INFORME TECNICO ma Cliente Servidor

INFORME TÉCNICO PLATAFORMA CLIENTE/SERVIDOR DIRECTORIO ACTIVO

Lic. Yetzina Dávila Evaluador de Seguridad Tecnológica

División de Investigaciones y Seguridad de Datos / Departamento de Seguridad de Datos

CONTENIDO

Fecha:

INFORME

1. 2. 3. 4. 5. 6. 7. 8. 9.

15-07-2008

Introducción Conocimiento General de la Plataforma Debilidades Valor de Criticidad del Activo Ponderación de Vulnerabilidad Fortalezas Amenazas Matriz de Riesgo Conclusiones y Recomendaciones

2

FECHA:

INFORME

16-07-2008

1.- INTRODUCCIÓN: Siguiendo instrucciones de la Gerencia del Dpto. de Seguridad de Datos. Lic. Liliana Serrano, se elabora el presente informe técnico, el cual está orientado a exponer la situación actual de la Plataforma Cliente / Servidor, específicamente del Directorio Activo, tomando en cuenta para ello sus fortalezas, vulnerabilidades, amenazas y riesgos. 2.- CONOCIMIENTO GENERAL DE LA PLATAFORMA: El Directorio Activo es un servicio de red que almacena información acerca de los recursos existentes en la red y controla el acceso de los usuarios y las aplicaciones a dichos recursos. De esta forma, se convierte en un medio de organizar, administrar y controlar  centralizadamente

el acceso a los recursos de la red.

Un directorio activo se puede definir como una estructura jerárquica y esta estructura se suele dividir en tres categorías principales, los recursos que pueden incluir  hardware, como impresoras, servicios para los usuarios finales, tales como servidores de correo Web y los objetos que son las principales funciones del dominio y de la red. En general, Active Directory (AD) es el término utilizado por  Microsoft  para referirse a su implementación de servicio de directorio en una red distribuida de computadores. Su estructura jerárquica permite mantener una serie de objetos relacionados con componentes de una red, como usuarios, grupos de usuarios, permisos y asignación de recursos, y políticas de acceso, en este caso a los recursos del Banco Industrial de Venezuela. El Directorio Activo posee los siguientes componentes: •

Dominio: Objeto raíz que actualmente se está administrando.

•

Usuarios: Representan un usuarios de la red.

3

FECHA:

INFORME

16-07-2008

•

Computadores: Representa los equipos integrados al dominio.

•

Impresoras: Representa las impresoras disponibles en el dominio.

•

Grupos: Objeto contenedor que representa una agrupación de usuarios. .

3.- VULNERABILIDADES: CUALITATIVAS Falta de un Estándar en la creación de los usuario, específicamente en los •

diferentes campos que son utilizados para almacenar la información de los referidos usuarios y en algunos casos la omisión de los mismos. Esto dificulta la capacidad que debe tener el Directorio Activo para proporcionar información de los usuarios. Ejemplo de esto, se aprecia en las siguientes pantallas:

4

FECHA:

INFORME

16-07-2008

5

FECHA:

INFORME

•

16-07-2008

Falta de una depuración del Directorio Activo y actualización de la data, ya que existen usuarios que se encuentran activos siendo personal egresado y otros cuya información se encuentra totalmente desactualizada tales como: Área de Adscripción, Departamento, Teléfono, Fecha de desactivación, etc. Adicionalmente, existen usuarios con la nomenclatura de contratados, siendo  personal fijo de la institución, los cuales no han sido estandarizados.

•

Existe segmentación de los grupos para otorgar acceso a Internet, sin tener  ningún valor agregado, sólo funcionan para la clasificación de los usuarios con este acceso.

6

FECHA:

INFORME

•

16-07-2008

La creación de forma errada de los usuarios corrompe la Base de Datos del Directorio Activo.

•

El acceso a los recursos compartidos está mal organizado, ya que existen usuarios que pueden ingresar a diferentes carpetas cuando debería ser a una o varias en específico. Esto indica que existen accesos indebidos en relación a estos recursos.

•

Falta de normativa para la creación de los grupos en el Directorio Activo.

CUANTITATIVAS •

Falta de una estructuración del contenedor USER creado para los usuarios de la institución en condición de empleados fijos. Esto impide facilitar la

7

FECHA:

INFORME

16-07-2008

organización de dichos usuarios, para su fácil recuperación, acceso y posterior  consulta. •

Por falta de espacio de almacenamiento en los servidores, no se encuentra activo el Log de Auditoria de Seguridad, donde deberían estar registradas todas las operaciones realizadas por los usuarios en el directorio activo, que permita en caso de sospecha de falla en la seguridad, que este archivo pueda ser consultado   para conocer los daños causados y/o identificar a los responsables de las operaciones irregulares.

