01 - Seguridad en Redes-Actualizado

7/25/2019 01 - Seguridad en Redes-Actualizado

1/39

13/05/2

Derechos reservados To Be Security

OBJETIVOS

Adquirir los mas importantes conocimientos y conceptos

(tericos- prcticos)en Seguridad Informtica.


OBJETIVOS

Adquirir los ms importantes conocimientos y conceptos

(tericos- prcticos)en Seguridad Informtica.


2/39

13/05/2


SEGURIDAD INFORMTICA


ANLISIS DE RIESGOS


3/39

13/05/2


ANLISIS DE RIESGOS


ANLISIS DE RIESGOS


4/39

13/05/2




5/39

13/05/2




6/39

13/05/2




7/39

13/05/2



The Open Source Security Testing Methodology ManualOSSTMM

www.osstmm.org

Metodologia abierta para realizar auditorias de seguridad en la red.

Muy practico !

Es la mas tecnica de todas la normativas

Entre los temas que menciona:

-Que controles implementar y como instalar los mismos.

-Como medir el resultado del test
http://en.wikipedia.org/w/index.php?title=The_Open_Source_Security_Testing_Methodology_Manual&action=edit&redlink=1http://en.wikipedia.org/w/index.php?title=The_Open_Source_Security_Testing_Methodology_Manual&action=edit&redlink=1


8/39

13/05/2


The Open Source Security Testing Methodology Manual

OSSTMM

Es posible bajar el manual en espaol:


Limitacion de noramtivas y ANLISIS deriesgo

Las normativas y el anlisisdel riesgo son solo una marco de

referencia. No son tecnicas!! pueden por ejemplo exigir que se

instale un Fw pero no dicen como instalarlo.

Tenemos varios clientes que cumplen con las normativas pero

igual tienen problemas de seguridad informatica.

Estar seguro realmente y cumplir con las normativas son

cosas diferentes
http://en.wikipedia.org/w/index.php?title=The_Open_Source_Security_Testing_Methodology_Manual&action=edit&redlink=1http://en.wikipedia.org/w/index.php?title=The_Open_Source_Security_Testing_Methodology_Manual&action=edit&redlink=1


9/39

13/05/2


Por dnde empiezo?!

POR LA TOPOLOGIA O

DIAGRAMA DE LA RED

ACTUALIZADA !


SEGURIDAD EN PROFUNDIDAD


10/39

13/05/2


CASTILLO DE SAN FELIPE DE LARA

ES UN EJEMPLO DE SEGURIDAD ENPROFUNDIAD

LA MISMA IDEA DE DEFENSAIMPLEMENTAMOS EN NUESTRA RED.VARIAS BARRERAS PARA DETENER EL

ATACANTE


99% protegido = 100% vulnerable

Router

DB srvr

IPS

SWITCH

FWDMZ

LAN

STAGINGFW

TOPOLOGA DE LA REDACTUALIZADA ES LO PRIMERO QUE NECESITAMOS PARA

HACER UN PLAN DE SEGURIDAD EN PROFUNDIADAD

Ingreso Trfico

Primera Barrera


11/39

13/05/2


PRIMERA BARRERA: EL ROUTER


ATAQUE POR FUERZA BRUTA


12/39

13/05/2


HERRAMIENTA: BRUTUS


HERRAMIENTA: HYDRA


13/39

13/05/2


Router

DB srvr

IPS

SWITCH

FWDMZ

LAN

STAGINGFW

FIREWALL

La mayoria de los FW que auditamos estanmal configurados

Ingreso Trfico

Importante filltarar trafico saliente y no solo

entrante !


SEGUNDA BARRERA:EL FIREWALL


14/39

13/05/2


Router

DB srvr

IPS

SWITCH

FWDMZ

LAN

STAGINGFW

DMZLa DMZ es un segmento donde coloco todos los servidores que

tienen que dar servicios a clientes en el internet.Los coloco en un segmento separado de Lan por si acaso me

hackean uno de ellos y el atacante toma control sobre el servidor.El atacante estara aislado en un segmento separado de mi Lan que

es el segmento mas critico

En la DMZ voy a implementar alta

seguridad.error que vemos varias veces-

clientes no usan DMZ. Permiten acesso del

internet a servidores en la Lan !!!


