Seguridad Global

SEGURIDADGLOBAL

Portada

Vicente Aguilera / [email protected]

Daniel Fernández / [email protected]

27 de Noviembre de 2002

© 2002 Internet Security Auditors S.L.

2


Contenidos

• Seguridad Global.

• Origen y Tipos de Ataques.

• Incidentes y Vulnerabilidades.

• Capas de la Seguridad Corporativa:• Seguridad en la Arquitectura de la Red.

• Sistemas de Protección.

• Seguridad en las Aplicaciones de Servidor.

• Seguridad en Sistemas Operativos.

• Política de Seguridad.

• Soluciones.

• Conclusiones.

3


Seguridad Global

DMZ a

RS CS TR RD TD CDTALK / DATA

TALK

Modems

PDA's/Palms

Firewall

Correo

Teletrabajadores

Trabajador Hacker

Web

DNS

ServidoresInternos

Internet

RS CS TR RD TD CDTALK / DATA

TALK

Hub

Sniffin

g

POWERFAUL T DATA ALARM

Remote Access Server(RAS)

Intranet

P OWERFAULT DATA ALA RM

WirelessAccess PointsHacker

AntenaWireles

HackerInternet

VPN

Intranet

4


Origen de los Ataques

1999

27%

73%

2002 1

34%

66%

InternosExternos

ORIGEN (Hacking interno vs Hacking Externo)

Externos Ataques aleatorios (61% 2, 80-90% 3).Competencia.Ex – empleados.

InternosEmpleados descontentos.Empleados curiosos.Personal externo.

1 The Register (28-10-2002)2 Riptech, Inc. Wall Street Journal (28-1-2002)3 National Swedish Council for Crime Prevention (2002)

5


Tipos de Ataques

• Ingeniería Social

• Password cracking

• Wardialing:- Modem- RAS- PBX

• Wireless Attacks

• Ataques Físicos

• Intrusiones:- Vulnerabilidades -> Aumento de Gusanos- Configuraciones defectuosas- Arquitecturas defectuosas

• Ataques internos:- Privilegios incorrectos- Cuotas no adecuadas (ancho banda, espacio en disco,etc.)- Sniffing

• Correo / Navegación web:- Virus- Troyanos

• DoS/DDoS/DRDoS

6


Incidentes y VulnerabilidadesProblemas de seguridad

Los incidentes y vulnerabilidades crecen exponencialmenteIncidentes de Seguridad

0

10000

20000

30000

40000

50000

60000

70000

80000

1997 1998 1999 2000 2001 Q1-Q3,2002

Vulnerabilidades publicadas

0

500

1000

1500

2000

2500

3000

3500

1997 1998 1999 2000 2001 Q1-Q3, 2002

Es fácil ser Hacker

• Los ordenadores están interconectados, no hay equipos aislados.

• El delito electrónico deja pocas huellas.

• La información para ser Hacker es pública y accesible a todo el mundo.

• Está de moda ser Hacker.

7


Consecuencias

• Caída de los sistemas

• Robo de información confidencial

• Pérdida, alteración o filtración de datos críticos

• Pérdida de productividad

• Pérdida de prestigio

• Pérdida de confianza de los clientes

• Cyberextorsión

• Fraude

8


¿Qué aspectos cubre la seguridad?

Antes de abordar el uso de medidas de seguridad debemos respondernos estas preguntas:

• ¿Qué se quiere proteger?– Hardware / Software / Datos

• ¿De qué nos queremos proteger?– Personas / Amenazas lógicas / Catástrofes

• ¿Cómo nos podemos proteger?– Mecanismos de Seguridad:

• Prevención• Detección• Recuperación.

•¿Qué riesgo podemos asumir?– Hay que asumir un cierto riesgo.– Tiene que estar cuantificado.

• ¿Qué valor tiene lo que queremos proteger?

– La inversión en seguridad ha de ir acorde a aquello que queremos proteger.

• ¿Cómo vamos a gestionar la protección?

– Personal capacitado.– Formación constante.– Conocimiento de últimos ataques y

contramedidas.

• ¿Qué control haremos sobre los sistemas?

– La seguridad se degrada.– Los sistemas necesitan revisiones.

