Seguridad

Conceptos y Prcticas de Seguridad Informtica
Antonio Sanz ansanz@unizar.es
Tecnologas de Red aplicables al comercio electrnico
Seguridad Informtica : Conceptos y prcticas
Indice
Seguridad Informtica Conceptos bsicos Requisitos de Seguridad Tipos de amenazas Herramientas de seguridad Plan de Seguridad Prcticas bsicas
Al finalizar la charla sabr... Conocer el pensamiento de Seguridad Conocer al enemigo Conocer los ataques Conocer las herramientas Conocer las defensas
Seguridad Informtica Sistema Seguro

Un sistema es seguro si en todo momento se comporta como lo desea su propietario
reas de Seguridad Informtica

Sistemas Operativos (Windows, Linux, Mac ) Aplicaciones ( IIS, Apache, Word ) Redes ( LAN, WAN, WLAN ) Datos ( LOPD ) Fisica ( alarmas, controles de acceso )
Conceptos bsicos (I) Seguridad absoluta

Inexistente Objetivo : Agotar los recursos del enemigo (moral, tiempo o dinero)
Seguridad mesurada
Asignar recursos de forma eficiente
Conceptos bsicos (II) Seguridad vs Usabilidad

Balanza peligrosa (cuidado con los extremos) Objetivo: Lograr un equilibrio satisfactorio
Mnimo privilegio
Todos los recursos de la red debern solo los permisos necesarios para cumplir su tarea
Conceptos bsicos (III) Seguridad en profundidad

No depender de un solo elemento Modelo de seguridad en capas
Seguridad mediante oscuridad

Dificulta los ataques Nunca debe confiarse nicamente en ella
Conceptos bsicos (IV) Seguridad Homognea

La seguridad de un sistema es la del eslabn ms dbil Cuidar todos los aspectos de la seguridad
Seguridad Evolutiva
Campo cambiante a gran velocidad Es necesario mantenerse al da
Requisitos de seguridad (I) Requisitos de Seguridad

Control de Acceso Confidencialidad Integridad Disponibilidad
Se debern establecer los requisitos deseados para cada sistema El objetivo final de la Seguridad es cumplir dichos requisitos
Requisitos de seguridad (II) Control de Acceso / Autenticacin

Identificacin de los elementos que acceden a nuestro sistema Asignacin de los permisos de cada elemento de la red
Confidencialidad
La informacin es valiosa Impedir el acceso no autorizado
Requisitos de seguridad (III) Integridad / No repudio

Impedir la manipulacin de la informacin Identificacin unvoca
Disponibilidad
Los servicios deben estar siempre activos 24 x 7 x 365 x ...
Tipos de amenazas Tipos de atacantes Ataques realizables Posibles daos
Tipos de atacantes (I) Hacker

Hack: 1) Cortar en tajos. 2) Encontrar una solucin eficaz y brillante a un problema Hacker: Persona con abundantes conocimientos de informtica y redes, que explora (o penetra en) sistemas por puro reto Hacker = Intruso malvado Incorrecto. Blanco / Negro Diversos tonos de gris
Tipos de atacantes (II) Cracker: ( Doble definicin )

Persona que rompe cdigos de proteccin (cracks) Hacker que penetra en sistemas en beneficio propio (monetario, social o por pura diversin destructiva) Conocimientos extensos de seguridad Definitivamente, el lado oscuro
Tipos de atacantes (III) Script Kiddies

Conocimientos bsicos de seguridad Pueden causar graves daos (herramientas precocinadas)
Newbies
Principiantes, conocimientos bsicos de seguridad
Lamers
Conocimientos nulos de informtica
Tipos de ataques (I) Identificacin del sistema o fingerprinting

Bsqueda de informacin pblica Ingenieria social
Barrido de puertos o portscanning

Anlisis de equipos y servicios
Tipos de ataques ( II ) Anlisis de vulnerabilidades

Con la informacin obtenida, se buscan vulnerabilidades correspondientes a los Sistemas Operativos y servicios existentes en el sistema
Penetracin en el sistema
Explotacin de una vulnerabilidad en el sistema cabeza de puente Acciones automticas: camuflaje y expansin
Tipos de ataques ( III )

Intercepcin de contraseas Rotura de contraseas (fuerza bruta) Falsificacin de la identidad Robo de informacin Destruccin de datos Denegacin de servicio
Posibles daos
Robo de Informacin Prdida de datos Disrupcin del servicio Prdida de imagen Posible responsabilidad legal
Herramientas de Seguridad (I) Herramientas que permiten verificar o aumentar el nivel de seguridad de un sistema Usadas tanto por atacantes como defensores Gran variedad: gratuitas, comerciales, bajo Linux, Windows, etc...
Herramientas de Seguridad (II) Cortafuegos o firewalls

