Weblog de JaCkSecurity

Como es de su conocimiento el pasado mes de noviembre se celebró el día internacional de la seguridad Informática, con tal motivo decidimos lanzar un concurso, del cual obtuvimos un ganador destacado.

Germán, nuestro ganador de Mi Historia de Seguridad, nos explicó cómo mejoró la seguridad de la infraestructura de su institución, luego de fusionar algunas lecciones de captura de tráfico impartidas por JaCkSecurity.com, y la destacada habilidad de su team desarrollando herramientas propias para la gestión.

Su historia demuestra claramente cómo las personas hacemos la diferencia para manejar los problemas tecnológicos de seguridad, especialmente empleando los recursos existentes. Una verdad a la que por cierto han llegado muchos líderes de seguridad en el mundo. Pero por supuesto, este reto supone constante capacitación y desarrollo de las habilidades de los profesionales de seguridad. Un reto que JaCkSecurity.com ha asumido en su misión corporativa.

Por esa razón, reconocemos la iniciativa de seguridad de nuestro ganador otorgándole una media beca para cualquiera de los “nuevos cursos” que JaCkSecurity.com lanzará en el 2007.

Sin más preámbulo, su historia:

Título: ¿ De quién es ésta PC?
Ganador: Germán Medina Neria

Antes de la mejora
La red de la institución huésped de mi historia empleaba entre sus prácticas de conectividad, la asignación de direcciones IP estáticas, para que los usuarios obtuvieran conexión a la red interna y a la Internet. Aunque este escenario puede someterse a una política de asignación de direccionamiento IP dinámico, se sumó al escenario plantado un interesante problema.

Indistintamente usuarios finales y sin conocimiento del administrador de la oficina informática empezaron a secuestrar direcciones IP que eran reconocidos por firewall como aquellas válidas para acceder a Internet. Incluso se inició el éxodo donde los usuarios finales empezaron a adquirir sus equipos portátiles y a conectarse a la red de datos para acceder a servicios de Internet, saltando los trámites regulares para dichos casos tan exclusivos.

Adicionalmente, la institución no contaba con un software de monitoreo capaz de rastrear las incidencias de conexión de cada uno de los usuarios finales, algún muy útil para detectar estas violaciones a la política.

Solución, detección y sanción

El 24 de mayo del 2006 asistí a la charla técnica “Análisis de Incidentes con Windump” que brindó la empresa JaCkSecurity.com en TECSUP, con motivo de su I Simposio Internacional de Redes y Comunicaciones de Datos. Allí comprendí cómo enfocar mi propuesta de solución: “ver las direcciones MAC (Machine Address Code) y escuchar lo que éstas querían hacer”, esto es como pegarle el oído en la red de datos. Es así que desarrollé un software que atendiera los siguientes objetivos:

(1) Capturar de direcciones MAC, dirección IP, nombre de PC, fecha/hora, y puertos destinos del intento de conexión.

(2) Capturar las 24 horas del día, los 365 días del año, manteniendo y actualizando una tabla principal.

(3) Permitir la carga manual de datos a través de un formulario electrónico, con la información de las PCs y con datos extras como: número de roseta, número de oficina, número de piso, número de anexo, si estaba inventario o no, entre otros.

(4) Crear tickets de incidentes por violación, notificando por correo electrónico cuando el contraste entre dirección IP y dirección MAC no coincidiera con la tabla principal autorizada.

Resultado final

Hoy tenemos capacidad de detectar a los usuarios finales que secuestran direcciones IP, a quienes posteriormente se le amonestada administrativamente.

Los usuarios finales con equipos portátiles y nuevos solicitan, vía conducto regular, la inscripción de su equipo en el sistema desarrollado (tomándose la dirección MAC y otras características del equipo, mientras se le asigna una dirección IP que está asociado a ciertos servicios de Internet).
La introducción del programa adicionó un nuevo procedimiento de seguridad: Cada vez que una PC se movía de un área hacia otra en la institución, debía ser actualizado a través del programa para que no genere notificación por violación. Igualmente sucede en los casos: si es que la PC es actualizada de nombre ó se cambia la tarjeta de red.

Adicionalmente, el programa facilita acceder a un registro histórico de:

• la hora punta de las conexiones concurrentes,
• cuánto tiempo está conectado cada equipo de cómputo en la red de datos,
• si efectuaron cambios en la configuración de la conexión de red,
• y sobre todo cuándo se detectó una usurpación de direccionamiento IP.

Por supuesto, una vez que identificaba alguna nueva PC, hicieron falta procedimientos extras para garantizar que cada uno de dichos equipos contaran con la protección mínima necesaria: Antivirus, y otras políticas de acceso.

Comentarios de JaCkSecurity.com

Paralelo al hecho si existen similares propuestas en el mundo comerciales para solucionar este tipo de problemas, destacamos principalmente la pro-actividad de los profesionales con sentido de responsabilidad en la seguridad como Germán y su team, a fin de crear procedimientos y desarrollos propios para afrontar las diferentes aristas que la seguridad informática demanda como problema.

Para debates de mejoras y/o usos del software citado en la historia, sírvase contactarse con Germán Medina Neria, actualmente Networking Team Leader del Instituto de Enfermedades Neoplásicas, al 710-6900 anexo 1033.

This entry was posted on Tuesday, December 12th, 2006 at 1:26 pm and is filed under Events. You can follow any responses to this entry through the RSS 2.0 feed. Both comments and pings are currently closed.