Servidor de Usuarios - seginfo.tripod.comseginfo.tripod.com/files/Seg3b.pdf · Servidores que...
Transcript of Servidor de Usuarios - seginfo.tripod.comseginfo.tripod.com/files/Seg3b.pdf · Servidores que...
1
1
ISO
177
99
Taller de Seguridad Informá tica Ing. Jorge Eterovic – Ing. Pablo Pomar
Personal Computers
Mainframe Valida Usuarios
Base de Datos
Archivos / Impresió n
Backup
Correo
Antivirus
RADIUS
Server
DataWarehouse
WEB
Recursos - Servidores
Componentes de una Red: vulnerabilidades y seguridad
2
ISO
177
99
Taller de Seguridad Informá tica Ing. Jorge Eterovic – Ing. Pablo Pomar
Servidor de UsuariosEstos servidores validan a los usuarios para que puedan usar los dispositivos de red.Debe haber tolerancia a fallos o replicació n entre server auxiliares.En estos server se ajustan las políticas de cuentas de los usuarios.
Componentes de una Red: vulnerabilidades y seguridad
PDF created with FinePrint pdfFactory Pro trial version http://www.fineprint.com
2
3
ISO
177
99
Taller de Seguridad Informá tica Ing. Jorge Eterovic – Ing. Pablo Pomar
Políticas de cuentas recomendadas:Password robustasMantener histó rico de contraseñasCambio de contraseñas perió dicosBloqueo de cuenta en intentos invá lidosHorarios de ingreso a la red
Cuenta de Administrador renombradaPocas cuentas de administració nBackup continuo sobre estos serverSuelen ser también servidores de Archivos
Componentes de una Red: vulnerabilidades y seguridad
4
ISO
177
99
Taller de Seguridad Informá tica Ing. Jorge Eterovic – Ing. Pablo Pomar
Servidor de Base de DatosServidores que poseen un gran volumen de informació n.Servidores con Oracle, Informix, Ms Sql, As/400,My Sql,etc.Definir usuario de instalació n con contraseña. Requieren control continuo y políticas de backup.
Componentes de una Red: vulnerabilidades y seguridad
PDF created with FinePrint pdfFactory Pro trial version http://www.fineprint.com
3
5
ISO
177
99
Taller de Seguridad Informá tica Ing. Jorge Eterovic – Ing. Pablo Pomar
Servidor de Archivo / Impresió nServidores que poseen un gran volumen de informació n en formato de archivos independientes generados por los usuarios.Requiere exhaustivo control de permisos y auditoría.Requiere backup constante y un buen antivirus.Suelen incorporarse este rol sobre el server de usuarios o el de backup.
Componentes de una Red: vulnerabilidades y seguridad
6
ISO
177
99
Taller de Seguridad Informá tica Ing. Jorge Eterovic – Ing. Pablo Pomar
Servidor de CorreoServidor que permiten el envío y recepció n de correos dentro y fuera de la empresa.Suelen incorporarse soluciones como Lotus Domino, Ms Exchange, Mdaemon,etc.Requieren de configuració n segura para evitar spam.Necesitan control sobre el contenido de los e-mails.Requieren backup y antivirus.
Componentes de una Red: vulnerabilidades y seguridad
PDF created with FinePrint pdfFactory Pro trial version http://www.fineprint.com
4
7
ISO
177
99
Taller de Seguridad Informá tica Ing. Jorge Eterovic – Ing. Pablo Pomar
Servidor de AntivirusServidores que poseen un administrador de las herramientas de antivirus.Distribuye la actualizació n de la firma bajada desde Internet.Recomendado como herramienta de integració n.Suele estar incorporado en el Servidor de Archivos.Soluciones como Norton Enterprise, McAfee, eTrust 7.0,etc.
Componentes de una Red: vulnerabilidades y seguridad
8
ISO
177
99
Taller de Seguridad Informá tica Ing. Jorge Eterovic – Ing. Pablo Pomar
Servidor de Radius• Servidor que permite validar y administrar usuarios
que deben acceder desde RAS desde distintos puntos de la empresa.
• Muy usado en empresas que usan pools de modem.
• Simplifica la administració n.
