La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Fundamentos de seguridad

Publicada porCharo Coronel Modificado hace 10 años

Presentaciones similares

Presentación del tema: "Fundamentos de seguridad"— Transcripción de la presentación:

1

2 Fundamentos de seguridad
Nombre Puesto Compañía

3 Requisitos previos para la sesión
Experiencia práctica en la instalación, configuración, administración y planeamiento de la implementación de Windows 2000 o Windows Server 2003 Experiencia con Active Directory Nivel 200

4 Orden del día Caso práctico
Disciplina de administración de riesgos de seguridad Defensa en profundidad Respuesta a incidentes de seguridad Ejemplos de ataques Recomendaciones Diez normas de seguridad inmutables En este tema, se establecerá el fundamento empresarial de seguridad. Específicamente, se tratará: Las consecuencias de las infracciones de seguridad. La encuesta de CSI/FBI de 2003.

5 Repercusión de las infracciones de seguridad
Pérdida de beneficios Perjuicio de la reputación Las infracciones de seguridad afectan a las organizaciones de diversas formas. Con frecuencia, tienen los resultados siguientes: Pérdida de beneficios Perjuicio de la reputación de la organización Pérdida o compromiso de seguridad de los datos Interrupción de los procesos empresariales Deterioro de la confianza del cliente Deterioro de la confianza del inversor Consecuencias legales: en muchos estados o países, la incapacidad de proteger un sistema tiene consecuencias legales; un ejemplo es Sarbanes Oxley, HIPAA, GLBA, California SB 1386. Las infracciones de seguridad tienen efectos de gran repercusión. Cuando existe una debilidad en seguridad, ya sea real o sólo una percepción, la organización debe emprender acciones inmediatas para garantizar su eliminación y que los daños queden restringidos. Muchas organizaciones tienen ahora servicios expuestos a los clientes, como los sitios Web. Los clientes pueden ser los primeros en observar el resultado de un ataque. Por lo tanto, es esencial que la parte de una compañía que se expone al cliente sea lo más segura posible. Pérdida o compromiso de seguridad de los datos Deterioro de la confianza del inversor Deterioro de la confianza del cliente Interrupción de los procesos empresariales Consecuencias legales

6 Encuesta de CSI/FBI de 2003 La encuesta más reciente sobre seguridad y delitos informáticos del Instituto de seguridad de equipos y de la Oficina federal de investigación (CSI/FBI, Computer Security Institute/Federal Bureau of Investigation) de Estados Unidos incluye cifras interesantes relativas a las pérdidas financieras que suponen los ataques a equipos para las organizaciones que los sufren. La encuesta demuestra que los ataques de denegación de servicio (DoS, Denial Of Service) y de robo de información son los responsables de las mayores pérdidas. En consecuencia, es importante saber que aunque el costo de la implementación de sistemas de protección de seguridad no es trivial, supone una fracción del costo que conlleva mitigar los compromisos de seguridad. La solución de seguridad más efectiva es la creación de un entorno en niveles de modo que se pueda aislar un posible ataque llevado a cabo en uno de ellos. Un ataque tendría que poner en peligro varios niveles para lograr su propósito. Esto se conoce como defensa en profundidad. Esta estructura de seguridad se explicará detalladamente más adelante en esta presentación. El costo de la implementación de medidas de seguridad no es trivial; sin embargo, sólo es una fracción del costo que supone mitigar un incidente de seguridad

7 Orden del día Caso práctico
Disciplina de administración de riesgos de seguridad Defensa en profundidad Respuesta a incidentes de seguridad Ejemplos de ataques Recomendaciones Diez normas inmutables de seguridad En este tema, se explicará la disciplina de administración de riesgos de seguridad (SRMD). Específicamente, se tratará: Los tres procesos de SRMD son Evaluación. Desarrollo e implementación. Funcionamiento. La evaluación implica Evaluación y valoración de activos. Identificación de riesgos de seguridad con STRIDE. Análisis y asignación de prioridad a los riesgos de seguridad con DREAD. Seguimiento, planeamiento y programación de actividades relacionadas con los riesgos de seguridad. El desarrollo e implementación incluyen Desarrollo de métodos correctivos de seguridad. Prueba de los métodos correctivos de seguridad. Obtención de información de seguridad. El funcionamiento incluye Volver a valorar los activos nuevos y los que han sufrido cambios, así como los riesgos de seguridad. Estabilizar e implementar medidas preventivas nuevas o que han cambiado.

8 Procesos de la disciplina de administración de riesgos de seguridad (SRMD)
Evaluación Evaluar y valorar los activos Identificar los riesgos de seguridad Analizar y asignar prioridad a los riesgos de seguridad Seguimiento, planeamiento y programación de riesgos Desarrollo e implementación Desarrollar métodos correctivos de seguridad Probar los métodos correctivos de seguridad Obtener información de seguridad Funcionamiento Volver a valorar los activos nuevos y los que han sufrido cambios, así como los riesgos de seguridad Estabilizar e implementar medidas preventivas nuevas o que han cambiado La disciplina de administración de riesgos de seguridad (SRMD, Security Risk Management Discipline) define los tres procesos principales que una organización debe implementar para llegar a ser segura y continuar siéndolo. Los tres procesos son: Evaluación: esta fase implica la recopilación de la información relevante del entorno de la organización con el fin de realizar una estimación de seguridad. Debe recopilar datos suficientes para analizar de forma efectiva el estado actual del entorno. A continuación, determine si los activos de información de la organización están bien protegidos de posibles amenazas. Cree un plan de acción de seguridad, que se pone en práctica durante el proceso de implementación. Desarrollo e implementación: esta fase se centra en la puesta en marcha de un plan de acción de seguridad destinado a implementar los cambios recomendados definidos en la fase de evaluación. Además, se desarrolla un plan de contingencia de riesgos de seguridad. Funcionamiento: durante esta fase, modifique y realice actualizaciones en el entorno a medida que se necesiten para mantener su seguridad. Durante los procesos operativos, se llevan a cabo estrategias de pruebas de la penetración y de respuesta a incidentes, que ayudan a solidificar los objetivos de la implementación de un proyecto de seguridad en la organización. Asimismo, también se realizan actividades de auditoría y supervisión para mantener la infraestructura intacta y segura. En la guía de Microsoft Solutions para la protección de Windows 2000 Server (Microsoft Solutions Guide for Securing Windows 2000 Server) en puede encontrar detalles adicionales de SRMD.

9 Evaluación: evaluar y valorar
Prioridades de activos (escala de 1 a 10) 1. El servidor proporciona una funcionalidad básica pero no tiene un impacto financiero en el negocio. 3. El servidor contiene información importante, pero los datos se pueden recuperar rápida y fácilmente. 5. El servidor contiene datos importantes que llevaría algún tiempo recuperar. 8. El servidor contiene información importante para los objetivos empresariales de la compañía. La pérdida de este equipamiento tendría un efecto considerable en la productividad de todos los usuarios. 10.El servidor tiene un efecto considerable en el negocio de la compañía. La pérdida de este equipamiento resultaría en una desventaja con respecto a la competencia. La evaluación de activos determina el valor reconocido de la información desde el punto de vista de quienes la utilizan y el trabajo que conlleva su desarrollo. La evaluación de activos también implica determinar el valor de un servicio de red, por ejemplo, el de un servicio que proporciona a los usuarios de la red acceso saliente a Internet, desde el punto de vista de quienes utilizan dicho servicio y lo que costaría volver a crearlo. La valoración determina cuánto cuesta mantener un activo, lo que costaría si se perdiera o destruyera, y qué beneficio lograrían terceros si obtuvieran esta información. El valor de un activo debe reflejar todos los costos identificables que surgirían si el activo se viera perjudicado. Al determinar las prioridades en relación a los activos, se pueden emplear valores arbitrarios, como los mostrados en la diapositiva, o valores específicos, como el costo monetario real. Las organizaciones deben utilizar la escala más apropiada para resaltar el valor relativo de sus activos.

