2. Antecedentes
Evento:
− Cualquier ocurrencia observable en la red o
sistema
Conexión a servidores (web, e-mail, etc)
Incidente:
− Evento adverso con consecuencias negativas
Negación de servicios
Código malicioso
3. El porqué de la Seguridad
En cualquier sociedad, existe un porcentaje de
gente maliciosa. Se estima que Internet tiene mas
de 1500 millones de usuarios (tomado de
wikipedia). Suponiendo que 1% es el número de
usuarios maliciosos resulta convivimos con mas de
15 millones y evidente que debería preocuparnos.
4. Necesidad de proteger y mantener
en ejecución de los servicios de
una red
Servidores físicos
Servidores de correo, DNS,
Proxy, WWW y servicios
Servidores de mensajería
instantánea y servicios
Servidores de ficheros y
servicios
Datos internos de la empresa
Infraestructura de la red (cables,
hubs, switches, routers, etc.)
5. ¿contra qué lo quieres proteger?
Daños físicos (humo, agua, comida, etc.)
Borrado / modificación de datos (registros
contables, deterioro de tu sitio web, etc.)
Exposición de datos (registros contables, etc.)
Continuidad de servicios (mantenimiento activo de
los servidores de correo/www/ficheros)
Evitar que otros hagan uso ilegal/impropio de tus
servicios (envíos masivos de correos, etc.)
6. ¿cuál es la probabilidad de que se
dé un suceso determinado?
Escaneos de red – puedes apostar que a diario
Ingeniería social – varía, normalmente suelen ser objetivo
la gente más vulnerable
Intrusión física – depende, bastante rara, pero un
empleado hostil con un par de alicates podría causar
mucho daño en un armario de telecomunicaciones
Empleados que venden datos a la competencia – ocurre
La competencia, que alquile a gente especializada para
penetrar activamente en tu red – nadie suele hablar de
esto, pero también ocurre
7. posibles resultados derivados de
un incidente de seguridad
Pérdidas de datos
Perdida directa de beneficios (ventas vía web, el servidor de
ficheros inactivo, etc)
Costes en tiempo de personal
Pérdida de productividad del departamento de informática, así
como de los trabajadores dependientes de su infraestructura
Implicaciones legales (registros médicos, registros contables
de clientes, etc.)
Pérdida de la confianza por parte del cliente
Publicidad por parte de los medios de comunicación
8. ¿como minimizar el impacto de los
incidentes de seguridad?
Con la Preparación y prevención
Software para atenuar el incidente
− Parches de Seguridad
− Respaldos
− Herramientas para el análisis y control de
los recursos de software y hardware
− Prevención contra código malicioso (a
nivel de servidor, de host, clientes)
9. ¿como minimizar el impacto de los
incidentes de seguridad?
Instalar los servicios indispensables con sus
bitácoras activadas
Concientización y capacitación
(alfabetización digital, procedimientos,
políticas)
10. Herramientas para análisis control
de hardware
EVEREST Corporate Edition
− H+S Instalado y con cambios
− Monitoreo y Control Remoto
11. Herramientas para análisis control
de hardware
OCS Inventory Next Generation
− Soporta Multiples SO:
Windows, Linux, *BSD, Sun
Solaris, IBM AIX, HP-UX,
MacOS X.
− Bajo consumo de ancho de
banda (5KB inventario total)
− Administración Web
12. Herramientas de Seguridad
Nessus
− Auditor de Seguridad Remoto. El cliente "The Nessus
Security Scanner" es una herramienta de auditoría de
seguridad. Hace posible evaluar módulos de seguridad
intentando encontrar puntos vulnerables que deberían
ser reparados. Está compuesto por dos partes: un
servidor, y un cliente. El servidor/daemon, "nessusd" se
encarga de los ataques, mientras que el cliente,
"nessus", se ocupa del usuario por medio de una linda
interfaz para X11/GTK+. Este paquete contiene el
cliente para GTK+1.2, que además existe en otras
formas y para otras platarformas.
13. Herramientas de Seguridad
Snort
− un Sniffer/logger de paquetes flexible que detecta ataques.
