1

Arquitectura de Seguridad II

Jorge Luis OjedaRealNet, S.A. de C.V.

Módulo IIISesión 6 . Seguridad

informática

ABC de Administracion de la seguridad

Assets (Activos)

Brand (Marca)

Compliance

(Normas/requerimien

tos)

2

Dividiendo la seguridad en partes

Gente

Fisica Infraestructura

ServersDesktop &

Movil

Problematica… Gente

• Ingenieria Social

Fisica• “Dumpster diving” para documentos (faxes, post-it,

cartas, nformes, reportes, a primera vista)

• Skimmers en Cajeros Automaticos e ingreso en tarjetas de credito

• Robo de medios fisicos

Infraestructura• Ataques de gusanos (Worms)

Server (Principal objetivo de robos electronicos)• Aplicaciones/Ataques y vulnerabilidades de SO

• Phishing y SPAM

• Ataques tipo Pharming

• Robo de base de datos

Desktop/Movil• Spyware

• Redireccion de Web site. (“buscadores ingenuos”)

• Virus, gusanos (Worms), troyanos

• Phishing y SPAM

• Extorsion electronica y robos on-line

3

Tendencias en seguridad

Incremento de defensas activas, no mas defensas pasivas

• Necesidad de detectar ataques y tomar acciones de manera automatica (ej.

IPS en wired y wireless)

Autocorrelacion de evntos y acciones de medidas activas (log servers, IPS

y correlacion)

Necesidad de detectar ataques y amanazas masivas ( DDoS) y responder a

configuraciones del cliente, antes de ser atacados

Necesidad de enfoque en metodos de prevencion en conexiones de red,

antes de que el trafico ingrese a las conexiones corporativas

Mas puntos de end-point moviles

• El mas popular de los end-points en el largo plazo sera GSM y 3G en celulares

• Incremento en puntos de conexion sera de tipo wireless (wi-fi, wi-max, etc.)

Outsourcing de Seguridad (MSP –Management Security

Provider) Es demasiado caro crear/mantener/capacitar/etc un equipo de seguridad

en todas sus ramas.

La experiencia y habilidad de estas companias genera grandes espectativas

y logros en las corporaciones, dificilmente encontrado en el personal de las

empresas o coporaciones que requieren crear una area de seguridad.

Puntos claves de seguridad

Mas sitios remotos de clientes, aun con equipos de seguridad in-house, Sin embargo no se tiene experiencia o tiempo para seguir con todas la maneras de registrar/actuar/implementar de aspectos de seguridad, en los ambientes reales operativos• El trabajo de la seguridad es muy diverso en experiencias, habilidades,

muchas veces complejas y tediosas.

• Muchas areas de seguridad requieren esquemas fuertes de entrenamiento, para lograr la aptitud.

• Muchoas clientes no tienen todavia experiencia in-house sobre diferentes temas de infraestructura en seguridad para “ver” los resultados y tomar medidas proactivas para disminuir los riesgos.

La automatizacion de procesos de seguridad proveen una auditoria mas clara, identificacion rapida de aspectos y/o problemas de seguridad , ademas de una implantacion consistente de sus politicas de seguridad.• Mientras mas seguros los sistemas seran mas confiables, y operables.

4

Muchas herramientas de seguridad off-the-shelf no operan o comparten informacion critica que pueda ser utilizada para identificar amenazas, tendencias y actividades maliciosas.

• La clave es desarrollar metodologias que mejoren la habilidad para que una compania pueda descubrir aspectos de seguridad y ocuparse de ellas, antes de dichos riesgos puedan ser explotados por atacantes

La diversidad de requerimientos de seguridad, que en muchas companias necesitan que se “sobrelleven” con expertos externos tanto como sea necesario. (Sobre todo en Multinacionales –req. nacionales e internacionales)

• Muchas companias ignoran los problemas de seguridad, ya que ellos no han tenido la experiencia de como ocuparse de ello.

Puntos claves de seguridad..

Infraestructura minima necesaria

Filtrado de trafico y administracion

• Firewalls (Stonesoft,Pix, CheckPoint, IPTables…)

• Intrusion Prevention Systems (Reflex Security, Cisco,TopLayer)

• Intrusion Detection Systems (Cisco, ISS, …)

• ACLs y control de flujo de ruteo

• Facilidades alternativas /DR ( Dister recovery) /BCM (Business Continuity Management)

• Filtrado URL, bitacoras (log servers) y servicios de reportes de seguridad integral.

5

Endurecimiento (Hardening) y Administracion• Implementar sistemas automaticos de administracion de

parches para los diferentes compnentes de infraestructura (LNSS, Shavlik, SUS, etc.)

• Endurecimiento ( hardening) de infraestructura de servidores (DNS –pharming, DoS, envenenamiento, etc.- , DHCP –despliegue incongurente, DoS-, etc.)

