Teleinformatic Security M.C. Juan Carlos Olivares Rojas Department of Computer and System Instituto Tecnológico de Morelia lat, long

Disclaimer Some material in this presentation has been obtained from various sources, each of which has intellectual property, so in this presentation will only have some rights reserved. These slides are free, so you can add, modify, and delete slides (including this one) and slide content to suit your needs. They obviously represent a lot of work on my part. In return for use, I only ask the following: if you use these slides (e.g., in a class) in substantially unaltered form, that you mention their source.

Outline Security generalities in Teleinformatic Area. Objectives and audit criterials in Teleinformatic Area. Risk Syntoms. Tools and Audit Techniques related with Teleinformatic Security.

Objectives of the Session The students will understand the scope of Teleinformati security with the pruporse of evaluating and auditing.

Security generalities in Teleinformatic Area La seguridad en las comunicaciones siempre ha sido prioridad desde la historia de la humanidad y las Telecomunicaciones no son la excepción. El uso de redes de datos, voz y video han hecho posible distribuir la información en casi cualquier parte, pero esto también ha aumentado los riesgos de securidad.

Seguridad en Redes La seguridad en redes de computadoras ha ido en aumento desde que las organizaciones se han conectado hacia el exterior. Internet ha traído un gran desarrollo en muchos aspectos a las organizaciones pero también las ha abierto hacia grandes problemas de seguridad. Las empresas deben de minimizar los activos de información que van a estar dispuestos en la red y maximizar los controles de seguridad.

ISO El ISO consiste de once dominios: 1. Security Policy 2. Organization of Information Security 3. Asset Management 4. Human Resources Security

ISO Physical & Environmental Security 6. Communications & Operations 7. Access Control 8. Information Systems Acquisition, Development & Maintenance 9. Information Security Incident 10. Business Continuity 11. Compliance

Controles de Acceso A.11.1 Business requirement for access control Objetivo: una política de control de acceso debe ser establecida, documentada y revisada en base a los requerimientos de negocio. A.11.2 User access management Los temas que se norman en términos generales son: Habilitación de cuentas y registro de usuarios, mediante proceso un formal y expedito que incluya: altas, bajas, suspensiones y cambios de los mismos…

Controles de Acceso A.11.3 User responsibilities Objetivo: Prevenir acceso no autorizado y evitar comprometer o el robo de información Uso de contraseñas, se deben seguir las mejores prácticas en la selección y uso de contraseñas. Escritorio limpio y equipo no atendido, los usuarios deben guardar en forma segura la información crítica del negocio que esté en cualquiera de sus.

Controles de Acceso de Red A.11.4 Network access control Objetivo: Prevenir acceso no autorizado a servicios de red. Control de acceso en redes, se debe otorgar acceso a los usuarios a través de procedimientos de autorización solo a aquellos servicios específicos de red donde ellos han sido autorizados.

Controles de Acceso de Red Segregación de tráfico en redes, los usuarios, servicios y sistemas de información con diferentes necesidades de acceso a la información y a su infraestructura de TI debido a sus necesidades del negocio deben separarse en grupos dentro de las redes de forma que se cuente con un adecuado nivel de segregación. Problema: Se tiene la dirección de Red y se desea repartir para 260 tecnologicos con 1000 direcciones para hosts

Control de Acceso A.11.5 Operating system access control Los accesos específicos a los sistemas operativos de la infraestructura de TI deben ser controlados por procedimientos de identificación y autenticación robustos, se debe minimizar el desplegar una vez que los usuarios tienen acceso a estos sistemas información del tipo y versión del sistema operativo para evitar brindar información innecesaria…

Control de Acceso A.11.6 Application and information access control El acceso a la información y sistemas de información ya sea por usuarios o personal de soporte debe ser restringido de acuerdo con el proceso de asignación de privilegios. La infraestructura de cómputo de los sistemas de información con información sensitiva debe ser separada para evitar accesos no autorizados. Se debe limitar y registrar el número de intentos fallidos de conexión de los usuarios de los sistemas de información.

