Página 1 Seguridad en Redes de Comunicación Ingeniero en Telecomunicación 4º Curso Dpto Teoría de la Señal, Tema 5: Auditorias y Política de Seguridad Antonio Ruiz Moya Contenido: 1 Introducción a la seguridad en redes de comunicación 11 Internet y las comunicaciones globales 12 Seguridad de los sistemas y de las comunicaciones 2 Comunicaciones seguras 21 Protección de datos: cifrado, autenticación, firma digital 22 Certificación digital: AC, PKI 23 Protocolos de comunicación segura: IPSec, SSL, SSH, HTTPS, PGP 24 Redes privadas virtuales (VPN) 3 Seguridad en infraestructuras de redes y sistemas informáticos 31 Vulnerabilidades Análisis y herramientas 32 Amenazas y ataques a infraestructuras informáticas 33 Malware Software malicioso 4 Control de accesos a servicios 41 Introducción Prevención y aislamiento 42 Sistemas cortafuegos 43 Configuración y administración de servicios 44 Sistemas de detección de intrusiones 5 Auditorias y políticas de seguridad 51 Políticas de seguridad en redes 52 Auditorias en red 53 Análisis forense informático TEMA 5: Auditorías y Políticas de Seguridad SRC - 2
Página 2 Contenido: 1 Introducción a la seguridad en redes de comunicación 11 Internet y las comunicaciones globales 12 Seguridad de los sistemas y de las comunicaciones 2 Comunicaciones seguras 21 Protección de datos: cifrado, autenticación, firma digital 22 Certificación digital: AC, PKI 23 Protocolos de comunicación segura: IPSec, SSL, SSH, HTTPS, PGP 24 Redes privadas virtuales (VPN) 3 Seguridad en infraestructuras de redes y sistemas informáticos 31 Vulnerabilidades Análisis y herramientas 32 Amenazas y ataques a infraestructuras informáticas 33 Malware Software malicioso 4 Control de accesos a servicios 41 Introducción Prevención y aislamiento 42 Sistemas cortafuegos 43 Configuración y administración de servicios 44 Sistemas de detección de intrusiones 5 Auditorias y políticas de seguridad 51 Políticas de seguridad en redes 52 Auditorias en red 53 Análisis forense informático TEMA 5: Auditorías y Políticas de Seguridad SRC - 3 51 Políticas de seguridad en redes Necesidad de Controlar el Acceso para garantizar los Servicios y actuar proactivamente y correctivamente en los incidentes Introducción Nombre: Password: Reconocimiento de voz Tarjetas Biométrica Autentificación Integridad Control de Acceso Certificación TEMA 5: Auditorías y Políticas de Seguridad SRC - 4
Página 3 51 Políticas de seguridad en redes La Seguridad es un Proceso Continuo Introducción ALERTAR PROTEGER CONTROL PROACTIVO ADMINISTRAR RESPONDER TEMA 5: Auditorías y Políticas de Seguridad SRC - 5 51 Políticas de seguridad en redes Gestión de la Seguridad Establecimientos de la seguridad Muros de Fuego, encriptación, Autenticación Gestionar y mejorar Planes, gestión y administración Auditorías Política de Seguridad Corporativa Monitorización n proactiva y respuesta Detección de intrusos Corrección incidentes Comprobación Detectar posibles vulnerabilidades Aspectos legales: LOPD & LSSI TEMA 5: Auditorías y Políticas de Seguridad SRC - 6
Página 4 51 Políticas de seguridad en redes Política de Seguridad Corporativa PARTICIPANTES Dirección & Equipos de Gobierno Administración de Sistemas Administración de redes y Com Responsables de Desarrollo Usuarios TEMA 5: Auditorías y Políticas de Seguridad SRC - 7 51 Políticas de seguridad en redes Política de Seguridad Corporativa DEFINICIÓN DE OBJETIVOS Protección de recursos contra ataques internos/externos Conectividad universal para todos Control del acceso a socios/clientes Garantizar rendimiento adecuado Definición de políticas de seguridad de usuario Detección y actuación frente a ataques o situaciones sospechosas Control de los costes de comunicación TEMA 5: Auditorías y Políticas de Seguridad SRC - 8
