Seguridad Informática - CYBSEC Security Systems

Anuncio
TEMARIO
¿Qué es la seguridad informática?.
Activos informáticos.
El problema de la seguridad por oscuridad.
Casos de seguridad informática conocidos
Conociendo al enemigo
¿Qué es un hacker?
Intrusos.
Objetivos de los intrusos.
Niveles de conocimientos.
Terrorismo informático.
Métodos de ataque.
Expuestos de los sistemas.
Vulnerabilidades.
Soluciones de Seguridad
Límites de una red (LAN, Interconexión de LAN, WAN, Extranet, Internet).
Análisis de interfaces en los límites.
Barreras de seguridad (Access Server, Router, Proxy Server, Firewalls).
El usuario interno y externo.
Sistemas de detección de intrusiones.
Certificados digitales.
Penetration Test.
Políticas de seguridad (Análisis de riesgo, plan de seguridad, alarmas y plan de contingencias).
Actualización constante (Medida clave).
1
Seguridad Informática
Perimetral
Lic. Julio C. Ardita
jardita@cybsec.com
14 de Junio de 2000
Buenos Aires - ARGENTINA
2
© 2000 CYBSEC
Seguridad Informática Perimetral
Temario
- Seguridad Informática.
- Conociendo al enemigo.
- Vulnerabilidades de Seguridad Informática.
- Soluciones de Seguridad Informática.
3
© 2000 CYBSEC
Seguridad Informática
¿Qué es la Seguridad Informática?
La seguridad informática concierne a la protección de la
información que se encuentra en una computadora o una
red de ellas y también a la protección del acceso a todos
los recursos del sistema.
¿Qué es la Seguridad Informática Perimetral?
El área de la seguridad informática encargada de defender
y vigilar las fronteras de “mi lugar”.
4
© 2000 CYBSEC
Seguridad Informática
Evolución de la seguridad informática
1994
Passwords y Criptografía
2000
Seguridad Informática en diversas áreas
5
© 2000 CYBSEC
Seguridad Informática
¿Qué son los ACTIVOS INFORMATICOS de una Empresa?
Es el valor de la información que se encuentra dentro de los
equipos informáticos.
Casi nunca se tiene en cuenta que lo que más valor posee en
un sistema informático es la información que se encuentra
almacenada en los equipos y no el costo del equipo en si
mismo.
6
© 2000 CYBSEC
Seguridad Informática
EL PROBLEMA
DE LA
"SEGURIDAD POR OSCURIDAD"
7
© 2000 CYBSEC
Seguridad Informática
Corte Suprema de Justicia. Hackeada su página de Web
(Clarín 27/1/98)
Amaneció ayer con fotos de Cabezas, el periodista asesinado y una
proclama que reclama por el esclarecimiento del crimen del fotógrafo.
Se incluyeron además conexiones directas a los sitios de los
Reporteros Gráficos de la Rep. Arg., para quienes deseen obtener
detalles sobre el caso.
Los técnicos del Poder Judicial borraron la intromisión, pero los
hackers volvieron a la carga y pusieron una vez más su proclama en
la red, con la cual la página de la Corte Suprema debió ser mantenida
intervenida.
8
© 2000 CYBSEC
Seguridad Informática
Ataque a correo electrónico de embajadas en SRI Lanka
(San Francisco Examine, 5/7/98)
El pasado otoño , computadoras de varias embajadas en SRI Lanka,
fueron atascadas con e-mails enviados intencionalmente por el
grupo guerrillero Tamil, según denunciaron fuentes oficiales de
inteligencia .Informan que este ha sido el primer ataque hecho por
un grupo terrorista conocido, en los sistemas de ese país.
Además paralizaron la network durante 2 semanas, enviando más
de 800 mensajes por día , a los sistemas de diferentes embajadas
situadas en Europa, Norte América y Asia .
El mensaje enviado por e-mail decía: “Somos Los Tigres Negros de
Internet y estamos haciendo esto para interrumpirles las
comunicaciones”.
