Evaluar la seguridad

de la red
Jouber Perdomo
Auditoría de Sistemas de Información
y Seguridad de Datos
Especialización
Descripción general de la sesión

Planear evaluaciones de seguridad

Recopilar información acerca de la organización
Prueba de penetración para ataques de intrusos
Planear evaluaciones de seguridad

Planear evaluaciones de seguridad

Recopilar información acerca de la organización
Prueba de penetración para ataques de intrusos
Situación Actual. ¿Por donde comenzar?
Valuación de los Activos
Análisis de Vulnerabilidad
Análisis de Amenazas
Medición del Riesgo
Análisis del Riesgo
Políticas de Seguridad Informática
Entender los componentes de la auditorías de
seguridad de informática

Modelo de política de
seguridad Operaciones

Documentación

Implementación

Tecnología

Proceso Empezar con la política

Integrar el proceso
Política
Aplicar tecnología
 Implementar una auditoría de seguridad de
informática

Comparar cada área contra estándares y mejores prácticas

Procedimientos Operaciones
Política de seguridad documentados

Lo qué debe hacer Lo qué dice que hace Lo qué realmente hace
Políticas de Seguridad Informática
Ubicación Organizacional

Sus responsabilidades son:

Soportar los objetivos de seguridad de información de la

organización.
Coordinación de esfuerzos entre el personal de sistemas y
usuarios funcionales.
Promover la seguridad de la información.
Implementar las mejores prácticas en seguridad de los
activos de información.
¿Por qué falla la seguridad de la red?

La seguridad de la red falla en varias áreas comunes,

incluyendo:

Conciencia humana
Factores de política
Malas configuraciones de hardware o software
Supuestos erróneos
Ignorancia
No permanecer actualizado
Entender la defensa a profundidad

Utilizar un enfoque dividido por etapas:

Aumentar la detección de riesgo de un agresor
Reduce la posibilidad de éxito de un agresor
Contraseñas fuertes, ACLs, estrategia
Datos de respaldo y restauración

Aplicación Fortalecimiento de la aplicación

Fortalecer el sistema operativo,
Host autenticación administración de
actualizaciones de seguridad,
actualizaciones de antivirus, auditoría
Red interna Segmentos de red, NIDS

Firewalls, enrutadores más amplios,

Perímetro
Seguridad física
Políticas, procedimientos y conciencia
VPNs con procedimientos de cuarentena
Protecciones, seguros, dispositivos de
seguimiento
Políticas de seguridad, procedimientos
y educación
¿Por qué realizar evaluaciones de seguridad?

Las evaluaciones de seguridad pueden:

Responder la pregunta “¿Nuestra red es segura?” y “¿Cómo
sabemos que nuestra red es segura?”
Proporcionar una línea de base para ayudar a mejorar la
seguridad
Encontrar errores de configuración o actualizaciones de
seguridad faltantes
Revelar las debilidades inesperadas en la seguridad de su
organización
Asegurar el cumplimiento normativo
 Planear una evaluación de seguridad

Fase del proyecto Elementos de planeación

Alcance
Objetivos
Pre-evaluación Escala de tiempo
Reglas desde el fondo
Elegir tecnologías
Evaluación Realizar evaluación
Organizar resultados
Estimar el riesgo presentado por las debilidades descubiertas
Crear un plan para la remediación
Preparar resultados Identificar las vulnerabilidades que no se hayan remediado
Determinar las mejoras en la seguridad de la red al paso del
tiempo
Crear un informe final
Reportar sus Presentar sus hallazgos
hallazgos
Hacer arreglos para su siguiente evaluación
 Entender el alcance de la evaluación de
seguridad

Componentes Ejemplo:
Todos los servidores ejecutan:
Meta Windows 2000 Server
Windows Server 2003
Todos los servidores en las subredes:
Área objetivo 192.168.0.0/24
192.168.1.0/24

La exploración tendrá lugar desde junio 3 hasta junio 10 durante

Escala de tiempo las horas de negocios no criticas

Definición de parámetros de seguridad, diferentes a los

Identificación de establecidos en las políticas.
Vulnerabilidades Puertos libres, de fácil acceso por hackers.
Prácticas no acordes a los estándares.
Tipos de evaluaciones de seguridad (26-03-09)

Exploraciones de vulnerabilidades:
Se enfoca en las debilidades conocidas
Se puede automatizar
No requiere experiencia necesariamente

Pruebas de penetración:
Se enfoca en las debilidades conocidas y desconocidas
Requiere probadores altamente capacitados
Lleva una carga legal tremenda en ciertos países/organizaciones

Auditoría en la seguridad de informática:

Se enfoca en las políticas y procedimientos de seguridad
Se utiliza para proporcionar evidencia para las normas de la
industria
Utilizar la exploración de vulnerabilidades para
evaluar la seguridad de la red

Desarrollar un proceso para explorar vulnerabilidades que

permita lo siguiente:

Detectar vulnerabilidades
Asignar niveles de riesgo a las vulnerabilidades descubiertas
Identificar las vulnerabilidades que no se hayan remediado
Determinar las mejoras en la seguridad de la red al paso del
tiempo
Utilizar pruebas de penetración para evaluar la
seguridad de la red

