Conceptos y Pr - PowerPoint PPT Presentation

1 / 74
About This Presentation
Title:

Conceptos y Pr

Description:

Tecnolog as de Red aplicables al comercio electr nico. Conceptos y Pr cticas de ... Script Kiddies. Conocimientos b sicos de seguridad ... – PowerPoint PPT presentation

Number of Views:115
Avg rating:3.0/5.0
Slides: 75
Provided by: antoni54
Category:

less

Transcript and Presenter's Notes

Title: Conceptos y Pr


1
Conceptos y Prácticas de Seguridad Informática
  • Antonio Sanz ansanz_at_unizar.es

2
Indice
  • Seguridad Informática
  • Conceptos básicos
  • Requisitos de Seguridad
  • Tipos de amenazas
  • Herramientas de seguridad
  • Plan de Seguridad
  • Prácticas básicas

3
Al finalizar la charla sabrá...
  • Conocer el pensamiento de Seguridad
  • Conocer al enemigo
  • Conocer los ataques
  • Conocer las herramientas
  • Conocer las defensas

4
Seguridad Informática
  • Sistema Seguro
  • Un sistema es seguro si en todo momento se
    comporta como lo desea su propietario
  • Áreas de Seguridad Informática
  • Sistemas Operativos (Windows, Linux, Mac )
  • Aplicaciones ( IIS, Apache, Word )
  • Redes ( LAN, WAN, WLAN )
  • Datos ( LOPD )
  • Fisica ( alarmas, controles de acceso )

5
Conceptos básicos (I)
  • Seguridad absoluta
  • Inexistente
  • Objetivo Agotar los recursos del enemigo
    (moral, tiempo o dinero)
  • Seguridad mesurada
  • Asignar recursos de forma eficiente

6
Conceptos básicos (II)
  • Seguridad vs Usabilidad
  • Balanza peligrosa (cuidado con los extremos)
  • Objetivo Lograr un equilibrio satisfactorio
  • Mínimo privilegio
  • Todos los recursos de la red deberán solo los
    permisos necesarios para cumplir su tarea

7
Conceptos básicos (III)
  • Seguridad en profundidad
  • No depender de un solo elemento
  • Modelo de seguridad en capas
  • Seguridad mediante oscuridad
  • Dificulta los ataques
  • Nunca debe confiarse únicamente en ella

8
Conceptos básicos (IV)
  • Seguridad Homogénea
  • La seguridad de un sistema es la del eslabón más
    débil
  • Cuidar todos los aspectos de la seguridad
  • Seguridad Evolutiva
  • Campo cambiante a gran velocidad
  • Es necesario mantenerse al día

9
Requisitos de seguridad (I)
  • Requisitos de Seguridad
  • Control de Acceso
  • Confidencialidad
  • Integridad
  • Disponibilidad
  • Se deberán establecer los requisitos deseados
    para cada sistema
  • El objetivo final de la Seguridad es cumplir
    dichos requisitos

10
Requisitos de seguridad (II)
  • Control de Acceso / Autenticación
  • Identificación de los elementos que acceden a
    nuestro sistema
  • Asignación de los permisos de cada elemento de la
    red
  • Confidencialidad
  • La información es valiosa
  • Impedir el acceso no autorizado

11
Requisitos de seguridad (III)
  • Integridad / No repudio
  • Impedir la manipulación de la información
  • Identificación unívoca
  • Disponibilidad
  • Los servicios deben estar siempre activos
  • 24 x 7 x 365 x ...

12
Tipos de amenazas
  • Tipos de atacantes
  • Ataques realizables
  • Posibles daños

13
Tipos de atacantes (I)
  • Hacker
  • Hack 1) Cortar en tajos. 2) Encontrar una
    solución eficaz y brillante a un problema
  • Hacker Persona con abundantes conocimientos de
    informática y redes, que explora (o penetra en)
    sistemas por puro reto
  • Hacker Intruso malvado ? Incorrecto.
  • Blanco / Negro ? Diversos tonos de gris

14
Tipos de atacantes (II)
  • Cracker ( Doble definición )
  • Persona que rompe códigos de protección
    (cracks)
  • Hacker que penetra en sistemas en beneficio
    propio (monetario, social o por pura diversión
    destructiva)
  • Conocimientos extensos de seguridad
  • Definitivamente, el lado oscuro

