Your SlideShare is downloading. ×
  • Like
Corp. In. Tec. S.A. - Trend Argentina Partners - Seguridad de la Red
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×

Now you can save presentations on your phone or tablet

Available for both IPhone and Android

Text the download link to your phone

Standard text messaging rates apply

Corp. In. Tec. S.A. - Trend Argentina Partners - Seguridad de la Red

  • 230 views
Published

Seguridad de la Red …

Seguridad de la Red

Corporación de Industrias Tecnológicas S.A.
E.D.S.I. Trend Argentina S.A. Certified Partners
www.CorpintecSA.com
contacto@CorpintecSA.com

  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
    Be the first to like this
No Downloads

Views

Total Views
230
On SlideShare
0
From Embeds
0
Number of Embeds
0

Actions

Shares
Downloads
2
Comments
0
Likes
0

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. Se guridad de la Red Juan Marcos Tripolone Cisco Certified Networks AssociateCisco Certified Entry Networking Technician Instructor CCNA jmtripolone@isri.com.ar
  • 2. Objetivos
  • 3. Importancia | Consecuencia
  • 4. Amenazas comu nesSombrero blanco: busca vulnerabilidades en los sistemas e informa a los •propietarios. Son éticamente opuestos al abuso de los sistemas informáticos..Se concentra en proporcionar seguridad a los sistemas informáticos. Hacker: experto en programación •Sombrero negro: utilizan su conocimiento de las redes o los sistemas •informáticos que no están autorizados a utilizar, generalmente para beneficio.personal o económico. Un cracker es un ejemplo. Cracker: intenta obtener acceso no autorizado con intención maliciosa •Phreaker: manipula la red telefónica para que realice una función que no está •permitida, tal como ingresar en la red telefónica, por lo general a través de un. teléfono público, para realizar llamadas de larga distancia gratuitasSpammer: persona que envía grandes cantidades de mensajes de correo •electrónico no solicitado. Por lo genera, los spammers utilizan virus paratomar control de computadoras domésticas y utilizarlas para enviar sus. mensajes masivosEstafador: utiliza el correo electrónico u otro medio para engañar a otras •personas para que brinden información confidencial, como números detarjetas de crédito o contraseñas. Un estafador se hace pasar por una personade confianza que tendría una necesidad legítima de obtener información. confidencial
  • 5. Pensar como un a g re s o rPaso 1. análisis del perfil (reconocimiento). La página Web de una empresa •puede conducir a información, como las direcciones IP de los servidores. Crear.una imagen del perfil de seguridad o de la "huella" de la empresaPaso 2. Enumerar los datos. Un agresor puede ampliar el perfil controlando el •tráfico de la red con un programa detector de paquetes buscando informacióncomo los números de versión de los servidores FTP y de los servidores decorreo. Una referencia cruzada con bases de datos de vulnerabilidades expone.las aplicaciones de la empresa a explotaciones potencialesPaso 3. Manipular a los usuarios para obtener acceso. Algunas veces, los •empleados eligen contraseñas que se pueden descifrar fácilmente. En otroscasos, los empleados pueden ser engañados por agresores talentosos para.revelar información confidencial relacionada con el accesoPaso 4. Aumentar los privilegios. Una vez que los agresores obtienen acceso •.básico, utilizan sus habilidades para aumentar los privilegios de la redPaso 5. Con privilegios de acceso mejorados, los agresores utilizan su talento •.para obtener acceso a información confidencial bien protegidaPaso 6. Instalar virus de puerta trasera que proporcionan a los agresores una •. forma de ingresar al sistema sin ser detectadosPaso 7. Potenciar el sistema comprometido. Llevar a cabo ataques en otros •.hosts
  • 6. Amenazas ennúmeros
  • 7. D e li to s in fo rm á ti c os Abuso del acceso a la red por parte de personas de la organización • Virus • Robo de dispositivos portátiles •Suplantación de identidad: organización representada de manera fraudulenta • Uso indebido de la mensajería instantánea • Denegación de servicio • Acceso no autorizado a la información • Bots dentro de la organización • Robo de información de los clientes o de los empleados • Abuso de la red inalámbrica • Penetración en el sistema • Fraude financiero • Detección de contraseñas • Registro de claves • Alteración de sitios Web • Uso indebido de una aplicación Web pública • Robo de información patentada • Explotación del servidor DNS de una organización • Fraude en las telecomunicaciones •
