Tecnologias de Seguridad Clases

Por: Ing. Juan Herrera S., MSc.FACULTAD DE INGENIERÍA EN SISTEMAS INFORMATICOS Y DE COMPUTACION

TECNOLOGIAS DE SEGURIDAD

E-mail: [email protected]

ESCUELA POLITECNICA NACIONAL

Facultad de Ingeniería en Sistemas Informáticos

y de Computación

“TECNOLOGIAS DE SEGURIDAD”

Por: MSc. Juan Herrera, CISA

Septiembre 2010 - Febrero 2011

http://www.leveltech.com.ec/



Objetivo

Brindar los conocimientos en las diferentes

tecnologías de seguridad, a nivel de

arquitecturas y aplicaciones, así como la

implantación de controles en infraestructuras

tecnológicas empresariales orientadas a la

protección de información.



Temario

Introducción y Definiciones Generales

Enfoque ISO 27001 y otras Metodologías

Gestión de Riesgos y su impacto en la Empresa

Gestión de Seguridad en la Empresa

Arquitecturas Tecnológicas – Seguridades

Sistemas de Seguridad Firewall

Encriptación de Información

Protocolos Seguros

Auditoría a la Seguridad en Infraestructura Tecnológica

Bibliografía



Introducción

y

Definiciones Generales



Seguridad de la Información:

Seguridad de la información es

determinar qué requiere ser protegido y

por qué, de qué debe ser protegido y

cómo protegerlo.

INTRODUCCION



HACKER:

Aquellas personas, apasionadas de la informática que disfrutan intentando acceder a otros

ordenadores, burlando la seguridad de los sistemas; cuanto mas difícil y mas complejo sea

el acceso, mayor será el reto.

El fin de los hackers es aprender y divertirse, por lo que es frecuente que una vez

conseguido el acceso lo comuniquen a la persona correspondiente, para

que los sistemas de seguridad sean mejorados y así tener una meta más difícil.

CRACKER:

Es una persona que rompe la seguridad de los sistemas persiguiendo un objetivo ilícito,

suelen tener ideales políticos o filosóficos, o bien se mueven por arrogancia, orgullo,

egoísmo, ambición.

Un cracker actúa del mismo modo que un hacker, pero una vez que logra ingresar al sistema

no se da por satisfecho, sino que le hace “crac”, es decir, lo quiebra. Sus hazañas típicas

son la copia de información confidencial, movimientos de pequeñas sumas de dinero y

compras a nombre de otros.

Están ligados también a la piratería, al permitir que las compañías utilicen demos de ciertas

aplicaciones como si tuvieran la licencia de las mismas.

DEFINICIONES GENERALES



PHREACKER:

Personas que intentan usar la tecnología para explorar y/o controlar los sistemas

telefónicos.

Originalmente, este término se refería a los usuarios de las conocidas "blue boxes"

(dispositivos electrónicos que permitían realizar llamadas gratuitamente).

Ahora bien, como en la actualidad las compañías telefónicas utilizan sistemas digitales en

lugar de electromecánicos, los phreakers han pasado a utilizar muchas de las técnicas de los

hackers.

DEFINICIONES GENERALES



Pérdida, robo de la información crítica de la

organización en cualquier tipo de soporte

Uso inapropiado del email y del Internet por los

empleados

Catástrofes y contingencias imprevistas

INTRODUCCION

Qué está sucediendo?



El número de ataques anuales a sistemas de información

se ha duplicado.

Grandes compañías multinacionales perdieron U$S 11.5

millones en un año sólo por el robo de información

propietaria.

Las mismas empresas reportaron pérdidas por U$S 55

millones en un año sólo por incidentes con virus

informáticos.

El 47% de las empresas manifestó haber tenido

incidentes de seguridad informática en el último año.

Los ataques dejaron un 48% de las aplicaciones de

negocios no disponibles.

Algunas estadísticas…

Fuente: Computer Security Institue, InformationWeek, FBI.



Algunos ataques….

Robert Thomas MorrisEl 3 de noviembre de 1988, equipos como VAX y SUN conectados al Internet se

vieron afectados en su rendimiento y posteriormente se paralizaron. Se vieron

afectados Bancos, Universidades e instituciones de gobierno, la causa fue un

GUSANO, desarrollado por Morris,

Morris recién graduado en Computer Science en la Universidad de Cornell.

Se estimó que en 90 minutos, el gusano logró infectar 6 000 equipos alrededor del

mundo originando pérdidas entre 100.000 a 10.000.000.

Phreacker

Kevin Poulse pasó a la fama al ganarse un Porsche, claro, de manera ilícita.

La estación de Radio KII-FM en los Angeles, celebró un aniversario organizando un

concurso, el cual consistía en que la llamada número 102 que entrara a la Radio,

sería la ganadora del Porsche 944 S2, Kevin había phreackeado la central telefónica

de “Pacific Bell” de tal forma que aseguró que su llamada fuese la 102.



Algunos ataques….

Kevin David MitnickEs quizás el más famoso hackers de los últimos tiempos. descubrió y reveló información de alta seguridad perteneciente al FBI, incluyendo cintas del

consulado de Israel en Los Ángeles.

Fue capturado en 1995 y liberado en el 2000, después de permanecer casi 5 años en un prisión federal.

Le costó al estado norteamericano y a empresas privadas, millones de dólares al ser objeto de hurto de su software, información y alteración de los datos de las mismas. (unas de sus víctimas Motorola, Novell, Nokia y Sun Microsystems, el FBI, el Pentágono y la Universidad de Southern California).

