COMO DISEÑAR E COMO DISEÑAR E IMPLEMENTAR UN PLAN DE IMPLEMENTAR UN PLAN DE SEGURIDAD PERIMETRALSEGURIDAD PERIMETRAL

OBJETIVOSOBJETIVOS

• Situación actual. Situación actual.

• Tipos de Ataques y Métodos Tipos de Ataques y Métodos de Protección.de Protección.

• Diseñar un Plan de Seguridad Diseñar un Plan de Seguridad Perimetral.Perimetral.

Computer Security InstituteComputer Security Institute

• El 56% de las empresas sufrieron accesos El 56% de las empresas sufrieron accesos no autorizados a sus sistemas.no autorizados a sus sistemas.

• Las perdidas asociadas a ataques Las perdidas asociadas a ataques informáticos en el 2003 alcanzaron los informáticos en el 2003 alcanzaron los 201.797.340 $. (251 organizaciones).201.797.340 $. (251 organizaciones).

• El robo de información causó perdidas de El robo de información causó perdidas de 70.195.900 $, seguido muy de cerca por 70.195.900 $, seguido muy de cerca por los ataques DoS que alcanzaron la cifra de los ataques DoS que alcanzaron la cifra de 65.643.300 $.65.643.300 $.

• El 68% de las grandes firmas españolas El 68% de las grandes firmas españolas apenas protege su seguridad informática.apenas protege su seguridad informática.

¿Cuáles son las ¿Cuáles son las consecuencias?consecuencias?

• Responsabilidad legal (LORTAD).Responsabilidad legal (LORTAD).

• Perdida de confianza (Mala Imagen):Perdida de confianza (Mala Imagen):– Accionistas.Accionistas.– Clientes en B2C.Clientes en B2C.– Empleados (desmotivación, inseguridad).Empleados (desmotivación, inseguridad).

• Reducción en los beneficios.Reducción en los beneficios.

• Robo de propiedad intelectual.Robo de propiedad intelectual.

COSTESCOSTES

COSTE DE LA SEGURIDAD

COSTE DE LA SEGURIDAD

EL 100% DE LA SEGURIDAD NO EXISTE

EL 100% DE LA SEGURIDAD NO EXISTE

EQUILIBRIOEQUILIBRIO

Tipos De AtaquesTipos De Ataques

Los ataques de red pueden ser tan Los ataques de red pueden ser tan variados como los sistemas a los que variados como los sistemas a los que intentan penetrar. Algunos ataques intentan penetrar. Algunos ataques son complejos mientras que otros son complejos mientras que otros son realizados por el son realizados por el desconocimiento de los usuarios.desconocimiento de los usuarios.

Packet SniffersPacket Sniffers

• Un Sniffer es una aplicación que usa Un Sniffer es una aplicación que usa el adaptador de red en modo el adaptador de red en modo promiscuo para capturar los promiscuo para capturar los paquetes que circulan a través de un paquetes que circulan a través de un mismo dominio de colisión. El mismo dominio de colisión. El principal peligro son los datos que principal peligro son los datos que circulan sin cifrar (telnet, ftp, smtp, circulan sin cifrar (telnet, ftp, smtp, pop3,…). pop3,…).

¿Cómo Protegernos?¿Cómo Protegernos?

• Switched Infraestructure. Mitiga el efecto de Switched Infraestructure. Mitiga el efecto de los sniffers. Los hackers sólo podrán tener los sniffers. Los hackers sólo podrán tener acceso a la información que fluya por el acceso a la información que fluya por el puerto al que están conectados.puerto al que están conectados.

• Herramientas anti-sniffers. Detectan cambios Herramientas anti-sniffers. Detectan cambios en el tiempo de respuesta de las máquinas.en el tiempo de respuesta de las máquinas.

• Cryptografia. Es el método más efectivo. Si Cryptografia. Es el método más efectivo. Si un canal es criptograficamente seguro lo un canal es criptograficamente seguro lo único que ve un sniffer es texto cifrado y no único que ve un sniffer es texto cifrado y no el mensaje original. (IPSEC, SSH, SSL).el mensaje original. (IPSEC, SSH, SSL).

