tema 1. seguridad física y lineamientos generales de seguridad

Seguridad en Redes

Seguridad en RedesTema 1. Seguridad fısica y lineamientos generales de seguridad

Francisco Medina Lopez —[email protected]

http://aulavirtual.capacitacionentics.com

Facultad de Contadurıa y AdministracionUniversidad Nacional Autonoma de Mexico

9 de febrero de 2015

http://aulavirtual.capacitacionentics.com

Seguridad en Redes

Seguridad fısica y lineamientos generales de seguridad

1 Seguridad fısica y lineamientos generales de seguridadIntroduccionUbicacion de un centro de datosComponentes basicosSistemas de proteccion electricaControl ambiental de un centro de datosSeguridad y prevencion de incendios en un centro de datosDiseno de redAtaques a la seguridad fısica

Seguridad en Redes


Introduccion


Seguridad en Redes


Introduccion

¿Que es la seguridad fısica?

Definicion

Todos aquellos mecanismos, generalmente de prevencion ydeteccion, destinados a proteger fısicamente cualquier recurso delsistema; estos recursos son desde un simple teclado hasta una cintade respaldo con toda la informacion que hay en el sistema,pasando por la propia CPU del equipo1.

Objetivo:

Proveer un entorno seguro para todos y cada uno de losactivos e intereses de la organizacion, incluyendo la actividaden los sistemas de informacion.

1urlhttp://www.uv.es/ sto/cursos/icssu/html/ar01s04.html

Seguridad en Redes


Introduccion

¿Por que es importante?

A menudo suelen relacionarse aspectos de seguridad fısica,con la primera etapa en la historia de la computacion.

A pesar de los muchos avances en aquellos aspectosrelacionados con la seguridad logica, la seguridad fısicacontinua siendo hoy dıa, un factor fundamental de laestrategia global de toda organizacion.

Ano con ano, informes confiables como el reporte anual delCSI*/FBI “Computer Crime and Security Survey”, mencionanque gran parte del porcentaje total de los incidentes deseguridad, provienen desde el interior, esto es... deindividuos quienes tienen acceso fısico a recursos internos!

Seguridad en Redes


Introduccion

¿Por que es importante? (2)

La seguridad fısica continua siendo tan relevante hoy dıacomo lo era hace treinta anos.

Aun sigue siendo necesario proteger el cuarto de servidores,limitando el acceso al mismo e instalando los candadosapropiados.

“Un usuario autorizado (The insider) intenta ganar acceso ainformacion sensible que se encuentra almacenada en un servidorde archivos. Existen controles logicos que impiden su acceso, sinembargo si el usuario simplemente puede acercarse al cuarto de

servidores y “tomar prestada” la cinta correspondiente al respaldodiario del servidor, los controles logicos sencillamente seran

brincados debido a la ausencia de controles fısicos”’.

Seguridad en Redes


Introduccion

Retos actuales de la seguridad fısica

Un aspecto interesante de la evolucion en la seguridad fısica,es que se encuentra relacionado con la complejidad que estareviste en la actualidad, en contraposicion a decadasanteriores, donde gran parte del problema pasaba por protegerel sitio donde se albergaba el mainframe.

Recientemente, el crecimiento del computo portable, aexpandido la necesidad de dirigir la seguridad fısica mas allade los limites tradicionales, convirtiendo este punto en unaspecto sumamente delicado.

Seguridad en Redes


Introduccion

¿Es una preocupacion actual?

La seguridad fısica ha requerido un cuidado especial en losultimos anos, principalmente debido a la amenaza terrorista.

En la actualidad, varias son las iniciativas del gobierno y delsector privado, respecto de la proteccion de la infraestructuracritica de los paıses.

Las amenazas a la infraestructura se han vuelto en muchoscasos globales y pueden materializarse en diversas formas. .

Aunque esto puede parecer dramatico, las amenazas quımicas ybiologicas se han convertido en metodos de ataque cada vez mas

viables

Seguridad en Redes


Introduccion

¿Que protege la seguridad fısica?

La seguridad fısica provee proteccion para:

los edificios,estructuras,vehıculos conteniendo sistemas de informacion ycualquier otro componente de red.