Componentes de una Red: vulnerabilidades y seguridad
PDF created with FinePrint pdfFactory Pro trial version http://www.fineprint.com
5
9
ISO
177
99
Taller de Seguridad Informá tica Ing. Jorge Eterovic – Ing. Pablo Pomar
Servidor de DatawarehouseServidor que se alimenta de los datos de la base de datos y realiza procesos para elaborar informes complejos.Consume recursos al procesar la informació n.Requiere de buen hardware.Suelen usarse productos como el Oracle, Microestrategy, cubo OLAP de MsSql, etc.
Componentes de una Red: vulnerabilidades y seguridad
10
ISO
177
99
Taller de Seguridad Informá tica Ing. Jorge Eterovic – Ing. Pablo Pomar
Servidor de WebServer que publica pá ginas en formato html, php, Jsp y las deja disponible internamente (intranet) o de manera externa (internet).Requiere mucha seguridad.Server con permisos especiales para personal que actualiza contenido.Son los má s susceptibles a ataques.Verificar vulnerabilidad contra exploits
Componentes de una Red: vulnerabilidades y seguridad
PDF created with FinePrint pdfFactory Pro trial version http://www.fineprint.com
6
11
ISO
177
99
Taller de Seguridad Informá tica Ing. Jorge Eterovic – Ing. Pablo Pomar
Accesos RemotosLos accesos remotos permiten a usuarios, proveedores e invitados acceder a la LAN, residiendo físicamente afuera de la LAN.Se puede utilizar los servicios de
RAS = Remote Access ServiceVPN = Virtual Protocol NetworkTerminal Server
Componentes de una Red: vulnerabilidades y seguridad
12
ISO
177
99
Taller de Seguridad Informá tica Ing. Jorge Eterovic – Ing. Pablo Pomar
ModemMOdulador – DEModuladorDispositivo que permite unir redes a travé s de líneas telefó nicas.Muy usado en redes WAN (Internet) y para acceso mediante el servicio de RAS (Remote Access Service).Dispositivo lento
Componentes de una Red: vulnerabilidades y seguridad
PDF created with FinePrint pdfFactory Pro trial version http://www.fineprint.com
7
13
ISO
177
99
Taller de Seguridad Informá tica Ing. Jorge Eterovic – Ing. Pablo Pomar
RAS = Remote Access ServiceDenominació n gené rica para cualquier dispositivo que provee un punto de acceso a la LAN.Normalmente se utiliza conexiones de modem.Radius = Servidor de validació n. Tratar siempre de concentrar la autenticació n.
Componentes de una Red: vulnerabilidades y seguridad
14
ISO
177
99
Taller de Seguridad Informá tica Ing. Jorge Eterovic – Ing. Pablo Pomar
Conceptos generales de RASTratar de no utilizar PAP.Centralizar con AAA:
Authentication : reconoce usuarioAuthorization : validar que la tarea sea realizadaAccounting : Registra las actividades
RADIUS : Remote Authentication Dial-in User ServiceEn Windows es el IAS (Internet Authentication Service)
Componentes de una Red: vulnerabilidades y seguridad
PDF created with FinePrint pdfFactory Pro trial version http://www.fineprint.com
8
15
ISO
177
99
Taller de Seguridad Informá tica Ing. Jorge Eterovic – Ing. Pablo Pomar
Servidor de acceso remoto
Mó dem
Mó dem
RAS = Remote Access Service
Componentes de una Red: vulnerabilidades y seguridad
16
ISO
177
99
Taller de Seguridad Informá tica Ing. Jorge Eterovic – Ing. Pablo Pomar
Clientede acceso
remoto
Directiva de
acceso remoto
Servidorde
acceso remoto
Permitir el acceso a grupos específicos
Definir días y horas
Configurar métodos de autenticació n
Configurar opciones de cifrado
Especificar tiempos má ximos de sesió n
Restringir subredes
RAS
Componentes de una Red: vulnerabilidades y seguridad
PDF created with FinePrint pdfFactory Pro trial version http://www.fineprint.com
9
17
ISO
177
99
Taller de Seguridad Informá tica Ing. Jorge Eterovic – Ing. Pablo Pomar
VPN = Redes Privadas Virtuales
La té cnica de VPN consiste en establecer una conexió n virtual “segura” entre dos dispositivos aprovechando una red pública.
Tecnologías: IPSec para implementaciones corporativas seguras y PKI ( Public Key Infraestracture) para implementaciones de VPN con múltiples sitios.
