Descargar la presentación
La descarga está en progreso. Por favor, espere
Publicada porSeveriano Monreal Modificado hace 9 años
1
Seguridad de los Recursos de Información – GSI732 Carmen R. Cintrón Ferrer © 2003-2004, Derechos Reservados
2
Módulos Introducción Principios de seguridad Tecnologías de seguridad Redes inalámbricas y usuarios móviles Entorno del comercio-e Implantación de programas de seguridad Perspectivas sociales y futuras Referencias
3
Módulo Tecnologías de seguridad ¿Para qué tecnologías de seguridad? Proceso de integración Herramientas a integrar
4
Tecnologías de seguridad Proceso de integración ¿Para qué las tecnologías de seguridad? Proteger los recursos importantes/sensitivos Imponer controles de acceso, según las políticas Administrar los roles, según grupos de usuarios Fiscalizar el acceso y el uso de los recursos Prevenir ataques, interrupciones e intrusos
5
Tecnologías de seguridad Proceso de integración Pasos a seguir antes de integrarlas: Fijar políticas relativas al control de acceso Enumerar recursos críticos Para cada recurso crítico: Determinar el nivel de sensibilidad Decidir quién debe tener acceso Definir para qué (Roles) debe tener acceso Determinar cómo va a implantarse el control Planificar cómo integrar esas determinaciones en: Firewall y otras tecnologías de seguridad Auditorías y pruebas internas periódicas
6
Tecnologías de seguridad Procesos de integración Otras determinaciones a tomar: Nivel y medio de autenticación: Claves y #’s PIN Tarjetas, Tokens Biométricas Políticas y controles sobre medios de autenticación Procesos de control sobre usuarios privilegiados (por ejemplo: “administrator”) Control relativo a archivos y algoritmos de cifrado (“encryption”) Estándares e integración de redes inalámbricas
7
Tecnologías de seguridad Herramientas Firewalls Escudriñadores (“Vulnerability scanners”) Filtros antivirus Filtros de contenido Detección de intrusos (“Intrusion detection systems”) Redes virtuales (VLAN/VPN) PKI – principios de encifrado: Transferencia o comunicación encifrada Certificados digitales
8
Tecnologías de seguridad Firewalls Definición Usos Tipos Arquitectura basada en Firewalls Administración de Firewalls
9
Tecnologías de seguridad Definición Firewalls “Paredes virtuales” para la protección de activos informáticos contra riesgos conocidos o desconocidos.
10
Tecnologías de seguridad Uso de Firewalls Controlar el acceso desde el exterior Controlar el acceso entre segmentos Permitir o denegar comunicación Limitar el tipo de comunicación Aislar segmentos o servidores Contribuir en la autenticación Soporte a VPN’s Integrar filtros (antivirus o contenido)
11
Tecnologías de seguridad ¿Cómo funciona el Firewall? Protección del perímetro (“Border firewall”) Examina paquetes que intentan ingresar a la red privada desde red(es) externa(s) o desde el Internet (“ingress filtering”) Impide acceso (“drops”) de paquetes no autorizados Notifica acerca de paquetes sospechosos (“DoS, Ping of Death”) Mantiene registro (“logs”) de paquetes denegados Autoriza acceso a su destino a los paquetes permitidos Examina paquetes que intentan egresar desde la red privada hacia red(es) externa(s) o al Internet (“egress filtering”) : Impide acceso (“drops”) de paquetes no autorizados a salir Mantiene registro (“logs”) de paquetes o direcciones denegados Autoriza salida al Internet a los paquetes o direcciones permitidas
12
Tecnologías de seguridad Tipos de Firewalls Network Layer Application Layer Hybrid Firewalls
13
Packet filtering o Network Layer: Integran reglas para determinar cómo fluye el tráfico Usan filtros para inspeccionar el tipo de tráfico o de protocolo Tráfico que no pueden clasificar (“In/Out”) es denegado (“drops”) El tráfico continúa su ruta si procesó correctamente Expone red a ataques al establecer conexión entre el cliente y el servidor o servicio “enrutado” Application Layer: Integran reglas para determinar cómo fluye el tráfico Usan proxies dedicados por tipo de tráfico o de protocolo Tráfico que no pueden clasificar (“In/Out”) es denegado (“drops”) Cuando el tráfico procesó correctamente se inicia una conexión nueva por parte del Firewall evitando ataques Hybrid Firewalls Tecnologías de seguridad Tipos de Firewalls
