PeCERT - Acciones preventivasperu.gob.pe/pm/portales/portal_ongei/docs/ONGEI_Acciones.pdf• Fortinet • Juniper • Cisco • CheckPoint Acciones Preventivas ante incidentes de Seguridad

Miguel Del Carpio Wong Oficina Nacional de Gobierno Electrónico e Informática

ONGEI2016

Oficina Nacional de Gobierno Electrónico

e Informática - ONGEI

Acciones Preventivas ante

incidentes de Seguridad

Ing. Ronal Barrientos Deza Jefe de la Oficina Nacional

de Gobierno Electrónico e Informática

Existen Muchas Amenazas a los

Servicios en Línea y Datos se Manejan

• Las BD Pueden Ser Robadas por los Atacantes.

• Las BD Pueden corromperse por Virus.

• Las BD pueden alterarse por los Empleados.

• Los Servicios TIC, pueden ser utilizados por los

Atacantes, para enviar SPAM, virus o realizar

ataques.

• Los Servicios TIC, pueden ser bloqueados por los

Atacantes.

Acciones Preventivas ante incidentes de Seguridad




• La mayor parte de los Gastos de Seguridad se Basan en

Infraestructura.

• La mayoría de desarrolladores no toma en cuenta la seguridad de

su código.

• La mayoría de los usuarios no se preocupan de la seguridad.




• “Una Cadena es tan fuerte como el más débil de

sus eslabones” *** *** Adoptado de un escrito del siglo XVIII por Thomas Reid titulado: “Ensayos en los

Poderes Intelectuales del Hombre y John C. Maxwell, autor de “LAS 17 LEYES

INCUESTIONABLES DEL TRABAJO EN EQUIPO” (2001) la menciona como la 5ta

ley, La Ley de la cadena: “La fortaleza del equipo se ve afectada por el eslabón más

débil”



Dispositivos:

LO IMPRESCINDIBLE

• Firewall.

• Antivirus (protección en estaciones y servidores).

• VPN (Virtual Private Networks)

• Antispam.

• IPS/IDS.

• Autenticación fuerte (combinar letras, números y

caracteres especiales).

• Monitorización de redes y seguridad.

• Centralizar eventos.

• Backup




EL FIREWALL




EL FIREWALL

• Usado para delimitar redes y definir las políticas

de acceso entre las redes.

• Filtrado de paquetes.

• Existen Libres y comerciales:

• Libres:

• Linux con Iptables

• Open BSD con Packet Filter

• Free BSD con IPFW

• Comerciales:

• Fortinet

• Juniper

• Cisco

• CheckPoint




EL FIREWALL

• Conocernos a “nosotros mismos”:

• Tener mapas de red actualizados.

• Hacer análisis de políticas de firewall si existía.

• Negar todo y dar permisos de acuerdo a lo que

se requiere.

• Identificar servicios que son críticos o

imprescindibles y definir políticas para

protegerlos.

• En primer lugar definir una regla que nos

permitirá administrar el equipo en forma remota

desde las direcciones ip de administración


Políticas de Seguridad



EL FIREWALL

• Colocar al principio las reglas más usadas, como

tráfico saliente vía web o correo.

• Crear grupos de reglas.

• Mucho cuidado con las reglas cuyo origen sea

ANY ó la red 0.0.0.0.

• Prestar mucha atención a reglas temporales.

• Comentar cada regla para facilitar el

entendimiento.





EL FIREWALL





EL FIREWALL



* Lorenzo Martinez:

http://www.securitybydefault.com/2011/10/como-disenar-una-politica-de.html

http://www.securizame.com



VPN

Virtual Private Networks




VPN


• Tipos de VPN:

• De un local a otro (Site to Site)

• Cliente remoto.

• Protocolo VPN:

• IpSec

• SSL

• SSL/TLS




VPN


• Si vas a gestionar la red, ésta debería ser la

ÚNICA forma de acceso.

• Debería haber una auditoría para las conexiones

(quién, qué, por qué, para qué, cuando, donde y

otros). Generalmente los equipos VPN y

software lo permiten.

• Definitivamente la autenticación fuerte debería

estar presente.