9


Capas de la Seguridad Corporativa

Arquitecturade Red

Aplicacionesde ServidorSistemas

Operativos

Sistemas deProtección

Usuarios

Politicade

Seguridad

10


Arquitectura de Red

• Antes de implantar una red hay que diseñarla.

• Durante el diseño se ha de tener en cuenta la seguridad.

• La red tiene que cubrir estos aspectos:– Escalabilidad:

• Capacidad de crecer con la propia empresa.• Adopción de nuevas necesidades de forma simple.

– Fiabilidad:• Cuantificación y previsión de situaciones de error y ser capaz de mitigarlas.• Disposición de mecanismos de recuperación antes problemas graves.

– Ubicación óptima de los servidores.• Protección física de servidores.• Situación en diferentes condiciones de los servidores.

– Accesos controlados a la red.• Controlar TODOS los accesos a la red corporativa:

Módems RTB/RDSI/ADSL, Wireless, PDA/Palms, RAS, etc.

11


Sistemas de Protección

Sistemas de defensa frente a ataques:

• FireWalls– Personales– Firewalls Software – Firewalls Hardware

• Intrusion Detection System (IDS)– HIDS (detección de intrusos a nivel de host)– NIDS (detección de intrusos a nivel de red)

• Antivirus– Servidores– Clientes

• Monitorización de redes– Sniffers– Monitores de red

12


Seguridad en las Aplicaciones de Servidor (I)

Aspectos a tener en cuenta:

• Configuración de las Aplicaciones

• Actualizaciones

• Protocolos Seguros

• Aplicaciones Propietarias

• Registros (Logs)

13


Seguridad en Aplicaciones de Servidor (II)Configuración

Instalar + Funcionar ≠ SEGURIDAD = Securizar + Instalar• Las aplicaciones suelen instalar ejemplos, datos por defecto, etc.:

– Vulnerabilidades.– Información sobre el sistema.– Información sobre la aplicación.– Información sobre la configuración.

• Las opciones por defecto no ofrecen los rendimientos óptimos.

• Las aplicaciones de servidor deben ser securizadas.

• Las aplicaciones ofrecen información útil para los atacantes de forma innecesaria.

14


Seguridad en Aplicaciones de Servidor (III)Actualizaciones

• Actualizar día a día.

• Conocer al día las actualizaciones que nos interesan.– Subscripciones a listas de correo, foros, IRC, news:

• Oficiales:VulnerabilidadesFabricantes

• Underground / Hacking:Vulnerabilidades no publicadas

• Asegurarse que los parches son legítimos.– Emplear fuentes fidedignas cuando se realizan updates.– Emplear métodos que incrementen la fiabilidad: PGP/GPG, MD5, certificados, etc.

• Instalar sólo aquello con lo que nuestro sistema se beneficie.– Reducción del daño colateral en el parcheado.

15


Seguridad en Aplicaciones de Servidor (IV)Protocolos seguros

• Es necesario securizar el canal de transmisión de datos.

• Deben emplearse alternativas que empleen cifrado en las comunicaciones:– FTP FTP+SSL, FTP+SSH– Telnet SSH– POP3/SMTP POP3/SMTP + SSH, POP3s– HTTP HTTPS– LDAP LDAP + SSL

• Protocolos inseguros pueden convertirse en seguros.

• Optar por alternativas seguras cuando se dispone de ellas.

16


Seguridad en Aplicaciones de Servidor (V)Aplicaciones Propietarias

• Las aplicaciones propietarias Internet/Intranet/Extranet pueden tener vulnerabilidades de igual forma que las comerciales.

• Los programadores no tienen conocimientos de seguridad.– Programadores + Analistas Seguridad– Auditar Aplicaciones.

• Las aplicaciones son vulnerables a gran cantidad de ataques:– SQL Injection.– Cross Site Scripting.– Ejecución de comandos de SO.– URL Unicode/Codificadas.– Manipulación de cookies, formularios, cabeceras HTTP y URL.– Password cracking, evasión de autenticaciones, robo/reciclado de sesiones.– Extracción de información de comentarios, mensajes de error, cache, histórico, etc.– Cuentas por defecto, vulnerabilidades publicadas.

• Uso de una metodología que cubre todos estos aspectos (OWASP).

17


Seguridad en Aplicaciones de Servidor (VI)Registros (Logs)

• Es necesario activar las opciones de registro de las aplicaciones críticas.

