SEGURIDAD GLOBAL. P o r t a d a. Vicente Aguilera / vaguilera@isecauditors.com Daniel Fernández / dfernandez@isecauditors.com. 27 de Noviembre de 2002

Transcripción

1 SEGURIDAD GLOBAL P o r t a d a Vicente Aguilera / vaguilera@isecauditors.com Daniel Fernández / dfernandez@isecauditors.com 27 de Noviembre de 2002

2 Contenidos 2 Seguridad Global. Origen y Tipos de Ataques. Incidentes y Vulnerabilidades. Capas de la Seguridad Corporativa: Seguridad en la Arquitectura de la Red. Sistemas de Protección. Seguridad en las Aplicaciones de Servidor. Seguridad en Sistemas Operativos. Política de Seguridad. Soluciones. Conclusiones.

3 RS CS TR RD TD CD POWERFAULT DATA ALARM POWERFA ULT DATA ALARM Seguridad Global 3 Teletrabajadores Firewall DMZ a DNS TALK / DATA TALK Hacker Internet Correo Web Trabajador Hacker VPN Hub Sniffing Internet TALK / DATA TALK Remote Access Server (RAS) RS CS TR RD TD CD Intranet Intranet Modems Antena Wireles PDA's/Palms Hacker Wireless Access Points Servidores Internos

4 Origen de los Ataques 4 ORIGEN (Hacking interno vs Hacking Externo) % 73% 34% 66% Internos Externos Internos Empleados descontentos. Empleados curiosos. Personal externo. Externos Ataques aleatorios (61% 2, 80-90% 3 ). Competencia. Ex empleados. 1 The Register ( ) 2 Riptech, Inc. Wall Street Journal ( ) 3 National Swedish Council for Crime Prevention (2002)

5 Tipos de Ataques 5 Intrusiones: - Vulnerabilidades -> Aumento de Gusanos - Configuraciones defectuosas - Arquitecturas defectuosas Ataques internos: - Privilegios incorrectos - Cuotas no adecuadas (ancho banda, espacio en disco,etc.) - Sniffing Correo / Navegación web: -Virus - Troyanos Ingeniería Social Password cracking Wardialing: - Modem -RAS -PBX Wireless Attacks Ataques Físicos DoS/DDoS/DRDoS

6 Incidentes y Vulnerabilidades Problemas de seguridad 6 Los incidentes y vulnerabilidades crecen exponencialmente Incidentes de Seguridad Vulnerabilidades publicadas Q1-Q3, Q1-Q3, 2002 Los ordenadores están interconectados, no hay equipos aislados. El delito electrónico deja pocas huellas. La información para ser Hacker es pública y accesible a todo el mundo. Está de moda ser Hacker. Es fácil ser Hacker

7 Consecuencias 7 Caída de los sistemas Robo de información confidencial Pérdida, alteración o filtración de datos críticos Pérdida de productividad Pérdida de prestigio Pérdida de confianza de los clientes Cyberextorsión Fraude

8 Qué aspectos cubre la seguridad? 8 Antes de abordar el uso de medidas de seguridad debemos respondernos estas preguntas: Qué se quiere proteger? Hardware / Software / Datos De qué nos queremos proteger? Personas / Amenazas lógicas / Catástrofes Cómo nos podemos proteger? Mecanismos de Seguridad: Prevención Detección Recuperación. Qué riesgo podemos asumir? Hay que asumir un cierto riesgo. Tiene que estar cuantificado. Qué valor tiene lo que queremos proteger? La inversión en seguridad ha de ir acorde a aquello que queremos proteger. Cómo vamos a gestionar la protección? Personal capacitado. Formación constante. Conocimiento de últimos ataques y contramedidas. Qué control haremos sobre los sistemas? La seguridad se degrada. Los sistemas necesitan revisiones.

