servidor de usuarios - seginfo.tripod.comseginfo.tripod.com/files/seg3b.pdf · servidores que...

1

1

ISO

177

99

Taller de Seguridad Informá tica Ing. Jorge Eterovic – Ing. Pablo Pomar

Personal Computers

Mainframe Valida Usuarios

Base de Datos

Archivos / Impresió n

Backup

Correo

Antivirus

RADIUS

Server

DataWarehouse

WEB

Recursos - Servidores

Componentes de una Red: vulnerabilidades y seguridad

2

ISO

177

99


Servidor de UsuariosEstos servidores validan a los usuarios para que puedan usar los dispositivos de red.Debe haber tolerancia a fallos o replicació n entre server auxiliares.En estos server se ajustan las políticas de cuentas de los usuarios.


PDF created with FinePrint pdfFactory Pro trial version http://www.fineprint.com

http://www.fineprint.com

2

3

ISO

177

99


Políticas de cuentas recomendadas:Password robustasMantener histó rico de contraseñasCambio de contraseñas perió dicosBloqueo de cuenta en intentos invá lidosHorarios de ingreso a la red

Cuenta de Administrador renombradaPocas cuentas de administració nBackup continuo sobre estos serverSuelen ser también servidores de Archivos


4

ISO

177

99


Servidor de Base de DatosServidores que poseen un gran volumen de informació n.Servidores con Oracle, Informix, Ms Sql, As/400,My Sql,etc.Definir usuario de instalació n con contraseña. Requieren control continuo y políticas de backup.




3

5

ISO

177

99


Servidor de Archivo / Impresió nServidores que poseen un gran volumen de informació n en formato de archivos independientes generados por los usuarios.Requiere exhaustivo control de permisos y auditoría.Requiere backup constante y un buen antivirus.Suelen incorporarse este rol sobre el server de usuarios o el de backup.


6

ISO

177

99


Servidor de CorreoServidor que permiten el envío y recepció n de correos dentro y fuera de la empresa.Suelen incorporarse soluciones como Lotus Domino, Ms Exchange, Mdaemon,etc.Requieren de configuració n segura para evitar spam.Necesitan control sobre el contenido de los e-mails.Requieren backup y antivirus.




4

7

ISO

177

99


Servidor de AntivirusServidores que poseen un administrador de las herramientas de antivirus.Distribuye la actualizació n de la firma bajada desde Internet.Recomendado como herramienta de integració n.Suele estar incorporado en el Servidor de Archivos.Soluciones como Norton Enterprise, McAfee, eTrust 7.0,etc.


8

ISO

177

99


Servidor de Radius• Servidor que permite validar y administrar usuarios

que deben acceder desde RAS desde distintos puntos de la empresa.

• Muy usado en empresas que usan pools de modem.

• Simplifica la administració n.




5

9

ISO

177

99


Servidor de DatawarehouseServidor que se alimenta de los datos de la base de datos y realiza procesos para elaborar informes complejos.Consume recursos al procesar la informació n.Requiere de buen hardware.Suelen usarse productos como el Oracle, Microestrategy, cubo OLAP de MsSql, etc.


10

ISO

177

99


Servidor de WebServer que publica pá ginas en formato html, php, Jsp y las deja disponible internamente (intranet) o de manera externa (internet).Requiere mucha seguridad.Server con permisos especiales para personal que actualiza contenido.Son los má s susceptibles a ataques.Verificar vulnerabilidad contra exploits




6

11

ISO

177

99


Accesos RemotosLos accesos remotos permiten a usuarios, proveedores e invitados acceder a la LAN, residiendo físicamente afuera de la LAN.Se puede utilizar los servicios de

RAS = Remote Access ServiceVPN = Virtual Protocol NetworkTerminal Server


12

ISO

177

99


ModemMOdulador – DEModuladorDispositivo que permite unir redes a travé s de líneas telefó nicas.Muy usado en redes WAN (Internet) y para acceso mediante el servicio de RAS (Remote Access Service).Dispositivo lento




7

13

ISO

177

99


RAS = Remote Access ServiceDenominació n gené rica para cualquier dispositivo que provee un punto de acceso a la LAN.Normalmente se utiliza conexiones de modem.Radius = Servidor de validació n. Tratar siempre de concentrar la autenticació n.


