HACKING_Cap3_047_062_corregido.qxp
16/12/2010
03:14 p.m.
Página 55
La evaluación de seguridad
TCP/IP
Modelo OSI Capa de Aplicación
Capa de Aplicación
La evaluación de seguridad
Capa de Presentación
Capa de Sesión
Capa de Transporte
Capa de Transporte
Capa de Internet
Capa de Red
Capa de Enlace de Datos Capa de acceso a la red (NAL) Capa Física
FIGURA 4. Comparativa entre la pila TCP/IP y el modelo OSI.
El problema más grave es que un error en el diseño de un protocolo implica situaciones potencialmente incorregibles, y deben realizarse modificaciones a distintos niveles para lograr resolverlo, incluso, a veces, su variación total o parcial, o su reemplazo por otro más seguro. Dentro de esta rama de errores, también incluimos los protocolos y algoritmos criptográficos, que, como veremos, tienen un alto nivel de complejidad y pueden producir huecos de seguridad realmente muy grandes, dada la función justamente de protección para la que son utilizados.
En esta sección, vamos a analizar las distintas opciones al momento de evaluar la seguridad de una organización. En función de la profundidad y el alcance que se le quiera dar a dicha evaluación, se escogerá la mejor opción disponible. Así, vamos a definir los conceptos de Vulnerability Assessment y Penetration Test para sumarlos al de Ethical Hacking, previamente analizado. También veremos algunas clasificaciones en función de los distintos tipos de análisis, algunas consideraciones relacionadas con la decisión de realizar una evaluación de seguridad en una organización y cómo llevarla adelante. Es importante mencionar que ninguna evaluación vinculada con tareas de auditoría de seguridad
Otro gran problema al que podemos enfrentarnos es que se encuentren errores en protocolos
ORGANIZACIONES ASOCIADAS AL AMBIENTE DE LA SEGURIDAD Mencionamos varias organizaciones importantes relacionadas con el ambiente de la seguridad de la información: ISSA (www.issa.org), ISACA (www.isaca.org), SANS (www.sans.org), EC-Council (www.eccouncil.org), ISC2 (www.isc2.org) y CompTIA (www.comptia.org).
55