Ejercen un control sobre el trfico entrante y saliente a un sistema Hardware & Software Ej: IpTables, Firewall-1, Cisco PIX
Detectores de intrusos o IDS

Detectan posibles ataques en un sistema, pudiendo activar alarmas o ejercer respuesta coordinada Ej: Snort, Real Secure
Herramientas de Seguridad (III) Verificadores de la integridad

Permiten detectar la manipulacin de un sistema Ej: Tripwire
Analizadores de logs
Permiten procesar de forma automtica los logs de un sistema en tiempo real y emitir alarmas Ej: Swatch, LogWatch
Herramientas de Seguridad (IV) Analizadores de puertos

Barren una red en busca de mquinas y servicios activos Ej: nmap, PortScan, fport
Detectores de vulnerabilidades
Analizan una red en busca de vulnerabilidades conocidas Ej: Nessus, Cybercop Scanner, ISS, Saint
Herramientas de Seguridad (V) Sniffers

Capturan el trfico que circula por una red (contraseas y datos, por ejemplo) Ej: Ethereal, Sniffer, Iris, Analyzer
Password crackers
Utilizan tcnicas de diccionario y fuerza bruta para obtener las contraseas de acceso a un sistema Ej: LC3, Crack, John the Ripper
Herramientas de Seguridad (VI) Troyanos

Programas que se instalan en un sistema de forma no deseada Ej: Back Oriffice , SubSeven.
Rootkits
Programas destinados a facilitar la ocultacin y expansin de un intruso
Libros y enlaces de inters

Criptonomicn: www.iec.csic.es/criptonomicon SecurityFocus: www.securityfocus.com Kriptpolis: www.kriptopolis.com Hispasec: www.hispasec.com CERT: www.cert.com SecurityPortal: www.securityportal.com
Phrack: www.phrack.org/ Insecure.org www.insecure.org
Seguridad Prctica en Unix e Internet , 2 Ed.Simson Garfinkel & Gene Spafford - OReilly Hacking Exposed 3rd Edition - Stuart McClure McGraw Hill (La 2Ed en castellano: Hackers 2 Stuart McClure McGraw Hill Seguridad en Servidores NT/2000 para Internet Stefan Norberg, Deborah Russell OReilly Seguridad y Comercio en el Web - Simson Garfinkel & Gene Spafford - OReilly Building Internet Firewalls Chapman & Zwicky, Ed. OReilly
Dudas, preguntas, aclaraciones, pipas, caramelos...
Prcticas bsicas de Seguridad Informtica
Antonio Sanz Responsable de Seguridad Informtica
Indice Introduccin y Objetivos Prcticas bsicas Bibliografa y enlaces de inters
Introduccin Internet : Evolucin vertiginosa Conexin fcil, barata y rpida Gran cantidad de inversin en desarrollo de negocio Internet Escasa inversin en seguridad Muy poca conciencia de seguridad
Objetivos Obtener un buen nivel de seguridad en nuestro sistema Aplicable tanto a una red corporativa como a un usuario casero Se aplica perfectamente la ley del 80/20 20% del esfuerzo = 80% de seguridad
Seguridad: Topologa Tener en cuenta la seguridad a la hora de disear una red Cortafuegos / Routers con filtrado (boxes & cortafuegos personales) Separar los servidores de la LAN Sistemas de seguridad critica aparte
Seguridad : Backups Aspecto vital de la seguridad Medios de backup baratos Copias incrementales (diarias, semanales y mensuales) Imgenes de los SO
Seguridad : Parches Aspecto muy importante Ataque = sistema o programa no actualizado Mantener los equipos parcheados siempre que sea posible Integrarlo dentro del mantenimiento del equipo Muy importante en servidores
Seguridad : Antivirus
Antivirus en TODO el sistema Actualizacin constante Caractersticas especiales Usarlas Scan de virus peridico y automatizado Formacin antivirus a los usuarios
Seguridad : Cortafuegos
Cortafuegos: Principal barrera de defensa de un sistema informtico ( = muro de un castillo medieval) Instalar un cortafuegos entre nuestra red e Internet Cortafuegos personales interesantes para equipos personales o mviles
Seguridad : Correo electrnico

