Mòdul 7: Administració de la seguretat – Activitat de Resum1. Seguretat informàticaAl parlar de la seguretat dun sistema i...
Mòdul 7: Administració de la seguretat – Activitat de Resumvegades aprofiten lenginyeria social o manipulació de les perso...
Mòdul 7: Administració de la seguretat – Activitat de Resum2.1 Mecanismes dautenticació dusuarisEls mecanismes dautenticac...
Mòdul 7: Administració de la seguretat – Activitat de Resumen un directori públic. El criptosistema més conegut és el RSA,...
Mòdul 7: Administració de la seguretat – Activitat de Resum3.3 Codi maliciós i amenaces lògiquesEl codi maliciós és qualse...
Mòdul 7: Administració de la seguretat – Activitat de Resumrecomenat utilitzar eines de logging diferents de les utilitzad...
Mòdul 7: Administració de la seguretat – Activitat de Resumse modificar o eliminar fàcilment, les copies de fitxers no dei...
Upcoming SlideShare
Loading in …5
×

ARSO-M7: Administracio de la seguretat - Resum

229 views
165 views

Published on

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
229
On SlideShare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
9
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

ARSO-M7: Administracio de la seguretat - Resum

  1. 1. Mòdul 7: Administració de la seguretat – Activitat de Resum1. Seguretat informàticaAl parlar de la seguretat dun sistema informàtic sestà fent referència a un procés obert quetractarà de fer el sistema el més fiable possible, ja que és gairebé impossible fer que el sistemasigui absolutament inviolable. Un sistema informàtic és fiable si compleix tres propietats:confidencialitat (accés als recursos els elemets autoritzats a fer-ho), integritat (només elementsautoritzats poden modificar o alterar recursos) i disponibilitat (els recursos han destaraccessibles).1.1 Tipus datacsLa protecció ha destar adreçada a programari i maquinari, però també especialment a les dades,degut que és possible substituir el maquinari i el programari, peró les dades en cas datac espoden perdre definitivament.Els atacs que poden afectar a aquests elements (programari, maquinari i dades) els podemclassificar en quatre grups: interrupció (atac contra la disponibilitat on un recurs es destrueix oqueda no disponible), intercepció (atac contra la confidencialitat en el que un element no autoritzataccedeix a recursos), modificació (atac contra la integritat on a més daccés no autoritzat es podenesborrar, alterar o modificar recursos ) i fabricació (atac contra la integritat en el que saconsegueixcrear o introduir objectes al sistema).1.2 Atacs provinents de personesLa major part dels atacs provenen de persones que tenen diferents objetius, per aquest motiu ésimportant conèixer quina és la motivació daquestes persones per prevenir i detectar aquestesaccions.Els atacs és poden classificar en passius i actius. En el cas dels atacs passius no es modifica nidestrueix cap recurs i latacant es limita a observar per obtindre informació confidencial, sobretot laque circula per la xarxa; aquest tipus datac és difícil de detectar i per això és important laprevenció utilitzant tècniques criptogràfiques. En els atacs actius salteren o destrueixen recursos ipoden donar lloc a problemes greus com: suplantació identitat, reactuació, degradació fraudulentadel servei i modificació de missatges.En quant als atacants tenen diferents perfils i diferents motivacions, peró entre ells tenim perexemple personal de la mateixa organització que no tenen perquè ser intencionats i poden tindregreus conseqüències, antics treballadors que fan que sigui important donar de baixa les comptesdaquests antics treballadors i canviar contrasenyes, hackers o intrusos informàtics que sobretotefectuen atacs passius normalment aprofitant vulnerabilitats dels sistemes operatius i programariper obtenir informació confidencial, on les seves intrusions són difícils de detectar i moltes 1
