Seguridad y Alta Disponibilidad Adopción de pautas de seguridad informática Carlos Villarrubia Jiménez Escuela Superior de Informática Universidad de Castilla-La Mancha Contenido ● Principios de seguridad informática ● Seguridad física ● Seguridad lógica ● Análisis forense en sistemas informáticos Contenido ● Principios de seguridad informática ● Seguridad física ● Seguridad lógica ● Análisis forense en sistemas informáticos Principios de seguridad informática ● Definición ● Objetivos de la seguridad informática ● Defensa en profundidad ● Servicios de seguridad informática ● Gestión de la seguridad de la información ● Vulnerabilidades de los sistemas informáticos ● Amenazas a la seguridad informática Principios de seguridad informática ● Definición ● Objetivos de la seguridad informática ● Defensa en profundidad ● Servicios de seguridad informática ● Gestión de la seguridad de la información ● Vulnerabilidades de los sistemas informáticos ● Amenazas a la seguridad informática Definición de seguridad informática ● La preservación de la confidencialidad, la integridad y la disponibilidad de la información, pudiendo, además, abarcar otras propiedades, como la autenticidad, la responsabilidad, la fiabilidad y el no repudio (ISO/IEC 27001-2005) Definición de seguridad informática ● ● Serie de mecanismos que minimizan la vulnerabilidad de bienes y recursos en una organización (ISO 7498-1984) Medidas y controles que aseguran la confidencialidad, integridad y disponibilidad de los activos de los sistemas de información, incluyendo hardware, software, firmware y aquella información que procesan, almacenan y comunican (Infosec Glossary-2000) Principios de seguridad informática ● Definición ● Objetivos de la seguridad informática ● Defensa en profundidad ● Servicios de seguridad informática ● Gestión de la seguridad de la información ● Vulnerabilidades de los sistemas informáticos ● Amenazas a la seguridad informática Objetivos principales de la seguridad informática ● ● ● Confidencialidad: La propiedad por la que la información no se pone a disposición o se releva a individuos, entidades o procesos no autorizados Integridad: La propiedad de salvaguardar la exactitud y completitud de los activos Disponibilidad: La propiedad de ser accesible y utilizable por una entidad autorizada Activo: Cualquier bien que tiene valor para la organización Objetivos deseables de la seguridad informática ● ● ● Autenticidad: Característica que se refiere a la comprobación y confirmación de la identidad real de los activos (procesos, sistemas, información) y/o actores (usuarios) y/o de la autorización por parte de los autorizadores, así como la verificación de estas tres cuestiones Fiabilidad: Propiedad relativa a la consistencia en el comportamiento y en los resultados deseados No repudio:Característica que permite garantizar la autoría de un mensaje y/o su envío Principios de seguridad informática ● Definición ● Objetivos de la seguridad informática ● Defensa en profundidad ● Servicios de seguridad informática ● Gestión de la seguridad de la información ● Vulnerabilidades de los sistemas informáticos ● Amenazas a la seguridad informática Defensa en profundidad ● ● Diseño e implementación de varios niveles de seguridad dentro del sistema de información de la organización La seguridad de la organización es el resultado de operaciones realizadas por personas y soportadas por la tecnología Niveles de defensa en profundidad ● Políticas y procedimientos de seguridad ● Seguridad física y del entorno ● Defensa perimetral ● Defensa de red ● Defensa de equipos ● Defensa de aplicaciones ● Defensa de datos Principios de seguridad informática ● Definición ● Objetivos de la seguridad informática ● Defensa en profundidad ● Servicios de seguridad informática ● Gestión de la seguridad de la información ● Vulnerabilidades de los sistemas informáticos ● Amenazas a la seguridad informática Servicios de seguridad informática ● Confidencialidad, integridad y disponibilidad ● Autenticación, autorización y auditabilidad ● No repudio ● Anonimato ● Protección a la réplica ● Referencia temporal (certificación de fechas) ● Certificación mediante Terceros de Confianza Principios de seguridad informática ● Definición ● Objetivos de la