5/26/2018 29012014+Pla n de c ontinge nc ia de siste ma s - slide pdf.c om

29-1-2014
Plan de Respuesta
ante Incidentes
Dirección de Informática

Salvador Alcides Franco Sanchez

UNIVERSIDAD TECNOLÓGICA DE EL SALVADOR

http://slide pdf.c om/re a de r/full/29012014pla n-de -c ontinge nc ia -de -siste ma s 1/13

 

5/26/2018 29012014+Pla n de c ontinge nc ia de siste ma s - slide pdf.c om

Plan de contingencia de sistemas  

a.  Constitución de un Equipo de Respuestas a Incidentes
Nombre Área de especialidad Dirección Teléfonos
Lic. Jorge Alberto Portillo Director de TI Col. Costa Rica, Av. Tel. Oficina: 2275-8962
Chávez  San José 426, San Tel. Casa: 2557-5205
Salvador Tel. Celular: 7101-5811

Ing. Salvador Alcides Jefe de Informática Res. Lincoln, Pasaje Tel. Oficina: 2275-8726
Franco Sanchez 9 Oriente, Casa Tel. Casa: 2232-7153
#56.I, Mejicanos Tel. Celular: 7923-5840
Tel. Celular: 7238-8870
Lic. Fidel Edgardo Murcia Especialista de Base de 3a. Calle poniente, Tel. Oficina: 2275-8731
Perdomo Datos #27 Int. Barrio el Tel. Casa:
calvario, mejicanos Tel. Celular: 6200-5958
Tel. Celular: 7776-2068
Ing. Ernesto Alejandro Especialista de Centro Res. brisas de San Tel. Oficina: 2275-8732
Padilla de Datos Marcos, Polígono E Tel. Casa: 2220-1661
casa 3 San Marcos, Tel. Celular: 7986-0542
San Salvador
Ing. Jerant Elias Serrano Especialista de AV PL, PG 12, #13. Tel. Oficina: 2275-8731
Lopez Seguridad Brisas del Sur II. Tel. Casa: 2359-0433
Soyapango Tel. Celular: 73728465

Tec. William Enrique García Especialista de Col. Jardines del Tel. Oficina: 2275-8732
Arias Infraestructura de Red Pepeto 1. Pasaje. 3 Tel. Casa:
Casa 28 B. Tel. Celular: 7306-4014 
Soyapango

b.  Definición de una guía de procedimientos

Los desastres pueden tomar muchas formas, daños infligidos directamente por un
usuario o por el propio administrador al aplicar algún cambio requerido, daños
incontrolables e impredecibles producidos por un desastre natural como una
inundación o un terremoto. En cualquiera de los casos se debe estar preparado ante
los desastres y lo bien que responda el equipo para recuperarse ante ellos.

1.  Alerta inicial de desastre

a.  Contactar a las personas por teléfono
 
 b. Describir el desastre
c.  Hacer un reporte preliminar de los daños
d.   Notificar a los demás grupos y personas
2.  Evaluación del daño causado por el desastre
a.  Enviar el equipo de respuesta
 b.  Realizar una visita en el área afectada
c.  Determinar los servicios básicos que sufrieron algún daño

http://slide pdf.c om/re a de r/full/29012014pla n-de -c ontinge nc ia -de -siste ma s 2/13

 

5/26/2018 29012014+Pla n de c ontinge nc ia de siste ma s - slide pdf.c om

d.  Determinar el daño del equipo

e.  Restringir el acceso al sitio del percance
f.  Estimar el tiempo de recuperación
3.  Activación de los planes de recuperación por desastres
a.  Revisar la evaluación del daño
 b.  Determinar si el plan se debe activar de forma completa, parcial o si se
debe abordar: Notifique al personal y a la administración
c.  Busca ayuda sobre asuntos legales y de contrato
d.  Monitorear las actividades de recuperación
4.  Planes de reacción
a.  Planear la reubicación del ambiente productivo a un sitio alterno
 b.  Validar los procesos para recuperar y sincronizar las bases de datos
5.  Estrategia de procesamiento alterno
a.  Identificar una estrategia de procesamiento alterno
 
 b. Identificar el tiempo que se estará sin operaciones debido a la estrategia
utilizada
c.  Determinar si los sitios dañados deben ser reconstruidos
d.  Determinar los costos para la parte de seguros
6.  Determinar cuál equipo debe ser remplazado, recuperado o comprado
a.  Identificar los activos recuperables
 b.  Identificar los medios de recuperación
c.  Aislar los activos recuperados en un sitio apropiado
d.  Ordenar el remplazo de los activos no recuperados
7.  Preparar el sitio alterno
a.  Coordinar las instalaciones
 b.  Validar los sistemas
c.  Asegurar la disponibilidad de los suministros
8.  Restauración del ambiente operativo
a.  Identificar los medios requeridos para restaurar los datos en el sitio alterno
 b.   Notificar a las personas a se instalarán en el sitio de contingencia

