temario - cybseccybsec.com/upload/segperim.pdf · 1 temario ¿qué es la seguridad informática?....

1

TEMARIO

¿Qué es la seguridad informática?.Activos informáticos.El problema de la seguridad por oscuridad.Casos de seguridad informática conocidos Conociendo al enemigo¿Qué es un hacker?Intrusos.Objetivos de los intrusos.Niveles de conocimientos.Terrorismo informático.Métodos de ataque.Expuestos de los sistemas.Vulnerabilidades.Soluciones de Seguridad Límites de una red (LAN, Interconexión de LAN, WAN, Extranet, Internet).Análisis de interfaces en los límites.Barreras de seguridad (Access Server, Router, Proxy Server, Firewalls).El usuario interno y externo.Sistemas de detección de intrusiones. Certificados digitales. Penetration Test. Políticas de seguridad (Análisis de riesgo, plan de seguridad, alarmas y plan de contingencias).Actualización constante (Medida clave).

Seguridad InformáticaSeguridad InformáticaPerimetralPerimetral

Lic. Julio C. ArditaLic. Julio C. [email protected]

14 de Junio de 2000

Buenos Aires - ARGENTINA

© 2000 CYBSEC

2

3© 2000 CYBSEC

Seguridad Informática PerimetralSeguridad Informática Perimetral

TemarioTemario

- Seguridad Informática.

- Conociendo al enemigo.

- Vulnerabilidades de Seguridad Informática.

- Soluciones de Seguridad Informática.

4© 2000 CYBSEC

Seguridad InformáticaSeguridad Informática

¿Qué es la Seguridad Informática?

La seguridad informática concierne a la protección de lainformación que se encuentra en una computadora o unared de ellas y también a la protección del acceso a todoslos recursos del sistema.

¿Qué es la Seguridad Informática Perimetral?

El área de la seguridad informática encargada de defender

y vigilar las fronteras de “mi lugar”.

5© 2000 CYBSEC


Evolución de la seguridad informáticaEvolución de la seguridad informática

1994Passwords y Criptografía

2000 Seguridad Informática en diversas áreas

6© 2000 CYBSEC


¿Qué son los ACTIVOS INFORMATICOS de una Empresa?

Es el valor de la información que se encuentra dentro de los

equipos informáticos.

Casi nunca se tiene en cuenta que lo que más valor posee enun sistema informático es la información que se encuentraalmacenada en los equipos y no el costo del equipo en simismo.

7© 2000 CYBSEC


EL PROBLEMA

DE LA

"SEGURIDAD POR OSCURIDAD"

8© 2000 CYBSEC


Corte Suprema de Justicia. Hackeada su página de Web

(Clarín 27/1/98)Amaneció ayer con fotos de Cabezas, el periodista asesinado y unaproclama que reclama por el esclarecimiento del crimen del fotógrafo.

Se incluyeron además conexiones directas a los sitios de losReporteros Gráficos de la Rep. Arg., para quienes deseen obtenerdetalles sobre el caso.

Los técnicos del Poder Judicial borraron la intromisión, pero loshackers volvieron a la carga y pusieron una vez más su proclama enla red, con la cual la página de la Corte Suprema debió ser mantenidaintervenida.

9© 2000 CYBSEC


Ataque a correo electrónico de embajadas en SRI Lanka

(San Francisco Examine, 5/7/98)El pasado otoño , computadoras de varias embajadas en SRI Lanka,fueron atascadas con e-mails enviados intencionalmente por el grupo guerrillero Tamil, según denunciaron fuentes oficiales de inteligencia .Informan que este ha sido el primer ataque hecho por un grupo terrorista conocido, en los sistemas de ese país.

Además paralizaron la network durante 2 semanas, enviando más de 800 mensajes por día , a los sistemas de diferentes embajadas situadas en Europa, Norte América y Asia .

El mensaje enviado por e-mail decía: “Somos Los Tigres Negros de Internet y estamos haciendo esto para interrumpirles las comunicaciones”.

