Jorge Luis Ojeda RealNet, S.A. de C.V. Módulo III Sesión 6 ...
Transcript of Jorge Luis Ojeda RealNet, S.A. de C.V. Módulo III Sesión 6 ...
1
Arquitectura de Seguridad II
Jorge Luis OjedaRealNet, S.A. de C.V.
Módulo IIISesión 6 . Seguridad
informática
ABC de Administracion de la seguridad
Assets (Activos)
Brand (Marca)
Compliance
(Normas/requerimien
tos)
2
Dividiendo la seguridad en partes
Gente
Fisica Infraestructura
ServersDesktop &
Movil
Problematica… Gente
• Ingenieria Social
Fisica• “Dumpster diving” para documentos (faxes, post-it,
cartas, nformes, reportes, a primera vista)
• Skimmers en Cajeros Automaticos e ingreso en tarjetas de credito
• Robo de medios fisicos
Infraestructura• Ataques de gusanos (Worms)
Server (Principal objetivo de robos electronicos)• Aplicaciones/Ataques y vulnerabilidades de SO
• Phishing y SPAM
• Ataques tipo Pharming
• Robo de base de datos
Desktop/Movil• Spyware
• Redireccion de Web site. (“buscadores ingenuos”)
• Virus, gusanos (Worms), troyanos
• Phishing y SPAM
• Extorsion electronica y robos on-line
3
Tendencias en seguridad
Incremento de defensas activas, no mas defensas pasivas
• Necesidad de detectar ataques y tomar acciones de manera automatica (ej.
IPS en wired y wireless)
Autocorrelacion de evntos y acciones de medidas activas (log servers, IPS
y correlacion)
Necesidad de detectar ataques y amanazas masivas ( DDoS) y responder a
configuraciones del cliente, antes de ser atacados
Necesidad de enfoque en metodos de prevencion en conexiones de red,
antes de que el trafico ingrese a las conexiones corporativas
Mas puntos de end-point moviles
• El mas popular de los end-points en el largo plazo sera GSM y 3G en celulares
• Incremento en puntos de conexion sera de tipo wireless (wi-fi, wi-max, etc.)
Outsourcing de Seguridad (MSP –Management Security
Provider) Es demasiado caro crear/mantener/capacitar/etc un equipo de seguridad
en todas sus ramas.
La experiencia y habilidad de estas companias genera grandes espectativas
y logros en las corporaciones, dificilmente encontrado en el personal de las
empresas o coporaciones que requieren crear una area de seguridad.
Puntos claves de seguridad
Mas sitios remotos de clientes, aun con equipos de seguridad in-house, Sin embargo no se tiene experiencia o tiempo para seguir con todas la maneras de registrar/actuar/implementar de aspectos de seguridad, en los ambientes reales operativos• El trabajo de la seguridad es muy diverso en experiencias, habilidades,
muchas veces complejas y tediosas.
• Muchas areas de seguridad requieren esquemas fuertes de entrenamiento, para lograr la aptitud.
• Muchoas clientes no tienen todavia experiencia in-house sobre diferentes temas de infraestructura en seguridad para “ver” los resultados y tomar medidas proactivas para disminuir los riesgos.
La automatizacion de procesos de seguridad proveen una auditoria mas clara, identificacion rapida de aspectos y/o problemas de seguridad , ademas de una implantacion consistente de sus politicas de seguridad.• Mientras mas seguros los sistemas seran mas confiables, y operables.
4
Muchas herramientas de seguridad off-the-shelf no operan o comparten informacion critica que pueda ser utilizada para identificar amenazas, tendencias y actividades maliciosas.
• La clave es desarrollar metodologias que mejoren la habilidad para que una compania pueda descubrir aspectos de seguridad y ocuparse de ellas, antes de dichos riesgos puedan ser explotados por atacantes
La diversidad de requerimientos de seguridad, que en muchas companias necesitan que se “sobrelleven” con expertos externos tanto como sea necesario. (Sobre todo en Multinacionales –req. nacionales e internacionales)
• Muchas companias ignoran los problemas de seguridad, ya que ellos no han tenido la experiencia de como ocuparse de ello.
