Upload
rafael-rozo
View
230
Download
0
Embed Size (px)
DESCRIPTION
ASEGURAMIENTO DEFENSA EN PROFUNDIDAD DEFENSA EN PROFUNDIDAD DATOS Seguridad Fisica Seguridad Lógica Page 2 El reto Hoy: Interconectividad e Interoperabilidad DEFENSA EN PROFUNDIDAD Page 3 • ENRUTADORES • REDES INALAMBRICAS • ACCESO REMOTO –VPN • SWITCHES • DETECCIÓN DE INTRUSIONES • ACCESO REMOTO –DIAL UP • FIREWALLS COMPONENTES CONCEPTOS DE DISEÑO • Análisis de vulnerabilidades Page 6
Citation preview
ASEGURAMIENTODEFENSA EN PROFUNDIDAD
Page 2
Si todo lo que se encuentra entre su información mas sensible y un atacante
es una sola capa de seguridad, el trabajo del atacante se hace sencillo.
Ninguna medida de seguridad; y en un concepto mas amplio, ninguna capa de
seguridad, es infalible contra los ataques. Al agregar capas independientes a la
arquitectura de seguridad se aumenta el tiempo que puede tomar el atacar un
sitio, lo que permitiría en ultimas detectar las intrusiones y los ataques justo
cuando estos ocurren.
La filosofía “Defense in Depth” establece que: “los sistemas de seguridad de
un sistema deben ser entendidos y contenidos dentro de capas, cada una
independiente de la anterior de forma funcional y conceptual”.
Seguridad Fisica
Seguridad Lógica
DATOS
ASEGURAMIENTODEFENSA EN PROFUNDIDAD
Page 3
El reto Hoy: Interconectividad e Interoperabilidad
ASEGURAMIENTODEFENSA EN PROFUNDIDAD
Page 6
CONCEPTOS DE DISEÑO
• EVALUACIÓN DE RIESGOS
• ESTRATEGIAS Y ESTÁNDARES
• ZONAS SEGURAS
• ENDURECIMIENTO DE SISTEMAS
– Endurecimiento del Sistema Operacional
– Eliminar servicios no requeridos
– Actualización periódica de parches (sistemas
operativos y aplicaciones)
– Desactivar protocolos no encriptados
– Protección contra virus
– Renombrar cuentas de administrador
– Cambiar passwords por defecto
– Desactivar cuentas de invitado
– No permitir anonimus FTP
– Incrementar tamaño de archivos de log
– Permisos sobre directorios, archivos y otros
objetos
– Desplegar mensajes de alerta
– Implementar el concepto de menor privilegio
– Separación de funciones
COMPONENTES
• ENRUTADORES
• SWITCHES
• FIREWALLS
• ACCESO REMOTO – VPN
• ACCESO REMOTO – DIAL UP
• REDES INALAMBRICAS
• DETECCIÓN DE INTRUSIONES
• EVALUACION DE LA SEGURIDAD DE LA
RED
• Análisis de vulnerabilidades
ASEGURAMIENTODEFENSA EN PROFUNDIDAD
Page 7
Medidas de control segmentadas en capas de protección
– Aplica medidas de control en cada capa de cada componente que interactúa en una solución, desde la capa de perímetro hasta la capa de datos
– Reduce la posibilidad de un único punto de vulnerabilidades cuando el sistema es atacado
Reducción del riesgo por:
– Análisis de vulnerabilidades presentes en los sistemas
– Análisis de amenazas presentes que pueden tomar ventaja de esas vulnerabilidades
– Implementación de los medidas de control apropiadas en cada capa
ASEGURAMIENTODEFENSA EN PROFUNDIDAD
Page 8
Políticas, procedimientos, Concientización
Seguridad Física
Perímetro
Red
Servidor
Aplicación
Datos
ASEGURAMIENTODEFENSA EN PROFUNDIDAD
Page 9
Como minimizar la superficie de ataque?
