26 de mayo de 2006

Actualización de cliente VPN de Cisco

From: Oxygen3 24h-365d <oxygen@pandasoftware.com>
Date: May 26, 2006 7:26 AM
Subject: Oxygen3 24h-365d [Actualización de cliente VPN de Cisco - 26/05/06]
To: OXYGEN3ES@oxygen3.pandasoftware.com
"Es la segunda vez que me alcanzas con un disparo. No vuelvas a hacerlo"
Sheriff John T. Chance en "Rio Bravo", según guión de
Jules Furthman (1888-1966), guionista estadounidense.
(El 26 de mayo de 1907 nació John Wayne)
- Actualización de cliente VPN de Cisco -
Oxygen3 24h-365d, por Panda Software (
http://www.pandasoftware.es)
Madrid, 26 de mayo de 2006 - Cisco ha anunciado una vulnerabilidad en su cliente VPN para Windows por la que un usuario local podría llegar a conseguir privilegios administrativos.
El Cliente Cisco VPN es una solución software para sistemas operativos Sun Solaris, Apple MacOS Classic y MacOS X, Linux y Microsoft Windows que permite a los usuarios de estos sistemas establecer túneles IPSec VPN a dispositivos calificados Cisco VPN, tales como los routers Cisco IOS, el PIX Security Appliance, los VPN 3000 Series Concentrators y los ASA 5500 Series Adaptive Security Appliances.
Se ven afectados las versiones 2.x, 3.x, 4.0.x, 4.6.x, 4.7.x con la excepción de la versión 4.7.00.0533 y la 4.8.00.x del Cisco VPN Client para Windows (están excluidos los usuarios de Windows 9x).
En un boletín de seguridad Cisco confirma una vulnerabilidad de elevación de privilegios local en su Cliente VPN para Windows, también conocido como "VPN client dialer". Un atacante local podrá explotarla para elevar sus privilegios de usuario y obtener permisos equivalentes a LocalSystem.
Cisco ha publicado una actualización que corrige está vulnerabilidad, ésta nueva versión 4.8.01.0300 del Cliente Cisco VPN para Windows, puede descargarse desde: http://www.cisco.com/pcgi-bin/tablebuild.pl/windows (solo para usuarios registrados). El aviso de seguridad de Cisco está disponible en http://www.cisco.com/warp/public/707/cisco-sa-20060524-vpnclient.shtml.

21 de mayo de 2006

Acelere el proceso de inicialización de las bocas del switch

Cuando conectamos un nodo a una boca de un switch Cisco puede que demore 30 segundos o más hasta que la boca se encuentre plenamente operativa (que el led del puerto pase de naranja a verde). Este proceso de inicialización de la boca puede ser acelerado.

Las fases del proceso de inicialización del puerto
Cuando se conecta un dispositivo a un puerto habilitado de un switch, este puerto -por defecto- debe pasar a través de 4 fases:
  • Inicialización de Spanning Tree (STP)
    STP (IEEE 802.1d) es el protocolo que previene la formación de bucles a nivel de capa 2 en las redes LAN, de allí su importancia.
    Si la boca del switch en cuestión se utiliza para conectar un hub, otro switch o incluso un router consecuentemente STP es necesario e importante. En cambio, si a esa boca ha de conectarse una terminal, una impresora o un servidor, el proceso de inicialización de STP es totalmente innecesario.
    El proceso de inicialización de STP demanda 15 segundos. En consecuencia, si se trata de una boca del switch destinada a conectar una terminal, servidor o impresora este proceso puede ser deshabilitado.
  • Verificación de la configuración de Ether Channel
    A continuación la boca debe verificar la configuración para Ether Channel, que es el procedimiento para realizar agregación de puertos del switch para lograr conexiones Ethernet de mayor ancho de banda. Además provee redundancia si uno de los puertos que constituyen el canal "cae" por algún motivo.
    Este proceso utiliza el Port Aggregation Protocol (PAgP), y toma aproximadamente 15 segundos.
  • Verificación de la configuración de troncal
    Seguidamente el switch debe verificar si la boca se encuentra configurada como puerto troncal. Los puertos troncales son los encargados de transportar múltiples VLANs a través de un único puerto.
    Si bien esta verificación no requiere tanto tiempo como las anteriores, puede eliminarse para ganar algunos segundos más en el proceso.
  • Auto negociación de la velocidad y condición dúplex del puerto
    Finalmente, la boca del swtich debe realizar la auto negociación de la velocidad y condición de full o half dúplex a fin de bucar la mejor condición posible de operación con el nodo.
    Este proceso también puede ser desactivado para ganar tiempo en la inicialización del puerto. Sin embargo hay que estar atentos pues no siempre sabemos con certeza las características de los nodos que se pueden conectar a un determinado puerto.