• Servicios de VPN Site-to-Site

Disminucion de riesgos y administracion• Conjunto de soluciones Anti-DDoS (Reflex security, Mazu,

Cisco Riverhead, Toplayer )

• Servicios de respuesta a incidentes

Infraestructura minima necesaria

En Servidores

Deteccion/Disminucion en Host

• Herramientas basadas en memoria (Entercept)

• Herramientas de intrusiones basadas en disco (Tripwire)

• Herramientas de red basadas intrusiones (LANguard SELM,ZoneAlarm)

Seguridad aplicativa de servidores.

• Sistemas para aplicaciones especificas ( Watchfire, Sanbox)

• Herramientas de endurecimiento de aplicaciones y facilidades (Anti-SPAM Servicios Antivirus basados en servidor)

• Servicios de VPN Client-to-server VPN

• Servicios de certificados con y sin PKI (SSL, SSH, etc.)

6

Componentes de Administracion de Identidad -Identity Management-• Servicios tipo LDAP, Active Directory

• Herramientas de autenticacion tipo Biometricos y two-factor

• Herramientas Single sign-on

Prevencion de intrusos en servidor• Administracion de parches para servidores (LNSS, Shavlik, SUS)

• Encripcion y proteccion de datos

• Elemtos de proteccion de datos y seguridad anivel Bases de datos.

Disaster Recovery/Business Continuity Management• Hot, warm, cold site

• Activo/activo, activo/pasivo

En Servidores

Seguridad en escritorio -Desktop-/Moviles

Patch Management en Desktop/moviles

Anti-Virus

Anti-SPAM

Anti-Spyware

Componentes de seguridad en correo electronico

• Servicios de seguriddad en email (Mail security GFI,Vidius,PGP )

• Anti-SPAM para servidores de correo y filtrado de contenido en correo (Mail essentials GFI, ironPort, Barracude)

Administracion de identidad

7

Metodos de encripcion iniciados por el usuario

• Encripcion y seguridad en Email (Zonelabs)

• Encripcion de disco y archivos (Authenex)

Facilidades para Backup/restore/recover ( Brighstore CA)

Dispositivos Moviles

• Herramientas de seguridad en PDA y telefonos celulares

• Seguridad en Acceso remoto (servicios dial-up y VPN). Utilizar autenticacion de usuarios (RDS3000)

Seguridad en escritorio -Desktop-/Moviles

Grandes huecos de seguridad

Falta de formatos de archivos de bitacoras (logs)

Convergence and reliability issues

Falta de herramientas de autocorrelacion

No existen analisis de riesgos

No exsiten analisis de cumplimientos/

requerimientos normativos

Falta de personal de con habilidades y experiencia

en seguridad

8

No se conoce el ROI -Return on Investment- para

seguridad

Uso de tecnologias no confiables para seguridad (WLAN

sin encripcion, etc.)

Administracion de conocimiento de aspectos de

seguridad

Capacitacion al usuario en aspectos de seguridad

Grandes huecos de seguridad

Convergencia en Datos, Voz, Video. Los datos, voz y video convergen en la red de una sola manera

(TCP/IP)

Tipos de redes convergentes en wireless

• 802.11 in-door y out-door

• 802.16 para oficinas y comunicades externas (up to 20 miles)

• La tecnologia celular se empieza mover a 802.11 y 802.16

La administracion de autenticacion de red se mueve a 802.11x (WPA2) y 802.1x

Esto ofrecera la creacion de fuerzas adoptadas en dispositivos handhelds (telefonos celulares, pda, hibridos) con capacidad de:

• Video

• Audio

• Data

• Roaming y numeros telefonicos mixtos (Telcel y Movistar)

• Mas de una IP por handheld

• Telefonos con multiples servicios como (CDMA, TDMA, GSM, SPRS, 3G, wi-fi, wi-max) capaz de detectar y cambiarse a los diferentes modos de conexion

9

VoIP, Celular y Wireless

Convergencia de CDMA, TDMA, GSM, GPRS, wi-fi y

wi-max

Convergencia de PBX y VoIP (IPBX – Real IPBX)

Convergencia de tecnologia en wireless con video

Movilidad hacia otros factores como

• Bluetooth, PAN, etc.

• Acceso a maquinas de venta (vending

machines), sistemas de prepago -toll booths-,

etc.

El termino de Puntos de venta esta cambiando

Seguridad para VoIP, Celular y Wireless

Definir planes de marcacion, y acceso a usuarios

Implementar firewalls tipo VOIP (Para comunicacion tipo SIP)

Implementar AV para handhelds (Zonelabs, TrendMicro, Airscan)

Implementar sistemas de deteccion de senales bluetooth (Bluewatch

de Air Defense).