Componentes de una Red: vulnerabilidades y seguridad
18
ISO
177
99
Taller de Seguridad Informá tica Ing. Jorge Eterovic – Ing. Pablo Pomar
VPN = Redes Privadas VirtualesVirtual : se dice que es virtual porque no necesita de un circuito dedicado para funcionar.Private : se dice que es privada porque
proporciona mecanismos de encriptació n mediante distintos algoritmos. Network : se dice que es una red dado que una
vez establecida funciona y se administra como una lan standard.
Componentes de una Red: vulnerabilidades y seguridad
PDF created with FinePrint pdfFactory Pro trial version http://www.fineprint.com
10
19
ISO
177
99
Taller de Seguridad Informá tica Ing. Jorge Eterovic – Ing. Pablo Pomar
Por Hardware:Firewalls: ademá s de cumplir su funció n principal que es la de inspeccionar el trá fico, permiten la implementació n de túneles seguros.Gateways: son dispositivos construidos para implementar VPNs específicamente, tienen gran velocidad y soportan mayor cantidad de túneles que los firewalls.Servidores de acceso: permiten la implementació n directa de VPNs. Esta funció n puede negociarse con el ISP.
T
I
P
O
S
VPN = Redes Privadas Virtuales
Componentes de una Red: vulnerabilidades y seguridad
20
ISO
177
99
Taller de Seguridad Informá tica Ing. Jorge Eterovic – Ing. Pablo Pomar
Por Software :Directamente con el sistema operativo: Linux, Windows NT, Windows 2000.Utilizando aplicaciones específicas para la creació n, administració n y monitoreo de VPNspor ejemplo: SOHO VPN de watchguard, o el VPN Client de SonicWall; hasta el Secure VPN Client de Cisco en sus diferentes versiones.
VPN = Redes Privadas Virtuales
T
I
P
O
S
Componentes de una Red: vulnerabilidades y seguridad
PDF created with FinePrint pdfFactory Pro trial version http://www.fineprint.com
11
21
ISO
177
99
Taller de Seguridad Informá tica Ing. Jorge Eterovic – Ing. Pablo Pomar
Host a Red
VPN = Redes Privadas Virtuales
Componentes de una Red: vulnerabilidades y seguridad
22
ISO
177
99
Taller de Seguridad Informá tica Ing. Jorge Eterovic – Ing. Pablo Pomar
VPN = Redes Privadas Virtuales
Red a Red
Componentes de una Red: vulnerabilidades y seguridad
PDF created with FinePrint pdfFactory Pro trial version http://www.fineprint.com
12
23
ISO
177
99
Taller de Seguridad Informá tica Ing. Jorge Eterovic – Ing. Pablo Pomar
VPN = Redes Privadas Virtuales
Host a Host
Componentes de una Red: vulnerabilidades y seguridad
24
ISO
177
99
Taller de Seguridad Informá tica Ing. Jorge Eterovic – Ing. Pablo Pomar
Enlaces Globales
Central Site
Site-to-SiteRemote Office
ExtranetBusiness Partner
POP
DSLCable
Mobile User
Home Telecommuter
VPNInternet
VPN = Redes Privadas Virtuales
Componentes de una Red: vulnerabilidades y seguridad
PDF created with FinePrint pdfFactory Pro trial version http://www.fineprint.com
13
25
ISO
177
99
Taller de Seguridad Informá tica Ing. Jorge Eterovic – Ing. Pablo Pomar
Terminal Server
Cliente Terminal
Los recursos corren en el server
El cliente solo recibe una consola
Brinda seguridad y no necesita clientes con grandes recursos de equipo
Un elemento má s para utilizar a travé s de una VPN
Protocolos usados :Cytrix usa ICAMicrosoft usa RDP
Terminal Server
Componentes de una Red: vulnerabilidades y seguridad
26
ISO
177
99
Taller de Seguridad Informá tica Ing. Jorge Eterovic – Ing. Pablo Pomar
Sistemas OperativosPlataformas con SO MS Windows, Unix, Linux, As/400, etc.Vulnerabilidades propias.Fixes y parches.Políticas de cuentas adecuadas en la infraestructura.Servidores criticos e implementar sistemas de alta recuperació n.Instalaciones predeterminadas.
