La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

ESCUELA SUPERIOR POLITECNICA DEL LITORAL Tópico: Seguridad de la Información Profesora: Ing. Karina Astudillo Proyecto: Implementación de un website de.

Presentaciones similares


Presentación del tema: "ESCUELA SUPERIOR POLITECNICA DEL LITORAL Tópico: Seguridad de la Información Profesora: Ing. Karina Astudillo Proyecto: Implementación de un website de."— Transcripción de la presentación:

1 ESCUELA SUPERIOR POLITECNICA DEL LITORAL Tópico: Seguridad de la Información Profesora: Ing. Karina Astudillo Proyecto: Implementación de un website de comercio electrónico, utilizando una infraestructura de red segura. Integrantes:Mariuxi Abarca Douglas Bustos Fernando Costa Facultad de Ingeniería Eléctrica y Computación

2 Contenido del Proyecto Antecedentes y Justificación Antecedentes y Justificación Plan de Marketing de un sitio de comercio para la venta de regalos Plan de Marketing de un sitio de comercio para la venta de regalos Diseño e implementación de una infraestructura de Red Segura Diseño e implementación de una infraestructura de Red Segura Diseño e Implementación de un sitio de Comercio Electrónico Diseño e Implementación de un sitio de Comercio Electrónico Conclusiones y Recomendaciones Conclusiones y Recomendaciones

3 Introducción El presente trabajo trata sobre el diseño y la implementación de un sitio de comercio electrónico utilizando una infraestructura propia de red segura con la finalidad de crear un negocio de venta de productos a través de la Internet y enfocado hacia el mercado Ecuatoriano. El presente trabajo trata sobre el diseño y la implementación de un sitio de comercio electrónico utilizando una infraestructura propia de red segura con la finalidad de crear un negocio de venta de productos a través de la Internet y enfocado hacia el mercado Ecuatoriano. Nuestro proyecto esta dividido en 2 metas principales: Nuestro proyecto esta dividido en 2 metas principales: –El diseño y la construcción de una red segura que almacene el sitio y de acceso a los clientes. –El desarrollo del sitio Web para la venta de regalos en Internet.

4 Antecedentes y Justificación del Proyecto

5 Antecedentes y Justificación La idea de crear un negocio virtual nace de la iniciativa de emprender una actividad comercial utilizando la tecnología informática y aprovechar los nuevos métodos de hacer negocio, que la Internet ofrece hoy en día. La idea de crear un negocio virtual nace de la iniciativa de emprender una actividad comercial utilizando la tecnología informática y aprovechar los nuevos métodos de hacer negocio, que la Internet ofrece hoy en día.

6 Antecedentes Generales La Internet ha cambiado la manera en que se desarrollan las actividades de la sociedad. La Internet ha cambiado la manera en que se desarrollan las actividades de la sociedad. La tecnología ofrece nuevas alternativas de negocio que permiten llegar a una audiencia masiva. La tecnología ofrece nuevas alternativas de negocio que permiten llegar a una audiencia masiva. Nuestro segmento de mercado es mucho mayor ya que el tiempo y la distancia dejan de ser obstáculos. Nuestro segmento de mercado es mucho mayor ya que el tiempo y la distancia dejan de ser obstáculos.

7 Definición del Problema y Objetivos del Proyecto Debemos vencer las barreras sociales, culturales y económicas que un negocio de comercio electrónico enfrenta. Debemos vencer las barreras sociales, culturales y económicas que un negocio de comercio electrónico enfrenta. Es necesario proveer al usuario la confianza, facilidades e incentivos que busca al momento de comprar. Es necesario proveer al usuario la confianza, facilidades e incentivos que busca al momento de comprar.

8 Definición del Problema y Objetivos del Proyecto Nuestro objetivo es ser una empresa líder en el mercado de comercio electrónico ecuatoriano. Nuestro objetivo es ser una empresa líder en el mercado de comercio electrónico ecuatoriano. –Como lograrlo: Utilizar un medio transaccional seguro. Utilizar un medio transaccional seguro. Utilizar una estrategia de mercadeo efectiva. Utilizar una estrategia de mercadeo efectiva. Diseñar una interfaz amigable y atractiva. Diseñar una interfaz amigable y atractiva.

9 Plan de Marketing

10 El plan de marketing de nuestra empresa debe evaluar las condiciones actuales del mercado de comercio electrónico y las estrategias que se aplicarán para posicionar el sitio en el segmento de compradores en línea ecuatorianos. El plan de marketing de nuestra empresa debe evaluar las condiciones actuales del mercado de comercio electrónico y las estrategias que se aplicarán para posicionar el sitio en el segmento de compradores en línea ecuatorianos.

11 Nuestra Empresa El sitio se especializará en comercializar artículos que los usuarios puedan regalar a sus seres queridos. El sitio se especializará en comercializar artículos que los usuarios puedan regalar a sus seres queridos.www.regalos.com.ec El beneficio principal para el usuario será la facilidad de escoger un regalo entre todas las sugerencias del sitio de acuerdo a la ocasión y presupuesto disponible. El beneficio principal para el usuario será la facilidad de escoger un regalo entre todas las sugerencias del sitio de acuerdo a la ocasión y presupuesto disponible.

