Trabajos en altura. Descripcion de uso de arnes de seguridad. Riesgos de trabajo en alturaDescripción completa
Descripción completa
Procedimiento de Bloqueo de Equipos
TFM Carlos Garcia Altarejos Seguridad en Smartphones: Análisis de riesgos, de vulnerabilidades y auditorías de dispositivos
La seguridad en los sistemas de información y de computo se ha convertido en uno de los problemas más grandes desde la aparición, y más aun, desde la globalización de Internet. Dada la potenciali...
Descripción completa
Seguridad Social en México y su comparación con otro paísesDescripción completa
Descripción: prevencion
Descripción: seguridad en obras civiles
Descripción completa
Descripción: Seguridad en Linux (Debian Squeeze)
SEGUIDADDescripción completa
seguridad en celdas de actuadores roboticos fijosDescripción completa
sistema de gestión de seguridad en taller de fundicionDescripción completa
Descripción completa
Descripción breve de las instalaciones robotizadas y la seguridad que debe existir en las mismas
Seguridad en AJAXFull description
seguridad en obraDescripción completa
Descripción: Seguridad Electrica en Hospitales
13/05/2013
OBJETIVOS
Adquirir los mas importantes conocimientos y conceptos (teóricos (teóricos - prácticos) prácticos) en en Seguridad Informática Informática..
Derechos reservados
To Be Security
OBJETIVOS Adquirir los más más importantes conocimientos y conceptos (teóricos (teóricos - prácticos) prácticos) en en Seguridad Informática Informática..
Derechos reservados
To Be Security
1
13/05/2013
SEGURIDAD INFORMÁTICA
Derechos reservados
To Be Security
ANÁLISIS DE RIESGOS
Derechos reservados
To Be Security
2
13/05/2013
ANÁLISIS DE RIESGOS
Derechos reservados
To Be Security
ANÁLISIS DE RIESGOS
Derechos reservados
To Be Security
3
13/05/2013
Derechos reservados
To Be Security
Derechos reservados
To Be Security
4
13/05/2013
Derechos reservados
To Be Security
Derechos reservados
To Be Security
5
13/05/2013
Derechos reservados
To Be Security
Derechos reservados
To Be Security
6
13/05/2013
Derechos reservados
To Be Security
The Open Source Security Testing Methodology Manual OSSTMM
www.osstmm.org Metodologia abierta para realizar auditorias de seguridad en la red. Muy practico ! Es la mas tecnica de todas la normativas Entre los temas que menciona: -Que controles implementar y como instalar los mismos. -Como medir el resultado del test
Derechos reservados
To Be Security
7
13/05/2013
The Open Source Security Testing Methodology Manual OSSTMM Es posible bajar el manual en español:
Derechos reservados
To Be Security
Limitacion de noramtivas y ANÁLISIS de riesgo
Las normativas y el análisis del riesgo son solo una marco de referencia. No son tecnicas!! pueden por ejemplo exigir que se instale un Fw pero no dicen como instalarlo. Tenemos varios clientes que cumplen con las normativas pero igual tienen problemas de seguridad informatica. Estar seguro realmente y cumplir con las normativas son cosas diferentes
Derechos reservados
To Be Security
8
13/05/2013
¡¿Por dónde empiezo?!
POR LA TOPOLOGIA O DIAGRAMA DE LA RED
¡ ACTUALIZADA !