9
© 2000 CYBSEC
Seguridad Informática
Hackers Pacifistas lograron violar los archivos atómicos indios
(La Nación 6/14/98 - The Sunday Times)
Un hacker miembro de una agrupación internacional llamada Milworm,
penetró en las computadoras del laboratorio donde la India desarrolló
sus armas nucleares. Robó y borró material de investigación y dejo un
mensaje denunciando los experimentos nucleares que ese país está
realizando.
El ataque fue efectuado desde computadoras ubicadas en Inglaterra y
Nueva Zelanda.
Para eludir la identificación, ellos usaron PC identificadas primero con los
sistemas centrales de control de la NASA, la Armada y la Marina de los
Estados Unidos.Después de interrumpir el funcionamiento de la red ,
dejaron este mensaje : “Su labor no es clara ni es maravillosa. Dejen de
pensar en que la destrucción es un hecho positivo”.
10
© 2000 CYBSEC
Seguridad Informática
Atacaron la página de Web del New York Time
(Clarín, 14 de setiembre 98)
Piratas informáticos atacaron ayer la página en Internet del
diario norteamericano New York Times, informó Nancy Nielsen,
una vocera del diario. “Un editor descubrió, que la página había
sido alterada a las 7:50 a.m. Nielsen dijo que un grupo que se
hizo llamar “Hacking og Girlies” alteró la página ridiculizando
a varios miembros de la redacción del diario, en particular a
John Markoff , autor del libro Take Down, que detalla la
detención de Kevin Metick, un hacker que actualmente está en
prisión desde 1995. Markoff ya había sido atacado con
anterioridad por hackers.
11
© 2000 CYBSEC
Seguridad Informática
Ataques contra Web Servers
En Argentina, entre 1998 y el 2000 se han registrado
57 ataques exitosos.
Ejemplos de estos ataques son los Web Servers de:
•
•
•
•
•
•
•
Poder Judicial de Santa Fe.
Clarín Digital.
Laboratorios Bagó.
Senado de Buenos Aires.
Unicef Argentina.
Artear Televisora, Canal 13.
Quickpress.
Fuente: Attrition
12
© 2000 CYBSEC
Conociendo al Enemigo
Si voy a proteger mi Sistema Informático, debo conocer a
mi posible atacante, saber quién es, qué hace, qué conoce
de mi sistema, debo ... “conocer a mi enemigo” y aceptar
que deberé convivir con él.
Internet es un mundo virtual, maravilloso, pero también puede
ser riesgoso por su intrínseca falta de control y restricciones.
13
© 1999 CYBSEC
Conociendo al Enemigo
¿QUÉ ES UN HACKER?
Una persona que disfruta explorando los detalles internos de los
sistemas informáticos y cómo extender sus capacidades más allá
de lo normal.
Una persona que disfruta con entusiasmo la programación.
Un experto o entusiasta en una determinada área.
¿QUÉ ES UN CRACKER?
Una persona que accede en forma no autorizada a un Sistema
Informático con intenciones de provocar daño.
14
© 2000 CYBSEC
Conociendo al Enemigo
Potenciales “enemigos”
- Espías Industriales.
- Usuarios del sistema.
- Empleados.
- Ex-empleados.
- Crackers.
- Vándalos.
- Dos millones de adolescentes.
15
© 1999 CYBSEC
Conociendo al Enemigo
Objetivos de los intrusos sobre un Sistema Informático
- Robo de información confidencial.
- Fraude financiero.
- Modificación de archivos.
- Negación del servicio.
- Destrucción del Sistema Informático.
- Sabotaje Corporativo.
16
© 1999 CYBSEC
Conociendo al Enemigo
TIPOS DE INTRUSOS
30% EXTERNOS.
70% INTERNOS.
17
© 2000 CYBSEC
Conociendo al Enemigo
NIVELES DE CONOCIMIENTO DE LOS INTRUSOS
INTRUSOS "D"
3%
INTRUSOS "C"
7%
INTRUSOS "B"
10%
INTRUSOS "A"
80%
18
© 2000 CYBSEC
Conociendo al Enemigo
"TERRORISMO INFORMÁTICO”
Terrorismo informático aplicado sobre un País atacando los
sistemas de infraestructura básica: electricidad, agua, gas y
comunicaciones.