Principal fuente de entrada de virus Educacin de los usuarios:
No abrir ficheros adjuntos desconocidos Preguntar al remitente la razn del fichero Utilizar el antivirus Abrir nicamente .jpg .gif .txt .html Nunca abrir .exe .bat .vbs .ini
Emplear cifrado Tener cuidado con los webmails
Seguridad : Navegacin web Contraseas almacenadas en el navegador Informacin sensible proteccin SSL Control de cookies & web bugs Navegacin annima

Seguridad :Otros programas de comunicaciones
Programas de chat Programas de mensajera instantnea (Messenger, Yahoo Pager, ICQ) Programas de intercambio multimedia
Seguridad : Fsica & Operativa

Salvapantallas protegido por contrasea Arranque desde el disco duro nicamente Proteccin de la BIOS con contrasea Gestin de contraseas Empleo de cifrado interno
Seguridad : Formacin Internet cambios muy rpidos Importante estar al da Apoyo de la direccin Concienciacin de los usuarios
Conclusiones Importancia Necesidad Concienciacin Aplicacin efectiva Evolucin
Enlaces de inters
Informacin sobre cookies: Cortafuegos Box: http://www.watchguard.com/ http://www.intrusion.com/ http://www.gnatbox.com/ Cmo montar un cortafuegos con Linux: http://www.linuxdoc.org/HOWTO/Firewall-HOWTO.html http://www.linux-firewall-tools.com/linux/ Cmo poner ACL en router Cisco: http://www.cisco.com/warp/public/cc/pd/iosw/ioft/iofwft/index.shtml Informacin sobre virus: http://virusattack.xnetwork.com.ar/home/index.php3 http://www.alerta-antivirus.es/ Comparativas de software antivirus: http://www.hispasec.com/comparativa2001.asp http://www.terra.es/informatica/articulo/html/inf2318.htm PGP Internacional ( Windows y Mac ): http://www.pgp.com/downloads/default.asp GnuPG ( Unix/Linux, Windows y Mac ): http://www.gnupg.org/ Configuracin segura de su navegador web: http://www.iec.csic.es/criptonomicon/info.html http://www.iec.csic.es/criptonomicon/navegador/ http://www.iec.csic.es/criptonomicon/cookies/ Ms informacin acerca de SSL: http://www.iti.upv.es/seguridad/ssl.html Cmo aadir SSL a su servidor Web: Windows + IIS : http://support.microsoft.com/support/kb/articles/Q228/9/91.ASP Linux + Apache : http://www.securityfocus.com/focus/sun/articles/apache-inst.html Cmo obtener un certificado digital: www.verisign.com www.ipsca.com Salvapantallas para Linux: http://www.linuxgazette.com/issue18/xlock.html
Enlaces de inters
Proteccin del LILO en el arranque: http://www.linux4biz.net/articles/articlelilo.htm Gestor de contraseas: http://www.counterpane.com/passsafe.html PgpDisk: http://www.pgp.com/products/disk-encryption/default.asp ltimas versiones del Mirc , ICQ & Messenger : http://www.mirc.org/ http://www.icq.com/products/ http://messenger.msn.es/Default.asp Hispasec: Jabber: (pasarela IM) http://www.jabber.com/index.shtml CERT: Algunos cortafuegos personales: http://www.zonealarm.com/ http://www.symantec.com/sabu/nis/npf/ Cmo hacer un backup: Linux Amanda : http://sourceforge.net/projects/amanda/ Windows Backup : http://www.microsoft.com/intlkb/spain/e11/2/56.asp#1 SecurityPortal: www.securityportal.com www.cert.com www.hispasec.com Kriptpolis: www.kriptopolis.com Cmo hacer una imagen de su equipo: http://www.symantec.com/sabu/ghost/ghost_personal/ Criptonomicn: www.iec.csic.es/criptonomicon SecurityFocus: www.securityfocus.com
Preguntas ltima oportunidad de satisfacer su curiosidad...
Planes de Seguridad Informtica
Antonio Sanz ansanz@unizar.es
Indice Introduccin Problemtica de Seguridad Definicin de un Plan de Seguridad Ciclo de vida de un PdS Aspectos a tratar en un Pds
Problemtica de Seguridad
Ideolgica Estructural Tecnolgica
Problemtica de Seguridad ( II )
Ideolgica
No obstaculizar el proceso de negocio Nadie se hace responsable de los riesgos Se acta de modo reactivo, nunca preventivo No se conoce el estado real de seguridad
Problemtica de Seguridad ( III )
Estructural
Falta de responsabilidades establecidas No hay normas definidas No homogeneidad de los sistemas No existe una asignacin de recursos de seguridad
Problemtica de Seguridad ( IV ) Tecnolgica