10 Evaluación: identificar amenazas de seguridad - STRIDE
Tipos de amenazas Ejemplos Suplantación Falsificar mensajes de correo electrónico Reproducir paquetes de autenticación AlTeración Alterar datos durante la transmisión Cambiar datos en archivos Repudio Eliminar un archivo esencial y denegar este hecho Adquirir un producto y negar posteriormente que se ha adquirido DIvulgación de información Exponer la información en mensajes de error Exponer el código de los sitios Web Denegación de servicio Inundar una red con paquetes de sincronización Inundar una red con paquetes ICMP falsificados Elevación de privilegios Explotar la saturación de un búfer para obtener privilegios en el sistema Obtener privilegios de administrador de forma ilegítima La identificación de los riesgos de seguridad permite a los miembros de los grupos de trabajo del proyecto aclarar las ideas e identificar posibles riesgos para la seguridad. La información se recopila en forma de amenazas, vulnerabilidades, puntos débiles y medidas preventivas. El modelo STRIDE proporciona una estructura valiosa y fácil de recordar para identificar las amenazas y los posibles puntos débiles. La suplantación de identidades es la capacidad de obtener y usar la información de autenticación de otro usuario. Un ejemplo de suplantación de identidad es la utilización del nombre y la contraseña de otro usuario. La alteración de datos implica su modificación. Un ejemplo sería alterar el contenido del cookie de un cliente. El repudio es la capacidad de negar que algo ha ocurrido. Un ejemplo de repudio sería que un usuario cargue datos dañinos en el sistema cuando en éste no se puede realizar un seguimiento de la operación. La divulgación de información implica la exposición de información ante usuarios que se supone que no deben disponer de ella. Un ejemplo de divulgación de información es la capacidad de un intruso para leer archivos médicos confidenciales a los que no se le ha otorgado acceso. Los ataques de denegación de servicio privan a los usuarios del servicio normal. Un ejemplo de denegación de servicio consistiría en dejar un sitio Web inaccesible al inundarlo con una cantidad masiva de solicitudes HTTP. La elevación de privilegios es el proceso que siguen los intrusos para realizar una función que no tienen derecho a efectuar. Para ello, puede explotarse una debilidad del software o usar las credenciales de forma ilegítima. Otros ataques podrían ser llevados a cabo únicamente con el propósito de que el sistema de destino incurra en gastos. Por ejemplo, se podría montar un ataque contra un servicio de fax o un teléfono celular para hacer un gran número de llamadas internacionales que supongan un gran costo.

11 Evaluación: análisis y establecimiento de prioridades de los riesgos de seguridad: DREAD
Daño Capacidad de Reproducción Capacidad de Explotación Usuarios Afectados Capacidad de Descubrimiento Exposición al riesgo = Prioridad del activo x Categoría de la amenaza El análisis de riesgos de seguridad se utiliza para analizar los ataques, herramientas, métodos y técnicas que podrían usarse para explotar una posible vulnerabilidad. El análisis de riesgos de seguridad es un método para la identificación de riesgos y la evaluación del posible daño que podría ocasionarse. El resultado de la evaluación puede usarse para justificar medidas de protección de la seguridad. Un análisis de riesgos de seguridad tiene tres objetivos principales: identificar riesgos, cuantificar los efectos de las posibles amenazas y proporcionar un equilibrio económico entre la repercusión del riesgo y el costo de la medida preventiva. La información se recopila para estimar el grado de riesgo de modo que el grupo de trabajo pueda tomar decisiones fundadas en relación a qué riesgos de seguridad deben constituir el objeto principal de las estrategias correctivas. Este análisis se usa entonces para asignar prioridad a los riesgos de seguridad y permitir a la organización destinar los recursos para tratar los problemas de seguridad más importantes. Una vez identificada una amenaza, debe clasificarse. Una solución para ello es usar DREAD. La clasificación de 1 a 10 se asigna en cinco áreas: daños, capacidad de reproducción, capacidad de explotación, usuarios afectados y capacidad de descubrimiento. La clasificación se realiza como promedio, con lo que se ofrece una categoría global de amenazas. Cuanto mayor es la categoría, más grave es la amenaza. Esta clasificación proporciona una perspectiva de la prioridad relativa de cada riesgo en vez de una cuantificación real del mismo. Puede tomar esta categoría y multiplicarla por el grado de imprescindibilidad de un sistema para conocer el riesgo que supone para éste.

12 Directiva de seguridad
Evaluación: seguimiento, diseño y programación de actividades relacionadas con los riesgos de seguridad Las tareas de seguimiento, planeamiento y programación de riesgos de seguridad toman la información obtenida en el análisis de riesgos de seguridad y la utilizan para formular estrategias correctivas y de contingencia, además de los planes para abarcarlas. La programación de riesgos de seguridad intenta definir un programa para las diversas estrategias correctivas creadas durante la fase de generación de un proyecto de seguridad. Esta programación tiene en consideración la forma en que los planes de seguridad se aprueban e incorporan a la arquitectura de información, además de los procedimientos de operaciones diarias estándar que deben implementarse. Tipos de amenazas Ejemplos Suplantación Falsificar mensajes de correo electrónico Reproducir paquetes de autenticación Alteración Alterar datos durante la transmisión Cambiar datos en archivos Repudio Eliminar un archivo esencial y denegar este hecho Adquirir un producto y negar posteriormente que se ha adquirido Divulgación de información Exponer la información en mensajes de error Exponer el código de los sitios Web Denegación de servicio Inundar una red con paquetes de sincronización Inundar una red con paquetes ICMP falsificados Elevación de privilegios Explotar la saturación de un búfer para obtener privilegios en el sistema Obtener privilegios de administrador de forma ilegítima Directiva de seguridad

13 Directiva de seguridad
Desarrollo e implementación: Desarrollo de métodos correctivos de seguridad Administración de la configuración Administración de revisiones Supervisión del sistema Auditoría del sistema Directivas operativas Procedimientos operativos Directiva de seguridad El desarrollo de métodos correctivos para los riesgos de seguridad es un proceso en el que se toman los planes creados durante la fase de evaluación y se usan para elaborar una nueva estrategia de seguridad que implique la administración de la configuración y las revisiones, la supervisión y auditoría de los sistemas, y la creación de directivas y procedimientos operativos. A medida que se desarrollan las diversas medidas preventivas, es importante garantizar que se realiza un seguimiento e informe minuciosos del progreso.

14 Desarrollo e implementación: verificación de los métodos correctivos de seguridad
Administración de la configuración Administración de revisiones Supervisión del sistema Auditoría del sistema Directivas operativas Procedimientos operativos La prueba de las estrategias correctivas de los riesgos de seguridad tiene lugar después de su desarrollo, una vez que han tenido lugar los cambios de administración del sistema asociados y se han escrito las directivas y procedimientos para determinar su efectividad. El proceso de prueba permite al grupo de trabajo considerar cómo se pueden implementar dichos cambios en un entorno de producción. Durante el proceso de prueba, las medidas preventivas se evalúan teniendo en cuenta la efectividad con respecto a cómo se consigue controlar el riesgo de seguridad y a los efectos indeseables que se observan en otras aplicaciones. Laboratorio de pruebas

15 Desarrollo e implementación: obtención de información de seguridad
El conocimiento de los riesgos de seguridad permite formalizar el proceso para recopilar la información sobre cómo el grupo de trabajo protegió los activos y documenta las vulnerabilidades y puntos débiles que se descubrieron. Cuando el departamento de tecnología de la información (IT, Information Technology) reúne nueva información relativa a seguridad, dicha información se debe capturar y volver a implementar para garantizar la máxima eficacia continuada de las medidas preventivas de seguridad que protegen los activos de la organización. Además, se debe implantar un programa de aprendizaje destinado a los grupos empresariales. Este programa de aprendizaje puede tomar la forma de cursos instructivos o de boletines diseñados para adquirir conciencia de seguridad. Su organización debe definir un proceso formal de administración de riesgos que determinará cómo se inician y evalúan las medidas preventivas, y en qué circunstancias se debe avanzar de un paso a otro en cada riesgo de seguridad o conjunto de riesgos. Oficina principal Servicios Internet LAN Laboratorio de pruebas

16 Funcionamiento: reevaluación de los activos y los riesgos
Los activos nuevos, los que han sufrido cambios y los riesgos de seguridad Las organizaciones son dinámicas y su plan de seguridad también debe serlo. Actualice la evaluación de riesgos periódicamente. Asimismo, vuelva a valorar el plan de evaluación de riesgos cada vez que realice un cambio importante en el funcionamiento o en la estructura. Es decir, si efectúa una reorganización, se traslada a un edificio nuevo, cambia de proveedores, activa un nuevo sitio Web o realiza otros cambios importantes, debe volver a evaluar los riegos y las posibles pérdidas mediante los pasos descritos anteriormente en la fase de evaluación. Es importante evaluar los riesgos de forma continuada. Esto significa que nunca debe dejar de buscar nuevos riesgos ni de reevaluar periódicamente los riesgos existentes. Si no se realiza alguna de estas acciones, la administración de riesgos no beneficiará a su organización. La frecuencia con que se debe revisar el plan de administración de riesgos y sus activadores debe definirse en la directiva de seguridad de la organización. La reevaluación de activos y riesgos es esencialmente un proceso de administración de cambios, pero también se utiliza para realizar la administración de la configuración de seguridad. Esto permite reducir el trabajo administrativo cuando se han completado las medidas preventivas y las directivas de seguridad. Oficina principal Servicios Internet LAN Nuevos servicios Internet Laboratorio de pruebas

