Diplomado de Seguridad Informtica

Ramiro Jos Pimentel Carrillo E-Mail: ramiro.pimentel@gmail.com

MECANISMOS DE SEGURIDAD INFORMATICA

Generalidades: Seguridad Informtica

DEFINICIN: Es una disciplina que se ocupa de disear los procedimientos, mtodos y tcnicas destinados a conseguir el aseguramiento de la Infraestructura Tecnolgica.
El propsito de la Seguridad Informtica, es proveer las condiciones seguras y confiables, para el procesamiento de los datos. La Seguridad Informtica, no es un productoes un proceso que permite minimizar el Riesgo Informtico.

Generalidades: Seguridad Informtica

La Seguridad Informtica, cuenta con (4) principios bsicos que son:
La Confidencialidad: Los componentes del sistema sern accesibles slo por aquellos usuarios autorizados. Ver Anexo La Integridad: Los componentes del sistema slo pueden ser creados y modificados por los usuarios autorizados.

Generalidades: Seguridad Informtica

Disponibilidad: Los usuarios deben tener disponibles todos los componentes del sistema cuando as lo deseen.

NO Repudio: Servicio de seguridad que asegura que el origen de una informacin no puede rechazar su transmisin o su contenido, y/o que el receptor de una informacin no puede negar su recepcin o su contenido

Generalidades: Seguridad Informtica

La Seguridad Fsica

Es la proteccin del sistema ante las amenazas fsicas, incendios, inundaciones, edificios, cables, control de accesos de personas, etc.

La Seguridad Lgica Es la proteccin de la informacin en su propio medio, mediante el enmascaramiento de la misma usando tcnicas de criptografa.

SI: Riesgos Informticos

Seguridad Fsica Hacker Derechos de Autor DoS: Denegacin de Servicios

Virus Robo de Identidad Desastres Naturales

Data Center de una EMPRESA

SI: Riesgos Informticos

Delitos contra la confidencialidad, la integridad y la disponibilidad de los datos y sistemas informticos: Acceso ilcito a sistemas informticos. Interceptacin ilcita de datos informticos. Interferencia en el funcionamiento de un sistema informtico.

Abuso de dispositivos que faciliten la comisin de delitos.

Delitos relacionados con el contenido: Produccin, oferta, difusin, adquisicin de contenidos de

pornografa infantil, por medio de un sistema informtico o

posesin de dichos contenidos en un sistema informtico o medio de almacenamiento de datos. Ver video.

SI: Sistema de Gestin de la Seguridad Informtica

Sistema de Gestin de la Seguridad de la Informacin

La seguridad de la informacin, segn ISO 27001, consiste en la preservacin de su confidencialidad, integridad y disponibilidad, as como de los sistemas implicados en su tratamiento, dentro de una organizacin. La Infraestructura Tecnolgica de las organizaciones estn expuestos a un nmero cada vez ms elevado de amenazas que, aprovechando cualquiera de las vulnerabilidades existentes, pueden someter a activos crticos de informacin a diversas formas de fraude, espionaje, sabotaje o vandalismo.

SI: Sistema de Gestin de la Seguridad Informtica

Fuente: http://www.iso27000.es/sgsi.html#section2b

SI: Sistema de Gestin de la Seguridad Informtica

El Sistema de Gestin de la Seguridad de la Informacin (SGSI)
ayuda a establecer estas polticas y procedimientos en relacin a los objetivos de negocio de la organizacin, con objeto de mantener un nivel de exposicin siempre menor al nivel de riesgo informtico que la propia organizacin ha decidido asumir.

SI: Sistema de Gestin de la Seguridad Informtica

Para establecer y gestionar un Sistema de Gestin de la Seguridad de
la Informacin en base a ISO 27001, se utiliza el ciclo continuo PDCA, tradicional en los sistemas de gestin de la calidad.
Plan (planificar): establecer

el SGSI.
Do (hacer): implementar y utilizar el SGSI. Check (verificar): monitorizar

y revisar el SGSI.
Act
Fuente: http://www.iso27000.es/sgsi.html#section2b

(actuar):

mantener

mejorar el SGSI.