Cracker

Vladimir Levin graduado en matemáticas de la Universidad Tecnológica de San Petesburgo, Rusia, fue acusado y preso por la Interpol después de meses de investigación por ser la mente maestra de una serie de fraudes tecnológicos que le permitieron a él y la banda que conformaba, substraer más de 10 millones de dólares, de cuentas corporativas del Citibank. fue sentenciado a 3 años de prisión y a pagar la suma de US $ 240,015.

Los técnicos tuvieron que mejorar sus sistemas de seguridad contra "crackers" y Vladimir Levin ahora se encuentra en libertad.



Cuáles son las amenazas?



Qué hacemos ? ….



Implementar controles …

Antivirus

Firewall

Detectores de Intrusos

Antispam

Criptografía

Sitios seguros (SSL)

Sistemas anti – incendios

Alarmas



Nos hemos preocupado por una Política de

Seguridad

Por clasificar la información crítica del negocio

Perfiles de usuario y acceso a la información al

interior de la organización

Analizar los riesgos antes de implementar

controles ….

…esto no es todo ..



Qué es Riesgo?

AMENAZA: Un evento que puede crear situaciones de

incertidumbre

Percepción de la posibilidad de ocurrencia de algún

hecho dañino sobre recursos

RIESGO: La incertidumbre de alcanzar un objetivo

La posibilidad de que una amenaza afecte

negativamente la habilidad de un ente para alcanzar su objetivo

Situación adversa en la cual existe la posibilidad de

una desviación con respecto a un resultado esperado



El problema

Las organizaciones han carecido de una aproximación sistemática e integrada a la seguridad y la administración del riesgo en el diseño e implantación de soluciones de negocio.

1. Programas de Seguridad inadecuados

El interés en indicadores de seguridad conduce a mejoras en el cumplimiento, gobernabilidad, ROI y administración del portafolio, sin embargo, las soluciones de seguridad siguen siendo reactivas y se enfocan en la tecnología.

2. Las expectativas de Seguridad y los entregables están desconectados

… que relacione a la organización, la tecnología y la seguridad física y administrativa en una estrategia que combine arquitectura TI, necesidad de procesos y negocios, requerimientos legales y diseño de escenarios de amenaza.

3. La Seguridad requiere una aproximación integrada . . .

La seguridad ha llegado a ser un aspecto crítico en cada solución de negocios



Asumir el

Riesgo:

Aceptar el

riesgo y

continuar

operando tal

como se ha

estado

haciendo

Eliminar

(evitar) el

Riesgo:

Eliminar la

causa de éste

(ej. sacar de

producción un

activo)

Transferir el

Riesgo:

Usar opciones

que

compensen la

pérdida (ej.

Adquirir pólizas

de seguros)

Mitigar el Riesgo:

Implementar

controles que

reduzcan la

probabilidad de la

amenaza



EXPLOTA VULNERABILIDADES

EXPONEN

ACTIVOS

TIENEN

TASACIÓN

RiesgoREDUCEN

AMENAZAS

PROTEGEN

CONTRA

CONTROLES

ALCANZADOS POR

REQUERIMIENTOS

DE SEGURIDAD

IMPACTO EN LA ORGANIZACIÓN



Factores a considerar al seleccionar

los controles

Impacto operacional

Política organizacional

Seguridad y confiabilidad

Legislación y regulaciones

Efectividad

Análisis

costo-beneficio



Cómo nos defendemos?



Política de Seguridad?

Clasificación de la información?

Perfiles de usuario?

Pensamos en …



Analizar los riesgos

Identificar los controles

Seguridad significa tener controles

Qué controles implementar?

Basado en un análisis de riesgos – auditoría

Procesos (COBIT)

Aplicaciones



Enfoque ISO 27001

y

otras Metodologías



Norma ISO Seguridad de la Información

ISO 17799:2005

Es un conjunto de buenas prácticas en seguridad de

la información. Contiene 133 controles distribuidos en

11 dominios

Qué estándares pueden

utilizarse?



Evolución del estándar

1995-1998

BS7799 Parte 1Código de buenas prácticasBS7799 Parte 2Especificación de SGSI

1999

BS7799-1:1999BS7799-2:1999Revisión de la parte 1 y la parte 2

2000

ISO/IEC 17799:2000Parte 1 se adoptacomo ISO

Octubre 2005

ISO/IEC 27001Parte 2 se adopta como ISO

Junio 2005

ISO/IEC 17799:2005Revisión de la ISO 17799

2002

BS7799-2:2002Revisión de la parte 2



ISO:27001 - Objetivos de Control y Controles

AREAS DE CONTROL

OBJETIVOS DE

CONTROL CONTROLES

5 Política de seguridad 1 2

6

Organización de la seguridad de la

información 2 11

7 Gestión de activos 2 5

8 Seguridad de los recursos humanos 3 9

9 Seguridad física y ambiental 2 13

10 Gestión de comunicaciones y operaciones 10 32

11 Control de acceso 7 25

12

Sistemas de información: adquisición,

desarrollo y mantenimiento 6 16

13

Gestión de incidentes de seguridad de la

información 2 5

14 Gestión de la continuidad del negocio 1 5

15 Cumplimiento 3 10

TOTAL: 11 39 133



ISO17799:2005, código de buenas prácticas

ISO27001, cómo implementar el SGSI,

certificable

COBIT

ITIL

OCTAVE



Otras mejores prácticas, procedimientos y guías

Qué

Cómo

ITIL

CobiT

ISF

Best Practices

ISO27001

Security



Gestión de Riesgos y su impacto en la

Empresa

IBM Global Services

IBM Global Services | Confidential © 2004 IBM Corporation

El entorno del negocio

Capacidad de advertir y

responder a los cambios

dinámicos en:

