SEGURIDAD
GLOBAL
P
o
r
t
a
d
a
Vicente Aguilera / vaguilera@isecauditors.com
Daniel Fernández / dfernandez@isecauditors.co...
2
© 2002 Internet Security Auditors S.L.
Contenidos
• Seguridad Global.
• Origen y Tipos de Ataques.
• Incidentes y Vulner...
3
© 2002 Internet Security Auditors S.L.
Seguridad Global
DMZ a
RS CS TR RD TD CD
TALK / DATA
TALK
Modems
PDA's/Palms
Fire...
4
© 2002 Internet Security Auditors S.L.
Origen de los Ataques
1999
27%
73%
2002
1
34%
66%
Internos
Externos
ORIGEN (Hacki...
5
© 2002 Internet Security Auditors S.L.
Tipos de Ataques
• Ingeniería Social
• Password cracking
• Wardialing:
- Modem
- ...
6
© 2002 Internet Security Auditors S.L.
Incidentes y Vulnerabilidades
Problemas de seguridad
Los incidentes y vulnerabili...
7
© 2002 Internet Security Auditors S.L.
Consecuencias
• Caída de los sistemas
• Robo de información confidencial
• Pérdid...
8
© 2002 Internet Security Auditors S.L.
¿Qué aspectos cubre la seguridad?
Antes de abordar el uso de medidas de seguridad...
9
© 2002 Internet Security Auditors S.L.
Capas de la Seguridad Corporativa
Arquitectura
de Red
Aplicaciones
de Servidor
Si...
10
© 2002 Internet Security Auditors S.L.
Arquitectura de Red
• Antes de implantar una red hay que diseñarla.
• Durante el...
11
© 2002 Internet Security Auditors S.L.
Sistemas de Protección
Sistemas de defensa frente a ataques:
• FireWalls
– Perso...
12
© 2002 Internet Security Auditors S.L.
Seguridad en las Aplicaciones de Servidor (I)
Aspectos a tener en cuenta:
• Conf...
13
© 2002 Internet Security Auditors S.L.
Seguridad en Aplicaciones de Servidor (II)
Configuración
Instalar + Funcionar ≠ ...
14
© 2002 Internet Security Auditors S.L.
Seguridad en Aplicaciones de Servidor (III)
Actualizaciones
• Actualizar día a d...
15
© 2002 Internet Security Auditors S.L.
Seguridad en Aplicaciones de Servidor (IV)
Protocolos seguros
• Es necesario sec...
16
© 2002 Internet Security Auditors S.L.
Seguridad en Aplicaciones de Servidor (V)
Aplicaciones Propietarias
• Las aplica...
17
© 2002 Internet Security Auditors S.L.
Seguridad en Aplicaciones de Servidor (VI)
Registros (Logs)
• Es necesario activ...
18
© 2002 Internet Security Auditors S.L.
Seguridad en Sistemas Operativos
Instalar + Funcionar ≠ SEGURIDAD = Securizar + ...
19
© 2002 Internet Security Auditors S.L.
Política de Seguridad (I)
• ¿Qué es?
Define las directrices en cuanto a segurida...
20
© 2002 Internet Security Auditors S.L.
Política de Seguridad (II)
Política de Seguridad vs Ingeniería Social
• Finalida...
21
© 2002 Internet Security Auditors S.L.
Soluciones (I)
Seguridad Global
• Seguridad Global = Soluciones Globales.
Las so...
22
© 2002 Internet Security Auditors S.L.
Soluciones (II)
PYMES
Las PYMES necesitan Soluciones Globales...
• Estudio de la...
23
© 2002 Internet Security Auditors S.L.
Soluciones (III)
PYMES
• La Auditoría permite detectar y eliminar problemas exis...
24
© 2002 Internet Security Auditors S.L.
Soluciones (IV)
Auditorías de Seguridad
• Análisis global de la seguridad:
– Ana...
25
© 2002 Internet Security Auditors S.L.