12 Descripción de los servicios del sitio El cliente podrá encontrar regalos para las siguientes ocasiones: El cliente podrá encontrar regalos para las siguientes ocasiones: Matrimonios (Línea Blanca, Cristalería, Vajillas, Cubiertos, Artículos de Cocina) Matrimonios (Línea Blanca, Cristalería, Vajillas, Cubiertos, Artículos de Cocina) Aniversarios (Arreglos Florales, Chocolates, Peluches) Aniversarios (Arreglos Florales, Chocolates, Peluches) Día de la Madre (Agendas, Adornos variados, Lámparas, Perfumes ) Día de la Madre (Agendas, Adornos variados, Lámparas, Perfumes ) Día del Padre (Libros, Habanos, Licores, Corbatas ) Día del Padre (Libros, Habanos, Licores, Corbatas ) Cumpleaños (Reloj, CDs, DVDs, Artículos Electrónicos, Billeteras, Bolígrafos, Cinturones ) Cumpleaños (Reloj, CDs, DVDs, Artículos Electrónicos, Billeteras, Bolígrafos, Cinturones ) Navidad, Primera Comunión, Quince años, Graduación y Bautizos Navidad, Primera Comunión, Quince años, Graduación y Bautizos

13 Servicios especiales del sitio Recordatorio de cumpleaños, aniversarios y fechas especiales Recordatorio de cumpleaños, aniversarios y fechas especiales Organización de regalos en conjunto Organización de regalos en conjunto Asistente para la selección de un regalo Asistente para la selección de un regalo Servicio de envoltura de regalos Servicio de envoltura de regalos Beneficios para usuarios frecuentes Beneficios para usuarios frecuentes

14 Necesidad del Mercado La idea de este sitio surgió de la necesidad de encontrar un regalo apropiado para diferentes ocasiones. Muchas veces las personas se topan con el problema de tener que regalar algo y se ven en la necesidad de salir a recorrer locales comerciales buscando un producto en especial que cumpla con el perfil de la ocasión y de la persona a quien se va a regalar. La idea de este sitio surgió de la necesidad de encontrar un regalo apropiado para diferentes ocasiones. Muchas veces las personas se topan con el problema de tener que regalar algo y se ven en la necesidad de salir a recorrer locales comerciales buscando un producto en especial que cumpla con el perfil de la ocasión y de la persona a quien se va a regalar.

15 Encuesta de Mercado Compraría regalos por Internet

16 Encuesta de Mercado Aspectos más importantes al comprar

17 Encuesta de Mercado Tipos de regalos que compraría

18 Encuesta de Mercado Razones por las que no compraría regalos por Internet

19 Encuesta de Mercado Beneficio que lograría comprando regalos por Internet

20 Análisis de la Competencia Sitios Web similares: Sitios Web similares: Bragança Bragança Gift Company Gift Company Creditos Economicos Creditos Economicos Los Colores de mi Tierra Los Colores de mi Tierra Los sitios analizados no cubren todo el mercado objetivo, pues nuestra presentación y clasificación es diferente al tratarse de artículos definidos por categorías de celebración en vez de clasificarlos por tipos de artículos como lo hace la competencia. Los sitios analizados no cubren todo el mercado objetivo, pues nuestra presentación y clasificación es diferente al tratarse de artículos definidos por categorías de celebración en vez de clasificarlos por tipos de artículos como lo hace la competencia.

21 Análisis de la Competencia Ventajas de la Competencia Braganca:Reconocimiento de la marca Buena imagen corporativa Teléfono 1700 Braganca:Reconocimiento de la marca Buena imagen corporativa Teléfono 1700 Gift CompanyPublicidad de Todo1Plaza Gift CompanyPublicidad de Todo1Plaza Creditos EconomicosReconocimiento de la marca Creditos EconomicosReconocimiento de la marca Buena imagen corporativa Infraestructura propia para entregas Ofertas para clientes en línea Buena imagen corporativa Infraestructura propia para entregas Ofertas para clientes en línea Los Colores de mi TierraPublicidad de Todo1Plaza Los Colores de mi TierraPublicidad de Todo1Plaza

22 Análisis de la Competencia Desventajas de la Competencia Braganca:Precios elevados Poca variedad de productos Braganca:Precios elevados Poca variedad de productos Gift CompanyPrecios elevados Imagen corporativa no atractiva Competencia en Todo1Plaza Gift CompanyPrecios elevados Imagen corporativa no atractiva Competencia en Todo1Plaza Creditos EconomicosPoca variedad para nuestro mercado objetivo Creditos EconomicosPoca variedad para nuestro mercado objetivo Los Colores de mi TierraImagen corporativa no atractiva Poca variedad de productos Nombre del sitio Los Colores de mi TierraImagen corporativa no atractiva Poca variedad de productos Nombre del sitio

23 Segmento del Mercado Hombres y mujeres entre los 18 y los 50 años, que posean la capacidad económica para adquirir los productos ofrecidos en el sitio y que sientan la necesidad de un lugar que les facilite la compra de regalos. Hombres y mujeres entre los 18 y los 50 años, que posean la capacidad económica para adquirir los productos ofrecidos en el sitio y que sientan la necesidad de un lugar que les facilite la compra de regalos.

24 Estrategia de Mercado Promoción por diversos medios: Promoción por diversos medios: Publicidad en correo directo Publicidad en correo directo Banners en sitios web locales de alto trafico Banners en sitios web locales de alto trafico Ferias de computación Ferias de computación Estaciones de radio Estaciones de radio

25 Diseño e Implementación de una Infraestructura de Red Segura

26 Diseño de una infraestructura de red segura Una de las tareas principales en la construcción y puesta en producción de un negocio de comercio electrónico es la seguridad del sitio web y de los datos que este va a manejar. Una de las tareas principales en la construcción y puesta en producción de un negocio de comercio electrónico es la seguridad del sitio web y de los datos que este va a manejar. Nuestro diseño de la red, debe considerar todos los riesgos de seguridad que pueden existir. Nuestro diseño de la red, debe considerar todos los riesgos de seguridad que pueden existir.

