INFORME TECNICO ma Cliente Servidor
Short Description
Download INFORME TECNICO ma Cliente Servidor...
Description
INFORME TÉCNICO PLATAFORMA CLIENTE/SERVIDOR DIRECTORIO ACTIVO
Lic. Yetzina Dávila Evaluador de Seguridad Tecnológica
División de Investigaciones y Seguridad de Datos / Departamento de Seguridad de Datos
CONTENIDO
Fecha:
INFORME
1. 2. 3. 4. 5. 6. 7. 8. 9.
15-07-2008
Introducción Conocimiento General de la Plataforma Debilidades Valor de Criticidad del Activo Ponderación de Vulnerabilidad Fortalezas Amenazas Matriz de Riesgo Conclusiones y Recomendaciones
2
FECHA:
INFORME
16-07-2008
1.- INTRODUCCIÓN: Siguiendo instrucciones de la Gerencia del Dpto. de Seguridad de Datos. Lic. Liliana Serrano, se elabora el presente informe técnico, el cual está orientado a exponer la situación actual de la Plataforma Cliente / Servidor, específicamente del Directorio Activo, tomando en cuenta para ello sus fortalezas, vulnerabilidades, amenazas y riesgos. 2.- CONOCIMIENTO GENERAL DE LA PLATAFORMA: El Directorio Activo es un servicio de red que almacena información acerca de los recursos existentes en la red y controla el acceso de los usuarios y las aplicaciones a dichos recursos. De esta forma, se convierte en un medio de organizar, administrar y controlar centralizadamente
el acceso a los recursos de la red.
Un directorio activo se puede definir como una estructura jerárquica y esta estructura se suele dividir en tres categorías principales, los recursos que pueden incluir hardware, como impresoras, servicios para los usuarios finales, tales como servidores de correo Web y los objetos que son las principales funciones del dominio y de la red. En general, Active Directory (AD) es el término utilizado por Microsoft para referirse a su implementación de servicio de directorio en una red distribuida de computadores. Su estructura jerárquica permite mantener una serie de objetos relacionados con componentes de una red, como usuarios, grupos de usuarios, permisos y asignación de recursos, y políticas de acceso, en este caso a los recursos del Banco Industrial de Venezuela. El Directorio Activo posee los siguientes componentes: •
Dominio: Objeto raíz que actualmente se está administrando.
•
Usuarios: Representan un usuarios de la red.
3
FECHA:
INFORME
16-07-2008
•
Computadores: Representa los equipos integrados al dominio.
•
Impresoras: Representa las impresoras disponibles en el dominio.
•
Grupos: Objeto contenedor que representa una agrupación de usuarios. .
3.- VULNERABILIDADES: CUALITATIVAS Falta de un Estándar en la creación de los usuario, específicamente en los •
diferentes campos que son utilizados para almacenar la información de los referidos usuarios y en algunos casos la omisión de los mismos. Esto dificulta la capacidad que debe tener el Directorio Activo para proporcionar información de los usuarios. Ejemplo de esto, se aprecia en las siguientes pantallas:
4
FECHA:
INFORME
16-07-2008
5
FECHA:
INFORME
•
16-07-2008
Falta de una depuración del Directorio Activo y actualización de la data, ya que existen usuarios que se encuentran activos siendo personal egresado y otros cuya información se encuentra totalmente desactualizada tales como: Área de Adscripción, Departamento, Teléfono, Fecha de desactivación, etc. Adicionalmente, existen usuarios con la nomenclatura de contratados, siendo personal fijo de la institución, los cuales no han sido estandarizados.
•
Existe segmentación de los grupos para otorgar acceso a Internet, sin tener ningún valor agregado, sólo funcionan para la clasificación de los usuarios con este acceso.
6
FECHA:
INFORME
•
16-07-2008
La creación de forma errada de los usuarios corrompe la Base de Datos del Directorio Activo.
•
El acceso a los recursos compartidos está mal organizado, ya que existen usuarios que pueden ingresar a diferentes carpetas cuando debería ser a una o varias en específico. Esto indica que existen accesos indebidos en relación a estos recursos.
•
Falta de normativa para la creación de los grupos en el Directorio Activo.
CUANTITATIVAS •
Falta de una estructuración del contenedor USER creado para los usuarios de la institución en condición de empleados fijos. Esto impide facilitar la
7
FECHA:
INFORME
16-07-2008
organización de dichos usuarios, para su fácil recuperación, acceso y posterior consulta. •
Por falta de espacio de almacenamiento en los servidores, no se encuentra activo el Log de Auditoria de Seguridad, donde deberían estar registradas todas las operaciones realizadas por los usuarios en el directorio activo, que permita en caso de sospecha de falla en la seguridad, que este archivo pueda ser consultado para conocer los daños causados y/o identificar a los responsables de las operaciones irregulares.