– Demanda

– Competencia

–Proveedores y socios

Integrar procesos dentro y

fuera de la empresa

Estructura de costos

variables y procesos

flexibles que permiten:

– Reducir el riesgo

– Mayor

productividad

– Previsibilidad

financiera

– Eficiencia de

capital

– Control de costos

Necesidad de enfocarse

en competencias

centrales, tareas y

activos diferenciadores

Sus socios estratégicos

integrados administran

tareas seleccionadas

en todas las áreas de

la empresa

Manejo de cambios y

amenazas (desde virus

hasta catástrofes

naturales) con niveles

uniformes de

disponibilidad y

seguridad

Procesos y necesidades

Agilidad Variabilidad Foco ResilienciaAdaptibilidad

IBM Global Services


Captura de PC desde el exterior

Violación de e-mailsViolación de contraseñas

Interrupción de los servicios

Intercepción y modificación de e-mails

VirusFraudes informáticos

Incumplimiento de leyes y regulaciones

Robo o extravío de notebooks

empleados deshonestos

Robo de información

Destrucción de soportes documentales

Acceso clandestino a redes

Intercepción de comunicaciones

Destrucción de equipamiento

Programas “bomba”

Acceso indebido a documentos impresos

Software ilegal

Agujeros de seguridad de redes conectadas

Falsificación de información para terceros

Indisponibilidad de información clave

Spamming

Violación de la privacidad de los empleados

Ingeniería social

Principales Riesgos

IBM Global Services


Password cracking

Man in the middle Exploits

Denegación de servicio

Escalamiento de privilegios

Replay attackKeylogging

Port scanning

Instalaciones

default

Puertos vulnerables abiertos

Servicios de log inexistentes o que no son chequeados

Desactualización

Backups inexistentesÚltimos parches no instalados

Principales Riesgos

IBM Global Services


Desde cualquier PC fuera de la Compañía se puede tomar control decualquier PC dentro de la Compañía.

Alguien puede mandar e-mails en nombre de otro.

En minutos, cualquier usuario puede conocer las contraseñas.

Los e-mails y documentos pueden ser “consultados y modificados” encualquier punto de la red.

Cualquier usuario puede infectar con virus la red de la Compañía.

La mayor parte de los fraudes son a través del uso de los sistemas.

Cualquier hacker puede dejar los sistemas sin servicios.

Una compañía puede ser enjuiciada por incumplimiento de leyes yreglamentaciones (Habeas Data, Propiedad Intelectual).

Principales riesgos y el impacto en los negocios

IBM Global Services


Se pueden robar o extraviar computadoras portátiles coninformación crítica.

Se puede acceder indebidamente a las redes a través de Internet ovía MODEM.

Las comunicaciones satelitales pueden ser interceptadas.

Los equipos informáticos pueden sufrir caídas o destrucciones.

Ciertos programadores pueden desarrollar programas tipo“bomba”.

Pueden existir programas tipo “troyanos” para capturarinformación sensitiva.

Puede haber “escuchas” de comunicaciones telefónicas de voz y dedatos.


IBM Global Services


Los comprobantes legalmente requeridos pueden no estardisponibles.

La información impresa puede ser copiada.

En los sistemas de la Compañía se mantiene información noapropiada.

En los equipos puede haber software no licenciado.

La propiedad de la información y desarrollo a favor de laCompañía puede no estar asegurada.

El personal contratado puede no tener los mismos niveles deseguridad en sus equipos.

Algunos empleados y terceros pueden no mantener contratos deconfidencialidad.


IBM Global Services


Los soportes de la información pueden ser robados o destruidos.

Se puede distribuir información alterada a socios, accionistas,auditores y entes de contralor.

Se puede no disponer de la información en el momento adecuado.

Puede haber envíos de mails “anónimos” con información críticao con agresiones.

Se pueden distribuir datos que atenten contra la privacidad de losempleados.

Se puede obtener la documentación impresa de la basura.

Alguien puede acceder a la información no recogida de lasimpresoras.


IBM Global Services


Gestión del riesgo

Estrategia y

diseño de

Infraestructura

de IT

Análisis, diseño e

implementación de la

infraestructura de IT

Alta

Disponibilidad

Tecnología y procesos

para mejorar la

disponibilidad de la

información

Recuperación

de IT

Recuperación de

componentes de la

infraestructura de IT

Seguridad de

la Información

Seguridad y

Privacidad de

los activos de

información y

físicos

Continuidad

de Negocio

La confianza

de que la

operación

normal de

negocio puede

continuar en

caso un

incidente

Administración

integrada de

Riesgos

Administración

integral de

Riesgos.

Selección de

Controles.

Modelo de

gobierno.



La información, y la infraestructura.

Activo vital en cualquier organización.

a) Confidencialidad: Consiste en proteger la información de acceso

no autorizado así como también evitar su

intercepción al momento de transmitirla.

b) Integridad: Implica el garantizar que la información es

precisa y se encuentra completa.

c) Disponibilidad:Asegura que la información pueda ser utilizada

por usuarios autorizados en el momento que sea

requerida.

Disponibilidad

Objetivos de

Seguridad

Integridad Confidencialidad



Seguridad: Principales preocupaciones de

las empresas

Presiones internas para realizar ROI de las inversiones en seguridad.

Falta de recursos calificados en seguridad y difícil retención

Rápido incremento de las amenazas internas y externas a la organización

Necesidad de cumplir con regulaciones externas (Sarbanes Oaxley, ISO 27001,etc)

Convergencia de la seguridad física y seguridad lógica.



