Apuntes varios

18 de diciembre de 2009 Por

Aprovechando que es viernes, se acerca la Navidad y para bien o para mal vamos desconectando poco a poco del trabajo, vamos con un par de ejemplos fáciles de cómo no hacer las cosas. Por partes.

Si viven ustedes en Valencia, verán que la Empresa Municipal de Transportes (EMT) ha sustituido las tarjetas de Bono Bús, habitualmente de cartón, por tarjetas de plástico contact less (ignoro los detalles de la tecnología), no sólo mucho más aparentes estéticamente (eso es lo de menos, en realidad), sino que entre otras cosas permiten ser recargadas con más de 10 viajes, y si se registra el soporte, aunque el soporte se pierda los viajes son recuperables (asumo que la tarjeta original deja de funcionar, porque en otro caso la picaresca daría lugar a situaciones del tipo “¿y si perdemos mi tarjeta?”). Además, para facilitar e incentivar la “migración” a los nuevos soportes, si registras el número de la tarjeta llamando al número de atención al cliente de las oficinas centrales de la EMT, el coste de la tarjeta (2 euros), se reembolsa en forma de viajes directamente en la tarjeta. Hasta aquí, bien.

El problema es que el registro de la tarjeta requiere que des el identificador del soporte, tu nombre y apellidos, tu situación laboral, los usos de la tarjeta, frecuencia de uso, líneas utilizadas, y varios datos más que no vienen para nada a cuento y que no incluyo por no incurrir en imprecisiones. Para muchas personas que no se dedican a esto de la LOPD, la percepción que les quedará tras la “conversación” es que se han solicitado/proporcionado un volumen de datos personales sin que nadie les diga para qué necesita la EMT todo eso, o incluso si es necesario que los proporcionen. Es decir, sin informar de su tratamiento, finalidad, cesiones previstas y otras tantas obligatoriedades que la persona que me atendió (y sin ninguna duda su responsable) ignoraba… aunque ya sabemos que el desconocimiento no exime del cumplimiento de la ley. En cualquier caso, dejando de lado la gravedad de la cuestión, lo que me parece preocupante es que una empresa municipal lleve a cabo este tipo de iniciativas sin las debidas garantías. Más que preocupante, indignante.

De una clara irregularidad pasemos ahora a una mala práctica en Seguridad de la Información. Se habrán fijado sin duda que es habitual que las sucursales bancarias tengan cristales en lugar de paredes, lo que incrementa la sensación de apertura y vayan a saber ustedes que otros aspectos de marketing y percepción. Esto es particularmente evidente cuando la sucursal hace esquina, y puede verse desde fuera toda la disposición de despachos y personal. El problema es que en ocasiones se ve mucho más que eso. Si la posición de mesas y despachos no ha sido cuidadosamente planificada por alguien con un poco de idea (y sentido común), puedes acabar con pantallas ubicadas de cara al cristal, papeles que pueden verse fácilmente desde la calle, etc. Si a eso le añadimos que cualquiera puede agenciarse hoy en día una cámara de video con zoom, tenemos todos los ingredientes para un robo de información corporativa, de datos de carácter personal, contraseñas, etc. Hagan volar su imaginación, seguro que la realidad supera a la ficción.

Nada más. Vayan pensando en sus propósitos para el nuevo año, que pueden ser los del año pasado si no se les ocurre nada. Nosotros nos vamos hasta el lunes. Pasen un buen fin de semana y abríguense, parece que va a hacer un poco de fresco.

GOTO II: Consultores de LOPD

17 de diciembre de 2009 Por

Me encanta la iniciativa GOTO de Toni y, sin ninguna acritud, me uno a ella para darles mi visión de episodios profesionales que nos toca vivir con más frecuencia de la que sería deseable. Hablo, en este caso, de los Consultores de la LOPD, una clase especial de consultores de seguridad, mitad abogados, mitad técnicos y al final en muchos casos, desgraciadamente, ni lo uno, ni lo otro.

Si como ha dicho Toni en su post el “Consultor Junior” es por definición un oxímoron y como tal, lo único que nos puede traer es algún que otro problema, además de un trabajo relativamente mal hecho por muy importante que sea la firma para la que trabaja, el caso se complica cuando lo que hace el supuesto consultor es implantar un Sistema de Gestión de la LOPD o auditar la LOPD de una organización.