seguridad informática ● Defensa en profundidad ● Servicios de seguridad informática ● Gestión de la seguridad de la información ● Vulnerabilidades de los sistemas informáticos ● Amenazas a la seguridad informática Gestión de la seguridad de la información ● Sistema de Gestión de la Seguridad de la información (SGSI): La parte del sistema de gestión general, basada en un enfoque de riesgo empresarial, que se establece para crear, implementar, operar, supervisar, revisar, mantener y mejorar la seguridad de la información Recursos del sistema ● Son los activos a proteger del sistema de información: ● Recursos hardware ● Recursos software ● Elementos de comunicación ● Información que se almacena, procesa y distribuye ● Locales y oficinas ● ● Personas que utilizan directa o indirectamente el sistema Imagen y reputación de la organización Amenazas ● Posible causa de un incidente no deseado, el cual puede ocasionar un daño a un sistema o a una organización Origen de las amenazas ● ● ● Amenazas naturales: inundación, incendio, tormenta, fallo eléctrico, explosión, etc... Amenazas de agentes externos: virus informáticos, ataques de una organización criminal, sabotajes terroristas, disturbios y conflictos sociales, intrusos en la red, robos, estafas, etc... Amenazas de agentes internos: empleados descuidados con una formación inadecuada o descontentos, errores en la utilización de las herramientas y recursos del sistema, etc... Intencionalidad de las amenazas ● ● ● Accidentes: averías del hardware y fallos del software, incendio, inundación, etc... Errores: errores de utilización, de explotación, de ejecución de procedimientos, etc... Actuaciones malintencionadas: robos, fraudes, sabotajes, intentos de intrusión, etc... Vulnerabilidad ● Debilidad de un activo o grupo de activos que puede ser explotada por una o más amenazas Incidente de seguridad ● Un único evento o una serie de eventos de seguridad de la información, inesperados o no deseados, que tienen una probabilidad significativa de comprometer las operaciones empresariales y de amenazar la seguridad de la información Es decir, se considera que un incidente es la materialización de una amenaza Impacto ● El impacto es la medición y valoración del daño que podría producir a la organización un incidente de seguridad Riesgo ● Es la posibilidad de que se produzca un impacto determinado en un activo, en un dominio (conjunto de activos) o en toda la organización; este impacto se puede producir debido a que una amenaza explote vulnerabilidades para causar perdidas o daños Ejemplo de evaluación del nivel de riesgo ● ● ● Activo: servidor de ficheros Amenaza: fallo hardware en un servidor con una probabilidad de ocurrencia baja (una vez cada 5 años) Vulnerabilidad del sistema: alta ya que no se dispone de un servidor alternativo ni de medidas redundantes (discos RAID, etc...) Ejemplo de evaluación del nivel de riesgo ● ● Impacto: indisponibilidad durante 24 horas de activo afectado hasta su reposición. Impacto de nivel alto Nivel de riesgo: se obtiene a partir de las tablas de valoración adoptadas teniendo en cuenta que la amenaza es baja, la vulnerabilidad es alta y el impacto es alto Defensas, salvaguardas o medidas de seguridad ● Una defensa, salvaguarda o medida de seguridad es cualquier medio empleado para eliminar o reducir un riesgo. Su objetivo es reducir las vulnerabilidades de los activos, la probabilidad de ocurrencia de las amenazas y/o el nivel de impacto en la organización Tipos de medidas de seguridad ● Medida de seguridad activa: Cualquier medida utilizada para anular o reducir el riesgo de una amenaza ● ● Medidas de prevención: aplicación antes del incidente (autenticación de usuarios, control de acceso, cifrado de datos, formación, etc.) Medidas de detección: aplicación durante el incidente (sistema de detección de intrusos, análisis de los registros de actividad, etc.) Tipos de medidas de seguridad ● Medida de seguridad pasiva: Cualquier medida empleada para reducir el impacto cuando se produzca un incidente de seguridad. Son medidas de corrección (se aplican después del incidente). (copias de seguridad, plan de respuesta a incidentes, etc.) Riesgo residual ● ● Es el riesgo que se da tras la aplicación de salvaguardas dispuestas