I.1 conceptos_de_seguridad
-
Upload
jesus-vilchez -
Category
Documents
-
view
110 -
download
5
description
Transcript of I.1 conceptos_de_seguridad
Datos del Profesor: Ing. Jesús Vílchez Sandoval
CIP 129615 email:[email protected]
http://jesusvilchez.wordpress.com móvil: (51)99 407*1449 / (51)9 9368 0094
Coordinador de la Oficina de Calidad y Acreditación - FIEM
Ing. Jesús Vílchez Sandoval
Sistemas de
SEGURIDAD EN REDES Basado en la presentación del Mg. Jean del Carpio
Situación Actual de la Seguridad Hackers – Paranoia o Realidad Pilares de Seguridad Estrategia de Seguridad Multicapa Estándares de Seguridad
Contenido
Todos los sistemas son vulnerables lo importante es que se actualicen. Microsoft no es más vulnerable pero sí más apetitoso. Un ataque
a un sistema que usan muchas personas tiene más relevancia. —Kevin Mitnick
© Copyright Ing. Jesús Vílchez, 2012 Derechos Reservados
Situación actual de seguridad
«El ordenador nació para resolver problemas que antes no existían» -- Bill Gates
CSI C
ompu
ter C
rime
and
Secu
rity
Surv
ey
Tipos de Ataques Experimentados La situación actual de la seguridad ha variado notablemente desde que los gusanos y virus han afectado seriamente a las organizaciones
Acciones tomadas luego de un incidente La situación actual de la seguridad ha variado notablemente desde que los gusanos y virus han afectado seriamente a las organizaciones
CSI C
ompu
ter C
rime
and
Secu
rity
Surv
ey
Tipos de tecnologías de seguridad Las empresas vienen implementando diversos sistemas de seguridad cada vez mas efectivos y eficientes, para mejorar sus sistemas de seguridad.
CSI C
ompu
ter C
rime
and
Secu
rity
Surv
ey
Aquí se pueden apreciar algunos casos que han sido resueltos y que se colocan como ejemplo para que los ciudadanos sepan que este tipo de crímenes también se realizan en nuestro país.
Pagina principal de la policía informática, en esta pagina se puede apreciar como la policía nacional del Perú también ha tomado en cuenta el crimen tecnológico.
Policía Informática www.policiainformatica.gob.pe
Hackers Paranoia o
Realidad
«Las contraseñas son como la ropa interior. No puedes dejar que nadie la vea, debes cambiarla regularmente y no debes compartirla con extraños»
-- Chris Pirillo
Los Hackers mas Famosos
Jhon Draper 1970 Steve Wozniak 1972 Richard Stallman 1985 Robert Tappan 1988
Kevin Mitnick 1995
Usualmente la palabra "hacker" suele tener una connotación despectiva o negativa, pues se relaciona a acciones ilícitas. Por ello, actualmente existen otras denominaciones para mencionar a quienes utilizan sus conocimientos con fines maliciosos, tales como “piratas informáticos” o “hackers de sombrero negro”.
Lo que se debe saber de los hackers • Se encuentran en todos lados. • No necesariamente son genios. • El Administrador de seguridad debe
desconfiar de todos, incluso de sí mismo.
• El sistema es tan seguro como la competencia de su administrador.
Hackers - mito o realidad
Lo que ellos buscan • Pueden tener información valiosa. • Pueden ser utilizados para atacar a
otros. • Pueden ser usados para almacenar
información robada..
» El sistema puede llegar al 100% de seguridad
» Mi red no es lo suficiente mente atractiva para ser tomada en cuenta
» Nadie pensará que mi clave de acceso es sencilla
» Linux es más seguro que Windows
» Si mi servidor de correos tiene antivirus, mi estación no lo necesita
MITOS DE SEGURIDAD
La información es un activo vital para el éxito y la continuidad en el mercado de cualquier organización
EL VALOR DE LA INFORMACION
Fuente: ISO 27000:2005.
Pilares de Seguridad
Confidencialidad, Disponibilidad e Integridad
Pilares de Seguridad (ISO 17799)
Confidencialidad
• Acceso a la información únicamente por parte de quienes estén autorizados
Disponibilidad
• Acceso a la información y a los sistemas, por parte de los usuarios autorizados cuando lo requieran
Integridad
• Mantenimiento de la exactitud y completitud de la información y sus métodos de proceso
Complementan los Pilares de Seguridad
Autenticación
• Proceso de comprobación de las credenciales emitidas por el usuario o servicio durante el proceso de autenticación
No repudiación
• Confirmación de la identidad del usuario o proceso que ha ejecutado una acción.
Para los procesos de autenticación y no repudiación se hace uso de firmas digitales.
Estrategia de seguridad multicapa
«El ordenador nació para resolver problemas que antes no existían» -- Bill Gates
» La estrategia de seguridad más eficiente es establecer un sistema por capas, empezando por los primeros niveles de acceso hasta los datos mismos.
Tenga acceso en cualquier lugar
Segu
ridad
Mul
ticap
a Defensa de Perímetro Divida una presentación de gran tamaño organizándola en secciones.
Es la puerta de acceso a la red de datos desde el Exterior
Segu
ridad
Mul
ticap
a Defensa de Red Es la red de datos interna de la organización. Compuesta de ruteadores, switches, AP y otros dispositivos.
