29-1-2014
Plan de Respuesta ante Incidentes Direccin de Informtica
Salvador Alcides Franco Sanchez UNIVERSIDAD TECNOLGICA DE EL SALVADOR
Plan de contingencia de sistemas
a. Constitucin de un Equipo de Respuestas a Incidentes
b. Definicin de una gua de procedimientos
Los desastres pueden tomar muchas formas, daos infligidos directamente por un
usuario o por el propio administrador al aplicar algn cambio requerido, daos
incontrolables e impredecibles producidos por un desastre natural como una
inundacin o un terremoto. En cualquiera de los casos se debe estar preparado ante
los desastres y lo bien que responda el equipo para recuperarse ante ellos.
1. Alerta inicial de desastre
a. Contactar a las personas por telfono
b. Describir el desastre
c. Hacer un reporte preliminar de los daos
d. Notificar a los dems grupos y personas
2. Evaluacin del dao causado por el desastre
a. Enviar el equipo de respuesta
b. Realizar una visita en el rea afectada
c. Determinar los servicios bsicos que sufrieron algn dao
Nombre rea de especialidad Direccin Telfonos
Lic. Jorge Alberto Portillo
Chvez
Director de TI Col. Costa Rica, Av.
San Jos 426, San
Salvador
Tel. Oficina: 2275-8962
Tel. Casa: 2557-5205
Tel. Celular: 7101-5811
Ing. Salvador Alcides
Franco Sanchez
Jefe de Informtica Res. Lincoln, Pasaje
9 Oriente, Casa
#56.I, Mejicanos
Tel. Oficina: 2275-8726
Tel. Casa: 2232-7153
Tel. Celular: 7923-5840
Tel. Celular: 7238-8870
Lic. Fidel Edgardo Murcia
Perdomo
Especialista de Base de
Datos
3a. Calle poniente,
#27 Int. Barrio el
calvario, mejicanos
Tel. Oficina: 2275-8731
Tel. Casa:
Tel. Celular: 6200-5958
Tel. Celular: 7776-2068
Ing. Ernesto Alejandro
Padilla
Especialista de Centro
de Datos
Res. brisas de San
Marcos, Polgono E
casa 3 San Marcos,
San Salvador
Tel. Oficina: 2275-8732
Tel. Casa: 2220-1661
Tel. Celular: 7986-0542
Ing. Jerant Elias Serrano
Lopez
Especialista de
Seguridad
AV PL, PG 12, #13.
Brisas del Sur II.
Soyapango
Tel. Oficina: 2275-8731
Tel. Casa: 2359-0433
Tel. Celular: 73728465
Tec. William Enrique Garca
Arias
Especialista de
Infraestructura de Red
Col. Jardines del
Pepeto 1. Pasaje. 3
Casa 28 B.
Soyapango
Tel. Oficina: 2275-8732
Tel. Casa:
Tel. Celular: 7306-4014
d. Determinar el dao del equipo
e. Restringir el acceso al sitio del percance
f. Estimar el tiempo de recuperacin
3. Activacin de los planes de recuperacin por desastres
a. Revisar la evaluacin del dao
b. Determinar si el plan se debe activar de forma completa, parcial o si se
debe abordar: Notifique al personal y a la administracin
c. Busca ayuda sobre asuntos legales y de contrato
d. Monitorear las actividades de recuperacin
4. Planes de reaccin
a. Planear la reubicacin del ambiente productivo a un sitio alterno
b. Validar los procesos para recuperar y sincronizar las bases de datos
5. Estrategia de procesamiento alterno
a. Identificar una estrategia de procesamiento alterno
b. Identificar el tiempo que se estar sin operaciones debido a la estrategia
utilizada
c. Determinar si los sitios daados deben ser reconstruidos
d. Determinar los costos para la parte de seguros
6. Determinar cul equipo debe ser remplazado, recuperado o comprado
a. Identificar los activos recuperables
b. Identificar los medios de recuperacin
c. Aislar los activos recuperados en un sitio apropiado
d. Ordenar el remplazo de los activos no recuperados
7. Preparar el sitio alterno
a. Coordinar las instalaciones
b. Validar los sistemas
c. Asegurar la disponibilidad de los suministros
8. Restauracin del ambiente operativo
a. Identificar los medios requeridos para restaurar los datos en el sitio alterno
b. Notificar a las personas a se instalarn en el sitio de contingencia
Actividades a realizar
1. Infraestructura de Red
a. Adquisicin del servidor que soporte las mquinas virtuales respaldadas
b. Montaje de Servidor
c. Cablear el servidor a la red LAN
a. Instalacin y configuracin de Windows 2012 Server
b. Configuracin del direccionamiento IP
c. Instalacin y configuracin del Rol de Hyper-V
d. Configuracin de la infraestructura de red virtual
e. Pruebas de conectividad
2. Recuperacin de virtuales
a. Creacin de mquinas virtuales a partir de discos duros virtuales
respaldados
b. Verificacin de conectividad en la red
c. Verificacin de servicios de red de la mquina virtual
d. Verificacin de los sistemas en produccin Base de Datos y Servicios WEB
3. Monitoreo y pruebas
a. Pruebas de acceso a los sistemas desde la LAN
b. Pruebas de acceso a los sistemas desde la WAN e Internet
c. Anunciar que los sistemas estn disponibles
4. Restauracin de Bases de Datos (aplica si el entorno virtual no se puede recuperar)
