TEMARIO ¿Qué es la seguridad informática?. Activos informáticos. El problema de la seguridad por oscuridad. Casos de seguridad informática conocidos Conociendo al enemigo ¿Qué es un hacker? Intrusos. Objetivos de los intrusos. Niveles de conocimientos. Terrorismo informático. Métodos de ataque. Expuestos de los sistemas. Vulnerabilidades. Soluciones de Seguridad Límites de una red (LAN, Interconexión de LAN, WAN, Extranet, Internet). Análisis de interfaces en los límites. Barreras de seguridad (Access Server, Router, Proxy Server, Firewalls). El usuario interno y externo. Sistemas de detección de intrusiones. Certificados digitales. Penetration Test. Políticas de seguridad (Análisis de riesgo, plan de seguridad, alarmas y plan de contingencias). Actualización constante (Medida clave). 1 Seguridad Informática Perimetral Lic. Julio C. Ardita jardita@cybsec.com 14 de Junio de 2000 Buenos Aires - ARGENTINA 2 © 2000 CYBSEC Seguridad Informática Perimetral Temario - Seguridad Informática. - Conociendo al enemigo. - Vulnerabilidades de Seguridad Informática. - Soluciones de Seguridad Informática. 3 © 2000 CYBSEC Seguridad Informática ¿Qué es la Seguridad Informática? La seguridad informática concierne a la protección de la información que se encuentra en una computadora o una red de ellas y también a la protección del acceso a todos los recursos del sistema. ¿Qué es la Seguridad Informática Perimetral? El área de la seguridad informática encargada de defender y vigilar las fronteras de “mi lugar”. 4 © 2000 CYBSEC Seguridad Informática Evolución de la seguridad informática 1994 Passwords y Criptografía 2000 Seguridad Informática en diversas áreas 5 © 2000 CYBSEC Seguridad Informática ¿Qué son los ACTIVOS INFORMATICOS de una Empresa? Es el valor de la información que se encuentra dentro de los equipos informáticos. Casi nunca se tiene en cuenta que lo que más valor posee en un sistema informático es la información que se encuentra almacenada en los equipos y no el costo del equipo en si mismo. 6 © 2000 CYBSEC Seguridad Informática EL PROBLEMA DE LA "SEGURIDAD POR OSCURIDAD" 7 © 2000 CYBSEC Seguridad Informática Corte Suprema de Justicia. Hackeada su página de Web (Clarín 27/1/98) Amaneció ayer con fotos de Cabezas, el periodista asesinado y una proclama que reclama por el esclarecimiento del crimen del fotógrafo. Se incluyeron además conexiones directas a los sitios de los Reporteros Gráficos de la Rep. Arg., para quienes deseen obtener detalles sobre el caso. Los técnicos del Poder Judicial borraron la intromisión, pero los hackers volvieron a la carga y pusieron una vez más su proclama en la red, con la cual la página de la Corte Suprema debió ser mantenida intervenida. 8 © 2000 CYBSEC Seguridad Informática Ataque a correo electrónico de embajadas en SRI Lanka (San Francisco Examine, 5/7/98) El pasado otoño , computadoras de varias embajadas en SRI Lanka, fueron atascadas con e-mails enviados intencionalmente por el grupo guerrillero Tamil, según denunciaron fuentes oficiales de inteligencia .Informan que este ha sido el primer ataque hecho por un grupo terrorista conocido, en los sistemas de ese país. Además paralizaron la network durante 2 semanas, enviando más de 800 mensajes por día , a los sistemas de diferentes embajadas situadas en Europa, Norte América y Asia . El mensaje enviado por e-mail decía: “Somos Los Tigres Negros de Internet y estamos haciendo esto para interrumpirles las comunicaciones”. 