Conceptos y Prácticas de Seguridad Informática - PowerPoint PPT Presentation

conceptos y pr cticas de seguridad inform tica n.
Download
Skip this Video
Loading SlideShow in 5 Seconds..
Conceptos y Prácticas de Seguridad Informática PowerPoint Presentation
Download Presentation
Conceptos y Prácticas de Seguridad Informática

play fullscreen
1 / 74
Conceptos y Prácticas de Seguridad Informática
594 Views
Download Presentation
gloria
Download Presentation

Conceptos y Prácticas de Seguridad Informática

- - - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - - -
Presentation Transcript

  1. Conceptos y Prácticas de Seguridad Informática Antonio Sanz – ansanz@unizar.es Tecnologías de Red aplicables al comercio electrónico

  2. Indice • Seguridad Informática • Conceptos básicos • Requisitos de Seguridad • Tipos de amenazas • Herramientas de seguridad • Plan de Seguridad • Prácticas básicas

  3. Al finalizar la charla sabrá... • Conocer el pensamiento de Seguridad • Conocer al enemigo • Conocer los ataques • Conocer las herramientas • Conocer las defensas

  4. Seguridad Informática • Sistema Seguro “Un sistema es seguro si en todo momento se comporta como lo desea su propietario” • Áreas de Seguridad Informática • Sistemas Operativos (Windows, Linux, Mac ) • Aplicaciones ( IIS, Apache, Word ) • Redes ( LAN, WAN, WLAN ) • Datos ( LOPD ) • Fisica ( alarmas, controles de acceso )

  5. Conceptos básicos (I) • Seguridad absoluta • Inexistente • Objetivo : Agotar los recursos del enemigo (moral, tiempo o dinero) • Seguridad mesurada • Asignar recursos de forma eficiente

  6. Conceptos básicos (II) • Seguridad vs Usabilidad • Balanza peligrosa (cuidado con los extremos) • Objetivo: Lograr un equilibrio satisfactorio • Mínimo privilegio • Todos los recursos de la red deberán solo los permisos necesarios para cumplir su tarea

  7. Conceptos básicos (III) • Seguridad en profundidad • No depender de un solo elemento • Modelo de seguridad en capas • Seguridad mediante oscuridad • Dificulta los ataques • Nunca debe confiarse únicamente en ella

  8. Conceptos básicos (IV) • Seguridad Homogénea • La seguridad de un sistema es la del eslabón más débil • Cuidar todos los aspectos de la seguridad • Seguridad Evolutiva • Campo cambiante a gran velocidad • Es necesario mantenerse al día

  9. Requisitos de seguridad (I) • Requisitos de Seguridad • Control de Acceso • Confidencialidad • Integridad • Disponibilidad • Se deberán establecer los requisitos deseados para cada sistema • El objetivo final de la Seguridad es cumplir dichos requisitos

  10. Requisitos de seguridad (II) • Control de Acceso / Autenticación • Identificación de los elementos que acceden a nuestro sistema • Asignación de los permisos de cada elemento de la red • Confidencialidad • La información es valiosa • Impedir el acceso no autorizado

  11. Requisitos de seguridad (III) • Integridad / No repudio • Impedir la manipulación de la información • Identificación unívoca • Disponibilidad • Los servicios deben estar siempre activos • 24 x 7 x 365 x ...

  12. Tipos de amenazas • Tipos de atacantes • Ataques realizables • Posibles daños

  13. Tipos de atacantes (I) • Hacker • Hack: 1) Cortar en tajos. 2) Encontrar una solución eficaz y brillante a un problema • Hacker: Persona con abundantes conocimientos de informática y redes, que explora (o penetra en) sistemas por puro reto • Hacker = Intruso malvado  Incorrecto. Blanco / Negro  Diversos tonos de gris

  14. Tipos de atacantes (II) • Cracker: ( Doble definición ) • Persona que rompe códigos de protección (“cracks”) • “Hacker” que penetra en sistemas en beneficio propio (monetario, social o por pura diversión destructiva) • Conocimientos extensos de seguridad • Definitivamente, “el lado oscuro

  15. Tipos de atacantes (III) • Script Kiddies • Conocimientos básicos de seguridad • Pueden causar graves daños (herramientas precocinadas) • Newbies • Principiantes, conocimientos básicos de seguridad • Lamers • Conocimientos nulos de informática

  16. Tipos de ataques (I) • Identificación del sistema o fingerprinting • Búsqueda de información pública • Ingenieria social • Barrido de puertos o portscanning • Análisis de equipos y servicios

  17. Tipos de ataques ( II ) • Análisis de vulnerabilidades • Con la información obtenida, se buscan vulnerabilidades correspondientes a los Sistemas Operativos y servicios existentes en el sistema • Penetración en el sistema • Explotación de una vulnerabilidad en el sistema  cabeza de puente • Acciones automáticas: camuflaje y expansión

  18. Tipos de ataques ( III ) • Intercepción de contraseñas • Rotura de contraseñas (fuerza bruta) • Falsificación de la identidad • Robo de información • Destrucción de datos • Denegación de servicio

  19. Posibles daños • Robo de Información • Pérdida de datos • Disrupción del servicio • Pérdida de imagen • Posible responsabilidad legal

  20. Herramientas de Seguridad (I) • Herramientas que permiten verificar o aumentar el nivel de seguridad de un sistema • Usadas tanto por atacantes como defensores • Gran variedad: gratuitas, comerciales, bajo Linux, Windows, etc...