De acuerdo a sus caracterısticas, los sistemas son referidoscomo:

estaticos,moviles oportables.

Seguridad en Redes


Introduccion

Clasificacion de sistemas

Sistemas Estaticos (Static Systems)

Son instalados sobre estructuras en ubicaciones fijas.

Sistemas Moviles (Mobile Systems)

Son instalados en vehıculos o sitios que cumplen la funcion deestructura movil.

Sistemas Portables (Portable Systems)

Pueden ser operados en cualquier parte (edificios, vehıculos oen lugares abiertos)

Seguridad en Redes


Introduccion

¿De que nos queremos proteger?

Amenazas

Natural/Ambiental (Natural/Environmental)

Sistemas de Alimentacion (SupplySystems)

Producidos por el Hombre (Man-Made)

Eventos Polıticos (PoliticalEvents)

Seguridad en Redes


Introduccion

Amenazas Naturales / Ambientales

Terremotos (Earthquates)

Inundaciones (Floods)Tormentas (Storm)

Truenos (Thunder)Granizo(Hail)Relampago(Lightning)Nieve(Snow)Hielo(Ice)

Tornados (Tornadoes)

Huracanes (Hurricanes)

Erupciones Volcanicas (Volcanic eruptions)

Fuegos/Incendios Naturales

Temperaturas Extremas

Humedad Alta

Derrumbe del edificio

Seguridad en Redes


Introduccion

Sistemas de Alimentacion (Supply Systems)

Interrupcion de Comunicaciones (CommunicationOutage)

Distribucion de Energıa (Power Distribution)

Canerıas Rotas (Burst Pipes)

Seguridad en Redes


Introduccion

Producidos por el Hombre (Man-Made)

Explosiones

Empleados Disconformes (Disgruntled Employees)Acceso No Autorizado

HackersCrackers

Error del Empleado

Incendiarios (arson), incendios intencionales

Derrame de sustancias peligrosas (hazardous/toxic spills)

Contaminacion quımica

Codigo malicioso

Vandalismo y hurto (theft)

Fraude y Malversacion (embezzlement)

IntrusosActos No Intencionales

Derrame de bebidas

Seguridad en Redes


Introduccion

Eventos Polıticos (PoliticalEvents)

Bombas

Ataques terroristas

Espionaje

Alborotos(Riots) o disturbios civiles

Huelgas (Strikes)

Seguridad en Redes


Introduccion

Objetivos de un Programa de Seguridad Fısica

Prevenir y Disuadir el Crimen (Deferrence)Cercas, Senales de Precaucion, Guardias de Seguridad, Perros.

Reducir el Dano implementando mecanismos de retardo(Delaying)

Cerraduras, Medidas de defensa en profundidad, Control deAcceso.

Detectar crımenes o interrupciones (Detection)Sensores/Deteccion de intrusos (Internos y Externos)

Evaluar el Incidente (Assessment)Procedimientos para los guardias de seguridad, Estructuradecomunicaciones (Calling tree), Determinacion del Dano.

Establecer procedimientos de respuesta (Response)Fuerza de respuesta, Procedimientos de emergencia, Personalmedico, bomberos, policıa.

Seguridad en Redes


Introduccion

Controles de Seguridad Fısica

Controles AdministrativosSeleccion y Construccion de edificios.

Seleccion de un sitio seguro para la instalacionDiseno de un sitio seguro para la instalacion

Administracion del Edificio

Procedimientos de Emergencia

Controles de Personal

Revisiones pre-contratacionSeguimiento continuo de empleadosRevisiones post-contratacion

EntrenamientoSimulacrosPrevencion

Seguridad en Redes


Introduccion

Controles de Seguridad Fısica (2)

Controles TecnicosControl de AccesoDeteccion de IntrusosAlarmasMonitoreo (CCTV)Heating, Ventilation and air-conditioning (HVAC)Sistemas de AlimentacionDeteccion y Supresion de IncendiosBackups

Seguridad en Redes


Introduccion

Controles de Seguridad Fısica (3)

Controles FısicosCercas (Fencing)PuertasBollardsLlaves y Cerraduras (Master Keys)luminacionBarrerasMateriales de Construccion

Seguridad en Redes


Introduccion

Layered Approach

Un metodo facil de visualizar la seguridad fısica es pensar enella y su relacion con el entorno, como un esquema de defensabasado en capas.