9 Capas de la Seguridad Corporativa 9 Usuarios Arquitectura de Red Sistemas de Protección Aplicaciones de Servidor Sistemas Operativos Politica de Seguridad

10 Arquitectura de Red 10 Antes de implantar una red hay que diseñarla. Durante el diseño se ha de tener en cuenta la seguridad. La red tiene que cubrir estos aspectos: Escalabilidad: Capacidad de crecer con la propia empresa. Adopción de nuevas necesidades de forma simple. Fiabilidad: Cuantificación y previsión de situaciones de error y ser capaz de mitigarlas. Disposición de mecanismos de recuperación antes problemas graves. Ubicación óptima de los servidores. Protección física de servidores. Situación en diferentes condiciones de los servidores. Accesos controlados a la red. Controlar TODOS los accesos a la red corporativa: Módems RTB/RDSI/ADSL, Wireless, PDA/Palms, RAS, etc.

11 Sistemas de Protección 11 Sistemas de defensa frente a ataques: FireWalls Personales Firewalls Software Firewalls Hardware Antivirus Servidores Clientes Intrusion Detection System (IDS) HIDS (detección de intrusos a nivel de host) NIDS (detección de intrusos a nivel de red) Monitorización de redes Sniffers Monitores de red

12 Seguridad en las Aplicaciones de Servidor (I) 12 Aspectos a tener en cuenta: Configuración de las Aplicaciones Actualizaciones Protocolos Seguros Aplicaciones Propietarias Registros (Logs)

13 Seguridad en Aplicaciones de Servidor (II) Configuración 13 Instalar + Funcionar SEGURIDAD = Securizar + Instalar Las aplicaciones suelen instalar ejemplos, datos por defecto, etc.: Vulnerabilidades. Información sobre el sistema. Información sobre la aplicación. Información sobre la configuración. Las opciones por defecto no ofrecen los rendimientos óptimos. Las aplicaciones de servidor deben ser securizadas. Las aplicaciones ofrecen información útil para los atacantes de forma innecesaria.

14 Seguridad en Aplicaciones de Servidor (III) Actualizaciones 14 Actualizar día a día. Conocer al día las actualizaciones que nos interesan. Subscripciones a listas de correo, foros, IRC, news: Oficiales: Vulnerabilidades Fabricantes Underground / Hacking: Vulnerabilidades no publicadas Asegurarse que los parches son legítimos. Emplear fuentes fidedignas cuando se realizan updates. Emplear métodos que incrementen la fiabilidad: PGP/GPG, MD5, certificados, etc. Instalar sólo aquello con lo que nuestro sistema se beneficie. Reducción del daño colateral en el parcheado.

15 Seguridad en Aplicaciones de Servidor (IV) Protocolos seguros 15 Es necesario securizar el canal de transmisión de datos. Deben emplearse alternativas que empleen cifrado en las comunicaciones: FTP FTP+SSL, FTP+SSH Telnet SSH POP3/SMTP POP3/SMTP + SSH, POP3s HTTP HTTPS LDAP LDAP + SSL Protocolos inseguros pueden convertirse en seguros. Optar por alternativas seguras cuando se dispone de ellas.

16 Seguridad en Aplicaciones de Servidor (V) Aplicaciones Propietarias 16 Las aplicaciones propietarias Internet/Intranet/Extranet pueden tener vulnerabilidades de igual forma que las comerciales. Los programadores no tienen conocimientos de seguridad. Programadores + Analistas Seguridad Auditar Aplicaciones. Las aplicaciones son vulnerables a gran cantidad de ataques: SQL Injection. Cross Site Scripting. Ejecución de comandos de SO. URL Unicode/Codificadas. Manipulación de cookies, formularios, cabeceras HTTP y URL. Password cracking, evasión de autenticaciones, robo/reciclado de sesiones. Extracción de información de comentarios, mensajes de error, cache, histórico, etc. Cuentas por defecto, vulnerabilidades publicadas. Uso de una metodología que cubre todos estos aspectos (OWASP).

