ASEGURAMIENTO DEFENSA EN PROFUNDIDAD
ASEGURAMIENTO DEFENSA EN PROFUNDIDAD Si todo lo que se encuentra entre su información mas sensible y un atacante es una sola capa de seguridad, el trabajo del atacante se hace sencillo. Ninguna medida de seguridad; y en un concepto mas amplio, ninguna capa de seguridad, es infalible contra los ataques. Al agregar capas independientes a la arquitectura de seguridad se aumenta el tiempo que puede tomar el atacar un sitio, lo que permitiría en ultimas detectar las intrusiones y los ataques justo cuando estos ocurren.
La filosofía “Defense in Depth” establece que: “los sistemas de seguridad de un sistema deben ser entendidos y contenidos dentro de capas, cada una independiente de la anterior de forma funcional y conceptual”. DATOS Seguridad Lógica Seguridad Fisica
Page 2
ASEGURAMIENTO DEFENSA EN PROFUNDIDAD
El reto Hoy: Interconectividad e Interoperabilidad
Page  3
ASEGURAMIENTO DEFENSA EN PROFUNDIDAD CONCEPTOS DE DISEÑO
• • • •
EVALUACIÓN DE RIESGOS ESTRATEGIAS Y ESTÁNDARES ZONAS SEGURAS ENDURECIMIENTO DE SISTEMAS – – – – – – – – – – – – – –
Page 6
Endurecimiento del Sistema Operacional Eliminar servicios no requeridos Actualización periódica de parches (sistemas operativos y aplicaciones) Desactivar protocolos no encriptados Protección contra virus Renombrar cuentas de administrador Cambiar passwords por defecto Desactivar cuentas de invitado No permitir anonimus FTP Incrementar tamaño de archivos de log Permisos sobre directorios, archivos y otros objetos Desplegar mensajes de alerta Implementar el concepto de menor privilegio Separación de funciones
COMPONENTES •
ENRUTADORES
•
SWITCHES
•
FIREWALLS
•
ACCESO REMOTO – VPN
•
ACCESO REMOTO – DIAL UP
•
REDES INALAMBRICAS
•
DETECCIÓN DE INTRUSIONES
•
EVALUACION DE LA SEGURIDAD DE LA RED
•
Análisis de vulnerabilidades
ASEGURAMIENTO DEFENSA EN PROFUNDIDAD
Medidas de control segmentadas en capas de protección – Aplica medidas de control en cada capa de cada componente que interactúa en una solución, desde la capa de perímetro hasta la capa de datos – Reduce la posibilidad de un único punto de vulnerabilidades cuando el sistema es atacado
Reducción del riesgo por: – Análisis de vulnerabilidades presentes en los sistemas – Análisis de amenazas presentes que pueden tomar ventaja de esas vulnerabilidades – Implementación de los medidas de control apropiadas en cada capa Page 7
ASEGURAMIENTO DEFENSA EN PROFUNDIDAD
Datos Aplicación Servidor Red Perímetro Seguridad Física Políticas, procedimientos, Concientización
Page 8
ASEGURAMIENTO DEFENSA EN PROFUNDIDAD
Como minimizar la superficie de ataque? Listas de Acceso, Encriptación Datos Aplicación Servidor
Red Interna Perímetro Seguridad Física Políticas, Procedimientos, Concientización Page 9
Aseguramiento de App, Antivirus Aseguramiento del SO, Autenticación, Actualizaciones de OS, Detector de Intrusos local Segmentación de Red, IPSec, Detector de Intrusos dered Muros de fuego, Control de acceso de Cuarentena Guardas, Cerrojos, Dispositivos de monitoreo Documentación de Seguridad, Educación al Usuario