Aseguramiento del SO, Autenticación,
Actualizaciones de OS, Detector de Intrusos
local
Muros de fuego, Control de acceso de
CuarentenaGuardas, Cerrojos, Dispositivos de monitoreo
Segmentación de Red, IPSec, Detector de
Intrusos dered
Aseguramiento de App, Antivirus
Listas de Acceso, Encriptación
Documentación de Seguridad, Educación
al Usuario
Políticas, Procedimientos, Concientización
Seguridad Física
Perímetro
Red Interna
Servidor
Aplicación
Datos
ASEGURAMIENTODEFENSA EN PROFUNDIDAD
Page 10
ASEGURAMIENTODEFENSA EN PROFUNDIDAD
HOMOLOGACIÓNCALIFICACIÓN
Ciclo de vida
del sistemaPuntos de
control
Clasificación de
los incidentes
Clasificación de
los impactos
Escala de
gravedad
Page 11
ASEGURAMIENTODEFENSA EN PROFUNDIDAD
Page 12
ESCALA DE GRAVEDAD SSI
Ciclo de vida del
sistema
Componentes de
seguridadElementos de
medida
Escala de
gravedad
Clasificación de los
impactos
Clasificación de los
riesgos
Clasificación de los
incidentes
Puntos de
control
CALIFICACIÓN HOMOLOGACIÓN
ASEGURAMIENTODEFENSA EN PROFUNDIDAD
Page 13
Caso.Empresa XYZ
ASEGURAMIENTODEFENSA EN PROFUNDIDAD
Page 14
servidor web
puerto (80)servidor
correo
puerto (25)
cliente
servidor
base datos
servidor
archivos
router
cliente
Interface
WAN 2.0.02
Interface DMZ
192.168.2.1/24
firewall
switchInterface LAN
192.168.1.1/24IDS/IPS
Empresa XYZ
RED ACTUAL
ASEGURAMIENTODEFENSA EN PROFUNDIDAD
Page 15
servidor web
puerto (80)servidor
correo
puerto (25)
cliente
servidor
base
datos
servidor
archivo
s
router
cliente
Interface
WAN 2.0.02
Interface
DMZ
192.168.2.1/2
4
firewall
switchInterface LAN
192.168.1.1/2
4 IDS/IPS
Empresa XYZ
DEFENSA EN PROFUNDIDAD
ACTUAL
FIREWALL
IDS/IPS
SEGMENTACION DE RED
DMZ
ANTIVIRUS
ANTI SPYWERE
POLITICAS DE CAMBIO DE
CONTRASEÑAS FRECUENTES
ASEGURAMIENTODEFENSA EN PROFUNDIDAD
Page 16
servidor
web puerto
(80)
servidor
correo
puerto (25)
cliente
servid
or
base
datos
servid
or
archiv
os
router
cliente
Interface
WAN
2.0.02
Interface
DMZ
192.168.2.1/
24
firewall
switchInterface
LAN
192.168.1.1/
24
IDS/IP
S
ANALISIS DE LAS
DEBILIDADES DEL
MODELO DEFENSA
INSTALADO
ACTUALMENTE EN LA
EMPRESA XYZ
ASEGURAMIENTODEFENSA EN PROFUNDIDAD
Page 17
servidor web
puerto (80)servidor
correo
puerto (25)
cliente
servidor
base datos
servidor
archivos
router
cliente
Interface
WAN 2.0.02
Interface DMZ
192.168.2.1/24
firewall
switchInterface LAN
192.168.1.1/24IDS/IPS
Empresa XYZ
RED ACTUAL
ASEGURAMIENTODEFENSA EN PROFUNDIDAD
Page 18
servidor
web puerto
(80)
servidor
correo
puerto (25)
cliente
servidor base
datos
servidor
archivos
router
cliente
Interface WAN
2.0.02
Interface DMZ
192.168.2.1/24
firewall
switchInterface LAN
192.168.1.1/24IDS/IPS
Empresa XYZ
ATAQUE # 1
ASEGURAMIENTODEFENSA EN PROFUNDIDAD
Page 19
servidor
web puerto
(80)
servidor
correo
puerto (25)
cliente
servidor
base
datos
servidor
archivos
router
cliente
Interface
WAN
2.0.02
Interface DMZ
192.168.2.1/24
IDS/IPS
firewall
switch
Interface LAN
192.168.1.1/24
Empresa XYZ
SOLUCION # 1
ASEGURAMIENTODEFENSA EN PROFUNDIDAD
Page 20
servidor
web puerto
(80)
servidor
correo
puerto (25)
cliente
servidor
base
datos
servidor
archivos
router
cliente
Interface WAN
2.0.02
Interface DMZ
192.168.2.1/24
