Seguridades en Redes e Internet Final - Epn

ESCUELA POLITECNICA NACIONAL
Facultad de Ingeniera de Sistemas Informticos y de Computacin
SEGURIDADES EN REDES E INTERNET

Por: MSc. Juan Herrera, CISA
Marzo Agosto/ 2009
E-mail: juan.herrera@leveltech.com.ec www.leveltech.com.ec

ESCUELA POLITECNICA NACIONAL FACULTAD DE INGENIERIA Ingeniera de INFORMATICOSDE COMPUTACION MARZO-AGOSTO/2009 ESCUELA POLITECNICA NACIONAL FACULTAD Jornadas en DE SISTEMAS INFORMATICOS DE COMPUTACION MARZO-AGOSTO/2009 ESCUELA POLITECNICA NACIONAL - IV DE INGENIERIA DE SISTEMAS Sistemas Informticos de Computacin NOV 2008
Seguridades en Infraestructura Tecnolgica
La informacin, y la infraestructura. Activo vital en cualquier organizacin.

a) Confidencialidad:
Consiste en proteger la informacin de acceso no autorizado as como tambin evitar su intercepcin al momento de transmitirla.
Disponibilidad
b) Integridad:
Implica el garantizar que la informacin es precisa y se encuentra completa.
Objetivos de
Seguridad
c) Disponibilidad:
Asegura que la informacin pueda ser utilizada por usuarios autorizados en el momento que sea requerida.
Integridad
Confidencialidad
ESCUELA POLITECNICA NACIONAL FACULTAD DE INGENIERIA Ingeniera de Sistemas Informticos de Computacin NOV 2008 ESCUELA POLITECNICA NACIONAL - IV Jornadas en DE SISTEMAS INFORMATICOS DE COMPUTACION MARZO-AGOSTO/2009
Seguridad: Principales preocupaciones de las empresas

Rpido incremento de las amenazas internas y externas a la organizacin
Necesidad de cumplir con regulaciones externas (Sarbanes Oaxley, ISO 27001,etc)
Falta de recursos calificados en seguridad y difcil retencin Presiones internas para realizar ROI de las inversiones en seguridad.
Convergencia de la seguridad fsica y seguridad lgica.

Resulta sorprendente el poco conocimiento necesario para causar cada vez mayores daos
Armado de paquetes/ Spoofing
Worms
Alto
Diagnstico Silencioso Scanners Back Doors Acceso va vulnerabilidad conocida Cdigo Auto Replicado Password Cracking
DDOS
Sniffers
Complejidad de los mtodos
Borrado de rastros
Bajo
Tcnicas de Diccionario
Conocimiento necesario
Seguridades en Infraestructura Tecnolgica Enfoque tradicional de seguridad

Administracin de Riesgos Administracin de Riesgos. Seleccin de controles. Modelo de Gobierno Administracin de Seguridad Implementacin de polticas, estndares y procedimientos. Campaas de concientizacin Seguridad en Aplicaciones Control de accesos. Encripcin de datos. Mecanismos de autenticacin Seguridad en Infraestructura Firewalls. Antivirus. Deteccin de intrusos Seguridad Fsica Seguridad perimetral. Controles de accesos. Video Vigilancia Deteccin de alertas
Seguridad en Infraestructura de IT Seguridad en Aplicaciones
Seguridad Fsica
Adm. de Seguridad
Adm. Riesgos Datos y Activos corporativos Informacin, PCs, Servers, Personas
Seguridad Lgica

Esquema de trabajo de la seguridad informtica
DIAGNSTICO Y EVALUACIN RIESGOS Y OBJETIVOS DE CONTROL DISEO
20% 10%
MONITOREO Y AUDITORA
ADMINISTRACIN CENTRALIZADA DE SEGURIDAD
POL. - NORMAS PROC. - EST. HERRAM.
50%
20%
OPERACIN CAPACITACIN DE GERENCIA Y USUARIOS
ESTE GRFICO REPRESENTA EL PROCESO CONTINUO DE LA SEGURIDAD EN UNA COMPAIA
IMPLANTACIN

Aspectos a ser Evaluados
APLICACIONES DE NEGOCIO Y FINANCIERAS
SERVICIOS DE INTERNET
SERVICIOS DE RED CONFIGURACIONES DE SEGURIDAD BASE DE DATOS SISTEMA OPERATIVO DE RED HARDWARE Y COMUNICACIONES

Proteccin contra hackers y ataques en la Red
Evaluacin de Servicios de Red
Telnet
Esquema de Seguridad Base

FTP NFS - Parmetros de Contraseas: Longitud mnima Caducidad Histrico Bloqueo ante intentos fallidos Encriptacin - Nivel de seguridad del Sistema Operativo - Parmetros de configuracin del Sistema Operativo - Otros
RAS Web http://
SNMP SMTP Internet
Proxy Firewall IPS
Almacenamiento
Archivos Patches Hot
y Directorios
Fix
Seguridades en Infraestructura Tecnolgica Seguridad Cliente/Servidor

Riesgos en Cliente / Servidor
Los controles de acceso pueden ser dbiles en un
ambiente cliente-servidor
Los procedimientos de administracin y control de
cambios
La prdida de la disponibilidad de la red puede tener un
serio impacto sobre el negocio o sus servicios

Obsolecencia de los componentes de la red El uso de modems que conectan la red a otras redes
Seguridades en Infraestructura Tecnolgica Seguridad Cliente/Servidor

Riesgos en Cliente / Servidor
La conexin de la red a redes telefnicas interconectadas
puede ser dbil

Cambios a los sistemas o datos Acceso a datos confidenciales y modificacin de datos sin
autorizacin
El cdigo de la aplicacin y los datos no pueden ser
localizados en una sola mquina ubicada en un centro de
cmputo asegurado, como ocurre con los mainframes.