27 Selección de Mecanismos de Seguridad Los mecanismos de seguridad que se utilizaran en el diseño y la implementación de la red segura son: Los mecanismos de seguridad que se utilizaran en el diseño y la implementación de la red segura son: Firewalls Firewalls Sistema de Detección de Intrusos Sistema de Detección de Intrusos Servidor Web Seguro Servidor Web Seguro Sistemas Antivirus Sistemas Antivirus Servicios de Directorio de Seguridad Servicios de Directorio de Seguridad

28 Selección de Herramientas de Seguridad Mecanismo de SeguridadProducto Seleccionado FirewallsMicrosoft ISA Server Detección de IntrusosCA E-Trust Antivirus de HostSymantec Antivirus Corporate Antivirus de SMTPSophos MailMonitor Servicio de DirectorioMicrosoft Active Directory

29 Implementación de la Red Segura La implementación de la red segura comprende la construcción de todos los servidores de la red y sus componentes de seguridad. La implementación de la red segura comprende la construcción de todos los servidores de la red y sus componentes de seguridad. Instalación de servidores Windows 2000 Server y Windows Server2003 Instalación de servidores Windows 2000 Server y Windows Server2003 Implementación de la infraestructura de dominio Active Directory Implementación de la infraestructura de dominio Active Directory Implementación de políticas del dominio Implementación de políticas del dominio Instalación de firewalls interno y externo Instalación de firewalls interno y externo Configuración de firewall interno Configuración de firewall interno Configuración de firewall externo Configuración de firewall externo Implementación del servicio de detección de intrusos Implementación del servicio de detección de intrusos Implementación de servicio de antivirus corporativo Implementación de servicio de antivirus corporativo Implementación de antivirus para correo electrónico Implementación de antivirus para correo electrónico Instalación de servidor de base de datos Instalación de servidor de base de datos Implementación de seguridades de base de datos Implementación de seguridades de base de datos Implementación de servidor Web y seguridades Implementación de servidor Web y seguridades

30 Diagrama de la red segura diseñada

31 Diagrama de la red ideal

32 Diagrama de la red implementada en el proyecto

33 Microsoft ISA Server Microsoft Internet Security and Acceleration Server fue seleccionado como firewall de la red por la seguridad y funcionalidad que ofrece. Microsoft Internet Security and Acceleration Server fue seleccionado como firewall de la red por la seguridad y funcionalidad que ofrece. ISA Server es una solución de firewall robusta certificado por ICSA Labs, que implementa el modelo de Filtrado de Paquetes (Stateful Inspection) y el de un Application Level Gateway. ISA Server es una solución de firewall robusta certificado por ICSA Labs, que implementa el modelo de Filtrado de Paquetes (Stateful Inspection) y el de un Application Level Gateway.

34 Características de Microsoft ISA Server Bloqueo de todo trafico por default Bloqueo de todo trafico por default Cumple con el estandar de los laboratorios ICSA Cumple con el estandar de los laboratorios ICSA Application Level Gateway Application Level Gateway Packet Filtering – Stateful Inspection Packet Filtering – Stateful Inspection Proxy Server y cache de paginas Proxy Server y cache de paginas Políticas basadas en IP, Usuario, Calendario y Contenido Políticas basadas en IP, Usuario, Calendario y Contenido Soporte para VPNs Soporte para VPNs Generador de Logs y Reportes especializados Generador de Logs y Reportes especializados

35 Instalación de firewalls externo e interno La implementación del firewall Microsoft ISA Server requiere la instalación previa del sistema operativo Windows 2000 Server y la configuración adecuada de las tarjetas de red del firewall La implementación del firewall Microsoft ISA Server requiere la instalación previa del sistema operativo Windows 2000 Server y la configuración adecuada de las tarjetas de red del firewall La instalación de ISA Server deberá realizarse utilizando la versión Enterprise del producto por su capacidad de crear arreglos de firewalls redundantes La instalación de ISA Server deberá realizarse utilizando la versión Enterprise del producto por su capacidad de crear arreglos de firewalls redundantes Durante la instalación de ISA Server se deberá especificar el rango de IPs que el firewall considerara como su red interna (segura) Durante la instalación de ISA Server se deberá especificar el rango de IPs que el firewall considerara como su red interna (segura) El modo de instalación de Microsoft ISA Server dependerá de los componentes que se vayan a utilizar en el firewall. El firewall externo deberá ser instalado en modo integrado ya que además de realizar las funciones de firewall, proveerá servicios de cache de paginas. El firewall interno será instalado en modo firewall únicamente. El modo de instalación de Microsoft ISA Server dependerá de los componentes que se vayan a utilizar en el firewall. El firewall externo deberá ser instalado en modo integrado ya que además de realizar las funciones de firewall, proveerá servicios de cache de paginas. El firewall interno será instalado en modo firewall únicamente.

36 Definición de Políticas de Seguridad Políticas de Trafico - Firewall Externo (Protocolos Permitidos) Red Externa a la Red Desmilitarizada (Inbound) Red Externa a la Red Desmilitarizada (Inbound) HTTP (TCP 80), hacia la IP del servidor web HTTP (TCP 80), hacia la IP del servidor web HTTPS (TCP 443),hacia la IP del servidor web HTTPS (TCP 443),hacia la IP del servidor web Red Externa a la Red Interna (Inbound) Red Externa a la Red Interna (Inbound) SMTP (TCP 25),hacia la IP del servidor SENDMAIL SMTP (TCP 25),hacia la IP del servidor SENDMAIL Red Desmilitarizada a la Red Interna (Inbound) Red Desmilitarizada a la Red Interna (Inbound) SQL (TCP 1433),desde el servidor Web a la IP NAT de la base SQL (TCP 1433),desde el servidor Web a la IP NAT de la base SMTP (TCP 25),desde el servidor Web a la IP del SENDMAIL SMTP (TCP 25),desde el servidor Web a la IP del SENDMAIL Red Interna a la Red Externa (Outbound) Red Interna a la Red Externa (Outbound) HTTP/HTTPS (TCP 80 / 443),para estaciones de trabajo y servidor antivirus HTTP/HTTPS (TCP 80 / 443),para estaciones de trabajo y servidor antivirus FTP (TCP 21),para administradores y servidor antivirus FTP (TCP 21),para administradores y servidor antivirus SMTP (TCP 25),para servidor SENDMAIL SMTP (TCP 25),para servidor SENDMAIL POP3 (TCP 110),para servidor de correo y usuarios autorizados POP3 (TCP 110),para servidor de correo y usuarios autorizados Trafico DNSsolo para servidor DNS interno Trafico DNSsolo para servidor DNS interno Red Interna a la Red Desmilitarizada (Outbound) Red Interna a la Red Desmilitarizada (Outbound) HTTP/HTTPS (TCP 80 / 443),para todos, hacia la IP del servidor Web HTTP/HTTPS (TCP 80 / 443),para todos, hacia la IP del servidor Web