14

ISO

177

99


Conceptos generales de RASTratar de no utilizar PAP.Centralizar con AAA:

Authentication : reconoce usuarioAuthorization : validar que la tarea sea realizadaAccounting : Registra las actividades

RADIUS : Remote Authentication Dial-in User ServiceEn Windows es el IAS (Internet Authentication Service)




8

15

ISO

177

99


Servidor de acceso remoto

Mó dem

Mó dem

RAS = Remote Access Service


16

ISO

177

99


Clientede acceso

remoto

Directiva de

acceso remoto

Servidorde

acceso remoto

Permitir el acceso a grupos específicos

Definir días y horas

Configurar métodos de autenticació n

Configurar opciones de cifrado

Especificar tiempos má ximos de sesió n

Restringir subredes

RAS




9

17

ISO

177

99


VPN = Redes Privadas Virtuales

La té cnica de VPN consiste en establecer una conexió n virtual “segura” entre dos dispositivos aprovechando una red pública.

Tecnologías: IPSec para implementaciones corporativas seguras y PKI ( Public Key Infraestracture) para implementaciones de VPN con múltiples sitios.


18

ISO

177

99


VPN = Redes Privadas VirtualesVirtual : se dice que es virtual porque no necesita de un circuito dedicado para funcionar.Private : se dice que es privada porque

proporciona mecanismos de encriptació n mediante distintos algoritmos. Network : se dice que es una red dado que una

vez establecida funciona y se administra como una lan standard.




10

19

ISO

177

99


Por Hardware:Firewalls: ademá s de cumplir su funció n principal que es la de inspeccionar el trá fico, permiten la implementació n de túneles seguros.Gateways: son dispositivos construidos para implementar VPNs específicamente, tienen gran velocidad y soportan mayor cantidad de túneles que los firewalls.Servidores de acceso: permiten la implementació n directa de VPNs. Esta funció n puede negociarse con el ISP.

T

I

P

O

S



20

ISO

177

99


Por Software :Directamente con el sistema operativo: Linux, Windows NT, Windows 2000.Utilizando aplicaciones específicas para la creació n, administració n y monitoreo de VPNspor ejemplo: SOHO VPN de watchguard, o el VPN Client de SonicWall; hasta el Secure VPN Client de Cisco en sus diferentes versiones.


T

I

P

O

S




11

21

ISO

177

99


Host a Red



22

ISO

177

99



Red a Red




12

23

ISO

177

99



Host a Host


24

ISO

177

99


Enlaces Globales

Central Site

Site-to-SiteRemote Office

ExtranetBusiness Partner

POP

DSLCable

Mobile User

Home Telecommuter

VPNInternet





13

25

ISO

177

99


Terminal Server

Cliente Terminal

Los recursos corren en el server

El cliente solo recibe una consola

Brinda seguridad y no necesita clientes con grandes recursos de equipo

Un elemento má s para utilizar a travé s de una VPN

Protocolos usados :Cytrix usa ICAMicrosoft usa RDP

Terminal Server


26

ISO

177

99


Sistemas OperativosPlataformas con SO MS Windows, Unix, Linux, As/400, etc.Vulnerabilidades propias.Fixes y parches.Políticas de cuentas adecuadas en la infraestructura.Servidores criticos e implementar sistemas de alta recuperació n.Instalaciones predeterminadas.




14

27

ISO

177

99


Políticas de seguridad:Identificació n de usuariosUnica cuenta para cada usuarioCada cuenta con única contraseña obligatoriaExpiració n predefinida de vida de cuentaSeguridad de contraseñasExpiració n automaticaLongitud mínimaSintaxis de las contraseñasLimitar repetició n con anteriores

Sistemas Operativos


28

ISO

177

99


Políticas de seguridad:

Restricció n de privilegiosLimitar a determinados usuarios/gruposDistintos niveles de autorizació nRestricció n a nivel de programas y procesosUso de Token u otro dispositivo de hardware

Sistemas Operativos




15

29

ISO

177

99


Consideraciones de recursos compartidos Protecció n de contraseñas y archivos de seguridadAcceso restringido a archivos de seguridadContraseñas encriptadasProtecció n de datos y cuotas de tamañoAutorizació n de accesos a recursos específicosLimitar accesos a determinados usuarios y gruposDefinir distintos niveles de acceso: lectura, escritura borrado, ejecució n, etc.