Seguridad en Redes


Introduccion

Layered Approach (2)

El objetivo de los controles de seguridad fısica, es el deprevenir o disuadir eventos ilegales o No Autorizados y si ellosocurren detectar los mismos y eventualmente retardar laactividad a fin de ganar tiempo de respuesta.

Tal como es conocido por el profesional, un intruso“determinado” generalmente encontrara la forma de ganaracceso, si posee el tiempo, el dinero y la dedicacion necesaria.

Una forma de hacer mas dificultoso para los intrusos laobtencion de acceso por metodos no autorizados, es el decrear varias barreras de defensa.

De acuerdo al principio de “Layered Approach”, si un intrusopuede saltear una capa de control, la proxima capa deberıaproveer mayor poder de disuasion o capacidad de deteccion.

Seguridad en Redes


Introduccion

Concepto CPTED

Definicion

Crime Prevention Through Environmental Design estableceque el entorno fısico de un edificio, puede ser cambiado omanipulado de modo tal que sea posible producir cambios en elcomportamiento de las personas, a fin de lograr que sea posiblereducir la incidencia y el miedo al crimen.

El objetivo puntual de CPTED, es el de reducir la oportunidadde que crımenes o incidentes sucedan.

Este objetivo se logra por medio de la combinacion dehardware de seguridad, psicologıa y diseno del site, de modotal de lograr un entorno que por si mismo desaliente el crimen.

La relacion entre el comportamiento social de las personas ysu entorno es la esencia del concepto CPTED.

Seguridad en Redes


Introduccion

Concepto CPTED (2)

CPTED se encuentra construido sobre estrategias claves:Territorialidad

Las personas protegen el territorio que sienten como propio.Por su parte las personas suelen respetar el territorio de otros.CPTED especifica atributos fısicos para expresar propiedad.La identificacion de intrusos en este entorno es sumamentesencilla.

VigilanciaIntrusos no quieren ser vistos.Entornos donde los ocupantes pueden ejercer un alto grado decontrol visual, mayor cantidad de crımenes son reportados.Espacios abiertos e iluminacion pueden ser planeados parapromover la vigilancia natural.

Control de AccesoEntradas propiamente ubicadas, salidas y cercas puedencontrolar el flujo o limitar el acceso a hombres de pie oautomoviles.

Seguridad en Redes


Introduccion

Problematica de la seguridad fısica

Una caracterıstica distintiva de la seguridad fısica, es que estarepresenta el tipo mas obvio de seguridad.

Esto se debe a que en la mayorıa de los casos esta es visible.Las personas pueden ver cerraduras, paneles de alarma yguardias de seguridad.

Debido a que tanto los empleados como las personas ajenas ala organizacion pueden ver estos controles, los mismos puedendar una senal de la postura de seguridad tomada por laorganizacion.

Seguridad en Redes


Introduccion

En resumen

Si bien es cierto que los controles logicos ayudan a protegerlos recursos de la organizacion, ellos no pueden detener aquienes pueden tener acceso fısico a los mismos.

La seguridad fısica sigue siendo un componente basico yfundamental en el plan de seguridad integral de unaorganizacion.

“Mientras la seguridad de computo involucra atacantes,crackers y hackers, la seguridad fısica involucra intrusos,

vandalos y ladrones”

Seguridad en Redes


Ubicacion de un centro de datos


Seguridad en Redes



Seleccion de la Ubicacion I

Entre los aspectos a tener en cuenta a la hora de seleccionar unaubicacion, se encuentran los siguientes:

Visibilidad

AlrededoresVecinos (Caracterısticas)Poblacion (Densidad, Caracterısticas)

Entorno

Situacion respecto de crımenes en la zona, ataques terroristas,alborotos (riots)Proximidad con policıa, asistencia medica y bomberosExistencia de peligros potenciales en los alrededores

Accesibilidad

Carreteras, Calles, AsfaltoTraficoProximidad con aeropuertos, estaciones de tren, autopistas

Seguridad en Redes



Seleccion de la Ubicacion II

Desastres Naturales

Probabilidad de inundaciones, tornados, terremotos ohuracanes

Peligros relacionados con el terreno (derrumbes, lluvias o nieveexcesiva)

Es preferibles zonas geograficas alejadas de grandes centroscomerciales, de difıcil acceso o incluso a nivel subterraneo.

