Taller Centros de Datos: la innovación irrumpe en sus estructuras y funcionalidad

Fortinet ConfidentialFortinet ConfidentialMay 20, 2011

Mundo Contact. (MX)

Alejandro Martínez.Ingeniería Pre-Venta [email protected]

mailto:[email protected]



Fortinet ConfidentialFortinet Confidential

• Ambiente Tecnológico HOY.

• Visión General de la Seguridad

• El Resguardo de la Información.

• Optimiza los recursos existentes.

• Es Necesario estar preparado.

• Planeando el Futuro.

• Un entorno en base a Procesos.

• Protección Inmediata.

• Soluciones Integradas.

Agenda.


Dos visiones acerca de la seguridad de red

• Como un gastoSeguridad como una

necesidad: Los recursos deben ser protegidos.

La seguridad debe ser simple de administrar/operar

Los Carriers y Proveedores de Servicios pagan el OPEX

La seguridad incrementa el costo de los servicios a proveer.

• Como un facilitador de negocioSeguridad como valor-

agregado: Protegiendo los recursos del cliente

La seguridad debe ser flexible para poder ofrecer servicio

Los clientes pagan el OPEX como una cuota del servicio

Incrementa la relación con el cliente y aumenta los ingresos

3


El resguardo de la Información.

Retos de Negocios – Seguridad en

Aplicaciones/Bases de Datos

Las bases de datos (BD) almacenan la información más sensible

(Financiera, Clientes, HR) por ejemplo, # de Seguro Social, # de

Tarjeta de Crédito, # de Utilidades, etc.

Mitigar amenazas internas (Seguridad)

Cumplimiento de Regulaciones (PCI, SOX, Protección de

Privacidad, HIPAA, GLBA, BASEL II …)

Menor TCO


Optimiza tus Recursos.

• Incrementa el acceso a los datos y sistemas.

• Minimiza el riezgo de los accesos no autorizados.

• Reducir la complejidad de la infraestructura de seguridad.

• Baja costos de operación y de capital.


Repercusiones en el Mercado.

Pérdidas reportadas promedio de ataques internos fueron de $2.7M por incidente

— Encuesta CSI/FBI

Amenazas a la seguridad de Información, Realidades

78% de los perpetradores son usuarios autorizados: empleados, proveedores, etc. - CERT/Servicio Secreto


Mirando Nuevas Tecnologías.

• La tecnología escogida necesita seguir los Planes de Negocio (tipo de

oferta)

− p.e. La Tecnología escogida es una decisión de Negocio, NO de Ingeniería.

− Recordatorio. Los tipos de oferta son: En la nube, Basados en CPE, hibrido.

• Funciones de la Tecnología en Servicios Administrados de Seguridad

− Inspección: Analizar el tráfico para detectar y limpiar el contenido malicioso.

− Administración: configuración, actualizaciones de versión y de seguridad,

reportería.

− Lo anterior puede estar distribuido, centralizado o híbrido, dependiendo de la

oferta.

− Los Atributos de la Tecnología dependerán (una vez más) del tipo de oferta.


Es NECESARIO estar preparado.

• Eliminar los puntos ciegos.

• Cumplimiento de Políticas.

• Bajar el tiempo de respuesta.

• Realizar de manera eficiente las mejores

prácticas con ayuda de los expertos.

• Reducir el riesgo de perdida por

insignificante que parezca de la información.


Control de Acceso Seguro.

POLÍTICAS DE ACCESO.

ENTORNO SEGURO.

VPN IPSec / SSL / Mobilidad.

Taller.

Fortinet ConfidentialFortinet ConfidentialMay 20, 2011

Mundo Contact. (MX)Día 2






Inovación: ¿Qué significa?

• Inovación es una nueva forma

de hacer algo o “cosas nuevas hechas para ser útiles”

• Puede ser incremental y emergente o radical y revolucionar cambios en pensamiento, productos, procesos y organizaciones.


Pensar Estrategicamente.

• Estar preparado para posiblescambios en la infraestructura de seguridad.

» Anticiparse a los cambios en cuestión de

amenazas con tecnología eficiente.