Soluciones (V)
Auditorías de Seguridad
• La importancia de seguir una metodologí...
26
© 2002 Internet Security Auditors S.L.
Soluciones (VI)
Formación
• Cuando hablamos de seguridad, nada puede quedar en e...
27
© 2002 Internet Security Auditors S.L.
Soluciones (VII)
Auditorías Periódicas
• La seguridad es un proceso continuo.
– ...
28
© 2002 Internet Security Auditors S.L.
Conclusiones
• La seguridad debe tratarse desde todos los puntos de vista
de la ...
Contact
o
Llacuna, 162
08018 Barcelona
Tel./Fax: 93 401 96 97
info@isecauditors.com
www.isecauditors.com
© 2002 Internet S...
Upcoming SlideShare
Loading in...5
×

Seguridad Global

185

Published on

Presentación ofrecida en la jornada de charlas sobre seguridad organizada por el COPCA y Tertulia21.
Se analizan los aspectos principales de la seguridad de los sistemas, los puntos débiles más y menos conocidos y las consideraciones más básicas a tener en cuenta para incrementar la seguridad de nuestra red.

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
185
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
5
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Seguridad Global

  1. 1. SEGURIDAD GLOBAL P o r t a d a Vicente Aguilera / vaguilera@isecauditors.com Daniel Fernández / dfernandez@isecauditors.com 27 de Noviembre de 2002 © 2002 Internet Security Auditors S.L.
  2. 2. 2 © 2002 Internet Security Auditors S.L. Contenidos • Seguridad Global. • Origen y Tipos de Ataques. • Incidentes y Vulnerabilidades. • Capas de la Seguridad Corporativa: • Seguridad en la Arquitectura de la Red. • Sistemas de Protección. • Seguridad en las Aplicaciones de Servidor. • Seguridad en Sistemas Operativos. • Política de Seguridad. • Soluciones. • Conclusiones.
  3. 3. 3 © 2002 Internet Security Auditors S.L. Seguridad Global DMZ a RS CS TR RD TD CD TALK / DATA TALK Modems PDA's/Palms Firewall Correo Teletrabajadores Trabajador Hacker Web DNS Servidores Internos Internet RS CS TR RD TD CD TALK / DATA TALK Hub Sniffing POWERFAUL T DATA ALARM Remote Access Server (RAS) Intranet P OWERFAULT DATA ALA RM Wireless Access PointsHacker Antena Wireles Hacker Internet VPN Intranet
  4. 4. 4 © 2002 Internet Security Auditors S.L. Origen de los Ataques 1999 27% 73% 2002 1 34% 66% Internos Externos ORIGEN (Hacking interno vs Hacking Externo) Externos Ataques aleatorios (61% 2, 80-90% 3). Competencia. Ex – empleados. Internos Empleados descontentos. Empleados curiosos. Personal externo. 1 The Register (28-10-2002) 2 Riptech, Inc. Wall Street Journal (28-1-2002) 3 National Swedish Council for Crime Prevention (2002)
  5. 5. 5 © 2002 Internet Security Auditors S.L. Tipos de Ataques • Ingeniería Social • Password cracking • Wardialing: - Modem - RAS - PBX • Wireless Attacks • Ataques Físicos • Intrusiones: - Vulnerabilidades -> Aumento de Gusanos - Configuraciones defectuosas - Arquitecturas defectuosas • Ataques internos: - Privilegios incorrectos - Cuotas no adecuadas (ancho banda, espacio en disco,etc.) - Sniffing • Correo / Navegación web: - Virus - Troyanos • DoS/DDoS/DRDoS
  6. 6. 6 © 2002 Internet Security Auditors S.L. Incidentes y Vulnerabilidades Problemas de seguridad Los incidentes y vulnerabilidades crecen exponencialmente Incidentes de Seguridad 0 10000 20000 30000 40000 50000 60000 70000 80000 1997 1998 1999 2000 2001 Q1-Q3, 2002 Vulnerabilidades publicadas 0 500 1000 1500 2000 2500 3000 3500 1997 1998 1999 2000 2001 Q1-Q3, 2002 Es fácil ser Hacker • Los ordenadores están interconectados, no hay equipos aislados. • El delito electrónico deja pocas huellas. • La información para ser Hacker es pública y accesible a todo el mundo. • Está de moda ser Hacker.
