Vous êtes sur la page 1sur 287

DIPLOMADO DE

SEGURIDAD DE LA INFORMACION

SEGURIDAD EN APLICACIONES Y SO

Escuela de Informática y

Telecomunicaciones

DIPLOMADO DE

SEGURIDAD DE LA INFORMACION

Introducción

Escuela de Informática y

Telecomunicaciones

Introducción

"Hoy más del 70% de los ataques contra el sitio web de una compañía o aplicación web se dirigen a la “Capa de aplicación” y no a la red o al sistema, según el Gartner Group.

Los problemas de seguridad en las aplicaciones que desarrolla una empresa repercuten directamente en la

imagen de la misma ante el mercado, afectando fuertemente su negocio.

No obstante, también es importante considerar que cada aplicación esta soportada por un Sistema Operativo, que aunque sea una aplicación comercial, no está exento de vulnerabilidades

DIPLOMADO DE

SEGURIDAD DE LA INFORMACION

Amenazas al Sistema Operativo

Escuela de Informática y

Telecomunicaciones

Amenazas al Sistema Operativo

Componentes del Sistema Operativo:

Kernel: es el componente mas importante del Sistema operativo y se encarga de proveer la interfaz entre el hardware y las aplicaciones.

Sus principales funciones son:

Ejecución de procesos. Carga de programas. Interfaz entrada/salida (periféricos). Supervisión de transmisión de datos.

Amenazas al Sistema Operativo

Componentes del Sistema Operativo:

Tipos de kernel

Monolíticos. (núcleo monolítico es una arquitectura de sistema operativo donde éste en su totalidad trabaja en espacio del núcleo, estando él solo en modo supervisor, las

tareas centrales están en un solo bloque y corren todas en

modo privilegiado, están todas en un mismo proceso, la

interconexión es más rápida). En esta arquitectura hay una correspondencia entre el programa que conforma el sistema operativo y el núcleo en sí.

Amenazas al Sistema Operativo

Diagrama de operación del Kernel monolítico

Amenazas al Sistema Operativo • Diagrama de operación del Kernel monolítico Diplomado de Seguridad de la

Amenazas al Sistema Operativo

Componentes del Sistema Operativo:

Tipos de kernel

Microkernel. (es un tipo de núcleo de un sistema operativo que provee un conjunto de llamadas mínimas al sistema para implementar servicios básicos como espacios de direcciones, comunicación entre procesos y planificación básica. Podemos

ver que corre una pequeña abstracción en modo kernel, donde

se ejecutan los procesos, manejar espacios de dirección y las otras se llevan al espacio del usuario, dividirlas en bloques y que operen a modo de servicios y la interacción retarda un poco los procesos, la ventaja al ser servicios independientes, si se cuelga uno, sigue andando el sistema operativo)

Amenazas al Sistema Operativo

Diagrama de operación del Kernel microkernel.

Amenazas al Sistema Operativo • Diagrama de operación del Kernel microkernel. Diplomado de Seguridad de la

Amenazas al Sistema Operativo

Componentes del Sistema Operativo:

Tipos de kernel

Híbrido es un tipo de núcleo de un sistema operativo, que tienen algo de código «no esencial» en espacio de núcleo, para que éste se ejecute más rápido de lo que lo haría si estuviera en espacio de usuario.

Amenazas al Sistema Operativo • Componentes del Sistema Operativo: • Tipos de kernel – Híbrido es

Amenazas al Sistema Operativo

Componentes del Sistema Operativo:

Tipos de kernel

Amenazas al Sistema Operativo

Diagrama de operación del Kernel

Amenazas al Sistema Operativo • Diagrama de operación del Kernel Diplomado de Seguridad de la Información

Amenazas al Sistema Operativo

Sistema de archivos: realiza la asignación de espacio y acceso a los archivos del Sistema Operativo bajo un esquema de permisos.

Permisos en el Sistema Operativo: son los que regulan las acciones posibles de ejecutar en los

archivos, éstas pueden ser:

Lectura Escritura Ejecución

Permisos en Linux: están categorizados en propietario (owner), grupo y Sistema Operativo

Amenazas al Sistema Operativo

Ejemplo de sistema de permisos en Linux

Amenazas al Sistema Operativo • Ejemplo de sistema de permisos en Linux Diplomado de Seguridad de

Amenazas al Sistema Operativo

Sistema de archivos NTFS: controla los permisos de los archivos según los siguientes atributos:

Lectura Escritura Lectura y ejecución Modificación Control total

Los permisos en NTFS son controlados por el dueño del archivo (owner) y son manejados directamente desde la interfaz del Sistema Operativo

Amenazas al Sistema Operativo

Ejemplo de configuración de permisos en NTFS

Diplomado de Seguridad de la Información
Diplomado de Seguridad de la Información

16

Amenazas al Sistema Operativo

Procesos: corresponden a las tareas que ejecuta el sistema operativo que se alojan en memoria y utiliza los recursos de hardware.

Vista de procesos de un sistema Linux

Amenazas al Sistema Operativo • Procesos: corresponden a las tareas que ejecuta el sistema operativo que

Amenazas al Sistema Operativo

Vista de procesos de un sistema Windows

Amenazas al Sistema Operativo • Vista de procesos de un sistema Windows Diplomado de Seguridad de

Amenazas al Sistema Operativo

Vista de procesos de un sistema Windows

Usando abreviatura Ctrl + shift + esc

Puede usar el siguiente comando

Amenazas al Sistema Operativo • Vista de procesos de un sistema Windows Usando abreviatura Ctrl +

Amenazas al Sistema Operativo

Vista de procesos de un sistema Windows

Diplomado de Seguridad de la Información
Diplomado de Seguridad de la Información

20

Amenazas al Sistema Operativo

Matar un proceso de un sistema Windows 10

Amenazas al Sistema Operativo • Matar un proceso de un sistema Windows 10 Diplomado de Seguridad

Amenazas al Sistema Operativo

Matar un proceso de un sistema Windows

Inicie notepad desde el símbolo del sistema

Amenazas al Sistema Operativo • Matar un proceso de un sistema Windows • Inicie notepad desde
Amenazas al Sistema Operativo • Matar un proceso de un sistema Windows • Inicie notepad desde

Amenazas al Sistema Operativo

Sistemas Operativos Virtuales: son aquellos que permiten ejecutar múltiples sistemas operativos en un mismo hardware. Esta solución permite optimizar los recursos además de implementar servidores solo vía configuración de software. La mayoría de estas soluciones permiten asignar parte

de los recursos de hardware a cada uno de los

sistemas operativos “huésped” a discreción. Las soluciones mas utilizadas son:

VMWare Xen Citrix Microsoft

Amenazas al Sistema Operativo

Esquema de operación de una solución de Virtualización de Sistema Operativo

Diplomado de Seguridad de la Información
Diplomado de Seguridad de la Información

24

Amenazas al Sistema Operativo

Gartner de las soluciones SVI (Switch Virtual Interface)

Diplomado de Seguridad de la Información
Diplomado de Seguridad de la Información

25

Amenazas al Sistema Operativo

Principales amenazas al Sistema Operativo:

Desbordamiento de búfer (Buffer Overflow): ocurre cuando se excede la capacidad de memoria reservada

para una variable y el sistema no tiene control sobre dicha variable. La principal consecuencia es la caída

del sistema.

Puerta trasera (Backdoor): programa que se instala en el Sistema Operativo, sin el consentimiento del usuario, que al ejecutarse levanta un servicio a través del cual el atacante puede tomar control remoto del servidor

Amenazas al Sistema Operativo

Malware: software malicioso que ataca un Sistema Operativo para causar algún daño, sus principales variantes son:

Virus: tiene la capacidad de auto-reproducirse a través de diferentes medios, afectan a archivos o aplicaciones.

Gusanos: se propagan a través de la red y causan daño fundamentalmente por exceso de tráfico. De este tipo han sido los daños mas importantes

Troyano: utiliza un programa licito para transportarse, no tiene la capacidad de auto-reproducirse.

Rootkit: infecta al sistema reemplazando una porción del programa para ejecutar comandos de S. O.

Amenazas al Sistema Operativo

Adware: infecta a su víctima a través de publicidad no deseada, típicamente como pop-up de algún servicio de navegación.

Dialer: al infectar a su víctima inicia conexiones hacia Internet para bajar archivos o enviar información.

Amenazas al Sistema Operativo • Adware: infecta a su víctima a través de publicidad no deseada,

Amenazas al Sistema Operativo

Spyware: tiene la capacidad de leer teclado o robar información y luego enviarla al atacante a través de Internet.

