Capitulo I Escenarios Seguridad de Redes

Principales Conceptos
Justificacin de Seguridad de Redes

Confidencialidad. Integridad y Disponibilidad de Datos

Riesgos, escenarios, vulnerabilidades y contramedidas. Metodologia de un ataque estructurado. Modelo de seguridad (McCumber) Polticas de Seguridad, estndars y directrices. Seleccin e implementacin de Contramedidas. Diseo de una red de seguridad

Que es la Seguridad de redes?

National Security Telecommunications and Information Systems Security Committee (NSTISSC)
La seguridad de redes es la proteccin a la informacin de sistemas y al hardware en uso, almacenamiento y transmisin de esta informacin. La seguridad de redes busca garantizar la confidencialidad, integridad y disponibilidad de los datos o recursos.

Necesidad de Seguridad de redes

Iniciativas de seguridad de redes y especialistas en seguridad de redes se puede encontrar tanto en el ambito privado como pblico, grandes y pequeas compaas y organizaciones. La necesidad de seguridad de la red y su crecimiento se deben a varios factores:
1.
2. 3. 4.

5.
6.

Conectividad Internet 7x24 Incremento en Cyber Crimen Impacto sobre Individuos y Negocios Legislacin Vigente Proliferacin de amenazas Sofistificacin de amenzas

Cyber Crimen

Fraude / Estafas Robo de Identidad Pornografa Infantil El robo de los Servicios de Telecomunicaciones El vandalismo electrnico, Terrorismo y Extorsin

WASHINGTON, D.C. An estimated 3.6 million households, or about 3 percent of all households in the nation, learned that they had been the victim of at least one type of identity theft during a six-month period in 2004, according to the Justice Departments Bureau of Justice Statistics

Impacto al Negocio
1. 2. 3. 4. 5. 6. 7. 8.

Disminucin de la productividad La prdida de ingresos por ventas Liberacin no autorizada de datos sensibles Amenaza de secretos comerciales o frmulas Compromiso de la reputacin y la confianza Prdida de las comunicaciones Amenaza para los sistemas ambientales y de seguridad Prdida de tiempo

Proliferacin de Amenazas
Desde el 2001, el Centro de Proteccin de Infraestructura Nacional del FBI dio a conocer un documento que resume las Ten Most Critical Internet Security Vulnerabilities. Desde entonces, miles de organizaciones confan en esta lista a priorizar sus esfuerzos para que puedan cerrar los agujeros ms peligrosos primero.

El panorama de las amenazas es muy dinmico, que a su vez hace que sea necesario adoptar nuevas medidas de seguridad.
Slo en los ltimos aos, los tipos de vulnerabilidades que estn siendo explotados son muy diferentes de los que estn siendo explotados en el pasado.

Sofistificacin de Amenazas

Objetivos de la Informacin Programa de Seguridad

Confidencialidad
Evitar el acceso a la informacin sensible , los recursos y procesos

por parte de personas no autorizadas

Integridad
La proteccin de sistemas de informacin o procesos de una

intencional o accidental modificacin

Disponibilidad
La garanta de que los sistemas y los datos son accesibles por los

usuarios autorizados cuando sea necesario

Modelo Informacin de Seguridad

Estado de Informacin

Informacin Propiedades de Seguridad

Medidas de seguridad
NSTISSI 4011: National Training Standard for Information Systems Security Professionals, 1994

Informacin Propiedades de Seguridad

Confidencialidad

Integridad

Disponibilidad

Estado de la Informacin
Procesamiento Almacenamiento Transmisin

Medidas de Seguridad

Polticas y Procedimientos Tecnologa Educacin, Capacitacin y Sensibilizacin

Modelo Informacin de Seguridad

Procesamiento Almacenamiento Transmision Confidencialidad Integridad Disponibilidad

Polticas y procedimientos Tecnologa Educacin, Capacitacin y Sensibilizacin

Gestin de Riesgos
Anlisis de Riesgos
Amenazas Vulnerabilidades Contramedidas

Gestin de Riesgos
Parches y Actualizaciones
Control de Acceso

Proteccin Password

Anti Virus

Firewall

Desarrollar una poltica de seguridad

El proceso de evaluar y cuantificar el riesgo; adems del

establecimiento de un nivel aceptable de riesgo para la organizacin El riesgo puede ser mitigado, pero no puede ser eliminado