17 Funcionamiento: estabilización y desarrollo de medidas preventivas
Medidas preventivas nuevas o con cambios En general, la Disciplina de administración de riesgos de seguridad se basa en los siguientes componentes de la guía de ciclo de vida de tecnología de la información de Microsoft: Disciplina de administración de riesgos de Microsoft Solutions Framework (MSF) (este sitio está en inglés) Modelo de riesgo para operaciones de Microsoft Operations Framework (MOF) (este sitio está en inglés) La diapositiva muestra el modelo de riesgo para operaciones de MOF, que describe los pasos del proceso de administración de riesgos: identificar, analizar, planear, rastrear y controlar. Se trata de un proceso continuado que implica la evaluación y el análisis continuados de los riesgos de seguridad. En consecuencia, será necesario implementar continuamente nuevas medidas preventivas o realizar cambios en las existentes basándose en esta nueva evaluación. Después de la implementación de las medidas preventivas nuevas o que han cambiado, es importante mantener el proceso de las operaciones. Las tareas que los administradores de seguridad o los administradores de redes tienen que realizar pueden incluir: Administración del sistema Mantenimiento de cuentas Supervisión de servicios Programación de trabajos Procedimientos de copia de seguridad Estos procesos de implementación de la estabilización y las medidas preventivas corresponden a las fases de estabilización y desarrollo del modelo de proceso MSF, que pueden encontrarse en (este sitio está en inglés). 1 2 Identificación Análisis 5 3 Declaración de riesgos Control Plan 4 Seguimiento

18 Orden del día Caso práctico
Disciplina de administración de riesgos de seguridad Defensa en profundidad Respuesta a incidentes de seguridad Ejemplos de ataques Recomendaciones Diez normas de seguridad inmutables En este tema, se expondrá la defensa en profundidad. Específicamente, se tratará: Organización de una estructura para seguridad: defensa en profundidad. Cómo se puede ver comprometida la seguridad de cada nivel del modelo de defensa en profundidad. Cómo proporcionar protección para cada nivel del modelo de defensa en profundidad.

19 Estructura de organización de la seguridad
El uso de una solución en niveles: Aumenta la posibilidad de que se detecten los intrusos Disminuye la oportunidad de que los intrusos logren su propósito Para reducir al mínimo la posibilidad de que un ataque contra su organización tenga éxito, debe utilizar el mayor número posible de niveles de defensa. Defender su organización en profundidad implica el uso de varios niveles de defensa. Si un nivel se ve comprometido, ello no conlleva necesariamente que también lo esté toda la organización. Como directriz general, diseñe y cree cada nivel de seguridad bajo el supuesto de que se ha conseguido infringir su seguridad. Realice los pasos necesarios para proteger el nivel en el que esté trabajando. Además, hay muchas formas de proteger cada nivel individual mediante herramientas, tecnologías, directivas y la aplicación de las recomendaciones. Por ejemplo: Nivel de directivas, procedimientos y concienciación: programas educativos de seguridad para los usuarios Nivel de seguridad física: guardias de seguridad, bloqueos y dispositivos de seguimiento Nivel perimetral: servidores de seguridad de hardware, software o ambos, y creación de redes privadas virtuales con procedimientos de cuarentena Nivel de red de Internet: segmentación de red, Seguridad IP (IPSec) y sistemas de detección de intrusos de red Nivel de host: prácticas destinadas a reforzar los servidores y clientes, herramientas de administración de revisiones, métodos seguros de autenticación y sistemas de detección de intrusos basados en hosts. Nivel de aplicación: prácticas destinadas a reforzar las aplicaciones y el software antivirus Nivel de datos: listas de control de acceso (ACL) y cifrado Directivas, procedimientos y concienciación Seguridad física Datos ACL, cifrado Aplicación Refuerzo de las aplicaciones, antivirus Refuerzo del sistema operativo, administración de revisiones, autenticación, HIDS Host Red interna Segmentos de red, IPSec, NIDS Perímetro Servidores de seguridad, sistemas de cuarentena en VPN Guardias de seguridad, bloqueos, dispositivos de seguimiento Programas de aprendizaje para los usuarios

20 Descripción de las directivas, los procedimientos y el nivel de concienciación
Necesito configurar un servidor de seguridad. ¿Qué puertos debo bloquear? Dejaré abierta la puerta de la sala donde se encuentra mi equipo. Mucho más fácil Generalmente, los usuarios no tienen en cuenta la seguridad cuando realizan sus tareas diarias. Una directiva de seguridad para una organización debe definir: El uso aceptable. El acceso remoto. La protección de la información. La copia de seguridad de los datos. La seguridad del perímetro. La seguridad de los dispositivos y hosts básicos. Una directiva debe comunicar consenso y proporcionar el fundamento para que el departamento de recursos humanos actúe en el caso de que se infrinja la seguridad. También puede ayudar a demandar a quienes logren infringir la seguridad. Una directiva de seguridad debe proporcionar a la organización un procedimiento de tratamiento de incidentes apropiado. Debe definir: Las áreas de responsabilidad. El tipo de información que debe registrarse. El destino de esa información. Qué acciones emprender tras un incidente. Una directiva de seguridad adecuada suele ser el fundamento del resto de prácticas de seguridad. Cada directiva debe ser lo suficientemente general para poder aplicarse en distintas tecnologías y plataformas. Al mismo tiempo, debe ser lo suficientemente específica para proporcionar a los profesionales de IT orientación sobre cómo implementar la directiva. El ámbito de la directiva de seguridad de una organización depende del tamaño y complejidad de ésta. En muchas organizaciones hay consejos disponibles sobre cómo crear directivas de seguridad, por ejemplo, en y (estos sitios están en inglés). Han bloqueado mi sitio Web favorito. Suerte que tengo un módem Creo que usaré mi nombre como contraseña

21 Directivas, procedimientos y compromiso del nivel de concienciación
Yo también uso una red. ¿Cómo configura sus servidores de seguridad? Los intrusos pueden usar estratagemas sociales para aprovecharse de los usuarios que no son conscientes de los problemas de seguridad que pueden surgir en su lugar de trabajo o que los desconocen. Para los usuarios, muchas medidas de seguridad parecen innecesarias y, por lo tanto, no las siguen. Muchos ataques implican el uso de estratagemas sociales. Ciertas estratagemas sociales se aprovechan de la despreocupación por la seguridad con que la mayor parte de los usuarios actúan en su vida diaria. Un intruso puede emplear su tiempo de ocio o de trabajo en intentar conocer a los usuarios y ganarse su confianza. Aunque un intruso formule preguntas aparentemente inofensivas, la información que obtiene en conjunto le proporciona los medios para llevar a cabo o iniciar un ataque. Hola, ¿sabe dónde está la sala de equipos? Qué módem más fantástico. ¿Cuál es el número de esa línea? Nunca puedo inventarme una buena contraseña. ¿Cuál usa usted?

22 Directivas, procedimientos y protección del nivel de concienciación
Para contrarrestar estas amenazas de estratagemas sociales, las organizaciones deben implementar procedimientos claros y precisos, y procesos que deban cumplir todos los empleados, además de entrenarles en el uso de estas directivas. Cada función que se desempeñe debe tener instrucciones claras y documentadas. Siempre se requieren programas de aprendizaje sobre seguridad para detallar estos procesos y procedimientos. Las instrucciones deben formar una imagen completa de seguridad de modo que los usuarios entiendan la necesidad de disponer de seguridad en todos los niveles y en todas las ocasiones. Una directiva de seguridad combina las necesidades de seguridad y la cultura de una organización. Se ve afectada por el tamaño de la organización y sus objetivos. Algunas directivas pueden ser aplicables a todos los sitios pero otras son específicas de ciertos entornos. Una directiva de seguridad debe equilibrar la posibilidad de control con la necesidad de productividad. Si las directivas son demasiado restrictivas, los usuarios siempre encontrarán formas de omitir los controles. Una organización debe demostrar un compromiso en la administración con respecto al grado de control definido en una directiva; de lo contrario, no se implementará correctamente. Procedimiento de configuración de servidores de seguridad Directiva de seguridad del acceso físico Procedimiento de solicitud de dispositivos Los cursos de seguridad ayudan a los usuarios a utilizar las directivas de seguridad Directiva de confidencialidad de la información del usuario

23 Descripción del nivel de seguridad física
Un intruso con acceso a los componentes físicos puede omitir fácilmente muchos procedimientos de seguridad. Un intruso puede utilizar el teléfono de una compañía o un dispositivo de mano. Acciones como ver las listas de contactos o números de teléfono, enviar un mensaje de correo electrónico o responder al teléfono identificándose como su propietario pueden facilitar al intruso la consecución de su objetivo. Los equipos portátiles de una compañía pueden contener abundante información muy útil para un intruso. Siempre deben almacenarse de un modo seguro cuando no se estén usando.