Vaya a la siguiente dirección URL

http://www.tarasco.org/security/pwdump_7/pwdump7.zip

Amenazas al Sistema Operativo • Spyware: tiene la capacidad de leer teclado o robar información y

Amenazas al Sistema Operativo

Crecimiento de malware

Amenazas al Sistema Operativo • Crecimiento de malware Fuente: AV-test 2016 Diplomado de Seguridad de la

Fuente: AV-test 2016

Diplomado de Seguridad de la Información

30

Amenazas al Sistema Operativo

Tipos de malware

Fuente: PandaLabs 2015

Amenazas al Sistema Operativo

Tipos de malware

Amenazas al Sistema Operativo • Tipos de malware Fuente: PandaLabs 2015 Diplomado de Seguridad de la

Fuente: PandaLabs 2015

Amenazas al Sistema Operativo

Otros tipos de virus

Amenazas al Sistema Operativo • Otros tipos de virus Diplomado de Seguridad de la Información 33

Amenazas al Sistema Operativo

Ataques al Sistema Operativo:

Hoy existen dos tipos de ataques de los cuales un S. O. puede ser víctima.

Ataque de servicio: consiste en explotar algún servicio

vulnerable del sistema operativo y a través de el

acceder al servidor o tomar control de este.

Ataque de cliente: consiste en que el cliente se infecta con algún archivo o aplicación ejecutado en el servidor que aprovecha alguna vulnerabilidad en el sistema operativo de la víctima

Amenazas al Sistema Operativo

Ataque de servicio

Amenazas al Sistema Operativo • Ataque de servicio • Ataque de cliente Diplomado de Seguridad de

Ataque de cliente

Amenazas al Sistema Operativo • Ataque de servicio • Ataque de cliente Diplomado de Seguridad de

Amenazas al Sistema Operativo

Resumen:

Componentes del Sistema Operativo

Kernel Sistema de archivos Procesos

Sistemas Operativos Virtuales Amenazas al Sistema Operativo

Buffer Overflow Backdoor Malware

Amenazas al Sistema Operativo

Resumen (cont.):

Ataques al Sistema Operativo

Ataques de Servicio Ataques de Cliente

DIPLOMADO DE

SEGURIDAD DE LA INFORMACION

Análisis de Seguridad al Sistema Operativo

Escuela de Informática y

Telecomunicaciones

Unidad de Aprendizaje N°3

Análisis de Seguridad en los Sistemas Operativos

Motivación

Motivación Diplomado de Seguridad de la Información 40

Pregunta 1

Si usted recibe una llamada de que existe una vulnerabilidad en un servidor en el puerto 1234. ¿A qué tipo de malware se refiere?

A.- Virus B.- Spyware C.- Backdoor D.- Rootkit

Pregunta 2

¿Por qué un IDS (Intrusion Detection System) no es un control de seguridad efectivo en un sistema SVI (Switch Virtual Interface)?

A.- Porque no puede revisar el tráfico entre servidores huésped del SVI.

B.- Porque las vulnerabilidades de los servidores huésped no son visibles desde la red.

C.- Porque el SVI cifra el tráfico entre servidores huésped.

D.- Porque no existen ataques hacia los SVI.

Pregunta 3

La amenaza descrita a continuación, corresponde a:

“Cuando se excede la capacidad de memoria reservada para una variable”

A.- Buffer overflow. B.- Backdoor. C.- Virus. D.- Troyano.

Pregunta 4

El gusano, es la amenaza que:

A.- Se propaga a través de la red a una alta tasa. B.- Utiliza un programa lícito para reproducirse. C.- Genera un puerto de servicio para que el atacante tome control remoto del sistema. D.- Genera la caída del sistema por uso excesivo de recursos.

Pregunta 5

Los permisos de archivos y directorios en un sistema Linux son:

Lectura. Ejecución. Escritura A.- SoIo I, II y III. B.- Solo I. C.- Solo II y III. D.- Solo I y II.

Pregunta 6

¿Cuál de las siguientes amenazas tiene la capacidad de leer el teclado y enviar la información al atacante a través de Internet?

A.- Spyware. B.- Adware. C.- Virus. D.- Gusano.

Análisis de Seguridad de Sistema Operativo

Crecimiento de las vulnerabilidades en MS (MicroSoft)

Análisis de Seguridad de Sistema Operativo • Crecimiento de las vulnerabilidades en MS (MicroSoft) Fuente: CVE

Fuente: CVE (Common Vulnerabilities and Exposures) 2016

Diplomado de Seguridad de la Información

47

Análisis de Seguridad de Sistema Operativo

Vulnerabilidades por S. O.

Fuente: Hot for Security 2015

Diplomado de Seguridad de la Información

48

Análisis de Seguridad de Sistema Operativo

Vulnerabilidades: como toda aplicación de software, el S. O. esta sujeto a tener vulnerabilidades y dado que está expuesto a la red en la mayoría de los casos, esto hace que mayor su grado de exposición.

Una vulnerabilidad corresponde a una falla o debilidad del Sistema Operativo que permite a algún atacante

afectar a algún atributo de la información

Las vulnerabilidades de un Sistema Operativo están publicadas por su fabricante con su respectiva solución, sin embargo existen sitios en los cuales también se publican vulnerabilidades.

Uno de los mas conocidos es:

Análisis de Seguridad de Sistema Operativo

Revisión del sitio CVE (Common Vulnerabilities and Exposures) Vulnerabilidades y Exposiciones Comunes

Common Vulnerability Scoring System (siglas CVSS). Es un algoritmo que tiene en cuenta distintos parámetros relativos
Common Vulnerability Scoring System (siglas
CVSS). Es un algoritmo que tiene en cuenta
distintos parámetros relativos al software y da
una expresión del nivel de seguridad calculado.
Diplomado de Seguridad de la Información
50

Análisis de Seguridad de Sistema Operativo

Otros sitios que publican vulnerabilidades NVD de la NIST:

Security Focus:

Secunia:

OSVDB

X-Force de IBM

Análisis de Seguridad de Sistema Operativo

Ejemplo de búsqueda en Security Focus

Análisis de Seguridad de Sistema Operativo • Ejemplo de búsqueda en Security Focus Diplomado de Seguridad

Análisis de Seguridad de Sistema Operativo

Ejemplo de búsqueda en Secunia

Análisis de Seguridad de Sistema Operativo • Ejemplo de búsqueda en Secunia Diplomado de Seguridad de

Análisis de Seguridad de Sistema Operativo

Ejemplo de búsqueda en OSVDB (Open Sourced Vulnerability Database)

Análisis de Seguridad de Sistema Operativo

Ranking de vulnerabilidades 2015

Análisis de Seguridad de Sistema Operativo • Ranking de vulnerabilidades 2015 Fuente: CVE 2016 Diplomado de

Fuente: CVE 2016

Diplomado de Seguridad de la Información

55

Análisis de Seguridad de Sistema Operativo

Análisis de vulnerabilidades (Vulnerability Assesment): es el proceso en el cual se identifican y clasifican las vulnerabilidades de un sistema informático.

Para esto existen dos formas:

Reconocimiento: a través de la información que se tiene del sistema (Ej: versión del SO) se pueden buscar las vulnerabilidades asociadas

Scanning: a través de herramientas especializadas, que cuentan con bases de datos de vulnerabilidades, se realiza una revisión al sistema destino y se obtiene un reporte con el detalle correspondiente.

Análisis de Seguridad de Sistema Operativo

Reconocimiento de Sistema Operativo:

La herramienta mas utilizada para esta función es NMAP

Esta disponible con licencia GNU para Windows, Linux y MacOS

El comando para reconocimiento de Sistema Operativo es:

# nmap O ipdestino

Diplomado de Seguridad de la Información 57
Diplomado de Seguridad de la Información
57

Análisis de Seguridad de Sistema Operativo

Scanning de vulnerabilidades:

La herramienta mas utilizada para esta función es Nessus de Tenable, esta disponible para Windows y Linux y tiene una licencia pagada y una licencia gratuita (Home).

Operación de Nessus:

Nessus realizada un mapeo de todos los puertos que están abiertos en el servidor destino.

A continuación envía los plugin o firmas de tráfico que tiene configurados a los puertos disponibles.

Luego recibe la respuesta del servidor para validar si la vulnerabilidad existe.

Luego compara el resultado con su base de dato interna para validar la clasificación de las vulnerabilidades encontradas.