IP SPOOFINGIP SPOOFING

• Sucede cuando un hacker dentro o Sucede cuando un hacker dentro o fuera de una red se hace pasar por fuera de una red se hace pasar por una máquina “de confianza”. una máquina “de confianza”. Normalmente se utiliza para realizar Normalmente se utiliza para realizar otros tipos de ataques. El clasico otros tipos de ataques. El clasico ejemplo es lanzar un DoS usando una ejemplo es lanzar un DoS usando una ip spoofed para ocultar su identidad.ip spoofed para ocultar su identidad.

¿Cómo Protegernos?¿Cómo Protegernos?

• Control de acceso. Denegar el acceso desde la Control de acceso. Denegar el acceso desde la interfaz externa de cualquier ip que resida en interfaz externa de cualquier ip que resida en al red interna. Esto sólo sirve si las ips de al red interna. Esto sólo sirve si las ips de confianza son las internas, si tenemos ips confianza son las internas, si tenemos ips externas a las que se les permite el paso no externas a las que se les permite el paso no nos protege contra el uso de esas ips.nos protege contra el uso de esas ips.

• RFC 2827 Filtering. Consiste en denegar el RFC 2827 Filtering. Consiste en denegar el tráfico de salida que no tenga como dirección tráfico de salida que no tenga como dirección de origen una ip del rango de nuestra de origen una ip del rango de nuestra organización.organización.

Denial Of ServicesDenial Of Services

• Es el más conocido de los ataques y a Es el más conocido de los ataques y a su vez el más difícil de eliminar su vez el más difícil de eliminar completamente. Son fáciles de completamente. Son fáciles de realizar. No intentan acceder a realizar. No intentan acceder a nuestra red sino lograr que uno o más nuestra red sino lograr que uno o más servicios no este disponible. Algunos servicios no este disponible. Algunos aprovechan protocolos de Internet aprovechan protocolos de Internet como el icmp, otros usan agujeros de como el icmp, otros usan agujeros de seguridad en las aplicaciones o seguridad en las aplicaciones o errores en el software.errores en el software.

Tipos de DoS:Tipos de DoS:

1.1. JAMMING o FlOODYNG. (ping de la muerte). JAMMING o FlOODYNG. (ping de la muerte).

2.2. TCP SYN FLOOD. TCP SYN FLOOD.

3.3. Connection Flood (inundación de la Connection Flood (inundación de la conexión), Net Flood (inundación de la red).conexión), Net Flood (inundación de la red).

4.4. Land Attack.Land Attack.

5.5. Supernuke o Winnuke.Supernuke o Winnuke.

6.6. MAIL BOMBING-MAIL SPAMMING-JUNK MAILMAIL BOMBING-MAIL SPAMMING-JUNK MAIL

7.7. etc.etc.

¿Cómo Protegernos?¿Cómo Protegernos?

Para prevenirlos se requiere una coordinación con Para prevenirlos se requiere una coordinación con nuestro isp, de nada nos sirve que bloqueemos nuestro isp, de nada nos sirve que bloqueemos estos accesos si ya han “llenado” nuestro ancho estos accesos si ya han “llenado” nuestro ancho de banda. Pueden ser reducidos sus efectos de la de banda. Pueden ser reducidos sus efectos de la siguiente forma:siguiente forma:

1.1. Medidas Anti-spoof. Si el hacker no puede Medidas Anti-spoof. Si el hacker no puede enmascarar su identidad no debería atacarenmascarar su identidad no debería atacar

2.2. Medidas Anti-DoS. Configurar los FW y routers Medidas Anti-DoS. Configurar los FW y routers para que limiten el máximo de conexiones que un para que limiten el máximo de conexiones que un sistema pueda tener abiertas al mismo tiempo.sistema pueda tener abiertas al mismo tiempo.

3.3. Limitar la tasa de tráfico con el ISP. Este filtro Limitar la tasa de tráfico con el ISP. Este filtro limita la cantidad de tráfico no esencial que limita la cantidad de tráfico no esencial que atraviesa ciertos segmentos de red.atraviesa ciertos segmentos de red.