14
Integrados al Router (“Router Firewalls”) Integrados al sistema operativo (“Software Firewalls”) Integrados en una caja dedicada (“Appliance Firewall”) Integrados al servidor o estación (“Host Firewalls”)
15
Tecnologías de seguridad Tipos de protección ofrece el Firewall Cotejo de paquetes (IP,TCP,UDP,ICMP): Examina el encabezamiento y contenido Metodologías: “Static” – Cada paquete aislado “Stateful” – Aprueba o rechaza a base de conexión legítima Verificación de contenido por aplicación: Utiliza proxies para examinar contenido del mensaje Puede rechazar anejos (“attachments”) peligrosos/ sospechosos Cotejo de paquetes para evitar ataques: “Denial of Service” “SYN Flooding” – Intercepta mensaje y lo rechaza si no recibe acuse (SYN/ACK)
16
Tecnologías de seguridad Tipos de protección ofrece el Firewall Asignar otra dirección (“Network Address Translation - NAT”): Aisla la red privada al asignar número común para navegar Convierte #IP público de servidores en #IP interno o privado Verificación de usuarios: Utiliza proxies para determinar si es un usuario autorizado Autoriza salida a paquetes de usuarios autorizados Cotejo de paquetes para evitar ataques: “Denial of Service” “SYN Flooding” – Intercepta mensaje y lo rechaza si no recibe acuse (SYN/ACK)
17
Tecnologías de seguridad Arquitectura de Firewalls Router Router Border Firewall: DMZ Extranet – VPN’s Red Inalámbrica (WLAN) Intranet – VLAN’s & 1:1 NAT Red Privada – m:1 NAT Dedicated Firewalls: Servidor(es) Estación(es) Dial-up (“Modems”) High availability
18
Dispositivo de múltiples puertos que determina cómo manejar el tráfico de paquetes a base del protocolo y la información de la red(es). Su función primaria es mover el tráfico rápidamente a su destino, aunque puede colaborar a filtrarlo. Definición Routers Tecnologías de seguridad Arquitectura de Firewalls
19
Dirigir y controlar: Tráfico desde el exterior Tráfico entre segmentos Ruta más adecuada En menor grado puede emplearse para: Permitir o denegar comunicación Evitar difusión amplia (“braodcast”) Impedir tráfico, cuando el destino es desconocido Limitar el tipo de comunicación Contribuir en la autenticación Soporte a redes virtuales (VPN’s) Limitaciones: Punto primario de fallos Cuello de botella en flujo de tráfico Tecnologías de seguridad Arquitectura de Firewalls: Uso de Routers
20
Área de la red donde puede haber un nivel mayor de vulnerabilidad debido a su exposición a usuarios que navegan desde Internet. El nivel de protección y control de acceso es menor. Definición Zona Demilitarizada (DMZ) Tecnologías de seguridad Arquitectura de Firewalls
21
Ubicar servidores/servicios disponibles Internet: Correo electrónico Internet Páginas WEB DNS Externo Servidores aplicaciones disponibles desde Internet Proveer otros servicios a la red: Internet Control Message Protocol Network Time Protocol Servicios a restringir: NetBios Unix RPC (Remote Procedure Calls) Network File Services (NFS) X (sesiones remotas de X Windows) Telnet (De resultar necesario utlizar SSH) FTP / TFTP Netmeeting (Reemplazar por un H.323 Proxy) Remote Control Protocols (RPC) SNMP (Simple Network Management Protocol_ Tecnologías de seguridad Arquitectura de Firewalls: Usos del DMZ
22
Ubicación del DMZ: Luego del Router Primario Detrás del Firewall Tráfico permitido mediante filtros o reglas: Direcciones válidas en el DNS Externo Paquetes válidos Protocolos válidos Limitaciones: Sistema comprometido puede afectar todo en el DMZ Virus o DoS puede propagarse dentro DMZ DMZ puede convertirse en un cuello de botella Tecnologías de seguridad Arquitectura de Firewalls