Análisis de Seguridad de Sistema Operativo

Guía de instalación de Nessus:

Guía de usuario de Nessus:

Video explicativo del uso de la herramienta Nessus:

Análisis de Seguridad de Sistema Operativo

Otras herramientas de análisis de vulnerabilidades:

Qualys:

Foudstone de McAfee

OpenVas (uso libre)

NexPose de Rapid7

QVM de IBM

60

Análisis de Seguridad de Sistema Operativo

El mercado de las herramientas de Vulnerability Assessment según Gartner

Análisis de Seguridad de Sistema Operativo • El mercado de las herramientas de Vulnerability Assessment según

Fuente: Gartner 2013

Diplomado de Seguridad de la Información

61

Análisis de Seguridad de Sistema Operativo

Clasificación de vulnerabilidades: proceso en el cual se les asigna una puntuación a cada vulnerabilidad (ranking), existen diferentes criterios para realizar esta clasificación.

Clasificación CVE (CVSS): utiliza varios parámetros para realizar la calificación de puntaje, entre ellos:

Como afecta la vulnerabilidad a los atributos de la información (CIA)

La facilidad de explotación o complejidad de acceso Si se requiere o no autenticación para explotar la vulnerabilidad Los daños específicos que podría causar una vez explotada, tales como DoS, control remoto, ejecución de comandos, etc. Si permite o no tomar control del objetivo

Análisis de Seguridad de Sistema Operativo

Ejemplo de clasificación CVSS

Diplomado de Seguridad de la Información 63
Diplomado de Seguridad de la Información
63

Análisis de Seguridad de Sistema Operativo

Ejemplos de clasificación CVSS

Análisis de Seguridad de Sistema Operativo • Ejemplos de clasificación CVSS Diplomado de Seguridad de la

Análisis de Seguridad de Sistema Operativo

Clasificación de vulnerabilidades según Nessus: en este caso se utiliza un código de colores para la clasificación de las vulnerabilidades en 5 niveles

Ejemplo de clasificación de vulnerabilidades según Nessus de Tenable:

Análisis de Seguridad de Sistema Operativo

Clasificación de vulnerabilidades según Microsoft:

existe un sitio donde se publican las vulnerabilidades reportadas:

Este sitio clasifica las vulnerabilidades en tres niveles,

Crítica Importante Moderada

principalmente en función del daño que podría causar si es explotada.

Análisis de Seguridad de Sistema Operativo

Ejemplo de clasificación de vulnerabilidades según Microsoft:

Análisis de Seguridad de Sistema Operativo • Ejemplo de clasificación de vulnerabilidades según Microsoft: • También

También se utiliza como criterio de clasificación los sistemas que están afectados por la vulnerabilidad.

Análisis de Seguridad de Sistema Operativo

Calculadora de NVD: la NIST propone una metodología para clasificar las vulnerabilidades según varios parámetros, en el sitio:

Los principales factores a considerar son:

Facilidad de explotación Acceso Complejidad Autenticación Impacto Confidencialidad Integridad Disponibilidad

Análisis de Seguridad de Sistema Operativo

Ejemplo de clasificación utilizando la calculadora NVD

Análisis de Seguridad de Sistema Operativo

Iniciativa OVAL: un intento por estandarizar la información de seguridad en los análisis de vulnerabilidades es el Open Vulnerability and

Assessment Language de MITRE, el cual permite normalizar la información que envían los diferentes fabricantes de sus análisis de seguridad a través de un

lenguaje estándar basado en XML.

Las fases de esta iniciativa son:

Declaración Implementación Cuestionario Reconocimiento

Análisis de Seguridad de Sistema Operativo

Flujo de uso de la iniciativa OVAL

Diplomado de Seguridad de la Información 71
Diplomado de Seguridad de la Información
71

Análisis de Seguridad de Sistema Operativo

El principal uso que tiene la clasificación de vulnerabilidades es poder gestionar de mejor forma los recursos para las tareas de remediación o mitigación. Como suele pasar en las aéreas de TI o Seguridad de las empresas, el personal avocado a estas labores es escaso o es una empresa de terceros.

Aquellas vulnerabilidades de más alto riesgo o impacto son las que deben ser remediadas en primer lugar dentro del plan de trabajo propuesto, a continuación, las que tengan menor prioridad.

En la práctica es probable que las vulnerabilidades de bajo riesgo no se mitiguen o se utilicen métodos alternativos.

Análisis de Seguridad de Sistema Operativo

Resumen:

Vulnerabilidades en el Sistema Operativo

Búsqueda de vulnerabilidades Análisis de vulnerabilidades Herramientas de análisis de vulnerabilidades

Clasificación de vulnerabilidades

Calculadora NVD Iniciativa OVAL

DIPLOMADO DE

SEGURIDAD DE LA INFORMACION

Mitigación de Vulnerabilidades

Escuela de Informática y

Telecomunicaciones

Pregunta 1

¿Cuál de las siguientes afirmaciones describe de mejor forma el concepto de “vulnerabilidad”?

A.- Una amenaza potencial que puede causar algún daño.

B.- Una acción que pueda perjudicar algún atributo de la información.

C.- Un agente que podría tomar ventaja de una aplicación.

D.- Un error o debilidad que puede llegar a comprometer algún atributo de la información.

Pregunta 2

¿Cuál de los siguientes métodos proporciona la clasificación de los riesgos asociados a la información de un sistema informático?

A.- Gestión de riesgos B.- Vulnerability Assessment C.- Pentesting D.- Clasificación de la información

Pregunta 3

La principal diferencia entre un ataque de servicio y un ataque de cliente es

A.- El ataque de servicio requiere aplicaciones especiales, en cambio el ataque de cliente no.

B.- El ataque de servicio no requiere la intervención del usuario, en cambio el ataque de cliente si.

C.- El ataque de servicio no requiere autenticación del usuario, en cambio el ataque de cliente si.

D.- El ataque de servicio no requiere acceso a la victima, en cambio el ataque de cliente si.

Pregunta 4

¿Por qué razón el troyano es el malware con mayor tasa de penetración, según la gráfica adjunta?

Pregunta 4 • ¿Por qué razón el troyano es el malware con mayor tasa de penetración,

A.- Por su rápida tasa de infección. B.- Por su dificultad para ser detectado. C.- Porque permite realizar múltiples comandos de Sistema Operativo. D.- Porque es el más fácil de programar.

Pregunta 5

Una vulnerabilidad es

A.- Una acción que permite tomar el control de un sistema.

B.- Una falla o debilidad del sistema que permite a algún atacante, afectar a algún atributo de la información.

C.- Un código de programación que es expuesto en internet.

D.- Un sistema que no puede proteger la información confidencial de un usuario.

Mitigación de vulnerabilidades

Definición: es el proceso en el cual se remedia la problemática asociada a una vulnerabilidad o se inhibe su efecto. Existen dos formar para realizar esta función

Control correctivo: el cual corrige la vulnerabilidad a través de un parche publicado por el fabricante o una corrección en la configuración

Control compensatorio: es un método alternativo para remediar la vulnerabilidad, típicamente un HIDS, IPS o aislación.

Toda mitigación tiene un costo, ya sea en esfuerzo o soluciones de software o hardware, o bien se contrata a un tercero, por lo que debe ser evaluada en términos del riesgo asociado.

Para determinar el costo de una mitigación, debe saberse como se realizará.

Diplomado de Seguridad de la Información

80

Mitigación de vulnerabilidades

Ciclo de gestión de vulnerabilidades

Mitigación de vulnerabilidades • Ciclo de gestión de vulnerabilidades Diplomado de Seguridad de la Información 81

Mitigación de vulnerabilidades

Etapas del ciclo de gestión de vulnerabilidades:

Descubrimiento: en esta etapa se detallan todos los activos que formaran parte del análisis y se realiza el scanning

Priorización: en esta etapa se define cuales son los activos mas críticos para el negocio

Evaluación: se realiza en función de la criticidad de los activos y el nivel de riesgo de las vulnerabilidades

Reporte: corresponde a la medición del nivel de riesgo encontrado en su conjunto en función de alguna base predeterminada (política)

Remediación: en esta etapa se aplican los controles en función del análisis anterior (orden de prioridad)

Verificación: se realiza una nueva medición para validar que las vulnerabilidades fueron mitigadas.

Mitigación de vulnerabilidades

La principal fuente de información para encontrar soluciones a las vulnerabilidades encontradas, son los sitios de los fabricantes.