Página 5 51 Políticas de seguridad en redes Política de Seguridad Corporativa ENFOQUE Quién puede ser el enemigo Dónde están y quién tiene la información crítica Limitación del acceso y la confianza Conocimiento del entorno y su funcionamiento Seguridad física Coste de la Seguridad TEMA 5: Auditorías y Políticas de Seguridad SRC - 9 51 Políticas de seguridad en redes Política de Seguridad Corporativa ESTRATEGIAS DE IMPLANTACION Análisis de la red * Topología * Equipos implicados (red, sistemas) * Estructura de direccionamiento * Servicios Definición de la política * Qué, Cómo y Dónde se protege Implementación de elementos de seguridad (HD,SW) Comprobación del correcto funcionamiento Auditoría periódica de la política * Análisis de logs, nuevos agujeros, coste, análisis forense, TEMA 5: Auditorías y Políticas de Seguridad SRC - 10
Página 6 51 Políticas de seguridad en redes Política de Seguridad Corporativa Intranet TEMA 5: Auditorías y Políticas de Seguridad SRC - 11 51 Políticas de seguridad en redes Política de Seguridad Corporativa EJEMPLO Conectividad desde/hacia exterior de la Organización Correo electrónico controlado (filtrado puerto 25) Control espacio direccionamiento Servidores Gestión Corporativa filtrados Conectividad de Aulas de equipos controlado Acceso total de los distintos tipos de usuarios Conectividad en el interior de la Organización Acceso total a Servicios/Redes de los distintos tipos de usuarios Acceso total desde portátiles (registro temporal o definitivo) y Redes inalámbricas (VPN) Servicios de Acceso Remoto a la Organización Acceso RDSI/RTC AAA Acceso Servicios DSL VPN Acceso desde Internet VPN Servicios de Aulas informáticas de docencia/training Redes Ocultas con acceso total dentro de la Organización Acceso a Internet Proxy/Caché/Identificación usuario Servicios abiertos a cualquier usuario (Univ: ADP) Puntos activos / Acceso total ( VLAN s no públicas + Direcc oculto + Asignación de IP`s dinámicas + Filtros dinámicos) TEMA 5: Auditorías y Políticas de Seguridad SRC - 12
Página 7 51 Políticas de seguridad en redes Política de Seguridad Corporativa EJEMPLO bdc: (User+Ether+IP )/port Mantenimiento por parte del usuario a través de SV Secretaría Virtual (AAA contra bdc) Seguridad en Sistemas de Investigación/Gestión/Docencia/Red Acceso Controlado y Autentificado contra bdc Definición de SecurityTeam-TF para detección/asesoría/análisis forense (recursos humanos) Protección ante virus: usuario / estafeta de correo electrónico Sistemas de Auditorias periódicas Red / Sistemas / Servicios Adaptación/cumplimiento de la LOPD/LSSI TEMA 5: Auditorías y Políticas de Seguridad SRC - 13 51 Políticas de seguridad en redes Política de Seguridad Corporativa EJEMPLO Organización <-> Internet : Routers IN/OUT / IDS Seguridad proactiva: nessus / Formación usuario Seguridad reactiva: snort / ntop Aulas : Red de Proxy/Cachés RAS/RInalámbricas/Portátiles : Servidor Radius/VPN (LDAP) Servicios AA contra : bdc (LDAP) Servicios de Auditoría : HP OpenView / MRTG / NTOP / SQUID Gestión Administrativa : Desarrollos comerciales/ propios Sistemas IGDR : Services down, SSH, tcp-wrappers, Antivirus/firewall personal : Panda y/o McAffee y/o Norton & Trend Micro Otros Objetivos : Reducción de horas/técnico/día, automatizando las operaciones de filtrado / Control (FIREWALL+IDS): Nokia+Checkpoint / Netscreen / Cisco / Open Source Idem Auditorías Red/Sistemas/Aplicaciones: Sistema de Alarmas Gestión de tráfico para tunning de servicios (Pe Universidad: Automatricula/elearning ) Lanzamiento de servicios certificados a través de la autoridades de certificación TEMA 5: Auditorías y Políticas de Seguridad SRC - 14
