Tecnologias de Seguridad Clases
-
Upload
anita-chamorro -
Category
Documents
-
view
152 -
download
1
Transcript of Tecnologias de Seguridad Clases
Por: Ing. Juan Herrera S., MSc.FACULTAD DE INGENIERÍA EN SISTEMAS INFORMATICOS Y DE COMPUTACION
TECNOLOGIAS DE SEGURIDAD
E-mail: [email protected]
ESCUELA POLITECNICA NACIONAL
Facultad de Ingeniería en Sistemas Informáticos
y de Computación
“TECNOLOGIAS DE SEGURIDAD”
Por: MSc. Juan Herrera, CISA
Septiembre 2010 - Febrero 2011
Por: Ing. Juan Herrera S., MSc.FACULTAD DE INGENIERÍA EN SISTEMAS INFORMATICOS Y DE COMPUTACION
TECNOLOGIAS DE SEGURIDAD
Objetivo
Brindar los conocimientos en las diferentes
tecnologías de seguridad, a nivel de
arquitecturas y aplicaciones, así como la
implantación de controles en infraestructuras
tecnológicas empresariales orientadas a la
protección de información.
Por: Ing. Juan Herrera S., MSc.FACULTAD DE INGENIERÍA EN SISTEMAS INFORMATICOS Y DE COMPUTACION
TECNOLOGIAS DE SEGURIDAD
Temario
Introducción y Definiciones Generales
Enfoque ISO 27001 y otras Metodologías
Gestión de Riesgos y su impacto en la Empresa
Gestión de Seguridad en la Empresa
Arquitecturas Tecnológicas – Seguridades
Sistemas de Seguridad Firewall
Encriptación de Información
Protocolos Seguros
Auditoría a la Seguridad en Infraestructura Tecnológica
Bibliografía
Por: Ing. Juan Herrera S., MSc.FACULTAD DE INGENIERÍA EN SISTEMAS INFORMATICOS Y DE COMPUTACION
TECNOLOGIAS DE SEGURIDAD
Introducción
y
Definiciones Generales
Por: Ing. Juan Herrera S., MSc.FACULTAD DE INGENIERÍA EN SISTEMAS INFORMATICOS Y DE COMPUTACION
TECNOLOGIAS DE SEGURIDAD
Seguridad de la Información:
Seguridad de la información es
determinar qué requiere ser protegido y
por qué, de qué debe ser protegido y
cómo protegerlo.
INTRODUCCION
Por: Ing. Juan Herrera S., MSc.FACULTAD DE INGENIERÍA EN SISTEMAS INFORMATICOS Y DE COMPUTACION
TECNOLOGIAS DE SEGURIDAD
HACKER:
Aquellas personas, apasionadas de la informática que disfrutan intentando acceder a otros
ordenadores, burlando la seguridad de los sistemas; cuanto mas difícil y mas complejo sea
el acceso, mayor será el reto.
El fin de los hackers es aprender y divertirse, por lo que es frecuente que una vez
conseguido el acceso lo comuniquen a la persona correspondiente, para
que los sistemas de seguridad sean mejorados y así tener una meta más difícil.
CRACKER:
Es una persona que rompe la seguridad de los sistemas persiguiendo un objetivo ilícito,
suelen tener ideales políticos o filosóficos, o bien se mueven por arrogancia, orgullo,
egoísmo, ambición.
Un cracker actúa del mismo modo que un hacker, pero una vez que logra ingresar al sistema
no se da por satisfecho, sino que le hace “crac”, es decir, lo quiebra. Sus hazañas típicas
son la copia de información confidencial, movimientos de pequeñas sumas de dinero y
compras a nombre de otros.
Están ligados también a la piratería, al permitir que las compañías utilicen demos de ciertas
aplicaciones como si tuvieran la licencia de las mismas.
DEFINICIONES GENERALES
Por: Ing. Juan Herrera S., MSc.FACULTAD DE INGENIERÍA EN SISTEMAS INFORMATICOS Y DE COMPUTACION
TECNOLOGIAS DE SEGURIDAD
PHREACKER:
Personas que intentan usar la tecnología para explorar y/o controlar los sistemas
telefónicos.
Originalmente, este término se refería a los usuarios de las conocidas "blue boxes"
(dispositivos electrónicos que permitían realizar llamadas gratuitamente).
Ahora bien, como en la actualidad las compañías telefónicas utilizan sistemas digitales en
lugar de electromecánicos, los phreakers han pasado a utilizar muchas de las técnicas de los
hackers.
DEFINICIONES GENERALES
Por: Ing. Juan Herrera S., MSc.FACULTAD DE INGENIERÍA EN SISTEMAS INFORMATICOS Y DE COMPUTACION
TECNOLOGIAS DE SEGURIDAD
Pérdida, robo de la información crítica de la
organización en cualquier tipo de soporte
Uso inapropiado del email y del Internet por los
empleados
Catástrofes y contingencias imprevistas
INTRODUCCION
Qué está sucediendo?
Por: Ing. Juan Herrera S., MSc.FACULTAD DE INGENIERÍA EN SISTEMAS INFORMATICOS Y DE COMPUTACION
TECNOLOGIAS DE SEGURIDAD
El número de ataques anuales a sistemas de información
se ha duplicado.
Grandes compañías multinacionales perdieron U$S 11.5
millones en un año sólo por el robo de información
propietaria.
Las mismas empresas reportaron pérdidas por U$S 55
millones en un año sólo por incidentes con virus
informáticos.
El 47% de las empresas manifestó haber tenido
incidentes de seguridad informática en el último año.
Los ataques dejaron un 48% de las aplicaciones de
negocios no disponibles.
Algunas estadísticas…
Fuente: Computer Security Institue, InformationWeek, FBI.
Por: Ing. Juan Herrera S., MSc.FACULTAD DE INGENIERÍA EN SISTEMAS INFORMATICOS Y DE COMPUTACION
TECNOLOGIAS DE SEGURIDAD
Algunos ataques….
Robert Thomas MorrisEl 3 de noviembre de 1988, equipos como VAX y SUN conectados al Internet se
vieron afectados en su rendimiento y posteriormente se paralizaron. Se vieron
afectados Bancos, Universidades e instituciones de gobierno, la causa fue un
GUSANO, desarrollado por Morris,
Morris recién graduado en Computer Science en la Universidad de Cornell.
Se estimó que en 90 minutos, el gusano logró infectar 6 000 equipos alrededor del
mundo originando pérdidas entre 100.000 a 10.000.000.
Phreacker
Kevin Poulse pasó a la fama al ganarse un Porsche, claro, de manera ilícita.
La estación de Radio KII-FM en los Angeles, celebró un aniversario organizando un
concurso, el cual consistía en que la llamada número 102 que entrara a la Radio,
sería la ganadora del Porsche 944 S2, Kevin había phreackeado la central telefónica
de “Pacific Bell” de tal forma que aseguró que su llamada fuese la 102.
Por: Ing. Juan Herrera S., MSc.FACULTAD DE INGENIERÍA EN SISTEMAS INFORMATICOS Y DE COMPUTACION
TECNOLOGIAS DE SEGURIDAD
Algunos ataques….
Kevin David MitnickEs quizás el más famoso hackers de los últimos tiempos. descubrió y reveló información de alta seguridad perteneciente al FBI, incluyendo cintas del
consulado de Israel en Los Ángeles.
Fue capturado en 1995 y liberado en el 2000, después de permanecer casi 5 años en un prisión federal.
Le costó al estado norteamericano y a empresas privadas, millones de dólares al ser objeto de hurto de su software, información y alteración de los datos de las mismas. (unas de sus víctimas Motorola, Novell, Nokia y Sun Microsystems, el FBI, el Pentágono y la Universidad de Southern California).
Cracker
Vladimir Levin graduado en matemáticas de la Universidad Tecnológica de San Petesburgo, Rusia, fue acusado y preso por la Interpol después de meses de investigación por ser la mente maestra de una serie de fraudes tecnológicos que le permitieron a él y la banda que conformaba, substraer más de 10 millones de dólares, de cuentas corporativas del Citibank. fue sentenciado a 3 años de prisión y a pagar la suma de US $ 240,015.
Los técnicos tuvieron que mejorar sus sistemas de seguridad contra "crackers" y Vladimir Levin ahora se encuentra en libertad.
Por: Ing. Juan Herrera S., MSc.FACULTAD DE INGENIERÍA EN SISTEMAS INFORMATICOS Y DE COMPUTACION
TECNOLOGIAS DE SEGURIDAD
Cuáles son las amenazas?
Por: Ing. Juan Herrera S., MSc.FACULTAD DE INGENIERÍA EN SISTEMAS INFORMATICOS Y DE COMPUTACION
TECNOLOGIAS DE SEGURIDAD
Qué hacemos ? ….
