Professional Documents
Culture Documents
SEGURIDAD DE LA INFORMACION
SEGURIDAD EN APLICACIONES Y SO
Escuela de Informática y
Telecomunicaciones
1
DIPLOMADO DE
SEGURIDAD DE LA INFORMACION
Introducción
Escuela de Informática y
Telecomunicaciones
2
Introducción
• "Hoy más del 70% de los ataques contra el sitio web de
una compañía o aplicación web se dirigen a la “Capa de
aplicación” y no a la red o al sistema, según el Gartner
Group.
• Los problemas de seguridad en las aplicaciones que
desarrolla una empresa repercuten directamente en la
imagen de la misma ante el mercado, afectando
fuertemente su negocio.
• No obstante, también es importante considerar que
cada aplicación esta soportada por un Sistema
Operativo, que aunque sea una aplicación comercial,
no está exento de vulnerabilidades
4
Amenazas al Sistema Operativo
• Componentes del Sistema Operativo:
• Kernel: es el componente mas importante del Sistema
operativo y se encarga de proveer la interfaz entre el
hardware y las aplicaciones.
• Sus principales funciones son:
– Ejecución de procesos
– Carga de programas
– Interfaz entrada/salida (periféricos)
– Supervisión de transmisión de datos
• Tipos de kernel
– Monolíticos
– Microkernel
Diplomado de Seguridad de la Información 5
Amenazas al Sistema Operativo
• Diagrama de operación del Kernel
• Ataque de cliente
• A.- Virus
• B.- Spyware
• C.- Backdoor
• D.- Rootkit
29
Análisis de Seguridad de Sistema Operativo
• Crecimiento de las vulnerabilidades en MS
• Security Focus:
– http://www.securityfocus.com/vulnerabilities
• Secunia:
– https://secunia.com/community/advisories/
• OSVDB
– http://osvdb.org/search/advsearch
• X-Force de IBM
– http://www.ibm.com/security/xforce
• Operación de Nessus:
– Nessus realizada un mapeo de todos los puertos que están
abiertos en el servidor destino
– A continuación envía los plugin o firmas de trafico que tiene
configurados a los puertos disponibles
– Luego recibe la respuesta del servidor para validar si la
vulnerabilidad existe
– Luego compara el resultado con su base de dato interna para
validar la clasificación de las vulnerabilidades encontradas
• Foudstone de McAfee
– http://www.mcafee.com/us/services/foundstone-
services/index.aspx
• NexPose de Rapid7
– https://www.rapid7.com/products/nexpose/
• QVM de IBM
– http://www-03.ibm.com/software/products/en/qradar-
Diplomado de Seguridad de la Información
vulnerability-manager/ 43
Análisis de Seguridad de Sistema Operativo
• El mercado de las herramientas de Vulnerability
Assessment según Gartner
• Clasificación de vulnerabilidades
– Calculadora NVD
– Iniciativa OVAL
59
Mitigación de vulnerabilidades
• Definición: es el proceso en el cual se remedia la
problemática asociada a una vulnerabilidad o se inhibe
su efecto. Existen dos formar para realizar esta función
– Control correctivo: el cual corrige la vulnerabilidad a través de
un parche publicado por el fabricante o una corrección en la
configuración
– Control compensatorio: es un método alternativo para
remediar la vulnerabilidad, típicamente un HIDS, IPS o
aislación.
• Ubuntu:
– http://www.ubuntu.com/usn/
• Apple:
– http://lists.apple.com/archives/security-announce
• Red-Hat:
– https://access.redhat.com/security/security-updates/#/
Diplomado de Seguridad de la Información 63
Mitigación de vulnerabilidades
• Ejemplo de un reporte de mitigación de Nessus
69
Hardening de Servidores
• Definición: es el proceso a través del cual se mejora la
seguridad de un sistema a ejecutando las labores de
mitigación de vulnerabilidades. Además en este
proceso se incorporan todas las configuraciones
recomendadas por los fabricantes y las entidades de
seguridad, tales como:
• CIS (Center for Internet Security):
– https://benchmarks.cisecurity.org/downloads/browse/index.cfm?