Componentes de una Red: vulnerabilidades y seguridad
PDF created with FinePrint pdfFactory Pro trial version http://www.fineprint.com
14
27
ISO
177
99
Taller de Seguridad Informá tica Ing. Jorge Eterovic – Ing. Pablo Pomar
Políticas de seguridad:Identificació n de usuariosUnica cuenta para cada usuarioCada cuenta con única contraseña obligatoriaExpiració n predefinida de vida de cuentaSeguridad de contraseñasExpiració n automaticaLongitud mínimaSintaxis de las contraseñasLimitar repetició n con anteriores
Sistemas Operativos
Componentes de una Red: vulnerabilidades y seguridad
28
ISO
177
99
Taller de Seguridad Informá tica Ing. Jorge Eterovic – Ing. Pablo Pomar
Políticas de seguridad:
Restricció n de privilegiosLimitar a determinados usuarios/gruposDistintos niveles de autorizació nRestricció n a nivel de programas y procesosUso de Token u otro dispositivo de hardware
Sistemas Operativos
Componentes de una Red: vulnerabilidades y seguridad
PDF created with FinePrint pdfFactory Pro trial version http://www.fineprint.com
15
29
ISO
177
99
Taller de Seguridad Informá tica Ing. Jorge Eterovic – Ing. Pablo Pomar
Consideraciones de recursos compartidos Protecció n de contraseñas y archivos de seguridadAcceso restringido a archivos de seguridadContraseñas encriptadasProtecció n de datos y cuotas de tamañoAutorizació n de accesos a recursos específicosLimitar accesos a determinados usuarios y gruposDefinir distintos niveles de acceso: lectura, escritura borrado, ejecució n, etc.
Sistemas Operativos
Componentes de una Red: vulnerabilidades y seguridad
30
ISO
177
99
Taller de Seguridad Informá tica Ing. Jorge Eterovic – Ing. Pablo Pomar
Consideraciones de recursos compartidos Definir delegació n de propiedad y otorgamiento de permisosLimitar accesos fallidos y auditarlosTimeoutsRestricciones adicionalesSegregació n de intentos exitosos y fallidosManejo de logs del sistema
Sistemas Operativos
Componentes de una Red: vulnerabilidades y seguridad
PDF created with FinePrint pdfFactory Pro trial version http://www.fineprint.com
16
31
ISO
177
99
Taller de Seguridad Informá tica Ing. Jorge Eterovic – Ing. Pablo Pomar
Consideraciones de recursos compartidosConfiguració n de antivirus.Reporte de pará metros y configuraciones de seguridadReporte de privilegios y permisos de usuariosEncriptar archivos que requieran alta seguridad.Políticas adecuadas de backup
Sistemas Operativos
Componentes de una Red: vulnerabilidades y seguridad
32
ISO
177
99
Taller de Seguridad Informá tica Ing. Jorge Eterovic – Ing. Pablo Pomar
Consideraciones generales:Definir el esquema general de seguridad de usuarios:
Seguridad Adoptada: a travé s de un usuario gené rico que accede a los datosSeguridad por usuario: cada cuenta de usuario accede a los datos
Integració n con la seguridad del:sistema operativosistema de aplicació n
Administració n de recursos y serviciosEstructura de directorios, permisos y derechosMedidas adicionales de seguridadAuditoría de eventos y objetos
Bases de Datos
Componentes de una Red: vulnerabilidades y seguridad
PDF created with FinePrint pdfFactory Pro trial version http://www.fineprint.com
17
33
ISO
177
99
Taller de Seguridad Informá tica Ing. Jorge Eterovic – Ing. Pablo Pomar
Seguridad Física
En las sedes y las instalacionesPerímetro de seguridad físicaControles de acceso físico Seguridad del equipamientoSuministros de energíaCableado de energía elé ctrica y de comunicacionesMantenimiento de equipos
Componentes de una Red: vulnerabilidades y seguridad
34
ISO
177
99
Taller de Seguridad Informá tica Ing. Jorge Eterovic – Ing. Pablo Pomar
Documentació nServidores alternativosModalidades : Internas y Externas.Actividad programada todo los días.Pruebas de restauració n.Documentació n.
