Análisis y monitoreo de redes

Transcripción

1 UNIVERSIDAD NACIONAL AUTÓNOMA DE MÉXICO Dirección General de Cómputo y de Tecnologías de Información y Comunicación Dirección de Docencia en TIC CURSOS DE SEGURIDAD INFORMÁTICA UNAM-CERT NOMBRE DEL CURSO (HORAS) Análisis y monitoreo de redes 20 Cómputo forense para administradores de sistemas 20 Hacking ético 20 Hardening en sistemas operativos LINUX 20 Técnicas de seguridad en aplicaciones web y bases de datos 20 Contenido temático de los cursos Análisis y monitoreo de redes La detección de intrusos se realiza a través del análisis de tráfico en la red y la correlación de eventos y alertas, durante los cuales se observan anomalías. Esta práctica es de vital importancia para las organizaciones que requieren el reforzamiento de su seguridad en las redes y la información. PERFIL DE INGRESO El curso está dirigido a administradores de red, ingenieros de protección perimetral y monitoreo de red, y personas interesadas en el análisis del tráfico en la red, para la detección de intrusos y problemas en una red corporativa. Se requiere la acreditación o la demostración de conocimientos equivalentes a los cursos Introducción a la seguridad en cómputo, Sistema operativo Windows, Sistema operativo familia LINUX, Redes de computadoras e Introducción a la programación. El participante identificará los principales componentes de la metodología para el análisis y el monitoreo de tráfico en la red.

2 TEMARIO 1. TCP/IP PARA MONITOREO DE REDES 1.1 Introducción a la seguridad en redes 1.2 Conceptos del modelo OSI y TCP/IP 2. ANÁLISIS DE PROTOCOLOS 2.1 Protocolo TCP 2.2 Protocolo UDP 2.3 Protocolo ICMP 2.4 Fragmentación 3. HERRAMIENTAS DE ANÁLISIS DE TRÁFICO DE RED 3.1 Herramientas para la captura de paquetes (tcpdump, windump y wireshark) 3.2 Análisis de paquetes 3.3 Filtros y búsqueda de patrones 4. TÉCNICAS DE ANÁLISIS DE TRÁFICO DE RED 4.1 Análisis estructurado de tráfico de red 4.2 Análisis de flujos con argus 4.3 Análisis de bitácoras Cómputo forense para administradores de sistemas Actualmente la información es considerada un activo importante e intangible en las organizaciones, razón por la cual son necesarias medidas de seguridad para la protección de la misma. Contar con mecanismos para la detección y el manejo de incidentes, es parte de ese proceso. Asimismo, una vez que la organización ha sido objeto de un acto doloso de intrusión en su infraestructura e información, es importante la captura y la preservación de las evidencias, para la reconstrucción de los hechos y la ejecución de probables acciones penales. PERFIL DE INGRESO El curso está dirigido a las personas interesadas en el ejercicio de peritaje informático. Se requiere haber acreditado o demostrar conocimientos equivalentes a los cursos Seguridad en redes, Sistema operativo familia LINUX, o Sistema operativo tipo UNIX y Tecnologías de seguridad en red. El participante identificará los pasos del proceso de análisis forense, para su aplicación en diferentes casos de incidentes de seguridad. TEMARIO 1. CONCEPTOS PRELIMINARES 1.1. El ciclo forense Recolección

3 1.1.2 Análisis Reporte 1.2. Elementos esenciales de respuesta inmediata Jump-bag Software Equipo de cómputo y almacenamiento masivo 2. RECOLECCIÓN DE EVIDENCIA 2.1. Preservación de integridad y cadena de custodia Concepto de cadena de custodia Técnicas y materiales 2.2. Escala de volatilidad 2.3. Verificación 2.4. Recolección de evidencia altamente volátil 2.5. Recolección de almacenamiento no volátil 2.6. Evidencia complementaria 3. ANÁLISIS DE EVIDENCIA FORENSE 3.1. Técnicas de análisis de elementos de estado Procesos Identificación de conexiones activas Análisis de memoria RAM 3.2. Análisis de sistemas de archivos ext3 (Linux) Análisis de línea de tiempo Búsqueda de cadenas Extracción de archivos 4. REPORTE DE HALLAZGOS 4.1. Elementos del reporte técnico Fundamentación de hallazgos Descripción del proceso forense 4.2. Elementos del reporte ejecutivo Antecedentes Hallazgos Hacking ético En los últimos años se ha incrementado el número de delitos informáticos y ataques a las organizaciones. Debido a esto la demanda de profesionales en seguridad informática, con habilidades en pruebas de penetración, ha ido en aumento. Las organizaciones han comenzado a adoptar medidas para incrementar la seguridad en su infraestructura, información y activos informáticos, contra ataques internos y externos. Por ello es necesario contar con especialistas en seguridad informática, que afronten los problemas actuales y mitiguen las posibles amenazas, así como las vulnerabilidades de la propia organización. A través de este curso el alumno comprenderá el contexto que hay detrás de los ataques informáticos y la metodología general que se sigue en pruebas de penetración, entendiendo las técnicas y los métodos empleados en ambientes reales para la explotación de vulnerabilidades. Con ello se establece una ética en los sistemas o las redes de una organización, con el fin de evaluar su postura en la seguridad de la información.