  7. 7. 7 © 2002 Internet Security Auditors S.L. Consecuencias • Caída de los sistemas • Robo de información confidencial • Pérdida, alteración o filtración de datos críticos • Pérdida de productividad • Pérdida de prestigio • Pérdida de confianza de los clientes • Cyberextorsión • Fraude
  8. 8. 8 © 2002 Internet Security Auditors S.L. ¿Qué aspectos cubre la seguridad? Antes de abordar el uso de medidas de seguridad debemos respondernos estas preguntas: • ¿Qué se quiere proteger? – Hardware / Software / Datos • ¿De qué nos queremos proteger? – Personas / Amenazas lógicas / Catástrofes • ¿Cómo nos podemos proteger? – Mecanismos de Seguridad: • Prevención • Detección • Recuperación. •¿Qué riesgo podemos asumir? – Hay que asumir un cierto riesgo. – Tiene que estar cuantificado. • ¿Qué valor tiene lo que queremos proteger? – La inversión en seguridad ha de ir acorde a aquello que queremos proteger. • ¿Cómo vamos a gestionar la protección? – Personal capacitado. – Formación constante. – Conocimiento de últimos ataques y contramedidas. • ¿Qué control haremos sobre los sistemas? – La seguridad se degrada. – Los sistemas necesitan revisiones.
  9. 9. 9 © 2002 Internet Security Auditors S.L. Capas de la Seguridad Corporativa Arquitectura de Red Aplicaciones de Servidor Sistemas Operativos Sistemas de Protección Usuarios Politica de Seguridad
  10. 10. 10 © 2002 Internet Security Auditors S.L. Arquitectura de Red • Antes de implantar una red hay que diseñarla. • Durante el diseño se ha de tener en cuenta la seguridad. • La red tiene que cubrir estos aspectos: – Escalabilidad: • Capacidad de crecer con la propia empresa. • Adopción de nuevas necesidades de forma simple. – Fiabilidad: • Cuantificación y previsión de situaciones de error y ser capaz de mitigarlas. • Disposición de mecanismos de recuperación antes problemas graves. – Ubicación óptima de los servidores. • Protección física de servidores. • Situación en diferentes condiciones de los servidores. – Accesos controlados a la red. • Controlar TODOS los accesos a la red corporativa: Módems RTB/RDSI/ADSL, Wireless, PDA/Palms, RAS, etc.
  11. 11. 11 © 2002 Internet Security Auditors S.L. Sistemas de Protección Sistemas de defensa frente a ataques: • FireWalls – Personales – Firewalls Software – Firewalls Hardware • Intrusion Detection System (IDS) – HIDS (detección de intrusos a nivel de host) – NIDS (detección de intrusos a nivel de red) • Antivirus – Servidores – Clientes • Monitorización de redes – Sniffers – Monitores de red
  12. 12. 12 © 2002 Internet Security Auditors S.L. Seguridad en las Aplicaciones de Servidor (I) Aspectos a tener en cuenta: • Configuración de las Aplicaciones • Actualizaciones • Protocolos Seguros • Aplicaciones Propietarias • Registros (Logs)
  13. 13. 13 © 2002 Internet Security Auditors S.L. Seguridad en Aplicaciones de Servidor (II) Configuración Instalar + Funcionar ≠ SEGURIDAD = Securizar + Instalar • Las aplicaciones suelen instalar ejemplos, datos por defecto, etc.: – Vulnerabilidades. – Información sobre el sistema. – Información sobre la aplicación. – Información sobre la configuración. • Las opciones por defecto no ofrecen los rendimientos óptimos. • Las aplicaciones de servidor deben ser securizadas. • Las aplicaciones ofrecen información útil para los atacantes de forma innecesaria.
