1 / 74

SEGURIDAD DE REDES

CARRERA DE INGENIERÍA DE SISTEMAS. SEGURIDAD DE REDES. Ing. Moisés Toapanta , MSc . Guayaquil , mayo del 2014. COSIDERACIONES PARA GENERAR UN MODELO DE EMPRESA DEL SECTOR PUBLICO O PRIVDO QUE TENDRÁN INFLUENCIA EN LA SEGURIDAD DE UNA RED. PIRÁMIDE DE DECISIÓN.

oriana
Télécharger la présentation

SEGURIDAD DE REDES

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. CARRERA DE INGENIERÍA DE SISTEMAS SEGURIDAD DE REDES Ing. Moisés Toapanta, MSc. Guayaquil,mayo del 2014

  2. COSIDERACIONES PARA GENERAR UN MODELO DE EMPRESA DEL SECTOR PUBLICO O PRIVDO QUE TENDRÁN INFLUENCIA EN LA SEGURIDAD DE UNA RED. PIRÁMIDE DE DECISIÓN

  3. ESTRUCTURA DE PROCESOS GENÉRICOS MODELO EMPRESA PÚBLICA O PRIVADAS PARA LA IMPLEMENTACIÓN DE SEGURIDADES DE UNA RED

  4. PRINCIPIOS DE SEGURIDADES • Fundamentos de Seguridad Informática • Definiciones y Conceptos • Los Pilares de la seguridad Informática • Tipos de Ataques • Terminología • ISO 27000 • Origen • La Serie ISO 27000 • Sistema de Gestión de Seguridad de la Información SGSI (ISO/IEC 27001) • Que es un SGSI • Que Incluye • Como Implementar un SGSI (ISO/IEC 270002) • Aspectos Clave Fundamentales al Adaptarse al Estándar • Factores de éxito en la Adopción de este Estándar • Riesgos en la Adopción

  5. FUNDAMENTOS DE SEGURIDAD INFORMÀTICA La Seguridad Informática: Consiste en asegurar que los recursos del sistema de información(material informático (Hardware y Software) de una organización sean utilizados de la manera que se decidió y que el acceso a la información allí Aunque el concepto de seguridad en Informática es algo ficticio, porque no existe un sistema 100% seguro.

  6. FUNDAMENTOS DE SEGURIDAD INFORMÀTICA Hay Conciencia de las debilidades?: El activo más importante que se posee en toda organización es la información. Seguridad Física: puede asociarse a la protección del sistema ante las amenazas físicas, incendios, inundaciones, edificios, cables, control de accesos de personas, etc. Seguridad Lógica: protección de la información en su propio medio, mediante el enmascaramiento de la misma usando técnicas de protección como: passwords, permisos, privilegios, etc. La gestión de la seguridad está en medio de los dos

  7. PILARES DE LA SEGURIDAD INFORMÀTICA Confidencialidad: La información puede ser accedida únicamente por las personas que tienen autorización para hacerlo. Integridad: La información no ha sido borrada, copiada o alterada, no sólo en su trayecto, sino también desde su origen. Disponibilidad: Los usuarios deben tener disponibles todos los componentes del Autenticidad: La integridad nos informa que el archivo, por ejemplo, no ha sido retocado ni editado, y autenticidad nos informa que el archivo en cuestión es el real.

  8. QUE DEBEMOS PROTEGER Cuando hablamos de seguridad informática muchas veces se confunde diciendo seguridad en Internet, y estos términos no son sinónimos. Informática comprende otro contexto, como es el de la seguridad física y lógica, mientras que el otro sólo se limita a hablar del entorno que a Internet se refiere. Por tales motivos, la seguridad informática intenta proteger cuatro elementos: • Hardware • Software • Datos • Elementos Consumibles

  9. TIPOS DE ATAQUES Interrupción: Ataque contra la disponibilidad. Interceptación: Ataque contra la confidencialidad Generación: Ataque contra la autenticidad. Modificación: Ataque contra la integridad. ¿De qué nos Protegemos? Esta pregunta es tan amplia como su respuesta. Hay muchas clasificaciones, pero la mayoría tienen un punto de vista en común: nos protegemos de las personas.

