Criptografía y Seguridad Informática 66materias.fi.uba.ar/6669/alumnos/2007-1/Gestion Seguridad -...

Trabajo Practico Final Criptografía y Seguridad Informática 66.69

Facultad de Ingeniería Universidad de Buenos Aires

Criptografía y Seguridad Informática 66.69

Trabajo Practico Final

Security Management Alumno: José Luis Lasala Padrón Nº: 76834 Mail: [email protected]

1º Cuatrimestre 2007

1


Objetivo: El objetivo final de este trabajo practico es analizar y comprender los conceptos básicos de administración de seguridad, entre los cuales analizaremos:

• Conceptos básicos de la administración de seguridad. • Las diferencias entre : Políticas Estándares Guías Procedimientos • Conceptos de seguridad. • Análisis de Riesgo. • Niveles de clasificación de la Información.

Desarrollo:

Administración de Seguridad Para comprender las partes que integran la Administración de Seguridad primero debemos realizar un recorrido por los principales conceptos y requerimientos que llevan a esta practica. Los principales conceptos que veremos estarán relacionados con:

• Ciclos de Vida de los Sistemas de Seguridad. • El concepto de la CIA. • Principios de Seguridad del NIST 33. • Trade-Off Análisis.

Una vez comprendidos los conceptos y requerimientos básicos podremos entonces desarrollar:

• Objetivos de los controles de Seguridad. • Procesos de Clasificación de la Información. • Implementación de Políticas de Seguridad. • Roles y Responsabilidades. • Risk Management.

2


Ciclo de Vida de los Sistemas de Seguridad La vida útil de los sistemas de seguridad puede separase en 5 etapas bien diferenciadas: Fase Inicial: durante la fase inicial, se relevan las necesidades del sistema, las propuestas son

documentadas. Fase de Desarrollo y Adquisición: Durante esta fase el sistema es diseñado, comprado,

programado, convertido o si no construido. Fase de Implementación: Durante esta fase es instalado y testeado. Fase de Operación y Mantenimiento: Durante esta fase el sistema se pone en producción. El

sistema es constantemente modificado por la interacción de los eventos.

Fase de Disposición: Es la fase en la cual el sistema pasa a disposición.

3


CIA Los conceptos que representan los tres principios básicos de la seguridad informática son:

Confidencialidad: es la prevención de los accesos intencionales o no intencionales a la información clasificada.

Integridad: el concepto de integridad agrupa:

• No permitir las modificaciones de la información por medio de personal o procesos no autorizados.

• La información es interna y externamente consistente. Disponibilidad: el concepto de disponibilidad garantiza que los servicios de seguridad estén en

línea y no conlleven a un problema de acceso a la información.

4


Otros Conceptos Importantes Hay otros conceptos importantes que rondan los tres grandes principios. Ellos son: Identificación: esto significa que todos los usuarios deben identificarse en el sistema. Autenticación: establece la identidad del usuario y se asegura que sea quien dice ser. No Repudio: la capacidad de un sistema para identificar las acciones y comportamientos de

cada usuario individual. Autorización: son los permisos que se le dan a un individuo o proceso al acceder a los

recursos de un sistema. Privacidad: es el nivel de confidencialidad y protección que se le da a un usuario en un

sistema.

5


Principios de la Administración de Seguridad 1º Principio: establecer las políticas de seguridad como el cimiento para el diseño. 2º Principio: Tratar la seguridad como parte integral del diseño del sistema total. (Ciclo de Vida.) 3º Principio: Delinear claramente los límites físicos y lógicos de la seguridad gobernados por

políticas asociadas a la seguridad. 4º Principio: reducir los riesgos a un nivel aceptable. 5º Principio: asumir que los sistemas externos son inseguros. 6º Principio: Identificar las potenciales inversiones entre la reducción de riesgo y incremento de

costos. 7º Principio: implementar niveles de seguridad; asegurarse que no existan un único punto de

vulnerabilidad. 8º Principio: implementar un sistema de seguridad adaptado a las necesidades del sistema. 9º Principio: esforzarse en la simplicidad. 10º Principio: los sistemas de seguridad deben limitar las vulnerabilidades y a la vez tener rápida

respuesta al ataque. 11º Principio: minimizar los elementos del sistema. 12º Principio: implementar la seguridad a través de una combinación distribuida de los sistemas

físicos y lógicos. 13º Principio: Proporcionar el aseguramiento del sistema, y darle continuidad, resistente frente a

amenazas previstas. 14º Principio: limitar o contener ataques. 15º Principio: formular medidas de seguridad con alcances sobre múltiples dominios. 16º Principio: aislar los accesos públicos al sistema. 17º Principio: separar los sistemas de cómputos de la infraestructura de red. 18º Principio: cuando sea posible, utilizar sistemas basados en estándares abiertos para soportar la

compatibilidad. 19º Principio: utilizar un lenguaje común el los sistemas de seguridad que son adaptados. 20º Principio: diseñar e implementar mecanismos de auditoria para detectar usos desautorizados

del sistema y apoyar investigaciones de incidentes.

