la implementación de los requisitos

que exige la norma en la configuración de los componentes de seguridad que forman

parte del diseño.

CAPÍTULO 1

MARCO TEÓRICO CONCEPTUAL

1.1 Introducción a la norma PCI DSS

PCI DSS significa "Seguridad de Datos de la Industria de Tarjetas de Pago" y tiene

por objetivo prevenir los fraudes que involucran tarjetas de pago asegurando la

información que se procesa, transmite ó almacena de los titulares de tarjeta.

La norma ha sido desarrollada por el "Comité de Estándares de Seguridad de la

Industria de Tarjetas de Pago - PCI SSC", el cual está conformado por las compañías

más importantes de tarjetas de pago y tiene como referencia los programas de seguridad

de cada una ellas, tal como se muestra en la TABLA Nº 1.1.

Las compañías que procesan, almacenan o transmiten datos de tarjetas deben de

cumplir con el estándar o arriesgan la pérdida de sus permisos y enfrentar auditorías

rigurosas o pago de multas.

TABLANº 1.1: Programas de seguridad

(Fuente: Elaboración Propia)

Visa lnternational

MasterCard WorldWide

American Express

Discover Financia! Services

JCB

Visa lnternational Account lnformation Security (AIS)

Visa Cardholder lnformation Security Program (CISP)

Site Data Protection (SDP)

Data Security Operating Policy (DSOP)

Discover lnformation Security and Compliance (DISC)

JCB Data Security Program

La norma está conformada por 6 secciones relacionadas lógicamente, que son

conocidas como "objetivos de control" y 12 requisitos, que son los siguientes:

• Desarrollar y Mantener una red segura

Requisito 1: Instale y mantenga una configuración de firewalls para proteger los

datos de los titulares de las tarjetas.

Requisito 2: No use contraseñas de sistemas y otros parámetros de seguridad

provistos por los proveedores.

• Proteger los datos del titular de tarjeta

Requisito 3: Proteja los datos del titular de la tarjeta que fueron almacenados.

Requisito 4: Cifrar la transmisión de los datos del titular de la tarjeta en las redes

públicas abiertas.

• Mantener un programa de administración de vulnerabilidad

Requisito 5: Utilice y actualice regularmente el software o los programas antivirus.

Requisito 6: Desarrolle y mantenga sistemas y aplicaciones seguras.

• Implementar medidas sólidas de control de acceso

4

Requisito 7: Restringir el acceso a los datos del titular de la tarjeta según la

necesidad de saber del negocio.

Requisito 8: Asignar una ID exclusiva a cada persona que tenga acceso por

computadora.

Requisito 9: Restringir el acceso físico a los datos del titular de la tarjeta.

• Supervisar y evaluar las redes con seguridad

Requisito 1 O: Rastree y supervise todos los accesos a los recursos de red y a los


Requisito 11: Pruebe con regularidad los sistemas y procesos de seguridad.

• Mantener una política de seguridad de información

Requisito 12: Mantenga una política que aborde la seguridad de la información para

todo el personal.

Los requerimientos principales están conformados por 220 a 240 sub

requerimientos, el número de ellos depende de la manera en cómo se cuenten las

sentencias, cláusulas y frases parciales. En la TABLA Nº

1.2 se muestra un extracto de

la norma.

TABLANº

1.2: Ejemplo de sub requisitos de la norma PCI DSS

(Fuente: PCI Security Standards Council LLC)

1.1 Establezca normas de

configuración para firewall y

router que incluyan lo siguiente:

1.1.1 Un proceso formal para

aprobar y probar todos los

cambios y las conexiones de

red en la configuración de

los firewalls y los routers

1.1.2 Un diagrama

actualizado de la red con

todas las conexiones que

acceden a los datos de los

titulares de tarjetas, incluida

toda red inalámbrica.

1.1 Obtenga e inspeccione las normas de configuración

del firewall y del router y otros documentos especializados

más abajo para verificar que las normas se completaron.

Com lete lo si uiente:

1.1.1 Verificar la existencia de un proceso formal para

probar y aprobar todos los cambios y las conexiones de

red en la configuración de los firewalls y de los routers.

1.1.2.a Verifique que exista un diagrama actualizado de

la red (por ejemplo, uno que muestre que los flujos de

los datos de los titulares de tarjeta en la red) y que

documenta todas las conexiones a los datos de los

titulares de tarjeta, incluida toda red inalámbrica.

1.1.2.b Verifique que el diagrama se mantenga al día.

1.2 Aplicabilidad de la norma PCI DSS

5

La norma PCI DSS se aplica donde sea que se almacenen, procesen o transmitan

información de los titulares de tarjetas de pago. La TABLA Nº 1.3 muestra los datos que

forman parte del alcance de la norma y su ubicación de cada una de ellas en las tarjetas

de pago se aprecia en la Fig. 1.1.

TABLANº 1.3: Información de los titulares de tarjetas de pago


¡�·::_D_at�,� ... ��t�1t1:1_·l�-r,��;1,:,!ff:1�tf:cde,1p_agQ};·jrr¡lJ;>a{9\·:99,:t!ft�,eoc1iJ��:;�:�f��g;tEJn,!J�ác;,!9' �

t

�. 1.'1 -� \_� ,_ '�; ·� r,,J� -✓� _1_ '�' , ' ,, l:\�r. ��'-,e�,:';�;_,' �.��1.:"' .::�'�i,J\i,::/'; �',i�;��,¡;· .. _t��í�i�·t}:�� t!1�t��ll��:i�r��!:l1i��r�r�t�?�

Número de cuenta principal (PAN) Banda magnética

Nombre del titular de tarjeta Chip (No implementado en Perú)

Fecha de vencimiento CW/ CW2/CAV2/CVC2/CID

Código de servicio PIN/PIN Block

El número de cuenta principal (PAN) es el factor que define la aplicabilidad de los

requisitos de la norma PCI DSS. Los requisitos se aplican si se almacena, procesa o

transmite el PAN, caso contrario no se aplican los requisitos de la norma.

Circuito integrado /Chip--

PAN

CID (American Express)

:··: ,·,: .. �• r�1'".,�r.,,.dl • · -U -- _.._,,_. ,,-1 �rr�

• 1"'3<1 1·: 0000 ººº* 2345 6769

02101 021 rn 1________ _ !MY CAEOIT CARO liiilílit

Fecha de vencimiento

CAV2/CID/CVC2/CW2 (todas las demás marcas de pago)

Banda magnética (datos en pistas 1 y 2)

Fig. 1.1: Ubicación de los datos en una tarjeta


Si el nombre del titular de la tarjeta, el ·código de servicio y/o la fecha de

vencimiento no se almacenan ni procesan ni transmiten con el PAN, ni están presentes

de alguna otra manera en el entorno de datos de titulares de tarjeta, se deben proteger

de acuerdo con todos los requisitos de la norma, a excepción del requisito 3.3 que se

refiere a ocultar el PAN cuando este sea mostrado en pantalla o impreso, teniendo en

consideración que sólo es permitido mostrar los primeros seis y los últimos cuatro dígitos,

y el requisito 3.4 que se refiere a mantener ilegible el PAN en cualquier lugar que se

6

almacene, mediante técnicas de cifrado ó enmascaramiento.

La norma representa un conjunto mínimo de objetivos de control que puede ser

reforzado con leyes y regulaciones locales, regionales y sectoriales. Además, la

legislación o las regulaciones pueden requerir protección específica de la información de

identificación personal u otros elementos de datos (por ejemplo, el nombre del titular de la

tarjeta), o definir las prácticas de divulgación de una entidad en lo que respecta a la

información de los consumidores. Un ejemplo claro es la legislación relacionada con la

protección de los datos de los consumidores, la privacidad, el robo de identidad o la

seguridad de los datos.

Es importante tener en cuenta que la norma no sustituye las leyes locales ni

regionales, las regulaciones del gobierno ni otros requisitos legales.

En la TABLA Nº1.4 muestra los elementos que forman parte de los datos de

titulares de tarjetas y los datos confidenciales de autenticación que habitualmente se

utilizan; independientemente de que esté permitido o prohibido el almacenamiento de

dichos datos y de que esos datos deban estar protegidos.

TABLA Nº1.4: Datos que protegen la norma PCI DSS


Nombre del titular de la tarjeta

Código de servicio

Fecha de vencimiento

Datos completos de la banda Magnética

CAV2/CVC2/CW2/CID

PIN/Bloqueo de PIN

1.2.1 Datos del titular de la tarjeta

Si

Si

Si

No

No

No

No

No

No

No se pueden almacenar según el requisito 3.2

No se pueden almacenar según el requisito 3.2

No se pueden almacenar según el Requisito 3.2

a. Número de cuenta principal (PAN): Es el código numérico de 14 o 16 dígitos que se

encuentra impreso sobre la parte frontal de una tarjeta bancaria que contiene: el

identificador de las principales industrias del emisor de la tarjeta para identificar la cuenta

individual y un dígito ó código verificador de la autenticidad del número de cuenta.

b. Nombre del titular de tarjeta: Son los datos personales completos del titular impresos

en la parte frontal de una tarjeta bancaria.

c. Fecha de vencimiento: Es la fecha de expiración de la tarjeta, este valor se

7

encuentra impreso en la parte frontal de una tarjeta bancaria.

d. Código de servicio: Es un número de 3 dígitos basados en el estándar internacional

IS07813 que indica a un terminal de pagos la aceptación de los parámetros empleados

durante la transacción.

1.2.2 Datos confidenciales de autenticación

a. Banda magnética: Son los datos. codificados utilizados para la autorización de una

transacción con tarjeta presente.

La información contenida en la banda magnética de las tarjetas las companias que

forman parte del grupo PCI SSC se encuentra almacenada en dos pistas denominadas

pista 1 y pista 2 que tienen formato y estructura de datos regulados por el estándar

internacional IS07813, como se muestra en la Fig. 1.2.

PNI Sepolalor _____ ___,

Apellide -------s� �e� ________ ..........,

Svlljo----------'

Separado( dHfJIJl/xJó . . " . . ..

NomlXBdeJ]IIll -------------<

lnicí4r _____________ __,

C.-go _______________ _____,

� ----------------�

FtichadB

wnchniaflto ·-·--· -QldigO dB MHVido __________________ __,

Fig. 1.2: Datos de la banda magnética

�--CVVICVC

�--- Resf!IVl!dopSfH WlO conlidendal doJ srri:Mr do la t91j8Ut


b. Chip: Contiene datos equivalentes a los de la banda magnética, así como también

otros datos confidenciales, incluido el valor de verificación de la tarjeta en el chip de

circuitos integrados (IC), que también se conoce como Chip CVC, iCW, CAV3 o iCSC.

c. CW/ CW2/CAV2/CVC2/CID: Es un código de tres o cuatro dígitos que proporciona

una comprobación criptográfica de la información grabada en la tarjeta y no es parte del

número de la tarjeta en sí. Este código, permite asegurarse que durante la transacción

por Internet el cliente posee la tarjeta de crédito/débito, y que la cuenta de la tarjeta es

legítima. En la TABLANº 1.5 se muestra el nombre propio que emplea cada compañía

miembro del PCI SSC para el código CW.

TABLA Nº 1.5: CW por compañía de pago

(Fuente: Elaboración propia)

Visa lnternational CW2

MasterCard WorldWide CVC2

American Express CID

Discover Financia! Services CID

JCB CAV2

8

d. PIN: Es el número de identificación personal ó contraseña ingresado por el titular de la

tarjeta durante una transacción con tarjeta presente.

e. PIN Block: Es una cadena de 64 bits que cifra el PIN para asegurar su transmisión a

lo largo de toda la red hasta finalizar la transacción.

1.3 Redes y subredes

1.3.1 Direccionamiento 1Pv4

El protocolo IP identifica a cada ordenador que se encuentre conectado a la red

mediante su correspondiente dirección. Esta dirección es un número de 32 bits en IPv4 ,

que debe ser único para cada servidor o computador, al que llamaremos "host". Las

direcciones IP suelen representarse como cuatro cifras decimales, de de 8 bit cada una,

separadas por puntos.

La dirección IP se utiliza para identificar tanto al host en concreto como la red a la

que pertenece, de manera que sea posible distinguir a los host que se encuentran

conectados a una misma red. Con este propósito, y teniendo en cuenta que en Internet

se encuentran conectadas redes de tamaños muy diversos, se establecieron cinco clases

diferentes de direcciones.

La Fig. 1.3 muestra las tres clases de direcciones propiamente dichas, A, By C, a

las cuales se le agregan las clases D y E para representar a todos los receptores

("multicast") y para uso futuro.

Los primeros bits (sombreados) definen la clase de dirección que llevan los bits

siguientes. A modo de referencia, con 8 bits se pueden tener 256 valores diferentes. Por

ejemplo una dirección de IP sería 192.228.17.57 (en bits 11000000 11100100 00010001

00111001 ), que representa una dirección clase C.

Veamos las principales características de cada clase:

a. Clase A: Son las que en sus primeros 8 bits contienen un bit O fijo (indicando clase A)

y 7 bits variables. Es decir que se pueden diferenciar de 00000000=0 a 0111111=127.

9

Sin embargo, el O y el 127 están reservados, por lo que sólo puede haber 126 direcciones de red clase A potenciales, las que corresponden al primer byte de la dirección. Los otros tres bytes (24 bits) están disponibles para cada uno de los hosts que pertenezcan a esta misma red. Esto significa que podrán existir 224 = 16387064 computadores o servidores en cada una de las redes de esta clase. Este tipo de direcciones es usado por redes muy extensas, pero hay que tener en cuenta que sólo puede haber 126 redes de este tamaño. Por esto, son utilizadas por grandes redes comerciales, aunque son pocas las organizaciones que obtienen una dirección de "clase A". Lo normal para las grandes organizaciones es que utilicen una o varias redes de "clase 8".