  10. TÈRMINOS RELACIONADOS CON EL S.I. Activo: recurso del sistema de información o relacionado con éste, necesario para que la organización funcione correctamente y alcance los objetivos propuestos. Amenaza: es un evento que puede desencadenar un incidente en la organización, produciendo daños materiales o pérdidas inmateriales en sus activos. Impacto: medir la consecuencia al materializarse una amenaza. Riesgo: posibilidad de que se produzca un impacto determinado en un Activo, en un Dominio o en toda la Organización. Vulnerabilidad: posibilidad de ocurrencia de la materialización de una amenaza sobre un Activo. Ataque: evento, exitoso o no, que atenta sobre el buen funcionamiento del sistema. Desastre o Contingencia: interrupción de la capacidad de acceso a información y procesamiento de la misma a través de computadoras necesarias para la operación normal de un negocio.

  11. ISO ISO (International Organization for Standardization) esuna federación internacional con sede en Ginebra (Suiza) de los institutos de normalización de 157 países (uno por cada país). Es una organización no gubernamental (sus miembros no son delegados de gobiernos nacionales), puesto que el origen de los institutos de normalización nacionales es diferente en los distintos países (público, privado…). ISO desarrolla estándares requeridos por el mercado que representen un consenso de sus miembros (previo consenso nacional entre industrias, expertos, gobierno, usuarios, consumidores…) acerca de productos, tecnologías, métodos de gestión. Por naturaleza, son de aplicación voluntaria, ya que el carácter no gubernamental de ISO no le da autoridad legal para forzar su implantación.

  12. ISO 27001 Es un estándar ISO que proporciona un modelo para establecer, implementar, utilizar, monitorizar, revisar, mantener y mejorar un Sistema de Gestión de Seguridad de la Información (SGSI). Se basa en un ciclo de vida PDCA (Plan-Do-Check-Act; o ciclo de Deming) de mejora continua, al igual que otras normas de sistemas de gestión (ISO 9001 para calidad, ISO 14001 para medio ambiente, etc.). Es un estándar certificable, es decir, cualquier organización que tenga implantado un SGSI según este modelo puede solicitar una auditoría externa por parte de una entidad acreditada y, tras superar con éxito la misma, recibir la certificación en ISO 27001.

  13. OIRGEN DEL ISO 2700 Una de las entidades normalizadoras más antiguas (British StandardsInstitution) publicó en 1995 la norma (BS-7799-1) con objeto de dar un conjunto de buenas prácticas en Seguridad para las Empresas Británicas. Posteriormente realizaron la segunda parte de la norma en 1998, en la que establecieron los requisitos, para realizar un sistema de Gestión de la Seguridad de la Información (SGSI). La primera parte de la norma (BS 7799-1) es una guía de buenas prácticas, para la que no se establece un esquema de certificación. Es la segunda parte (BS 7799-2), publicada por primera vez en 1998, la que establece los requisitos de un sistema de seguridad de la información (SGSI) para ser certificable por una entidad independiente.

  14. ORIGEN DEL ISO 27000 Las dos partes de la norma BS 7799 se revisaron en 1999 y la primera parte se adoptó por ISO, sin cambios sustanciales, como ISO 17799 en el año 2000. En 2005, con más de 1700 empresas certificadas en BS7799-2, este esquema se publicó por ISO como estándar ISO 27001, al tiempo que se revisó y actualizó ISO17799. Esta última norma se renombra como ISO 27002:2005 el 1 de Julio de 2007, manteniendo el contenido así como el año de publicación formal de la revisión.

  15. LA SERIE ISO 27000 ISO ha reservado la serie de numeración 27000 para las normas relacionadas con sistemas de gestión de seguridad de la información. En 2005 incluyó en ella la primera de la serie (ISO 27001). En próximos años está prevista la incorporación de nuevas normas que supongan un apoyo para las organizaciones que implanten y certifiquen un SGSI según ISO 27001. Entre otras, se encuentran: •27000 (términos y definiciones). • 27002 (objetivos de control y controles, Contiene 39 objetivos de control y 133 controles, agrupados en 11 dominios.) •27003 (guía de implantación de un SGSI) •27004 (métricas y técnicas de medida de la efectividad de un SGSI) •27005 (guía para la gestión del riesgo de seguridad de la información) •27006 (proceso de acreditación de entidades de certificación y el registro de SGSIs).

  16. SISTEMA DE GESTIÒN DE SEGURIDAD DE LA INFORMACIÒN SGSI ¿Qué es un SGSI (Information Security Management System)? En el contexto aquí tratado, se entiende por información todo aquel conjunto de datos organizados en poder de una entidad que posean valor para la misma, independientemente de la forma en que se guarde o transmita (escrita, en imágenes, oral, impresa en papel, almacenada electrónicamente, proyectada, enviada por correo, fax o e-mail, transmitida en conversaciones, etc.), de su origen (de la propia organización o de fuentes externas) o de la fecha de elaboración.