15
Tipos de atacantes (III)
  • Script Kiddies
  • Conocimientos básicos de seguridad
  • Pueden causar graves daños (herramientas
    precocinadas)
  • Newbies
  • Principiantes, conocimientos básicos de seguridad
  • Lamers
  • Conocimientos nulos de informática

16
Tipos de ataques (I)
  • Identificación del sistema o fingerprinting
  • Búsqueda de información pública
  • Ingenieria social
  • Barrido de puertos o portscanning
  • Análisis de equipos y servicios

17
Tipos de ataques ( II )
  • Análisis de vulnerabilidades
  • Con la información obtenida, se buscan
    vulnerabilidades correspondientes a los Sistemas
    Operativos y servicios existentes en el sistema
  • Penetración en el sistema
  • Explotación de una vulnerabilidad en el sistema ?
    cabeza de puente
  • Acciones automáticas camuflaje y expansión

18
Tipos de ataques ( III )
  • Intercepción de contraseñas
  • Rotura de contraseñas (fuerza bruta)
  • Falsificación de la identidad
  • Robo de información
  • Destrucción de datos
  • Denegación de servicio

19
Posibles daños
  • Robo de Información
  • Pérdida de datos
  • Disrupción del servicio
  • Pérdida de imagen
  • Posible responsabilidad legal

20
Herramientas de Seguridad (I)
  • Herramientas que permiten verificar o aumentar el
    nivel de seguridad de un sistema
  • Usadas tanto por atacantes como defensores
  • Gran variedad gratuitas, comerciales, bajo
    Linux, Windows, etc...

21
Herramientas de Seguridad (II)
  • Cortafuegos o firewalls
  • Ejercen un control sobre el tráfico entrante y
    saliente a un sistema
  • Hardware Software
  • Ej IpTables, Firewall-1, Cisco PIX
  • Detectores de intrusos o IDS
  • Detectan posibles ataques en un sistema, pudiendo
    activar alarmas o ejercer respuesta coordinada
  • Ej Snort, Real Secure

22
Herramientas de Seguridad (III)
  • Verificadores de la integridad
  • Permiten detectar la manipulación de un sistema
  • Ej Tripwire
  • Analizadores de logs
  • Permiten procesar de forma automática los logs de
    un sistema en tiempo real y emitir alarmas
  • Ej Swatch, LogWatch

23
Herramientas de Seguridad (IV)
  • Analizadores de puertos
  • Barren una red en busca de máquinas y servicios
    activos
  • Ej nmap, PortScan, fport
  • Detectores de vulnerabilidades
  • Analizan una red en busca de vulnerabilidades
    conocidas
  • Ej Nessus, Cybercop Scanner, ISS, Saint

24
Herramientas de Seguridad (V)
  • Sniffers
  • Capturan el tráfico que circula por una red
    (contraseñas y datos, por ejemplo)
  • Ej Ethereal, Sniffer, Iris, Analyzer
  • Password crackers
  • Utilizan técnicas de diccionario y fuerza bruta
    para obtener las contraseñas de acceso a un
    sistema
  • Ej LC3, Crack, John the Ripper

25
Herramientas de Seguridad (VI)
  • Troyanos
  • Programas que se instalan en un sistema de forma
    no deseada
  • Ej Back Oriffice , SubSeven.
  • Rootkits
  • Programas destinados a facilitar la ocultación y
    expansión de un intruso

26
Libros y enlaces de interés
  • Criptonomicón
  • www.iec.csic.es/criptonomicon
  •  
  • SecurityFocus
  • www.securityfocus.com
  •  
  • Kriptópolis
  • www.kriptopolis.com
  •  
  • Hispasec
  • www.hispasec.com
  •  
  • CERT
  • www.cert.com
  •  
  • SecurityPortal
  • www.securityportal.com
  • Phrack

Seguridad Práctica en Unix e Internet , 2ª
Ed.Simson Garfinkel Gene Spafford -
OReilly Hacking Exposed 3rd Edition - Stuart
McClure McGraw Hill (La 2ºEd en castellano
Hackers 2 Stuart McClure McGraw
Hill Seguridad en Servidores NT/2000 para
Internet Stefan Norberg, Deborah Russell
OReilly Seguridad y Comercio en el Web -
Simson Garfinkel Gene Spafford -
OReilly Building Internet Firewalls Chapman
Zwicky, Ed. OReilly
27
  • Dudas, preguntas, aclaraciones, pipas,
    caramelos...
  • ?