No se conoce la propia red No se conoce la Tecnologa de Seguridad Sensacin de Falsa Seguridad
Problemtica de Seguridad ( V ) Conclusiones:

Existe una clara falta de conocimiento de Seguridad Nadie quiere gastar dinero en Seguridad La Seguridad se ve como un estorbo Poco apoyo de la direccin Mal vista por parte de los usuarios
Problemtica de Seguridad ( VI )
Argumentos a favor de la Seguridad:

La Seguridad es cada da ms importante ( http://www.cert.org/stats/cert_stats.html ) Inversin en Seguridad = Pliza de Seguros Cortafuegos = Extintor
Problemtica de Seguridad ( VII )

La Seguridad no es cara ni complicada Una red segura es mucho ms eficiente y robusta es ms rentable Hacia la direccin Conviccin Hacia los usuarios Concienciacin
Plan de Seguridad Plan de Seguridad :
Conjunto de normas, polticas y procedimientos destinados a satisfacer unas necesidades de seguridad de un entorno definido
Plan de Seguridad ( II ) Un Plan de Seguridad permite:

Analizar las necesidades de seguridad Detectar los elementos crticos Valorar los riesgos Disear medidas de seguridad
Metodologa modular : sencilla y completa
Plan de Seguridad ( III ) Claves del xito:

Sencillez y claridad Conseguir el apoyo de la direccin Involucrar a toda la organizacin Plantear beneficios, no problemas Delimitar responsabilidades y deberes
Ciclo de vida un PdS Evaluacin Anlisis Diseo Implantacin Auditora Realimentacin
PdS: Evaluacin Recopilacin de todos los recursos del entorno:

Hardware: PCs, routers, cintas magnticas Software: Comercial, gratuito, open source Datos: Proyectos, BBDD, nminas Personal: Empleados, know how Varios: Imagen pblica, posicin de mercado, reconocimiento
PdS: Evaluacin ( II ) Fase inicial Muy importante ser exhaustivo Evaluar la funcionalidad de cada uno de los elementos dentro del entorno Ayuda: Creacin de tablas
PdS: Evaluacin ( III )
Ej: Servidor central

Hardware, guarda la BBDD de la Intranet, en la sala de datos, el Administrador de la Intranet
Ej: Prestigio de marca

Varios, muestra el xito de nuestro empresa, en todas partes, toda la empresa ( o Dep. Mrketing )
PdS: Anlisis de riesgos Para cada recurso se hace una lista de los posibles riesgos :
Robo No disponibilidad Copia / Publicacin Uso indebido Destruccin
PdS: Anlisis de riesgos ( II ) Valoracin de las amenazas Se punta de 1 (mnima) a 10 (mxima) :

Facilidad de ejecucin Impacto en el recurso
Amenaza real = Media entre Facilidad e Impacto Sirve para ordenar las amenazas
PdS: Anlisis de riesgos ( III ) Ej: Aliengenas abducen una semana al Departamento de Informtica
Impacto: 8, Facilidad: 0 Amenaza = 4
Ej: Ladrn roba copias de seguridad y prende fuego al edificio

Impacto: 10, Facilidad = 6 Amenaza = 8
PdS: Anlisis de riesgos ( IV )

Valoracin de costes. Se calcula:
CR : Coste de Reparacin PO : Probabilidad de Ocurrencia CP : Coste de Prevencin
Si CR x PO > CP Es un riesgo a minimizar Si CR x PO < CP No sale rentable Ayuda = Tabla organizadora
a) Mayor que el coste de prevencin
PdS: Anlisis de riesgos ( V ) Ej: Riesgo de incendio

CR = 10M, PO = 0.01, CP = 10K (extintor) CR x PO = 100K > 10K Se previene
Ej: Godzilla arrasa la ciudad

CR = 10M, PO = 0.000001, CP = 10M (centro de backup) CR x PO = 10 < 10M Se asume el riesgo
PdS: Anlisis de riesgos ( VI ) Opciones posibles:

1. 2. 3. 4. Eliminar el recurso Disear una contramedida Asumir el riesgo Contratar un seguro
Opciones ms comunes: 2) y 3)
PdS: Diseo de contramedidas Objetivo: Eliminar, controlar o minimizar los riesgos identificados, y prevenir en la medida de lo posible riesgos futuros Fase ms importante del PdS Lenguaje mixto Tcnico / Humano reas predeterminadas
PdS:Diseo de contramedidas (II)