Por: Ing. Juan Herrera S., MSc.FACULTAD DE INGENIERÍA EN SISTEMAS INFORMATICOS Y DE COMPUTACION
TECNOLOGIAS DE SEGURIDAD
Implementar controles …
Antivirus
Firewall
Detectores de Intrusos
Antispam
Criptografía
Sitios seguros (SSL)
Sistemas anti – incendios
Alarmas
Por: Ing. Juan Herrera S., MSc.FACULTAD DE INGENIERÍA EN SISTEMAS INFORMATICOS Y DE COMPUTACION
TECNOLOGIAS DE SEGURIDAD
Nos hemos preocupado por una Política de
Seguridad
Por clasificar la información crítica del negocio
Perfiles de usuario y acceso a la información al
interior de la organización
Analizar los riesgos antes de implementar
controles ….
…esto no es todo ..
Por: Ing. Juan Herrera S., MSc.FACULTAD DE INGENIERÍA EN SISTEMAS INFORMATICOS Y DE COMPUTACION
TECNOLOGIAS DE SEGURIDAD
Qué es Riesgo?
AMENAZA: Un evento que puede crear situaciones de
incertidumbre
Percepción de la posibilidad de ocurrencia de algún
hecho dañino sobre recursos
RIESGO: La incertidumbre de alcanzar un objetivo
La posibilidad de que una amenaza afecte
negativamente la habilidad de un ente para alcanzar su objetivo
Situación adversa en la cual existe la posibilidad de
una desviación con respecto a un resultado esperado
Por: Ing. Juan Herrera S., MSc.FACULTAD DE INGENIERÍA EN SISTEMAS INFORMATICOS Y DE COMPUTACION
TECNOLOGIAS DE SEGURIDAD
El problema
Las organizaciones han carecido de una aproximación sistemática e integrada a la seguridad y la administración del riesgo en el diseño e implantación de soluciones de negocio.
1. Programas de Seguridad inadecuados
El interés en indicadores de seguridad conduce a mejoras en el cumplimiento, gobernabilidad, ROI y administración del portafolio, sin embargo, las soluciones de seguridad siguen siendo reactivas y se enfocan en la tecnología.
2. Las expectativas de Seguridad y los entregables están desconectados
… que relacione a la organización, la tecnología y la seguridad física y administrativa en una estrategia que combine arquitectura TI, necesidad de procesos y negocios, requerimientos legales y diseño de escenarios de amenaza.
3. La Seguridad requiere una aproximación integrada . . .
La seguridad ha llegado a ser un aspecto crítico en cada solución de negocios
Por: Ing. Juan Herrera S., MSc.FACULTAD DE INGENIERÍA EN SISTEMAS INFORMATICOS Y DE COMPUTACION
TECNOLOGIAS DE SEGURIDAD
Asumir el
Riesgo:
Aceptar el
riesgo y
continuar
operando tal
como se ha
estado
haciendo
Eliminar
(evitar) el
Riesgo:
Eliminar la
causa de éste
(ej. sacar de
producción un
activo)
Transferir el
Riesgo:
Usar opciones
que
compensen la
pérdida (ej.
Adquirir pólizas
de seguros)
Mitigar el Riesgo:
Implementar
controles que
reduzcan la
probabilidad de la
amenaza
Por: Ing. Juan Herrera S., MSc.FACULTAD DE INGENIERÍA EN SISTEMAS INFORMATICOS Y DE COMPUTACION
TECNOLOGIAS DE SEGURIDAD
EXPLOTA VULNERABILIDADES
EXPONEN
ACTIVOS
TIENEN
TASACIÓN
RiesgoREDUCEN
AMENAZAS
PROTEGEN
CONTRA
CONTROLES
ALCANZADOS POR
REQUERIMIENTOS
DE SEGURIDAD
IMPACTO EN LA ORGANIZACIÓN
Por: Ing. Juan Herrera S., MSc.FACULTAD DE INGENIERÍA EN SISTEMAS INFORMATICOS Y DE COMPUTACION
TECNOLOGIAS DE SEGURIDAD
Factores a considerar al seleccionar
los controles
Impacto operacional
Política organizacional
Seguridad y confiabilidad
Legislación y regulaciones
Efectividad
Análisis
costo-beneficio
Por: Ing. Juan Herrera S., MSc.FACULTAD DE INGENIERÍA EN SISTEMAS INFORMATICOS Y DE COMPUTACION
TECNOLOGIAS DE SEGURIDAD
Cómo nos defendemos?
Por: Ing. Juan Herrera S., MSc.FACULTAD DE INGENIERÍA EN SISTEMAS INFORMATICOS Y DE COMPUTACION
TECNOLOGIAS DE SEGURIDAD
Política de Seguridad?
Clasificación de la información?
Perfiles de usuario?
Pensamos en …
Por: Ing. Juan Herrera S., MSc.FACULTAD DE INGENIERÍA EN SISTEMAS INFORMATICOS Y DE COMPUTACION
TECNOLOGIAS DE SEGURIDAD
Analizar los riesgos
Identificar los controles
Seguridad significa tener controles
Qué controles implementar?
Basado en un análisis de riesgos – auditoría
Procesos (COBIT)
Aplicaciones
Por: Ing. Juan Herrera S., MSc.FACULTAD DE INGENIERÍA EN SISTEMAS INFORMATICOS Y DE COMPUTACION
TECNOLOGIAS DE SEGURIDAD
Enfoque ISO 27001
y
otras Metodologías
Por: Ing. Juan Herrera S., MSc.FACULTAD DE INGENIERÍA EN SISTEMAS INFORMATICOS Y DE COMPUTACION
TECNOLOGIAS DE SEGURIDAD
Norma ISO Seguridad de la Información
ISO 17799:2005
Es un conjunto de buenas prácticas en seguridad de
la información. Contiene 133 controles distribuidos en
11 dominios
Qué estándares pueden
utilizarse?
Por: Ing. Juan Herrera S., MSc.FACULTAD DE INGENIERÍA EN SISTEMAS INFORMATICOS Y DE COMPUTACION
TECNOLOGIAS DE SEGURIDAD
Evolución del estándar
1995-1998
BS7799 Parte 1Código de buenas prácticasBS7799 Parte 2Especificación de SGSI
1999
BS7799-1:1999BS7799-2:1999Revisión de la parte 1 y la parte 2
2000
ISO/IEC 17799:2000Parte 1 se adoptacomo ISO
Octubre 2005
ISO/IEC 27001Parte 2 se adopta como ISO
Junio 2005
ISO/IEC 17799:2005Revisión de la ISO 17799
2002
BS7799-2:2002Revisión de la parte 2
Por: Ing. Juan Herrera S., MSc.FACULTAD DE INGENIERÍA EN SISTEMAS INFORMATICOS Y DE COMPUTACION
TECNOLOGIAS DE SEGURIDAD
ISO:27001 - Objetivos de Control y Controles
AREAS DE CONTROL
OBJETIVOS DE
CONTROL CONTROLES
5 Política de seguridad 1 2
6
Organización de la seguridad de la
información 2 11
7 Gestión de activos 2 5
8 Seguridad de los recursos humanos 3 9
9 Seguridad física y ambiental 2 13
10 Gestión de comunicaciones y operaciones 10 32
11 Control de acceso 7 25
12
Sistemas de información: adquisición,
desarrollo y mantenimiento 6 16
13
Gestión de incidentes de seguridad de la
información 2 5
14 Gestión de la continuidad del negocio 1 5
15 Cumplimiento 3 10
TOTAL: 11 39 133
Por: Ing. Juan Herrera S., MSc.FACULTAD DE INGENIERÍA EN SISTEMAS INFORMATICOS Y DE COMPUTACION
TECNOLOGIAS DE SEGURIDAD
ISO17799:2005, código de buenas prácticas
ISO27001, cómo implementar el SGSI,
certificable
COBIT
ITIL
OCTAVE
Por: Ing. Juan Herrera S., MSc.FACULTAD DE INGENIERÍA EN SISTEMAS INFORMATICOS Y DE COMPUTACION
TECNOLOGIAS DE SEGURIDAD
Otras mejores prácticas, procedimientos y guías
Qué
Cómo
ITIL
CobiT
ISF
Best Practices
ISO27001
Security
Por: Ing. Juan Herrera S., MSc.FACULTAD DE INGENIERÍA EN SISTEMAS INFORMATICOS Y DE COMPUTACION
TECNOLOGIAS DE SEGURIDAD
Gestión de Riesgos y su impacto en la
Empresa
IBM Global Services
IBM Global Services | Confidential © 2004 IBM Corporation
El entorno del negocio
Capacidad de advertir y
responder a los cambios
dinámicos en:
– Demanda
– Competencia
–Proveedores y socios
Integrar procesos dentro y
fuera de la empresa
Estructura de costos
variables y procesos
flexibles que permiten:
– Reducir el riesgo
– Mayor
productividad
– Previsibilidad
financiera
– Eficiencia de
capital
– Control de costos
Necesidad de enfocarse
en competencias
centrales, tareas y
activos diferenciadores
Sus socios estratégicos
integrados administran
tareas seleccionadas
en todas las áreas de
la empresa
Manejo de cambios y
amenazas (desde virus
hasta catástrofes
naturales) con niveles
uniformes de
disponibilidad y
seguridad
Procesos y necesidades
Agilidad Variabilidad Foco ResilienciaAdaptibilidad
IBM Global Services
IBM Global Services | Confidential © 2004 IBM Corporation
Captura de PC desde el exterior
Violación de e-mailsViolación de contraseñas
Interrupción de los servicios
Intercepción y modificación de e-mails
VirusFraudes informáticos
Incumplimiento de leyes y regulaciones
Robo o extravío de notebooks
empleados deshonestos
Robo de información
Destrucción de soportes documentales
Acceso clandestino a redes
Intercepción de comunicaciones
Destrucción de equipamiento
Programas “bomba”
Acceso indebido a documentos impresos
Software ilegal
Agujeros de seguridad de redes conectadas
Falsificación de información para terceros
Indisponibilidad de información clave
Spamming
Violación de la privacidad de los empleados
Ingeniería social
Principales Riesgos
IBM Global Services
IBM Global Services | Confidential © 2004 IBM Corporation
Password cracking
Man in the middle Exploits
Denegación de servicio
Escalamiento de privilegios
Replay attackKeylogging
Port scanning
Instalaciones
default
Puertos vulnerables abiertos
Servicios de log inexistentes o que no son chequeados
Desactualización
Backups inexistentesÚltimos parches no instalados
Principales Riesgos
IBM Global Services
IBM Global Services | Confidential © 2004 IBM Corporation
Desde cualquier PC fuera de la Compañía se puede tomar control decualquier PC dentro de la Compañía.