Impelementar sistemas de encripcion y autenticacion en Wireless

(RDS3000, Trapeze Networks)

Implemetar sistemas de wireless switching (Trapeze Networks, Cisco,

Symbol)

Uso de sistemas WIPS -Wireless Intrusion Prevention System- (Air

Defense)

10

Analisis de riesgo -Risk Assessment- es primordial y absolutamente necesario

Se requiere entender el riesgo del negocio, para poder

hacer la inversion de seguridad que se necesita

Estructurar el analisis de riesgo muchas veces es una

moda, pero a veces es incompleto:

ISO 17799

SAS 70

Aspectos verticales de risgo de mercado

Que se debe preservar

TCP/IP

• Necesidades de los Protocolos como un medio para

tener seguridad – mas del 90% estan basados en

ello.-

Wireless

• Convergencia VoIP, celular, wi-fi, wi-max

• Adaptacion de sistemas integrales de comunicacion

Identity Management

• Dispositivos, humanos, programas

• Uso administracion de ID a atraves de todas las

aplicaciones

11

Tendencias en seguridad

Outsourcing de funciones tecnologicas de seguridad

Outsourcing de hablidades y metodologias de seguridad

Incluir componentes de seguridad en tecnologias

tradicionales (routers, switches, servidores, desktops,

PDAs, etc.)

Acceleration of hacker efforts between vulnerability

publication and exploit

Herramientas de Ethical Hacking -“Auto-hack”-

Migracion nuevas tecnologias de seguridad

Firewalls e IDS a Intrusion Prevention Systems (IPS)

A sistemas Antivirus de varios motores (Hauri, Mail

security)

A herramientas simples de administracion de politicas y

de tecnologia en seguridad

Herramientas de marcos de trabajo (Framework) para

creacion de politicas y tecnologias de seguridad

Herramientas de Administracion de Identidad

Tecnologias de erradicacion de anomalias (Auditorias)

Herramientas Auto “hardening” (IPS y firewalls)

12

Habilidades necesarias de seguridad Respuesta a incidentes como un equipo

administrativo,

Mucho más énfasis en habilidades de comunicación y esfuerzos de documentación que tecnológicas

Habilidades técnicas

• Autocorrelation

• Respuesta a incidentes

• Forense

• De Red a nivel de paquetes

• De uso en aplicaciones de red y paquetes

• Public Key Infrastructure (PKI)

• LDAP y Administracion de Identidad

• Wireless security

• Seguridad en VoIP

• Requerimientos legales, auditoría

Pharming

¿Qué es?

El pharming consiste en manipular las direcciones DNS (Domain Name Server)

que utiliza el usuario, para conseguir que las páginas web que visite no se

correspondan con las originales, sino con otras creadas ex profeso por

delincuentes para recabar datos confidenciales, sobre todo relacionados con

banca online. Los ataques pharming pueden llevarse a cabo directamente contra

el servidor DNS, de forma que el cambio de direcciones afecte a todos los

usuarios que lo utilicen mientras navegan en Internet, o bien de forma local, es

decir, en cada equipo individualmente. Éstos últimos son mucho más peligrosos,

no solamente porque son muy efectivos, sino porque se llevan a cabo fácilmente

13

Pharming

Tan solo son necesarias dos acciones: modificar un pequeño

archivo llamado hosts que puede encontrarse en cualquier

máquina que funcione bajo Windows y que utilice Internet

Explorer para navegar por Internet, y crear falsas páginas

web. Si se sobrescribe el archivo con -por ejemplo- falsas

direcciones de páginas de banca online, en el momento que el

usuario teclease en su navegador alguna de ellas, accedería a

la página creada por el hacker y que tiene el mismo aspecto

que la original.

Nuevos ataques.

Tipo de ataque Herramienta Utilizada Como se realiza

Cookie Poisoning Identity theft/ Session

Hijack

Manipulando la información almacenada en

una cookie, el intruso asume la identidad del

usuario y tiene acceso a la información.

Muchas aplicaciones utilizan cookies para

almacenar información. (user-id,

timestamp, etc.) Modificación de las

cookies. Solución: Revisión de cookies, evitar

que se utlicen cookies en las estaciones de

trabajo, etc.

Hidden Field

Manipulation

eShoplifting Debido a que las aplicaciones de comercio e-

Commerce utilizan campos escondidos para

almacenar los precios de los productos, y los

auditores no llegan a detectar estos cambios.

Solución: Auditorías y scanner de

aplicaciones WEB.

Buffer Overflow Denial of Service/

Closure of business

Explorando alguna VULNERABILIDAD, y

sobre cargar el tráfico con exceso de

información. Los hackers pueden con esto

tirar uno o varios servidores o estaciones de

trabajo. Solución: Sistemas de scaneo de

vulnerabilidades BaseLiner, Shavlik, LNSS,

Internet Scanner, etc.