H> 1 Dirección de la red (7 bits) 1 Dirección del Host (24 bits)

j 1 ! O I Direcciónde lared(14bits) Dirección del Host(16bits)

11 l 1 I ®· 1 Direcc ión de la red (21 bits) Dirección del Host ( 8 bits)

Dirección multicast (28 bits)

,, ·1 1 1 1 1 11 1 o 1 Uso futuro (28 bits)

Fig. 1.3: Esquema de clases de direcciones IP (Fuente: www.oas.org)

CLASE A

CLASE B

CLASE C

CLASE D

CLASE E

b. Clase B: Estas direcciones utilizan en su primer byte los bits 1 O fijos (indicando clase8) y junto con el resto de los bits del primer byte admiten direcciones desde128=10000000 y 191=1011111, incluyendo ambos. En este caso el identificador de la redse obtiene de los dos primeros bytes de la dirección, teniendo que ser un valor entre128.1 y 191.254 (no es posible utilizar los valores O y 255 por tener ser las direcciones dered y la dirección de broadcast). Por lo tanto existirán 214 = 16384 redes clase Bdiferentes. Los dos últimos bytes de la dirección constituyen el identificador del hostpermitiendo, por consiguiente, un número máximo de 216 = 64516 computadoras en lamisma red. Este tipo de direcciones tendría que ser suficiente para la gran mayoría de lasorganizaciones grandes. En caso de que el número de ordenadores que se necesitaconectar fuese mayor, sería posible obtener más de una dirección de "clase B", evitandode esta forma el uso de una de "clase A".c. Clase C: En este caso el valor del primer byte incluirá los bits 11 O fijos (indicando claseC) y entonces el primer byte tendrá que estar comprendido entre 192=11000000 y223=11011111, incluyendo ambos valores. Este tercer tipo de direcciones utiliza los tresprimeros bytes para el número de la red, con un rango desde 192.1.1 hasta 223.254.254.Por lo tanto existirán 221 = 2097152 redes clase C diferentes. Entonces, queda libre unbyte (8 bits) para el host, lo que permite que se conecten un máximo de 254

10

computadoras a cada red, ya que 28 =256 pero no se usan el O y el 255.

d. Clase D: Se suele llamar clase D a las direcciones comenzadas por los bits 111 O fijos

seguidos por la dirección "multicast" es decir para todos los destinos.

e. Clase E: Se suele llamar clase E a la direcciones reservadas para uso futuro.

La TABLA Nº 1.6 resume las principales características de las direcciones de red

de clase A, B y C.

A 1 .. 26

TABLANº 1.6: Clases de direcciones IP

(Fuente: www.oas.org)

1 byte 3 bytes 126 16387064

B 128 .. 191 2 bytes 2 bytes 16256 64516

e 192 .. 223

1.3.2 Subredes

3 bytes 1 byte 2064512 254

En el caso de algunas organizaciones extensas puede surgir la necesidad de dividir

la red en otras redes más pequeñas (subredes). Entonces, los bits designados en cada

clase para la dirección de hosts, se dividen en dos grupos. Parte de ellos define la

subred, y el resto el computador dentro de la subred. Es necesario notar que para el

mundo externo (que maneja las direcciones de red solamente), esta decisión de la red

local, o grupo de computadores, pasa inadvertida. Entonces, cada subred puede

administrar sus bits de dirección de host como desee.

La división de los bits de dirección de host en subredes se realiza a través de una

"máscara" que es un patrón de bits definidos, que determina que bits son usados para

identificar la subred, y qué bits identifican al computador dentro de la subred.

Por ejemplo, consideremos los siguientes valores, para una dirección clase C:

Dirección IP: 192.228.15.57 en bits: 100000.11100100.00010001.00111001

Mascara: 255.255.255.224 en bits: 1111111.11111111.11111111.11100000

Sub red: 192.228.17.32 en bits: 1100000.11100100.00010001.00100000

Es decir, que de los últimos 8 bits, dedicados a la dirección de host en clase C, los

primeros 3 bits (en azul) determinan la subred, y los últimos 5 (en rojo) enmascaran la

dirección del computador dentro de la subred. El valor binario de los últimos 5 bits

originales determinará la dirección del computador dentro de la subred. · En este ejemplo,

la dirección 192.228.15.57 determina la red clase C 192.228.15, y dentro de ésta la

subred número 1 = 001 y dentro de la subred 1, el computador 25=11001.

La Fig. 1.4 muestra un ejemplo con 3 subredes, LAN X, LAN Y y LAN Z, siguiendo

el caso de las direcciones clase C vistas arriba.

11

El conjunto está visto para el resto de Internet como la dirección 192.228.17.x,

donde x representa la dirección de host clase C.

Dirección IP: 192.228.17.33 Host en subred: 1

�

Dirección IP: 192.228.17.57 Hosl en subred: 25

Dirección IP: 192.228.17.32----�------'!!!'!!.-,,,---�-Subred 1 - LAN X

Dirección IP: 192.228. 17.8

Dirección IP: 192.228.17.64 -�=""=�-=�-��!'!!!"""!!"""""'�...-��-�

Subred 2 - LAN Y

Dirección IP: 192.228.17.65 Host en subred: 1

Dirección IP: 192.228.17.96-------!"'!.�LA--

N!"'!,""!

z-----"'""'-"!!-.,-

(:

Subred 3 - LAN Z

Dirección IP: 192.228.17.98 Hosl en subred: 2

Fig. 1.4: Ejemplo de subredes

(Fuente: www.oas.org)

1.3.3 VLAN

Una red de área local (LAN) está definida como una red de computadoras dentro de

un área geográficamente acotada como puede ser una empresa o una corporación. Uno

de los problemas que nos encontramos es el de no poder tener una confidencialidad

entre usuarios de la LAN como pueden ser los directivos de la misma, también estando

todas las estaciones de trabajo en un mismo dominio de colisión el ancho de banda de la

misma no era aprovechado correctamente. La solución a este problema era la división de

la LAN en segmentos físicos los cuales fueran independientes entre sí, dando como

desventaja la imposibilidad de comunicación entre las LAN para algunos de los usuarios

de la misma.

La necesidad de confidencialidad como así el mejor aprovechamiento del ancho de

banda disponible dentro de la corporación ha llevado a la creación y crecimiento de las

VLANs.

Una VLAN se encuentra conformada por un conjunto de dispositivos de red

interconectados (hubs, bridges, switches o estaciones de trabajo) la definimos como una

subred definida por software y es considerada como un dominio de broadcast que

12

pueden estar en el mismo medio físico o bien puede estar sus integrantes ubicados en

distintos sectores de la corporación.

La tecnología de las VLANs se basa en el empleo de switches, en lugar de hubs, de

tal manera que esto permite un control más inteligente del tráfico de la red, ya que este

dispositivo trabaja a nivel de la capa 2 del modelo OSI y es capaz de aislar el tráfico, para

que de esta manera la eficiencia de la red entera se incremente. Por otro lado, al distribuir

a los usuarios de un mismo grupo lógico a través de diferentes segmentos, se logra el

incremento del ancho de banda en dicho grupo de usuarios. En la Fig. 1.5 se muestra un

diagrama de una red segmentada por VLANs.

■vLAN 1

11 VLAN 2

■ VLAN3

Fig. 1.5: Segmentación por VLANs


1.4 Defensa en profundidad

Para reducir el riesgo en el entorno de la red, debe usar una estrategia de defensa

en profundidad para proteger los recursos de amenazas externas e internas. El término

defensa en profundidad procede de un término militar utilizado para describir la aplicación

de contramedidas de seguridad con el fin de formar un entorno de seguridad cohesivo sin

un solo punto de error. Las capas de seguridad que forman la estrategia de defensa en

profundidad incluyen el despliegue de medidas de protección desde los enrutadores

externos hasta la ubicación de los recursos, pasando por todos los puntos intermedios.

Con el despliegue de varias capas de seguridad, ayuda a garantizar que, si se pone

en peligro una capa, las otras ofrecerán la seguridad necesaria para proteger sus

recursos. Por ejemplo, que el servidor de seguridad de una organización esté en peligro,

no debe significar que un atacante pueda tener acceso sin trabas a los datos más

13

confidenciales de la organización. En el caso ideal, cada capa debe proporcionar

diferentes formas de contramedidas para evitar que se utilice el mismo método de

explotación en varias capas.

En la Fig. 1.6 se muestra una estrategia de defensa en profundidad eficaz:

Seguridad fisica

Directivas y procedimientos - - - - -

Fig. 1.6: Estrategia de defensa en profundidad

(Fuente: www.microsoft.com)

Es importante recordar que sus recursos no son sólo datos, sino que cualquier

elemento de su entorno es susceptible de ser atacado. Como parte de su estrategia de

administración de riesgos, debe examinar los recursos que protege y determinar si

dispone de protección suficiente para todos. Por supuesto, la cantidad de medidas de

seguridad que pueda aplicar dependerá de la evaluación de riesgos y el análisis de

costos y beneficios de la aplicación de contramedidas. Sin embargo, el objetivo consiste

en garantizar que un atacante necesitará unos conocimientos, tiempo y recursos

significativos para superar todas las contramedidas y tener acceso a sus recursos.

1.4.1 Defensa de datos

Para muchas empresas, uno de los recursos más valiosos son los datos. Si estos

datos cayeran en manos de la competencia o sufrieran daños, tendrían problemas

importantes.

A nivel de cliente, los datos almacenados localmente son especialmente

vulnerables. Si se roba un equipo portátil, es posible realizar copias de seguridad,

restaurar y leer los datos en otro equipo, aunque el delincuente no pueda conectarse al

sistema.

1.4.2 Defensa de aplicaciones

Como una capa de defensa más, el refuerzo de las aplicaciones es una parte

esencial de cualquier modelo de seguridad. Muchas aplicaciones utilizan el subsistema

14

de seguridad del sistema operativo para proporcionar seguridad. No obstante, es

responsabilidad del programador incorporar la seguridad en la aplicación para

proporcionar una protección adicional a las áreas de la arquitectura a las que la

aplicación puede tener acceso. Una aplicación existe en el contexto del sistema, de modo

que siempre se debe tener en cuenta la seguridad de todo el entorno al considerar la

seguridad de una aplicación.

Se debe probar en profundidad el cumplimiento de la seguridad de cada aplicación

de la organización en un entorno de prueba antes de permitir que se ejecute en una

configuración de producción.

1.4.3 Defensa de hosts

Debe evaluar cada host del entorno y crear directivas que limiten cada servidor sólo

a las tareas que tenga que realizar. De este modo, se crea otra barrera de seguridad que

un atacante deberá superar antes de poder provocar algún daño. Adicionalmente,

"Asegurar servidores basándose en su función", a través de directivas y buenas prácticas

de seguridad.

Un modo de hacerlo consiste en crear directivas individuales en función de la

clasificación y el tipo de datos que contiene cada servidor. Por ejemplo, las directivas de

una organización pueden estipular que todos los servidores Web son de uso público sólo

pueden contener información pública. Sus servidores de bases de datos están

designados como confidenciales de la empresa, lo que significa que la información debe

protegerse a cualquier precio.

1.4.4 Defensa de redes

Si dispone de una serie de redes en la organización, debe evaluarlas

individualmente para asegurarse de que se ha establecido una seguridad apropiada. Si

un enrutador sufre un ataque eficaz, puede denegar el servicio a partes enteras de la red.

Debe examinar el tráfico admisible en sus redes y bloquear el que no sea

necesario. También puede considerar el uso de IPSec para cifrar los paquetes en sus

redes internas y SSL para las comunicaciones externas. Asimismo, debe supervisar la

existencia de detectores de paquetes en la red, que sólo deben usarse bajo controles

estrictos.

1.4.5 Defensa de perímetros

La protección del perímetro de su red es el aspecto más importante para detener

los ataques externos. Si su perímetro permanece seguro, la red interna estará protegida

de ataques externos. La organización debe disponer de algún tipo de dispositivo de

seguridad para proteger cada punto de acceso a la red. Es necesario evaluar cada

dispositivo, decidir qué tipos de tráfico se permiten y desarrollar un modelo de seguridad

para bloquear el resto del tráfico.

15

Los firewalls son una parte importante de la defensa del perímetro. Necesitará uno

o más firewalls para asegurarse de minimizar los ataques externos, junto los sistemas de

detección y prevención de intrusos para estar seguro de detectar los ataques en caso de

que se produzcan.

También debe recordar que, para las redes que permiten el acceso remoto, el

perímetro puede incluir los equipos portátiles del personal e incluso los equipos

domésticos. Deberá asegurarse de que estos equipos cumplen con los requisitos de

seguridad antes de que se conecten a la red y que emplean un canal seguro tipo VPN.

1.4.6 Defensa física

Todo entorno en el que usuarios no autorizados puedan obtener acceso físico a

equipos es inherentemente inseguro. Un ataque de denegación de servicio muy eficaz

puede ser simplemente quitar el sistema de alimentación de un servidor o las unidades

de disco. El robo de datos (y la denegación de servicio) puede producirse si alguien roba

un servidor o incluso un equipo portátil.

Debe considerar la seguridad física como un elemento fundamental para su

estrategia de seguridad global. Una prioridad principal será la de establecer una

seguridad física para las ubicaciones de los servidores. Puede tratarse de salas de

servidores del edificio o de centros de datos enteros.

También debe tener en cuenta los accesos a los edificios de la organización. Si

alguien puede tener acceso a un edificio, puede tener oportunidades para llevar a cabo

un ataque aunque ni siquiera pueda conectarse a la red. Estos ataques pueden incluir:

• La denegación de servicio (por ejemplo, conectar un equipo portátil a la red como

servidor DHCP o desconectar la alimentación de un servidor)

• El robo de datos (por ejemplo, robar un equipo portátil o detectar paquetes en la red

interna).

• La ejecución de código malicioso (por ejemplo, activar un gusano desde el interior

de la organización).

• El robo de información de seguridad crítica (por ejemplo, cintas de copia de

seguridad, manuales de funcionamiento y diagramas de red).

• Como parte de la estrategia de administración de riesgos, debe determinar el nivel

de seguridad física apropiado para su entorno. A continuación se enumeran algunas de

las posibles medidas de seguridad física.