Formación de crackers terroristas.
Impacto en los países del mundo.
Congreso sobre Terrorismo Informático.
19
© 2000 CYBSEC
Vulnerabilidades de Seguridad Informática
RED
PUBLICA
INTERNET
Módem
20
© 2000 CYBSEC
Vulnerabilidades de Seguridad Informática
1
3
RED
PUBLICA
5
3
INTERNET
2
4
Módem
1. Empleado Interno
2. Módems / RAS
3. Conexión con red pública.
4. La red pasa por lugares inseguros.
5. Conexión con Internet.
© 2000 CYBSEC
21
Vulnerabilidades de Seguridad Informática
Vulnerabilidades de los Sistemas Informáticos
Plataforma (Windows NT - UNIX - AS/400).
Aplicación (Bases de Datos - Web Servers).
Exploits.
Diseño de nuevos Sistemas Operativos y aplicaciones
en un entorno seguro: Inferno.
22
© 2000 CYBSEC
Vulnerabilidades de Seguridad Informática
Vulnerabilidades clasificadas por Sistema Operativo:
Sistema Operativo
FreeBSD
HPUX
IRIX
LINUX
SUN y Solaris
Windows NT
Vulnerabilidades
30
23
50
147
95
133
Fuente: Bugtraq
23
© 2000 CYBSEC
Soluciones de Seguridad Informática
Existen herramientas para soluciones los problemas de
Seguridad Informática.
- Diseño en un entorno asegurado.
- Firewalls.
- Sistemas de detección de intrusiones.
- Certificados digitales.
- Encriptación de las comunicaciones.
- Penetration Test periódicos.
- Actualización constante.
24
© 2000 CYBSEC
Soluciones de Seguridad Informática
Diseño en un entorno asegurado
El diseño seguro de un Sistema Informático debe realizarse
teniendo en cuenta:
- Seguridad de toda la red.
- Seguridad de la plataforma a utilizar.
- Seguridad de la aplicaciones.
25
© 2000 CYBSEC
Soluciones de Seguridad Informática
Firewalls
Un sistema que permite cumplir con una política de acceso.
Se utiliza para proteger una red de computadoras segura conectada
a una red insegura (Internet).
INTERNET
Red
Interna
Firewall
26
© 1999 CYBSEC
Soluciones de Seguridad Informática
Firewalls
- Packet Filtering
- Controla el tráfico en base a la dirección IP origen y destino y al
puerto origen y destino.
- La conexión entre la computadora origen y destino es real.
- No requiere cambios a nivel de cliente.
- Aplication Gateway (Proxy)
- Controla el tráfico además a nivel de aplicación.
- La conexión entre la computadora origen y destino no es real.
- Requiere cambios a nivel de cliente.
27
© 1999 CYBSEC
Soluciones de Seguridad Informática
Sistemas de detección de intrusiones
- Un sistema que intenta detectar cuando un intruso trata de
ingresar en forma no autorizada o trata de realizar una acción
“peligrosa”.
- Los IDS funcionan las 24 horas, los 365 días del año.
- Detectan intrusiones en tiempo real tomando acciones preestablecidas.
28
© 1999 CYBSEC
Soluciones de Seguridad Informática
Sistemas de detección de intrusiones
¿Cómo funcionan los IDS?
Funcionan como programas agentes que monitorean la red
(Sniffers) en busca de actividades no autorizadas. En algunos
casos se basan sobre los logs que producen los sistemas y en
otros se basan sobre la información que estos agentes recaudan.
29
© 1999 CYBSEC
Soluciones de Seguridad Informática
Sistemas de detección de intrusiones
Técnicas para detectar comportamientos intrusivos:
- Reconocimiento de ataques.
- Modelo de riesgo.
- Detección anómala.
30
© 1999 CYBSEC
Soluciones de Seguridad Informática
Certificados digitales
Elevan el nivel de seguridad en el Sistema Informático,
ya que el Usuario sabe que opera en un Site seguro.
Permiten autenticar personas y equipos informáticos.
Permiten además activar la encriptación de la información
que se transmite.