6


21º Principio: diseñar la seguridad para tener en cuenta la adopción regular de nuevas tecnologías,

incluyendo un proceso seguro y lógico de las mejoras tecnológicas. 22º Principio: autenticar los usuarios y los procesos para asegurar decisiones apropiadas del

control de acceso dentro y a través de dominios. 23º Principio: usar identidades únicas para garantizar no repudio. 24º Principio: implementar menos privilegios. 25º Principio: no implementar mecanismos de seguridad innecesarios. 26º Principio: proteger la información durante el procesamiento, el transito y el almacenaje. 27º Principio: esforzarse para que la operación del sistema se fácil de usar. 28º Principio: programar ejercicios de contingencia y procedimientos de recuperación de desastres

para asegurar la disponibilidad. 29º Principio: considerar que los productos a adquirir alcancen la seguridad adecuada. 30º Principio: asegurar la seguridad apropiada en la parada o la disposición de un sistema. 31º Principio: proteger el sistema contra todas las clases de ataques probables. 32º Principio: identificar y prevenir errores comunes y vulnerabilidades. 33º Principio: asegurarse que el desarrollador esta entrenado en el desarrollo de software seguro.

7


Trade-off Los pasos generales del TOA son: Definir objetivos: el TOA comienza con la identificación de los requerimientos del sistema. Identificar alternativas: se deben identificar las distintas posibilidades que son candidatas a dar

una solución integral. Comparar alternativas: los candidatos a la solución deben ser comparados uno contra otro. El

orden relativo de merito es el que define la selección.

8


Objetivos de los controles de Seguridad

El objetivo de los controles de seguridad es reducir las vulnerabilidades a niveles tolerables y minimizar los efectos de los ataques. El proceso que evalúa los distintos escenarios y estima las potenciales perdidas es el Risk Analysis. Los diferentes controles son:

9


Proceso de Clasificación de la Información

Objetivos de la clasificación d la información

Enfocarse en los mecanismos de protección y controles de la información, evaluando los requerimientos de las distintas áreas y buscando mejor relación costo beneficio.

Términos de clasificación

Criterios de Clasificación Valor: es el valor que tiene la información por si misma. Información corporativa. Edad: el valor de la clasificación de la información debe decrecer con el paso del tiempo. Vida Útil: la información puede desclasificarse por obsoleta. Cambios en la compañía. Asociaciones Personales: información privada de usuarios, clientes u otras compañías debe ser

clasificada.

10


Procedimiento de clasificación de la información: Los pasos para establecer un sistema de clasificación de la información son:

1. Identificar al Administrador y al Data Custodian. 2. Especificar los criterios de clasificación y etiquetar la información. 3. Clasificar la información según su dueño, lo cual debe ser verificado por un supervisor. 4. Especificar y documentar cualquier excepción a las políticas de calificación. 5. Especificar los controles que se aplicaran a cada nivel de clasificación. 6. Especificar los procedimientos de terminación para la desclasificación de la información por

transferencia de la custodia a otra entidad. 7. Crear un programa del conocimiento de la empresa sobre los controles de la clasificación.

11


Implementación de Políticas de Seguridad

Tipos de Políticas Existen niveles de políticas de seguridad, de las cuales las mas generales deben ser creadas primero por razones estratégicas, y las políticas mas tácticas emergerán de estas. Los diferentes tipos de políticas son: Declaración de las políticas de la gerencia: es la primer política en ser creada. Es una política de alto nivel. Los contenidos elementales son:

• Un reconocimiento de la importancia de los recursos de computo al modelo del negocio. • Una declaración de la ayuda para la seguridad de la información a través de la empresa. • Una comisión para autorizar y para manejar la definición de los estándares, de los

procedimientos, y de las pautas de nivel inferior.