37 Definición de Políticas de Seguridad Políticas de Trafico - Firewall Interno (Protocolos Permitidos) Para la publicación de la base de datos hacia la red interna y el servidor Web, se configurara el acceso utilizando NAT hacia la IP interna de la base de datos. –Red Externa a la Red Interna (Inbound) SQL Server (TCP 1433), desde el servidor web SQL Server (TCP 1433), desde el servidor web SQL Server (TCP 1433),desde la estación del administrador SQL Server (TCP 1433),desde la estación del administrador

38 Implementación de Firewall Externo Reglas de Sitios y Contenido Se definieron las políticas de acceso a la Internet para los usuarios internos. La política permitirá el acceso a paginas Web en la internet para todas las estaciones. Se definieron las políticas de acceso a la Internet para los usuarios internos. La política permitirá el acceso a paginas Web en la internet para todas las estaciones. Se creo una política que permite el acceso desde la red interna al sitio de e-commerce únicamente para usuarios autenticados en el dominio. Se creo una política que permite el acceso desde la red interna al sitio de e-commerce únicamente para usuarios autenticados en el dominio. Reglas de Protocolo Se creo una regla que permite el trafico de salida para protocolo SMTP desde el servidor de correo. Se creo una regla que permite el trafico de salida para protocolo SMTP desde el servidor de correo. El protocolo FTP se habilito únicamente para estaciones de administradores y para el servidor Antivirus. El protocolo FTP se habilito únicamente para estaciones de administradores y para el servidor Antivirus. El protocolo DNS se habilito únicamente para el servidor DNS interno de tal manera que este pueda realizar resoluciones de nombres en servidores DNS raíz. El protocolo DNS se habilito únicamente para el servidor DNS interno de tal manera que este pueda realizar resoluciones de nombres en servidores DNS raíz. Se habilitaron los protocolos HTTP y HTTPS para usuarios y administradores. Se habilitaron los protocolos HTTP y HTTPS para usuarios y administradores.

39 Implementación de Firewall Externo Filtrado de Paquetes IP Se utilizo una regla de filtrado para bloquear protocolo ICMP y UDP hacia el servidor Web. Se utilizo una regla de filtrado para bloquear protocolo ICMP y UDP hacia el servidor Web. Se creo una política que permite el paso de paquetes HTTP y HTTPS hacia el servidor web. Se creo una política que permite el paso de paquetes HTTP y HTTPS hacia el servidor web. Una regla de filtrado de paquetes se definió para permitir la comunicación por protocolo SMTP desde la Internet hacia el servidor de correo. Una regla de filtrado de paquetes se definió para permitir la comunicación por protocolo SMTP desde la Internet hacia el servidor de correo. Reglas de Publicación Web Este tipo de reglas permite dar acceso a servidores Web ubicados en la red Interna. No se han utilizado estas reglas ya que la ubicación del servidor Web en la DMZ provee mayor seguridad. Este tipo de reglas permite dar acceso a servidores Web ubicados en la red Interna. No se han utilizado estas reglas ya que la ubicación del servidor Web en la DMZ provee mayor seguridad.

40 Implementación de Firewall Externo Reglas de Publicación de Servidores Estas reglas permiten dar acceso a otros servicios ubicados en la red Interna desde la red DMZ y la red publica. Estas reglas permiten dar acceso a otros servicios ubicados en la red Interna desde la red DMZ y la red publica. Se definieron dos reglas que permiten que el servidor web se comunique con el servidor mail vía SMTP, y con la base de datos SQL Server. Se definieron dos reglas que permiten que el servidor web se comunique con el servidor mail vía SMTP, y con la base de datos SQL Server. Elementos de Políticas Para facilitar la administración de políticas en el firewall externo se han definido elementos que se utilizaran como un Alias de los servidores y usuarios en cada una de las reglas. Para facilitar la administración de políticas en el firewall externo se han definido elementos que se utilizaran como un Alias de los servidores y usuarios en cada una de las reglas. Los elementos definidos incluyen Administradores, Usuarios, Servidor de Base de Datos, Servidor Web, Servidor Antivirus, Servidor DNS y Servidor SMTP. Los elementos definidos incluyen Administradores, Usuarios, Servidor de Base de Datos, Servidor Web, Servidor Antivirus, Servidor DNS y Servidor SMTP.

41 Implementación de Firewall Externo Detección de Intrusos de ISA Server Como medida de seguridad se habilitaron las características de detección de intrusos del firewall de tal manera que este examine el trafico a nivel de IP y de aplicación. Como medida de seguridad se habilitaron las características de detección de intrusos del firewall de tal manera que este examine el trafico a nivel de IP y de aplicación. ISA Server permite detectar ataques conocidos sobre protocolos habilitados en la red y reaccionar ante un posible ataque. ISA Server permite detectar ataques conocidos sobre protocolos habilitados en la red y reaccionar ante un posible ataque. Algunos de los tipos de ataques detectados por ISA Server son: Algunos de los tipos de ataques detectados por ISA Server son: –Land Atack –Ping de la muerte –Escaneo de puertos –IP half scan –Bomba UDP –Ataques sobre protoclo DNS –Ataques sobre protocolo SMTP –Ataques sobre protocolo HTTP

42 Implementación de Firewall Interno La configuración del firewall interno se realizara creando las reglas de acceso definidas durante el diseño de las políticas de trafico. La configuración del firewall interno se realizara creando las reglas de acceso definidas durante el diseño de las políticas de trafico. La publicación de la base de datos se realiza utilizando conversión de IPs (NAT) desde la IP externa del firewall hacia la IP interna del servidor de Base de Datos La publicación de la base de datos se realiza utilizando conversión de IPs (NAT) desde la IP externa del firewall hacia la IP interna del servidor de Base de Datos La conversión NAT para la base se habilitara únicamente en el puerto 1433 de SQL Server. La conversión NAT para la base se habilitara únicamente en el puerto 1433 de SQL Server. El acceso outbound para la base de datos no estará restringido El acceso outbound para la base de datos no estará restringido

