Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Seguridad
Seguridad
M. en C. Mario Faras-Elinos
Coord. del grupo de Seguridad en Internet-2 Laboratorio de Investigacin y Desarrollo de Tecnologa Avanzada (LIDETEA) Coord. Gral. de Investigacin Dir. de Posgrado e Investigacin Universidad La Salle http://www.ci.ulsa.mx/lidetea http://seguridad.internet2.ulsa.mx/ E-mail: elinos@ci.ulsa.mx
Contenido
Introduccin Definicin Principios Tipos de seguridad Plan de contigencias
Introduccin
El nico sistema seguro es aquel que est
apagado y desconectado, enterrado en un refugio de concreto, rodeado por gas venenoso y custodiado por guardianes bien pagados y muy bien armados. An as, yo no apostara mi vida por l
Gene Spafford
Introduccin
Para que lo sepan: La privacidad en la
Internet no existe
Scott McNealy
Definicin
La seguridad de un sistema de cmputo se
d cuando
Hay confianza en l El comportamiento del software es el esperado La informacin almacenada
Inalterada accesible
Objetivo
Consolidacin de: Confidencialidad Integridad y autenticidad Disponibilidad No Repudio Si se cumplen estos puntos, diremos en
Principios
El
intruso probablemente es alguien conocido No confies, y s cauteloso con quien requiera tu confianza No confies en t mismo, o verifica lo que haces Haga que el intruso crea que ser atrapado
Principios
Proteccin por capas
Principios
Mientras planeas la estrategia de seguridad,
presume de la completa falla de cualquier capa de seguridad La seguridad debe ser parte del diseo original Deshabilitar servicios paquetes y cualquier elemento innecesario
Principios
Antes de conectar, entiende y asegura Preparate para lo peor
Consideraciones
Qu se quiere proteger? Contra qu se quiere proteger? Cunto tiempo, dinero y esfuerzo se est
dispuesto a invertir?
Tipos de seguridad
Fsica Lgica
Seguridad fsica
Servicios
Lneas telefnicas Instalacin elctrica Antenas de comunicacin
Seguridad
Lugares desolados o desprotegidos Fuentes de incendios Inundaciones
Cableado
De alto y bajo voltaje Cables de telecomunicaciones Cables de seales para monitores
Puertas de acceso
Puertas de doble hoja de 1.50 cm Salida de emergencia Dimensiones mximas del equipo
Iluminacin
Generadores fuera de la sala La alimentacin de la iluminacin diferente a la del equipo El 25% debe ser de emergencia conectado al UPS
Vibracin
Equipos antivibraciones
Ductos
Lisos y sin desprendimiento de partculas
10
Distribucin en planta
Planos civiles y arquitectnicos
Hidrulicos Planta Memoria de clculo Sanitario Telfono Seguridad Energa elctrica
11
Aire acondicionado
Riesgos Mal funcionamiento del AC ocasiona que el equipo de cmputo sea apagado Ls instalacin del AC es una fuente de incendios Prevenciones Instalar AC de respaldo Extintores y detectores de humo Alarmas de temperatura y humedad
12
Aire acondicionado
Capacidad del equipo de AC Disipacin trmica de las mquinas y del personal Prdidas por puertas y ventanas El AC debe ser independiente del aire general Conectarse directamente al generador de electricidad Distribucin del aire en la sala Distribucin por techo Distribucin por piso falso Distribucin por dos canales
Instalacin elctrica
Corriente regulada Sistemas de corriente interrumpida Regular la corriente elctrica Proporcionar energa elctrica contnua Tipos de sistemas
Bsico Completo Redundante
13
Instalacin elctrica
Consideraciones El tiempo de interrupcin es variable Proporcionar operacin continua durante un tiempo determinado Costo depende de la capacidad Instalacin fsica Temperatura de las bateras Ventilacin Nivel de acstica Seguridad Accesibilidad