a. Ejecutar el software DPM para la recuperacin de las bases de datos
b. Seleccionar el destino de la recuperacin de los datos
c. Recuperar los datos
d. Preparar la configuracin de la base de datos para acceder a los datos
recuperados
e. Realizar pruebas de acceso a la informacin
f. Configurar el servidor WEB para publicacin de los sistemas
g. Verificar que los usuarios pueden acceder a la informacin
c. Deteccin de un incidente de seguridad
No. Incidente de Seguridad
1 Evitar el escaneo de puertos, escaneo de vulnerabilidades de servidores, reconocimiento
de versiones de sistemas operativos y aplicaciones
2 Registrar las actividades extraas en los logs de los servidores y dispositivos de red o incremento sustancial de las entradas en los logs
3 Aparicin de nuevas carpetas o ficheros con nombres extraos en los servidores, o
modificaciones realizadas en determinados ficheros del sistema, utilizar herramientas de
revisin de integridad.
4 Cada o mal funcionamiento de los servidores: reinicios inesperados, fallos en algunos
servicios, aparicin de mensajes de error, incremento anormal de la carga del procesador
o del consumo de la memoria del sistema
5 Notable cada del rendimiento de la red o de algn servidor, debido a un incremento
inusual del trfico de datos
6 Cambios de configuracin de equipos de red: modificacin de las polticas de seguridad
y auditora, activacin de nuevos servicios, puertos abiertos que no estaban autorizados,
activacin de las tarjetas de red en modo promiscuo (para poder capturar trfico en la
red Sniffer), DHCP no autorizados, Cambio en la topologa de redundancia por equipos no autorizados.
7 Existencia de herramientas no autorizadas en el sistema
8 Aparicin de nuevas cuentas de usuarios o registro de actividad inusual en algunas
cuentas: conexin de usuarios en horarios extraos, utilizacin de la misma cuenta en
distintos equipos a la vez, bloqueo reiterado de cuentas por fallos en la autenticacin,
ejecucin inusual de determinados servicios desde algunas cuentas.
d. Anlisis de incidentes
El equipo de respuesta ante incidentes debe contemplar la siguiente matriz de
diagnstico para facilitar la actuacin.
El equipo de respuestas ante incidentes debe priorizar las actividades de la siguiente
forma:
1. Prioridad uno: proteger la vida humana y la seguridad de las personas
2. Prioridad dos: proteger datos e informacin sensible de la organizacin
3. Prioridad tres: proteger datos e informacin de la organizacin
4. Prioridad cuatro: prevenir daos en los sistemas informticos
5. Prioridad cinco: minimizar la interrupcin de los servicios ofrecidos a los
usuarios internos y externos
9 Informes de los propios usuarios del sistema alertando de algn comportamiento extrao
o de su imposibilidad de acceder a algunos servicios.
10 Deteccin de procesos extraos en ejecucin dentro del sistema, que se inician a horas
poco habituales o que consumen ms recursos de los normales, por ejemplo: memoria,
procesador, ancho de banda o Internet
11 Generacin de trfico extrao en la red: envo de mensajes de correo electrnico hacia el
exterior con contenido sospechoso, inusual actividad de transferencia de ficheros,
escaneo de otros equipos desde un equipo interno.
12 Notificacin de un intento de ataque lanzado contra terceros desde los equipos
pertenecientes a la propia organizacin
13 Aparicin de dispositivos extraos conectados directamente a la red o algunos equipos
de la organizacin
14 Alarmas generadas en el Firewall o herramientas de antivirus
Sntoma Cdigo malicioso Denegacin de
servicios (DoS)
Acceso no
autorizado
Escaneo de puertos Bajo Alto Medio
Cada del servidor Alto Alto Medio
Modificacin de los ficheros de
un equipo
Alto Bajo Alto
Trfico inusual en la red Medio Alto Medio
Envo de mensajes de correo
sospechosos
Alto Bajo Medio
Cada del rendimiento de la red Alto Alto Medio
Aparicin de nuevas cuentas de
usuario
Medio Alto Alto
Cambios en configuraciones de
equipos
Medio Alto Alto
Usuarios no pueden acceder al
sistema
Alto Alto Medio
Aparicin de dispositivos
extraos conectados a la red
Bajo Medio Alto
e. Contencin, erradicacin y recuperacin
Estrategia de contencin
Ante un incidente de seguridad el equipo de respuesta ante incidentes debe llevar a
cabo una rpida actuacin para evitar que el incidente pueda tener mayores
consecuencias para la organizacin. Es responsable de la desactivacin de los
servicios y de aislar, desconectar o apagar los equipos afectados. El equipo debe velar
por no poner en peligro la informacin confidencial que puedan generar prdidas
econmicas considerables.