En este caso la LOPD es como todos ustedes saben una ley, y por tanto de obligado cumplimiento, aunque a veces no lo parezca. Además, en el caso de nuestro país, está acompañada por un reglamento que para ser de mínimos es bastante exigente, y de un régimen sancionador que pone los pelos de punta al que se lo estudia con un poco de detalle.

[Read more…]

CSO Público. El Responsable de Seguridad en el Esquema Nacional de Seguridad

15 de diciembre de 2009 Por

Ya hemos comentado en este blog algunos aspectos relativos al Esquema Nacional de Seguridad. A saber, origen, alcance, finalidad, actores involucrados y un resumen de contenidos. Quería ahora centrar el foco de atención en uno de los aspectos que considero más destacados dentro del Esquema Nacional de Seguridad. Me refiero a la figura del Responsable de Seguridad que define el propio Esquema.

Creo que es obvio que toda tarea que no tenga un responsable detrás corre el riesgo de no ser ejecutada convenientemente, o simplemente no ser ejecutada. Solo por este hecho la necesidad de que exista la figura del responsable de seguridad en el contexto del Esquema Nacional de Seguridad es obvia y, por el bien de la seguridad, es además imprescindible.

En su artículo 10, el Esquema Nacional de Seguridad dice:

«La seguridad como función diferenciada. La responsabilidad de la seguridad de los sistemas de información debe estar diferenciada de la responsabilidad sobre la prestación de los servicios.

Existirá una instancia diferenciada que establezca los requisitos de seguridad y vele por su cumplimiento acorde a la normativa que sea de aplicación.

También existirá un procedimiento para dictaminar sobre los conflictos que surjan entre la prestación de los servicios y su seguridad, de forma que se alcance un equilibrio entre los mismos, que será aprobado por el responsable del servicio.»

En este artículo puede verse como se definen tres responsabilidades diferenciadas sobre un mismo servicio (nótese que hablamos de responsabilidades, no de personas):

  • la mencionada responsabilidad en la seguridad del servicio,
  • la responsabilidad de la prestación del servicio y
  • la responsabilidad del servicio.

En la práctica podemos hablar de una o de varias personas; pueden consultar entradas anteriores en las que comentábamos la figura del responsable de seguridad o CSO.

Por si el anterior artículo les resulta interpretable en alguno de sus términos, el Esquema Nacional de Seguridad dice explícitamente en su Anexo III punto 1.1:

«La seguridad de los sistemas de información de una organización será auditada en los siguientes términos:

a) Existencia de la figura del responsable de seguridad con autoridad sobre todas las personas relacionadas con sistemas de información y que informa a la dirección.»

Es decir, el primer punto que se auditará (en el futuro dedicaremos una entrada a las auditorias de seguridad en el contexto del Esquema Nacional de Seguridad) será la existencia de un responsable de seguridad, quien dispondrá de la autoridad necesaria sobre TODAS las personas relacionadas con los sistemas de información.

Así pues, definida la figura del responsable de seguridad veamos que atribuciones explicita el propio Esquema Nacional de Seguridad para la misma. En su artículo 34, en los puntos 6 y 7 dice:

«6. Los informes de auditoría serán analizados por el responsable de seguridad competente, que elevará las conclusiones al responsable del sistema para que adopte las medidas correctoras adecuadas.

7. En el caso de los sistemas de categoría ALTA, visto el dictamen de auditoría, el responsable del sistema podrá acordar la retirada de operación de alguna información, de algún servicio o del sistema en su totalidad, durante el tiempo que estime prudente y hasta la satisfacción de las modificaciones prescritas.»

Además, en su Anexo II punto 2.3 el Esquema Nacional de Seguridad versa:

«La relación de medidas seleccionadas se formalizará en un documento denominado Declaración de Aplicabilidad, firmado por el responsable de la seguridad del sistema.»

Como podemos leer, la responsabilidad y el poder ejecutivo real que el Esquema Nacional de Seguridad otorga a la figura del Responsable de Seguridad no es baladí. El Responsable de Seguridad es el responsable último de que las medidas de seguridad que nos exige el propio Esquema estén efectivamente implantadas y sean eficaces (si no eficientes). Podrá decidir sobre la conveniencia de llegar a limitar, modificar e incluso parar la prestación de alguno de los servicios o sistemas bajo su responsabilidad. En definitiva, tendrá poder ejecutivo real y transversal.

