OBJETIVOS. Seguridad en el SID. INTERNET E INTRANET ÍNDICE MODELO DE RED CORPORATIVA. Tema VII

Tamaño: px

Comenzar la demostración a partir de la página:

Download "OBJETIVOS. Seguridad en el SID. INTERNET E INTRANET ÍNDICE MODELO DE RED CORPORATIVA. Tema VII"

Juan Carlos Márquez Ortiz
hace 8 años
Vistas:

1 OBJETIVOS Tema VII Seguridad en el SID. INTERNET E INTRANET Identificar problemas de seguridad en los SID. Estudiar las características de los cortafuegos y aprender a seleccionarlos. Funciones de los cortafuegos en Internet e Intranet. 1 2 ÍNDICE MODELO DE RED CORPORATIVA INTRANET Acceso desde Internet Acceso a Internet INTERNET Subred secundaria Red principal 1. Riesgos y amenazas. Servidor Host 2. El cortafuegos. 3. Administración de cortafuegos. Red Ethernet topología bus Router Hub 4. Políticas de seguridad. Puestos de la subred Puestos de la red principal 3 4

1 2 ÍNDICE MODELO DE RED CORPORATIVA INTRANET Acceso desde Internet Acceso a Internet INTERNET Subred secundaria Red principal 1.

2 FACTORES DE RIESGO Tipos de activos a proteger (datos confidenciales, programas susceptibles de sufrir sabotajes). Probabilidad de sufrir un ataque: conocimiento de la posibilidad de existencia de entidades ajenas intrusas. MECANISMOS PARA LA VALORACIÓN DE RIESGOS Equipos de tigres : ataques simulados. Sesiones creativas de especialistas. Procesos de ingeniería de seguridad de sistemas: análisis de la arquitectura, identificación de amenazas, integración de la protección. 5 6 RIESGOS EN LA INTRANET Suplantación del superusuario RIESGOS EN INTERNET INTERNET WWW: Ejecución de programas remotos Transferencias de soft. dudoso Accesos a nuestros datos Host AGRESIÓN Ataques externos AGRESIÓN Gateway Hub AGRESIÓN Dańos físicos y accesos no autorizados Transferencias FTP con virus AGRESIONES Correo: Captura de mensajes Inundación Inclusión de "Caballos de Troya" Gateway Host Suplantación de usuarios AGRESIÓN Aspiración de paquetes Suplantación de direcciones IP desde el exterior Hub Puestos de la red principal 7 PRINCIPAL SOLUCIÓN: CORTAFUEGOS Puestos de la red principal 8

Sesiones creativas de especialistas. Procesos de ingeniería de seguridad de sistemas: análisis de la arquitectura, identificación de amenazas, integración de la protección.

3 VALORACIÓN DE RIESGOS EL CORTAFUEGOS Confidencialidad de mis datos. Atractivo de activos. Características de mi conexión Internet. Características de mis routers. Presupuesto de seguridad. Uso de la criptografía. Valorar el nivel de nuestro personal informático. Definición: medio de regulación del acceso a la red de ordenadores de una organización mediante el control de accesos y el registro de actividades. Función principal: limitar acceso a la Intranet filtrando los paquetes entrantes (por medio de la información que contienen) CARACTERÍSTICAS DEL CORTAFUEGOS Registro de actividades: información de sesiones (paquetes, fecha). Sistema de aviso de intrusiones. Ubicado de tal forma que las comunicaciones pasen a través suyo. INTRANET Subred secundaria Servidor Red Ethernet topología bus UBICACIÓN DE CORTAFUEGOS Cortafuegos Acceso desde Internet Cortafuegos Acceso a Internet Router INTERNET Host Cortafuegos Red principal Hub Puestos de la subred Puestos de la red principal 11 12

Definición: medio de regulación del acceso a la red de ordenadores de una organización mediante el control de accesos y el registro de actividades.

4 TIPOS DE CORTAFUEGOS Filtrado de paquetes: generalmente, routers. Se hace a nivel de red (poco seguros). Gateways a nivel de aplicación: programas. Las conexiones se canalizan a través de aplicaciones proxy. Híbridos: combina los dos anteriores. Host bastión: arquitectura más que tipo de cortafuegos. Aisla la LAN. CÓMO SE FILTRAN LOS PAQUETES? Se especifican reglas de filtrado, y acciones asociadas a ellas. En ellas consta: número de regla, dirección origen, destino, protocolo, puerto origen y destino y acción. Importante: el orden de las reglas FILTROS SOFTWARE AUTENTIFICACIÓN DE USUARIOS Filtrado de sesiones: se realiza generalmente en el kernel del S.O. Una sola regla para cada sesión. Aplicaciones Proxy: programas que se sitúan en el cortafuegos y actúan en representación del usuario. Conexiones: directa, cliente modificado y proxy invisible. Desventaja: una aplicación por servicio Contraseñas: un solo uso (cambia cada sesión por algoritmos criptográficos) y uso múltiple (pueden ser pinchadas ). Tarjetas inteligentes o llaves (autentificadores manuales): se solicita palabra de paso y clave, y se devuelve contraseña. Huellas dactilares y modelos de retina. Problema de todos ellos: secuestros de sesión. Solución: autentificación de paquetes

Se especifican reglas de filtrado, y acciones asociadas a ellas. En ellas consta: número de regla, dirección origen, destino, protocolo, puerto origen y destino y acción.