• Establecer seguridad física para todas las áreas del edificio (esto puede incluir

tarjetas de acceso, dispositivos biométricos y guardias de seguridad).

• Requerir a los visitantes que vayan acompañados en todo momento.

• Requerir a los visitantes que firmen un registro de entrada de todos los dispositivos

16

informáticos.

• Requerir a todos los empleados que registren cualquier dispositivo portátil de su

propiedad.

• Fijar físicamente todos los equipos de sobremesa y portátiles a las mesas.

• Requerir que se registren todos los dispositivos de almacenamiento de datos antes

de sacarlos del edificio.

• Ubicar los servidores en salas separadas a las que sólo tengan acceso los

administradores.

• Conexiones a Internet, alimentación, sistemas antiincendios, etc. Redundantes.

• Protección contra desastres naturales y ataques terroristas.

• Establecer seguridad para las áreas en las que se puede dar un ataque por

denegación de servicio (por ejemplo, las áreas en las que el cableado sale del edificio

principal).

1.4.7 Políticas y procedimientos

Casi todas las medidas descritas hasta ahora están destinadas a evitar el acceso

no autorizado a los sistemas. No obstante, está claro que habrá personas de su entorno

que necesiten acceso de alto nivel a los sistemas. Toda estrategia de seguridad será

imperfecta a menos que pueda garantizar que estas personas no van a hacer un uso

indebido de los derechos que se les han concedido.

Antes de contratar a nuevos empleados para la organización, debe asegurarse de

que se someten a un proceso de investigación de seguridad, con una investigación más

rigurosa para aquellos que vayan a tener un mayor acceso a los sistemas.

Respecto a los empleados existentes, resulta esencial que sean conscientes de las

directivas de seguridad y de lo que está permitido y prohibido (y, preferiblemente, también

por qué). Esto es importante por dos razones. En primer lugar, si los empleados no son

conscientes de lo que está prohibido, pueden llevar a cabo acciones que

inconscientemente pongan en peligro la seguridad del entorno. En segundo lugar, si un

empleado ataca adrede su entorno de TI y no se ha prohibido explícitamente en las

directivas de la empresa, puede resultar muy difícil entablar demanda contra esta

persona.

Puede notificar a sus usuarios acerca de la seguridad mediante un programa de

orientación seguido de recordatorios a intervalos regulares y actualizaciones visiblemente

expuestas de los procedimientos de seguridad. Resulta esencial que los empleados se

den cuenta de que cada uno de ellos desempeña un papel en el mantenimiento de la

seguridad.

17

1.5 Firewall

Los firewalls son dispositivos de red que restringen el acceso entre redes. En la

actualidad, muchas compañías emplean el firewall para restringir el acceso desde

Internet a sus redes privadas, como se puede apreciar en la Fig. 1.7.

Sin embargo, los firewalls se pueden usar para restringir el tráfico de rede entre dos

segmentos internos, por ejemplo, un administrador de red puede restringir el acceso

entre las redes de desarrollo e investigación configurando un firewall en la frontera de

ambas redes.

Fig. 1.7: Firewall como protección a Internet

(Fuente: Elaboración Propia)

Los firewalls monitorean los paquetes que ingresan ó salen de la red que protegen,

filtrando los paquetes que no cumplen con las políticas de seguridad que tienen

configuradas. Los paquetes son filtrados basados en las direcciones origen ó destino,

puertos, tipos de paquetes, tipo de protocolo, etc.

1.5.1 Tecnologías de los firewalls

A continuación se procede a describir cada una de las diversas tecnologías que se

pueden emplear al momento de implementar un firewall.

a. Filtrado de paquetes: Es la característica básica de un firewall y basa sus decisiones

en directivas o políticas denominadas "reglas".

Bajo esta modalidad, los firewalls operan en la capa de red y brindan control del acceso

basado en la información contenida en el paquete, como se muestra a continuación:

• Dirección IP origen ó destino del paquete

18

• Protocolo de red o transporte empleado en la comunicación, por ejemplo TCP, UDP

o lCMP.

• Puerto origen ó destino de la sesión, por ejemplo TCP 80 si el destino es un

servidor web o TCP 1320 si el puerto origen pertenece al acceso de una equipo personal

a un servidor.

• La interface por donde pasa el paquete y su dirección (inbound u outbound).

Este tipo de firewall es vulnerable a ataques que toman ventaja de problemas en las

capas TCP/IP. Por ejemplo, el filtrado de paquetes no tiene la capacidad de detectar

cuando la dirección IP de un paquete ha sido alterada con propósitos maliciosos.

b. Inspección de estados: La inspección de estados mejora las funciones del filtrado de

paquetes a través del seguimiento del estado de la conexión y bloqueando paquetes que

provienen de un estado que no ha sido identificado previamente. De la misma manera

que el filtrado de paquetes, la inspección de estados intercepta los paquetes y los

inspecciona para ver si ellos están permitidos por alguna regla existente en el firewall, sin

embargo, mantiene el estado de la conexión en una tabla denominada "Tabla de

estados". Los detalles de la "Tabla de estados" varían según la marca y modelo de los

firewalls, pero típicamente incluyen la dirección IP origen, la dirección IP destino, el

número del puerto, el estado de la conexión.

Para los protocolos del tipo TCP existen tres principales de estados:

• Establecimiento de la conexión - "lnitiated"

• Conexión en uso - "Established"

• Terminación de la conexión - "Closed"

En la TABLANº 1.7 se muestra el ejemplo de una tabla de estados de un firewall al

cual un equipo de la red 192.168.1.100 intenta conectarse al equipo con IP 192.0.2.71,

primero se revisa si existe alguna regla que permita o deniegue el acceso.

TABLANº 1.7: Ejemplo de tabla de estados


192.168.1.100 1030 192.0.1.71

192.168.1.102 1031 10.12.18.74

192.168-1-101 1033 10.66.32.122

192.168.1.106 1035 10.231.32.12

80

80

25

79

lnitiated

Established

Established

Established

19

Para los protocolos UDP, que no tienen un proceso formal para inicializar,

establecer y terminar una conexión, su estado no puede ser establecido en la capa de

transporte como es el caso de TCP. Para estos protocolos, los firewall con inspección de

estados sólo hacen seguimiento a la IP origen, la IP destino y el puerto. Debido a que el

firewall no puede determinar cuando la sesión ha finalizado, la entrada es removida de la

tabla de estados luego de un tiempo de expiración configurado en el equipo.

c. Firewall de aplicaciones: Una tendencia reciente en la inspección de estado es

agregarle la capacidad de análisis del estado del protocolo, denominado por algunos

fabricantes inspección profunda de paquetes ó por su nombre en inglés "Deep Packet

lnspection". Esto permite a un firewall permitir o denegar el acceso basado en el

comportamiento de la aplicación en la red. Por ejemplo, un firewall de aplicaciones puede

determinar si un mensaje de correo electrónico contiene un tipo de archivo adjunto que la

organización no permite. Otra característica de esta tecnología es que puede bloquear

las conexiones sobre las que se realizan acciones específicas, como por ejemplo

prevenir el uso del comando PUT al usar el servicio FTP, el cual permite escribir archivos

en el servidor FTP. Los firewalls de aplicaciones se encuentran disponibles para muchos

protocolos como por ejemplo HTTP, base de datos (SQL), correo electrónico (SMTP,

POP, IMAP) y voz sobre IP (VolP).

Firewalls que tienen la capacidad de inspección de estados e inspección de

protocolos no se deben de considerar como reemplazo de equipos de detección y

prevención de intrusos, conocido por sus siglas IDPS, el cual ofrece un análisis mucho

más extensivo, por ejemplo el uso de análisis basado en firmas ó anomalías en el tráfico

de red.

d. Gateway Proxy de aplicaciones: Un Gateway Proxy de aplicaciones es una

característica de los firewalls avanzados que combinan las funcionalidades de control de

accesos en las capas inferiores con las capas superiores. Estos firewalls contienen un

agente proxy como intermediario entre dos equipos que desean comunicarse el uno con

el otro. Cada conexión establecida es resultado de dos conexiones separadas, una entre

el cliente y el proxy, y otra entre el proxy y el destino.

Además de las reglas configuradas en un firewall, alguno agentes proxy tienen la

capacidad de requerir autenticación a cada usuario de la red. Esta autenticación puede

ser de varias maneras, por ejemplo usuario y contraseña, token tipo hardware o software

y biométrica.

Así como los firewalls de aplicaciones, los gateway proxy operan en la capa de

aplicación y pueden inspeccionar el contenido del tráfico. Por este motivo, pueden tomar

decisiones para permitir o denegar el tráfico basado en la información de la cabecera ó

20

cuerpo del protocolo de aplicación.

La principal ventaja de este tipo de tecnología sobre los firewalls de aplicaciones es

que previene conexiones directas entre dos equipos, inspecciona el contenido del tráfico

para identificar violaciones en las reglas configuradas. Otra potencial ventaja es que

posee la ventaja de descifrar paquetes, examinarlos y volverlos a cifrar antes de ser

enviados a su destino.

Firewalls con gateway proxy de aplicaciones pueden tener muchas desventajas

comparadas con el filtrado de paquetes e inspección de estados. Primero, debido a que

analiza todo el paquete, el firewall toma mucho más tiempo para tomar una decisión. Otra

desventaja es que tiende a ser limitado en términos de soportar nuevas aplicaciones y

protocolos de red, una aplicación específica requiere un agente proxy específico.

e. Proxy dedicado: A diferencia de los gateway proxy de aplicaciones es que posee

capacidades limitadas a nivel de firewall. Debido a que poseen limitadas capacidades de

firewall, como el bloqueo de tráfico basado el origen o destino son típicamente

desarrollados detrás de plataformas tradicionales de firewalls. Un ejemplo es el HTTP

proxy implementado detrás de un firewall, los usuarios necesitarán conectarse al proxy

para luego conectarse con los servidores web.

Los proxy dedicados son generalmente empleados para reducir la carga de

procesamiento en los firewall.

1 Outbound Request l.Afl,1

Firewall ►·

2 Filtered Request

Fig. 1.8: Diagrama de red que emplea un HTTP Proxy

(Fuente: National lnstitute of Standards and Technology)

En la Fig. 1.8 se muestra un diagrama de red a manera de ejemplo que emplea un

HTTP proxy situado detrás de otro firewall. El HTTP proxy conectará las conexiones de

salida a los servidores web externos, permitiendo aplicar filtros. Las solicitudes de los

usuarios irán primero al proxy, el proxy analiza la petición dentro de sus reglas y envía la

solicitud al servidor web. La respuesta del servidor web regresa al proxy, quién lo reenvía

21

a usuario. Muchas organizaciones habilitan la característica de "caché" para que las

solicitudes a páginas web frecuentes sean respondidas por el proxy, reduciendo el tráfico

de red y mejorando los tiempos de respuesta.

f. Redes privadas virtuales (VPN): Los firewalls situados en la frontera de una red son

requeridos muchas veces para hacer más que bloquear el tráfico de red no deseada. Un

requerimiento común para ellos es cifrar y descifrar el tráfico de red para proteger la

información de redes externas. Una red privada virtual, conocida por sus siglas VPN es la

que proporciona una comunicación segura entre redes. Por ejemplo, la tecnología VPN

es ampliamente usada para extender de manera segura las comunicaciones entre sedes

de una misma compañía a través de Internet.

Las dos arquitecturas más comunes para las VPN son "gateway-to-gateway'' y

"host-to-gateway''. Gateway-to-Gateway, conecta múltiples sedes sobre una red pública a

través de "VPN gateways". Un VPN gateway usualmente es un dispositivo de red como

un firewall o enrutador. Cuando la VPN es establecida entre los dos gateways, los

usuarios de las sedes remotas pueden conectarse de manera segura con los equipos de

la sede principal. Host-to-Gateway, provee una conexión segura a la red para equipos de

los usuarios, conocidos como "usuarios remotos".

Para que un firewall tenga la capacidad de VPN requiere recursos adicionales a

nivel de procesamiento y memoria que dependen de la cantidad de tráfico y el tipo de

encriptación empleada.

g. Control de acceso a redes: Es otro requerimiento común para los firewalls que se

encuentran en el perímetro de una red, el cual consiste en revisar las conexiones

entrantes de usuarios remotos y tomar decisiones para permitir o denegar el acceso. La

revisión que se realiza esta basada principalmente en las siguientes políticas:

• Actualizaciones instaladas en los programas como antimalware, antivirus.

• Parámetros de configuración del antivirus, antimalware.

• Nivel de parches de seguridad del sistema operativo y aplicaciones previamente

definidas.

• Parámetros de configuración del sistema operativo y aplicaciones previamente

definidas.

Para la revisión del cumplimiento de las políticas el firewall requiere que los equipos

de los usuarios tengan instalado un agente.

h. Administración de amenazas unificada (UTM): Muchos firewalls combinan múltiples

características en un solo sistema, la idea es facilitar el mantenimiento de las políticas y

reglas a través de un único sistema de administración. Un típico UTM posee un firewall,

detección y eliminación de malware, antispam, entre los principales. Una de las ventajas

22

de implementar un UTM es que reduce la complejidad de la red. Sin embargo, el tener

muchas funcionalidades habilitadas en un mismo equipo conlleva a un mayor consumo

de memoria y degradación en la velocidad de procesamiento del CPU.

i. Firewall de aplicaciones web: El protocolo HTTP usado en los servidores web ha

sido el principal punto de ataque por parte de los hackers que aprovechan la falta de

controles de seguridad en las aplicaciones web instaladas en estos servidores.

Por este motivo, la función principal de un firewall de aplicaciones web es aplicar

políticas de protección ante las amenazas de seguridad más populares sobre las

aplicaciones web, por ejemplo inyección de código SQL mal intencionado, inserción de

código web malicioso, entre las principales.

1.5.2 Arquitecturas de firewalls

Los firewalls pueden ser situados en diferentes lugares sobre una red, pueden

proteger una red interna de redes externas y actuar como un punto de choque para todo

el tráfico. Un firewall puede ser usado para segmentar una red y reforzar los controles de

acceso entre sub redes. Adicionalmente pueden ser empelados para crear una red

desmilitarizada, conocida como DMZ.

