Conceptos y Prácticas de Seguridad Informática

Transcripción

1 Conceptos y Prácticas de Seguridad Informática Antonio Sanz ansanz@unizar.es Tecnologías de Red aplicables al comercio electrónico

2 Indice Seguridad Informática Conceptos básicos Requisitos de Seguridad Tipos de amenazas Herramientas de seguridad Plan de Seguridad Prácticas básicas

3 Al finalizar la charla sabrá... Conocer el pensamiento de Seguridad Conocer al enemigo Conocer los ataques Conocer las herramientas Conocer las defensas

4 Sistema Seguro Seguridad Informática Un sistema es seguro si en todo momento se comporta como lo desea su propietario Áreas de Seguridad Informática Sistemas Operativos (Windows, Linux, Mac ) Aplicaciones ( IIS, Apache, Word ) Redes ( LAN, WAN, WLAN ) Datos ( LOPD ) Fisica ( alarmas, controles de acceso )

5 Conceptos básicos (I) Seguridad absoluta Inexistente Objetivo : Agotar los recursos del enemigo (moral, tiempo o dinero) Seguridad mesurada Asignar recursos de forma eficiente

6 Conceptos básicos (II) Seguridad vs Usabilidad Balanza peligrosa (cuidado con los extremos) Objetivo: Lograr un equilibrio satisfactorio Mínimo privilegio Todos los recursos de la red deberán solo los permisos necesarios para cumplir su tarea

7 Conceptos básicos (III) Seguridad en profundidad No depender de un solo elemento Modelo de seguridad en capas Seguridad mediante oscuridad Dificulta los ataques Nunca debe confiarse únicamente en ella

8 Seguridad Homogénea Conceptos básicos (IV) La seguridad de un sistema es la del eslabón más débil Cuidar todos los aspectos de la seguridad Seguridad Evolutiva Campo cambiante a gran velocidad Es necesario mantenerse al día

9 Requisitos de seguridad (I) Requisitos de Seguridad Control de Acceso Confidencialidad Integridad Disponibilidad Se deberán establecer los requisitos deseados para cada sistema El objetivo final de la Seguridad es cumplir dichos requisitos

10 Requisitos de seguridad (II) Control de Acceso / Autenticación Identificación de los elementos que acceden a nuestro sistema Asignación de los permisos de cada elemento de la red Confidencialidad La información es valiosa Impedir el acceso no autorizado

11 Requisitos de seguridad (III) Integridad / No repudio Impedir la manipulación de la información Identificación unívoca Disponibilidad Los servicios deben estar siempre activos 24 x 7 x 365 x...

12 Tipos de amenazas Tipos de atacantes Ataques realizables Posibles daños

13 Tipos de atacantes (I) Hacker Hack: 1) Cortar en tajos. 2) Encontrar una solución eficaz y brillante a un problema Hacker: Persona con abundantes conocimientos de informática y redes, que explora (o penetra en) sistemas por puro reto Hacker = Intruso malvado Incorrecto. Blanco / Negro Diversos tonos de gris

14 Tipos de atacantes (II) Cracker: ( Doble definición ) Persona que rompe códigos de protección ( cracks ) Hacker que penetra en sistemas en beneficio propio (monetario, social o por pura diversión destructiva) Conocimientos extensos de seguridad Definitivamente, el lado oscuro

15 Tipos de atacantes (III) Script Kiddies Conocimientos básicos de seguridad Pueden causar graves daños (herramientas precocinadas) Newbies Principiantes, conocimientos básicos de seguridad Lamers Conocimientos nulos de informática

16 Tipos de ataques (I) Identificación del sistema o fingerprinting Búsqueda de información pública Ingenieria social Barrido de puertos o portscanning Análisis de equipos y servicios

17 Tipos de ataques ( II ) Análisis de vulnerabilidades Con la información obtenida, se buscan vulnerabilidades correspondientes a los Sistemas Operativos y servicios existentes en el sistema Penetración en el sistema Explotación de una vulnerabilidad en el sistema cabeza de puente Acciones automáticas: camuflaje y expansión

18 Tipos de ataques ( III ) Intercepción de contraseñas Rotura de contraseñas (fuerza bruta) Falsificación de la identidad Robo de información Destrucción de datos Denegación de servicio

19 Posibles daños Robo de Información Pérdida de datos Disrupción del servicio Pérdida de imagen Posible responsabilidad legal

20 Herramientas de Seguridad (I) Herramientas que permiten verificar o aumentar el nivel de seguridad de un sistema Usadas tanto por atacantes como defensores Gran variedad: gratuitas, comerciales, bajo Linux, Windows, etc...