Actividades a realizar
1.  Infraestructura de Red
a.  Adquisición del servidor que soporte las máquinas virtuales respaldadas
 b.  Montaje de Servidor
c.  Cablear el servidor a la red LAN
a.  Instalación y configuración de Windows 2012 Server
 b.  Configuración del direccionamiento IP
c.  Instalación y configuración del Rol de Hyper-V
d.  Configuración de la infraestructura de red virtual

http://slide pdf.c om/re a de r/full/29012014pla n-de -c ontinge nc ia -de -siste ma s 3/13

 

5/26/2018 29012014+Pla n de c ontinge nc ia de siste ma s - slide pdf.c om

e.  Pruebas de conectividad

2.  Recuperación de virtuales
a.  Creación de máquinas virtuales a partir de discos duros virtuales
respaldados
 b.  Verificación de conectividad en la red
c.  Verificación de servicios de red de la máquina virtual
d.  Verificación de los sistemas en producción Base de Datos y Servicios WEB
3.  Monitoreo y pruebas
a.  Pruebas de acceso a los sistemas desde la LAN
 b.  Pruebas de acceso a los sistemas desde la WAN e Internet
c.  Anunciar que los sistemas están disponibles
4.  Restauración de Bases de Datos (aplica si el entorno virtual no se puede recuperar)
a.  Ejecutar el software DPM para la recuperación de las bases de datos
 b.  Seleccionar el destino de la recuperación de los datos
 
c. Recuperar los datos
d.  Preparar la configuración de la base de datos para acceder a los datos
recuperados
e.  Realizar pruebas de acceso a la información
f.  Configurar el servidor WEB para publicación de los sistemas
g.  Verificar que los usuarios pueden acceder a la información

c.  Detección de un incidente de seguridad

No. Incidente de Seguridad

1  Evitar el escaneo de puertos, escaneo de vulnerabilidades de servidores, reconocimiento
de versiones de sistemas operativos y aplicaciones
2 Registrar las actividades extrañas en los “logs” de los servidores y dispositivos de red o
incremento sustancial de las entradas en los “logs” 
3 Aparición de nuevas carpetas o ficheros con nombres extraños en los servidores, o
modificaciones realizadas en determinados ficheros del sistema, utilizar herramientas de
revisión de integridad.
4 Caída o mal funcionamiento de los servidores: reinicios inesperados, fallos en algunos
servicios, aparición de mensajes de error, incremento anormal de la carga del procesador
o del consumo de la memoria del sistema
5 Notable caída del rendimiento de la red o de algún servidor, debido a un incremento
inusual del tráfico de datos
6 Cambios de configuración de equipos de red: modificación de las políticas de seguridad

y auditoría, activación de nuevos servicios, puertos abiertos que no estaban autorizados,

activación de las tarjetas de red en modo promiscuo (para poder capturar tráfico en la
red “Sniffer”), DHCP no autorizados, Cambio en la topología de redundancia por
equipos no autorizados.
7 Existencia de herramientas no autorizadas en el sistema
8 Aparición de nuevas cuentas de usuarios o registro de actividad inusual en algunas
cuentas: conexión de usuarios en horarios extraños, utilización de la misma cuenta en
distintos equipos a la vez, bloqueo reiterado de cuentas por fallos en la autenticación,
ejecución inusual de determinados servicios desde algunas cuentas.

http://slide pdf.c om/re a de r/full/29012014pla n-de -c ontinge nc ia -de -siste ma s 4/13

 