4 PERFIL DE INGRESO El curso está dirigido a las personas interesadas en su especialización en el ejercicio del hacking ético. Se requiere haber acreditado o demostrar conocimientos equivalentes a los cursos Introducción a la seguridad en cómputo, Introducción al diseño de bases de datos y Redes de computadoras. El participante identificará las fases de pruebas de penetración y analizará la importancia de la ética como hacker. TEMARIO 1. INTRODUCCIÓN 1.1 Terminología básica 1.2 Legislación 2. HACKING ÉTICO Y PRUEBAS DE PENETRACIÓN 2.1 Evaluación de seguridad, hacking ético y pruebas de penetración 2.2 Mentalidad de un Pentester 2.3 Limitaciones 2.4 Solicitud de servicio y reglas del juego 3. METODOLOGÍAS 3.1 PTES (Penetration Testing Execution Standard) 3.2 OSSTMM 3.3 OWASP 3.4 NIST Penetration Testing Framework 3.6 ISSAF 4. CLASIFICACIÓN DE PRUEBAS DE PENETRACIÓN 4.1 Conocimiento previo a las pruebas 4.2 Lugar de ejecución 4.3 Alcance 5. FASES DE LAS PRUEBAS DE PENETRACIÓN 5.1 Reconocimiento 5.2 Escaneo 5.3 Explotación 5.4 Documentación 6. CREACIÓN Y MANEJO DE UN LABORATORIO PARA REALIZAR PRUEBAS DE PENETRACIÓN 6.1 Instalación de backtrack y windows en un entorno virtual 6.2 Instalación y configuración de herramientas de pentest 6.3 Ejecución de una prueba de penetración 7. REDES INALÁMBRICAS 7.1 WEP 7.2 WPA 7.3 WPA2 8. SITIOS Y APLICACIONES WEB 8.1 Inyección SQL 8.2 Cross Site Scripting (XSS)

5 8.3 Cross Site Request Forgery (CSRF) Hardening en sistemas operativos LINUX El sistema operativo Linux es uno de los sistemas que más se utilizan en las organizaciones. El hardening es una serie de actividades que realiza el administrador del sistema para el reforzamiento de la seguridad del equipo de cómputo. Esto dificulta la labor de los atacantes y, al mismo tiempo, reduce las posibilidades de que se presente una intrusión en el sistema operativo. PERFIL DE INGRESO El curso está dirigido a las personas interesadas en la aplicación de técnicas de seguridad en el sistema operativo Linux. Se requiere haber acreditado o demostrar conocimientos equivalentes a los cursos Sistema operativo familia LINUX, Introducción al conjunto de protocolos Internet TCP/IP y algún lenguaje de programación. El participante conocerá las actividades relacionadas al hardening, para el aseguramiento del sistema operativo Linux. TEMARIO 1. SEGURIDAD FÍSICA 1.1 Localización 1.2 Control de acceso 1.3 Medidas preventivas 2. REVISIÓN PREVIA DEL SISTEMA OPERATIVO 2.1 Identificación de usuarios no autorizados 2.2 Identificación de procesos no autorizados 2.3 Bitácoras del sistema 2.4 Espacio libre 3. SEGURIDAD EN LA INSTALACIÓN 3.1 Particiones 3.2 Opciones de montaje 3.3 Cuotas 3.4 Asegurar el bootloader 3.5 Paquetes no utilizados 3.6 Revisión de conexiones de red 3.7 Scripts de inicio 3.8 Servicios de red 3.9 Protección del kernel 4. USUARIOS Y PERMISOS DEL SISTEMA 4.1 Clases de usuarios 4.2 Archivos del sistema 4.3 Manejo de usuarios