21 Herramientas de Seguridad (II) Cortafuegos o firewalls Ejercen un control sobre el tráfico entrante y saliente a un sistema Hardware & Software Ej: IpTables, Firewall-1, Cisco PIX Detectores de intrusos o IDS Detectan posibles ataques en un sistema, pudiendo activar alarmas o ejercer respuesta coordinada Ej: Snort, Real Secure

22 Herramientas de Seguridad (III) Verificadores de la integridad Permiten detectar la manipulación de un sistema Ej: Tripwire Analizadores de logs Permiten procesar de forma automática los logs de un sistema en tiempo real y emitir alarmas Ej: Swatch, LogWatch

23 Herramientas de Seguridad (IV) Analizadores de puertos Barren una red en busca de máquinas y servicios activos Ej: nmap, PortScan, fport Detectores de vulnerabilidades Analizan una red en busca de vulnerabilidades conocidas Ej: Nessus, Cybercop Scanner, ISS, Saint

24 Herramientas de Seguridad (V) Sniffers Capturan el tráfico que circula por una red (contraseñas y datos, por ejemplo) Ej: Ethereal, Sniffer, Iris, Analyzer Password crackers Utilizan técnicas de diccionario y fuerza bruta para obtener las contraseñas de acceso a un sistema Ej: LC3, Crack, John the Ripper

25 Herramientas de Seguridad (VI) Troyanos Programas que se instalan en un sistema de forma no deseada Ej: Back Oriffice, SubSeven. Rootkits Programas destinados a facilitar la ocultación y expansión de un intruso

26 Libros y enlaces de interés Criptonomicón: SecurityFocus: Kriptópolis: Hispasec: CERT: SecurityPortal: Seguridad Práctica en Unix e Internet, 2ª Ed.Simson Garfinkel & Gene Spafford - O Reilly Hacking Exposed 3rd Edition - Stuart McClure McGraw Hill (La 2ºEd en castellano: Hackers 2 Stuart McClure McGraw Hill Seguridad en Servidores NT/2000 para Internet Stefan Norberg, Deborah Russell O Reilly Seguridad y Comercio en el Web - Simson Garfinkel & Gene Spafford - O Reilly Building Internet Firewalls Chapman &Zwicky, Ed. O Reilly Phrack: Insecure.org

27 Dudas, preguntas, aclaraciones, pipas, caramelos...?

28 Prácticas básicas de Seguridad Informática Antonio Sanz Responsable de Seguridad Informática Tecnologías de Red aplicables al comercio electrónico

29 Indice Introducción y Objetivos Prácticas básicas Bibliografía y enlaces de interés

30 Introducción Internet : Evolución vertiginosa Conexión fácil, barata y rápida Gran cantidad de inversión en desarrollo de negocio Internet Escasa inversión en seguridad Muy poca conciencia de seguridad

31 Objetivos Obtener un buen nivel de seguridad en nuestro sistema Aplicable tanto a una red corporativa como a un usuario casero Se aplica perfectamente la ley del 80/20 20% del esfuerzo = 80% de seguridad

32 Seguridad: Topología Tener en cuenta la seguridad a la hora de diseñar una red Cortafuegos / Routers con filtrado (boxes & cortafuegos personales) Separar los servidores de la LAN Sistemas de seguridad critica aparte

33 Seguridad : Backups Aspecto vital de la seguridad Medios de backup baratos Copias incrementales (diarias, semanales y mensuales) Imágenes de los SO

34 Seguridad : Parches Aspecto muy importante Ataque = sistema o programa no actualizado Mantener los equipos parcheados siempre que sea posible Integrarlo dentro del mantenimiento del equipo Muy importante en servidores

35 Seguridad : Antivirus Antivirus en TODO el sistema Actualización constante Características especiales Usarlas Scan de virus periódico y automatizado Formación antivirus a los usuarios

