130 likes | 301 Views
Seguridad y Alta Disponibilidad. Nombre: Adrián de la Torre López. Políticas de defensa en profundidad. Defensa perimetral Interacción entre zona perimetral (DMZ) y zona externa
E N D
Seguridad y Alta Disponibilidad Nombre: Adrián de la Torre López
Políticas de defensa en profundidad • Defensa perimetral • Interacción entre zona perimetral (DMZ) y zona externa Una DMZ se define como una red local que se ubica entre la red interna de una organización y una red externa como Internet. Su objetivo es el de permitir conexiones desde la red interna hacia la red externa, pero limitar las conexiones desde el exterior hacia el interior. Los equipos de la DMZ no pueden conectar con la red interna, por lo tanto para cualquier intruso de una red exterior que se tope con una DMZ, lo que consigue es acceder a un “callejón sin salida”. Por lo general la DMZ se utiliza para ofrecer servicios que necesitan ser accedidos desde el exterior, como ser servidores de email, servidores web, FTP o DNS. Adrián de la Torre López
Políticas de defensa en profundidad • Monitorización del perímetro: detección y prevención de intrusos Un perímetro de la red es el límite entre la esfera privada y de gestión local y propiedad de una red y el público en general y proveedores gestionados lado de la red y su monitorización es imprescindible para llevar un buen control de cualquier equipo que quiera entrar en la red de la empresa. Para monitorizar la red perimetral y prevenir la intrusión hay varios métodos como pueden ser: • Examinar los ficheros log • Utilizar cortafuegos • Revisar archivos binarios del sistema • Revisar las cuentas de usuario y los intentos de entrar en el sistema. Adrián de la Torre López
Políticas de defensa en profundidad • Sistema de detección de intrusos Es un componente más dentro del modelo de seguridad de una organización. Consiste en detectar actividades inapropiadas, incorrectas o anómala desde el exterior-interior de un sistema informático. Los sistemas de detección de intrusos pueden clasificarse, según su función y comportamiento en: • Host-Based IDS: operan en un host para detectar actividad maliciosa en el mismo. • Network-Based IDS: operan sobre los flujos de información intercambiados en una red. • Knowledge-Based IDS: sistemas basados en Conocimiento. • Behavior-Based IDS: sistemas basados en Comportamiento. Se asume que una intrusión puede ser detectada observando una desviación respecto del comportamiento normal o esperado de un usuario en el sistema. La idea central de este tipo de detección es el hecho de que la actividad intrusiva es un conjunto de actividades anómalas. Si alguien consigue entrar de forma ilegal al sistema, no actuará como un usuario comprometido; su comportamiento se alejará del de un usuario normal. Características de IDS Cualquier sistema de detección de intrusos debería, sea cual sea el mecanismo en que esté basado, debería contar con las siguientes características: • Debe funcionar continuamente sin supervisión humana. El sistema debe ser lo suficientemente fiable para poder ser ejecutado en background dentro del equipo que está siendo observado. Sin embargo, no debe ser una "caja negra" (debe ser examinable desde el exterior). • Debe ser tolerante a fallos en el sentido de que debe ser capaz de sobrevivir a una caída del sistema. • En relación con el punto anterior, debe ser resistente a perturbaciones. El sistema puede monitorizarse a sí mismo para asegurarse de que no ha sido perturbado. • Debe imponer mínima sobrecarga sobre el sistema. Un sistema que relentiza la máquina, simplemente no será utilizado. • Debe observar desviaciones sobre el comportamiento estándar. Adrián de la Torre López
Políticas de defensa en profundidad Fortalezas de IDS • Suministra información muy interesante sobre el tráfico malicioso de la red. • Poder de reacción para prevenir el daño. • Es una herramienta útil como arma de seguridad de la red. • Ayuda a identificar de dónde provienen los ataques que se sufren. • Recoge evidencias que pueden ser usadas para identificar intrusos. • Es una "cámara" de seguridad y una "alarma" contra ladrones. • Alerta al personal de seguridad de que alguien está tratando de entrar. • Protege contra la invasión de la red. • Es una parte de la infraestructura para la estrategia global de defensa. • La posibilidad de detectar intrusiones desconocidas e imprevistas. Pueden incluso contribuir (parcialmente) al descubrimiento automático de esos nuevos ataques. • Son menos dependientes de los mecanismos específicos de cada sistema operativo. • Menor costo de implementación y mantenimiento al ubicarse en puntos estratégicos de la red. • Dificulta el trabajo del intruso de eliminar sus huellas. Debilidades de IDS • No existe un parche para la mayoría de bugs de seguridad. • Se producen falsas alarmas. • Se producen fallos en las alarmas. • No es sustituto para un buen Firewall, una auditoría de seguridad regular y una fuerte y estricta política de seguridad. Adrián de la Torre López