En la Fig. 1.9 se muestra el diagrama de una red con un segmento DMZ basada en

dos firewalls conectados en línea.

LAN interna

Fig. 1.9: Red con segmento DMZ configurado

(Fuente: CISSP all in one Exam Guide)

¡ Router

Una red DMZ es un segmento de red localizada entre una red protegida y una red

no protegida. El objetivo de la red DMZ es que las conexiones desde la red interna y

externa hacia la DMZ estén permitidas, mientras que las conexiones desde la DMZ sólo

23

se permitan hacia la red externa, es decir que los equipos que se encuentran en la DMZ

no se puedan conectar con los equipos de la red interna. Para cualquiera de la red

externa que sea conectarse a la red interna, la zona desmilitarizada se comporta como

una jaula. La red DMZ usualmente contiene servidores de servicio público como

servidores Web, servidores DNS, interfaces web de servidores de correo, servidores FTP,

servidores SFTP.

Una DMZ se crea en base a opciones de configuración de firewall, donde cada red

se conecta a una interface independiente.

a. Firewall Dual-Homed: Es un dispositivo que tiene dos interfaces (red interna y red

externa) y no dejan pasar paquetes IP (como sucede en el caso del filtrado de paquetes),

tal como se muestra en la Fig. 1.10.

Un usuario interior que desee hacer uso de un servicio exterior, deberá conectarse

primero al firewall, donde este actúa como proxy para atender su solicitud, y en base a

las políticas configuradas éste permitirá o denegará la solicitud.

Fig. 1.1 O: Arquitectura Dual-Homed


b. Firewall multihomed: Muchos equipos actualmente son denominados "multihomed"

debido a que poseen más de dos interfaces de red para conectar más de dos redes. Esta

arquitectura permite a las compañías tener más de una DMZ. Por ejemplo, una DMZ

puede ser empleada para alojar los servidores que brindan servicios del tipo extranet

24

entre compañías, otra DMZ puede alojar los servidores que brindan servicios del tipo públicos como DNS, Mail y finalmente una DMZ que aloje los servidores que contienen la página web de la compañía. La finalidad de tener más de una DMZ es asegurar que si

uno de las DMZ es comprometida, los servicios que se encuentran en las otras DMZ no sean accesibles por el atacante.

En la Fig. 1.11 se muestra un firewall configurado bajo la arquitectura "multihomed"

recomendado por Microsoft para la implementación de su servicio de correo electrónico (Microsoft Exchange).

c. Screened Host: Un Screened host es un firewall que comunica directamente unenrutador perimetral con la red interna. La Fig. 1.12 muestra este tipo de arquitectura. El

tráfico recibido desde Internet es primero filtrado mediante "filtrado de paquetes" en elenrutador. El Screened host es el único dispositivo que recibe el tráfico directamente

desde el enrutador, ningún paquete va directamente desde Internet a través del enrutadorhacia la red interna.

DMZ de acceso autenticado DMZ de acceso anónimo

Router

ISA Firewall

Servidor ¡Exchange ¡ Back-end

�··-----------•-;; _..,_, - --

Controlador de dominio:

! Red Interna/Corporativat.. 111& H. ll■&a I& lt HOMI ....

Fig. 1.11: Arquitectura Multihomed - Microsoft Exchange

(Fuente: ISAserver.org)

25

El término "screening" en este contexto se muestra en la Fig. 1.12 el enrutador es el

dispositivo "screening" y el firewall es el "Screened host".

Dispositivo "Screening" Dispositivo

"Screened''

Red interna

Fig. 1.12: Arquitectura firewall screened host


d. Screened Subnet: La arquitectura "screened-subnet" agrega una capa de seguridad a

la arquitectura screened-host. El firewall externo protege los datos que ingresan a la red

DMZ. Sin embargo, en lugar que este firewall redirija el tráfico hacia la red interna, un

firewall interno filtra el tráfico. Es decir, la DMZ es creada empleando dos firewalls

físicamente diferentes, tal como se muestra en la Fig. 1.13.

Dispositivo 11Screening" Firewall

Subred "Screened"

Servidor DNS

�I

J Servidor Correo

Fig. 1.13: DMZ creada entre 2 firewalls


Red interna

26

En un ambiente screened-host, si un atacante rompe la seguridad del firewall, no se

tiene un mecanismo que permita prevenir su acceso a la red interna. Por el contrario, en

un ambiente usando screened-subnet, un atacante tendría que vulnerar la seguridad del

otro firewall para obtener el acceso a la red interna.

La Fig. 1.14 muestra una red screened-subnet, en la cual se tienen dos firewalls

que protegen distintos servidores pero comparten un mismo punto de conexión a la red

externa y otro punto en común para la red interna.

1

1

1

1

,.----- --------------------------------------

Router exterior

: Red perimetral 1 1

1

1

1

1

1

1

1

1

1

1

1

1

1

1

1

1

1

r ---.,,,,,,._, 'ª

Firewall 1

Router interior

Red perimetral 2

, __ --- ----- ---

1 ¡

....,z-,. «ñ� át

Red interna

,,

��

Fig. 1.14: Arquitectura screened-subnet basada en dos firewalls


1

1

1

1

1

1

1

1

1

1

1

1

1

1

1

1

1

1

1

1

1

1

l

1

/

27

La Fig. 1.15 muestra una arquitectura de red que tiene dos screened-subnet, con

enrutadores independientes para la conexión a la red externa e interna .

/

......

...... ,

"' ',

\ \ .\. l \

I \ r-------------- I ----, ----- \

r Router de I Router e� --------------,

1 1 ' 1

Respaldo • orde 1 : borde

¡ 1t,_ _____ R_ed ..... l_pe-r-im__.!-tr-al ___ _

1 1 1 1 1

1 1 1 1 1 1 1 1 1 Servi :web 1 1 1 1 1 1 1

correo

Red perimetral

Router interno 1

1

1 1

1 1,

ONS

Red perimetral

Firewall l 1 1 1 1

J, 1 1 1

1 1 1 1 1

1 1 1 1 1 1

1 1 Router 1

interno 2 l L--------------- ________ 1 ��------�-- _________ J

- -t...._v ca

Fig. 1.15: Screened-subnet de dos firewalls


1.6 Sistema de detección y protección de intrusos del tipo red

Red interna

Este sistema monitorea el tráfico de red de un segmento en particular analizando

los protocolos de red, transporte y aplicación para identificar actividad sospechosa. Un

sistema de detección y prevención de intrusos (IDPS) es una mezcla de las tecnologías

IDS e IPS, es decir, cuenta con el proceso de detección más la posibilidad de bloquear

posibles incidentes.

28

1.6.1 Metodologías que emplean los IDPS

a. Detección basada en firmas: Una firma es un patrón que corresponde a una

amenaza conocida. La detección basada en firmas es el proceso de comparar firmas con

los eventos observados para identificar posibles incidentes. Ejemplos de firmas son:

• Intentos de acceso vía telnet usando el usuario "administrador''

• Un correo electrónico con una archivo adjunto "freepics.exe"

b. Detección basada en comportamientos anómalos: Este proceso consiste en

comparar definiciones de que actividad es considerada normal contra los eventos

observados para identificar desviaciones. Un IDPS que emplea este mecanismo emplea

perfiles que representan un comportamiento normal en la red o en los hosts, los perfiles

son desarrollados en base al monitoreo de las actividades por un periodo de tiempo. Por

ejemplo, un perfil podría ser la actividad de su servidor web consume en promedio el 13%

de su ancho de banda de Internet durante las horas de trabajo.

c. Análisis del estado del protocolo: Este proceso compara perfiles predeterminados

de actividades del estado del protocolo contra los eventos monitoreados para identificar

desviaciones. A diferencia de la detección basada en el comportamiento anómalo, el cual

usa perfiles de la red o de los hosts, el análisis del estado del protocolo se basa en los

perfiles creados por el fabricante del IDPS que especifica como ciertos protocolos deben

o no deben de ser empleados. Es capaz de entender y hacer seguimiento al estado del

protocolo sobre el cual tiene conocimiento, permitiéndole detectar muchos ataques que

otros no puede. El principal problema con este método es que es imposible desarrollar

modelos totalmente exactos para los protocolos, consume gran cantidad de recursos y

no puede detectar ataques que no violen las características generales del

comportamiento del protocolo.

1.6.2 Componentes de un sistema IDPS

a. Sensor o agente: Es el encargado de monitorear la actividad. El término sensor es

empleado para monitorear redes y el término agente para monitorear hosts.

Servidor de administración: Es un dispositivo central que recibe la información de los

sensores o agentes para administrarlos.

b. Base de datos: Es el repositorio de los eventos monitoreados por los sensores,

agentes y servidores de administración.

c. Consola: Es un programa que permite brinda a los administradores una interface para

configurar los sensores o agentes, aplicar actualizaciones, monitorear el estado de

actividad de los sensores o agentes, etc.

La implementación de este sistema puede ser conectando los componentes a

través de la red de la organización o través de una red estrictamente designada para la

29

administración de los equipos, esta red es conocida como "Red de Gestión y

Administración". Si una red de gestión y administración es empleada, cada sensor o host

que tenga instalado un agente debe de tener una interface adicional conocida como

"Interface de Administración", además cada sensor o host de los agentes no permite el

tráfico entre la interface de administración y cualquier otra interface. Esta arquitectura

aísla la administración y gestión de los equipos de la red de servicios productivos. Los

beneficios de emplear esta arquitectura protegen al sistema de ataques como por

ejemplo, ataques distribuidos de denegación de servicios. Sin embargo, la principal

desventaja de esta arquitectura es que incrementa el costo de implementación.

En caso no se implemente una red separada para la administración de los IDPS,

otra alternativa es crear redes virtuales de administración empleando LAN virtuales

(VLAN). Usar VLAN brinda un adecuado nivel de protección pero no como una red de

administración separada, debido a que errores de configuración en las VLAN podría

exponer la seguridad del sistema. Por ejemplo, un ataque de denegación de servicio

distribuido podría saturar la VLAN y por ende impactar contra la disponibilidad y

funcionamiento adecuado del sistema de protección y detección de intrusos.

A continuación se procede a explicar los modos de implementación de los agentes:

a. lnline: Es desarrollado para monitorear el tráfico que pasa a través de la red. El

principal motivo de contar con este modo es tener la capacidad de bloquear ataques.

Usualmente los sensores implementados bajo este modo son situados detrás del firewall

que protege la red interna de redes externas, en la Fig. 1.16 se muestra un ejemplo.

b. Passive: En este modo el IDPS monitorea una copia del tráfico de red, es decir, el

tráfico no pasa a través del sensor. Los sensores en este modo pueden monitorear el

tráfico principalmente de las siguientes maneras:

• Spanning Port: Muchos switches poseen la capacidad de configurar un puerto en

modo "spanning" el cual puede ver todo el tráfico que pasa a través del switch. Al

conectar el sensor al puerto configurado en este modo podrá monitorear el tráfico de red

que pasa a través de este switch. El principal problema al configurar este modo sobre un

puerto es el incremento en uso de recursos de procesamiento y memoria del switch.

• Network tap: El "tap" es un dispositivo que permite el monitoreo de los datos que

pasan a través de dos puntos en la red. Si el medio de comunicación entre dos puntos A

y B en una red es un cable físico, un "network tap" puede ser una alternativa para lograr

el monitoreo. Este dispositivo posee al menos tres puertos, un puerto A, un puerto B y

puerto de monitoreo. Un tap es insertado entre los puntos A y B replicando el tráfico al

puerto de monitoreo.

• IDS Load Balancer: Es un dispositivo que concentra y dirige el tráfico a sistemas de

30

monitoreo, incluyendo sensores. Puede recibir copias de tráfico de red de uno o más

puertos configurados en modo "spanning port", "network tap" o sensores IDPS para

distribuirlas en uno o más dispositivos de monitoreo basado en reglas configurado por el

administrador. Las configuraciones más comunes son: Enviar todo el tráfico a múltiples

sensores IDPS, dividir dinámicamente el tráfico entre múltiples sensores IDPS basados

en el volumen y dividir el tráfico entre múltiples sensores IDPS basados en direcciones

IP, protocolos u otra característica .

.,,..... ........ �·-·""'

e Internet

Router

Switch

Firewall

Sensor IDPS

Switch

Interface de monitoreo

Interface de�� .... =--- ......... ········· gestión

········-'ºteriace demonitoreo

Red interna

Servidor

de gestión IDPS

Fig 1.16: Implementación de IDPS en modo "inline"


3l.

La Flg. 1.17 muestra sensores en modo 11Passlve" conectados a una red que

emplea IDS Load Balancer, Network taps y Spannlng Ports.

Internet

Red

interna

Network tap

Balanceo de carga IDPS

Puerto "Spannlng" , . . . .

/ f

Sensor IOPS

Servidor de gestión IDPS

Flg. 1.17: Ejemplo de arquitectura de red que emplea IDPS en modo 11Passive"


1.7 Modelo Jerárquico en el diseno de redes LAN

El modelo jerárquico de redes LAN consta de 3 niveles o capas tal como se

muestra en la Flg. 1.18 y tiene muchos beneficios ya que permite que la red sea más

predecible. Esto debido a que la red es dividida en capas y en cada capa se define los

servicios que esta brinda. En comparación con otros dlsef\os de redes, una red Jerárquica

se administra y expande con más facilidad y los problemas se resuelven con mayor

rapidez.

32

¡-'

��"'

�"'

··:

E.iall--�J1T�•::.·:::.:·:::.·::.·:::.·:::::::::·.�·::.�·-·:.·.·:� f:> \;;tN�a9;• .... 1� � IIJ.I' �-.��-��··-' ' . . •· -. . . . ! .... -- ------- ,.._ --·--,---... --- ------ -- - ........ _ ....... �,.. .......... - -----.-.., ......... . ' . .. . . . '

. .

: . . . .. '

¡

' . .: 6;.

...- ·. ff"c,STR1auc,0N ···· 1- ., - �---- "-· ' ' . . . ' . . .. .. . . . .· .. ; . .