Password Attacks Password Attacks

• Los ataques de contraseña usan diferentes Los ataques de contraseña usan diferentes métodos: forzado de password, troyanos, ip métodos: forzado de password, troyanos, ip spoofing, sniffers, ingeniería social. Lo primero spoofing, sniffers, ingeniería social. Lo primero que podemos hacer contra estos ataques es que podemos hacer contra estos ataques es evitar que las passwords circulen sin cifrar. evitar que las passwords circulen sin cifrar. También es básico usar passwords difícil de También es básico usar passwords difícil de adivinar, al menos 8 caracteres con mayúsculas adivinar, al menos 8 caracteres con mayúsculas minúsculas y numéricos.minúsculas y numéricos.

• Una herramienta muy usada para forzar Una herramienta muy usada para forzar passwords es la LC3 formerly L0pht Crack). passwords es la LC3 formerly L0pht Crack). Fuerza passwords de Nt cuando son fáciles de Fuerza passwords de Nt cuando son fáciles de adivinar.adivinar.

Man in The MiddleMan in The Middle

• Este ataque requiere que el hacker tenga Este ataque requiere que el hacker tenga acceso a los paquetes que provienen de una acceso a los paquetes que provienen de una red, por ejemplo un empleado de un ISP. red, por ejemplo un empleado de un ISP. Usan packet sniffers y protocolos de routing Usan packet sniffers y protocolos de routing y transporte. Pueden generar DoS, recogida y transporte. Pueden generar DoS, recogida de información, acceso a recursos de red, de información, acceso a recursos de red, corrupción de los datos transmitidos e corrupción de los datos transmitidos e introducción de información en las sesiones. introducción de información en las sesiones. El mejor método para prevenirlos es el uso El mejor método para prevenirlos es el uso de criptografía.de criptografía.

Ataques a nivel de Ataques a nivel de aplicaciónaplicación

• Explotan vulnerabilidades del Explotan vulnerabilidades del software de un servidor. Pueden software de un servidor. Pueden conseguir acceso a la máquina con conseguir acceso a la máquina con los permisos que posee la aplicación los permisos que posee la aplicación que tiene la vulnerabilidad. El que tiene la vulnerabilidad. El principal problema es que usan principal problema es que usan puertos permitidos por los FW. puertos permitidos por los FW.

¿Cómo Protegernos?¿Cómo Protegernos?

Nunca podrán ser completamente eliminados, Nunca podrán ser completamente eliminados, lo único que podemos hacer es procurar estar lo único que podemos hacer es procurar estar al día para corregir las vulnerabilidades.al día para corregir las vulnerabilidades.

1.1. Revisar los logs periódicamente y analizarlos.Revisar los logs periódicamente y analizarlos.2.2. Estar subscritos a listas de distribución de Estar subscritos a listas de distribución de

publican las ultimas vulnerabilidades.publican las ultimas vulnerabilidades.3.3. Mantener los S.O. y aplicaciones con los Mantener los S.O. y aplicaciones con los

últimos parchesúltimos parches4.4. El uso de IDS.El uso de IDS.

Reconocimiento de redesReconocimiento de redes

Cuando un hacker intenta Cuando un hacker intenta penetrar en una organización penetrar en una organización lo primero que suele hacer es lo primero que suele hacer es recoger toda la información recoger toda la información posible sobre su red. posible sobre su red.

• DNS queries pueden revelar DNS queries pueden revelar quien posee cierto dominio y quien posee cierto dominio y que direcciones le han sido que direcciones le han sido asignadas.asignadas.

• Ping sweeps de las direcciones Ping sweeps de las direcciones reveladas por el dns.reveladas por el dns.

• Escaneo de puertos de los Escaneo de puertos de los hosts descubiertos por los hosts descubiertos por los ping sweeps.ping sweeps.

El uso de IDS es muy útil frente a El uso de IDS es muy útil frente a este tipo de ataques.este tipo de ataques.