5/26/2018 29012014+Pla n de c ontinge nc ia de siste ma s - slide pdf.c om

9 Informes de los propios usuarios del sistema alertando de algún comportamiento extraño
o de su imposibilidad de acceder a algunos servicios.
10 Detección de procesos extraños en ejecución dentro del sistema, que se inician a horas
 poco habituales o que consumen más recursos de los normales, por ejemplo: memoria,
 procesador, ancho de banda o Internet
11 Generación de tráfico extraño en la red: envío de mensajes de correo electrónico hacia el

exterior
escaneo con contenido
de otros sospechoso,
equipos inusualinterno.
desde un equipo actividad de transferencia de ficheros,
12 Notificación de un intento de ataque lanzado contra terceros desde los equipos
 pertenecientes a la propia organización
13 Aparición de dispositivos extraños conectados directamente a la red o algunos equipos
de la organización
14 Alarmas generadas en el Firewall o herramientas de antivirus
 
d.  Análisis de incidentes

El equipo de respuesta ante incidentes debe contemplar la siguiente matriz de

diagnóstico para facilitar la actuación.

Síntoma Código malicioso Denegación de Acceso no

servicios (DoS) autorizado
Escaneo de puertos  Bajo Alto Medio
Caída del servidor Alto Alto Medio
Modificación de los ficheros de Alto Bajo Alto
un equipo
Tráfico inusual en la red Medio Alto Medio
Envío de mensajes de correo Alto Bajo Medio
sospechosos
Caída del rendimiento de la red Alto Alto Medio
Aparición de nuevas cuentas de Medio Alto Alto
usuario
Cambios en configuraciones de Medio Alto Alto
equipos
Usuarios no pueden acceder al Alto Alto Medio
sistema
Aparición de dispositivos Bajo Medio Alto
extraños conectados a la red

El equipo de respuestas ante incidentes debe priorizar las actividades de la siguiente

forma:
1.  Prioridad uno: proteger la vida humana y la seguridad de las personas
2.  Prioridad dos: proteger datos e información sensible de la organización
3.  Prioridad
Prioridad tres:
 proteger datos e información de la organización
4.  cuatro: prevenir daños en los sistemas informáticos
5.  Prioridad cinco: minimizar la interrupción de los servicios ofrecidos a los
usuarios internos y externos

http://slide pdf.c om/re a de r/full/29012014pla n-de -c ontinge nc ia -de -siste ma s 5/13

 

5/26/2018 29012014+Pla n de c ontinge nc ia de siste ma s - slide pdf.c om

e.  Contención, erradicación y recuperación

Estrategia de contención
Ante un incidente de seguridad el equipo de respuesta ante incidentes debe llevar a
cabo una rápida actuación para evitar que el incidente pueda tener mayores
consecuencias para la organización. Es responsable de la desactivación de los
servicios y de aislar, desconectar o apagar los equipos afectados. El equipo debe velar
 por no poner en peligro la información confidencial que puedan generar pérdidas
económicas considerables.

Estrategia de erradicación
El equipo ante incidentes realizara las siguientes actividades para eliminar los agentes
causantes de incidentes:

1.  Evitar la instalación de software que se encuentran en categoría de puertas

traseras
2.  Mantener actualizado los servidores con los parches de seguridad
recientes
3.  Mantener actualizado los antivirus de la organización
4.  Mantener actualizada la zona segura de los servidores, velar por abrir
 puertos de aplicaciones que sean los necesarios y cerrar los que no se
utilizan
5.  Definir roles y privilegios a los usuarios de la organización

6.  Asegurar el perímetro de la red utilizando políticas de control de acceso a

servicios internos y externos
7.  Revisar otros sistemas que se puedan ver comprometidos por la relación
de confianza con el sistema afectado

Estrategia de recuperación
El equipo ante incidentes realizara las siguientes actividades para la recuperación:
Estrategia 1
Virtualización:
 
1.
2.  Instalar el rol
Configurar losde Hyper-V de
protocolos en conectividad
un nuevo servidor
entre el servidor y la SAN
3.  Recuperar la máquina virtual a través del software de recuperación
4.  Encender la máquina virtual e ingresar con las credenciales de
administrador
5.  Configurar el enrutamiento de la red máquina virtual desde el sitio
alterno
6.  Realizar las pruebas de accesibilidad a los servicios de la máquina virtual

http://slide pdf.c om/re a de r/full/29012014pla n-de -c ontinge nc ia -de -siste ma s 6/13

 