Sugerencias de configuración para reducir el tiempo de inicialización
En los switches que utilizan Cisco IOS se puede reducir el tiempo de inicialización de cada boca en 30 segundos o más si se tienen en cuenta los siguientes tips:

  • Colocar los puertos a los que se conectan terminales, servidores, impresoras, etc. en modo acceso.
    Esto desactiva la negociación del troncal y previene que el puerto deba pasar por los pasos de negociación de Ether Channel. Esto reduce en aproximadamente 15 segundos el tiempo de inicialización.
  • Configurar PortFast. Esto permite ahorar el tiempo de negociación de STP, lo que significa unos 15 segundos adicionales en la inicialización del puerto.

Un ejemplo:

Switch(config)# interface fastethernet 0/21
Switch(config-if)# switchport mode access
Switch(config-if)# spanning-tree portfast
%Warning: Only enable PortFast on ports connected to a single host.
Connecting hubs, concentrators, switches, bridges, etc. to this
interface when you've PortFast can cause temporary bridging loops.
Use with CAUTION.

%This has configured PortFast on FastEthernet0/21 but will only
have an effect when the interface is in a non-trunking mode.
Switch(config-if)# no shutdown
Switch(config-if)#_

También se puede aplicar esta configuración a un rango de puertos utilizando el comando interface range:

Switch(config)# interface range fastethernet 0/1 - 24
Switch(config-if-range)# switchport mode access
Switch(config-if-range)# spanning-tree portfast

  • Si se tiene certeza de las características de los nodos que se conectarán a un puerto, se puede configurar de modo fijo la velocidad y la condición de dúplex para evitar la auto negociación y ahorrar algunos segundos adicionales:

Switch(config)# interface fastethernet 0/21
Switch(config-if)#speed 100
Switch(config-if)#duplex full

Oscar Gerometta
Cualquier aporte que quieras hacer en este punto será muy bien venido.
Por favor, agrégalo en forma de comentario. Gracias.

Ejercicios de subredes


La idea de esta sección es proponer cada semana una pregunta o ejercicio referido a subredes, VLSM, CIDR.
La idea es que cada uno aporte sus comentarios o solución respecto de la pregunta o problema planteado. A la semana siguiente (el día lunes), cuando propongamos una nueva cuestión, publicaremos la respuesta de la pregunta planteada.
Esperamos la participación de todos para enriquecer el debate y que todos ganemos en conocimiento.
Saludos....



Ir A la información sobre la Guía

1. ¿Cuál es la dirección reservada de subred de la dirección de nodo 201.100.5.68/28?

    A. 201.100.5.0
    B. 201.100.5.32
    C. 201.100.5.64
    D. 201.100.5.16
    E. 201.100.5.31
    F. 201.100.5.63

Rta: C - Utilizando una máscara de subres 255.255.255.240, las direcciones reservadas de subred crecen de 16 en 16:
201.100.5.0
201.100.5.16
201.100.5.32
201.100.5...
Por lo tanto, la dirección reservada de subred de la IP 201.100.5.68/28 es la IP 201.100.5.64.
-------
2. ¿Cuál es la dirección reservada de subred para la dirección IP de nodo 172.16.210.0/22?


