01 - Seguridad en Redes-Actualizado

13/05/2013

OBJETIVOS

Adquirir los mas importantes conocimientos y conceptos (teóricos (teóricos - prácticos) prácticos) en en Seguridad Informática Informática..

Derechos reservados

To Be Security

OBJETIVOS Adquirir los más más importantes conocimientos y conceptos (teóricos (teóricos - prácticos) prácticos) en en Seguridad Informática Informática..

Derechos reservados

To Be Security

1

13/05/2013

SEGURIDAD INFORMÁTICA

Derechos reservados

To Be Security

ANÁLISIS DE RIESGOS

Derechos reservados

To Be Security

2

13/05/2013


Derechos reservados

To Be Security


Derechos reservados

To Be Security

3

13/05/2013

Derechos reservados

To Be Security

Derechos reservados

To Be Security

4

13/05/2013

Derechos reservados

To Be Security

Derechos reservados

To Be Security

5

13/05/2013

Derechos reservados

To Be Security

Derechos reservados

To Be Security

6

13/05/2013

Derechos reservados

To Be Security

The Open Source Security Testing Methodology Manual OSSTMM

www.osstmm.org Metodologia abierta para realizar auditorias de seguridad en la red. Muy practico ! Es la mas tecnica de todas la normativas Entre los temas que menciona: -Que controles implementar y como instalar los mismos. -Como medir el resultado del test

Derechos reservados

To Be Security

7

13/05/2013

The Open Source Security Testing Methodology Manual OSSTMM Es posible bajar el manual en español:

Derechos reservados

To Be Security

Limitacion de noramtivas y ANÁLISIS de riesgo

Las normativas y el análisis del riesgo son solo una marco de referencia. No son tecnicas!! pueden por ejemplo exigir que se instale un Fw pero no dicen como instalarlo. Tenemos varios clientes que cumplen con las normativas pero igual tienen problemas de seguridad informatica. Estar seguro realmente y cumplir con las normativas son cosas diferentes

Derechos reservados

To Be Security

8

13/05/2013

¡¿Por dónde empiezo?!

POR LA TOPOLOGIA O DIAGRAMA DE LA RED

¡ ACTUALIZADA !

Derechos reservados

To Be Security

SEGURIDAD EN PROFUNDIDAD

Derechos reservados

To Be Security

9

13/05/2013

CASTILLO DE SAN FELIPE DE LARA ES UN EJEMPLO DE SEGURIDAD EN PROFUNDIAD

LA MISMA IDEA DE DEFENSA IMPLEMENTAMOS EN NUESTRA RED. VARIAS BARRERAS PARA DETENER EL ATACANTE Derechos reservados

To Be Security

TOPOLOGÍA DE LA RED

ACTUALIZADA ES LO PRIMERO QUE NECESITAMOS PARA HACER UN PLAN DE SEGURIDAD EN PROFUNDIADAD 99% protegido = 100% vulnerable FW

Ingreso Tráfico

DMZ IPS

Router

Primera Barrera STAGING

FW

DB srvr

SWITCH

LAN

Derechos reservados

To Be Security

10

13/05/2013

PRIMERA BARRERA: EL ROUTER

Derechos reservados

To Be Security

ATAQUE POR FUERZA BRUTA

Derechos reservados

To Be Security

11

13/05/2013

HERRAMIENTA: BRUTUS

Derechos reservados

To Be Security

HERRAMIENTA: HYDRA

Derechos reservados

To Be Security

12

13/05/2013

FIREWALL La mayoria de los FW que auditamos estan mal configurados FW

Ingreso Tráfico

DMZ IPS

Router

STAGING

FW

DB srvr

Importante filltararSWITCH trafico saliente y no solo LAN entrante ! Derechos reservados

To Be Security

SEGUNDA BARRERA:EL FIREWALL

Derechos reservados

To Be Security

13

13/05/2013

DMZ

La DMZ es un segmento donde coloco todos los servidores que tienen que dar servicios a clientes en el internet. Los coloco en un segmento separado de Lan por si acaso me hackean uno de ellos y el atacante toma control sobre el servidor. El atacante estara aislado en un segmento separado de mi Lan que es el segmento mas critico DMZ

FW

IPS

Router

STAGING

FW

DB srvr

En la DMZ voy a implementar alta seguridad.error que vemos varias vecesSWITCH clientes no usan DMZ. Permiten acesso del internet a servidores en la Lan !!!

