Fundamentos de

Seguridad
Security Expert
Program
Sección 1: Principios de
Seguridad
¿QUÉ ES SEGURIDAD?

La protección proporcionada a
un sistema de información
automatizada para lograr
objetivos aplicables de
preservación de la integridad,
de disponibilidad y de
confidencialidad de la
información
ALGUNAS ESTADÍSTICAS

El Computer Emergency Response Team

( CERT ) ha
proporcionado las siguientes estadísticas:
 Uno de cada cinco sitios Internet ha
experimentado una brecha de seguridad
 Las pérdidas debido a las brechas de
seguridad se estiman en $ 10 billones
anualmente
 Las intrusiones se han incrementado en
un estimado de 50% con respecto al año
pasado
¿QUÉ ES UNA MATRIZ DE
SEGURIDAD?

 Todos los componentes usados

por una compañía para
proporcionar una estrategia de
seguridad
 Incluye hardware, software,
entrenamiento de los
empleados, políticas de
seguridad, etc.
ATRIBUTOS DE UN SISTEMA DE
SEGURIDAD EFECTIVO

 Permite el control de los accesos

 Fácil de usar
 Apropiado costo de propiedad
 Flexible y escalable
 Sistema superior de alarmas y
reportes
TIPOS DE ATAQUES
TIPOS DE ATAQUES

 Por la puerta principal

 Por la fuerza bruta
 Por errores en los sistemas
operativos o en los programas
 Por la puerta falsa
 Por ingeniería social
 Indirectos
ATAQUES POR LA PUERTA PRINCIPAL

 Tienen como objetivo derrotar al

proceso de autenticación del
sistema
 En un ataque por la puerta
principal, un hacker entra al
sistema disfrazado como un
usuario legítimo
ATAQUES POR LA FUERZA BRUTA

 Ataques de diccionario
 Sniffers
 Intentos repetidos de ingreso
SNIFFER
ATAQUES POR ERRORES EN LOS
SISTEMAS OPERATIVOS O EN LOS
PROGRAMAS

 Buffer overflow
ATAQUES POR LA PUERTA FALSA

 Root kits
 Programas de administración
remota:
 BackOrifice

 Netbus

 SubSeven
ATAQUES POR INGENIERÍA SOCIAL

 Preguntar por la contraseña

 E-mail fraudulentos
 Por obtención de información
delicada
ATAQUES INDIRECTOS

 Denegación de servicio
 Spoofing
 Virus
 Troyanos
 Fuga de información
 El hombre en medio
 Secuestro
TROYANOS
AMENAZAS A LA SEGURIDAD

Amenazas internas tales como

ataques internos o
vulnerabilidades de código

Amenazas externas tales

como ingeniería social
o virus
AMENAZAS INTERNAS

Ataques internos

Área restringida
de la red

 Falta de actualización de los parches de

seguridad
 Contraseñas débiles o en blanco
 Instalación por defecto con servicios
innecesarios
AMENAZAS EXTERNAS

Ingeniería
Social

Ataques
Ataques automatizados
organizativos

Datos
Restringidos

Brechas
accidentales en
la seguridad Denegación de
Virus, Caballos Servicio (DoS)
Troyanos,
and Gusanos
SEGURIDAD EXTERNA

 Se encarga de proteger y
controlar el acceso a una
instalación de computadoras de
intrusos y/o de desastres tales
como incendios e inundaciones
SEGURIDAD INTERNA

 Una serie de controles internos

diferentes a nivel de hardware y
de software encargados de
garantizar la operación confiable
de la red y velar por la
integridad de los programas y
datos
Caso de Estudio: El Nimda

Internet
Internet
Information
Information Service
Service
Caso de Estudio: Detección del
Nimda

Los síntomas del Nimda incluyen:

 La existencia de un archivo Root.exe en el sistema
 Un Admin.dll en las carpetas raíz c:\, d:\, or e:\
 La existencia de muchos archivos .eml ó .nws
 Archivos TFTP.xxx en la carpeta Inetpub\Scripts
 La presencia de la siguiente cadena en las bitácoras
del IIS:
/c+tftp%20-i%20x.x.x.x%20GET%20Admin.dll%20d:\Admin.dll
200
 Disminución del rendimiento de la red
Prevención General

 Pruebe y aplique los service packs y

hotfixes
 Corra un software antivirus
 Corra un Sistema de Detección de
Intrusos en el perímetro de su red
 Bloquee todos los mensajes que
contengan los archivos adjuntos
Readme.exe ó Admin.dll
 Reinstale los sistemas infectados
Protección del E-Mail

 Actualización del Microsoft Outlook

 Bloquea el script común y las extensiones
ejecutables
 Deshabilita el scripting activo
 Advierte a los usuarios acerca de los intentos de
acceder a la libreta de direcciones del Outlook o de
enviar e-mails
 Internet Explorer service packs para
Microsoft Outlook Express
 Internet Explorer 5.01 SP2
 Internet Explorer 5.5 SP2
 Internet Explorer 6 (requiere instalación completa en
upgrades)
Protección de los Servidores Web

Internet
Internet
Information
Information Service
Service
 Aplique los últimos hotfixes
 Instale el último service pack
 Instale los paquetes de seguridad roll-
up
 Remueva los componentes IIS
innecesarios
 Instale el UrlScan con el ajuste de
regla por defecto
Protección de los Servidores de
Archivos

 Remueva las comparticiones de

archivos
innecesarias
 Use una estrategia AGDLP ó AGUDLP
 Asigne el mínimo de permisos
requeridos
 Reforzar las contraseñas complejas
¿CUÁLES SON LAS NECESIDADES DE
PROTECCIÓN?

Existen cuatro grupos de recursos que

proteger:
 Recursos de usuarios finales
 Recursos de la red
 Recursos de los servidores
 Recursos de almacenamiento de
información y de bases de datos
PRINCIPIOS GENERALES DE
SEGURIDAD

 Sea paranoico
 Usted debe tener una política de
seguridad
 No utilice una sola técnica o un solo
sistema
 Use una estrategia de seguridad
integrada
 Proporcione entrenamiento
 Considere la seguridad física
Sección 2: Estimación de
Riesgos
ESTRATEGIAS PARA MANEJAR EL
RIESGO

Aceptación

Planes de
Avitamiento Riesgo Contingencia

Mitigación
ANALIZANDO EL RIESGO
1.
1. Identifique
Identifique
los
los
recursos
recursos
2.
2. Identifique
Identifique
las
las
amenazas
amenazas
5.
5. Revise
Revise el
el
plan
plan

4.Implemente
4.Implemente 3.
3. Calcule
Calcule
medidas
medidas la
la exposición
exposición
de
de
seguridad
seguridad
 IDENTIFICANDO LOS RECURSOS A
PROTEGER
1.
1. Identifique
Identifique
los
los
recursos
recursos
Software
Software

Hardware
Hardware
Datos
Datos

Personas
Personas
Documentación
Documentación
 IDENTIFICACIÓN DE LAS AMENAZAS

2.
2. IdentifIque
IdentifIque Ingeniería
las
las Social
amenazas
amenazas
Ataques
Ataques automatizados
organizativos

Datos
Restringidos

Brechas
accidentales en
la seguridad Denegación de
Virus, Caballos Servicio (DoS)
Troyanos,
and Gusanos
 CALCULANDO LA EXPOSICIÓN