en un sistema Siempre va a existir un riesgo residual que la organización debe asumir Evaluación y gestión de riesgos Principios de seguridad informática ● Definición ● Objetivos de la seguridad informática ● Defensa en profundidad ● Servicios de seguridad informática ● Gestión de la seguridad de la información ● Vulnerabilidades de los sistemas informáticos ● Amenazas a la seguridad informática Vulnerabilidades de los sistemas informáticos ● Diseño ● ● ● Debilidad en el diseño de protocolos utilizados en las redes Políticas de seguridad deficientes e inexistentes Implementación ● ● ● Errores de programación Existencia de “puertas traseras” en los sistemas informáticos Descuido de los fabricantes Vulnerabilidades de los sistemas informáticos ● Uso ● ● ● ● Configuración inadecuada de los sistemas informáticos Desconocimiento y falta de sensibilización de los usuarios y de los responsables de informática Disponibilidad de herramientas que facilitan los ataques Limitación gubernamental de tecnologías de seguridad Análisis y evaluación de vulnerabilidades ● ● ● ● Metodologías de evaluación de vulnerabilidades: NIST SP 800-42, OWASP, OSSTM Test de penetración ● Externos ● Internos Vulnerabilidad del día cero: Vulnerabilidad con amenazas conocidas que no dispone de salvaguarda directa para su eliminación CVE: Formato de identificación de vulnerabilidades que asigna un identificador único a cada vulnerabilidad publicada Tendencias en las vulnerabilidades Principios de seguridad informática ● Definición ● Objetivos de la seguridad informática ● Defensa en profundidad ● Servicios de seguridad informática ● Gestión de la seguridad de la información ● Vulnerabilidades de los sistemas informáticos ● Amenazas a la seguridad informática Amenazas a la seguridad informática ● Tipos de intrusos ● Fases de un ataque ● Herramientas para llevar un ataque ● Tipos de ataques Tipos de intrusos ● Hackers ● Crackers ● Phreakers ● Sniffers ● Spammers ● Piratas informáticos ● Creadores de virus y programas dañinos ● Lamers ● Personas interno ● Ex-empleados ● Intrusos remunerados Fases de un ataque ● Descubrimiento y exploración de sistemas ● Búsqueda de vulnerabilidad en el sistema ● Explotación de las vulnerabilidades detectadas ● Corrupción o compromiso del sistema ● Eliminación de las pruebas del ataque Herramientas utilizadas ● Escáneres de puertos ● Sniffers ● Exploits ● Backdoors kits ● Rootkits ● Auto-rooters ● Password crakcers Herramientas utilizadas ● ● ● Generadores de virus y software malicioso Herramientas que facilitan la ocultación y suplantación (“spoofings”) Herramientas de cifrado para dificultar la detección de ataques Tipos de ataques informáticos ● Actividades de reconocimiento de sistemas ● Detección de vulnerabilidades en los sistemas ● ● Robo de información mediante la interceptación de mensajes Modificación de contenido en mensajes transmitidos Tipos de ataques informáticos ● ● ● Ataques de suplantación de la identidad ● IP spoofing ● DNS spoofing ● SMTP spoofing ● Captura de cuentas de usuario y contraseñas Modificación del tráfico y de las tablas de enrutamiento Conexión no autorizada a equipos Tipos de ataques informáticos ● Introducción en el sistema de “malware” ● Virus ● Troyanos ● Gusanos ● Ataques de “Cross-Site Scripting” (XSS) ● Ataques de inyección de código SQL Tipos de ataques informáticos ● Ataques contra los sistemas criptográficos ● Fraudes, engaños y extorsiones ● Denegación de servicio ● Denegación de servicio distribuido Contenido ● Principios de seguridad informática ● Seguridad física ● Seguridad lógica ● Análisis forense en sistemas informáticos Seguridad física Disponibilidad ● Tolerancia a fallos ● Recuperación de sistemas Tolerancia a fallos ● Fallos en el suministro eléctrico ● Protectores de sobretensión ● Sistemas de alimentación interrumpida ● Sistemas de alimentación alternativos ● Detección y extinción de incendios ● Calefacción, ventilación y aire acondicionado ● Temperatura: Entre 15º y 23º ● Humedad relativa: Entre 40% y 60% Seguridad en medios de almacenamiento ● Tipos de almacenamiento: ● Almacenamiento directamente conectado (DAS) ● Almacenamiento conectado a la red (NAS) ● Redes de almacenamiento (SAN) Sistemas RAID ● Conjunto redundante de