Upload
others
View
19
Download
0
Embed Size (px)
Citation preview
1
Módulo 1.- Fundamentos, Políticas y Procedimientos
Esquemas y Modelos de
Seguridad
(Implementación)
Gustavo A. Santana Torrellas
accenture
José de Jesús Vázquez Gómez
Banco de México
Módulo 1.- Fundamentos, Políticas y Procedimientos
2
Módulo 1.- Fundamentos, Políticas y Procedimientos
Elección de mecanismos
Mecanismos de seguridad normalmente adoptados:– Antivirus y revisión de contenidos– Firewalls – Detección de Intrusos– Evaluacón y supresión de vulnerabilidades– VPN, IPSec– Forenses informáticos
Mecanismos normalmente bajo estudio:– Criptografía, PKI (Public Key Infrastructure)– Tarjetas inteligentes y Biometría– Pruebas de penetración éticas– Nuevas tecnologías en firewalls
Módulo 1.- Fundamentos, Políticas y Procedimientos
InternetInternet
Servicios
ClienteClienteremoto
Cliente
Zona desmilitarizada
Red interna
Firewall
Medidas prácticas
3
Módulo 1.- Fundamentos, Políticas y Procedimientos
InternetInternet
Medidas prácticas
ClienteClienteremoto
Cliente
Zona desmilitarizada
Red interna
Firewall
Módulo 1.- Fundamentos, Políticas y Procedimientos
InternetInternet
Medidas prácticas
ClienteClienteremoto
Cliente
Zona desmilitarizada
Red interna
Firewall
4
Módulo 1.- Fundamentos, Políticas y Procedimientos
Perímetro
• Medidas contra accesos desde Internet
• Firewalls
• Ruteadores selectivos
• Detectores de intrusos
• Protección de red interna y zona neutral
Módulo 1.- Fundamentos, Políticas y Procedimientos
InternetInternet
Medidas prácticas
ClienteClienteremoto
Cliente
Zona desmilitarizada
Red interna
Web hosting
Firewall
5
Módulo 1.- Fundamentos, Políticas y Procedimientos
Zona neutral
• Monitoreo de servicios públicos
• Fortalecimiento de servicios públicos
• Probable replicación de servicios al cliente
• Web hosting como alternativa
• Políticas de comunicación y operación con servidores
• Flujo de datos
• Cifrado
Módulo 1.- Fundamentos, Políticas y Procedimientos
InternetInternet
Medidas prácticas
ClienteClienteremoto
Cliente
Zona desmilitarizada
Red interna
Web hosting
Red
Producción
Red
Usuarios
Firewall
Servidor
6
Módulo 1.- Fundamentos, Políticas y Procedimientos
Red interna
• División entre redes de usuarios comunes y redes de servidores en producción
• Monitoreo de servidores
• Fortalecimiento de servidores
• Firewalls personales
• Cifrado de datos y fortalecimiento de los esquemas de autenticación.
• Cultura
Módulo 1.- Fundamentos, Políticas y Procedimientos
Correo seguro
7
Módulo 1.- Fundamentos, Políticas y Procedimientos
La implementación (1)
InternetInternet
ClienteClienteremoto
ClienteDMZ
Red interna
wwwe-mailDNS
(1) Firewalls
(3) Agentes detectoresde intrusos y de vulnerabilidades
(6) Acceso remoto
(7) Pruebas de penetraciónexternas
(5)VPN
(4) Cifradolocal y Fw
(2)Antivirus
Servidor(2) Antivirus
(0) Administración de la seguridad
Módulo 1.- Fundamentos, Políticas y Procedimientos
La implementación (2)
InternetInternet
ClienteClienteremoto
ClienteDMZ
Red interna
wwwe-mailDNS
(4) Firewalls
(2y6) Agentes detectoresde intrusos y de vulnerabilidades
(8) Acceso remoto
(9) Pruebas de penetraciónexternas
(7)VPN
(3) Cifradolocal y Fw
(6)Antivirus
Servidor(1) Antivirus
(0) Administración de la seguridad(5) Creación de DMZ
8
Módulo 1.- Fundamentos, Políticas y Procedimientos
NIP: ART%.#3b
Contraseña: Panamá
Biométricos
Smart Card
Contraseñas dearranque, servicioso aplicaciones
Tokens
Fortalecimiento de la autenticación
Módulo 1.- Fundamentos, Políticas y Procedimientos
Banco del
cliente
Banco del
proveedor
Cliente Proveedor
RetiroDepósito
Pago efectivo
Pago real
cp8
IPSec, SSL, SET ?