Desde mi punto de vista, lo que el Esquema Nacional de Seguridad dice acerca del responsable de seguridad es muy acertado. Si alguna crítica cabe hacer esta iría en la línea de enfatizar aún más el poder ejecutivo transversal de esta responsabilidad. ¿Por qué? Porque veo aparecer por el horizonte un conocido problema de los administradores de sistemas: El Director XXXX no les hace ni caso cuando le dicen que su password debe caducar al menos cada 6 meses. Como este ejemplo debe haber miles que responden al mismo patrón: “El de sistemas no es nadie para decirme a mí lo que tengo que hacer”. Bueno, pues va a resultar que sí que es alguien, alguien con mucho poder tácito y, en breve, con un poder ejecutivo fundamentado en una Ley.

Seguridad en el mar

11 de diciembre de 2009 Por

(Aprovechando que uno de nuestros amigos y antiguo cliente se encuentra embarcado —nunca mejor dicho— en una aventura de vuelta al mundo a vela (web y blog), y para cambiar un poco de registros, Guillem se lanza a la piscina con una entrada sobre la seguridad en el mar, dado que es aficionado al windsurfing)

La mayoría de las personas navega a diario por Internet, tomando —no siempre, desgraciadamente— unas mínimas precauciones de seguridad que aseguran la integridad y la privacidad de sus datos en la red. Pues bien, aprovechando este paralelismo con la navegación en el mar, les voy a exponer un conjunto de normas básicas a seguir y que deben tener siempre presentes a la hora de practicar windsurfing (surf a vela), y por extensión a la hora de navegar con cualquier embarcación. El primer paso que debe realizar si decide practicar windsurfing es matricularse en un curso de iniciación para que un profesional le instruya, y así adquirir los conocimientos básicos necesarios, para más adelante poder practicarlo por su cuenta.

Una vez hecho el curso, si decide que le gusta y quiere continuar, debe seguir estas recomendaciones de seguridad básica:

1. Nunca navegue sólo. Por mucho que le excite la idea de tranquilidad y navegar a solas con los delfines… NO lo haga. Piense que las condiciones del mar cambian repentinamente y lo que es un día soleado se convierte en un temporal en cuestión de minutos. Además, si tiene cualquier percance nadie podrá verle ni acudir en su ayuda.

2. Compruebe bien todo el material antes de entrar al agua, el estado del mismo es fundamental ya que de él depende su seguridad. Si encuentra alguna pieza desgastada o en mal estado cámbiela de inmediato.

3. Antes de entrar al agua revise el último parte meteorológico para conocer las condiciones climatológicas con las que se va a encontrar.

4. Evite navegar a última hora del día; piense que si tienen que rescatarle será muy difícil que lo encuentren en la oscuridad.

5. Cuando vaya a navegar avise a algún familiar, amigo, conocido, etc. de que va a salir al mar y dígale la hora aproximada de regreso, así sabe que si le ocurre algo alguien sabrá donde buscarle. También es bueno llevar un teléfono móvil en una funda estanca por si tenemos una emergencia poder llamar.

6. Sea consciente de sus limitaciones y no subestime el poder del mar. Nunca entre al agua si no está seguro de si mismo o si cree que no va a poder desenvolverse con normalidad.

7. Evite los vientos Off-shore: vientos de tierra a mar, así como los días de tormenta. Este tipo de vientos son racheados y bastante fuertes, además en el caso del viento Off-Shore su dirección es peligrosa, ya que empujan cualquier objeto mar adentro dificultando mucho el retorno a la costa si no se tiene la habilidad suficiente. Evite navegar estos días.

8. Cuando vaya a navegar a alguna playa desconocida para usted, pregunte a la gente que navega por la zona para estar informado de posibles corrientes, mareas, etc.

9. Vaya provisto de un un chaleco salvavidas y un casco, así como de las prendas de abrigo necesarias para cada época del año (traje de neopreno, guantes, etc). Piense que en invierno la temperatura del agua es bastante baja y podemos sufrir riesgo de hipotermia en caso de no ir bien abrigados. También en verano es importante protegerse de los rayos UVA,ya que pueden provocar insolaciones, golpes de calor, etc

10. Una vez en el agua respete las señalizaciones, de lo contrario puede poner en peligro su integridad física así como la de los que le rodean.