Router

DB srvr

IPS

SWITCH

FWDMZ

LAN

STAGINGFW

HardeningA todo elemento que agregamos a la red escritico hacer un proceso de hardening

(aseguramiento) porque por defecto el equipoesta en inseguro

Hardening (aseguramiento)

Colocar servidores en la dmz solo despues de hacer

hardening ( para linux tools bastile-linux). Error visto

varias veces: empresas colocan servidores en la DMZ

sin realizar proceso de hardening


15/39

13/05/2


HARDENING


Router

DB srvr

IPS

SWITCH

FWDMZ

LAN

STAGINGFW

Manejo de los LogsUna buena practica es habilitar los logsde los servidores en la DMZ y enviar unacopia de los logs de forma automatica de

esos servidores a la red interna

El atacante en general despues que compromete en servidor

borra los logs para eliminar evidancia de sus actividades. Es

critico exportar los logs de esa forma di el atacante borro los logs

locales el admin tendra un copia en un servidor interno en la lan.

Error que vemos: nadie habilita logs en los servidores!


16/39

13/05/2


Tools para exportar logs

Snare Agent - www.intersectalliance.com/snareagents/index.html

Splunkla version gratis analiza hasta 500 MB de logs por dia

www.splunk.com

Sumo Logic- servicio pago para exportar los logs.

www.sumologic.com

OSSEC- www.ossec.net

Syslog-ng- http://www.balabit.com/network-security/syslog-

ng/opensource-logging-system/downloads/download


Router

DB srvr

IPS

SWITCH

FWDMZ

LAN

STAGINGFW

Colocar los servidores base de datos enotro segmento en caso que tenemos unaservidor web que consulta la base de

datos. No colocar nunca base de datos enla DMZ sino en segmento Staging.

La comunicacion entre el

servidor web y el servidor DB

tiene que ser a traves de una

VPN interno si es que se envia

informacion critica entre esosservidores. Para proteger en

caso que un atacante nos

coloco un sniffer en la DMZ y

esta capturando informacion.

Error que vemos varias veces:

Instalan el servidor web y DB

sobre el mismo servidor
http://www.intersectalliance.com/snareagents/index.htmlhttp://www.splunk.com/http://www.sumologic.com/http://www.ossec.net/http://www.balabit.com/network-security/syslog-ng/opensource-logging-system/downloads/downloadhttp://www.balabit.com/network-security/syslog-ng/opensource-logging-system/downloads/downloadhttp://www.balabit.com/network-security/syslog-ng/opensource-logging-system/downloads/downloadhttp://www.balabit.com/network-security/syslog-ng/opensource-logging-system/downloads/downloadhttp://www.balabit.com/network-security/syslog-ng/opensource-logging-system/downloads/downloadhttp://www.balabit.com/network-security/syslog-ng/opensource-logging-system/downloads/downloadhttp://www.balabit.com/network-security/syslog-ng/opensource-logging-system/downloads/downloadhttp://www.balabit.com/network-security/syslog-ng/opensource-logging-system/downloads/downloadhttp://www.balabit.com/network-security/syslog-ng/opensource-logging-system/downloads/downloadhttp://www.balabit.com/network-security/syslog-ng/opensource-logging-system/downloads/downloadhttp://www.balabit.com/network-security/syslog-ng/opensource-logging-system/downloads/downloadhttp://www.balabit.com/network-security/syslog-ng/opensource-logging-system/downloads/downloadhttp://www.ossec.net/http://www.sumologic.com/http://www.splunk.com/http://www.intersectalliance.com/snareagents/index.html


17/39

13/05/2



Router

DB srvr

IPS

SWITCH

FWDMZ

LAN

STAGINGFW

Cuando implementamos seguridad enprofundidad es critico sacar los permisosde admin. al pc del usuario.