Seguridad Cliente/Servidor
Tcnicas de control implementadas
Acceso seguro a los datos o a la aplicacin Uso de dispositivos de monitoreo de red Tcnicas de encripcin de datos Sistemas de autenticacin Uso de programas de control de acceso a nivel
de la aplicacin
Seguridades en Infraestructura Tecnolgica Amenazas de Seguridad Inalmbrica y Mitigacin de Riesgos Categoras:

Errores y Omisiones Fraude y Robo Sabotaje por empleados Prdida de soporte fsico e infraestructura Hackers maliciosos (Crackers) Espionaje industrial Cdigo malicioso Espionaje de gobierno extranjero Amenazas a la privacidad personal
Seguridades en Infraestructura Tecnolgica Amenazas de Seguridad Inalmbrica y Mitigacin de Riesgos

Accesos a dispositivos inalmbricos:
War Driving (escaneo en auto) War Walking (escaneo a pie) War Chalking (marcacin en aceras y paredes de puntos de acceso inalmbrico)

Amenazas y Seguridad de Internet
Ataques pasivos

Anlisis de red Fisgoneo Anlisis de trfico
Ataques activos

Ataque de fuerza bruta Enmascaramiento Retorno de paquetes Modificacin de mensajes Acceso no autorizado a travs de servicios de Internet o basados en Web Negacin de servicio Ataques de penetracin por llamada Bombardeo y envo de E-mail no deseado Suplantacin de E-mail

Seguridades y amenazas en Internet
Impacto de las Amenazas de Internet

Prdida de ingresos Incremento en los costos de recuperacin Incremento en los costos retrospectivos de seguridad de los sistemas Prdida de informacin Prdida de secretos comerciales Dao a la reputacin Incumplimiento de leyes / regulaciones Incumplimiento de acuerdos contractuales Acciones legales de los clientes por prdida de informacin confidencial
Amenazas y Seguridad en Internet Factores que son causa de ataques en internet

Disponibilidad de herramientas y tcnicas en Internet Falta de conciencia y entrenamiento en seguridad Aprovechar las Vulnerabilidades de seguridad Seguridad inadecuada en firewalls
Controles de Seguridad en Internet
Seguridades en Internet
Es seguro el Internet?
Principales Riesgos
Captura de PC desde el exterior
Spamming
Robo de informacin
Destruccin de equipamiento
Violacin de e-mails
Incumplimiento de leyes y regulaciones
Violacin de contraseas
Intercepcin y modificacin de e-mails

Violacin de la privacidad de los empleados
empleados deshonestos
Virus
Fraudes informticos
Ingeniera social
Programas bomba
Interrupcin de los servicios
Destruccin de soportes documentales

Robo o extravo de notebooks
Acceso clandestino a redes

Acceso indebido a documentos impresos
Indisponibilidad de informacin clave
Software ilegal
Intercepcin de comunicaciones
Falsificacin de informacin para terceros
Agujeros de seguridad de redes conectadas
Principales Riesgos
Instalaciones default
Escalamiento de privilegios
Password cracking
Man in the middle
Puertos vulnerables abiertos

Exploits
Servicios de log inexistentes o que no son chequeados Denegacin de servicio

ltimos parches no instalados
Backups inexistentes
Port scanning
Desactualizacin
Replay attack
Keylogging
Principales riesgos y el impacto en los negocios
Desde cualquier PC fuera de la Compaa se puede tomar control de cualquier PC dentro de la Compaa.
Alguien puede mandar e-mails en nombre de otro. En minutos, cualquier usuario puede conocer las contraseas.
Los e-mails y documentos pueden ser modificados en cualquier punto de la red.
consultados
Cualquier usuario puede infectar con virus la red de la Compaa.
La mayor parte de los fraudes son a travs del uso de los sistemas.
Cualquier hacker puede dejar los sistemas sin servicios. Una compaa puede ser enjuiciada por incumplimiento de leyes y reglamentaciones (Habeas Data, Propiedad Intelectual).
Se pueden robar o extraviar computadoras porttiles con informacin crtica.

Se puede acceder indebidamente a las redes a travs de Internet o va MODEM.
Las comunicaciones satelitales pueden ser interceptadas.