• Buscar nuevas oportunidades quefortalezcan la seguridad.

» Reducir la Complejidad.

» Incrementar la Seguridad.

» Disminuir el riesgo.

• Identificar y ofrecer respuestaseficientes ante las amenazas.


Mirando hacia Adelante.


Aplicaciónes WEB.

Aplicaciónes públicas y

al alcance de todos.

Provee acceso a correo

electrónico, tiendas

departamentales,

periodicos y otros

servicios.

Provee ventajas

competitivas para el

comercio electrónico y

visibilidad del negocio. Servidores

De

Base de Datos

Front End

Web Servers

El Perimetro

del

Centro de Datos.

La complejidad de la seguridad de aplicaciones Web.


La complejidad de la seguridad de aplicaciones Web.

Aplicaciónes WEB diseñadas para

ofrecer contenido provechoso.

Algunas otras son desarrolladas

para culplir el proposito pero omiten

la seguridad.

Aplicaciones Expuestas.

Se expone información

sensible.

Ataques simples (Cambios en la

Configuración).

Ataques Mayores. (Robo de

Identidad)


• Las aplicaciónes por defecto son críticas.

• Pero…

• El 40% de las aplicaciónes WEB

continen vulnerabilidades de alto nivel

lo cual las hace propensas a ser

atacadas.

• 80%-96% son vulnerables a ataques

dedicados.

• 99% de las Aplicaciónes WEB no son

compatibles con PCI

Aplicaciónes. ¿Por que asegurarlas?

http://www.msnbc.msn.com/


Aplicaciónes. ¿Por que asegurarlas?

• Las vulnerabilidades más comunes

no son controladas por la

seguridad Perimetral.

• Cross-site scripting

• SQL injection

• Information Leakage

• HTTP Response Splitting

• Consecuencias de un ataque:

• Perdida de ingresos.

• Penalizaciónes por no cumplir con

regulaciónes de ley.

• Daño a la marca (Fidelidad).


¿Estamos Protegidos?


Un nuevo reto. Virtualización.


Equipos Físicos y Virtuales. Seguridad y alto rendimiento en equipos físicos para el perímetroVirtualización para Centro de Datos en zonas de seguridad.

Centros de Datos moviéndose a la Virtualización


Ambientes No Virtualizados.

Escritorio

Servidores

Servicios en la nube

SaaS

PaaS

laaS

Servicios Implementados en la Nube

Públicos

Privados

Comunidad

Hibridos

Éxito demostrado en entornos de seguridad virtual y en la nube. Apoyando a empresas y proveedores de servicios a ofrecer seguridad en modelos de negocio.

Redes Virtuales / Estrategias de Seguridad en la Nube


Puntos importantes de nuestros datos…

• Quien tiene el derecho de leer la Información.

• Quien tiene el derecho para realizar cambios.

• Que tán critica es la información.?

• Existen Datos Encriptados?

• Quien los respalda?

• Quien se asegura que los datos estendisponibles.?

• Que tan vulnerable esta ante un ataque.?

• Quienes son los administradores.?

• Cuales son esas amenazas?

• Quién está haciendo qué, dónde, cuándo y cómo?


Taller


Encontrando el foco del aplicativo.

1. Instalación


Configuraciónes de Reporteo.

1. Company Name: MundoContact_2011

2. Company Logo: MundoContactLogo.jpg


Notificaciónes vía Correo Electrónico.


Creación de un Nuevo Administrador.


Configurar la Base de Datos.(Oracle)

1. Ir a la opción Target Database Server Auto Discovery

2. Seleccionar la IP en la cual se encuentran las Bases de Datos.

3. Deseleccionar todas las Bases existentes excepto ORACLE:

4. Click en “Begin Discovery”

5. Se realizará una busqueda de Bases de Datos en la PC.


Establezcamos la Conexión con la Base. (Oracle)


Configuremos el Objetivo.

1. Seleccionamos la Base (ORACLE)

2. La Agregamos como “Objetivo”


Continuando con la Conexión (Oracle).

1. Ir a Target Databases Server Targets

2. Seleccionar la Base de Datos Encontrada. (ORACLE)

3. Llenar la siguiente Información:

1. General:

• DB Name: orcl

• User Name: system

• Password: fortidb1!$ (La que se uso en la instalación.)