31
© 2000 CYBSEC
Soluciones de Seguridad Informática
Encriptación de las comunicaciones
Las comunicaciones que se transmiten entre los Sistemas
Informáticos deben ir encriptadas con algoritmos fuertes cuando
los datos viajen por redes públicas no seguras.
El protocolo de encriptación más utilizando para el Comercio
Electrónico es el SSL,
SSL que es muy fuerte y se encuentra presente
en la mayoría de los Browsers.
32
© 2000 CYBSEC
Soluciones de Seguridad Informática
Penetration Test periódicos
Se trata de emular y simular comportamientos y técnicas que
pueden ser utilizadas por los intrusos con el objetivo de analizar
el nivel de seguridad y la exposición de los sistemas ante
posibles ataques.
Permite detectar vulnerabilidades en el Sistema Informático
y corregirlas en forma muy rápida y eficaz.
33
© 2000 CYBSEC
Soluciones de Seguridad Informática
Penetration Test periódicos
Características:
- Son efectuados sin previo aviso.
- Los objetivos se determinan previamente.
- Se evalúa la respuesta de los administradores de seguridad ante un
intento de intrusión.
- Entre las pruebas que se realizan se incluyen las últimas
vulnerabilidades existentes.
- Duración: Aproximadamente 48 horas.
34
© 2000 CYBSEC
Soluciones de Seguridad Informática
Actualización constante
Actualización diaria o semanal de los Sistemas con respecto
a nuevas vulnerabilidades.
Capacitación de los Administradores de Seguridad.
Entrenamiento sobre el manejo de intrusiones y simulación
de ataques informáticos.
35
© 2000 CYBSEC
Conclusiones
- Los intrusos existen y el nivel de peligrosidad de los mismos
aumenta cada vez más.
- Los incidentes de seguridad, dejaron de ser un problema técnico,
para ser un problema que afecta a la Dirección, las Gerencias de
las Organizaciones y a las Autoridades, ya que directamente
significarán perder clientes, perder Mercados y hasta perder
la propia Empresa.
- La seguridad de un Sistema Informático requiere de políticas de
seguridad acordes y de todo un conjunto de herramientas que
funcionen sinergicamente.
36
© 2000 CYBSEC
Seguridad Interna
Ing Alejandro Corletti
acorletti@microstar.com.ar
14 de Junio de 2000
Buenos Aires - ARGENTINA
1. Límites o fronteras de una red (LAN, Interconexión de LAN, WAN, Extranet, Internet).
LAN Aislada:
LAN Aislada
Interconexión de LAN:
Con Vínculos dedicados:
Línea dedicada
LAN - A
LAN - B
A través de redes públicas de conmutación de paquetes:
LAN - A
Frame Relay
o
X - 25
LAN - B
Accesos usuarios remotos
LAN
Pool de modem
o
Access server
Accesos a Internet
LAN
INTERNET
2.1. Análisis de interfaces en los límites:
Extranet
Intranet
Intranet
Extranet
Internet
Internet
Política de Seguridad (RFC1244)
Análisis de riesgo
Grado de exposición
Plan de Seguridad
(Certificación ISO: procedimientos)
3. Barreras de seguridad (Access Server, Router, Proxy
Server, Firewalls).
-
Router:
Cadenas de router:
Firewall:
Proxy:
Access Server:
4. El usuario interno y externo:
- Interno: (80 % Intrusiones: 50 % Errores.
15 % Descuidos.
15 % Deshonestidad.)
* ¿Quién puede tener cuenta?
* ¿Qué privilegios existen?
* Duración, contraseñas, renegociación, remoción,
grupos, etc.
* Alejamientos, suspenciones, cambios.
-
Externo: (20 % Intrusiones : 10 % seguridad física.
10 % Remotamente.)
* Usuarios remotos.
* Usuarios “amigos”.
* “Amigos de los amigos”.
* Desconocidos.
5. Sistemas de detección de intrusiones:
PASOS:
a. Determinación del problema:
- ¿Es esto real?
- Alcance: ¿Está acotado? – ¿Cuántos host? - ¿Punto de entrada? - ¿Daño potencial? ¿Tiempo y recursos necesarios?