Sistemas Operativos


30

ISO

177

99


Consideraciones de recursos compartidos Definir delegació n de propiedad y otorgamiento de permisosLimitar accesos fallidos y auditarlosTimeoutsRestricciones adicionalesSegregació n de intentos exitosos y fallidosManejo de logs del sistema

Sistemas Operativos




16

31

ISO

177

99


Consideraciones de recursos compartidosConfiguració n de antivirus.Reporte de pará metros y configuraciones de seguridadReporte de privilegios y permisos de usuariosEncriptar archivos que requieran alta seguridad.Políticas adecuadas de backup

Sistemas Operativos


32

ISO

177

99


Consideraciones generales:Definir el esquema general de seguridad de usuarios:

Seguridad Adoptada: a travé s de un usuario gené rico que accede a los datosSeguridad por usuario: cada cuenta de usuario accede a los datos

Integració n con la seguridad del:sistema operativosistema de aplicació n

Administració n de recursos y serviciosEstructura de directorios, permisos y derechosMedidas adicionales de seguridadAuditoría de eventos y objetos

Bases de Datos




17

33

ISO

177

99


Seguridad Física

En las sedes y las instalacionesPerímetro de seguridad físicaControles de acceso físico Seguridad del equipamientoSuministros de energíaCableado de energía elé ctrica y de comunicacionesMantenimiento de equipos


34

ISO

177

99


Documentació nServidores alternativosModalidades : Internas y Externas.Actividad programada todo los días.Pruebas de restauració n.Documentació n.

Back Ups y Restauració n




18

35

ISO

177

99


TiposTiposTipos

NormalNormalBack upBack upBack up

Selecciona carpetas y archivosSelecciona carpetas y archivos

MarcaMarcaMarca

SISI

CopiaCopia Selecciona carpetas y archivosSelecciona carpetas y archivos NoNo

DiferencialDiferencialSelecciona carpetas y archivos desde el ú ltimo backup

Selecciona carpetas y archivos desde el ú ltimo backup

NoNo

IncrementalIncrementalSeleccionar carpetas y archivos desde el ú ltimobackup

Seleccionar carpetas y archivos desde el ú ltimobackup

SISI

DiarioDiario Selecciona carpetas y archivos del díaSelecciona carpetas y archivos del día NoNo



36

ISO

177

99


Documentar muy bien las cintas y planificar la rotació nVida útil de la cintaProbar restoreGuardar cintas en lugar seguroBackup con antivirusRestaurar en ubicaciones distintas del lugar originalDisaster Recovery

Opció n muy poco utilizadaRestauració n rá pida y seguraRequiere conducta de actualizació n de elementos backupSoftware de terceras partes





19

37

ISO

177

99


RAID CLUSTER

NODO AIP Publica 192.168.121.10IP CLUSTER 192.168.1.10

NODO BIP Publica 192.168.121.20IP CLUSTER 192.168.1.20

UTP o Fibra

Cross Over o Fibra

• Dos servidores por uno virtual

• Activo/Activo• Activo/Pasivo

VIRTUAL PC192.168.121.30

+ =

Cluster: concepto de alta disponibilidad


38

ISO

177

99


ClienteClienteRed privadaRed privada

Server Cluster

Quorum

Disk 1

Grupo de recursos

ServerVirtualServerVirtual

Disk 1

Print SharePrint Share

File ShareFile Share

LanLan

Nodo ANodo A

Nodo BNodo B

Cluster: concepto de alta disponibilidad




20

39

ISO

177

99


Redundant Array of Inexpensive DiskEl backup solo no alcanza, hay que tener otros medios que den soporte al dato almacenado sobre el disco.

RAID 0: Sistemas de banda s/paridadRAID 1: Discos EspejosRAID 4: Sistemas de bandas c/paridad sobre un discoRAID 5: Sistemas de bandas c/paridad distribuídas.

RAID


40

ISO

177

99


No es un sistema de alta disponibilidad ni redundancia.Se recomienda para instalació n de bases de datos.La capacidad total es la suma de todos los discos.Requiere al menos 3 discos.

