1 / 74

Conceptos y Prácticas de Seguridad Informática

Conceptos y Prácticas de Seguridad Informática. Antonio Sanz – ansanz@unizar.es. Indice. Seguridad Informática Conceptos básicos Requisitos de Seguridad Tipos de amenazas Herramientas de seguridad Plan de Seguridad Prácticas básicas . Al finalizar la charla sabrá.

gloria
Download Presentation

Conceptos y Prácticas de Seguridad Informática

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Conceptos y Prácticas de Seguridad Informática Antonio Sanz – ansanz@unizar.es Tecnologías de Red aplicables al comercio electrónico

  2. Indice • Seguridad Informática • Conceptos básicos • Requisitos de Seguridad • Tipos de amenazas • Herramientas de seguridad • Plan de Seguridad • Prácticas básicas

  3. Al finalizar la charla sabrá... • Conocer el pensamiento de Seguridad • Conocer al enemigo • Conocer los ataques • Conocer las herramientas • Conocer las defensas

  4. Seguridad Informática • Sistema Seguro “Un sistema es seguro si en todo momento se comporta como lo desea su propietario” • Áreas de Seguridad Informática • Sistemas Operativos (Windows, Linux, Mac ) • Aplicaciones ( IIS, Apache, Word ) • Redes ( LAN, WAN, WLAN ) • Datos ( LOPD ) • Fisica ( alarmas, controles de acceso )

  5. Conceptos básicos (I) • Seguridad absoluta • Inexistente • Objetivo : Agotar los recursos del enemigo (moral, tiempo o dinero) • Seguridad mesurada • Asignar recursos de forma eficiente

  6. Conceptos básicos (II) • Seguridad vs Usabilidad • Balanza peligrosa (cuidado con los extremos) • Objetivo: Lograr un equilibrio satisfactorio • Mínimo privilegio • Todos los recursos de la red deberán solo los permisos necesarios para cumplir su tarea

  7. Conceptos básicos (III) • Seguridad en profundidad • No depender de un solo elemento • Modelo de seguridad en capas • Seguridad mediante oscuridad • Dificulta los ataques • Nunca debe confiarse únicamente en ella

  8. Conceptos básicos (IV) • Seguridad Homogénea • La seguridad de un sistema es la del eslabón más débil • Cuidar todos los aspectos de la seguridad • Seguridad Evolutiva • Campo cambiante a gran velocidad • Es necesario mantenerse al día

  9. Requisitos de seguridad (I) • Requisitos de Seguridad • Control de Acceso • Confidencialidad • Integridad • Disponibilidad • Se deberán establecer los requisitos deseados para cada sistema • El objetivo final de la Seguridad es cumplir dichos requisitos

  10. Requisitos de seguridad (II) • Control de Acceso / Autenticación • Identificación de los elementos que acceden a nuestro sistema • Asignación de los permisos de cada elemento de la red • Confidencialidad • La información es valiosa • Impedir el acceso no autorizado

  11. Requisitos de seguridad (III) • Integridad / No repudio • Impedir la manipulación de la información • Identificación unívoca • Disponibilidad • Los servicios deben estar siempre activos • 24 x 7 x 365 x ...

  12. Tipos de amenazas • Tipos de atacantes • Ataques realizables • Posibles daños

  13. Tipos de atacantes (I) • Hacker • Hack: 1) Cortar en tajos. 2) Encontrar una solución eficaz y brillante a un problema • Hacker: Persona con abundantes conocimientos de informática y redes, que explora (o penetra en) sistemas por puro reto • Hacker = Intruso malvado  Incorrecto. Blanco / Negro  Diversos tonos de gris

  14. Tipos de atacantes (II) • Cracker: ( Doble definición ) • Persona que rompe códigos de protección (“cracks”) • “Hacker” que penetra en sistemas en beneficio propio (monetario, social o por pura diversión destructiva) • Conocimientos extensos de seguridad • Definitivamente, “el lado oscuro

  15. Tipos de atacantes (III) • Script Kiddies • Conocimientos básicos de seguridad • Pueden causar graves daños (herramientas precocinadas) • Newbies • Principiantes, conocimientos básicos de seguridad • Lamers • Conocimientos nulos de informática

  16. Tipos de ataques (I) • Identificación del sistema o fingerprinting • Búsqueda de información pública • Ingenieria social • Barrido de puertos o portscanning • Análisis de equipos y servicios

  17. Tipos de ataques ( II ) • Análisis de vulnerabilidades • Con la información obtenida, se buscan vulnerabilidades correspondientes a los Sistemas Operativos y servicios existentes en el sistema • Penetración en el sistema • Explotación de una vulnerabilidad en el sistema  cabeza de puente • Acciones automáticas: camuflaje y expansión

  18. Tipos de ataques ( III ) • Intercepción de contraseñas • Rotura de contraseñas (fuerza bruta) • Falsificación de la identidad • Robo de información • Destrucción de datos • Denegación de servicio

  19. Posibles daños • Robo de Información • Pérdida de datos • Disrupción del servicio • Pérdida de imagen • Posible responsabilidad legal

  20. Herramientas de Seguridad (I) • Herramientas que permiten verificar o aumentar el nivel de seguridad de un sistema • Usadas tanto por atacantes como defensores • Gran variedad: gratuitas, comerciales, bajo Linux, Windows, etc...