Resulta sorprendente el poco conocimiento necesario

para causar cada vez mayores daños

Complejidad

de los

métodos

Armado de paquetes/ Spoofing

Técnicas de

Diccionario

Código Auto

Replicado Password

Cracking

Acceso vía

vulnerabilidad

conocida

Borrado de

rastros

Back

Doors

Scanners

Sniffers

Diagnóstico Silencioso

Conocimiento

necesario

Alto

Bajo

DDOS

Worms



http://www.cert.org/stats/



Operational Level

Process Level

Application Level

Infrastructure Level

Organización

Procesos

Aplicaciones

Infraestructura



Seguridad Lógica vs. Seguridad Física

Seguridad Lógica – protección de datos, aplicaciones, sistemas y redes

Seguridad en redes (amenazas, virus, gusanos, hackers)

Seguridad en aplicaciones

Administración de identidades

Encripción

Seguridad Física – protección de personas y propiedades

Control de accesos

Seguridad perimetral

Sistemas de autenticación de empleados

Control de incendios

Vigilancia



Gestión de Seguridad en la Empresa



Enfoque tradicional de seguridad

Seguridad en Infraestructura de IT

Seguridad en Infraestructura

Firewalls. Antivirus. Detección de intrusos

Seguridad en Aplicaciones

Control de accesos. Encripción de datos.

Mecanismos de autenticación

Seguridad enAplicaciones

Adm. de Seguridad

Implementación de políticas, estándares y

procedimientos. Campañas de

concientización

Administración de Seguridad

Seguridad Física

Seguridad perimetral. Controles de accesos.

Video Vigilancia

Detección de alertas

Seguridad Física

Adm. Riesgos

Administración deRiesgos

Administración de Riesgos. Selección de controles. Modelo de

Gobierno

Datos y Activos corporativosInformación, PCs, Servers, Personas

Seguridad Lógica

IBM Global Services


Integración de las capas de seguridad física y lógica

Access Control

• Sistemas y Aplicaciones

• Edificios, Datacenters, ..

• Identificación en Redes

• Accesos a workstations

• Biometría y smartcads

Vigilancia

• Vigilancia digital

• Seguimiento de Activos

• Detección de Intrusos

Facilidades & IT Mgmt

• Operación de Data centers

• Redes de voz y datos

• Procesos de control

• Control de incendios

Plataforma de Integración de Seguridad(Tableros de control, Networking, Correlación, Integración)

HR

ERP

Supply Chain

CRM

Sistemas

Financieros

Reducir costos administrativos

Reutilizar la infraestructura de IT existente

Correlacionar alertas de seguridad física y lógica

Foco en Biometría y Vigilancia Digital

IBM Global Services


Punto de vista de seguridad Corporativa

Estrategia de negocio

• Framework de Administración de Riesgos• Selección de Controles de Seguridad• Selección del modelo de Gobierno

• Desarrollo de políticas, estándares y procedimientos

Administración de Riesgos

Customer Approach

Transformation

Infraestructura

• Antivirus• Firewall• Biometria• Smart Cards

• VPN• Detección de intrusos• Recuperación

• Hardware de encripción• Arquitecturas Seguras

• Vigilancia Digital• Control de accesos físicos• Seguridad física en Data-Centers

Seguridad Física y de IT

Aplicaciones de Negocio

• Single Sign-on• Certificados digitales• Firmas digitales

• Encripción de datos• Asignación de responsabilidades de Seguridad• Meta-directorios

• Control de accesos• Autenticación• Adm. segura de contenidos

Seguridad en Aplicaciones

Procesos de negocio y operación

• Implementación de Políticas• Implementación de modelo de Gobierno• Campaña de concientización de seguridad• Arquitectura Corporativa de Seguridad

• Centralizar operaciones de Seguridad

• Adm. de la privacidad• Adm. de Activos

Administración de Seguridad



DIAGNÓSTICO

Y

EVALUACIÓN

IMPLANTACIÓN

DISEÑO

OPERACIÓN

10%

20%

50%

20%

ADMINISTRACIÓN

CENTRALIZADA

DE SEGURIDAD

RIESGOS Y

OBJETIVOS

DE CONTROL

MONITOREO

Y

AUDITORÍA

CAPACITACIÓN

DE GERENCIA

Y USUARIOS

POL. - NORMAS

PROC. - EST.

HERRAM.

ESTE GRÁFICO REPRESENTA EL PROCESO CONTINUO

DE LA SEGURIDAD EN UNA COMPAÑIA

Esquema de trabajo de la seguridad informática



Mi negocio

Entorno legales Fraudes

Competencia

Crimen Organizado

Amenazas

internas

Hackers

Virus

Ataques deliberados Desastres naturalesAccidentes

Errores humanos



Evaluación de Seguridad y Programa

Corporativo de Seguridad

Tiempo

Nivel de

seguridad

inicial

Nivel de

seguridad

deseado

• Identificación de fortalezas y

debilidades

• Recomendaciones de mejora

• Plan estratégico de Seguridad

Niv

el d

e s

eg

uri

da

d

Fase I

Fase II



Tiempo

Nivel de

seguridad

inicial

• Identificación de fortalezas y

debilidades

• Recomendaciones de mejora

• Plan estratégico de Seguridad

Niv

el d

e s

eg

uri

da

d

Fase I



El plano de procesos de

negocio representa todos los

procesos necesarios para

soportar los objetivos de

negocio.