3.
3. Calcule
Calcule la
la
exposición
exposición

Exposición
Exposición == Probabilidad
Probabilidad xx Impacto
Impacto

 Ejemplo
 Un riesgo de seguridad para los datos
valuado en $500,000 tiene un 75% de
probabilidad de ocurrir
 Multiplique 75% x $500,000 para calcular
un valor de exposición de $375,000
 Categorize los riesgos a la organización
basado en el valor de exposición
 IMPLEMENTACIÓN DE LAS MEDIDAS
DE SEGURIDAD
4.
4. Implemente
Implemente
las
las medidas
medidas
de
de seguridad
seguridad
Las medidas de seguridad pueden incluir:
 Prevención

 Poner bajo llave la sala del servidor

 Definir las políticas de seguridad

 Detección

 Sistemas de detección de intrusos y software

antivirus
 Auditoría

 Respuesta

 Respaldos y restauraciones, plan de ataque

 DESARROLLO DE UN PROGRAMA DE
MANTENIMIENTO DE SEGURIDAD

5.
5. Revise
Revise el
el
plan
plan

 Revise el plan el plan de seguridad

 Incluya los nuevos riesgos en el proceso de análisis
 Modifíquelo cuando ocurran cambios de personal, de
organización, de hardware o de software
 Ajuste los estándares de seguridad para acomodar
los cambios
 Investigue los problemas de seguridad
 Identifique, pruebe y despliegue actualizaciones
de seguridad
Discusión: Identificación de los
Riesgos de Seguridad

Internet

Firewall

Servidor Web
207.46.197.100
PUERTOS

 En las comunicaciones típicas entre dos

hosts:
 El cliente usa un puerto aleatorio arriba del
puerto 1023
 El servidor usa un puerto predefinido
 Una lista completa de los puertos está
disponible en
http://www.iana.org/assignments/port-
numbers
DETERMINACIÓN DE LOS PUERTOS
ABIERTOS

 Usted puede detereminar los puertos

abiertos:
 Remotamente usando un port scanner
 Localmente usando el comando
Netstat
Netstat –a -n
Netstat –a -n
PORT SCANNING

 El port scanning es un
método coún de
reconocimiento
 El IPSec puede restringir el
acceso sólo a los puertos
permitidos
 Configure la política de IPSec
según sus necesidades
PROPÓSITO DE LA POLÍTICA DE
SEGURIDAD

Una política de seguridad:


 Define los requerimientos de una organización
para el uso correcto de los compuatodores y de la
red

 Incluye los procedimientos para detectar, prevenir
y responder a los incidentes de seguridad

 Proporciona un marco para la implementación de
los planes y procedimientos de seguridad
EL PROCESO DEL PLAN DE
SEGURIDAD

Proceso
Proceso de
de cuatro
cuatro pasos
pasos

Establezca
Establezca el
el alcance
alcance del
del plan
plan

Cree
Cree un
un equipo
equipo de
de proyecto
proyecto

Desarrolle
Desarrolle un
un plan
plan basado
basado en
en la
la política
política de
de seguridad
seguridad

Pruebe
Pruebe yy despliegue
despliegue el
el plan
plan
Definición del Alcance del Plan de
Seguridad
Alcance
 Seleccione los riesgos
Remote
Usuario Plan de
Remoto
User Seguridad
 Seleccione el alcance

Internet

Remote
Oficina Oficina
Remota
Office Local
1
1 2
2 3
3
 Creación del Equipo de Proyecto

Equipo de
proyecto

Equipo de Equipo de Equipo de Gerencia de Equipo de

planeación instalaciónentrenamiento
nivel superior soporte
Desarrollando el Plan de Seguridad

Lista
Lista de
de verificación
verificación

Aprobación
Aprobación de
de la
la alta
alta gerencia
gerencia

Programa
Programa del
del proyecto
proyecto

Roles
Roles yy responsabilidades
responsabilidades claramente
claramente definidos
definidos

Tecnologías
Tecnologías de
de implementación
implementación

Requerimientos
Requerimientos de
de seguridad
seguridad

Documentación
Documentación
Prueba y Despliegue del Plan de
Seguridad
Agenda del proyecto
- Todas las tareas 11
- Fecha de entrega
Prueba e
implementación del
Plan de seguridad

