Conceptos y Prácticas de Seguridad Informática

Tecnologías de Red aplicables al comercio electrónico

Conceptos y Prácticas de Seguridad Informática

Antonio Sanz – [email protected]

Seguridad Informática : Conceptos y prácticas

Indice Seguridad Informática

Conceptos básicos

Requisitos de Seguridad

Tipos de amenazas

Herramientas de seguridad

Plan de Seguridad

Prácticas básicas


Al finalizar la charla sabrá...

Conocer el pensamiento de Seguridad

Conocer al enemigo

Conocer los ataques

Conocer las herramientasConocer las defensas


Seguridad Informática Sistema Seguro

“Un sistema es seguro si en todo momento se comporta como lo desea su propietario”

Áreas de Seguridad Informática• Sistemas Operativos (Windows, Linux, Mac )• Aplicaciones ( IIS, Apache, Word )• Redes ( LAN, WAN, WLAN )• Datos ( LOPD )• Fisica ( alarmas, controles de acceso )


Conceptos básicos (I)

Seguridad absoluta

• Inexistente• Objetivo : Agotar los recursos del enemigo

(moral, tiempo o dinero)

Seguridad mesurada

• Asignar recursos de forma eficiente


Conceptos básicos (II)

Seguridad vs Usabilidad• Balanza peligrosa (cuidado con los extremos)• Objetivo: Lograr un equilibrio satisfactorio

Mínimo privilegio• Todos los recursos de la red deberán solo los

permisos necesarios para cumplir su tarea


Conceptos básicos (III)

Seguridad en profundidad• No depender de un solo elemento• Modelo de seguridad en capas

Seguridad mediante oscuridad• Dificulta los ataques• Nunca debe confiarse únicamente en ella


Conceptos básicos (IV)

Seguridad Homogénea• La seguridad de un sistema es la del eslabón

más débil• Cuidar todos los aspectos de la seguridad

Seguridad Evolutiva• Campo cambiante a gran velocidad• Es necesario mantenerse al día


Requisitos de seguridad (I) Requisitos de Seguridad• Control de Acceso• Confidencialidad• Integridad• Disponibilidad

Se deberán establecer los requisitos deseados para cada sistemaEl objetivo final de la Seguridad es cumplir dichos requisitos


Requisitos de seguridad (II)

Control de Acceso / Autenticación• Identificación de los elementos que acceden a

nuestro sistema• Asignación de los permisos de cada elemento de

la red

Confidencialidad• La información es valiosa• Impedir el acceso no autorizado


Requisitos de seguridad (III)

Integridad / No repudio

• Impedir la manipulación de la información• Identificación unívoca

Disponibilidad

• Los servicios deben estar siempre activos• 24 x 7 x 365 x ...


Tipos de amenazas

Tipos de atacantes

Ataques realizables

Posibles daños


Tipos de atacantes (I)

Hacker• Hack: 1) Cortar en tajos. 2) Encontrar una

solución eficaz y brillante a un problema

• Hacker: Persona con abundantes conocimientos de informática y redes, que explora (o penetra en) sistemas por puro reto

• Hacker = Intruso malvado Incorrecto.Blanco / Negro Diversos tonos de gris


Tipos de atacantes (II)

Cracker: ( Doble definición )• Persona que rompe códigos de protección

(“cracks”)

• “Hacker” que penetra en sistemas en beneficio propio (monetario, social o por pura diversión destructiva)

• Conocimientos extensos de seguridad

• Definitivamente, “el lado oscuro


Tipos de atacantes (III)

Script Kiddies• Conocimientos básicos de seguridad• Pueden causar graves daños (herramientas

precocinadas)

Newbies• Principiantes, conocimientos básicos de seguridad

Lamers • Conocimientos nulos de informática


Tipos de ataques (I)

Identificación del sistema o fingerprinting

• Búsqueda de información pública• Ingenieria social

Barrido de puertos o portscanning• Análisis de equipos y servicios


Tipos de ataques ( II )Análisis de vulnerabilidades• Con la información obtenida, se buscan

vulnerabilidades correspondientes a los Sistemas Operativos y servicios existentes en el sistema