Evaluacin de Riesgos
La evaluacin de riesgos consiste en determinar la probabilidad

de que una vulnerabilidad es un riesgo para la organizacin

Cada vulnerabilidad se pueden clasificar por la escala

A veces, el clculo de las prdidas anticipadas puede ser til para

determinar el impacto de una vulnerabilidad

Identificacin de Activos
Categoras de activos
Informacin de activos (personas, hardware, software, sistemas) Apoyo a los activos (instalaciones, servicios pblicos, servicios) Activos Crticos (puede ser cualquiera de los mencionados anteriormente)

Atributos de los activos necesitan ser compilados Determinar el valor relativo de cada elemento
Cuntos ingresos / ganancias que se generan? Cul es el costo para reemplazarlo? Qu tan difcil sera para reemplazar? Qu tan rpido puede ser reemplazado?

Seguridad de Redes Amenazas

Un Potencial dao a la informacin o los sistemas. Un ejemplo: La capacidad de lograr acceso no autorizado a los sistemas o la informacin con el fin de cometer un fraude, intromisin a la red, espionaje industrial, robo de identidad, o simplemente interrumpir el sistema de red. Puede haber puntos dbiles que aumentan enormemente la probabilidad de que una amenaza se manifiesta Las amenazas pueden incluir falla de equipos, los ataques estructurados, los desastres naturales, ataques fsicos, robos, virus y muchos otros eventos potenciales que origine un peligro o dao

Tipos de amenza de red

Suplantacin de identidad Espionaje Denegacin de servicio ( DoS) Paquete de reproduccin

(Packet replay) Man-in-the-middle Paquete modificado

Vulnerabilidades
Una vulnerabilidad de la red es una debilidad en un sistema, la tecnologa, producto o las polticas de seguridad. En el entorno actual, realizar un seguimiento de varias organizaciones, organizar y poner a prueba estas vulnerabilidades El gobierno de EE.UU. tiene un contrato con una organizacin para el seguimiento y publicacin de vulnerabilidades de la red Cada vulnerabilidad se da una identificacin y pueden ser revisados por profesionales de la seguridad de la red a travs de Internet. common vulnerability exposure (CVE) publica las formas de prevenir la vulnerabilidad de ser atacado

Evaluacin de vulnerabilidad
Es muy importante que los especialistas en seguridad de la

red de comprender la importancia de la evaluacin de la vulnerabilidad Una evaluacin de la vulnerabilidad es una instantnea de la seguridad actual de la organizacin en su estado actual Vulnerability scanners son herramientas disponibles para su descarga gratuita a Internet y como productos comerciales.

Estas herramientas comparan el activo contra una base de datos de vulnerabilidades conocidas y producie un informe de ese descubrimiento que expone la vulnerabilidad y determinar su severidad

Trminos Gestin de Riesgos

Vulnerabilidad - un sistema, red o dispositivo de

debilidad Amenaza - peligro potencial que entraa una vulnerabilidad Agente de la amenaza - la entidad que identifica una vulnerabilidad y la usa para atacar a la vctima Riesgo - probabilidad de que un agente de la amenaza de tomar ventaja de una vulnerabilidad y el impacto sobre las empresas correspondientes La exposicin - potencialidad de experimentar prdidas por un elemento peligroso Contramedidas - puesto en marcha para mitigar el riesgo potencial

Comprendiendo el Riesgo
Da lugar a

Agente de Amenaza Amenza

Explota Conduce a

Vulnerabilidad

Riesgo
Afecta directamente a

Activos

Puede daar

La exposicin Causas Contramedida

Puede ser salvaguardado por

Anlisis Cualitativo del Riesgo

Exposure values prioritize the order for addressing risks

Un nuevo gusano
Web site desconfigurado Sist. proteccin contra incendios

Anlisis Cuantitativo del Riesgo

Factor de exposicin (EF)
% de la prdida de un activo

Expectativa de prdida individual(SLE)

EF x Valor de los activos en $

Tasa anualizada del suceso (ARO)

Un nmero que representa la frecuencia de ocurrencia de una

amenaza

Ejemplo:

0.0 = nunca

1000 = Ocurre muy a menudo

Expectativa de prdida anualizada(ALE)

valor monetario derivado de : SLE x ARO

Gestin de Riesgos
Aceptables
Reconocer que existe el riesgo, no se aplican contramedidas

Transferibles
Trasladar la responsabilidad por el riesgo a un tercero (proveedor de Internet, Seguros, etc)

RIESGO
Mitigados
Cambiar exposicin de activos de riesgo (aplicacin de contramedidas)

Evitables
Eliminar exposicin de activos de riesgo, o eliminar el activo total

Tipos de Ataque
Ataque Estructurado Vamos frente a los Hackers que estn ms motivados y tcnicamente competente. Estas personas saben las vulnerabilidades del sistema y se puede entender y desarrollar un cdigo de explotacin y scripts. Ellos entienden, desarrollan y utilizar sofisticadas tcnicas de hacking para penetrar en las empresas desprevenidas. Estos grupos se han involucrado en el fraude mayor y casos de robo. Ataque No Estructurado Consta de las personas en su mayora sin experiencia con herramientas de hacking fcilmente disponibles, tales como scripts de shell y crackers de contraseas. Aunque las amenazas no estructuradas slo se ejecutan con la intencin de probar y desafiar las habilidades de un hacker , sin embargo puede hacer un dao grave a una empresa.

Tipos de Ataque
Ataque Externos Iniciado por individuos o grupos de trabajo fuera de la empresa. Ellos no tienen acceso autorizado a los sistemas informticos o la red. Recogen la informacin con el fin de abrirse camino en una red, principalmente a travs de Internet o servidores de acceso telefnico de acceso. Ataques Internos Ms comunes y peligrosas. Ataques internos se inician por una persona que ha tenido autorizado el acceso a la red. Segn el FBI, el acceso interno y la cuenta de uso indebido de 60 a 80 por ciento de los incidentes notificados. Estos ataques a menudo se remontan a empleados descontentos.

Tipos de Ataque
Ataque Pasivo

Escuche a las contraseas del sistema La liberacin de contenido del mensaje De anlisis de trfico Captura de datos

Ataque Activo

Intento de entrar a la cuenta de otra persona Wire Taps(escucha o monitoreo por un tercero) La denegacin de los servicios (DoS) Enmascaramiento Mensaje modificado

Ataques de Red Especficos

ARP Attack Brute Force Attack ( fuerza bruta) Worms Inundaciones Sniffers Spoofing(Suplantacin de identidad) Redirected Attacks Tunneling Attack Covert Channels

Denial-of-Service ( DoS )
Comnmente utilizado contra las tiendas

de la informacin como los sitios web Simple y por lo general muy eficaz No plantea una amenaza directa a los datos sensibles El atacante trata de evitar que un servicio sea utilizado y de hacer que el servicio no est disponible para los usuarios legtimos Los atacantes suelen ir a objetivos de gran visibilidad, tales como el servidor web, o para los objetivos de infraestructura, como los routers y los enlaces de red

Uh-Oh. Another DoS attack!

Denial-of-Service ( DoS )
Si un servidor de correo es capaz de recibir y entregar 10 mensajes por segundo, un atacante simplemente enva 20 mensajes por segundo. El trfico legtimo (as como gran parte del trfico malicioso) se abandonar, o el servidor de correo puede dejar de responder por completo.
Este tipo de ataque puede ser usado como una diversin, mientras que otro ataque es realizado para comprometer los sistemas. Adems, los administradores tienden a cometer errores durante un ataque y, posiblemente, cambiar la configuracin que crea una nueva vulnerabilidad que puede explotarse.

Tipos de ataques DoS

Buffer Overflow Attacks SYN Flood Attack Teardrop Attacks Smurf Attack DNS Attacks Email Attacks Infraestructura Fsica Virus/Worms Packet Sniffing Attacks

DoS - Buffer Overflow Attacks

El ataque de DoS ms comn enva ms trfico a un dispositivo que el programa prev que alguien podra enviar Buffer Overflow.

DoS - SYN Flood Attack

Cuando las sesiones se inician entre un cliente y el

servidor en una red, un espacio muy pequeo existe para manejar "hand-shaking" , intercambio de mensajes que se establece un perodo de sesiones. Los paquetes se establecen en perodos de sesiones incluyen un campo SYN que identifica el orden de secuencia Para hacer este tipo de ataque, un atacante puede enviar muchos paquetes, por lo general de una direccin falsa, asegurando as que no se enva una respuesta.