Segu
ridad
Mul
ticap
a Defensa de Host Asociada a la defensa del Sistema operativo de la Estación, servidor (hardening).
Segu
ridad
Mul
ticap
a Defensa de Aplicaciones Divida una presentación de gran tamaño organizándola en secciones.
Segu
ridad
Mul
ticap
a Defensa de Datos y Recursos Es el último escalón de la “cadena de seguridad”.
Anexo
Estándares de Seguridad
Los estándares de seguridad definen los requerimientos, procedimientos, instructivos, normas, planteamientos, etc.
Existen varios estándares de seguridad: ISO 7498-2 ISO 17799 (BS 7799) TCSEC ISO 15408
Estándares de Seguridad
Describe el modelo de referencia OSI, presenta en su parte 2 una Arquitectura de seguridad. Según esta arquitectura de seguridad para proteger las comunicaciones de los usuarios en las redes. Define cinco elementos básicos que constituyen la seguridad de un sistema: La confidencialidad de los datos. La autenticación de los datos. La integridad de los datos El control de acceso (disponibilidad). El no repudio.
Para implementar sistemas de seguridad define mecanismos de seguridad los cuales son específicos (specific) y amplios (wide).
ISO 7498-2 (Jul. 1988) Security Architectured
Bosqueja las amenazas de red y controles que se pueden implementar para disminuir la probabilidad de un ataque. Vulnerabilidad. Algo sobre lo cual el administrador es responsable. Amenaza. Algo sobre lo que se tiene poco control. Requiere que la organización controle 10 áreas específicas: Políticas de seguridad. Organización de seguridad. Control y clasificación de bienes. Seguridad del personal. Seguridad ambiental y física. Administración de redes y computadoras Sistemas de control de acceso. Control de desarrollo de sistemas. Planificación de continuidad de negocios. Auditoría y conformidad.
ISO 17799 ISO 27001
Código prácticas de seguridad aceptado en todo el mundo. Define cuatro fases de implementación:
ISO 17799 ISO 27001
Fase 4: ADMINISTRACION
Manejo de la solución implementada
Fase 3: DESPLIEGUE
Evaluación del diseño. Define y documenta políticas, estándares, y procedimientos operacionales
Fase 2: DISEÑO
Desarrollo de la solución con recomendaciones y un plan detallado de implementación
Fase 1: VALORACION
Determina la situación actual y define los requerimientos de seguridad
Criterios de evaluación de la seguridad de los sistemas de computación, conocidos también con el nombre de Orange Book (Libro naranja), definidos originalmente por el Ministerio de Defensa de los EE.UU. Los TCSEC definen siete conjuntos de criterios de evaluación denominados clases (D, C1, C2, B1, B2, B3 y A1). Cada clase de criterios cubre cuatro aspectos de la evaluación: Política de seguridad Imputabilidad Aseguramiento Documentación.
TCSEC Trusted Computer System Evaluation Criteria
Los criterios correspondientes a estas cuatro áreas van ganando en detalle de una clase a otra, constituyendo una jerarquía en la que D es el nivel más bajo y A1 él más elevado. Todas las clases incluyen requisitos tanto de funcionalidad como de confianza.
TCSEC Trusted Computer System Evaluation Criteria
TCSEC Trusted Computer System Evaluation Criteria
Nivel de Seguridad
Descripción
D Sin seguridad. P.e. DOS
C1 Protección de seguridad discrecional. El sistema no diferencia entre usuarios.
C2 Seguridad de acceso discrecional. El sistema diferencia entre usuarios pero los trata de manera única. La protección de nivel de sistema existe para los recursos de datos, archivos, y procesos. Windows 2000, Linux.
B1 Protección de seguridad etiquetada. Seguridad por niveles. Provee controles de acceso mandatario dónde ubica los los recursos en compartimientos, aislando usuarios en celdas y ofreciendo mayores protección. AT&T System V
B2 Protección estructurada. Seguridad en hardware. Las áreas de memoria son segmentadas virtualmente y rígidamente protegidas. Trusted XENIX, Honeywell MULTICS.
B3 Dominios de Seguridad. Ocultamiento de datos y establecimiento de capas: previene interacción entre las capas. Honeywell Federal System XTS- 200.
A1 Diseño verificado. Pruebas matemáticas rigurosas que demuestran que el sistema no puede ser comprometido. Honeywell SCOMP.
Allá por los años 90 surgió la necesidad de conocer qué requisitos de seguridad satisfacía un determinado software, hardware o firmware. Mediante la combinación de los criterios aplicados en Inglaterra, Estados Unidos y Canadá, se constituyó y adoptó por la International Organization for Standardization los Criterios Comunes de Evaluación de Seguridad para Tecnologías de la Información. El principal objetivo es poner de acuerdo a clientes, desarrolladores y testers sobre qué requisitos de seguridad cumple un determinado producto.
Common Criteria – ISO 15408
Conceptos claves: Protection Profile (PP). Documento que define las necesidades de seguridad. Security Target (ST). Declaración de los fabricantes que describe la seguridad de productos y/o sistemas. Target of Evaluation (ToE). Producto o sistema a ser evaluado. Basado en PP y ST. Evaluation Assurance Levels (EAL). Niveles de evaluación de seguridad.
Common Criteria – ISO 15408
? Preguntas
¡Vea las diapositivas desde cualquier lugar!
SEGURIDAD EN REDES FIN SESION 01