4.- VALOR DE CRITICIDAD DEL ACTIVO Factor de Criticidad

Disponibilidad (D) Confidencialidad (C)

Integridad (I) Ponderación Criticidad ∑ (D,C,I) / 3

Crítico Alto Medio Bajo

2

2

2

6/3= 2

De acuerdo al resultado obtenido en la Ponderación de Criticidad del Activo se  puede observar, que el Directorio Activo tiene Asignación de Criticidad MEDIO. 5.- PONDERACIÓN DE VULNERABILIDAD Vulnerabilidad

Critica

(4) Falla en la definición del Acceso de usuarios Falta de Log De Seguridad X Falta de Estándar en la Creación

Alta

Media

Baja

Ponderación

(3)

(2)

(1)

de Vulnerabilidad

X ∑ (Valores de Criticidad) / Nro Vulnerabilidades

X

8

FECHA:

INFORME

16-07-2008

de Usuarios Falta

de

Estructuración

Contenedor USER  Falta de depuración

de

del

X

= 3,125 ≈ 3

los

Contenedores Falta de Actualización de la Data Accesos

a

los

Recursos

Compartidos mal organizado Falta de Normativa para la Creación de Grupos 6.- FORTALEZAS: •

(2+4+4+3+2+2+4+4) / 8

X X X

X

El Directorio Activo proporciona una primera etapa de validación para el acceso a las diferentes aplicaciones del Banco Industrial de Venezuela.

•

•

Se puede restringir el acceso a los empleados a los recursos informáticos del BIV, así como también, controlar, regular y parametrizar los mismos. Existe una estructuración de los objetos del directorio (Árbol Jerárquico),  permitiendo al administrador del dominio una gestión más lógica de usuarios, grupos, equipos, etc., pero también le permite a cualquier usuario una búsqueda de los objetos más sencilla cuando explora el directorio buscando recursos (por  ejemplo, se podría localizar fácilmente las impresoras compartidas de la Torre Las Delicias).

9

FECHA:

INFORME

16-07-2008

7.- AMENAZAS: •

•

Al no deshabilitar de forma oportuna a los usuarios se corre el riesgo de que un usuario pueda atentar en contra de los activos informáticos del BIV, en vista de que este recurso proporciona acceso a la red del BIV. Al no tener bien estructurado los accesos a los recursos compartidos, existe la  posibilidad de que algún usuario tenga permisología a ciertas carpetas de forma no autorizada, incumpliendo así con las políticas y normas en materia de  perfiles de acceso y dando lugar a que esta situación pueda ser aprovechada por  los usuarios para realizar atentados intencionales, tales como borrado de data.

10

FECHA:

INFORME •

16-07-2008

La falta de información actualizada podría generar errores mayores, tal como otorgar otros accesos de manera indebida.

8.- MATRIZ DE RIESGO Amenazas/ Vulnerabilidades

Falta de Logs de Auditoria

Falta de estructuración en los Recursos Compartidos

Acceso Indebido Recursos del BIV

a

 No es Posible

Destrucción, daños o de

establecer  Responsabilidades y

modificaciones

los tomar acciones legales

alteren

el

que correcto

funcionamiento de algún sistema o

que a través

de su uso indebido, se produzcan un resultado que permita obtener un provecho

injusto

en

perjuicio ajeno.

9.- CONCLUSIONES Y RECOMENDACIONES: Se debe realizar un plan de trabajo que permita subsanar las debilidades encontradas en el Directorio Activo. Para ello se recomienda tomar en cuenta las siguientes sugerencias: •

•

Realizar una depuración de los usuarios que existen en el directorio activo, de manera de bloquear a aquellos usuarios que pudiesen encontrarse activos siendo  personal desincorporado. Actualizar la data de los usuarios y estandarizar aquellos que lo requieran.

11

FECHA:

INFORME •

•

•

16-07-2008

Activar los Logs de Auditoria, que permitirá en caso de mala administración establecer responsabilidades. Establecer un estándar para el ingreso de la información de los usuarios, estableciendo claramente los registros que deben existir en cada uno de los campos. Estructurar el contenedor user, de acuerdo a la organización de la empresa (por  Área, División, Departamento), esto ayuda a una mejor administración de la seguridad y fácil recuperación y acceso a los objetos.

•

•

•

Depurar los accesos otorgados al grupo WWW, ya que existen usuarios que  poseen accesos a Internet cuando su perfil no lo requiere. Revisar la organización de los recursos compartidos, de manera de otorgar sólo los accesos requeridos. Establecer una normativa para la creación de los grupos en el Directorio Activo.

12