Seguridad en Redes


Componentes basicos


Seguridad en Redes


Componentes basicos

Componentes de la seguridad fısica

Elementos involucrados en la seleccion de un sitio seguro, sudiseno y configuracion.

Metodos para asegurar una instalacion contra acceso noautorizado (control de acceso).

Barreras fısicas.Biometrıa.

Metodos para asegurar el equipamiento contra robos dirigidosa ellos y a la informacion que contienen.

Medidas de seguridad y ambientales necesarias para protegerel personal, las instalaciones y los recursos asociados.

Seguridad en Redes


Componentes basicos

Controles de acceso y proteccion ambiental

Controles de AccesoRejasGuardiasBarrerasIluminacionLlaves y cerradurasTarjetas de identificacionEscoltasSistemas de Monitoreo / Deteccion

Proteccion AmbientalProteccion AmbientalProteccion ElectricaAire Acondicionado (HVAC)Proteccion contra HindundacionDeteccion / Supresion de IncendiosEvacuacionSistemas de Monitoreo / Deteccion Ambiental

Seguridad en Redes


Componentes basicos

Control de acceso - Barreras fısicas

Objetivo

Evitar la entrada a los equipos de computo y a los sistemas de red.

Perımetro: Entrada externa al edificio que esta protegida poralarmas antirrobo, muro externos, vallas y vigilancia.Normalmente se combina con el uso de una lista de acceso queidentifique fısicamente quien puede entrar a una instalacion yque un guardia o alguien que este amando pueda verificarlo.Cerradura: Una puerta con cerradura para proteger el centrode datos.Entrada: Acceso a la habitacion en la que estan los equiposde computo.

Cada una de estas entradas puede asegurarse, monitorearse yprotegerse de forma individual con sistema de alarma.

Seguridad en Redes


Componentes basicos

Control de acceso - Barreras fısicas

CompTIA Security+Study Guide: Exam SY0-201, Emmett Dulaney, Sybex, 2009

Seguridad en Redes


Componentes basicos

Mantrap


Seguridad en Redes


Componentes basicos

Emergency Panic Bars

“Panic Bars” tambien referidas como “Barras de salida deemergencia” o “Touch Bars”, son dispositivos con cerrojo depuertas, disenados especıficamente para permitir una salidainstantanea al presionar sobre una barra cruzada que libera lapuerta (Eventualmente activa una alarma) y permite que estasea abierta.

Varios desastres han ocurrido en edificios que poseıan salidassecundarias bloqueadas para impedir la entrada de intrusos,pero tambien evitaron que ante una situacion de emergencia,las personas puedan utilizarlas como vıas de escape.

Las “Panic Bars” al igual que las salidas de emergencia, sondisenadas para permitir una salida segura pero una entradacontrolada.

Por lo general, solo tienen traba/cerradura de un solo lado.

Seguridad en Redes


Componentes basicos

Emergency Panic Bars

Seguridad en Redes


Componentes basicos

Control de acceso - Biometrıa

Los sistemas biometricos utilizan un tipo de caracterıstica biologicaunica para identificar a una persona.

huellas dactilares,

patrones de retina y

huellas de manos

Seguridad en Redes


Sistemas de proteccion electrica


Seguridad en Redes



Energıa Electrica: Definiciones

Exceso de PoderSpike: Pico de alto voltaje momentaneo.Surge: Perıodo prolongado de alto voltaje.

Perdida de PoderFault: Perdida momentanea de poder.Blackout: Perdida de poder prolongada (apagon).

Degradacion de PoderSag/Dip: Perıodo reducido de baja tension.Brownout: Perıodo prolongado de baja tension.

Seguridad en Redes



Energıa Electrica: Definiciones

NoiseInterferencia aleatoria que afecta a un dispositivo y puedecausar fluctuaciones. Puede ser originada por InterferenciaElectromagnetica (EMI) o Interferencia de Radio Frecuencia(RFI)

Transient noise (Ruido Transitorio)Ruido de lınea (interferencia) de corta duracion.