Back Ups y Restauració n
Componentes de una Red: vulnerabilidades y seguridad
PDF created with FinePrint pdfFactory Pro trial version http://www.fineprint.com
18
35
ISO
177
99
Taller de Seguridad Informá tica Ing. Jorge Eterovic – Ing. Pablo Pomar
TiposTiposTipos
NormalNormalBack upBack upBack up
Selecciona carpetas y archivosSelecciona carpetas y archivos
MarcaMarcaMarca
SISI
CopiaCopia Selecciona carpetas y archivosSelecciona carpetas y archivos NoNo
DiferencialDiferencialSelecciona carpetas y archivos desde el ú ltimo backup
Selecciona carpetas y archivos desde el ú ltimo backup
NoNo
IncrementalIncrementalSeleccionar carpetas y archivos desde el ú ltimobackup
Seleccionar carpetas y archivos desde el ú ltimobackup
SISI
DiarioDiario Selecciona carpetas y archivos del díaSelecciona carpetas y archivos del día NoNo
Back Ups y Restauració n
Componentes de una Red: vulnerabilidades y seguridad
36
ISO
177
99
Taller de Seguridad Informá tica Ing. Jorge Eterovic – Ing. Pablo Pomar
Documentar muy bien las cintas y planificar la rotació nVida útil de la cintaProbar restoreGuardar cintas en lugar seguroBackup con antivirusRestaurar en ubicaciones distintas del lugar originalDisaster Recovery
Opció n muy poco utilizadaRestauració n rá pida y seguraRequiere conducta de actualizació n de elementos backupSoftware de terceras partes
Back Ups y Restauració n
Componentes de una Red: vulnerabilidades y seguridad
PDF created with FinePrint pdfFactory Pro trial version http://www.fineprint.com
19
37
ISO
177
99
Taller de Seguridad Informá tica Ing. Jorge Eterovic – Ing. Pablo Pomar
RAID CLUSTER
NODO AIP Publica 192.168.121.10IP CLUSTER 192.168.1.10
NODO BIP Publica 192.168.121.20IP CLUSTER 192.168.1.20
UTP o Fibra
Cross Over o Fibra
• Dos servidores por uno virtual
• Activo/Activo• Activo/Pasivo
VIRTUAL PC192.168.121.30
+ =
Cluster: concepto de alta disponibilidad
Componentes de una Red: vulnerabilidades y seguridad
38
ISO
177
99
Taller de Seguridad Informá tica Ing. Jorge Eterovic – Ing. Pablo Pomar
ClienteClienteRed privadaRed privada
Server Cluster
Quorum
Disk 1
Grupo de recursos
ServerVirtualServerVirtual
Disk 1
Print SharePrint Share
File ShareFile Share
LanLan
Nodo ANodo A
Nodo BNodo B
Cluster: concepto de alta disponibilidad
Componentes de una Red: vulnerabilidades y seguridad
PDF created with FinePrint pdfFactory Pro trial version http://www.fineprint.com
20
39
ISO
177
99
Taller de Seguridad Informá tica Ing. Jorge Eterovic – Ing. Pablo Pomar
Redundant Array of Inexpensive DiskEl backup solo no alcanza, hay que tener otros medios que den soporte al dato almacenado sobre el disco.
RAID 0: Sistemas de banda s/paridadRAID 1: Discos EspejosRAID 4: Sistemas de bandas c/paridad sobre un discoRAID 5: Sistemas de bandas c/paridad distribuídas.
RAID
Componentes de una Red: vulnerabilidades y seguridad
40
ISO
177
99
Taller de Seguridad Informá tica Ing. Jorge Eterovic – Ing. Pablo Pomar
No es un sistema de alta disponibilidad ni redundancia.Se recomienda para instalació n de bases de datos.La capacidad total es la suma de todos los discos.Requiere al menos 3 discos.
64 KB64 KB
Disk 1Disk 1 Disk 2Disk 2 Disk 3Disk 3
64 KB
RAID 0
Componentes de una Red: vulnerabilidades y seguridad
PDF created with FinePrint pdfFactory Pro trial version http://www.fineprint.com
21
41
ISO
177
99
Taller de Seguridad Informá tica Ing. Jorge Eterovic – Ing. Pablo Pomar
Sistema de discos espejos.Requiere 2 discos.Perdida 50 % capacidad.Mirror vs.Disk duplexing
Disk 0 Disk 1
C:C:C:
EspejoEspejoEspejoFault Tolerance
DriverFault Tolerance
Driver
DataData
RAID 1
Componentes de una Red: vulnerabilidades y seguridad
42
ISO
177
99
Taller de Seguridad Informá tica Ing. Jorge Eterovic – Ing. Pablo Pomar
Sistema de paridad unificada.Requiere al menos 3 discosSe almacena toda la tolerancia sobre un solo disco.Muy utilizada en dispositivos de NAS o SAN.No recomendada para servidores.