Microsoft:

Ubuntu:

Apple:

Red-Hat:

Mitigación de vulnerabilidades

Ejemplo de un reporte de mitigación de Nessus

Mitigación de vulnerabilidades • Ejemplo de un reporte de mitigación de Nessus Diplomado de Seguridad de

Mitigación de vulnerabilidades

Ejemplo de reporte de mitigación

Mitigación de vulnerabilidades • Ejemplo de reporte de mitigación Diplomado de Seguridad de la Información 85

Mitigación de vulnerabilidades

Resumen:

Definición de Mitigación de vulnerabilidades Ciclo de Gestión de vulnerabilidades

Soluciones a las vulnerabilidades encontradas Fuentes de información Reportes de mitigación

Pregunta 1

¿Por qué razón, la mejor fuente de información para mitigación de vulnerabilidades es el fabricante?

A.- Porque es quién mejor conoce la aplicación vulnerable B.- Porque siempre es el primero en descubrir sus vulnerabilidades C.- Porque tiene los códigos de la aplicación y puede encontrar errores fácilmente D.- Porque de no hacerlo pone en juego su prestigio

Pregunta 2

¿Cuál es el criterio que determina el orden en el que deben ser mitigadas las vulnerabilidades?

A.- Nivel de impacto B.- Cronológico (las más antiguas primero) C.- Importancia del activo vulnerable D.- A y C

Pregunta 3

En un análisis de vulnerabilidades, se cumplen las siguientes etapas:

I.- Obtención de información del sistema. II.- Obtención de las vulnerabilidades.

III.- Explotación de las vulnerabilidades de alto riesgo.

A.- Sólo II y III. B.- Sólo III. C.- I, II y III. D.- Sólo I y II.

Pregunta 4

¿Cuales herramientas sirven para realizar un reconocimiento de un sistema?

I.- NMAP. II.- Metasploit. III.- Nessus. A.- Sólo I y II. B.- Sólo III. C.- I, II y III. D.- Sólo I y III.

Pregunta 5

¿Cuáles son herramientas especialistas de análisis de vulnerabilidades?

I.- NMAP II.- Nessus III.- OpenVas. A.- Sólo I y II. B.- Sólo III. C.- I, II y III. D.- Sólo II y III.

Pregunta 6

La clasificación de riesgo de las vulnerabilidades, que realiza CVE considera:

I.- La facilidad de explotación de la vulnerabilidad. II.- Los atributos de la información afectados.

III.- La importancia del activo afectado por la

vulnerabilidad. A.- Sólo II y III. B.- Sólo III. C.- I, II y III. D.- Sólo I y II.

Pregunta 7

La siguiente nomenclatura, corresponde a un código de vulnerabilidad de MS12-002.

A.- CVE. B.- OSVDB. C.- CVSS. D.- Microsoft.

Pregunta 8

La "complejidad", en el proceso de clasificación de vulnerabilidades corresponde a:

A.- Que tan accesible el sistema afectado. B.- Que tan antigua es la vulnerabilidad.

C.- Que tan complejo es acceder a los parches del sistema afectado.

D.- Que tan complejo es explotar la vulnerabilidad.

Pregunta 9

La iniciativa OVAL persigue, como objetivo:

A.- Estandarizar los métodos de presentación de vulnerabilidades.

B.- Estandarizar los métodos de remediación de vulnerabilidades.

C.- Estandarizar los métodos de publicación de vulnerabilidades.

D.- Estandarizar los métodos de clasificación de vulnerabilidades.

Pregunta 10

¿Cuál de los siguientes métodos proporciona la clasificación de los riesgos asociados a las vulnerabilidades de un sistema informático?

A.- Gestión de riesgos. B.- Pentesting. C.- Clasificación de la información. D.- Vulnerability Assessment.

DIPLOMADO DE

SEGURIDAD DE LA INFORMACION

Hardening de Servidores

Escuela de Informática y

Telecomunicaciones

Hardening de Servidores

Definición: es el proceso a través del cual se mejora la seguridad de un sistema a ejecutando las labores de mitigación de vulnerabilidades. Además en este proceso se incorporan todas las configuraciones recomendadas por los fabricantes y las entidades de seguridad, tales como:

CIS (Center for Internet Security):

NSA:

Hardening de Servidores

El proceso de hardening mínimo para cumplir los requerimientos del negocio de cada sistema operativo se denomina “baseline”.

Actividades típicas de un proceso de hardening:

Cerrar puertos no utilizados Deshabilitar protocolos no utilizados Cambiar parámetros por defecto Eliminar usuarios no utilizados Utilizar comunicaciones cifradas Eliminar los directorios y archivos temporales Grabar los registros de log en un servidor independiente

Hardening de Servidores

Herramientas de Hardening:

Para el caso de Microsoft, la más utilizada es MBSA (Microsoft Baseline Security Analyzer), que permite identificar las actualizaciones de seguridad faltantes en el Sistema Operativo y los problemas de configuración.

La versión actual 2.3 soporta:

Windows 8.1, Windows 8, Windows Server 2012 R2, and Windows Server 2012

Sitio de MBSA de Microsoft https://www.microsoft.com/en-

Hardening de Servidores

Ejemplo de reporte de MBSA

Hardening de Servidores

Herramientas de Hardening:

Para el caso de Linux, la herramienta mas utilizada es Bastille:

Permite mejorar y medir el nivel de seguridad del S. O. en forma granular en cada uno de los ítems cubiertos por la solución

Los sistemas operativos soportados son:

Red Hat (Fedora Core, Enterprise), SUSE, Debian, Gentoo, y Mandrake, además de HP-UX. También soporta Mac OS X.

Hardening de Servidores

Operación de Bastille:

Una vez instalada la herramienta, realiza la función de hardening en base a un cuestionario donde el administrador decide cada una de las configuraciones más importantes del sistema operativo

Al finalizar la herramienta entrega un reporte con el detalle de la configuración y el puntaje obtenido con el proceso en puntuación de 1 a 10, donde 10 es el nivel más alto.

Link para bajar la herramienta:

Hardening de Servidores

Ejemplo de uso de Bastille:

Diplomado de Seguridad de la Información 104
Diplomado de Seguridad de la Información
104

Hardening de Servidores

Principios de seguridad en hardening de servidores:

Mínimo privilegio: para mayor seguridad es altamente recomendable que los usuarios trabajen en los servidores con el usuario de mas bajo privilegio, al igual

que las aplicaciones que se ejecutan en el servidor, en

ningún caso con las cuentas de root o Administrador

Mínimo punto de exposición: el acceso a los servidores solo debe ser posible desde aquellos puntos o redes que requiere para su función, esto reduce considerablemente la posibilidad de que una vulnerabilidad no parchada, pueda ser explotada

Hardening de Servidores

Cifrado de discos en Linux:

Una de las herramientas mas utilizadas para esta función es LUKS (Linux Unified Key Setup) que se utiliza con la librería CryptSetup:

Comando para cifrar una partición:

# cryptsetup luksFormat /particion

Mapear el sistema cifrado

# cryptsetup luksOpen /particion encrypted-fs

Añadir la partición al fstab para el arranque

# tune2fs -l /dev/mapper/encrypted-fs | grep UUID # UUID=XXX_XXX /encrypted-fs ext4

Hardening de Servidores

Cifrado de archivos en Linux:

La aplicación utilizada para esta función es GPG, aplicación que esta incluida en la mayoría de las distribuciones

El comando para cifrar un archivo:

# gpg --symetric nombre_archivo

El comando para descifrar:

# gpg --decrypt o archivo_salida archivo_cifrado

Esta aplicación también permite realizar cifrado asimétrico, para lo cual se deben crear las claves con el comando:

# gpg --gen-key

Hardening de Servidores

Cifrado de archivos en Windows:

En el caso de los Sistemas Microsoft, existe una aplicación GNU llamada TrueCrypt

URL:

Características:

Crea archivos cifrados de cualquier tamaño Crea directorios cifrados compartidos Permite crear volúmenes o particiones cifradas Permite doble autenticación

Se abandono su desarrollo en 2014, a pesar de que sigue siendo utilizado

Hardening de Servidores

VPN: Tecnología utilizada para cifrar y autenticar las conexiones a un servidor y de esta forma resguardar los principios de:

Confidencialidad Integridad Autenticación

La solución mas utilizada para servidores Linux es OpenVPN, de licencia GNU que permite realizar VPN basadas en OpenSSL

El sitio web oficial es:

Hardening de Servidores

Algunos comandos útiles de OpenVPN:

Instalación: # apt-get install openvpn Generación de llave de cifrado:

# openvpn genkey secret /archivo_de_llave

Ejemplo de configuración:

Hardening de Servidores

OpenVPN:

Esta solución también permite la operación a través de certificados digitales bajo el modelo PKI, solo se debe agregar en el archivo de configuración lo siguiente:

Hardening de Servidores • OpenVPN: • Esta solución también permite la operación a través de certificadoshttps://openvpn.net/index.php/open- source/documentation/howto.html Diplomado de Seguridad de la Información 111 " id="pdf-obj-110-10" src="pdf-obj-110-10.jpg">

Referencia:

Hardening de Servidores

Seguridad en OpenVPN:

Las principales recomendaciones para evitar algunos incidentes de seguridad es agregar los siguientes comandos al archivo de configuración:

Evitar ataques DoS:

# tls-auth llave_precompartida direccion_IP # conect-freq no_conexiones tpo_segundos

Evitar ataques MiTM:

# ns-cert-type server/client # tls-verify script_validacion # tls-remote CN

Hardening de Servidores

Monitoreo de Servidores y Servicios:

Uno de los aspectos mas importantes para la seguridad de un servidor es poder monitorear permanente sus servicios, para ello existen varias herramientas basadas en los protocolos ICMP y SNMP.