    A. 172.16.210.4
    B. 172.16.210.0
    C. 172.16.208.0
    D. 172.16.252.0
    E. 172.16.254.0
    F. 172.16.204.0
    G. Ninguna de las anteriores

Rta: C - En este caso la máscara de subred es 255.255.252.0. Por lo tanto el octeto crítico es el tercer octeto. De aquí que la dirección reservada de subred de la IP 172.16.210.0/22 es 172.16.208.0.

-------

3. Un router recibe un paquete sobre su interfaz 172.16.45.66/26. La dirección IP de origen del paquete es 172.16.45.126/26 y la dirección IP de destino es 172.16.46.191/26. ¿Qué hará el router con este paquete?

    A. El destino es un nodo de otra subred, por lo tanto el router no reenviará el paquete.
    B. El destino es un nodo de la misma subred, por lo tanto el router reenviará el paquete.
    C. El destino es una dirección de broadcast, por lo tanto el router no reenviará el paquete.
    D. El destino es una dirección de red, por lo tanto el router reenviará el paquete.
    E. El destino es un nodo de otra subred, por lo tanto el router reenviará el paquete.
    F. El destino es un nodo de la misma subred, por lo tanto el router no reenviará el paquete.
    G. El destino es una dirección de broadcast, por lo tanto el router inundará la subred de destino.

Rta: C- Considerando la máscara de subred 255.255.255.192, la dirección 172.16.46.191/26 es la dirección reservada de broadcast de la subred 172.16.46.128. En consecuencia la dirección de destino es una dirección de broadcast.
El router no reenvía, sino que descarta las direcciones de broadcast.

-------

4. La red 172.25.0.0 ha sido dividida en 8 subredes iguales. ¿Cuál de las siguientes direcciones IP pueden ser asignadas a nodos ubicados en la tercera subred, si el comando ip subnet-zero ha sido aplicado en el router? (Elija 3)

    A. 172.25.78.243
    B. 172.25.98.16
    C. 172.25.72.0
    D. 172.25.94.255
    E. 172.25.0.65
    F. 172.25.96.17
    G. 172.25.0.84
    H. 172.25.100.16
    I. 172.25.0. 94

Rta: A, C y D - Si se activa la función ip subnet-zero, entonces
la primera subred disponible es la 172.25.0.0
la segunda subred disponible es la 172.25.32.0
y la tercera subred disponible es la 172.25.64.0
La primer dirección IP útil de esta subred es la 172.25.64.1 y la última es la 172.25.95.254. En consecuencia solamente las direcciones indicadas pueden ser direcciones de nodo de esta subred.

-------

5. Su ISP le ha asignado una red clase B completa. A partir de esta dirección usted necesita al menos 300 subredes que puedan soportar al menos 50 nodos cada una de ellas. ¿Cuáles de las máscaras de subred que están más abajo pueden satisfacer este requerimiento? (Elija 2)

    A. 255.255.255.0
    B. 255.255.255.128
    C. 255.255.252.0
    D. 255.255.255.224
    E. 255.255.255.192
    F. 255.255.248.0
Rta. B y E - La máscara de subred 255.255.255.128 reserva 9 bits para identificar subredes, lo que posibilita crear 512 subredes (510 subredes útiles), cada una de 125 nodos. Esto cumple la premisa de 300 subredes, y sobradamente la cantidad de nodos por subred.
Por su parte, la máscara 255.255.255.192 deja 6 bits para ID de nodo, lo que permite crear subredes de 62 nodos útiles cada una. Esto cumple con la premisa de 50 nodos por subred, y sobradamente el requisito de subredes disponibles.
-------

6. Su proveedor de servicios le ha asignado el bloque CIDR 115.64.4.0/22 ¿Cuáles de las direcciones IP que se muestran más abajo puede utilizar como dirección de nodo? (Elija todas las que apliquen)

    A. 115.64.8.32
    B. 115.64.7.64
    C. 115.64.6.255
    D. 115.64.3.255
    E. 115.64.8.128
    F. 115.64.12.128
Rta. B y C - Con una máscara de subred /22 la dirección reservada de subred es 115.64.4.0 y la reservada de broadcast es 115.64.7.255.
Por lo tanto, el rango de direcciones de nodo válidas es de la 115.64.4.1 a la 115.64.7.254
-------

7. Se le ha requerido la configuración del extremo local de un enlace serial entre 2 routers. En la interfaz serial 0/0 del router remoto se ha configurado la dirección IP 172.16.17.0/22. ¿ Cuál de los siguientes comandos puede ser utilizado para configurar una dirección IP en la interfaz serial 0/0 del router local?