9 © 2000 CYBSEC Seguridad Informática Hackers Pacifistas lograron violar los archivos atómicos indios (La Nación 6/14/98 - The Sunday Times) Un hacker miembro de una agrupación internacional llamada Milworm, penetró en las computadoras del laboratorio donde la India desarrolló sus armas nucleares. Robó y borró material de investigación y dejo un mensaje denunciando los experimentos nucleares que ese país está realizando. El ataque fue efectuado desde computadoras ubicadas en Inglaterra y Nueva Zelanda. Para eludir la identificación, ellos usaron PC identificadas primero con los sistemas centrales de control de la NASA, la Armada y la Marina de los Estados Unidos.Después de interrumpir el funcionamiento de la red , dejaron este mensaje : “Su labor no es clara ni es maravillosa. Dejen de pensar en que la destrucción es un hecho positivo”. 10 © 2000 CYBSEC Seguridad Informática Atacaron la página de Web del New York Time (Clarín, 14 de setiembre 98) Piratas informáticos atacaron ayer la página en Internet del diario norteamericano New York Times, informó Nancy Nielsen, una vocera del diario. “Un editor descubrió, que la página había sido alterada a las 7:50 a.m. Nielsen dijo que un grupo que se hizo llamar “Hacking og Girlies” alteró la página ridiculizando a varios miembros de la redacción del diario, en particular a John Markoff , autor del libro Take Down, que detalla la detención de Kevin Metick, un hacker que actualmente está en prisión desde 1995. Markoff ya había sido atacado con anterioridad por hackers. 11 © 2000 CYBSEC Seguridad Informática Ataques contra Web Servers En Argentina, entre 1998 y el 2000 se han registrado 57 ataques exitosos. Ejemplos de estos ataques son los Web Servers de: • • • • • • • Poder Judicial de Santa Fe. Clarín Digital. Laboratorios Bagó. Senado de Buenos Aires. Unicef Argentina. Artear Televisora, Canal 13. Quickpress. Fuente: Attrition 12 © 2000 CYBSEC Conociendo al Enemigo Si voy a proteger mi Sistema Informático, debo conocer a mi posible atacante, saber quién es, qué hace, qué conoce de mi sistema, debo ... “conocer a mi enemigo” y aceptar que deberé convivir con él. Internet es un mundo virtual, maravilloso, pero también puede ser riesgoso por su intrínseca falta de control y restricciones. 13 © 1999 CYBSEC Conociendo al Enemigo ¿QUÉ ES UN HACKER? Una persona que disfruta explorando los detalles internos de los sistemas informáticos y cómo extender sus capacidades más allá de lo normal. Una persona que disfruta con entusiasmo la programación. Un experto o entusiasta en una determinada área. ¿QUÉ ES UN CRACKER? Una persona que accede en forma no autorizada a un Sistema Informático con intenciones de provocar daño. 14 © 2000 CYBSEC Conociendo al Enemigo Potenciales “enemigos” - Espías Industriales. - Usuarios del sistema. - Empleados. - Ex-empleados. - Crackers. - Vándalos. - Dos millones de adolescentes. 15 © 1999 CYBSEC Conociendo al Enemigo Objetivos de los intrusos sobre un Sistema Informático - Robo de información confidencial. - Fraude financiero. - Modificación de archivos. - Negación del servicio. - Destrucción del Sistema Informático. - Sabotaje Corporativo. 16 © 1999 CYBSEC Conociendo al Enemigo TIPOS DE INTRUSOS 30% EXTERNOS. 70% INTERNOS. 