Página 8 Contenido: 1 Introducción a la seguridad en redes de comunicación 11 Internet y las comunicaciones globales 12 Seguridad de los sistemas y de las comunicaciones 2 Comunicaciones seguras 21 Protección de datos: cifrado, autenticación, firma digital 22 Certificación digital: AC, PKI 23 Protocolos de comunicación segura: IPSec, SSL, SSH, HTTPS, PGP 24 Redes privadas virtuales (VPN) 3 Seguridad en infraestructuras de redes y sistemas informáticos 31 Vulnerabilidades Análisis y herramientas 32 Amenazas y ataques a infraestructuras informáticas 33 Malware Software malicioso 4 Control de accesos a servicios 41 Introducción Prevención y aislamiento 42 Sistemas cortafuegos 43 Configuración y administración de servicios 44 Sistemas de detección de intrusiones 5 Auditorias y políticas de seguridad 51 Políticas de seguridad en redes 52 Auditorias en red 53 Análisis forense informático TEMA 5: Auditorías y Políticas de Seguridad SRC - 15 52 Auditorias en red INTRODUCCION Comprobación periódica del estado de seguridad (política de seguridad corporativa) de la intranet Se tiene en cuenta: Evolución de SO, software de aplicación (riesgos de vulnerabilidades) Evolución de las amenazas Evolución de las técnicas de ataques Tipos: intrusiva y no intrusiva, con o sin riesgos Fases: planificación, ejecución, documentación y entrega Ej: TEMA 5: Auditorías y Políticas de Seguridad SRC - 16
Página 9 52 Auditorias en red Cortafuegos VPN Proxies IDS (HIDS, NIDS) Gestor de ancho de banda FUENTES DE INFORMACIÓN Sistemas: Servidores, clientes, portátiles, PDA s, telefónos móviles, blackberries, Log s dispositivos de red: routers, switches, AP s, AAA servers, Antivirus / Antispyware (Cliente/servidor) Infraestructuras corporativa de telefonía (analógica y VoIP) Aplicaciones corporativas: Web, CRM, ERP, desarrollos propios, SGBD TEMA 5: Auditorías y Políticas de Seguridad SRC - 17 52 Auditorias en red ELEMENTOS A AUDITAR Sistemas, software, infraestructuras, usuarios, política de seguridad, Análisis de vulnerabilidades de servidores Análisis de seguridad en ordenadores clientes (física, ingeniería social, ) Detección de servicios de red no autorizados y potencialmente peligrosos Vulnerabilidades de ataques DoS o DDoS Seguridad en los medios de autenticación Vulnerabilidades de contraseñas y de ataques de salida de información Análisis de comunicaciones inalámbricas Estudio de cumplimiento de política de seguridad corporativa Estudio de la política de actualización de sistemas, software e infraestructuras TEMA 5: Auditorías y Políticas de Seguridad SRC - 18
Página 10 52 Auditorias de red Señuelos "Conoce al enemigo y conócete a ti mismo y, en cien batallas, no correrás jamás el más mínimo peligro Cuando no conozcas al enemigo, pero te conozcas a ti mismo, las probabilidades de victoria o de derrota son iguales Pero si a un tiempo ignoras todo del enemigo y de ti mismo, es seguro que estás en peligro en cada batalla" Sun Tzu, El Arte de la Guerra TEMA 5: Auditorías y Políticas de Seguridad SRC - 19 52 Auditorias en red HoneyNets y HoneyPots Objetivo: Mejora de la seguridad corporativa Señuelos Captura de información de seguridad de red para su análisis posterior Herramientas para el aprendizaje de tácticas, motivaciones, metodologías de ataque, patrones de comportamiento, formación del equipo de respuestas ante incidentes y análisis forense, etc Simulación y replicación de entornos en producción W 5 : What, Where, When, Who, Why (V) Detección temprana de incidentes TEMA 5: Auditorías y Políticas de Seguridad SRC - 20