Penetración en el sistema• Explotación de una vulnerabilidad en el sistema

cabeza de puente• Acciones automáticas: camuflaje y expansión


Tipos de ataques ( III )

Intercepción de contraseñas

Rotura de contraseñas (fuerza bruta)

Falsificación de la identidad

Robo de información

Destrucción de datos

Denegación de servicio


Posibles daños

Robo de Información

Pérdida de datos

Disrupción del servicio

Pérdida de imagen

Posible responsabilidad legal


Herramientas de Seguridad (I)

Herramientas que permiten verificar o aumentar el nivel de seguridad de un sistema

Usadas tanto por atacantes como defensores

Gran variedad: gratuitas, comerciales, bajo Linux, Windows, etc...


Herramientas de Seguridad (II)

Cortafuegos o firewalls • Ejercen un control sobre el tráfico entrante y

saliente a un sistema• Hardware & Software• Ej: IpTables, Firewall-1, Cisco PIX

Detectores de intrusos o IDS• Detectan posibles ataques en un sistema, pudiendo

activar alarmas o ejercer respuesta coordinada• Ej: Snort, Real Secure


Herramientas de Seguridad (III)

Verificadores de la integridad• Permiten detectar la manipulación de un

sistema• Ej: Tripwire

Analizadores de logs• Permiten procesar de forma automática los logs

de un sistema en tiempo real y emitir alarmas• Ej: Swatch, LogWatch


Herramientas de Seguridad (IV)

Analizadores de puertos• Barren una red en busca de máquinas y

servicios activos• Ej: nmap, PortScan, fport

Detectores de vulnerabilidades• Analizan una red en busca de vulnerabilidades

conocidas• Ej: Nessus, Cybercop Scanner, ISS, Saint


Herramientas de Seguridad (V)

Sniffers

• Capturan el tráfico que circula por una red (contraseñas y datos, por ejemplo)

• Ej: Ethereal, Sniffer, Iris, Analyzer

Password crackers

• Utilizan técnicas de diccionario y fuerza bruta para obtener las contraseñas de acceso a un sistema

• Ej: LC3, Crack, John the Ripper


Herramientas de Seguridad (VI)

Troyanos

• Programas que se instalan en un sistema de forma no deseada

• Ej: Back Oriffice , SubSeven.

Rootkits• Programas destinados a facilitar la

ocultación y expansión de un intruso


Libros y enlaces de interésCriptonomicón:www.iec.csic.es/criptonomicon SecurityFocus:www.securityfocus.com Kriptópolis:www.kriptopolis.com Hispasec:www.hispasec.com CERT:www.cert.com SecurityPortal:www.securityportal.com

Phrack:www.phrack.org/

Insecure.orgwww.insecure.org

“Seguridad Práctica en Unix e Internet” , 2ª Ed.Simson Garfinkel & Gene Spafford - O’Reilly

“Hacking Exposed 3rd Edition” - Stuart McClure – McGraw Hill (La 2ºEd en castellano: “Hackers 2” – Stuart McClure – McGraw Hill

“Seguridad en Servidores NT/2000 para Internet” – Stefan Norberg, Deborah Russell – O’Reilly

“Seguridad y Comercio en el Web” - Simson Garfinkel & Gene Spafford - O’Reilly

“Building Internet Firewalls” – Chapman & Zwicky, Ed. O’Reilly


Dudas, preguntas, aclaraciones, pipas,

caramelos...

¿?


Prácticas básicas de Seguridad Informática

Antonio Sanz – Responsable de Seguridad Informática


Indice

Introducción y Objetivos

Prácticas básicas

Bibliografía y enlaces de interés


Introducción

Internet : Evolución vertiginosa

Conexión fácil, barata y rápida

Gran cantidad de inversión en desarrollo de negocio Internet

Escasa inversión en seguridad

Muy poca conciencia de seguridad


Objetivos

Obtener un buen nivel de seguridad en nuestro sistema

Aplicable tanto a una red corporativa como a un usuario casero

Se aplica perfectamente la ley del 80/20 20% del esfuerzo = 80% de seguridad


Seguridad: Topología

Tener en cuenta la seguridad a la hora de diseñar una red

Cortafuegos / Routers con filtrado (boxes & cortafuegos personales)