6 4.4 Elevación de privilegios 4.5 Permisos especiales 4.6 Permisos sobre tareas programadas 5. LIMITAR EL ACCESO DIRECTO A ROOT 5.1 El grupo wheel 5.2 Tipos de consolas 5.3 Configurar el acceso a la consola física 5.4 Secure Shell 5.5 Jaulas 6. ADMINISTRACIÓN REMOTA Y FIREWALL 6.1 TCP Wrappers 6.2 Firewall 6.3 Iptables 7. ACTUALIZACIONES DE SEGURIDAD 7.1 apt y aptitude 7.2 Tipos de repositorios 7.3 Configuración de repositorios 7.4 Secciones 7.5 Lista de paquetes disponibles 7.6 Instalación de actualizaciones 8. RECOMENDACIONES PARA EL MANTENIMIENTO 8.1 Sincronización horaria 8.2 Respaldos 8.3 Cifrado 8.4 Herramientas de auditoría 8.5 Verificación de integridad 8.6 IDS 8.7 Análisis de bitácoras 8.8 Herramientas para automatizar el hardening Técnicas de seguridad en aplicaciones web y bases de datos La masificación de las aplicaciones web ha traído consigo el reto de contrarrestar la exposición de los sitios ante amenazas en la red. Con el fin de proteger la información de un sitio, es necesario conocer las herramientas y los procedimientos para dar seguridad a una aplicación web. Así, en el personal encargado del desarrollo, la configuración y el mantenimiento de los servicios web recae la responsabilidad de implantar controles y buenas prácticas para dar protección a un sitio frente a ataques en la red. PERFIL DE INGRESO El curso está dirigido a los desarrolladores de páginas y aplicaciones web, administradores de servicios web y estudiantes, interesados en el desarrollo seguro de aplicaciones, así como la

7 implantación y la configuración de controles de seguridad en el servidor en que es hospedado un sitio. Se requiere haber acreditado o demostrar conocimientos equivalentes al curso Introducción a la seguridad en cómputo y tener conocimientos básicos del sistema operativo GNU/Linux. El participante identificará las principales vulnerabilidades que pueden afectar a un sistema web y aplicará los mecanismos para la protección de un sitio. TEMARIO 1. PROTOCOLO HTTP 1.1 Conceptos básicos de HTTP 1.2 Revisión de HTTP 2. AUTENTICACIÓN HTTP 2.1 Autenticación básica HTTP 2.2 Autenticación digest HTTP 2.3 Certificados de autenticación 2.4 Autenticación basada en formularios 3. VALIDACIÓN 3.1 Contexto correcto 3.2 Manejo de entradas HTML 3.3 Funciones de filtrado con PHP 3.4 Controles de validación con ASP.NET 3.5 Validación en Java 3.6 Carga de archivos 4. SESIONES 4.1 Establecimiento de sesión 4.2 Seguimiento de sesión 4.3 Cookies 5. PRÁCTICAS DEFENSIVAS Y EVASIVAS 5.1 Manejo de la carga de archivos 5.2 Estrategias para la carga de archivos 6. PROGRAMACIÓN POR CAPAS 6.1 Patrón MVC 6.2 Defensa por capas 6.3 Firewall de Aplicaciones (conceptos básicos) 6.4 Firewall de Bases de datos (conceptos básicos) 6.5 Defensa en el código fuente (conceptos básicos) 6.6 Biblioteca de validación 7. CARACTERÍSTICAS DE LAS BASES DE DATOS 7.1 Redundancia 7.2 Consistencia 7.3 Integridad 7.4 Seguridad

8 8. INTRODUCCIÓN A LA ADMINISTRACIÓN DE BASES DE DATOS 8.1 Sistema Manejador de Bases de Datos 8.2 Componentes del RDBMS (DML, DDL, DCL) 8.3 Configuración del manejador de bases de datos 8.4 Gestión de usuarios y privilegios 8.5 Generación de respaldos y recuperación 9. SEGURIDAD EN BASES DE DATOS 9.1 Hardening del RDBMS (PostgreSQL) 9.2 Asegurar integridad, confidencialidad y disponibilidad de la base de datos 9.3 Integridad de los datos 9.4 Confidencialidad de los datos 9.5 Disponibilidad de los datos 9.6 Auditoría de la base de datos 10. SERVIDOR DE APLICACIONES WEB 10.1 Funcionamiento del servicio 10.2 Configuración del servicio 10.3 Configuración de hosts virtuales 10.4 Hardening del servicio 11. RIESGOS PARA LAS APLICACIONES WEB 11.1 Ataques más comunes 11.2 Riesgos 11.3 Vulnerabilidades 11.4 Medidas de prevención 11.5 Top Ten Project de OWASP 11.6 Web Goat 11.7 Herramientas