Seguridad en ProfundidadDefense in Depth (DiD)

Seguridad en Profundidad

• Uno de los términos más utilizados en seguridad informática es "Seguridad en profundidad", por otra parte, cuando revisas la implementación de esa seguridad se observan distintos errores de concepto.

• La aplicación de varias líneas de defensa para el mismo recurso es conocida desde hace tiempo en entornos bélicos.

• En la Edad Media se construían enormes Castillos con muros altos y resistentes para proteger a los habitantes de una zona.

• Para evitar la aproximación de maquinas que pudieran derribar los muros y las puertas o utilizar escaleras de asalto, sumaban una segunda línea de defensa, El Foso, inundado de agua o aceite (para poder incendiarlo).

• Esto constituía una barrera difícil de traspasar para el enemigo, esta táctica se emplea hoy en día en seguridad informática y se denomina Seguridad Perimetral.

Defensa en Profundidad

• Defensa en profundidad no es un concepto nuevo. Se refiere a una estrategia militar que tiene por objetivo hacer que el atacante pierda el empuje inicial y se vea detenido en sus intentos al requerirle superar varias barreras en lugar de una.

Al igual que un campo de batalla, nuestras infraestructuras de tecnología son una compleja formación de elementos que en conjunto albergan uno de los activos más valiosos para las empresas: los datos.

Podemos visualizar esta infraestructura como una serie de capas donde los datos ocupan el último nivel, precedidos de contenedores como lo son las localidades físicas, el perímetro, la red, los servidores y las aplicaciones.

De esta forma, cada capa de nuestra infraestructura

representa una barrera para el atacante en su

camino hacia el objetivo final de acceder a los datos

confidenciales, de manera que si falla cualquiera de

los controles en una capa haya defensas adicionales

que contengan la amenaza y minimicen las

probabilidades de una brecha.

Defensa en profundidad es la estrategia práctica

para lograr seguridad de la información en entornos

altamente conectados. Se basa en la aplicación

inteligente de las técnicas y tecnologías que existen

hoy en día.

La estrategia se recomienda un equilibrio entre la

capacidad de protección y costo, rendimiento y

consideraciones operativas.

Seguridad en Profundidad • Uno de los puntos débiles de la seguridad

perimetral, es que si el ataque se produce en el

interior, o si traspasa la línea de defensa,

seguramente habrás perdido la batalla.

• Muchos ataques informáticos o robo de datos, se

produce desde el interior de la propia empresa,

bien por la colaboración de algún empleado,

muchas veces de forma no intencionada, o bien

porque el acceso a equipos del interior es posible.

• La Redundancia de Sistemas de Defensa, por

ejemplo dos Firewall, es útil solo cuando esdiferente, es decir, si un cortafuegos o un

antivirus tiene una vulnerabilidad, de nada nos

puede servir instalar dos, volviendo al ejemplo

del castillo, tenían un muro y un foso, obstáculosdiferentes que se complementaban a la hora de

mantener la defensa.

Los adversarios, motivaciones, tipos de

ataque

• Para resistir con eficacia los ataques en contra de suinformación y sistemas de información, unaorganización necesita para caracterizar a susadversarios, sus motivaciones potenciales, y sus clasesde ataque.

• Los adversarios potenciales podrían ser: los Estadosnacionales, los terroristas, los criminales, piratasinformáticos o competidores corporativos.

• Sus motivaciones pueden incluir: recogida deinformación, robo de propiedad intelectual,denegación de servicio, la vergüenza, el orgullo o sóloen la explotación de un blanco notable.

• Sus clases de ataque pueden incluir: monitoreo

pasivo de las comunicaciones, ataques activos de

red, ataques de cerca en la explotación de

información privilegiada, y los ataques a través de

los proveedores de la industria de los propios

recursos de tecnología de la información.

• También es importante para resistir los efectos

perjudiciales de no maliciosos eventos tales como

incendios, inundaciones, apagones y errores del

usuario.

Seguridad de la Información

• Seguridad de la información se logra cuando los

sistemas de información y la información están

protegidos contra este tipo de ataques a través de

la aplicación de los servicios de seguridad, tales

como: disponibilidad, integridad, autenticación,

confidencialidad y no repudio.