22

44

Obtención de opinión
Actualización 33
de los participantes
del plan de
securidad
EL MANTENIMIENTO DEL PLAN DE
SEGURIDAD

 El mantenimiento actual del plan de

seguridad incluye:
 La suscripción a boletines de seguridad
y las revisión de los mismos
 Instalación de los service packs,
hotfixes, y parches
Sección 3: Elementos de
Seguridad
ENCRIPTACIÓN

 La encriptación habilita cuatro

servicios:
 Confidencialidad de los datos
 Integridad de los datos
 Autenticación
 No repudio
ENCRIPTACIÓN

 Categorías de encriptación:
 Simétrica
 Asimétrica
 Encriptación hash
ALGORITMOS DE ENCRIPTACIÓN
SIMÉTRICA

 DES
 Triple DES
 RSA
 RC2
 RC4
 IDEA
 MARS
 AES
ENCRIPTACIÓN ASIMÉTRICA

 La encriptación de clave asimétrica

usa un par de claves en el proceso de
encriptación, en lugar de una sola
clave utilizada en la encriptación de
clave simétrica
 Otro nombre para la encriptación
asimétrica es encriptación de clave
pública
 Para la comunicación sobre Internet
el sistema de clave asimétrica hace
más fácil la administración de las
claves
ELEMENTOS DE LA ENCRIPTACIÓN DE
CLAVE ASIMÉTRICA

 Los tres elementos más comunes de

las claves asimétricas son:
 RSA
 Algoritmo de Firma Digital ( DSA )
 Diffie-Hellman
LA ENCRIPTACIÓN HASH

 Algoritmos de Encriptación Hash:

 MD5
 Secure Hash Algorithm
ENCRIPTACIÓN APLICADA

 Encriptación de E-mail
 PGP
 S-MIME
 Encriptación de Servidores Web
 Secure HTPP
 Secure Sockets Layer
 Protocolos de Nivel de Red
 PPTP
 IPSec
 L2TP
INFRAESTRUCTURA DE CLAVE
PÚBLICA ( PKI )

 Elementos de la PKI:
 Autoridad de Certificados ( CA )
 Certificado CA
 Entidad Final
 Ruta de Certificación
 Autoridad de Registro ( RA )
AUTENTICACIÓN

 Técnicas de autenticación:
 Kerberos
 Generadores de contraseñas y
contraseñas a tiempo (OTP)
CONTROL DE ACCESOS

 Lista de Control de Acceso ( ACL )

 Lista de Control de Ejecución ( ECL )
AUDITORÍA

Tipos de auditoría según su origen:

Interna

Externa

Tipos de auditoría según su naturaleza:

Pasiva

Activa
CUANDO OCURRE UN ATAQUE

Lista
Lista de
de verificación
verificación

Identifique
Identifique el
el tipo
tipo de
de ataque
ataque

Informe
Informe al
al personal
personal

Contenga
Contenga el
el ataque
ataque

Identifique
Identifique las
las estrategias
estrategias defensivas
defensivas

Implemente
Implemente las
las medidas
medidas preventivas
preventivas

Documente
Documente el
el ataque
ataque
RECONOCIENDO UN ATAQUE
Event Viewer
 Revise la bitácora de
eventos

Performance Logs and Alerts

 Revise las variaciones del
rendimiento normal del sistema

Virus c+tftp%20-i
%20x.x.x.x
%20GET
 Use sistemas de
detección de intrusos
IDENTIFICACIÓN DEL TIPO DE
ATAQUE

 Investigue los recursos de

seguridad para recopilar
información
 Boletines de Seguridad
 Diarios de negocios
 Grupos de noticias
 Busque síntomas comunes de un
ataque específico
 Por ejemplo, Nimda requiere
Admin.dll ó Root.exe en los
paquetes HTTP
INFORMANDO AL PERSONAL DE LA
ORGANIZACIÓN