DoS - SYN Flood Attack

DoS - Teardrop Attack

Explota la forma en que el Protocolo de

Internet (IP) requiere un paquete que es demasiado grande para el para ser enviado al proximo router y se divide en fragmentos. OFFSET al inicio del primer paquete que permite re establecer el paquete original por parte del equipo que lo recibe. un valor confuso en el segundo fragmento o posterior. Si el sistema operativo de recepcin no puede hacer frente a esta fragmentacin, a continuacin, puede provocar que el sistema se bloquee.

El paquete fragmentado identifica una

En el ataque de teardrop , un atacante pone

DoS - Smurf Attack

El atacante enva una solicitud de ping IP a un sitio de la red. Las solicitudes de paquetes de ping, se transmitir a un nmero de hosts dentro de la red local. El paquete tambin indica que la solicitud es originado en un sitio diferente. El resultado es muchas respuestas de inundacin de ping al host vctima.

Si el flujo es lo suficientemente grande entonces el host vctima ya no ser capaz de responder.

DoS - DNS Attacks

Tiene como objetivo redirigir a los

usuarios a los servidores web potencialmente maliciosos al cambiar los registros utilizados para convertir los nombres de dominio a direcciones IP.

Se utiliza como una forma ms de

defraudadores en lnea para instalar el software de publicidad agresiva, o adware, en los ordenadores de las vctimas.

DoS - Email Attacks

Cuando se utiliza Microsoft Outlook, un script lee la libreta de

direcciones y enva una copia de s mismo a todas las personas que figuran all, por lo tanto propagarse por Internet.
La secuencia de comandos a continuacin, modifica el registro

del equipo para que el script se ejecuta de nuevo cuando se reinicie.

DoS Infraestructura Fsica

Alguien puede simplemente cortar los cables! Afortunadamente

esto puede ser rpidamente solucionado.

Otros ataques de la infraestructura fsica puede afectan a los

sistemas de energa y destruccin efectiva de las computadoras o sitios de almacenamiento ( Data Center).

DoS - Virus/Worms
Los virus o gusanos, se replican a travs de una red de

varias maneras, puede ser visto como ataque de denegacin de servicio.

Ancho de banda disponibles pueden llegar a saturarse ya

que el virus / gusano intenta replicarse a si mismo y encontrar nuevas vctimas.

Ataque de Cdigo Malicioso

Los ataques de cdigos maliciosos se

refiere a los virus, gusanos, troyanos, bombas lgicas, y otros tipos de software no invitados tambin ataca a los sistemas que son ms sofisticados

Ataca computadoras personales, pero

Los costos reales atribuibles a la

presencia de cdigos maliciosos han dado como resultado principalmente interrupciones del sistema y el tiempo personal por la reparacin de los sistemas

Los costos pueden ser significativos

Packet Sniffing Attacks

La mayora de las LAN son redes Ethernet En las redes basadas en Ethernet, cualquier mquina en la red puede ver el

trfico de cada mquina en esa red.

Programas Sniffer aprovechar esta caracterstica, el control todo el trfico y la

captura de los primeros 128 bytes o menos de cada perodo de sesiones sin encriptar FTP o Telnet (la parte que contiene las contraseas de usuario)

Ataques de Fuga de Informacin

Los atacantes a veces pueden capturar datos sin tener que

utilizar directamente los ordenadores. Explota servicios de Internet que tienen la intencin de dar informacin Induce estos servicios para revelar informacin adicional o para dar a conocer a personas no autorizadas Muchos de los servicios diseados para su uso en redes de rea local no tiene la seguridad necesaria para un uso seguro a travs de Internet As, estos servicios se convierten en los medios de fuga de informacin importante

Ataque Metodologico
Etapas - La metodologa de los ataques de red est bien documentado e investigado. Esta investigacin ha dado lugar a una mayor comprensin de los ataques de red y una especializacin de los ingenieros en lo que respecta a probar y proteger las redes contra los ataques (Certified Ethical Hackers / probadores de penetracin) Herramientas - Scannes de penetracin tienen una variedad de herramientas elctricas que ahora estn disponibles en el mercado. Tambin puede tener abierta herramientas de cdigo libre. Esta proliferacin de herramientas de gran alcance se ha incrementado la amenaza de ataque por el hecho de que incluso los principiantes tcnicos ahora pueden lanzar ataques sofisticados.