Puntos claves de seguridad..
Infraestructura minima necesaria
Filtrado de trafico y administracion
• Firewalls (Stonesoft,Pix, CheckPoint, IPTables…)
• Intrusion Prevention Systems (Reflex Security, Cisco,TopLayer)
• Intrusion Detection Systems (Cisco, ISS, …)
• ACLs y control de flujo de ruteo
• Facilidades alternativas /DR ( Dister recovery) /BCM (Business Continuity Management)
• Filtrado URL, bitacoras (log servers) y servicios de reportes de seguridad integral.
5
Endurecimiento (Hardening) y Administracion• Implementar sistemas automaticos de administracion de
parches para los diferentes compnentes de infraestructura (LNSS, Shavlik, SUS, etc.)
• Endurecimiento ( hardening) de infraestructura de servidores (DNS –pharming, DoS, envenenamiento, etc.- , DHCP –despliegue incongurente, DoS-, etc.)
• Servicios de VPN Site-to-Site
Disminucion de riesgos y administracion• Conjunto de soluciones Anti-DDoS (Reflex security, Mazu,
Cisco Riverhead, Toplayer )
• Servicios de respuesta a incidentes
Infraestructura minima necesaria
En Servidores
Deteccion/Disminucion en Host
• Herramientas basadas en memoria (Entercept)
• Herramientas de intrusiones basadas en disco (Tripwire)
• Herramientas de red basadas intrusiones (LANguard SELM,ZoneAlarm)
Seguridad aplicativa de servidores.
• Sistemas para aplicaciones especificas ( Watchfire, Sanbox)
• Herramientas de endurecimiento de aplicaciones y facilidades (Anti-SPAM Servicios Antivirus basados en servidor)
• Servicios de VPN Client-to-server VPN
• Servicios de certificados con y sin PKI (SSL, SSH, etc.)
6
Componentes de Administracion de Identidad -Identity Management-• Servicios tipo LDAP, Active Directory
• Herramientas de autenticacion tipo Biometricos y two-factor
• Herramientas Single sign-on
Prevencion de intrusos en servidor• Administracion de parches para servidores (LNSS, Shavlik, SUS)
• Encripcion y proteccion de datos
• Elemtos de proteccion de datos y seguridad anivel Bases de datos.
Disaster Recovery/Business Continuity Management• Hot, warm, cold site
• Activo/activo, activo/pasivo
En Servidores
Seguridad en escritorio -Desktop-/Moviles
Patch Management en Desktop/moviles
Anti-Virus
Anti-SPAM
Anti-Spyware
Componentes de seguridad en correo electronico
• Servicios de seguriddad en email (Mail security GFI,Vidius,PGP )
• Anti-SPAM para servidores de correo y filtrado de contenido en correo (Mail essentials GFI, ironPort, Barracude)
Administracion de identidad
7
Metodos de encripcion iniciados por el usuario
• Encripcion y seguridad en Email (Zonelabs)
• Encripcion de disco y archivos (Authenex)
Facilidades para Backup/restore/recover ( Brighstore CA)
Dispositivos Moviles
• Herramientas de seguridad en PDA y telefonos celulares
• Seguridad en Acceso remoto (servicios dial-up y VPN). Utilizar autenticacion de usuarios (RDS3000)
Seguridad en escritorio -Desktop-/Moviles
Grandes huecos de seguridad
Falta de formatos de archivos de bitacoras (logs)
Convergence and reliability issues
Falta de herramientas de autocorrelacion
No existen analisis de riesgos
No exsiten analisis de cumplimientos/
requerimientos normativos
Falta de personal de con habilidades y experiencia
en seguridad
8
No se conoce el ROI -Return on Investment- para
seguridad
Uso de tecnologias no confiables para seguridad (WLAN
sin encripcion, etc.)