IDS/IP
S
firewall
switchInterface LAN
192.168.1.1/24
Empresa XYZ
ATAQUE # 2
ASEGURAMIENTODEFENSA EN PROFUNDIDAD
Page 21
servidor web
puerto (80)servidor
correo
puerto (25)
firewall
cliente
servidor
base datos
servidor
archivos
switch router
cliente
Interface
WAN 2.0.02
Interface LAN
192.168.1.1/24
Interface DMZ
192.168.2.1/2
4
firewall
IDS/IPS
IDS/IPS
Empresa XYZ
SOLUCION # 2
ASEGURAMIENTODEFENSA EN PROFUNDIDAD
Page 22
servidor web
puerto (80)servidor
correo
puerto (25)
firewall
cliente
servidor
base
datos
servidor
archivos
switch router
cliente
Interface WAN
2.0.02
Interface LAN
192.168.1.1/24
Interface DMZ
192.168.2.1/24
firewall
IDS/IPS
IDS/IP
S
Empresa XYZ
ATAQUE # 3
ASEGURAMIENTODEFENSA EN PROFUNDIDAD
Page 23
servidor
web puerto
(80)servidor
correo
puerto (25)
cliente
servidor
base
datos
servidor
archivos
router
cliente
Interface WAN
2.0.02
Interface DMZ
192.168.2.1/24
firewall
switch
Interface LAN
192.168.1.1/24
firewall
Empresa XYZ
IDS/IPS
IDS/IP
S
SOLUCION # 3
ASEGURAMIENTODEFENSA EN PROFUNDIDAD
Page 24
servidor
web puerto
(80)servidor
correo
puerto (25)
cliente
servidor
base
datos
servidor
archivos
router
cliente
Interface WAN
2.0.02
Interface DMZ
192.168.2.1/24
servidor
SMTP
antivirus
antispam
firewall
switch
Interface LAN
192.168.1.1/24
firewall
Empresa XYZ
IDS/IPS
IDS/IPS
SOLUCION # 3
ASEGURAMIENTODEFENSA EN PROFUNDIDAD
Page 25
servidor web
puerto (80)servidor
correo
puerto (25)
cliente
servidor
base
datos
servidor
archivos
router
cliente
Interface WAN
2.0.02
Interface DMZ
192.168.2.1/24
servidor
SMTP
antivirus
antispam
firewall
switch
Interface LAN
192.168.1.1/24
firewall
Empresa XYZ
IDS/IPS
IDS/IPS
SOLUCION # 3
ASEGURAMIENTODEFENSA EN PROFUNDIDAD
Page 26
servidor web
puerto (80)servidor
correo
puerto (25)
cliente
servidor
base
datos
servidor
archivos
router
cliente
Interface WAN
2.0.02
Interface DMZ
192.168.2.1/24
servidor
SMTP
antivirus
antispam
firewall
switchInterface LAN
192.168.1.1/24
firewall
Empresa XYZ
IDS/IP
S
IDS/IPS
Sniffer
ATAQUE # 4
ASEGURAMIENTODEFENSA EN PROFUNDIDAD
Page 27
servidor web
puerto (80)servidor
correo
puerto (25)
cliente
servidor
base
datos
servidor
archivos
router
cliente
Interface WAN
2.0.02
Interface DMZ
192.168.2.1/2
4
servidor
SMTP
antivirus
antispam
firewall
switch
Interface LAN
192.168.1.1/24
firewall
red cifrada
Empresa XYZ
IDS/IPS
IDS/IPS
SOLUCION # 4
ASEGURAMIENTODEFENSA EN PROFUNDIDAD
Page 28
servidor web
puerto (80)servidor
correo
puerto (25)
cliente
servidor
base
datos
servidor
archivos
router
cliente
Interface
WAN 2.0.02
Interface DMZ
192.168.2.1/2
4
servidor
SMTP
antivirus
antispam
firewall
switchInterface LAN
192.168.1.1/24
firewall
red cifrada
Empresa XYZ
IDS/IPS
IDS/IPS
ATAQUE # 5
ASEGURAMIENTODEFENSA EN PROFUNDIDAD
Page 29
servidor web
puerto (80)servidor
correo
puerto (25)
cliente
servidor
base datos
cifrada
servidor
archivos
router
cliente
Interface
WAN 2.0.02
Interface DMZ
192.168.2.1/24
servidor
SMTP
antivirus
antispam
firewall
switch
Interface LAN
192.168.1.1/24
firewall
red cifrada
Empresa XYZ
IDS/IP
S
IDS/IPS
SOLUCION # 5
ASEGURAMIENTODEFENSA EN PROFUNDIDAD
Page 30
servidor web
puerto (80)servidor
correo
puerto (25)