43 Computer Associates E-Trust Intrusion Detection El software de detección de intrusos E-Trust es una completa solución de seguridad que integra tres campos principales de seguridad: El software de detección de intrusos E-Trust es una completa solución de seguridad que integra tres campos principales de seguridad: Sistema comprensivo de la detección de la intrusión de la red Sistema comprensivo de la detección de la intrusión de la red Monitoreo de sesiones en tiempo real Monitoreo de sesiones en tiempo real Bloqueo de contenido de Internet Bloqueo de contenido de Internet

44 Características de E-Trust Bloqueo de tráfico por servicio tales como: www, smtp, pop3, etc Bloqueo de tráfico por servicio tales como: www, smtp, pop3, etc Exploración de patrones de palabra permiten detectar violaciones de políticas Exploración de patrones de palabra permiten detectar violaciones de políticas Detección de ataques a la red como: abuso de ping, escaneo de puerto TCP Detección de ataques a la red como: abuso de ping, escaneo de puerto TCP Generación de alarmas via , pager, mensajes NT, SNMP traps Generación de alarmas via , pager, mensajes NT, SNMP traps Generación de estadísticas de uso de la red Generación de estadísticas de uso de la red Control de contenido Control de contenido Detección de actividades sospechosas en la red Detección de actividades sospechosas en la red Bloqueos de trafico como respuesta a una detección Bloqueos de trafico como respuesta a una detección

45 Definición de Políticas de Seguridad Políticas de Detección de Intrusos Políticas de Detección de Intrusos Las políticas definidas para el sistemas de detección de intrusos son: Ping Flooding Ping Flooding Ping Abuse Ping Abuse SYN Attack SYN Attack TCP Port Scan TCP Port Scan UDP Port Scan UDP Port Scan Sweep attack Sweep attack Distributed Denial of Service Attack Distributed Denial of Service Attack Stream-like DoS Attack Stream-like DoS Attack IP Spoofing IP Spoofing MAC Spoofing MAC Spoofing Land Attack Land Attack Null Scan Null Scan Stealth FIN scan Stealth FIN scan Xmas scan Xmas scan TCP Scan (OS fingerprint) TCP Scan (OS fingerprint) QUESO scan QUESO scan TCP packets overlapping TCP packets overlapping UDP Flooding UDP Flooding WinNuke attack WinNuke attack Teardrop attack Teardrop attack Smurf attack Smurf attack

46 Implementación del servicio de detección de intrusos El software de detección de intrusos utilizado es CA eTrust Intrusion Detection sobre un servidor Windows El software de detección de intrusos utilizado es CA eTrust Intrusion Detection sobre un servidor Windows EL servidor eTrust ha sido conectado a la red interna para analizar el trafico que logra pasar por el firewall en base a las políticas y el trafico originado en las estaciones de usuarios. EL servidor eTrust ha sido conectado a la red interna para analizar el trafico que logra pasar por el firewall en base a las políticas y el trafico originado en las estaciones de usuarios. CA eTrust detectara cualquier comportamiento sospechoso y llevara una estadística de los sitios web que son accesados por los usuarios. CA eTrust detectara cualquier comportamiento sospechoso y llevara una estadística de los sitios web que son accesados por los usuarios. Algunos de los tipos de ataque que eTrust podrá detectar son: Algunos de los tipos de ataque que eTrust podrá detectar son: –Ping flooding –Ping Abuse –SYN Attack –TCP Port Scan –Distributed Denial Of service Attack

47 Symantec Antivirus Corporate Edition Symantec Antivirus es la solución de protección contra ataques de virus seleccionada para las computadoras de la red. Symantec Antivirus es la solución de protección contra ataques de virus seleccionada para las computadoras de la red. La edición corporativa del antivirus Symantec nos permite proteger todas las estaciones y servidores de manera centralizada y mantener una política adecuada de actualizaciones y alarmas. La edición corporativa del antivirus Symantec nos permite proteger todas las estaciones y servidores de manera centralizada y mantener una política adecuada de actualizaciones y alarmas.

48 Características de Symantec Antivirus Solución de antivirus robusta, cuenta con el respaldo de las empresas mas grandes dedicadas la seguridad de la información Solución de antivirus robusta, cuenta con el respaldo de las empresas mas grandes dedicadas la seguridad de la información Buen tiempo de respuesta contra nuevos virus Buen tiempo de respuesta contra nuevos virus Respaldo de Symantec Security Response, una de las instituciones de investigación y soporte de seguridad mas prestigiosas en Internet Respaldo de Symantec Security Response, una de las instituciones de investigación y soporte de seguridad mas prestigiosas en Internet Solución escalable Solución escalable Multiplataforma Multiplataforma Administración centralizada Administración centralizada

49 Definición de Políticas de Seguridad Políticas del servicio de antivirus Políticas del servicio de antivirus Actualización diaria de definiciones de nuevos virus y del motor antivirus Actualización diaria de definiciones de nuevos virus y del motor antivirus Configuración del antivirus deshabilitada desde en las estaciones. Configuración del antivirus deshabilitada desde en las estaciones. Protección en tiempo real del antivirus habilitada para todas las estaciones centralizadamente desde la consola de Symantec Protección en tiempo real del antivirus habilitada para todas las estaciones centralizadamente desde la consola de Symantec Archivos infectados no desinfectados, seran colocados en la consola de cuarentena central y luego limpiados o eliminados Archivos infectados no desinfectados, seran colocados en la consola de cuarentena central y luego limpiados o eliminados

50 Implementación del servicio de antivirus corporativo El servidor de antivirus symantec fue instalado sobre Windows 2000 Server. Los servicios que se ejecutan sobre este servidor son la Consola de Administracion de Symantec, servicio de actualizaciones LiveUpdate y la Consola de Alarmas. El servidor de antivirus symantec fue instalado sobre Windows 2000 Server. Los servicios que se ejecutan sobre este servidor son la Consola de Administracion de Symantec, servicio de actualizaciones LiveUpdate y la Consola de Alarmas. La instalación del antivirus para estaciones y otros servidores de la red se realiza remotamente desde el servidor principal del antivirus utilizando los servicios de llamada a procedimiento remoto (RPC) de Windows. La instalación del antivirus para estaciones y otros servidores de la red se realiza remotamente desde el servidor principal del antivirus utilizando los servicios de llamada a procedimiento remoto (RPC) de Windows. El servidor de antivirus realizara descargas periódicas de las nuevas definiciones de virus liberadas por el fabricante y procederá a actualizar al resto de computadoras de la red. El servidor de antivirus realizara descargas periódicas de las nuevas definiciones de virus liberadas por el fabricante y procederá a actualizar al resto de computadoras de la red.