Administracion de conocimiento de aspectos de
seguridad
Capacitacion al usuario en aspectos de seguridad
Grandes huecos de seguridad
Convergencia en Datos, Voz, Video. Los datos, voz y video convergen en la red de una sola manera
(TCP/IP)
Tipos de redes convergentes en wireless
• 802.11 in-door y out-door
• 802.16 para oficinas y comunicades externas (up to 20 miles)
• La tecnologia celular se empieza mover a 802.11 y 802.16
La administracion de autenticacion de red se mueve a 802.11x (WPA2) y 802.1x
Esto ofrecera la creacion de fuerzas adoptadas en dispositivos handhelds (telefonos celulares, pda, hibridos) con capacidad de:
• Video
• Audio
• Data
• Roaming y numeros telefonicos mixtos (Telcel y Movistar)
• Mas de una IP por handheld
• Telefonos con multiples servicios como (CDMA, TDMA, GSM, SPRS, 3G, wi-fi, wi-max) capaz de detectar y cambiarse a los diferentes modos de conexion
9
VoIP, Celular y Wireless
Convergencia de CDMA, TDMA, GSM, GPRS, wi-fi y
wi-max
Convergencia de PBX y VoIP (IPBX – Real IPBX)
Convergencia de tecnologia en wireless con video
Movilidad hacia otros factores como
• Bluetooth, PAN, etc.
• Acceso a maquinas de venta (vending
machines), sistemas de prepago -toll booths-,
etc.
El termino de Puntos de venta esta cambiando
Seguridad para VoIP, Celular y Wireless
Definir planes de marcacion, y acceso a usuarios
Implementar firewalls tipo VOIP (Para comunicacion tipo SIP)
Implementar AV para handhelds (Zonelabs, TrendMicro, Airscan)
Implementar sistemas de deteccion de senales bluetooth (Bluewatch
de Air Defense).
Impelementar sistemas de encripcion y autenticacion en Wireless
(RDS3000, Trapeze Networks)
Implemetar sistemas de wireless switching (Trapeze Networks, Cisco,
Symbol)
Uso de sistemas WIPS -Wireless Intrusion Prevention System- (Air
Defense)
10
Analisis de riesgo -Risk Assessment- es primordial y absolutamente necesario
Se requiere entender el riesgo del negocio, para poder
hacer la inversion de seguridad que se necesita
Estructurar el analisis de riesgo muchas veces es una
moda, pero a veces es incompleto:
ISO 17799
SAS 70
Aspectos verticales de risgo de mercado
Que se debe preservar
TCP/IP
• Necesidades de los Protocolos como un medio para
tener seguridad – mas del 90% estan basados en
ello.-
Wireless
• Convergencia VoIP, celular, wi-fi, wi-max
• Adaptacion de sistemas integrales de comunicacion
Identity Management
• Dispositivos, humanos, programas
• Uso administracion de ID a atraves de todas las
aplicaciones
11
Tendencias en seguridad
Outsourcing de funciones tecnologicas de seguridad
Outsourcing de hablidades y metodologias de seguridad
Incluir componentes de seguridad en tecnologias
tradicionales (routers, switches, servidores, desktops,
PDAs, etc.)