Defender las redes e

Infraestructura• Proteger los locales y de área amplia (por

ejemplo, las redes de comunicación de ataques de denegación de servicio)

• Proporcionar confidencialidad y la protección de la integridad de los datos transmitidos a través de estas redes (por ejemplo, uso de encriptación y medidas de seguridad de flujo de tráfico para resistir el monitoreo pasivo)

• Defender los límites Enclave (por ejemplo, cortafuegos y detección de intrusiones despliegan para resistir los ataques de red activos)

• Defender el entorno informático (por ejemplo, proporcionar controles de acceso en los hosts y servidores para resistir privilegiada, cerca del in-, y los ataques de distribución).

Defensas en capas. Incluso los mejores productos disponibles de

aseguramiento de la información tienen

debilidades inherentes. Por lo tanto, es sólo una

cuestión de tiempo antes de que un adversario

encuentra un explotable.

Capa 1, Políticas, procedimientos y educación

Es una capa “humana”. Dirigida a las personas.No habla de tecnología, sino de cómo lograr que

las personas cuiden de los activos de información

con responsabilidad. Rodeando todas las capas

del modelo de seguridad se encuentran las

directivas y procedimientos que la organización

necesita establecer a fin de cumplir y admitir los

requisitos de cada nivel.

En muchos casos, el desconocimiento de un

riesgo puede llevar consigo infracciones en la

seguridad, por lo que el aprendizaje también

debe formar parte integrante de cualquier

modelo de seguridad

Capa 2, Seguridad Física

¿De qué vale el mejor firewall, la detección de

intrusión en nuestro acceso a Internet, y un

antivirus de host fantástico, si nuestro Centro de

Cómputos no tiene llave?

Los riesgos se encuentran en el acceso físico

de un atacante a un activo físico. Esta capa

integra todas las anteriores, puesto que el

acceso físico a un activo puede permitir el

acceso a las demás capas del modelo de

defensa en profundidad. Aquí, la

preocupación principal para las

organizaciones que utilizan sistemas antivirus es

impedir que los archivos infectados salten las

defensas de las redes perimetral e interna.

Capa 3, Perímetro

La primera línea de defensa lógica. Firewalls, detección de

intrusos, cuarentena para nuestros usuarios remotos (VPN), etc.

Los riesgos de la capa de red perimetral (también denominada zona

desmilitarizada, DMZ o subred protegida) tienen su origen en el posible

acceso por parte de un atacante a las redes de área extensa (WAN) y

los niveles de red que conectan. Los principales problemas se centran

en los puertos TCP (protocolo de control de transmisión) y UDP

(protocolo de datagrama de usuario) disponibles que utiliza la red.

• Capa 4, Red

Se refiere a nuestra red interna. IPSec, ocultando el tráfico entre mis

hosts, es un mecanismo propio de esta capa. Las VLANs, aunque no son

específicamente utilizadas por motivos de seguridad, también pueden

servirnos para aislar servicios, aplicar ACLs, etc.

Los riesgos para las redes internas de las organizaciones están

relacionados con los datos confidenciales que se transmiten a través

ellas. Los requisitos de conectividad para las estaciones de trabajo

clientes en estas redes internas, también suponen algunos riesgos

asociados.

• Capa 5, Host

La defensa del host, de nuestras laptops o

servidores, se basa en firewalls (incluido en los

sistemas operativos modernos), antivirus, parcheo,

hardening, etc.

Mucho mejor, si estas tecnologías reportan a una

consola central, que maneja a la vez, mecanismos

de otras capas del modelo.

Por ejemplo, en el mundo Microsoft™, los servicios

de cuarentena provistos por NAC (Control de

Acceso a la Red) pueden, como respuesta a un

malware detectado por el antivirus de host,

desconectar al equipo de la red local, y forzar

medidas de remediación, como un escaneo de

disco.

Capa 5, Host

Esta es la capa en la que se centran los proveedores que ofrecen Service Packsy revisiones con el objetivo de tratar las amenazas de software malintencionado.En ella, el riesgo proviene de los atacantes que se aprovechan de lasvulnerabilidades en los servicios que ofrecen el host o el dispositivo.