cliente
servidor
base datos
cifrada
servidor
archivos
router
cliente
Interface
WAN 2.0.02
Interface DMZ
192.168.2.1/2
4
servidor
SMTP
antivirus
antispam
firewall
switchInterface LAN
192.168.1.1/2
4
firewall
red cifrada
IDS/IPS
IDS/IPS
DEFENSA EN PROFUNDIDAD ACTUAL
2 FIREWALL
2 IDS/IPS
SEGMENTACION DE RED
DMZ
ANTIVIRUS
ANTI SPYWERE
POLITICAS DE CAMBIO DE CONTRASEÑAS FRECUENTES
SERVIDOR SMTP
TRANSMISION EN RED CIFRADA
BASE DATOS CIFRADA
Empresa XYZ
ASEGURAMIENTODEFENSA EN PROFUNDIDAD
Page 31
MODELO DE DEFENSA EN PROFUNDIDAD
DATOS
APLICACION
HOST
RED
INTERNA
PERIMETRO
SEGURIDAD FISICA
Políticas, Procedimientos
Concientizaciòn
MCAFEE:
• Endpoint Encryption
• E-Business Server
CISCO:
• SECURE IDS
•IDS Server 4.1PANDA: TruPrevent
McAfee: Host Intrusion
Prevention
3Com: TippingPoint IPS
5000E
McAfee:IPS de red
IntruShieldPanda:GateDefender
Performa 8200
Cisco:ASA 5505 Firewall
Edition Bundle
ASEGURAMIENTODEFENSA EN PROFUNDIDAD
Page 32
CAPA MARCAS PRODUCTOS SW HW CARACTERISTICAS COSTOS
DATOS McAfee Endpoint
Encryption
X Protege dispositivos y datos 99.63€
E-Business
Server X
99.34€
ASEGURAMIENTODEFENSA EN PROFUNDIDAD
Page 33
CAPA MARCAS PRODUCTOS SW HW CARACTERISTICAS COSTOS
APLICACION CISCO Secure IDS X Cisco Secure IDS es un sistema
basado en la red de detección de
intrusos que utiliza una base de
datos de la firma para activar
alarmas de intrusión.
U$ 1500
IDS
Server
IDS Server
4.1
X IDS Server 4.1 es un servidor de
base de datos de acceso que
permite a las aplicaciones Java y.
NET para conectarse a bases de
datos.
con Visual J #.
U$ 950
ASEGURAMIENTODEFENSA EN PROFUNDIDAD
Page 34
CAPA MARCAS PRODUCTOS SW HW CARACTERISTICAS COSTOS
HOST PANDA TruPrevent
X
Las Tecnologías Antivirus
TruPrevent cubren esta necesidad de
seguridad adicional, protegiendo su
red corporativa tanto de virus
desconocidos como de intrusos.
€ 42,43
McAfee Host
Intrusion
Prevention
X
McAfee Host Intrusion Prevention le
ayuda a proteger de manera
preventiva los servidores frentes a las
amenazas complejas instigadas por
los ciberdelincuentes.
€ 40,43
ASEGURAMIENTODEFENSA EN PROFUNDIDAD
Page 35
CAPA MARCAS PRODUCTOS SW HW CARACTERISTICAS COSTOS
RED
INTERNA
3Com TippingPoint
IPS 5000E
X El IPS TippingPoint funciona en
línea en la red, bloqueando el tráfico
malicioso y no deseado, mientras
permite pasar sin interrupciones al
tráfico "bueno".
€ 65.000
McAfee IPS de red
IntruShield
X X IntruShield supera las normas
Telcordia y es el único dispositivo
IPS que cuenta con la certificación
Multi-Gigabit IPS del NSS Group;
€74.551
ASEGURAMIENTODEFENSA EN PROFUNDIDAD
Page 36
CAPA MARCAS PRODUCTOS SW HW CARACTERISTICAS COSTOS
PERIMETRO Panda GateDefender
Performa
8200
X Es una robusta solución de alto rendimiento,
hardware de seguridad que actúa desde el
perímetro o puerta de entrada a la red.
15.167 €
Cisco ASA 5505
Firewall
Edition
Bundle
X Prevención de intrusos y servicios de
seguridad en contenidos, y todo en un
flexible y modular producto.
Seguridad de Contenido y
Software Anti-X en su empresa
Soluciones Worry Free de Trend Micro
Soluciones de VPN SSL/IPsec
Soluciones de Firewall
2409 €
ASEGURAMIENTODEFENSA EN PROFUNDIDAD