64 KB64 KB
Disk 1Disk 1 Disk 2Disk 2 Disk 3Disk 3
PARIDAD
RAID 4
Componentes de una Red: vulnerabilidades y seguridad
PDF created with FinePrint pdfFactory Pro trial version http://www.fineprint.com
22
43
ISO
177
99
Taller de Seguridad Informá tica Ing. Jorge Eterovic – Ing. Pablo Pomar
Sistema de paridad distribuida.Tecnologías hardware discos swap.La suma de la capacidad es el total – 1 disco.
RAID 5
Parity
Parity
Parity
Parity
Parity
Parity
Disk 1Disk 1 Disk 2Disk 2 Disk 3Disk 3
Stripe 1Stripe 1
Stripe 2Stripe 2
Stripe 3Stripe 3
Stripe 4Stripe 4
Stripe 5Stripe 5
Stripe 6Stripe 6
Componentes de una Red: vulnerabilidades y seguridad
44
ISO
177
99
Taller de Seguridad Informá tica Ing. Jorge Eterovic – Ing. Pablo Pomar
Uninterruptible Power Supply.Debe utilizarse en servidores críticos.Si la infraestructura es muy crítica evaluar al implementació n de un generador que sea activado por la UPS.Probar cada x períodos de tiempo y verificar la carga.Verificar el generador (combustible, arranque, etc.)
UPS
Componentes de una Red: vulnerabilidades y seguridad
PDF created with FinePrint pdfFactory Pro trial version http://www.fineprint.com
23
45
ISO
177
99
Taller de Seguridad Informá tica Ing. Jorge Eterovic – Ing. Pablo Pomar
Permite asegurar el contenido de la informació n cuando viaja por la red.PKI es un servicio de framework que provee:
Certificados digitales.Herramientas para administrar llaves y certificados.CA, entidad que otorga los certificados.CA Central, un punto de concentració n de entrega de los certificados.Llaves públicas para servicios y aplicacionesCRL, Lista de revocació n de certificados.
Estructura PKI – Certificados Digitales
Componentes de una Red: vulnerabilidades y seguridad
46
ISO
177
99
Taller de Seguridad Informá tica Ing. Jorge Eterovic – Ing. Pablo Pomar
Herramientas de administració n de claves y certificados
Entidad emisorade certificados
Punto de publicació n de certificados
Certificadodigital
Aplicaciones y servicios habilitados para claves públicas
Lista de revocació n de certificados
Estructura PKI – Certificados Digitales
Componentes de una Red: vulnerabilidades y seguridad
PDF created with FinePrint pdfFactory Pro trial version http://www.fineprint.com
24
47
ISO
177
99
Taller de Seguridad Informá tica Ing. Jorge Eterovic – Ing. Pablo Pomar
Existen dispositivos cuya conexió n con las redes no se realiza a travé s de un medio físico:
LaptopsPalmtopsCelularesLectoras
Principales riesgos
Intercepció n de frecuencia para conectarse
Bloqueo de frecuencia para denegar el servicio
Conexiones wireless
Componentes de una Red: vulnerabilidades y seguridad
48
ISO
177
99
Taller de Seguridad Informá tica Ing. Jorge Eterovic – Ing. Pablo Pomar
Aplicar los mecanismos de seguridad definidos para las redes, reforzando los temas de:
Control de accesosAutenticació n de UsuariosEncriptació n de datosCopias de respaldo de informació n en los
dispositivos
Conexiones wireless
Componentes de una Red: vulnerabilidades y seguridad
PDF created with FinePrint pdfFactory Pro trial version http://www.fineprint.com
25
49
ISO
177
99
Taller de Seguridad Informá tica Ing. Jorge Eterovic – Ing. Pablo Pomar
Considerar:
Procedimientos de ingresos / egresosSeguros por extravío / robo / similarSoftware de acceso tanto para el booteo como para la informació n críticaInventario permanente con los usuarios a los que está n asignadasConfiguració n está ndar de los sistemas y repositorios de datosEl Á rea de Sistemas de debe realizar un backup perió dico
Estaciones de trabajo
Componentes de una Red: vulnerabilidades y seguridad
50
ISO
177
99