SI: Sistema de Gestin de la Seguridad Informtica

1. Definir el alcance del SGSI 2. Definir una poltica de seguridad 3. Definir una metodologa de evaluacin del riesgo Identificar los riesgos Analizar y evaluar los riesgos Estimar los niveles de riesgo Identificar y evaluar las distintas opciones de tratamiento de los riesgos: Aceptar el riesgo Evitar el riesgo Mitigar el riesgo Transferir el riesgo a terceros 4. Seleccionar los objetivos de control y los controles del Anexo A de ISO 27001 para el tratamiento del riesgo que cumplan con los requerimientos identificados en el proceso de evaluacin del riesgo

SI: Gestin del Riesgo

Fuente: http://www.iso27000.es/sgsi.html#section2d

SI: Sistema de Gestin de la Seguridad Informtica

Las normas publicadas bajo la serie ISO 27000 son estndares

alineados con el conjunto de normas publicadas por ISO

(International Organization for Standardization) e IEC (International Electrotechnical Commission). En relacin a la seguridad de la informacin, gestin del riesgo, continuidad de negocio y materias relacionadas, se incluye a continuacin una seleccin de los estndares y mtodos de

referencia ms conocidos y relevantes:

SI: Diseo bsico de mecanismo de seguridad, Firewall

WIN XP: IP:10.0.0.2 Marcara de 255.0.0.0

WAN Firewall: IP: 10.0.0.1 Mascara de Subred 255.0.0.0 LAN Firewall: IP 192.168.0.15 Mascara de Subred: 255.255.255.0

WIN XP: IP:192.168.0.20 Marcara de 255.255.255.0

SI: Diseo bsico de mecanismo de seguridad, Firewall

WIN XP: IP:10.10.x.X Marcara de 255.255.0.0

WAN Firewall: IP: 10.10.X.X Mascara de Subred 255.255.0.0 LAN Firewall: IP 192.168.X.1 Mascara de Subred: 255.255.255.0

Servidor WEB, puerto 40000 Servidor FTP, puerto 50000

WINDOWS XP: IP:192.16.X.2 Marcara de 255.255.0.0

WINDOWS SERVER 2003: IP:172.16.1.1 Marcara de 255.255.0.0

SI: Mecanismos de Seguridad Informtica

1. No existe una solucin que satisfaga todos los objetivos , o libre de todas las amenazas a la Infraestructura Tecnolgica. 2. Solo una combinacin de ellos es capaz de lograr un alto nivel de efectividad aunque nunca es total. Educacin sobre la Seguridad Informtica

Estrategias de seguridad fsica.

Firewall (cortafuego) Servicios de control de acceso Redes Privadas Virtuales Criptografa Sistemas de deteccin de intruso Vlan

SI: Educacin sobre la Seguridad Informtica

Que deben saber los usuarios: 1. Uso correcto de los usuarios y contraseas 2. Uso correcto de los servicios de red publicados. 3. Como proteger sus intereses. 4. Como identificar si su cuenta ha sido utilizada. 5. Como reportar las anomalas

SI: Firewall (Cortafuego)

Un firewall es simplemente un filtro que controla todas las comunicaciones que pasan de una red a la otra y en funcin de lo que sea, permite o deniega su paso. Para tomar una decisin firewall hace un examen exhaustivo para llegar a la conclusin mas acertada.

SI: Firewall (Cortafuego)

Un poco de historia.

