Seguridad en Redes Informáticas

Formación profesorado
Plan anual: Curso académico 2010/2011
Manuel González Regal

http://centros.edu.xunta.es/iesxulianmagarinos/
 Y yo soy ...

● Profesor de informática CFGS Administración Sistemas Informáticos

● I.E.S. Xulián Magariños (Negreira)

centro TIC curso 2007-2008

Software Libre
 Y yo soy ...
● Interés en la seguridade informática.
● No sé todo de todo, y cuanto más aprendo, descubro la cantidad de cosas
que desconozco.

Consultas y sugerencias son bienvenidas

 Usuarios, redes, servicios, negocios, ...
Hoy en día el uso de redes locales e Internet en empresas, instituciones y hogares
está ampliamente extendido para:
● Enviar/recibir emails, mensajería instantánea, jugar, ...
● Tener un sitio web con información sobre la compañía, productos, noticias, aplicaciones
de gestión, ...
● Realizar transacciones comerciales (compra/venta de productos, gestión de cuentas
bancarias, ... )
● etc.
● Aumento de ventas.
● Reducción costes.

● Publicidad.

● etc

Es necesario crear ‘canales electrónicos’ entre:

● Un equipo de un usuario final y redes (redes LAN, WAN, Internet).
● Un servidor público (web, correo, ...) de la organización e Internet.

Request

Reply
 Todo el mundo sabe que ...
Estos canales pueden ser la vía de entrada de ‘elementos’ no deseados:
● Virus (Netsky.P, Sasser, Blaster, Conficker, ...).
● Ataques Phishing (robo de credenciales bancarias). Fecha estadística: 25/08/2010
● Ataques DoS (Denial Of Service). Fecha virus: ¡¡22/03/2004!!
● Accesos ilícitos.
● etc.
 Todo el mundo sabe que ...
Estos canales pueden ser la vía de entrada de ‘elementos’ no deseados:
● Virus (Netsky.P, Sasser, Blaster, Conficker, ...).
● Ataques Phishing (robo de credenciales bancarias).
● Ataques DoS (Denial Of Service).
● Accesos ilícitos.
● etc.

¡¡14/09/2006!!
 Todo el mundo sabe que ...Ataques Phishing (robo de credenciales bancarias).
INTECO - Estudio sobre el fraude a traves de internet 1º trimestre 2010
En el 1er trimestre de 2010 la mayor incidencia
declarada por los usuarios es haber recibido
invitaciones a través de correo electrónico a
visitar una página web sospechosa (32,6%)
seguido de la recepción de un email ofertando
un servicio no solicitado (29,1%), una oferta de
trabajo por Internet que pudiese ser falsa o
sospechosa (22,2%) y un email solicitando
claves de usuario (18,6%).
 Todo el mundo sabe que ...
Los hackers que logran acceder a un equipo:
● Roban información confidencial.
● Modifican páginas web.
● Utilizar el equipo como herramienta para enmascarar
ataques o lanzar ataques DDoS.
● etc.
Todo el mundo sabe que ...
Todo el mundo sabe que ...
 Todo el mundo sabe que ...
Internet la forma preferida de perder tiempo en el trabajo
 Exceptuando esto último, el resto le pasa a otros. Total ...

¿Mi PC?¿Quién lo va a querer?

1. Robarte datos bancarios: Por ejemplo, para poder permitirse un capricho a tu cuenta.
2. Envío de SPAM: Luego te llega una carta de tu operador diciendo que no paras de
mandar spam, y tu quejándote de que tu ADSL va lento.
3. Utilizar tu ordenador como zombie. Cualquier cosa que ellos no quieran hacer desde su
propio ordenador.
4. Buscar datos personales: Un amigo puede estar interesado en ver fotos curiosas que no
le vas a enseñar por las buenas, espiar tu conversación del messenger...
5. Servidor FTP: Tal vez en tu casa vaya lento. ¿Y en tu trabajo?
6. Ego: Hay quien se siente realizado cuando tiene 237000 ordenadores zombies activos...
7. Hosting: Serás un servidor web que albergarás páginas de phising o incluso cosas peores
(pornografía infantil... :( )
8. Estar en una red de click-fraud pinchando banners como loco sin darte cuenta
9. Instalar un servidor de Quake...
10. ...

http://blog.s21sec.com/2008/06/mi-pcquin-lo-va-querer.html
 Panorama actual...
● Más redes y más aplicaciones basadas en red.
● Tecnología centrada en la facilidad de uso.
● Se observan ataques más sofisticados y atacantes no necesariamente expertos.