- Notificaciones.
b. Respuesta:
- Proteger y proceder.
- Seguir y perseguir.
c. Registros:
- Eventos.
- Acciones.
- Conversaciones y notificaciones.
HERRAMIENTAS:
a. Auditorías:
- Al implementar un nuevo Software o Hardware en la red.
- Agendadas
- Aleatorias:
- Al detectarse una falla (Emergencia)
b. Monitoreo:
-
De accesos.
De recursos.
De actividad.
Físico.
c. Alarmas:
- Empleo de líneas base.
- Activación de mail, mensajes, beepers, etc.
MEDIDAS:
- Seguimiento de rastros (Registros, programas, rutas, puertas de accesos,
contraseñas, etc).
- Bloqueos de recursos y accesos.
- Delimitación de la zona afectada.
- Detenimiento de servicios y Hardware.
- Derivación a zonas de sacrificio.
- Contramedidas.
- Acciones legales.
- Comunicación con organizaciones de seguridad y proveedores.
SOFTWARE O HARDWARE A EMPLEAR:
- Analizadores de protocolo y/o Sniffers ( Microsoft Network Monitor, HP
Internet Advisor, Wandell & Goltermann DOMINO, NetxRay, Netlog, EtherScan,
argus, TCPdump, SATAN, nocol, Trinux, Sniffit, Esniff.c, Juggernault,
Ethload.exe, Ethdump.exe, etc).
- Control de accesos (Registros de sistemas, TCP wrappers, Routers, Proxy,
Firewalls, noshell, etc)
- Integridad de sistemas (TCP wrappers, Internet Security Scanner, COPS, Tiger,
Tripwire, Lsof, C2Config, Passprop, etc).
- Consistencia de puertos ( TCPLogger, UDPLogger, ICMPLogger, WUPS,
WINFO, ntis422, Courtney, Gabriel, TCPList, Suck Server, etc).
- Obtención de estadísticas (Monitores de sistemas, nstat, etc).
- Estado de funcionamiento de sistemas (Sentinel, Trascend, etc).
- Crackeadores (Lophtcrack, Crack, ScanNT, etc).
- Antisniffers (Check Promiscuous Mode, ifstatus, etc).
- Mapeadores de direcciones (ARPWATCH, Internet Scanner, etc).
COMANDOS A EMPLEAR:
a. netstat: Muestra estadísticas de red y conexiones TCP/IP
b. arp: Muestra el contenido de la memoria caché arp.
c. nbtstat: Muestra estadísticas y conexiones de la memoria caché
NetBIOS,.
d. trace route, tracert: En realidad es un programa, sirve para marcar una
ruta.
e. nslookup: Brinda información acerca de un dominio DNS.
f. Ping (Packet INternet Groper): Mensaje ICMP, tipo Nro 0 y 8, eco.
g. finger: Muestra información acerca de un usuario específico
h. ipconfig o Winipcfg: Muestra información de configuración local.
i. rcp: Permite realizar copias remotas.
j. rsh : Ejecuta comandos en un Host remoto.
k. Telnet: Terminal remota.
l.
ftp: Transferencia de archivos.
6. Certificados digitales:
Fichero que garantiza la identidad de un usuario, su empleo es para:
-
Servidores Web seguros.
Sistemas de pago seguros (SET).
Firma digital de documentos.
Cifrado digital de documentos.
Firma de programas.
Autenticación: RFC 1422 (X.509) (Arquitectura de administración de claves, la más
reciente es la versión X.509V3).
RFC 1423 (Algoritmos empleados para autenticación).
METODOLOGIA:
Participación en el TELECURSO PGP de: http://www.rediris.es/pgp/
7. Políticas de seguridad:
a. Política de seguridad (Estrategia – Macro).
b. Plan de seguridad (Detalle – Cómo):
1) Análisis de Riesgo.
2) Lineamiento del plan.
3) Análisis de detalle.
4) Procedimientos normales.
5) Procedimientos contra incidentes.
6) Procedimientos Post incidentes.