discos independientes ● Configuraciones más típicas: ● RAID 0 (Conjunto dividido) ● RAID 1 (Conjunto en espejo) ● RAID 5 (Conjunto dividido con paridad distribuida) RAID 0 RAID 1 RAID 5 Recuperación de sistemas ● Cuando todo falla sólo existe una solución para retornar a la normalidad: acudir a las copias de respaldo y restaurar el sistema al estado cuando se realizo la última copia de seguridad Copias de seguridad del sistema de archivos ● ¿Qué copiar? ● ¿Cómo copiarlo? ● ¿Con que frecuencia? ● ¿En qué tipo de soporte almacenarlo? ● ¿Durante cuánto tiempo? ● ¿Dónde guardar las copias? ● ¿Quién las hace? Información a copiar ● Información de sistema ● Información de usuario/aplicación Es aconsejable separar en unidades distintas la información de sistema y de usuario/aplicación Tipos de copia de seguridad ● ● ● Copia de seguridad completa: Todos los archivos se copian. La primera copia siempre debe ser completa Copia de seguridad incremental: Sólo se copian los archivos modificados desde la última copia de seguridad completa o incremental. Copia de seguridad diferencial: Sólo se copian los archivos modificados desde la última copia de seguridad completa Comparación entre métodos Método de copia Espacio de Proceso de almacenamiento creación Proceso de restauración Cuándo usarlo Completo Máximo posible Muy lento Sencilo Pocos datos Completo + Incremental Mínimo posible Rápido Laborioso Muchos datos que cambian frecuentemente Completo + Diferencial Muy grande Lento Sencillo Muchos datos que cambian lentamente Duración de las copias de seguridad ● ● Objetivo: Conservar la información el mayor tiempo posible en el menor espacio de almacenamiento posible Estrategias de rotación más utilizadas: ● ● Padre-Hijo: 4 cintas para copias diarias (hijo) y 2 cintas para copias semanales (padre). 6 cintas para 6 días de recuperación Abuelo-Padre-Hijo: 4 cintas para copias diarias (hijo), 3 cintas para copias semanales (padre) y 6 cintas para copias mensuales (abuelo). 13 cintas para 6 meses de recuperación a largo plazo y 6 días de recuperación a corto plazo Tipos de medio de almacenamiento Formato Velocidad (Mbps) Capacidad (GB) Coste Digital Audio Tape (DAT) 1-3 2-20 Medio Quarter Inch Cartridge (QIC) 1,5 4-13 Bajo Cinta de 8 mm 1-3 2,5-40 Medio Digital Linear Tape (DLT) 5 10-40 Alto Super DLT 16 160-320 Alto DRD-R/RW 1 5 Muy bajo Lugar de almacenamiento y responsable de las copias ● ● ● Lugar de almacenamiento: Copias diarias en lugar cercano y copias semanales en sitio remoto Traslado y almacenamiento de forma segura Responsable de las copias: Es aconsejable la centralización de los datos corporativos y la responsabilidad de las copias de seguridad Contenido ● Principios de seguridad informática ● Seguridad física ● Seguridad lógica ● Análisis forense en sistemas informáticos Seguridad lógica – Confidencialidad e Integridad ● Criptografía ● Autenticación, autorización y registro de usuarios Criptografía ● ● ● Cifrado: Transformación de datos para que sólo sean inteligibles a los usuarios autorizados Criptografía: Ciencia que estudia las distintas técnicas de cifrado Clase de cifrado ● Cifrado simétrico o de clave única ● Cifrado asimétrico o de clave pública Cifrado simétrico ● Método: Los mensajes son transformados por un algoritmo que utiliza la misma clave para cifrar que para descifrar ● Principal problema: Distribución de la clave ● Ejemplos: DES, RC2. IDEA o AES Cifrado asimétrico o de clave pública ● ● ● Método: Los mensajes son cifrados por una clave y se descifrar con otra clave. Un usuario genera un par de claves con esta propiedad y distribuye una clave (clave pública) y mantiene oculta la otra clave (clave privada) Principal problema: Lentitud en las operaciones de cifrado y descifrado Ejemplos: RSA, Diffie-Hellman, ElGamal o Schnorr Servicios de seguridad con cifrado asimétrico ● ● Confidencialidad: El emisor cifra el mensaje con la clave pública del receptor y el receptor descifra con su clave privada. Sólo el receptor puede leer el mensaje original Autentificación: La autentificación del emisor se consigue cifrando el mensaje con la clave privada del emisor y el receptor lo descifra con la clave pública del emisor. Servicios de seguridad con cifrado asimétrico ● ● Firma digital: Para la autentificación y evitar cifrar todo el mensaje se puede generar un resumen del mensaje (a través de un función hash) y cifrar sólo el resumen Certificado digital: Con los métodos anteriores no se puede conocer si existe una suplantación inicial de los participantes. Un certificado digital es un archivo con la identificación de un usuario, su clave pública firmado digitalmente por un tercero de confianza (Autoridad de Certificación) Autenticación, autorización y auditoria de usuarios ● Modelo de seguridad AAA (Autenticación, autorización y auditoria): 1.Identificación y autenticación de los usuarios 2.Control de acceso a los recursos del sistema 3.Registro del uso de los recursos Identificación/Autenticación de usuarios ● ● ● Lo que se sabe: contraseñas, PIN, etc. Lo que posee: tarjeta de crédito, tarjeta inteligente, teléfono móvil, llave USB, etc. Lo que se es: características biométricas del individuo: reconocimiento de voz, firmas manuscritas, huellas dactilares, fondo del ojo, análisis del iris, etc. Sistemas multimodales:Se utiliza dos o varios métodos de identificación/autenticación Gestión de contraseñas ● Política de gestión de contraseñas: ● Tamaño mínimo ● Caducidad ● Historial ● Calidad ● Formación a usuarios Control de acceso ● Tipos de control de acceso: ● ● Control de Acceso Obligatorio: los permisos de acceso son definidos por el sistema Control de Acceso Discrecional: los permisos de acceso son definidos por el propietario del objeto Las Listas de Control de Acceso (ACL) son el método general de gestionar cualquier política de control de acceso Contenido ● Principios de seguridad informática ● Seguridad física ● Seguridad lógica ● Análisis forense en sistemas informáticos Análisis forense en sistemas informáticos ● Fundamentos de análisis forense ● Etapas en el análisis forense ● Herramientas de análisis forense Fundamentos de análisis forense ● ● Principio de Transferencia de Locard: Cualquier persona u objeto que entra en la escena de un crimen deja un rastro en la escena o en la propia víctima y, viceversa, también se lleva consigo algún rastro de la escena del crimen Definición ● ● El proceso de estudio exhaustivo de un sistema del que se desea conocer su historia Se encarga de adquirir, preservar, obtener y presentar datos que han sido procesados electrónicamente y guardados en un sistema informático Etapas en el análisis forense 1.Identificación y captura de las evidencias 2.Preservación de las evidencias 3.Análisis de la información obtenida 4.Elaboración de un informe con las conclusiones del análisis forense Captura de evidencias ● ● RFC3227:Guidelines for Evidence Collection and Archiving Ejemplos de evidencias: ● Registro de acceso a un fichero ● Cookie de navegación web ● Tiempo que lleva el sistema sin apagarse ● Contenido de un fichero ● Proceso en ejecución ● Archivo temporal ● Resto de instalación de un software Principios RFC3227: ● ● ● ● Legalidad: Se debe tener autorización Reproducible: Utilización de metodología para cada tipo de evidencia Volatilidad: Orden de recogida de evidencias: registros, memoria principal, procesos, discos duros, topología de la red, medio de almacenamiento extraibles, copias de seguridad Cadena de custodia: Registro de operaciones y personas que han tenido acceso a las evidencias Preservación de las evidencias ● ● Creación de copias digitales de las evidencias para su análisis Creación de firmas digitales para comprobación de la integridad de las evidencias Análisis forense de las evidencias ● ● Búsqueda de ficheros sospechosos como virus, troyanos o gusanos Comprobación de la integridad de los ficheros y librerias del sistema ● Revisión de la configuración del sistema ● Revisión de los registros de actividad del sistema ● Búsqueda de información oculta en ficheros, volumenes o discos ● Recuperación de información eliminada ● Ejecución del sistema en un entorno controlado Herramientas de análisis forense ● ● Código cerrado: ● EnCase ● Forensic Toolkit Código abierto: ● Autopsy (The Sleuth Kit) Bibliografía básica recomendada ● ● Enciclopedia de la Seguridad Informática. Alvaro Gómez Vieites. Edit. Ra-Ma, 2006 Seguridad informática para empresas y particulares. Gonzalo Álvarez Marañon. Edit. Mc Graw-Hill. 2004