Alguien puede mandar e-mails en nombre de otro.
En minutos, cualquier usuario puede conocer las contraseñas.
Los e-mails y documentos pueden ser “consultados y modificados” encualquier punto de la red.
Cualquier usuario puede infectar con virus la red de la Compañía.
La mayor parte de los fraudes son a través del uso de los sistemas.
Cualquier hacker puede dejar los sistemas sin servicios.
Una compañía puede ser enjuiciada por incumplimiento de leyes yreglamentaciones (Habeas Data, Propiedad Intelectual).
Principales riesgos y el impacto en los negocios
IBM Global Services
IBM Global Services | Confidential © 2004 IBM Corporation
Se pueden robar o extraviar computadoras portátiles coninformación crítica.
Se puede acceder indebidamente a las redes a través de Internet ovía MODEM.
Las comunicaciones satelitales pueden ser interceptadas.
Los equipos informáticos pueden sufrir caídas o destrucciones.
Ciertos programadores pueden desarrollar programas tipo“bomba”.
Pueden existir programas tipo “troyanos” para capturarinformación sensitiva.
Puede haber “escuchas” de comunicaciones telefónicas de voz y dedatos.
Principales riesgos y el impacto en los negocios
IBM Global Services
IBM Global Services | Confidential © 2004 IBM Corporation
Los comprobantes legalmente requeridos pueden no estardisponibles.
La información impresa puede ser copiada.
En los sistemas de la Compañía se mantiene información noapropiada.
En los equipos puede haber software no licenciado.
La propiedad de la información y desarrollo a favor de laCompañía puede no estar asegurada.
El personal contratado puede no tener los mismos niveles deseguridad en sus equipos.
Algunos empleados y terceros pueden no mantener contratos deconfidencialidad.
Principales riesgos y el impacto en los negocios
IBM Global Services
IBM Global Services | Confidential © 2004 IBM Corporation
Los soportes de la información pueden ser robados o destruidos.
Se puede distribuir información alterada a socios, accionistas,auditores y entes de contralor.
Se puede no disponer de la información en el momento adecuado.
Puede haber envíos de mails “anónimos” con información críticao con agresiones.
Se pueden distribuir datos que atenten contra la privacidad de losempleados.
Se puede obtener la documentación impresa de la basura.
Alguien puede acceder a la información no recogida de lasimpresoras.
Principales riesgos y el impacto en los negocios
IBM Global Services
IBM Global Services | Confidential © 2004 IBM Corporation
Gestión del riesgo
Estrategia y
diseño de
Infraestructura
de IT
Análisis, diseño e
implementación de la
infraestructura de IT
Alta
Disponibilidad
Tecnología y procesos
para mejorar la
disponibilidad de la
información
Recuperación
de IT
Recuperación de
componentes de la
infraestructura de IT
Seguridad de
la Información
Seguridad y
Privacidad de
los activos de
información y
físicos
Continuidad
de Negocio
La confianza
de que la
operación
normal de
negocio puede
continuar en
caso un
incidente
Administración
integrada de
Riesgos
Administración
integral de
Riesgos.
Selección de
Controles.
Modelo de
gobierno.
Por: Ing. Juan Herrera S., MSc.FACULTAD DE INGENIERÍA EN SISTEMAS INFORMATICOS Y DE COMPUTACION
TECNOLOGIAS DE SEGURIDAD
La información, y la infraestructura.
Activo vital en cualquier organización.
a) Confidencialidad: Consiste en proteger la información de acceso
no autorizado así como también evitar su
intercepción al momento de transmitirla.
b) Integridad: Implica el garantizar que la información es
precisa y se encuentra completa.
c) Disponibilidad:Asegura que la información pueda ser utilizada
por usuarios autorizados en el momento que sea
requerida.
Disponibilidad
Objetivos de
Seguridad
Integridad Confidencialidad
Por: Ing. Juan Herrera S., MSc.FACULTAD DE INGENIERÍA EN SISTEMAS INFORMATICOS Y DE COMPUTACION
TECNOLOGIAS DE SEGURIDAD
Seguridad: Principales preocupaciones de
las empresas
Presiones internas para realizar ROI de las inversiones en seguridad.
Falta de recursos calificados en seguridad y difícil retención
Rápido incremento de las amenazas internas y externas a la organización
Necesidad de cumplir con regulaciones externas (Sarbanes Oaxley, ISO 27001,etc)
Convergencia de la seguridad física y seguridad lógica.
Por: Ing. Juan Herrera S., MSc.FACULTAD DE INGENIERÍA EN SISTEMAS INFORMATICOS Y DE COMPUTACION
TECNOLOGIAS DE SEGURIDAD
Resulta sorprendente el poco conocimiento necesario
para causar cada vez mayores daños
Complejidad
de los
métodos
Armado de paquetes/ Spoofing
Técnicas de
Diccionario
Código Auto
Replicado Password
Cracking
Acceso vía
vulnerabilidad
conocida
Borrado de
rastros
Back
Doors
Scanners
Sniffers
Diagnóstico Silencioso
Conocimiento
necesario
Alto
Bajo
DDOS
Worms
Por: Ing. Juan Herrera S., MSc.FACULTAD DE INGENIERÍA EN SISTEMAS INFORMATICOS Y DE COMPUTACION
TECNOLOGIAS DE SEGURIDAD
Por: Ing. Juan Herrera S., MSc.FACULTAD DE INGENIERÍA EN SISTEMAS INFORMATICOS Y DE COMPUTACION
TECNOLOGIAS DE SEGURIDAD
Por: Ing. Juan Herrera S., MSc.FACULTAD DE INGENIERÍA EN SISTEMAS INFORMATICOS Y DE COMPUTACION
TECNOLOGIAS DE SEGURIDAD
Por: Ing. Juan Herrera S., MSc.FACULTAD DE INGENIERÍA EN SISTEMAS INFORMATICOS Y DE COMPUTACION
TECNOLOGIAS DE SEGURIDAD
Por: Ing. Juan Herrera S., MSc.FACULTAD DE INGENIERÍA EN SISTEMAS INFORMATICOS Y DE COMPUTACION
TECNOLOGIAS DE SEGURIDAD
http://www.cert.org/stats/
Por: Ing. Juan Herrera S., MSc.FACULTAD DE INGENIERÍA EN SISTEMAS INFORMATICOS Y DE COMPUTACION
TECNOLOGIAS DE SEGURIDAD
Operational Level
Process Level
Application Level
Infrastructure Level
Organización
Procesos
Aplicaciones
Infraestructura
Por: Ing. Juan Herrera S., MSc.FACULTAD DE INGENIERÍA EN SISTEMAS INFORMATICOS Y DE COMPUTACION
TECNOLOGIAS DE SEGURIDAD
Seguridad Lógica vs. Seguridad Física
Seguridad Lógica – protección de datos, aplicaciones, sistemas y redes
Seguridad en redes (amenazas, virus, gusanos, hackers)
Seguridad en aplicaciones
Administración de identidades
Encripción
Seguridad Física – protección de personas y propiedades
Control de accesos
Seguridad perimetral
Sistemas de autenticación de empleados
Control de incendios
Vigilancia
Por: Ing. Juan Herrera S., MSc.FACULTAD DE INGENIERÍA EN SISTEMAS INFORMATICOS Y DE COMPUTACION
TECNOLOGIAS DE SEGURIDAD
Gestión de Seguridad en la Empresa
Por: Ing. Juan Herrera S., MSc.FACULTAD DE INGENIERÍA EN SISTEMAS INFORMATICOS Y DE COMPUTACION
TECNOLOGIAS DE SEGURIDAD
Enfoque tradicional de seguridad
Seguridad en Infraestructura de IT
Seguridad en Infraestructura
Firewalls. Antivirus. Detección de intrusos
Seguridad en Aplicaciones
Control de accesos. Encripción de datos.
