Sesion 29 09 Aseguramiento

ASEGURAMIENTODEFENSA EN PROFUNDIDAD

Page 2

Si todo lo que se encuentra entre su información mas sensible y un atacante

es una sola capa de seguridad, el trabajo del atacante se hace sencillo.

Ninguna medida de seguridad; y en un concepto mas amplio, ninguna capa de

seguridad, es infalible contra los ataques. Al agregar capas independientes a la

arquitectura de seguridad se aumenta el tiempo que puede tomar el atacar un

sitio, lo que permitiría en ultimas detectar las intrusiones y los ataques justo

cuando estos ocurren.

La filosofía “Defense in Depth” establece que: “los sistemas de seguridad de

un sistema deben ser entendidos y contenidos dentro de capas, cada una

independiente de la anterior de forma funcional y conceptual”.

Seguridad Fisica

Seguridad Lógica

DATOS


Page 3

El reto Hoy: Interconectividad e Interoperabilidad


Page 6

CONCEPTOS DE DISEÑO

• EVALUACIÓN DE RIESGOS

• ESTRATEGIAS Y ESTÁNDARES

• ZONAS SEGURAS

• ENDURECIMIENTO DE SISTEMAS

– Endurecimiento del Sistema Operacional

– Eliminar servicios no requeridos

– Actualización periódica de parches (sistemas

operativos y aplicaciones)

– Desactivar protocolos no encriptados

– Protección contra virus

– Renombrar cuentas de administrador

– Cambiar passwords por defecto

– Desactivar cuentas de invitado

– No permitir anonimus FTP

– Incrementar tamaño de archivos de log

– Permisos sobre directorios, archivos y otros

objetos

– Desplegar mensajes de alerta

– Implementar el concepto de menor privilegio

– Separación de funciones

COMPONENTES

• ENRUTADORES

• SWITCHES

• FIREWALLS

• ACCESO REMOTO – VPN

• ACCESO REMOTO – DIAL UP

• REDES INALAMBRICAS

• DETECCIÓN DE INTRUSIONES

• EVALUACION DE LA SEGURIDAD DE LA

RED

• Análisis de vulnerabilidades


Page 7

Medidas de control segmentadas en capas de protección

– Aplica medidas de control en cada capa de cada componente que interactúa en una solución, desde la capa de perímetro hasta la capa de datos

– Reduce la posibilidad de un único punto de vulnerabilidades cuando el sistema es atacado

Reducción del riesgo por:

– Análisis de vulnerabilidades presentes en los sistemas

– Análisis de amenazas presentes que pueden tomar ventaja de esas vulnerabilidades

– Implementación de los medidas de control apropiadas en cada capa


NARRACIONDEF.wmv

Page 8

Políticas, procedimientos, Concientización

Seguridad Física

Perímetro

Red

Servidor

Aplicación

Datos


Page 9

Como minimizar la superficie de ataque?

Aseguramiento del SO, Autenticación,

Actualizaciones de OS, Detector de Intrusos

local

Muros de fuego, Control de acceso de

CuarentenaGuardas, Cerrojos, Dispositivos de monitoreo

Segmentación de Red, IPSec, Detector de

Intrusos dered

Aseguramiento de App, Antivirus

Listas de Acceso, Encriptación

Documentación de Seguridad, Educación

al Usuario

Políticas, Procedimientos, Concientización

Seguridad Física

Perímetro

Red Interna

Servidor

Aplicación

Datos


defensa en profundidad MACRO1.xlsm

Page 10


HOMOLOGACIÓNCALIFICACIÓN

Ciclo de vida

del sistemaPuntos de

control

Clasificación de

los incidentes

Clasificación de

los impactos

Escala de

gravedad

Page 11


Page 12

ESCALA DE GRAVEDAD SSI

Ciclo de vida del

sistema

Componentes de

seguridadElementos de

medida

Escala de

gravedad

Clasificación de los

impactos


riesgos


incidentes

Puntos de

control

CALIFICACIÓN HOMOLOGACIÓN


Page 13

Caso.Empresa XYZ


Page 14

servidor web

puerto (80)servidor

correo

puerto (25)

cliente

servidor

base datos

servidor

archivos

router

cliente

Interface

WAN 2.0.02

Interface DMZ

192.168.2.1/24

firewall

switchInterface LAN

192.168.1.1/24IDS/IPS

Empresa XYZ

RED ACTUAL


Page 15

servidor web

puerto (80)servidor

correo

puerto (25)

cliente

servidor

base

datos

servidor

archivo

s

router

cliente

Interface

WAN 2.0.02

Interface

DMZ

192.168.2.1/2

4

firewall

switchInterface LAN

192.168.1.1/2

4 IDS/IPS

Empresa XYZ

DEFENSA EN PROFUNDIDAD

ACTUAL

FIREWALL

IDS/IPS

SEGMENTACION DE RED

DMZ

ANTIVIRUS

ANTI SPYWERE

POLITICAS DE CAMBIO DE

CONTRASEÑAS FRECUENTES


Page 16

servidor

web puerto

(80)