El plano de organización

representa a los grupos de

usuarios, sus roles y

responsabilidades

necesarios para soportar el

plano de los procesos.

El plano de soluciones

representa los elementos de

TI utilizados para soportar

tanto a los procesos como a

los usuarios (aplicaciones).

El plano de infraestructura

representa los elementos

tecnológicos utilizados para

soportar el plano de

soluciones.



Las vulnerabilidades encontradas (Evaluación de Seguridad,

Evaluación Técnica de Red e Infraestructura) son priorizadas de

acuerdo con su impacto y probabilidad de ocurrencia.

Severidad

Probabilidad

1

2

3

4

5

12345

A

B

C

E

D

F

Vu

lne

rab

ilida

des



Tiempo

Nivel de

seguridad

deseado

Niv

el d

e s

eg

uri

da

d

Fase II



1. Evalúe las políticas de seguridad empresariales y audítelas por lo menos dos

veces al año.

2. Evalúe la seguridad y compárela regularmente con sus requerimientos y

estrategias de negocio.

3. Cree un programa de conciencia de seguridad a lo largo de toda la compañía.

4. El jefe al mando de la seguridad debe estar fuera del área de tecnología.

5. Automatice la administración y auditoria de seguridades y actualizaciones en

todos los equipos de los usuarios.

6. Ponga Foco en los procesos, aplicaciones e infraestructura. No solamente en la

tecnología.

7. Considere autenticaciones fuertes para el reemplazo de claves de acceso.

8. Pruebe constantemente sus planes de continuidad de negocio.



1. El peligro es real. Y ocurre.

2. No hay una varita mágica para resolver los problemas se requiereactitud.

3. El peor enemigo es la falta de proactividad ante el conocimiento delpeligro y no poner foco a la búsqueda de la solución.

4. La seguridad NO es un reto para el área tecnológica. Es un retopara todo el negocio.

5. La seguridad empresarial es una inversión para la empresa. No ungasto



Arquitecturas Tecnológicas -

Seguridades



APLICACIONES DE NEGOCIO Y FINANCIERAS

HARDWARE Y COMUNICACIONES

SISTEMA OPERATIVO DE RED

SERVICIOS DE INTERNET

SERVICIOS DE RED

CONFIGURACIONES DE SEGURIDAD

BASE DE DATOS

Aspectos a ser Evaluados

Seguridades en Infraestructura Tecnológica



Protección contra hackers y ataques en la Red

•RAS

•Web -http://

Evaluación de Servicios de Red

Almacenamiento•Archivos y Directorios•Patches•Hot Fix

Esquema de Seguridad Base

- Parámetros de Contraseñas:•Longitud mínima•Caducidad•Histórico•Bloqueo ante intentos fallidos•Encriptación

- Nivel de seguridad del SistemaOperativo

- Parámetros de configuración delSistema Operativo

- Otros

•Telnet

•FTP

•NFS

•SNMP

•SMTP

•Internet

•Proxy

•Firewall

•IPS




Seguridad Cliente/Servidor

• Riesgos en Cliente / Servidor

Los controles de acceso pueden ser débiles en un

ambiente cliente-servidor

Los procedimientos de administración y control de

cambios

La pérdida de la disponibilidad de la red puede tener un

serio impacto sobre el negocio o sus servicios

Obsolecencia de los componentes de la red

El uso de modems que conectan la red a otras redes





• Riesgos en Cliente / Servidor

La conexión de la red a redes telefónicas interconectadas

puede ser débil

Cambios a los sistemas o datos

Acceso a datos confidenciales y modificación de datos sin

autorización

El código de la aplicación y los datos no pueden ser

localizados en una sola máquina ubicada en un centro de

cómputo asegurado, como ocurre con los mainframes.





• Técnicas de control implementadas

Acceso seguro a los datos o a la aplicación

Uso de dispositivos de monitoreo de red

Técnicas de encripción de datos

Sistemas de autenticación

Uso de programas de control de acceso a nivel

de la aplicación




Amenazas de Seguridad Inalámbrica

y Mitigación de Riesgos

Categorías: Errores y Omisiones

Fraude y Robo

Sabotaje por empleados

Pérdida de soporte físico e infraestructura

Hackers maliciosos (Crackers)

Espionaje industrial

Código malicioso

Espionaje de gobierno extranjero

Amenazas a la privacidad personal




Accesos a dispositivos inalámbricos:

War Driving (escaneo en auto)

War Walking (escaneo a pie)

War Chalking (marcación en aceras

y paredes de puntos de acceso inalámbrico)


Amenazas de Seguridad Inalámbrica

y Mitigación de Riesgos



Amenazas y Seguridad de Internet

• Ataques pasivos• Análisis de red• Fisgoneo• Análisis de tráfico

• Ataques activos• Ataque de fuerza bruta• Enmascaramiento• Retorno de paquetes• Modificación de mensajes• Acceso no autorizado a través de servicios de

Internet o basados en Web• Negación de servicio• Ataques de penetración por llamada• Bombardeo y envío de E-mail no deseado • Suplantación de E-mail




Seguridades y amenazas en Internet

Impacto de las Amenazas de Internet

Pérdida de ingresos Incremento en los costos de recuperación Incremento en los costos retrospectivos de seguridad de los

sistemas Pérdida de información Pérdida de secretos comerciales Daño a la reputación Incumplimiento de leyes / regulaciones Incumplimiento de acuerdos contractuales Acciones legales de los clientes por

pérdida de información confidencial




Amenazas y Seguridad en Internet

Factores que son causa de ataques en internet

Disponibilidad de herramientas y técnicas en Internet

Falta de conciencia y entrenamiento en seguridad

Aprovechar las Vulnerabilidades de seguridad

Seguridad inadecuada en firewalls

Controles de Seguridad en Internet





Características generales de los Firewall

Tipos de firewalls

Enrutador de filtrado de paquetes

Sistemas de firewall de aplicación

Inspección total de estado




Funciones del Firewall

El Firewall conceptualmente es el equipo que ofrece las mayores seguridades en Internet, y un firewall que se precie de ser robusto en su seguridad debe incluir en su núcleo el status inspection.