  14. 14. 14 © 2002 Internet Security Auditors S.L. Seguridad en Aplicaciones de Servidor (III) Actualizaciones • Actualizar día a día. • Conocer al día las actualizaciones que nos interesan. – Subscripciones a listas de correo, foros, IRC, news: • Oficiales: Vulnerabilidades Fabricantes • Underground / Hacking: Vulnerabilidades no publicadas • Asegurarse que los parches son legítimos. – Emplear fuentes fidedignas cuando se realizan updates. – Emplear métodos que incrementen la fiabilidad: PGP/GPG, MD5, certificados, etc. • Instalar sólo aquello con lo que nuestro sistema se beneficie. – Reducción del daño colateral en el parcheado.
  15. 15. 15 © 2002 Internet Security Auditors S.L. Seguridad en Aplicaciones de Servidor (IV) Protocolos seguros • Es necesario securizar el canal de transmisión de datos. • Deben emplearse alternativas que empleen cifrado en las comunicaciones: – FTP FTP+SSL, FTP+SSH – Telnet SSH – POP3/SMTP POP3/SMTP + SSH, POP3s – HTTP HTTPS – LDAP LDAP + SSL • Protocolos inseguros pueden convertirse en seguros. • Optar por alternativas seguras cuando se dispone de ellas.
  16. 16. 16 © 2002 Internet Security Auditors S.L. Seguridad en Aplicaciones de Servidor (V) Aplicaciones Propietarias • Las aplicaciones propietarias Internet/Intranet/Extranet pueden tener vulnerabilidades de igual forma que las comerciales. • Los programadores no tienen conocimientos de seguridad. – Programadores + Analistas Seguridad – Auditar Aplicaciones. • Las aplicaciones son vulnerables a gran cantidad de ataques: – SQL Injection. – Cross Site Scripting. – Ejecución de comandos de SO. – URL Unicode/Codificadas. – Manipulación de cookies, formularios, cabeceras HTTP y URL. – Password cracking, evasión de autenticaciones, robo/reciclado de sesiones. – Extracción de información de comentarios, mensajes de error, cache, histórico, etc. – Cuentas por defecto, vulnerabilidades publicadas. • Uso de una metodología que cubre todos estos aspectos (OWASP).
  17. 17. 17 © 2002 Internet Security Auditors S.L. Seguridad en Aplicaciones de Servidor (VI) Registros (Logs) • Es necesario activar las opciones de registro de las aplicaciones críticas. • Deben realizarse revisiones periódicas de los registros. • Debe existir personal cualificado para realizar estos análisis. • Existen herramientas para facilitar el análisis de estos logs off-line. • Se pueden emplear herramientas que detectan comportamientos anómalos de forma automática y activan alarmas.
  18. 18. 18 © 2002 Internet Security Auditors S.L. Seguridad en Sistemas Operativos Instalar + Funcionar ≠ SEGURIDAD = Securizar + Instalar • Puertos / Servicios – Cualquier puerto abierto es una puerta de entrada: • Cerrar puertos no usados. • Emplear protección para los puertos usados (p.e. filtraje por IPs) • Permisos a usuarios y grupos – Conceder los permisos adecuados en detalle a cada recurso – Usuarios por defecto • Accounting – Activación de los logs del sistema y revisarlos periódicamente. • Logins / Passwords – Contraseñas (robustez, protección) – Cuentas por defecto
  19. 19. 19 © 2002 Internet Security Auditors S.L. Política de Seguridad (I) • ¿Qué es? Define las directrices en cuanto a seguridad de la empresa. • ¿Qué puntos debe tratar? 1.- Objetivo, ámbito y motivación. 2.- Aplicabilidad y responsabilidades. 3.- Seguridad Lógica. 3.1.- Seguridad de software. 3.2.- Desarrollo de software y control de cambios. 3.3.- Seguridad de la Información. 3.4.- Seguridad en las comunicaciones. 4.- Gestión de la seguridad. 4.1.- Administración de la seguridad. 4.2.- Seguridad del personal. 4.3.- Estructura y organización. 5.- Seguridad física. 5.1.- Acceso físico. 5.2.- Ubicación y construcción de instalaciones informáticas.