1 ..... --- ----,.·------ -;-- .. -e .. ---.----.--•• - --""'·r:- .. -·------_':' ______ _.. __ .. ---·--.. • .. .. . ·. . " . •. .· . ·.

a ,.

f jjn

Fig. 1.18 Modelo de redes jerárquica

(Fuente: redesweb.com)

ACCESO

Entre las ventajas que existen al separar la redes en 3 niveles es que resulta más

fácil diseñar, implementar, mantener y escalar la red, además de que la hace más

confiable, con una mejor relación costo/beneficio. Cada capa tiene funciones específicas

asignadas y no se refiere necesariamente a una separación física, sino lógica; así que

podemos tener distintos dispositivos en una sola capa o un dispositivo haciendo las

funciones de más de una de las capas.

1.7.1 Capa de acceso

La capa de acceso de la red es el punto en el que cada usuario se conecta a la red.

Ésta es la razón por la cual la capa de acceso se denomina a veces capa de puesto de

trabajo, capa de escritorio o de usuario. Los usuarios así como los recursos a los que

estos necesitan acceder con más frecuencia, están disponibles a nivel local. El tráfico

hacia y desde recursos locales está confinado entre los recursos, switches y usuarios

finales. En la capa de acceso podemos encontrar múltiples grupos de usuarios con sus

correspondientes recursos. En muchas redes no es posible proporcionar a los usuarios

un acceso local a todos los servicios, como archivos de bases de datos, almacenamiento

centralizado o acceso telefónico al Web. En estos casos, el tráfico de usuarios que

demandan estos servicios se desvía a la siguiente capa del modelo: la capa de

distribución.

1.7.2 Capa de distribución

La capa de distribución marca el punto medio entre la capa de acceso y los

servicios principales de la red. La función primordial de esta capa es realizar funciones

33

tales como enrutamiento, filtrado y acceso a WAN.

En un entorno de sede principal, la capa de distribución abarca una gran diversidad

de funciones, entre las que figuran las siguientes:

• Servir como punto de concentración para acceder a los dispositivos de capa de

acceso.

• Enrutar el tráfico para proporcionar acceso a los departamentos o grupos de

trabajo.

• Segmentar la red en múltiples dominios de difusión / multidifusión.

• Traducir los diálogos entre diferentes tipos de medios, como Token Ring y Ethernet

• Proporcionar servicios de seguridad y filtrado.

La capa de distribución puede resumirse como la capa que proporciona una

conectividad basada en una determinada política, dado que determina cuándo y cómo los

paquete pueden acceder a los servicios principales de la red. La capa de distribución

determina la forma más rápida para que la petición de un usuario (como un acceso al

servidor de archivos) pueda ser remitida al servidor. Una vez que la capa de distribución

ha elegido la ruta, envía la petición a la capa de núcleo. La capa de núcleo podrá

entonces transportar la petición al servicio apropiado.

1.7.3 Capa de núcleo

La capa del núcleo, principal o "Core" se encarga de desviar el tráfico lo más

rápidamente posible hacia los servicios apropiados. Normalmente, el tráfico transportado

se dirige o proviene de servicios comunes a todos los usuarios. Estos servicios se

conocen como servicios globales o corporativos. Algunos de tales servicios pueden ser

correo electrónico, el acceso a Internet o la videoconferencia. Cuando un usuario

necesita acceder a un servicio corporativo, la petición se procesa al nivel de la capa de

distribución. El dispositivo de la capa de distribución envía la petición del usuario al

núcleo. Este se limita a proporcionar un transporte rápido hasta el servicio corporativo

solicitado. El dispositivo de la capa de distribución se encarga de proporcionar un acceso

controlado a la capa de núcleo.

1.8 Arquitectura de red orientada a servicios

Conocido también por sus siglas de su nombre en inglés SONA (Service Oriented

Network Architecture), es un modelo de arquitectura de red diseñada por la compañía

Cisco que muestra cómo los sistemas integrados a lo largo de una red totalmente

convergente permiten flexibilidad, al tiempo que la estandarización y la virtualización de

los recursos incrementa la eficiencia. Este enfoque puede ayudar a:

• Diseñar funciones avanzadas de red en la infraestructura.

• Ofrecer una guía para conectar los servicios de red a las aplicaciones, a fin de

34

habilitar soluciones empresariales.

• Proporcionar mejores prácticas y modelos de eficacia comprobada para lograr el

éxito.

1.8.1 Capas del modelo de arquitectura SONA

El modelo de arquitectura SONA posee tres capas, tal como se aprecia en la Fig.

1.19 y se detalla a continuación:

a. La capa de infraestructura en red: donde todos los recursos de tecnología están

interconectados a través de los cimientos de una red convergente.

b. La capa de servicios de red: que permite la localización inteligente de recursos para

las aplicaciones y los procesos de negocios provistos a través de la Infraestructura en

Red.

c. La capa de aplicaciones: que contiene las aplicaciones de negocios y colaborativas

que impulsan la eficiencia de los seNicios interactivos.

· .,:. �7 ,,f '-· . •

; 1

Fig. 1.19: Marco de la arquitectura SONA

(Fuente: www.cisco.com)

CAPÍTULO 11

PLANTEAMIENTO DE INGENIERÍA DEL PROBLEMA

2.1 Descripción del problema

Actualmente en el Perú, las compañías de tarjetas de crédito ó débito más

relevantes del mercado, VISA, MasterCard y American Express no exigen el

cumplimiento de la norma PCI DSS. Sin embargo, desde el 2007 las auditorías que

realizan estas compañías a las entidades bancarias basan sus evaluaciones en los

requisitos de la norma PCI DSS.

La entidad bancaria sobre la cual se centra el presente informe es una de las

instituciones financieras más importantes del país y posee una trayectoria de más de 100

años y como parte de su proceso de expansión adquirió otras empresas del sistema

financiero peruano. Por este motivo es una organización que ha sufrido cambios

importantes a lo largo de los años en sus procesos, su infraestructura tecnológica y sus

recursos.

Debido a lo expuesto en el párrafo anterior, el principal problema para esta entidad

financiera es la convivencia de todos sus sistemas en una única red, es decir que los

sistemas que procesan, transmiten y almacenan datos de tarjetas de pago comparten la

red con los usuarios, los sistemas de desarrollo, los sistemas de certificación y los

sistemas de producción que no emplean datos de tarjeta.

Por este motivo las medidas que se cuentan para mitigar el riesgo de exposición a

la fuga de información involucran una inversión elevada con respecto a otras instituciones

de menor tamaño o que cuentan con una segmentación de red adecuada.

2.2 Objetivos del informe

El presente trabajo tiene por objetivos:

• Mostrar la metodología empleada por la institución financiera para cumplir con los

requisitos de la norma PCI DSS para el diseño y arquitectura de red actual.

• Presentar los criterios de diseño para la implementación del diseño y arquitectura

de red.

2.3 Evaluación del problema

Cuando una empresa desea cumplir con los requisitos de la norma PCI DSS es

necesario limitar el alcance sobre el cual será evaluado. Para ello requiere conocer los

36

procesos, las normas o políticas internas, la infraestructura tecnológica, y recursos

humanos que procesan, transmiten o almacenan los datos de los titulares de tarjetas de

crédito o débito.

En la Fig. 2.1 se muestra como los requisitos de la norma cruzan de manera

transversal los puntos mencionados en el párrafo anterior.

-Tecnología:

Procesos:

Gobi�rno:

Personas;

DESARROLLAR Y MANTENER UNA

RED SEGURA

PROTEGERLOS DATOS DEL

TITULAR DE LA TARJETA

MANTENER UN PROGRAMA DE

ADMINISTRACIÓN DE

VULNERABILIDAD

IMPLEMENTAR MEDIDAS

SÓLIDAS DE CONTROL DE

ACCESO

SUPERVISAR Y EVALUARLAS REDES CON

REGULARIDAD

MANTENER UNA POLITICADE

SEGURIDAD DE

INFORMACIÓN

Firewall. IDS/IPS, cifrado de base de datos, configuración segura de servidores, antivirus, etc.

Gestión de actualizaciones de seguridad, ges1ión de cambios , gestión de vulnerabilidades, gestión de incidentes. desarrollo seguro de aplicaciones, ate.

Políticas de seguridad de información y estándares, monitoreo de v.ulnerabilidades, interacción con empresas terceras , etc.

Capacitación en seguridad de información, conocimiento de las políticas de seguridad de información, seguridad flsica, etc.

Fig. 2.1: Interacción de los requisitos de la norma PCI DSS con los recursos


En ta Fig.2.2 se muestra el diagrama de red actual sobre el cual se debe de diseñar

la segmentación de la red y protección perimetral de los sistemas que formen parte del

alcance de la norma PCI DSS.

; .' :t , ,.i ZUJCURBAlfS

S<.Nldoros<I<> baoo d<> dosos, do orehlvoo, de outenlicoción, da COITOO, do aplicaciones, de

lmprosoms, ele.

Perímetro Malnlrame

Fig. 2.2 Diagrama de red actual


\

,·,

)

\

f \ .. '

37

2.4 Limitaciones del informe

Para desarrollar el presente trabajo, debe de realizarse la revisión del diseño actual

de la red e identificar los requisitos de la norma PCI DSS que requieren implementación

de medidas correctivas. Seguidamente formular una solución e implementarla. La

complejidad de este proceso se complementa con ciertos factores que intervienen en su

viabilidad.

2.4.1 Limitaciones en el diseño de red

El presente estudio se enfoca en el diseño y segmentación de la red que permita

reducir el alcance de los sistemas que sean evaluados para el cumplimiento de la norma.

Adicionalmente, se busca incrementar el nivel de protección perimetral del entorno de red

que se obtenga como resultado de la segmentación de red con la implementación

firewalls, sistemas de detección y protección contra intrusos y firewall de aplicaciones

web.

2.4.2 Limitaciones en la gestión de seguridad de la información

Este caso de estudio está focalizado en los requisitos de la norma que están

relacionados con la implementación de medidas correctivas tecnológicas sobre el diseño

y arquitectura de red, no se consideran los requisitos que estén relacionados con:

• La gestión de la seguridad de la información, como lo son la elaboración de

procedimientos, la implementación de políticas, la creación estándares de seguridad, la

implementación de metodologías de desarrollo seguro.

• La seguridad en dispositivos finales como computadoras, laptops y dispositivos

móviles.

• Las consideraciones para el desarrollo seguro de aplicaciones.

• La gestión de incidentes.

• La definición de roles y responsabilidades.

• Los planes de continuidad del negocio.

• Interacción con proveedores.

2.5 Síntesis del informe

El presente informe muestra la metodología empleada por una institución financiera

para la implementación de medidas correctivas en su diseño y arquitectura de red con la

finalidad de reducir el entorno sobre el que las auditorías de las compañías de tarjetas de

pago evalúan el cumplimiento de la norma.

El informe inicia con el capítulo I donde mostramos todo la descripción general de la

norma PCI DSS, los conceptos generales para el diseño de una red y los fundamentos de

seguridad informática, que son la base conceptual para el desarrollo de este informe.

El capítulo 111 describe la metodología y técnicas empleadas para el diseño de la

38

red, donde se tomará en consideración todos los requerimientos relacionados al diseño y

arquitectura de una red. Entre ellos se encuentran la adecuada segmentación de la red,

la implementación de firewalls y sistemas de detección y protección contra intrusos.

El capítulo IV muestra los resultados y costos del recurso humano y equipamiento

necesarios para el despliegue de la metodología y su aplicación sobre el diseño de red.

Como punto final presentamos las conclusiones y recomendaciones tomadas en

base a los resultados y análisis de cada etapa del diseño.

CAPÍTULO 111

METODOLOGÍA PARA LA SOLUCIÓN DEL PROBLEMA

3.1 Introducción

Debido a que la norma PCI DSS es un proceso continuo, la metodología más

adecuada para su implementación es el ciclo POCA, también conocido como "Círculo de

Deming".

En la Fig. 3.1 se muestra las principales tareas que se deben de tener en cuenta

para la implementación de la norma PCI DSS.

-

IDENTIFICACIÓN··

·DELALCANCE'

'

', . EVALUACIÓN DE'·, '

� '

,

CUMPUMIENTO . ' . ' . '

PlAN DE ACCIÓN

Fig. 3.1: Metodología POCA aplicada a la norma PCI DSS


El caso de estudio del presente informe esta focalizado en el diseño de red y es por

esta razón que nos centramos en las tres primeras etapas de la metodología. En la Fig.

3.2 se muestra las tareas ejecutadas.

Además, para el diseño de red se emplea el marco de referencia de diseño de

redes SONA - Arquitectura de red orientada a seNicios. En la Fig. 3.3 se muestra la

aplicación del marco de referencia SONA sobre los seNicios de la red bancaria en

evaluación.

Fig. 3.2: Metodología de gestión empleada para la solución del problema


G) @ © ® (® o ®1 '

C..Wi.aaa..s ..... llalla1ladie SqpiW Gmiány ""'' li ..._

.. -..... Adnn,im,ü,

■-------

Fig. 3.3: Marco de la arquitectura orientada a servicios de la entidad bancaria


3.2 Identificación del alcance

3.2.1 Capacitación

40

Este actividad de capacitación general aplica a los profesionales asignados al

proyecto de cumplimiento de la norma PCI DSS, que participarán en el diagnóstico,

diseño, reporte, monitoreo o implementación de las medidas de seguridad

correspondientes.

3.2.2 Identificación del CDE

Esta etapa es importante para determinar el entorno de los datos del titular de

tarjeta (CDE) en la institución. Los componentes y sistemas que formen parte del CDE

son los que deben de cumplir con los requisitos de la norma PCI DSS.

Las actividades que se realizan en esta etapa se muestran en la Fig. 3.4:

Fig. 3.4: Actividades en la identificación del CDE


41

La primera actividad es identificar a las personas denominadas "personas claves"

que son parte de los diversos procesos de tarjetas de pago, como es el caso de los

administradores de base datos, los administradores de servidores, los administradores de

red entre los principales y en el caso de considerar procedimientos y políticas debe de

incluirse al usuario de negocio, por ser el actor principal.