La tecnologa de los firewall surgi a finales de 1980, cuando Internet era una tecnologa bastante nueva en cuanto a su uso global y la conectividad. Los predecesores de los firewall fueron los routers, que mantenan a las redes separadas unas de otras
El primer documento publicado para la tecnologa firewall data de 1988, cuando el (DEC) desarroll los sistemas de filtro conocidos como cortafuegos de filtrado de paquetes. Este sistema, fue la primera generacin de lo que se convertira en una caracterstica ms tcnica y evolucionada de la seguridad de Internet.

SI: Firewall Filtrado de Paquetes

El filtrado de paquetes acta mediante la inspeccin de los paquetes (que representan la unidad bsica de transferencia de datos entre los host en Internet). Si un paquete coincide con el conjunto de reglas del filtro, el paquete se elimina o se rechaza. Este tipo de filtrado de paquetes no presta atencin a si el paquete es parte de una secuencia existente de trfico. Cortafuegos De Aplicacin. En su lugar, se filtra cada paquete basndose nicamente en la informacin contenida en el paquete en s. El filtrado de paquetes llevado a cabo por un firewall que acta en las tres primeras capas del modelo de referencia OSI, lo que significa que todo el trabajo o realiza entre la red y las capas fsicas.

SI: Firewall de Aplicacin

Son aquellos que actan sobre la capa de aplicacin del modelo OSI. La clave de un cortafuegos de aplicacin es que puede entender ciertas aplicaciones y protocolos (por ejemplo: protocolo de transferencia de ficheros, o navegacin web), y permite detectar si un protocolo no deseado se col a travs de un puerto no estndar o si se est abusando de un protocolo de forma perjudicial. Cortafuegos De Aplicacin.
Un cortafuegos de aplicacin es mucho ms seguro y fiable cuando se compara con un cortafuegos de filtrado de paquetes, ya que repercute en las siete capas del modelo de referencia OSI. En esencia es similar a un cortafuegos de filtrado de paquetes, con la diferencia de que tambin podemos filtrar el contenido del paquete.

SI: Firewall de Aplicacin

Cortafuegos De Aplicacin.

SI: Cortafuegos De Estado

Durante 1989 y 1990, desarrollaron la tercera generacin de servidores de seguridad. Esta tercera generacin de cortafuegos tiene en cuenta adems la colocacin de cada paquete individual dentro de una serie de paquetes. Esta tecnologa se conoce generalmente como la inspeccin de estado de paquetes.
Este tipo de firewall, mantiene De Aplicacin. Cortafuegos registros de todas las conexiones que pasan a travs de la estrategia de seguridad, siendo capaz de determinar si un paquete indica el inicio de una nueva conexin, es parte de una conexin existente, o es un paquete errneo. Este tipo de cortafuegos pueden ayudar a prevenir ataques contra conexiones en curso o ciertos ataques de denegacin de servicio.

SI: DMZ, Zona Desmilitarizada

Por lo general, la poltica de seguridad para la DMZ es la siguiente:
El trfico de la red externa a la DMZ est autorizado El trfico de la red externa a la red interna est prohibido El trfico de la red interna a la DMZ est autorizado El trfico de la red interna a la red externa est autorizado El trfico de la DMZ a la red interna est prohibido El trfico de la DMZ a la red externa est denegado

SI: DMZ, Zona Desmilitarizada

SI: Mecanismos de Seguridad Informtica

1. No existe una solucin que satisfaga todos los objetivos , o libre de todas las amenazas a la Infraestructura Tecnolgica. 2. Solo una combinacin de ellos es capaz de lograr un alto nivel de efectividad aunque nunca es total. Educacin sobre la Seguridad Informtica Estrategias de seguridad fsica. Firewall (cortafuego)

Servicios de control de acceso

Redes Privadas Virtuales Criptografa

Sistemas de deteccin de intruso

Vlan

Generalidades: Seguridad Informtica

La Seguridad Fsica

Es la proteccin del sistema ante las amenazas fsicas, incendios, inundaciones, edificios, cables, control de accesos de personas, etc.

