Universidad de Guayaquil Maestra en Administracin de Empresas, Mencin en Telecomunicaciones Tecnologas de Seguridad para Administradores de Redes Caso de Estudio Marzo

2012

Indicaciones El presente caso de estudio describe la situacin y problemtica de una organizacin ficticia que tiene diferentes necesidades de asesora en seguridad en redes. El escenario est inspirado en mltiples casos reales, pero la descripcin de la organizacin y su problemtica no se corresponden con una sola entidad. 1. Debers agruparte con otros compaeros de clase para formar un equipo que tenga como mximo 5 (cinco) integrantes. Cada equipo deber discutir la problemtica de este caso de estudio, buscando similitudes con casos de la vida real, y proponer una solucin para cada uno de los escenarios mostrados. La solucin deber ser desarrollada por escrito, deber contener diagramas de red y una descripcin funcional de los equipos o tecnologas propuestos, as como una justificacin de tus propuestas. En los casos en que se solicite informacin sobre fabricantes, deber presentarse exclusivamente la informacin requerida, sin copiar todo el folleto o pgina web del fabricante (slo las partes relevantes). Asimismo, deber indicarse la fuente (preferentemente con un URL y fecha de verificacin) de la informacin mostrada. La buena redaccin y la correcta ortografa son esenciales para obtener una calificacin aprobatoria. Existen mltiples respuestas posibles para cada escenario. El criterio de evaluacin para este caso de estudio estar basado en la originalidad de tus propuestas, demostrar la correcta comprensin del funcionamiento de las soluciones y la forma como las justificaras ante la Direccin General de una organizacin como la que se describe. El reporte de trabajo deber hacerse llegar, a ms tardar a las 23:00 hrs. (GMT-5, hora de Guayaquil) del da mircoles 4 de abril de 2012. Cualquier trabajo recibido en fecha u hora posterior a las indicadas NO ser revisado y tendr calificacin reprobatoria. El formato para entrega del reporte deber ser uno de los siguientes: Documento compartido en Google Docs (este es el formato preferido) compartido con: marco.gonzalez@mavixel.com Documento adjunto Microsoft Word 2007 o 2003 enviado a la direccin de correo electrnico: marco.gonzalez@mavixel.com 10. El formato preferido es Google Docs, ya que dicho servicio permite anotar comentarios sobre el documento y as justificar su calificacin. 11. El reporte deber contener los nombres de los integrantes del equipo y una direccin de correo electrnico de contacto. Suerte!

2.

3.

4.

5.

6. 7.

8.

9.

Panorama General La empresa RapidStand se especializa en el diseo de muebles y stands para presentacin de productos en lugares como tiendas departamentales, congresos, exposiciones industriales etc. Ellos disean y fabrican el mueble que va a presentar al pblico los productos de sus clientes finales. Opcionalmente tambin disean logotipos, stands, letreros, folletos, etc. La empresa cuenta con 15 empleados administrativos (2 directores, 6 diseadores, 4 vendedores, 3 contadores) y 70 obreros que ensamblan e instalan los muebles. Slo los empleados administrativos cuentan con computadora (laptop). Su nica oficina est ubicada en Guayaquil y cuenta con una conexin ADSL a Internet de 2 Mbps en direccin de bajada y 512 kbps en direccin de subida. Esta empresa ofrece sus servicios a travs de Internet y para ello cuenta con un servidor WEB que permite a sus clientes el intercambio de informacin con RapidStand para el desarrollo de la imagen de su producto. Como la informacin de los clientes es confidencial, cada cliente al momento de contratar los servicios obtiene una cuenta (usuario y password) que le permite tener acceso solo a los archivos relacionados a su proyecto, para de esa maneraverificar los avances. Adems, RapidStand tiene a disposicin de cualquier cliente potencial un catlogo de muestras de lo que la empresa es capaz de desarrollar, este catlogo esta disponible a travs del mismo servidor Web.

Arquitectura de Red

La red fue instalada hace algunos aos por una empresa que ya no existe en la actualidad. Uno de los diseadores industriales con ms conocimientos de informtica es el encargado de administrar los servicios. Toda la red est basada en un switch LAN conectado a un router, que recibe el servicio ADSL proporcionado por la compaa telefnica. Algunos usuarios se conectan mediante una pequea red de cableado estructurado, mientras que otros utilizan la red inalmbrica que viene incluida con el router. El router funciona como servidor DHCP y hace las funciones de NAT y PAT + port forwarding. El servidor de archivos est basado en Windows 2003 y tambin funciona como servidor de web, servidor DNS, y servidor de correo.