Una de las mas utilizadas es ICINGA, de licencia GNU y que permite monitorear las variables mas importantes de un servidor

Referencia:

Hardening de Servidores

Instalación de ICINGA:

# apt-get install icinga

Configuración de monitoreo de servicio

Hardening de Servidores • Instalación de ICINGA: – # apt-get install icinga • Configuración de monitoreo

Configuración en el servidor a monitorear:

# apt-get install nagios-nrpe-server

Hardening de Servidores

Ejemplo de monitoreo con ICINGA

Hardening de Servidores

Monitoreo de Sistema Interno:

En seguridad es fundamental monitorear las variables más importantes del Sistema Operativo como memoria, CPU, recursos, etc. Para esto existen dos herramientas muy útiles:

Top: muestra en tiempo real todos los procesos que se están ejecutando además de la memoria utilizada y los principales datos del procesador:

Por defecto la opción de refresco es cada 3 segundos, pero es posible modificarla con la opción “D”.

Hardening de Servidores

Ejemplo de un sistema de monitoreo con “top”

Hardening de Servidores • Ejemplo de un sistema de monitoreo con “top” Diplomado de Seguridad de

Hardening de Servidores

HIDS ( Host Intrusion Detection System):

Aplicación que se instala en el servidor que se desea proteger que permite detectar accesos irregulares a un servidor

Uno de sus principales beneficios es que puede detectar, detener y alertar un incidente de seguridad.

Además tiene la capacidad de enviar las alertas de seguridad a un sistema central (SIEM)

La gran mayoría de empresas de seguridad tiene alguna solución al respecto, una de las más utilizadas es OSSEC de licencia GNU.

Hardening de Servidores

OSSEC:

Solución de libre distribución que realiza:

Análisis de logs Integridad de archivos Monitoreo de políticas de seguridad Detección de rootkit Alertas en tiempo real

Referencia:

Hardening de Servidores

Arquitectura de OSSEC:

Hardening de Servidores • Arquitectura de OSSEC: Diplomado de Seguridad de la Información 120

Hardening de Servidores

Protección contra ARP Spoofing:

Este ataque tiene por objetivo contaminar la tabla ARP del servidor, de tal forma que envíe su tráfico a una dirección IP falsa.

Una forma de evitar ser víctima de este ataque es utilizando la herramienta arpwatch

Uso:

# arpwatch n red i interface

Referencia:

Hardening de Servidores

Imagen de log de arpwatch

Hardening de Servidores • Imagen de log de arpwatch Diplomado de Seguridad de la Información 122

Hardening de Servidores

Protección contra DHCP Spoofing:

Este ataque consiste en el envío de una dirección IP a un requerimiento DHCP desde un servidor falso.

Una de las formas de protegerse es recibir estos requerimientos solo desde una dirección IP autorizada,

la del verdadero DHCP server de la red.

Dado que esta conexión ocurre en capa 2, no es posible filtrarla a través de una ACL o utilizar IPTables, por lo tanto utilizaremos la aplicación “etables”, aplicando el siguiente comando:

# ipetables A INPUT p 0x800 ip-proto udp ip-source !ip_dhcp_server j DROP

Hardening de Servidores

Jaulas con CHROOT:

El concepto de jaula permite crear un ambiente cerrado y aislado del resto de componentes del Sistema Operativo, este proceso también se conoce como sandbox” o caja de arena.

En primer lugar se crea un directorio especial y se habilitan en él todas las librerías básicas del Sistema Operativo, con los siguientes comandos:

# mkdir /var/newroot # cd /var/newroot # ldd /bin/bash # chroot ./

Hardening de Servidores

Jaulas con CHROOT:

A continuación se debe especificar el usuario que hará las veces de “root” dentro de la jaula:

# chroot userspec=1001:1001 /var/chroot/ Donde 1001 es el id del usuario y 1001 es el grupo del usuario

Finalmente se agregan los comandos que se deseen ejecutar en la jaula

# ldd /bin/ls

para listar archivos

– – # ldd /usr/bin/whoami para identificar el usuario

Hardening de Servidores

Esquema de jaulas con CHROOT

Hardening de Servidores • Esquema de jaulas con CHROOT Diplomado de Seguridad de la Información 126

Hardening de Servidores

Listas de control de acceso (ACL):

Permiten definir los atributos de usuarios en los archivos y directorios del Sistema Operativo, sus comandos básicos son:

setacl: se utiliza para establecer ACL en los archivos o directorios

getacl: se utiliza para determinar las ACL que tiene configurado un archivo o directorio

chacl: permite realizar cambios en las ACL de un archivo o directorio

Ejemplo de asignación de ACL:

# setacl m u:user:rw- /nombre_archivo # getacl /nombre_archivo

Hardening de Servidores

SSL:

Mecanismo para aplicaciones web que proporciona confidencialidad y autenticación de la información transmitida a través de HTTP

El protocolo de intercambio de mensajes permite asegurar al cliente la identidad del servidor además de

cifrar la comunicación mediante un esquema de cifrado simétrico.

Hoy en día es posible de utilizar en muchos protocolos tales como:

HTTP

SMTP

LDAP

Hardening de Servidores

Configuración de SSL en un servidor Apache (cont.):

En el archivo /etc/httpd/conf.d/ssl.conf, agregar la siguiente entrada:

SSLEngine on SSLCertificateFile /ruta/certificado.cert SSLCertificateKeyFile /ruta/llave.key

Para la validación ejecute el comando:

# apachectl configtest

Reinicio de servicios httpd

# apachectl stop # apachectl start

Hardening de Servidores

Configuración de SSL en un servidor Apache:

Para solicitar el Certificado SSL ejecutar el siguiente comando:

# openssl req -nodes -newkey rsa:2048 -keyout llave.key -out server.csr

Solicitar el certificado digital con el archivo creado “server.csr”

Una vez recibido el certificado digital se deben tener los dos archivos principales:

Archivo de llave privada: llave.key Archivo de Certificado Digital: certificado.cert

Hardening de Servidores

Esquema de operación de SSL

Hardening de Servidores • Esquema de operación de SSL Diplomado de Seguridad de la Información 131

Hardening de Servidores

Almacenamiento de logs:

En Seguridad es fundamental mantener registros en línea de los eventos más importantes en forma centralizada y con un acceso ágil y robusto.

Los eventos mas importantes que se deben registrar son:

Inicios de sesión Accesos a recursos Intentos de ataque

Todo esto hace fundamental contar con un sistema de almacenamiento de registros (logging) del que se pueda obtener información valiosa para seguridad

Hardening de Servidores

Almacenamiento de logs:

Las principales consideraciones que se deben tener para un sistema de almacenamiento adecuado son:

Almacenamiento independiente: es fundamental que los registros se graben en un servidor distinto a la fuente por efectos de carga de sistema y espacio de almacenamiento

Rotación de logs: se debe determinar el tiempo máximo de almacenamiento de acuerdo a los requerimientos del negocio o regulaciones, en base a este parámetro deben ser eliminados los registros mas antiguos

Logging de aplicaciones: es importante tener una buena capacidad de interpretación de las diferentes aplicaciones

Análisis: debe tener la capacidad de permitir extraer

información valiosa, patrones o alertas que puedan ser útiles en

un análisis forense

Hardening de Servidores

Habilitación de rsyslog en un servidor Linux En el archivo de configuración /etc/rsyslog.conf configurar:

$ModLoad

imupd

$UDPServerRun

514

Reiniciar el servicio:

# /etc/init.d/rsyslog restart

Comprobar el estado del servicio:

# netstat -puna

Hardening de Servidores

Envío seguro de logs:

Como es sabido, el servicio rsyslog y sus similares envían y reciben la información en texto claro, lo cual representa una brecha de seguridad, una posible solución es habilitar TLS al servicio rsyslog

Instalación:

# apt-get install rsyslog-gnutls

Configuración de /etc/rsyslog.conf

Diplomado de Seguridad de la Información 135
Diplomado de Seguridad de la Información
135

Hardening de Servidores

Configuración cliente:

En general todas las aplicaciones clientes tienen la opción de configurar un servidor de logs externo, en el caso del sistema operativo Linux, en el archivo /etc/rsyslog.conf

*.*

@@direccion_IP_log_server

Comprobación de funcionamiento:

La forma mas utilizada es ejecutar el comando logger

# logger –t LOG “esto es una prueba”

A continuación se puede verificar el contenido del archivo de log en la maquina remota con:

# tail f /var/log/syslog

Hardening de Servidores

Arquitectura de un sistema de logs centralizado

Hardening de Servidores

Resumen:

Definición de Hardening Herramientas de Hardennig

MBSA Bastille

Seguridad en Hardening

Principios de Seguridad Cifrado de discos Cifrado de archivos VPN (OpenVPN)

Hardening de Servidores

Resumen (cont.):

Monitoreo de Servicios

ICINGA Monitoreo de Sistema Interno HIDS (OSSEC)

Protección de Servidores

Protección contra ARP Spoofing Protección contra DCHP Spoofing Jaulas con CHROOT Listas de control de acceso (ACL)

Hardening de Servidores

Resumen (cont.):

SSL

Configuración de SSL

Almacenamiento de logs

Configuración de servidor Configuración de envío seguro de logs Configuración de cliente Arquitectura de un sistema de almacenamiento de logs

Diplomado de Seguridad de la Información 141

Termino de la sesión

¿Qué aprendió hoy?

Termino de la sesión ¿Qué aprendió hoy? Diplomado de Seguridad de la Información 142
Diplomado de Seguridad de la Información 143

DIPLOMADO DE

SEGURIDAD DE LA INFORMACION

Seguridad en Bases de Datos

Escuela de Informática y

Telecomunicaciones

Pregunta 1

¿Cuáles son los pasos recomendados para realizar un hardening, en un servidor?

A.- Deshabilitar los servicios no utilizados.

B.- Eliminar la cuenta root para evitar escalamiento de privilegios.

C.- Aumentar la capacidad de RAM para soportar un buffer overflow.

D.- Utilizar direcciones públicas para evitar el uso de NAT.

Pregunta 2

¿Cuál de las siguientes técnicas de hardening, nos ayudaría a evitar el espionaje de una comunicación de Voz sobre IP?

A.- Jaulas con CHROOT B.- HIDS C.- SSL D.- OpenVPN

Pregunta 3

¿El proceso en el cual se remedia una vulnerabilidad o se inhibe su efecto se denomina?

A.- Suspensión. B.- Eliminación. C.- Parchado. D.- Mitigación.

Pregunta 4

La principal diferencia entre un control correctivo y un control compensatorio es:

A.- El control correctivo corrige la vulnerabilidad, mientras el control compensatorio usa un método alternativo.

B.- El control correctivo parcha la vulnerabilidad, mientras el control compensatorio, realiza un cambio en la configuración.

C.- El control correctivo elimina la vulnerabilidad, mientras el control compensatorio, la parcha.

D.- El control correctivo corrige la vulnerabilidad, mientras el control compensatorio, elimina el riesgo.

Pregunta 5

La instalación de un HIDS en un servidor, para mitigar una vulnerabilidad es

A.- Compensatorio. B.- Correctivo. C.- Aleatorio. D.- Auxiliar.

Pregunta 6

La fase de "priorización de activos", en el ciclo de gestión de:

Pregunta 6 • La fase de "priorización de activos", en el ciclo de gestión de: •

A.- Medir la importancia del Activo afectado. B.- Medir el nivel de riesgo de la vulnerabilidad. C.- Medir el nivel de impacto de la vulnerabilidad. D.- Realizar las mitigaciones.

Pregunta 7

La fase de "verificación", se utiliza en un análisis de vulnerabilidades para:

A.- Validar si el activo es de alto riesgo. B.- Validar si la vulnerabilidad es explotable.

C.- Validar si la vulnerabilidad afecta a los atributos de la información.

D.- Validar si la vulnerabilidad fue remediada.

Pregunta 8

¿Cual es la mejor fuente de información para encontrar remediación a vulnerabilidades?

A.- Los foros de internet de seguridad. B.- Los analistas de seguridad.

C.- Los sitios que publican vulnerabilidad como CVE o OSVDB.

D.- El sitio del fabricante.

Pregunta 9

Las herramientas de análisis de vulnerabilidades nos entregan como información:

I.- El nivel de la vulnerabilidad. II.- los atributos de la información afectados.

III.- los pasos a seguir para una mitigación.

A.- Solo I y II. B.- Solo III. C.- I, II y III. D.- Solo I y III.

Pregunta 10

La herramienta para realizar un proceso de "hardening" en Windows es:

A.- MBSA (Microsoft Baseline Security Analyzer). B.- Nessus. C.- NMAP. D.- Bastille.

Pregunta 11

La herramienta para realizar un proceso de "hardening" en LINUX es:

A.- Bastille. B.- Nessus. C.- NMAP D.- MBSA.

Pregunta 12

El principio de seguridad de "mínimo privilegio" corresponde a:

A.- Las aplicaciones deben operar con usuarios de bajo privilegio.

B.- Las aplicaciones deben operar con usuarios de alto privilegio.

C.- El acceso a las aplicaciones deben ser restringidas.

D.- El sistema operativo no debe ser accedido en forma remota.

Pregunta 13

¿Cuál de las siguientes medidas, corresponde al proceso de "hardening"?

I.- Cifrado de disco duro. II.- Eliminación de servicios no utilizados. III.- Cambiar el puerto de servicio. A.- Solo I y II. B.- I, II y III. C.- Solo III. D.- Solo I y III.

Pregunta 14

Un HIDS instalado en un servidor permite:

I.- Proteger de ataques externos. II.- Mitigar vulnerabilidades. III.- Alertar una intrusión. A.- I, II y III. B.- Solo II y III. C.- Solo I y II. D.- Solo I y III.

Pregunta 15

La jaula, como esquema de seguridad, permite:

A.- Ejecutar servicios en un ambiente aislado del sistema operativo.

B.- Ejecutar servicios con usuarios de bajo privilegio. C.- Aislar aplicaciones. D.- Mitigar vulnerabilidades.

Pregunta 16

Cual de los siguientes mitigadores, permite resguardar el principio de la "Confidencialidad“.

I.- SSL. II.- VPN. III.- ACL. A.- Solo I y II. B.- Solo III. C.- Solo I y III. D.- I, II y III.

Pregunta 17

¿En qué ayuda un registro de log a un proceso de seguridad?

A.- Permitir guardar el registro de la instalación de parches.

B.- Evitar un incidente de seguridad. C.- Permitir recuperar información borrada incidentalmente. D.- Permite guardar registros de un incidente.

Pregunta 18

¿Cuál de las siguientes acciones se recomienda para realizar un hardening en un servidor?

A.- Eliminar la cuenta root para evitar escalamiento de privilegios.

B.- Aumento de capacidad de RAM para soportar un buffer overflow.

C.- Utiliza direcciones publicar para evitar el uso de NAT.

D.- Deshabilitar los servicio no utilizados.

Pregunta 19

El modelo de defensa en profundidad (defense in depth) propone?

A.- Mitigaciones específicas para cada tipo de vulneravilidad. B.- Utilizar los mismos controles para sistema operativos, bases de datos y aplicaciones. C.- Utilizar solo control para los datos.

D.- Controles específicos para cada uno de las capas del modelo.

Pregunta 20

El modelo de tres capas, de conexión a bases de datos, propone:

I.- Un control de seguridad entre cada una de las capas. II.- Instalar cada capa en una red distinta.

III.- Cifrar el tráfico entre las capas. A.- Solo I y III. B.- I, II y III. C.- Solo III. D.- Solo I y II.

Introducción

La gran mayoría de los datos sensibles del mundo están almacenados en sistemas gestores de bases de datos comerciales tales como Oracle, Microsoft SQL Server, entre otros, y atacar una bases de datos es uno de los objetivos favoritos para los criminales.