ASEGURAMIENTO DEFENSA EN PROFUNDIDAD
Escala de gravedad CALIFICACIÓN
Clasificación de los impactos
Page 10
Clasificación de los incidentes
Puntos de control
HOMOLOGACIÓN
Ciclo de vida del sistema
ASEGURAMIENTO DEFENSA EN PROFUNDIDAD
Page 11
ASEGURAMIENTO DEFENSA EN PROFUNDIDAD Escala de gravedad
Elementos de medida
Componentes de seguridad
Ciclo de vida del sistema
CALIFICACIÓN
Clasificación de los impactos
Clasificación de los riesgos
Clasificación de los incidentes
ESCALA DE GRAVEDAD SSI Page 12
HOMOLOGACIÓN
Puntos de control
ASEGURAMIENTO DEFENSA EN PROFUNDIDAD
Caso. Empresa XYZ
Page 13
ASEGURAMIENTO DEFENSA EN PROFUNDIDAD RED ACTUAL
router
switch
Interface LAN 192.168.1.1/24
IDS/IPS
firewall
Interface WAN 2.0.02
Interface DMZ 192.168.2.1/24 cliente
servidor base datos Page  14
servidor archivos
cliente
servidor web puerto (80)
servidor correo puerto (25)
Empresa XYZ
ASEGURAMIENTO DEFENSA EN PROFUNDIDAD Interface LAN 192.168.1.1/2 4
switch
router
Interface DEFENSA EN PROFUNDIDAD IDS/IPS firewall WAN 2.0.02 ACTUAL
FIREWALL
IDS/IPS
Interface DMZ 192.168.2.1/2 4
SEGMENTACION DE RED cliente cliente
DMZ ANTIVIRUS ANTI SPYWERE servidor base datos
POLITICAS DE CAMBIO DE servidor
CONTRASEÑAS FRECUENTES
archivo s
servidor web puerto (80)
servidor correo puerto (25)
Page 15
Empresa XYZ
ASEGURAMIENTO DEFENSA EN PROFUNDIDAD Interface LAN 192.168.1.1/ 24
router
switch IDS/IP S
firewall
Interface WAN 2.0.02
ANALISIS DE LAS DEBILIDADES DEL MODELO DEFENSA cliente cliente INSTALADO ACTUALMENTE EN LA EMPRESA XYZ
Page 16
servid or base datos
servid or archiv os
Interface DMZ 192.168.2.1/ 24
servidor servidor web puerto correo (80) puerto (25)
ASEGURAMIENTO DEFENSA EN PROFUNDIDAD RED ACTUAL
router
switch
Interface LAN 192.168.1.1/24
IDS/IPS
firewall
Interface WAN 2.0.02
Interface DMZ 192.168.2.1/24 cliente
servidor base datos Page  17
servidor archivos
cliente
servidor web puerto (80)
servidor correo puerto (25)
Empresa XYZ
ASEGURAMIENTO DEFENSA EN PROFUNDIDAD ATAQUE # 1
router
switch
Interface LAN 192.168.1.1/24
IDS/IPS
firewall
Interface WAN 2.0.02
Interface DMZ 192.168.2.1/24
cliente
servidor base datos Page  18
servidor archivos
cliente
servidor servidor web puerto correo (80) puerto (25)
Empresa XYZ
ASEGURAMIENTO DEFENSA EN PROFUNDIDAD SOLUCION # 1
router
switch Interface LAN 192.168.1.1/24
Interface WAN 2.0.02
firewall
IDS/IPS
Interface DMZ 192.168.2.1/24
cliente
servidor base datos Page  19
servidor archivos
cliente
servidor servidor web puerto correo (80) puerto (25)
Empresa XYZ
ASEGURAMIENTO DEFENSA EN PROFUNDIDAD ATAQUE # 2
switch
router
Interface LAN 192.168.1.1/24
Interface WAN 2.0.02
firewall
IDS/IP S Interface DMZ 192.168.2.1/24 cliente
servidor base datos
servidor archivos
cliente
servidor servidor web puerto correo (80) puerto (25)
Page  20
Empresa XYZ
ASEGURAMIENTO DEFENSA EN PROFUNDIDAD SOLUCION # 2 Interface LAN 192.168.1.1/24
router
switch
Interface WAN 2.0.02
firewall
IDS/IPS
Interface DMZ 192.168.2.1/2 4