Controles de Acceso de Red A.11.7 Mobile computing and teleworking Se debe establecer medidas de protección cuando se utilizan equipos móviles con información de la empresa, especialmente si se conectan desde redes ajenas a la empresa, los usuarios autorizados a utilizar estos medios deben asegurarse de contar al menos con protección de acceso físico a los equipos para evitar robo o su destrucción, controles de acceso a la información…

Base Line Un base line es un conjunto de reglas establecidas que forman una base de normas o prácticas sobre un proceso o sistema. Estas normas o prácticas son establecidas normalmente como una base de comparación entre organizaciones o empresas para verificar un nivel de cumplimiento.

Base Line Para poder establecer un base line, se requieren varios elementos: basarse en algunos estándares internacionales o mejores prácticas, normas publicadas por algunas organizaciones reconocidas internacionalmente y experiencias obtenidas por la práctica en las organizaciones.

Base Line Establecer un base line en seguridad de información, requiere mucha experiencia y madurez, no es muy práctico solo “copiar” base line de otras organizaciones dado que cada organización es diferente, tiene necesidades diferentes de acuerdo a sus niveles de madurez y necesidades. Generalmente están listados en orden de importancia aunque pueden no serlo.

Base Line Control Acceso Para cada activo de información y sistema de información debe existir una bitácora externa al mismo para el registro de usuarios autorizados para acceder a los mismos. Debe establecerse procedimientos para verificar que el nivel de acceso concedido es apropiado para el propósito de negocio y que sea consistente con la directriz de control de accesos

Base Line Control de Acceso El procedimiento de creación de usuarios debe indicar como se otorga la autorización requerida antes de otorgar el acceso solicitado. El formato de solicitud de autorización para dar de alta o modificación de un usuario a un activo con los siguientes campos: –Nombre del usuario –Sistema o aplicación al cual requiere acceso, revocación o modificación.

Base Line Control de Acceso –Organización a la que pertenece –Privilegios solicitados –Gerencia que solicita el acceso El usuario final que se le brinda el acceso debe recibir una notificación con el permiso otorgado, privilegios y responsabilidades asociadas a la cuenta o en su defecto la razón por la que fue denegado el acceso

Base Line Control de Acceso Se debe asegurar no proporcionar accesos hasta no completar los procedimientos de autorización establecidos. Se debe mantener un registro formal de todas las personas registradas con derecho a usar los activos de información o sistemas de información.

Base Line Control de Acceso La autorización del acceso al sistema debe realizarse por el administrador de a cargo de la custodia del activo de información o sistema de información y debe registrarse en la bitácora de usuarios autorizados La bitácora de registro de usuarios debe tener al menos los siguientes campos: –Nombre usuario –Organización a la que pertenece –Identificador del usuario en el sistema

Base Line Control de Acceso –Grupo al que pertenece (en caso que los privilegios se administren por grupo) –Rol del usuario en el sistema: Administrador, Desarrollador de software, Operador de respaldo, etc. –Usuario de aplicación –Privilegios otorgados en el sistema o aplicación –Fecha en que fueron otorgados –Estado actual del usuario –Fecha del último cambio en los accesos –Persona que autorizó la creación de usuario y los privilegios otorgados

Base Line Control de Acceso En el caso que un activo de información o sistema de información se entregue en custodia a una determinada organización se debe firmar una carta responsiva en la cual acepta la responsabilidad de la custodia del activo de información así como de las operaciones autorizadas a ejecutar

Base Line Control de Acceso La organización usuaria debe notificar al custodio del activo de información o del sistema de información cuando un usuario haya cambiado de rol o haya salido de la compañía para la revocación inmediata del acceso. Se debe remover inmediatamente los derechos de acceso cambiado de área de trabajo o abandonado la organización.

Base Line Control de Acceso Se debe de verificar periódicamente las cuentas de los usuarios y remover aquellos identificadores de usuarios que resulten redundantes. Métricas: Número de Altas y Bajas de usuarios Número de autorizaciones para dar de alta o modificación de un usuario a un activo de información Número de usuarios con acceso permitido.

Objectives and audit criterials in Teleinformatic Area El objetivo principal de una auditoria de seguridad en redes es proteger los activos de información que se hacen públicos y aquellos que no siendo públicos pueden ser expuestos debido a un problema de seguridad. La seguridad en redes de telecomunicaciones se puede dar de forma física, lógica y tecnológica.

