Datos del Profesor: Ing. Jesús Vílchez Sandoval

CIP 129615 email:jvilchez@utp.edu.pe

http://jesusvilchez.wordpress.com móvil: (51)99 407*1449 / (51)9 9368 0094

Coordinador de la Oficina de Calidad y Acreditación - FIEM

Ing. Jesús Vílchez Sandoval

Sistemas de

SEGURIDAD EN REDES Basado en la presentación del Mg. Jean del Carpio

Situación Actual de la Seguridad Hackers – Paranoia o Realidad Pilares de Seguridad Estrategia de Seguridad Multicapa Estándares de Seguridad

Contenido

Todos los sistemas son vulnerables lo importante es que se actualicen. Microsoft no es más vulnerable pero sí más apetitoso. Un ataque

a un sistema que usan muchas personas tiene más relevancia. —Kevin Mitnick

© Copyright Ing. Jesús Vílchez, 2012 Derechos Reservados

Situación actual de seguridad

«El ordenador nació para resolver problemas que antes no existían» -- Bill Gates

CSI C

ompu

ter C

rime

and

Secu

rity

Surv

ey

Tipos de Ataques Experimentados La situación actual de la seguridad ha variado notablemente desde que los gusanos y virus han afectado seriamente a las organizaciones

Acciones tomadas luego de un incidente La situación actual de la seguridad ha variado notablemente desde que los gusanos y virus han afectado seriamente a las organizaciones

CSI C

ompu

ter C

rime

and

Secu

rity

Surv

ey

Tipos de tecnologías de seguridad Las empresas vienen implementando diversos sistemas de seguridad cada vez mas efectivos y eficientes, para mejorar sus sistemas de seguridad.

CSI C

ompu

ter C

rime

and

Secu

rity

Surv

ey

Aquí se pueden apreciar algunos casos que han sido resueltos y que se colocan como ejemplo para que los ciudadanos sepan que este tipo de crímenes también se realizan en nuestro país.

Pagina principal de la policía informática, en esta pagina se puede apreciar como la policía nacional del Perú también ha tomado en cuenta el crimen tecnológico.

Policía Informática www.policiainformatica.gob.pe

Hackers Paranoia o

Realidad

«Las contraseñas son como la ropa interior. No puedes dejar que nadie la vea, debes cambiarla regularmente y no debes compartirla con extraños»

-- Chris Pirillo

Los Hackers mas Famosos

Jhon Draper 1970 Steve Wozniak 1972 Richard Stallman 1985 Robert Tappan 1988

Kevin Mitnick 1995

Usualmente la palabra "hacker" suele tener una connotación despectiva o negativa, pues se relaciona a acciones ilícitas. Por ello, actualmente existen otras denominaciones para mencionar a quienes utilizan sus conocimientos con fines maliciosos, tales como “piratas informáticos” o “hackers de sombrero negro”.

Lo que se debe saber de los hackers • Se encuentran en todos lados. • No necesariamente son genios. • El Administrador de seguridad debe

desconfiar de todos, incluso de sí mismo.

• El sistema es tan seguro como la competencia de su administrador.

Hackers - mito o realidad

Lo que ellos buscan • Pueden tener información valiosa. • Pueden ser utilizados para atacar a

otros. • Pueden ser usados para almacenar

información robada..

» El sistema puede llegar al 100% de seguridad

» Mi red no es lo suficiente mente atractiva para ser tomada en cuenta

» Nadie pensará que mi clave de acceso es sencilla

» Linux es más seguro que Windows

» Si mi servidor de correos tiene antivirus, mi estación no lo necesita

MITOS DE SEGURIDAD

La información es un activo vital para el éxito y la continuidad en el mercado de cualquier organización

EL VALOR DE LA INFORMACION

Fuente: ISO 27000:2005.

Pilares de Seguridad

Confidencialidad, Disponibilidad e Integridad

Pilares de Seguridad (ISO 17799)

Confidencialidad

• Acceso a la información únicamente por parte de quienes estén autorizados

Disponibilidad

• Acceso a la información y a los sistemas, por parte de los usuarios autorizados cuando lo requieran

Integridad

• Mantenimiento de la exactitud y completitud de la información y sus métodos de proceso

Complementan los Pilares de Seguridad

Autenticación

• Proceso de comprobación de las credenciales emitidas por el usuario o servicio durante el proceso de autenticación

No repudiación

• Confirmación de la identidad del usuario o proceso que ha ejecutado una acción.

Para los procesos de autenticación y no repudiación se hace uso de firmas digitales.

Estrategia de seguridad multicapa

«El ordenador nació para resolver problemas que antes no existían» -- Bill Gates

» La estrategia de seguridad más eficiente es establecer un sistema por capas, empezando por los primeros niveles de acceso hasta los datos mismos.

Tenga acceso en cualquier lugar

Segu

ridad

Mul

ticap

a Defensa de Perímetro Divida una presentación de gran tamaño organizándola en secciones.

Es la puerta de acceso a la red de datos desde el Exterior

Segu

ridad

Mul

ticap

a Defensa de Red Es la red de datos interna de la organización. Compuesta de ruteadores, switches, AP y otros dispositivos.

Segu

ridad

Mul

ticap

a Defensa de Host Asociada a la defensa del Sistema operativo de la Estación, servidor (hardening).