Un buen ejemplo. En este caso, en lo que las organizaciones ponen más empeñoes en impedir el acceso a los archivos binarios que componen el sistemaoperativo, así como el acceso al host a través de vulnerabilidades en los serviciosde escucha.

• Capa 6, Aplicación

Software seguro por diseño, no por accidente. Debe usarse metodología de

código seguro para desarrollar.

El riesgo en esta capa se debe a las vulnerabilidades que un atacante podría

aprovechar para obtener acceso a las aplicaciones en ejecución. Todo

código ejecutable que un autor de software malintencionado pueda reunir

fuera de un sistema operativo se puede utilizar para atacar un sistema. Las

principales preocupaciones de la organización en esta capa son el acceso a

los archivos binarios que componen las aplicaciones, el acceso al host.

• Capa 7, Data

La capa “de adentro” del Modelo. La última frontera. La forma más efectiva de proteger ladata, independientemente de donde se encuentre, es cifrándola, ocultándola de quienesno tienen necesidad de conocerla o usarla. El uso de certificados digitales nos asegura laintegridad y confidencialidad de la data, a un costo muy razonable. Comprar un antivirus no

es hacer seguridad. El acercamiento multicapa es la clave del éxito.

El riesgo en esta capa se debe a las vulnerabilidades que un atacante podría aprovecharpara obtener acceso a los datos de configuración y organización, o cualquier dato que seaexclusivo de un dispositivo que utiliza la empresa. Por ejemplo, los datos empresarialesconfidenciales, los datos de los usuarios o la información privada de los clientes se incluiríanen esta capa. Lo que más preocupa a una organización en esta capa del modelo son los

problemas legales y empresariales que se pueden derivar de la pérdida o el robo de datos,así como los problemas operativos que las vulnerabilidades pueden descubrirán el host o enlas aplicaciones.

Defensa en profundidad• Modelo de seguridad por capas :

o Aumenta las opciones de detección de intrusos

o Disminuye el riesgo de que los intrusos logren supropósito

Directivas, procedimientosy concienciación

Refuerzo del sistemaoperativo, administración deactualizaciones, autenticación, HIDS

Firewalls, sistemas de cuarentenaen VPN

Guardias deseguridad, bloqueos, dispositivos deseguimiento

Segmentos de red, IPSec, NIDS

Refuerzo de lasaplicaciones, antivirus

ACL, cifrado

Programas de aprendizajepara los usuarios

Seguridad física

Perímetro

Red interna

Host

Aplicación

Datos

Importancia de la seguridad enlas aplicaciones

• Las defensas perimetrales proporcionan

una protección limitada

• Muchas defensas basadas en hosts no

son especificas de las aplicaciones

• En la actualidad, la mayor parte de los

ataques se producen en la capa de

aplicación

Importancia de la seguridaden la información

• Proteja la información como última línea de

defensa

• Configure los permisos de archivo

• Configure el cifrado de los datoso Protege la confidencialidad de la información cuando la

seguridad física se ve comprometida

Recomendaciones para los servidores

de aplicacionesConfigure el sistema operativo básico para que seaseguro

Aplique los Service Packs y revisiones del sistemaoperativo y de las aplicaciones

Instale o habilite únicamente los servicios necesarios

Asigne los permisos mínimos a las cuentas de lasaplicaciones

Aplique los principios de defensa en profundidadpara aumentar la protección

Asigne únicamente aquellos permisos necesariospara realizar las tareas requeridas

Dependencias de seguridad de

Exchange

• La seguridad de Exchange depende de:o La seguridad del sistema operativo

o La seguridad de la red

o La seguridad de IIS

(si se utiliza OWA)

o La seguridad del cliente

(Outlook)

o La seguridad de Active Directory

Recuerde: defensa

en profundidad

Seguridad en los servidores Exchange• Servidores Back-End de Exchange 2000

o Aplique la plantilla de seguridad básica y la plantilla incremental para Back-End de Exchange