17 © 2000 CYBSEC Conociendo al Enemigo NIVELES DE CONOCIMIENTO DE LOS INTRUSOS INTRUSOS "D" 3% INTRUSOS "C" 7% INTRUSOS "B" 10% INTRUSOS "A" 80% 18 © 2000 CYBSEC Conociendo al Enemigo "TERRORISMO INFORMÁTICO” Terrorismo informático aplicado sobre un País atacando los sistemas de infraestructura básica: electricidad, agua, gas y comunicaciones. Formación de crackers terroristas. Impacto en los países del mundo. Congreso sobre Terrorismo Informático. 19 © 2000 CYBSEC Vulnerabilidades de Seguridad Informática RED PUBLICA INTERNET Módem 20 © 2000 CYBSEC Vulnerabilidades de Seguridad Informática 1 3 RED PUBLICA 5 3 INTERNET 2 4 Módem 1. Empleado Interno 2. Módems / RAS 3. Conexión con red pública. 4. La red pasa por lugares inseguros. 5. Conexión con Internet. © 2000 CYBSEC 21 Vulnerabilidades de Seguridad Informática Vulnerabilidades de los Sistemas Informáticos Plataforma (Windows NT - UNIX - AS/400). Aplicación (Bases de Datos - Web Servers). Exploits. Diseño de nuevos Sistemas Operativos y aplicaciones en un entorno seguro: Inferno. 22 © 2000 CYBSEC Vulnerabilidades de Seguridad Informática Vulnerabilidades clasificadas por Sistema Operativo: Sistema Operativo FreeBSD HPUX IRIX LINUX SUN y Solaris Windows NT Vulnerabilidades 30 23 50 147 95 133 Fuente: Bugtraq 23 © 2000 CYBSEC Soluciones de Seguridad Informática Existen herramientas para soluciones los problemas de Seguridad Informática. - Diseño en un entorno asegurado. - Firewalls. - Sistemas de detección de intrusiones. - Certificados digitales. - Encriptación de las comunicaciones. - Penetration Test periódicos. - Actualización constante. 24 © 2000 CYBSEC Soluciones de Seguridad Informática Diseño en un entorno asegurado El diseño seguro de un Sistema Informático debe realizarse teniendo en cuenta: - Seguridad de toda la red. - Seguridad de la plataforma a utilizar. - Seguridad de la aplicaciones. 25 © 2000 CYBSEC Soluciones de Seguridad Informática Firewalls Un sistema que permite cumplir con una política de acceso. Se utiliza para proteger una red de computadoras segura conectada a una red insegura (Internet). INTERNET Red Interna Firewall 26 © 1999 CYBSEC Soluciones de Seguridad Informática Firewalls - Packet Filtering - Controla el tráfico en base a la dirección IP origen y destino y al puerto origen y destino. - La conexión entre la computadora origen y destino es real. - No requiere cambios a nivel de cliente. - Aplication Gateway (Proxy) - Controla el tráfico además a nivel de aplicación. - La conexión entre la computadora origen y destino no es real. - Requiere cambios a nivel de cliente. 27 © 1999 CYBSEC Soluciones de Seguridad Informática Sistemas de detección de intrusiones - Un sistema que intenta detectar cuando un intruso trata de ingresar en forma no autorizada o trata de realizar una acción “peligrosa”. - Los IDS funcionan las 24 horas, los 365 días del año. - Detectan intrusiones en tiempo real tomando acciones preestablecidas. 28 © 1999 CYBSEC Soluciones de Seguridad Informática Sistemas de detección de intrusiones ¿Cómo funcionan los IDS? Funcionan como programas agentes que monitorean la red (Sniffers) en busca de actividades no autorizadas. En algunos casos se basan sobre los logs que producen los sistemas y en otros se basan sobre la información que estos agentes recaudan. 29 © 1999 CYBSEC Soluciones de Seguridad Informática Sistemas de detección de intrusiones Técnicas para detectar comportamientos intrusivos: - Reconocimiento de ataques. - Modelo de riesgo. - Detección anómala. 