36 Seguridad : Cortafuegos Cortafuegos: Principal barrera de defensa de un sistema informático ( = muro de un castillo medieval) Instalar un cortafuegos entre nuestra red e Internet Cortafuegos personales interesantes para equipos personales o móviles

37 Seguridad : Correo electrónico Principal fuente de entrada de virus Educación de los usuarios: No abrir ficheros adjuntos desconocidos Preguntar al remitente la razón del fichero Utilizar el antivirus Abrir únicamente.jpg.gif.txt.html Nunca abrir.exe.bat.vbs.ini Emplear cifrado Tener cuidado con los webmails

38 Seguridad : Navegación web Contraseñas almacenadas en el navegador Información sensible protección SSL Control de cookies & web bugs Navegación anónima

39 Seguridad :Otros programas de comunicaciones Programas de chat Programas de mensajería instantánea (Messenger, Yahoo Pager, ICQ) Programas de intercambio multimedia

40 Seguridad : Física & Operativa Salvapantallas protegido por contraseña Arranque desde el disco duro únicamente Protección de la BIOS con contraseña Gestión de contraseñas Empleo de cifrado interno

41 Seguridad : Formación Internet cambios muy rápidos Importante estar al día Apoyo de la dirección Concienciación de los usuarios

42 Conclusiones Importancia Necesidad Concienciación Aplicación efectiva Evolución

43 Enlaces de interés Cortafuegos Box: Cómo montar un cortafuegos con Linux: Cómo poner ACL en router Cisco: Información sobre virus: Comparativas de software antivirus: PGP Internacional ( Windows y Mac ): Información sobre cookies: Más información acerca de SSL: Cómo añadir SSL a su servidor Web: Windows + IIS : Linux + Apache : Cómo obtener un certificado digital: Salvapantallas para Linux: GnuPG ( Unix/Linux, Windows y Mac ): Configuración segura de su navegador web:

44 Enlaces de interés Protección del LILO en el arranque: Cómo hacer una imagen de su equipo: Gestor de contraseñas: PgpDisk: Últimas versiones del Mirc, ICQ & Messenger : Jabber: (pasarela IM) Algunos cortafuegos personales: Cómo hacer un backup: Linux Amanda : Windows Backup : Criptonomicón: SecurityFocus: Kriptópolis: Hispasec: CERT: SecurityPortal:

45 Preguntas Última oportunidad de satisfacer su curiosidad...?

46 Planes de Seguridad Informática Antonio Sanz Tecnologías de Red aplicables al comercio electrónico

47 Indice Introducción Problemática de Seguridad Definición de un Plan de Seguridad Ciclo de vida de un PdS Aspectos a tratar en un Pds

48 Problemática de Seguridad Ideológica Estructural Tecnológica

49 Problemática de Seguridad ( II ) Ideológica No obstaculizar el proceso de negocio Nadie se hace responsable de los riesgos Se actúa de modo reactivo, nunca preventivo No se conoce el estado real de seguridad

50 Estructural Problemática de Seguridad ( III ) Falta de responsabilidades establecidas No hay normas definidas No homogeneidad de los sistemas No existe una asignación de recursos de seguridad

51 Problemática de Seguridad ( IV ) Tecnológica No se conoce la propia red No se conoce la Tecnología de Seguridad Sensación de Falsa Seguridad

52 Problemática de Seguridad ( V ) Conclusiones: Existe una clara falta de conocimiento de Seguridad Nadie quiere gastar dinero en Seguridad La Seguridad se ve como un estorbo Poco apoyo de la dirección Mal vista por parte de los usuarios

53 Problemática de Seguridad ( VI ) Argumentos a favor de la Seguridad: La Seguridad es cada día más importante ( ) Inversión en Seguridad = Póliza de Seguros Cortafuegos = Extintor

54 Problemática de Seguridad ( VII ) La Seguridad no es cara ni complicada Una red segura es mucho más eficiente y robusta es más rentable Hacia la dirección Convicción Hacia los usuarios Concienciación

55 Plan de Seguridad Plan de Seguridad : Conjunto de normas, políticas y procedimientos destinados a satisfacer unas necesidades de seguridad de un entorno definido