Clean PowerPoder que no fluctua.

GroundCamino a tierra necesario para permitir que el voltaje excesivose disipe.

Seguridad en Redes



Requerimientos de alimentacion electrica

Lıneas de alimentacion de respaldo y alternativas

Origen de poder lımipio y constante

Tomas dedicados / Division Tableros por area

Colocacion y acceso protegido a los tableros de distribucion

Seguridad en Redes



Proteccion EMI

Se refiere al proceso para evitar que las emisiones electronicasde los sistemas informaticos se empleen para recabarinformacion e impedir que emisiones externas interrumpan lashabilidades de procesamiento de los datos.

Rodear el centro de datos con una jaula Faraday.

EMI (Electromagnetic Interference) y RFI (Radio FrequencyInterference) son dos consideraciones ambientales adicionales.

Los motores, las luces y otros tipos de objetos electromecanicosprovocan EMI, que pueden producir sobrecargas de circuitos,picos o fallas de los componentes electricos.

Seguridad en Redes



Interferencia electromagnetica


Seguridad en Redes



Proyecto TEMPEST

Defincion

Proyecto iniciado por el gobierno de USA a finales de los anos 59con el objetivo de reducir el ruido electromagnetico de dispositivosque divulgaban datos sobre los sistemas de informacion.

Hoy se ha convertido en un estandar.

Seguridad en Redes


Control ambiental de un centro de datos


Seguridad en Redes



Requerimientos del Aire Acondicionado

Dedicado.

Controlable.

Electricidad independiente.

Controles de apagado de emergencia.

Tomas de aire protegidas.

Monitoreable.

Los sistemas HVAC deben mantener la temperatura y el nivelde humedad apropiados, proveer recirculacion de aireacondicionado del tipo close-loop y presurizacion positiva.

Los sistemas HVAC deben ser apagados antes de que losmecanismos de supresion de fuego sean activados, a fin deasegurar que el humo no sera disipado a otras areas.

HVAC=Heating, Ventilation, and Air-Conditioning

Seguridad en Redes



Pasillos frıos y calidos

Seguridad en Redes


Seguridad y prevencion de incendios en un centro de datos


Seguridad en Redes



Tipo de los extintores

De acuerdo al agente extintor los extintores se dividen en lossiguientes tipos:

A base de agua

A base de espuma

A base de dioxido de carbono

A base de polvos

A base de compuestos halogenados

A base de compuestos reemplazantes de los halogenoshttp://www.misextintores.com/lci/tipo-y-clasificacion-de-los-extintores

http://www.misextintores.com/lci/tipo-y-clasificacion-de-los-extintores

Seguridad en Redes



Clasificacion de los extintores

Seguridad en Redes


Diseno de red


Seguridad en Redes


Diseno de red

Seguridad del perımetro

Primera lınea de defensa de un modelo de seguridad

Seguridad en Redes


Diseno de red

Zonas de seguridad

Area en el cual el acceso se monitores y se controla de formaindividual.

Seguridad en Redes


Diseno de red

Particion

Proceso por medio del cual se divide una red para lograr aislaruna red de otra.

Seguridad en Redes


Ataques a la seguridad fısica


Seguridad en Redes



Ataques mas comunes

Ingenierıa socialConfianzaIgnoranciaCulpaEnvidiaDeseo de ayudar a otrosDeseo de ser aceptado

Lock Picking

Dumpster Diving

Shoulder Surfing

Fotografıa

Open Source Intelligence (OSINT)Espionaje

Grabadoras telefonicasSniffersKeyloggers

Seguridad en Redes



Unauthorised Access

Seguridad en Redes

Conclusiones

Controles basicos de seguridad fısica

Guardias

Perros

Cercas

Iluminacion

Cerraduras

CCTV

Seguridad en Redes

Referencias bibliograficas

Referencias bibliograficas I

S Harris.CISSP Certification All-in-One Exam Guide, Fourth Edition.McGraw-Hill Osborne Media; 4 edition (November 9, 2007).

tema 1. seguridad física y lineamientos generales de seguridad

Education