11. Memorice el teléfono de salvamento marítmo 900 202 202 (900 SOS SOS), es muy útil en caso de emergencia.

Una vez mencionadas las normas básicas de seguridad, muchas de ellas de sentido común (ese que es el menos común de los sentidos, de ahí que venga bien recordarlas de vez en cuando) es importante también tener en cuenta las normas de prioridad en el mar para embarcaciones a vela (ya que sobre las embarcaciones a motor siempre tendremos preferencia). Para ello tenemos que tener claras las partes de una embarcación, que se muestran en la siguiente imagen (recuerden que hablamos de una tabla de windsurfing):

Proa, popa, babor y estribor son delante, detrás, izquierda y derecha respectivamente. Luego dividiendo la embarcación en 3 partes iguales, tenemos de proa a popa: amura, través y aleta, y dependiendo de si es babor o estribor, amura de babor, amura de estribor, etc.

Por ejemplo, la tabla que tenemos a la derecha está amurada a babor: recibe el viento por la amura de babor.

Por último, pasemos a la norma más básica: cuando dos embarcaciones navegan en rumbos opuestos, siempre tiene preferencia la embarcación que está amurada a estribor sobre la amurada a babor. En la imagen de la izquierda podemos ver como el barco rojo, amurado a estribor, tiene derecho de paso sobre el azul.

Con todo lo expuesto anteriormente —incluido el curso— tenemos los conocimientos necesarios para poder navegar con toda seguridad. Pasen un buen fin de semana.

Subvenciones de Seguridad

10 de diciembre de 2009 Por

Con el fin de promover las nuevas tecnologías y dar impulso a aspectos como la seguridad de la información dentro de este ámbito, se han establecido una serie de ayudas y subvenciones tanto de carácter autonómico como nacional aplicables a la implantación de la norma ISO 27001, que probablemente muchos de ustedes conozcan, independientemente si se trata de consultoras o de clientes. A continuación les muestro un breve resumen de las distintas ayudas y organismos gestores, aunque no tengo constancia de que haya alguna convocatoria abierta en estos momentos.

[Read more…]

Seguridad organizativa. Un caso práctico.

9 de diciembre de 2009 Por

No sé ustedes, pero yo siempre he tenido la sensación de que, de todas las vertientes de la seguridad, la correspondiente a la seguridad organizativa es el patito feo.

La seguridad física ha tenido un peso importante desde siempre. Si en la época de los grandes mainframes tenías adecuadamente securizado tu CPD, tanto desde el punto de vista de los parámetros ambientales como desde el punto de vista del control de acceso físico, te podías ir a dormir tranquilo a casa (y aún así, cuando vas haciendo auditorías por esos mundos de Dios, te encuentras algunas “salas de servidores” que te dan ganas de ponerte a llorar…).

La apertura de los sistemas centralizados a Internet trajo consigo la preocupación por lo que nos podían hacer “desde fuera”. Ya no era necesario tener acceso físico a los servidores para poder poner en peligro la seguridad de nuestros sistemas y la de la información que alojaban; ahora cualquier sujeto en cualquier parte del mundo podía hacerte una visita con malas intenciones.

Y por último yo diría que en España la aparición de la LOPD —a mi juicio la LORTAD no consiguió apenas que las empresas se sintieran afectadas salvo casos evidentes— y la LSSICE fueron el detonante que hizo que las organizaciones se dieran cuenta de que, aunque su CPD fuera seguro y aunque se hubiese definido una adecuada seguridad perimetral, podían estar expuestos a otro tipo de amenazas de índole legal, que podían tener en ellas un impacto brutal, y no sólo económico, sino también de imagen o reputacional.

[Read more…]

BS 25999 ¿Qué es eso?

3 de diciembre de 2009 Por

En esta mi primera entrada, voy a introducir la norma BS 25999, la cual seguramente sea el tema de mi tesina de máster. Probablemente el término BS 25999 pueda resultar poco conocido, pero si hablamos de plan de continuidad de negocio seguro que el concepto les suena más. Lo que propone esta norma es tratar la continuidad de negocio como un sistema de gestión de la continuidad de negocio (SGCN), ofreciendo la posibilidad de algo que está de “moda”: CERTIFICARSE.

A pesar de lo poco extendida que está, esta norma no es nueva, puesto que fue publicada en 2006 y 2007 respectivamente. Consta de dos partes:

  • BS 25999-1, propone un código de buenas prácticas para la gestión de la continuidad de negocio
  • BS 25999-2, propone especificaciones para la implantación SGCN

Grosso modo esta norma ofrece un marco de trabajo para desarrollar la continuidad de negocio, marcando una serie de pautas que nos permiten definir unos planes de continuidad. Estos estarán basados en estrategias de continuidad que se han seleccionado en base a la criticidad de los servicios corporativos como resultado del BIA (Business Analysis Impact). Podríamos empezar a hablar de términos como RPO y RTO, pero llenaríamos demasiadas páginas y habrá otras ocasiones mejores.