51 Sophos Antivirus Mail Monitor Sophos Antivirus Mail Monitor es una solución de protección contra virus que analiza todo el correo electrónico entrante y saliente, previniendo una infección antes de que el virus llegue al servidor de correo y a las estaciones. Sophos Antivirus Mail Monitor es una solución de protección contra virus que analiza todo el correo electrónico entrante y saliente, previniendo una infección antes de que el virus llegue al servidor de correo y a las estaciones. Sophos Mail Monitor se instala sobre un servidor Linux y se coloca delante del servicio SMTP, escaneando los mensajes antes de que llegue a este. Sophos Mail Monitor se instala sobre un servidor Linux y se coloca delante del servicio SMTP, escaneando los mensajes antes de que llegue a este.

52 Implementación del servicio de antivirus para correo electrónico El servicio de antivirus para correo electrónico utilizado es el Sophos Mailmonitor. El servicio de antivirus para correo electrónico utilizado es el Sophos Mailmonitor. La instalación de Sophos Mailmonitor se realizo sobre un servidor Linux RedHat 9. La instalación de Sophos Mailmonitor se realizo sobre un servidor Linux RedHat 9. Sophos Mailmonitor esta configurado para recibir los mensajes de correo electrónico a través del puerto 25 (SMTP) antes de que lleguen al servidor de correo electrónico, es decir que todos los mensajes deben pasar por este servicio antes de ser entregados a sus destinatarios. Sophos Mailmonitor esta configurado para recibir los mensajes de correo electrónico a través del puerto 25 (SMTP) antes de que lleguen al servidor de correo electrónico, es decir que todos los mensajes deben pasar por este servicio antes de ser entregados a sus destinatarios.

53 Microsoft Active Directory El directorio activo de Microsoft incluido en los productos Windows 2000 y Windows 2003 es la solución de directorio de seguridad seleccionada para la red. El directorio activo de Microsoft incluido en los productos Windows 2000 y Windows 2003 es la solución de directorio de seguridad seleccionada para la red. Microsoft Active Directory permite mantener un ambiente de red seguro implementando políticas de acceso y niveles de privilegios, centraliza las información de cuentas de usuario y simplifica la administración de usuarios y estaciones de trabajo. Microsoft Active Directory permite mantener un ambiente de red seguro implementando políticas de acceso y niveles de privilegios, centraliza las información de cuentas de usuario y simplifica la administración de usuarios y estaciones de trabajo.

54 Características de Active Directory Solución de directorio de seguridad muy flexible Solución de directorio de seguridad muy flexible Soporte a políticas de seguridad y niveles de acceso para usuarios y grupos Soporte a políticas de seguridad y niveles de acceso para usuarios y grupos Administración centralizada de usuarios y estaciones Administración centralizada de usuarios y estaciones Compatible con estándar de directorios LDAP v3. Compatible con estándar de directorios LDAP v3. Solución altamente escalable Solución altamente escalable

55 Definición de Políticas de Seguridad Políticas de acceso a usuarios internos Políticas de acceso a usuarios internos –Algunas de las políticas del dominio que se implementaran para restringir los derechos de usuario son: Acceso negado para usuarios no autenticados en el dominio Acceso negado para usuarios no autenticados en el dominio Auditorias habilitadas para los eventos de logon Auditorias habilitadas para los eventos de logon Auditorias habilitadas para los cambios en cuentas de usuario Auditorias habilitadas para los cambios en cuentas de usuario Auditorias habilitadas para los cambios en políticas de dominio Auditorias habilitadas para los cambios en políticas de dominio Bloqueo de cuentas después de 5 intentos de logon fallidos Bloqueo de cuentas después de 5 intentos de logon fallidos Tiempo de expiración de passwords del dominio 42 días Tiempo de expiración de passwords del dominio 42 días Longitud mínima de passwords de dominio Longitud mínima de passwords de dominio Requerimientos de passwords complejos complicados Requerimientos de passwords complejos complicados

56 Implementación de seguridades de Base de Datos Para la implementación de las seguridades de la base de datos se han tomado en cuenta las siguientes consideraciones: Para la implementación de las seguridades de la base de datos se han tomado en cuenta las siguientes consideraciones: –Se definió una clave del administrador (sa) siguiendo las políticas de passwords definidas –El servidor de base de datos esta protegido por un firewall interno que permite la conexión del web server y de los administradores. –El acceso del web server a la base de datos es autenticado utilizando un usuario definido para este propósito –El software de base de datos se ha actualizado utilizando los paquetes de seguridad liberados por Microsoft –El diseño ideal de la infraestructura de red considera la implementación de un cluster de base de datos utilizando SQL Server Enterprise Edition.

57 Definición de Políticas de Seguridad Políticas de seguridad de Base de Datos Políticas de seguridad de Base de Datos El usuario definido en SQL Server para el acceso de las paginas Web tendrá únicamente permisos de ejecución a los stored procedures del aplicativo El usuario definido en SQL Server para el acceso de las paginas Web tendrá únicamente permisos de ejecución a los stored procedures del aplicativo Ningún usuario tendrá permisos directos sobre las tablas de la base de datos Ningún usuario tendrá permisos directos sobre las tablas de la base de datos Se realizaran respaldos diarios, semanales y mensuales de la información de la base de datos Se realizaran respaldos diarios, semanales y mensuales de la información de la base de datos Todos los parches de seguridad deberán estar instalados en el sistema operativo y en SQL Server para el servidor de base de datos Todos los parches de seguridad deberán estar instalados en el sistema operativo y en SQL Server para el servidor de base de datos

58 Implementación de servidor Web y sus seguridades Para la implementación de las seguridades del servidor Web se han tomado en cuenta las siguientes consideraciones: Para la implementación de las seguridades del servidor Web se han tomado en cuenta las siguientes consideraciones: –El servidor web se actualizo con los últimos paquetes de seguridad liberados por Microsoft para Windows 2003 e Internet Information Server 6.0 –El acceso a las paginas web durante la compra se realizara utilizando el protocolo HTTPS, para esto se instalo un certificado digital sobre el servidor Web. –Se configuraron los permisos adecuados sobre las paginas del sitio para permitir el acceso de usuarios (permisos de lectura) y el acceso a los scripts almacenados en paginas aspx del sitio. –La pagina de configuración del acceso a la base (web.config) estará restringida para todos los usuarios. –Se instalo la ultima actualización de Microsoft.NET Framework ya que esta corrige una falla en la seguridad del producto.