LAN

Derechos reservados

To Be Security

Hardening A todo elemento que agregamos a la red es critico hacer un proceso de hardening (aseguramiento) porque por defecto el equipo esta en inseguro DMZ

FW

IPS

Router

STAGING

FW

LAN

DB srvr

Hardening (aseguramiento) Colocar servidores en la dmz solo despues de hacer hardening ( para linux tools “bastile-linux”). Error visto varias veces: empresas colocan servidores en la DMZ sin realizar proceso de hardening

SWITCH

Derechos reservados

To Be Security

14

13/05/2013

HARDENING

Derechos reservados

To Be Security

Manejo de los Logs Una buena practica es habilitar los logs de los servidores en la DMZ y enviar una copia de los logs de forma automatica de esos servidores a la red interna DMZ

FW

IPS

Router

FW

LAN

STAGING DB srvr

SWITCH El atacante

en general despues que compromete en servidor borra los logs para eliminar evidancia de sus actividades. Es critico exportar los logs de esa forma di el atacante borro los logs locales el admin tendra un copia en un servidor interno en la lan.

Error que vemos: nadie habilita logs en los servidores! Derechos reservados

To Be Security

15

13/05/2013

Tools para exportar logs Snare Agent - www.intersectalliance.com/snareagents/index.html Splunk – la version gratis analiza hasta 500 MB de logs por dia www.splunk.com • Sumo Logic- servicio pago para exportar los logs. www.sumologic.com • OSSEC- www.ossec.net • Syslog-ng- http://www.balabit.com/network-security/syslogng/opensource-logging-system/downloads/download • •

Derechos reservados

To Be Security

Colocar los servidores base de datos en otro segmento en caso que tenemos una servidor web que consulta la base de datos. No colocar nunca base de datos en la DMZ sino en segmento Staging. DMZ

FW

IPS

Router

STAGING

FW

LAN

DB srvr

SWITCH

Derechos reservados

La comunicacion entre el servidor web y el servidor DB tiene que ser a traves de una VPN interno si es que se envia informacion critica entre esos servidores. Para proteger en caso que un atacante nos coloco un sniffer en la DMZ y esta capturando informacion. Error que vemos varias veces: Instalan el servidor web y DB sobre el mismo servidor

To Be Security

16

13/05/2013

Derechos reservados

To Be Security

Cuando implementamos seguridad en profundidad es critico sacar los permisos de admin. al pc del usuario. DMZ

FW

IPS

Router

STAGING

FW

LAN

DB srvr

SWITCH

Derechos reservados

La comunicacion entre el servidor web y el servidor DB tiene que ser a traves de una VPN inteno si es que se envia informacion critica entre esos servidores. Para protejer en caso que un atacante nos coloco un sniffer en la DMZ y esta capturando informacion. Error que vemos varias veces: Instalan el servidor web y DB sobre el mismo servidor

To Be Security

17

13/05/2013

Conceptos Varios que tenemos que considerar cuando implementamos segurdiad informatica • Least Privilege • Security Policy • Incident respond • Input Validation • Documentación • Ingeniería social • Av. Hardeinig, Patches

Derechos reservados

To Be Security

Derechos reservados

To Be Security

18

13/05/2013


Derechos reservados

To Be Security

SECURITY POLICIES

Derechos reservados

To Be Security

19

13/05/2013

Security Policy 1. Acceptable Use Policy 2. Access Control Policy 3. Account Management Policies 4. Availability Policies 5. Configuration Management Policies & Procedures 6. Control of Proprietary Information and Intellectual Property 7. Data Backup Procedures 8. Firewall Management Policy 9. General Encryption Policy 10. IM Security Policy/Procedures 11. Internet Access Control Policy 12. Internet Security Awareness & Education Policy 13. Intrusion Detection Policy/Procedures 14. Network Connection Policy 15. Partner Connection Acceptable Use & Connectivity Policy/Procedures 16. Password Management Policy/Procedures 17. Privacy Policies Derechos reservados