56 Plan de Seguridad ( II ) Un Plan de Seguridad permite: Analizar las necesidades de seguridad Detectar los elementos críticos Valorar los riesgos Diseñar medidas de seguridad Metodología modular : sencilla y completa

57 Plan de Seguridad ( III ) Claves del éxito: Sencillez y claridad Conseguir el apoyo de la dirección Involucrar a toda la organización Plantear beneficios, no problemas Delimitar responsabilidades y deberes

58 Ciclo de vida un PdS Evaluación Análisis Diseño Implantación Auditoría Realimentación

59 PdS: Evaluación Recopilación de todos los recursos del entorno: Hardware: PC s, routers, cintas magnéticas Software: Comercial, gratuito, open source Datos: Proyectos, BBDD, nóminas Personal: Empleados, know how Varios: Imagen pública, posición de mercado, reconocimiento

60 PdS: Evaluación ( II ) Fase inicial Muy importante ser exhaustivo Evaluar la funcionalidad de cada uno de los elementos dentro del entorno Ayuda: Creación de tablas

61 PdS: Evaluación ( III ) Ej: Servidor central Hardware, guarda la BBDD de la Intranet, en la sala de datos, el Administrador de la Intranet Ej: Prestigio de marca Varios, muestra el éxito de nuestro empresa, en todas partes, toda la empresa ( o Dep. Márketing )

62 PdS: Análisis de riesgos Para cada recurso se hace una lista de los posibles riesgos : Robo No disponibilidad Copia / Publicación Uso indebido Destrucción

63 PdS: Análisis de riesgos ( II ) Valoración de las amenazas Se puntúa de 1 (mínima) a 10 (máxima) : Facilidad de ejecución Impacto en el recurso Amenaza real = Media entre Facilidad e Impacto Sirve para ordenar las amenazas

64 PdS: Análisis de riesgos ( III ) Ej: Alienígenas abducen una semana al Departamento de Informática Impacto: 8, Facilidad: 0 Amenaza = 4 Ej: Ladrón roba copias de seguridad y prende fuego al edificio Impacto: 10, Facilidad = 6 Amenaza = 8

65 PdS: Análisis de riesgos ( IV ) Valoración de costes. Se calcula: CR : Coste de Reparación PO : Probabilidad de Ocurrencia CP : Coste de Prevención Si CR x PO > CP Es un riesgo a minimizar Si CR x PO < CP No sale rentable Ayuda = Tabla organizadora a) Mayor que el coste de prevención

66 PdS: Análisis de riesgos ( V ) Ej: Riesgo de incendio CR = 10M, PO = 0.01, CP = 10K (extintor) CR x PO = 100K > 10K Se previene Ej: Godzilla arrasa la ciudad CR = 10M, PO = , CP = 10M (centro de backup) CR x PO = 10 < 10M Se asume el riesgo

67 PdS: Análisis de riesgos ( VI ) Opciones posibles: 1. Eliminar el recurso 2. Diseñar una contramedida 3. Asumir el riesgo 4. Contratar un seguro Opciones más comunes: 2) y 3)

68 PdS: Diseño de contramedidas Objetivo: Eliminar, controlar o minimizar los riesgos identificados, y prevenir en la medida de lo posible riesgos futuros Fase más importante del PdS Lenguaje mixto Técnico / Humano Áreas predeterminadas

69 PdS:Diseño de contramedidas (II) Copias de Seguridad Antivirus Usuarios Contraseñas Parches y updates Seguridad de las comunicaciones Logs Administración de equipos Contingencias Incidencias de Seguridad Formación Seguridad Física

70 PdS: Implementación Imprescindible apoyo de la dirección (asignación efectiva de recursos) Implicación de TODA la organización Metodología: Convencer, no imponer (mano de seda, guante de hierro)

71 PdS: Auditoría Objetivo: Comprobar que las contramedidas han sido eficazmente aplicadas, y que realizan su función Interna o Externa Auditoría de Seguridad o del PdS Mejora el PdS y asegura su eficacia

72 PdS: Realimentación PdS Renovación constante Asignación de recursos necesaria Se adapta a los cambios de la empresa

73 Dónde están las dudas, matarile rile rile?

74 Muchas gracias por su tiempo Antonio Sanz