30 © 1999 CYBSEC Soluciones de Seguridad Informática Certificados digitales Elevan el nivel de seguridad en el Sistema Informático, ya que el Usuario sabe que opera en un Site seguro. Permiten autenticar personas y equipos informáticos. Permiten además activar la encriptación de la información que se transmite. 31 © 2000 CYBSEC Soluciones de Seguridad Informática Encriptación de las comunicaciones Las comunicaciones que se transmiten entre los Sistemas Informáticos deben ir encriptadas con algoritmos fuertes cuando los datos viajen por redes públicas no seguras. El protocolo de encriptación más utilizando para el Comercio Electrónico es el SSL, SSL que es muy fuerte y se encuentra presente en la mayoría de los Browsers. 32 © 2000 CYBSEC Soluciones de Seguridad Informática Penetration Test periódicos Se trata de emular y simular comportamientos y técnicas que pueden ser utilizadas por los intrusos con el objetivo de analizar el nivel de seguridad y la exposición de los sistemas ante posibles ataques. Permite detectar vulnerabilidades en el Sistema Informático y corregirlas en forma muy rápida y eficaz. 33 © 2000 CYBSEC Soluciones de Seguridad Informática Penetration Test periódicos Características: - Son efectuados sin previo aviso. - Los objetivos se determinan previamente. - Se evalúa la respuesta de los administradores de seguridad ante un intento de intrusión. - Entre las pruebas que se realizan se incluyen las últimas vulnerabilidades existentes. - Duración: Aproximadamente 48 horas. 34 © 2000 CYBSEC Soluciones de Seguridad Informática Actualización constante Actualización diaria o semanal de los Sistemas con respecto a nuevas vulnerabilidades. Capacitación de los Administradores de Seguridad. Entrenamiento sobre el manejo de intrusiones y simulación de ataques informáticos. 35 © 2000 CYBSEC Conclusiones - Los intrusos existen y el nivel de peligrosidad de los mismos aumenta cada vez más. - Los incidentes de seguridad, dejaron de ser un problema técnico, para ser un problema que afecta a la Dirección, las Gerencias de las Organizaciones y a las Autoridades, ya que directamente significarán perder clientes, perder Mercados y hasta perder la propia Empresa. - La seguridad de un Sistema Informático requiere de políticas de seguridad acordes y de todo un conjunto de herramientas que funcionen sinergicamente. 36 © 2000 CYBSEC Seguridad Interna Ing Alejandro Corletti acorletti@microstar.com.ar 14 de Junio de 2000 Buenos Aires - ARGENTINA 1. Límites o fronteras de una red (LAN, Interconexión de LAN, WAN, Extranet, Internet). LAN Aislada: LAN Aislada Interconexión de LAN: Con Vínculos dedicados: Línea dedicada LAN - A LAN - B A través de redes públicas de conmutación de paquetes: LAN - A Frame Relay o X - 25 LAN - B Accesos usuarios remotos LAN Pool de modem o Access server Accesos a Internet LAN INTERNET 2.1. Análisis de interfaces en los límites: Extranet Intranet Intranet Extranet Internet Internet Política de Seguridad (RFC1244) Análisis de riesgo Grado de exposición Plan de Seguridad (Certificación ISO: procedimientos) 3. Barreras de seguridad (Access Server, Router, Proxy Server, Firewalls). - Router: Cadenas de router: Firewall: Proxy: Access Server: 4. El usuario interno y externo: - Interno: (80 % Intrusiones: 50 % Errores. 15 % Descuidos. 15 % Deshonestidad.) * ¿Quién puede tener cuenta? * ¿Qué privilegios existen? * Duración, contraseñas, renegociación, remoción, grupos, etc. * Alejamientos, suspenciones, cambios. - Externo: (20 % Intrusiones : 10 % seguridad física. 