28
Prácticas básicas de Seguridad Informática
  • Antonio Sanz Responsable de Seguridad
    Informática

29
Indice
  • Introducción y Objetivos
  • Prácticas básicas
  • Bibliografía y enlaces de interés

30
Introducción
  • Internet Evolución vertiginosa
  • Conexión fácil, barata y rápida
  • Gran cantidad de inversión en desarrollo de
    negocio Internet
  • Escasa inversión en seguridad
  • Muy poca conciencia de seguridad

31
Objetivos
  • Obtener un buen nivel de seguridad en nuestro
    sistema
  • Aplicable tanto a una red corporativa como a un
    usuario casero
  • Se aplica perfectamente la ley del 80/20 ? 20
    del esfuerzo 80 de seguridad

32
Seguridad Topología
  • Tener en cuenta la seguridad a la hora de diseñar
    una red
  • Cortafuegos / Routers con filtrado (boxes
    cortafuegos personales)
  • Separar los servidores de la LAN
  • Sistemas de seguridad critica aparte

33
Seguridad Backups
  • Aspecto vital de la seguridad
  • Medios de backup baratos
  • Copias incrementales (diarias, semanales y
    mensuales)
  • Imágenes de los SO

34
Seguridad Parches
  • Aspecto muy importante ? Ataque sistema o
    programa no actualizado
  • Mantener los equipos parcheados siempre que sea
    posible
  • Integrarlo dentro del mantenimiento del equipo
  • Muy importante en servidores

35
Seguridad Antivirus
  • Antivirus en TODO el sistema
  • Actualización constante
  • Características especiales ? Usarlas
  • Scan de virus periódico y automatizado
  • Formación antivirus a los usuarios

36
Seguridad Cortafuegos
  • Cortafuegos Principal barrera de defensa de un
    sistema informático ( muro de un castillo
    medieval)
  • Instalar un cortafuegos entre nuestra red e
    Internet
  • Cortafuegos personales ? interesantes para
    equipos personales o móviles

37
Seguridad Correo electrónico
  • Principal fuente de entrada de virus
  • Educación de los usuarios
  • No abrir ficheros adjuntos desconocidos
  • Preguntar al remitente la razón del fichero
  • Utilizar el antivirus
  • Abrir únicamente .jpg .gif .txt .html
  • Nunca abrir .exe .bat .vbs .ini
  • Emplear cifrado
  • Tener cuidado con los webmails

38
Seguridad Navegación web
  • Contraseñas almacenadas en el navegador
  • Información sensible ? protección SSL
  • Control de cookies web bugs
  • Navegación anónima

39
Seguridad Otros programas de comunicaciones
  • Programas de chat
  • Programas de mensajería instantánea (Messenger,
    Yahoo Pager, ICQ)
  • Programas de intercambio multimedia

40
Seguridad Física Operativa
  • Salvapantallas protegido por contraseña
  • Arranque desde el disco duro únicamente
  • Protección de la BIOS con contraseña
  • Gestión de contraseñas
  • Empleo de cifrado interno

41
Seguridad Formación
  • Internet ? cambios muy rápidos
  • Importante estar al día
  • Apoyo de la dirección
  • Concienciación de los usuarios

42
Conclusiones
  • Importancia
  • Necesidad
  • Concienciación
  • Aplicación efectiva
  • Evolución

43
Enlaces de interés
Información sobre cookies http//www.iec.csic.es/
criptonomicon/cookies/   Más información acerca
de SSL http//www.iti.upv.es/seguridad/ssl.html  
Cómo añadir SSL a su servidor Web Windows
IIS http//support.microsoft.com/support/kb/arti
cles/Q228/9/91.ASP Linux Apache
http//www.securityfocus.com/focus/sun/articles/ap
ache-inst.html   Cómo obtener un certificado
digital www.verisign.com www.ipsca.com Salvapant
allas para Linux http//www.linuxgazette.com/issu
e18/xlock.html    
  • Cortafuegos Box
  • http//www.watchguard.com/
  • http//www.intrusion.com/
  • http//www.gnatbox.com/
  •  
  • Cómo montar un cortafuegos con Linux
  • http//www.linuxdoc.org/HOWTO/Firewall-HOWTO.html
  • http//www.linux-firewall-tools.com/linux/
  •  
  • Cómo poner ACL en router Cisco
  • http//www.cisco.com/warp/public/cc/pd/iosw/ioft/i
    ofwft/index.shtml
  • Información sobre virus
  • http//virusattack.xnetwork.com.ar/home/index.php3
  • http//www.alerta-antivirus.es/
  •  
  • Comparativas de software antivirus
  • http//www.hispasec.com/comparativa2001.asp
  • http//www.terra.es/informatica/articulo/html/inf2
    318.htm