24 Compromiso del nivel de seguridad física
Si los intrusos obtienen acceso físico a los sistemas, pasan a convertirse en efecto en sus propietarios. En algunos casos, un ataque sólo es un acto vandálico. Deshabilitar un sistema puede constituir un problema importante, pero no es ni mucho menos tan serio como el hecho de que un intruso pueda ver, cambiar o eliminar datos que se piensa que son seguros. El acceso físico a un sistema también permite a un intruso instalar software. El software puede pasar desapercibido y ejecutarse en un sistema durante un período considerable, durante el que consigue recopilar datos esenciales de la compañía. Esto puede resultar desastroso. Dañar el hardware Ver, cambiar o quitar archivos Quitar hardware Instalar código malintencionado

25 Protección en el nivel de seguridad física
Cierre las puertas e instale alarmas Emplee personal de seguridad Puede utilizar una amplia variedad de técnicas para proteger una instalación. El grado de seguridad física disponible depende de su presupuesto. Es fácil mantener unos estándares elevados cuando se trabaja con un modelo hipotético. Sin embargo, en el mundo real, las soluciones deben idearse en función del sitio, los edificios y las medidas de seguridad empleadas. La lista de la diapositiva presenta algunas de las maneras en que puede proteger una instalación. La defensa en profundidad comienza por aplicar una seguridad física a todos los componentes de la infraestructura. Si algún individuo no autorizado tiene acceso físico al entorno, éste no se puede considerar seguro. Por ejemplo, un técnico de mantenimiento podría cambiar un disco con errores en una matriz RAID1 que contenga datos de clientes. Es posible que el disco se pueda reparar. Los datos están ahora en manos de un tercero. El primer paso es separar los servidores de los operadores humanos y los usuarios. Todas las salas de servidores deben estar cerradas con llave. El acceso a las salas de servidores debe estar controlado y registrado estrictamente. Algunos de los mecanismos de control de acceso que pueden aplicarse incluyen el uso de placas de identificación y sistemas biométricos. Un empleado de confianza debe organizar de antemano el acceso y autorizarlo. Si no existen salas especiales para los servidores, éstos se deben proteger en cabinas o, al menos, cerrarse bajo llave en los armarios. La mayor parte de los armarios de servidores se puede abrir con una llave estándar de modo que no debe confiar únicamente en las cerraduras que vengan de fábrica. Todas las salas de servidores deben disponer de algún tipo de mecanismo contra incendios: los incendios provocados constituyen una amenaza que requiere una medida preventiva. El acceso debe ser supervisado por guardias de seguridad o mediante un circuito cerrado de televisión (CCTV). Las grabaciones de vídeo de CCTV se pueden usar con fines de auditoría y la presencia de cámaras puede servir para prevenir accesos oportunistas. Tenga en cuenta que en la mayor parte de las ocasiones, quienes consiguen infringir la seguridad son individuos que curiosean sin malas intenciones, no piratas informáticos especializados que persiguen un fin dañino. El acceso físico se extiende a las consolas de administración remotas, además de a los servidores. No tiene sentido proteger directamente el acceso a los monitores y los teclados si los servicios de terminal pueden tener acceso a los servidores desde cualquier lugar de la red interna. Esta directriz se aplica a las soluciones de monitor de vídeo de teclado (KVM, Keyboard Video Monitor) IP y también al hardware de administración remota. Igualmente, es importante limitar las oportunidades que pueden facilitar que los usuarios, con buenas intenciones o no, infecten o pongan en peligro un sistema. Quite los dispositivos de entrada de datos como las unidades de disquete y de CD-ROM de los sistemas que no los requieran. Por último, compruebe que todo el hardware de red está físicamente protegido. Si los servidores están protegidos en una sala o armario con cerradura, los enrutadores y conmutadores adjuntos también deben estar protegidos físicamente. De lo contrario, un intruso puede llegar fácilmente hasta un equipo portátil o de escritorio, y atacar a los servidores desde dentro del perímetro. Una vez más, se debe controlar la administración de los dispositivos de red; de lo contrario, pueden utilizarse para perpetrar un ataque contra el resto de la infraestructura. Aplique procedimientos de acceso Supervise el acceso Limite los dispositivos de entrada de datos Utilice herramientas de acceso remoto para mejorar la seguridad

26 Descripción del nivel perimetral
Socio comercial Servicios Internet LAN Oficina principal LAN Servicios Internet El perímetro de red es el área de una red que está más expuesta a un ataque del exterior. Los perímetros de red se pueden conectar a numerosos entornos diferentes, que van desde socios comerciales a Internet. Cada organización usa criterios distintos para definir su perímetro. Los criterios pueden incluir algunas o todas las conexiones descritas en la diapositiva. Internet Los perímetros de red incluyen conexiones a: Sucursal Internet Sucursales Socios comerciales Usuarios remotos Redes inalámbricas Aplicaciones de Internet Usuario remoto Red inalámbrica LAN

27 Compromiso de seguridad del nivel de perímetro
Socio comercial Servicios Internet LAN Oficina principal LAN Servicios Internet La mayoría de los expertos en seguridad se centran en el área desde la que cabe esperar que se origine un ataque, como Internet. Sin embargo, los intrusos también son conscientes de que ésta será la solución que probablemente utilice e intentarán atacar la red desde algún otro lugar. Es muy importante que todas las entradas y salidas de la red sean seguras. Es improbable que usted sea el responsable de la implementación de seguridad de sus socios comerciales; por lo tanto, no puede confiar completamente en todo el acceso que se origine en ese entorno. Además, no tiene control del hardware de los usuarios remotos, lo que constituye otro motivo para no confiar en ese entorno. Las sucursales podrían no contener información confidencial y, por lo tanto, es posible que tengan una implementación menos segura. Sin embargo, podrían tener vínculos directos a la oficina principal, que un intruso podría usar. Es importante que considere la seguridad de la red en conjunto, no sólo en áreas individuales. Internet El compromiso de seguridad en el perímetro de red puede resultar en: Sucursal Ataque a la red corporativa Ataque a los usuarios remotos Ataque desde un socio comercial Ataque desde una sucursal Ataque a servicios Internet Ataque desde Internet Usuario remoto Red inalámbrica LAN

28 Protección del nivel de perímetro
Socio comercial Servicios Internet LAN Oficina principal LAN Servicios Internet La protección de los perímetros se puede llevar a cabo principalmente con servidores de seguridad. La configuración de un servidor de seguridad puede ser difícil desde el punto de vista técnico. Por lo tanto, los procedimientos deben detallar claramente los requisitos. Los sistemas operativos recientes de Microsoft® Windows® facilitan el bloqueo de los puertos de comunicación innecesarios para reducir el perfil de ataque de un equipo. La traducción de direcciones de red (NAT, Network Address Translation) permite a una organización disimular las configuraciones de direcciones IP y de puertos internos para impedir que usuarios malintencionados ataquen los sistemas internos con información de red robada. Los mecanismos de seguridad del perímetro pueden ocultar también los servicios internos, incluso aquellos que están disponibles externamente, de modo que un intruso nunca se comunique de forma directa con ningún sistema que no sea el servidor de seguridad desde Internet. Cuando los datos salen del entorno que está bajo su responsabilidad, es importante que se encuentren en un estado que garantice su seguridad y que lleguen intactos a su destino. Esto se puede conseguir mediante protocolos de túnel y cifrado, con el fin de crear una red privada virtual (VPN, Virtual Private Network). El protocolo de túnel que emplean los sistemas de Microsoft es el Protocolo de túnel punto a punto (PPTP, Point-to-Point Tunneling Protocol), que utiliza Cifrado punto a punto de Microsoft (MPPE, Microsoft Point-to-Point Encryption), o Protocolo de túnel de nivel 2 (L2TP, Layer 2 Tunneling Protocol), que utiliza el cifrado de IPSec. Cuando los equipos remotos establecen comunicación a través de una VPN, las organizaciones pueden seguir pasos adicionales para examinar esos equipos y garantizar que cumplan una directiva de seguridad predeterminada. Los sistemas que establecen la conexión se aíslan en un área independiente de la red hasta que se completan las verificaciones de seguridad. Los sistemas del perímetro también deben tener usos claramente definidos. Bloquee o deshabilite cualquier otra funcionalidad. Firewall de Windows, que se incluye con Windows XP y Windows Server 2003, puede extender la protección del perímetro a los usuarios remotos. Internet La protección del perímetro de red incluye: Sucursal Servidores de seguridad Bloqueo de puertos de comunicación Traducción de direcciones IP y puertos Redes privadas virtuales Protocolos de túnel Cuarentena en VPN Usuario remoto Red inalámbrica LAN

29 Demostración 1 Firewall de Windows Habilitar Firewall de Windows Configurar Firewall de Windows para permitir el acceso al puerto 3389 En esta demostración, se tratará: Cómo crear una conexión con un escritorio remoto. Cómo configurar Firewall de Windows para denegar la conexión. Cómo configurar Firewall de Windows para permitir el uso del puerto 3389.