• Integrar NAC (Network Access Control) con VPN.

• En lo posible restricciones horarias y geográficas

para colaboradores.

• Restricciones geográficas para gestionar la red.


Consideraciones y Buenas Pŕacticas



VPN



VPN



VPN



VPN



VPN



OverBooking



VPN



OVERBOOKING

• 1:10 ($$)

• 1:4 ($$$$$)

• 1:1 ($$$$$$$$$$$$)



VPN



VPN + OVERBOOKING



ANTI SPAM




ANTI SPAM

• Poseer un resumen diario de bloqueo

• Tener una personalización para usuarios.

• Hacer listas de reputación.

• Ejemplo de software libre: spamassassin

• La idea no es sólo bloquear, si no marcar para

evitar futuro spam.

• De ser posible tener un Relay SMTP:

• Distribución a un servidor con buzones de

correo ó a otro relay smtp.

• Comprobar el dominio de un destino de correo.

• Proteger de PHISHING, MALWARES y así evitar

molestias innecesarias.





AUTENTICACIÓN FUERTE






• La Autenticación Fuerte es una manera de

asegurar que la persona que se identifica en un

sistema es realmente quien dice ser

comprobando su identidad, este sistema se

encuentra generalmente basado en tres factores

básicos:

• Algo que usted sabe: Clave, PIN, Cédula de

Identidad, Pasaporte, Nombre de Algún

Pariente, etc

• Algo que usted posee: Credencial, Tarjeta

Magnética, Token OTP (One Time Password),

etc.

• Algo que usted es: Huella Digital,

Reconocimiento facial, de voz, iris, retina, etc.





• Hablamos de Autenticación Fuerte cuando un

sistema utiliza al menos dos de los tres

factores básicos, de modo que si uno de estos

factores se encuentra comprometido todavía

existe un segundo factor que le garantiza la

seguridad. Ejemplo:

• Banca: Tarjeta debito (posee) + Clave (sabe)

• Autenticación de correo en dos pasos: Clave

(sabe) + verificación en celular (posee).

• Empresas y Gobiernos autentican en 3

factores dependiendo del nivel de seguridad

que requieran.

• A Considerar:

• 1FA, 2FA, 3FA, 4FA (GPS, time) and 5FA.





• Usar más de un factor de autenticación.

• Las contraseñas deben poseer algún tipo de

cifrado.

• Políticas de cambios periódicos de contraseñas.

• Políticas de seguridad de contraseñas.

• Usar servidores tipo AD, LDAP, RADIUS.

• Observar el bloqueo de cuentas.

• Alertar y reaccionar ante intentos fallidos de

ingreso.

• Tener en observación los logs.




CENTRALIZACIÓN DE EVENTOS





• Para saber que sucede.

• Todos sincronizado por NTP. Mismo tiempo para

todos los equipos.

• Informar de manera periódica.

• Protocolos estándar SNMP y Syslog.

• Usar una base de datos.

• Los archivos de logs son encriptados y

almacenados para securizarlos y estén

disponibles para análisis forense futuros.

• Que permitan la búsqueda usando comodines,

frases y operadores booleanos.







Security Information and Event Management





Security Information and Event Management.





Security Information and Event Management

* http://www.bradfordnetworks.com/partners/technology-partners/



MONITORIZACIÓN DE REDES










• Funciona todo normalmente.

• Herramientas libres: CACTI, NAGIOS, ZABBIX.

• Definir los dispositivos y equipos a monitorear.

• Comprobación de servicios.

• Alertas a operadores, responsables,

supervisores.

• Tipo de Alerta: Correo, sms, u otros.

• Acceso restringido para los administradores de

red y operadores de seguridad.




SERVICIOS INTERNOS


• Control sobre el direccionamiento IP.

• Muy útil en la zona de usuarios.

• En DMZ usar siempre Ips fijas.

• Se puede configurar para asignar IPs de acuerdo

a la MAC Address.

• Usar herramientas para detectar nuevas MAC.

DHCP

DNS

• Resolver interna y externamente.

• Caché DNS.

• Se evita el cambio en todas las PCs.

• Permite definir políticas para que sólo servidores

DNS consulten a otros DNS.