Segu

ridad

Mul

ticap

a Defensa de Aplicaciones Divida una presentación de gran tamaño organizándola en secciones.

Segu

ridad

Mul

ticap

a Defensa de Datos y Recursos Es el último escalón de la “cadena de seguridad”.

Anexo

Estándares de Seguridad

Los estándares de seguridad definen los requerimientos, procedimientos, instructivos, normas, planteamientos, etc.

Existen varios estándares de seguridad: ISO 7498-2 ISO 17799 (BS 7799) TCSEC ISO 15408

Estándares de Seguridad

Describe el modelo de referencia OSI, presenta en su parte 2 una Arquitectura de seguridad. Según esta arquitectura de seguridad para proteger las comunicaciones de los usuarios en las redes. Define cinco elementos básicos que constituyen la seguridad de un sistema: La confidencialidad de los datos. La autenticación de los datos. La integridad de los datos El control de acceso (disponibilidad). El no repudio.

Para implementar sistemas de seguridad define mecanismos de seguridad los cuales son específicos (specific) y amplios (wide).

ISO 7498-2 (Jul. 1988) Security Architectured

Bosqueja las amenazas de red y controles que se pueden implementar para disminuir la probabilidad de un ataque. Vulnerabilidad. Algo sobre lo cual el administrador es responsable. Amenaza. Algo sobre lo que se tiene poco control. Requiere que la organización controle 10 áreas específicas: Políticas de seguridad. Organización de seguridad. Control y clasificación de bienes. Seguridad del personal. Seguridad ambiental y física. Administración de redes y computadoras Sistemas de control de acceso. Control de desarrollo de sistemas. Planificación de continuidad de negocios. Auditoría y conformidad.

ISO 17799 ISO 27001

Código prácticas de seguridad aceptado en todo el mundo. Define cuatro fases de implementación:

ISO 17799 ISO 27001

Fase 4: ADMINISTRACION

Manejo de la solución implementada

Fase 3: DESPLIEGUE

Evaluación del diseño. Define y documenta políticas, estándares, y procedimientos operacionales

Fase 2: DISEÑO

Desarrollo de la solución con recomendaciones y un plan detallado de implementación

Fase 1: VALORACION

Determina la situación actual y define los requerimientos de seguridad

Criterios de evaluación de la seguridad de los sistemas de computación, conocidos también con el nombre de Orange Book (Libro naranja), definidos originalmente por el Ministerio de Defensa de los EE.UU. Los TCSEC definen siete conjuntos de criterios de evaluación denominados clases (D, C1, C2, B1, B2, B3 y A1). Cada clase de criterios cubre cuatro aspectos de la evaluación: Política de seguridad Imputabilidad Aseguramiento Documentación.

TCSEC Trusted Computer System Evaluation Criteria

Los criterios correspondientes a estas cuatro áreas van ganando en detalle de una clase a otra, constituyendo una jerarquía en la que D es el nivel más bajo y A1 él más elevado. Todas las clases incluyen requisitos tanto de funcionalidad como de confianza.

TCSEC Trusted Computer System Evaluation Criteria

TCSEC Trusted Computer System Evaluation Criteria

Nivel de Seguridad

Descripción

D Sin seguridad. P.e. DOS

C1 Protección de seguridad discrecional. El sistema no diferencia entre usuarios.

C2 Seguridad de acceso discrecional. El sistema diferencia entre usuarios pero los trata de manera única. La protección de nivel de sistema existe para los recursos de datos, archivos, y procesos. Windows 2000, Linux.

B1 Protección de seguridad etiquetada. Seguridad por niveles. Provee controles de acceso mandatario dónde ubica los los recursos en compartimientos, aislando usuarios en celdas y ofreciendo mayores protección. AT&T System V

B2 Protección estructurada. Seguridad en hardware. Las áreas de memoria son segmentadas virtualmente y rígidamente protegidas. Trusted XENIX, Honeywell MULTICS.

B3 Dominios de Seguridad. Ocultamiento de datos y establecimiento de capas: previene interacción entre las capas. Honeywell Federal System XTS- 200.

A1 Diseño verificado. Pruebas matemáticas rigurosas que demuestran que el sistema no puede ser comprometido. Honeywell SCOMP.

Allá por los años 90 surgió la necesidad de conocer qué requisitos de seguridad satisfacía un determinado software, hardware o firmware. Mediante la combinación de los criterios aplicados en Inglaterra, Estados Unidos y Canadá, se constituyó y adoptó por la International Organization for Standardization los Criterios Comunes de Evaluación de Seguridad para Tecnologías de la Información. El principal objetivo es poner de acuerdo a clientes, desarrolladores y testers sobre qué requisitos de seguridad cumple un determinado producto.

Common Criteria – ISO 15408

Conceptos claves: Protection Profile (PP). Documento que define las necesidades de seguridad. Security Target (ST). Declaración de los fabricantes que describe la seguridad de productos y/o sistemas. Target of Evaluation (ToE). Producto o sistema a ser evaluado. Basado en PP y ST. Evaluation Assurance Levels (EAL). Niveles de evaluación de seguridad.

Common Criteria – ISO 15408

? Preguntas

¡Vea las diapositivas desde cualquier lugar!

SEGURIDAD EN REDES FIN SESION 01