Instalacin elctrica
Plantas generadoras de energa Clasificacin
Gas Disel Gasolina
14
Riesgo de inundacin
Existencia de inundaciones El equipo no debe estar en el stano Acontecimientos no naturales Ruptura de tuberas Drenaje bloqueado
15
Tipo de extintor CO2 Luego agua E E Espuma E E NO Polvo seco Luego agua E SI
E Si NU
Mantenimiento
Propio o externo Equipo informtico Electricidad, agua, AC, etc. Refleja las actividades disciplinarias Falta provoca una fractura en la seguridad
16
Seguridad Lgica
Causas de inseguridad
La deficiencia en los equipos respectivos de
soporte La inteligencia social El espionaje industrial La deficiente administracin de una red Los virus Fallos en la seguridad de programas Los vndalos informticos
17
Huecos de seguridad
Fsica En el software No confiar el los scripts y/o programas de instalacin Por la falta de experiencia Filosofa
de
seguridad
forma
de
mantenerla
Intrusiones y ataques
Instrusiones al sistema Fsica Por sistema Remota Tcnicas utilizadas Barrido de puertos Escaneo del medio Bugs Backdoors
18
Intrusiones y ataques
Esquema del comportamiento
Entrar al sistema Explotar un fallo para obtener privilegios Controlar el sistema
Formas de controlar Copia del archivo de password para desencriptarlos Instalacin de sniffers y/o caballos de troya
Formas de proteccin
Firewalls VPNs Conexiones seguras (SSL) Wrappers Software de anlisis de vulnerabilidad Fingerprints para archivos
19
Formas de proteccin
Normas de asignacin de cuentas tunning
Amenazas
20
personal comienza a ser comn. Asoma ya la preocupacin por la integridad de los datos. En la dcada de los aos 90 proliferan los ataques a sistemas informticos, aparecen los virus y se toma conciencia del peligro que nos acecha como usuarios de PCs y equipos conectados a Internet. Las amenazas se generalizan a finales de los 90. Se toma en serio la seguridad: dcada de los 00s
tema de la proteccin de la informacin se transforma en una necesidad y con ello se populariza la terminologa Polticas de seguridad:
Normas, recomendaciones, estndares. Proteccin de la informacin
El usuario final desea saber, por ejemplo,
21
22
que haga ms fcil su acceso y posterior ataque. Existir una diversidad de frentes desde los que puede producirse un ataque. Esto dificulta el anlisis de riesgos porque el delincuente aplica la filosofa del punto ms dbil de este principio. PREGUNTA: Cules son los puntos dbiles de un sistema informtico?
23
forma eficiente todos estos aspectos. Debido al Principio de Acceso ms Fcil, no se deber descuidar ninguno de los cinco elementos susceptibles de ataque del sistema informtico.
Interrupcin
Interceptacin
Modificacin
Generacin
24
Amenazas de interrupcin
Interrupcin
Intruso
Amenazas de interceptacin
Interceptacin
Intruso
autorizadas. Uso de privilegios no adquiridos. Deteccin difcil, no deja huellas. Ejemplos: Copias ilcitas de programas Escucha en lnea de datos
25
Amenazas de modificacin
Modificacin
Intruso
Amenazas de generacin
Generacin
Intruso
Creacin de nuevos objetos dentro del sistema. Deteccin difcil. Delitos de falsificacin.
Ejemplos:
26
Tringulo de debilidades
Interrupcin (prdida) Interceptacin (acceso) Modificacin (cambio) Generacin (alteracin)
DATOS HD SW
Ejemplos de ataques
Ataques caractersticos
Hardware: Agua, fuego, electricidad, polvo, cigarrillos, comida... Software: Borrados accidentales, intencionados, fallos de lneas de programa, bombas lgicas, robo, copias ilegales. Datos: Los mismos puntos dbiles que el software. Dos problemas: no tienen valor intrnseco pero s su interpretacin y algunos son de carcter pblico.