17 Seguridad en Aplicaciones de Servidor (VI) Registros (Logs) 17 Es necesario activar las opciones de registro de las aplicaciones críticas. Deben realizarse revisiones periódicas de los registros. Debe existir personal cualificado para realizar estos análisis. Existen herramientas para facilitar el análisis de estos logs off-line. Se pueden emplear herramientas que detectan comportamientos anómalos de forma automática y activan alarmas.

18 Seguridad en Sistemas Operativos 18 Instalar + Funcionar SEGURIDAD = Securizar + Instalar Puertos / Servicios Cualquier puerto abierto es una puerta de entrada: Cerrar puertos no usados. Emplear protección para los puertos usados (p.e. filtraje por IPs) Permisos a usuarios y grupos Conceder los permisos adecuados en detalle a cada recurso Usuarios por defecto Accounting Activación de los logs del sistema y revisarlos periódicamente. Logins / Passwords Contraseñas (robustez, protección) Cuentas por defecto

19 Política de Seguridad (I) 19 Qué es? Define las directrices en cuanto a seguridad de la empresa. Qué puntos debe tratar? 1.- Objetivo, ámbito y motivación. 2.- Aplicabilidad y responsabilidades. 3.- Seguridad Lógica Seguridad de software Desarrollo de software y control de cambios Seguridad de la Información Seguridad en las comunicaciones. 4.- Gestión de la seguridad Administración de la seguridad Seguridad del personal Estructura y organización. 5.- Seguridad física Acceso físico Ubicación y construcción de instalaciones informáticas.

20 Política de Seguridad (II) 20 Política de Seguridad vs Ingeniería Social Finalidad de la Política de Seguridad: Un empleado que no sabe qué debe y qué no debe hacer puede cometer errores. Los ataques pueden ser tanto activos (espionaje interno) como pasivos (password nulo). Cómo hacerla conocer? Dividir en grupos según la necesidad. Definir los medios de difusión en función de la audiencia (presentaciones, videos, pósters, etc.). Consecuencias de una mala difusión? La Ingeniería Social se aprovecha de un desconocimiento de la Política de Seguridad por parte de los empleados. Virus / Troyanos Suplantación de personalidad (mail, teléfono, etc.) News Passwords Hoax Fugas inconscientes de información

21 Seguridad Global Soluciones (I) 21 Seguridad Global = Soluciones Globales. Las soluciones, al igual que la seguridad, han de ser globales. Análisis Global = Auditorías de Seguridad. Sólo un análisis TOTAL permite encontrar todas las deficiencias de seguridad. Seguridad Permanente = Auditorías Periódicas. Las Seguridad es un proceso continuo. Conciencia de la Seguridad = Formación adecuada. La formación del personal técnico y de los empleados reduce gastos.

22 PYMES Soluciones (II) 22 Las PYMES necesitan Soluciones Globales... Estudio de las necesidades de seguridad de la empresa: Requerimientos de conectividad, seguridad lógica de los datos, sistemas de recuperación, antivirus, firewalls, servidores web, de correo, etc. Propuestas de diseños posibles, con equipamientos distintos y costes adaptados: Existen muchos productos en el mercado. Las necesidades de prestaciones, costes, requerimientos, etc. dependen de cada empresa. Un producto no es siempre el más adecuado, dependerá de las necesidades y su uso. Instalación y configuración de las soluciones escogidas. Auditoría específica para PYMES: Test de Antivirus. Configuración de seguridad de los Navegadores Web. Detección de vulnerabilidades de los sistemas expuestos a Internet. Test de Firewall/Router. Test del Servidor Web: Política de Privacidad, Sistemas de Confianza, Auditoría de Aplicaciones no Corporativas, etc. Test del Servidor de Correo. Test de seguridad de los sistemas de la DMZ. Test de integración entre los existentes y los nuevos sistemas de la DMZ.