23
Arquitectura de Seguridad
24
Tecnologías de seguridad Administración de Firewalls Desactivar todo servicio innecesario Auditar el tráfico y los usuarios Mantener y actualizar las versiones Revisar y mantener reglas (ACL’s) y rutas Regular el acceso y el contenido Examinar bitácoras de error y/o “drops” Auditar y probar la configuración y ACL’s Revisar periódicamente la arquitectura
25
Tecnologías de seguridad Escudriñadores (“scanners”) Definición Usos Tipos Integración de escudriñadores Administración de escudriñadores
26
Tecnologías de seguridad Definición de Escudriñador Programa que examina (escudriña) la red en busca de los puntos o áreas de vulnerabilidad.
27
Configuración inadecuada de servidores Cambio continuo en la red y servidores Falta de consistencia Programación (“SoftWare”) inseguro y vulnerable Dificultad en mantener al día los sistemas Errores de los administradores de la red Cambios intencionales que hacen “hackers” Tecnologías de seguridad Necesidad de escudriñadores
28
Tecnologías de seguridad Pruebas con escudriñadores Puertos disponibles en la red (“Network port scanning”): UPD Packets TCP SYN, ACK, FIN Network neighborhood DNS & SNMP vulnerability Trojans and backdoors Active services User account details and privileges Share enumeration Vulnerability to known DoS attacks MS SQL Server vulnerability checks
29
Tecnologías de seguridad Tipos de escudriñadores “Network-based scanners”: SW que desde un punto central ataca la red Utiiza un mapa de la red para envíar paquetes a los equipos que identifica Recoge información de los equipos Ocasiona mucho tráfico y congestiona la red Puede desactivar o inutilizar equipo “Host-Based scanners”: SW que desde la consola examina vulnerabilidades en un “Host” localmente Tráfico de mensajería únicamente Verifica vulnerabilidad sin atacar el “host” “Port Scanners”
30
Tecnologías de seguridad Escudriñadores Productos disponibles: Winfingerprint SAINT Cerberus Information Scanner (CIS) Bancos de datos de referencia: CERT – www.cert.orgwww.cert.org CIAC – www.ciac.orgwww.ciac.org NtBugTrack – www.ntbugtrack.comwww.ntbugtrack.com BugTrack – www.securityfocus.com/bidwww.securityfocus.com/bid
31
Definición de virus Amenaza y propagación Detección de virus Protección antivirus Tecnologías de seguridad Antivirus
32
Tecnologías de seguridad Definición de Virus Código o programación maliciosa que se aloja en la computadora para hacer cosas que no necesitamos o no queremos, aunque no produzcan daño aparente.
33
Tecnologías de seguridad Amenazas de virus “Infecta” computadoras Se replica y se multiplica o contagia Se pueden alojar en el RAM Permanecen inactivos hasta una fecha Pueden mutar dificultando su erradicación Conllevan impacto en los recursos (RI) Afectan las operaciones de la organización Afectan la imagen de la organización
34
Tecnologías de seguridad Tipos de virus Parásitos Lombrices (“Worms”) Trojans “Macro viruses” (dentro de documentos) “Boot sector viruses” “Malicious Internet applets” (“Browsing”) “Email viruses” “Virus Hoaxes”
35
Tecnologías de seguridad Protección y detección de virus Utilizar programas de antivirus Desactivar servicios: “ActiveX “ “Windows Scripting Host” Mantener copias de resguardo Escudriñar anejos del e-correo Activar “macro protection” en MS Office Bloquear anejos ejecutables desde FW
36
Tecnologías de seguridad Protección antivirus Política sobre virus Centralizar el control Reparar archivos Establecer cuarentenas Designar un equipo de trabajo antivirus Actualizar continuamente el Antivirus Actualizar continuamente los sistemas (O/S)
37
Definición Operación Tipos Respuesta a incidentes Tecnologías de seguridad Filtros de contenido
38
Son programas que escudriñan el tráfico en la red para detectar paquetes sospechosos o destinos no autorizados en el tráfico de Internet (“In/Out”) y ayudan a controlar la travesía a través del FireWall.