  • 8. R e d e s a b ie rt a s v e rs u s re d e s c e rr a d as: Necesidades •Mantener las redes abiertas para respaldar los requisitos comerciales en –.evolución.Proteger la información comercial privada, personal y estratégica –Los modelos de seguridad de la red siguen una escala progresiva •Abierto": se otorga permiso a cualquier servicio, a menos que esté “ –, expresamente denegadoRestrictivo": se deniega permiso a servicios de forma predeterminada, a “ –. menos que sean considerados necesarios
  • 9. Equilibrio
  • 10. Abierto
  • 11. Restrictivo
  • 12. Cerrado
  • 13. P o lí ti c a d e s e g u r id a d | O b je ti v o sInformar a los usuarios, al personal y a los gerentes acerca de los •requisitos obligatorios para proteger los bienes de tecnología einformaciónEspecificar los mecanismos a través de los cuales se pueden •cumplir estos requisitosProporcionar una línea de base a partir de la que se pueda adquirir, •configurar y auditar redes y sistemas informáticos para quecumplan la política
  • 14. ISO/IEC 27002 Evaluación de riesgos • Política de seguridad • Organización de la seguridad de la información • Administración de activos • Seguridad de los recursos humanos • Seguridad física y ambiental • Administración de las comunicaciones y operaciones • Control de acceso • Adquisición, desarrollo y mantenimiento de los sistemas • informáticos Administración de incidentes de seguridad de la información • Administración para la continuidad de la empresa • Cumplimiento •
  • 15. Amenazas
  • 16. Amenazas
  • 17. Amenazas
  • 18. Amenazas a la infraestructurafísicaAmenazas al hardware: daño físico a los servidores, •routers, switches, planta de cableado y estaciones de trabajo Amenazas ambientales: temperaturas extremas • (calor o frío extremos) o condiciones extremas de )humedad (humedad o sequedad extremas Amenazas eléctricas: picos de voltaje, voltaje • suministrado insuficiente (apagones), alimentación ilimitada (ruido) y pérdida total de alimentación Amenazas al mantenimiento: manejo deficiente de • los componentes eléctricos clave (descarga electrostática), falta de repuestos fundamentales, .cableado insuficiente y rotulado incorrecto
  • 19. Amenazas físicas
  • 20. Amenazas físicas
  • 21. Amenazas físicas
  • 22. Amenazas físicas
  • 23. :Mitigación físicaMitigación de amenazas al hardware •Mitigación de amenazas ambientales • Mitigación de amenazas eléctricas •
  • 24. Mitigación deamenazas alhardware Cerrar armario de cableado • Sólo personal autorizado • Control de acceso electrónico • Cámaras de seguridad •
  • 25. Mitigación deamenazasambientales Control de temperatura • Control de humedad • Tecnología antiflama • Control de flujo de aire • Alarmas ambientales remotas •
  • 26. Mitigación deamenazas eléctricas UPS • Generadores • Corriente estabilizada • Disyuntor • Trifásica • Térmicas •
  • 27. Mitigación deamenazas almantenimiento Tendidos de cables limpios • Rotulación • Descarga electrostática •Provisión de repuestos fundamentales • Control de acceso a puertos consola •
  • 28. Amenazas a lasredes
  • 29. Amenazas no est ructuradasPersonas sin experiencia que usan herramientas de piratería informática de • )fácil acceso (lamers Secuencias de comandos de shell • Crackers de contraseñas •
  • 30. Amenazas estructura dasProvienen de personas o grupos que tienen una mayor motivación y son • . más competentes técnicamente Conocen las vulnerabilidades del sistema y utilizan técnicas de piratería • . informática sofisticadas para introducirse en las empresas confiadas Ingresan en computadoras de empresas y del gobierno para cometer •. fraude, destruir o alterar registros o, simplemente, para crear confusión Están involucrados en los principales casos de fraude y robo • . denunciados en los organismos de aplicación de la leyUtilizan tácticas de piratería informática tan complejas y sofisticadas que • sólo los investigadores especialmente capacitados entienden lo que .está ocurriendo En 1995, Kevin Mitnick fue condenado por ingresar a computadoras de • distintos estados de los Estados Unidos con fines delictivos. Ingresaba en la base de datos del Departamento del Automotor de California,rutinariamente tomaba control de los hubs de conmutación telefónica de Nueva York y California y robaba números de tarjetas de crédito. Lo .inspiró la película "Juegos de guerra" del año 1983