Esto puede explicar por qué los ataques externos, tales como inyección de SQL, subieron 345% en 2012, “Esta

tendencia es prueba adicional de que los agresores tienen éxito en hospedar páginas Web maliciosas, y de que las vulnerabilidades y explotación en relación a los navegadores Web están conformando un beneficio importante para ellos

Seguridad en Bases de Datos

Recomendaciones para hardening de bases de datos:

Oracle en ambiente UNIX:

Antes de instalar, configurar umask en 022 No instalar la base de datos con usuario root No usar el directorio /tmp para la instalación, crear uno con permiso 700

Oracle en Windows:

No instalar la base de datos en un controlador de dominio Crear una cuenta independiente por cada DBA Valide que el usuario de Oracle es propietario de todos los archivos bajo el directorio $ORACLE_HOME/bin Deshabilitar iSQL*plus para los servidores de producción

Seguridad en Bases de Datos

Recomendaciones para hardening de bases de datos

SQL Server:

Instalar en una partición NTFS Utilizar una cuenta de bajo privilegio para la instalación NO utilizar las cuentas de Administrador o LocalSystem Remover la cuenta de invitado (guest) y las cuentas de ejemplo Utilizar la autenticación de Windows en lugar de otro sistema Permitir el acceso solo desde la red local Deshabilitar las capacidades de envío de correo electrónico No instalar los procedimientos extendidos de creación de usuarios No instalar la búsqueda “full-text

Seguridad en Bases de Datos

Sitios de interés para información de Seguridad en Bases de Datos

SQL Server:

Oracle:

DB2:

MySQL:

Seguridad en Bases de Datos

Sitios especializados en búsqueda de vulnerabilidades para Bases de Datos:

Security Tracker:

Diplomado de Seguridad de la Información
Diplomado de Seguridad de la Información

169

Seguridad en Bases de Datos

Security Focus:

Seguridad en Bases de Datos • Security Focus: <a href=http://www.securityfocus.com/bid Diplomado de Seguridad de la Información 170 " id="pdf-obj-169-10" src="pdf-obj-169-10.jpg">

Seguridad en Bases de Datos

Modelo de defensa en profundidad (Defense-in- depth)

En el caso de las Bases de Datos, los principales problemas de seguridad que se pueden presentar son

Tratamiento de los datos Vulnerabilidades en la aplicación Problemas de control de acceso Vulnerabilidades en el Sistema Operativo

Por lo tanto, un modelo de seguridad por capas, es una muy buena metodología para atacar cada una de estas problemáticas.

Seguridad en Bases de Datos

Modelo de Defense-in-depth

Aplicación Control de Acceso Sistema Operativo Errores de configuración Base de Datos Vulnerabilidades Datos Confidencialidad
Aplicación
Control de
Acceso
Sistema
Operativo
Errores de
configuración
Base de
Datos
Vulnerabilidades
Datos
Confidencialidad

Seguridad en Bases de Datos

Capas de defensa:

Aplicación:

SSL Autenticación robusta Control de acceso (perfiles)

Sistema Operativo:

Análisis de vulnerabilidades y parchado

Base de Datos:

Firewall de Bases de Datos Auditoria de configuraciones

Datos:

Cifrado y ofuscamiento

Seguridad en Bases de Datos

Modelo de conexión a bases de datos (3 capas)

Seguridad en Bases de Datos • Modelo de conexión a bases de datos (3 capas) •

Cliente: browser, excel Aplicación: Webserver, Servidor de aplicaciones Servidor: Motor de Base de Datos

Seguridad en Bases de Datos

Modelo de conexión a bases de datos:

Es altamente recomendable que exista una línea de seguridad entre cada una de las capas, para permitir el acceso solo a las redes autorizadas

Seguridad en Bases de Datos • Modelo de conexión a bases de datos: • Es altamente

Seguridad en Bases de Datos

Los servicios de bases de datos utilizan muchos puertos de conexión además del puerto de servicio, que pueden ser aprovechados por usuario no autorizado A continuación el listado de puertos de Oracle

Seguridad en Bases de Datos • Los servicios de bases de datos utilizan muchos puertos de

Seguridad en Bases de Datos

Vulnerabilidades en Bases de Datos:

Como toda aplicación las bases de datos están expuestas a vulnerabilidades, con la diferencia que estas pueden afectar directamente a la información, es por esta razón que se hace necesario tener varias

capas de defensa.

Las vulnerabilidades en las bases de datos pueden ocurrir por diferentes fuentes, por lo tanto no todas pueden ser detectadas por herramientas de VM.

Muchas vulnerabilidades se presentan por problemas de configuración o exposición inadecuada de los datos

Seguridad en Bases de Datos

Vulnerabilidades en Bases de Datos Oracle:

Seguridad en Bases de Datos • Vulnerabilidades en Bases de Datos • Oracle: • SQL Server:

SQL Server:

Seguridad en Bases de Datos • Vulnerabilidades en Bases de Datos • Oracle: • SQL Server:

Fuente: CVE

Diplomado de Seguridad de la Información

178

Seguridad en Bases de Datos

Esquema de vulnerabilidades en una Base de Datos

Seguridad en Bases de Datos • Esquema de vulnerabilidades en una Base de Datos Diplomado de

Seguridad en Bases de Datos

Herramientas de análisis de vulnerabilidades para Bases de Datos:

Las más utilizadas son:

AppDetective de Trustwave

SQLSus

Rational de IBM

Seguridad en Bases de Datos

Control de acceso en Bases de Datos:

Uno de los puntos de seguridad más importante es la autenticación en las bases de datos, para lo cual es fundamental realizar el siguiente procedimiento recomendado:

Revisar periódicamente el modelo de autenticación. Revisar la asignación de grupos. Revisar la asignación de roles. Revisar la asociación de privilegios. Realizar una prueba “dry run”. Revisar en detalle el modelo de asignación de privilegios.

Seguridad en Bases de Datos

El caso de SQL Slammer:

Sin duda uno de los gusanos más conocidos que atacó bases de datos es Slammer quien contagió miles de servidores SQL Server en 2003

Slammer explotaba una vulnerabilidad de la base de datos de Microsoft SQL Server 2000 (MS02-039 o CVE-

2002-0649) a través del puerto 1434

El principal daño era la no disponibilidad de la base de datos a través de DoS o Buffer Overflow y ejecutar código remoto utilizando el servicio UDP

Seguridad en Bases de Datos

Tráfico generado por SLQ Slammer

Seguridad en Bases de Datos • Tráfico generado por SLQ Slammer Diplomado de Seguridad de la

Seguridad en Bases de Datos

Modelo de control de Acceso a Bases de Datos

Seguridad en Bases de Datos • Modelo de control de Acceso a Bases de Datos Diplomado

Seguridad en Bases de Datos

La autenticación es la base del modelo de seguridad para Bases de Datos

Auditoría ¿Qué hizo? Cifrado ¿Quién puede verlo? Autorización ¿Quién puede hacerlo? Autenticación ¿Quién es?
Auditoría
¿Qué hizo?
Cifrado
¿Quién puede
verlo?
Autorización
¿Quién puede hacerlo?
Autenticación ¿Quién es?

Seguridad en Bases de Datos

Inspección profunda (Deep packet inspection)

Es la metodología para encontrar ataques hacia las bases de datos examinando todo el contenido del paquete, incluyendo los parámetros de las transacciones SQL.

Los dispositivos que realizan esta función, se conocen como firewall de bases de datos y auditan todas las transacciones hacia y desde la base de datos

Tienen la capacidad de detener una transacción considerada fraudulenta o reportar una acción que viole las políticas de seguridad

Seguridad en Bases de Datos

Principales actores del mercado de Firewall de Bases de Datos o DAM (Database Activity Monitoring)

Seguridad en Bases de Datos • Principales actores del mercado de Firewall de Bases de Datos

Fuente: Forrester 2012

Diplomado de Seguridad de la Información

187

Seguridad en Bases de Datos

Las principales funciones de una solución DAM son:

Monitorear en tiempo real todas las transacciones hacia las bases de datos. Comparar las transacciones con las políticas de seguridad y reportar las diferencias. Realizar auditoría de las transacciones críticas. Controlar el acceso de usuarios hacia la base de datos. Controlar los permisos de acceso de los usuarios (tablas, recursos, etc.). Ofuscar la respuesta de la base de datos para información confidencial. Realizar análisis de vulnerabilidades a las bases de datos.

Seguridad en Bases de Datos

Arquitectura de una solución DAM

Seguridad en Bases de Datos

Auditoría de configuraciones:

Los cambios en las configuraciones de una base de datos, pueden presentar una debilidad en seguridad

dado que no existe un control sobre ellos y tampoco se realizan bajo un estándar determinado, sólo importa

que el cambio en la configuración tenga efecto.