Trust ExplotiationTrust Explotiation

• Sucede cuando un individuo se Sucede cuando un individuo se aprovecha de las relaciones de aprovecha de las relaciones de confianza dentro de una red. Se confianza dentro de una red. Se pueden mitigar estos ataques pueden mitigar estos ataques instalando niveles de confianza dentro instalando niveles de confianza dentro de la Intranet. Los sistemas fuera del de la Intranet. Los sistemas fuera del FW nunca deberían ser confiado por los FW nunca deberían ser confiado por los de dentro, así como estar limitados a de dentro, así como estar limitados a ciertos protocolos y ser autenticados ciertos protocolos y ser autenticados por algo más que su ip.por algo más que su ip.

Redirección de PuertosRedirección de Puertos

• Son un tipo de Trust Explotiations, Son un tipo de Trust Explotiations, usan un host comprometido para usan un host comprometido para pasar tráfico a través del FW. Un pasar tráfico a través del FW. Un ejemplo claro es el caso de tener una ejemplo claro es el caso de tener una red interna y una DMZ. Para este tipo red interna y una DMZ. Para este tipo de ataques también se recomienda de ataques también se recomienda el uso de IDS.el uso de IDS.

Virus y TroyanosVirus y Troyanos

• Son la principal vulnerabilidad para Son la principal vulnerabilidad para los pc’s de los usuarios. Como ya los pc’s de los usuarios. Como ya sabemos lo mejor que se puede sabemos lo mejor que se puede hacer es el uso de antivirus hacer es el uso de antivirus actualizados y permanecer actualizados y permanecer informado. (Nimda, Blaster,….)informado. (Nimda, Blaster,….)

Seguridad PerimetralSeguridad Perimetral Consiste en separar nuestra red, mediante el Consiste en separar nuestra red, mediante el

uso de un FW, en zonas a las que asignamos uso de un FW, en zonas a las que asignamos distintos niveles de seguridad.distintos niveles de seguridad.

Cuando la seguridad logica Cuando la seguridad logica imita imita

a la seguridad fisicaa la seguridad fisica• Estamos todos familiarizados con pautas, Estamos todos familiarizados con pautas,

productos productos

y tecnologias de seguridad fisicay tecnologias de seguridad fisica

– Cerramos puertas y ventanasCerramos puertas y ventanas

– Usamos sistemas con tarjetasUsamos sistemas con tarjetas

– Sistemas de alarmas Sistemas de alarmas

– Camaras de vigilanciaCamaras de vigilancia

• Las contrapartidas en seguridad logicaLas contrapartidas en seguridad logica

– Firewalls = cierre de puertas y ventanasFirewalls = cierre de puertas y ventanas

– IDS = sistemas de alarma y camaras de IDS = sistemas de alarma y camaras de

vigilanciavigilancia

¿Qué es VPN-1/FW-1 NG?¿Qué es VPN-1/FW-1 NG?

Garantiza las conexiones de red basándonos en Garantiza las conexiones de red basándonos en los tres componentes de seguridad esenciales: los tres componentes de seguridad esenciales: encriptación, autenticación y control de acceso. encriptación, autenticación y control de acceso. (Stateful Inspection)(Stateful Inspection)

1.1. Provee de seguridad de contenidos para HTTP, Provee de seguridad de contenidos para HTTP, FTP, UFP y SMTP. Content Vectoring ProtocolFTP, UFP y SMTP. Content Vectoring Protocol

2.2. Creación de VPN site to site y client to site. Creación de VPN site to site y client to site. Secure Remote y Secure Client. Policy Server.Secure Remote y Secure Client. Policy Server.

3.3. Open Platform for Security (OPSEC). Open Platform for Security (OPSEC). 4.4. Suspicious Activities Monitoring (SAM).Suspicious Activities Monitoring (SAM).5.5. Check Point Malicious Activity Detection (CPMAD)Check Point Malicious Activity Detection (CPMAD)

Porque combinar IDS´s y Porque combinar IDS´s y Firewalls?Firewalls?