10 % Remotamente.) * Usuarios remotos. * Usuarios “amigos”. * “Amigos de los amigos”. * Desconocidos. 5. Sistemas de detección de intrusiones: PASOS: a. Determinación del problema: - ¿Es esto real? - Alcance: ¿Está acotado? – ¿Cuántos host? - ¿Punto de entrada? - ¿Daño potencial? ¿Tiempo y recursos necesarios? - Notificaciones. b. Respuesta: - Proteger y proceder. - Seguir y perseguir. c. Registros: - Eventos. - Acciones. - Conversaciones y notificaciones. HERRAMIENTAS: a. Auditorías: - Al implementar un nuevo Software o Hardware en la red. - Agendadas - Aleatorias: - Al detectarse una falla (Emergencia) b. Monitoreo: - De accesos. De recursos. De actividad. Físico. c. Alarmas: - Empleo de líneas base. - Activación de mail, mensajes, beepers, etc. MEDIDAS: - Seguimiento de rastros (Registros, programas, rutas, puertas de accesos, contraseñas, etc). - Bloqueos de recursos y accesos. - Delimitación de la zona afectada. - Detenimiento de servicios y Hardware. - Derivación a zonas de sacrificio. - Contramedidas. - Acciones legales. - Comunicación con organizaciones de seguridad y proveedores. SOFTWARE O HARDWARE A EMPLEAR: - Analizadores de protocolo y/o Sniffers ( Microsoft Network Monitor, HP Internet Advisor, Wandell & Goltermann DOMINO, NetxRay, Netlog, EtherScan, argus, TCPdump, SATAN, nocol, Trinux, Sniffit, Esniff.c, Juggernault, Ethload.exe, Ethdump.exe, etc). - Control de accesos (Registros de sistemas, TCP wrappers, Routers, Proxy, Firewalls, noshell, etc) - Integridad de sistemas (TCP wrappers, Internet Security Scanner, COPS, Tiger, Tripwire, Lsof, C2Config, Passprop, etc). - Consistencia de puertos ( TCPLogger, UDPLogger, ICMPLogger, WUPS, WINFO, ntis422, Courtney, Gabriel, TCPList, Suck Server, etc). - Obtención de estadísticas (Monitores de sistemas, nstat, etc). - Estado de funcionamiento de sistemas (Sentinel, Trascend, etc). - Crackeadores (Lophtcrack, Crack, ScanNT, etc). - Antisniffers (Check Promiscuous Mode, ifstatus, etc). - Mapeadores de direcciones (ARPWATCH, Internet Scanner, etc). COMANDOS A EMPLEAR: a. netstat: Muestra estadísticas de red y conexiones TCP/IP b. arp: Muestra el contenido de la memoria caché arp. c. nbtstat: Muestra estadísticas y conexiones de la memoria caché NetBIOS,. d. trace route, tracert: En realidad es un programa, sirve para marcar una ruta. e. nslookup: Brinda información acerca de un dominio DNS. f. Ping (Packet INternet Groper): Mensaje ICMP, tipo Nro 0 y 8, eco. g. finger: Muestra información acerca de un usuario específico h. ipconfig o Winipcfg: Muestra información de configuración local. i. rcp: Permite realizar copias remotas. j. rsh : Ejecuta comandos en un Host remoto. k. Telnet: Terminal remota. l. ftp: Transferencia de archivos. 6. Certificados digitales: Fichero que garantiza la identidad de un usuario, su empleo es para: - Servidores Web seguros. Sistemas de pago seguros (SET). Firma digital de documentos. Cifrado digital de documentos. Firma de programas. Autenticación: RFC 1422 (X.509) (Arquitectura de administración de claves, la más reciente es la versión X.509V3). RFC 1423 (Algoritmos empleados para autenticación). METODOLOGIA: Participación en el TELECURSO PGP de: http://www.rediris.es/pgp/ 7. Políticas de seguridad: a. Política de seguridad (Estrategia – Macro). b. Plan de seguridad (Detalle – Cómo): 1) Análisis de Riesgo. 