Separar los servidores de la LAN

Sistemas de seguridad critica aparte


Seguridad : Backups

Aspecto vital de la seguridad

Medios de backup baratos

Copias incrementales (diarias, semanales y mensuales)

Imágenes de los SO


Seguridad : Parches

Aspecto muy importante Ataque = sistema o programa no actualizado

Mantener los equipos parcheados siempre que sea posible

Integrarlo dentro del mantenimiento del equipo

Muy importante en servidores


Seguridad : Antivirus

Antivirus en TODO el sistema

Actualización constante

Características especiales Usarlas

Scan de virus periódico y automatizado

Formación antivirus a los usuarios


Seguridad : Cortafuegos

Cortafuegos: Principal barrera de defensa de un sistema informático ( = muro de un castillo medieval)

Instalar un cortafuegos entre nuestra red e Internet

Cortafuegos personales interesantes para equipos personales o móviles


Seguridad : Correo electrónico Principal fuente de entrada de virus

Educación de los usuarios:• No abrir ficheros adjuntos desconocidos• Preguntar al remitente la razón del fichero• Utilizar el antivirus• Abrir únicamente .jpg .gif .txt .html• Nunca abrir .exe .bat .vbs .ini

Emplear cifrado Tener cuidado con los webmails


Seguridad : Navegación web

Contraseñas almacenadas en el navegador

Información sensible protección SSL

Control de cookies & web bugs

Navegación anónima

Seguridad Informática : Conceptos y prácticasSeguridad :Otros programas de comunicaciones

Programas de chat

Programas de mensajería instantánea (Messenger, Yahoo Pager, ICQ)

Programas de intercambio multimedia


Seguridad : Física & Operativa

Salvapantallas protegido por contraseña

Arranque desde el disco duro únicamente

Protección de la BIOS con contraseña

Gestión de contraseñas

Empleo de cifrado interno


Seguridad : Formación

Internet cambios muy rápidos

Importante estar al día

Apoyo de la dirección

Concienciación de los usuarios


Conclusiones

Importancia

Necesidad

Concienciación

Aplicación efectiva

Evolución


Enlaces de interésCortafuegos Box: http://www.watchguard.com/http://www.intrusion.com/http://www.gnatbox.com/ Cómo montar un cortafuegos con Linux:http://www.linuxdoc.org/HOWTO/Firewall-HOWTO.htmlhttp://www.linux-firewall-tools.com/linux/ Cómo poner ACL en router Cisco:http://www.cisco.com/warp/public/cc/pd/iosw/ioft/iofwft/index.shtml

Información sobre virus:http://virusattack.xnetwork.com.ar/home/index.php3http://www.alerta-antivirus.es/ Comparativas de software antivirus:http://www.hispasec.com/comparativa2001.asphttp://www.terra.es/informatica/articulo/html/inf2318.htm

PGP Internacional ( Windows y Mac ):http://www.pgp.com/downloads/default.asp GnuPG ( Unix/Linux, Windows y Mac ):http://www.gnupg.org/

Configuración segura de su navegador web:http://www.iec.csic.es/criptonomicon/info.htmlhttp://www.iec.csic.es/criptonomicon/navegador/

Información sobre cookies:http://www.iec.csic.es/criptonomicon/cookies/ Más información acerca de SSL:http://www.iti.upv.es/seguridad/ssl.html Cómo añadir SSL a su servidor Web: Windows + IIS : http://support.microsoft.com/support/kb/articles/Q228/9/91.ASP Linux + Apache : http://www.securityfocus.com/focus/sun/articles/apache-inst.html Cómo obtener un certificado digital:www.verisign.comwww.ipsca.com