10© 2000 CYBSEC


Hackers Pacifistas lograron violar los archivos atómicos indios

(La Nación 6/14/98 - The Sunday Times)Un hacker miembro de una agrupación internacional llamada Milworm, penetró en las computadoras del laboratorio donde la India desarrolló sus armas nucleares. Robó y borró material de investigación y dejo un mensaje denunciando los experimentos nucleares que ese país está realizando.

El ataque fue efectuado desde computadoras ubicadas en Inglaterra y Nueva Zelanda.

Para eludir la identificación, ellos usaron PC identificadas primero con los sistemas centrales de control de la NASA, la Armada y la Marina de los Estados Unidos.Después de interrumpir el funcionamiento de la red , dejaron este mensaje : “Su labor no es clara ni es maravillosa. Dejen de pensar en que la destrucción es un hecho positivo”.

11© 2000 CYBSEC


Atacaron la página de Web del New York Time

(Clarín, 14 de setiembre 98)Piratas informáticos atacaron ayer la página en Internet del diario norteamericano New York Times, informó Nancy Nielsen, una vocera del diario. “Un editor descubrió, que la página había sido alterada a las 7:50 a.m. Nielsen dijo que un grupo que se hizo llamar “Hacking og Girlies” alteró la página ridiculizando a varios miembros de la redacción del diario, en particular a John Markoff , autor del libro Take Down, que detalla la detención de Kevin Metick, un hacker que actualmente está en prisión desde 1995. Markoff ya había sido atacado con anterioridad por hackers.

12© 2000 CYBSEC


Ataques contra Web Servers

En Argentina, entre 1998 y el 2000 se han registrado57 ataques exitosos.

Ejemplos de estos ataques son los Web Servers de:

• Poder Judicial de Santa Fe.• Clarín Digital.• Laboratorios Bagó.• Senado de Buenos Aires.• Unicef Argentina.• Artear Televisora, Canal 13.• Quickpress.

Fuente: Attrition

13© 1999 CYBSEC

Conociendo al EnemigoConociendo al Enemigo

Si voy a proteger mi Sistema Informático, debo conocer a

mi posible atacante, saber quién es, qué hace, qué conoce

de mi sistema, debo ... “conocer a mi enemigo” y aceptar

que deberé convivir con él.

Internet es un mundo virtual, maravilloso, pero también puede

ser riesgoso por su intrínseca falta de control y restricciones.

14© 2000 CYBSEC


¿QUÉ ES UN HACKER?

Una persona que disfruta explorando los detalles internos de los sistemas informáticos y cómo extender sus capacidades más alláde lo normal.

Una persona que disfruta con entusiasmo la programación.

Un experto o entusiasta en una determinada área.

¿QUÉ ES UN CRACKER?

Una persona que accede en forma no autorizada a un SistemaInformático con intenciones de provocar daño.

15© 1999 CYBSEC


Potenciales “enemigos”

- Espías Industriales.

- Usuarios del sistema.

- Empleados.

- Ex-empleados.

- Crackers.

- Vándalos.

- Dos millones de adolescentes.

16© 1999 CYBSEC


Objetivos de los intrusos sobre un Sistema Informático

- Robo de información confidencial.

- Fraude financiero.

- Modificación de archivos.

- Negación del servicio.

- Destrucción del Sistema Informático.

- Sabotaje Corporativo.

17© 2000 CYBSEC


TIPOS DE INTRUSOS

30% EXTERNOS.

70% INTERNOS.

18© 2000 CYBSEC


3%

7%

10%

80%

NIVELES DE CONOCIMIENTO DE LOS INTRUSOS

INTRUSOS "D"

INTRUSOS "C"

INTRUSOS "B"

INTRUSOS "A"

19© 2000 CYBSEC


"TERRORISMO INFORMÁTICO”

Terrorismo informático aplicado sobre un País atacando los sistemas de infraestructura básica: electricidad, agua, gas y comunicaciones.

Formación de crackers terroristas.

Impacto en los países del mundo.

Congreso sobre Terrorismo Informático.