• Servidores Front-End de Exchange 2000o Aplique la plantilla de seguridad básica y la plantilla incremental

para Front-End de Exchange

o Desmonte los almacenes privados y públicos

• Servidor OWA de Exchange 2000o Aplique Bloqueo de seguridad de IIS, incluido URLScan

• Servidor Back-End de Exchange 2003o Aplique plantillas de seguridad de protocolo

• Servidor Front-End y de OWA de Exchange 2003o Bloqueo de seguridad de IIS y URLScan integrados con IIS 6.0

o Utilice el modo de aislamiento de aplicaciones

Aspectos de seguridad en los

servidores Exchange• Seguridad del acceso a los servidores Exchange

o Bloqueo del acceso no autorizado

• Seguridad en las comunicacioneso Bloqueo y cifrado de las comunicaciones

• Bloqueo del correo no deseadoo Filtrado del correo entrante

o Restricciones de reenvío: no ayude a los sistemas de envío de correo no deseado

• Bloqueo de los mensajes de correo electrónico no seguroso Detección de virus

o Bloqueo de los archivos adjuntos

Configuración de la autenticación,

parte 1

• Proteja la autenticación de los clientes Outlook

• Configure Exchange y Outlook 2003 para utilizar RPC

sobre HTTPS

• Configure SPA para cifrar la autenticación de los

clientes de protocolos Internet

Recuerde: una autenticación segura no equivalea cifrar los datos

Configuración de la autenticación,

parte 2

Método de autenticación Consideraciones

Autenticación básica No segura, a menos que requiera SSL

Autenticación integrada Compatibilidad limitada en los clientes,

problemas con servidores de seguridad

AutenticaciónDigest

Compatibilidad limitada en los clientes

Autenticación basadaen formularios

Capacidad de personalizar la autenticación

Amplia compatibilidad con clientes

Disponible con Exchange Server 2003

OWA admite variosmétodos de autenticación:

Cifrado de un mensaje

Active Directory

Controlador de dominio

Cliente 1

Cliente 2

SMTP VS1SMTP VS 2

Se busca la clave pública del cliente 2

El mensaje se envía con S/MIME

El mensaje se cifra

con una clave

compartida

Mensaje

nuevo

1

2

3

4

El mensaje

llega cifrado5

La clave privada

del cliente 2 se

utiliza para

descifrar la clave

compartida que,

a su vez, se

emplea para

descifrar el

mensaje

6

SMTP (Simple Mail Transfer Protocol)S/MIME (Secure/Multipurpose Internet Mail Extensions)

Bloqueo de correo no deseado en

Exchange 2000

• Cierre de reenvíos

• Protéjase de la suplantación de direcciones

• Impida que Exchange resuelva los nombres de

destinatario en cuentas GAL

• Configure búsquedas DNS inversas

Bloqueo de correo no deseadoen Exchange 2003

• Utilice características adicionales en Exchange Server

2003

o Soporte para listas de bloqueo en tiempo real

o Listas globales de direcciones rechazadas y aceptadas

o Filtrado de destinatarios y remitentes

o Mejoras en la protección contra el reenvío

o Integración con Outlook 2003 y filtrado de correo no deseado de terceros

Configuración de la protección contra elcorreo no deseado de Exchange

Protección contra el reenvío

Bloqueo de mensajes no seguros

• Implemente gateways antiviruso Supervisión de los mensajes entrantes y salientes

o Actualización frecuente de las firmas

• Configure la seguridad en los archivos adjuntos de Outlooko La seguridad del explorador Web determina si los archivos adjuntos se pueden