Acceleration of hacker efforts between vulnerability
publication and exploit
Herramientas de Ethical Hacking -“Auto-hack”-
Migracion nuevas tecnologias de seguridad
Firewalls e IDS a Intrusion Prevention Systems (IPS)
A sistemas Antivirus de varios motores (Hauri, Mail
security)
A herramientas simples de administracion de politicas y
de tecnologia en seguridad
Herramientas de marcos de trabajo (Framework) para
creacion de politicas y tecnologias de seguridad
Herramientas de Administracion de Identidad
Tecnologias de erradicacion de anomalias (Auditorias)
Herramientas Auto “hardening” (IPS y firewalls)
12
Habilidades necesarias de seguridad Respuesta a incidentes como un equipo
administrativo,
Mucho más énfasis en habilidades de comunicación y esfuerzos de documentación que tecnológicas
Habilidades técnicas
• Autocorrelation
• Respuesta a incidentes
• Forense
• De Red a nivel de paquetes
• De uso en aplicaciones de red y paquetes
• Public Key Infrastructure (PKI)
• LDAP y Administracion de Identidad
• Wireless security
• Seguridad en VoIP
• Requerimientos legales, auditoría
Pharming
¿Qué es?
El pharming consiste en manipular las direcciones DNS (Domain Name Server)
que utiliza el usuario, para conseguir que las páginas web que visite no se
correspondan con las originales, sino con otras creadas ex profeso por
delincuentes para recabar datos confidenciales, sobre todo relacionados con
banca online. Los ataques pharming pueden llevarse a cabo directamente contra
el servidor DNS, de forma que el cambio de direcciones afecte a todos los
usuarios que lo utilicen mientras navegan en Internet, o bien de forma local, es
decir, en cada equipo individualmente. Éstos últimos son mucho más peligrosos,
no solamente porque son muy efectivos, sino porque se llevan a cabo fácilmente
13
Pharming
Tan solo son necesarias dos acciones: modificar un pequeño
archivo llamado hosts que puede encontrarse en cualquier
máquina que funcione bajo Windows y que utilice Internet
Explorer para navegar por Internet, y crear falsas páginas
web. Si se sobrescribe el archivo con -por ejemplo- falsas
direcciones de páginas de banca online, en el momento que el
usuario teclease en su navegador alguna de ellas, accedería a
la página creada por el hacker y que tiene el mismo aspecto
que la original.
Nuevos ataques.
Tipo de ataque Herramienta Utilizada Como se realiza
Cookie Poisoning Identity theft/ Session
Hijack
Manipulando la información almacenada en
una cookie, el intruso asume la identidad del
usuario y tiene acceso a la información.
Muchas aplicaciones utilizan cookies para
almacenar información. (user-id,
timestamp, etc.) Modificación de las
cookies. Solución: Revisión de cookies, evitar
que se utlicen cookies en las estaciones de
trabajo, etc.
Hidden Field
Manipulation
eShoplifting Debido a que las aplicaciones de comercio e-
Commerce utilizan campos escondidos para
almacenar los precios de los productos, y los
auditores no llegan a detectar estos cambios.
Solución: Auditorías y scanner de
aplicaciones WEB.
Buffer Overflow Denial of Service/
Closure of business
Explorando alguna VULNERABILIDAD, y
sobre cargar el tráfico con exceso de
información. Los hackers pueden con esto
tirar uno o varios servidores o estaciones de
trabajo. Solución: Sistemas de scaneo de
vulnerabilidades BaseLiner, Shavlik, LNSS,
Internet Scanner, etc.
14
Nuevos ataques.
Tipo de ataque Herramienta Utilizada Como se realiza
Cross-Site
Scripting
Hijacking/ Identity Theft Un hacker inyecta código malicioso en un
sitio, el scripts falsos son ejecutados en un
contexto tal que parecieran de originados de
otra fuente. Solución: Web firewall y
AppScanners.
Backdoor and
Debug Options
Trespassing A veces los programadores dejan los debugs
abiertos en el código antes de liberarse, sin
embargo muchas veces se olvidan de cerrar
los huecos de seguridad, dando lugar a que
hackers tengan acceso a información
sensitiva.Caso: SQL injection, web
injection.Solucion: AppScanners, auditorías,
control de aplicaciones, definición de políticas de
seguridad en aplicaciones, Patching
3rd Party
Misconfiguration
Debilitating a Site Las vulnerabilidades expuestas en algunos
sitios de seguridad (tales como
www.securityfocus.com) permiten a los
hackers, conocer cuales son las debilidades o
vulnerabilidades y que pueden ser
explotadas. Solución: Scanners, Appscanners,
suscripcion a sitios como qualys, etc.