Página 11 52 Auditorias en red Señuelos Honeynet Project: 1999 wwwhoneynetorg Honeywall Enseñar, informar, investigar: security challenge, tools, papers, Tipos: Servidor Cliente Estructura DATA CONTROL DATA CAPTURE DATA ANALYSIS firewall IDS alert MySql/Oracle rate-limitting ej iptables logs Correlación IDSinline ej hpots sebek Flujos de trafico ej tcpdump TEMA 5: Auditorías y Políticas de Seguridad SRC - 21 Contenido: 1 Introducción a la seguridad en redes de comunicación 11 Internet y las comunicaciones globales 12 Seguridad de los sistemas y de las comunicaciones 2 Comunicaciones seguras 21 Protección de datos: cifrado, autenticación, firma digital 22 Certificación digital: AC, PKI 23 Protocolos de comunicación segura: IPSec, SSL, SSH, HTTPS, PGP 24 Redes privadas virtuales (VPN) 3 Seguridad en infraestructuras de redes y sistemas informáticos 31 Vulnerabilidades Análisis y herramientas 32 Amenazas y ataques a infraestructuras informáticas 33 Malware Software malicioso 4 Control de accesos a servicios 41 Introducción Prevención y aislamiento 42 Sistemas cortafuegos 43 Configuración y administración de servicios 44 Sistemas de detección de intrusiones 5 Auditorias y políticas de seguridad 51 Políticas de seguridad en redes 52 Auditorias en red 53 Análisis forense informático TEMA 5: Auditorías y Políticas de Seguridad SRC - 22
Página 12 53 Análisis forense informático IRT: CERT CSIRT Análisis post mortem de un ataque informático INTRODUCCION IDENTIFICAR PRESERVAR ANALIZAR - INFORMAR FASES: 1 Toma de datos: Qué? 2 Investigación: Quién, Cómo, Dónde? 3 Evidencias/pruebas: 1 Problema de la falsificación 2 Problema del borrado 3 Problema de la encriptación de la actividad 4 Reestablecimiento Tipos: on-line y off-line Herramientas: Análisis de archivos modificados, línea de tiempo, scanners, TEMA 5: Auditorías y Políticas de Seguridad SRC - 23 53 Análisis forense informático Qué? Qué sucedió exactamente? En qué horario, qué fecha y desde dónde? Cómo respondió el personal involucrado en el incidente? Qué clase de información se necesitó rápidamente? Cómo se obtuvo esa información? Qué se debería hacer diferente la próxima vez? Cómo fue la cronología de eventos? Qué impacto económico se provocó? Informe final de cómo fueron afectados los recursos? Hay que modificar la política de seguridad corporativa? Hay que tomar medidas legales? TEMA 5: Auditorías y Políticas de Seguridad SRC - 24
Página 13 53 Análisis forense informático FUENTES DE INFORMACIÓN N ANALISIS RED: Routers/switches Direcciones y puertos implicados, duración conexiones, número de paquetes enviados, flujos de trafico (IN/OUT), HOST: Ficheros logs sistemas, auditorias, OTROS: Disquetes, CD s/dvd s, discos duros, cintas, CF/SD/MMC, USB, Firewire, pen drivers, reproductores MP3, cámaras digitales, impresoras,faxes, modems, PDAs, móviles, Capturas tráfico: reconstrucción de sesiones, ficheros, password, identificación de endpoints, Correlación entre información de RED, HOST y OTROS Análisis del entorno: otros sistemas, equipos, Emisión de informe de conclusiones y de actividades a realizar TEMA 5: Auditorías y Políticas de Seguridad SRC - 25 Algunas referencias de interés http ://wwwhoneynetorg http ://honeynetorges http ://wwwmicrosoftcom/technet/prod technol/windows2000serv/maintain/ monitor/logevntsmspx http ://wwwmicrosoftcom/technet/ archive/winntas/support/usesecurmspx? mfr=true http ://wwwlogwatchorg http ://wwwkiwisyslogcom/sysloginfophp http ://wwwciscocom/go/mars http ://wwwsleuthkitorg http ://wwwfoundstonecom TEMA 5: Auditorías y Políticas de Seguridad SRC - 26
Página 14 Algunas referencias de interés Honeypots: Tracking Hackers Lance Spitzner Addison Wesley ISBN-10: 0-321-10895-7 Designing Network Security Merike Kaeo Cisco Press ISBN-10: 1-58705-117-6 Network Security Fundamentals Gert De Laet, Gert Schauwers Cisco Press ISBN-10: 1-58705-167-2 Security Warrior Anton Chuvakin, Cyrus Peikari O'Reilly ISBN: 0-596-00545-8 Know your enemy The kneynet project Addison Wesley ISBN: 0-321-16646-9 Incident Response Kenneth R van Wyk, Richard Forno O reilly ISBN: 0-596-00130-4 TEMA 5: Auditorías y Políticas de Seguridad SRC - 27 Seguridad en Redes de Comunicación Ingeniero en Telecomunicación 4º Curso -FIN- Dpto Teoría de la Señal, Tema 5: Auditorias y Política de Seguridad Antonio Ruiz Moya