8. Actualización constante (Medida clave).
a. Listas de correo:
Una de las medidas más importantes en este tema es subscribirse a alguna
lista de correo de seguridad, alguna de las cuales pueden ser:
Security-request@cpd.com
Risks-request@csl.sri.com
Listserv@lehiibm1.bitnet
Bugtraq-request@crimelab.com
Cert-tools-request@cert.sei.cmu.edu
Tcp-ip-request@nisc.sri.com
seg-l@securenetworks.com
b. Grupos de noticias:
- misc.security
- alt.security
- comp.security.announce
- comp.protocols.tcpip
(Discusión sobre la pila de protocolos TCP/IP)
c. Consulte organismos de seguridad:
http://escert.upc.es
(Barcelona, España)
http://www.rediris.es/cert (España)
http://cert.nextra.ch/ (Suiza)
http://www.mxcert.org.mx (Méjico)
http://www.cert.org
; http://www.cert.mil ;
http://www.house.gov/ushcert (EEUU)
http://first.org
(Mundial)
http://www.cert.dfn.de/eng/csir/europe/certs.html
(Europeo)
http://www.arcert.gov.ar/
(Argentina)
ftp://ftp.auscert.org.au (Australia)
http://www.mzt.hr/~gaus/hrcert.html (Croacia)
http://www.cert.dk ; http://www.nordu.net/cert/ (Dinamarca)
http://www.nordu.net/cert/ (Estonia)
http://www.cert.funet.fi (Finlandia)
http://www.urec.fr/Renater/Securite/CERT-RENATER.html (Francia)
http://www.cert.dfn.de/eng/csir/europe/dfncert.html (Alemania)
http://www.cert.isnet.is/ (Islandia)
http://idea.sec.dsi.unimi.it/cert-it.html (Italia)
http://www.eurocert.net/teams/litnet-cert.html
http://www.certcc.or.kr/ (Corea)
http://www.nask.pl/NASK/CERT/ (Polonia)
http://www.jpcert.or.jp/ (Japón)
http://www.arnes.si/en/si-cert/ (Eslovenia)
http://www.singcert.org.sg/ (Singapur)
http://www.uni-cert.nl/ (KPN Telecom )
http://www.ja.net/CERT/cert.html
d. Consulte novedades de seguridad en Internet:
http://www.netcraft.co.uk/security/diary.html
http://ciac.llnl.gov (Computer Incident Advisory Capability)
http://www.dante.net/safeflow.html
http://cs-www.ncsl.nist.gov/ (National Institute Standard Tecnologies)
http://www.gatech.edu/itis/security/home.html (Instituto de tecnología de Georgia
EEUU)
http://www.rootshell.com
http://ccf.arc.nasa.gov/ITS/ (NASA: Principle Center for Information Technology
Security), también http://nasirc.nasa.gov/NASIRC_home.html
http://www.ncsa.uiuc.edu/people/ncsairst
http://infosec.nosc.mil/ (Naval Computer Incident Response Team)
http://www.hispasec.com
http://www.trinux.org
http://www.cs.purdue.edu/coast
http://www.itso.iu.edu/ (Universidad de Indiana EEUU)
http://www.stanford.edu (Universidad de Stanford)
http://www.switch.ch/cert (Academia Suiza de Investigación de redes)
http://info.ox.ac.uk/compsecurity/oxcert/ (Universidad de Oxford)
http://www.cisco.com (Cisco System)
http://www.nai.com (Network Associates Labs)
http://www.ers.ibm.com/ (IBM Emergency Response
Service).
http://www.core-sdi.com/Core-SDI/spanish/FreeSoft.html
http://www.alw.nih.gov/Security/fist-papers.html
http://www.underground.org
http://www.rootshell.com - (exploits)
http://csrc.nist.gov
http:/in-contact.com/internet/seguridad
http://www.core-sdi.com/Core-SDI/spanish/FreeSoft.html
(Casa del Secure Logger).
http://iss.net (Internet Security System).
http://dixguard.com.
www.securityfocus.org
www.NTsecurity.org
www.snort.org
www.trinux.org
www.astalavista.box.sk
www.opensec.net
http:/moon.inf.uji.es
Muchas gracias
por acompañarnos . . .
Descargar