    A. Router(config-if)#ip address 172.16.17.1 255.255.255.0
    B. Router(config-if)#ip address 172.16.18.255 255.255.252.0
    C. Router(config-if)#ip address 172.16.18.255 255.255.255.252
    D. Router(config-if)#ip address 172.16.17.2 255.255.255.252
    E. Router(config-if)#ip address 172.16.17.2 255.255.255.0
    F. Router(config-if)#ip address 172.16.16.0 255.255.255.0

Rta. B - Una máscara de subred de 22 bits se expresa en decimales como 255.255.252.0. Con este punto de partida, la dirección reservada de subre correspondiente a la dirección 172.16.17.0/22 es 172.16.16.0 y el rango de direcciones IP útiles es de 172.16.16.1 a 172.16.19.254.
En consecuencia, la única ópción posible es la B, si se considera tanto la dirección de nodo como la máscara de subred.

-------

8. A la red que usted administra se la ha asignado una dirección de red clase C y ha implementado VLSM para mayor eficiencia. Debe ahora asignar direcciones a un enlace punto a punto. ¿Cuál de las siguientes máscaras de subres es la más eficiente para la tarea?

    A. 255.255.252.0
    B. 255.255.255.0
    C. 255.255.255.224
    D. 255.255.255.240
    E. 255.255.255.248
    F. 255.255.255.252
    G. 255.255.255.254

Rta. F - Un enlace punto a punto requiere de solamente 2 direcciones IP útiles, por lo que lo más eficiente (el menor desperdicio de direcciones IP) es implementar una máscara de 30 bits: 255.255.255.252. Esto genera una subred de 4 direcciones IP, 2 direcciones de nodo, una reservada de subred y otra reservada de broadcast.

-------

9. Como expresaría el número binario 10101010 en notación decimal y hexadecimal?

    A. Decimal=160, hexadecimal=00
    B. Decimal=170, hexadecimal=AA
    C. Decimal=180, hexadecimal=BB
    D. Decimal=190, hexadecimal=CC
Rta. B - El equivalente decimal de 10101010 es igual a 128 + 32 + 8 + 2 = 170. Para calcular el valor hexadecimal seguimos la regla de partir el octeto en dos grupos de 4: 1010 = 10 = A en hexadecimal. Por lo tanto, el valor hexadecimal es AA.
-------
10. ¿cuáles de las siguientes afirmaciones son verdaderas respecto de una red que está utilizando una máscara de subred 255.255.248.0? (Elija 3)

    A. Corresponde a una red clase A que ha tomado 13 bits para subredes.
    B. Corresponde a una red clase B que ha tomado 4 bits para subredes.
    C. La dirección de red de la última subred será 248 en el tercer octeto.
    D. Los primeros 21 bits constituyen la porción del nodo de la dirección.
    E. Esta máscara de subred permite crear un total de 16 subredes.
    F. Los números de subred serán múltiplos de 8 en el tercer octeto.