Las funciones principales de un firewall son:

1.- Control de acceso

2.- Traslación de direcciones

3.- Autenticación

4.- Balanceo de carga

5.- Seguridad de Contenido

6.- Encriptación(para permitir establecer VPN’s en el Internet)




La Inspección de estado(Status Inspection)

Aplicación

Presentación

Sesión

Transporte

Red

Enlace

Física

IP TCP Session Aplication

Siguiente

regla

Log/Alert

Paquete

concuerda con

alguna política?

No

Si

Pasa el

paquete?

Drop el paquete

Si

No

No

Enviar NACK




Tipos básicos de Firewall

Conceptualmente, hay dos tipos de firewalls:

Nivel de red – Hardware y Software (Ejemplos)

CHEKPOINT

CISCO PIX

Nivel de aplicación - Software (Ejemplos)

ISA SERVER

Ip Chains, IP Tables (Linux)

Symantec




Firewall Checkpoint – Ejemplo Reglas




Estructura de una red Firewall

Architecture Components

1. Filtering Router

2. Firewall

3. Public Internet Servers

4. Filtering Router

“Classic” Demilitarized Zone (DMZ)

Corporate Network1 2

3

4

Router

Router

Internet





Aspectos a considerar

• Falsa sensación de seguridad

• La cobertura de la seguridad provista por el Firewall

• Firewall mal configurado

• Elementos que constituyen un Firewall

• Las actividades de monitoreo no se llevan a cabo

regularmente

• Políticas del Firewall




Sistemas de Detección de Intrusos (IDS)

Un IDS trabaja en conjunto con routers y Firewalls

para monitorear las anomalías en el uso de la red

IDS basados en red

IDS basados en Host

Componentes:

Sensores responsables de recoger datos

Sistemas de análisis que reciben la

información de los sensores y determinan

si una actividad es intrusiva

Consola de administración

Interfase con el usuario





Tipos:

Basados en firmas

Basados en estadísticas

Redes neuronales

Características:

Detección de intrusión

Obtención de evidencia sobre actividades intrusivas

Respuesta automática

Monitoreo a la seguridad

Interfases con herramientas del sistema

Administración de políticas de seguridad





Limitantes

Debilidad en la definición de políticas

Vulnerabilidades a nivel de aplicación

Puertas traseras en las aplicaciones

Debilidad en esquemas de identificación y

autenticación

Reactivos NO Proactivos (IPS)




Encriptación de Información



Encripción

Elementos clave de los sistemas de encripción

Algoritmo de Encripción

Llaves de Encripción

Longitud de la llave

Sistemas criptográficos de llave privada

Sistemas criptográficos de llave pública




ASIMETRICA

Intercambio de claves utilizando

criptografia de clave publica y privada

SIMETRICA

Intercambio de claves utilizando

criptografia simétrica

Pública

Privada

Privada

Pública

A B A B

1 ) A y B toman las claves publicas desde alguna base

de datos como x ej. Verisign.

2) A encripta su mensaje usando la clave publica de B

y lo envía a B.

3 ) B desencripta el mensaje de A usando su propia

clave privada.

1 ) A y B acuerdan un mismo sistema de criptografía.

2 ) A y B acuerdan una clave.

3 ) A toma su mensaje de texto plano y lo encripta usando

el algoritmo y la clave acordada, creando un mensaje de

texto cifrado.

4 ) A envía el mensaje de texto cifrado a B.

5 ) B desencripta el mensaje de texto cifrado con el mismo

algoritmo y clave y luego lo lee.

Privacidad: Criptografía




Clave pública:

Es una clave alfanumeríca creada por medio de algoritmos matemáticos que sirve para

encriptar una serie de datos. Suele ser creada junto con una clave privada, la clave

pública se suele llamar también llave pública.

Clave privada:

Es una clave alfanumeríca creada por medio de algoritmos matemáticos que sirve para

desencriptar una serie de datos que han sido creados por la clave pública que forma la

pareja.




Encripción

Firmas Digitales

Integridad de datos

Autenticación

No repudio

Protección de respuesta




Firma digital:

Es el conjunto de datos en forma electrónica utilizados como medio para identificar

formalmente el autor o a los autores del documento que la recoge.

Verificación:

Es el inverso de la firma, verifica que una firma es auténtica,asegurando

simultáneamente la integridad del documento




Certificados Digitales

Las Autoridades de Certificación cumplen con una

función notarial en donde verifican la identidad,

solvencia de usuarios y entidades proporcionando un

"certificado digital"

Certificado Digital:

Es la certificación electrónica

que vincula unos datos de

verificación de firma de un

signatario y confirma su

identidad




Un certificado digital contiene:

Número serial del

certificado

Información del algoritmo

usado por el emisor

Fecha de Validez De/Hasta

Información de clave

pública de usuario

Firma de la autoridad

emisora

0000123

SHA, DH, 3837829 …

1/1/93 to 12/31/98

Alice Smith, Acme Corp

DH, 3813710 ...

Acme Corporation, Security Dept.

SHA, DH, 2393702347 ...