9
Módulo 1.- Fundamentos, Políticas y Procedimientos
PKI
Documento
electrónico
Huella
firma
Encripción
CA
Módulo 1.- Fundamentos, Políticas y Procedimientos
Confidencialidad
Integridad
Disponibilidad
Pretty Good Privacy
Backups, Redundancia, Plan de contingencia, etc.
(PGP) , DES, RSA, IDEA, AES
Tripwire y Message Digest
(MD5), PGP (Huella Digital).
Autenticación Kerberos, Firma digital, Directorio
Firewalls, IDS, Redundancia
Continuidad de operación
Medidas
10
Módulo 1.- Fundamentos, Políticas y Procedimientos
Criptosistemas
• Data Encryption Standard
• Advanced Encryption Standard
• Rivest Shamir y Adleman
• Message Digest Algorithm
• PKI
Módulo 1.- Fundamentos, Políticas y Procedimientos
La Arquitectura ISO/OSI 7498
FísicaCarateriza interfaz física entre dispositivos y reglas mediante las cuales se envian bits
de un lugar a otro: cubre aspectos mecánicos, eléctricos, funcionales y procedurales.
EnlaceTransforma los servicios de transmisión en un servicio sin errores; segmenta la
información en secuencia de tramas y procesa acuses de recibo; su retransmisión;
sincroniza velocidad de proceso entre entidades
RedControla la operación de la subred; ruteo de paquetes, estático o dinámico; control de
flujo de congestion; control de tarifas y costos de comunicación, interfaz a otras redes.
TransporteCapa Fuente-Destino, extremo a extremo; provee servicios de comunicación: envio
aislado o en secuencia; control de flujo extremo a extremo; establecimiento y
terminación de cada sesión de transporte.
Sesión Provee mecanismos para establecer diálogos entre aplicaciones; servicios como
duplex, half duplex, simplex; recuperación como el uso de checkpoints, etc. .
PresentaciónSíntaxis de los datos que intercambian las entidades de aplicación; ayuda en la
selección y modificaciones posteriores del formato y representación de datos;
compresión y descompresión de datos.
AplicaciónProvee los medios para que los programas de aplicación accesen el ambiente OSI,
por ejemplo: protocolos de transferencia de archivos, correo electrónico y protocolos
de autenticación.
11
Módulo 1.- Fundamentos, Políticas y Procedimientos
ISO 7498-2
• El anexo 2 de la Norma 7498 “Modelo de Referencia OSI”.
• Define el concepto de arquitectura de seguridad.
• Los componentes principales son los servicios y los mecanismos de seguridad, así como su ubicación en la arquitectura.
Módulo 1.- Fundamentos, Políticas y Procedimientos
ISO 7498-2
Audit
&
Alert
Mgt
Policy
Management
Object
Management
Services
Management
Mechanisms
Management
Mechanisms
Objects
Services
Digital
Signature
Identification &
Authentication
Confidentiality
Integrity
Encript/
Decript
Access
Control
Non
Repudia
tion
Entity
Authentication
Message
Authentication
Modification
Detection
ACLsLabels
Audit
Events
Programs Passwords
Groups
User ids
Encription
Keys
Privileges
ISO 7498-2
12
Módulo 1.- Fundamentos, Políticas y Procedimientos
YY
YY
YY
YY
YY
YY
YY
YY
YY
YY
YY
YY
YY
YY
YY
YY
Authentication
Access Control
Data
Confidenciality
Data
Integrity
Non-Repudiation
Services
Layer
YY
YY
YY
YY
YY
YY
YY
YY
YY
YY
YY
YY
YY
YY
YY
YY
YY
YY
YY
YY
YY
YY
YY
YY
YY
YY
YY
YY
YY
YY
YY
YY
YY
YY
YY
YY
YY
YY
YY
YY
YY
YY
YY
YY
Peer Entity Authentication
Data Origin Authentication
Access Control Services
Connection Confidentiality
Conectionless Confidentiality
Selective Field Confidentiality
Traffic Flow Confidentiality
Connection Integrity with Recovery
Connection Integrity without Recovery
Selective Field Connection integrity
Connection integrity
Selective field Connectionless Integrity
Non-Repudiation Origin
Non-Repudiation Delivery
YY
YY
YY
YY
YY
YY
YY
YY
ISO/OSI Security Protocols 7498-2
Módulo 1.- Fundamentos, Políticas y Procedimientos
YY
YY
YY
YY
YY
YY
YY
YY
YY
YY
YY
YY
YY
YY
YY
YY
YY
YY
YY
YY
YY
YY
YY
YY
YY
YY
YY
YY
YY
YY
YY
YY
YY
YY
YY
YY
YY
YY
YY
YY
YY
YY
YY
YY
YY
YY
YY
YY
Authentication
Access Control
Data
Confidenciality
Data
Integrity
Non-Repudiation
Services
Mechanisms
Peer Entity Authentication
Data Origin Authentication
Access Control Services
Connection Confidentiality
Conectionless Confidentiality
Selective Field Confidentiality
Traffic Flow Confidentiality
Connection Integrity with Recovery
Connection Integrity without Recovery
Selective Field Connection integrity
Connection integrity
Selective field Connectionless Integrity
Non-Repudiation Origin
Non-Repudiation Delivery
YY
YY
YY
YY
ISO/OSI Security Protocols 7498-2
YYYY
YYYY
YY
YY
YY
YY
YY
YY
YYYY
13
Módulo 1.- Fundamentos, Políticas y Procedimientos
BS 7799
• British Standard Code of practice.