Rta. A, C y F - La máscara 255.255.248.0 es una máscara de 21 bits (8+8+5). Eso se corresponde con una red clase A que utiliza 13 bits para subredes (8+13=21); no con una red clase B que utiliza 4 bits para subredes.
Consecuentemente, en el tercer octeto se dejan 3 bits para el ID de nodo, lo que significa que la dirección reservada de subred incrementará de 8 en 8 (2x2x2). La dirección reservada de subred de la última subred creada es 255.255.248.0

Más ejercicios sobre subredes, VLSM y CIDR,
los encontrarás en mi nuevo libro:
"Guía de preparación para el examen de certificación CCNA"

Procedimiento para actualizar sistema operativo de los switches

Es sumamente conveniente mantener actualizada la imagen de sistema operativo de los switches Cisco en producción, y dentro de lo posible uniformar la versión de sistema operativo en uso.
Para esta tarea, es conveniente atender los siguientes pasos:

  • Elija cuidadosamente el momento en que realizará este procedimiento. Tenga en cuenta que al menos deberá reiniciar los dispositivos, con lo que dejará sin conexión de red a todos los usuarios conectados a ese dispositivo por espacio de varios minutos aún cuando no tenga inconvenientes en el procedimiento.
  • Asegúrese de tener la información (clave) necesaria para acceder a cada dispositivo.
  • Realice un inventario de cada switch: ID, modelo, cantidad de memoria DRAM y flash y versión actual del sistema operativo que está utilizando.
  • Ingrese al Software Center de Cisco Systems. Tenga presente que requerirá una clave CCO para poder bajar imágenes de sistema operativo.
  • Verifique las release notes de la versión que desea instalar para asegurarse de que reúne las caracterísitcas que su red requiere; que los dispositivos tienen suficiente memoria para operar con esta versión del sistema operativo; y si hay algún procedimiento en particular que deba tenerse en cuenta durante la actulización.
  • Descargue la imagen de sistema operativo que desea instalar en cada switch.
  • Necesita reunir ahora las herramientas para realizar la actualización. Es conveniente contar para esta tarea con una computadora portátil (laptop), un cable de red y un cable consola.
    Es útil tener ambos cables disponibles ya que la conexión por una boca de red es más rápida para la transferencia de archivos vía tftp; pero para no perder control de la operación es necesario mantener una conexión a través del puerto consola para poder monitorear posibles errores.
    También se requiere un servidor tftp. Si no cuenta con uno vea el artículo de
    herramientas freeware de este mismo weblog.
  • En cada dispositivo deberá:
    • Realizar una copia de respaldo para prever la posible necesidad de volver atrás el proceso de actualización en caso de problemas durante la actualización.
    • Realizar una copia de respaldo del archivo de configuración del dispositivo.
    • Dependiendo de la cantidad de memoria disponible en el dispositivo puede que sea necesario borrar la imagen actual del sistema operativo antes de cargar la nueva.
    • Copie la nueva imagen del sistema operativo a la memoria flash, utilizando el comando copy tftp flash (este proceso se hace a través de la conexión de red.
    • Una vez que termine el proceso de copiado, se le requerirá que reinicie el dispositivo. En este punto es importante estar conectado a través del puerto consola para poder monitorear que el dispositivo reinicia correctamente.
Oscar Gerometta
Cualquier aporte que quieras hacer en este punto será muy bien venido.
Por favor, agrégalo en forma de comentario. Gracias.