30 Descripción del nivel de red interna
Los ataques no provienen sólo de orígenes externos. Tanto si los ataques internos son genuinos como si son meros accidentes, muchos sistemas y servicios se dañan desde dentro las organizaciones. Es importante implementar medidas internas de seguridad orientadas a las amenazas malintencionadas y a las accidentales. Ventas Marketing Red inalámbrica Recursos humanos Finanzas

31 Compromiso de seguridad del nivel de red interna
Acceso no autorizado a los sistemas Puertos de comunicación inesperados Acceso no autorizado a redes inalámbricas El acceso a los sistemas y recursos de red internos permite a los intrusos obtener acceso fácilmente a los datos de la organización. Mediante el acceso a la infraestructura de red también pueden supervisar la red e investigar el tráfico que se está transportando. Las redes totalmente enrutadas, aunque hacen que la comunicación sea más fácil, permiten a los intrusos tener acceso a los recursos de la misma red independientemente de si se encuentran o no en ella. Los sistemas operativos de red tienen instalados muchos servicios. Cada servicio de red constituye un posible medio de ataque. Rastreo de paquetes desde la red Acceso a todo el tráfico de red

32 Protección en el nivel de red interna
Implemente autenticación mutua Segmente la red Para proteger el entorno de la red interna, debe requerir que cada usuario se autentique de forma segura en un controlador de dominio y en los recursos a los que tenga acceso. Utilice la autenticación mutua, de modo que el cliente también conozca la identidad del servidor, con el fin de impedir la copia accidental de datos a los sistemas de los intrusos. Segmente físicamente los conmutadores, es decir, cree particiones de la red para impedir que toda ella esté disponible desde un único punto. Puede crear particiones si utiliza enrutadores y conmutadores de red independientes o si crea varias redes virtuales de área local (VLAN, Virtual Local Area Network) en el mismo conmutador físico. Considere cómo se van a administrar los dispositivos de red, por ejemplo, los conmutadores. Por ejemplo, el grupo de trabajo de red podría utilizar Telnet para tener acceso a un conmutador o enrutador y realizar cambios de configuración. Telnet pasa todas las credenciales de seguridad en texto sin cifrar. Esto significa que los nombres y las contraseñas de los usuarios son accesibles para cualquiera que pueda rastrear el segmento de red. Esto puede constituir una debilidad importante de la seguridad. Considere permitir únicamente el uso de un método seguro y cifrado, como SSH de shell o acceso de terminal serie directo. También debe proteger adecuadamente las copias de seguridad de las configuraciones de dispositivos de red. Las copias de seguridad pueden revelar información sobre la red que resulte útil a un intruso. Si se detecta una punto débil, puede utilizar copias de seguridad de la configuración de los dispositivos para realizar una restauración rápida de un dispositivo y revertir a una configuración más segura. Restrinja el tráfico aunque esté segmentado. Puede utilizar 802.1X para proporcionar un acceso cifrado y autenticado tanto en las LAN inalámbricas como en las estándar. Esta solución permite utilizar cuentas de Active Directory y contraseñas o certificados digitales para la autenticación. Si utiliza certificados, tendrá que integrar una infraestructura de clave pública (PKI, Public Key Infrastructure) en Servicios de Windows Certificate Server; para las contraseñas o certificados, también necesitará un servidor RADIUS integrado en el Servicio de autenticación Internet (IAS, Internet Authentication Service) de Windows. En Windows Server 2003 se incluyen IAS y Servicios de Certificate Server. Implemente tecnologías de cifrado y firma, por ejemplo, la firma de IPSec o Bloque de mensajes de servidor (SMB, Server Message Block), con el fin de impedir a los intrusos rastrear los paquetes de la red y reutilizarlos. Cifre las comunicaciones de red Bloquee los puertos de comunicación Controle el acceso a los dispositivos de red Firme los paquetes de red

33 Demostración 2 Cifrado del tráfico de red Uso de Monitor de red para ver los paquetes Configuración de IPSec para cifrar los paquetes Uso de Monitor de red para ver los paquetes cifrados En esta demostración, se tratará: Cómo utilizar Monitor de red para ver los paquetes. Cómo configurar IPSec para cifrar los paquetes. Cómo utilizar Monitor de red para ver los paquetes cifrados.

34 Descripción del nivel de host
Función específica de la red Configuración del sistema operativo El término ‘host’ se utiliza para hacer referencia a estaciones de trabajo y a servidores Es probable que los sistemas de una red cumplan funciones específicas. Esto afectará a la seguridad que se les aplique.

35 Compromiso de seguridad del nivel de host
Acceso no supervisado Configuración insegura del sistema operativo Se puede atacar a los hosts de red con funciones que se sabe que están disponibles de forma predeterminada, aunque el servidor no las necesita para realizar su función. Los intrusos también podrían distribuir virus para emprender un ataque automatizado. El software instalado en sistemas de equipos podría tener puntos débiles que los intrusos pueden aprovechar. Es importante permanecer informado de todos los problemas de seguridad del software de su entorno. Explotación de la debilidad del sistema operativo Distribución de virus

36 Protección en el nivel de host
Implemente autenticación mutua Refuerce la seguridad del sistema operativo Tanto en los sistemas cliente como en los servidores, las técnicas de refuerzo dependerán de la función del equipo. En cada caso, puede utilizar plantillas de seguridad y plantillas administrativas con directivas de grupo para proteger estos sistemas. En los sistemas cliente, también puede utilizar directivas de grupo para restringir los privilegios de los usuarios y controlar la instalación de software. El uso de directivas de grupo para limitar las aplicaciones que un usuario puede ejecutar impide que éste ejecute de forma inadvertida código de tipo Caballo de Troya. En los sistemas de servidor, las técnicas de refuerzo también incluyen la aplicación de permisos NTFS, la configuración de directivas de auditoría, el filtrado de puertos y la realización de tareas adicionales según la función del servidor. Mantener el servidor y el cliente actualizados con respecto a las actualizaciones también mejora la seguridad. Microsoft proporciona varias formas de aplicar revisiones a los sistemas, por ejemplo, mediante Windows Update, Software Update Service y Microsoft Systems Management Server (SMS). La utilización de un paquete antivirus actual y de un servidor de seguridad personal, como Firewall de Windows, disponible con Windows XP y con los sistemas operativos posteriores, puede reducir mucho la parte expuesta a un ataque de un equipo cliente. Instale actualizaciones de seguridad Implemente sistemas de auditoría Deshabilite o quite los servicios innecesarios Instale y mantenga software antivirus

37 Descripción del nivel de aplicación
Problemas de seguridad específicos de las aplicaciones Debe mantenerse la funcionalidad Las aplicaciones de red permiten que los clientes tengan acceso a los datos y los traten. También constituyen un punto de acceso al servidor donde se ejecutan las aplicaciones. Recuerde que la aplicación proporciona un servicio a la red. Este servicio no debe anularse con la implementación de seguridad. Examine las aplicaciones desarrolladas internamente, además de las comerciales, en busca de problemas de seguridad. Aplicaciones de servidor (por ejemplo, Exchange Server o SQL Server) Aplicaciones que crean y tienen acceso a los datos

38 Compromiso de seguridad del nivel de aplicación
Pérdida de la aplicación Ejecución de código malintencionado Uso extremo de la aplicación Uso no deseado de las aplicaciones Los intrusos cuyo interés son las aplicaciones pueden bloquear alguna para conseguir que su funcionalidad deje de estar disponible. Las aplicaciones puede tener defectos que los atacantes pueden manipular para ejecutar código malintencionado en el sistema. Un intruso podría utilizar en exceso un servicio de modo que se imposibilite su uso legítimo; éste es un tipo de ataque de denegación de servicio. Una aplicación también podría utilizarse para llevar a cabo tareas para las que no esté destinada, como enrutar correo electrónico.