Los equipos informticos pueden sufrir cadas o destrucciones. Ciertos programadores pueden bomba. Pueden existir programas informacin sensitiva. tipo desarrollar troyanos programas tipo para capturar
Puede haber escuchas de comunicaciones telefnicas de voz y de datos.
Los comprobantes legalmente requeridos pueden no estar disponibles.

La informacin impresa puede ser copiada. En los sistemas de la Compaa se mantiene informacin no apropiada. En los equipos puede haber software no licenciado. La propiedad de la informacin y desarrollo a favor de la Compaa puede no estar asegurada. El personal contratado puede no tener los mismos niveles de seguridad en sus equipos. Algunos empleados y terceros pueden no mantener contratos de confidencialidad.
Los soportes de la informacin pueden ser robados o destruidos.
Se puede distribuir informacin alterada a socios, accionistas, auditores y entes de contralor.

Se puede no disponer de la informacin en el momento adecuado.
Puede haber envos de mails annimos con informacin crtica o con agresiones.
Se pueden distribuir datos que atenten contra la privacidad de los empleados.
Se puede obtener la documentacin impresa de la basura.

Alguien puede acceder a la informacin no recogida de las impresoras.
Sistemas de Seguridad Firewall

Caractersticas generales de los Firewall Tipos de firewalls
Enrutador de filtrado de paquetes Sistemas de firewall de aplicacin
Inspeccin total de estado
Funciones del Firewall

El Firewall conceptualmente es el equipo que ofrece las mayores seguridades en Internet, y un firewall que se precie de ser robusto en su seguridad debe incluir en su ncleo el status inspection. Las funciones principales de un firewall son: 1.- Control de acceso 2.- Traslacin de direcciones 3.- Autenticacin 4.- Balanceo de carga 5.- Seguridad de Contenido 6.- Encriptacin(para permitir establecer VPNs en el Internet)
Seguridades en Infraestructura Tecnolgica La Inspeccin de estado(Status Inspection)

Aplicacin
IP
TCP
Session
Aplication
Presentacin
Sesin Transporte Si Red Log/Alert Paquete concuerda con alguna poltica?
No
Siguiente regla
Enlace Fsica Si Pasa el paquete? No Enviar NACK
No
Drop el paquete
Tipos bsicos de Firewall

Conceptualmente, hay dos tipos de firewalls: Nivel de red Hardware y Software (Ejemplos)
CHEKPOINT
CISCO PIX
Nivel de aplicacin - Software (Ejemplos)
ISA SERVER
Ip Chains, IP Tables (Linux) Symantec
Seguridad de Infraestructura de la Red
Firewalls
Control de acceso
Seguridad de Infraestructura de la Red La poltica de seguridad y la regla de seguridad

Conceptualmente todos los Firewalls hacen lo mismo, si de Control de acceso se habla, por cuestiones didcticas se utilizar para explicaciones de los mecanismos de implementacin de reglas de seguridad y de polticas de seguridad, la interfaz grfica del Firewall de Check Point.
Se define como poltica de seguridad al conjunto de reglas que permiten o deniegan el uso de un servicio tanto externo como interno en una organizacin que tiene una conexin al Internet.
Regla de seguridad es cada uno de esos componentes que forman parte de una poltica de seguridad
Seguridad de Infraestructura de la Red Ejemplo de una poltica de seguridad
Seguridad de Infraestructura de la Red Los objetos de red

Para generar reglas de seguridad en ambientes grficos se recurre a la creacin de objetos de red, que normalmente van en los campos source y destination de la poltica de seguridad.
Objetos de Red: switch, routers, dominio, firewall, etc Servicios (tcp, udp) Recursos (url, ftp, smtp) Servidores (UFP, CVP, RADIUS, TACCAS, LDAP, etc.) Users (Autentication user, client, encription)
Seguridad de Infraestructura de la Red Acciones a tomarse en una regla
Seguridad de Infraestructura de la Red Ejercicios de diseo de seguridad

En esta parte se harn algunos ejercicios para entender en general como se disea las reglas de seguridad en distintos entornos. Acceso a pginas web externas con o sin DNS server interno.
Correo Electrnico saliente y entrante.

Creacin de DMZ y polticas de uso, en esta parte se incluye el acceso tanto de la intranet como del internet a la DMZ.
Estructura de una red Firewall

Classic Demilitarized Zone (DMZ)
Internet
Router
1 2
Corporate Network
Router
4
Architecture Components 1. Filtering Router

3
2. Firewall 3. Public Internet Servers 4. Filtering Router
Firewalls
Traslacin de direcciones (NATs)
Seguridad de Infraestructura de la Red NAT (Network Address Translation)

Traslacin de Direccin
Introduccin La traslacin de direccin permite ocultar las direcciones IP de la red protegida de redes externas. Algunos trminos claves -Network Address Translation (NAT) -Direccin IP -Clases de Direccionamiento

Nmeros disponibles de clases de red y rangos de direcciones Ip disponibles son mostradas en la tabla: Nmero de Clase de Red Rango de direcciones IP disponibles
10.0.0.0 10.255.255.255 172.16.0.0 172.31.255.255 192.168.0.0 192.168.255.255
1 Class A Network Number 16 Class B Network Number 256 Class C Network Number