5/26/2018 29012014+Pla n de c ontinge nc ia de siste ma s - slide pdf.c om

7.  Publicar los servicios interna y externamente

8.   Notificar a usuarios el acceso a los servicios

Estrategia 2
Base de Datos y Servicios WEB
1.  Ejecutar el software DPM para la recuperación de las bases de datos
2.  Seleccionar el destino de la recuperación de los datos
3.  Recuperar los datos
4.  Preparar la configuración de la base de datos para acceder a los datos
recuperados
5.  Realizar pruebas de acceso a la información
6.  Instalar y configurar rol de servidor Web
7.  Configurar el servidor WEB para publicación de los sistemas
8.  Verificar que los usuarios pueden acceder a la información

f.  Identificación del atacante y posibles actuaciones legales

Acciones realizar para exigir responsabilidades:

1.  Solicitar la colaboración de los proveedores de servicios de Internet que pudieran

utilizar los atacantes
2.  Revisión de “logs” de los equipos afectados para identificar las técnicas de
exploración utilizadas
3.  Implementar un Sistema de Detección de Intrusos (IDS).
4.  Presentar las evidencias del delito al departamento que vela por los aspectos
legales en la institución para que se proceda con una denuncia formal

g.  Comunicación con terceros y relaciones públicas

Proveedores
Rubro Proveedor Contacto Teléfonos
Internet TIGO Victor Colorado 2280-9425 / 7946-4146
TIGO Julio Millán Rivera 2280-9349 /7894-9501
TELEFONICA Ada Samara Gochez 2257-4213 / 7833-0112
Seguridad SEFISA Roxana Rivas 2528-1013 / 7856-9861

Redes GBM Cristina Cáceres 2250-5600

SSASIS Patrick Cisneros 2263-5686 / 7861-4895
Servidores ORBITAL Ingrid Granadino 2204-4704 / 7695 6806
AEEGLE Carlos Campos 2564-6680 / 7850-5077
AEEGLE Alex Biaza 2564-6680 / 78563353

http://slide pdf.c om/re a de r/full/29012014pla n-de -c ontinge nc ia -de -siste ma s 7/13

 

5/26/2018 29012014+Pla n de c ontinge nc ia de siste ma s - slide pdf.c om

Interlocutor para contactar con proveedores

Ing. Salvador Alcides Jefe de Informática
Franco Sanchez 

Interlocutor para anunciarDirector

Lic. Jorge Alberto Portillo
el incidente
de TI
a los distintos medios
Chávez 

h.  Documentación del incidente de seguridad

El formato utilizado para registrar los incidentes de seguridad es tal y como se

muestra a continuación:

Descripción del incidente 

Hechos registrados (eventos en los

“logs” de los equipos) 

Daños producidos en el sistema

informático

Decisiones y actualización del

equipo de respuesta

Comunicaciones que se han

realizado con terceros y con los
medios

Lista de evidencias obtenidas

durante el análisis y la
investigación

Comentarios e impresiones del

 personal involucrado

Posibles actualizaciones y
recomendaciones para reforzar la
seguridad y evitar incidentes
similares a futuro

http://slide pdf.c om/re a de r/full/29012014pla n-de -c ontinge nc ia -de -siste ma s 8/13

 

5/26/2018 29012014+Pla n de c ontinge nc ia de siste ma s - slide pdf.c om

i.  Análisis y revisión a posteriori del incidente

Formato utilizado para presentación del informe final después del incidente

Aspectos
Investigación sobre las causas y
Actividades
Estudio de la
Resultado
las consecuencias del incidente documentación
generada por el
equipo de respuesta
ante incidentes

Revisión de los
registros de actividad
“logs” de los equipos
afectados

Evaluación del costo

del incidente de
seguridad para la
organización

Análisis de las
consecuencias que
haya podido tener
 para terceros

Revisión del
intercambio de
información sobre el
incidente con otras

empresas e
instituciones

Seguimiento de las
 posibles acciones
legales emprendidas
contra los
responsables del
incidente

Revisión de las decisiones y Composición y

actuaciones del equipo de organización del
respuesta a incidentes equipo

Formación y nivel de
desempeño de los
miembros

Rapidez en las
actualizaciones y
decisiones

http://slide pdf.c om/re a de r/full/29012014pla n-de -c ontinge nc ia -de -siste ma s 9/13

 

5/26/2018 29012014+Pla n de c ontinge nc ia de siste ma s - slide pdf.c om

Análisis de los procedimientos y Redefinición de

de los medios técnicos aquellos
empleados en la respuesta al  procedimientos que
incidente no hayan resultado
adecuados

Adopción de las
medidas correctivas
que se consideran
necesarias para
mejorar la respuesta
ante futuros
incidentes de
seguridad