20© 2000 CYBSEC

Vulnerabilidades de Seguridad InformáticaVulnerabilidades de Seguridad Informática

Módem

RED PUBLICA

INTERNET

21© 2000 CYBSEC


Módem

RED PUBLICA

INTERNET

1. Empleado Interno2. Módems / RAS3. Conexión con red pública.4. La red pasa por lugares inseguros.5. Conexión con Internet.

1

2

3 3

4

5

22© 2000 CYBSEC


Vulnerabilidades de los Sistemas Informáticos

Plataforma (Windows NT - UNIX - AS/400).

Aplicación (Bases de Datos - Web Servers).

Exploits.

Diseño de nuevos Sistemas Operativos y aplicaciones en un entorno seguro: Inferno.

23© 2000 CYBSEC


Vulnerabilidades clasificadas por Sistema Operativo:

Sistema Operativo Vulnerabilidades

FreeBSD 30

HPUX 23

IRIX 50

LINUX 147

SUN y Solaris 95

Windows NT 133

Fuente: Bugtraq

24© 2000 CYBSEC

Soluciones de Seguridad InformáticaSoluciones de Seguridad Informática

Existen herramientas para soluciones los problemas de

Seguridad Informática.

- Diseño en un entorno asegurado.

- Firewalls.

- Sistemas de detección de intrusiones.

- Certificados digitales.

- Encriptación de las comunicaciones.

- Penetration Test periódicos.

- Actualización constante.

25© 2000 CYBSEC

Diseño en un entorno aseguradoiseño en un entorno asegurado

El diseño seguro de un Sistema Informático debe realizarse

teniendo en cuenta:

- Seguridad de toda la red.

- Seguridad de la plataforma a utilizar.

- Seguridad de la aplicaciones.


26© 1999 CYBSEC


FirewallsFirewalls

Un sistema que permite cumplir con una política de acceso.

Se utiliza para proteger una red de computadoras segura conectada

a una red insegura (Internet).

FirewallRed Interna

INTERNET

27© 1999 CYBSEC


FirewallsFirewalls

- Packet Filtering

- Controla el tráfico en base a la dirección IP origen y destino y al

puerto origen y destino.

- La conexión entre la computadora origen y destino es real.

- No requiere cambios a nivel de cliente.

- Aplication Gateway (Proxy)- Controla el tráfico además a nivel de aplicación.

- La conexión entre la computadora origen y destino no es real.

- Requiere cambios a nivel de cliente.

28© 1999 CYBSEC


Sistemas de detección de intrusionesSistemas de detección de intrusiones

- Un sistema que intenta detectar cuando un intruso trata de

ingresar en forma no autorizada o trata de realizar una acción

“peligrosa”.

- Los IDS funcionan las 24 horas, los 365 días del año.

- Detectan intrusiones en tiempo real tomando acciones pre-

establecidas.

29© 1999 CYBSEC



¿Cómo funcionan los IDS?

Funcionan como programas agentes que monitorean la red

(Sniffers) en busca de actividades no autorizadas. En algunos

casos se basan sobre los logs que producen los sistemas y en

otros se basan sobre la información que estos agentes recaudan.

30© 1999 CYBSEC



Técnicas para detectar comportamientos intrusivos:

- Reconocimiento de ataques.

- Modelo de riesgo.

- Detección anómala.

31© 2000 CYBSEC

Certificados digitales Certificados digitales

Elevan el nivel de seguridad en el Sistema Informático,

ya que el Usuario sabe que opera en un Site seguro.

Permiten autenticar personas y equipos informáticos.

Permiten además activar la encriptación de la información

que se transmite.


32© 2000 CYBSEC

Encriptación de las comunicacionesEncriptación de las comunicaciones

Las comunicaciones que se transmiten entre los Sistemas

Informáticos deben ir encriptadas con algoritmos fuertes cuando

los datos viajen por redes públicas no seguras.

El protocolo de encriptación más utilizando para el Comercio

Electrónico es el SSLSSL, que es muy fuerte y se encuentra presente

en la mayoría de los Browsers.


33© 2000 CYBSEC

Penetration Test periódicosPenetration Test periódicos

Se trata de emular y simular comportamientos y técnicas que

pueden ser utilizadas por los intrusos con el objetivo de analizar

el nivel de seguridad y la exposición de los sistemas ante

posibles ataques.