Mecanismos de autenticación
Seguridad enAplicaciones
Adm. de Seguridad
Implementación de políticas, estándares y
procedimientos. Campañas de
concientización
Administración de Seguridad
Seguridad Física
Seguridad perimetral. Controles de accesos.
Video Vigilancia
Detección de alertas
Seguridad Física
Adm. Riesgos
Administración deRiesgos
Administración de Riesgos. Selección de controles. Modelo de
Gobierno
Datos y Activos corporativosInformación, PCs, Servers, Personas
Seguridad Lógica
IBM Global Services
IBM Global Services | Confidential © 2004 IBM Corporation
Integración de las capas de seguridad física y lógica
Access Control
• Sistemas y Aplicaciones
• Edificios, Datacenters, ..
• Identificación en Redes
• Accesos a workstations
• Biometría y smartcads
Vigilancia
• Vigilancia digital
• Seguimiento de Activos
• Detección de Intrusos
Facilidades & IT Mgmt
• Operación de Data centers
• Redes de voz y datos
• Procesos de control
• Control de incendios
Plataforma de Integración de Seguridad(Tableros de control, Networking, Correlación, Integración)
HR
ERP
Supply Chain
CRM
Sistemas
Financieros
Reducir costos administrativos
Reutilizar la infraestructura de IT existente
Correlacionar alertas de seguridad física y lógica
Foco en Biometría y Vigilancia Digital
IBM Global Services
IBM Global Services | Confidential © 2004 IBM Corporation
Punto de vista de seguridad Corporativa
Estrategia de negocio
• Framework de Administración de Riesgos• Selección de Controles de Seguridad• Selección del modelo de Gobierno
• Desarrollo de políticas, estándares y procedimientos
Administración de Riesgos
Customer Approach
Transformation
Infraestructura
• Antivirus• Firewall• Biometria• Smart Cards
• VPN• Detección de intrusos• Recuperación
• Hardware de encripción• Arquitecturas Seguras
• Vigilancia Digital• Control de accesos físicos• Seguridad física en Data-Centers
Seguridad Física y de IT
Aplicaciones de Negocio
• Single Sign-on• Certificados digitales• Firmas digitales
• Encripción de datos• Asignación de responsabilidades de Seguridad• Meta-directorios
• Control de accesos• Autenticación• Adm. segura de contenidos
Seguridad en Aplicaciones
Procesos de negocio y operación
• Implementación de Políticas• Implementación de modelo de Gobierno• Campaña de concientización de seguridad• Arquitectura Corporativa de Seguridad
• Centralizar operaciones de Seguridad
• Adm. de la privacidad• Adm. de Activos
Administración de Seguridad
Por: Ing. Juan Herrera S., MSc.FACULTAD DE INGENIERÍA EN SISTEMAS INFORMATICOS Y DE COMPUTACION
TECNOLOGIAS DE SEGURIDAD
DIAGNÓSTICO
Y
EVALUACIÓN
IMPLANTACIÓN
DISEÑO
OPERACIÓN
10%
20%
50%
20%
ADMINISTRACIÓN
CENTRALIZADA
DE SEGURIDAD
RIESGOS Y
OBJETIVOS
DE CONTROL
MONITOREO
Y
AUDITORÍA
CAPACITACIÓN
DE GERENCIA
Y USUARIOS
POL. - NORMAS
PROC. - EST.
HERRAM.
ESTE GRÁFICO REPRESENTA EL PROCESO CONTINUO
DE LA SEGURIDAD EN UNA COMPAÑIA
Esquema de trabajo de la seguridad informática
Por: Ing. Juan Herrera S., MSc.FACULTAD DE INGENIERÍA EN SISTEMAS INFORMATICOS Y DE COMPUTACION
TECNOLOGIAS DE SEGURIDAD
Mi negocio
Entorno legales Fraudes
Competencia
Crimen Organizado
Amenazas
internas
Hackers
Virus
Ataques deliberados Desastres naturalesAccidentes
Errores humanos
Por: Ing. Juan Herrera S., MSc.FACULTAD DE INGENIERÍA EN SISTEMAS INFORMATICOS Y DE COMPUTACION
TECNOLOGIAS DE SEGURIDAD
Evaluación de Seguridad y Programa
Corporativo de Seguridad
Tiempo
Nivel de
seguridad
inicial
Nivel de
seguridad
deseado
• Identificación de fortalezas y
debilidades
• Recomendaciones de mejora
• Plan estratégico de Seguridad
Niv
el d
e s
eg
uri
da
d
Fase I
Fase II
Por: Ing. Juan Herrera S., MSc.FACULTAD DE INGENIERÍA EN SISTEMAS INFORMATICOS Y DE COMPUTACION
TECNOLOGIAS DE SEGURIDAD
Tiempo
Nivel de
seguridad
inicial
• Identificación de fortalezas y
debilidades
• Recomendaciones de mejora
• Plan estratégico de Seguridad
Niv
el d
e s
eg
uri
da
d
Fase I
Por: Ing. Juan Herrera S., MSc.FACULTAD DE INGENIERÍA EN SISTEMAS INFORMATICOS Y DE COMPUTACION
TECNOLOGIAS DE SEGURIDAD
El plano de procesos de
negocio representa todos los
procesos necesarios para
soportar los objetivos de
negocio.
El plano de organización
representa a los grupos de
usuarios, sus roles y
responsabilidades
necesarios para soportar el
plano de los procesos.
El plano de soluciones
representa los elementos de
TI utilizados para soportar
tanto a los procesos como a
los usuarios (aplicaciones).
El plano de infraestructura
representa los elementos
tecnológicos utilizados para
soportar el plano de
soluciones.
Por: Ing. Juan Herrera S., MSc.FACULTAD DE INGENIERÍA EN SISTEMAS INFORMATICOS Y DE COMPUTACION
TECNOLOGIAS DE SEGURIDAD
Las vulnerabilidades encontradas (Evaluación de Seguridad,
Evaluación Técnica de Red e Infraestructura) son priorizadas de
acuerdo con su impacto y probabilidad de ocurrencia.
Severidad
Probabilidad
1
2
3
4
5
12345
A
B
C
E
D
F
Vu
lne
rab
ilida
des
Por: Ing. Juan Herrera S., MSc.FACULTAD DE INGENIERÍA EN SISTEMAS INFORMATICOS Y DE COMPUTACION
TECNOLOGIAS DE SEGURIDAD
Tiempo
Nivel de
seguridad
deseado
Niv
el d
e s
eg
uri
da
d
Fase II
Por: Ing. Juan Herrera S., MSc.FACULTAD DE INGENIERÍA EN SISTEMAS INFORMATICOS Y DE COMPUTACION
TECNOLOGIAS DE SEGURIDAD
1. Evalúe las políticas de seguridad empresariales y audítelas por lo menos dos
veces al año.
2. Evalúe la seguridad y compárela regularmente con sus requerimientos y
estrategias de negocio.
3. Cree un programa de conciencia de seguridad a lo largo de toda la compañía.
4. El jefe al mando de la seguridad debe estar fuera del área de tecnología.
5. Automatice la administración y auditoria de seguridades y actualizaciones en
todos los equipos de los usuarios.
6. Ponga Foco en los procesos, aplicaciones e infraestructura. No solamente en la
tecnología.
7. Considere autenticaciones fuertes para el reemplazo de claves de acceso.
8. Pruebe constantemente sus planes de continuidad de negocio.
Por: Ing. Juan Herrera S., MSc.FACULTAD DE INGENIERÍA EN SISTEMAS INFORMATICOS Y DE COMPUTACION
TECNOLOGIAS DE SEGURIDAD
1. El peligro es real. Y ocurre.
2. No hay una varita mágica para resolver los problemas se requiereactitud.
3. El peor enemigo es la falta de proactividad ante el conocimiento delpeligro y no poner foco a la búsqueda de la solución.