• Deben realizarse revisiones periódicas de los registros.

• Debe existir personal cualificado para realizar estos análisis.

• Existen herramientas para facilitar el análisis de estos logs off-line.

• Se pueden emplear herramientas que detectan comportamientos anómalos de forma automática y activan alarmas.

18


Seguridad en Sistemas Operativos

Instalar + Funcionar ≠ SEGURIDAD = Securizar + Instalar

• Puertos / Servicios– Cualquier puerto abierto es una puerta de entrada:

• Cerrar puertos no usados.• Emplear protección para los puertos usados (p.e. filtraje por IPs)

• Permisos a usuarios y grupos– Conceder los permisos adecuados en detalle a cada recurso– Usuarios por defecto

• Accounting– Activación de los logs del sistema y revisarlos periódicamente.

• Logins / Passwords– Contraseñas (robustez, protección)– Cuentas por defecto

19


Política de Seguridad (I)

• ¿Qué es?Define las directrices en cuanto a seguridad de la empresa.

• ¿Qué puntos debe tratar?1.- Objetivo, ámbito y motivación.2.- Aplicabilidad y responsabilidades.3.- Seguridad Lógica.

3.1.- Seguridad de software.3.2.- Desarrollo de software y control de cambios.3.3.- Seguridad de la Información.3.4.- Seguridad en las comunicaciones.

4.- Gestión de la seguridad.4.1.- Administración de la seguridad.4.2.- Seguridad del personal.4.3.- Estructura y organización.

5.- Seguridad física.5.1.- Acceso físico.5.2.- Ubicación y construcción de instalaciones informáticas.

20


Política de Seguridad (II)Política de Seguridad vs Ingeniería Social

• Finalidad de la Política de Seguridad:– Un empleado que no sabe qué debe y qué no debe hacer puede cometer errores.– Los ataques pueden ser tanto activos (espionaje interno) como pasivos (password nulo).

• ¿Cómo hacerla conocer?– Dividir en grupos según la necesidad.– Definir los medios de difusión en función de la audiencia (presentaciones, videos,

pósters, etc.).

• ¿Consecuencias de una mala difusión?– La Ingeniería Social se aprovecha de un desconocimiento de la Política de Seguridad

por parte de los empleados.• Virus / Troyanos• Suplantación de personalidad (mail, teléfono, etc.)• News• Passwords• Hoax• Fugas inconscientes de información

21


Soluciones (I)Seguridad Global

• Seguridad Global = Soluciones Globales.Las soluciones, al igual que la seguridad, han de ser globales.

• Análisis Global = Auditorías de Seguridad.Sólo un análisis TOTAL permite encontrar todas las deficiencias de seguridad.

• Seguridad Permanente = Auditorías Periódicas.Las Seguridad es un proceso continuo.

• Conciencia de la Seguridad = Formación adecuada.La formación del personal técnico y de los empleados reduce gastos.

22


Soluciones (II)PYMES

Las PYMES necesitan Soluciones Globales...• Estudio de las necesidades de seguridad de la empresa:

– Requerimientos de conectividad, seguridad lógica de los datos, sistemas de recuperación, antivirus, firewalls, servidores web, de correo, etc.

– Propuestas de diseños posibles, con equipamientos distintos y costes adaptados:• Existen muchos productos en el mercado.• Las necesidades de prestaciones, costes, requerimientos, etc. dependen de cada empresa.• Un producto no es siempre el más adecuado, dependerá de las necesidades y su uso.

• Instalación y configuración de las soluciones escogidas.

• Auditoría específica para PYMES:– Test de Antivirus.– Configuración de seguridad de los Navegadores Web.– Detección de vulnerabilidades de los sistemas expuestos a Internet.– Test de Firewall/Router.– Test del Servidor Web: Política de Privacidad, Sistemas de Confianza, Auditoría de

Aplicaciones no Corporativas, etc.– Test del Servidor de Correo.– Test de seguridad de los sistemas de la DMZ.– Test de integración entre los existentes y los nuevos sistemas de la DMZ.