39 Protección en el nivel de aplicación
Habilite únicamente los servicios y funcionalidad requeridos Las instalaciones de las aplicaciones sólo deberían incluir los servicios y funcionalidad requeridos. Las aplicaciones desarrolladas internamente se deben evaluar para descubrir vulnerabilidades en la seguridad de una forma continuada y deben desarrollarse e implementarse revisiones para cualquier vulnerabilidad que se identifique. Las aplicaciones que se ejecutan en la red se deben instalar de forma segura y se les deben aplicar todas las revisiones y Service Packs correspondientes. Debe ejecutarse software antivirus para ayudar a impedir la ejecución de código malintencionado. Si una aplicación se ve comprometida, es posible que el intruso pueda tener acceso al sistema con los mismos privilegios con los que se ejecuta la aplicación. Por lo tanto, ejecute los servicios y aplicaciones con el menor privilegio necesario. Al desarrollar nuevas aplicaciones personalizadas, implemente las recomendaciones más recientes de ingeniería de seguridad. Configure las opciones de seguridad de las aplicaciones Instale actualizaciones de seguridad para las aplicaciones Instale y actualice software antivirus Ejecute las aplicaciones con el menor privilegio

40 Demostración 3 Protección de IIS 5
Demostración 3 Protección de IIS Uso de la herramienta Bloqueo de seguridad de IIS En esta demostración, se tratará cómo utilizar la herramienta Bloqueo de seguridad de IIS para reforzar un servidor IIS.

41 Descripción del nivel de datos
Documentos Archivos de directorio Aplicaciones El nivel final lo constituyen los datos. Los sistemas de equipos almacenan, procesan y ofrecen datos. Cuando los datos se procesan en un formato con significado, se convierten en información útil. Los datos sin formato y la información que se almacena en un sistema son objetivos de un posible ataque. El sistema mantiene los datos en medios de almacenamiento masivo, generalmente en un disco duro. Todas las versiones recientes de Microsoft Windows admiten varios sistemas de archivos para almacenar y tener acceso a los archivos en un disco. Uno de estos sistemas, NTFS, se puede utilizar en Microsoft Windows NT®, Windows 2000, Windows XP y Microsoft Windows Server™ Proporciona tanto permisos de archivo como de carpeta para ayudar a proteger los datos. NTFS admite características adicionales, como la auditoría y el Sistema de archivos de cifrado (EFS, Encrypting File System), que se utiliza para implementar la seguridad en los datos.

42 Compromiso de seguridad del nivel de datos
Consulta de los archivos de directorio Los intrusos que obtienen acceso a un sistema de archivos pueden hacer un daño enorme u obtener gran cantidad de información. Pueden ver archivos de datos y documentos, algunos de los cuales tal vez contengan información confidencial. También pueden cambiar o quitar la información, lo que puede ocasionar varios problemas a una organización. El servicio de directorio Active Directory utiliza los archivos del disco para almacenar la información del directorio. Estos archivos se almacenan en una ubicación predeterminada cuando el sistema se promueve a controlador de dominio. Como parte del proceso de promoción, sería aconsejable almacenar los archivos en algún lugar diferente de la ubicación predeterminada porque de este modo quedarían ocultos de los intrusos. Dado que los nombres de los archivos son conocidos (tienen el nombre de archivo NTDS.dit), si únicamente se reubican es probable que sólo se consiga entorpecer el trabajo del intruso. Si los archivos de directorio se ven comprometidos, todo el entorno del dominio queda expuesto al riesgo. Los archivos de aplicación también se almacenan en disco y están expuestos a un ataque, con lo que se ofrece a los intrusos la oportunidad de interrumpir la aplicación o manipularla con fines malintencionados. Visualización, cambio o modificación de la información Sustitución o modificación de los archivos de aplicación Documentos Archivos de directorio Aplicaciones

43 Protección en el nivel de datos
Cifre los archivos con EFS Limite el acceso a los datos con listas de control de acceso EFS permite el cifrado de los archivos cuando residen en el sistema de archivos. Se basa en el formato NTFS del disco, que está disponible desde Windows Es importante entender que EFS no cifra los archivos mientras se están transmitiendo a través de una red. El proceso de cifrado utiliza una clave para cifrar el archivo y la tecnología de claves pública y privada para proteger dicha clave. NTFS también proporciona seguridad en los archivos y en las carpetas. De este modo, se permite la creación de listas de control de acceso para definir quién ha obtenido acceso a un archivo y qué acceso tiene. El aumento de la protección del nivel de datos debe incluir una combinación de listas de control de acceso y cifrado. Al cifrar un archivo, únicamente se impide la lectura no autorizada; no se evita ninguna acción que no requiera la lectura del archivo, como la eliminación. Para impedir la eliminación, utilice listas de control de acceso. Puesto que los datos son esenciales en muchos negocios, es importante que su recuperación sea un proceso conocido y probado. Si se realizan copias de seguridad con regularidad, cualquier alteración o eliminación de datos, ya sea accidental o malintencionada, puede recuperarse a partir de las copias de seguridad cuando corresponda. Un proceso confiable de copia de seguridad y restauración es vital en cualquier entorno. Además, se deben proteger las cintas de copia de seguridad y restauración. Las copias de las cintas de copia de seguridad y restauración se debe mantener en otro lugar, en una ubicación segura. El acceso no autorizado a las cintas de copia de seguridad es igual de dañino que infringir la seguridad física de la infraestructura. Las listas de control de acceso sólo funcionan en documentos dentro del sistema de archivos para el que se hayan habilitado. Una vez que se han copiado los documentos a otra ubicación (por ejemplo, a la unidad de disco duro local de un usuario), no se sigue controlando el acceso. Windows Rights Management Services (RMS), que se incluye con Windows Server 2003, mueve la función de control de acceso al propio objeto de forma que dicho control se aplica independientemente de dónde se almacene el documento físico. RMS también ofrece a los creadores de contenido un mayor control sobre las acciones particulares que un usuario tiene permitido llevar a cabo; por ejemplo, el destinatario puede tener concedido acceso para leer un documento, pero no para imprimir o copiar y pegar; en el correo electrónico enviado con Microsoft Office Outlook® 2003, el remitente del mensaje puede impedir que los destinatarios reenvíen el mensaje. Mueva los archivos de la ubicación predeterminada Cree planes de copia de seguridad y recuperación de datos Proteja los documentos y el correo electrónico con Windows Rights Management Services

44 Demostración 4 Protección de los datos de un disco Cifrado de un documento Protección de un documento con permisos de archivos y carpetas En esta demostración, se tratará: Cómo cifrar un documento. Cómo proteger un documento con permisos de archivos y carpetas.

45 Orden del día Caso práctico
Disciplina de administración de riesgos de seguridad Defensa en profundidad Respuesta a incidentes de seguridad Ejemplos de ataques Recomendaciones Diez normas de seguridad inmutables En este tema, se explicará cómo responder a incidentes de seguridad. Específicamente, se tratará: El uso de una lista de verificación de respuesta a incidentes. La contención de los efectos de un ataque.

46 Lista de verificación de respuestas a incidentes
Reconocer que se está produciendo un ataque Identificar el ataque Disponer de planes y procedimientos de respuesta a incidentes claros, completos y bien comprobados es la clave para permitir una reacción rápida y controlada ante las amenazas. Para limitar el efecto de un ataque, es importante que la respuesta sea rápida y completa. Para que esto suceda, se debe realizar una supervisión y auditoría de los sistemas. Una vez identificado un ataque, la respuesta al mismo dependerá del tipo de ataque. Comunique que el ataque se ha producido a todo el personal pertinente. Contenga los efectos del ataque en la medida de lo posible. Tome medidas preventivas para asegurar que el ataque no pueda repetirse. Cree documentación para especificar la naturaleza del ataque, cómo se identificó y cómo se combatió. Informar del ataque Contener el ataque Implementar medidas preventivas Documentar el ataque

47 Contención de los efectos de un ataque
Apague los servidores afectados Cuando un sistema sufre un ataque, se debe apagar y quitar de la red. Se debe proteger el resto de los sistemas de la red. Los servidores afectados se deben conservar y analizar, y es necesario documentar las conclusiones. Puede ser muy difícil cumplir las normas legales para la conservación de pruebas mientras se continúan las actividades cotidianas. Con la ayuda de sus asesores legales, debe desarrollar un plan detallado que permita conservar las pruebas del ataque y que cumpla los requisitos legales de su jurisdicción, de modo que pueda ponerse en práctica un plan cuando la red sufra un ataque. Quite los equipos afectados de la red Bloquee el tráfico de red entrante y saliente Tome medidas de precaución para proteger los equipos cuya seguridad aún no se haya visto comprometida Conserve las pruebas

48 Orden del día Caso práctico
Disciplina de administración de riesgos de seguridad Defensa en profundidad Respuesta a incidentes de seguridad Ejemplos de ataques Recomendaciones Diez normas de seguridad inmutables En este tema del orden del día, se describirán varios escenarios de ataque. Específicamente, se tratarán los escenarios siguientes: Un gusano ataca el puerto UDP 135 Un gusano del correo electrónico Un ataque infecta un equipo antes de aplicar revisiones o correcciones

49 Ataque de un gusano al puerto UDP 135
Perímetro El servidor de seguridad de red debe bloquearlo de acuerdo con su diseño Red Busque y detecte los sistemas vulnerables Desactive las conexiones de red en los hosts vulnerables Utilice la cuarentena de RRAS para asegurar que los hosts de acceso telefónico tienen aplicadas las revisiones adecuadas Host Utilice IPSec para permitir el uso del puerto UDP 135 entrante sólo en los hosts que requieran RPC Utilice Firewall de Windows para bloquear el tráfico entrante que no desee que llegue a los hosts (en Windows XP y versiones posteriores) En este ejemplo, se ha producido la proliferación de una variedad del virus Blaster. Puede tomar medidas en diversos niveles del modelo de defensa en profundidad para impedir que un gusano ataque el puerto de Protocolo de datagramas de usuario (UDP, User Datagram Protocol) 135.