64 KB64 KB

Disk 1Disk 1 Disk 2Disk 2 Disk 3Disk 3

64 KB

RAID 0




21

41

ISO

177

99


Sistema de discos espejos.Requiere 2 discos.Perdida 50 % capacidad.Mirror vs.Disk duplexing

Disk 0 Disk 1

C:C:C:

EspejoEspejoEspejoFault Tolerance

DriverFault Tolerance

Driver

DataData

RAID 1


42

ISO

177

99


Sistema de paridad unificada.Requiere al menos 3 discosSe almacena toda la tolerancia sobre un solo disco.Muy utilizada en dispositivos de NAS o SAN.No recomendada para servidores.

64 KB64 KB


PARIDAD

RAID 4




22

43

ISO

177

99


Sistema de paridad distribuida.Tecnologías hardware discos swap.La suma de la capacidad es el total – 1 disco.

RAID 5

Parity

Parity

Parity

Parity

Parity

Parity


Stripe 1Stripe 1

Stripe 2Stripe 2

Stripe 3Stripe 3

Stripe 4Stripe 4

Stripe 5Stripe 5

Stripe 6Stripe 6


44

ISO

177

99


Uninterruptible Power Supply.Debe utilizarse en servidores críticos.Si la infraestructura es muy crítica evaluar al implementació n de un generador que sea activado por la UPS.Probar cada x períodos de tiempo y verificar la carga.Verificar el generador (combustible, arranque, etc.)

UPS




23

45

ISO

177

99


Permite asegurar el contenido de la informació n cuando viaja por la red.PKI es un servicio de framework que provee:

Certificados digitales.Herramientas para administrar llaves y certificados.CA, entidad que otorga los certificados.CA Central, un punto de concentració n de entrega de los certificados.Llaves públicas para servicios y aplicacionesCRL, Lista de revocació n de certificados.

Estructura PKI – Certificados Digitales


46

ISO

177

99


Herramientas de administració n de claves y certificados

Entidad emisorade certificados

Punto de publicació n de certificados

Certificadodigital

Aplicaciones y servicios habilitados para claves públicas

Lista de revocació n de certificados

Estructura PKI – Certificados Digitales




24

47

ISO

177

99


Existen dispositivos cuya conexió n con las redes no se realiza a travé s de un medio físico:

LaptopsPalmtopsCelularesLectoras

Principales riesgos

Intercepció n de frecuencia para conectarse

Bloqueo de frecuencia para denegar el servicio

Conexiones wireless


48

ISO

177

99


Aplicar los mecanismos de seguridad definidos para las redes, reforzando los temas de:

Control de accesosAutenticació n de UsuariosEncriptació n de datosCopias de respaldo de informació n en los

dispositivos

Conexiones wireless




25

49

ISO

177

99


Considerar:

Procedimientos de ingresos / egresosSeguros por extravío / robo / similarSoftware de acceso tanto para el booteo como para la informació n críticaInventario permanente con los usuarios a los que está n asignadasConfiguració n está ndar de los sistemas y repositorios de datosEl Á rea de Sistemas de debe realizar un backup perió dico

Estaciones de trabajo


50

ISO

177

99


Sistema automá tico de control de virus actualizadoUso de software licenciado por la compañíaAuditoría activadaBloqueo de recursos (teclado, floppy, etc)Tokens / TarjetasProtecció n de archivos y directoriosAntivirusSeguridad en configuracionesNo permitir instalar productosSeguridad Física

Estaciones de trabajo




26

51

ISO

177

99


Considerar:

Perfiles de administració n y mantenimiento de la centralConexió n con la central públicaLogs de actividad de la centralEsquemas de acceso Dial UpInterfases entre la central telefó nica y redes, Pc’s, fax, etc

Telefonía


52

ISO

177

99


Considerar:

Có digos de barraBanda magné tica Combinarlo con ingreso de números (PIN)

Tarjetas de autenticació n




27

53

ISO

177

99


La biometría es la ciencia que se dedica a la identificació n de individuos a partir de una característica anató mica o un rasgo de su comportamiento.

Una característica anató mica tiene la cualidad de ser relativamente estable en el tiempo, tal como una huella dactilar, la silueta de la mano, patrones de la retina o el iris.