19 de mayo de 2006

Recursos freeware para la tarea de administración de red


En esta sección recogeremos referencias a herramientas freeware que pueden ser útiles o necesarias para el desarrollo de las actividades de monitoreo y gestión habituales en el área de administración de redes.
  1. Clientes SSH.
    Una recomendación de seguridad de suma importancia es, al momento de hacer administración in band, no utilizar telnes sino ssh para minimizar riesgos.
    El problema es contar con clientes ssh para poder trabajar.
    En este punto, un cliente ssh ampliamente recomendado y utilizado es el Putty (
    http://www.putty.nl/). Es un cliente telnet y ssh para plataformas Windows y Unix desarrollado por Simon Tatham. Soporta ssh versión 1 y 2 y encripción DES, 3DES y AES.
    Cisco IOS soporta ssh para establecer las sesiones de terminal virtual. Para ver los pasos básicos de configuración necesarios para activar el acceso ssh, vea
    http://librosnetworking.blogspot.com/2006/03/10-pasos-para-segurizar-un-dispositivo.html
  2. Servidores TFTP.
    El modo regular de almacenar y recuperar copias de resguardo de imágenes de IOS y archivos de configuración, es el uso de tftp dada su simpleza y estabilidad.
    En este sentido, un recurso necesario es contar con un servidor tftp. Para esto, un servidor tftp de distribución libre es PumpKIN (
    http://kin.klever.net/pumpkin/). Este servidor de código abierto corre sobre cualquier plataforma Windows y permite ilimitada cantidada de sesions simultáneas. Cuenta con una GUI.
    Otro buen servidor TFTP de distribución libre, que permite múltiples sesiones simultáneas e incluye features de seguridad, es el de ofrece SolarWinds (http://www.solarwinds.net/Tools/Free_tools/TFTP_Server/)
    Aquellos usuarios con una clave CCO válida pueden acceder también al servidor tftp de Cisco:
    http://www.cisco.com/pcgi-bin/tablebuild.pl/tftp
    Tenga en cuenta que Cisco IOS soporta actualmente sesiones ftp para este mismo propósito, lo que permite una mejor organización de los archivos utilizando directorios, y sobre todo, la limitación del acceso con la utilización de usuario y clave como en todo servicio ftp.
    Un servidor ftp de distribución libre es:
    FileZilla:
    http://filezilla.sourceforge.net/
  3. Servidores Syslog.
    Otra recomendación de seguridad importante para el seguimiento de incidentes es la activación de los servicios de syslog de que dispone Cisco IOS. Esto permite hacer una revisión y seguimiento de incidentes en cada dispositivo.
    Los archivos de log generados pueden guardarse en cada dispositivo, pero esto es poco recomendable porque utiliza recursos del dispositivo y adicionalmente complica las tareas de revisión. Por lo que es aconsejable direccionar el almacenamiento de esta información a un servidor de syslog.
    Muchas veces también se requiere activar un servidor syslog para fines de laboratorio a fin de evaluar nuevas configuraciones o dispositivos.
    Un servidor syslog de distribución libre es el Kiwi Syslog Daemon (
    http://www.kiwisyslog.com/syslog-info.php). Este producto cuenta con características interesantes y muy útiles.
  4. Scanner de red.
    Los scanners de puertos no son simplemente una herramienta de "hackers". Son un recurso esencial para el monitoreo de nuestra red a fin de poder establecer potenciales debilidades o fallas de seguridad.
    En este sentido, Nmap (
    http://www.insecure.org/nmap/) es una herramienta freeware de código abierto de gran utilidad para este tipo de evaluaciones.
    Para verificar la seguridad de nuestro acceso a Internet, podemos utilizar el servicio de escaneo de puertos en línea de Sygate:
    http://scan.sygatetech.com/prequickscan.html
  5. Analizador de protocolos.
    El análisis del tráfico de la red es una tarea regular que permite establecer el estado de la red, el nivel de uso de la misma, detectar potenciales fallos o abusos, etc.
    En este sentido, un analizador de tráfico o de protocolos, instalado en los lugares adecuados, es una herramienta esencial para poder "saber qué pasa en la red".
    Hay multiplicidad de productos comerciales, con diferentes prestaciones, pero el más conocido sin dudas es el Ethereal (
    http://www.ethereal.com/) una herramienta de distribución libre y código abierto que permite identificar 759 protocolos diferentes (entre ellos protocolos propietarios como CDP, IGRP, etc.); pero lo que es destacable a mi juicio es que permite capturar y analizar tráfico de diferentes tipos de redes, incluidas redes wireless.

Estas a son algunas herramientas, con tu aporte, podemos seguir ampliando esta lista de recursos freeware.