14

Nuevos ataques.

Tipo de ataque Herramienta Utilizada Como se realiza

Cross-Site

Scripting

Hijacking/ Identity Theft Un hacker inyecta código malicioso en un

sitio, el scripts falsos son ejecutados en un

contexto tal que parecieran de originados de

otra fuente. Solución: Web firewall y

AppScanners.

Backdoor and

Debug Options

Trespassing A veces los programadores dejan los debugs

abiertos en el código antes de liberarse, sin

embargo muchas veces se olvidan de cerrar

los huecos de seguridad, dando lugar a que

hackers tengan acceso a información

sensitiva.Caso: SQL injection, web

injection.Solucion: AppScanners, auditorías,

control de aplicaciones, definición de políticas de

seguridad en aplicaciones, Patching

3rd Party

Misconfiguration

Debilitating a Site Las vulnerabilidades expuestas en algunos

sitios de seguridad (tales como

www.securityfocus.com) permiten a los

hackers, conocer cuales son las debilidades o

vulnerabilidades y que pueden ser

explotadas. Solución: Scanners, Appscanners,

suscripcion a sitios como qualys, etc.

Fuente: http://www.watchfire.com

Honey Pots

¿Que es un Honey pot?

Es utilizar alguna herramientas, servidor, estación de trabajo,

Para llamar o desviar la atención de los dispositivos en una

Empresa.

“Las abejas caen al buscar la miel”

Estos dispositivos normalmente no tienen ningún parche, seguridad

O cualquier protección, pero si tienen elementos que están monitoreando

Toda actividad hacia estos dispositivos.

15

También so utilizados para aprender de ellos a

protegerse.

Expongo, observo y aprendo.

Honey Pots

Ventajas de los Honey Pots

Deter AttacksFewer intruders will inv ade a network that know is

designed to monitor and capture their activ ity in detail.

Divert Attackers EffortsA intruder will spend energy on a system that causes no

harm to production servers.

EducateThe properly designed and configured Honey Pot provides data

on the methods used to attack systems

Detect Insider AttacksSince most IDS s ystems hav e difficulty detecting insider

attacks, Honey Pots can provide valuable information on the

patterns used by insiders.

Create Confusion for Attackers The bogus data Honey Pots provide to attackers,

can confuse and confound.

16

Honey Pots

Herramientas para crear Honey Pot.

ManTrap by Recourse Technologies. Se crea toda una red para

Ser atacada, utiliza SO solaris.

Deception Tool Kit (DTK) - Fred Cohen and AssociatesBasado en Linux. Requiere Compliador en C y PERL utliza TCP wrappers,

CyberCop Sting by Network A ssociates

Simula MS Windows NT, Sun Solaris, y ruteadores Cisco.

Honey Pot

Uso en WLAN

FAKE-AP

17

Honey Pot

Recomendaciones

Uso interno y externo

Se requiere hacer bitácoras constantes

Antes de lanzar una aplicación o servicio en

Internet, deberá poner un honey pot, para

aprender.

Visitar www.projecthoneypot.org

Honey POT

Project Honey POT

Revisión y aprendizaje de SPAM

#1 United States (43.8%)

#2 Korea (12.0%)

#3 China (9.9%)

#4 France (9.2%)

#5 Brazil (5.4%)

#6 Japan (4.6%)

#7 Spain (4.3%)

#8 United Kingdom (3.9%)

#9 Taiwan (3.8%)

#10 Romania (3.1%)

18

Conclusiones

Mitnick dice que en la actualidad el recurso

más vulnerable es el recurso humano.

Aplicar Security Awarness – Extrema

seguridad.

Conciencia de seguridad a todo el personal.

Incluya al personal en la seguridad

Haga participe a todo el personal en la

seguridad

Conclusiones

El uso no autorizado de sistemas de cómputo ha disminuido en pequeñas proporciones

El porcentaje de organizaciones que reportan intrusiones a sus sistemas se ha reducido.

Aproximadamente, 50% de las organizaciones llevan a cabo auditorías de seguridad

Fuente: (Computer Intrusion Squad) del FBI en San Francisco

19

La gran mayoría de las organizaciones no delegan a

terceros sus actividades de seguridad de sistemas

La gran mayoría de las organizaciones consideran que el

entrenamiento en la conciencia de la seguridad es

importante, aunque muchos de los encuestados creen

que su compañía no invierte lo suficiente en esta área

Fuente: (Computer Intrusion Squad) del FBI en San Francisco

Conclusiones

Conclusiones

La línea entre la conciencia y la paranoia es

muy delgada, pero una estrategia de

concientización de seguridad o security

awareness –bien llevada– puede ser la

diferencia entre la neurosis de los empleados y

la consecución de los objetivos de seguridad

de la información.