category=benchmarks.os
• NSA:
– https://www.nsa.gov/ia/mitigation_guidance/security_configurati
on_guides/
• Características:
– Crea archivos cifrados de cualquier tamaño
– Crea directorios cifrados compartidos
– Permite crear volúmenes o particiones cifradas
– Permite doble autenticación
• Ejemplo de configuración:
• Referencia:
– https://openvpn.net/index.php/open-
source/documentation/howto.html
Diplomado de Seguridad de la Información 83
Hardening de Servidores
• Seguridad en OpenVPN:
• Las principales recomendaciones para evitar algunos
incidentes de seguridad es agregar los siguientes
comandos al archivo de configuración:
• Evitar ataques DoS:
– # tls-auth llave_precompartida direccion_IP
– # conect-freq no_conexiones tpo_segundos
• Referencia:
– http://www.linuxcommand.org/man_pages/arpwatch8.html
• Reiniciar el servicio:
– # /etc/init.d/rsyslog restart
• Configuración de /etc/rsyslog.conf
• Comprobación de funcionamiento:
• La forma mas utilizada es ejecutar el comando logger
– # logger –t LOG “esto es una prueba”
• Seguridad en Hardening
– Principios de Seguridad
– Cifrado de discos
– Cifrado de archivos
– VPN (OpenVPN)
• Protección de Servidores
– Protección contra ARP Spoofing
– Protección contra DCHP Spoofing
– Jaulas con CHROOT
– Listas de control de acceso (ACL)
• Almacenamiento de logs
– Configuración de servidor
– Configuración de envío seguro de logs
– Configuración de cliente
– Arquitectura de un sistema de almacenamiento de logs
115
Introducción
• La gran mayoría de los datos sensibles del mundo
están almacenados en sistemas gestores de bases de
datos comerciales tales como Oracle, Microsoft SQL
Server, entre otros, y atacar una bases de datos es uno
de los objetivos favoritos para los criminales.
• Esto puede explicar por qué los ataques externos, tales
como inyección de SQL, subieron 345% en 2012, “Esta
tendencia es prueba adicional de que los agresores
tienen éxito en hospedar páginas Web maliciosas, y de
que las vulnerabilidades y explotación en relación a los
navegadores Web están conformando un beneficio
importante para ellos
• Oracle en Windows:
– No instalar la base de datos en un controlador de dominio
– Crear una cuenta independiente por cada DBA
– Valide que el usuario de Oracle es propietario de todos los
archivos bajo el directorio $ORACLE_HOME/bin
– Deshabilitar iSQL*plus para los servidores de producción
Diplomado de Seguridad de la Información 117
Seguridad en Bases de Datos
• Recomendaciones para hardening de bases de
datos
• SQL Server:
– Instalar en una partición NTFS
– Utilizar una cuenta de bajo privilegio para la instalación
– NO utilizar las cuentas de Administrador o LocalSystem
– Remover la cuenta de invitado (guest) y las cuentas de ejemplo
– Utilizar la autenticación de Windows en lugar de otro sistema
– Permitir el acceso solo desde la red local
– Deshabilitar las capacidades de envío de correo electrónico
– No instalar los procedimientos extendidos de creación de
usuarios
– No instalar la búsqueda “full-text”
Diplomado de Seguridad de la Información 118
Seguridad en Bases de Datos
• Sitios de interés para información de Seguridad en
Bases de Datos
• SQL Server:
– http://www.sqlsecurity.com/home
– https://technet.microsoft.com/es-ES/sqlserver/ff803383.aspx
• Oracle:
– http://www.oracle.com/technetwork/topics/security/alerts-
086861.html
• DB2:
– http://www-01.ibm.com/support/docview.wss?uid=swg27007053
• MySQL:
– http://dev.mysql.com/downloads/
Diplomado de Seguridad de la Información 119
Seguridad en Bases de Datos
• Sitios especializados en búsqueda de vulnerabilidades
para Bases de Datos:
• Security Tracker:
– http://securitytracker.com/search/search.html
Aplicación Control de
Acceso
Sistema
Operativo
Errores de
Base de configuración
Datos
Vulnerabilidades
Datos
Confidencialidad
• Sistema Operativo:
– Análisis de vulnerabilidades y parchado
• Base de Datos:
– Firewall de Bases de Datos
– Auditoria de configuraciones
• Datos:
– Cifrado y ofuscamiento
Diplomado de Seguridad de la Información 124
Seguridad en Bases de Datos
• Modelo de conexión a bases de datos (3 capas)
• SQL Server:
• SQLSus
– http://sqlsus.sourceforge.net/
• Rational de IBM
– http://www-01.ibm.com/software/cl/rational/
Auditoría
¿Qué hizo?
Cifrado
¿Quién puede
verlo?
Autorización
¿Quién puede hacerlo?
• Perforce
– https://www.perforce.com/threat-detection
• A.- Red
• B.- Transporte
• C.- Aplicación
• D.- Sesión
156
Seguridad en aplicaciones web
• Introducción:
• Para nadie es una sorpresa saber que las aplicaciones
web están creciendo a tasas muy altas.
• BurpSuite de PortSwigger
– http://portswigger.net/burp/download.html
• WebScarab de OWASP
– https://www.owasp.org/index.php/Category:OWASP_WebScara
b_Project
• Principales amenazas
– OWASP Top 10
– SQL Injection
– Session Hijacking
– XSS
– CSRF
– Inyección de comandos
• SDLC
• OWASP
– Guía de revisión de OWASP
– Métodos de mitigación
• Herramientas
• A.- CSRF
• B.- XSS
• C.- SQL Injection
• D.- Command Injection
• A.- Diseño
• B.- Finalización
• C.- Pruebas
• D.- Desarrollo
220