Script Kiddie
… por lo tanto: Seguridad Defensiva

● Firewalls/Proxys
● Antivirus, antispam, ...
● Redes DMZ
● Filtros de contenidos
● IDS (Sistemas de detección de
intrusos)
● Appliances UTM (unified threat
management)
● Sistemas de monitorización
● Encriptación
● Análisis de integridad
● Actualizaciones, parches, …
● Securización S.O.
● Políticas de contraseñas, backups
● ...
 Seguridad Defensiva
Información
Confidencialidad Integridad Dispoñibilidad

● Confidencialidad:
● prevenir la divulgación de información a personas/sistemas no autorizadas.
● la información se revela exclusivamente a los usuarios autorizados.
● Integridad:
● mantener los datos libres de modificaciones no autorizadas.
● la información se modificada sólo por personal autorizado. La integridad garantiza la
exactitud de la información contra la alteración, pérdida o destrucción, ya sea de forma
accidental o intencionada.
● Disponibilidad:
● las personas/sistemas/aplicaciones pueden acceder a la información.
● que la información sea utilizable cuándo y cómo lo requieran los usuarios autorizados.
 Seguridad Defensiva
Información
Confidencialidad Integridad Dispoñibilidad

funcionalidad

Mover la bola hacia 'seguridad' implica alejarse

de la funcionalidad y facilidad de uso

seguridad facilidad de uso

Centro Criptológico Nacional

'manual de seguridad de las tecnologías de la información y comunicaciones'

La seguridad absoluta, con una probabilidad del 100 %, es imposible de alcanzar ya que las
medidas de seguridad a implementar deben ser proporcionales a los riesgos. Siempre hay que
adoptar un compromiso entre el nivel de seguridad, los recursos disponibles y la funcionalidad
deseada.
 Seguridad Forense
● ¿Qué pasó?¿Cuándo? IDENTIFICACIÓN
● ¿De qué forma?¿Quién?
● ¿Cuál es la magnitud del incidente? PRESERVACIÓN
DE LAS EVIDENCIAS

● Prevención y mejora
● Solución de los problemas ANÁLISIS
● Depuración de responsabilidades
● Denunciar
INFORME
Seguridad Forense
 ¿Qué pasa?

Atacante altamente especializado

Script kiddie

Seguridad ofensiva ANÁLISIS DE PENETRACIÓN

Seguridad defensiva
● Administradores de red/sistemas conocen la mitad de la ecuación.
● Administradores de red/sistemas sobrecargados de trabajo.
● Mulitifunción.
● Multitarea.
● Multi-'especialistas'.

Yo estoy detrás de un firewall y tengo antivirus, antispyware, ...

Hackers, crackers, black hat, phising, ..., eso le pasa a otros.
Si algo funciona, no se toca (no vaya a ser que la ca...).
Los usuarios/jefes demandan facilidades, pués adelante (así dejan de dar la lata).
 Análisis de Penetración – Penetration Testing - PenTest

Evaluación de la seguridad de un sistema informático o red simulando un

ataque procedente de un agente malicioso (Black Hat hacker o cracker).

Se buscan vulnerabilidades ...

● Configuración erróneas de sistemas.

● Configuraciones permisivas.
● Errores conocidos (ou desconocidos) en el software.
● Errores conocidos (ou desconocidos) en el hardware.
● Sistemas de protección y/o operación débiles.

… para explotarlas y asaltar los sistemas

 Penetration Testing Methodology

● Fase I: Planificación y preparación.

● Fase II: Evaluación - Assessment.
● Fase III: Informe, Borrado y destrucción de artefactos.

ISSAF (Information Systems Security Assessment Framework) de

OISSG (Open Information Systems Security Group)
Penetration Testing Methodology vs Ataque

● Fase I: Planificación y preparación.

● Fase II: Evaluación - Assessment.
● Fase III: Informe, Borrado e destrucción de artefactos.
Penetration Testing Methodology