To Be Security

Security Policy 18. Privileged Access Policy 19. Remote Access Policy 20. Security Incident Handling Policies & Procedures 21. System Security Standards (for specific OSes) 22. Technology Purchasing Guidelines 23. User Account Policies 24. Virus Prevention Policy/Procedures 25. VoIP Security Policy/Procedures 26. Wireless Policy/Procedures

Derechos reservados

To Be Security

20

13/05/2013

PROCEDURES

Derechos reservados

To Be Security

GUIDELINES

Derechos reservados

To Be Security

21

13/05/2013


Derechos reservados

To Be Security

Incident Responde-respuesta a incidentes La idea principal es preparar un plan de accion en caso que nos Hackean la red. Saber como responder de forma organizada a un incidente grave. No perder el control sobre la red y responder de la mejor forma. Por ejemplo apagar un servidor despues de un compromiso del mismo es un error . La mejor practica es desconectarlo de la red para no perder evidencia.

Incident respond viene del mundo de la aviacion Derechos reservados

To Be Security

22

13/05/2013

ATACANTE

Derechos reservados

To Be Security

INCIDENT RESPONSE PLAN

Derechos reservados

To Be Security

23

13/05/2013

INCIDENTS MANAGEMENT

Derechos reservados

To Be Security

Buen libro sobre el tema de respuestas a incidents The Computer Incident Response Planning Handbook: Executable Plans for Protecting Information at Risk

Derechos reservados

To Be Security

24

13/05/2013


Derechos reservados

To Be Security

Input Validation

Un error que vemos en varios clientes es que no capacitan a los programadores en el tema de input validation o de codigo seguro. Falta de input validation es problema # 1 de aplicaciones web en America Latina Derechos reservados

To Be Security

25

13/05/2013

Input Validation

Derechos reservados

To Be Security

EL MODELO OSI

Derechos reservados

To Be Security

26

13/05/2013

Cualquier control que implementamos en nuestra red esta relacionado con uno de estos conceptos:

Derechos reservados

To Be Security


Derechos reservados

To Be Security

27

13/05/2013

Tener documentacion de los servidores actualizada es muy importante tener esta documentacion nos ayudara en caso que haya necesidad de reinstalar equipos rapidamente En pocas empresas vemos buena documentacion de los servidores y la red Es necesario armar una documentacion y mantenerla actualizada es decir, cada cambio en la red hay que actualizar la documentacion

Derechos reservados

To Be Security

De nuestra experiencia En un cliente en Italia tenian un administrador que no tenia nada documentado. Un dia ese administrador murio en un accidente de autos. Nos contrataron a nosotros para hackiar todos los servidores y todo el equipo de red dentro de la Lan porque no tenian ningun password para ningun equipo y no sabian el rol de cada servidor. El administrador murio con toda la informacion!!! Derechos reservados

To Be Security

28

13/05/2013

Una buena documentacion detalla exactamente como armar todos los servidores de la red.

Casi nadie tiene buena documentacion!

Derechos reservados

To Be Security

DOCUMENTACIÓN

Derechos reservados

To Be Security

29

13/05/2013

DOCUMENTACIÓN software para empezar a documentar la red SYDI http://sydiproject.com :

Derechos reservados

To Be Security

INGENIERIA SOCIAL

Derechos reservados

To Be Security

30

13/05/2013


Derechos reservados

To Be Security

Kevin Mitnick

Derechos reservados

To Be Security

31

13/05/2013

Derechos reservados

To Be Security

No sirve toda la segurdidad logica que implementamos si es posible realizar ataques de ingenieria social!