Cmo los firewall leen las direcciones IP
Los firewalls trasladan las direcciones transparentemente. Cuando un paquete ingresa al firewall de la red interna para salir a una red externa, este paquete es trasladado antes de alcanzar su destino. NAT actualiza su tabla interna y traslada el paquete, releyendo la direccin IP a una nueva, direccin IP legal. Cuando un paquete ingresa del Internet a la red interna, NAT traslada el paquete, releyendo su direccin IP a su direccin original ilegal.
Legal IP Address
204.32.38.0
NAT
Network
Address
Ilegal IP Address 192.168.1.0
Legal IP Address 204.32.38.0
Translation

Los siguientes son modos de Traslacin de Direccin de los firewalls.
-Static source mode traslada direcciones IP internas ilegales a direcciones IP legales.

-Static destination mode Traslada una direccin IP legal externa a una direccin IP ilegal. -Hide mode Oculta direcciones IP ilegales detrs de una direccin legal.

Modo Static Source El modo Static Source traslada direcciones IP invlidas a direcciones IP validas, como se muestra en la figura El modo Statics Source es usado cuando la conexin es iniciada por un cliente interno con una direccin IP invlida.
Source Static Mode

Modo Static Destination El modo static destination traslada direcciones IP externas vlidas a direcciones IP invlidas para conexiones iniciadas por un cliente externo, como se muestra en la figura: El modo static destination es usado cuando servidores dentro de la red interna tienen direcciones IP invlidas, y asegura que el paquete entrante a la red interna llegue a su destino propio.
Destination
Static Mode

Modo Hide Actualmente la industria de la computacin sufre de un limitado suministro de direcciones IP. Para aliviar este problema, el modo hide le permite ocultar una red entera de direcciones IP detrs de una direccin IP, como se muestra en la figura. Con el modo hide, usted solamente necesita una direccin IP para comunicarse con redes externas o con Internet.
Red 192.168.2.0
N A T

Como definir una Regla NAT en un firewall
La regla base de traslacin de direccin consta de dos elementos:
Condicin que especifica cuando una regla es aplicada. La accin a ser tomada cuando una regla es aplicada.
Cuando una regla es aplicada Paquete original Paquete trasladado
Accin a ser tomada Definir origen, destino y servicio. Definir origen, destino y servicio.
Normalmente los firewalls manejan sus reglas de traslacin de direcciones de manera independiente de las reglas de seguridad.

Ejercicio Network Address Translation (Hide Method)
Objetivo: Los estudiantes realizarn un anlisis de cmo configurarn las reglas de Traslacin de direcciones en modo hide para salida al Internet con servicio http de todas las mquinas protegidas por un firewall que tiene tres puertos de LAN, dos puertos internos y un puerto externo, adicionalmente, en la red DMZ, se encuentra el web server de la organizacin, por lo que tambin las mquinas internas debern poder acceder al web server corporativo.
Seguridades en Infraestructura Tecnolgica Firewall Checkpoint Ejemplo Reglas
Sistemas de Seguridad Firewall

Aspectos a considerar
Falsa sensacin de seguridad
La cobertura de la seguridad provista por el Firewall

Firewall mal configurado Elementos que constituyen un Firewall Las actividades de monitoreo no se llevan a cabo
regularmente
Polticas del Firewall
POLITICAS DE LA ARQUITECTURA
Toda Red que se conecta a la Internet debe tener un Firewall. Todo Firewall debe tener por lo menos 3 Interfaces LAN, y si es necesario una WAN. Todo Firewall en una de sus Interfaces debe configurar por lo menos una red desmilitarizada (DMZ). No se puede tener un servidor de Acceso Remoto dentro de una red donde se tengan servidores sean estos BASTION o Internos. El Hardware dedicado a controlar el acceso de paquetes debe estar independiente del dispositivo que se encargue de rutear paquetes. Todo servicio de Acceso Remoto debe ser controlado por un servicio de autenticacin como es RADIUS. Cualquier usuario que desee salir a la Internet debe hacer uso de PROXYS que se encuentran en la red desmilitarizada. Nunca un usuario debe salir a la red externa directamente. Un usuario interno nunca debe hacer uso de una conexin DIAL-UP hacia un proveedor de Internet si est conectado a la red Interna. Todo servidor de servicio debe estar siempre tras del Firewall. En la red desmilitarizada debe existir un equipo que permita ver el acceso de intrusos. Un equipo no puede estar conectado con una Interfaz a la red desmilitarizada y con otra a la red Interna realizando un puente. Todo usuario externo que desee ingresar a la red Internet debe estar controlado por Firewall. El Firewall no debe tener interfaces wan. El servicio de Banca en Lnea debe estar a travs de un Gateway. El servicio de correo debe tener un servidor de Relay en la red desmilitarizada. Todo servidor que tenga Sistema Operativo Windows y trabajando con el servicio de correo, debe estar dentro de la red Interna
POLITICAS DEL SISTEMA OPERATIVO