Políticas de defensa en profundidad • El Sistema de Prevención de Intrusos (IPS) Es una tecnología de software más hardware que ejerce el control de acceso en una red de computadores para protegerla de ataques y abusos. La tecnología de Prevención de Intrusos (IPS) es considerada por algunos como una extensión de los Sistemas de Detección de Intrusos (IDS), pero en realidad es otro tipo de control de acceso, más cercano a las tecnologías de firewalls; incluso los complementan. Los Sistemas de Detección de Intrusos (IPS) tienen como ventaja respecto de los Firewalls tradicionales (Cortafuegos), el que toman decisiones de control de acceso basados en los contenidos del tráfico, en lugar deshacerlo basados en direcciones o puertos IP. La diferencia entre un Sistema de Prevención de Intrusos(IPS) frente a un Sistema de Detección de Intrusos (IDS), es que este último es reactivo pues alerta al administrador ante la detección de un posible intruso (usuario que activó algún sensor), mientras que un Sistema de Prevención de Intrusos (IPS) es proactivo, pues establece políticas de seguridad para proteger el equipo o la red de un posible ataque. Los Sistemas de Prevención de Intrusos (IPS) tienen varias formas de detectar el tráfico malicioso: • Detección Basada en Firmas, como lo hace un antivirus, • Detección Basada en Políticas: el IPS requiere que se declaren muy específicamente las políticas de seguridad, • Detección Basada en Anomalías: funciona con el patrón de comportamiento normal de tráfico ( el cual se obtiene de mediciones reales de tráfico o es predeterminado por el administrador de la red), el cual es comparado permanentemente con el tráfico en línea, enviando una alarma cuando el tráfico real varía mucho con respecto del patrón normal, y • Detección HoneyPot (Jarra de Miel): funciona usando un equipo que se configura para que llame la atención de los hackers, de forma que estos ataquen el equipo y dejen evidencia de sus formas de acción, con lo cual posteriormente se pueden implementar políticas de seguridad. Adrián de la Torre López
Políticas de defensa en profundidad • Defensa interna • Interacción entre zona perimetral (DMZ) y zonas de seguridad interna) El objetivo de una DMZ es que las conexiones desde la red interna y la externa a la DMZ estén permitidas, mientras que las conexiones desde la DMZ sólo se permitan a la red externa , los equipos (hosts) en la DMZ no pueden conectar con la red interna. Esto permite que los equipos (hosts) de la DMZ puedan dar servicios a la red externa a la vez que protegen la red interna en el caso de que intrusos comprometan la seguridad de los equipos (host) situados en la zona desmilitarizada. Para cualquiera de la red externa que quiera conectarse ilegalmente a la red interna, la zona desmilitarizada se convierte en un callejón sin salida. La DMZ se usa habitualmente para ubicar servidores que es necesario que sean accedidos desde fuera, como servidores de e-mail, Web y DNS. • Routers y cortafuegos internos Activar el firewall del router, para permitir o no aplicaciones y conexiones, además de las implementaciones contra ataque que tenga el firewall del router, como es el escaneo de la red interna o ping desde equipos de internet. Activar también uno o varios firewall internos determinados con una política de acceso. Activar logs de acceso y registro de sucesos. Adrián de la Torre López
Políticas de defensa en profundidad • Monitorización interna Cada vez es más necesario disponer de un sistema de alertas en tiempo real que nos indique el estado de nuestros sistemas y comunicaciones. Hay múltiples productos que realizan esta tarea, algunos incluso gratuitos, pero la complejidad de la instalación y el difícil mantenimiento hacen que su implementación sea costosa, y muchas veces incluso quede incompleta. Los objetivos de una infraestructura de monitorización de sistemas informáticos son principalmente la prevención de incidencias y conocer el aprovechamiento de los recursos TIC disponibles. Dado que estos objetivos son importantes en cualquier entidad independientemente de su tamaño, es evidente que toda organización debería contar con su propio sistema de monitorización. Aunque parezca lo contrario, implementar un buen sistema de monitorización no es una tarea tan difícil como exigente en su ejecución. El primer paso consiste en realizar un análisis detallado del sistema informático a monitorizar para, entre otras cosas, detectar los sistemas críticos (tanto máquinas como servicios) para el buen funcionamiento de la entidad y formular políticas de actuación frente a incidencias en dichos sistemas. Por ejemplo, puede ser interesante asegurarse de que una aplicación web corporativa esté siempre en marcha o estar sobre aviso de emergencias en el sistema de correo electrónico de la organización. Aquellos a los que esto les suene a “plan de emergencias frente a desastres” no andan muy desencaminados. A continuación se debe redactar el plan de instalación e integración del nuevo sistema de monitorización en nuestro sistema informático, para lo cual es imprescindible respetar estas tres reglas: 1) Mantener las medidas de seguridad existentes. 2) Minimizar el impacto en el propio sistema a estudiar. 3) Minimizar el número de sistemas intermedios entre el sistema de monitorización y los sistemas críticos. Adrián de la Torre López