SERVICIOS INTERNOS


• Es el Network Time Protocol.

• Todas los equipos deben tener la misma hora.

• Un servidor interno NTP que sincronice con un

NTP externo atómico.

• Todos sincronizan con NTP interno.

NTP

DIRECTORIO ACTIVO / LDAP

• Estructura jerarquizada de usuarios.

• Permite la creación de Grupos, UO, GPOs.

• Información ordenada.

• Autenticación.

• Pertenencia a grupos.

• Permite crear políticas de seguridad.



SERVICIOS INTERNOS


• Depende de la criticidad de los datos y el período

de tiempo con el que se modifican.

• Hay completos o incrementales.

• Definir a que se hará backup y con que

frecuencia.

• Hacer el backup fuera de horario pico de trabajo.

• Almacenar el backup fuera.

• Procedimientos de restauración y pruebas.

BACKUP




• “Una Cadena es tan fuerte como el más débil de

sus eslabones” *** *** Adoptado de un escrito del siglo XVIII por Thomas Reid titulado: “Ensayos en los

Poderes Intelectuales del Hombre y John C. Maxwell, autor de “LAS 17 LEYES

INCUESTIONABLES DEL TRABAJO EN EQUIPO” (2001) la menciona como la 5ta

ley, La Ley de la cadena: “La fortaleza del equipo se ve afectada por el eslabón más

débil”



Gestión de Contraseñas










• Las contraseñas te dan acceso total a un

servicio.

• No guardar contraseñas en lugares visibles.

• De preferencia usar cifrados.

• Tener política de cambio de contraseñas.

• Usar contraseñas robustas: 10 caracteres a más

usando combinaciones de minúsculas,

mayúsculas, números y carácteres especiales.

• Evitar usar una contraseña para todo.

• Usar software para gestión de contraseñas:

KeePassX.

Consideraciones





KeePassX





KeePassX



Sistemas Operativos


Estaciones de Trabajo



Sistemas Operativos


Estaciones de Trabajo WINDOWS



Sistemas Operativos


Estaciones de Trabajo MAC



Sistemas Operativos


Estaciones de Trabajo LINUX



Sistemas Operativos


Consideraciones para Equipos de Escritorio

• Contraseñas para el BIOS, usar uno

administrativo y uno de usuario.

• En lo posible disponer de un dominio.

• Instalar el Software de la institución.

• Usar medios originales.

• Ejecutar sólo el software necesario para el

desempeño de labores.

• Usar protectores de pantalla para bloqueo y

configurado al menor tiempo posible.

• Bloquear pantalla al salir del escritorio de trabajo.

• Disponer de un software antivirus original.



Sistemas Operativos


Consideraciones para Equipos de Escritorio

• Activar el firewall personal de preferencia con el

sistema operativo.

• Deshabilitar la ejecución automática de

dispositivos externos (CDs / DVDs / USBs)

• Mantener actualizado el sistema operativo.

• Usar el equipo con un usuario no privilegiado.

• Sincronizar la hora de las estaciones de trabajo.

• Habilitar la visualización de extensión de

archivos conocidos.



Sistemas Operativos


Servidores



Sistemas Operativos


Consideraciones para Servidores

• El Servidor debe tener algún tipo de protección

de nivel de RAID.

• Realizar una instalación mínima del Sistema

Operativo.

• Usar de preferencia el idioma inglés para el

Sistema Operativo.

• Para el caso de servidores Windows, usar

medios originales.

• Para el caso de servidores Linux, usar

repositorios oficiales.

• Para servidores Linux usar el nivel de ejecución

3, el cual carga sólo en modo texto.



Sistemas Operativos


Consideraciones para Servidores

• Que el servidor cargue sólo los servicios

mínimos necesarios para su funcionamiento.

• Usar firewall local.

• Antivirus para el caso de Windows.

• De ser posible habilitar la auditoria.

• En Linux, habilitar el SELINUX y configurarlo.

• Establecer políticas de contraseñas de dominio

en Windows.

• Establecer políticas de contraseñas locales en

Linux.

• Actualizar el Sistema Operativo según se

requiera y de manera periódica.