Certificados Digitales




Encripción

Infraestructura de Llave Pública

Certificado Digital

Autoridad de Certificación (CA)

Autoridad de Registro (RA)

Lista de revocación de certificados (CRL)

Declaración de práctica de certificación (CPS)




Encripción (continuación)

Uso de la encripción en Protocolos OSI

Capa de puertos o canales seguros (SSL)

Protocolo de transferencia segura de hipertexto S-HTTP

IPSEC (VPN’s)

SSH

Extensiones seguras de correo Internet de propósito múltiple (S/MIME)

Transacciones electrónicas seguras (SET)




Encripción (continuación)

Riesgos de encripción y protección de contraseñas

Virus

Controles de virus y gusanos

Controles técnicos

Estrategias de implementación de software antivirus




Voz sobre IP

Sonidos digitalizados en paquetes IP y

transferidos por la capa de red antes de ser

decodificados en la voz original.

Costos bajos

Problemas de seguridad: intercepción

de conversaciones

Solución: Firewalls, encriptación




PBX: Riesgos y Controles

Riesgos:

Robo de servicio

Revelación de información

Modificación de datos

Acceso no autorizado

Negación de Servicio

Análisis de tráfico

Controles:

Auditoría al software de PBX

Contraseñas de acceso administrativo




Auditoría a la Seguridad en

Infraestructura Tecnológica



Auditoría a los accesos remotos

Auditando los “puntos de presencia” en internet

Pruebas de penetración a la red

Revisión de los análisis realizados a toda la red

Análisis de las redes LAN

Desarrollo y autorización a los cambios en la red

Cambios no autorizados

Auditoría a la Seguridad en Infraestructura

Tecnológica



Qué es un Test de Penetración?

Emula técnicas y comportamientos que

pueden ser utilizados por intrusos con el

objetivo de analizar el nivel de seguridad de

los sistemas

Permite detectar vulnerabilidades en el

Sistema Informático y corregirlas en forma

muy rápida y eficaz


Tecnológica



Metodologías de Penetration Testing

Tipos de Test basados en tiempo y Costo


Tecnológica



Metodología de Penetration Test :

Fase de Descubrimiento.

Fase de Exploración.

Fase de Evaluación.

Fase de Intrusión.

Open Source Security Testing

MethodologyDesarrollada por Pete Herzog - http://www.ideahamster.org/


Tecnológica



Fase de Descubrimiento

Recolección de información.

Descubriendo la red.

Fuentes de información en Internet.

Dirección física.

Números telefónicos.

Nombres de personas y cuentas de e-mail.

Rango de direcciones IP.

Información de prensa sobre el lugar.

Análisis de la página WEB.

Evaluación del código fuente.


Tecnológica



Fase de Descubrimiento:

Examinar la red

Es el primer paso a realizar

Se determinan los datos siguientes:

Nombres de dominio

Nombres de los servidores

Direcciones IP

Mapa de la red

Información sobre el ISP

Propietarios de los servicios y/o servidores


Tecnológica



Para lograr los resultados anteriores también se pueden

analizar:

los enlaces en las páginas web, buscando posibles

enlaces internos

información puesta en grupos de noticias desde la

entidad analizada

los encabezamientos de los correos

buscando información interna de la entidad

Fase de Descubrimiento:

Examinar la red


Tecnológica



Fase de Exploración Exploración de posibles puertas de entrada.

Scanning telefónico.

Scanning de rangos de direcciones IP.

Análisis de protocolo SNMP.

Análisis de paquetes ICMP.

Determinación de protocolos utilizados: (TCP/IP, Netbios, IPX, etc). Direcciones IP de Internet. Transferencias de dominios.

Análisis de paquetes ICMP.

Determinación de protocolos utilizados (TCP/IP, Netbios, IPX, etc).Direcciones IP de Internet.Transferencias de dominios.

Scanning de puertos TCP/UDP en el rango de direcciones IP.

Análisis de la configuración de cada servicio.

Análisis de banners.

Detección remota de sistemas operativos.


Tecnológica



Fase de Exploración: Búsqueda de

puertos

En cada máquina pueden estar abiertos 65536 puertos TCP y UDP, pero no todos tienen la misma importancia

En esta búsqueda se debe obtener:

Puertos abiertos, cerrados y filtrados

Direcciones IP de los sistemas activos

Lista de protocolos encapsulados descubiertos

Protocolos de enrutamiento

Servicios activos

Mapa de red


Tecnológica



Fase de Exploración: Sistemas

Operativos

En esta fase tratamos de detectar los sistemas operativos

que se ejecutan el los diversos servidores encontrados

Como resultado debemos obtener:

Sistema Operativo

Versión del SO

Parches aplicados


Tecnológica



Fase de Exploración: Pruebas de

servicios

En esta fase intentamos determinar que

aplicación está detrás de cada puerto abierto

Como resultado debemos obtener:

Aplicación que se está ejecutando

Parches de esa aplicación


Tecnológica



Fase de Evaluación

Detección de vulnerabilidades en forma remota.

Herramientas de detección de vulnerabilidades de red.

Herramientas de detección de vulnerabilidades de host.

Intento de acceso vía módems o accesos remotos detectados.

Testing de seguridad de un Router.

Testing de seguridad de un Server UNIX.

Testing de seguridad de un Server Windows NT/2000/2003.

Testing de seguridad de un Firewall.

Evaluación de las reglas del Firewall.

Testing de seguridad de un DNS Server.

Testing de seguridad de un Web Server.

Evaluación de seguridad de un Mail Server.