Permite detectar vulnerabilidades en el Sistema Informático

y corregirlas en forma muy rápida y eficaz.


34© 2000 CYBSEC

Penetration Test periódicosPenetration Test periódicos

Características:

- Son efectuados sin previo aviso.

- Los objetivos se determinan previamente.

- Se evalúa la respuesta de los administradores de seguridad ante un

intento de intrusión.

- Entre las pruebas que se realizan se incluyen las últimas

vulnerabilidades existentes.

- Duración: Aproximadamente 48 horas.


35© 2000 CYBSEC

Actualización constanteActualización constante

Actualización diaria o semanal de los Sistemas con respecto

a nuevas vulnerabilidades.

Capacitación de los Administradores de Seguridad.

Entrenamiento sobre el manejo de intrusiones y simulación

de ataques informáticos.


36© 2000 CYBSEC

ConclusionesConclusiones

- Los intrusos existen y el nivel de peligrosidad de los mismos aumenta cada vez más.

- Los incidentes de seguridad, dejaron de ser un problema técnico, para ser un problema que afecta a la Dirección, las Gerencias de las Organizaciones y a las Autoridades, ya que directamente significarán perder clientes, perder Mercados y hasta perder la propia Empresa.

- La seguridad de un Sistema Informático requiere de políticas de seguridad acordes y de todo un conjunto de herramientas que funcionen sinergicamente.

Seguridad InternaSeguridad Interna

Ing Ing Alejandro Alejandro [email protected]

14 de Junio de 2000

Buenos Aires - ARGENTINA

1. Límites o fronteras de una red (LAN, Interconexión de LAN, WAN, Extranet, Internet).

LAN Aislada:

Interconexión de LAN:

Con Vínculos dedicados:

A través de redes públicas de conmutación de paquetes:

LAN Aislada

LAN - A LAN - B

Línea dedicada

LAN - A LAN - BFrame Relayo

X - 25

Accesos usuarios remotos

Accesos a Internet

LANPool de modem

oAccess server

LAN INTERNET

1. 2. Análisis de interfaces en los límites:

Intranet

ExtranetInternet

Intranet ExtranetInternet

Política de Seguridad (RFC1244)

Análisis de riesgo

Grado de exposición

Plan de Seguridad(Certificación ISO: procedimientos)

3. Barreras de seguridad (Access Server, Router, ProxyServer, Firewalls).

- Router:

- Cadenas de router:

- Firewall:

- Proxy:

- Access Server:

4. El usuario interno y externo:

- Interno: (80 % Intrusiones: 50 % Errores.15 % Descuidos.15 % Deshonestidad.)

* ¿Quién puede tener cuenta?* ¿Qué privilegios existen?* Duración, contraseñas, renegociación, remoción,

grupos, etc.* Alejamientos, suspenciones, cambios.

- Externo: (20 % Intrusiones : 10 % seguridad física. 10 % Remotamente.)

* Usuarios remotos.* Usuarios “amigos”.* “Amigos de los amigos”.* Desconocidos.

5. Sistemas de detección de intrusiones:

PASOS:

a. Determinación del problema:

- ¿Es esto real?- Alcance: ¿Está acotado? – ¿Cuántos host? - ¿Punto de entrada? - ¿Daño potencial? -

¿Tiempo y recursos necesarios?- Notificaciones.

b. Respuesta:

- Proteger y proceder.- Seguir y perseguir.

c. Registros:

- Eventos.- Acciones.- Conversaciones y notificaciones.

HERRAMIENTAS:

a. Auditorías:

- Al implementar un nuevo Software o Hardware en la red.- Agendadas- Aleatorias:- Al detectarse una falla (Emergencia)

b. Monitoreo:

- De accesos.- De recursos.- De actividad.- Físico.

c. Alarmas:

- Empleo de líneas base.- Activación de mail, mensajes, beepers, etc.

MEDIDAS:

- Seguimiento de rastros (Registros, programas, rutas, puertas de accesos,contraseñas, etc).

- Bloqueos de recursos y accesos.