Regulatorias: las políticas regulatorias son políticas de seguridad que una organización debe implementar para conformidad, regulación o otros requerimientos legales. Estas políticas son habitualmente muy detalladas y especificas para la industria en la cual la compañía opera. Advertencias: son políticas que no son mandatarias pero son fuertemente sugeridas. Informativas: las políticas informativas son solo para informar a terceras partes.

Estándares, Guías y Procedimientos Los distintos documentos a su vez se clasifican en : Estándares: especifican el uso que se le debe dar a una tecnología. Guías: son similares a los estándares pero se refieren a la metodología de los sistemas de

seguridad, son solo recomendaciones. Procedimientos: son los pasos precisos para realizar una tarea especifica.

12


Roles y Responsabilidades Es importante mencionar que las responsabilidades referentes a la seguridad de la información son distribuidas dentro de toda la organización y no son de entera responsabilidad del área de seguridad informática, en ese sentido existen roles adicionales que recaen en los propietarios de la información, los custodios de la información y el área de auditoria interna. A continuación se presentan los roles y responsabilidades relacionadas a las distintas areas: Área de Seguridad Informática Sus responsabilidades son:

• Establecer y documentar las responsabilidades de la organización en cuantro a la seguridad de la información.

• Mantener la política y estándares de seguridad de la información de la organización. • Definir metodologías y procesos relacionados a la seguridad de la información. • Controlar e investigar incidentes de seguridad o violaciones de seguridad. • Reportar periódicamente a la gerencia de Administración y Operaciones. • Controlar aspectos de seguridad en el intercambio de información con entidades externas.

Custodio de la Información Sus responsabilidades son:

• Administrar accesos a nivel de red. • Administrar accesos a nivel de bases de datos. • Administrar el acceso a archivos físicos. • Implementar controles definidos para los sistemas de información. • Implementar actualizaciones de seguridad. • Desarrollar procedimientos de autorización y autenticación. • Entrenar a los empleados en aspectos de seguridad de la información. • Asistir y administrar los procedimientos de back ups.

Usuario Sus responsabilidades son: Mantener la confidencialidad de las contraseñas de aplicaciones y sistemas. Reportar supuestas violaciones de la seguridad de la información. Asegurarse de ingresar información adecuada a los sistemas. Adecuarse a las políticas de seguridad. Utilizar la información únicamente para los propósitos autorizados.

13


Propietarios de la Información Los propietarios de la información son los gerentes y jefes de las unidades de negocios, los cuales, son responsables de la información que se genera y se utiliza en las operaciones de su unidad. Sus responsabilidades son:

• Asignar los niveles iniciales de clasificación de la información. • Revisión periódica de la clasificación de la información. • Determinar los criterios y niveles de acceso a la información. • Determinar los requerimientos de copia de respaldo. • Tomar las acciones adecuadas en caso de violación de la seguridad. • Verificar periódicamente la integridad y coherencia de la información.

Auditoria Interna El personal de auditoria interna es responsable de monitorear el cumplimiento de los estándares y guías definidas en las políticas internas. Auditoria interna debe colaborar con el área de seguridad informática en la identificación de amenazas y vulnerabilidades referentes a la seguridad de la información.

14


Administración de Riesgo Objetivos Reducir los riesgos a niveles aceptables para la organización. Identificar, analizar, controlar y minimizar las perdidas asociadas a eventos. Principios Estimar la frecuencia de las distintas amenazas. Analizar el costo beneficio de las protecciones. Términos Factor de Exposición: es el porcentaje de perdida que representa que se lleve a cabo una amenaza

hacia un activo de la compañía. Expectativa de Perdida Individual: es la figura monetaria asignada a un evento único.

Valor Activo ($) x Factor de Exposición = Expectativa de Perdida Individual

Factor de Ocurrencia Anual: es la frecuencia anual estimada para un evento o amenaza.

Expectativa de Perdida Anual: es la perdida esperada anualmente frente a una amenaza determinada.

Expectativa de Perdida Individual ($) x Factor de Ocurrencia Anual = Expectativa de Perdida Anual

15


Descripción del Análisis de Riesgo Análisis de Riesgo Cuantitativo Asigna valor a los objetos de la organización. (Hardware). Los métodos son:

• Cuestionario • Entrevistas • Documentación • Herramientas de Escaneo

Se deben estimar las potenciales perdidas de activos determinando su valor. Analizar los posibles ataques a los activos. Analizar las perdidas anuales. Análisis de Riesgo Cualitativo Asigna valor a los pasivos de la organización. (Software, Bases de Datos). Procedimiento de Valuación de Activos Evaluando los valores anteriores se asignan los costos definitivos a los activos. Criterio de Selección de Resguardo Se analizan los costos/beneficios de la inversión.