Taller de Seguridad Informá tica Ing. Jorge Eterovic – Ing. Pablo Pomar
Sistema automá tico de control de virus actualizadoUso de software licenciado por la compañíaAuditoría activadaBloqueo de recursos (teclado, floppy, etc)Tokens / TarjetasProtecció n de archivos y directoriosAntivirusSeguridad en configuracionesNo permitir instalar productosSeguridad Física
Estaciones de trabajo
Componentes de una Red: vulnerabilidades y seguridad
PDF created with FinePrint pdfFactory Pro trial version http://www.fineprint.com
26
51
ISO
177
99
Taller de Seguridad Informá tica Ing. Jorge Eterovic – Ing. Pablo Pomar
Considerar:
Perfiles de administració n y mantenimiento de la centralConexió n con la central públicaLogs de actividad de la centralEsquemas de acceso Dial UpInterfases entre la central telefó nica y redes, Pc’s, fax, etc
Telefonía
Componentes de una Red: vulnerabilidades y seguridad
52
ISO
177
99
Taller de Seguridad Informá tica Ing. Jorge Eterovic – Ing. Pablo Pomar
Considerar:
Có digos de barraBanda magné tica Combinarlo con ingreso de números (PIN)
Tarjetas de autenticació n
Componentes de una Red: vulnerabilidades y seguridad
PDF created with FinePrint pdfFactory Pro trial version http://www.fineprint.com
27
53
ISO
177
99
Taller de Seguridad Informá tica Ing. Jorge Eterovic – Ing. Pablo Pomar
La biometría es la ciencia que se dedica a la identificació n de individuos a partir de una característica anató mica o un rasgo de su comportamiento.
Una característica anató mica tiene la cualidad de ser relativamente estable en el tiempo, tal como una huella dactilar, la silueta de la mano, patrones de la retina o el iris.
Sistemas biomé tricos
Componentes de una Red: vulnerabilidades y seguridad
54
ISO
177
99
Taller de Seguridad Informá tica Ing. Jorge Eterovic – Ing. Pablo Pomar
No cualquier característica anató mica puede ser utilizada con é xito por un sistema biomé trico.
RetinaHuella digitalMano completaVozFirma
Sistemas biomé tricos
Componentes de una Red: vulnerabilidades y seguridad
PDF created with FinePrint pdfFactory Pro trial version http://www.fineprint.com
28
55
ISO
177
99
Taller de Seguridad Informá tica Ing. Jorge Eterovic – Ing. Pablo Pomar
Transformar informació n entendible en “no entendible”Comprende un algoritmo (fó rmula aplicada) y una clave (dato usado en la fó rmula)Mecanismos de Encriptació n
Simé trico – Clave PrivadaAsimé trico – Clave Pública y PrivadaUtilizació n de kerberos (sistema de autenticació n)
Encriptació n
Componentes de una Red: vulnerabilidades y seguridad
56
ISO
177
99
Taller de Seguridad Informá tica Ing. Jorge Eterovic – Ing. Pablo Pomar
Simé trico – Clave Privadausa la misma clave para encriptar y desencriptarEjemplos: DES (Data Encryption Standard), Triple Des, RC4. IDEA
Asimé trico – Clave Pública y PrivadaCombina una Clave Privada y Pública a travé s de un algoritmoLa Clave Privada es só lo conocida por el usuarioLa Clave Pública es de conocimiento públicoEjemplos: PGP (Pretty Good Privacy) , SSL (Secure Socket Layer)
Encriptació n
Componentes de una Red: vulnerabilidades y seguridad
PDF created with FinePrint pdfFactory Pro trial version http://www.fineprint.com
29
57
ISO
177
99
Taller de Seguridad Informá tica Ing. Jorge Eterovic – Ing. Pablo Pomar
Utilizació n de kerberos (sistema de autenticació n)
Encripció n basado en DESUtilizació n de “tickets”No transmite la contraseña por la redAutentica cada vez que utiliza los recursos
Encriptació n
Componentes de una Red: vulnerabilidades y seguridad
58
ISO
177
99
Taller de Seguridad Informá tica Ing. Jorge Eterovic – Ing. Pablo Pomar
Taller Prá ctico
Taller Prá ctico: Implementación de una Red con Criterios de