Todo Sistema Operativo debe ser instalado con los ltimos parches que el fabricante los haya publicado.
Todo Sistema Operativo debe tener abierto solamente el puerto del servicio que va a brindar como puede ser: ftp puerto21, http puerto 80, etc.
Todo Sistema Operativo debe hacer uso de niveles de acceso de usuario a travs de perfiles de usuario. Todo Sistema Operativo debe llevar un Log de acceso de usuarios. Todo Sistema Operativo debe llevar un registro de los comandos ejecutados. El Sistema Operativo que se instale en la red desmilitarizada, debe ser robusto y bien estructurado, de preferencia basado bajo Unix/Linux. El password de administrador debe ser cambiada cada mes. El password de administrador no debe tener caracteres alfanumricos. Todo servidor Bastion debe tener habilitado el servicio SSH2 para administracin.
POLITICAS DEL CORREO

El el firewall debe existir una regla donde cualquier IP externa se conecte al servidor de correo por el puerto 25 (smtp).
En el Firewall de todo servidor de correo que est en la red Interna y tenga salida a la Internet, se debe realizar un NAT.
Todo servidor de correo que est en la red Interna y tenga salida a la Internet, en el Firewall debe tener una regla en donde la direccin IP de inicio se conecte a la direccin IP destino. Donde la direccin IP destino es la direccin del servidor Bastin de Relay de correo. En el Firewall debe existir una regla de POP3 que permita al usuario de Acceso Remoto bajarse los correos del servidor respectivo.
Todo usuario remoto que se conecte desde la Internet a un servidor de correo que se encuentre en la red Interna debe tener una regla en el Firewall que nos permita formar una VPN.
El Firewall debe tener la regla que permita reservar el 40% del canal para el servicio de correo de Internet. Todo servidor de correo que tenga el software de Microsoft Exchange en el Firewall se debe habilitar los puertos necesarios para bajarse los correos.
POLITICAS DE DNS
Debe existir la comunicacin de los puertos domain UDP y domain TCP (53), solamente entre el servidor primario y secundario de DNS. El servidor DNS primario debe salir por el puerto domain UDP hacia todos los servidores DNS de la Internet. Todos los servidores DNS de la Internet deben ver al servidor DNS primario de la Institucin con el puerto domain UDP. Todo servidor DNS primario debe tener registrado al menos un servidor DNS secundario para mejorar su disponibilidad. Toda Institucin que requiera registrar un dominio en la Internet necesita de un servidor DNS primario. Todo servidor bastin debe tener configurado el servicio de DNS.

Sistemas de Deteccin de Intrusos (IDS) Un IDS trabaja en conjunto con routers y Firewalls para monitorear las anomalas en el uso de la red IDS basados en red IDS basados en Host Componentes: Sensores responsables de recoger datos Sistemas de anlisis que reciben la informacin de los sensores y determinan si una actividad es intrusiva Consola de administracin Interfase con el usuario

Sistemas de Deteccin de Intrusos (IDS) Tipos: Basados en firmas Basados en estadsticas Redes neuronales Caractersticas: Deteccin de intrusin Obtencin de evidencia sobre actividades intrusivas Respuesta automtica Monitoreo a la seguridad Interfases con herramientas del sistema Administracin de polticas de seguridad
Sistemas de Deteccin de Intrusos (IDS)

Limitantes Debilidad en la definicin de polticas Vulnerabilidades a nivel de aplicacin Puertas traseras en las aplicaciones Debilidad en esquemas de identificacin y autenticacin Reactivos NO Proactivos (IPS)
Encripcin
Elementos clave de los sistemas de encripcin
Algoritmo de Encripcin Llaves de Encripcin Longitud de la llave
Sistemas criptogrficos de llave privada Sistemas criptogrficos de llave pblica

Privacidad: Criptografa
ASIMETRICA Intercambio de claves utilizando criptografia de clave publica y privada
Pblica
SIMETRICA Intercambio de claves utilizando criptografia simtrica
A
Privada
B
Privada
Pblica
1 ) A y B toman las claves publicas desde alguna base de datos como x ej. Verisign. 2) A encripta su mensaje usando la clave publica de B y lo enva a B. 3 ) B desencripta el mensaje de A usando su propia clave privada.
1 ) A y B acuerdan un mismo sistema de criptografa. 2 ) A y B acuerdan una clave. 3 ) A toma su mensaje de texto plano y lo encripta usando el algoritmo y la clave acordada, creando un mensaje de texto cifrado. 4 ) A enva el mensaje de texto cifrado a B. 5 ) B desencripta el mensaje de texto cifrado con el mismo algoritmo y clave y luego lo lee.

