DISCARD/STEALTH FRENTE A DENY/DROP EN LOS CORTAFUEGOS DE FILTRADO

DE PAQUETES (TIPOS DE FILTROS)

Las operaciones que hace un firewall de filtrado de paquetes son:

 accept
 deny/drop
 discard/stealth
Si el firewall acepta el paquete se realiza la operación --> accept
Si el firewall elimina el paquete enviando un código de retorno al cliente --> deny/drop
Si el firewall elimina el paquete de forma silenciosa sin devolver un código de error al emisor (y así el
firewall no revela su presencia) --> discard/stealth

“El único sistema seguro es aquel que está apagado y desconectado” Gene spafford, científico de la computación.

RPO Y RTO:
RPO (Recovery Point Objective): es el volumen/cantidad de datos en transacciones o de otro tipo que
estamos dispuestos a perder (es decir consideramos esa pérdida tolerable) --> Las transacciones de cuánto
tiempo estamos dispuestos a perder o a tener que reintroducir en el sistema?
Por ejemplo: si hacemos una copia de seguridad cada 24 horas nuestro RPO es de 24 horas porque
estamos dispuestos a perder como máximo los datos de 24 horas.

RTO (Recovery Time Objective): Es el tiempo de falta de servicios que una organización puede tolerar
sin afectar a la continuidad del negocio.
Si un sistema tiene una disponibilidad alta en el ENS su RTO < 4 horas
Si un sistema tiene una disponibilidad media en el ENS: 4 horas < RTO < 24 horas
Si un sistema tiene una disponibilidad baja en el ENS: 24 horas < RTO < 5 días hábiles (7 días naturales)
Si un sistema tiene un RTO > de 5 días hábiles o 7 días naturales se dice que la disponibilidad no aplica
(como si no fuera importante)

(SDO Service Delivery Objective), el objetivo de prestación de servicios, es el nivel de servicios que deben alcanzarse
durante el modo de funcionamiento alternativo (alterno) mientras se está produciendo recuperación de un desastre. Es el
nivel de servicio aceptable dentro del objetivo de tiempo de recuperación (dentro del RTO), es decir, durante el RTO los
servicios funcionarán en un estado de SDO, que son los niveles de servicio requeridos en modo reducido.
Nivel de servicios a proveer durante el modo de proceso alterno

Tipos de CPD (Centro de Proceso de Datos, en inglés Data Center)

 CPD Redundante: Tengo un CPD alterno en funcionamiento, usualmente

funciona a la vez que el principal en modo activo/activo (qué es esto?
tener dos cpd’s activo); el problema son los datos, debo tener los datos de
los dos sitios, de los dos CPD’s constatemente sincronizados (copia
síncrona del backend de datos) --> modo activo-activo de cpds

 CPD Hot Site: No es un CPD alterno, sino un CPD con todo lo necesario
para “mudarnos” ahí, faltaría que fueran las personas, cargar los datos,
etc; modo activo-pasivo
(Se configuran totalmente y están listos para operar dentro de varias
horas. El equipo, red y software del sistema deben ser compatibles con la
instalación primaria que está siendo respaldada)

 CPD Warm Site: Si el Hot Site estaba totalmente configurado y listo para
entrar en operaciones, el Warm Site está menos configurado,
parcialmente configurado
(Estos están parcialmente configurados, por lo general con conexiones de
red y equipo periférico seleccionado, como, por ejemplo, unidades de
discos y otros controladores, pero sin la computadora principal (falta el
equipo de procesamiento (proceso) de datos; algunas veces un warm site
está equipado con una CPU menos potente que la que se usa
generalmente. El supuesto detrás del concepto warm site es que la
computadora puede por lo general obtenerse rápidamente para una
instalación de emergencia y como la computadora es la unidad más cara,
dicho acuerdo es menos costoso que un hot site)
  CPD Cold Site: Es un edificio vacío equipado con energía eléctrica, aire
acondicionado, conexiones telefónicas, el agua, etc, pero sin
computadoras, ni equipo de oficina, ni muebles, ni conexiones de red, ni
equipo periférico seleccionado, como, por ejemplo, unidades de discos y
otros controladores. Un sitio frío ofrece una respuesta menos oportuna a
un desastre porque debe convertirse en un hot-site para su uso
 Sitios móviles (CPD móvil): Son como una especie de “remolque”
especialmente diseñado para ser transportado rápidamente a un lugar de
negocio o a un sitio alterno para proveer una instalación acondicionada y
lista para el procesamiento de información

 CPD alterno en la nube (por ejemplo esto se puede hacer con cualquier
nube comercial pero nosotros al estar en la AGE lo haremos siempre con
NUBESARA que solo te da IAAS, es decir máquinas virtuales peladas)
POLÍTICAS DE COPIAS DE SEGURIDAD:
Copia de seguridad completa: copio todo
Copia de seguridad diferencial: solo copio los datos creados o modificados desde la última copia de
seguridad completa
Copia de seguridad incremental: solo copio los datos creados o modificados desde la última copia de
seguridad completa o incremental

La primera copia incremental también es una copia diferencial.