  21. Herramientas de Seguridad (II) • Cortafuegos o firewalls • Ejercen un control sobre el tráfico entrante y saliente a un sistema • Hardware & Software • Ej: IpTables, Firewall-1, Cisco PIX • Detectores de intrusos o IDS • Detectan posibles ataques en un sistema, pudiendo activar alarmas o ejercer respuesta coordinada • Ej: Snort, Real Secure

  22. Herramientas de Seguridad (III) • Verificadores de la integridad • Permiten detectar la manipulación de un sistema • Ej: Tripwire • Analizadores de logs • Permiten procesar de forma automática los logs de un sistema en tiempo real y emitir alarmas • Ej: Swatch, LogWatch

  23. Herramientas de Seguridad (IV) • Analizadores de puertos • Barren una red en busca de máquinas y servicios activos • Ej: nmap, PortScan, fport • Detectores de vulnerabilidades • Analizan una red en busca de vulnerabilidades conocidas • Ej: Nessus, Cybercop Scanner, ISS, Saint

  24. Herramientas de Seguridad (V) • Sniffers • Capturan el tráfico que circula por una red (contraseñas y datos, por ejemplo) • Ej: Ethereal, Sniffer, Iris, Analyzer • Password crackers • Utilizan técnicas de diccionario y fuerza bruta para obtener las contraseñas de acceso a un sistema • Ej: LC3, Crack, John the Ripper

  25. Herramientas de Seguridad (VI) • Troyanos • Programas que se instalan en un sistema de forma no deseada • Ej: Back Oriffice , SubSeven. • Rootkits • Programas destinados a facilitar la ocultación y expansión de un intruso

  26. Libros y enlaces de interés Criptonomicón: www.iec.csic.es/criptonomicon SecurityFocus: www.securityfocus.com Kriptópolis: www.kriptopolis.com Hispasec: www.hispasec.com CERT: www.cert.com SecurityPortal: www.securityportal.com Phrack: www.phrack.org/ Insecure.org www.insecure.org “Seguridad Práctica en Unix e Internet” , 2ª Ed.Simson Garfinkel & Gene Spafford - O’Reilly “Hacking Exposed 3rd Edition” - Stuart McClure – McGraw Hill (La 2ºEd en castellano: “Hackers 2” – Stuart McClure – McGraw Hill “Seguridad en Servidores NT/2000 para Internet” – Stefan Norberg, Deborah Russell – O’Reilly “Seguridad y Comercio en el Web” - Simson Garfinkel & Gene Spafford - O’Reilly “Building Internet Firewalls” – Chapman & Zwicky, Ed. O’Reilly

  27. Dudas, preguntas, aclaraciones, pipas, caramelos... ¿?

  28. Prácticas básicas de Seguridad Informática Antonio Sanz – Responsable de Seguridad Informática Tecnologías de Red aplicables al comercio electrónico

  29. Indice • Introducción y Objetivos • Prácticas básicas • Bibliografía y enlaces de interés

  30. Introducción • Internet : Evolución vertiginosa • Conexión fácil, barata y rápida • Gran cantidad de inversión en desarrollo de negocio Internet • Escasa inversión en seguridad • Muy poca conciencia de seguridad

  31. Objetivos • Obtener un buen nivel de seguridad en nuestro sistema • Aplicable tanto a una red corporativa como a un usuario casero • Se aplica perfectamente la ley del 80/20  20% del esfuerzo = 80% de seguridad

  32. Seguridad: Topología • Tener en cuenta la seguridad a la hora de diseñar una red • Cortafuegos / Routers con filtrado (boxes & cortafuegos personales) • Separar los servidores de la LAN • Sistemas de seguridad critica aparte

  33. Seguridad : Backups • Aspecto vital de la seguridad • Medios de backup baratos • Copias incrementales (diarias, semanales y mensuales) • Imágenes de los SO

  34. Seguridad : Parches • Aspecto muy importante  Ataque = sistema o programa no actualizado • Mantener los equipos parcheados siempre que sea posible • Integrarlo dentro del mantenimiento del equipo • Muy importante en servidores

  35. Seguridad : Antivirus • Antivirus en TODO el sistema • Actualización constante • Características especiales  Usarlas • Scan de virus periódico y automatizado • Formación antivirus a los usuarios

  36. Seguridad : Cortafuegos • Cortafuegos: Principal barrera de defensa de un sistema informático ( = muro de un castillo medieval) • Instalar un cortafuegos entre nuestra red e Internet • Cortafuegos personales  interesantes para equipos personales o móviles