  20. 20. 20 © 2002 Internet Security Auditors S.L. Política de Seguridad (II) Política de Seguridad vs Ingeniería Social • Finalidad de la Política de Seguridad: – Un empleado que no sabe qué debe y qué no debe hacer puede cometer errores. – Los ataques pueden ser tanto activos (espionaje interno) como pasivos (password nulo). • ¿Cómo hacerla conocer? – Dividir en grupos según la necesidad. – Definir los medios de difusión en función de la audiencia (presentaciones, videos, pósters, etc.). • ¿Consecuencias de una mala difusión? – La Ingeniería Social se aprovecha de un desconocimiento de la Política de Seguridad por parte de los empleados. • Virus / Troyanos • Suplantación de personalidad (mail, teléfono, etc.) • News • Passwords • Hoax • Fugas inconscientes de información
  21. 21. 21 © 2002 Internet Security Auditors S.L. Soluciones (I) Seguridad Global • Seguridad Global = Soluciones Globales. Las soluciones, al igual que la seguridad, han de ser globales. • Análisis Global = Auditorías de Seguridad. Sólo un análisis TOTAL permite encontrar todas las deficiencias de seguridad. • Seguridad Permanente = Auditorías Periódicas. Las Seguridad es un proceso continuo. • Conciencia de la Seguridad = Formación adecuada. La formación del personal técnico y de los empleados reduce gastos.
  22. 22. 22 © 2002 Internet Security Auditors S.L. Soluciones (II) PYMES Las PYMES necesitan Soluciones Globales... • Estudio de las necesidades de seguridad de la empresa: – Requerimientos de conectividad, seguridad lógica de los datos, sistemas de recuperación, antivirus, firewalls, servidores web, de correo, etc. – Propuestas de diseños posibles, con equipamientos distintos y costes adaptados: • Existen muchos productos en el mercado. • Las necesidades de prestaciones, costes, requerimientos, etc. dependen de cada empresa. • Un producto no es siempre el más adecuado, dependerá de las necesidades y su uso. • Instalación y configuración de las soluciones escogidas. • Auditoría específica para PYMES: – Test de Antivirus. – Configuración de seguridad de los Navegadores Web. – Detección de vulnerabilidades de los sistemas expuestos a Internet. – Test de Firewall/Router. – Test del Servidor Web: Política de Privacidad, Sistemas de Confianza, Auditoría de Aplicaciones no Corporativas, etc. – Test del Servidor de Correo. – Test de seguridad de los sistemas de la DMZ. – Test de integración entre los existentes y los nuevos sistemas de la DMZ.
  23. 23. 23 © 2002 Internet Security Auditors S.L. Soluciones (III) PYMES • La Auditoría permite detectar y eliminar problemas existentes de seguridad: – Configuraciones defectuosas de los sistemas existentes. – Vulnerabilidades no parcheadas de los sistemas. – Reglas de Acceso incorrectas, inexistentes o redundantes en Firewalls/Router. – Configuraciones incorrectas o no optimas de Antivirus. – Configuraciones inseguras de los navegadores web. • Formación al personal técnico y no técnico.