• Provee una base común para el desarrollo, implementación y medición de las prácticas de administración de la seguridad.
Módulo 1.- Fundamentos, Políticas y Procedimientos
BS 7799Security
PolicyOrganizational
Security
Communications
& Operations
Management
Physical &
Environmental
Security
Business
Continuity
Management
Access
Control
Systems
Development
& Maintenance
Asset
Classification
& Control
Personnel
Security
Compliance
14
Módulo 1.- Fundamentos, Políticas y Procedimientos
ISO – 17799 Código de la Práctica• Información de las Políticas de Seguridad
• Organización de la Seguridad
• Clasificación de Activos y su Control
• Seguridad del Personal
• Seguridad Física y Ambiental
• Administración de Comunicaciones y de las Operaciones
• Control de Acceso
• Desarrollo de Sistemas y su Mantenimiento
• Administración de la Continuidad del Negocio
• Cumplimiento
Módulo 1.- Fundamentos, Políticas y Procedimientos
Organización de la Seguridad 4.1
Seguridad de Acceso de Terceros 4.2
Outsourcing 4.3Políticas de Seguridad 3.1
Requerimientos del Negocio de Control de Acceso 9.1
Administración de Acceso de Usuarios 9.2
Responsabilidades del Usuario 9.3
Control de Acceso a la Red 9.4
Control de Acceso al Sistema Operativo 9.5
Control de Acceso a las Aplicaciones 9.6
Sistema de Monitoreo de Acceso y Uso 9.7
Computación Móvil y Trabajo a distancia 9.8
Requerimientos de Seguridad del Sistema 10.1
Seguridad en los Sistemas de Aplicaciones 10.2
Controles Criptográficos 10.3
Seguridad en Archivos del Sistema 10.4
Seguridad en el desarrollo y soporte de procesos 10.5
Cumplimiento de Requerimientos Legales 12.1
Revisión de las Políticas de Seguridad y CumplimientoTécnico 12.2
Consideraciones de Auditoria de Sistemas 12.3
Aspectos de Planeación de Continuidad del Negocio 11.1
Procedimientos Operacionales y Responsabilidades 8.1
Planeación del Sistema y Aceptación 8.2
Protección de software malicioso 8.3
Housekeeping 8.4
Administración de la Red 8.5
Manejo de Media 8.6
Intercambio de Información y Software 8.7
Control de Activos 5.1
Clasificación de la Información 5.2
Seguridad en la definición del trabajo y recursos 6.1
Capacitación del Usuario 6.2
Respuesta a los incidentes de seguridad y mal funcionamiento 6.3
Áreas Seguras 7.1
Seguridad del Equipo 7.2
Controles Generales 7.3
Controles del BS 7799
15
Módulo 1.- Fundamentos, Políticas y Procedimientos
Information Security Standards
Módulo 1.- Fundamentos, Políticas y Procedimientos
Contents
• Overview of security standards
• Type of standards
• List of standards
• Quick insight to each standard
• Conclusions
16
Módulo 1.- Fundamentos, Políticas y Procedimientos
Types of Standards
• Risk based
• Management
• Technical
• Lightweight
• Thorough
• System-wide focus
• Product focus
• Assurance based
• Prescriptive controls
• Checklists
Módulo 1.- Fundamentos, Políticas y Procedimientos
Security Standards - Pick One!