4. La seguridad NO es un reto para el área tecnológica. Es un retopara todo el negocio.
5. La seguridad empresarial es una inversión para la empresa. No ungasto
Por: Ing. Juan Herrera S., MSc.FACULTAD DE INGENIERÍA EN SISTEMAS INFORMATICOS Y DE COMPUTACION
TECNOLOGIAS DE SEGURIDAD
Arquitecturas Tecnológicas -
Seguridades
Por: Ing. Juan Herrera S., MSc.FACULTAD DE INGENIERÍA EN SISTEMAS INFORMATICOS Y DE COMPUTACION
TECNOLOGIAS DE SEGURIDAD
APLICACIONES DE NEGOCIO Y FINANCIERAS
HARDWARE Y COMUNICACIONES
SISTEMA OPERATIVO DE RED
SERVICIOS DE INTERNET
SERVICIOS DE RED
CONFIGURACIONES DE SEGURIDAD
BASE DE DATOS
Aspectos a ser Evaluados
Seguridades en Infraestructura Tecnológica
Por: Ing. Juan Herrera S., MSc.FACULTAD DE INGENIERÍA EN SISTEMAS INFORMATICOS Y DE COMPUTACION
TECNOLOGIAS DE SEGURIDAD
Protección contra hackers y ataques en la Red
•RAS
•Web -http://
Evaluación de Servicios de Red
Almacenamiento•Archivos y Directorios•Patches•Hot Fix
Esquema de Seguridad Base
- Parámetros de Contraseñas:•Longitud mínima•Caducidad•Histórico•Bloqueo ante intentos fallidos•Encriptación
- Nivel de seguridad del SistemaOperativo
- Parámetros de configuración delSistema Operativo
- Otros
•Telnet
•FTP
•NFS
•SNMP
•SMTP
•Internet
•Proxy
•Firewall
•IPS
Seguridades en Infraestructura Tecnológica
Por: Ing. Juan Herrera S., MSc.FACULTAD DE INGENIERÍA EN SISTEMAS INFORMATICOS Y DE COMPUTACION
TECNOLOGIAS DE SEGURIDAD
Seguridad Cliente/Servidor
• Riesgos en Cliente / Servidor
Los controles de acceso pueden ser débiles en un
ambiente cliente-servidor
Los procedimientos de administración y control de
cambios
La pérdida de la disponibilidad de la red puede tener un
serio impacto sobre el negocio o sus servicios
Obsolecencia de los componentes de la red
El uso de modems que conectan la red a otras redes
Seguridades en Infraestructura Tecnológica
Por: Ing. Juan Herrera S., MSc.FACULTAD DE INGENIERÍA EN SISTEMAS INFORMATICOS Y DE COMPUTACION
TECNOLOGIAS DE SEGURIDAD
Seguridad Cliente/Servidor
• Riesgos en Cliente / Servidor
La conexión de la red a redes telefónicas interconectadas
puede ser débil
Cambios a los sistemas o datos
Acceso a datos confidenciales y modificación de datos sin
autorización
El código de la aplicación y los datos no pueden ser
localizados en una sola máquina ubicada en un centro de
cómputo asegurado, como ocurre con los mainframes.
Seguridades en Infraestructura Tecnológica
Por: Ing. Juan Herrera S., MSc.FACULTAD DE INGENIERÍA EN SISTEMAS INFORMATICOS Y DE COMPUTACION
TECNOLOGIAS DE SEGURIDAD
Seguridad Cliente/Servidor
• Técnicas de control implementadas
Acceso seguro a los datos o a la aplicación
Uso de dispositivos de monitoreo de red
Técnicas de encripción de datos
Sistemas de autenticación
Uso de programas de control de acceso a nivel
de la aplicación
Seguridades en Infraestructura Tecnológica
Por: Ing. Juan Herrera S., MSc.FACULTAD DE INGENIERÍA EN SISTEMAS INFORMATICOS Y DE COMPUTACION
TECNOLOGIAS DE SEGURIDAD
Amenazas de Seguridad Inalámbrica
y Mitigación de Riesgos
Categorías: Errores y Omisiones
Fraude y Robo
Sabotaje por empleados
Pérdida de soporte físico e infraestructura
Hackers maliciosos (Crackers)
Espionaje industrial
Código malicioso
Espionaje de gobierno extranjero
Amenazas a la privacidad personal
Seguridades en Infraestructura Tecnológica
Por: Ing. Juan Herrera S., MSc.FACULTAD DE INGENIERÍA EN SISTEMAS INFORMATICOS Y DE COMPUTACION
TECNOLOGIAS DE SEGURIDAD
Accesos a dispositivos inalámbricos:
War Driving (escaneo en auto)
War Walking (escaneo a pie)
War Chalking (marcación en aceras
y paredes de puntos de acceso inalámbrico)
Seguridades en Infraestructura Tecnológica
Amenazas de Seguridad Inalámbrica
y Mitigación de Riesgos
Por: Ing. Juan Herrera S., MSc.FACULTAD DE INGENIERÍA EN SISTEMAS INFORMATICOS Y DE COMPUTACION
TECNOLOGIAS DE SEGURIDAD
Amenazas y Seguridad de Internet
• Ataques pasivos• Análisis de red• Fisgoneo• Análisis de tráfico
• Ataques activos• Ataque de fuerza bruta• Enmascaramiento• Retorno de paquetes• Modificación de mensajes• Acceso no autorizado a través de servicios de
Internet o basados en Web• Negación de servicio• Ataques de penetración por llamada• Bombardeo y envío de E-mail no deseado • Suplantación de E-mail
Seguridades en Infraestructura Tecnológica
Por: Ing. Juan Herrera S., MSc.FACULTAD DE INGENIERÍA EN SISTEMAS INFORMATICOS Y DE COMPUTACION
TECNOLOGIAS DE SEGURIDAD
Seguridades y amenazas en Internet
Impacto de las Amenazas de Internet
Pérdida de ingresos Incremento en los costos de recuperación Incremento en los costos retrospectivos de seguridad de los
sistemas Pérdida de información Pérdida de secretos comerciales Daño a la reputación Incumplimiento de leyes / regulaciones Incumplimiento de acuerdos contractuales Acciones legales de los clientes por
pérdida de información confidencial
Seguridades en Infraestructura Tecnológica
Por: Ing. Juan Herrera S., MSc.FACULTAD DE INGENIERÍA EN SISTEMAS INFORMATICOS Y DE COMPUTACION
TECNOLOGIAS DE SEGURIDAD
Amenazas y Seguridad en Internet
Factores que son causa de ataques en internet
Disponibilidad de herramientas y técnicas en Internet
Falta de conciencia y entrenamiento en seguridad
Aprovechar las Vulnerabilidades de seguridad
Seguridad inadecuada en firewalls
Controles de Seguridad en Internet
Seguridades en Infraestructura Tecnológica
Por: Ing. Juan Herrera S., MSc.FACULTAD DE INGENIERÍA EN SISTEMAS INFORMATICOS Y DE COMPUTACION
TECNOLOGIAS DE SEGURIDAD
Sistemas de Seguridad Firewall
Por: Ing. Juan Herrera S., MSc.FACULTAD DE INGENIERÍA EN SISTEMAS INFORMATICOS Y DE COMPUTACION
TECNOLOGIAS DE SEGURIDAD
Sistemas de Seguridad Firewall
Características generales de los Firewall
Tipos de firewalls
Enrutador de filtrado de paquetes
Sistemas de firewall de aplicación
Inspección total de estado
Seguridades en Infraestructura Tecnológica
Por: Ing. Juan Herrera S., MSc.FACULTAD DE INGENIERÍA EN SISTEMAS INFORMATICOS Y DE COMPUTACION
TECNOLOGIAS DE SEGURIDAD
Funciones del Firewall
El Firewall conceptualmente es el equipo que ofrece las mayores seguridades en Internet, y un firewall que se precie de ser robusto en su seguridad debe incluir en su núcleo el status inspection.
Las funciones principales de un firewall son:
1.- Control de acceso
2.- Traslación de direcciones
3.- Autenticación
4.- Balanceo de carga
5.- Seguridad de Contenido
6.- Encriptación(para permitir establecer VPN’s en el Internet)
Seguridades en Infraestructura Tecnológica
Por: Ing. Juan Herrera S., MSc.FACULTAD DE INGENIERÍA EN SISTEMAS INFORMATICOS Y DE COMPUTACION
TECNOLOGIAS DE SEGURIDAD
La Inspección de estado(Status Inspection)
Aplicación
Presentación
Sesión
Transporte
Red
Enlace
Física
IP TCP Session Aplication
Siguiente
regla
Log/Alert
Paquete
concuerda con
alguna política?
No
Si
Pasa el
paquete?