• Firewalls bloquearan "visitantes" no autorizadosFirewalls bloquearan "visitantes" no autorizados– Bloqueando sesiones y direcciones no deseadasBloqueando sesiones y direcciones no deseadas– Bloqueando algunos ataques – de insercion o fragmentadosBloqueando algunos ataques – de insercion o fragmentados– Deben de ser Deben de ser SIEMPRESIEMPRE la primera linea de defensa la primera linea de defensa

• Pero al mismo tiempo el cortafuegos es debilPero al mismo tiempo el cortafuegos es debil– Simplemente permiten accesos autorizados - si el puerto Simplemente permiten accesos autorizados - si el puerto

esta abierto, no detendran ataques como Code Red, esta abierto, no detendran ataques como Code Red, Nimda,...Nimda,...

• Los IDS`s toman el relevo cuando los cortafuegos son Los IDS`s toman el relevo cuando los cortafuegos son superadossuperados– Inspeccionan las cabeceras en busqueda de anomalias, Inspeccionan las cabeceras en busqueda de anomalias,

protocolos inusuales...protocolos inusuales...– Inspeccionan y busquan ataques, backdoor, troyanos, Inspeccionan y busquan ataques, backdoor, troyanos,

gusanos, etc……gusanos, etc……Ambos dispositivos son absolutamente complementarios

Firewall

Mail Server

Firewall/VPN

Remote site or Extranet

Enterprise networkManagement

Message Security/Antivirus

IntrusionDetection

Internet

Intrusion Detection

Security Breaches

VPN

Intrusion Detection

RouterWeb and FTP Virus Blocking

TACACS+ ServerTACACS+ Server

Cisco RouterCisco Router

Personal Firewall CapabilitiesSecurity Configuration ControlPolicy-Based Architecture

VPN Secure ClientVPN Secure Client

Radius ServerRadius Server

Encryption Algorithm:AES/3DESAuthentication: X.509 Cert/RADIUSPublic Key Algorithm: RSAKey Management: IKEIP Compression: IPCOMP

Nokia IP 650Nokia IP 650CheckPoint VPN-1 CheckPoint VPN-1

Production Production InfrastructureInfrastructure

Public User/CustomerPublic User/Customer

HP OpenViewHP OpenView

Network Control CenterNetwork Control Center

Network perimetral securityNetwork perimetral security

ConectividadConectividad Un router gestiona la conexión, asegurado mediante TACACS+, lo que impide los accesos no autorizados al dispositivo.InspecciónInspección Un firewall, mediante una política de seguridad basada en múltiples parámetros, revisa los accesos, y deniega cualquier intento no autorizado. Se autentifica al usuario y se encripta la conexión.

Gestión de ancho de bandaGestión de ancho de banda Un gestor asigna los recursos necesarios a cada conexión, impidiendo problemas de seguridad derivados de abuso de recursos u originados por su escasez.

Virtual Private NetworkingVirtual Private Networking Asegurando la conexión extremo a extremo, e impidiendo que el punto de acceso sea un riesgo, utilizamos cliente y servidor VPN seguros, con encriptación fuerte y autentificación.

Monitorización y gestión de alertasMonitorización y gestión de alertas Todos los dispositivos anteriores generan y envían alertas, gestionadas por nuestro Network Control Center, así como logs y estadísticas.

Total Security ManagementTotal Security Management Toda la información y los procesos anteriores están gestionados y dirigidos desde una autoridad de seguridad central, proactiva y con las máximas certificaciones profesionales.

Fw-1/VPN-1Fw-1/VPN-1Management ServerManagement Server

Nokia Horizon Nokia Horizon ManagerManager

Total Security ManagementTotal Security Management

Firewall-1/VPN-1 Firewall-1/VPN-1 Management ConsoleManagement Console

PacketShaper 6500PacketShaper 6500

Layers 2 to 7 traffic control

Denial-of-Service attack avoidanceSecurity Protocol availability

Nokia IP 650Nokia IP 650CheckPoint Firewall-1 NGCheckPoint Firewall-1 NG

Certificate ServerCertificate Server

Stateful Inspection access controlIP Spoofing avoidanceDenial-of-Service attack avoidanceSecure Network Address TraslationEncryption Algorithm:AES/3DESAuthentication: X.509 Cert/RADIUSPublic Key Algorithm: RSAKey Management: IKE

Security Alerting