Para brindar acceso a clientes y usuarios, el servidor Windows 2003 tiene configurada una direccin IP privada y el router Linksys est configurado con la funcionalidad port forwarding para permitir el acceso desde Internet hacia los siguientes puertos TCP del servidor: 20, 21, 22, 23, 25, 53, 80, 137, 139, 110, 443, 445 y 3389. Los usuarios internos se conectan al servidor Windows 2003 mediante la funcionalidad de escritorio remoto (remote desktop) del servidor. En el pasado ha habido problemas de compatibilidad con las aplicaciones de diseo industrial, por lo que el administrador del servidor est renuente a activar la funcionalidad Windows Update en el mismo. Los usuarios externos se conectan al servidor Windows 2003 mediante una pgina de web y descargan archivos del mismo mediante el protocolo FTP.

Escenario 1: Los Primeros Problemas

Uno de los clientes de RapidStand se ha quejado de que la imagen de un despachador muy original para uno de sus productos ha sido utilizada por la competencia antes de que su producto saliera al mercado, causndole grandes prdidas al parecer sus productos una copia de los productos de la competencia. De acuerdo al cliente los nicos que posean la informacin relacionada a este producto eran RapidStand y ellos mismos. El cliente tiene la certeza de que la fuga de informacin no ha ocurrido al interior de su empresa. Uno de los directores de RapidStand contrat a un amigo suyo como analista de seguridad, y este analista afirma que la seguridad en el sitio donde se encuentra el servidor no rene los requisitos mnimos de seguridad recomendables y que por lo tanto es muy probable que la fuga de informacin se haya generado por dicha causa. Sin embargo este analista de seguridad no pudo o no supo justificar su afirmacin. Se le ha encargado a tu equipo que termine el trabajo del analista y valide si sus afirmaciones son correctas, explique la causa y proponga una solucin.

Actividades 1-A) Qu problemas de seguridad podran existir en funcin de la configuracin actual de la infraestructura? Explicar. 20 pts. 1-B) Qu solucin propondras a RapidStand para que pueda asegurar a sus clientes que la informacin relacionada a sus productos est segura y es confidencial en su sitio? Explicar. NOTA: No se podr modificar la arquitectura fsica de la red, ni introducir ningn equipo adicional ya que implicara una inversin que no RapidStand no est dispuesto a realizar en este momento. Slo se permite reconfigurar los equipos, utilizando las funcionalidades que ya estn disponibles en ellos. 20 pts.

Escenario 2: Evolucin de la Red = Evolucin de los Problemas

Pese a la solucin implementada en el sitio de RapidStand los problemas de fuga de informacin se han seguido presentando e incluso se ha detectado que informacin interna no publicada en el servidor Web tambin ha sido sustrada. La informacin podra haber sido capturada mediante intrusiones (caballos de troya) en las mquinas de los diseadores, o mediante ataques de intermediacin sobre los correos electrnicos de los vendedores. Se sospecha que un usuario local podra tener herramientas de hacking en su mquina y estar usndolas para robar informacin y venderla a la competencia. Al revisar rpidamente durante la noche las 15 mquinas de los usuarios no encontraste indicios de algo as, pero el atacante podra simplemente haber borrado las herramientas y estar esperando para reinstalarlas y continuar con sus ataques. La Direccin General ahora est consciente de que la falta de proteccin puede representar mltiples costos directos e indirectos. RapidStand est dispuesto a asignar recursos financieros para la proteccin de su informacin y principalmente la de sus clientes. Para no afectar la operacin de la empresa, el servidor Windows 2003 y las laptops de los usuarios deben conservarse, pudiendo reemplazarse todo lo dems o agregarse nuevos equipos de red. Se desea dificultar al mximo los ataques provenientes del exterior, as como los que pudieran provenir del interior. Al mismo tiempo, se desea permitir el acceso mediante escritorio remoto al servidor para algunos diseadores que tienen el hbito de trabajar desde sus casas a cualquier hora del da. La conexin remota debe ser altamente confidencial. Qu solucin le propondras a RapidStand para lograr sus objetivos?