50 Gusano de correo electrónico
Perímetro Examine todos los archivos adjuntos en la puerta de enlace SMTP Red Utilice la cuarentena de RRAS para comprobar las revisiones aplicadas y las firmas de virus Aplicación Microsoft Office 98 Compruebe que esté instalada la actualización de seguridad de Microsoft Outlook® 98 Office 2000 Compruebe que esté instalado al menos el Service Pack 2 Office XP y Office 2003 La configuración predeterminada de zona de seguridad es Sitios restringidos (en lugar de Internet) y las secuencias de comandos activas dentro de los sitios restringidos también están deshabilitadas de forma predeterminada Usuarios Enseñe a los usuarios que los archivos adjuntos pueden ser peligrosos Si recibe un archivo adjunto que no ha pedido, escriba a su autor para comprobar que pretendía enviárselo a usted antes de abrirlo En los últimos años han aparecido muchos virus relacionados con el correo electrónico. Puede tomar medidas en varios niveles del modelo de defensa en profundidad para protegerse frente a los gusanos de correo electrónico. Estas precauciones requieren programas de aprendizaje específicos para que los usuarios conozcan el riesgo y sigan los procedimientos apropiados.

51 “Han entrado en mi sistema antes de poder aplicar ninguna revisión”
Perímetro Habilite o bloquee el servidor de seguridad Red Desconecte el cable de red Host Inicie el sistema e inicie sesión Puede que necesite credenciales administrativas locales si las credenciales almacenadas en caché están deshabilitadas Active Firewall de Windows para bloquear todo el tráfico entrante Vuelva a conectar el cable de red Descargue e instale las revisiones apropiadas Reinicie el sistema Desactive Firewall de Windows según la directiva Es posible que un ataque infecte un equipo antes de que se puedan aplicar las revisiones o correcciones. Para impedir que se produzcan daños en otros equipos de la red mientras lo repara, siga estos pasos: Desconecte el cable de red. Inicie el sistema e inicie sesión. Puede que necesite credenciales administrativas locales si las credenciales almacenadas en caché están deshabilitadas. Active Firewall de Windows para bloquear todo el tráfico entrante. Vuelva a conectar el cable de red. Descargue e instale la revisión. Reinicie el sistema. Desactive Firewall de Windows de acuerdo con la directiva.

52 Orden del día Caso práctico
Disciplina de administración de riesgos de seguridad Defensa en profundidad Respuesta a incidentes de seguridad Ejemplos de ataques Recomendaciones Diez normas de seguridad inmutables En este tema, se enumerarán las recomendaciones para mejorar la seguridad. Específicamente, se tratará: Recomendaciones de seguridad. Lista de verificación de seguridad.

53 Recomendaciones de seguridad
Defensa en profundidad Seguro por diseño Privilegios mínimos Aprenda de los errores cometidos Mantenga la seguridad Haga que los usuarios se centren en la concienciación de seguridad Desarrolle y pruebe planes y procedimientos de respuesta a incidentes Siga el modelo de defensa en profundidad. Cada nivel del modelo está protegido por los niveles contiguos y depende de todos los niveles que se implementan. Hay un compromiso constante entre la funcionalidad y la seguridad. Ambos raramente se complementan. Aunque quizás en alguna ocasión lo importante haya sido la funcionalidad, ahora se busca definitivamente la seguridad. Así se facilita una implementación segura por diseño. El software y los sistemas son seguros de forma predeterminada y por diseño, con lo que se simplifica la creación de un entorno de red seguro. Los procesos y las aplicaciones que se ejecutan en un sistema logran este objetivo mediante un nivel definido de privilegios sobre el sistema. A menos que se configuren de otro modo, los procesos iniciados mientras un usuario está conectado al sistema se ejecutan con los mismos privilegios que tiene el usuario. Para impedir ataques accidentales, todos los usuarios del sistema deben iniciar sesión en él con los privilegios mínimos necesarios para realizar sus funciones. Los virus se ejecutan con los privilegios del usuario que haya iniciado la sesión. En consecuencia, los virus tendrán un ámbito mucho más amplio si el usuario inicia sesión como administrador. Las aplicaciones y los servicios también se deben ejecutar con los privilegios mínimos necesarios. Es muy importante que entienda que la seguridad no es un objetivo: es un medio. Un entorno nunca es completamente seguro. Siguen apareciendo nuevos virus, revisiones y puntos débiles en los sistemas. Aprenda de la experiencia y conserve una documentación exhaustiva de todo lo que suceda. Para mantener la seguridad, implemente procedimientos de supervisión y auditoría, y compruebe que los resultados de estos procedimientos se procesan con regularidad. Disponer de planes y procedimientos de respuesta a incidentes claros, completos y bien comprobados es la clave para permitir una reacción rápida y controlada ante las amenazas.

54 Lista de verificación de seguridad
Cree documentos de directivas de seguridad y procedimientos Consulte los documentos de seguridad de Microsoft La seguridad comienza por el aprendizaje y la práctica. No deje nada al azar ni permita que los usuarios tomen sus propias decisiones sobre este tema. Documente todo lo que ocurra y cree procedimientos y procesos para todas las funciones empresariales. Siempre que los usuarios tengan que hacer algo, deben disponer de un documento que les proporcione instrucciones paso a paso. Tome la delantera manteniéndose informado de los problemas relacionados con la seguridad. Microsoft enviará boletines de seguridad a través del correo electrónico a los suscriptores. Muchos ataques se efectúan aprovechando defectos de seguridad para los que existe alguna revisión. Compruebe que dispone de las herramientas de administración de revisiones más actualizadas. No olvide realizar una defensa en profundidad. Implemente procedimientos de seguridad en todos los niveles del modelo, ya que unos dependen de otros. La seguridad de una red viene definida por su punto más débil. No deje jamás de recalcar la importancia de efectuar copias de seguridad con regularidad. La pérdida o la modificación de los datos puede resultar catastrófica para un negocio. Deben llevarse a cabo copias de seguridad habitualmente. Almacene siempre las copias de seguridad en un lugar donde no estén los datos. Realice también procedimientos de restauración periódicamente. Averigüe cómo podrían atacarle. Conozca las herramientas de ataque de un sistema y los virus. Investigue dónde se producen los ataques y cómo. La encuesta sobre seguridad y delitos informáticos de CSI/FBI puede ser un buen lugar para comenzar. Suscríbase a los mensajes de correo electrónico de alertas de seguridad Implemente una defensa en profundidad Mantenga procedimientos de copia de seguridad y restauración regulares Piense como un intruso

55 Orden del día Caso práctico
Disciplina de administración de riesgos de seguridad Defensa en profundidad Respuesta a incidentes de seguridad Ejemplos de ataques Recomendaciones Diez normas de seguridad inmutables En este tema final, se enumerarán las diez normas inmutables de seguridad.

