Seguridad en Redes Informáticas

Formación profesorado
Plan anual: Curso académico 2009/2010
Manuel González Regal

http://centros.edu.xunta.es/iesxulianmagarinos/
 Y yo soy ...

● Profesor de informática CFGS Administración Sistemas Informáticos

● I.E.S. Xulián Magariños (Negreira)

centro TIC curso 2007-2008

Software Libre
 Y yo soy ...
● Interés en la seguridade informática.
● No sé todo de todo, y cuanto más aprendo, descubro la cantidad de cosas
que desconozco.

Consultas y sugerencias son bienvenidas

 Usuarios, redes, servicios, negocios, ...
Hoy en día el uso de redes locales e Internet en empresas, instituciones y hogares
está ampliamente extendido para:
● Enviar/recibir emails, mensajería instantánea, jugar, ...
● Tener un sitio web con información sobre la compañía, productos, noticias, aplicaciones
de gestión, ...
● Realizar transacciones comerciales (compra/venta de productos, gestión de cuentas
bancarias, ... )
● etc.
● Aumento de ventas.
● Reducción costes.

● Publicidad.

● etc

Es necesario crear ‘canales electrónicos’ entre:

● Un equipo de un usuario final y redes (redes LAN, WAN, Internet).
● Un servidor público (web, correo, ...) de la organización e Internet.

Request

Reply
 Todo el mundo sabe que ...
Estos canales pueden ser la vía de entrada de ‘elementos’ no deseados:
● Virus (Netsky.P, Sasser, Blaster, Conficker, ...).
● Ataques Phishing (robo de credenciales bancarias).
● Ataques DoS (Denial Of Service).
● Accesos ilícitos.
● etc.

¡¡14/09/2006!!
 Todo el mundo sabe que ...
Los hackers que logran acceder a un equipo:
● Roban información confidencial.
● Modifican páginas web.
● Utilizar el equipo como herramienta para enmascarar
ataques o lanzar ataques DDoS.
● etc.
Todo el mundo sabe que ...
Todo el mundo sabe que ...
Todo el mundo sabe que ...
 Exceptuando esto último, el resto le pasa a otros. Total ...

¿Mi PC?¿Quién lo va a querer?

1. Robarte datos bancarios: Por ejemplo, para poder permitirse un capricho a tu cuenta.
2. Envío de SPAM: Luego te llega una carta de tu operador diciendo que no paras de mandar
spam, y tu quejándote de que tu ADSL va lento.
3. Utilizar tu ordenador como zombie. Cualquier cosa que ellos no quieran hacer desde su
propio ordenador.
4. Buscar datos personales: Un amigo puede estar interesado en ver fotos curiosas que no
le vas a enseñar por las buenas, espiar tu conversación del messenger...
5. Servidor FTP: Tal vez en tu casa vaya lento. ¿Y en tu trabajo?
6. Ego: Hay quien se siente realizado cuando tiene 237000 ordenadores zombies activos...
7. Hosting: Serás un servidor web que albergarás páginas de phising o incluso cosas peores
(pornografía infantil... :( )
8. Estar en una red de click-fraud pinchando banners como loco sin darte cuenta
9. Instalar un servidor de Quake...
10. ...

http://blog.s21sec.com/2008/06/mi-pcquin-lo-va-querer.html
 Panorama actual...
● Más redes y más aplicaciones basadas en red.
● Tecnología centrada en la facilidad de uso.
● Se observan ataques más sofisticados y atacantes no necesariamente expertos.

Script Kiddie
… por lo tanto: Seguridad Defensiva

● Redes DMZ
● Firewalls/Proxys
● Antivirus, antispam, ...
● Filtros de contidos
● IDS (Sistemas de detección de
intrusións)
● Appliances UTM (unified threat
management)
● Sistemas de monitorización
● Encriptación
● Análise de integridade
● Actualizacións, parches, …
● Securización S.O.
● Políticas de contrasinais, backups
● ...
 Seguridad Defensiva
Información
Confidencialidad Integridad Dispoñibilidad

● Confidencialidad: prevenir la divulgación de información a

personas/sistemas no autorizadas.
● Integridad: mantener los datos libres de modificaciones no
autorizadas.
● Disponibilidad: las personas/sistemas/aplicaciones pueden
acceder a la información.

funcionalidad

Mover la bola hacia 'seguridad'

implica alejarse de la
funcionalidad y facilidad de uso

seguridad facilidad de uso

 Seguridad Forense

IDENTIFICACIÓN
● ¿Qué pasó?
● ¿Cuál es la magnitud del incidente?
PRESERVACIÓN
● Prevención y mejora
DE LAS EVIDENCIAS
● Solución de los problemas
● Depuración de responsabilidades
ANÁLISIS
● Denunciar

INFORME
Seguridad Forense
 ¿Qué pasa?
Seguridad ofensiva
Atacante altamente especializado
Script kiddie

ANÁLISIS DE PENETRACIÓN

Seguridad defensiva
● Administradores de red/sistemas conocen la mitad de la ecuación.
● Administradores de red/sistemas sobrecargados de trabajo.
● Mulitifunción.
● Multitarea.
● Multi-'especialistas'.

Yo estoy detrás de un firewall y teño antivirus, antispyware, ...

Hackers, crackers, black hat, phising, ..., eso le pasa a otros.
SI algo funciona, no se le toca.
Los usuarios demandan facilidades, pués se les da (así dejan de dar la lata)
Análisis de Penetración – Penetration Testing - PenTest

¡¡¡NO!!! centrémonos
 Análisis de Penetración – Penetration Testing - PenTest

Evaluación de la seguridad de un sistema informático o red simulando un

ataque procedente de un agente malicioso (Black Hat hacker o cracker).

Se buscan vulnerabilidades ...

● Configuración erróneas de sistemas.

● Configuraciones permisivas.
● Errores conocidos (ou desconocidos) en el software.
● Errores conocidos (ou desconocidos) en el hardware.
● Sistemas de protección y/o operación débiles.

… para explotarlas y asaltar los sistemas

 Penetration Testing Methodology

● Fase I: Planificación y preparación.

● Fase II: Evaluación.
● Fase III: Informe, Borrado y destrucción de artefactos.

ISSAF (Information Systems Security Assessment Framework) de

OISSG (Open Information Systems Security Group)
Penetration Testing Methodology vs Ataque

● Fase I: Planificación y preparación.

● Fase II: Evaluación.
● Fase III: Informe, Borrado e destrucción de artefactos.
Penetration Testing Methodology