Snort está basado en la biblioteca `libpcap' y puede ser
usado como un "sistema de detección de intrusiones" (IDS)
de poco peso. Posee un registro basado en reglas y puede
buscar/identificar contenido además de poder ser usado para
detectar una gran variedad de otros ataques e
investigaciones (probes), como buffer overflows, barridos
de puertos indetectables (stealth port scans), ataques CGI,
pruebas de SMB (SMB probes), y mucho más. Otra
característica importante de Snort es la capacidad de alertar
en tiempo real, siendo estas alertas enviadas a syslog, un
archivo de alerta separado o incluso a una computadora con
Windows a través de Samba.
14. Herramientas de Seguridad
Saint
− SAINT (Security Administrator's Integrated Network
Tool, o sea, Herramienta De Red Integrada Del
Adminstrador de Seguridad) es una herramienta de
evaluación de seguridad basada en SATAN. Incluye
escaneos _a_través_ de un firewall, chequeos de
seguridad actualizados de los boletines de CERT Y
CIAC, 4 niveles de severidad (rojo, amarillo, marrón y
verde) y una interfaz HTML rica en características.
15. Herramientas de Seguridad
Whisker
− El excelente escáner de vulnerabilidades en CGI
de Rain.Forest.Puppy.
Internet Security Scanner
− Un escáner de seguridad comercial muy popular
16. Herramientas de Seguridad
Abacus Portsentry
− Este demonio de detección de barrido de puertos tiene
la habilidad de detectar estos barridos (incluyendo
"stealth scans") en las interfaces de red de tu máquina.
Como medida de alarma, puede bloquear al atacante
por medio de "hosts.deny", bloqueando el ruteo hacia
la máquina hostil o por medio de reglas de firewall. Es
parte del set de programas "Abacus".
17. Herramientas de Seguridad
SATAN
Herramienta de Auditoría de Seguridad para
Analizar Redes (Security Auditing Tool for
Analysing Networks). Ésta es una poderosa
herramienta para analizar redes en búsqueda de
vulnerabilidades creada para administradores de
sistema que no pueden estar constantemente
chequeando bugtraq, rootshell y ese tipo de
fuentes de info.
18. Herramientas de Seguridad
SARA (http://www-arc.com/sara/)
El Asistente de Investigación para el Auditor de
Seguridad (Security Auditor's Research Assistant)
es una herramienta de análisis de seguridad de
tercera generación que está basada en el modelo de
SATAN y distribuída bajo una licencia del estilo
de la GNU GPL. Promueve un ambiente
colaborativo y es actualizada periódicamente para
tener en cuenta las últimas amenazas.
19. Herramientas de Seguridad
Ntop
Muestra la utilización de la red al estilo de la
herramienta `top'. Muestra un sumario del uso de
la red de las máquinas en ella en un formato que
recuerda a la utilidad de unix `top'. También puede
ser utilizada en un `web mode', que permite ver los
resultados a través de un explorador de web.
20. Herramientas de Seguridad
NAT (NetBIOS Auditing Tool)
La herramienta de auditoría de NetBIOS está
diseñada para explorar los servicios de NetBIOS
que ofrece un sistema que permiten compartir
archivos. Implementa una enfoque paso a paso
para recolectar información e intenta obtener
acceso a archivos con permisos de sistema
(`system-access') como si se fuera un cliente local
legítimo.
21. Herramientas de Seguridad
Logcheck
−Envía al administrador mensajes por e-mail
informando de las anomalías en los archivos de
registro del sistema. Es un programa creado para
ayudar en el procesamiento de los archivos de
registro de UNIX. Logcheck ayuda a localizar
problemas y violaciones de seguridad en tus
archivos de registro automáticamente y te envía
los resultados por e-mail.
22. Herramientas de Seguridad
LSOF
`List Open FileS'. `Listar archivos arbiertos'. lsof
es una herramienta de diagnóstica específica de
Unix. Lista información acerca de cualquiera
archivo abierto por procesos que están actualmente
corriendo en el sistema.
23. Herramientas de Seguridad
Lids
LIDS es un sistema de detección/defensa de
intrusión en Linux. El objetivo es proteger a
sistemas con Linux para prevenir intrusiones a
nivel de root, deshabilitando algunas llamadas a
sistema en el kener mismo. Ya que a veces vas a
necesitar administrar el sistema, podés deshabilitar
la protección de LIDS.