servidor

correo

puerto (25)

cliente

servid

or

base

datos

servid

or

archiv

os

router

cliente

Interface

WAN

2.0.02

Interface

DMZ

192.168.2.1/

24

firewall

switchInterface

LAN

192.168.1.1/

24

IDS/IP

S

ANALISIS DE LAS

DEBILIDADES DEL

MODELO DEFENSA

INSTALADO

ACTUALMENTE EN LA

EMPRESA XYZ


Page 17

servidor web

puerto (80)servidor

correo

puerto (25)

cliente

servidor

base datos

servidor

archivos

router

cliente

Interface

WAN 2.0.02

Interface DMZ

192.168.2.1/24

firewall

switchInterface LAN

192.168.1.1/24IDS/IPS

Empresa XYZ

RED ACTUAL


Page 18

servidor

web puerto

(80)

servidor

correo

puerto (25)

cliente

servidor base

datos

servidor

archivos

router

cliente

Interface WAN

2.0.02

Interface DMZ

192.168.2.1/24

firewall

switchInterface LAN

192.168.1.1/24IDS/IPS

Empresa XYZ

ATAQUE # 1


Page 19

servidor

web puerto

(80)

servidor

correo

puerto (25)

cliente

servidor

base

datos

servidor

archivos

router

cliente

Interface

WAN

2.0.02

Interface DMZ

192.168.2.1/24

IDS/IPS

firewall

switch

Interface LAN

192.168.1.1/24

Empresa XYZ

SOLUCION # 1


Page 20

servidor

web puerto

(80)

servidor

correo

puerto (25)

cliente

servidor

base

datos

servidor

archivos

router

cliente

Interface WAN

2.0.02

Interface DMZ

192.168.2.1/24

IDS/IP

S

firewall

switchInterface LAN

192.168.1.1/24

Empresa XYZ

ATAQUE # 2


Page 21

servidor web

puerto (80)servidor

correo

puerto (25)

firewall

cliente

servidor

base datos

servidor

archivos

switch router

cliente

Interface

WAN 2.0.02

Interface LAN

192.168.1.1/24

Interface DMZ

192.168.2.1/2

4

firewall

IDS/IPS

IDS/IPS

Empresa XYZ

SOLUCION # 2


Page 22

servidor web

puerto (80)servidor

correo

puerto (25)

firewall

cliente

servidor

base

datos

servidor

archivos

switch router

cliente

Interface WAN

2.0.02

Interface LAN

192.168.1.1/24

Interface DMZ

192.168.2.1/24

firewall

IDS/IPS

IDS/IP

S

Empresa XYZ

ATAQUE # 3


Page 23

servidor

web puerto

(80)servidor

correo

puerto (25)

cliente

servidor

base

datos

servidor

archivos

router

cliente

Interface WAN

2.0.02

Interface DMZ

192.168.2.1/24

firewall

switch

Interface LAN

192.168.1.1/24

firewall

Empresa XYZ

IDS/IPS

IDS/IP

S

SOLUCION # 3


Page 24

servidor

web puerto

(80)servidor

correo

puerto (25)

cliente

servidor

base

datos

servidor

archivos

router

cliente

Interface WAN

2.0.02

Interface DMZ

192.168.2.1/24

servidor

SMTP

antivirus

antispam

firewall

switch

Interface LAN

192.168.1.1/24

firewall

Empresa XYZ

IDS/IPS

IDS/IPS

SOLUCION # 3


Page 25

servidor web

puerto (80)servidor

correo

puerto (25)

cliente

servidor

base

datos

servidor

archivos

router

cliente

Interface WAN

2.0.02

Interface DMZ

192.168.2.1/24

servidor

SMTP

antivirus

antispam

firewall

switch

Interface LAN

192.168.1.1/24

firewall

Empresa XYZ

IDS/IPS

IDS/IPS

SOLUCION # 3


Page 26

servidor web

puerto (80)servidor

correo

puerto (25)

cliente

servidor

base

datos

servidor

archivos

router

cliente

Interface WAN

2.0.02

Interface DMZ

192.168.2.1/24

servidor

SMTP

antivirus

antispam

firewall

switchInterface LAN

192.168.1.1/24

firewall

Empresa XYZ

IDS/IP

S

IDS/IPS

Sniffer

ATAQUE # 4


Page 27

servidor web

puerto (80)servidor

correo

puerto (25)