- Delimitación de la zona afectada.

- Detenimiento de servicios y Hardware.

- Derivación a zonas de sacrificio.

- Contramedidas.

- Acciones legales.

- Comunicación con organizaciones de seguridad y proveedores.

SOFTWARE O HARDWARE A EMPLEAR:

- Analizadores de protocolo y/o Sniffers ( Microsoft Network Monitor, HPInternet Advisor, Wandell & Goltermann DOMINO, NetxRay, Netlog, EtherScan,argus, TCPdump, SATAN, nocol, Trinux, Sniffit, Esniff.c, Juggernault,Ethload.exe, Ethdump.exe, etc).

- Control de accesos (Registros de sistemas, TCP wrappers, Routers, Proxy,Firewalls, noshell, etc)

- Integridad de sistemas (TCP wrappers, Internet Security Scanner, COPS, Tiger,Tripwire, Lsof, C2Config, Passprop, etc).

- Consistencia de puertos ( TCPLogger, UDPLogger, ICMPLogger, WUPS,WINFO, ntis422, Courtney, Gabriel, TCPList, Suck Server, etc).

- Obtención de estadísticas (Monitores de sistemas, nstat, etc).

- Estado de funcionamiento de sistemas (Sentinel, Trascend, etc).

- Crackeadores (Lophtcrack, Crack, ScanNT, etc).

- Antisniffers (Check Promiscuous Mode, ifstatus, etc).

- Mapeadores de direcciones (ARPWATCH, Internet Scanner, etc).

COMANDOS A EMPLEAR:

a. netstat: Muestra estadísticas de red y conexiones TCP/IP

b. arp: Muestra el contenido de la memoria caché arp.

c. nbtstat: Muestra estadísticas y conexiones de la memoria cachéNetBIOS,.

d. trace route, tracert: En realidad es un programa, sirve para marcar unaruta.

e. nslookup: Brinda información acerca de un dominio DNS.

f. Ping (Packet INternet Groper): Mensaje ICMP, tipo Nro 0 y 8, eco.

g. finger: Muestra información acerca de un usuario específico

h. ipconfig o Winipcfg: Muestra información de configuración local.

i. rcp: Permite realizar copias remotas.

j. rsh : Ejecuta comandos en un Host remoto.

k. Telnet: Terminal remota.

l. ftp: Transferencia de archivos.

6. Certificados digitales:

Fichero que garantiza la identidad de un usuario, su empleo es para:

- Servidores Web seguros.- Sistemas de pago seguros (SET).- Firma digital de documentos.- Cifrado digital de documentos.- Firma de programas.

Autenticación: RFC 1422 (X.509) (Arquitectura de administración de claves, la másreciente es la versión X.509V3).

RFC 1423 (Algoritmos empleados para autenticación).

METODOLOGIA: Participación en el TELECURSO PGP de: http://www.rediris.es/pgp/

7. Políticas de seguridad:

a. Política de seguridad (Estrategia – Macro).

b. Plan de seguridad (Detalle – Cómo):

1) Análisis de Riesgo.2) Lineamiento del plan.3) Análisis de detalle.4) Procedimientos normales.5) Procedimientos contra incidentes.6) Procedimientos Post incidentes.

8. Actualización constante (Medida clave).

a. Listas de correo: Una de las medidas más importantes en este tema es subscribirse a algunalista de correo de seguridad, alguna de las cuales pueden ser:

SSSeeecccuuurrriiitttyyy---rrreeeqqquuueeesssttt@@@cccpppddd...cccooommm

RRRiiissskkksss---rrreeeqqquuueeesssttt@@@cccssslll...sssrrriii...cccooommm

LLLiiissstttssseeerrrvvv@@@llleeehhhiiiiiibbbmmm111...bbbiiitttnnneeettt

BBBuuugggtttrrraaaqqq---rrreeeqqquuueeesssttt@@@cccrrriiimmmeeelllaaabbb...cccooommm

CCCeeerrrttt---tttoooooolllsss---rrreeeqqquuueeesssttt@@@ccceeerrrttt...ssseeeiii...cccmmmuuu...eeeddduuu