  17. SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACIÒN SGSI ¿Para qué sirve un SGSI? El Sistema de Gestión de la Seguridad de la Información (SGSI) ayuda a establecer las políticas y procedimientos en relación a los objetivos de negocio de la organización, con objeto de mantener un nivel de exposición siempre menor al nivel de riesgo que la propia organización ha decidido asumir. Con un SGSI, la organización conoce los riesgos a los que está sometida su información y los asume, minimiza, transfiere o controla mediante una sistemática definida, documentada y conocida por todos, que se revisa y mejora constantemente.

  18. DOCUMENTOS DEL SGSI

  19. COMO IMPLEMENTAR UN SIGSI

  20. COMO IMPLEMENTAR UN SGSI

  21. ARRANQUE DEL PROYECTO

  22. ETAPAS DEL PROYECTO

  23. ETAPAS DEL PROYECTO

  24. ASPECTOS CLAVES Y FUNDAMENTALES AL ADAPTARSE AL ESTÀNDAR

  25. FACTORES DE ÈXITO EN LA ADOPCIÒN DE ESTE ESTÀNDAR

  26. RIESGOS EN LA ADOPCIÒN

  27. CONOCIMIENTOS GENERALES

  28. DEFINICIÓN DE DISEÑO DE REDES SEGURAS El desarrollo de una arquitectura de redes seguras tiene como objetivo final la definición de un esquema de red aplicando medidas de seguridad Informática, que una vez implementadas minimizan los riesgos de una instrucción. Para garantizar la Seguridad Informática deberíamos aplicar en forma globalizada ISO 17799, ISO 27000, la metodología de COBIT 4.0 O 4.5

  29. CATEGORIZACIÓN DE LAS AMENAZAS A LAS SEGURIDADES EN LAS REDES Las 10 principales amenazas de seguridad de datos en las Pymes • Ataques desde adentro • Falta de contingencia • Una mala configuración que compromete la seguridad de las redes • Uso de las redes • Uso imprudentes de la red inalámbrica • Datos perdidos en un dispositivo portátil

  30. CATEGORIZACIÓN DE LAS AMENAZAS A LAS SEGURIDADES EN LAS REDES • Servidores web comprometidos • Navegación imprudente por parte de los empleados • Correos electrónicos HTML maliciosos • Explotación automática de una vulnerabilidad conocida • Entre otros.

  31. VIOLACIONES A LAS SEGURIDADES DE LAS REDES • Todos conocemos la amenaza que representan los hackers y otros cibercriminales para nuestra seguridad digital. En los últimos años les hemos visto infiltrarse en algunas de las mayores y más poderosas instituciones del mundo, poniéndolas en una situación comprometida. A veces resulta difícil juzgar estos notables y graves ejemplos de fraude en línea y violaciones de seguridad, fundamentalmente gracias a su inmensa escala. A continuación intentaremos contextualizar algunas de las mayores violaciones de seguridad de la historia, mostrándote las cifras que se esconden detrás • 1 billón de dólares: el presupuesto anual del Ministerio de Defensa de Estados Unidos. Gary McKinnon, escocés autista de 36 años, consiguió violar la seguridad de esta institución en 2002. • de los hechos.

  32. LAS CUATRO CATEGORÌAS GENERALES DE AMENAZAS O ATAQUES SON LAS SIGUIENTES INTERRUPCIÒN, INTERCEPCIÒN, MODIFICACIÒN, FABRICACIÒN • Interrupción: un recurso del sistema es destruido o se vuelve no disponible. Este es un ataque contra la disponibilidad. Ejemplos de este ataque son la destrucción de un elemento hardware, como un disco duro, cortar una línea de comunicación o deshabilitar el sistema de gestión de ficheros. • Intercepción: una entidad no autorizada consigue acceso a un recurso. Este es un ataque contra la confidencialidad. La entidad no autorizada podría ser una persona, un programa o un ordenador. Ejemplos de este ataque son pinchar una línea para hacerse con datos que circulen por la red y la copia ilícita de ficheros o programas (intercepción de datos), o bien la lectura de las cabeceras de paquetes para desvelar la identidad de uno o más de los usuarios implicados en la comunicación observada ilegalmente (intercepción de identidad).