59 Definición de Políticas de Seguridad Políticas de seguridad del servidor Web Políticas de seguridad del servidor Web El servidor web Internet Information Server 6.0 sera asegurado utilizando la herramienta IISLockdown la cual eliminara permisos innecesarios a los archivos del servidor web y a los scripts del servidor El servidor web Internet Information Server 6.0 sera asegurado utilizando la herramienta IISLockdown la cual eliminara permisos innecesarios a los archivos del servidor web y a los scripts del servidor Se utilizara también la herramienta URLScan 2.5 para establecer restricciones en los acceso al servicio web como por ejemplo: Se utilizara también la herramienta URLScan 2.5 para establecer restricciones en los acceso al servicio web como por ejemplo: Limite de tamaño en los requerimientos al servidor en bytes (POST) Limite de tamaño en los requerimientos al servidor en bytes (POST) Longitud máxima de URLs enviados al servidor Longitud máxima de URLs enviados al servidor DenyExtension previene la ejecución de código CGI e ISAPI DenyExtension previene la ejecución de código CGI e ISAPI DenyURLSequences detecta secuencias de URLs utilizados para realizar ataques a través de los URLs enviados al servidor DenyURLSequences detecta secuencias de URLs utilizados para realizar ataques a través de los URLs enviados al servidor

60 Diseño e Implementación de un Sitio de Comercio Electrónico

61 Aplicativo Desarrollado

62 Proceso Definición de los objetivos del sitio Definición de los objetivos del sitio Definición de requerimientos Definición de requerimientos Especificación de los servicios Especificación de los servicios Definición de la estrategia para la creación del sitio Definición de la estrategia para la creación del sitio

63 Objetivos del sitio Al igual que en un negocio tradicional los usuarios deben poder entrar a nuestra tienda virtual, deben poder recorrer la tienda, seleccionar uno o varios productos y finalmente pagar su compra. Al igual que en un negocio tradicional los usuarios deben poder entrar a nuestra tienda virtual, deben poder recorrer la tienda, seleccionar uno o varios productos y finalmente pagar su compra.

64 Definición de los Requerimientos Para la definición de los requerimientos nos hemos planteado las siguientes preguntas: Para la definición de los requerimientos nos hemos planteado las siguientes preguntas: –¿Qué es lo que se quiere lograr con el sitio? –¿Cuáles son los servicios que el sitio debe brindar? –¿Qué seguridad debe ofrecer el sitio durante una compra? –¿Cómo debe ser la interfaz de tal manera que impulse al usuario a comprar?

65 Servicios brindados en el sitio Creación y mantenimiento seguro de usuarios Creación y mantenimiento seguro de usuarios Búsqueda de Ítems por categorías Búsqueda de Ítems por categorías Asistente avanzado de búsqueda de regalos. Asistente avanzado de búsqueda de regalos. Organización de regalos en grupos orientada a regalos para matrimonios. Organización de regalos en grupos orientada a regalos para matrimonios. Un sistema de recordatorio de fechas importantes. Un sistema de recordatorio de fechas importantes. Herramienta de Carrito de Compras Herramienta de Carrito de Compras Formulario de Pago Seguro Formulario de Pago Seguro

66 Estrategia para la creación del sitio Como metodología de desarrollo hemos utilizado algunas de las recomendaciones definidas en el estándar UML (Unified Modeling Language) para el desarrollo de aplicaciones orientado a objetos. –Los pasos de la estrategia utilizada son 4: Análisis de los Requerimientos. Análisis de los Requerimientos. Diseño General del Sistema. Diseño General del Sistema. Diseño Detallado. Diseño Detallado. Implementación Implementación Todos estos pasos basado en Patrones y Mejores Prácticas de la industria Todos estos pasos basado en Patrones y Mejores Prácticas de la industria

67 Implementación Segura

68 Resumen de la Seguridad Seguridad Física o de infraestructura Seguridad Física o de infraestructura –Explicada por los compañeros. Seguridad de Disponibilidad de la aplicación, plataforma de desarrollo. Seguridad de Disponibilidad de la aplicación, plataforma de desarrollo. Seguridad de la Aplicación anti-delito ó cyber crimen, mejores prácticas de desarrollo. Seguridad de la Aplicación anti-delito ó cyber crimen, mejores prácticas de desarrollo.

69 Selección de la plataforma de desarrollo Las tecnologías utilizadas para el desarrollo son: –Microsoft Visual Studio.Net Enterprise Edition 2003.NET Framework 1.1.NET Framework 1.1 ASP.NET – Librerías de Desarrollo para internet ASP.NET – Librerías de Desarrollo para internet C# - Herramienta de Programación C# - Herramienta de Programación ADO.NET – Librerías de Acceso a Datos ADO.NET – Librerías de Acceso a Datos –Microsoft SQL Server 2000

70 Arquitectura del sitio Web La arquitectura del sitio esta formada por 6 capas lógicas que interactúan entre si, cada una de las capas implementa las funciones necesarias para manejar una porción específica del proyecto. –Interfaz de usuario Capa Web Capa Web –Librerías de Clases Capa CapaNegocio Capa CapaNegocio Capa ReglasNegocio Capa ReglasNegocio Capa AccesoDatos Capa AccesoDatos Capa SystemFramework Capa SystemFramework Capa Común Capa Común