39
Tecnologías de seguridad Filtros de contenido Categorías: Filtros de URL Filtros de e-correo Detección de código Tipos de operación: “Pass-Through” “Pass-By” Control y respuesta a incidentes
40
Definición Tipos de mecanismos Componentes del sistema de detección Procedimiento Mitos Tecnologías de seguridad Detección de intrusos
41
Tecnologías de seguridad Definición Detección de intrusos Programas o sistemas que recogen y examinan lo que ocurre en los sistemas de información y las redes para detectar posibles violaciones a las medidas y controles de seguridad, uso indebido o posibles intrusos. Suele incluir mecanismos para minimizar el impacto de las posibles violaciones e integra procesos de reacción o respuesta.
42
Tecnologías de seguridad Detección de intrusos Beneficios: Evitar o limitar incidentes e impactos Detectar escenarios Reaccionar o afrontar Avalar dimensión daños Anticipar ataques Mantener evidencia para procesar responsables Selección de la herramienta adecuada
43
Tecnologías de seguridad Detección de intrusos Elementos o componentes: Bitácoras o registros: Tráfico de paquetes Intentos de acceder sistemas o servicios (“log in”) Asocian fecha y hora con el asiento que guardan Mecanismo de análisis: “Static packet filtering” “Stateful packet filtering” Decodificar protocolos o buscar patrones definidos Análisis estadístico y de correlación entre eventos y patrones Detecta sospechosos a base de discrepancias (“anomalies”)
44
Tecnologías de seguridad Detección de intrusos Elementos o componentes: Tipo de acción: Alarmas o avisos Análisis interactivo – manual o automático Generación de informes Respuesta automática Sistema de administración: Ajustar hasta maximizar la presición del sistema Actualizar continuamente programación y patrones Parear capacidad de ejecución con tráfico
45
Tecnologías de seguridad Tipos de Detectores de intrusos “Host based”: Examinan paquetes, una vez son descifrados Recoge datos sobre eventos del sistema operativo Examinan archivos accesados Determinan aplicaciones utilizadas Buscan escenarios de uso indebido Detectan vulnerabilidades del “host” “Network based”: Examinan paquetes transitan en segmento de la red Buscan paquetes sospechos o patrones peligrosos Enfoque: Promiscuo (evalúa todos los paquetes) “Network node” (analiza los dirigidos a destino particular)
46
Tecnologías de seguridad Detección de intrusos Componentes: Consola: Gestión de avalúo perfiles Gestión de cumplimiento políticas Gestión de alertas intrusión Bitácoras de eventos o incidentes Bancos de datos Informes y auditorías Sensores de tráfico en la red: Agentes recogen datos tráfico Prevenir pérdida de paquetes Protección de servidor crítico Target Agents Componentes: Notificación de alertas: “on-screen” “paging o e-mail” “SNMP capability” “Help desk interfase” Sistema de respuesta: Desactivar conexión o servicio Reconfigurar dispositivo Banco de datos: Incidentes conducta Incidentes uso no autorizado
47
Tecnologías de seguridad Proceso detección de intrusos Establecer políticas simples y efectivas: Definir actividades aceptables Establecer prioridades o eventos críticos Identificar escenarios sospechos Implantar políticas escalonadas Notificar las desviaciones o violaciones Tomar medidas (“response”): Restringir acceso Modificar políticas o controles Incrementar la fiscalización
48