23


Soluciones (III)PYMES

• La Auditoría permite detectar y eliminar problemas existentes de seguridad:

– Configuraciones defectuosas de los sistemas existentes.– Vulnerabilidades no parcheadas de los sistemas.– Reglas de Acceso incorrectas, inexistentes o redundantes en Firewalls/Router.– Configuraciones incorrectas o no optimas de Antivirus.– Configuraciones inseguras de los navegadores web.

• Formación al personal técnico y no técnico.

24


Soluciones (IV)Auditorías de Seguridad

• Análisis global de la seguridad:– Analizan los distintos puntos de entrada a la red.– Analizan la protección existente en los servidores y entre subredes.– Visión externa, objetiva y real de la seguridad de la empresa.– Aportan soluciones a los problemas de seguridad encontrados.

• Ámbitos de las Auditorías:– Internet (Test de Intrusión):

• Se exponen máquinas a Internet. • Ataques externos a las máquinas de la red externa (DMZ) o interna (Intranet)

– DMZ:• Qué capacidad de defensa tiene la red interna desde la DMZ. • En la DMZ pueden existir máquinas/recursos no visibles desde Internet pero accesibles desde la

propia DMZ. • En la DMZ pueden existir máquinas/recursos que no deben ser accesibles desde la Intranet.

– Intranet:• En la red interna hay servidores y datos críticos.• Es necesario limitar y comprobar el acceso de los usuarios a los recursos/datos internos.

25


Soluciones (V)Auditorías de Seguridad

• La importancia de seguir una metodología (OSSTM)– Estándar abierto– ISO 17799 / BS7799

• Una Auditoría NO es un escaneo automático de vulnerabilidades.– Sondeo de red.– Escáner de puertos, identificación de servicios

y sistemas operativos.– Test Automático de Vulnerabilidades– Password Cracking.– Document Grinding.– Test de Antivirus.– Test de Firewall y ACLs.– Test de Medidas de Contención.– Revisión de la Política de Privacidad.– Test de los sistemas de confianza.– Test y verificación Manual de vulnerabilidades.– Test de Aplicaciones no Corporativas.– Test del Sistema de Detección de Intrusos (IDS).– Test de Denegación de Servicio– Test de Aplicaciones Corporativas.– Test de Ingeniería Social.

Red

Puntos de entrada en la red

Falsos Positivos

Deficiencias de Seguridad

Gravedad de la Deficiencia

26


Soluciones (VI)Formación

• Cuando hablamos de seguridad, nada puede quedar en el aire:– Una formación técnica para mantener los equipamientos:

• Formación para el mantenimiento y configuración de nuevos equipamientos de seguridad (firewalls, routers, antivirus, sistemas de backup, monitorización, etc.)

• Formación para la gestión de sus servidores web, de correo, etc.– Una formación de seguridad a los usuarios reduce problemas recurrentes:

• Formación para el uso seguro de Internet (navegación segura, posibles peligros, etc).• Uso seguro del correo.• Políticas de contraseñas.• etc.

• El 58% de los Administradores de Sistemas piensa que sus propios departamentos son una de las principales brechas de seguridad de sus compañías (The Register UK, 28/10/2002).

• El 67% siente que carece de la adecuada experiencia o conocimientos para tratar los problemas de seguridad que deben tratar (The Register UK, 28/10/2002).

27


Soluciones (VII)Auditorías Periódicas

• La seguridad es un proceso continuo.– La seguridad se degrada con el tiempo:

• Nuevos servicios.• Nuevas máquinas.• Aparición de nuevos bugs en las aplicaciones.• Rotación del personal.

Degradación de la Seguridad

0%10%20%30%40%50%60%70%80%90%

100%

1 31 61 91 121 151 181 211 241

Días

Niv

el d

e Se

gurid

ad tr

asun

a A

udito

ría P

latin

o

SistemaminimamentecambianteSistemamedianamentecambiante

Sistemaaltamentecambiante

28


Conclusiones

• La seguridad debe tratarse desde todos los puntos de vista de la empresa.

• Debemos ser proactivos: actuar tras un ataque SIEMPRE tiene un coste mayor.

• Es necesario evaluar periódicamente el nivel de protección de nuestra red mediante Auditorías de Seguridad.

Contacto

Llacuna, 16208018 Barcelona

Tel./Fax: 93 401 96 [email protected]


Seguridad Global

Technology

Transcript of Seguridad Global