  2. 2. Mòdul 7: Administració de la seguretat – Activitat de Resumvegades aprofiten lenginyeria social o manipulació de les persones per fer determinades accions,i per últim els intrusos remunerats, que es troben organitzats, amb molts mitjans tècnics i ataquenconjuntament un sistema, intentant accedir a informació confidencial o provocar danys a la imatgede lorganització.1.3 Mecanismes de seguretatLes mesures de seguretat les podem classificar en: mesures de prevenció que incrementen laseguretat del sistema durant el seu funcionament, mesures de detecció que busquen detectar lesinstrusions, i mesures de recuperació que permeten recuperar el correcte funcionament delsistema una vegada sha produït latac.En cas de detectar un atac és important tindre un protocol dactuació, que inclouria les següentsaccions: desconectar lequip de la xarxa per evitar danys mes greus i sesborrin les emprentesdeixades per latacant, fer còpies de baix nivell sobre les que es faran els anàlisi posteriors,compilar tota la informació possible, com logs, programari instal·lat per latacant i forma en quesaccedit al sistema, recuperar i actualitzar el sistema per eliminar les vulnerabilitats que shaguinpogut aprofitar, i informar ràpidament al cap de lorganització, al Computer Emergency ResponseTeam (CERT), inclús si és el cas a la policia, si cap màquina sha utilitzat per accedir a altresmàquines.2. Seguretat de lentornEl maquinari és normalment lelement més car dun sistema informàtics, fent per tant que els atacsque els afecten puguin provocar pèrdues molt grans per lorganització. Això fa que sigui moltimportant implantar mesures de protecció física que evitin laccés no autoritzat als recursos físicsdel sistema.Entre les mesures de prevenció trobem: servidors i elements centrals en zones daccés restringit,dispositius demmagatzemament en lloc diferent de la resta de maquinari, inventaris i registres detots els elements del sistema, protegir i aïllar el cablatge de xarxa, instal·lar càmeres devideovigilància, protectors de pantalla amb contrasenya, contrasenyes en la BIOS, desactivaropcions de autocompletar i recordar contrasenyes en navegadors, topologies de xarxaadequades, garantir la seguretats del maquinari de xarxa i contrasenyes per tots els usuaris delsistema.Trobem aleshores el concepte dautenticació, que consisteix en el procés de verificació dunapersona o procés que vol accedir al sistema; dintre dels mecanismes dautenticació, trobem dediferent tipus i cost, aleshores sha de trobar el més adhient per lorganització en el que shademprear. 2
  3. 3. Mòdul 7: Administració de la seguretat – Activitat de Resum2.1 Mecanismes dautenticació dusuarisEls mecanismes dautenticació els podem classificar en:– sistemes basats en elements coneguts per lusuari: principalment serien sistemes basats en contrasenyes, que són els més barats però els més vulnerables, i encara que sutilitzi amb sistemes de xifratge aquestes contrasenyes encara poden ser desxifrades. Per això, hi ha un seguit de bones pràctiques recomenades en referència a les contrasenyes.– sistemes basats en elements que posseeix lusuari: en els que podem fer la distinció entre sistemes basats en targetes intel·ligents i tokens de seguretat i sistemes biomètrics.En els primers, les targes intel·ligents tenen un microprocessador i memòria que els permetria fer càlculs criptogràfics i emmagatzemar xifrada la informació que contenen, a més de claus de signatura i xifratge, mentre que sobretot en empreses sutilitzen els tokens de seguretat, que consisteixen en dispositius físics de petita mida que poden incloure signatures digitals o mesures biomètriques; en els sistemes biomètrics es basen en les característiques físiques de lusuari, tenen linconvenient que son molt cars.2.2 Protecció de les dadesPer evitar atac contra la confidencialitat i tècniques despiament es poden utilitzar tècniquescriptogràfiques, mitjançant criptosistemes de clau privada i clau pública. Els criptosistemes sónmètodes secrets descriptura que permeten transformar un text clar en un xifrat o criptograma, iaquest procés rep el nom de xifratge, i on trobem el procés invers anomenat desxifratge que estroben controlats per les claus criptogràfiques.La ciéncia i estudi de lescriptura secreta, mentre que les tècniques destinades a lobtenció declaus a partir del text clar i el text xifrat rep el nom de criptoanàlisi. Totes dues formen el que esconeix com criptologia.2.2.1 Criptosistemes de clau privadaEn els criptosistemes de clau compartida tant emissor com receptor comparteixen una única clau.En aquest tipus de criptosistemes lalgorisme més conegut seria el Data Encryption Standard(DES), però està en desús ja que no és segur, i sha vist substituït per una variant anomenadaTriple DES o altres algorismes com, IDEA, CAST, Blowfish. Lactual estàndard és el AdvancedEncryption Standard (AES).2.2.2 Criptosistemes de clau públicaEn aquests criptosistemes cada usuari té assignades una parella de claus, una privada quesolament la coneix lusuari i una pública accessible per tots els usuaris i es troba emmagatzemada 3