  33. LAS CUATRO CATEGORÌAS GENERALES DE AMENAZAS O ATAQUES SON LAS SIGUIENTES • Modificación: una entidad no autorizada no sólo consigue acceder a un recurso, sino que es capaz de manipularlo. Este es un ataque contra la integridad. Ejemplos de este ataque son el cambio de valores en un archivo de datos, alterar un programa para que funcione de forma diferente y modificar el contenido de mensajes que están siendo transferidos por la red. • Fabricación: una entidad no autorizada inserta objetos falsificados en el sistema. Este es un ataque contra la autenticidad. Ejemplos de este ataque son la inserción de mensajes espurios en una red o añadir registros a un archivo. • Estos ataques se pueden asimismo clasificar de forma útil en términos de ataques pasivos y ataques activos. Ataques pasivos • En los ataques pasivos el atacante no altera la comunicación, sino que únicamente la escucha o monitoriza, para obtener información que está siendo transmitida. Sus objetivos son la intercepción de datos y el análisis de tráfico, una técnica más sutil para obtener información de la comunicación, que puede consistir en:

  34. ATAQUES PASIVOS • Obtención del origen y destinatario de la comunicación, leyendo las cabeceras de los paquetes monitorizados. • Control del volumen de tráfico intercambiado entre las entidades monitorizadas, obteniendo así información acerca de actividad o inactividad inusuales. • Control de las horas habituales de intercambio de datos entre las entidades de la comunicación, para extraer información acerca de los períodos de actividad. Los ataques pasivos son muy difíciles de detectar, ya que no provocan ninguna alteración de los datos. Sin embargo, es posible evitar su éxito mediante el cifrado de la información y otros mecanismos que se verán más adelante.

  35. ATAQUES ACTIVOS Estos ataques implican algún tipo de modificación del flujo de datos transmitido o la creación de un falso flujo de datos, pudiendo subdividirse en cuatro categorías: • Suplantación de identidad: el intruso se hace pasar por una entidad diferente. Normalmente incluye alguna de las otras formas de ataque activo. Por ejemplo, secuencias de autenticación pueden ser capturadas y repetidas, permitiendo a una entidad no autorizada acceder a una serie de recursos privilegiados suplantando a la entidad que posee esos privilegios, como al robar la contraseña de acceso a una cuenta. • Reactuación: uno o varios mensajes legítimos son capturados y repetidos para producir un efecto no deseado, como por ejemplo ingresar dinero repetidas veces en una cuenta dada. • Modificación de mensajes: una porción del mensaje legítimo es alterada, o los mensajes son retardados o reordenados, para producir un efecto no autorizado. Por ejemplo, el mensaje “Ingresa un millón de pesetas en la cuenta A” podría ser modificado para decir “Ingresa un millón de pesetas en la cuenta B”.

  36. ATAQUES ACTIVOS • Degradación fraudulenta del servicio: impide o inhibe el uso normal o la gestión de recursos informáticos y de comunicaciones. Por ejemplo, el intruso podría suprimir todos los mensajes dirigidos a una determinada entidad o se podría interrumpir el servicio de una red inundándola con mensajes espurios. Entre estos ataques se encuentran los de • denegación de servicio, consistentes en paralizar temporalmente el servicio de un servidor de correo, Web, FTP, etc.

  37. ATAQUES DE HARDWARE • Ya sabemos que los piratas informáticos utilizan una variedad de ataques basados en software para victimizar a los sistemas. Algunos de los tipos de ataques basados en software incluyen código malicioso como virus, gusanos y caballos de Troya. El malware ataca a menudo a los sistemas operativos y aplicaciones, sin embargo pueden ser también destinados a hardware. Los objetivos típicos de los ataques basados en hardware incluyen BIOS, dispositivos USB, e incluso teléfonos celulares. • BIOS viene de ‘Basic Input Output System. Es un programa incorporado en el chip del procesador y está presente en todas las computadoras personales. Su función es reconocer y controlar los dispositivos en el sistema informático. El BIOS del sistema se inicia cuando el ordenador está encendido y contiene todo el código necesario para ejecutar el teclado, pantalla, unidades de discos, etc.

  38. ATAQUES DE HARDWARE • En la BIOS del pasado era un chip de sólo lectura y no podía modificarse, sin embargo los actuales chips contienen datos que pueden ser re-escritos. Este cambio se ha admitido a fin de la adición de nuevas características y versiones de actualización. Por lo tanto ahora, puede ser atacado.

  39. ATAQUES DE HARDWARE • Los atacantes pueden infectar un ordenador con un virus y sobrescribir porciones de la BIOS o instalar un rootkit en él. Dado que el código malicioso es almacenada en la BIOS y no el disco duro, la infección podría sobrevivir a los cambios del sistema operativo o formatear o reemplazar el disco duro. • Hay dos maneras de prevenir una infección de la BIOS. El primer método consiste en deshabilitar la escritura en ella. la desactivación de escritura se puede hacer a través de la configuración de la BIOS para hacer que no se pueda escribir en ella. El segundo método utiliza un código secreto grabado en el chip de la BIOS cuando se fabrica que se puede utilizar para comprobar que el código no ha cambiado.