Es critico capacitar a los usuarios y hacerles notar los ataques y como protegerse Derechos reservados

To Be Security

32

13/05/2013

Dónde colocar el departamento de seguridad informática? (no bajo TI..)…por qué? • La seguridad no tendrá una voz poderosa • Seguridad tendrá probablemente problemas de fondos • La seguridad no será independiente • El área de seguridad debe inspeccionar TI. Derechos reservados

To Be Security

EL MAPA DE LA SEGURIDAD Las 6 Secciones del Mapa son: 1- Seguridad Física 2- Seguridad en Comunicaciones 3- Seguridad en Internet 4- Seguridad Wireless 5- Capacitación en Seguridad 6- Seguridad de la Información

Visión Amplia de la Presencia de la Seguridad. Hay que tener en cuenta que todo lo que se agrega a la red como servicio trae sus problemas de seguridad.

Derechos reservados

To Be Security

33

13/05/2013

Amenazas de Seguridad Informática relacionado Modelo OSI Capa 7 – Aplicación • Buffer Overflow • Backdoors • Covert Channels

Capa 6 – Presentación • SQL Injection • XSS • Input Validation. • Ejemplo: www.x.com/etc/password

Capa 5 – Sesión • Falta de Autenticacion o Autenticacion débil • Spoofing. Derechos reservados

To Be Security

Amenazas de Seguridad Informática relacionado Modelo Osi Capa 4 – Transporte • Fingerprinting • Information Leakage. • Ejemplo: Banner Grabbing.

Capa 3 – Red

• IP Address Spoofing (Confiar en una IP para la Autenticación). Capa 2 – Enlace Datos

• MAC Address Spoofing • ARP Poisoning • VLAN Hopping (pasar de VLAN a VLAN). • Manipulación de SMTP • Agotar el CAM del switch • Sniffing de la Red. Capa 1 – Física

• • • •

Problemas de Electricidad Robo de PC’s Daño Físico Key logger por hardware. Derechos reservados

To Be Security

34

13/05/2013

Conceptos Varios que tenemos que considerar cuando implementamos segurdiad informatica • Least Privilege • Security Policy • Incident respond • Input Validation • Documentación • Ingeniería social • Av. Hardening, Patches

Derechos reservados

To Be Security

• AV (anti virus)- importante mantener el AV actualizado en los pc’s y servidores • Hardning- acordar que todo elemento que agregamos a la red esta por defecto en modo inseguro! Tenemos que hacer hardning, tambien a las impresoras por ejemplo • Parches- realizar mantenimiento de parches.aplicarlos lo mas pronto a la fecha que salen del fabricante. hacer mantenimieto de parches no solo del sistema operativo si no de tambien de todas la aplicaciones instaladas. varias veces en nuestros pentest comprometemos un servidor porque tienen un software instalado desactualizado con varias vulnerabilidades. En Israel el equipo de TI en los dias que salen nuevos parches de fabricantes, no se van a sus casas hasta que todos los equipos tienen implementados el parche

Derechos reservados

To Be Security

35

13/05/2013

Practica: instalar PSI (personal software inspector en sus pc’s) y ejecutarlo para ver que software tienen desactualizado

Derechos reservados

To Be Security

La importancia de la seguridad fisica La seguridad fisica es critica para la seguridad informatica En un cliente los hackers entraron a la red disfrazados de soporte tecnico y se robaron un servidor fisicamente ! La mayoria de las empresas no tienen buena seguridad fisica. Otro ejemplo es permitir que los visitantes, den vueltas dentro de la empresa sin el acompañamiento acompaniante de un empleado. (La visita puede colocar troyanos en pc’s. sniffers etc…

Derechos reservados

To Be Security

36

13/05/2013

Como me mantengo actualizado en el mundo de la seguridad informatica?

Listas de mail importantes para consultar. La mejor es Basics en cual puden preguntar consultas relacionadas con el mundo de la seguridad informtica Bugtraq- una lista de mails en cual los fabricantes publican vulnerabilidades que descubrieron.

Derechos reservados

To Be Security

En este sitio dan charlas semanales de seguridad informatica

Derechos reservados

To Be Security

37

13/05/2013

http://cert.iucc.ac.il

Derechos reservados

To Be Security

Preguntar a los expertos … www.searchsecurity.com/asktheexperts Se puede efectuar preguntas sobre InfoSec gratis !

Derechos reservados

To Be Security

38

01 - Seguridad en Redes-Actualizado

Recommend Documents