Derechos reservados
To Be Security
SEGURIDAD EN PROFUNDIDAD
Derechos reservados
To Be Security
9
13/05/2013
CASTILLO DE SAN FELIPE DE LARA ES UN EJEMPLO DE SEGURIDAD EN PROFUNDIAD
LA MISMA IDEA DE DEFENSA IMPLEMENTAMOS EN NUESTRA RED. VARIAS BARRERAS PARA DETENER EL ATACANTE Derechos reservados
To Be Security
TOPOLOGÍA DE LA RED
ACTUALIZADA ES LO PRIMERO QUE NECESITAMOS PARA HACER UN PLAN DE SEGURIDAD EN PROFUNDIADAD 99% protegido = 100% vulnerable FW
Ingreso Tráfico
DMZ IPS
Router
Primera Barrera STAGING
FW
DB srvr
SWITCH
LAN
Derechos reservados
To Be Security
10
13/05/2013
PRIMERA BARRERA: EL ROUTER
Derechos reservados
To Be Security
ATAQUE POR FUERZA BRUTA
Derechos reservados
To Be Security
11
13/05/2013
HERRAMIENTA: BRUTUS
Derechos reservados
To Be Security
HERRAMIENTA: HYDRA
Derechos reservados
To Be Security
12
13/05/2013
FIREWALL La mayoria de los FW que auditamos estan mal configurados FW
Ingreso Tráfico
DMZ IPS
Router
STAGING
FW
DB srvr
Importante filltararSWITCH trafico saliente y no solo LAN entrante ! Derechos reservados
To Be Security
SEGUNDA BARRERA:EL FIREWALL
Derechos reservados
To Be Security
13
13/05/2013
DMZ
La DMZ es un segmento donde coloco todos los servidores que tienen que dar servicios a clientes en el internet. Los coloco en un segmento separado de Lan por si acaso me hackean uno de ellos y el atacante toma control sobre el servidor. El atacante estara aislado en un segmento separado de mi Lan que es el segmento mas critico DMZ
FW
IPS
Router
STAGING
FW
DB srvr
En la DMZ voy a implementar alta seguridad.error que vemos varias vecesSWITCH clientes no usan DMZ. Permiten acesso del internet a servidores en la Lan !!!
LAN
Derechos reservados
To Be Security
Hardening A todo elemento que agregamos a la red es critico hacer un proceso de hardening (aseguramiento) porque por defecto el equipo esta en inseguro DMZ
FW
IPS
Router
STAGING
FW
LAN
DB srvr
Hardening (aseguramiento) Colocar servidores en la dmz solo despues de hacer hardening ( para linux tools “bastile-linux”). Error visto varias veces: empresas colocan servidores en la DMZ sin realizar proceso de hardening
SWITCH
Derechos reservados
To Be Security
14
13/05/2013
HARDENING
Derechos reservados
To Be Security
Manejo de los Logs Una buena practica es habilitar los logs de los servidores en la DMZ y enviar una copia de los logs de forma automatica de esos servidores a la red interna DMZ
FW
IPS
Router
FW
LAN
STAGING DB srvr
SWITCH El atacante
en general despues que compromete en servidor borra los logs para eliminar evidancia de sus actividades. Es critico exportar los logs de esa forma di el atacante borro los logs locales el admin tendra un copia en un servidor interno en la lan.
Error que vemos: nadie habilita logs en los servidores! Derechos reservados
To Be Security
15
13/05/2013
Tools para exportar logs Snare Agent - www.intersectalliance.com/snareagents/index.html Splunk – la version gratis analiza hasta 500 MB de logs por dia www.splunk.com • Sumo Logic- servicio pago para exportar los logs. www.sumologic.com • OSSEC- www.ossec.net • Syslog-ng- http://www.balabit.com/network-security/syslogng/opensource-logging-system/downloads/download • •
Derechos reservados
To Be Security
Colocar los servidores base de datos en otro segmento en caso que tenemos una servidor web que consulta la base de datos. No colocar nunca base de datos en la DMZ sino en segmento Staging. DMZ
FW
IPS
Router
STAGING
FW
LAN
DB srvr
SWITCH
Derechos reservados
La comunicacion entre el servidor web y el servidor DB tiene que ser a traves de una VPN interno si es que se envia informacion critica entre esos servidores. Para proteger en caso que un atacante nos coloco un sniffer en la DMZ y esta capturando informacion. Error que vemos varias veces: Instalan el servidor web y DB sobre el mismo servidor
To Be Security
16
13/05/2013
Derechos reservados
To Be Security
Cuando implementamos seguridad en profundidad es critico sacar los permisos de admin. al pc del usuario. DMZ
FW
IPS
Router
STAGING
FW
LAN
DB srvr
SWITCH
Derechos reservados
La comunicacion entre el servidor web y el servidor DB tiene que ser a traves de una VPN inteno si es que se envia informacion critica entre esos servidores. Para protejer en caso que un atacante nos coloco un sniffer en la DMZ y esta capturando informacion. Error que vemos varias veces: Instalan el servidor web y DB sobre el mismo servidor
To Be Security
17
13/05/2013
Conceptos Varios que tenemos que considerar cuando implementamos segurdiad informatica • Least Privilege • Security Policy • Incident respond • Input Validation • Documentación • Ingeniería social • Av. Hardeinig, Patches
Derechos reservados
To Be Security
Derechos reservados
To Be Security
18
13/05/2013