• AS/NZS 4444 (BS 7799, ISO 17799)
• US TCSEC (Rainbow series)
• ITSEC (Europe)
• Common Criteria (ISO 15408)
• IETF Site Security Handbook (RFC 2196)
• Vendor handbooks and checklists, B.S.I., SANS
• Website certification services
• SAS-70
17
Módulo 1.- Fundamentos, Políticas y Procedimientos
AS/NZS 4444
• Information Security Management Standard
• Part 1 - 1999
• Part 2 - 2000
• JANZAS
• Based BS7799
• BS7799 based on industry - Shell Oil etc
Módulo 1.- Fundamentos, Políticas y Procedimientos
AS 4444
• Good internal security management
• Information Security Management System
• Explicit Target - trusted interconnection
• Catalogue of controls
• Recommended baselines
• Risk based assessments
18
Módulo 1.- Fundamentos, Políticas y Procedimientos
AS4444 Controls
• Security policy
• Asset classification and
control
• Physical and environmental
security
• Access control
• Business continuity
management
• Security organisation
• Personnel security
• Communications and operations management
• Systems development and maintenance
• Compliance
Módulo 1.- Fundamentos, Políticas y Procedimientos
TCSEC
• Trusted Computer Security Evaluation Criteria -1983
• US Government specification
• “Orange book” and “Raindbow series”
• Origin of C2, B1, B3 etc
• Functionality & Assurance tightly coupled
• Superceded by still in use
19
Módulo 1.- Fundamentos, Políticas y Procedimientos
ITSEC
• Information Technology Security Evaluation Criteria -
1991
• UK, France, Germany & The Netherlands
• Used by Australia
• System and product use
• http://www.dsd.gov.au/infosec/aisep/EPL/prod.html
• Superceded but still in use
Módulo 1.- Fundamentos, Políticas y Procedimientos
Common Criteria
• Common Criteria for Information Technology Security
Evaluation - 1999
• ISO 15408 (CC v 2.1)
• Merge of TCSEC & ITSEC
• Emerging standard
• Assurance level separate from functionality level
• Mutual recognition agreement - 13 countries
20
Módulo 1.- Fundamentos, Políticas y Procedimientos
RFC 2196
• IETF Site Security Handbook
• Developed by CERT/CC of the CMU
• Response oriented
• Good practical advice
• Explicit about system hardening and patch installation
Módulo 1.- Fundamentos, Políticas y Procedimientos
Vendor Checklists
• SGI
• Compaq/Digital
• Sun Microsystems (Blue prints)
• AIX (redbooks)
• Microsoft
• Apache
• Oracle
21
Módulo 1.- Fundamentos, Políticas y Procedimientos
Vendor Checklists - Continued
• Explicit and specific
• Good for specification in designs or outsourcing
• “how to” oriented
• Sometimes too light
Módulo 1.- Fundamentos, Políticas y Procedimientos
Third Party Vendor Checklists
• AusCERT/CERT Unix security checklist
• Windows NT 4 NSA/Trusted Systems checklist (http://www.trustedsystems.com)
• Windows 2000 security checklist (http://www.systemexperts.com)
• Books - e.g. Practical Unix and Internet Security -Spafford & Garfinkel
22
Módulo 1.- Fundamentos, Políticas y Procedimientos
BSI
• Bundesamt fuer Sicherheit in der Informationstechnik
• http://www.bsi.de/gshb/english/etc/inhalt.htm
• IT Baseline Protection Manual
• More practical than other government attempts
Módulo 1.- Fundamentos, Políticas y Procedimientos
SANS
• System and Network Security
• http://www.sans.org
• Advice on policy and controls
• training (& certification ?)
• Checklists
• Vulnerability service
23
Módulo 1.- Fundamentos, Políticas y Procedimientos
Website Certification Programs
• TruSecure (ICSA/TruSecure)
• Web trust
• beTRUSTed (PwC)
• SysTrust (AICPA)
• Others?
Módulo 1.- Fundamentos, Políticas y Procedimientos
SAS-70
• Statement on Auditing Standards
• American Institute of Certified Public Accountants
• Formal Audit Standard - background of financial audits
• Two levels
– Type I - inspections of key area
– Type II - testing of effective of controls
24
Módulo 1.- Fundamentos, Políticas y Procedimientos
Miscellaneous
• IS 18 - Qld Government
• VISA - security for merchants sites
• NIST - FIPS 102
• US - HIPAA
• OECD - Guidelines for the Security of Information
Systems
• ISO 13335 - Guidelines for the Management of IT
Security
Módulo 1.- Fundamentos, Políticas y Procedimientos
Miscellaneous - continued
• System Security Engineering Capability Maturity
Model (SSE-CMM) - International Systems Security
Engineering Association (ISSEA)
• CoBIT - “IT Governance” - AICPA
25
Módulo 1.- Fundamentos, Políticas y Procedimientos
Conclusions
• Great choice of standards
• None are a full solution