IDS/IPS
cliente
cliente
firewall
servidor servidor base datos archivos
servidor web puerto (80)
servidor correo puerto (25)
Page  21
Empresa XYZ
ASEGURAMIENTO DEFENSA EN PROFUNDIDAD ATAQUE # 3
router
switch
Interface LAN 192.168.1.1/24
Interface WAN 2.0.02
firewall
IDS/IPS
Interface DMZ 192.168.2.1/24
IDS/IP S
cliente
cliente
firewall
Page  22
servidor base datos
servidor archivos
servidor web puerto (80)
servidor correo puerto (25)
Empresa XYZ
ASEGURAMIENTO DEFENSA EN PROFUNDIDAD
SOLUCION # 3
router
switch
Interface LAN 192.168.1.1/24
Interface WAN 2.0.02
firewall
IDS/IPS
IDS/IP S firewall
servidor base datos Page  23
servidor archivos
Interface DMZ 192.168.2.1/24 cliente
servidor correo puerto (25)
cliente
servidor web puerto (80)
Empresa XYZ
ASEGURAMIENTO DEFENSA EN PROFUNDIDAD SOLUCION # 3
router
switch
Interface LAN 192.168.1.1/24
Interface WAN 2.0.02
firewall
IDS/IPS
Interface DMZ 192.168.2.1/24
IDS/IPS cliente
cliente
firewall
servidor base datos
Page  24
servidor archivos
servidor correo puerto (25)
servidor web puerto (80)
servidor SMTP antivirus antispam
Empresa XYZ
ASEGURAMIENTO DEFENSA EN PROFUNDIDAD SOLUCION # 3
router
switch
Interface LAN 192.168.1.1/24
Interface WAN 2.0.02
firewall
IDS/IPS
Interface DMZ 192.168.2.1/24
IDS/IPS
cliente
cliente
firewall
servidor base datos
Page  25
servidor archivos
servidor correo puerto (25)
servidor web puerto (80)
servidor SMTP antivirus antispam
Empresa XYZ
ASEGURAMIENTO DEFENSA EN PROFUNDIDAD ATAQUE # 4
router
switch
Interface LAN 192.168.1.1/24
Interface WAN 2.0.02
firewall
IDS/IP S Interface DMZ 192.168.2.1/24
IDS/IPS cliente
cliente Sniffer
firewall
servidor base datos Page  26
servidor archivos
servidor correo puerto (25)
servidor web puerto (80)
servidor SMTP antivirus antispam
Empresa XYZ
ASEGURAMIENTO DEFENSA EN PROFUNDIDAD SOLUCION # 4 switch
router
red cifrada
Interface LAN 192.168.1.1/24
Interface WAN 2.0.02
firewall
IDS/IPS
Interface DMZ 192.168.2.1/2 4
IDS/IPS cliente
cliente
firewall
servidor base datos Page  27
servidor archivos
servidor correo puerto (25)
servidor web puerto (80)
servidor SMTP antivirus antispam
Empresa XYZ
ASEGURAMIENTO DEFENSA EN PROFUNDIDAD
ATAQUE # 5 Interface LAN 192.168.1.1/24
router
switch
red cifrada Interface WAN 2.0.02
firewall
IDS/IPS
Interface DMZ 192.168.2.1/2 4
IDS/IPS cliente
cliente
firewall
servidor base datos Page  28
servidor archivos
servidor correo puerto (25)
servidor web puerto (80)
servidor SMTP antivirus antispam
Empresa XYZ
ASEGURAMIENTO DEFENSA EN PROFUNDIDAD SOLUCION # 5 switch
router
red cifrada
Interface LAN 192.168.1.1/24
Interface WAN 2.0.02
firewall
IDS/IP S Interface DMZ 192.168.2.1/24
IDS/IPS cliente
cliente
firewall
servidor base datos cifrada Page  29
servidor archivos
servidor correo puerto (25)
servidor web puerto (80)
servidor SMTP antivirus antispam
Empresa XYZ
ASEGURAMIENTO DEFENSA EN PROFUNDIDAD switch
router
red cifrada
Interface LAN DEFENSA 192.168.1.1/2 4 2 FIREWALL
EN PROFUNDIDAD ACTUAL
Interface WAN 2.0.02
firewall
2 IDS/IPS SEGMENTACION DE RED