Los pasos para una prueba de penetración exitosa

incluyen:
Determinar cómo el agresor es más probable que vaya a atacar
1 una red o una aplicación
Localizar áreas de debilidad en una red o en defensas de la
2 aplicación

3 Determinar cómo un agresor puede explotar las debilidades

4 Localizar activos que se puedan acceder, alterar o destruir

5 Determinar si se detectó un ataque

6 Determinar cómo se ve la huella del ataque

7 Hacer recomendaciones
Informar hallazgos sobre la evaluación de
seguridad

Organizar información en el siguiente

marco de generación de informes:
Definir la vulnerabilidad
Documentar planes de mitigación
Identificar dónde suelen ocurrir los cambios
Asignar responsabilidades para implementar
recomendaciones aprobadas
Recomendar el momento para la siguiente evaluación
de seguridad
Recopilar información acerca de la organización

Planear evaluaciones de seguridad

Recopilar información acerca de la organización
Prueba de penetración para ataques de intrusos
¿Qué es un ataque no intruso?

Ataque no intrusivo: El intento de obtener información

acerca de la red de una organización al preparar un ataque
más destructivo en un tiempo posterior

Ejemplos de ataques no intrusivos incluyen:

Reconocimiento de la información
Exploración del puerto
Obtener información del host utilizando
técnicas de huellas
Descubrimiento de la red y del host
Técnicas de reconocimiento de información

Tipos comunes de información buscados por los agresores

incluyen:
Configuración del sistema
Cuentas de usuario válidas
Información del contacto
Servidores de acceso remoto y extranet
Socios de negocios y adquisiciones recientes o fusiones

La información acerca de su red se puede obtener por medio de:

Información de registro de consultas

Determinar las asignaciones de direcciones IP
Organización de las páginas Web
Búsqueda de motores
Foros públicos de análisis
¿Qué información se puede obtener al escanear
los puertos?

Los resultados generales de una exploración de puerto

incluyen:
Descubrir los puertos que escuchan o están abiertos
Determinar qué puertos rechazan las conexiones
Determinar las conexiones que están en tiempo de espera
Prueba de penetración para ataques de intrusos

Planear evaluaciones de seguridad

Recopilar información acerca de la organización
Prueba de penetración para ataques de intrusos
¿Qué son las pruebas de penetración para
ataques de intrusos?

Ataque intrusivo: Realizar tareas específicas que tengan

como resultado poner en peligro la información, la
estabilidad o la disponibilidad del sistema

Los ejemplos de las pruebas de penetración para los

métodos de ataques intrusivos incluye:
Exploración de la vulnerabilidad automatizada
Ataques a contraseñas
Ataques de negación de servicio
Ataques a la base de datos y aplicación
Paquetes de red
¿Qué es un ataque a contraseñas?

Los dos tipos principales de ataques a contraseñas son:

Ataques de fuerza bruta

Ataques de revelación de contraseñas

Contramedidas para protegerse contra ataques a

contraseñas incluyen:
Solicitar contraseñas complejas
Educar a los usuarios
Implementar tarjetas inteligentes
Crear políticas que restrinjan las contraseñas en los archivos de
lote, secuencias de comandos o páginas Web
¿Qué es el ataque de negación de servicio?

Ataque de negación de servicio (DoS): Cualquier intento

de un agresor para negar el acceso de su victima a un
recurso

Los ataques DoS se pueden dividir en tres categorías:

Una gran cantidad de ataques
Ataques de privación de recursos
Interrupción de servicios
¿Qué es el examen de red?

Sniffing de red: La habilidad de un agresor de escuchar a

escondidas comunicaciones entre los hosts de la red

Un agresor puede realizar sniffing de la red al realizar las

siguientes tareas:

1 Comprometer al host

2 Instalar un sniffer de red

3 Utilizar un sniffer de red para capturar los datos confidenciales

tales como credenciales de red
Utilizar credenciales de red para poner en riesgo a
4
hosts adicionales
Las contramedidas para los ataques de
exámenes de red

Para reducir la amenaza de los ataques de exámenes de

red en su red considere lo siguiente:
Use la encriptación para proteger datos
Utilice interruptores en lugar de concentradores
Asegure los dispositivos centrales de la red
Utilice cables cruzados
Desarrolle políticas
Realice escaneos regulares
Cómo los agresores evitan la detección después
de un ataque

Las formas más comunes en que los agresores evitan la

detección después de un ataque incluyen:
Instalar rootkits (herramienta que se esconde y
esconde a otros programas)
Falsificar los archivos de registro
Contramedidas para las técnicas de editar la
detección

Técnicas para evitar Contramedidas

Saturación los archivos de
Respalde los archivos de registro antes de que se sobrescriban
registro
Utilizar mecanismos de Asegúrese que su mecanismo de conexión está utilizando la
inicio de sesión versión más actualizada de software en todas las actualizaciones

Atacar los mecanismos de

Mantener el software y las firmas actualizadas
detección
Utilizar señuelos Asegure los sistemas finales y las redes atacadas
Utilizar rootkits Implemente las estrategias de defensa a fondo

Asegure las ubicaciones de los archivos de registro

Falsificar los archivos de Almacene los registros en otro host
registro Utilice la encriptación para proteger los archivos de registro
Respalde los archivos de registro
Preguntas y respuestas
Evaluación