[Read more…]

GOTO: Consultores de Seguridad

1 de diciembre de 2009 Por

Sin haber acabado aún -espero- la serie de posts dedicada a seguridad sectorial, quiero comenzar con este artículo una nueva serie: la serie GOTO. Muchas entradas de este y otros blogs no generan casi debate (tenemos una información, la estructuramos para convertirla en un post, estamos todos de acuerdo con el contenido del mismo -o no, pero nadie lo dice-, y vuelta a empezar). Eso obviamente es bueno para un libro, pero no para un blog, donde lo que se busca es debatir y polemizar, que cada uno exponga sus opiniones (buenas o malas, pero siempre respetables) y así, entre todos, aprender cosas nuevas y analizar puntos de vista diferentes a los nuestros. Con esta idea surge la serie GOTO, porque… ¿qué hay más polémico que la instrucción GOTO plantada en el código de un programa? Realmente podríamos haber titulado la serie RISC vs. CISC, vi vs. emacs, Unix vs. Windows… y así un largo etcétera, pero hemos decidido llamarla GOTO (si alguien prefiere otro nombre, que lo proponga, que de eso se trata).

Dentro de esta serie, vamos a hablar hoy de los Consultores; más concretamente, de los Consultores de Seguridad, aunque imagino que los comentarios podrían extrapolarse a cualquier otro tipo de consultor: RRHH, financiero… Para mí, al menos hasta hace unos años, un consultor -simplificando- era alguien que sabía mucho de un tema concreto, de forma que podía ayudar enormemente a resolver problemas tanto por el conocimiento de la materia a tratar como, en muchos casos, del negocio en sí. En resumen, un perfil muy valorado en cualquier organización, sin importar si era externo o interno a la misma.

Hoy en día, por desgracia, creo que hay pocos puestos tan degradados como el de consultor; cualquiera que se ponga una corbata, googlee durante media hora e incluya en una conversacion términos como “alineación”, “sinergia”, “la nube”, “2.0” o “forlayos”, como diría el gran Fuckowski, es un consultor. Consultor, ¿de qué? De forlayos, obviamente… Ser consultor no es conocer tres términos de moda, unirlos en un informe y presentarlo a Dirección: es aportar soluciones reales y eficientes a una organización que tiene un problema.

Para colmo del absurdo, ya se distingue entre consultores “junior” y “senior”; sinceramente, creo que hablar de consultor junior es lo mismo que hablar de becario senior: no es más que un oxímoron. ¿Cómo narices se puede ser consultor junior? ¿Quién le otorga la experiencia necesaria para llamarse “consultor”? ¿Un libro? ¿Una página web? Por favor, seamos serios: para ser consultor se necesita conocer muy bien la materia sobre la que se trabaja, y aparte tener unos cuantos añitos de experiencia trabajando con la misma… que no me venga un pipiolo imberbe, con una tarjeta donde pone “Consultor” de una gran multinacional, porque estoy riéndome una semana. O peor, llorando, cuando me toca implantar lo que ese “consultor”, cuyas únicas herramientas de trabajo en su corta carrera han sido Word y Powerpoint, ha decidido que es lo mejor para un cliente es poner en marcha un sistema de sinergias alineadas con la nube, o algo así. Por favor, recuerda que Word o Powerpoint son plataformas tecnológicas en la que todo funciona a la primera, hasta el Single Sign On o las PKIs, pero el mundo real no es tan bonito… creo que todos conocemos ejemplos similares, ¿no?

¿Y de quién es culpa esta situación? Creo que, en parte, de todos nosotros; por un lado, están las grandes consultoras que todos conocemos (sí, yo también estoy pensando en esa misma). Multinacionales a las que les viste mucho un chavalín con la carrera recién acabada, encorbatado y que se haya leído un libro de seguridad; le regalan unas tarjetas donde pone “Consultor” y a partir de ahí su hora cuesta más de noventa euros. Total, si luego algo no va, el trabajo lo ha hecho esa consultora, no el “consultor” concreto, y cualquier cosa que una multinacional haga sin duda es correcta, ¿verdad? :) Por otro lado, están los clientes que se creen ciegamente lo que dice el consultor, sin plantearse en muchos casos si es o no lógico. ¿Que la solución a nuestros problemas es cambiar la máquina de café? Sin problemas: la cambiamos, dejamos constancia por escrito para cuando venga el auditor (auditores, material para otro post de la serie) y asunto arreglado. ¿Por qué lo hemos hecho? Porque lo dijo el consultor… ¿Sirve para algo? ¿Ha mejorado nuestra organización? ¡Seguro! Si lo dijo el consultor…