IDS/IPS
DMZ
Interface DMZ 192.168.2.1/2 4
ANTIVIRUS IDS/IPS ANTI firewall SPYWERE
cliente
cliente
POLITICAS DE CAMBIO DE CONTRASEÑAS FRECUENTES SERVIDOR SMTP TRANSMISION EN RED CIFRADA BASE DATOS CIFRADA servidor base datos cifrada Page 30
servidor archivos
servidor correo puerto (25)
servidor web puerto (80)
servidor SMTP antivirus antispam
Empresa XYZ
ASEGURAMIENTO DEFENSA EN PROFUNDIDAD
MODELO DE DEFENSA EN PROFUNDIDAD MCAFEE: • Endpoint Encryption • E-Business Server
DATOS APLICACION
PANDA: TruPrevent McAfee: Host Intrusion Prevention
Panda:GateDefender Performa 8200 Cisco:ASA 5505 Firewall Edition Bundle
HOST RED INTERNA PERIMETRO SEGURIDAD FISICA
Page 31
CISCO: • SECURE IDS •IDS Server 4.1
Políticas, Procedimientos Concientizaciòn
3Com: TippingPoint IPS 5000E McAfee:IPS de red IntruShield
ASEGURAMIENTO DEFENSA EN PROFUNDIDAD CAPA
MARCAS
DATOS McAfee
PRODUCTOS
Endpoint Encryption
E-Business Server
Page 32
SW
X
HW
CARACTERISTICAS
Protege dispositivos y datos
COSTOS
99.63€
99.34€ X
ASEGURAMIENTO DEFENSA EN PROFUNDIDAD CAPA APLICACION
Page 33
MARCAS
PRODUCTOS SW
CISCO
Secure IDS
IDS Server
IDS Server 4.1
HW X
X
CARACTERISTICAS
COSTOS
Cisco Secure IDS es un sistema U$ 1500 basado en la red de detección de intrusos que utiliza una base de datos de la firma para activar alarmas de intrusión.
IDS Server 4.1 es un servidor de U$ 950 base de datos de acceso que permite a las aplicaciones Java y. NET para conectarse a bases de datos. con Visual J #.
ASEGURAMIENTO DEFENSA EN PROFUNDIDAD
CAPA
MARCAS
PRODUCTOS
HOST
PANDA
TruPrevent
SW
X
McAfee
Page 34
Host Intrusion Prevention
X
HW
CARACTERISTICAS
COSTOS
€ 42,43 Las Tecnologías Antivirus TruPrevent cubren esta necesidad de seguridad adicional, protegiendo su red corporativa tanto de virus desconocidos como de intrusos. McAfee Host Intrusion Prevention le ayuda a proteger de manera preventiva los servidores frentes a las amenazas complejas instigadas por los ciberdelincuentes.
€ 40,43
ASEGURAMIENTO DEFENSA EN PROFUNDIDAD CAPA
MARCAS
RED 3Com INTERNA
McAfee
PRODUCTOS
SW
TippingPoint IPS 5000E
IPS de red IntruShield
X
HW
CARACTERISTICAS
COSTOS
X
El IPS TippingPoint funciona en € 65.000 línea en la red, bloqueando el tráfico malicioso y no deseado, mientras permite pasar sin interrupciones al tráfico "bueno".
X
IntruShield supera las normas Telcordia y es el único dispositivo IPS que cuenta con la certificación Multi-Gigabit IPS del NSS Group; €74.551
Page 35
ASEGURAMIENTO DEFENSA EN PROFUNDIDAD CAPA
MARCAS PRODUCTOS
PERIMETRO
Panda
GateDefender Performa 8200
X
Es una robusta solución de alto rendimiento, 15.167 € hardware de seguridad que actúa desde el perímetro o puerta de entrada a la red.
Cisco
ASA 5505 Firewall Edition Bundle
X
Prevención de intrusos y servicios de seguridad en contenidos, y todo en un flexible y modular producto. Seguridad de Contenido y Software Anti-X en su empresa Soluciones Worry Free de Trend Micro Soluciones de VPN SSL/IPsec Soluciones de Firewall
Page 36
SW HW CARACTERISTICAS
COSTOS
2409 €