Fuente: http://www.watchfire.com
Honey Pots
¿Que es un Honey pot?
Es utilizar alguna herramientas, servidor, estación de trabajo,
Para llamar o desviar la atención de los dispositivos en una
Empresa.
“Las abejas caen al buscar la miel”
Estos dispositivos normalmente no tienen ningún parche, seguridad
O cualquier protección, pero si tienen elementos que están monitoreando
Toda actividad hacia estos dispositivos.
15
También so utilizados para aprender de ellos a
protegerse.
Expongo, observo y aprendo.
Honey Pots
Ventajas de los Honey Pots
Deter AttacksFewer intruders will inv ade a network that know is
designed to monitor and capture their activ ity in detail.
Divert Attackers EffortsA intruder will spend energy on a system that causes no
harm to production servers.
EducateThe properly designed and configured Honey Pot provides data
on the methods used to attack systems
Detect Insider AttacksSince most IDS s ystems hav e difficulty detecting insider
attacks, Honey Pots can provide valuable information on the
patterns used by insiders.
Create Confusion for Attackers The bogus data Honey Pots provide to attackers,
can confuse and confound.
16
Honey Pots
Herramientas para crear Honey Pot.
ManTrap by Recourse Technologies. Se crea toda una red para
Ser atacada, utiliza SO solaris.
Deception Tool Kit (DTK) - Fred Cohen and AssociatesBasado en Linux. Requiere Compliador en C y PERL utliza TCP wrappers,
CyberCop Sting by Network A ssociates
Simula MS Windows NT, Sun Solaris, y ruteadores Cisco.
Honey Pot
Uso en WLAN
FAKE-AP
17
Honey Pot
Recomendaciones
Uso interno y externo
Se requiere hacer bitácoras constantes
Antes de lanzar una aplicación o servicio en
Internet, deberá poner un honey pot, para
aprender.
Visitar www.projecthoneypot.org
Honey POT
Project Honey POT
Revisión y aprendizaje de SPAM
#1 United States (43.8%)
#2 Korea (12.0%)
#3 China (9.9%)
#4 France (9.2%)
#5 Brazil (5.4%)
#6 Japan (4.6%)
#7 Spain (4.3%)
#8 United Kingdom (3.9%)
#9 Taiwan (3.8%)
#10 Romania (3.1%)
18
Conclusiones
Mitnick dice que en la actualidad el recurso
más vulnerable es el recurso humano.
Aplicar Security Awarness – Extrema
seguridad.
Conciencia de seguridad a todo el personal.
Incluya al personal en la seguridad
Haga participe a todo el personal en la
seguridad
Conclusiones
El uso no autorizado de sistemas de cómputo ha disminuido en pequeñas proporciones
El porcentaje de organizaciones que reportan intrusiones a sus sistemas se ha reducido.
Aproximadamente, 50% de las organizaciones llevan a cabo auditorías de seguridad
Fuente: (Computer Intrusion Squad) del FBI en San Francisco
19
La gran mayoría de las organizaciones no delegan a
terceros sus actividades de seguridad de sistemas
La gran mayoría de las organizaciones consideran que el
entrenamiento en la conciencia de la seguridad es
importante, aunque muchos de los encuestados creen
que su compañía no invierte lo suficiente en esta área
Fuente: (Computer Intrusion Squad) del FBI en San Francisco
Conclusiones
Conclusiones
La línea entre la conciencia y la paranoia es
muy delgada, pero una estrategia de
concientización de seguridad o security
awareness –bien llevada– puede ser la
diferencia entre la neurosis de los empleados y
la consecución de los objetivos de seguridad
de la información.