71 Disponibilidad de la Aplicación Despliegue Seguro Solución a problemas de Dlls y COM (Dlls Hell) Solución a problemas de Dlls y COM (Dlls Hell) Microsoft Framework 1.1 Microsoft Framework 1.1 –Assemblyes firmados –Código y Tipos Seguros –Fin de reseteos del server de aplicaciones –Fin de pantalla azul

72 Despliegue seguro Problemas con DLL y COM DLL Hell DLL Hell –Aplicaciones compiladas con una DLL no funcionan con DLLs nuevas –Aplicaciones de terceros sobrescriben nuestras DLLs COM COM –Mecanismo sencillo de versionado –No se utiliza –No es fiable

73 Despliegue seguro Firma de código con certificado Además del strong name, los assemblies pueden estar certificados Además del strong name, los assemblies pueden estar certificados –Firma digital sobre el fichero –Permite identificar al creador del assembly Puede recuperarse en tiempo de ejecución Puede recuperarse en tiempo de ejecución –Clase X509Certificate Puede establecerse seguridad de código y enlazado sobre el certificado Puede establecerse seguridad de código y enlazado sobre el certificado

74 StrongNameLib.dll PE Header CLR Header Strong Name Signature Manifiesto Metadata IL Versión Public key Despliegue seguro Firma de código ClavePrivadaClavePrivadaClavePúblicaClavePública SignatureSignature HASHHASH

75 StrongNameLib.dll PE Header CLR Header Strong Name Signature Manifiesto Metadata IL Versión Public key Despliegue seguro Verificación de firma StrongName.exe PE Header Manifiesto Metadata IL AssemblyRef StrongNameLib.dll Versión Public key token Strong Name Nombre Versión Culture Public key token Strong Name Nombre Versión Culture Public Public key token Public key SignatureSignature SignatureSignatureHASHHASH

76 Seguridad de tipos Código Type-Safe y verificación Un código es type-safe si: Un código es type-safe si: –Accede a posiciones de memoria válidas –Accede sólo a miembros expuestos de las clases –Utiliza referencias verdaderas Proceso de verificación Proceso de verificación –Examina el código IL y los metadatos –Efectuado durante el JIT –Si el código no es verificable se lanza una excepción

77 Seguridad de tipos Applications Domains Proceso virtual dentro de un proceso físico del sistema Proceso virtual dentro de un proceso físico del sistema Proceso Nativo 2 Application Domain 3 Proceso Nativo 1 Application Domain 1 Application Domain 2

78 Diseño e implementación de un sitio de comercio electrónico El desarrollo del sitio Web en el cual se comercializarán productos ha seguido un proceso de análisis y diseño en base a nuestra necesidad y al problema que se intenta resolver. El desarrollo del sitio Web en el cual se comercializarán productos ha seguido un proceso de análisis y diseño en base a nuestra necesidad y al problema que se intenta resolver.

79 Seguridad de la Aplicación anti-delito ó cyber crimen. Manejo de la cadena de conexión Manejo de la cadena de conexión Manejo de Credenciales del Cliente Manejo de Credenciales del Cliente Ejecución de con permiso limitado Ejecución de con permiso limitado Usuario con permiso limitado Usuario con permiso limitado Inyección de Código Malicioso Inyección de Código Malicioso

80 Conclusiones y Recomendaciones

81 La mayor barrera para una empresa que pretende comercializar productos a través de la Internet es el grado de confianza que actualmente tiene el mercado en este tipo de negocios. La mayor barrera para una empresa que pretende comercializar productos a través de la Internet es el grado de confianza que actualmente tiene el mercado en este tipo de negocios. La única manera de vencer el miedo de los usuarios es mejorando los niveles de seguridad que se ofrecen al comprador y dando a conocer la inversión que se hace en recursos y conocimientos con el fin de que las transacciones sean seguras. La única manera de vencer el miedo de los usuarios es mejorando los niveles de seguridad que se ofrecen al comprador y dando a conocer la inversión que se hace en recursos y conocimientos con el fin de que las transacciones sean seguras. Es necesario contar con un buen diseño gráfico del sitio y con herramientas de ayuda al usuario. Es por esto que el equipo de trabajo de la empresa deberá tener a la seguridad como un parte integral durante la creacion del sitio, pero además deberá tener buenos conocimientos de interacción hombre – máquina. Es necesario contar con un buen diseño gráfico del sitio y con herramientas de ayuda al usuario. Es por esto que el equipo de trabajo de la empresa deberá tener a la seguridad como un parte integral durante la creacion del sitio, pero además deberá tener buenos conocimientos de interacción hombre – máquina.

82 Conclusiones y Recomendaciones A pesar de los esfuerzos por maximizar la seguridad, esta nunca será absoluta. Todos los elementos de seguridad como los firewalls, servidores Web, sistemas de detección de intrusos, bases de datos, antivirus y directorio de red son propensos a sufrir ataques malintencionados y nuestra tarea constante será evitarlos, detectarlos y corregirlos. A pesar de los esfuerzos por maximizar la seguridad, esta nunca será absoluta. Todos los elementos de seguridad como los firewalls, servidores Web, sistemas de detección de intrusos, bases de datos, antivirus y directorio de red son propensos a sufrir ataques malintencionados y nuestra tarea constante será evitarlos, detectarlos y corregirlos. Este proyecto queda abierto a posteriores desarrollos que complementen su funcionalidad, y puede servir como marco referencial a futuros proyectos sobre tecnología de desarrollo web utilizando las herramientas de Microsoft.Net. Este proyecto queda abierto a posteriores desarrollos que complementen su funcionalidad, y puede servir como marco referencial a futuros proyectos sobre tecnología de desarrollo web utilizando las herramientas de Microsoft.Net.

83 GRACIAS


Descargar ppt "ESCUELA SUPERIOR POLITECNICA DEL LITORAL Tópico: Seguridad de la Información Profesora: Ing. Karina Astudillo Proyecto: Implementación de un website de."

Presentaciones similares


Anuncios Google