Copia completa: cara (costosa) en tiempo y dinero

Lo ideal es hacer una copia completa cada poco tiempo porque me da un RTO muy bueno (como solo uso
completas solo tengo que recargar la completa en el almacenamiento secundario sin aplicar los “parches”
de las copias incrementales o diferenciales, no tengo que reconstruir copias incrementales lo cual es muy
muy lento, ni la última copia diferencial lo cual es lento), pero esto es muy costoso.
Entonces para que sea más asequible el proceso de backup (copias de seguridad) se inventaron las copias
de seguridad diferenciales (de granularidad media) y las copias de seguridad incrementales (de
granularidad fina), no son tan costosas porque no almacenan todo y además son más rápidas de hacer
(pero son más lentas cuando tenemos que recuperar todos los datos y además por esto, aumentan el
tiempo de recuperación por lo cuál podríamos sobrepasar el RTO sobre todo si es muy bajo, porque hay
que enlazar todas las incrementales para poder recuperarse, ir reconstruyéndolas, ir aplicando “parches”).
Nota: En diferencial solo guardo la última, pero las incrementales hay que guardarlas todas. Y directa o
indirectamente siempre me baso en la última completa.

copia síncrona (en tiempo real)

Un detalle preguntable:
quién es el creador de PGP (Pretty Good Privacy)? Phil Zimmermann
 un software de cifrado, firma y autenticación con clave pública (clave asimétrica) [es un
criptosistema híbrido que combina técnicas de criptografía simétrica y criptografía asimétrica]

la versión de software libre de PGP se llama... GPG

también existe OpenPGP

ALGUNAS SOLUCIONES DEL CCN-CERT:

AMPARO: Implantación de seguridad y conformidad del ENS

 esta solución me facilita el proceso de implantación y gestión de la seguridad en entidades y
organismos de acuerdo al ENS

 incorpora diversas funcionalidades para facilitar estos procesos sirviendo de asistente para los
mismos, evaluando automáticamente la conformidad del sistema y orientando al usuario en las
posteriores fases de certificación y gestión continua de la seguridad

 actúa como punto de encuentro entre los diferentes actores participantes en el proceso:
organismos, entidades de certificación, organismos de auditoría y entidades supervisoras de
seguridad, lo que facilita en gran medida el proceso de adecuación al Esquema Nacional de
Seguridad en su fase de implantación

 A través de AMPARO es posible, entre otras cosas:

 Llevar a cabo el proceso de implantación y así adecuarse al ENS de forma guiada gracias a su
Asistente de Implantación, que señala los pasos que se deben seguir, muestra ayudas a lo
largo de todo el proceso y evalúa automáticamente la conformidad del sistema para
detectar carencias

 Evaluar el sistema y obtener automáticamente la Declaración de Conformidad del sistema

para categoría BASICA del ENS, o solicitar una Auditoría de Conformidad a una Entidad de
Certificación acreditada

 Descargar desde la sección de Soporte todos los modelos de procedimientos y normativas

necesarios para la adecuación al ENS, y gestionar la documentación del marco normativo

 Gestionar la Conformidad, mantener la comunicación con la entidad auditora, ver el estado

del sistema, y facilitar todo el proceso de auditoría

 Gestionar la Seguridad del sistema, donde será posible llevar a cabo los registros de
usuarios, registros de soportes, formación, y cualquier otro registro necesario para
mantener la seguridad en el ENS

ANA: Automatización y Normalización de Auditorías (es un sistema de auditoría continua desarrollado por
el CCN-CERT que tiene por objetivo incrementar la capacidad de vigilancia y conocer la superficie de
exposición)
 es un sistema de auditoría continua desarrollado por el CCN-CERT que tiene por objetivo
incrementar la capacidad de vigilancia y conocer la superficie de exposición. Con esta herramienta
se pretende reducir los tiempos en la gestión de la seguridad, mediante una gestión eficiente de la
 detección de vulnerabilidades y de la notificación de alertas, así como ofreciendo recomendaciones
para un tratamiento oportuno de las mismas