cliente

servidor

base

datos

servidor

archivos

router

cliente

Interface WAN

2.0.02

Interface DMZ

192.168.2.1/2

4

servidor

SMTP

antivirus

antispam

firewall

switch

Interface LAN

192.168.1.1/24

firewall

red cifrada

Empresa XYZ

IDS/IPS

IDS/IPS

SOLUCION # 4


Page 28

servidor web

puerto (80)servidor

correo

puerto (25)

cliente

servidor

base

datos

servidor

archivos

router

cliente

Interface

WAN 2.0.02

Interface DMZ

192.168.2.1/2

4

servidor

SMTP

antivirus

antispam

firewall

switchInterface LAN

192.168.1.1/24

firewall

red cifrada

Empresa XYZ

IDS/IPS

IDS/IPS

ATAQUE # 5


Page 29

servidor web

puerto (80)servidor

correo

puerto (25)

cliente

servidor

base datos

cifrada

servidor

archivos

router

cliente

Interface

WAN 2.0.02

Interface DMZ

192.168.2.1/24

servidor

SMTP

antivirus

antispam

firewall

switch

Interface LAN

192.168.1.1/24

firewall

red cifrada

Empresa XYZ

IDS/IP

S

IDS/IPS

SOLUCION # 5


Page 30

servidor web

puerto (80)servidor

correo

puerto (25)

cliente

servidor

base datos

cifrada

servidor

archivos

router

cliente

Interface

WAN 2.0.02

Interface DMZ

192.168.2.1/2

4

servidor

SMTP

antivirus

antispam

firewall

switchInterface LAN

192.168.1.1/2

4

firewall

red cifrada

IDS/IPS

IDS/IPS

DEFENSA EN PROFUNDIDAD ACTUAL

2 FIREWALL

2 IDS/IPS

SEGMENTACION DE RED

DMZ

ANTIVIRUS

ANTI SPYWERE

POLITICAS DE CAMBIO DE CONTRASEÑAS FRECUENTES

SERVIDOR SMTP

TRANSMISION EN RED CIFRADA

BASE DATOS CIFRADA

Empresa XYZ


Page 31

MODELO DE DEFENSA EN PROFUNDIDAD

DATOS

APLICACION

HOST

RED

INTERNA

PERIMETRO

SEGURIDAD FISICA

Políticas, Procedimientos

Concientizaciòn

MCAFEE:

• Endpoint Encryption

• E-Business Server

CISCO:

• SECURE IDS

•IDS Server 4.1PANDA: TruPrevent

McAfee: Host Intrusion

Prevention

3Com: TippingPoint IPS

5000E

McAfee:IPS de red

IntruShieldPanda:GateDefender

Performa 8200

Cisco:ASA 5505 Firewall

Edition Bundle


Page 32

CAPA MARCAS PRODUCTOS SW HW CARACTERISTICAS COSTOS

DATOS McAfee Endpoint

Encryption

X Protege dispositivos y datos 99.63€

E-Business

Server X

99.34€


Page 33


APLICACION CISCO Secure IDS X Cisco Secure IDS es un sistema

basado en la red de detección de

intrusos que utiliza una base de

datos de la firma para activar

alarmas de intrusión.

U$ 1500

IDS

Server

IDS Server

4.1

X IDS Server 4.1 es un servidor de

base de datos de acceso que

permite a las aplicaciones Java y.

NET para conectarse a bases de

datos.

con Visual J #.

U$ 950


Page 34


HOST PANDA TruPrevent

X

Las Tecnologías Antivirus

TruPrevent cubren esta necesidad de

seguridad adicional, protegiendo su

red corporativa tanto de virus

desconocidos como de intrusos.

€ 42,43

McAfee Host

Intrusion

Prevention

X

McAfee Host Intrusion Prevention le

ayuda a proteger de manera

preventiva los servidores frentes a las

amenazas complejas instigadas por

los ciberdelincuentes.

€ 40,43


Page 35


RED

INTERNA

3Com TippingPoint

IPS 5000E

X El IPS TippingPoint funciona en

línea en la red, bloqueando el tráfico

malicioso y no deseado, mientras

permite pasar sin interrupciones al

tráfico "bueno".

€ 65.000

McAfee IPS de red

IntruShield

X X IntruShield supera las normas

Telcordia y es el único dispositivo

IPS que cuenta con la certificación

Multi-Gigabit IPS del NSS Group;

€74.551


Page 36


PERIMETRO Panda GateDefender

Performa

8200

X Es una robusta solución de alto rendimiento,

hardware de seguridad que actúa desde el

perímetro o puerta de entrada a la red.

15.167 €

Cisco ASA 5505

Firewall

Edition

Bundle

X Prevención de intrusos y servicios de

seguridad en contenidos, y todo en un

flexible y modular producto.

Seguridad de Contenido y

Software Anti-X en su empresa

Soluciones Worry Free de Trend Micro

Soluciones de VPN SSL/IPsec

Soluciones de Firewall

2409 €


Documents

Sesion 29 09 Aseguramiento