Clave pblica: Es una clave alfanumerca creada por medio de algoritmos matemticos que sirve para encriptar una serie de datos. Suele ser creada junto con una clave privada, la clave pblica se suele llamar tambin llave pblica.
Clave privada: Es una clave alfanumerca creada por medio de algoritmos matemticos que sirve para desencriptar una serie de datos que han sido creados por la clave pblica que forma la pareja.
Encripcin
Firmas Digitales
Integridad de datos
Autenticacin
No repudio
Proteccin de respuesta

Firma digital: Es el conjunto de datos en forma electrnica utilizados como medio para identificar formalmente el autor o a los autores del documento que la recoge.
Verificacin: Es el inverso de la firma, verifica que una firma es autntica,asegurando simultneamente la integridad del documento
Seguridades en Infraestructura Tecnolgica Certificados Digitales

Las Autoridades de Certificacin cumplen con una funcin notarial en donde verifican la identidad, solvencia de usuarios y entidades proporcionando un "certificado digital"
Certificado Digital: Es la certificacin electrnica que vincula unos datos de verificacin de firma de un signatario y confirma su identidad
Certificados Digitales
Un certificado digital contiene: Nmero serial del certificado Informacin del algoritmo usado por el emisor
Fecha de Validez De/Hasta
Informacin de clave
0000123 SHA, DH, 3837829 1/1/93 to 12/31/98 Alice Smith, Acme Corp DH, 3813710 ... Acme Corporation, Security Dept.
pblica de usuario Firma de la autoridad emisora
SHA, DH, 2393702347 ...
Encripcin
Infraestructura de Llave Pblica
Certificado Digital Autoridad de Certificacin (CA) Autoridad de Registro (RA) Lista de revocacin de certificados (CRL) Declaracin de prctica de certificacin (CPS)

Encripcin (continuacin)
Uso de la encripcin en Protocolos OSI

Capa de puertos o canales seguros (SSL) Protocolo de transferencia segura de hipertexto S-
HTTP IPSEC (VPNs) SSH Extensiones seguras de correo Internet de propsito mltiple (S/MIME) Transacciones electrnicas seguras (SET)
Encripcin (continuacin)
Riesgos de encripcin y proteccin de
contraseas Virus Controles de virus y gusanos Controles tcnicos Estrategias de implementacin de software antivirus
Voz sobre IP
Sonidos digitalizados en paquetes IP y transferidos por la capa de red antes de ser decodificados en la voz original. Costos bajos
Problemas de seguridad: intercepcin de conversaciones Solucin: Firewalls, encriptacin
PBX: Riesgos y Controles

Riesgos:
Robo de servicio Revelacin de informacin Modificacin de datos Acceso no autorizado Negacin de Servicio Anlisis de trfico
Controles:
Auditora al software de PBX Contraseas de acceso administrativo
Auditora a la Seguridad en Infraestructura Tecnolgica
Auditora a los accesos remotos

Auditando los puntos de presencia en internet Pruebas de penetracin a la red Revisin de los anlisis realizados a toda la red Anlisis de las redes LAN Desarrollo y autorizacin a los cambios en la red Cambios no autorizados
Qu es un Test de Penetracin?
Emula tcnicas y comportamientos que pueden ser utilizados por intrusos con el objetivo de analizar el nivel de seguridad de los sistemas Permite detectar vulnerabilidades en el Sistema Informtico y corregirlas en forma muy rpida y eficaz
Metodologas de Penetration Testing

Tipos de Test basados en tiempo y Costo
Open Source Security Testing Methodology

Desarrollada por Pete Herzog - http://www.ideahamster.org/
Metodologa de Penetration Test :

Fase de Descubrimiento. Fase de Exploracin. Fase de Evaluacin. Fase de Intrusin.
Fase de Descubrimiento
Recoleccin de informacin. Descubriendo la red. Fuentes de informacin en Internet. Direccin fsica. Nmeros telefnicos. Nombres de personas y cuentas de e-mail. Rango de direcciones IP. Informacin de prensa sobre el lugar. Anlisis de la pgina WEB. Evaluacin del cdigo fuente.
Fase de Descubrimiento: Examinar la red

Es el primer paso a realizar Se determinan los datos siguientes:
Nombres de dominio Nombres de los servidores Direcciones IP Mapa de la red Informacin sobre el ISP Propietarios de los servicios y/o servidores
Fase de Descubrimiento: Examinar la red

Para lograr los resultados anteriores tambin se pueden analizar: los enlaces en las pginas web, buscando posibles enlaces internos informacin puesta en grupos de noticias desde la entidad analizada los encabezamientos de los correos buscando informacin interna de la entidad
Fase de Exploracin

Exploracin de posibles puertas de entrada. Scanning telefnico. Scanning de rangos de direcciones IP. Anlisis de protocolo SNMP. Anlisis de paquetes ICMP. Determinacin de protocolos utilizados: (TCP/IP, Netbios, IPX, etc). Direcciones IP de Internet. Transferencias de dominios. Anlisis de paquetes ICMP. Determinacin de protocolos utilizados (TCP/IP, Netbios, IPX, etc).Direcciones IP de Internet. Transferencias de dominios. Scanning de puertos TCP/UDP en el rango de direcciones IP. Anlisis de la configuracin de cada servicio. Anlisis de banners. Deteccin remota de sistemas operativos.
Fase de Exploracin: Bsqueda de puertos