  4. 4. Mòdul 7: Administració de la seguretat – Activitat de Resumen un directori públic. El criptosistema més conegut és el RSA, però també hi ha el DSA. Aquestscriptosistemes són lents comparats amb els de clau privada, i es solen fer servir per intercanviarclaus simètriques en els protocols de comunicació.Una avantatge és que permeten la incorporació de la signatura digital, on cada usuari pot signar elseu missatge mitjançant la clau privada i pot ser després verificada més tard. Aquí intervenen lesanomenades funcions resum o hash, que són unidireccionals i fan correspondre a un missatge demida variable una representació de mida fixa. Els algorismes més utilitzat el MD5 i el SHA-1.Entre les eïnes més utilitzades es troba el PGP, que es un programari híbrid que utilitzacriptografia tant de clau privada com pública, permetent la gestió de claus, utilitza diferentsalgorismes de xifratge i permet lesborrament segur de fitxers.3. Seguretat del sistemaEls atacs solen constar duna sèrie de pasos com: recollida dinformació, atac inicial, accés asistema, instal·lació de backdoors, key loggers... que permeten obtenir informació i faciliten futursaccessos i eliminació demprentes. Per això és important mantindre els sistemes informàticsactualitzats i així evitar vulnerabilitats conegudes i que els fan més susceptibles datacs.3.1 Seguretat en el sistema de fitxersEs important que tant els usuaris, grups i privilegis, així com la gestió de les ACL (llistes de controldaccés) shagi fet correctament.3.2 Atacs a contrasenyaEn aquest tipus datac sintenta esbrinar, desxifrar, esborrar, modificar o inserir contrasenyes en elfitxer que les emmagatzema, que en el cas del Linux correspon al fitxer /etc/passwd i que pel bonfuncionament del sistema ha de tenir permisos de lectura per tots els usuaris.El procés dentrada al sistema dun usuari és unidireccional on es xifra la contrasenya introduïdaper lusuari i és compara amb la continguda amb el fitxer. Els atacs a contrasenya actuen per laforça bruta o mitjançant atacs de diccionari. És per tant important que les contrasenyes utilitzadespels usuaris siguin contrasenyes fortes per dificultar els atacs, per comprovar la qualitat de lescontrasenyes hi ha diverses eines que permeten la comprovacio proactiva de contrasenyes.Altre possibilitat és locultació de contrasenyes, on les contrasenyes ara estarien en /etc/shadow,que solament podrà ser llegit per lusuari root. El fitxer anterior en lloc de la contrasenya xifradaara tindra un símbol que indicarà que es troba en el fitxer /etc/shadow. 4
  5. 5. Mòdul 7: Administració de la seguretat – Activitat de Resum3.3 Codi maliciós i amenaces lògiquesEl codi maliciós és qualsevol fitxer que pot resultar perjudicial pel sistema informàtic, aquest codipot estar inserit dins programari autoritzat, ocult, aparèixer com programari amb funcions útils. Elcodi maliciós seria una amenaça lògica i els podem classificar com: programari incorrecte, einesde seguretat mal emprades, bombes lògiques, virus, cucs, troians, backdoors, phising, hoax,adware i spyware o programari espia.Entre les eines de detecció de codi maliciós, una consisteix en lobservació i anàlisi dels fitxers i laseva modificació, i dutilitat seria la creació de una “emprenta única” del sistema utilitzant funcionsresum i que després al recalcular-la permetria detectar qualsevol alteració. Hi ha programariespecialitzat que automatitza aquesta tasca, com per exemple el Tripwire.3.4 DetectorsÉs programari que permet la captura i enregistrament de la informació que circula per la xarxa,basant-se en el mode promiscu de les interfícies de xarxa en les estacions de treball i que podenser molt útils per ladministrador del sistema. Lactivitat dels detectors és difícil de detectar degut aque no deixen emprentes enlloc, però es poden utilitzar mesures de prevenció, com el xifratgedels documents que senvien, encara que no protegeixen les comunicacions. Per aquest motiu ésimportant instal·lar altres eines com servidor Secure Shell (SSH) i les utilitats en clients quepermeten inici de sessió segurs.3.5 EscànersSón eines de seguretat que permeten detectar les vulnerabilitats dun sistema informàtic, i podemtrobar de escàners de sistema que detecten vulnerabilitat de sistema locals i de xarxa queanalitzen serveis i ports disponibles de màquines remotes. A ligual que els detectors, són einesmolt útils pels administradors, però