En el ANEXO A se muestra una matriz que permite identificar a las personas clave

en base a los conocimientos necesarios por cada uno de los requisitos de la norma para

una adecuada identificación del CDE.

Debido a que el presente informe tiene por objetivo implementar medidas

correctivas sobre el diseño de la red, las personas claves en el proyecto son:

• Administradores de redes

• Administradores de firewalls

• Administradores de sistemas operativos

• Administradores de base de datos

• Analistas en desarrollo de aplicaciones

• Analistas en certificación de aplicaciones

• Analistas en seguridad de información

La segunda actividad es la recolección de información, la cual debe de ser

proporcionada por las personas identificadas como "personas claves" en el proyecto para

cumplir con los requisitos mencionados en la sección 1.1 del capítulo I del presente

informe que impacten sobre el diseño perimetral de la red, como lo son la consideración

de firewalls, sistemas de detección y protección contra intrusos, estos requisitos son:

• Requisito 1: Instale y mantenga una configuración de firewalls para proteger los


• Requisito 6: Desarrolle y mantenga sistemas y aplicaciones seguras.

• Requisito 11: Pruebe con regularidad los sistemas y procesos de seguridad.

La TABLA Nº 3.1 nos muestra la documentación necesaria para los requisitos que

forman parte del alcance del proyecto.

Dentro de la documentación solicitada se encuentra el diagrama de red, el cual se

42

muestra en el ANEXO B en donde se aprecia que la "Red Interna" es una red del tipo

plana, es decir que alberga los equipos de los usuarios y los servidores bajo un mismo

segmento de red y la "Red Perimetral" que está comprendida por dos segmentos, la red

"Perímetro de Navegación" por donde los usuarios internos acceden a la Internet y la red

"Perímetro de Negocio" empleada por las aplicaciones o servicios que se brindan a los

clientes.

TABLA Nº

3.1: Documentación necesaria previa al diseño de red


' - • •-•-- ...,_., � l 1 -• / .,., l �, ,�- • ,--,,. �-a-,• ( ••- e,• toe • •- _, � 1 �, ,K h ---�-- \• .... .. ·�· ':;Q'.;"'•.(�-;¡<.•- <,•- -• • � ,.,.-.,, �'<C�•,=r/•,-c,W-i

t.::.,.,· ;� �. "'.:,}i:!•:. •·/_';l _A.�-.�:•''",ttr ·" -- ./"�\�•·� t"'Docüineritációh"a.{j:>resentar'/:exP,oner)'.'i,�, .. /1 "-; Requerim 1ento · PCI DSS 1 t+:B,1"¡ '.�'.''\ '"'"'-1'1"1". "'"'� x, "i; .. ·.F.· '",.- '>•;"'!. 11: ,:,,'- ''•:'�: (l.f\ r :.:�" �,,:;:. _c;;;,,;�ii-'.¡<·:.rt1W:.."!�;.�,·,.-�- ,.�·�·f1¡:i1{/1':PQt:., p�rt�,,cte:Jo!?,·P�.�•�!Pé!�!e_�i,1:;_\,., ,-:ra

Requisito 1: Instale y mantenga una configuración de firewalls para proteger los datos de los titulares de las tarjetas

Requisito 6: Desarrolle ymantenga sistemas y aplicaciones seguras

Requisito 11 : Pruebe con regularidad los sistemas y procesos de seguridad.

. Diagrama Topológico de la Red Interna, DMZ y Externa . Segmentos de Red separados por los FWs . Descripción general sobre la Administración Técnica del FW . Descripción general sobre la Administración Técnica del Router

. Diagrama Topológico de la Red Interna que identifique los ambientes de Producción, Desarrollo y Testing ( certificación o QA) . Descripción general de las Guias de Seguridad utilizadas para el Desarrollo de Aplicaciones Web

. Ultimo informe de Análisis de la Red Interna, host y vulnerabilidades de aplicaciones dentro del entorno de datos de tarjetas . Ultimo informe de Análisis de Vulnerabilidades Externas . Ultimo informe de Pruebas de Penetración (Ethical Hacking) de la Capa de Red y la Capa de Aplicación ._Zonas en las que esta implementado el sistema de detección y protección contra intrusos.

La tercera actividad en realidad consiste en do� sub actividades que son el obtener

el listado total de las aplicaciones que emplean el PAN en su lógica de programación y la

enumeración de los componentes tecnológicos que soportan estas aplicaciones. Para

esto, se ha diseñado una matriz que permite mapear estos componentes tecnológicos

como por ejemplo, las bases de datos, los servidores de aplicación, los servidores de

archivos, servidores en la DMZ.

En el ANEXO C se muestra la matriz empleada para la enumeración de estos

componentes.

43

3.2.3 Análisis de la red actual

En el ANEXO B se muestra el diagrama de red actual, en donde se puede apreciar

que es una red del tipo "red plana o simple", es decir que no se encuentra segmentada.

Sin la adecuada segmentación de red (denominada "red simple"), toda la red se

encuentra dentro del alcance de la evaluación de la norma PCI DSS. Por este motivo, la

reducción del entorno sobre el que aplican los requisitos de la norma se logra a partir de

la apropiada segmentación de red, aislando los sistemas que procesan, transmiten o

almacenan los datos del titular de tarjeta del resto de sistemas.

Además de reducir el alcance de evaluación, una adecuada segmentación nos

permite disminuir:

• El costo de evaluación del cumplimiento de la norma PCI DSS.

• El costo y la dificultad de la implementación y mantenimiento de los controles.

• El riesgo a la exposición de fraude, robo, multas y pérdida de imagen.

3.3 GAP análisis

Esta actividad consiste en aplicar requisito de la norma PCI DSS sobre cada

componente físico y lógico del inventario resultado de la actividad descrita en el punto

3.2.2, según corresponda.

Para el desarrollo de esta actividad se cuenta con el soporte de un profesional con

amplia experiencia en auditar y certificar a diversas entidades financieras en Sudamérica

en el cumplimiento de la norma PCI DSS y además debe estar autorizado por PCI SSC.

Además se empleará la matriz de autoevaluación que se muestra en la TABLA Nº

3.2, la cual se encuentra en el documento oficial de la norma "Requisitos y

procedimientos de evaluación de seguridad". Esta actividad es muy crítica, y por este

motivo se debe de tener consideración los siguientes factores críticos de éxito:

• La disponibilidad de los recursos de necesarios para el desarrollo del proyecto.

• La validez e integridad de la información suministrada.

• Las revisiones y aprobaciones oportunas por parte de la gerencia del proyecto.

3.4 Plan de acción

3.4.1 Consideraciones generales de diseño

a. Alta disponibilidad de los servicios: La alta disponibilidad es el principal

requerimiento para los centros de cómputo. La redundancia de sistemas críticos y su

activación ante fallas para enlaces WAN, enlaces a Internet, enrutadores, dispositivos de

seguridad y otros equipos son necesarias para un óptimo acceso a los recursos por parte

de los usuarios y clientes.

b. Conectividad de la red: Los clientes y usuarios requieren un acceso rápido a las

aplicaciones e información que se encuentran en el centro de cómputo. Las aplicaciones

44

modernas como servicios Web demandan de un alto índice de desempeño de la red por

lo que la conectividad debe de ser confiable y generar poca latencia. Por ese motivo se

considera:

• Alta velocidad de conexión a nivel LAN (1GbE -10GbE)

• Conexiones a Internet independientes: servicios a clientes, navegación Web de

usuarios y acceso de empresas terceras.

• Suscripción de líneas dedicadas para los enlaces WAN entre oficinas remotas,

sucursales y la sede principal.

TABLANº 3.2: Matriz de evaluación del cumplimiento de la norma


1.1 Establezca normas de configuración para firewall y router que incluyan lo siguiente:

1.1.1 Un proceso formal para aprobar y probar todos los cambios y las conexiones de red en la configuración de los firewalls y los routers

1.1.2 Un diagrama actualizado de la red con todas las conexiones que acceden a los datos de los titulares de tarjetas, incluida toda red inalámbrica.

1.1 Obtenga e inspeccione las normas de configuración del firewall y del router y otros documentos especializados más abajo para verificar que las normas se completaron. Complete lo siguiente:

1.1.1 Verificar la existencia de un proceso formal para probar y aprobar todos los cambios y las conexiones de red en la configuración de los firewalls y de los routers.

1.1.2.a Verifique que exista un diagrama actualizado de la red (por ejemplo, uno que muestre que los flujos de los datos de los titulares de tarjeta en la red) y que documenta todas las conexiones a los datos de los titulares de tarjeta, incluida toda red inalámbrica.

1.1.2.b Verifique que el diagrama se mantenga al día

c. Seguridad: La seguridad es un factor importante para el centro de cómputo y crítico si

desea cumplir con normas o exigencias de entes externos como es este caso de estudio

que busca cumplir con los requisitos de la norma PCI DSS. Para este fin nos basamos en

45

el principio de la seguridad en profundidad y la aplicamos mediante la implementación de

firewalls como firewall básico, firewall de aplicaciones web y listas de acceso, reforzados

por sensores IDPS.

3.4.2 Segmentación de la red interna

En primer lugar consiste en separar a los servidores de la red de usuario. Para lo

cual se emplea un nuevo segmento de red que permita la migración de los equipos de

forma gradual y reduciendo el riesgo de cometer errores, tal como se muestra:

• Segmento de red de usuarios: 172.16.0.0/16

• Segmento de red del centro de cómputo: 172.17.0.0/16

Luego de ello, la red de servidores se debe de segmentar en un conjunto de

subredes que permitan aislar las bases de datos que almacenan datos del titular de

tarjeta, los sistemas de producción que procesan datos del titular de tarjeta de los

sistemas pre productivos y de los sistemas de producción que no procesan datos de

tarjeta.

A la red de servidores se le asigna el nuevo segmento de red 172.17.0.0/16 sobre

la que se crearán cinco subredes:

a. Subred núcleo: La subred núcleo está conformada por switches de capa 3, que son

los encargados del enrutamiento entre las subredes creadas, la red de usuarios y el

perímetro. Los criterios considerados para este segmento son:

• Alta disponibilidad

• Altas velocidades de conexión entre los miembros de la subred - 1 0Gbps

• Enlaces redundantes

b. Subred de base de datos PCI: Los servidores que almacenan información de los

datos de tarjeta que forman parte de los datos del titular de tarjeta y los datos

confidenciales de autenticación que la norma PCI DSS permite almacenar forman parte

de la subred "Base de datos PCI" o "Almacenamiento". Los criterios considerados para

esta subred son:

• Alta disponibilidad del servicio

• Almacenamiento en tecnología SAN

• Empleo de servidores de tecnología Blade

• Redundancia de enlaces

• Protección con firewalls.

• Sistema de detección y prevención contra intrusos.

c. Subred de aplicaciones PCI: Los servidores de aplicaciones que transmiten o

procesan datos de tarjeta que forman parte de los datos del titular de tarjeta y los datos

confidenciales de autenticación que la norma PCI DSS permite almacenar forman parte

de la subred "Aplicaciones PCI". Los criterios considerados para esta subred son:




46

d. Subred de aplicaciones productivas no PCI: Esta subred es implementada para los

servidores de producción que no forman parte del entorno de evaluación de la norma PCI

DSS. Las consideraciones de diseño para esta subred son.




e. Subred de gestión y administración: La subred de gestión y administración está

diseñada para ser la subred en donde deben de ser implementados las consolas de

administración de cada una de las soluciones:

• Consola de administración y gestión de los sensores del sistema IDPS

• Consola de gestión central de los firewalls

• Consola de gestión del firewall de aplicaciones

• Interface de administración de los servidores Blade

• Consola de administración de la SAN

Para esta subred se considera los siguientes criterios de diseño:

• Configuración de listas de control de acceso (ACLs)

• En esta etapa no se considera alta disponibilidad para esta subred

3.4.3 Aseguramiento de las redes perimetrales

a. Red DMZ: La red DMZ aloja a los servidores de acceso público entre los que se

encuentran los servidores del servicio de Banca por Internet, servidores de transferencia

de archivos con empresas terceras que manejan datos de tarjeta que forman parte de los

datos del titular de tarjeta para su impresión y entrega a los clientes. Por este motivo se

consideran los siguientes criterios de diseño:

• Alta disponibilidad del servicio



• Protección con firewalls perimetrales y de aplicación Web.

• Sistema de detección y prevención contra intrusos.

b. Red de navegación a Internet: La red de navegación a Internet, es aquella por donde

los usuarios de la compañía acceden a los servicios de Internet como por ejemplo visitar

páginas Web, Messenger, correo electrónico, entre los principales. Por este motivo se

considera los siguientes criterios de diseño:

• Alta disponibilidad en el proveedor de servicio.

• Servidor Proxy

• Protección de firewalls

• Servicio independiente a la DMZ de servicios de negocio

• Sistema de detección y prevención contra intrusos

• Prevención de fuga de información por correo electrónico corporativo

• Filtro de contenido web

47

CAPÍTULO IV

ANÁLISIS Y PRESENTACIÓN DE RESULTADOS

4.1 Introducción

El análisis y presentación de resultados se enfoca en el diseño de la red interna, el

direccionamiento de las subredes, el diseño de las redes perimetrales, ya que es la

actividad más inmediata a realizar.

4.2 Solución de la arquitectura de red

En base a las consideraciones de diseño mencionadas en el punto anterior se

muestra la arquitectura de red segmentada en el ANEXO D y en el ANEXO E se muestra

el direccionamiento interno de los segmentos de red creados, así mismo, la VLAN a la

cual pertenece cada uno de los segmentos.