En cada mquina pueden estar abiertos 65536 puertos TCP y UDP, pero no todos tienen la misma importancia En esta bsqueda se debe obtener:
Puertos abiertos, cerrados y filtrados Direcciones IP de los sistemas activos Lista de protocolos encapsulados descubiertos Protocolos de enrutamiento Servicios activos Mapa de red
Fase de Exploracin: Sistemas Operativos

En esta fase tratamos de detectar los sistemas operativos que se ejecutan el los diversos servidores encontrados Como resultado debemos obtener: Sistema Operativo Versin del SO Parches aplicados
Fase de Exploracin: Pruebas de servicios
En esta fase intentamos determinar que aplicacin est detrs de cada puerto abierto Como resultado debemos obtener:
Aplicacin que se est ejecutando Parches de esa aplicacin
Fase de Evaluacin
Deteccin de vulnerabilidades en forma remota. Herramientas de deteccin de vulnerabilidades de red. Herramientas de deteccin de vulnerabilidades de host. Intento de acceso va mdems o accesos remotos detectados. Testing de seguridad de un Router. Testing de seguridad de un Server UNIX. Testing de seguridad de un Server Windows NT/2000/2003. Testing de seguridad de un Firewall. Evaluacin de las reglas del Firewall. Testing de seguridad de un DNS Server. Testing de seguridad de un Web Server. Evaluacin de seguridad de un Mail Server. Evaluacin de seguridad de una Base de Datos.
Fase de Evaluacin: Bsqueda automatizada de vulnerabilidades

En esta fase buscamos huecos y vulnerabilidades en los sistemas Debemos hacer pruebas cruzadas con al menos dos herramientas distintas Como resultado debemos obtener:
Lista de sistemas vulnerables Tipo de aplicacin o servicio por vulnerabilidad Parches aplicados al sistema
Fase de Evaluacin: Bsqueda de vulnerabilidades

En esta fase realizamos una bsqueda utilizando todos los medios que tengamos a nuestro alcance: web, IRC, grupos de noticias, sitios web populares. El objetivo es encontrar otras vulnerabilidades en los sistemas y servicios identificados
Fase de Evaluacin: Verificacin manual En esta etapa debemos validar nuestros resultados Es el momento de eliminar los falsos positivos Hay que verificar si en nuestro contrato se encuentra este estudio, pues podemos afectar los sistemas bajo estudio
Fase de Evaluacin: Pruebas de aplicaciones En esta etapa se analizan las aplicaciones utilizadas en la entidad Como resultado se debe obtener:
Lista de aplicaciones Lista de componentes de estas aplicaciones Lista de vulnerabilidades Lista de las relaciones de confianza en estas aplicaciones
Fase de Evaluacin: Pruebas del Firewall

Las listas de control de acceso (ACL) en los enrutadores y firewalls son otro punto importante a medir Debemos validar que estas ACL implementan las polticas de la entidad En esta prueba debemos obtener:
Informacin sobre el/los firewalls Informacin sobre el/los enrutadores Un bosquejo de las polticas representadas por las ACL
Fase de Evaluacin: Pruebas de IDS

Esta prueba est orientada a determinar la sensibilidad de los IDS instalados Debemos obtener los siguientes datos:
Tipo de IDS Comportamiento del IDS bajo una carga extrema Tipos de paquetes descartados por el IDS Protocolos descartados por el IDS Tiempo de reaccin del IDS Tipo de alarmas del IDS Sensibilidad del IDS Reglas del IDS
Fase de Evaluacin: Revisin de las polticas de seguridad

En esta etapa debemos validar que las polticas dictadas por la entidad no estn en contradiccin con los datos recolectados Aqu se pueden analizar los mdem internos y mquinas de fax Debemos obtener:
Lista de las diferencias entre lo dispuesto y lo real Listado de conexiones entrantes no acordes a la poltica Listado de conexiones salientes no acordes a la poltica
Fase de Evaluacin: Anlisis de contraseas

En esta etapa intentamos encontrar cuentas con claves fciles Debemos obtener como resultado:
Ficheros de claves resistentes o rotos Lista de usuarios con nivel de usuario o administrador Lista de sistemas vulnerables por contraseas Lista de documentos con contraseas dbiles Lista de sistemas con usuarios cuya clave sea el mismo nombre de usuario
Fase de Evaluacin: Pruebas de denegacin de servicios

En estas pruebas debemos validar el funcionamiento de la entidad cuando uno de sus sistemas cae bajo un ataque de denegacin de servicio y cules son los puntos ms vulnerables En esta prueba obtenemos:
Lista de puntos dbiles en el sistema Una lnea base del funcionamiento del sistema Comportamiento de los sistemas bajo carga extrema Lista de sistemas vulnerables a DOS
Fase de Evaluacin: Revisin de las bitcoras de IDS y servidores de logs

En algunos casos, el analista no obtiene toda la informacin necesaria del estudio del IDS En esta prueba obtenemos:
Lista de falsos positivos en el IDS Lista de alarmas no registradas por el IDS Lista de paquetes que entraron, ordenados por puertos Lista de protocolos que se utilizaron el la red Lista de caminos no monitoreados en la red
Fase de Evaluacin: Ingeniera social