  37. Seguridad : Correo electrónico • Principal fuente de entrada de virus • Educación de los usuarios: • No abrir ficheros adjuntos desconocidos • Preguntar al remitente la razón del fichero • Utilizar el antivirus • Abrir únicamente .jpg .gif .txt .html • Nunca abrir .exe .bat .vbs .ini • Emplear cifrado • Tener cuidado con los webmails

  38. Seguridad : Navegación web • Contraseñas almacenadas en el navegador • Información sensible  protección SSL • Control de cookies & web bugs • Navegación anónima

  39. Seguridad :Otros programas de comunicaciones • Programas de chat • Programas de mensajería instantánea (Messenger, Yahoo Pager, ICQ) • Programas de intercambio multimedia

  40. Seguridad : Física & Operativa • Salvapantallas protegido por contraseña • Arranque desde el disco duro únicamente • Protección de la BIOS con contraseña • Gestión de contraseñas • Empleo de cifrado interno

  41. Seguridad : Formación • Internet  cambios muy rápidos • Importante estar al día • Apoyo de la dirección • Concienciación de los usuarios

  42. Conclusiones • Importancia • Necesidad • Concienciación • Aplicación efectiva • Evolución

  43. Enlaces de interés Información sobre cookies: http://www.iec.csic.es/criptonomicon/cookies/ Más información acerca de SSL: http://www.iti.upv.es/seguridad/ssl.html Cómo añadir SSL a su servidor Web: Windows + IIS : http://support.microsoft.com/support/kb/articles/Q228/9/91.ASP Linux + Apache : http://www.securityfocus.com/focus/sun/articles/apache-inst.html Cómo obtener un certificado digital: www.verisign.com www.ipsca.com Salvapantallas para Linux: http://www.linuxgazette.com/issue18/xlock.html Cortafuegos Box: http://www.watchguard.com/ http://www.intrusion.com/ http://www.gnatbox.com/ Cómo montar un cortafuegos con Linux: http://www.linuxdoc.org/HOWTO/Firewall-HOWTO.html http://www.linux-firewall-tools.com/linux/ Cómo poner ACL en router Cisco: http://www.cisco.com/warp/public/cc/pd/iosw/ioft/iofwft/index.shtml Información sobre virus: http://virusattack.xnetwork.com.ar/home/index.php3 http://www.alerta-antivirus.es/ Comparativas de software antivirus: http://www.hispasec.com/comparativa2001.asp http://www.terra.es/informatica/articulo/html/inf2318.htm PGP Internacional ( Windows y Mac ): http://www.pgp.com/downloads/default.asp GnuPG ( Unix/Linux, Windows y Mac ): http://www.gnupg.org/ Configuración segura de su navegador web: http://www.iec.csic.es/criptonomicon/info.html http://www.iec.csic.es/criptonomicon/navegador/

  44. Enlaces de interés Protección del LILO en el arranque: http://www.linux4biz.net/articles/articlelilo.htm Gestor de contraseñas: http://www.counterpane.com/passsafe.html PgpDisk: http://www.pgp.com/products/disk-encryption/default.asp Últimas versiones del Mirc , ICQ & Messenger : http://www.mirc.org/ http://www.icq.com/products/ http://messenger.msn.es/Default.asp Jabber: (pasarela IM) http://www.jabber.com/index.shtml Algunos cortafuegos personales: http://www.zonealarm.com/ http://www.symantec.com/sabu/nis/npf/ Cómo hacer un backup: Linux – Amanda : http://sourceforge.net/projects/amanda/ Windows – Backup : http://www.microsoft.com/intlkb/spain/e11/2/56.asp#1 Cómo hacer una imagen de su equipo: http://www.symantec.com/sabu/ghost/ghost_personal/ Criptonomicón: www.iec.csic.es/criptonomicon SecurityFocus: www.securityfocus.com Kriptópolis: www.kriptopolis.com Hispasec: www.hispasec.com CERT: www.cert.com SecurityPortal: www.securityportal.com

  45. Preguntas Última oportunidad de satisfacer su curiosidad... ¿?

  46. Planes de Seguridad Informática Antonio Sanz – ansanz@unizar.es Tecnologías de Red aplicables al comercio electrónico

  47. Indice • Introducción • Problemática de Seguridad • Definición de un Plan de Seguridad • Ciclo de vida de un PdS • Aspectos a tratar en un Pds

  48. Problemática de Seguridad • Ideológica • Estructural • Tecnológica

  49. Problemática de Seguridad ( II ) • Ideológica • No obstaculizar el proceso de negocio • Nadie se hace responsable de los riesgos • Se actúa de modo reactivo, nunca preventivo • No se conoce el estado real de seguridad

  50. Problemática de Seguridad ( III ) • Estructural • Falta de responsabilidades establecidas • No hay normas definidas • No homogeneidad de los sistemas • No existe una asignación de recursos de seguridad