2. Classification

• Location: México D.F

• Usage: Xtreme Team 2010

4. Test Connection

5. Save


Configure Database Connection (Oracle). (cont.)


Creating a new Assessment (cont.)


Running the Assessment


Viewing Assessment Results

1. Select created assessment

2. Go to Results tab

3. Select appropriate result from the list

4. Select appropriate target from the list

5. Review results

Summary Section

Detail Section


Viewing Assessment Results (cont.)


Vulnerability Assessment Dashboard

1. Go to Vulnerability Assessment Global Summary

2. Review dashboard


Generating Vulnerability Reports

1. Go to Reports Predefined VA Reports

2. Select Detailed Report

3. Select which assessment should be used for reporting

Assessment Name: Xtreme_Oracle_Assessment

Assessment Time: The least run

Target: Oracle DB

4. Scroll down and export the report as PDF

5. Take a moment to review generated report


Generating Vulnerability Reports (cont.)


Run the VA once more and generate a Trend Report

1. Run the assessment once again (you need at least three results

to generate a Trend Report)

2. Go to Reports and generate a new Trend Report. Select first

result as Report Start and the last one as Report End.


Run VA on All Databases

1. Edit Xtreme_Oracle_Assessment

2. Select Xtreme_DB group as Target

3. In Policies select:

• MySQL Policy Group

• Oracle Policy Group

• Pen Test Policy Group

• SQL Server Policy Group

4. Save it and Run it

5. Review results and generate reports


Creating Custom VA Policy


Creating Custom VA Policy (cont.)

• Name: Xtreme Vulnerability 1

• Database Type: Oracle

• SQL Query: “select ENAME, SAL from

SCOTT.EMP where SAL >= 3000

• Result Column Name(s): ENAME; SAL

• Result Column Label(s): Employee Name;

Salary

• Severity: Cautionary

• Classification: Unclassified

• Overview: Users with high salaries


Creating Custom VA Policy (cont.)


DAM – ORACLE NATIVE AUDIT (IN DATABASE)


Enable Native Audit in Oracle Database

• Connect to database using SQLPlus

• Execute:

SQL> conn sys/fortidb1!$ as sysdba ; (use password specified during

installation)

SQL> alter system set audit_trail=db_extended scope=spfile ; (enable

audit)

• Go to Windows Services and restart OracleServiceORCL


Enable Native Audit in Oracle Database


Configure Database Monitor in Oracle DB


Configure Database Monitor in Oracle DB (cont.)

1. Go to Data Activity Monitoring Monitors

2. Click on Oracle monitor and configure it as follow

Policy Groups:

• All Oracle Policies

• Metadata Policies

• Privilege Policies

• SYS Operations

General:

• Collection Method: DB, EXTENDED

• Polling Frequency: 60 seconds

3. Test Connection

4. Save


Configure Database Monitor in Oracle DB (cont.)


Off-topic: About DB Monitor Status

• Monitor is running and all enabled policies are being applied

• Monitor is not running

• Monitor is starting

• Monitor is stopping

• Monitor had failed to start (check monitor’s log)

• Monitor has been changed and a Reconfigure is necessary

to apply changes to database

• Monitor is running but there’re policies that couldn’t be

activated (check monitor’s log)


Generating Database Events

1. Connect to Oracle Database with SQLPlus

2. Create a new user and grant Database Administrator role

SQL> create user badguy identified by verybad ;

SQL> grant dba to badguy ;

3. Review Alerts pane and verify new events

4. Review event details


Generating Database Events (cont.)



1. Connect to Oracle Database with SQLPlus as badguy

2. Open all-oracle-act.sql file with Notepad, select all lines, copy

and paste them in SQLPlus console.

3. Review Alerts pane and verify new events

4. Review event details


¿Preguntas?


Contacto.






¡GRACIAS!

Taller Centros de Datos: la innovación irrumpe en sus estructuras y funcionalidad

Technology

Transcript of Taller Centros de Datos: la innovación irrumpe en sus estructuras y funcionalidad