44
Enlaces de interés
  • Protección del LILO en el arranque
  • http//www.linux4biz.net/articles/articlelilo.htm
  •  
  • Gestor de contraseñas
  • http//www.counterpane.com/passsafe.html
  • PgpDisk
  • http//www.pgp.com/products/disk-encryption/defaul
    t.asp
  • Últimas versiones del Mirc , ICQ Messenger
  • http//www.mirc.org/
  • http//www.icq.com/products/
  • http//messenger.msn.es/Default.asp
  •  
  • Jabber (pasarela IM)
  • http//www.jabber.com/index.shtml
  • Algunos cortafuegos personales
  • http//www.zonealarm.com/

Cómo hacer una imagen de su equipo http//www.sym
antec.com/sabu/ghost/ghost_personal/ Criptonomicó
n www.iec.csic.es/criptonomicon   SecurityFocus
www.securityfocus.com   Kriptópolis www.kriptopol
is.com   Hispasec www.hispasec.com   CERT www.ce
rt.com   SecurityPortal www.securityportal.com
45
Preguntas
  • Última oportunidad de satisfacer su curiosidad...
  • ?

46
Planes de Seguridad Informática
  • Antonio Sanz ansanz_at_unizar.es

47
Indice
  • Introducción
  • Problemática de Seguridad
  • Definición de un Plan de Seguridad
  • Ciclo de vida de un PdS
  • Aspectos a tratar en un Pds

48
Problemática de Seguridad
  • Ideológica
  • Estructural
  • Tecnológica

49
Problemática de Seguridad ( II )
  • Ideológica
  • No obstaculizar el proceso de negocio
  • Nadie se hace responsable de los riesgos
  • Se actúa de modo reactivo, nunca preventivo
  • No se conoce el estado real de seguridad

50
Problemática de Seguridad ( III )
  • Estructural
  • Falta de responsabilidades establecidas
  • No hay normas definidas
  • No homogeneidad de los sistemas
  • No existe una asignación de recursos de seguridad

51
Problemática de Seguridad ( IV )
  • Tecnológica
  • No se conoce la propia red
  • No se conoce la Tecnología de Seguridad
  • Sensación de Falsa Seguridad

52
Problemática de Seguridad ( V )
  • Conclusiones
  • Existe una clara falta de conocimiento de
    Seguridad
  • Nadie quiere gastar dinero en Seguridad
  • La Seguridad se ve como un estorbo
  • Poco apoyo de la dirección
  • Mal vista por parte de los usuarios

53
Problemática de Seguridad ( VI )
  • Argumentos a favor de la Seguridad
  • La Seguridad es cada día más importante
  • ( http//www.cert.org/stats/cert_stats.html )
  • Inversión en Seguridad Póliza de Seguros
  • Cortafuegos Extintor

54
Problemática de Seguridad ( VII )
  • La Seguridad no es cara ni complicada
  • Una red segura es mucho más eficiente y robusta ?
    es más rentable
  • Hacia la dirección ? Convicción
  • Hacia los usuarios ? Concienciación

55
Plan de Seguridad
  • Plan de Seguridad
  • Conjunto de normas, políticas y procedimientos
    destinados a satisfacer unas necesidades de
    seguridad de un entorno definido

56
Plan de Seguridad ( II )
  • Un Plan de Seguridad permite
  • Analizar las necesidades de seguridad
  • Detectar los elementos críticos
  • Valorar los riesgos
  • Diseñar medidas de seguridad
  • Metodología modular sencilla y completa

57
Plan de Seguridad ( III )
  • Claves del éxito
  • Sencillez y claridad
  • Conseguir el apoyo de la dirección
  • Involucrar a toda la organización
  • Plantear beneficios, no problemas
  • Delimitar responsabilidades y deberes

58
Ciclo de vida un PdS
  • Evaluación
  • Análisis
  • Diseño
  • Implantación
  • Auditoría
  • Realimentación

59
PdS Evaluación
  • Recopilación de todos los recursos del entorno
  • Hardware PCs, routers, cintas magnéticas
  • Software Comercial, gratuito, open source
  • Datos Proyectos, BBDD, nóminas
  • Personal Empleados, know how
  • Varios Imagen pública, posición de mercado,
    reconocimiento