 Cosas que se pueden hacer con esta solución:

 Acceder en tiempo real a problemas localizados, reproducirlos y seguir su evolución en el

tiempo

 Generar dinámicamente informes del estado real de la entidad por departamento, servidor,
aplicación o cualquier activo definido

 Organizar la información proporcionando múltiples vistas/cuadro de mando a los usuarios

 Centralizar y normalizar todas las inspecciones de seguridad realizadas

 Alerta temprana mediante interacción directa y detallada de los problemas encontrados

permitiendo una notificación oportuna sin dilación indebida

CARMEN: Defensa de ataques avanzados/APT (solución desarrollada con el objetivo de identificar el

compromiso de la red de una organización por parte de amenazas persistentes avanzadas (APT))
 tanto los tráficos de red salientes e internos de la organización como los tráficos de red entrantes
son adquiridos, procesados y analizados para la defensa de ésta

 es posible identificar la existencia de usos indebidos y detectar anomalías o intentos de intrusión;

información que es organizada y representada para facilitar el desempeño del equipo de seguridad

 aporta capacidades para la detección de la amenaza en la etapa de persistencia, por lo que uno de
sus objetivos fundamentales es la identificación de movimientos externos, como exfiltraciones o
comunicaciones con servidores de mando y control, así como el reconocimiento de movimientos
laterales de mantenimiento de persistencia o de robo de información en la red corporativa

 capacidades de adquisición y análisis de la herramienta permiten cubrir las principales vías de

comunicación de estas amenazas con el exterior (navegación web, consultas DNS y correo
electrónico), y los diferentes mecanismos de comunicación interna en la red comprometida

 sobre cada una de las fuentes de datos adquiridas permite el análisis automático, semiautomático y
manual del tráfico de red de la organización para la detección de usos indebidos y, especialmente,
para la detección de anomalías significativas en este tráfico: estadísticas, series temporales, en
cadenas de texto o basadas en conocimiento, entre otros
CCNDroid: Seguridad para Android - Herramientas de seguridad desarrolladas por el CCN-CERT para
dispositivos con sistema operativo Android
 Herramientas de seguridad desarrolladas por el CCN-CERT para dispositivos con sistema operativo
Android

 CCNDroid Wiper: Herramienta para el borrado seguro de ficheros

 CCNDroid Crypter: Herramienta para el cifrado de ficheros con distintos algoritmos (incluido
PGP)

INES: Informe de Estado de Seguridad en el ENS (permite elaborar un perfil general del estado de la
seguridad en las Administraciones públicas / medición de la seguridad / proporciona a las distintas
Administraciones Públicas un conocimiento más rápido e intuitivo de su nivel de adecuación al ENS y del
estado de seguridad de sus sistemas)
 Esta plataforma permite la recogida de información organizada, delegada y supervisada (desde la
campaña del año 2020, la carga de datos puede realizarse de forma continua en cualquier
momento del año). El Responsable de la Seguridad de los sistemas y la información del organismo
aparece como el encargado de la interfaz con INES, proporcionando, validando y analizando la
información de seguridad propia de su Organismo y consolidada a nivel de Administración Pública.
Cada organismo puede acceder, completar o consultar sus datos, en cualquier momento y ver su
evolución de seguridad

GLORIA: es un SIEM (Security Information And Event Management = Gestión De Eventos E Información De
Seguridad)
 Un SIEM realiza:

 correlación compleja de eventos

 análisis de patrones

 Cuidado: a CARMEN a veces la definen así (para diferenciarla de MONICA): Gestor de logs para
responder ante incidentes y amenazas

MONICA: es otro SIEM pero en este caso es un SIEM más avanzado que se denomina SIEM de próxima
generación (ngsiem = next generation siem)

REYES: Intercambio de Información de ciberamenazas

  a través de este portal centralizado de información puede realizarse cualquier investigación de
forma rápida y sencilla, accediendo desde una única plataforma a la información más valiosa sobre
ciberincidentes

 el núcleo de información de REYES está basado en la tecnología MISP (Malware Information Sharing
Platform), que es enriquecida con fuentes externas de información que permiten agilizar la
prevención y la respuesta a incidentes

LUCIA: Listado Unificado de Coordinación de Incidentes y Amenazas (herramienta de gestión de

incidentes de seguridad del CCN-CERT, basada en un sistema de incidencias)
 solución de coordinación entre el CCN-CERT y el lugar público donde tiene lugar la incidencia de
ciberseguridad

 gestor de colas de incidencias, gestor de tickets de incidencias