Como resultado de esta etapa obtenemos informacin til para acceder a los sistemas o sobre inseguridades presentes Podemos llamar a un administrador y decirle que hemos olvidado nuestra clave o contactar con un usuario y pedirle la clave simulando ser el administrador
Fase de Evaluacin: Pruebas de conexiones inalmbricas

En esta fase debemos encontrar los puntos de acceso inalmbrico de la red y el alcance de estas entradas
Debemos validar que las conexiones as establecidas son seguras y no pueden ser trampeadas
Fase de Intrusin
Determinacin de vulnerabilidades de seguridad. Utilizacin de ingeniera social para obtencin de informacin. Intento de explotar las vulnerabilidades detectadas Mtodos para detectar falsos positivos. Exploits y su utilizacin. Obtencin de los privilegios del administrador del sistema. Acceso a informacin interna. Generacin de archivos demo.
Conclusin: Evaluacin y correccin

Evaluacin de los resultados obtenidos. Determinacin de niveles de riesgo. Propuesta de soluciones de seguridad. Correccin de las vulnerabilidades detectadas.
Auditora a la seguridad de la infraestructura de la red
Computacin Forense
Proceso de identificacin, preservacin, anlisis y presentacin de evidencias digitales de tal forma que sea legalmente aceptable
en cualquier accin legal

(tribunal)

Seguridades en Redes e Internet Final - Epn

Încărcat de

Informații document

Titlu original

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Seguridades en Redes e Internet Final - Epn

Încărcat de

Drepturi de autor:

Formate disponibile

ESCUELA POLITECNICA NACIONAL

Facultad de Ingeniera de Sistemas Informticos y de Computacin

SEGURIDADES EN REDES E INTERNET

E-mail: juan.herrera@leveltech.com.ec www.leveltech.com.ec

Seguridades en Infraestructura Tecnolgica

La informacin, y la infraestructura. Activo vital en cualquier organizacin.

Seguridades en Infraestructura Tecnolgica

Seguridad: Principales preocupaciones de las empresas

Necesidad de cumplir con regulaciones externas (Sarbanes Oaxley, ISO 27001,etc)

Convergencia de la seguridad fsica y seguridad lgica.

Seguridades en Infraestructura Tecnolgica

Complejidad de los mtodos

Seguridades en Infraestructura Tecnolgica Enfoque tradicional de seguridad

Seguridad en Infraestructura de IT Seguridad en Aplicaciones

Seguridades en Infraestructura Tecnolgica

ADMINISTRACIN CENTRALIZADA DE SEGURIDAD

POL. - NORMAS PROC. - EST. HERRAM.

Seguridades en Infraestructura Tecnolgica

APLICACIONES DE NEGOCIO Y FINANCIERAS

Seguridades en Infraestructura Tecnolgica

Esquema de Seguridad Base

RAS Web http://

SNMP SMTP Internet

Proxy Firewall IPS

Seguridades en Infraestructura Tecnolgica Seguridad Cliente/Servidor

serio impacto sobre el negocio o sus servicios

Seguridades en Infraestructura Tecnolgica Seguridad Cliente/Servidor

puede ser dbil

localizados en una sola mquina ubicada en un centro de

cmputo asegurado, como ocurre con los mainframes.

Seguridades en Infraestructura Tecnolgica

Seguridades en Infraestructura Tecnolgica Amenazas de Seguridad Inalmbrica y Mitigacin de Riesgos Categoras:

Seguridades en Infraestructura Tecnolgica Amenazas de Seguridad Inalmbrica y Mitigacin de Riesgos

Seguridades en Infraestructura Tecnolgica

Anlisis de red Fisgoneo Anlisis de trfico

Seguridades en Infraestructura Tecnolgica

Seguridades en Infraestructura Tecnolgica

Amenazas y Seguridad en Internet Factores que son causa de ataques en internet

Controles de Seguridad en Internet

Intercepcin y modificacin de e-mails

Interrupcin de los servicios

Destruccin de soportes documentales

Acceso clandestino a redes

Falsificacin de informacin para terceros

Agujeros de seguridad de redes conectadas

Puertos vulnerables abiertos

Servicios de log inexistentes o que no son chequeados Denegacin de servicio

Principales riesgos y el impacto en los negocios

Los e-mails y documentos pueden ser modificados en cualquier punto de la red.

Cualquier usuario puede infectar con virus la red de la Compaa.

Principales riesgos y el impacto en los negocios

Se pueden robar o extraviar computadoras porttiles con informacin crtica.

Las comunicaciones satelitales pueden ser interceptadas.

Puede haber escuchas de comunicaciones telefnicas de voz y de datos.

Principales riesgos y el impacto en los negocios

Los comprobantes legalmente requeridos pueden no estar disponibles.

Principales riesgos y el impacto en los negocios

Los soportes de la informacin pueden ser robados o destruidos.

Se puede distribuir informacin alterada a socios, accionistas, auditores y entes de contralor.

Se puede obtener la documentacin impresa de la basura.

Seguridades en Infraestructura Tecnolgica

Sistemas de Seguridad Firewall

Inspeccin total de estado