Políticas de defensa en profundidad • Conectividad externa (Enlaces dedicados y redes VPN) Los enlaces dedicados son enlaces digitales dedicados de diferente velocidad que permiten la conexión de distintas localidades o sitios del cliente para su uso exclusivo, sin límite de utilización y sin restricción de horarios. Los enlaces dedicados se utilizan para la transmisión bidireccional de voz, datos y video entre 2 ó más puntos asignados por el cliente. Se pueden hacer de diversas tecnologías: • Frame Relay: servicio de infraestructura de fibra óptica • Inalámbrico: implementación de conectividad inalámbrica • Satelital: servicio de infraestructura satelital • VPN: implementación de creación de enlace virtual para mejoramiento de la comunicación Adrián de la Torre López
Políticas de defensa en profundidad Tipos de conexión: • Conexión Punto a punto: Es la conexión directa de una sucursal a otra • Conexión de Punto a Multipunto: Una sucursal es la central y conecta a diversas sucursales • Conexión de Malla: Conexión de sucursales interconectadas entre ella y no dependen de una central Adrián de la Torre López
Políticas de defensa en profundidad Ventajas: • Ahorro de costos en llamadas • Seguridad • Tecnología de Vanguardia • Escalabilidad • Control • Fácil Administración Adrián de la Torre López
Políticas de defensa en profundidad • Cifrados a nivel host El término “Host” se utiliza para hacer referencia a ordenadores y servidores, en este sentido, la capa de protección se enfoca en el aseguramiento del sistema operativo de cada ordenador o servidor, y sus funciones específicas dentro de la red. La seguridad efectiva tanto de clientes como servidores requiere conseguir un equilibrio entre el grado de protección y el nivel de disponibilidad, que a menudo son dos aspectos que se entienden como contrapuestos. Para conseguir el equilibrio entre estos dos requerimientos, las defensas a nivel de host pueden incluir la desactivación de servicios, eliminación de ciertos derechos de usuarios, mantenimiento al día del sistema operativo y el uso de productos antivirus y de firewalls distribuidos. Con el cifrado de extremo a extremo, el proceso se realiza en los dos sistemas finales. El host o terminal fuente cifra los datos. Éstos se transmiten cifrados a través de la red hacia el terminal o host de destino sin ser alterados. El destino y la fuente comparten una clave y por tanto el primero es capaz de descifrar los datos. Este enfoque parece que aseguraría la transmisión contra ataques en los enlaces de comunicación o conmutadores, pero todavía hay una debilidad: Consideremos la siguiente situación: Un host se conecta a una red X.25 de conmutación de paquetes, establece un circuito virtual con otro host, y está preparado para transmitir datos a ese otro host usando cifrado extremo a extremo. Los datos se transmiten por dicha red en forma de paquetes, que consisten en una cabecera y algunos datos de usuario ¿Qué parte de cada paquete cifrará el host? Supongamos que cifra el paquete entero, incluyendo la cabecera. Esto no funcionaría porque, solo el otro host puede realizar el descifrado. En nodo de conmutación de paquetes recibirá un paquete cifrado y será incapaz de leer la cabecera. Por tanto, no será capaz de encaminarlo. El host debe cifrar solamente la porción de datos de usuario y debe dejar la cabecera del paquete en claro, por lo ésta puede ser leída por la red. Así con cifrado extremo a extremo, los datos de usuarios están seguros. No obstante, el patrón de tráfico no lo está porque las cabeceras de los paquetes se transmiten en claro. Adrián de la Torre López
Políticas de defensa en profundidad • Factor Humano Las empresas menosprecian el papel de la conducta humana y se han inclinado a confiar en el hardware y en el software para resolver problemas de seguridad, por lo que necesitan dedicar más tiempo a políticas, procesos y personal antes que a la tecnología si quieren asegurar con éxito las infraestructuras de TI. • Política de seguridad La política de seguridad corporativa se refiere al conjunto de políticas y directrices individuales existentes que permiten dirigir la seguridad y el uso adecuado de tecnología y procesos dentro de la organización. Este área cubre políticas de seguridad de todo tipo, como las destinadas a usuarios, sistemas o datos. • Formación Los empleados deberían recibir formación y ser conscientes de las políticas de seguridad existentes y de cómo la aplicación de esas políticas puede ayudarles en sus actividades diarias. De esta forma no expondrán inadvertidamente a la compañía a posibles riesgos. • Concienciación Los requisitos de seguridad deberían ser entendidos por todas las personas con capacidad de decisión, ya sea en cuestiones de negocio como en cuestiones técnicas, de forma que tanto unos como otros contribuyan a mejorar la seguridad en lugar de pelearse con ella. Llevar a cabo regularmente una evaluación por parte de terceras partes puede ayudar a la compañía a revisar, evaluar e identificar las áreas que necesitan mejorar. • Gestión de incidentes Disponer de unos procedimientos claros y prácticos en la gestión de relaciones con vendors o partners puede evitar que la compañía se exponga a posibles riesgos. Si se aplican también estos procedimientos en los procesos de contratación y terminación de contrato de empleados se puede proteger a la empresa de posibles empleados poco escrupulosos o descontentos. Adrián de la Torre López