2) Lineamiento del plan. 3) Análisis de detalle. 4) Procedimientos normales. 5) Procedimientos contra incidentes. 6) Procedimientos Post incidentes. 8. Actualización constante (Medida clave). a. Listas de correo: Una de las medidas más importantes en este tema es subscribirse a alguna lista de correo de seguridad, alguna de las cuales pueden ser: Security-request@cpd.com Risks-request@csl.sri.com Listserv@lehiibm1.bitnet Bugtraq-request@crimelab.com Cert-tools-request@cert.sei.cmu.edu Tcp-ip-request@nisc.sri.com seg-l@securenetworks.com b. Grupos de noticias: - misc.security - alt.security - comp.security.announce - comp.protocols.tcpip (Discusión sobre la pila de protocolos TCP/IP) c. Consulte organismos de seguridad: http://escert.upc.es (Barcelona, España) http://www.rediris.es/cert (España) http://cert.nextra.ch/ (Suiza) http://www.mxcert.org.mx (Méjico) http://www.cert.org ; http://www.cert.mil ; http://www.house.gov/ushcert (EEUU) http://first.org (Mundial) http://www.cert.dfn.de/eng/csir/europe/certs.html (Europeo) http://www.arcert.gov.ar/ (Argentina) ftp://ftp.auscert.org.au (Australia) http://www.mzt.hr/~gaus/hrcert.html (Croacia) http://www.cert.dk ; http://www.nordu.net/cert/ (Dinamarca) http://www.nordu.net/cert/ (Estonia) http://www.cert.funet.fi (Finlandia) http://www.urec.fr/Renater/Securite/CERT-RENATER.html (Francia) http://www.cert.dfn.de/eng/csir/europe/dfncert.html (Alemania) http://www.cert.isnet.is/ (Islandia) http://idea.sec.dsi.unimi.it/cert-it.html (Italia) http://www.eurocert.net/teams/litnet-cert.html http://www.certcc.or.kr/ (Corea) http://www.nask.pl/NASK/CERT/ (Polonia) http://www.jpcert.or.jp/ (Japón) http://www.arnes.si/en/si-cert/ (Eslovenia) http://www.singcert.org.sg/ (Singapur) http://www.uni-cert.nl/ (KPN Telecom ) http://www.ja.net/CERT/cert.html d. Consulte novedades de seguridad en Internet: http://www.netcraft.co.uk/security/diary.html http://ciac.llnl.gov (Computer Incident Advisory Capability) http://www.dante.net/safeflow.html http://cs-www.ncsl.nist.gov/ (National Institute Standard Tecnologies) http://www.gatech.edu/itis/security/home.html (Instituto de tecnología de Georgia EEUU) http://www.rootshell.com http://ccf.arc.nasa.gov/ITS/ (NASA: Principle Center for Information Technology Security), también http://nasirc.nasa.gov/NASIRC_home.html http://www.ncsa.uiuc.edu/people/ncsairst http://infosec.nosc.mil/ (Naval Computer Incident Response Team) http://www.hispasec.com http://www.trinux.org http://www.cs.purdue.edu/coast http://www.itso.iu.edu/ (Universidad de Indiana EEUU) http://www.stanford.edu (Universidad de Stanford) http://www.switch.ch/cert (Academia Suiza de Investigación de redes) http://info.ox.ac.uk/compsecurity/oxcert/ (Universidad de Oxford) http://www.cisco.com (Cisco System) http://www.nai.com (Network Associates Labs) http://www.ers.ibm.com/ (IBM Emergency Response Service). http://www.core-sdi.com/Core-SDI/spanish/FreeSoft.html http://www.alw.nih.gov/Security/fist-papers.html http://www.underground.org http://www.rootshell.com - (exploits) http://csrc.nist.gov http:/in-contact.com/internet/seguridad http://www.core-sdi.com/Core-SDI/spanish/FreeSoft.html (Casa del Secure Logger). http://iss.net (Internet Security System). http://dixguard.com. www.securityfocus.org www.NTsecurity.org www.snort.org www.trinux.org www.astalavista.box.sk www.opensec.net http:/moon.inf.uji.es Muchas gracias por acompañarnos . . .