16


Evolución de Red Corporativa Objetivos: • Realizar un ejercicio practico de la evolución de una red corporativa a un modelo de alta

disponibilidad y seguridad. • Poner en practica los conocimientos de Administración de la Seguridad. Presentación del caso de estudio

Detalles Técnicos: • Red plana sin ruteo. Grandes dominios de

broadcast. Baja disponibilidad. Cero Redundancia.

• Escasos signos de seguridad. • Tecnologías viejas. ATM. • En 3 años paso de 500 a 5000 usuarios. • Problemas de administración. Fallos

reiterados por mala utilización de los recursos por parte de los usuarios.

17


1.- DNS Se plantea instalar un DNS para soportar el direccionamiento como necesidad de la implementación de DHCP complementario a la segmentación de la red.

2.-Vlans Al ser esta una red plana se presentan problemas de duplicidad de IPs o MacAddress que generan ataques involuntarios por desconocimiento de los usuarios. Se facilitan los ataques premeditados a capa 2 hacia los servidores. Negación de servicio.

• Se plantea realizar una segmentación de la red adquiriendo equipos de ruteo en los distintos sitios.

• Se plantea la segmentación con un ordenamiento de las subredes que permita la sumarización de rutas.

3.-Ruteo Dinámico • Para darle redundancia a la red se implementa

ruteo dinámico. Esto facilita la administración de la red y evita agregar rutas en forma manual en los distintos equipos.

• Existen varios tipos: RIP v1, RIP v2, EIGRP y OSPF.

• Sumarización. • Ruteo por áreas. • Paquetes encriptados. • Costos y autocostos de rutas. • Filtrado de rutas.

18


4.-Update CDC • Se instalan UPS como sistema de contención. • Se instala un grupo generador como sistema

back up. • Se adquiere nueva fibra de backbone. • Se adquieren nuevos equipos de ruteo.

5.-Migración Enlaces Se realiza la migración de los enlaces del área de servidores al área de backbone. Se hace participe del sistema de ruteo dinámico. Se facilita la implementación de redundancias. Se implementa redundancia a nivel backbone.

6.-Alta Disponibilidad Se implementan equipos segmentados para soportar tecnologías de cluster o SLB Switch-assisted Load Balancing, TLB Transmit Load Balancing y NFT Network Fault Tolerance.

19


7.-Intranet Se implementa una Intranet corporativa para notificación de cambios en la configuración de la red.

8.-Antivirus Notificado en la Intranet se realiza la instalación de un servidor de Antivirus corporativo. Se cambian las políticas de navegación de Internet y los servidores, ningún usuario sin el Antivirus instalado y actualizado puede usar los servicios.

9.-SO Update Se implementan servidores para concentrar los paquetes de updates. Se mejora el rendimiento del enlace de Internet.

20


10.-DMZ Se implementa una DMZ con dos Firewall`s, uno interno que solo posee las rutas internas y de la DMZ y otro externo con conexión a la DMZ y rutas a Internet. Se instala en la misma el Proxy, la Web, el antivirus del correo y la DNS externa para relay de mail.

11.-Control de Acceso Se realizan listas de acceso a la red. Una protegen los distintos equipos y reducen las conexiones a los administradores. Otras filtran el trafico con dos finalidades, la primera proteger el ancho de banda de los enlaces, y la segunda proteger los servidores y reducir los puertos a inspeccionar por los Firewall`s. Distribución de filtrado.

12.-NTP y LOGS Se implementa un servidor de NTP para establecer el sincronismo de los equipos de red y los Firewall`s. A continuación se implementa un servidor de LOGS para documentar y centralizar todas las alarmas de los sistemas y permitir la correlación de los mismos.

21


13.-Firewall`s Se implementan Firewall`s redundantes a la granja de servidores. Se genera una zona protegida. Los Firewall`s son ayudados por los filtros de los equipos formado una unidad. Distribución de procesamiento.

14.-Back Up SAN Se implementan switch`s dedicados al trafico de back up. Se disponen servidores con políticas de respaldo. 15.-VPN Se elimina el viejo sistema de RAS y se pasa a una tecnología de VPN`s.

22

Criptografía y Seguridad Informática 66materias.fi.uba.ar/6669/alumnos/2007-1/Gestion Seguridad -...

Documents

Transcript of Criptografía y Seguridad Informática 66materias.fi.uba.ar/6669/alumnos/2007-1/Gestion Seguridad -...