Actividades 2-A) Proponer un nuevo diseo funcional de red para elevar el nivel de proteccin de la informacin. - Elaborar diagrama de red de la solucin propuesta - Resaltar posibles nuevos equipos que forman parte de la solucin propuesta - Describir funcionalidades de los nuevos equipos involucrados - Describir funcionalidades que se seguirn explotando en el servidor Windows 2003 15 pts. 2-B) Para los nuevos componentes propuestos en el paso 2-A, proponer 3 (tres) alternativas de fabricantes distintos que cumplan con las funcionalidades propuestas. Realizar una tabla comparativa que contenga la siguiente informacin. - Marca, plataforma y modelo de equipo - Capacidad de procesamiento (en paquetes por segundo o bits por segundo) - Capacidad mnima y mxima de hardware - Capacidad recomendada de hardware - Funcionalidades que forman parte de la solucin propuesta - Funcionalidades adicionales que podran explotarse en un futuro 15 pts.

Escenario 3: Prevencin de Problemas y Tecnologas Emergentes

La Direccin General de RapidStand ha quedado muy satisfecha con la solucin propuesta, que ha tenido como primer resultado eliminar las quejas de los clientes de la empresa. Sin embargo, tambin ha quedado en evidencia que la falta de visin tecnolgica ha generado problemas innecesarios como lo fue el robo de informacin. Ahora, a la alta direccin de RapidStand le preocupa el posible mal uso que puedan hacer sus empleados de las nuevas tecnologas de Cloud Computing y Tablet PCs que estn surgiendo. Algunos empleados ya emplean servicios alojados en pginas como: Dropbox.com, Salesforce.com, Huddle.com y Yammer.com. Estos mismos empleados traen su iPad a la oficina y se conectan a dichos servicios a travs de la red inalmbrica, aunque tambin tienen la costumbre de trabajar desde sus casas. Asimismo, han hecho peticiones a la Direccin de RapidStand para contratar los servicios de Google Apps for Business. En todos estos casos el atractivo de estos servicios es su ubicuidad ya que pueden ser accesibles desde la oficina, la casa, un Tablet-PC o un Smartphone. Sin embargo, la Direccin General est preocupada por el hecho de que la informacin de la empresa est empezando a salir de los servidores que tradicionalmente la albergaban y se est perdiendo el control de la seguridad sobre la misma. En particular, a la Direccin General de RapidStand le preocupa que Google controle ahora informacin confidencial del negocio. La Direccin General de RapidStand te ha contratado para desarrollar normas de seguridad informtica que pueda aplicar la empresa en el manejo de la informacin.

Actividades 3-A) Redactar en un solo prrafo y con tus propias palabras la Poltica Corporativa de Seguridad de la Informacin que a tu juicio debe ser seguida por una empresa como RapidStand. No debes mencionar tecnologas especficas, fabricantes, marcas ni protocolos en dicha poltica. La poltica debe poder expresarse en uno o dos prrafos, con la clase de lenguaje que utilizara la Direccin General de una empresa al dirigirse a sus empleados. 5 pts. 3-B) Emite al menos 5 recomendaciones de carcter opcional para que los diseadores industriales hagan un uso correcto de las tecnologas informticas de Cloud Computing. Asegrate que las recomendaciones sean congruentes y estn contenidas en la poltica del paso anterior. Las recomendaciones deben ir dirigidas a los diseadores industriales, utilizando la clase de lenguaje que se esperara de la Direccin General de la empresa. 5 pts. 3-C) Describe al menos 3 parmetros indicadores que puedan medirse peridicamente y te permitan verificar que el nivel de seguridad de los servicios ofrecidos por los proveedores de Cloud Computing es adecuado. Explicar porqu seleccionaras dichos indicadores. Al contestar este punto, asume que te ests dirigiendo al Director General de RapidStand y debes justificar tu decisin en un lenguaje que l entienda (no uses lenguaje tcnico). 5 pts.

3-D) Emite al menos 3 lineamientos de trabajo que describan usos incorrectos que podra tener alguna de las tecnologas mencionadas arriba, basadas en Cloud Computing desde el punto de vista de RapidStand as como las penalizaciones que esta empresa aplicara en dichos casos. Asegrate que los lineamientos estn soportados por la poltica del inciso 3-A. Debes utilizar el lenguaje que la Direccin General de la empresa usara al dirigirse a sus empleados. 5 pts. 3-E) Evala la poltica de seguridad del servicio Google Apps for Business e identifica por lo menos cinco (5) aspectos que pudieran considerarse riesgosos o indeseables desde el punto de vista de RapidStand. Al contestar este punto, asume que te ests dirigiendo al Director General de RapidStand y debes justificar tus observaciones en un lenguaje que l entienda (es decir, en este punto no uses lenguaje tcnico). 10 pts.