Salvapantallas para Linux:http://www.linuxgazette.com/issue18/xlock.html

http://www.watchguard.com/







http://www.intrusion.com/







http://www.gnatbox.com/







http://www.linuxdoc.org/HOWTO/Firewall-HOWTO.html










http://www.linux-firewall-tools.com/linux/













http://www.cisco.com/warp/public/cc/pd/iosw/ioft/iofwft/index.shtml




















http://virusattack.xnetwork.com.ar/home/index.php3











http://www.alerta-antivirus.es/



http://www.hispasec.com/comparativa2001.asp








http://www.terra.es/informatica/articulo/html/inf2318.htm










http://www.pgp.com/downloads/default.asp



http://www.gnupg.org/



http://www.iec.csic.es/criptonomicon/info.html










http://www.iec.csic.es/criptonomicon/navegador/









http://www.iec.csic.es/criptonomicon/cookies/











http://www.iti.upv.es/seguridad/ssl.html










http://support.microsoft.com/support/kb/articles/Q228/9/91.ASP



http://www.securityfocus.com/focus/sun/articles/apache-inst.html
















http://www.verisign.com/





http://www.ipsca.com/





http://www.linuxgazette.com/issue18/xlock.html











Enlaces de interésProtección del LILO en el arranque:http://www.linux4biz.net/articles/articlelilo.htm Gestor de contraseñas:http://www.counterpane.com/passsafe.html

PgpDisk:http://www.pgp.com/products/disk-encryption/default.asp

Últimas versiones del Mirc , ICQ & Messenger :http://www.mirc.org/http://www.icq.com/products/http://messenger.msn.es/Default.asp Jabber: (pasarela IM)http://www.jabber.com/index.shtml

Algunos cortafuegos personales:http://www.zonealarm.com/http://www.symantec.com/sabu/nis/npf/

Cómo hacer un backup:Linux – Amanda : http://sourceforge.net/projects/amanda/Windows – Backup :

http://www.microsoft.com/intlkb/spain/e11/2/56.asp#1

Cómo hacer una imagen de su equipo:http://www.symantec.com/sabu/ghost/ghost_personal/

Criptonomicón:www.iec.csic.es/criptonomicon SecurityFocus:www.securityfocus.com Kriptópolis:www.kriptopolis.com Hispasec:www.hispasec.com CERT:www.cert.com SecurityPortal:www.securityportal.com

http://www.pgp.com/products/disk-encryption/default.asp














http://www.mirc.org/







http://www.icq.com/products/









http://messenger.msn.es/Default.asp








http://www.jabber.com/index.shtml











Preguntas

Última oportunidad de satisfacer su curiosidad...

¿?


Planes de Seguridad Informática



Indice

Introducción

Problemática de Seguridad

Definición de un Plan de Seguridad

Ciclo de vida de un PdS

Aspectos a tratar en un Pds


Problemática de Seguridad

Ideológica

Estructural

Tecnológica


Problemática de Seguridad ( II )

Ideológica

•No obstaculizar el proceso de negocio

•Nadie se hace responsable de los riesgos

•Se actúa de modo reactivo, nunca preventivo

•No se conoce el estado real de seguridad


Problemática de Seguridad ( III )

Estructural• Falta de responsabilidades establecidas

• No hay normas definidas

• No homogeneidad de los sistemas

• No existe una asignación de recursos de seguridad


Problemática de Seguridad ( IV )

Tecnológica

• No se conoce la propia red

• No se conoce la Tecnología de Seguridad

• Sensación de Falsa Seguridad


Problemática de Seguridad ( V )

Conclusiones:• Existe una clara falta de conocimiento de Seguridad

• Nadie quiere gastar dinero en Seguridad

• La Seguridad se ve como un estorbo

• Poco apoyo de la dirección

• Mal vista por parte de los usuarios


Problemática de Seguridad ( VI )

Argumentos a favor de la Seguridad:

• La Seguridad es cada día más importante( http://www.cert.org/stats/cert_stats.html ) • Inversión en Seguridad = Póliza de Seguros

• Cortafuegos = Extintor


Problemática de Seguridad ( VII )

• La Seguridad no es cara ni complicada

• Una red segura es mucho más eficiente y robusta es más rentable

• Hacia la dirección Convicción

• Hacia los usuarios Concienciación


Plan de Seguridad

Plan de Seguridad :

“ Conjunto de normas, políticas y procedimientos destinados a satisfacer unas necesidades de

seguridad de un entorno definido”


Plan de Seguridad ( II ) Un Plan de Seguridad permite:• Analizar las necesidades de seguridad

• Detectar los elementos críticos

• Valorar los riesgos• Diseñar medidas de seguridad

Metodología modular : sencilla y completa


Plan de Seguridad ( III )