Sistemas biomé tricos


54

ISO

177

99


No cualquier característica anató mica puede ser utilizada con é xito por un sistema biomé trico.

RetinaHuella digitalMano completaVozFirma

Sistemas biomé tricos




28

55

ISO

177

99


Transformar informació n entendible en “no entendible”Comprende un algoritmo (fó rmula aplicada) y una clave (dato usado en la fó rmula)Mecanismos de Encriptació n

Simé trico – Clave PrivadaAsimé trico – Clave Pública y PrivadaUtilizació n de kerberos (sistema de autenticació n)

Encriptació n


56

ISO

177

99


Simé trico – Clave Privadausa la misma clave para encriptar y desencriptarEjemplos: DES (Data Encryption Standard), Triple Des, RC4. IDEA

Asimé trico – Clave Pública y PrivadaCombina una Clave Privada y Pública a travé s de un algoritmoLa Clave Privada es só lo conocida por el usuarioLa Clave Pública es de conocimiento públicoEjemplos: PGP (Pretty Good Privacy) , SSL (Secure Socket Layer)

Encriptació n




29

57

ISO

177

99


Utilizació n de kerberos (sistema de autenticació n)

Encripció n basado en DESUtilizació n de “tickets”No transmite la contraseña por la redAutentica cada vez que utiliza los recursos

Encriptació n


58

ISO

177

99


Taller Prá ctico

Taller Prá ctico: Implementación de una Red con Criterios de

Seguridad



30

59

ISO

177

99


Consideraciones generales de seguridad

Segmentació n de la red – Uso de VLANs(utilizando switches)Mecanismos de Encriptació nMonitoreo a travé s de IDSMonitoreo permanente de syslogsCreació n de zonas desmilitarizadas (DMZ) Reforzar autenticació n de usuarios externase internasUso de Warning bannersUso de firewalls (externos e internos)

60

ISO

177

99



Uso de “honeypots” (equipo de simulació n)Parametrizació n segura de equipos de comunicació n (routers, switches, bridges)Utilizació n de Virtual Private Networks (VPN)Restricció n de puntos de conexió n remotoSeguridad en Dial Up



31

61

ISO

177

99



Certificados digitalesControl de las tarjetas físicas asociando en una base de datos los numeros de IP de cada nodo con la tarjeta ethernet instaladaSistemas de control de accesos

Identificació n: cuenta de usuarioAutenticació n: probar que es el usuario:

Algo que sabe: contraseñaAlgo que tiene: token, tarjetasAlgo que es: sistemas biomé tricos, firmas

62

ISO

177

99



Sistemas de control de accesos (cont.)Ubicació n desde donde conecta: telef,

IPAdministració n de contraseñas

Fecha de expiració nConservació n encriptadaMínimo de longitudReglas de sintaxisDistinta de las anteriores“password cracking”



32

63

ISO

177

99



Restriciones de direcciones desde donde se conectaRestricciones de días y horasSistemas de administració n centralizada de usuariosSeguridad FísicaBack Ups, restauració n, Alta Disponibilidad

64

ISO

177

99



Cumplimiento de Políticas y ProcedimientosAdministració n de Usuarios y Permisos en los SistemasSeparació n de Ambientes de TrabajoLicencias legales de SoftwareCopias de RespaldoSeguridad Física de las Instalaciones y RecursosPrevenció n de Virus y Programas MaliciososSeguridad en las ComunicacionesAuditoría Automá tica y Administració n de Incidentes de SeguridadUso del Correo Electró nico, Servicios de Internet, otros Servicios



33

65

ISO

177

99


Resumen final

Seguridad en Redes

Principales Componentes y Vulnerabilidades de una red de informació n.Consideraciones de seguridad para cada componente

Taller Práctico: Implementació n de una Red con Criterios de Seguridad

66

ISO

177

99


¿?Preguntas



34

67

ISO

177

99


Contactos:

Ing. Jorge Eterovic

eterovic @ unlm . edu . ar

Ing. Pablo Herná n Pomar

pablo_pomar3 @ yahoo . com . ar



servidor de usuarios - seginfo.tripod.comseginfo.tripod.com/files/seg3b.pdf · servidores que...

Documents