La comunicacion entre el

servidor web y el servidor DB

tiene que ser a traves de una

VPN inteno si es que se envia

informacion critica entre esosservidores. Para protejer en

caso que un atacante nos

coloco un sniffer en la DMZ y

esta capturando informacion.

Error que vemos varias veces:

Instalan el servidor web y DB

sobre el mismo servidor


18/39

13/05/2


Conceptos Varios que tenemos que considerar cuandoimplementamos segurdiad informatica

Least Privilege

Security Policy

Incident respond

Input Validation

Documentacin

Ingeniera social

Av. Hardeinig, Patches



19/39

13/05/2



Least Privilege

Security Policy

Incident respond

Input Validation

Documentacin

Ingeniera social



SECURITY POLICIES


20/39

13/05/2


Security Policy

1. Acceptable Use Policy2. Access Control Policy

3. Account Management Policies

4. Availability Policies

5. Configuration Management Policies & Procedures

6. Control of Proprietary Information and Intellectual Property

7. Data Backup Procedures

8. Firewall Management Policy

9. General Encryption Policy

10. IM Security Policy/Procedures

11. Internet Access Control Policy

12. Internet Security Awareness & Education Policy

13. Intrusion Detection Policy/Procedures

14. Network Connection Policy15. Partner Connection Acceptable Use & Connectivity

Policy/Procedures

16. Password Management Policy/Procedures

17. Privacy Policies


Security Policy

18. Privileged Access Policy

19. Remote Access Policy

20. Security Incident Handling Policies & Procedures

21. System Security Standards (for specific OSes)

22. Technology Purchasing Guidelines

23. User Account Policies

24. Virus Prevention Policy/Procedures

25. VoIP Security Policy/Procedures

26. Wireless Policy/Procedures


21/39

13/05/2


PROCEDURES


GUIDELINES


22/39

13/05/2



Least Privilege

Security Policy

Incident respond

Input Validation

Documentacin

Ingeniera social



Incident Responde-respuesta a incidentes

La idea principal es preparar un plan de accion en caso

que nos Hackean la red.

Saber como responder de forma organizada a un

incidente grave. No perder el control sobre la red y

responder de la mejor forma. Por ejemplo apagar un

servidor despues de un compromiso del mismo es un

error . La mejor practica es desconectarlo de la red para

no perder evidencia.

Incident respond viene del mundo de la

aviacion


23/39

13/05/2


ATACANTE


INCIDENT RESPONSE PLAN


24/39

13/05/2


INCIDENTS MANAGEMENT


Buen libro sobre el tema de respuestas a incidents

The Computer Incident Response Planning

Handbook: Executable Plans for Protecting

Information at Risk


25/39

13/05/2



Least Privilege

Security Policy

Incident respond

Input Validation

Documentacin

Ingeniera social



Input Validation

Un error que vemos en varios clientes es que no capacitan a

los programadores en el tema de input validation o de codigo

seguro.

Falta de input validation es problema # 1 de aplicaciones web

en America Latina


26/39

13/05/2


Input Validation


EL MODELO OSI


27/39

13/05/2


Cualquier control que implementamos en nuestra

red esta relacionado con uno de estos conceptos:


Conceptos Varios que tenemos que considerar cuando

implementamos segurdiad informatica

Least Privilege

Security Policy

Incident respond

Input Validation

Documentacin

Ingeniera social



28/39

13/05/2


Tener documentacion de los servidores actualizada esmuy importante tener esta documentacion nos ayudara

en caso que haya necesidad de reinstalar equipos

rapidamente

En pocas empresas vemos buena documentacion de los

servidores y la red

Es necesario armar una documentacion y mantenerla

actualizada es decir, cada cambio en la red hay que

actualizar la documentacion


De nuestra experiencia

En un cliente en Italia tenian un administrador

que no tenia nada documentado. Un dia ese

administrador murio en un accidente de autos.

Nos contrataron a nosotros para hackiar todos

los servidores y todo el equipo de red dentro dela Lan porque no tenian ningun password para

ningun equipo y no sabian el rol de cada

servidor. El administrador murio con toda la

informacion!!!