Claves del éxito:• Sencillez y claridad

• Conseguir el apoyo de la dirección

• Involucrar a toda la organización

• Plantear beneficios, no problemas

• Delimitar responsabilidades y deberes


Ciclo de vida un PdSEvaluaciónAnálisisDiseñoImplantaciónAuditoría Realimentación


PdS: Evaluación

Recopilación de todos los recursos del entorno:

• Hardware: PC’s, routers, cintas magnéticas• Software: Comercial, gratuito, open source

• Datos: Proyectos, BBDD, nóminas• Personal: Empleados, know how

• Varios: Imagen pública, posición de mercado, reconocimiento


PdS: Evaluación ( II )

Fase inicial Muy importante ser exhaustivo

Evaluar la funcionalidad de cada uno de los elementos dentro del entorno

Ayuda: Creación de tablas


PdS: Evaluación ( III )

Ej: Servidor central• Hardware, guarda la BBDD de la Intranet,

en la sala de datos, el Administrador de la Intranet

Ej: Prestigio de marca• Varios, muestra el éxito de nuestro

empresa, en todas partes, toda la empresa ( o Dep. Márketing )


PdS: Análisis de riesgos

Para cada recurso se hace una lista de los posibles riesgos :• Robo

• No disponibilidad

• Copia / Publicación

• Uso indebido

• Destrucción


PdS: Análisis de riesgos ( II )

Valoración de las amenazasSe puntúa de 1 (mínima) a 10 (máxima) :• Facilidad de ejecución• Impacto en el recurso

Amenaza real = Media entre Facilidad e ImpactoSirve para ordenar las amenazas


PdS: Análisis de riesgos ( III )

Ej: Alienígenas abducen una semana al Departamento de Informática• Impacto: 8, Facilidad: 0 Amenaza = 4

Ej: Ladrón roba copias de seguridad y prende fuego al edificio• Impacto: 10, Facilidad = 6 Amenaza = 8


PdS: Análisis de riesgos ( IV )Valoración de costes. Se calcula:• CR : Coste de Reparación• PO : Probabilidad de Ocurrencia• CP : Coste de Prevención

Si CR x PO > CP Es un riesgo a minimizarSi CR x PO < CP No sale rentableAyuda = Tabla organizadora

a) Mayor que el coste de prevención


PdS: Análisis de riesgos ( V )

Ej: Riesgo de incendio

• CR = 10M, PO = 0.01, CP = 10K (extintor)• CR x PO = 100K > 10K Se previene

Ej: Godzilla arrasa la ciudad• CR = 10M, PO = 0.000001, CP = 10M (centro de

backup)• CR x PO = 10 < 10M Se asume el riesgo


PdS: Análisis de riesgos ( VI )

Opciones posibles:1. Eliminar el recurso2. Diseñar una contramedida3. Asumir el riesgo4. Contratar un seguro

Opciones más comunes: 2) y 3)


PdS: Diseño de contramedidas

Objetivo: Eliminar, controlar o minimizar los riesgos identificados, y prevenir en la medida de lo posible riesgos futurosFase más importante del PdSLenguaje mixto Técnico / Humano Áreas predeterminadas


PdS:Diseño de contramedidas (II)

Copias de SeguridadAntivirusUsuariosContraseñasParches y updates

Seguridad de las comunicaciones

LogsAdministración de equiposContingenciasIncidencias de SeguridadFormaciónSeguridad Física


PdS: Implementación

Imprescindible apoyo de la dirección (asignación efectiva de recursos)

Implicación de TODA la organización

Metodología: Convencer, no imponer (mano de seda, guante de hierro)


PdS: Auditoría

Objetivo: Comprobar que las contramedidas han sido eficazmente aplicadas, y que realizan su funciónInterna o ExternaAuditoría de Seguridad o del PdSMejora el PdS y asegura su eficacia


PdS: Realimentación

PdS Renovación constante

Asignación de recursos necesaria

Se adapta a los cambios de la empresa


¿ Dónde están las dudas, matarile rile rile ?

¿?


Muchas gracias por su tiempo


Documents

Conceptos y Prácticas de Seguridad Informática