Etapas de un ataque
Los atacantes de hoy tienen una gran cantidad de objetivos.

De hecho, su mayor desafo es la seleccin de las vctimas ms vulnerables. Esto ha resultado en ataques muy bien planeado y estructurado. Estos ataques tienen en comn las etapas logsticas y estratgicas. Estas etapas incluyen:

Reconocimiento
Escaneo (direcciones, puertos, vulnerabilidades) El acceso Mantenimiento del Acceso Cubriendo Pistas

Herramientas del atacante

Las siguientes son algunas de las herramientas ms

populares utilizados por los atacantes de la red:

Port/address scanners (AngryIP, nmap , Nessus)

Enumeration tools (dumpreg, netview and netuser)

Vulnerability scanners (Meta Sploit, Core Impact, ISS) Packet Sniffers (Snort, Wire Shark, Air Magnet) Root kits

Cryptographic cracking tools (Cain, WepCrack)

Malicious codes (worms, Trojan horse, time bombs) System hijack tools (netcat, MetaSploit, Core Impact)

Contramedida
DMZ/NAT

IDS/IPS
Filtros de Contenido/NAC Firewalls/proxy services Authentication/Authorization/Accounting Self-defending networks Policies, procedures, standards guidelines Capacitacin y toma de conciencia.

Seleccin Contramedida
Clculo Costo /beneficio
(ALE antes de aplicar salvaguarda) (ALE despus de la implementacin de salvaguardia) (costo anual de salvaguardia) = valor de salvaguardar a la empresa

Evaluacin de los costos de una contramedida

Los costos del producto Diseo / gastos de planificacin Costes de ejecucin Medio Ambiente modificaciones Compatibilidad Los requisitos de mantenimiento

- Requisitos de pruebas

- Reparacin, reemplazo o actualizacin de los costos

- De funcionamiento y gastos de apoyo - Efectos de la productividad

Administracin de la Seguridad
Polticas
Dominios de la Red de Seguridad
1. Evaluacin de Riesgos

Normas
Directrices Procedimientos Directrices

2.
3. 4. 5. 6. 7. 8. 9. 10. 11. 12.

Poltica de Seguridad
Organizacin de Seguridad de la Informacin Gestin de Activos De Recursos Humanos de Seguridad Seguridad fsica y ambiental Comunicaciones y Gestin de Operaciones Control de Acceso Adquisicin de Sistemas de Informacin, Desarrollo y Mantenimiento Seguridad de la Informacin de Gestin de Incidentes Gestin de la Continuidad de Negocios Cumplimiento

Qu es una Poltica de Seguridad?

Un documento que indica cmo una organizacin planes

para proteger sus activos de informacin tangible e intangible

Gestin de las instrucciones que indica un curso de accin, un

principio rector, o procedimiento adecuado De estados de Alto Nivel que ofrecen orientacin a los trabajadores que deben tomar decisiones presentes y futuras
Generalizada requisitos que deben ser por escrito y comunicados a los

dems

Cambio Directrices
Construido en el programa de seguridad de la

informacin Los eventos que nos hacen replantear las polticas, procedimientos, normas y directrices
Los cambios en la tecnologa Los cambios en el personal de alto nivel Adquisicin de otras compaas

Nuevos productos, servicios o lneas de negocio

Documentos de Apoyo a las polticas

Normas - dictan los requisitos especficos mnimos en

nuestras polticas Directrices - sugieren que la mejor manera de lograr ciertas tareas Procedimientos - proporcionar un mtodo por el cual se lleva a cabo una poltica (las instrucciones)

Ejemplo: La Poltica
Todos los usuarios deben tener un ID de usuario y una

contrasea nicos que se ajusta a la norma contrasea empresa Los usuarios no deben compartir su contrasea con nadie, independientemente del ttulo o la posicin Las contraseas no deben ser almacenados en forma escrita o cualquier otra forma legible Si se sospecha de un compromiso, debe ser reportado a la mesa de ayuda y una nueva contrasea debe ser solicitada

Ejemplo: Las Normas

Mnimo de 8 caracteres alfanumricos en maysculas

y minsculas Debe incluir un carcter especial Se debe cambiar cada 30 das Historia de contraseas, de 24 contraseas anteriores se utilizarn para asegurar las contraseas no son reutilizados

Ejemplo: Las Directrices

Tome una frase

Y A 'em a las 7!
Convertir a una contrasea segura Up & atm @ 7!