A través de vulnerabilidades en las configuraciones es posible:

Violar los controles de acceso. Acceder a archivos o tablas confidenciales. Alterar información de la base de datos. Cambiar los parámetros de red.

Seguridad en Bases de Datos

Auditoría de configuraciones:

La tecnología de auditoría de configuraciones o SCM (Security Configuration Management) tiene los siguientes componentes.

Consola de administración y reportes: es el encargado de monitorear los agentes en los servidores

y recibir la información de éstos para los reportes

Base de Datos: es el repositorio central de información para todos los datos consolidados

Agente: es la pieza de software que se instala en el servidor que será auditado y se encarga de monitorear y reportar los cambios en las configuraciones

Seguridad en Bases de Datos

Arquitectura de una solucione SCM

Seguridad en Bases de Datos • Arquitectura de una solucione SCM Diplomado de Seguridad de la

Seguridad en Bases de Datos

Auditoría con herramientas SCM (Software Configuration Management):

Una herramienta SCM puede auditar las configuraciones de muchos dispositivos de red, entre ellos:

Sistemas de archivos. Bases de datos. Servidores de Directorio. Infraestructura virtual. Dispositivos de red. Dispositivos de seguridad.

Seguridad en Bases de Datos

Los principales criterios para elegir una herramienta SCM son:

Contenga una gran cantidad de librerías de políticas de seguridad y normativas

Soporte para múltiples plataformas

Soporte para validación de integración de archivos de configuración (FIM)

Gestión y control de excepciones Soporte para ambientes distribuidos

Integración con terceros (SIEM (Gestión de eventos e información de seguridad))

Capacidad de políticas múltiples Guías de remedición propuestas Fácil de utilizar y administrar

Seguridad en Bases de Datos

Las herramientas SCM más utilizadas en el mercado son:

Tripwire

Visual SourceSafe de Microsoft

Integrity Control de McAfee

Perforce

Seguridad en Bases de Datos

Cifrado y ofuscamiento:

Una de las formas más efectivas de proteger la información en las bases de datos, tanto para datos en tránsito como en reposo es la alteración de la información, pero guardando su contexto de tal forma

que pueda ser utilizada en ambientes de testing

Esta tecnología en seguridad de bases de datos se conoce como “ofuscamiento” o Data Masking

La mayoría de los fabricantes de soluciones para bases de datos tienen soluciones para esta problemática.

Seguridad en Bases de Datos

Operación de una solución de Data Masking

Seguridad en Bases de Datos

Cifrado de datos en reposo:

Esta solución permite almacenar los datos en la base de datos cifrados, de tal forma de protegerlos de extravío o robo.

Generalmente se utiliza esquema de cifrado asimétrico, par generar una única llave de cifrado, que sólo es

compartida, bajo un esquema de confianza, con los usuarios autorizados a acceder la data.

El cliente lee el dato cifrado, lo transporta de esta forma y lo descifra la aplicación cliente que accede a la base de datos

Seguridad en Bases de Datos

Cifrado de datos en reposo

Seguridad en Bases de Datos • Cifrado de datos en reposo Diplomado de Seguridad de la

Seguridad en Bases de Datos

Resumen:

Hardening en Bases de Datos

Hardening para Oracle Hardening para SQL Server

Vulnerabilidades específicas de Bases de Datos

Security Tracker Security Focus

Modelo de Defensa en Profundidad (Defense in depth)

Capas de defensa Modelo de conexión de 3 capas

Seguridad en Bases de Datos

Resumen (cont.):

Vulnerabilidades en Bases de Datos

Esquema de vulnerabilidades Herramientas de análisis

Control de acceso en Bases de Datos

SQL Slammer Modelo de control de acceso

Inspección profunda (DPI)

Soluciones DAM Soluciones SCM Cifrado y ofuscamiento

DIPLOMADO DE

SEGURIDAD DE LA INFORMACION

Seguridad en aplicaciones web

Escuela de Informática y

Telecomunicaciones

Pregunta 1

Para obtener información de la transacción en una base de datos, una solución DAM (Database Activity Monitoring) debe ser capaz de revisar la capa de

________________

del modelo TCP/IP

A.- Red. B.- Transporte. C.- Aplicación. D.- Sesión.

Pregunta 2

¿Cuál de los siguientes ítems NO es revisado por una herramienta SCM (Software Configuration Management)?

A.- Tamaño de los archivos. B.- Permisos de los archivos. C.- Existencia de un archivo. D.- Sector físico donde se graba el archivo.

Pregunta 3

¿Por qué razón una herramienta SCM podría detectar la presencia de un troyano?

A.- Porque maneja patrones de virus al igual que un AV Análisis de vulnerabilidades (Vulnerability Assesment).

B.- Porque revisa la memoria y detecta cuando el troyano se instala ahí. C.- Porque puede detectar cambios en los archivos y registros del servidor. D.- Porque revisa el tráfico de red y detecta anomalías.

Pregunta 4

¿Cuál de los siguientes procesos es el más critico en un base de datos, según el modelo de seguridad?

A.- Parchado. B.- Perfilamiento. C.- Control de acceso. D.- Alta disponibilidad.

Pregunta 5

La inspección profunda (deep inspection) de una transacción a una base de datos, permite:

A.- Obtener solamente el dato del usuario. B.- Obtener solamente la hora de conexión.

C.- Obtener solamente la consulta y no así la respuesta de la transacción.

D.- Leer toda la transacción.

Pregunta 6

La solución de monitoreo de transacciones a bases de datos se denomina.

A.- WAF (Web Application Firewall). B.- Firewall. C.- DAM. D.- IPS (Sistema de Prevención de Intrusos).

Pregunta 7

¿Cuál de las siguientes NO es una función de una solución de monitoreo de bases de datos?

A.- Controlar el acceso de los usuarios a la base de datos. B.- Leer la respuesta a una consulta a la base de datos. C.- Comparar las transacciones con la política de seguridad. D.- Respaldar la información de la base de datos.

Pregunta 8

La auditoría de configuraciones de un servidor permite:

A.- Detectar virus en los servidores.

B.- Respaldar las configuraciones críticas de un servidor.

C.- Detectar los cambios no autorizados en los archivos de configuración.

D.- Detectar servicios no autorizados en un servidor.

Pregunta 9

¿Que tipo de dispositivos puede auditar una solucion SCM (Secure Configuration Manager)?

I.- bases de datos. II.- servidores de archivos. III.- dispositivos de comunicaciones. A.- Solo I y II. B.- Solo II y III. C.- Solo I y III. D.-I, II y III.

Pregunta 10

El ofuscamiento en una base de datos, como control de seguridad permite:

A.- Cifrar la data considerada confidencial. B.- Ocultar toda la información de la base de datos. C.- Alterar los datos de la información confidencial. D.- Respaldar la información crítica de la base de datos.

Pregunta 11

¿Cuál de los siguientes ítems NO es revisado por una herramienta SCM (Software Configuration Management)?

A.- Tamaño de los archivos. B.- Permisos de los archivos. C.- Existencia de un archivo. D.- Sector físico donde se graba el archivo.

Seguridad en aplicaciones web

Introducción:

Para nadie es una sorpresa saber que las aplicaciones web están creciendo a tasas muy altas.

Seguridad en aplicaciones web

Crecimiento de Internet

Seguridad en aplicaciones web • Crecimiento de Internet Fuente: Netcraft 2015 (escala logarítmica ) Diplomado de

Fuente: Netcraft 2015 (escala logarítmica)

Seguridad en aplicaciones web

Crecimiento de Internet en Chile

Seguridad en aplicaciones web • Crecimiento de Internet en Chile Fuente: NIC Chile 2016 Diplomado de

Fuente: NIC Chile 2016

Diplomado de Seguridad de la Información

216

Seguridad en aplicaciones web

Tipos de aplicaciones:

La tendencia del uso de las aplicaciones web ha cambiado profunda y rápidamente, migrando hacia aplicaciones de mayor interacción de usuarios, entre las principales se cuentan

Aplicaciones financieras (bancos) Compras por Internet Redes sociales

Hoy en día es mucha mas la información sensible que se maneja en las aplicaciones web lo cual plantea un importante desafío para la Seguridad de la Información

Seguridad en aplicaciones web

Componentes de una aplicación web

Seguridad en aplicaciones web • Componentes de una aplicación web Diplomado de Seguridad de la Información

Seguridad en aplicaciones web

Principales amenazas:

Las principales amenazas existentes hoy en las aplicaciones web son:

Robo de información Perdida de información Denegación de servicio Defacement Suplantación de usuario Fraude Secuestro de sesión Manipulación de parámetros