24. Herramientas de Seguridad
IPTraf
`Interactive Colorful IP LAN Monitor IPTraf' (o
sea el monitor de IP en LAN IPTraf Colorido e
Interactivo) es un monitor de IP en LAN basado en
`ncurses' que genera varias estadísticas de red
incluyendo información sobre TCP, conteos de
UDP, información de ICMP y OSPF; información
sobre Ethernet, estadísticas por nodo, errores de
`checksum' de IP, y demás.
25. Herramientas de Seguridad
GPG/PGP
La "Guardia De Privacidad de GNU". GnuPg es
un reemplazo libre y completo de PGP,
desarrollado en Europa. Al no requerir de IDEA, o
RSA, puede ser usado sin restricciones. GnuPg es
una aplicación compatible con el RFC 2440
(OpenPGP). PGP es el programa de cifrado
famoso que ayuda a asegurar tus datos de curiosos
y otros riesgos.
27. Herramienta de Monitoreo de Red
Arpwatch
Monitorea el trafico ARP (Address Resolution
Protocol). Genera un log de pares IP/MAC y envía
un correo si un nuevo dispositivo es conectado a la
red.
28. Herramientas de Monitoreo de Red
totalmente gratis
Nagios (http://www.nagios.org/)
Just For Fun Network Management System
(JFFNMS - http://www.jffnms.org/)
Big Sister System and Network Monitor
(http://www.ziptie.org/ )
Netdisco (http://netdisco.org/)
29. Herramientas de Monitoreo de Red
6 A Escala Empresarial que han sustituido suite de
HP, IBM, ...
Quest Big Brother (http://www.quest.com/big-
brother/)
GroundWork Monitor Professional (
http://www.groundworkopensource.com)
Hyperic HQ Enterprise (http://www.hyperic.com/)
OpenNMS (http://www.opennms.com)
OpenQRM (http://www.openqrm.org/)
Zenoss Core (http://www.zenoss.com)
30. Herramienta de Monitoreo de Red
Nagios:
Sistema de monitorización de redes de código abierto
ampliamente utilizado, que vigila los equipos (hardware) y
servicios (software) que se especifiquen, alertando cuando el
comportamiento de los mismos no sea el deseado. Entre sus
características principales figuran la monitorización de
servicios de red (SMTP, POP3, HTTP, SNMP...), la
monitorización de los recursos de sistemas hardware (carga del
procesador, uso de los discos, memoria, estado de los
puertos...), independencia de sistemas operativos, posibilidad
de monitorización remota mediante túneles SSL cifrados ó
SSH, y la posibilidad de programar plugins específicos para
nuevos sistemas.
31. Herramienta de Monitoreo de Red
Nagios (cont...):
Se trata de un software que proporciona una gran versatilidad
para consultar prácticamente cualquier parámetro de interés de
un sistema, y genera alertas, que pueden ser recibidas por los
responsables correspondientes mediante (entre otros medios)
correo electrónico y mensajes SMS, cuando estos parámetros
exceden de los márgenes definidos por el administrador de red.
Llamado originalmente Netsaint, nombre que se debió cambiar
por coincidencia con otra marca comercial, fue creado y es
actualmente mantenido por Ethan Galstad, junto con un grupo
de desarrolladores de software que mantienen también varios
complementos.
32. Herramienta de Monitoreo de Red
Cacti
Completa solución WEB de graficado en red,
diseñada para aprovechar el poder de
almacenamiento y la funcionalidad de graficar que
poseen las RRDtool; provee plantillas de gráficos
avanzadas, múltiples métodos para la recopilación
de datos, y manejo de usuarios. Tiene una interfaz
de usuario fácil de usar.
33. Herramientas de Monitoreo de Red
Mas herramientas de monitoreo de red Se pueden
encontrar en:
http://www.slac.stanford.edu/xorg/nmtf/nmtf-
tools.html
34. ¿Por que un problema de
Dirección?
La dirección de una empresa debe aprobar todos
los cambios en la configuración de sus servidores
¿Como puede controlar que la configuración
aprobada no se ha alterado deliberadamente en el
tiempo?
¿Como se entera el RSI y la dirección de la
empresa que ha cambiado la con figuración de sus
servidores?
35. Comprobador de integridad de
archivos y directorios
herramienta que ayuda a administradores y
usuarios de sistemas monitoreando alguna posible
modificación en algún set de archivos.