  • 31. A m e n a z a s e x t e rn asPueden provenir de personas u organizaciones que trabajan fuera de • una empresa y que no tienen acceso autorizado a los sistemas . informáticos ni a la redIngresan a una red principalmente desde Internet o desde servidores • . de acceso telefónico Pueden tener distintos grados de gravedad según la experiencia del •).agresor, ya sea aficionado (no estructurado) o experto (estructurado
  • 32. Amenazas internas Provocadas por una persona que • .tiene acceso autorizado a la red La gravedad depende de la • .experiencia del agresor
  • 33. Ingeniería social Engañar al individuo para obtener info
  • 34. Tipos de ataques
  • 35. Reconocimiento
  • 36. Acceso
  • 37. DoS
  • 38. Malware
  • 39. Ataques dereconocimientoConsultas de información en Internet • Barridos de ping • Escaneos de puertos • Programas detectores de paquetes •
  • 40. Whois
  • 41. Nmap
  • 42. PortScan
  • 43. Analizador depaquetes
  • 44. ?P o r q u é s e in fi lt ra n ¿ Recopilación de información: los intrusos de la red pueden • identificar nombres de usuarios, contraseñas o información que se . transportan en un paquete Robo de información: puede concretarse mientras los datos se • transmiten a través de la red interna o externa. El intruso de la red también puede robar datos de computadoras en red obteniendo acceso no autorizado. Entre los ejemplos, se encuentran ingresar oinfiltrarse en instituciones financieras y obtener números de tarjetas de . crédito
  • 45. Contrarestand o in f il t r a c ió nUso de redes conmutadas en lugar de hubs para que el tráfico no se • .transmita a todos los extremos o hosts de la red Uso de encriptación que cumpla las necesidades de seguridad de •los datos de la organización, sin imponer una carga excesiva en los .usuarios o los recursos del sistemaImplementación y aplicación de una directiva de política que prohíba • el uso de protocolos con conocida susceptibilidad a la infiltración. Por ejemplo, el SNMP versión 3 puede encriptar cadenas comunitarias, de manera que una empresa podría prohibir el uso de .SNMP versión 1, pero permitir SNMP versión 3
  • 46. Acceso
  • 47. E x p lo t a c ió n d e c o n fi a n z aCompromete un host de confianza, mediante su uso, con el fin de llevar •a cabo ataques en otros hosts de una red. Si un host de una red de una empresa está protegido por un firewall (host interno), pero un host de confianza que se encuentra afuera del firewall (host externo) puedeobtener acceso a él, el host interno puede ser atacado a través del host .externo de confianza Los ataques basados en la explotación de confianza pueden ser •mitigados a través de restricciones estrictas en los niveles de confianza dentro de una red, por ejemplo, las VLAN privadas pueden ser implementadas en segmentos de servidores públicos en los que hay . varios servidores públicos disponibles Los sistemas que se encuentran dentro de un firewall no pueden • . confiar en absoluto en los sistemas que se encuentran afuera Dicha confianza debe limitarse a protocolos específicos y debe ser • autenticada por algo más que una dirección IP, siempre que sea . posible
  • 48. Explotación deconfianza
  • 49. A ta q u e s a la s c o n tr aseñas Para llevar a cabo un ataque de diccionario o fuerza bruta, los • agresores pueden utilizar herramientas, como L0phtCrack o Cain. Estos programas intentan conectarse reiteradamente como usuario . mediante el uso de palabras incluidas en un diccionario Otro método utiliza tablas arco iris, una serie precalculada de • contraseñas que se forma creando cadenas de posibles contraseñas . de texto sin cifrar Cada cadena se crea a partir de una "conjetura" seleccionada al azar • de la contraseña de texto sin cifrar y, a continuación, se aplicanvariaciones de ésta. El software de ataque aplica las contraseñas de la tabla de arco iris hasta resolver la contraseña. Para llevar a cabo un ataque con tabla de arco iris, los agresores pueden utilizar una .herramienta, por ejemplo, L0phtCrack
  • 50. Reorientación depuertos