  21. Herramientas de Seguridad (II) • Cortafuegos o firewalls • Ejercen un control sobre el tráfico entrante y saliente a un sistema • Hardware & Software • Ej: IpTables, Firewall-1, Cisco PIX • Detectores de intrusos o IDS • Detectan posibles ataques en un sistema, pudiendo activar alarmas o ejercer respuesta coordinada • Ej: Snort, Real Secure

  22. Herramientas de Seguridad (III) • Verificadores de la integridad • Permiten detectar la manipulación de un sistema • Ej: Tripwire • Analizadores de logs • Permiten procesar de forma automática los logs de un sistema en tiempo real y emitir alarmas • Ej: Swatch, LogWatch

  23. Herramientas de Seguridad (IV) • Analizadores de puertos • Barren una red en busca de máquinas y servicios activos • Ej: nmap, PortScan, fport • Detectores de vulnerabilidades • Analizan una red en busca de vulnerabilidades conocidas • Ej: Nessus, Cybercop Scanner, ISS, Saint

  24. Herramientas de Seguridad (V) • Sniffers • Capturan el tráfico que circula por una red (contraseñas y datos, por ejemplo) • Ej: Ethereal, Sniffer, Iris, Analyzer • Password crackers • Utilizan técnicas de diccionario y fuerza bruta para obtener las contraseñas de acceso a un sistema • Ej: LC3, Crack, John the Ripper

  25. Herramientas de Seguridad (VI) • Troyanos • Programas que se instalan en un sistema de forma no deseada • Ej: Back Oriffice , SubSeven. • Rootkits • Programas destinados a facilitar la ocultación y expansión de un intruso

  26. Libros y enlaces de interés Criptonomicón: www.iec.csic.es/criptonomicon SecurityFocus: www.securityfocus.com Kriptópolis: www.kriptopolis.com Hispasec: www.hispasec.com CERT: www.cert.com SecurityPortal: www.securityportal.com Phrack: www.phrack.org/ Insecure.org www.insecure.org “Seguridad Práctica en Unix e Internet” , 2ª Ed.Simson Garfinkel & Gene Spafford - O’Reilly “Hacking Exposed 3rd Edition” - Stuart McClure – McGraw Hill (La 2ºEd en castellano: “Hackers 2” – Stuart McClure – McGraw Hill “Seguridad en Servidores NT/2000 para Internet” – Stefan Norberg, Deborah Russell – O’Reilly “Seguridad y Comercio en el Web” - Simson Garfinkel & Gene Spafford - O’Reilly “Building Internet Firewalls” – Chapman & Zwicky, Ed. O’Reilly

  27. Dudas, preguntas, aclaraciones, pipas, caramelos... ¿?

  28. Prácticas básicas de Seguridad Informática Antonio Sanz – Responsable de Seguridad Informática Tecnologías de Red aplicables al comercio electrónico

  29. Indice • Introducción y Objetivos • Prácticas básicas • Bibliografía y enlaces de interés

  30. Introducción • Internet : Evolución vertiginosa • Conexión fácil, barata y rápida • Gran cantidad de inversión en desarrollo de negocio Internet • Escasa inversión en seguridad • Muy poca conciencia de seguridad

  31. Objetivos • Obtener un buen nivel de seguridad en nuestro sistema • Aplicable tanto a una red corporativa como a un usuario casero • Se aplica perfectamente la ley del 80/20  20% del esfuerzo = 80% de seguridad

  32. Seguridad: Topología • Tener en cuenta la seguridad a la hora de diseñar una red • Cortafuegos / Routers con filtrado (boxes & cortafuegos personales) • Separar los servidores de la LAN • Sistemas de seguridad critica aparte

  33. Seguridad : Backups • Aspecto vital de la seguridad • Medios de backup baratos • Copias incrementales (diarias, semanales y mensuales) • Imágenes de los SO

  34. Seguridad : Parches • Aspecto muy importante  Ataque = sistema o programa no actualizado • Mantener los equipos parcheados siempre que sea posible • Integrarlo dentro del mantenimiento del equipo • Muy importante en servidores

  35. Seguridad : Antivirus • Antivirus en TODO el sistema • Actualización constante • Características especiales  Usarlas • Scan de virus periódico y automatizado • Formación antivirus a los usuarios

  36. Seguridad : Cortafuegos • Cortafuegos: Principal barrera de defensa de un sistema informático ( = muro de un castillo medieval) • Instalar un cortafuegos entre nuestra red e Internet • Cortafuegos personales  interesantes para equipos personales o móviles