27
pierdan su valor. Se habla, por tanto, de la caducidad del sistema de proteccin: tiempo en el que debe mantenerse la confidencialidad o secreto del dato. Esto nos llevar a la fortaleza del sistema de cifra. PREGUNTA: Cunto tiempo deber protegerse un dato?
utilizadas de forma efectiva. Deben ser eficientes, fciles de usar y apropiadas al medio.
Que funcionen en el momento oportuno. Que lo hagan optimizando los recursos del sistema. Que pasen desapercibidas para el usuario.
28
Plan de contingencia
Definicin
Conjunto
de
procedimientos
de
29
Objetivos
Mantener al organismo y sus actividades operando
Desastres
Tipos de desastres Naturales
Inundaciones Temblores Incendios
Problemas ambientales
Explosiones Prdidas del servicio Contaminacin
Provocados
Sabotaje Vandalismo Provocacin de incendio
30
Desastres
Caractersticas
Aspectos a contemplar Operacional
La respuesta del usuario A quin llamar? Establecer quin toma las decisiones
Administrativo
Definicin de riesgo y porcentajes de factibilidad Identificacin de las aplicaciones crticas Procedimiento de recuperacin de la informacin Especificar alternativas de respaldo
31
Caractersticas
Responsible de los medio de respaldo Definir prioridades de las BD para ser reconstruidas Configuracin del centro de computo externo (alterno o espejo) Localizacin del SW de reemplazo Localizacin de equipos de apoyo (AC, UPS, etc) La ayuda que se puede esperar del proveedor Acciones a ser tomadas en cada dao Procedimientos para la imposicin de controles extraordinarios
Caractersticas
Para una buena recuperacin Respaldo de configuracin del equipo y de la programacin del SW Documentacin y almacenamiento seguro de los procedimientos. As como el entrenamiento del personal encargado de la recuperacin Respaldo y almacenamiento seguro de los programas Respaldo y almacenamiento seguro de los archivos
32
Caractersticas
Enfatizar Ofrecer a los controles detectores las bases para entender la importancia del plan Obtener el consentimiento de los directivos Definir los requerimientos de recuperacin Converger apropiadamente en la prevencin de desastres Integrar el plan de contingencia dentro de los planes generales de la organizacin
Caractersticas
Para el cumplimiento del plan Actual Entendible Factible Probado Documentado
33
Consideraciones
Acciones recomendadas Designar al grupo que elaborar el plan de contingencia Existencia de una propuesta prioritaria sobre la organizacin tradicional Considerar los niveles de contingencia como una aplicacin vital (documentos) Tomar en cuenta los factores externos que influyen
Consideraciones
Forma organizacional Organizacin directiva Organizacin operativa
34
Consideraciones
Organizacin directiva Autoridad mxima administrativa del plan de contingencia Coordinacin de la planeacin, integracin, organizacin, control
Director general Coordinador general Coordinador de grupo
Consideraciones
Organizacin operativa Ejecuta las acciones Realiza actividades establecidas coordinador
Grupo administrativo Grupo de bienes inmuebles Grupo de servicio tcnico Grupo de sistemas o aplicaciones vitales
por
el
35
Aspecto base
Areas bases para el plan Facilidad de destruccin Disponibilidad del personal Determinar los tiempos del desastre Instalaciones de almacenamiento fuera del centro de cmputo Aspectos Desastres que afectan a departamentos usuarios especficos Trabajos sin procesar y/o en proceso Destruccin dePCs Redes inoperables
Aspecto base
Plan debe ser dinmico con respecto al tiempo Cambio de personal Cambio de equipo de instalacin Cambio de telfonos Cambio de sistemas Cambio de contratos de mantenimiento Cambio en la pliza de seguro Cambio en el plan de contingencia y recuperacin Cambio en las instalaciones de respaldo y alternas
36
Elementos
Acciones De emergencia De recuperacin De respaldo
37
38
39