60
PdS Evaluación ( II )
  • Fase inicial ? Muy importante ser exhaustivo
  • Evaluar la funcionalidad de cada uno de los
    elementos dentro del entorno
  • Ayuda Creación de tablas

61
PdS Evaluación ( III )
  • Ej Servidor central
  • Hardware, guarda la BBDD de la Intranet, en la
    sala de datos, el Administrador de la Intranet
  • Ej Prestigio de marca
  • Varios, muestra el éxito de nuestro empresa, en
    todas partes, toda la empresa ( o Dep. Márketing )

62
PdS Análisis de riesgos
  • Para cada recurso se hace una lista de los
    posibles riesgos
  • Robo
  • No disponibilidad
  • Copia / Publicación
  • Uso indebido
  • Destrucción

63
PdS Análisis de riesgos ( II )
  • Valoración de las amenazas
  • Se puntúa de 1 (mínima) a 10 (máxima)
  • Facilidad de ejecución
  • Impacto en el recurso
  • Amenaza real Media entre Facilidad e Impacto
  • Sirve para ordenar las amenazas

64
PdS Análisis de riesgos ( III )
  • Ej Alienígenas abducen una semana al
    Departamento de Informática
  • Impacto 8, Facilidad 0 ? Amenaza 4
  • Ej Ladrón roba copias de seguridad y prende
    fuego al edificio
  • Impacto 10, Facilidad 6 ? Amenaza 8

65
PdS Análisis de riesgos ( IV )
  • Valoración de costes. Se calcula
  • CR Coste de Reparación
  • PO Probabilidad de Ocurrencia
  • CP Coste de Prevención
  • Si CR x PO gt CP ? Es un riesgo a minimizar
  • Si CR x PO lt CP ? No sale rentable
  • Ayuda Tabla organizadora
  • a) Mayor que el coste de prevención

66
PdS Análisis de riesgos ( V )
  • Ej Riesgo de incendio
  • CR 10M, PO 0.01, CP 10K (extintor)
  • CR x PO 100K gt 10K ? Se previene
  • Ej Godzilla arrasa la ciudad
  • CR 10M, PO 0.000001, CP 10M (centro de
    backup)
  • CR x PO 10 lt 10M ? Se asume el riesgo

67
PdS Análisis de riesgos ( VI )
  • Opciones posibles
  • Eliminar el recurso
  • Diseñar una contramedida
  • Asumir el riesgo
  • Contratar un seguro
  • Opciones más comunes 2) y 3)

68
PdS Diseño de contramedidas
  • Objetivo Eliminar, controlar o minimizar los
    riesgos identificados, y prevenir en la medida de
    lo posible riesgos futuros
  • Fase más importante del PdS
  • Lenguaje mixto Técnico / Humano
  • Áreas predeterminadas

69
PdSDiseño de contramedidas (II)
  • Copias de Seguridad
  • Antivirus
  • Usuarios
  • Contraseñas
  • Parches y updates
  • Seguridad de las comunicaciones
  • Logs
  • Administración de equipos
  • Contingencias
  • Incidencias de Seguridad
  • Formación
  • Seguridad Física

70
PdS Implementación
  • Imprescindible apoyo de la dirección (asignación
    efectiva de recursos)
  • Implicación de TODA la organización
  • Metodología Convencer, no imponer (mano de seda,
    guante de hierro)

71
PdS Auditoría
  • Objetivo Comprobar que las contramedidas han
    sido eficazmente aplicadas, y que realizan su
    función
  • Interna o Externa
  • Auditoría de Seguridad o del PdS
  • Mejora el PdS y asegura su eficacia

72
PdS Realimentación
  • PdS ? Renovación constante
  • Asignación de recursos necesaria
  • Se adapta a los cambios de la empresa

73
  • Dónde están las dudas, matarile rile rile ?

?
74
  • Muchas gracias por su tiempo

Antonio Sanz asanz_at_unizar.es
Write a Comment
User Comments (0)
About PowerShow.com
Home About Us Terms and Conditions Privacy Policy Presentation Removal Request Contact Us
Copyright 2024 CrystalGraphics, Inc. — All rights Reserved. PowerShow.com is a trademark of CrystalGraphics, Inc.
The PowerPoint PPT presentation: "Conceptos y Pr" is the property of its rightful owner.
Do you have PowerPoint slides to share? If so, share your PPT presentation slides online with PowerShow.com. It's FREE!