que també poden ser utilitzades pels atacants. Els anàlisi de laseguretat del sistema i la xarxa des del punt de vista de lintrús rep el nom de test de penetració.3.6 Atacs de denegació de serveiSón atacs que inutilitzen el maquinari i/o programari (afectant a sistema operatiu, maquinari oaplicacions) fent que els recursos no estiguin accessibles per la xarxa, i poden implicar altresordinadors intermediaris.3.7 Auditoria i fitxers logEl procediment de logging consisteix en lenregistrament en un fitxer de les activitats que esprodueixen en un sistema o aplicació, és a dir, recull les emprentes dels que ha passat en unsistema incloent lorigen de possibles atacs. En Linux implica gran quantitat de comandes i fitxers,i generen un elevat volum dinformació. Per evitar que lintrús pugui modificar els logs és 5
  6. 6. Mòdul 7: Administració de la seguretat – Activitat de Resumrecomenat utilitzar eines de logging diferents de les utilitzades pel sistema operatiu.4. Aspectes legals de la seguretat informàticaEn el codi penal no existeix el “delicte informàtic” explícitament, sinó delites fets amb el concurs delinformàtica i les noves tecnologies.4.1 Marc jurídic penal de conductes il·lícites vinculades amb la informàtica– Delicte contra la intimitat: per exemple intercepció de correu electrónic sense el consentiment de lafectat, en el cas de les empreses es considera que és un dret de lempresa controlar els seus mitjans de producció. També laccés, modificació, revelació, difussió... de dades personals, especialment les relacionades amb ideologia, religió, salut, raça o vida sexual.– Delicte de frau informàtic: transferència no consentida dactius patrimonials amb ànim de lucre i perjudicial per un tercer utilitzant manipulació informàtica.– Delicte dús abusiu dequipaments: ús de terminals de telecomunicacions sense consentiment del titular.– Delicte de danys: destrucció, alteració, inutilització o dany en les dades, programari o documents en xarxes, suports o sistemes.– Delicte contra la propietat intel·lectual: reproducció, plagi, distribució de forma total o parcial dobres literàries, artístiques o científiques sense autorització.– Delicte de revelació de secrets dempresa: interceptació de les telecomunicacions o utilització denregistrament de so, imatge o altres senyals per descobrir secrets dempresa.– Delicte de defraudació dels interessos econòmic dels prestadors de serveis.És important emprear mesures de seguretat com escàners de sistema o xarxa i einescriptogràfiques.4.2 Marc jurídic extrapenalHi ha altres lleis apart del codi penal que delimiten el marc jurídic com:– la Llei orgànica de protecció de dades personals,– la Llei de servis de la societat de la informació i comerç electrònic, i– la legislació que saplica a la signatura digital.5. Informàtica forenseÉs un disciplina situada entre el marc jurídic i la tecnologia, que consisteix en una metodologia pertractar de conèixer que ha passat i al presumpte autor de conductes il·licites, és a dir la sevafinalitat és dir què, quan, qui, on, com i perquè. Per reconstruir un fet utilitzarem les emprentesemmagatzemades en suports i anomenades evidències digital, que tenen les propietats de poder- 6
  7. 7. Mòdul 7: Administració de la seguretat – Activitat de Resumse modificar o eliminar fàcilment, les copies de fitxers no deixen empremtes i ladquisició de lesevidències pot suposar alteració del suport digital original.Consta duna sèrie de fases:1) Asegurament de lescena de lesdeveniment: consisteix en la restricció de laccés per tal de no alterar lescena i així preservar levidència.2) Identificació de levidència digital: procés en el que sidentifica i localitzen les evidències que shan de recollit per fer un anàlisi posterior, moltes vegades sha de trobar solució de compromís entre qualitat, validesa i temps de recollida de levidència.3) Preservació de les evidències digitals: lanalista farà còpies exactes de les evidències, tant sigui en lescenari com en laboratori, sobre dispositius aportats per ell mateix. Sanota qui, on, com i quan va recollit levidència, a més sembalen i sinicia el transport de les evidències donan lloc a linici de la cadena de custòdia.4) Anàlisi de les evidències digitals: sobretot sanalitza el contingut de fitxers i la informació, trobem quatre tipus de dades, lògicament accessibles, localitzades en lanomenat ambient data, esborrades i eliminades, i les ocultes mitjançant esteganografia.5) Presentació i informe. 7

×