Estrategia de erradicacin
El equipo ante incidentes realizara las siguientes actividades para eliminar los agentes
causantes de incidentes:
1. Evitar la instalacin de software que se encuentran en categora de puertas
traseras
2. Mantener actualizado los servidores con los parches de seguridad
recientes
3. Mantener actualizado los antivirus de la organizacin
4. Mantener actualizada la zona segura de los servidores, velar por abrir
puertos de aplicaciones que sean los necesarios y cerrar los que no se
utilizan
5. Definir roles y privilegios a los usuarios de la organizacin
6. Asegurar el permetro de la red utilizando polticas de control de acceso a
servicios internos y externos
7. Revisar otros sistemas que se puedan ver comprometidos por la relacin
de confianza con el sistema afectado
Estrategia de recuperacin
El equipo ante incidentes realizara las siguientes actividades para la recuperacin:
Estrategia 1
Virtualizacin:
1. Instalar el rol de Hyper-V en un nuevo servidor
2. Configurar los protocolos de conectividad entre el servidor y la SAN
3. Recuperar la mquina virtual a travs del software de recuperacin
4. Encender la mquina virtual e ingresar con las credenciales de
administrador
5. Configurar el enrutamiento de la red mquina virtual desde el sitio
alterno
6. Realizar las pruebas de accesibilidad a los servicios de la mquina virtual
7. Publicar los servicios interna y externamente
8. Notificar a usuarios el acceso a los servicios
Estrategia 2
Base de Datos y Servicios WEB
1. Ejecutar el software DPM para la recuperacin de las bases de datos
2. Seleccionar el destino de la recuperacin de los datos
3. Recuperar los datos
4. Preparar la configuracin de la base de datos para acceder a los datos
recuperados
5. Realizar pruebas de acceso a la informacin
6. Instalar y configurar rol de servidor Web
7. Configurar el servidor WEB para publicacin de los sistemas
8. Verificar que los usuarios pueden acceder a la informacin
f. Identificacin del atacante y posibles actuaciones legales
Acciones realizar para exigir responsabilidades:
1. Solicitar la colaboracin de los proveedores de servicios de Internet que pudieran
utilizar los atacantes
2. Revisin de logs de los equipos afectados para identificar las tcnicas de
exploracin utilizadas
3. Implementar un Sistema de Deteccin de Intrusos (IDS).
4. Presentar las evidencias del delito al departamento que vela por los aspectos
legales en la institucin para que se proceda con una denuncia formal
g. Comunicacin con terceros y relaciones pblicas
Proveedores
Rubro Proveedor Contacto Telfonos
Internet TIGO Victor Colorado 2280-9425 / 7946-4146
TIGO Julio Milln Rivera 2280-9349 /7894-9501
TELEFONICA Ada Samara Gochez 2257-4213 / 7833-0112
Seguridad SEFISA Roxana Rivas 2528-1013 / 7856-9861
Redes GBM Cristina Cceres 2250-5600
SSASIS Patrick Cisneros 2263-5686 / 7861-4895
Servidores ORBITAL Ingrid Granadino 2204-4704 / 7695 6806
AEEGLE Carlos Campos 2564-6680 / 7850-5077
AEEGLE Alex Biaza 2564-6680 / 78563353
Interlocutor para contactar con proveedores
Interlocutor para anunciar el incidente a los distintos medios
h. Documentacin del incidente de seguridad
El formato utilizado para registrar los incidentes de seguridad es tal y como se
muestra a continuacin:
Ing. Salvador Alcides
Franco Sanchez
Jefe de Informtica
Lic. Jorge Alberto Portillo
Chvez
Director de TI
Descripcin del incidente
Hechos registrados (eventos en los
logs de los equipos)
Daos producidos en el sistema
informtico
Decisiones y actualizacin del
equipo de respuesta
Comunicaciones que se han
realizado con terceros y con los
medios
Lista de evidencias obtenidas
durante el anlisis y la
investigacin
Comentarios e impresiones del
personal involucrado
Posibles actualizaciones y
recomendaciones para reforzar la
seguridad y evitar incidentes
similares a futuro
i. Anlisis y revisin a posteriori del incidente
Formato utilizado para presentacin del informe final despus del incidente
Aspectos Actividades Resultado
Investigacin sobre las causas y
las consecuencias del incidente
Estudio de la
documentacin
generada por el
equipo de respuesta
ante incidentes
Revisin de los
registros de actividad
logs de los equipos afectados
Evaluacin del costo
del incidente de
seguridad para la
organizacin
Anlisis de las
consecuencias que
haya podido tener
para terceros
Revisin del
intercambio de
informacin sobre el
incidente con otras
empresas e
instituciones
Seguimiento de las
posibles acciones
legales emprendidas
contra los
responsables del
incidente
Revisin de las decisiones y
actuaciones del equipo de
respuesta a incidentes
Composicin y
organizacin del
equipo
Formacin y nivel de
desempeo de los
miembros
Rapidez en las
actualizaciones y
decisiones
j. Estrategia de implementacin del centro alternativo
Sitio de contingencia
Este centro alternativo est en categora de frio, se trata de un centro alternativo
que cuenta con un equipamiento suficiente de hardware, software y de
comunicaciones para mantener los servicios crticos de la UTEC, as mismo en el
centro se guardan copias de seguridad de los datos y aplicaciones de la organizacin.