CRIPTOGRAFÍA


CONSIDERACIONES



CRIPTOGRAFÍA


CONSIDERACIONES



CRIPTOGRAFÍA


Atbash (590 AC - HEBREOS)

• Entonces, como quedaría cifrado: PECERT

• P =>K; E=> V; C=>X; E=>V; R=>I; T=>G

• Por lo tanto PECERT quedaría cifrado como:

KVXVIG

• Tarea:

¿Es seguro?

¿Fortalezas/Beneficios?

¿Debilidades?



CRIPTOGRAFÍA


Escilata (500 AC – Griegos Espartanos)

• Entonces:

• ¿Cuál es el mensaje original?

SEGURIDAD DE LA INFORMACION.

PECERT.

• ¿Cuál es el mensaje cifrado?

S IELOGANU .RI INPDFEAOCDRE MRDATEC.

S IELOGANU .RI INPDFEAOCDRE MRDATEC.

• Tarea:

¿Es seguro?


¿Debilidades?

S E G U R I D A D D E

L A I N F O R M A C

I O N . P E C E R T .



CRIPTOGRAFÍA


César (Siglo 1 AC – Julio César - Roma)

• Entonces:

• ¿Cuál es la clave?

• ¿Cuál es el mensaje original?

ESTAMOS PARA AYUDAR PECERT

• ¿Cuál es el mensaje cifrado?

PCDLXZCK LBLKLIEOLBK PNPBD

• Tarea:

¿Es seguro?


¿Debilidades?

A B C D E F G H I J K L M N O P Q R S T U V W X Y Z _

↓ ↓ ↓ ↓ ↓ ↓ ↓ ↓ ↓ ↓ ↓ ↓ ↓ ↓ ↓ ↓ ↓ ↓ ↓ ↓ ↓ ↓ ↓ ↓ ↓ ↓ ↓

L M N O P Q R S T U V W X Y Z _ A B C D E F G H I J K



CRIPTOGRAFÍA


MODERNA : Criptografía Simétrica

• Uso de clave secreta.

• DES, 3DES, AES (Rijndael)

• Algunas debilidades:

• Mala gestión de claves.

• Mala distribución de claves.

• No tiene firma digital.



CRIPTOGRAFÍA


MODERNA : Criptografía Asimétrica

• Uso de clave privada y clave pública.

• RSA

• Consideraciones:

• Cada usuario tiene dos claves que son

matemáticamente inversas entre si.

• Es posible la firma digital.

• La seguridad reside en la dificultad computacional de

encontrar la clave privada a partir de la clave pública.



DataCenters


DataCenters



DataCenters


DataCenters



DataCenters


DataCenters



Sistemas Operativos


Consideraciones para Data Centers

• Autenticar el acceso al Data Center Principal.

• Rotular cables en origen y destino.

• Etiquetar equipos.

• Los racks deben estar cerrados con llave.

• De preferencia tener alimentación redundante de

corriente.

• Los cables deben estar identificados y

‘peinados’.

• Debe haber limpieza y todo debe estar

ordenado.

• Respetar las normas técnicas peruanas e

internacionales.



Respuesta ante Incidentes


PeCERT



Respuesta ante Incidentes


Respuesta ante incidentes

• Identificar el equipo y aislarlo.

• Identificar el alcance del incidente.

• Avisar al PeCERT.

• No borrar y permitir el acceso a los logs.

• Averiguar la raíz del problema:

• Malas configuraciones en servidores y

equipos.

• Mala programación.

• Reinstalar y asegurar el sistema considerando la

falla por el cual accedieron.

• Identificar por qué no se detectó el fallo.

• Solicitar ayuda al PeCERT.



Muchas Gracias...!!!

Miguel Del Carpio Wong http://www.ongei.gob.pe [email protected]

[email protected] +51 1 219 7000 Anexo 5111

+51 997 401 747

http://www.ongei.gob.pe/

mailto:[email protected]

mailto:[email protected]

Documents

PeCERT - Acciones preventivasperu.gob.pe/pm/portales/portal_ongei/docs/ONGEI_Acciones.pdf• Fortinet • Juniper • Cisco • CheckPoint Acciones Preventivas ante incidentes de Seguridad