Copias de Seguridad Antivirus Usuarios Contraseas Parches y updates Seguridad de las comunicaciones Logs Administracin de equipos Contingencias Incidencias de Seguridad Formacin Seguridad Fsica
PdS: Implementacin Imprescindible apoyo de la direccin (asignacin efectiva de recursos) Implicacin de TODA la organizacin Metodologa: Convencer, no imponer (mano de seda, guante de hierro)
PdS: Auditora Objetivo: Comprobar que las contramedidas han sido eficazmente aplicadas, y que realizan su funcin Interna o Externa Auditora de Seguridad o del PdS Mejora el PdS y asegura su eficacia
PdS: Realimentacin PdS Renovacin constante Asignacin de recursos necesaria Se adapta a los cambios de la empresa
Dnde estn las dudas, matarile rile rile ?
Muchas gracias por su tiempo
Antonio Sanz asanz@unizar.es

Seguridad

Încărcat de

Informații document

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Seguridad

Încărcat de

Drepturi de autor:

Formate disponibile

Conceptos y Prcticas de Seguridad Informtica

Antonio Sanz ansanz@unizar.es

Tecnologas de Red aplicables al comercio electrnico

Seguridad Informtica : Conceptos y prcticas

Seguridad Informtica : Conceptos y prcticas

Seguridad Informtica : Conceptos y prcticas

Seguridad Informtica Sistema Seguro

reas de Seguridad Informtica

Seguridad Informtica : Conceptos y prcticas

Conceptos bsicos (I) Seguridad absoluta

Seguridad Informtica : Conceptos y prcticas

Conceptos bsicos (II) Seguridad vs Usabilidad

Seguridad Informtica : Conceptos y prcticas

Conceptos bsicos (III) Seguridad en profundidad

Seguridad mediante oscuridad

Seguridad Informtica : Conceptos y prcticas

Conceptos bsicos (IV) Seguridad Homognea

Seguridad Informtica : Conceptos y prcticas

Requisitos de seguridad (I) Requisitos de Seguridad

Seguridad Informtica : Conceptos y prcticas

Requisitos de seguridad (II) Control de Acceso / Autenticacin

Seguridad Informtica : Conceptos y prcticas

Requisitos de seguridad (III) Integridad / No repudio

Seguridad Informtica : Conceptos y prcticas

Tipos de amenazas Tipos de atacantes Ataques realizables Posibles daos

Seguridad Informtica : Conceptos y prcticas

Tipos de atacantes (I) Hacker

Seguridad Informtica : Conceptos y prcticas

Tipos de atacantes (II) Cracker: ( Doble definicin )

Seguridad Informtica : Conceptos y prcticas

Tipos de atacantes (III) Script Kiddies

Seguridad Informtica : Conceptos y prcticas

Tipos de ataques (I) Identificacin del sistema o fingerprinting

Barrido de puertos o portscanning

Seguridad Informtica : Conceptos y prcticas

Tipos de ataques ( II ) Anlisis de vulnerabilidades

Seguridad Informtica : Conceptos y prcticas

Tipos de ataques ( III )

Seguridad Informtica : Conceptos y prcticas

Seguridad Informtica : Conceptos y prcticas

Seguridad Informtica : Conceptos y prcticas

Herramientas de Seguridad (II) Cortafuegos o firewalls

Detectores de intrusos o IDS

Seguridad Informtica : Conceptos y prcticas

Herramientas de Seguridad (III) Verificadores de la integridad

Seguridad Informtica : Conceptos y prcticas

Herramientas de Seguridad (IV) Analizadores de puertos

Seguridad Informtica : Conceptos y prcticas

Herramientas de Seguridad (V) Sniffers

Seguridad Informtica : Conceptos y prcticas

Herramientas de Seguridad (VI) Troyanos

Seguridad Informtica : Conceptos y prcticas

Libros y enlaces de inters

Seguridad Informtica : Conceptos y prcticas

Dudas, preguntas, aclaraciones, pipas, caramelos...

Prcticas bsicas de Seguridad Informtica

Antonio Sanz Responsable de Seguridad Informtica

Tecnologas de Red aplicables al comercio electrnico

Seguridad Informtica : Conceptos y prcticas

Indice Introduccin y Objetivos Prcticas bsicas Bibliografa y enlaces de inters

Seguridad Informtica : Conceptos y prcticas

Seguridad Informtica : Conceptos y prcticas

Seguridad Informtica : Conceptos y prcticas

Seguridad Informtica : Conceptos y prcticas