  • 51. R e d ir e c c ió n d e puertos Un ataque de redirección de puertos es un tipo de ataque de • explotación de confianza que utiliza un host comprometido para pasar . tráfico a través de un firewall que, de lo contrario, estaría bloqueado Supongamos un firewall con tres interfaces y un host en cada interfaz. • El host externo puede llegar al host que se encuentra en el segmento de servicios públicos, pero no al host interno. Este segmento de acceso público, normalmente, se conoce como zona desmilitarizada ). (DMZSi los agresores pudieran comprometer el host que se encuentra en el •segmento de servicios públicos, podrían instalar software para redirigirel tráfico desde el host externo directamente al interno. El host externo ha logrado conectarse con el host interno a través del proceso de redirección de puertos del host de servicios públicos. Una utilidad que .puede proporcionar este tipo de acceso es netcatLa redirección de puertos puede ser mitigada principalmente mediante • el uso de modelos de confianza adecuados, específicos para la red. Cuando un sistema es atacado, un sistema de detección de intrusión(IDS) basado en hosts puede ayudar a detectar a un agresor e impedir .la instalación de dichas utilidades en un host
  • 52. Man in the middle
  • 53. MTM Cuando una víctima solicita una página Web, el host de la víctima . 1 • . realiza la solicitud al host del agresorEl host del agresor recibe la solicitud y busca la página verdadera en el . 2 • . sitio Web legítimo El agresor puede modificar la página Web legítima y aplicar las . 3 • . transformaciones a los datos que deseen realizar . El agresor envía la página solicitada a la víctima. 4 • Si los agresores logran colocarse en una posición estratégica, pueden • robar información, apropiarse de una sesión en curso para obtener acceso a recursos de redes privadas, llevar a cabo ataques de DoS,dañar los datos transmitidos o introducir nuevos datos en las sesiones de .la redLa mitigación de los ataques MITM de la WAN se logra utilizando túneles • VPN, lo que permite que el agresor vea sólo el texto encriptado, indescifrable. Los ataques MITM de la WAN utilizan herramientas talescomo ettercap y envenenamiento ARP. Por lo general, la mayor parte de la mitigación de ataques MITM de la LAN se puede reducir configurando .la seguridad de los puertos de los switches de la LAN
  • 54. Ataques de DDoS
  • 55. Ping of death
  • 56. DoS Bombas de correo electrónico: los • programas envían mensajes decorreo electrónico masivo a personas, listas o dominios, y monopolizan los . servicios de correo electrónico Applets maliciosos: son los •programas Java, JavaScript o ActiveX que destruyen o paralizan los .recursos informáticos
  • 57. Componentes DoS Cliente que habitualmente es una persona que lanza el • .ataque Manipulador es un host comprometido que está •ejecutando el programa del agresor y cada Manipulador es capaz de controlar varios Agentes Agente es un host comprometido que ejecuta el • programa del agresor y es responsable de generar un.flujo de paquetes que se dirige hacia la víctima deseada
  • 58. Ataques DDoS:Actores
  • 59. Ataques DDoS Ataque SMURF • )Red de saturación grupal (TFN • Stacheldraht • MyDoom •
  • 60. SMURF
  • 61. Mensajes ping de broadcast suplantados para saturar un sistema • . objetivo Un agresor envía una gran cantidad de peticiones de eco ICMP a la • dirección de broadcast de la red desde direcciones IP de origen . suplantadas válidasUn router podría ejecutar la función broadcast de Capa 3 a broadcast • de Capa 2, la mayoría de los hosts responde uno por uno con unarespuesta de eco ICMP, lo cual multiplica el tráfico por la cantidad de . hosts que respondan En una red multiacceso de broadcast, potencialmente podría haber • . cientos de máquinas que contesten a cada paquete de eco SMURF
  • 62. Saturación SYN
  • 63. Códigos maliciososUn gusano ejecuta un código e instala copias de sí mismo en la memoria • de la computadora infectada, lo que, a su vez, puede infectar a otros . hosts Un virus es software malicioso asociado a otro programa, con el •propósito de ejecutar una función particular no deseada en una estación . de trabajo Un caballo de Troya es distinto de un gusano o de un virus sólo en el •sentido de que toda la aplicación fue escrita para que tenga la apariencia de otr