Evaluación de seguridad de una Base de Datos.


Tecnológica



Fase de Evaluación: Búsqueda

automatizada de vulnerabilidades

En esta fase buscamos huecos y vulnerabilidades en los sistemas

Debemos hacer pruebas cruzadas con al menos dos herramientas distintas

Como resultado debemos obtener: Lista de sistemas vulnerables

Tipo de aplicación o servicio por vulnerabilidad

Parches aplicados al sistema


Tecnológica



Fase de Evaluación: Búsqueda de

vulnerabilidades

En esta fase realizamos una búsqueda utilizando todos

los medios que tengamos a nuestro alcance: web, IRC,

grupos de noticias, sitios web populares.

El objetivo es encontrar otras vulnerabilidades en los

sistemas y servicios identificados


Tecnológica



Fase de Evaluación: Verificación

manual

En esta etapa debemos validar nuestros

resultados

Es el momento de eliminar los falsos positivos

Hay que verificar si en nuestro contrato se

encuentra este estudio, pues podemos afectar

los sistemas bajo estudio


Tecnológica



Fase de Evaluación: Pruebas de

aplicaciones

En esta etapa se analizan las aplicaciones

utilizadas en la entidad

Como resultado se debe obtener:

Lista de aplicaciones

Lista de componentes de estas aplicaciones

Lista de vulnerabilidades

Lista de las relaciones de confianza en estas

aplicaciones


Tecnológica



Fase de Evaluación: Pruebas del

Firewall

Las listas de control de acceso (ACL) en los enrutadores y firewalls son otro punto importante a medir

Debemos validar que estas ACL implementan las políticas de la entidad

En esta prueba debemos obtener:

Información sobre el/los firewalls

Información sobre el/los enrutadores

Un bosquejo de las políticas representadas por las ACL


Tecnológica



Fase de Evaluación: Pruebas de IDS

Esta prueba está orientada a determinar la sensibilidad de los IDS instalados

Debemos obtener los siguientes datos: Tipo de IDS

Comportamiento del IDS bajo una carga

extrema

Tipos de paquetes descartados

por el IDS

Protocolos descartados por el IDS

Tiempo de reacción del IDS

Tipo de alarmas del IDS

Sensibilidad del IDS

Reglas del IDS


Tecnológica



Fase de Evaluación: Revisión de las políticas

de seguridad

En esta etapa debemos validar que las políticas dictadas por la entidad no están en contradicción con los datos recolectados

Aquí se pueden analizar los módem internos y máquinas de fax

Debemos obtener: Lista de las diferencias entre lo dispuesto y lo real

Listado de conexiones entrantes no acordes a la política

Listado de conexiones salientes no acordes a la política


Tecnológica



Fase de Evaluación: Análisis de contraseñas

En esta etapa intentamos encontrar cuentas con claves

fáciles

Debemos obtener como resultado:

Ficheros de claves resistentes o rotos

Lista de usuarios con nivel de usuario o administrador

Lista de sistemas vulnerables por contraseñas

Lista de documentos con contraseñas débiles

Lista de sistemas con usuarios cuya clave sea el mismo

nombre de usuario


Tecnológica



Fase de Evaluación: Pruebas de denegación de

servicios

En estas pruebas debemos validar el funcionamiento de

la entidad cuando uno de sus sistemas cae bajo un

ataque de denegación de servicio y cuáles son los

puntos más vulnerables

En esta prueba obtenemos:

Lista de puntos débiles en el sistema

Una línea base del funcionamiento del sistema

Comportamiento de los sistemas bajo carga extrema

Lista de sistemas vulnerables a DOS


Tecnológica



Fase de Evaluación: Revisión de las bitácoras

de IDS y servidores de logs

En algunos casos, el analista no obtiene toda la

información necesaria del estudio del IDS

En esta prueba obtenemos:

Lista de falsos positivos en el IDS

Lista de alarmas no registradas por el IDS

Lista de paquetes que entraron, ordenados por puertos

Lista de protocolos que se utilizaron el la red

Lista de caminos no monitoreados en la red


Tecnológica



Fase de Evaluación: Ingeniería social

Como resultado de esta etapa obtenemos información útil

para acceder a los sistemas o sobre inseguridades

presentes

Podemos llamar a un administrador y decirle que hemos

olvidado nuestra clave o contactar con un usuario y pedirle

la clave simulando ser el administrador


Tecnológica



Fase de Evaluación: Pruebas de conexiones

inalámbricas

En esta fase debemos encontrar los

puntos de acceso inalámbrico de la

red y el alcance de estas entradas

Debemos validar que las

conexiones así establecidas son

seguras y no pueden ser

trampeadas


Tecnológica



Fase de Intrusión

Determinación de vulnerabilidades de seguridad.

Utilización de ingeniería social para obtención de información.

Intento de explotar las vulnerabilidades detectadas

Métodos para detectar falsos positivos.

Exploits y su utilización.

Obtención de los privilegios del administrador del sistema.

Acceso a información interna.

Generación de archivos demo.


Tecnológica



Conclusión: Evaluación y corrección

Evaluación de los resultados obtenidos.

Determinación de niveles de riesgo.

Propuesta de soluciones de seguridad.

Corrección de las vulnerabilidades detectadas.


Tecnológica



BIBLIOGRAFIA

www.isaca.org

www.sans.org

www.cert.org

www.infosecurityonline.org

http://www.isaca.org/

http://www.sans.org/

http://www.cert.org/

http://www.infosecurityonline.org/

Tecnologias de Seguridad Clases

Documents

Transcript of Tecnologias de Seguridad Clases