Drop el paquete
Si
No
No
Enviar NACK
Seguridades en Infraestructura Tecnológica
Por: Ing. Juan Herrera S., MSc.FACULTAD DE INGENIERÍA EN SISTEMAS INFORMATICOS Y DE COMPUTACION
TECNOLOGIAS DE SEGURIDAD
Tipos básicos de Firewall
Conceptualmente, hay dos tipos de firewalls:
Nivel de red – Hardware y Software (Ejemplos)
CHEKPOINT
CISCO PIX
Nivel de aplicación - Software (Ejemplos)
ISA SERVER
Ip Chains, IP Tables (Linux)
Symantec
Seguridades en Infraestructura Tecnológica
Por: Ing. Juan Herrera S., MSc.FACULTAD DE INGENIERÍA EN SISTEMAS INFORMATICOS Y DE COMPUTACION
TECNOLOGIAS DE SEGURIDAD
Firewall Checkpoint – Ejemplo Reglas
Seguridades en Infraestructura Tecnológica
Por: Ing. Juan Herrera S., MSc.FACULTAD DE INGENIERÍA EN SISTEMAS INFORMATICOS Y DE COMPUTACION
TECNOLOGIAS DE SEGURIDAD
Estructura de una red Firewall
Architecture Components
1. Filtering Router
2. Firewall
3. Public Internet Servers
4. Filtering Router
“Classic” Demilitarized Zone (DMZ)
Corporate Network1 2
3
4
Router
Router
Internet
Seguridades en Infraestructura Tecnológica
Por: Ing. Juan Herrera S., MSc.FACULTAD DE INGENIERÍA EN SISTEMAS INFORMATICOS Y DE COMPUTACION
TECNOLOGIAS DE SEGURIDAD
Sistemas de Seguridad Firewall
Aspectos a considerar
• Falsa sensación de seguridad
• La cobertura de la seguridad provista por el Firewall
• Firewall mal configurado
• Elementos que constituyen un Firewall
• Las actividades de monitoreo no se llevan a cabo
regularmente
• Políticas del Firewall
Seguridades en Infraestructura Tecnológica
Por: Ing. Juan Herrera S., MSc.FACULTAD DE INGENIERÍA EN SISTEMAS INFORMATICOS Y DE COMPUTACION
TECNOLOGIAS DE SEGURIDAD
Seguridades en Infraestructura Tecnológica
Por: Ing. Juan Herrera S., MSc.FACULTAD DE INGENIERÍA EN SISTEMAS INFORMATICOS Y DE COMPUTACION
TECNOLOGIAS DE SEGURIDAD
Sistemas de Detección de Intrusos (IDS)
Un IDS trabaja en conjunto con routers y Firewalls
para monitorear las anomalías en el uso de la red
IDS basados en red
IDS basados en Host
Componentes:
Sensores responsables de recoger datos
Sistemas de análisis que reciben la
información de los sensores y determinan
si una actividad es intrusiva
Consola de administración
Interfase con el usuario
Seguridades en Infraestructura Tecnológica
Por: Ing. Juan Herrera S., MSc.FACULTAD DE INGENIERÍA EN SISTEMAS INFORMATICOS Y DE COMPUTACION
TECNOLOGIAS DE SEGURIDAD
Sistemas de Detección de Intrusos (IDS)
Tipos:
Basados en firmas
Basados en estadísticas
Redes neuronales
Características:
Detección de intrusión
Obtención de evidencia sobre actividades intrusivas
Respuesta automática
Monitoreo a la seguridad
Interfases con herramientas del sistema
Administración de políticas de seguridad
Seguridades en Infraestructura Tecnológica
Por: Ing. Juan Herrera S., MSc.FACULTAD DE INGENIERÍA EN SISTEMAS INFORMATICOS Y DE COMPUTACION
TECNOLOGIAS DE SEGURIDAD
Sistemas de Detección de Intrusos (IDS)
Limitantes
Debilidad en la definición de políticas
Vulnerabilidades a nivel de aplicación
Puertas traseras en las aplicaciones
Debilidad en esquemas de identificación y
autenticación
Reactivos NO Proactivos (IPS)
Seguridades en Infraestructura Tecnológica
Por: Ing. Juan Herrera S., MSc.FACULTAD DE INGENIERÍA EN SISTEMAS INFORMATICOS Y DE COMPUTACION
TECNOLOGIAS DE SEGURIDAD
Encriptación de Información
Por: Ing. Juan Herrera S., MSc.FACULTAD DE INGENIERÍA EN SISTEMAS INFORMATICOS Y DE COMPUTACION
TECNOLOGIAS DE SEGURIDAD
Encripción
Elementos clave de los sistemas de encripción
Algoritmo de Encripción
Llaves de Encripción
Longitud de la llave
Sistemas criptográficos de llave privada
Sistemas criptográficos de llave pública
Seguridades en Infraestructura Tecnológica
Por: Ing. Juan Herrera S., MSc.FACULTAD DE INGENIERÍA EN SISTEMAS INFORMATICOS Y DE COMPUTACION
TECNOLOGIAS DE SEGURIDAD
ASIMETRICA
Intercambio de claves utilizando
criptografia de clave publica y privada
SIMETRICA
Intercambio de claves utilizando
criptografia simétrica
Pública
Privada
Privada
Pública
A B A B
1 ) A y B toman las claves publicas desde alguna base
de datos como x ej. Verisign.
2) A encripta su mensaje usando la clave publica de B
y lo envía a B.
3 ) B desencripta el mensaje de A usando su propia
clave privada.
1 ) A y B acuerdan un mismo sistema de criptografía.
2 ) A y B acuerdan una clave.
3 ) A toma su mensaje de texto plano y lo encripta usando
el algoritmo y la clave acordada, creando un mensaje de
texto cifrado.
4 ) A envía el mensaje de texto cifrado a B.
5 ) B desencripta el mensaje de texto cifrado con el mismo
algoritmo y clave y luego lo lee.
Privacidad: Criptografía
Seguridades en Infraestructura Tecnológica
Por: Ing. Juan Herrera S., MSc.FACULTAD DE INGENIERÍA EN SISTEMAS INFORMATICOS Y DE COMPUTACION
TECNOLOGIAS DE SEGURIDAD
Clave pública:
Es una clave alfanumeríca creada por medio de algoritmos matemáticos que sirve para
encriptar una serie de datos. Suele ser creada junto con una clave privada, la clave
pública se suele llamar también llave pública.
Clave privada:
Es una clave alfanumeríca creada por medio de algoritmos matemáticos que sirve para
desencriptar una serie de datos que han sido creados por la clave pública que forma la
pareja.
Seguridades en Infraestructura Tecnológica
Por: Ing. Juan Herrera S., MSc.FACULTAD DE INGENIERÍA EN SISTEMAS INFORMATICOS Y DE COMPUTACION
TECNOLOGIAS DE SEGURIDAD
Encripción
Firmas Digitales
Integridad de datos
Autenticación
No repudio
Protección de respuesta
Seguridades en Infraestructura Tecnológica
Por: Ing. Juan Herrera S., MSc.FACULTAD DE INGENIERÍA EN SISTEMAS INFORMATICOS Y DE COMPUTACION
TECNOLOGIAS DE SEGURIDAD
Firma digital:
Es el conjunto de datos en forma electrónica utilizados como medio para identificar
formalmente el autor o a los autores del documento que la recoge.
Verificación:
Es el inverso de la firma, verifica que una firma es auténtica,asegurando
simultáneamente la integridad del documento
Seguridades en Infraestructura Tecnológica
Por: Ing. Juan Herrera S., MSc.FACULTAD DE INGENIERÍA EN SISTEMAS INFORMATICOS Y DE COMPUTACION
TECNOLOGIAS DE SEGURIDAD
Certificados Digitales
Las Autoridades de Certificación cumplen con una
función notarial en donde verifican la identidad,
solvencia de usuarios y entidades proporcionando un
"certificado digital"
Certificado Digital:
Es la certificación electrónica
que vincula unos datos de
verificación de firma de un
signatario y confirma su
identidad
Seguridades en Infraestructura Tecnológica
Por: Ing. Juan Herrera S., MSc.FACULTAD DE INGENIERÍA EN SISTEMAS INFORMATICOS Y DE COMPUTACION
TECNOLOGIAS DE SEGURIDAD
Un certificado digital contiene:
Número serial del
certificado
Información del algoritmo
usado por el emisor
Fecha de Validez De/Hasta
Información de clave
pública de usuario
Firma de la autoridad
emisora
0000123
SHA, DH, 3837829 …
1/1/93 to 12/31/98
Alice Smith, Acme Corp
DH, 3813710 ...
Acme Corporation, Security Dept.
SHA, DH, 2393702347 ...
Certificados Digitales
Seguridades en Infraestructura Tecnológica
Por: Ing. Juan Herrera S., MSc.FACULTAD DE INGENIERÍA EN SISTEMAS INFORMATICOS Y DE COMPUTACION
TECNOLOGIAS DE SEGURIDAD
Encripción
Infraestructura de Llave Pública
Certificado Digital
Autoridad de Certificación (CA)
Autoridad de Registro (RA)
Lista de revocación de certificados (CRL)
Declaración de práctica de certificación (CPS)
Seguridades en Infraestructura Tecnológica
Por: Ing. Juan Herrera S., MSc.FACULTAD DE INGENIERÍA EN SISTEMAS INFORMATICOS Y DE COMPUTACION
TECNOLOGIAS DE SEGURIDAD
Encripción (continuación)
Uso de la encripción en Protocolos OSI
Capa de puertos o canales seguros (SSL)
Protocolo de transferencia segura de hipertexto S-HTTP
IPSEC (VPN’s)
SSH
Extensiones seguras de correo Internet de propósito múltiple (S/MIME)
Transacciones electrónicas seguras (SET)
Seguridades en Infraestructura Tecnológica
Por: Ing. Juan Herrera S., MSc.FACULTAD DE INGENIERÍA EN SISTEMAS INFORMATICOS Y DE COMPUTACION
TECNOLOGIAS DE SEGURIDAD
Encripción (continuación)
Riesgos de encripción y protección de contraseñas
Virus
Controles de virus y gusanos
Controles técnicos
Estrategias de implementación de software antivirus
Seguridades en Infraestructura Tecnológica
Por: Ing. Juan Herrera S., MSc.FACULTAD DE INGENIERÍA EN SISTEMAS INFORMATICOS Y DE COMPUTACION
TECNOLOGIAS DE SEGURIDAD
Voz sobre IP
Sonidos digitalizados en paquetes IP y
transferidos por la capa de red antes de ser
decodificados en la voz original.