  37. Seguridad : Correo electrónico • Principal fuente de entrada de virus • Educación de los usuarios: • No abrir ficheros adjuntos desconocidos • Preguntar al remitente la razón del fichero • Utilizar el antivirus • Abrir únicamente .jpg .gif .txt .html • Nunca abrir .exe .bat .vbs .ini • Emplear cifrado • Tener cuidado con los webmails

  38. Seguridad : Navegación web • Contraseñas almacenadas en el navegador • Información sensible  protección SSL • Control de cookies & web bugs • Navegación anónima

  39. Seguridad :Otros programas de comunicaciones • Programas de chat • Programas de mensajería instantánea (Messenger, Yahoo Pager, ICQ) • Programas de intercambio multimedia

  40. Seguridad : Física & Operativa • Salvapantallas protegido por contraseña • Arranque desde el disco duro únicamente • Protección de la BIOS con contraseña • Gestión de contraseñas • Empleo de cifrado interno

  41. Seguridad : Formación • Internet  cambios muy rápidos • Importante estar al día • Apoyo de la dirección • Concienciación de los usuarios

  42. Conclusiones • Importancia • Necesidad • Concienciación • Aplicación efectiva • Evolución

  43. Enlaces de interés Información sobre cookies: http://www.iec.csic.es/criptonomicon/cookies/ Más información acerca de SSL: http://www.iti.upv.es/seguridad/ssl.html Cómo añadir SSL a su servidor Web: Windows + IIS : http://support.microsoft.com/support/kb/articles/Q228/9/91.ASP Linux + Apache : http://www.securityfocus.com/focus/sun/articles/apache-inst.html Cómo obtener un certificado digital: www.verisign.com www.ipsca.com Salvapantallas para Linux: http://www.linuxgazette.com/issue18/xlock.html Cortafuegos Box: http://www.watchguard.com/ http://www.intrusion.com/ http://www.gnatbox.com/ Cómo montar un cortafuegos con Linux: http://www.linuxdoc.org/HOWTO/Firewall-HOWTO.html http://www.linux-firewall-tools.com/linux/ Cómo poner ACL en router Cisco: http://www.cisco.com/warp/public/cc/pd/iosw/ioft/iofwft/index.shtml Información sobre virus: http://virusattack.xnetwork.com.ar/home/index.php3 http://www.alerta-antivirus.es/ Comparativas de software antivirus: http://www.hispasec.com/comparativa2001.asp http://www.terra.es/informatica/articulo/html/inf2318.htm PGP Internacional ( Windows y Mac ): http://www.pgp.com/downloads/default.asp GnuPG ( Unix/Linux, Windows y Mac ): http://www.gnupg.org/ Configuración segura de su navegador web: http://www.iec.csic.es/criptonomicon/info.html http://www.iec.csic.es/criptonomicon/navegador/

  44. Enlaces de interés Protección del LILO en el arranque: http://www.linux4biz.net/articles/articlelilo.htm Gestor de contraseñas: http://www.counterpane.com/passsafe.html PgpDisk: http://www.pgp.com/products/disk-encryption/default.asp Últimas versiones del Mirc , ICQ & Messenger : http://www.mirc.org/ http://www.icq.com/products/ http://messenger.msn.es/Default.asp Jabber: (pasarela IM) http://www.jabber.com/index.shtml Algunos cortafuegos personales: http://www.zonealarm.com/ http://www.symantec.com/sabu/nis/npf/ Cómo hacer un backup: Linux – Amanda : http://sourceforge.net/projects/amanda/ Windows – Backup : http://www.microsoft.com/intlkb/spain/e11/2/56.asp#1 Cómo hacer una imagen de su equipo: http://www.symantec.com/sabu/ghost/ghost_personal/ Criptonomicón: www.iec.csic.es/criptonomicon SecurityFocus: www.securityfocus.com Kriptópolis: www.kriptopolis.com Hispasec: www.hispasec.com CERT: www.cert.com SecurityPortal: www.securityportal.com

  45. Preguntas Última oportunidad de satisfacer su curiosidad... ¿?

  46. Planes de Seguridad Informática Antonio Sanz – ansanz@unizar.es Tecnologías de Red aplicables al comercio electrónico

  47. Indice • Introducción • Problemática de Seguridad • Definición de un Plan de Seguridad • Ciclo de vida de un PdS • Aspectos a tratar en un Pds

  48. Problemática de Seguridad • Ideológica • Estructural • Tecnológica

  49. Problemática de Seguridad ( II ) • Ideológica • No obstaculizar el proceso de negocio • Nadie se hace responsable de los riesgos • Se actúa de modo reactivo, nunca preventivo • No se conoce el estado real de seguridad

  50. Problemática de Seguridad ( III ) • Estructural • Falta de responsabilidades establecidas • No hay normas definidas • No homogeneidad de los sistemas • No existe una asignación de recursos de seguridad

More Related