El tiempo de recuperacin puede ser de uno a varios das.
Anlisis de los procedimientos y
de los medios tcnicos
empleados en la respuesta al
incidente
Redefinicin de
aquellos
procedimientos que
no hayan resultado
adecuados
Adopcin de las
medidas correctivas
que se consideran
necesarias para
mejorar la respuesta
ante futuros
incidentes de
seguridad
Adquisicin de
herramientas y
recursos para reforzar
la seguridad del
sistema y respuesta
ante futuros
incidentes de
seguridad
Revisin de las Polticas de
Seguridad de la organizacin
Definicin de nuevas
directrices y revisin
de las actualmente
previstas por la
organizacin para
reforzar la seguridad
de su sistema
informtico
Tecnologa utilizada en el centro alternativo
Conectividad del sitio de contingencia
EDIFICIO JOSE MARTI
EDIFICIO SIMON BOLIVAR
EDIFICIO LOS FUNDADORES
CENTRO DE DATOS
SITIO DE CONTINGENCIA
LF-C4503E-CO
SB-C4503E-CO
UTEC-CSC4506-DOWN
Fibra Optica
Cobre
Redundancia en el centro alternativo
Enlace de fibra redundante
Fuentes de poder redundantes, Servidor y CORE-Switch
Discos en RAID 6
Equipo Marca/Modelo
Router-Switch CISCO Catalyst 4503
Servidor NAS HP X1600 G2
Librera de Respaldos HP MSL2024 1 LTO-4
UPS APC Smart-UPS
k. Estrategia de implementacin del centro principal y primer sitio de
contingencia
La tecnologa implementada en el centro principal de las aplicaciones y servicios
Fsica
Espacio fsico dedicado para servidores
Acceso biomtrico a las instalaciones de los servidores
Segmentacin de conectividad y servidores
Separacin de border (ISP) de infraestructura red y servidores de la UTEC
Aire acondicionado redundante
Un proveedor elctrico con UPS central y planta elctrica
Monitoreo a travs de circuito cerrado
Redundancia de conectividad hacia la red
Enlace de fibra redundante
Fuentes de poder redundantes, Servidores y CORE-Switch
Lgica
Dos servidores robustos con caractersticas tcnicas para virtualizacin
Sistema de Virtualizacin Hyper-V de Microsoft
Windows 2012 Data Center como sistema operativo
Servidores implementados en FailOver Cluster
Balanceo de carga de virtualizacin
SAN para almacenamiento de virtuales
Redundancia de tarjetas iSCSI entre servidores y SAN
RAID 6 para alta disponibilidad
SAN para respaldo de virtuales
Windows 2003, 2008 y Ubuntu Server como sistemas operativos de
mquinas virtuales
La alta disponibilidad implementada en el sitio principal, permite la recuperacin
ante fallos en horas.
Sitio principal y primer sitio de contingencia
NODO 1SERVIDOR DELL
POWER EDGE R610
NODO 0SERVIDOR DELL
POWER EDGE R610
SAN HP 2000
SITIO EN PRODUCCIN
WINDOWS 2012 DATA CENTER
HYPER-V
WINDOWS 2012 DATA CENTER
HYPER-V
CORE UPCISCO CATALYS 4506 CORE DOWN
CISCO CATALYS 4506
SERVIDOR DELLPOWER EDGE R310
SAN DELLMD3000i
PRIMER SITIO DE CONTINGENCIA
WINDOWS 2008 ENTERPRISE
DPM SERVER