Para crear contraseas de otros de esta frase, cambiar

el nmero, mueva el smbolo, o cambiar el signo de puntuacion

Ejemplo: el procedimiento
Procedimiento para cambiar una contrasea

Pulse las teclas Control, Alt, Suprimir para abrir el registro en el cuadro de dilogo Haga clic en el "cambio de contrasea" botn Ingrese su contrasea actual en el cuadro superior ... ...

Elementos de Poltica
Declaracin de Autoridad - una introduccin a las polticas

de seguridad de la informacin Poltica de Ttulos - informacin logstica (dominio de seguridad, nmero de pliza, nombre de la organizacin, fecha de vigencia, el autor, la documentacin de control de cambios o el nmero) Objetivos de la poltica - Estados lo que estamos tratando de lograr mediante la aplicacin de la poltica Poltica de Declaracin de Propsito - Por qu se adopt la poltica, y cmo se llevar a cabo

Elementos de Potica, 2
Poltica Pblico - Estados que la poltica est destinada a Declaracin sobre la poltica - como la poltica se llevar a

cabo (las reglas) Excepciones Poltica - situaciones especiales llamadas para la excepcin a la norma, aceptadas las normas Clusula de aplicacin de polticas - las consecuencias de la violacin Definiciones de datos personales - un "Glosario" para garantizar que la audiencia entiende la poltica

Ejemplo Potica
Subseccin Poltica Objetivos 6.1 PERSONAL DE SEGURIDAD 6.1.3 Acuerdos de confidencialidad Propsito Audiencia Poltica

Control de cambios#: 1.0 Aprobado por: SMH

Confidencialidad de los datos de la organizacin es un principio clave de nuestro programa de seguridad de la informacin. En apoyo de este objetivo, ABC Co requerir firma de acuerdos de confidencialidad de todos los usuarios autorizados de sistemas de informacin. Este acuerdo se ajustar a todos los reglamentos estatales, los requisitos reglamentarios, la unin y. El propsito de esta poltica es para proteger los activos de la organizacin con claridad informar al personal de sus funciones y responsabilidades de mantener la informacin confidencial de la organizacin. ABC confidencialidad Co poltica de acuerdos se aplica por igual a todas las personas que concede los privilegios de acceso a los recursos ABC Co informacin Esta poltica requiere que el personal de firmar un acuerdo de poltica de confidencialidad antes de ser concedido el acceso a cualquier informacin confidencial o sistemas. Los acuerdos sern revisados con el agente cuando se produzca algn cambio en el empleo o contrato, o antes de salir de la organizacin. Los acuerdos sern proporcionados a los empleados por el Departamento de Recursos Humanos A discrecin del Oficial de Seguridad de la Informacin, a los terceros cuyos contratos incluyen una clusula de confidencialidad pueden quedar exentos de la firma de acuerdos individuales confidencialidad. La violacin de esta poltica puede resultar en acciones disciplinarias, que pueden incluir el despido de los trabajadores y los temporales, la terminacin de las relaciones laborales en el caso de los contratistas o consultores, o el despido de los pasantes y voluntarios. Adems, los individuos estn sujetos a acciones civiles y penales.

Excepciones

Acciones Disciplinarias

Network Security Organizations

www.infosyssec.com

www.sans.org
www.cisecurity.org www.cert.org www.isc2.org www.first.org www.infragard.net www.mitre.org www.cnss.gov

SANS

CERT

ISC2
Informacin de certificaciones de seguridad ofrecidos por la(ISC)2

Systems Security Certified Practitioner (SCCP)

Certification and Accreditation Professional (CAP) Certified Secure Software Lifecycle Professional (CSSLP) Certified Information Systems Security Professional (CISSP)

Trabajos sobre seguridad de redes

Network Security Administrator
Risk Analyst VPN Specialist

Penetration Tester
Network Perimeter/Firewall Specialist Security Response IDS/IPS Engineer