Adicionalmente, en la TABLA Nº 4.1 se muestra el direccionamiento empleado para

las redes perimetrales, es importante mencionar que la conexión entre los firewalls

perimetrales es una conexión sobre la cual no se conecta ningún tipo de servidor y por

ello es denominada "Red Nula". El objetivo de la red nula es el brindar defensa en

profundidad a partir de la implementación de firewalls en cascada de diferentes marcas

que permitan proteger a la red interna en caso el firewall que se encuentra expuesto a

Internet sea comprometido por algún atacante, este tendría que emplear un tiempo

adicional para vulnerar el segundo firewall, este tiempo nos permitiría remediar el

problema y restablecer el servicio.

TABLA Nº 4.1: Direccionamiento perimetral


',x';" ... �c � · · NOMBRE1,:¡:, � ,/-';.; ��-f_r:,?t·);if-��:J.•¿_, ... ":,fX:1: :··,_.¡•:::i:!.iNita'tié'bi1iECCIONÉSt1� SEGMENT� 1�É,,lVLAN ID:: • .._. ,.-� :i) ./i�.Ji·I.I-, '\ti·) 1if,:;OESCRIPCIONt�·· ·;H' , ·,:· �,,.:;.!��:""l'·?!:''H� ..... , .. 4."r-,�i.-i'¡,i ;0,'.\"lt!'i'C:• 1•·�• .. ,•-.•0"'·r• 1 ,\'\oil, ·:,./,; ��." . ';".. .�\!i:AN ,:� •�,: .. ,c..-1. , 1, �{;;,i;�, ·-t!'.::I:i �'t:\{ ¡, t ': (· r ::-� .. , ... �;V .. � .l.�-� ECE$.ARl�S ��<:tt,,; REO ��IGJ,JADQ ¡

110 VLAN 110 Red Nula - Negocios no mayor a 6 192.168.1.0/29

120 VLAN 120 Red Nula - Navegación por Internet no mayor a 6 192.168.1.8/29

130 VLAN 130 Red Externa - Negocios no mayor a 6 192.168.1.16/29

140 VLAN 140 Red externa - Navegación por Internet no mayor a 6 192.168.1.24/29

150 VLAN 150 Red DMZ no mayor a 254 192.168.2.0/24

4.2.1 Subred de almacenamiento de datos PCI

En la Fig. 4.1 se muestra la arquitectura para la subred de almacenamiento de

datos PCI.

NUCLEO

-------------Conexión de control,•- ...... ,. ... - - • 4

- - • • - - • - -.. --- -C:onexlón de datos---• ---• -----

IA 2A

IDPS 3A 4A

1B 2B 3:3 4B

Servidores tipo BladeSy$tem

-- - --

VLAN_MGMT

Servidores tipo BladeSy&tem

Fig. 4.1: Diseño de subred de almacenamiento de datos PCI


49

so

4.2.2 Red de gestión y administración

En la Fig. 4.2 se muestra el diseño de la subred de gestión y administración, la cual

está conformada por las consolas de administración de:

Consola de administración de los servidores virtuales

Consola de administración de los firewalls

Consola de administración de los switches

Consola de administración de los IDPS

Consola central de los arreglos tipo BLADE

Consola central del firewall de aplicaciones Web.

NUCLEO

/

, -,.

.-.- -

� � � � o o o

�. �. � � ' ,I'

Vmware vCenter Firewall Central Switch Central IDPS Central Manager Manager Manager Manager

·--'-

� o

�: 1 //

Blade Central Manager

Fig. 4.2: Diseño de red de gestión y administración


4.2.3 Red DMZ de negocios

o

�-

WAF Central Manager

En la Fig. 4.3 se muestra la arquitectura para la red DMZ de negocios. Esta red

alberga los servicios públicos de la institución financiera, como lo son:

Los servidores Web públicos del servicio de Banca por Internet.

Los servidores Web públicos del servicio de Banca Móvil.

Los servidores FTP empleados para la transferencia de archivos no sensibles.

Los servidores SFTP empleados para la transferencia segura de archivos sensibles.

El servidor Web que aloja la página principal de la institución.

_.------___,...----------------------..... --__ _

INTERNET 2-__ )

1 �11■�11■li�¡ 1■,Ji• -· ••••• ---· ··-· ..... ---- - - •• --•• - •• -- ·-··-� ■I� )�---·············-·······--·········-··--·

1■11: _,,./1 •. ,.. // -

/ / ,/

NÚCLEO

----· --··-- ------�-

VLAN MGMT

Fig. 4.3: Red DMZ de negocios


51

52

4.2.4 Red de navegación por Internet

En la Fig. 4.4 se muestra la arquitectura para la red de navegación por internet. La

cual es empleada para el servicio de navegación Web de los colaboradores de la

institución.

---··-�··-·---�-

,,.----f' __ --.----------�--··---------.. '.¿,____

--,.� INTERNET (

-------�-� SERVIDOR �

PROXYCON FILTRO

CONTENIDO

VLAN_MGMT

Fig. 4.4: Red Navegación por Internet


4.3 Recursos humanos y equipamiento

53

Con la finalidad de garantizar resultados óptimos se contó con el apoyo de una

empresa especializada para las etapas I y 11 de la metodología, conformándose un equipo

de trabajo mixto que se muestra en la Fig. 4.5.

1

11\StitUción Financiera

!

Comitéde dirección del

proyecto

1

Empresa Consultora

[�•��oj '

[,��] Administradores de sistemas de

información

l. Analistas de

Seguridad Responsable del

Neeocio

Fig. 4.5: Equipo de trabajo - etapa 1


Equipo de consultores

La etapa 111 se lleva a cabo con la participación de los equipos internos de las áreas

de Seguridad de Información y Tecnologías de Información, tal como se muestra en la

Fig. 4.6.

J Seguridad de1 . , Información

Especialista en seguridad de

redes

Especialista en políticas y normas

Uder del proyecto

(Seguridad de Información)

Analista[]

e arquitectura tecnológica

1...· ··---·· ·--··-·· �----· .

1

Tecnologia de Información

Administrador de redes y

comunicaciones

Fig. 4.6: Equipo de trabajo - etapa 2


Analista de arquitectura de

aplicaciones

4.4 Costos y tiempos de ejecución

54

En el ANEXO F se muestran los costos para el diseño de red que forman parte del

proyecto revisado en el presente informe, en base al cumplimiento de los requisitos de la

norma PCI DSS.

Tal como se indicó en el punto 4.3, el recurso empleado en el proyecto es el

recurso humano proveniente de dos principales grupos. El primero, es el grupo interno de

la empresa, el cual es un gasto operativo dentro de la misma y está calificado dentro de

los costos como OPEX. El segundo, es el grupo externo que presta el servicio de

consultoría especializada, en este caso el gasto incurrido en este servicio afecta al

CAP EX en el rubro de "Consultorías".

Es importante mencionar que los montos indicados no consideran el impuesto a la

renta I.G.V.

En el ANEXO G se muestra el detalle de las actividades desarrolladas para cumplir

con los puntos mencionados en el presente informe.

CONCLUSIONES Y RECOMENDACIONES

1. Los procesos y personas que interactúan con los datos de titulares de tarjetas deben

de ser correctamente identificados, con la finalidad de poder dimensionar de manera

eficaz el ámbito sobre el cual se debe de cumplir con los requisitos de la norma PCI DSS.

2. La asesoría de una empresa que cuente con personal especializado, de preferencia,

acreditada por el grupo PCI SSC es un factor crítico de éxito.

3. El cumplimiento de la norma es un proceso multidisciplinario, por tal motivo es muy

importante contar con el respaldo de la "Alta Gerencia", de manera que se tenga la

disponibilidad de la mayor cantidad de personas.

4. El diseño de red es el primer paso para el cumplimiento de la norma, se debe de

tener presente que la norma requiere además de la elaboración de políticas y

procedimientos, estándares de seguridad para el desarrollo de aplicaciones, estándares

de seguridad para la adecuada configuración de dispositivos.

5. Si la institución busca certificar el cumplimiento de la norma debe de tener en claro

que es necesario desarrollar un proceso de mantenimiento y control. La adecuada

segmentación y protección perimetral no es suficiente. Se debe de contar con un

procedimiento de monitoreo y documentación ante cambios en la infraestructura.

6. Se recomienda la elaboración e implementación de estándares de seguridad para la

configuración de los routers, firewalls, sistemas de detección y prevención contra intrusos

alineados a los requerimientos de la norma PCI DSS.

7. Se recomienda la adquisición de nuevas plataformas tecnológicas, como es el caso

del firewall de aplicaciones se recomienda solicitar a los fabricantes un documento en

donde detalle que su producto cumple con la norma.

8. Se recomienda que en el desarrollo de aplicaciones evitar el almacenamiento del

PAN, salvo que sea sumamente necesario para el negocio.

9. Se recomienda la implementación del proceso de gestión de cambios en la

infraestructura de red y los firewalls.

1 O. Se recomienda la implementación del proceso de atención de eventos e incidentes

!alertados por el sistema de detección y protección contra intrusos.

ANEXO A

CONOCIMIENTOS REQUERIDOS POR LOS REQUISITOS DE LA NORMA

(- _, :_ .. : ... '{;--;�,-.:� ... , j.. __ _ ry ·-t�1:1P,<? ,��r,: ,----�� -�,� �� r · t:-� .. � ��-; �-..:�· ";}· �'Y��;�:· -:.•--t-�:.-y',!� _'.-'r�t t' .. J:I � -:�i¡(t�;-.J;.:.l,'(:f��ills -re'quiri�os: .,•-:::.,._;.:PF- J J-'"-f >lo-_ - f¡: �-�: �--.-�� - --, -, �--- -_...-.- .. ·:-· ·_:·-�;.-- ; ,- :-i . :: ... -., -_

,t, / :;eJü�;¡�i:;,�f·�c/;�: ;r::,, ·:�é�th'�'áci( ,:r� - !�i --.�s"'! �. tk�-i�i;} .:��st:;Ja� -�:Sé� f: l ��;'.i ,�o.:;::rioi1��,- �¡li�ad 'cii- -S�g�'ri�á� ',.-,-��in�d�: .-, :;, : -:

7

•• ?�pi;,s�d�' :. ;,:\ .. i;,. ➔'�r!��J',; .:- .;. __ -�''')-,,Información' 'l.:��e_w.a_' �-... �' ·rswiiJti"'.<ciperatiVó. :'.,,Datos' f ·, e "'f4:.!-· �softtvare¿, .' S�ftwarei-<:, FísicaJ , ",:: _?Ve_s_. -· ,'. _orreo_.' ,respal�o i :;; ;,_ -:��-�-,,: :. { ·.s:.:: !li,•,f.-:, _ ��?"� ,•,' "�- �,,_, • .i i:- •¡,r :•,� :/Jt;.J� . _ -'--�"'°º'�-��'.:}-:-•c.-"':-�� ,1'.� ,t: ,"! � �•'�; l�-�'�•_'!:'.c:•. ,·11· ,.:._ ;, _; · _, _:_�:; ):,,_,.. �,:' c_r!�0_g�_a_f_1_Cli�:"-1: '": .·.• ��· �JB!l_c_kup)i,

Requisito 1: instale y mantenga una configuración de firewalls para proteger los datos de los titulares de las tarjetas Requisito 2: No use contraseñas de sistemas y otros parámetros de seguridad provistos por los proveedores Requisito 3: Proteja los datos del titular de la tarjeta que fueron almacenados Requisito 4: Codifique la transmisión de los datos de los titulares de tarjetas a través de redes públicas abiertas. Requisito 6: Utilice y actualice regularmente el software o los programas antivirus

Requisito 6: Desarrolle y mantenga sistemas y aplicaciones seguras

Requisito 7: Restrinja el acceso a los datos de los titulares de las tarjetas conforme a la necesidad de· conocer de la empresa Requisito 8: Asigne una ID única a cada persona que tenga acceso a equipos. Requisito 9: Restrinja el acceso físico a datos de titulares de tarjetas.

Requisito 10: Rastree y supervise todo acceso a los recursos de red y datos de titulares de tarjetas.

Requisito 11: Pruebe con regularidad los sistemas y procesos de seguridad. Requisito 12: Mantenga una política que aborde la seguridad de la información para empleados y contratistas

X

X

X

X

X

X

X

X

X

X

X

X

X X X X

X X X X

X X X X X X X

X X X X X X X X

X X

X X X X X X

X X X X

X X X X

X X X X X

X X X X X X X

X X X X X X

X X X

57

ANEXO B

DIAGRAMA ACTUAL DE RED

SUCURSALES

�� _,. fflt$) ��i¡a----------------------------�

rf�:\ J SEDE PRINCIPAL

Red Interna

Acceso

Sert/idores de :>ase de datos, de archivos, de autenticación, de correo. de aplicaciores, de

Impresoras, etc.

· Servidores

, ;::,:.blicc-s

1

\ \

! ,�/ r l

59

ANEXO C MATRIZ DE COMPONENTES TECNOLÓGICOS QUE CONFORMAN EL CDE

Banca por Internet APP_01

Consolidado de pagos APP _02

X X

X X X

Banca por Internet Servidor01

Servidor02 T Servidor BD 01 BD_APP01

Consolidado de pagos Servidor 04 p

Banca por Internet Servidor_03 FOLDER_APP01

Consolidado de pagos Servidor_03 FOLDER_APP02

.bel

.xls

61

A

A

A

ANEXO D

DISEÑO DE RED SEGMENTADO

SEDE PRINCIPAL

Base datos PCI

Aplicaciones Producción PCI

·�

�Aplicaciones

Producción NO PCI

Gestión

y administración

Sef"llfdores

PúóliGCS

r(\ , h I \

1 1 \

JNTERNET

)

·,, ! \ 1

, I

63

ANEXO E

DIRECCIONAMIENTO IP

10

20 30

40

50

60

70

80

VL41'J 10 Conexión a la WAN de su�cursales y tiendas \JLAN 20 . Conexión a la nr1vegaóón WP.b pa;,; uc;ur1ríos VL41'J_30 Conexión a los servidos de ne�oc e VLAl'J_ 40 Conexión a loe; sistPmas d.- alr-,acenamiento de datos PCI

VL41'J_50 Cone><ión al fistema rv:ainframe VlAN 60 Servidores de a licaciones PCI �Producción)

VIAN_70 Sistemas de almacenamiento de datos PCI VlAN 80 Red de estión almacena.míe nto

serví dores de aplicaciones no PC (Producción) Vl/\N_90 Se · ·100

· . VLAN::_100 , Red de usuariPi · .

no mayur a 14 hosts 172.17.1.0/28 no mayor a 14 hosts 172.17.1.16/28 no ,rayora 14ho�ts 172.17.1.32/28 no mayor a 14 hosts 1/2.1/.1.48/1�

no í""ayor a 14 h05ts 172.17.1.64/28 noma 1or a 254 172.17 .6. 0/24

no ma-,•or a 254 172.17.7.0/24 noma ·ora 254 17217 .8. 0/24

no mayor a 254 172.17.9. 0/24

'Mantiene su segmento de red 172.16.0.0/16

65

ANEXO F

TABLA DE COSTOS

Caeacitación en la norma PCI

DSS

Este actividad de capacitación general aplica a los profesionales asignados al CAPEX Consultoría Consultora especializada 1 40 50 $ 2,000.00 proyecto.