TTTcccppp---iiippp---rrreeeqqquuueeesssttt@@@nnniiisssccc...sssrrriii...cccooommm

ssseeeggg---lll@@@ssseeecccuuurrreeennneeetttwwwooorrrkkksss...cccooommm

b. Grupos de noticias:

- misc.security- alt.security- comp.security.announce- comp.protocols.tcpip (Discusión sobre la pila de protocolos TCP/IP)

c. Consulte organismos de seguridad:

http://escert.upc.es (Barcelona, España)http://www.rediris.es/cert (España)http://cert.nextra.ch/ (Suiza)http://www.mxcert.org.mx (Méjico)http://www.cert.org ; http://www.cert.mil ;http://www.house.gov/ushcert (EEUU)http://first.org (Mundial)http://www.cert.dfn.de/eng/csir/europe/certs.html (Europeo)http://www.arcert.gov.ar/ (Argentina)ftp://ftp.auscert.org.au (Australia)http://www.mzt.hr/~gaus/hrcert.html (Croacia)http://www.cert.dk ; http://www.nordu.net/cert/ (Dinamarca)

http://www.nordu.net/cert/ (Estonia)http://www.cert.funet.fi (Finlandia)http://www.urec.fr/Renater/Securite/CERT-RENATER.html (Francia)http://www.cert.dfn.de/eng/csir/europe/dfncert.html (Alemania)http://www.cert.isnet.is/ (Islandia)http://idea.sec.dsi.unimi.it/cert-it.html (Italia)http://www.eurocert.net/teams/litnet-cert.htmlhttp://www.certcc.or.kr/ (Corea)http://www.nask.pl/NASK/CERT/ (Polonia)http://www.jpcert.or.jp/ (Japón)http://www.arnes.si/en/si-cert/ (Eslovenia)http://www.singcert.org.sg/ (Singapur)http://www.uni-cert.nl/ (KPN Telecom )http://www.ja.net/CERT/cert.html

d. Consulte novedades de seguridad en Internet:

http://www.netcraft.co.uk/security/diary.html http://ciac.llnl.gov (Computer Incident Advisory Capability)http://www.dante.net/safeflow.html http://cs-www.ncsl.nist.gov/ (National Institute Standard Tecnologies)http://www.gatech.edu/itis/security/home.html (Instituto de tecnología de GeorgiaEEUU)http://www.rootshell.comhttp://ccf.arc.nasa.gov/ITS/ (NASA: Principle Center for Information TechnologySecurity), también http://nasirc.nasa.gov/NASIRC_home.htmlhttp://www.ncsa.uiuc.edu/people/ncsairsthttp://infosec.nosc.mil/ (Naval Computer Incident Response Team)http://www.hispasec.comhttp://www.trinux.orghttp://www.cs.purdue.edu/coasthttp://www.itso.iu.edu/ (Universidad de Indiana EEUU)http://www.stanford.edu (Universidad de Stanford)http://www.switch.ch/cert (Academia Suiza de Investigación de redes)http://info.ox.ac.uk/compsecurity/oxcert/ (Universidad de Oxford)

http://www.cisco.com (Cisco System)http://www.nai.com (Network Associates Labs)http://www.ers.ibm.com/ (IBM Emergency ResponseService).http://www.core-sdi.com/Core-SDI/spanish/FreeSoft.htmlhttp://www.alw.nih.gov/Security/fist-papers.htmlhttp://www.underground.orghttp://www.rootshell.com - (exploits)http://csrc.nist.govhttp:/in-contact.com/internet/seguridadhttp://www.core-sdi.com/Core-SDI/spanish/FreeSoft.html(Casa del Secure Logger).http://iss.net (Internet Security System).http://dixguard.com.www.securityfocus.orgwww.NTsecurity.orgwww.snort.orgwww.trinux.orgwww.astalavista.box.skwww.opensec.net

http:/moon.inf.uji.es

Muchas gracias por acompañarnos . . .

temario - cybseccybsec.com/upload/segperim.pdf · 1 temario ¿qué es la seguridad informática?....

Documents