4.- VALOR DE CRITICIDAD DEL ACTIVO Factor de Criticidad
Disponibilidad (D) Confidencialidad (C)
Integridad (I) Ponderación Criticidad ∑ (D,C,I) / 3
Crítico Alto Medio Bajo
2
2
2
6/3= 2
De acuerdo al resultado obtenido en la Ponderación de Criticidad del Activo se puede observar, que el Directorio Activo tiene Asignación de Criticidad MEDIO. 5.- PONDERACIÓN DE VULNERABILIDAD Vulnerabilidad
Critica
(4) Falla en la definición del Acceso de usuarios Falta de Log De Seguridad X Falta de Estándar en la Creación
Alta
Media
Baja
Ponderación
(3)
(2)
(1)
de Vulnerabilidad
X ∑ (Valores de Criticidad) / Nro Vulnerabilidades
X
8
FECHA:
INFORME
16-07-2008
de Usuarios Falta
de
Estructuración
Contenedor USER Falta de depuración
de
del
X
= 3,125 ≈ 3
los
Contenedores Falta de Actualización de la Data Accesos
a
los
Recursos
Compartidos mal organizado Falta de Normativa para la Creación de Grupos 6.- FORTALEZAS: •
(2+4+4+3+2+2+4+4) / 8
X X X
X
El Directorio Activo proporciona una primera etapa de validación para el acceso a las diferentes aplicaciones del Banco Industrial de Venezuela.
•
•
Se puede restringir el acceso a los empleados a los recursos informáticos del BIV, así como también, controlar, regular y parametrizar los mismos. Existe una estructuración de los objetos del directorio (Árbol Jerárquico), permitiendo al administrador del dominio una gestión más lógica de usuarios, grupos, equipos, etc., pero también le permite a cualquier usuario una búsqueda de los objetos más sencilla cuando explora el directorio buscando recursos (por ejemplo, se podría localizar fácilmente las impresoras compartidas de la Torre Las Delicias).
9
FECHA:
INFORME
16-07-2008
7.- AMENAZAS: •
•
Al no deshabilitar de forma oportuna a los usuarios se corre el riesgo de que un usuario pueda atentar en contra de los activos informáticos del BIV, en vista de que este recurso proporciona acceso a la red del BIV. Al no tener bien estructurado los accesos a los recursos compartidos, existe la posibilidad de que algún usuario tenga permisología a ciertas carpetas de forma no autorizada, incumpliendo así con las políticas y normas en materia de perfiles de acceso y dando lugar a que esta situación pueda ser aprovechada por los usuarios para realizar atentados intencionales, tales como borrado de data.
10
FECHA:
INFORME •
16-07-2008
La falta de información actualizada podría generar errores mayores, tal como otorgar otros accesos de manera indebida.
8.- MATRIZ DE RIESGO Amenazas/ Vulnerabilidades
Falta de Logs de Auditoria
Falta de estructuración en los Recursos Compartidos
Acceso Indebido Recursos del BIV
a
No es Posible
Destrucción, daños o de
establecer Responsabilidades y
modificaciones
los tomar acciones legales
alteren
el
que correcto
funcionamiento de algún sistema o
que a través
de su uso indebido, se produzcan un resultado que permita obtener un provecho
injusto
en
perjuicio ajeno.
9.- CONCLUSIONES Y RECOMENDACIONES: Se debe realizar un plan de trabajo que permita subsanar las debilidades encontradas en el Directorio Activo. Para ello se recomienda tomar en cuenta las siguientes sugerencias: •
•
Realizar una depuración de los usuarios que existen en el directorio activo, de manera de bloquear a aquellos usuarios que pudiesen encontrarse activos siendo personal desincorporado. Actualizar la data de los usuarios y estandarizar aquellos que lo requieran.
11
FECHA:
INFORME •
•
•
16-07-2008
Activar los Logs de Auditoria, que permitirá en caso de mala administración establecer responsabilidades. Establecer un estándar para el ingreso de la información de los usuarios, estableciendo claramente los registros que deben existir en cada uno de los campos. Estructurar el contenedor user, de acuerdo a la organización de la empresa (por Área, División, Departamento), esto ayuda a una mejor administración de la seguridad y fácil recuperación y acceso a los objetos.
•
•
•
Depurar los accesos otorgados al grupo WWW, ya que existen usuarios que poseen accesos a Internet cuando su perfil no lo requiere. Revisar la organización de los recursos compartidos, de manera de otorgar sólo los accesos requeridos. Establecer una normativa para la creación de los grupos en el Directorio Activo.
12
View more...
Comments