  24. 24. 24 © 2002 Internet Security Auditors S.L. Soluciones (IV) Auditorías de Seguridad • Análisis global de la seguridad: – Analizan los distintos puntos de entrada a la red. – Analizan la protección existente en los servidores y entre subredes. – Visión externa, objetiva y real de la seguridad de la empresa. – Aportan soluciones a los problemas de seguridad encontrados. • Ámbitos de las Auditorías: – Internet (Test de Intrusión): • Se exponen máquinas a Internet. • Ataques externos a las máquinas de la red externa (DMZ) o interna (Intranet) – DMZ: • Qué capacidad de defensa tiene la red interna desde la DMZ. • En la DMZ pueden existir máquinas/recursos no visibles desde Internet pero accesibles desde la propia DMZ. • En la DMZ pueden existir máquinas/recursos que no deben ser accesibles desde la Intranet. – Intranet: • En la red interna hay servidores y datos críticos. • Es necesario limitar y comprobar el acceso de los usuarios a los recursos/datos internos.
  25. 25. 25 © 2002 Internet Security Auditors S.L. Soluciones (V) Auditorías de Seguridad • La importancia de seguir una metodología (OSSTM) – Estándar abierto – ISO 17799 / BS7799 • Una Auditoría NO es un escaneo automático de vulnerabilidades. – Sondeo de red. – Escáner de puertos, identificación de servicios y sistemas operativos. – Test Automático de Vulnerabilidades – Password Cracking. – Document Grinding. – Test de Antivirus. – Test de Firewall y ACLs. – Test de Medidas de Contención. – Revisión de la Política de Privacidad. – Test de los sistemas de confianza. – Test y verificación Manual de vulnerabilidades. – Test de Aplicaciones no Corporativas. – Test del Sistema de Detección de Intrusos (IDS). – Test de Denegación de Servicio – Test de Aplicaciones Corporativas. – Test de Ingeniería Social. Red Puntos de entrada en la red Falsos Positivos Deficiencias de Seguridad Gravedad de la Deficiencia
  26. 26. 26 © 2002 Internet Security Auditors S.L. Soluciones (VI) Formación • Cuando hablamos de seguridad, nada puede quedar en el aire: – Una formación técnica para mantener los equipamientos: • Formación para el mantenimiento y configuración de nuevos equipamientos de seguridad (firewalls, routers, antivirus, sistemas de backup, monitorización, etc.) • Formación para la gestión de sus servidores web, de correo, etc. – Una formación de seguridad a los usuarios reduce problemas recurrentes: • Formación para el uso seguro de Internet (navegación segura, posibles peligros, etc). • Uso seguro del correo. • Políticas de contraseñas. • etc. • El 58% de los Administradores de Sistemas piensa que sus propios departamentos son una de las principales brechas de seguridad de sus compañías (The Register UK, 28/10/2002). • El 67% siente que carece de la adecuada experiencia o conocimientos para tratar los problemas de seguridad que deben tratar (The Register UK, 28/10/2002).
  27. 27. 27 © 2002 Internet Security Auditors S.L. Soluciones (VII) Auditorías Periódicas • La seguridad es un proceso continuo. – La seguridad se degrada con el tiempo: • Nuevos servicios. • Nuevas máquinas. • Aparición de nuevos bugs en las aplicaciones. • Rotación del personal. Degradación de la Seguridad 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% 1 31 61 91 121 151 181 211 241 Días NiveldeSeguridadtras unaAuditoríaPlatino Sistema minimamente cambiante Sistema medianamente cambiante Sistema altamente cambiante
  28. 28. 28 © 2002 Internet Security Auditors S.L. Conclusiones • La seguridad debe tratarse desde todos los puntos de vista de la empresa. • Debemos ser proactivos: actuar tras un ataque SIEMPRE tiene un coste mayor. • Es necesario evaluar periódicamente el nivel de protección de nuestra red mediante Auditorías de Seguridad.
  29. 29. Contact o Llacuna, 162 08018 Barcelona Tel./Fax: 93 401 96 97 info@isecauditors.com www.isecauditors.com © 2002 Internet Security Auditors S.L.
  1. A particular slide catching your eye?

    Clipping is a handy way to collect important slides you want to go back to later.

×