Costos bajos
Problemas de seguridad: intercepción
de conversaciones
Solución: Firewalls, encriptación
Seguridades en Infraestructura Tecnológica
Por: Ing. Juan Herrera S., MSc.FACULTAD DE INGENIERÍA EN SISTEMAS INFORMATICOS Y DE COMPUTACION
TECNOLOGIAS DE SEGURIDAD
PBX: Riesgos y Controles
Riesgos:
Robo de servicio
Revelación de información
Modificación de datos
Acceso no autorizado
Negación de Servicio
Análisis de tráfico
Controles:
Auditoría al software de PBX
Contraseñas de acceso administrativo
Seguridades en Infraestructura Tecnológica
Por: Ing. Juan Herrera S., MSc.FACULTAD DE INGENIERÍA EN SISTEMAS INFORMATICOS Y DE COMPUTACION
TECNOLOGIAS DE SEGURIDAD
Auditoría a la Seguridad en
Infraestructura Tecnológica
Por: Ing. Juan Herrera S., MSc.FACULTAD DE INGENIERÍA EN SISTEMAS INFORMATICOS Y DE COMPUTACION
TECNOLOGIAS DE SEGURIDAD
Auditoría a los accesos remotos
Auditando los “puntos de presencia” en internet
Pruebas de penetración a la red
Revisión de los análisis realizados a toda la red
Análisis de las redes LAN
Desarrollo y autorización a los cambios en la red
Cambios no autorizados
Auditoría a la Seguridad en Infraestructura
Tecnológica
Por: Ing. Juan Herrera S., MSc.FACULTAD DE INGENIERÍA EN SISTEMAS INFORMATICOS Y DE COMPUTACION
TECNOLOGIAS DE SEGURIDAD
Qué es un Test de Penetración?
Emula técnicas y comportamientos que
pueden ser utilizados por intrusos con el
objetivo de analizar el nivel de seguridad de
los sistemas
Permite detectar vulnerabilidades en el
Sistema Informático y corregirlas en forma
muy rápida y eficaz
Auditoría a la Seguridad en Infraestructura
Tecnológica
Por: Ing. Juan Herrera S., MSc.FACULTAD DE INGENIERÍA EN SISTEMAS INFORMATICOS Y DE COMPUTACION
TECNOLOGIAS DE SEGURIDAD
Metodologías de Penetration Testing
Tipos de Test basados en tiempo y Costo
Auditoría a la Seguridad en Infraestructura
Tecnológica
Por: Ing. Juan Herrera S., MSc.FACULTAD DE INGENIERÍA EN SISTEMAS INFORMATICOS Y DE COMPUTACION
TECNOLOGIAS DE SEGURIDAD
Metodología de Penetration Test :
Fase de Descubrimiento.
Fase de Exploración.
Fase de Evaluación.
Fase de Intrusión.
Open Source Security Testing
MethodologyDesarrollada por Pete Herzog - http://www.ideahamster.org/
Auditoría a la Seguridad en Infraestructura
Tecnológica
Por: Ing. Juan Herrera S., MSc.FACULTAD DE INGENIERÍA EN SISTEMAS INFORMATICOS Y DE COMPUTACION
TECNOLOGIAS DE SEGURIDAD
Fase de Descubrimiento
Recolección de información.
Descubriendo la red.
Fuentes de información en Internet.
Dirección física.
Números telefónicos.
Nombres de personas y cuentas de e-mail.
Rango de direcciones IP.
Información de prensa sobre el lugar.
Análisis de la página WEB.
Evaluación del código fuente.
Auditoría a la Seguridad en Infraestructura
Tecnológica
Por: Ing. Juan Herrera S., MSc.FACULTAD DE INGENIERÍA EN SISTEMAS INFORMATICOS Y DE COMPUTACION
TECNOLOGIAS DE SEGURIDAD
Fase de Descubrimiento:
Examinar la red
Es el primer paso a realizar
Se determinan los datos siguientes:
Nombres de dominio
Nombres de los servidores
Direcciones IP
Mapa de la red
Información sobre el ISP
Propietarios de los servicios y/o servidores
Auditoría a la Seguridad en Infraestructura
Tecnológica
Por: Ing. Juan Herrera S., MSc.FACULTAD DE INGENIERÍA EN SISTEMAS INFORMATICOS Y DE COMPUTACION
TECNOLOGIAS DE SEGURIDAD
Para lograr los resultados anteriores también se pueden
analizar:
los enlaces en las páginas web, buscando posibles
enlaces internos
información puesta en grupos de noticias desde la
entidad analizada
los encabezamientos de los correos
buscando información interna de la entidad
Fase de Descubrimiento:
Examinar la red
Auditoría a la Seguridad en Infraestructura
Tecnológica
Por: Ing. Juan Herrera S., MSc.FACULTAD DE INGENIERÍA EN SISTEMAS INFORMATICOS Y DE COMPUTACION
TECNOLOGIAS DE SEGURIDAD
Fase de Exploración Exploración de posibles puertas de entrada.
Scanning telefónico.
Scanning de rangos de direcciones IP.
Análisis de protocolo SNMP.
Análisis de paquetes ICMP.
Determinación de protocolos utilizados: (TCP/IP, Netbios, IPX, etc). Direcciones IP de Internet. Transferencias de dominios.
Análisis de paquetes ICMP.
Determinación de protocolos utilizados (TCP/IP, Netbios, IPX, etc).Direcciones IP de Internet.Transferencias de dominios.
Scanning de puertos TCP/UDP en el rango de direcciones IP.
Análisis de la configuración de cada servicio.
Análisis de banners.
Detección remota de sistemas operativos.
Auditoría a la Seguridad en Infraestructura
Tecnológica
Por: Ing. Juan Herrera S., MSc.FACULTAD DE INGENIERÍA EN SISTEMAS INFORMATICOS Y DE COMPUTACION
TECNOLOGIAS DE SEGURIDAD
Fase de Exploración: Búsqueda de
puertos
En cada máquina pueden estar abiertos 65536 puertos TCP y UDP, pero no todos tienen la misma importancia
En esta búsqueda se debe obtener:
Puertos abiertos, cerrados y filtrados
Direcciones IP de los sistemas activos
Lista de protocolos encapsulados descubiertos
Protocolos de enrutamiento
Servicios activos
Mapa de red
Auditoría a la Seguridad en Infraestructura
Tecnológica
Por: Ing. Juan Herrera S., MSc.FACULTAD DE INGENIERÍA EN SISTEMAS INFORMATICOS Y DE COMPUTACION
TECNOLOGIAS DE SEGURIDAD
Fase de Exploración: Sistemas
Operativos
En esta fase tratamos de detectar los sistemas operativos
que se ejecutan el los diversos servidores encontrados
Como resultado debemos obtener:
Sistema Operativo
Versión del SO
Parches aplicados
Auditoría a la Seguridad en Infraestructura
Tecnológica
Por: Ing. Juan Herrera S., MSc.FACULTAD DE INGENIERÍA EN SISTEMAS INFORMATICOS Y DE COMPUTACION
TECNOLOGIAS DE SEGURIDAD
Fase de Exploración: Pruebas de
servicios
En esta fase intentamos determinar que
aplicación está detrás de cada puerto abierto
Como resultado debemos obtener:
Aplicación que se está ejecutando
Parches de esa aplicación
Auditoría a la Seguridad en Infraestructura
Tecnológica
Por: Ing. Juan Herrera S., MSc.FACULTAD DE INGENIERÍA EN SISTEMAS INFORMATICOS Y DE COMPUTACION
TECNOLOGIAS DE SEGURIDAD
Fase de Evaluación
Detección de vulnerabilidades en forma remota.
Herramientas de detección de vulnerabilidades de red.
Herramientas de detección de vulnerabilidades de host.
Intento de acceso vía módems o accesos remotos detectados.
Testing de seguridad de un Router.
Testing de seguridad de un Server UNIX.
Testing de seguridad de un Server Windows NT/2000/2003.
Testing de seguridad de un Firewall.
Evaluación de las reglas del Firewall.
Testing de seguridad de un DNS Server.
Testing de seguridad de un Web Server.
Evaluación de seguridad de un Mail Server.
Evaluación de seguridad de una Base de Datos.