Risk Symtoms A symptom is a departure from normal function or feeling which is noticed by a patient, indicating the presence of disease or abnormality. A symptom is subjective, observed by the patient, and not measured. Symptoms may be chronic, relapsing or remitting. They also may progressively worsen or progressively become better (convalescence).

Risk Symptoms Conditions may also be classified as symptomatic (present and demonstrating symptoms) or asymptomatic (present but without symptoms). Asymptomatic conditions and asymptomatic infections can exist for many years undiagnosed and may only be found upon medical testing (such as high blood pressure). A symptom can more simply be defined as any feature which is noticed by the patient. A sign is noticed by other people.

Tools and Audit Techniques related with Teleinformatic Security. Monitoring is an important control to protect some information asset. Most of the time use SNMP protocol Intrussion Prevent System such Firewalls aim to protect information asset. Intrussion Detect Systems could indentify some security incidents.

Tools La mejor forma de garantizar seguridad en las redes de datos viene desde su diseño y planeación. La auditoria de redes de computadoras debe contemplar la evaluación de servicios de red como Base de Datos, Mensajería Instantánea, Archivos entre otros. La informática forense y las redes inalámbricas son tópicos actualmente en boga respecto a cuestiones de seguridad.

Competences C1: Network Monitoring C2: Firewall Architecture C3: Network Service Tunning C3: IDS implementation Deadline: Monday, June 8. Live Demonstration at least 2 competences. Network Security Exam: Wednesday, June 10. Unit 6 Audit Report, June 10.

Referencias Morales, R. (2008) Curso de Seguridad Informática, SI040001, ITESM. González, H. (2008), Curso de Seguridad Informática II, UNID Sede Morelia.

Referencias Date, C. (2001) Introducción a los Sistemas de Bases de Datos, Séptima edición, Capítulo 16 Seguridad, Pearson Educación, pp McPherson, F. (2005), Pocket PC a su Alcance, 3ra. Edición, McGraw-Hill, México, 2005, ISBN:

Referencias Elmasri, R. y Navathe S. (2000) Sistemas de Bases de Datos, 2da. Edición. Capítulo 20 Seguridad, Addison-Wesley 200, México, pp , ISBN: Tanenbaum, A. y Van Steen, M. (2007). Distributed Systems. Principles and Paradigms, Segunda edición, Capítulo 9 Seguridad, Pearson Education, Estados Unidos, pp , ISBN:

referencias Guerrero, R. (2008). Proyecto de Comunicación Telefónica VoIP en Gobierno del Estado de Michoacán, Tesina de Titulación. Watters, P (2005) Solaris 10 The Complete Reference, McGraw-Hill Osborne, Estados Unidos, ISBN:

Referencias Coulouris, G., Dollimore, J. y Kindberg, T. (2001). Sistemas Distribuidos, Capítulo 7 Seguridad, pp , ISBN: Nyhus, R. (2008). Redes y Redes Inalámbricas. PC Cuadernos, España. Facundo, H. (2007). Revista USERS LinuxSeguridad, número 24 pp

Referencias Froufe, A. y Jorge, P. (2004) J2ME Java 2 Micro Edition, Alfaomega Ra-Ma, México, ISBN: Millán, R. (2006). Domine las Redes P2P, Alfaomega, España, ISBN: Velte, T. (2008). Manual de Cisco, Cuarta Edición, McGraw-Hill, México, ISBN:

Referencias Stallings, W. (2004) Comunicaciones y Redes de Computadoras, Séptima Edición, Pearson Prentice Hall, España, ISBN: Nichols, R. y Lekkas, P. (2003) Seguridad para Comunicaciones Inalámbricas, McGraw- Hill, España, ISBN: Shah, S. (2001) Manual de Administración de Linux, Osborne McGraw-Hill, España, ISBN:

Referencias Gómez, A. (2007). Enciclopedia de la Seguridad Informática, Alfaomega, México, ISBN: McNab, C. (2004). Seguridad de Redes. Anaya Multimedia O’Reilly, España, ISBN:

References Senft, S. And Gallegos, F. (2008) Information Technology Control and Audit, Third Edition, CRC Press, United States

¿Preguntas?