La Seguridad Lgica Es la proteccin de la informacin en su propio medio, mediante el enmascaramiento de la misma usando tcnicas de criptografa.

SI: Servicios de control de acceso

Se deben definir y documentar los requerimientos de negocio para el
control de accesos. Las reglas y derechos del control de accesos, para cada usuario o grupo de usuarios, deben ser claramente establecidos en una declaracin de poltica de accesos. Se debe otorgar a los usuarios y proveedores de servicio una clara enunciacin de los requerimientos comerciales que debern satisfacer los controles de acceso

SI: Servicios de control de acceso

La poltica debe contemplar lo siguiente: Requerimientos de seguridad de cada una de las aplicaciones comerciales. Identificacin de toda informacin relacionada con las

aplicaciones comerciales.
Las polticas de divulgacin y autorizacin de informacin, por ej., el principio de necesidad de conocer, y los niveles de seguridad y la clasificacin de la informacin. Coherencia entre las polticas de control de acceso y de clasificacin de informacin de los diferentes sistemas y redes.

SI: Servicios de control de acceso

La poltica debe contemplar lo siguiente: Legislacin aplicable y obligaciones contractuales con respecto a la proteccin del acceso a datos y servicios . Perfiles de acceso de usuarios estndar, comunes a cada categora de puestos de trabajo. Administracin de derechos de acceso en un ambiente distribuido y de red que reconozcan todos los tipos de conexiones disponibles.

SI: Servicios de control de acceso

Autenticacin: Identifica al usuario o a la mquina que trata de acceder a los recursos, protegidos o no. Autorizacin: Dota al usuario de privilegios para poder efectuar ciertas operaciones con los datos o componentes de la Infraestructura Tecnolgica protegidos.

Autentica y Autoriza Autentica y Autoriza

Autentica y Autoriza ?

SI: Mecanismos de Autenticacin

Clasificacin Basados en algo que se sabe Basados en algo que se es Basadas en algo que se tiene Posible combinar los mtodos Autenticacin de dos factores Basado en algo que se sabe y algo que se es Basado en algo que se sabe y algo que se tiene Basado en algo que se es y algo que se tiene Basado en algo que se es y algo que se sabe otras combinaciones Autenticacin de tres factores Basado en algo que se es, algo se sabe y algo que se tiene

SI: Servicios de control de acceso

Basados en algo que se sabe Consiste en el uso de trminos, secuencias alfanumricas o frases que permitan identificar al individuo Los password o claves es el mtodo mas comn. Es un mtodo de autenticacin dbil, porque es descifrable a travs de tcnicas de cracking de contraseas o deducible a travs de ingeniera social.

SI: Servicios de control de acceso

Basados en algo que se tiene Usar un objeto fsico que llevan consigo y que de alguna forma comprueba la identidad del portador. Las tarjetas de acceso son las prendas tpicas Cada tarjeta tiene un nmero nico. El sistema tiene una lista de las tarjetas autorizadas.
Tarjetas Inteligentes: contiene un circuito integrado el cual le permite la ejecucin de comandos para lograr fines de identificacin y control Tarjetas Inteligentes MIFARE: En este tipo de tarjetas no es necesario el contacto fsico con el lector, sino que la identificacin se realiza a distancia, mediante la utilizacin de radiofrecuencias.

SI: Servicios de control de acceso

Basado en algo que eres Se realiza una medicin fsica y se compara con un perfil almacenado con anterioridad, tcnica conocida como biomtrica. Esta se basa en la medicin de algn rasgo de una persona viva. Existen dos formas para usar biomtricos: 1. Compara las medidas de un individuo con un perfil especfico almacenado. 2. Buscar un perfil en particular en una gran base de datos.

Basado en algo que eres

SI: Servicios de control de acceso

Algo que tienes y Algo que tu eres

Algo que sabes y Algo que tu eres

SI: Redes Privadas Virtuales

Es una red privada que se extiende, mediante un proceso de encapsulacin y en su caso de CIFRADO, de los paquetes de datos a distintos puntos remotos mediante el uso de unas infraestructuras pblicas de transporte. Los paquetes de datos de la red privada viajan por medio de un "tnel" definido en la red pblica.

