Descargar la presentación
La descarga está en progreso. Por favor, espere
Publicada porRubén Vega Toledo Modificado hace 8 años
1
Conceptos y Prácticas de Seguridad Informática
Antonio Sanz – Tecnologías de Red aplicables al comercio electrónico
2
Indice Seguridad Informática Conceptos básicos Requisitos de Seguridad
Tipos de amenazas Herramientas de seguridad Plan de Seguridad Prácticas básicas
3
Al finalizar la charla sabrá...
Conocer el pensamiento de Seguridad Conocer al enemigo Conocer los ataques Conocer las herramientas Conocer las defensas
4
Seguridad Informática
Sistema Seguro “Un sistema es seguro si en todo momento se comporta como lo desea su propietario” Áreas de Seguridad Informática Sistemas Operativos (Windows, Linux, Mac ) Aplicaciones ( IIS, Apache, Word ) Redes ( LAN, WAN, WLAN ) Datos ( LOPD ) Fisica ( alarmas, controles de acceso )
5
Conceptos básicos (I) Seguridad absoluta Seguridad mesurada
Inexistente Objetivo : Agotar los recursos del enemigo (moral, tiempo o dinero) Seguridad mesurada Asignar recursos de forma eficiente
6
Conceptos básicos (II)
Seguridad vs Usabilidad Balanza peligrosa (cuidado con los extremos) Objetivo: Lograr un equilibrio satisfactorio Mínimo privilegio Todos los recursos de la red deberán solo los permisos necesarios para cumplir su tarea
7
Conceptos básicos (III)
Seguridad en profundidad No depender de un solo elemento Modelo de seguridad en capas Seguridad mediante oscuridad Dificulta los ataques Nunca debe confiarse únicamente en ella
8
Conceptos básicos (IV)
Seguridad Homogénea La seguridad de un sistema es la del eslabón más débil Cuidar todos los aspectos de la seguridad Seguridad Evolutiva Campo cambiante a gran velocidad Es necesario mantenerse al día
9
Requisitos de seguridad (I)
Control de Acceso Confidencialidad Integridad Disponibilidad Se deberán establecer los requisitos deseados para cada sistema El objetivo final de la Seguridad es cumplir dichos requisitos
10
Requisitos de seguridad (II)
Control de Acceso / Autenticación Identificación de los elementos que acceden a nuestro sistema Asignación de los permisos de cada elemento de la red Confidencialidad La información es valiosa Impedir el acceso no autorizado
11
Requisitos de seguridad (III)
Integridad / No repudio Impedir la manipulación de la información Identificación unívoca Disponibilidad Los servicios deben estar siempre activos 24 x 7 x 365 x ...
12
Tipos de amenazas Tipos de atacantes Ataques realizables Posibles daños
13
Tipos de atacantes (I) Hacker
Hack: 1) Cortar en tajos. 2) Encontrar una solución eficaz y brillante a un problema Hacker: Persona con abundantes conocimientos de informática y redes, que explora (o penetra en) sistemas por puro reto Hacker = Intruso malvado Incorrecto. Blanco / Negro Diversos tonos de gris
14
Tipos de atacantes (II)
Cracker: ( Doble definición ) Persona que rompe códigos de protección (“cracks”) “Hacker” que penetra en sistemas en beneficio propio (monetario, social o por pura diversión destructiva) Conocimientos extensos de seguridad Definitivamente, “el lado oscuro
15
Tipos de atacantes (III)
Script Kiddies Conocimientos básicos de seguridad Pueden causar graves daños (herramientas precocinadas) Newbies Principiantes, conocimientos básicos de seguridad Lamers Conocimientos nulos de informática
16
Identificación del sistema o fingerprinting
Tipos de ataques (I) Identificación del sistema o fingerprinting Búsqueda de información pública Ingenieria social Barrido de puertos o portscanning Análisis de equipos y servicios
17
Análisis de vulnerabilidades
Tipos de ataques ( II ) Análisis de vulnerabilidades Con la información obtenida, se buscan vulnerabilidades correspondientes a los Sistemas Operativos y servicios existentes en el sistema Penetración en el sistema Explotación de una vulnerabilidad en el sistema cabeza de puente Acciones automáticas: camuflaje y expansión
18
Tipos de ataques ( III ) Intercepción de contraseñas
Rotura de contraseñas (fuerza bruta) Falsificación de la identidad Robo de información Destrucción de datos Denegación de servicio
19
Posibles daños Robo de Información Pérdida de datos
Disrupción del servicio Pérdida de imagen Posible responsabilidad legal
20
Herramientas de Seguridad (I)
Herramientas que permiten verificar o aumentar el nivel de seguridad de un sistema Usadas tanto por atacantes como defensores Gran variedad: gratuitas, comerciales, bajo Linux, Windows, etc...