Auditoría a la Seguridad en Infraestructura
Tecnológica
Por: Ing. Juan Herrera S., MSc.FACULTAD DE INGENIERÍA EN SISTEMAS INFORMATICOS Y DE COMPUTACION
TECNOLOGIAS DE SEGURIDAD
Fase de Evaluación: Búsqueda
automatizada de vulnerabilidades
En esta fase buscamos huecos y vulnerabilidades en los sistemas
Debemos hacer pruebas cruzadas con al menos dos herramientas distintas
Como resultado debemos obtener: Lista de sistemas vulnerables
Tipo de aplicación o servicio por vulnerabilidad
Parches aplicados al sistema
Auditoría a la Seguridad en Infraestructura
Tecnológica
Por: Ing. Juan Herrera S., MSc.FACULTAD DE INGENIERÍA EN SISTEMAS INFORMATICOS Y DE COMPUTACION
TECNOLOGIAS DE SEGURIDAD
Fase de Evaluación: Búsqueda de
vulnerabilidades
En esta fase realizamos una búsqueda utilizando todos
los medios que tengamos a nuestro alcance: web, IRC,
grupos de noticias, sitios web populares.
El objetivo es encontrar otras vulnerabilidades en los
sistemas y servicios identificados
Auditoría a la Seguridad en Infraestructura
Tecnológica
Por: Ing. Juan Herrera S., MSc.FACULTAD DE INGENIERÍA EN SISTEMAS INFORMATICOS Y DE COMPUTACION
TECNOLOGIAS DE SEGURIDAD
Fase de Evaluación: Verificación
manual
En esta etapa debemos validar nuestros
resultados
Es el momento de eliminar los falsos positivos
Hay que verificar si en nuestro contrato se
encuentra este estudio, pues podemos afectar
los sistemas bajo estudio
Auditoría a la Seguridad en Infraestructura
Tecnológica
Por: Ing. Juan Herrera S., MSc.FACULTAD DE INGENIERÍA EN SISTEMAS INFORMATICOS Y DE COMPUTACION
TECNOLOGIAS DE SEGURIDAD
Fase de Evaluación: Pruebas de
aplicaciones
En esta etapa se analizan las aplicaciones
utilizadas en la entidad
Como resultado se debe obtener:
Lista de aplicaciones
Lista de componentes de estas aplicaciones
Lista de vulnerabilidades
Lista de las relaciones de confianza en estas
aplicaciones
Auditoría a la Seguridad en Infraestructura
Tecnológica
Por: Ing. Juan Herrera S., MSc.FACULTAD DE INGENIERÍA EN SISTEMAS INFORMATICOS Y DE COMPUTACION
TECNOLOGIAS DE SEGURIDAD
Fase de Evaluación: Pruebas del
Firewall
Las listas de control de acceso (ACL) en los enrutadores y firewalls son otro punto importante a medir
Debemos validar que estas ACL implementan las políticas de la entidad
En esta prueba debemos obtener:
Información sobre el/los firewalls
Información sobre el/los enrutadores
Un bosquejo de las políticas representadas por las ACL
Auditoría a la Seguridad en Infraestructura
Tecnológica
Por: Ing. Juan Herrera S., MSc.FACULTAD DE INGENIERÍA EN SISTEMAS INFORMATICOS Y DE COMPUTACION
TECNOLOGIAS DE SEGURIDAD
Fase de Evaluación: Pruebas de IDS
Esta prueba está orientada a determinar la sensibilidad de los IDS instalados
Debemos obtener los siguientes datos: Tipo de IDS
Comportamiento del IDS bajo una carga
extrema
Tipos de paquetes descartados
por el IDS
Protocolos descartados por el IDS
Tiempo de reacción del IDS
Tipo de alarmas del IDS
Sensibilidad del IDS
Reglas del IDS
Auditoría a la Seguridad en Infraestructura
Tecnológica
Por: Ing. Juan Herrera S., MSc.FACULTAD DE INGENIERÍA EN SISTEMAS INFORMATICOS Y DE COMPUTACION
TECNOLOGIAS DE SEGURIDAD
Fase de Evaluación: Revisión de las políticas
de seguridad
En esta etapa debemos validar que las políticas dictadas por la entidad no están en contradicción con los datos recolectados
Aquí se pueden analizar los módem internos y máquinas de fax
Debemos obtener: Lista de las diferencias entre lo dispuesto y lo real
Listado de conexiones entrantes no acordes a la política
Listado de conexiones salientes no acordes a la política
Auditoría a la Seguridad en Infraestructura
Tecnológica
Por: Ing. Juan Herrera S., MSc.FACULTAD DE INGENIERÍA EN SISTEMAS INFORMATICOS Y DE COMPUTACION
TECNOLOGIAS DE SEGURIDAD
Fase de Evaluación: Análisis de contraseñas
En esta etapa intentamos encontrar cuentas con claves
fáciles
Debemos obtener como resultado:
Ficheros de claves resistentes o rotos
Lista de usuarios con nivel de usuario o administrador
Lista de sistemas vulnerables por contraseñas
Lista de documentos con contraseñas débiles
Lista de sistemas con usuarios cuya clave sea el mismo
nombre de usuario
Auditoría a la Seguridad en Infraestructura
Tecnológica
Por: Ing. Juan Herrera S., MSc.FACULTAD DE INGENIERÍA EN SISTEMAS INFORMATICOS Y DE COMPUTACION
TECNOLOGIAS DE SEGURIDAD
Fase de Evaluación: Pruebas de denegación de
servicios
En estas pruebas debemos validar el funcionamiento de
la entidad cuando uno de sus sistemas cae bajo un
ataque de denegación de servicio y cuáles son los
puntos más vulnerables
En esta prueba obtenemos:
Lista de puntos débiles en el sistema
Una línea base del funcionamiento del sistema
Comportamiento de los sistemas bajo carga extrema
Lista de sistemas vulnerables a DOS
Auditoría a la Seguridad en Infraestructura
Tecnológica
Por: Ing. Juan Herrera S., MSc.FACULTAD DE INGENIERÍA EN SISTEMAS INFORMATICOS Y DE COMPUTACION
TECNOLOGIAS DE SEGURIDAD
Fase de Evaluación: Revisión de las bitácoras
de IDS y servidores de logs
En algunos casos, el analista no obtiene toda la
información necesaria del estudio del IDS
En esta prueba obtenemos:
Lista de falsos positivos en el IDS
Lista de alarmas no registradas por el IDS
Lista de paquetes que entraron, ordenados por puertos
Lista de protocolos que se utilizaron el la red
Lista de caminos no monitoreados en la red
Auditoría a la Seguridad en Infraestructura
Tecnológica
Por: Ing. Juan Herrera S., MSc.FACULTAD DE INGENIERÍA EN SISTEMAS INFORMATICOS Y DE COMPUTACION
TECNOLOGIAS DE SEGURIDAD
Fase de Evaluación: Ingeniería social
Como resultado de esta etapa obtenemos información útil
para acceder a los sistemas o sobre inseguridades
presentes
Podemos llamar a un administrador y decirle que hemos
olvidado nuestra clave o contactar con un usuario y pedirle
la clave simulando ser el administrador
Auditoría a la Seguridad en Infraestructura
Tecnológica
Por: Ing. Juan Herrera S., MSc.FACULTAD DE INGENIERÍA EN SISTEMAS INFORMATICOS Y DE COMPUTACION
TECNOLOGIAS DE SEGURIDAD
Fase de Evaluación: Pruebas de conexiones
inalámbricas
En esta fase debemos encontrar los
puntos de acceso inalámbrico de la
red y el alcance de estas entradas
Debemos validar que las
conexiones así establecidas son
seguras y no pueden ser
trampeadas
Auditoría a la Seguridad en Infraestructura
Tecnológica
Por: Ing. Juan Herrera S., MSc.FACULTAD DE INGENIERÍA EN SISTEMAS INFORMATICOS Y DE COMPUTACION
TECNOLOGIAS DE SEGURIDAD
Fase de Intrusión
Determinación de vulnerabilidades de seguridad.
Utilización de ingeniería social para obtención de información.
Intento de explotar las vulnerabilidades detectadas
Métodos para detectar falsos positivos.
Exploits y su utilización.
Obtención de los privilegios del administrador del sistema.
Acceso a información interna.
Generación de archivos demo.
Auditoría a la Seguridad en Infraestructura
Tecnológica
Por: Ing. Juan Herrera S., MSc.FACULTAD DE INGENIERÍA EN SISTEMAS INFORMATICOS Y DE COMPUTACION
TECNOLOGIAS DE SEGURIDAD
Conclusión: Evaluación y corrección
Evaluación de los resultados obtenidos.
Determinación de niveles de riesgo.
Propuesta de soluciones de seguridad.
Corrección de las vulnerabilidades detectadas.
Auditoría a la Seguridad en Infraestructura
Tecnológica
Por: Ing. Juan Herrera S., MSc.FACULTAD DE INGENIERÍA EN SISTEMAS INFORMATICOS Y DE COMPUTACION
TECNOLOGIAS DE SEGURIDAD
BIBLIOGRAFIA
www.isaca.org
www.sans.org
www.cert.org
www.infosecurityonline.org