Conceptos Varios que tenemos que considerar cuando implementamos segurdiad informatica • Least Privilege • Security Policy • Incident respond • Input Validation • Documentación • Ingeniería social • Av. Hardeinig, Patches
Derechos reservados
To Be Security
SECURITY POLICIES
Derechos reservados
To Be Security
19
13/05/2013
Security Policy 1. Acceptable Use Policy 2. Access Control Policy 3. Account Management Policies 4. Availability Policies 5. Configuration Management Policies & Procedures 6. Control of Proprietary Information and Intellectual Property 7. Data Backup Procedures 8. Firewall Management Policy 9. General Encryption Policy 10. IM Security Policy/Procedures 11. Internet Access Control Policy 12. Internet Security Awareness & Education Policy 13. Intrusion Detection Policy/Procedures 14. Network Connection Policy 15. Partner Connection Acceptable Use & Connectivity Policy/Procedures 16. Password Management Policy/Procedures 17. Privacy Policies Derechos reservados
Conceptos Varios que tenemos que considerar cuando implementamos segurdiad informatica • Least Privilege • Security Policy • Incident respond • Input Validation • Documentación • Ingeniería social • Av. Hardeinig, Patches
Derechos reservados
To Be Security
Incident Responde-respuesta a incidentes La idea principal es preparar un plan de accion en caso que nos Hackean la red. Saber como responder de forma organizada a un incidente grave. No perder el control sobre la red y responder de la mejor forma. Por ejemplo apagar un servidor despues de un compromiso del mismo es un error . La mejor practica es desconectarlo de la red para no perder evidencia.
Incident respond viene del mundo de la aviacion Derechos reservados
To Be Security
22
13/05/2013
ATACANTE
Derechos reservados
To Be Security
INCIDENT RESPONSE PLAN
Derechos reservados
To Be Security
23
13/05/2013
INCIDENTS MANAGEMENT
Derechos reservados
To Be Security
Buen libro sobre el tema de respuestas a incidents The Computer Incident Response Planning Handbook: Executable Plans for Protecting Information at Risk
Derechos reservados
To Be Security
24
13/05/2013
Conceptos Varios que tenemos que considerar cuando implementamos segurdiad informatica • Least Privilege • Security Policy • Incident respond • Input Validation • Documentación • Ingeniería social • Av. Hardeinig, Patches
Derechos reservados
To Be Security
Input Validation
Un error que vemos en varios clientes es que no capacitan a los programadores en el tema de input validation o de codigo seguro. Falta de input validation es problema # 1 de aplicaciones web en America Latina Derechos reservados
To Be Security
25
13/05/2013
Input Validation
Derechos reservados
To Be Security
EL MODELO OSI
Derechos reservados
To Be Security
26
13/05/2013
Cualquier control que implementamos en nuestra red esta relacionado con uno de estos conceptos:
Derechos reservados
To Be Security
Conceptos Varios que tenemos que considerar cuando implementamos segurdiad informatica • Least Privilege • Security Policy • Incident respond • Input Validation • Documentación • Ingeniería social • Av. Hardeinig, Patches
Derechos reservados
To Be Security
27
13/05/2013
Tener documentacion de los servidores actualizada es muy importante tener esta documentacion nos ayudara en caso que haya necesidad de reinstalar equipos rapidamente En pocas empresas vemos buena documentacion de los servidores y la red Es necesario armar una documentacion y mantenerla actualizada es decir, cada cambio en la red hay que actualizar la documentacion
Derechos reservados
To Be Security
De nuestra experiencia En un cliente en Italia tenian un administrador que no tenia nada documentado. Un dia ese administrador murio en un accidente de autos. Nos contrataron a nosotros para hackiar todos los servidores y todo el equipo de red dentro de la Lan porque no tenian ningun password para ningun equipo y no sabian el rol de cada servidor. El administrador murio con toda la informacion!!! Derechos reservados
To Be Security
28
13/05/2013
Una buena documentacion detalla exactamente como armar todos los servidores de la red.
Casi nadie tiene buena documentacion!
Derechos reservados
To Be Security
DOCUMENTACIÓN
Derechos reservados
To Be Security
29
13/05/2013
DOCUMENTACIÓN software para empezar a documentar la red SYDI http://sydiproject.com :
Derechos reservados
To Be Security
INGENIERIA SOCIAL
Derechos reservados
To Be Security
30
13/05/2013
Conceptos Varios que tenemos que considerar cuando implementamos segurdiad informatica • Least Privilege • Security Policy • Incident respond • Input Validation • Documentación • Ingeniería social • Av. Hardeinig, Patches
Derechos reservados
To Be Security
Kevin Mitnick
Derechos reservados
To Be Security
31
13/05/2013
Derechos reservados
To Be Security
No sirve toda la segurdidad logica que implementamos si es posible realizar ataques de ingenieria social!