SI: Redes Privadas Virtuales

SI: Redes Privadas Virtuales

Las VPN pueden enlazar oficinas corporativas, con usuarios mviles o con oficinas remotas. La seguridad lgica proporcionada por las VPNs , esta basada en los siguientes mecanismos preventivos de la seguridad lgica:

1. Autenticacin

2. Cifrado de los paquetes

SI: Redes Privadas Virtuales

PPTP L2TP / L2TPv3 Protocolos: Ipsec SSL/TLS

SI: Redes Privadas Virtuales

Point-to-Point Tunneling Protocol fue desarrollado por ingenieros de Ascend Communications, U.S. Robotics, 3Com Corporation, Microsoft, y ECI Telematics para proveer entre usuarios de acceso remoto y servidores de red una red privada virtual. PPTP, encapsula datagramas de cualquier protocolo de red en datagramas IP, que luego son tratados como cualquier otro paquete IP. La gran ventaja de este tipo de encapsulamiento es que cualquier protocolo puede ser ruteado a travs de una red IP, como Internet.

SI: Redes Privadas Virtuales

PPTP La autenticacin remota de clientes PPTP es realizada empleando los mismos mtodos de autenticacin utilizados por cualquier otro tipo de servidor de acceso remoto (RAS). En el caso de Microsoft, la autenticacin utilizada para el acceso a los RAS soporta los protocolos CHAP, MSCHAP, y PAP. La tcnica de encapsulamiento de PPTP se basa en el protocolo Generic Routing Encapsulation (GRE), que puede ser usado para realizar tneles para protocolos a travs de Internet.

SI: Redes Privadas Virtuales

L2TP Fue diseado por un grupo de trabajo de IETF como el heredero aparente de los protocolos PPTP y L2F, creado para corregir las deficiencias de estos protocolos y establecerse como un estndar aprobado por el IETF (RFC 2661).

L2TP utiliza PPP para proporcionar acceso telefnico que puede ser dirigido a travs de un tnel por Internet hasta un punto determinado. L2TP define su propio protocolo de establecimiento de tneles, basado en L2F. El transporte de L2TP est definido para una gran variedad de tipos de paquete, incluyendo X.25, Frame Relay y ATM.

SI: Redes Privadas Virtuales

Ipsec Es una extensin al protocolo IP que proporciona seguridad a IP y a los protocolos de capas superiores. Fue desarrollado para el nuevo estndar IPv6 y despus fue portado a IPv4. La arquitectura IPsec se describe en el RFC2401. IPsec emplea dos protocolos diferentes - AH y ESP - para asegurarla autenticacin, integridad y confidencialidad de la comunicacin. Puede proteger el datagrama IP completo o slo los protocolos de capas superiores. Estos modos se denominan, respectivamente, modo tnel y modo transporte. 1. En modo tnel el datagrama IP se encapsula completamente dentro de un nuevo datagrama IP que emplea el protocolo IPsec. 2. En modo transporte IPsec slo maneja la carga del datagrama IP, insertndose la cabecera IPsec entre la cabecera IP y la cabecera del protocolo de capas superiores

SI: Redes Privadas Virtuales

SSL/TLS Secure Sockets Layer, Protocolo de Capa de Conexin Segura (SSL) y Transport Layer Security Seguridad de la Capa de Transporte (TLS), su sucesor, son protocolos criptogrficos que proporcionan comunicaciones seguras por una red, comnmente Internet. SSL proporciona autenticacin y privacidad de la informacin entre extremos sobre Internet mediante el uso de criptografa. Fue diseado con el objeto de proveer privacidad y confiabilidad a la comunicacin entre dos aplicaciones