Oscar Gerometta

13 de mayo de 2006

Salto de filtros de contenido Websense en Cisco PIX Firewall

From: Oxygen3 24h-365d <oxygen@pandasoftware.com>
Date: May 12, 2006 12:05 PM
Subject: Oxygen3 24h-365d [Salto de filtros de contenido Websense en Cisco PIX Firewall - 12/05/06]
To:
OXYGEN3ES@oxygen3.pandasoftware.com

"La dictadura es un aria, y nunca llega a ser ópera"
Emilia Pardo Bazan (1851-1921), escritora española
(El 12 de mayo de 1921 murió Emilia Pardo Bazán)-

Salto de filtros de contenido Websense en Cisco PIX Firewall
-Oxygen3 24h-365d, por Panda Software ( http://www.pandasoftware.es)

Madrid, 12 de mayo de 2006 - Cisco ha anunciado una vulnerabilidad en Cisco PIX Firewall y en Cisco Firewall Services Module (FWSM) cuando se usan con el filtro de contenido Websense que podrá permitir un usuario remoto el acceso a sitios web restringidos.
Se ven afectados los sistemas Websense 5.5.2, Cisco PIX OS / ASA con versiones inferiores a 7.0.4.12, Cisco PIX OS con version menor que 6.3.5(112) y Cisco FWSM con versiones 2.3.x y 3.x.
El problema anunciado reside en el tratamiento incorrecto de peticiones HTTP GET fragmentada en múltiples paquetes cuando son recibidos por los dispositivos Firewall afectados si estos se emplean en combinación con Websense como filtro de contenidos. De tal forma que si un usuario remoto envía una una petición de tales características podrá provocar que el firewall PIX/ASA/FSWM permita el acceso al sitio solicitado de forma incorrecta, cuando debería restringirlo.
Cisco ha corregido este problema en las versiones actualizadas de Cisco PIX: 6.3.5(112) y posterior, 7.0(5) y 7.1(2).
Para Cisco Firewall Services Module (FWSM) se han publicado las versiones 2.3(4) y 3.1(1.7).
Más información en www.cisco.com/warp/public/707/cisco-sr-20060508-pix.shtml.

10 de mayo de 2006

Guía para métrica de seguridad IT

From: Oxygen3 24h-365d <oxygen@pandasoftware.com>
Date: May 9, 2006 8:16 AM
Subject: Oxygen3 24h-365d [Guía para métrica de seguridad IT - 9/05/06]
To:
OXYGEN3ES@oxygen3.pandasoftware.com
"Cuando Salomón dijo que había un tiempo y un lugar para cada cosa,
no tenía problemas para aparcar su automóvil."
Bob Edwards (1947), periodista estadounidense
(El 9 de mayo de 1837, nació Adam Opel)


Guía para métrica de seguridad IT
Oxygen3 24h-365d, por Panda Software (http://www.pandasoftware.es)

Madrid, 9 de mayo de 2006 - El NIST (National Institute of Standards and Technology) estadounidense ha publicado el borrador público inicial de su publicación especial Special Publication 800-80 titulada "Guía para el desarrollo de métricas de seguridad de la información" (Guide for Developing Performance Metrics for Information Security).
El NIST realiza una invitación pública para la realización de comentarios sobre los contenidos de esta guía, publicada en http://csrc.nist.gov/publications/drafts/draft-sp800-80-ipd.pdf y que proporciona una metodología para enlazar el rendimiento de los programas de seguridad de la información con el propio rendimiento de la agencia.
Esta nueva guía está destinada a complementarse con la SP 800-55, titulada Métricas de seguridad para sistemas de tecnologías de la información (Security Metrics for Information Technology Systems), y hace uso de controles de seguridad detallados en una tercera publicación del NIST, la guía SP 800-53 Controles de seguridad recomendados para sistemas de información federal (Recommended Security Controls for Federal Information Systems).
Estas publicaciones tienen la intención de ayudar a las agencias en el cumplimiento de los mandatos del gobierno. Ofrecen plantillas y métricas destinadas a facilitar la implementación de cada uno de las 17 familias de control identificadas en la SP 800-53.
El objetivo reside en que las agencias proporcionen el nivel apropiado de protección para los sistemas IT, en el reconocimiento de que la seguridad de la información se ha convertido en un objetivo esencial para las agencias. Por otra parte, aunque la guía del NIST está enfocada para su uso en agencias federales estadounidenses, su lectura y conclusiones pueden resultar interesantes para otros entornos, tanto gubernamentales como privados.