56 Diez normas de seguridad inmutables
1 Si un intruso puede persuadirle de que ejecute su programa en su equipo, éste dejará de ser suyo. 2 Si un intruso puede alterar el sistema operativo en su equipo, éste dejará de ser suyo. 3 Si un intruso tiene acceso físico sin límites a su equipo, éste dejará de ser suyo. 4 Si permite a un intruso cargar programas en su sitio Web, éste ya no será su sitio Web. 5 Las contraseñas poco seguras predominan sobre las seguras. 6 Un equipo sólo es seguro en la medida en que su administrador sea de confianza. 7 Los datos cifrados sólo son tan seguros como la clave de descifrado 8 Disponer de un detector de virus antiguo sólo es ligeramente mejor que no tener ninguno. 9 El anonimato absoluto es impracticable, tanto en la vida real como en la Web. 10 La tecnología no es una panacea. Cuando elige ejecutar un programa, está tomando la decisión de concederle el control de su equipo. Una vez que se ejecuta un programa, puede realizar cualquier acción, hasta un límite que viene determinado por lo que usted mismo pueda hacer en el equipo. Al fin y al cabo, un sistema operativo sólo es un conjunto de unos y ceros que, al ser interpretados por el procesador, provocan que el equipo realice determinadas acciones. Al cambiar los unos y ceros, hará algo diferente. ¿Dónde se almacenan los unos y ceros? Pues en el equipo, junto con todo lo demás. Son simplemente archivos y, si se permite cambiarlos a los otros usuarios que utilizan el equipo, se "pierde la partida". Si alguien dispone de acceso físico a su equipo, tiene control total sobre él y puede realizar cualquier acción que desee, como modificar datos o robarlos, llevarse el hardware o destruir físicamente el equipo. Si administra un sitio Web, tiene que limitar lo que pueden hacer en él los visitantes. Sólo debe permitir que se ejecute un programa en el sitio si lo escribe usted mismo o si confía en quien lo ha desarrollado. Pero posiblemente esto no sea suficiente. Si el sitio Web es uno de los que se alojan en un servidor compartido, debe tomar precauciones adicionales. Si alguien con no muy buenas intenciones puede comprometer uno de los demás sitios del servidor, es posible que pueda extender su control al propio servidor y, por lo tanto, controlar todos los sitios que contenga, incluido el suyo. Si un intruso puede averiguar su contraseña, podrá iniciar sesión en su equipo y realizar en él todas las acciones que pueda hacer usted. Utilice siempre una contraseña; resulta increíble el número de cuentas que tienen contraseñas en blanco. Y elija una compleja. No utilice el nombre de su perro, su fecha de aniversario ni el nombre de su equipo de fútbol favorito. Y no emplee la palabra contraseña. Un administrador poco confiable puede anular el resto de medidas de seguridad que haya aplicado. Puede cambiar los permisos del equipo, modificar las directivas de seguridad del sistema, instalar software peligroso y suplantar a los usuarios, o realizar muchas otras acciones diferentes. Puede sabotear prácticamente cualquier medida de protección del sistema operativo, puesto que lo controla. Y lo que es peor, puede borrar sus huellas. Si el administrador no es de confianza, su sistema no tendrá ninguna seguridad en absoluto. Muchos sistemas operativos y productos de software de criptografía le dan la opción de almacenar las claves criptográficas en el equipo. La ventaja es la comodidad: no hay que ocuparse de la clave; pero esto es a costa de la seguridad. Las claves se suelen disimular (es decir, se ocultan) y algunos de los métodos para descubrirlas son bastante buenos. Pero, al final, no importa lo bien oculta que esté la clave, si se halla en el equipo, es posible encontrarla. Tiene que ser posible encontrarla: después de todo, el software puede encontrarla, así que alguien suficientemente motivado también podrá. Siempre que sea posible, guarde las claves en otro lugar. Los detectores de virus comparan los datos de su equipo con un conjunto de firmas de virus. Cada firma es característica de un virus en particular y, cuando el detector encuentra en un archivo, en un mensaje de correo electrónico o en algún otro lugar datos que coincidan con la firma, determina que ha encontrado un virus. Sin embargo, un detector de virus sólo puede encontrar los virus que conoce. Es vital que mantenga el archivo de firmas de su detector de virus actualizado porque cada día se crean virus nuevos. La mejor forma de proteger su privacidad en Internet es igual que en su vida normal: su forma de actuar. Lea las declaraciones de privacidad de los sitios Web que visite y realice transacciones sólo con aquellos con cuyas prácticas esté de acuerdo. Si le preocupan los cookies, deshabilítelos. Especialmente, no explore la Web de forma indiscriminada: sabemos que la mayor parte de las ciudades tienen una zona que es mejor evitar, e Internet es igual. Una seguridad perfecta requiere un grado de perfección que simplemente no existe en realidad y que no es probable que exista nunca. Esto es cierto tanto en el software como en casi todos los campos de interés humano. El desarrollo de software es una ciencia imperfecta y casi todo el software tiene errores. Algunos de ellos se pueden aprovechar para infringir la seguridad. Esto es la realidad. Pero aunque el software pudiera ser perfecto, con ello no se solucionaría todo el problema. La mayor parte de los ataques implican, en cierto grado, alguna manipulación de la naturaleza humana, en lo que se suele denominar estratagemas sociales. Si se aumenta el costo y la dificultad de atacar la tecnología de seguridad, quienes tengan malas intenciones responderán cambiando su modo de actuar y pasarán a centrarse en la persona que se encuentra tras la consola en lugar de en la tecnología. Es vital que conozca su función en el mantenimiento de una seguridad sólida; en caso contrario usted mismo podría convertirse en el punto débil del blindaje de sus sistemas. Para ver el artículo completo acerca de las diez normas inmutables de seguridad, vea: (este sitio está en inglés)

57 Resumen de la sesión Caso práctico
Disciplina de administración de riesgos de seguridad Defensa en profundidad Respuesta a incidentes de seguridad Ejemplos de ataques Recomendaciones Diez normas de seguridad inmutables Esta sesión ha sido una introducción a los fundamentos de la implementación de un entorno de equipo seguro. Éste es un tema muy extenso y complejo que requiere una atención continuada y la mejora constante de los conocimientos, procesos y procedimientos.

58 Pasos siguientes Mantenerse informado sobre seguridad:
Suscribirse a boletines de seguridad notificacion.asp Obtener las directrices de seguridad de Microsoft más recientes: Obtener aprendizaje de seguridad adicional Buscar seminarios de aprendizaje en línea: Buscar un CTEC local que ofrezca cursos prácticos: Los pasos siguientes incluyen ir al sitio Web de Microsoft para: Obtener aprendizaje de seguridad adicional. Buscar orientación sobre la implementación de una solución de administración de revisiones. Obtener la información sobre seguridad más reciente.

59 Para obtener más información
Sitio de seguridad de Microsoft (todos los usuarios) Sitio de seguridad de TechNet (profesionales de IT) seguridad/default.asp Sitio de seguridad de MSDN (desarrolladores) Hay más información técnica para profesionales de IT y desarrolladores en los sitios Web siguientes: Sitio de seguridad de Microsoft (todos los usuarios) Sitio de seguridad de TechNet (profesionales de IT) Sitio de seguridad de MSDN (desarrolladores)

60 Preguntas y respuestas

61

Descargar ppt "Fundamentos de seguridad"

Presentaciones similares

Intranets P. Reyes / Octubre 2004.

Intranets P. Reyes / Octubre 2004.
GFI LANguard Network Security Scanner Version 8 .0 !

GFI LANguard Network Security Scanner Version 8 .0 !
Implementación de seguridad en aplicaciones y datos

Implementación de seguridad en aplicaciones y datos
Recomendaciones para la escritura de código seguro

Recomendaciones para la escritura de código seguro
TNT1-111. ISA Server 2004 Descripción técnica Microsoft Corporation.

TNT ISA Server 2004 Descripción técnica Microsoft Corporation.
Implementaciones de Microsoft Operations Manager 2005 for Exchange.

Implementaciones de Microsoft Operations Manager 2005 for Exchange.
SEGURIDAD EN REDES DE DATOS

SEGURIDAD EN REDES DE DATOS
Firewalls COMP 417.

Firewalls COMP 417.
Supervisión del rendimiento de SQL Server

Supervisión del rendimiento de SQL Server
Contorles de Auditoría Informática Básicos Ing. Elizabeth Guerrero V.

Contorles de Auditoría Informática Básicos Ing. Elizabeth Guerrero V.
Protección del ordenador

Protección del ordenador
DIRECT ACCESS.

DIRECT ACCESS.
Ing. Horacio Carlos Sagredo Tejerina

Ing. Horacio Carlos Sagredo Tejerina
2.5 Seguridad e integridad.

2.5 Seguridad e integridad.
Outpost Network Security

Outpost Network Security
Problemas asociados a DHCP. Seguridad.

Problemas asociados a DHCP. Seguridad.
Tema: Software Antivirus Tatiana Tumbaco Juan Carlos Viñan Cesar Tuarez Paul Barreiro Bismar Bermeo Maestría En Gestión de Calidad y Productividad.

Tema: Software Antivirus Tatiana Tumbaco Juan Carlos Viñan Cesar Tuarez Paul Barreiro Bismar Bermeo Maestría En Gestión de Calidad y Productividad.
VENTAJAS, DESVENTAJAS, CARACTERISTICAS Y CONFIGURACION

VENTAJAS, DESVENTAJAS, CARACTERISTICAS Y CONFIGURACION
Implementación de seguridad en aplicaciones y datos Nombre del presentador PuestoCompañía.

Implementación de seguridad en aplicaciones y datos Nombre del presentador PuestoCompañía.
28 de junio, 2010. Primero – Aclaremos el Nombre FOPE – Forefront Online Protection for Exchange Previamente FOSE Forma parte de Exchange Hosted Services:

28 de junio, Primero – Aclaremos el Nombre FOPE – Forefront Online Protection for Exchange Previamente FOSE Forma parte de Exchange Hosted Services:

Presentaciones similares

Anuncios Google