Seguridad
PDF created with FinePrint pdfFactory Pro trial version http://www.fineprint.com
30
59
ISO
177
99
Taller de Seguridad Informá tica Ing. Jorge Eterovic – Ing. Pablo Pomar
Consideraciones generales de seguridad
Segmentació n de la red – Uso de VLANs(utilizando switches)Mecanismos de Encriptació nMonitoreo a travé s de IDSMonitoreo permanente de syslogsCreació n de zonas desmilitarizadas (DMZ) Reforzar autenticació n de usuarios externase internasUso de Warning bannersUso de firewalls (externos e internos)
60
ISO
177
99
Taller de Seguridad Informá tica Ing. Jorge Eterovic – Ing. Pablo Pomar
Consideraciones generales de seguridad
Uso de “honeypots” (equipo de simulació n)Parametrizació n segura de equipos de comunicació n (routers, switches, bridges)Utilizació n de Virtual Private Networks (VPN)Restricció n de puntos de conexió n remotoSeguridad en Dial Up
PDF created with FinePrint pdfFactory Pro trial version http://www.fineprint.com
31
61
ISO
177
99
Taller de Seguridad Informá tica Ing. Jorge Eterovic – Ing. Pablo Pomar
Consideraciones generales de seguridad
Certificados digitalesControl de las tarjetas físicas asociando en una base de datos los numeros de IP de cada nodo con la tarjeta ethernet instaladaSistemas de control de accesos
Identificació n: cuenta de usuarioAutenticació n: probar que es el usuario:
Algo que sabe: contraseñaAlgo que tiene: token, tarjetasAlgo que es: sistemas biomé tricos, firmas
62
ISO
177
99
Taller de Seguridad Informá tica Ing. Jorge Eterovic – Ing. Pablo Pomar
Consideraciones generales de seguridad
Sistemas de control de accesos (cont.)Ubicació n desde donde conecta: telef,
IPAdministració n de contraseñas
Fecha de expiració nConservació n encriptadaMínimo de longitudReglas de sintaxisDistinta de las anteriores“password cracking”
PDF created with FinePrint pdfFactory Pro trial version http://www.fineprint.com
32
63
ISO
177
99
Taller de Seguridad Informá tica Ing. Jorge Eterovic – Ing. Pablo Pomar
Consideraciones generales de seguridad
Restriciones de direcciones desde donde se conectaRestricciones de días y horasSistemas de administració n centralizada de usuariosSeguridad FísicaBack Ups, restauració n, Alta Disponibilidad
64
ISO
177
99
Taller de Seguridad Informá tica Ing. Jorge Eterovic – Ing. Pablo Pomar
Consideraciones generales de seguridad
Cumplimiento de Políticas y ProcedimientosAdministració n de Usuarios y Permisos en los SistemasSeparació n de Ambientes de TrabajoLicencias legales de SoftwareCopias de RespaldoSeguridad Física de las Instalaciones y RecursosPrevenció n de Virus y Programas MaliciososSeguridad en las ComunicacionesAuditoría Automá tica y Administració n de Incidentes de SeguridadUso del Correo Electró nico, Servicios de Internet, otros Servicios
PDF created with FinePrint pdfFactory Pro trial version http://www.fineprint.com
33
65
ISO
177
99
Taller de Seguridad Informá tica Ing. Jorge Eterovic – Ing. Pablo Pomar
Resumen final
Seguridad en Redes
Principales Componentes y Vulnerabilidades de una red de informació n.Consideraciones de seguridad para cada componente
Taller Práctico: Implementació n de una Red con Criterios de Seguridad
66
ISO
177
99
Taller de Seguridad Informá tica Ing. Jorge Eterovic – Ing. Pablo Pomar
¿?Preguntas
PDF created with FinePrint pdfFactory Pro trial version http://www.fineprint.com
34
67
ISO
177
99
Taller de Seguridad Informá tica Ing. Jorge Eterovic – Ing. Pablo Pomar
Contactos:
Ing. Jorge Eterovic
eterovic @ unlm . edu . ar
Ing. Pablo Herná n Pomar
pablo_pomar3 @ yahoo . com . ar
PDF created with FinePrint pdfFactory Pro trial version http://www.fineprint.com