Es critico capacitar a los usuarios y hacerles notar los ataques y como protegerse Derechos reservados
To Be Security
32
13/05/2013
Dónde colocar el departamento de seguridad informática? (no bajo TI..)…por qué? • La seguridad no tendrá una voz poderosa • Seguridad tendrá probablemente problemas de fondos • La seguridad no será independiente • El área de seguridad debe inspeccionar TI. Derechos reservados
To Be Security
EL MAPA DE LA SEGURIDAD Las 6 Secciones del Mapa son: 1- Seguridad Física 2- Seguridad en Comunicaciones 3- Seguridad en Internet 4- Seguridad Wireless 5- Capacitación en Seguridad 6- Seguridad de la Información
Visión Amplia de la Presencia de la Seguridad. Hay que tener en cuenta que todo lo que se agrega a la red como servicio trae sus problemas de seguridad.
Derechos reservados
To Be Security
33
13/05/2013
Amenazas de Seguridad Informática relacionado Modelo OSI Capa 7 – Aplicación • Buffer Overflow • Backdoors • Covert Channels
Capa 5 – Sesión • Falta de Autenticacion o Autenticacion débil • Spoofing. Derechos reservados
To Be Security
Amenazas de Seguridad Informática relacionado Modelo Osi Capa 4 – Transporte • Fingerprinting • Information Leakage. • Ejemplo: Banner Grabbing.
Capa 3 – Red
• IP Address Spoofing (Confiar en una IP para la Autenticación). Capa 2 – Enlace Datos
• MAC Address Spoofing • ARP Poisoning • VLAN Hopping (pasar de VLAN a VLAN). • Manipulación de SMTP • Agotar el CAM del switch • Sniffing de la Red. Capa 1 – Física
• • • •
Problemas de Electricidad Robo de PC’s Daño Físico Key logger por hardware. Derechos reservados
To Be Security
34
13/05/2013
Conceptos Varios que tenemos que considerar cuando implementamos segurdiad informatica • Least Privilege • Security Policy • Incident respond • Input Validation • Documentación • Ingeniería social • Av. Hardening, Patches
Derechos reservados
To Be Security
• AV (anti virus)- importante mantener el AV actualizado en los pc’s y servidores • Hardning- acordar que todo elemento que agregamos a la red esta por defecto en modo inseguro! Tenemos que hacer hardning, tambien a las impresoras por ejemplo • Parches- realizar mantenimiento de parches.aplicarlos lo mas pronto a la fecha que salen del fabricante. hacer mantenimieto de parches no solo del sistema operativo si no de tambien de todas la aplicaciones instaladas. varias veces en nuestros pentest comprometemos un servidor porque tienen un software instalado desactualizado con varias vulnerabilidades. En Israel el equipo de TI en los dias que salen nuevos parches de fabricantes, no se van a sus casas hasta que todos los equipos tienen implementados el parche
Derechos reservados
To Be Security
35
13/05/2013
Practica: instalar PSI (personal software inspector en sus pc’s) y ejecutarlo para ver que software tienen desactualizado
Derechos reservados
To Be Security
La importancia de la seguridad fisica La seguridad fisica es critica para la seguridad informatica En un cliente los hackers entraron a la red disfrazados de soporte tecnico y se robaron un servidor fisicamente ! La mayoria de las empresas no tienen buena seguridad fisica. Otro ejemplo es permitir que los visitantes, den vueltas dentro de la empresa sin el acompañamiento acompaniante de un empleado. (La visita puede colocar troyanos en pc’s. sniffers etc…
Derechos reservados
To Be Security
36
13/05/2013
Como me mantengo actualizado en el mundo de la seguridad informatica?
Listas de mail importantes para consultar. La mejor es Basics en cual puden preguntar consultas relacionadas con el mundo de la seguridad informtica Bugtraq- una lista de mails en cual los fabricantes publican vulnerabilidades que descubrieron.
Derechos reservados
To Be Security
En este sitio dan charlas semanales de seguridad informatica
Derechos reservados
To Be Security
37
13/05/2013
http://cert.iucc.ac.il
Derechos reservados
To Be Security
Preguntar a los expertos … www.searchsecurity.com/asktheexperts Se puede efectuar preguntas sobre InfoSec gratis !