Tecnologías de seguridad Proceso respuesta a intrusos Nivel organizacional: Adoptar procedimientos Formar comité CERT Comunicar procesos Llevar a cabo pruebas Activación: Informar sobre posible incidente Confirmar incidente (real) Determinar dimensión de impacto Considerar escalar incidente Contener impacto: Desconectar sistema afectado Aislar atacante o fuente Recopilar información Restauración: Reparar sistema(s) Restaurar y reinstalar Medidas punitivas: Determinar si se procede y contra quién se procede Recopilar y proteger evidencia Integrar colaboradores: ISP y/o proveedores Agentes del orden público Comunicar: Advertir a quienes pueda impactar Notificación pública, si procede Proteger prospectivamente: Atender vulnerabilidades
49
Tecnologías de seguridad Mitos sobre intrusos “Network-based intrusion detection only” “Intrusion detection has too many false alarms” “Anomalies can be distinguished (bad/good)” “Enterprise-wide real time detection is needed” “Automated resonse can stop misuse by intruders before it occurs” “AI can identify new types of misuse”
50
Ejercicio de tecnologías de seguridad Sniffers Intrusion detection Scanners *
51
Principios básicos de cifrado (“encryption”) Tipos de protocolos Public Key as Infrastructure (PKI) Beneficios y problemas de PKI Tecnologías de seguridad Principios de cifrado (PKI)
53
Virtual Private Network (VPN) Secure Sockets Layer (SSL) Secure Shell (SSH) Tecnologías de seguridad Transmisiones encifradas
54
Un túnel que utiliza Internet como la base para establecer una conexión privada entre dos puntos (red virtual). Puede limitar el tipo de tráfico/protocolos, utilizar o no un circuito dedicado e incluir protección adicional como tráfico cifrado. Definición VPN Tecnologías de seguridad Transmisiones cifradas
55
Uso de redes virtuales (VPN’s): Reemplazar redes privadas a menor costo Proveer acceso a usuarios o entidades remotas Establecer túnel/canal entre dos puntos vía Internet Cifrar tráfico entre los extremos del túnel Integridad del tráfico a través del túnel Proteger la privacidad/confidencialidad del tráfico Limitaciones: Puede introducir riesgos inherentes al equipo del cliente Puede generar sobrecarga de tráfico Amplía el perímetro de seguridad a proteger/fiscalizar Podría requerir un DMZ para los servicios de VPN Tecnologías de seguridad Transmisiones cifradas - VPN
56
Tipos de VPN’s: Access (Users) VPN: Provee acceso a empleados desde casa o de viaje Permite acceder servidores y servicios en la red Intranet (Site) VPN: Permite conectar dos entidades para compartir servicios y tráfico Permite establecer sedes alternas para “backup” (“Hot site”) Protocolos y reglas de autenticación determinan conexión Extranet VPN: Permite conectar entidades no conocidas (“untrusted”) Tecnologías de seguridad Transmisiones cifradas - VPN
57
Servidor de VPN: Puede ser el Router, Firewall o un servidor dedicado Recibe el tráfico que entra Algoritmo sólido (“strong”) de encifrar: IPSec: Tunnel/Transport Mode Internet Key Exchange (IKE) Certificates Authorities (CA) Sistema de autenticación por niveles: Mecanismos: Llaves compartidas RSA signatures RSA encrypted nonces Tecnologías de seguridad Transmisiones cifradas - VPN
58
Factores a considerar para establecer VPN’s: Número de conexiones concurrentes Tipos de conexión para usuarios Cantidad de sedes remotas Volumen de tráfico esperado Protocolos y modo de conexión Política de seguridad aplicable Tecnologías de seguridad Transmisiones cifradas - VPN
59
Red virtual local dentro de una red física que permite conformar grupos de usuarios en distintos segmentos o componentes con restricciones de acceso a servicios o servidores particulares, o rutas exclusivas de tráfico. (Juntos pero no revueltos.) Definición VLAN Tecnologías de seguridad Transmisiones cifradas - VLAN