5 ADMINISTRACIÓN DEL CORTAFUEGOS TRAMPAS Y CEBOS Mantener las cuentas de usuarios. Actualizar permisos de acceso a hosts. Reaccionar ante alarmas. Revisar registros de actividad. Hacer copias de seguridad de los datos del cortafuegos. Mantenimiento del sistema del cortafuegos. Información sobre tecnología de ataques. Sirven para atraer atacantes sospechosos. Determinar tipos de acceso intrusos. Crear entorno ficticio y legal (avisar al usuario que está accediendo a la red). Obtener información para demandar al atacante (tener cuidado con no transgredir la ley nosotros) RESPUESTA A UN ATAQUE (1) Mantener la calma (normalmente es inofensivo). Interrumpimos el ataque?. Sí: destruir la conexión y desconectar el cortafuegos. No: detectar al intruso (leer registro de auditoría, obtener lista de routers hasta el intruso, identificar usuarios actuales). RESPUESTA A UN ATAQUE (Y 2) Una vez finalizado el ataque: Determinar los cambios a efectuar en la política de seguridad. Documentar detalles del ataque. Informar al proveedor del cortafuegos, y a las autoridades (si procede)

Determinar tipos de acceso intrusos. Crear entorno ficticio y legal (avisar al usuario que está accediendo a la red).

6 POLÍTICA DE SEGURIDAD Definición: especificación de los requisitos de control de acceso a la información y otros activos de una organización, determinando el tipo de acceso (consulta, modificación, borrado, descarga etc.) y quiénes lo realizan. TIPOS DE POLÍTICAS DE SEGURIDAD Política de acceso en el ámbito de los servicios: define los requisitos de control de acceso a usuarios. (Alto nivel). Política de acceso en el ámbito de implementación de la red: definición de las reglas de filtrado del cortafuegos. (Bajo nivel) POSIBLES PROBLEMAS Suponen un retraso en la implantación de las protecciones en la red. Burocracia: entran en los trabajos cotidianos de operación del sistema. Hay que velar por el cumplimiento de la política para que sea efectiva. REQUISITOS PARA UNA CORRECTA POLÍTICA Determinar permisos para servicios de entrada (TELNET, correo etc.) Determinar permisos para servicios de salida (WWW, FTP etc.) Determinar requisitos de auditoría: disminuyen rendimiento de la red. Elegir herramienta de administración. Requisitos para cebos y trampas: no salirse de la ley

Política de acceso en el ámbito de implementación de la red: definición de las reglas de filtrado del cortafuegos. (Bajo nivel).

7 EJEMPLO (1) Propuesto por Ed Amoroso y Ron Sharp. a) Puntos principales de contacto (personas). b) Registro de modificaciones (versiones de la política). c) Ámbito de los requisitos: definición de la red. EJEMPLO (Y 2) d) Clasificación de la información de la empresa (abierta, propietaria y propietaria restringida). e) Clasificación de las redes de la empresa: abierta, propietaria y propietaria - restringida. f) Servicios del cortafuegos: acceso o no a Telnet, FTP, , WWW REAL DECRETO 994/1999, de 11 de junio (B.O.E ) Establece 3 niveles de seguridad: a) BÁSICO: datos de carácter personal b) INTERMEDIO: datos de infracciones administrativas, penales, servicios financieros, o personales que permitan evaluación de personalidad del individuo. c) ALTO: datos de ideología, religión, creencias, raza, salud, vida sexual y política. REAL DECRETO 994/1999. Requisitos Nivel BÁSICO: Documento de seguridad con la normativa básica. Mecanismos de actualización y revisión de la normativa. Documento de funciones y obligaciones del personal. Medidas para informar al personal sobre la normativa. Registro de incidencias. Relación de usuarios y procedimientos de identificación y autentificación. Renovación periódica de contraseñas y almacenamiento ininteligible. Mecanismos para evitar intrusiones no autorizadas. Control de soportes (inventario). Control de salidas de soportes. Copias de respaldo, al menos semanalmente

e) Clasificación de las redes de la empresa: abierta, propietaria y propietaria - restringida. f) Servicios del cortafuegos: acceso o no a Telnet, FTP, EMAIL, WWW.

8 REAL DECRETO 994/1999. Requisitos (2) Nivel INTERMEDIO: Todo el básico. Documento de seguridad ampliado. Designación de responsables de seguridad. Consignación de recuperaciones en incidencias. Autorización escrita del responsable para recuperar ficheros. Identificación unívoca de usuarios. Limitación de accesos no autorizados reincidentes. Control de acceso físico. Registro de entrada y salida de soportes. Mecanismo para impedir recuperaciones de información almacenada en soportes. Auditorías informáticas cada 2 años. Pruebas con datos ficticios. REAL DECRETO 994/1999. Requisitos (y 3) Nivel ALTO: Todo el intermedio. Copias de respaldo y recuperación fuera de las instalaciones de equipos informáticos. Cifrado de la información de los soportes. Registro de accesos. Informe mensual de revisiones y problemas detectados. Transmisión cifrada de datos

Registro de entrada y salida de soportes. Mecanismo para impedir recuperaciones de información almacenada en soportes. Auditorías informáticas cada 2 años. Pruebas con datos ficticios.

Documentos relacionados

REGLAMENTO DE MEDIDAS DE SEGURIDAD DE LOS FICHEROS AUTOMATIZADOS QUE CONTENGAN DATOS DE CARÁCTER PERSONAL CAPÍTULO I.- DISPOSICIONES GENERALES

REGLAMENTO DE MEDIDAS DE SEGURIDAD DE LOS FICHEROS AUTOMATIZADOS QUE CONTENGAN DATOS DE CARÁCTER PERSONAL CAPÍTULO I.- DISPOSICIONES GENERALES Artículo 1.- Ámbito de aplicación y fines. El presente Reglamento