Por supuesto, existen consultores “de verdad”, no importa si en multinacionales, pequeñas empresas o como freelances. De los que conocen muy bien algo y te ayudan a aplicarlo en tu organización, de una forma ordenada, asumible y por supuesto integrada con tu negocio; ¿frases bonitas? por supuesto, pero no más de las necesarias, y sobre todo frases con sentido. Es decir, soluciones de verdad para problemas de verdad. A todos estos consultores, a los de verdad, va dedicado este primer post de la serie… ahora, a discutir un rato: ¿qué opinais?

Gestión de cortafuegos

30 de noviembre de 2009 Por

Uno de los problemas a los que nos enfrentamos en organizaciones con una complejidad de red media o alta es la gestión de los permisos que implican a elementos de comunicaciones (switches, cortafuegos, routers, etc.); me gustaría esbozar algunas de las cosas hay que tener en consideración para que la gestión sea posible.

Primero de todo, ante la solicitud de una petición de acceso desde un servidor a otro por parte de algún responsable técnico de algún proyecto TIC de la compañía, hay que tener en consideración dos tipos de aspectos bien diferenciados:

  • Aspectos funcionales: Si alguien solicita por ejemplo acceso al puerto de Oracle de un servidor de BBDD, lo primero que hay que evaluar es si desde el punto de vista de negocio, ese permiso debe de ser concedido. Este tipo de accesos deben ser validados por un responsable o autorizador funcional, que puede o no coincidir con el propietario del activo dentro de la organización. Es muy habitual que por agilidad en las gestiones, compañerismo mal entendido, o ausencia de procedimientos formales, este punto se pase por alto y se pase a los aspectos técnicos directamente, sin entrar a considerar la conveniencia de la solicitud desde el punto de vista del negocio.
  • Aspectos técnicos: Una vez la autorización funcional ha sido concedida, hay que revisar los aspectos técnicos de los permisos solicitados, para detectar sus implicaciones técnicas sobre otros servicios, el perímetro de la red, problemas de seguridad, etc. Algunas de las cuestiones son: ¿la red origen esta controlada por la organización, o es una dirección externa ajena sobre la que no tenemos información? ¿El protocolo utilizado para la conexión es seguro? ¿Va cifrado? ¿Implica este acceso abrir accesos con redes no confiables? ¿Afectan a la DMZ? ¿Es posible utilizar soluciones alternativas? En cualquier caso, la recomendación es que si el cambio es de cierta relevancia, tiene que haber una auditoria, tanto de caja blanca como de caja negra; esto debería ser obligatorio para cualquier acceso externo a la red corporativa, como por ejemplo el de un nuevo proveedor.

[Read more…]

Curiosidades del Traceroute

27 de noviembre de 2009 Por

Para la construcción de la topología de una red de caja negra se emplean herramientas como Traceroute; seguro que la conocen. Esta herramienta emplea el campo TTL o tiempo de vida de la cabecera IP para averiguar por qué dispositivos de red pasan los paquetes hasta llegar al host destino.

La aplicación manda 3 paquetes con TTL valor 1 hacia la máquina objetivo; cuando estos paquetes llegan al primer dispositivo intermedio, éste decrementa el TTL en 1, pasando a valer 0, y es descartado notificándonos mediante un paquete ICMP tipo 11 Time Exceeded. La siguiente vez se enviará con TTL valor 2, posteriormente con valor 3… así hasta llegar a la máquina destino, la cual no contestará con el Time Exceeded.

Lo más importante para una auditoría de seguridad son los últimos saltos que nos permitirán obtener la topología de la red que se está auditando. Ahora bien, seguramente nos habrá ocurrido que en ocasiones los resultados obtenidos no son los correctos puesto que llegado a un firewall de la red no conseguimos poder avanzar hasta el host; incluso dependiendo del programa que empleemos los resultados son distintos. Esto es debido a combinación de las reglas de filtrado de los firewalls y los protocolos empleados por cada programa “traceroute”.

[Read more…]