  • 64. Asegurandodispositivos Los nombres de usuario y las contraseñas • . predeterminados deben cambiarse de inmediato Se debe restringir el acceso a los recursos del sistema •exclusivamente a las personas autorizadas para utilizar . esos recursos Se deben desconectar y desinstalar los servicios y las • .aplicaciones innecesarios, siempre que sea posible
  • 65. IDS
  • 66. Dispositivos deseguridad
  • 67. Rueda de seguridad
  • 68. Paso 1: Asegurar Defensa contra amenazas • Inspección con estado y filtrado de • paquetes: filtre el tráfico de la red para permitir solamente tráfico y .servicios válidos
  • 69. Inspección conestadoSistemas de prevención de intrusión: impleméntelos a •nivel de la red y del host para detener el tráfico malicioso . en forma activaParches para vulnerabilidades: aplique modificaciones • o medidas para detener la explotación de las . vulnerabilidades conocidas Desactivación de los servicios innecesarios: cuanto • menor sea la cantidad de servicios activados, más difícil . será para los agresores obtener acceso
  • 70. Conectividad segura VPN: encripte el tráfico de la red para impedir la divulgación no • . deseada a personas no autorizadas o maliciosas Confianza e identidad: implemente restricciones estrictas sobre • los niveles de confianza dentro de una red. Por ejemplo, los sistemas que se encuentran dentro de un firewall no puedenconfiar completamente en los sistemas que se encuentran fuera de . un firewall Autenticación: proporcione acceso sólo a los usuarios • autorizados. Un ejemplo de esto es el uso de contraseñas que se . pueden utilizar por única vez Cumplimiento de políticas: asegúrese de que los usuarios y los • .dispositivos finales cumplan con la política de la empresa
  • 71. Paso 2: Controlar Controlar la seguridad involucra métodos activos y pasivos de detectar • violaciones de seguridad. El método activo más utilizado es la auditoría de los archivos de registro a nivel del host. La mayoría de los sistemas operativos incluyen la función de auditoría. Los administradores de sistemas deben activar el sistema de auditoría para cada uno de los hosts de la red y tomarse el tiempo necesario para controlar e .interpretar las entradas de los archivos de registro Entre los métodos pasivos se encuentra el uso de dispositivos IDS para • detectar intrusiones automáticamente. Este método requiere menosatención por parte de los administradores de seguridad de la red que los métodos activos. Estos sistemas pueden detectar violaciones a la seguridad en tiempo real y se pueden configurar para responder .automáticamente antes de que un intruso provoque daños Un beneficio adicional del control de la red es la verificación de que las • medidas de seguridad implementadas en el paso 1 de la Rueda de .seguridad se hayan configurado y estén funcionando correctamente
  • 72. Paso 3: Probar En la fase de pruebas de la Rueda de seguridad, las •medidas de seguridad se someten a pruebas de manera . proactiva Se verifica la funcionalidad de las soluciones de •seguridad implementadas en el paso 1 y los métodos de auditoría y detección de intrusión del sistema . implementados en el paso 2 Las herramientas de evaluación de las vulnerabilidades, •como SATAN, Nessus o Nmap son útiles para probar las medidas de seguridad de la red periódicamente a nivel .de la red o del host
  • 73. Paso 4: MejorarLa fase de mejoras de la Rueda de seguridad implica el análisis de • . los datos recopilados durante las fases de control y de prueba Este análisis contribuye al desarrollo y a la implementación de •mecanismos de mejoras que intensifican la política de seguridad y tiene como consecuencia la adición de ítems al paso 1. Para mantener una red lo más segura posible, el ciclo de la Rueda de seguridad debe repetirse continuamente, porque todos los días .aparecen nuevas vulnerabilidades y riesgos en la red
  • 74. Política de seguridad
  • 75. Funciones de una política de seguridad Protege a las personas y a la información • Establece las normas de comportamiento esperado de los • usuarios, de los administradores de sistemas, de la dirección y del personal de seguridad Autoriza al personal de seguridad a realizar controles, sondeos e • investigaciones Define y autoriza las consecuencias de las violaciones •
  • 76. Políticas:Componentes
  • 77. Fin ?Preguntas.-Muchas Gracias Juan Marcos Tripolone Cisco Certified Networks Associate Cisco Certified Entry Networking Technician Instructor CCNA jmtripolone@isri.com.ar