El entregable de esta actividad serán los materiales del curso, en formato digital, certificado de asistencia.

Identificación del CDE

Para el desarrollo de esta CAPEX Consultoría Consultora especializada 3 160 200 $ 32,000.00

actividad se analiza el entorno físico y lógico de la empresa.

Los entregables de esta OPEX Planilla Jefe Proyectos - Local 1 160 15 $ 2,400.00 actividad, serán:

· Diagrama de flujo del recorridode los datos de tarjetas sobre eldiagrama topológico de red.· Lista de equipos donde se hadetectado almacenamiento dedatos de tarjetas.· Propuesta de estrategias de OPEX Planilla Analista Seguridad - Local 1 160 7 $ 1,120.00 seguridad orientadas aminimizar el alcance de la normaPCI DSS.

67

GAP Análisis

Esta actividad será desarrollado de manera detallada y aplicando CAPEX Consultoría Consultora especializada 3 224 200 $ 44,800.00 cada requerimiento del PCI DSS sobre cada componente físico y lógico del inventario resultado de la actividad 11, según corresponda.

Los entregables de esta OPEX Planilla Jefe Proyectos - Local 1 80 15 $ 1,200.00 actividad, serán:

· Informe detallado de brechasde cumplimiento para cadarequerimiento de la norma.· Plan de remediación a corto,mediano y largo plazo, sobrecada re.querimiento de la norma,con la validación respectiva de

OPEX Planilla Analista Seguridad - Local 1 80 7 $ 560.00 las áreas responsables de suimplementación.

68

Plan de acción OPEX Planilla Jefe de proyectos - local 1 256 15 $ 3,840.00

En esta actividad se realiza el diseño de la red, considerando

las ausencias indicadas en el GAP análisis. Seguridad Información -

OPEX Planilla Local

2 256 20 $ 5,120.00

Los entregables en es ta etapa

son:

· Diagrama de las nuevasTecnología Información -

subredes de la red interna. OPEX Planilla 3 256 30 $ 7,680.00 · Diagrama de la red perimetral.

Local

69

ANEXOG

DIAGRAMA DE GANTT

Nombre de tarea 1 - Implementación PCI DSS

__ ¡

2 - Etapa Identificación del alcance3 - Capacitación4

5 --7

6 1

-··,--·¡8 1

---- -i

9 10 11 j

-12--113 1

--14-1 -1-5 í--�16 i ____ j

17 !

18 ¡ 19 i

1 ¡

20 -- _ _J21

Preparación de capac�ación y presentacione - Kick-off

Vvorkshops Entre istas con personal operativo Entrevistas con personal TI Hito 1: Identificación del CDE

- Etapa 11: GAP Análisisldentificacion de brechas Preparación del informe Presentación del informe Ajustes

Presentacion final Hito 2: Reporte de brechas

- Etapa 111: Plan de acción

Diseño de red interna Diseño de redes perimetrales Oocumentacíón final de los diseños Hito 3: Presentación del diseño,

t Duración I Predect '_me_s_1 __ 111

_,_l•

me••

s_ ■2-■-■..._!

■mes-■_ ■-3•••[ •me_

■-s•

4•••j me••

s•s11_mes

_6___,83días • ♦

26días •••---•♦

5dÍas

5días

5 d'ias Sdías 4

S días 6 10 días 7

1 día 8 29 días 10 días 9

S días 11 Sdías 12 3 días 13 S días 14 1 día 15

33días

10 oías 16 1Sdias 18

7 dias 19 1 día 20

..

íi-

71

ANEXO H GLOSARIO DE TÉRMINOS

73

Administrador de bases de datos: Denominado también "DBA", se refiere al

responsable de administrar bases de datos.

Administrador de red: Personal responsable de administrar la red dentro de una

entidad. Entre las responsabilidades generalmente se incluyen, a modo de ejemplo, la

seguridad, las instalaciones, las actualizaciones, el mantenimiento y la supervisión de la

actividad de la red.

Aplicación: Incluye todos los programas o grupos de programas de software adquiridos y

personalizados, así como también las aplicaciones internas y externas.

Aplicación Web: Una aplicación a la que generalmente se accede mediante un

explorador web o a través de servicios Web. Las aplicaciones web pueden estar

disponibles a través de Internet o en una red privada e interna.

ATM: Conocido en el medio local como cajero automático. El cajero automático es una

máquina expendedora usada para extraer dinero utilizando una tarjeta de crédito ó

débito.

Base de datos: Formato estructurado que permite organizar y mantener información de

fácil recuperación. Algunos ejemplos simples de base de datos son las tablas y las hojas

de cálculo.

Blade: Tipo de tecnología de servidor

BPI: Acrónimo de banca por Internet.

Bridge: es un dispositivo para interconexión de redes locales.

Broadcast: transmisión de un paquete que será recibido por todos los dispositivos en

una red.

CAPEX: Significa "los gastos de capital," gasto de capital es la cantidad de dinero

gastado por una empresa para mejorar, adquirir o mantener y tangibles depreciables los

activos físicos plazo de duración.

CDE: Acrónimo del entorno de datos de tarjeta. El CDE está conformado por las

personas, los procesos y la tecnología que almacenan, procesan o transmiten datos de

titulares de tarjetas o datos confidenciales de autenticación, incluidos todos los

componentes del sistema conectados.

CPU: Unidad central de procesamiento, es el componente del computador y otros

dispositivos programables, que interpreta las instrucciones contenidas en los programas y

procesa los datos.

DMZ: Abreviatura de zona desmilitarizada, viene del término en inglés "demilitarized

zone". Subred física o lógica que proporciona una capa de seguridad adicional a la red

privada interna de una organización.

Enmascaramiento: Técnica empleada para ocultar valores de en pantalla o impresos

mediante el empleo de asteriscos o algún símbolo similar.

74

Firewall: Dispositivo de red empleado para bloquear el acceso no autorizado de redes no

confiables hacia una red confiable, permitiendo al mismo tiempo comunicaciones

autorizadas.

FTP: Acrónimo del protocolo de transferencia de archivos. Protocolo de red que se utiliza

para transferir datos de una computadora a otra mediante un red pública, como Internet.

En general, se considera que FTP es un protocolo inseguro, porque permite enviar

contraseñas y contenido de archivos sin protección y en texto simple.

Gap: Análisis realizado para determinar las diferencias entre el estado actual y el estado

al cual se desea llegar como parte del cumplimiento de un estándar, de una meta

financiera, etc.

Gateway: Es un dispositivo, con frecuencia una computadora, que permite interconectar

redes con protocolos y arquitecturas diferentes a todos los niveles de comunicación.

Host: Es el término empleado para identificar un nodo de red como por ejemplo una

computadora o laptop.

HTTP: Acrónimo del protocolo de transferencia de hipertexto. Protocolo abierto de

Internet que permite transferir o transmitir información en Internet.

HTTPS: Acrónimo del protocolo de transferencia de hipertexto a través de una capa de

conexión segura. HTTP seguro que proporciona autenticación y comunicación cifrada en

Internet diseñado para comunicaciones que dependen de la seguridad, tales como los

inicios de sesión basados en la web.

Hub: dispositivo que permite centralizar el cableado de una red y poder ampliarla. Esto

significa que dicho dispositivo recibe una señal y repite esta señal emitiéndola por sus

diferentes puertos.

ICMP: Acrónimo del protocolo de mensajes de control de Internet. Es el encargado de

control y notificación de errores del protocolo IP.

IDPS: Acrónimo de sistema de detección y prevención de intrusos.

IMAP: Acrónimo del protocolo de acceso a mensajes de Internet. Es un protocolo de red

de acceso a mensajes electrónicos almacenados en un servidor.

IP: Acrónimo del protocolo de Internet. Protocolo de capas de red que contiene

información sobre direcciones y algunos datos de control, y permite el ruteo de paquetes.

IP es el protocolo primario de capas de red en la suite de protocolos de Internet.

1Pv4: Versión 4 del protocolo IP.

IPSec: Es un conjunto de protocolos cuya función es asegurar las comunicaciones sobre

el Protocolo de Internet (IP) autenticando y/o cifrando cada paquete.

lnbound: Tráfico entrante hacia una red.

LAN: Acrónimo de red de área local. Grupo de computadoras y/u otros dispositivos que

comparten una línea de comunicaciones común, generalmente, en un edificio o grupo de

75

edificio.

Mainframe: Computadoras diseñadas para trabajar con grandes volúmenes de entrada y

salida de datos y para enfatizar el rendimiento informático.

Multicast: Envío de la información en una red a múltiples destinos simultáneamente.

OPEX: Es el costo de la ejecución de los servicios de TI. Frecuentemente se trata de

pagos. Por ejemplo, el costo de personal, el mantenimiento de hardware o el consumo

eléctrico.

Outbound: Tráfico saliente de una red.

PAN: Acrónimo de número de cuenta principal, también denominado "número de cuenta".

Número exclusivo de una tarjeta de pago que identifica al emisor y la cuenta específica

del titular de la tarjeta.

PCI DSS: Norma de seguridad que deben cumplir las organizaciones que procesan,

transportan o almacenan datos de titulares de tarjeta.

PCI SSC: Es el acrónimo del comité PCI Security Standards Council, el cual es un foro

mundial abierto destinado a la formulación, la mejora, el almacenamiento, la difusión y la

aplicación permanentes de las normas de seguridad para la protección de datos de

cuentas.

POP: En informática se utiliza el protocolo de la oficina de correo en clientes locales de

correo para obtener los mensajes de correo electrónico almacenados en un servidor

remoto.

Proxy: Dispositivo que realiza una acción en representación de otro, esto es, si una

hipotética máquina A solicita un recurso a una C, lo hará mediante una petición a B; C

entonces no sabrá que la petición procedió originalmente de A.

SAN: Acrónimo de red de área de almacenamiento.

Servidor Web: Computadora con un programa capaz de aceptar pedidos HTTP de

clientes web y brindar respuestas HTTP (en general, páginas web).

SFTP: Acrónimo del protocolo de transferencia segura de archivos.

SMTP: Acrónimo del protocolo simple de transferencia de correo, es empleado para el

intercambio de mensajes de correo electrónico entre computadoras u otros dispositivos.

SONA: Acrónimo del modelo de arquitectura de redes orientado a servicios establecido

por la compañía Cisco.

SQL: Acrónimo del lenguaje de consulta estructurado. Lenguaje informático utilizado para

crear, modificar y recuperar datos de sistemas de administración de bases de datos

relacionales.

SSL: Acrónimo del protocolo de capa de conexión segura, que es empleado para

proporcionar una comunicación segura en Internet.

76

Switch: dispositivo digital de lógica de interconexión de redes de computadores que

opera en la capa de enlace de datos del modelo OSI.

TCP: Acrónimo del protocolo de control de transmisión. Lenguaje comunicativo o

protocolo básico de Internet.

UDP: Acrónimo del protocolo de datagramas de usuario. Proporciona una sencilla interfaz

entre la capa de red y la capa de aplicación sin ofrecer garantías para la entrega de sus

mensajes.

UTM: Acrónimo de gestión unificada de amenazas, estos dispositivos pueden unificar

algunas funcionalidades como, VPN, firewall, filtro de contenidos, antivirus, IDPS.

VLAN: Abreviatura de LAN virtual o red de área local virtual. Red de área local lógica que

se extiende más allá de una sola red física de área local.

WAN: Acrónimo de red de área amplia. Red informática que abarca un área amplia, a

menudo parte de un sistema con cobertura en toda una región o empresa.

BIBLIOGRAFÍA

[1] Requisitos y procedimientos de evaluación de seguridad, Versión 2.0, PCI SSC.

[2] Navegación de las PCI DSS, Versión 2.0, PCI SSC.

[3] Security Rules and Procedures, Merchant Edition, MasterCard.

[4] Guidelines on Firewalls and Firewall Policy, Karen Scarfone & Paul Hoffman.

[5] Guide to lntrusion Detection and Prevention Systems (IDPS), Karen Scarfone & PeterMell.

[6] CISSP All-in-One Exam Guide, Shon Harris.

[7] The Role of Cisco SONA in Enterprise Architecture Frameworks and Strategies, lanFoo.

[8] Internet Edge Solution Overview, Cisco Systems.

[9] Evolución en la seguridad de medios de pago, Fabián Garzón Garzón.

[1 O] Cisco IT Case Study Service Oriented Network Architecture, Cisco Systems.

[11] Security Architecture Blueprint, Gunnar Peterson

[12] Network Architecture Standard, Office of Technology Services Security Management

Division.

[13] PCI DSS Compliance- Payment Card lndustry Data Security Standard, Vanesa GilLaredo.

[14] PCI DSS Compliance Overview, Braintree Payment Solutions.

UNIVERSIDAD NACIONAL DE INGENIERÍAcybertesis.uni.edu.pe/bitstream/uni/9591/1/navarro_jr.pdf · PCI...

Documents

Transcript of UNIVERSIDAD NACIONAL DE INGENIERÍAcybertesis.uni.edu.pe/bitstream/uni/9591/1/navarro_jr.pdf · PCI...