21
Herramientas de Seguridad (II)
Cortafuegos o firewalls Ejercen un control sobre el tráfico entrante y saliente a un sistema Hardware & Software Ej: IpTables, Firewall-1, Cisco PIX Detectores de intrusos o IDS Detectan posibles ataques en un sistema, pudiendo activar alarmas o ejercer respuesta coordinada Ej: Snort, Real Secure
22
Herramientas de Seguridad (III)
Verificadores de la integridad Permiten detectar la manipulación de un sistema Ej: Tripwire Analizadores de logs Permiten procesar de forma automática los logs de un sistema en tiempo real y emitir alarmas Ej: Swatch, LogWatch
23
Herramientas de Seguridad (IV)
Analizadores de puertos Barren una red en busca de máquinas y servicios activos Ej: nmap, PortScan, fport Detectores de vulnerabilidades Analizan una red en busca de vulnerabilidades conocidas Ej: Nessus, Cybercop Scanner, ISS, Saint
24
Herramientas de Seguridad (V)
Sniffers Capturan el tráfico que circula por una red (contraseñas y datos, por ejemplo) Ej: Ethereal, Sniffer, Iris, Analyzer Password crackers Utilizan técnicas de diccionario y fuerza bruta para obtener las contraseñas de acceso a un sistema Ej: LC3, Crack, John the Ripper
25
Herramientas de Seguridad (VI)
Troyanos Programas que se instalan en un sistema de forma no deseada Ej: Back Oriffice , SubSeven. Rootkits Programas destinados a facilitar la ocultación y expansión de un intruso
26
Libros y enlaces de interés
Criptonomicón: SecurityFocus: Kriptópolis: Hispasec: CERT: SecurityPortal: Phrack: Insecure.org “Seguridad Práctica en Unix e Internet” , 2ª Ed.Simson Garfinkel & Gene Spafford - O’Reilly “Hacking Exposed 3rd Edition” - Stuart McClure – McGraw Hill (La 2ºEd en castellano: “Hackers 2” – Stuart McClure – McGraw Hill “Seguridad en Servidores NT/2000 para Internet” – Stefan Norberg, Deborah Russell – O’Reilly “Seguridad y Comercio en el Web” - Simson Garfinkel & Gene Spafford - O’Reilly “Building Internet Firewalls” – Chapman & Zwicky, Ed. O’Reilly
27
Dudas, preguntas, aclaraciones, pipas, caramelos...
¿?
28
Prácticas básicas de Seguridad Informática
Antonio Sanz – Responsable de Seguridad Informática Tecnologías de Red aplicables al comercio electrónico
29
Indice Introducción y Objetivos Prácticas básicas Bibliografía y enlaces de interés
30
Introducción Internet : Evolución vertiginosa Conexión fácil, barata y rápida Gran cantidad de inversión en desarrollo de negocio Internet Escasa inversión en seguridad Muy poca conciencia de seguridad
31
Objetivos Obtener un buen nivel de seguridad en nuestro sistema Aplicable tanto a una red corporativa como a un usuario casero Se aplica perfectamente la ley del 80/20 20% del esfuerzo = 80% de seguridad
32
Seguridad: Topología Tener en cuenta la seguridad a la hora de diseñar una red Cortafuegos / Routers con filtrado (boxes & cortafuegos personales) Separar los servidores de la LAN Sistemas de seguridad critica aparte
33
Seguridad : Backups Aspecto vital de la seguridad Medios de backup baratos Copias incrementales (diarias, semanales y mensuales) Imágenes de los SO
34
Seguridad : Parches Aspecto muy importante Ataque = sistema o programa no actualizado Mantener los equipos parcheados siempre que sea posible Integrarlo dentro del mantenimiento del equipo Muy importante en servidores
35
Seguridad : Antivirus Antivirus en TODO el sistema
Actualización constante Características especiales Usarlas Scan de virus periódico y automatizado Formación antivirus a los usuarios
36
Seguridad : Cortafuegos
Cortafuegos: Principal barrera de defensa de un sistema informático ( = muro de un castillo medieval) Instalar un cortafuegos entre nuestra red e Internet Cortafuegos personales interesantes para equipos personales o móviles
37