  40. ATAQUES DE HARDWARE Otros periféricos que ha sido blanco de ataques son los dispositivos USB. USB o ranuras de bus serie universal son capaces de acomodar una gran variedad de dispositivos externos. Muchos de estos dispositivos USB, como unidades flash, son pequeñas, ligeras, y contienen la memoria de almacenamiento regrabable. A pesar de estas ventajas los dispositivos USB pueden introducir graves riesgos de seguridad.

  41. ATAQUES DE HARDWARE • Para reducir el riesgo de amenazas portátiles USB muchas organizaciones, incluyendo el Ejército de los EE.UU. han experimentado con la restricción de los dispositivos que se conecten a los ordenadores y desactivar la unidad USB, de modo que cuando los dispositivos están conectados, no serán reconocidos. • Por último, los teléfonos celulares se han convertido cada vez más en un objetivo. Casi todos los teléfonos móviles actuales tienen la capacidad de enviar mensajes de texto y conectarse a Internet, los atacantes tratan de aprovecharse de estos servicios con el fin de lanzar ataques. • Una vez que los atacantes de un teléfono celular se ve comprometido han sido usados por usuarios maliciosos y enviados a sitios de phishing. Además, los atacantes que se hacen con el control de un teléfono celular se puede utilizar para lanzar ataques contra otros teléfonos, o utilizarlo para enviar spam como mensajes de texto de teléfono a teléfono. Afortunadamente muchos proveedores de software antivirus han comenzado a crear versiones móviles de AV para teléfonos celulares

  42. POLÌTICAS EMPRESARIALES DE SEGURIDADES • La seguridad informática ha tomado gran auge, debido a las cambiantes condiciones y nuevas plataformas tecnológicas disponibles. La posibilidad de interconectarse a través de redes, ha abierto nuevos horizontes a las empresas para mejorar su productividad y poder explorar más allá de las fronteras nacionales, lo cual lógicamente ha traído consigo, la aparición de nuevas amenazas para los sistemas de información. Estos riesgos que se enfrentan han llevado a que se desarrolle un documento de directrices que orientan en el uso adecuado de estas destrezas tecnológicas y recomendaciones para obtener el mayor provecho de estas ventajas, y evitar el uso indebido de la mismas, lo cual puede ocasionar serios problemas a los bienes, servicios y operaciones de la empresa.

  43. ALCANCE DE LAS POLITICAS Las políticas de seguridad se elaboran de acuerdo al análisis de riesgos y de vulnerabilidades en las dependencias de una empresa por consiguiente el alcance de estas políticas, se encuentra sujeto a cada empresa.

  44. OBJETIVOS • Desarrollar un sistema de seguridad significa "planear, organizar, dirigir y controlar las actividades para mantener y garantizar la integridad física de los recursos informáticos, así como resguardar los activos de la empresa". Los objetivos que se desean alcanzar luego de implantar UN sistema de seguridad son los siguientes: • Establecer un esquema de seguridad con perfecta claridad y • transparencia bajo la responsabilidad de SASF en la administración del riesgo. • Compromiso de todo el personal de la empresa con el proceso de • seguridad, agilizando la aplicación de los controles con dinamismo y armonía. • Que la prestación del servicio de seguridad gane en calidad. • Todos los empleados se convierten en interventores del sistema de • seguridad.

  45. FIREWALL El concepto básico de un firewall es que es un cortafuego que puede ser a nivel de software y hardware

  46. QUE ES UNFIREWALL • Un firewall (llamado también "corta-fuego"), es un sistema que permite proteger a una computadora o una red de computadoras de las intrusiones que provienen de una tercera red (expresamente de Internet). El firewall es un sistema que permite filtrar los paquetes de datos que andan por la red. Se trata de un "puente angosto" que filtra, al menos, el tráfico entre la red interna y externa Un firewall puede ser un programa (software) o un equipo (hardware) que actúa como intermediario entre la red local (o la computadora local) y una o varias redes externas.

  47. SEGURIDADES DE REDES INTERNAS: MONITOREO Y VIGILANCIA DE LA RED

  48. SEGURIDADES DE REDES EXTERNAS: CONSOLIDACIÒN DE CONEXIONES EXTERNAS

More Related