23 PYMES Soluciones (III) 23 La Auditoría permite detectar y eliminar problemas existentes de seguridad: Configuraciones defectuosas de los sistemas existentes. Vulnerabilidades no parcheadas de los sistemas. Reglas de Acceso incorrectas, inexistentes o redundantes en Firewalls/Router. Configuraciones incorrectas o no optimas de Antivirus. Configuraciones inseguras de los navegadores web. Formación al personal técnico y no técnico.

24 Auditorías de Seguridad Soluciones (IV) 24 Análisis global de la seguridad: Analizan los distintos puntos de entrada a la red. Analizan la protección existente en los servidores y entre subredes. Visión externa, objetiva y real de la seguridad de la empresa. Aportan soluciones a los problemas de seguridad encontrados. Ámbitos de las Auditorías: Internet (Test de Intrusión): Se exponen máquinas a Internet. Ataques externos a las máquinas de la red externa (DMZ) o interna (Intranet) DMZ: Qué capacidad de defensa tiene la red interna desde la DMZ. En la DMZ pueden existir máquinas/recursos no visibles desde Internet pero accesibles desde la propia DMZ. En la DMZ pueden existir máquinas/recursos que no deben ser accesibles desde la Intranet. Intranet: En la red interna hay servidores y datos críticos. Es necesario limitar y comprobar el acceso de los usuarios a los recursos/datos internos.

25 Auditorías de Seguridad Soluciones (V) 25 La importancia de seguir una metodología (OSSTM) Estándar abierto ISO / BS7799 Una Auditoría NO es un escaneo automático de vulnerabilidades. Sondeo de red. Escáner de puertos, identificación de servicios y sistemas operativos. Test Automático de Vulnerabilidades Password Cracking. Document Grinding. Test de Antivirus. Test de Firewall y ACLs. Test de Medidas de Contención. Revisión de la Política de Privacidad. Test de los sistemas de confianza. Test y verificación Manual de vulnerabilidades. Test de Aplicaciones no Corporativas. Test del Sistema de Detección de Intrusos (IDS). Test de Denegación de Servicio Test de Aplicaciones Corporativas. Test de Ingeniería Social. Red Puntos de entrada en la red Falsos Positivos Deficiencias de Seguridad Gravedad de la Deficiencia

26 Formación Soluciones (VI) 26 Cuando hablamos de seguridad, nada puede quedar en el aire: Una formación técnica para mantener los equipamientos: Formación para el mantenimiento y configuración de nuevos equipamientos de seguridad (firewalls, routers, antivirus, sistemas de backup, monitorización, etc.) Formación para la gestión de sus servidores web, de correo, etc. Una formación de seguridad a los usuarios reduce problemas recurrentes: Formación para el uso seguro de Internet (navegación segura, posibles peligros, etc). Uso seguro del correo. Políticas de contraseñas. etc. El 58% de los Administradores de Sistemas piensa que sus propios departamentos son una de las principales brechas de seguridad de sus compañías (The Register UK, 28/10/2002). El 67% siente que carece de la adecuada experiencia o conocimientos para tratar los problemas de seguridad que deben tratar (The Register UK, 28/10/2002).

27 Auditorías Periódicas Soluciones (VII) 27 La seguridad es un proceso continuo. La seguridad se degrada con el tiempo: Nuevos servicios. Nuevas máquinas. Aparición de nuevos bugs en las aplicaciones. Rotación del personal. Degradación de la Seguridad 100% Nivel de Seguridad tras una Auditoría Platino 90% 80% 70% 60% 50% 40% 30% 20% 10% 0% Días Sistema minimamente cambiante Sistema medianamente cambiante Sistema altamente cambiante

28 Conclusiones 28 La seguridad debe tratarse desde todos los puntos de vista de la empresa. Debemos ser proactivos: actuar tras un ataque SIEMPRE tiene un coste mayor. Es necesario evaluar periódicamente el nivel de protección de nuestra red mediante Auditorías de Seguridad.

29 Contact o Llacuna, Barcelona Tel./Fax: info@isecauditors.com