Seguridad : Correo electrónico
Principal fuente de entrada de virus Educación de los usuarios: No abrir ficheros adjuntos desconocidos Preguntar al remitente la razón del fichero Utilizar el antivirus Abrir únicamente .jpg .gif .txt .html Nunca abrir .exe .bat .vbs .ini Emplear cifrado Tener cuidado con los webmails
38
Seguridad : Navegación web
Contraseñas almacenadas en el navegador Información sensible protección SSL Control de cookies & web bugs Navegación anónima
39
Seguridad :Otros programas de comunicaciones
Programas de chat Programas de mensajería instantánea (Messenger, Yahoo Pager, ICQ) Programas de intercambio multimedia
40
Seguridad : Física & Operativa
Salvapantallas protegido por contraseña Arranque desde el disco duro únicamente Protección de la BIOS con contraseña Gestión de contraseñas Empleo de cifrado interno
41
Seguridad : Formación Internet cambios muy rápidos Importante estar al día Apoyo de la dirección Concienciación de los usuarios
42
Conclusiones Importancia Necesidad Concienciación Aplicación efectiva Evolución
43
Enlaces de interés Información sobre cookies:
Más información acerca de SSL: Cómo añadir SSL a su servidor Web: Windows + IIS : Linux + Apache : Cómo obtener un certificado digital: Salvapantallas para Linux: Cortafuegos Box: Cómo montar un cortafuegos con Linux: Cómo poner ACL en router Cisco: Información sobre virus: Comparativas de software antivirus: PGP Internacional ( Windows y Mac ): GnuPG ( Unix/Linux, Windows y Mac ): Configuración segura de su navegador web:
44
Enlaces de interés Protección del LILO en el arranque:
Gestor de contraseñas: PgpDisk: Últimas versiones del Mirc , ICQ & Messenger : Jabber: (pasarela IM) Algunos cortafuegos personales: Cómo hacer un backup: Linux – Amanda : Windows – Backup : Cómo hacer una imagen de su equipo: Criptonomicón: SecurityFocus: Kriptópolis: Hispasec: CERT: SecurityPortal:
45
Última oportunidad de satisfacer su curiosidad...
Preguntas Última oportunidad de satisfacer su curiosidad... ¿?
46
Planes de Seguridad Informática
Antonio Sanz – Tecnologías de Red aplicables al comercio electrónico
47
Indice Introducción Problemática de Seguridad Definición de un Plan de Seguridad Ciclo de vida de un PdS Aspectos a tratar en un Pds
48
Problemática de Seguridad
Ideológica Estructural Tecnológica
49
Problemática de Seguridad ( II )
Ideológica No obstaculizar el proceso de negocio Nadie se hace responsable de los riesgos Se actúa de modo reactivo, nunca preventivo No se conoce el estado real de seguridad
50
Problemática de Seguridad ( III )
Estructural Falta de responsabilidades establecidas No hay normas definidas No homogeneidad de los sistemas No existe una asignación de recursos de seguridad
51
Problemática de Seguridad ( IV )
Tecnológica No se conoce la propia red No se conoce la Tecnología de Seguridad Sensación de Falsa Seguridad
52
Problemática de Seguridad ( V )
Conclusiones: Existe una clara falta de conocimiento de Seguridad Nadie quiere gastar dinero en Seguridad La Seguridad se ve como un estorbo Poco apoyo de la dirección Mal vista por parte de los usuarios
53
Problemática de Seguridad ( VI )
Argumentos a favor de la Seguridad: La Seguridad es cada día más importante ( ) Inversión en Seguridad = Póliza de Seguros Cortafuegos = Extintor
54
Problemática de Seguridad ( VII )
La Seguridad no es cara ni complicada Una red segura es mucho más eficiente y robusta es más rentable Hacia la dirección Convicción Hacia los usuarios Concienciación
55
Plan de Seguridad Plan de Seguridad : “ Conjunto de normas, políticas y procedimientos destinados a satisfacer unas necesidades de seguridad de un entorno definido”
56
Un Plan de Seguridad permite:
Plan de Seguridad ( II ) Un Plan de Seguridad permite: Analizar las necesidades de seguridad Detectar los elementos críticos Valorar los riesgos Diseñar medidas de seguridad Metodología modular : sencilla y completa
57
Plan de Seguridad ( III )
Claves del éxito: Sencillez y claridad Conseguir el apoyo de la dirección Involucrar a toda la organización Plantear beneficios, no problemas Delimitar responsabilidades y deberes
58
Ciclo de vida un PdS Evaluación Análisis Diseño Implantación Auditoría Realimentación
59
Recopilación de todos los recursos del entorno:
PdS: Evaluación Recopilación de todos los recursos del entorno: Hardware: PC’s, routers, cintas magnéticas Software: Comercial, gratuito, open source Datos: Proyectos, BBDD, nóminas Personal: Empleados, know how Varios: Imagen pública, posición de mercado, reconocimiento
60
PdS: Evaluación ( II ) Fase inicial Muy importante ser exhaustivo Evaluar la funcionalidad de cada uno de los elementos dentro del entorno Ayuda: Creación de tablas
61
Ej: Servidor central Ej: Prestigio de marca PdS: Evaluación ( III )
Hardware, guarda la BBDD de la Intranet, en la sala de datos, el Administrador de la Intranet Ej: Prestigio de marca Varios, muestra el éxito de nuestro empresa, en todas partes, toda la empresa ( o Dep. Márketing )
62
PdS: Análisis de riesgos
Para cada recurso se hace una lista de los posibles riesgos : Robo No disponibilidad Copia / Publicación Uso indebido Destrucción
63
PdS: Análisis de riesgos ( II )
Valoración de las amenazas Se puntúa de 1 (mínima) a 10 (máxima) : Facilidad de ejecución Impacto en el recurso Amenaza real = Media entre Facilidad e Impacto Sirve para ordenar las amenazas
64
PdS: Análisis de riesgos ( III )
Ej: Alienígenas abducen una semana al Departamento de Informática Impacto: 8, Facilidad: 0 Amenaza = 4 Ej: Ladrón roba copias de seguridad y prende fuego al edificio Impacto: 10, Facilidad = 6 Amenaza = 8
65
PdS: Análisis de riesgos ( IV )
Valoración de costes. Se calcula: CR : Coste de Reparación PO : Probabilidad de Ocurrencia CP : Coste de Prevención Si CR x PO > CP Es un riesgo a minimizar Si CR x PO < CP No sale rentable Ayuda = Tabla organizadora a) Mayor que el coste de prevención
66
PdS: Análisis de riesgos ( V )
Ej: Riesgo de incendio CR = 10M, PO = 0.01, CP = 10K (extintor) CR x PO = 100K > 10K Se previene Ej: Godzilla arrasa la ciudad CR = 10M, PO = , CP = 10M (centro de backup) CR x PO = 10 < 10M Se asume el riesgo
67
PdS: Análisis de riesgos ( VI )
Opciones posibles: Eliminar el recurso Diseñar una contramedida Asumir el riesgo Contratar un seguro Opciones más comunes: 2) y 3)
68
PdS: Diseño de contramedidas
Objetivo: Eliminar, controlar o minimizar los riesgos identificados, y prevenir en la medida de lo posible riesgos futuros Fase más importante del PdS Lenguaje mixto Técnico / Humano Áreas predeterminadas
69
PdS:Diseño de contramedidas (II)
Copias de Seguridad Antivirus Usuarios Contraseñas Parches y updates Seguridad de las comunicaciones Logs Administración de equipos Contingencias Incidencias de Seguridad Formación Seguridad Física
70
PdS: Implementación Imprescindible apoyo de la dirección (asignación efectiva de recursos) Implicación de TODA la organización Metodología: Convencer, no imponer (mano de seda, guante de hierro)
71
PdS: Auditoría Objetivo: Comprobar que las contramedidas han sido eficazmente aplicadas, y que realizan su función Interna o Externa Auditoría de Seguridad o del PdS Mejora el PdS y asegura su eficacia
72
PdS: Realimentación PdS Renovación constante Asignación de recursos necesaria Se adapta a los cambios de la empresa
73
¿ Dónde están las dudas, matarile rile rile ?
¿?
74
Muchas gracias por su tiempo
Antonio Sanz –
Presentaciones similares
© 2024 SlidePlayer.es Inc.
All rights reserved.