 Notifique el ataque al personal

mediante:
 E-mail
 Poniéndolo en la página principal de la
intranet
 Bulletin boards
 Comunicación verbal
 Mensajes de difusión de correo de voz
CONTENIENDO LOS EFECTOS DEL
ATAQUE

Después
Después de
de un
un ataque:
ataque:

Baje
Baje los
los servidores
servidores afectados
afectados

Remueva
Remueva de
de la
la red
red aa los
los computadores
computadores afectados
afectados

Remueva
Remueva aa la
la red
red de
de Internet
Internet
Evita
Evita exposición
exposición adicional
adicional desde
desde
Internet
Internet
Evita
Evita que
que su
su organización
organización se
se infecte
infecte
de
de otros
otros
Preserve
Preserve la
la evidencia
evidencia
IMPLEMENTACIÓN DE LAS MEDIDAS
PREVENTIVAS

Prevención
Prevención de
de los
los ataques
ataques

Actualize
Actualize las
las versiones
versiones de
de los
los
service
service pack
pack
Pruebe
Pruebe ee instale
instale los
los últimos
últimos service
service packs
packs
yy hotfixes
hotfixes
Corra
Corra sistemas
sistemas de
de detección
detección de
de
intrusos
intrusos
AA nivel
nivel del
del perímetro
perímetro de
de la
la red
red

Revise
Revise las
las bitácoras
bitácoras de
de eventos
eventos
regularmente
regularmente
Por
Por ejemplo,
ejemplo, los
los eventos
eventos de
de ingresos
ingresos aa la
la
red
red
DOCUMENTACIÓN DEL ATAQUE

Planifique
Planifique la
la documentación
documentación
Registre
Registre los
los detalles
detalles de
de los
los ataques
ataques

Lleve
Lleve aa cabo
cabo una
una reunión
reunión postmortem
postmortem

Desarrolle
Desarrolle un
un plan
plan de
de acción
acción para
para futuros
futuros
ataques
ataques
Modifique
Modifique lala política
política de
de
seguridad
seguridad yy el
el plan
plan de
de
seguridad
seguridad como
como sea
sea
necesario
necesario
Sección 4: Conceptos de
Firewalls
SERVICIOS DE PROTECCIÓN DEL
FIREWALL

LAN
LAN

Internet
Firewall

 Traducción de direcciones de red (NAT)

 Filtros de paquetes
 Publicación en servidores
 Inspección completa
PROTECCIÓN DEL ESQUEMA DE
DIRECCIONAMIENTO INTERNO
Traducción de Direcciones de Red
IP Fuente Port Fuente Destino IP Port Destino
192.168.10.1 1033 Any 80
207.46.197.100 1998

207.46.197.100

192.168.10.3
Internet

Firewall
 NAT
 Zonas DNS
 Direccionamiento 192.168.10.1
privado 192.168.10.2
FILTRAJE DE PROTOCOLOS

Red Pública Red Privada

SMTP SMTP
POP3 POP3
IMAP IMAP
FTP
Telnet Reglas
Reglas Firewall
Firewall
FirewallSMTP
POP3
IMAP
FTP
 Estrategia de Filtraje
Telnet

 Deniega todos los accesos

 Permite todos los accesos
REDES PERIMÉTRICAS

 Una red perimétrica:

 Aísla el acceso de Internet a un segmento
seguro de la red
 Contiene firewalls que protegen a la red
perimétrica y a la red privada
 Se puede configurar usando uno o más
firewalls
 Las redes perimétricas son también
conocidas como:
 DMZs
 Screened subnets
USANDO UNA DMZ

Red
Red perimétrica
perimétrica

Firewall
Externo

Internet Firewall
Interno

 Usa dos productos diferentes de firewall

 Conocida como Screenet Subnet Firewall
 Administración y configuración dual
Red
Red Interna
Interna