29/39

13/05/2


Una buena documentacion detallaexactamente como armar todos los

servidores de la red.

Casi nadie tiene buena

documentacion!


DOCUMENTACIN


30/39

13/05/2


DOCUMENTACIN

software para empezar a documentar lared:SYDIhttp://sydiproject.com


INGENIERIA SOCIAL


31/39

13/05/2



Least Privilege

Security Policy

Incident respond

Input Validation

Documentacin

Ingeniera social



Kevin Mitnick


32/39

13/05/2



No sirve toda la segurdidad logica que

implementamos si es posible realizar

ataques de ingenieria social!

Es critico capacitar a los usuarios yhacerles notar los ataques y como

protegerse


33/39

13/05/2


Dnde colocar el departamento de seguridad informtica? (no bajo TI..)por

qu?

La seguridad no tendr una voz poderosa

Seguridad tendr probablemente problemas de fondos

La seguridad no ser independiente

El rea de seguridad debe inspeccionar TI.


EL MAPA DE LA SEGURIDAD

Las 6 Secciones del Mapa son:

1- Seguridad Fsica

2- Seguridad en Comunicaciones

3- Seguridad en Internet

4- Seguridad Wireless

5- Capacitacin en Seguridad

6- Seguridad de la Informacin

Visin Amplia de la Presencia de la Seguridad.

Hay que tener en cuenta que todo lo que se agrega a la red como

servicio trae sus problemas de seguridad.


34/39


35/39

13/05/2



Least Privilege

Security Policy

Incident respond

Input Validation

Documentacin

Ingeniera social

Av. Hardening, Patches


AV (anti virus)- importante mantener el AV actualizadoen los pcs y servidores

Hardning-acordar que todo elemento que agregamos a

la red esta por defecto en modo inseguro! Tenemos que

hacer hardning, tambien a las impresoras por ejemplo

Parches- realizar mantenimiento de parches.aplicarlos lo

mas pronto a la fecha que salen del fabricante. hacer

mantenimieto de parches no solo del sistema operativo si

no de tambien de todas la aplicaciones instaladas.

varias veces en nuestros pentest comprometemos un

servidor porque tienen un software instalado desactualizadocon varias vulnerabilidades.En Israel el equipo de TI en

los dias que salen nuevos parches de fabricantes, no se

van a sus casas hasta que todos los equipos tienen

implementados el parche


36/39

13/05/2


Practica:

instalar PSI (personal software inspector en sus pcs) y

ejecutarlo para ver que software tienen desactualizado


La importancia de la seguridad fisica

La seguridad fisica es critica para la seguridad informatica

En un cliente los hackers entraron a la red disfrazados de

soporte tecnico y se robaron un servidor fisicamente !

La mayoria de las empresas no tienen buena seguridad

fisica. Otro ejemplo es permitir que los visitantes, den

vueltas dentro de la empresa sin el acompaamientoacompaniante de un empleado. (La visita puede colocar

troyanos en pcs. sniffers etc


37/39

13/05/2


Como me mantengo actualizado en el mundo de la seguridad informatica?

Listas de mail importantes para

consultar.

La mejor es Basics en cual puden

preguntar consultas relacionadas con el

mundo de la seguridad informtica

Bugtraq- una lista de mails en cual los

fabricantes publican vulnerabilidades que

descubrieron.


En este sitio dan charlas semanales de seguridad informatica


38/39

13/05/2


http://cert.iucc.ac.il


Preguntar a los expertos

www.searchsecurity.com/asktheexperts

Se puede efectuar preguntas sobre InfoSec gratis !
http://www.searchsecurity.com/asktheexpertshttp://www.searchsecurity.com/asktheexperts


39/39

13/05/2


Aqui tenemos una lista de los tools mas importantes de

seguridad informatica. Es una lista de 125 tools. La idea esaprender todos los tools en esta lista

Para aprender como usar Back track entrar a este sitio y foro.

01 - Seguridad en Redes-Actualizado

Documents

Transcript of 01 - Seguridad en Redes-Actualizado