60
Uso de redes locales virtuales (VLAN’s): Establecer redes integrando usuarios dispersos en grupos funcionales a través de “switchs” Agilizar el flujo de tráfico Establecer prioridades de acceso Limitaciones: Puede introducir riesgos de seguridad a nivel de “switch” Puede generar sobrecarga de tráfico Amplía el perímetro de seguridad a proteger/fiscalizar Tecnologías de seguridad Transmisiones cifradas - VLAN
61
Secure Sockets Layer (SSL): Mecanismo que provee cifrado al nivel de sesión del Modelo OSI. (“service independent”) Se ha convertido en el estándar para el comercio electrónico (Web) porque respalda certificados digitales y PKI (“Public/Private Key Encryption”) Provee para autenticar el servidor y el cliente, además, se integrar fácilmente a las páginas Web para incorporar seguridad en la transmisión. Aunque ha evolucionado (TLS) HTPS le respalda. Tecnologías de seguridad Transmisiones cifradas - SSL
63
Secure Shell (SSH): Mecanismo para autenticar clientes y establecer una sesión segura entre dos sistemas. La autenticación depende de certificados digitales válidos que se verifican para establecer la conexión. Una vez validados se inicia un intercambio mediante transmisión cifrada, para la cual periódicamente se intercambian claves (“keys”). Provee una herramienta para asegurar protocolos que por su naturaleza son riesgosos como Telnet y FTP. Tecnologías de seguridad Transmisiones cifradas - SSH
65
Tecnologías de seguridad Otras tecnologías
66
Referencias Tanenbaum, Computer Networks Maiwald, Network Security Proctor & Byrnes, The secure enterprise Schenk, Wireless LAN Deployment Gast, Seven security problems of 802.11 Wireless www.80211-planet.com: Wireless Privacy: An Oxymoron (April 26, 2001) www.80211-planet.com Bolles, Wireless (In)security: Are your networks snoop-proof? (CIO Insight July 2002) Trilling, How to tighten loose security in wireless networks? (Computerworld Feb.12,2003) daCruz, Safe networking computing (Columbia U., Sep 2001) McHugh,Christie & Allen, The role of intrusion detection systems (IEEE Software, Sep/Oct 2000) Allen, et als., Improving the security of Networked systems (STSC Crosstalk Oct, 2000)
67
Referencias SANS Institute - various EDUCAUSE Evolving Technologies Committee: Overview of Security (Oct 2002) EDUCAUSE Mid-Atlantic Regional Conference: Measuring the success of wireless CERT: Internet Security Issues (May 2000) CERT: Security of the Internet (1997) CERT: Home computing security (2002) CERT: Organized crime and cyber-crime (2002)
68
Glosario de términos Tecnología inalámbrica Access point (AP/WAP) Bluetooth (Personal wireless LAN) Dynamic frecuency selection/dynamic channel selection (DFS/DCS) Extensible authentication protocol (EAP) Global system for mobile communications (GSM) Wireless Access Protocol (WAP) Wireless LAN (WLAN – 802.11x) Wireless Transport layer security (WTLS) Wired equivalent privacy (WEP) Wireless Ethernet compatibility alliance (WECA)
69
Glosario de términos Tecnología inalámbrica (2) “Spoofing” “Hijacking session” Basic Service Set (BSS) Open systems authentication (OSA) Service set identifier (SSID) Shared key authentication (SKA) Virtual private network (VPN) High Performance Radio LAN (HIPERLAN) Integrity Check Vector (ICV) Initialization Vector (IV) Medium Access Control (MAC)
70
Arquitectura de seguridad
Presentaciones similares
© 2024 SlidePlayer.es Inc.
All rights reserved.