Adquisición de
herramientas y
recursos para reforzar
la seguridad del
sistema y respuesta
ante futuros
incidentes de
seguridad

Revisión de las Políticas de Definición de nuevas

Seguridad de la organización directrices y revisión
de las actualmente
 previstas por la
organización para
reforzar la seguridad
de su sistema
informático

 
 j.  Estrategia de implementación del centro alternativo

Sitio de contingencia
Este centro alternativo está en categoría de “frio”, se trata de un centro alternativo
que cuenta con un equipamiento suficiente de hardware, software y de
comunicaciones para mantener los servicios críticos de la UTEC, así mismo en el
centro se guardan copias de seguridad de los datos y aplicaciones de la organización.
El tiempo de recuperación puede ser de uno a varios días.

http://slide pdf.c om/re a de r/full/29012014pla n-de -c ontinge nc ia -de -siste ma s 10/13

 

5/26/2018 29012014+Pla n de c ontinge nc ia de siste ma s - slide pdf.c om

Tecnología utilizada en el centro alternativo

Equipo Marca/Modelo
Router-Switch  CISCO Catalyst 4503
Servidor NAS HP X1600 G2
Librería de Respaldos HP MSL2024 1 LTO-4
UPS APC Smart-UPS

Conectividad del sitio de contingencia

EDIFICIO LOS FUNDADORES

EDIFICIO SIMON BOLIVAR

Cobre

Fibra Optica

LF-C4503E-CO

EDIFICIO JOSE MARTI

SITIO DE CONTINGENCIA

SB-C4503E-CO

UTEC-CSC4506-DOWN

CENTRO DE DATOS
 

Redundancia en el centro alternativo

  Enlace de fibra redundante


  Fuentes de poder redundantes, Servidor y CORE-Switch



  Discos en RAID 6


http://slide pdf.c om/re a de r/full/29012014pla n-de -c ontinge nc ia -de -siste ma s 11/13

 

5/26/2018 29012014+Pla n de c ontinge nc ia de siste ma s - slide pdf.c om

k.  Estrategia de implementación del centro principal y primer sitio de

contingencia

La tecnología implementada en el centro principal de las aplicaciones y servicios

Física

   Espacio físico dedicado para servidores

   Acceso biométrico a las instalaciones de los servidores
   Segmentación de conectividad y servidores
   Separación de border (ISP) de infraestructura red y servidores de la UTEC
   Aire acondicionado redundante
   Un proveedor eléctrico con UPS central y planta eléctrica
   Monitoreo a través de circuito cerrado
   Redundancia de conectividad hacia la red
   Enlace de fibra redundante
   Fuentes de poder redundantes, Servidores y CORE-Switch

Lógica

   Dos servidores robustos con características técnicas para virtualización

   Sistema de Virtualización Hyper-V de Microsoft
   Windows 2012 Data Center como sistema operativo
   Servidores implementados en FailOver Cluster
   Balanceo de carga de virtualización
  
SAN para almacenamiento de virtuales
   Redundancia de tarjetas iSCSI entre servidores y SAN
   RAID 6 para alta disponibilidad
   SAN para respaldo de virtuales
   Windows 2003, 2008 y Ubuntu Server como sistemas operativos de
máquinas virtuales

La alta disponibilidad implementada en el sitio principal, permite la recuperación

ante fallos en horas.

http://slide pdf.c om/re a de r/full/29012014pla n-de -c ontinge nc ia -de -siste ma s 12/13

 

5/26/2018 29012014+Pla n de c ontinge nc ia de siste ma s - slide pdf.c om

 
Sitio principal y primer sitio de contingencia

CORE UP
CORE DOWN
CISCO CATALYS 4506
PRIMER SITIO DE CONTINGENCIA CISCO CATALYS 4506

SERVIDOR DELL
POWER EDGE R310

WINDOWS 2008
ENTERPRISE  
DPM SERVER
NODO 0 NODO 1
SERVIDOR DELL SERVIDOR DELL
SAN DELL POWER EDGE R610 POWER EDGE R610
MD3000i

WINDOWS 2012 WINDOWS 2012

DATA CENTER DATA CENTER
HYPER-V HYPER-V

SAN HP 2000

SITIO EN PRODUCCIÓN

http://slide pdf.c om/re a de r/full/29012014pla n-de -c ontinge nc ia -de -siste ma s 13/13