abrir en OWA

• Implemente ISA Servero Message Screener puede bloquear los mensajes entrantes

Uso de permisos para proteger

Exchange

Modelos de administración

Centralizada Descentralizada

Delegación de permisos

Creación de grupos administrativos

Uso de roles administrativos

Delegación del control administrativo

Mejoras en Exchange Server 2003

• Muchas configuraciones son seguras de forma

predeterminada

• Permisos más restrictivos

• Nuevas características de transporte de correo

• Nuevo Asistente para conexión a Internet

• Soporte para autenticación entre forest

Defensa en profundidadEficiencia Continuidad

Ajuste del rendimiento

Sistema Exchange

Políticas

Gestión de capacidad

Seguridad

Almacenamiento

Administración

Actualizaciones de hardware

Rendimiento

Monitorización

Recuperación ante desastres

Soporte técnico

Antivirus

Monitorización de eventos

Administración

de cambios

Directivas de seguridad

Aspectos relativos a firewalls

Políticas del sistema Exchange

Pertenencia a grupos de Active Directory

UPS

Pruebas de recuperación

Monitorización de disponibilidad

Gestión de disponibilidad

Políticas de grupo Copia de seguridad

Diez principios fundamentales para proteger

ExchangeInstale los Service Pack más recientes

Instale todas las revisiones de seguridad aplicables

Ejecute MBSA (Microsoft Baseline Security Analyzer)

Compruebe de la configuración de reenvío

Deshabilite o proteja las cuentas conocidas

Utilice una solución antivirus por capas

Utilice un firewall

Evalúe ISA (Internet Security and Acceleration) Server

Proteja OWA (Outlook Web Access)

Implemente una estrategia de copia de seguridad

1

2

3

4

5

6

7

8

9

10

Configuración básica de seguridad

• Aplique Service Packs y revisioneso Utilice MBSA (Microsoft Baseline Security Analyzer) para detectar las

actualizaciones de SQL no aplicadas

• Deshabilite los servicios que no se utiliceno MSSQLSERVER (obligatorio)

o SQLSERVERAGENT

o MSSQLServerADHelper

o Microsoft Search

o Microsoft DTC

Amenazas comunes para los servidores de

bases de datos y medidas preventivas

Servidor SQL

ExploradorAplicación

Web

Acceso externo noautorizado

Inserciónde SQL

“Crackear“ contraseñas Espionaje

de red

Puntos vulnerables de la red

No se bloquean los puertos SQL

Puntos vulnerables

de la configuración

Cuenta de servicio con

demasiados privilegios

Permisos poco restringidos

No se utilizan certificados

Puntos vulnerables de las

aplicaciones Web

Cuentas con demasiados privilegios

Validación semanal de las entradas

Firewall internoFirewall perimetral

Seguridad del SO• Configure la cuenta de servicio de SQL Server con los

mínimos permisos posibles

• Elimine o deshabilite las cuentas que no se utilicen

• Proteja el tráfico de autenticación

Seguridad de la red

• Limite SQL Server para que utilice TCP/IP

• Refuerce la pila TCP/IP

• Restrinja los puertos

Logins, usuarios y funciones

• Utilice una contraseña segura para la cuenta

de administrador del sistema (sa)

• Elimine la cuenta de usuario invitado (guest) de

SQL

• Elimine el login BUILTIN\Administradores

• No conceda permisos para el rol público

Archivos, directorios y recursos

compartidos

• Compruebe los permisos de los directorios de instalación de SQLServer

• Compruebe que el grupo Everyone no tiene permisos para los archivos de SQL Server

• Proteja los ficheros de log de la instalación

• Proteja o elimine las herramientas, utilidades y SDK

• Elimine los recursos compartidos innecesarios

• Restrinja el acceso a los recursos compartidos necesarios

• Proteja las claves del Registro con ACL

Seguridad de SQL

• Establezca la

autenticación como

Sólo Windows

• Si debe utilizar la

autenticación de SQL

Server, compruebe que

se cifra el tráfico de

autenticación

Auditoría de SQL

• Registre todos los intentos erróneos de iniciar sesión en

Windows

• Registre las acciones erróneas y correctas en el sistema

de archivos

• Habilite la auditoría de inicios de sesión de SQL Server

• Habilite la auditoría general de SQL Server

Seguridad de los objetos de base de datos

• Elimine las bases de datos de ejemplo

• Proteja los procedimientos almacenados

• Proteja los procedimientos almacenados extendidos

• Limite el acceso de cmdExec a la función sysadmin

• Las consultas SQL pueden contener información

confidencialo Utilice procedimientos almacenados siempre que sea posible

o Utilice vistas en lugar de permitir el acceso directo a las tablas

• Implemente las recomendaciones de seguridad para

las aplicaciones basadas en Web

Uso de vistas y procedimientos almacenados

Seguridad de las aplicaciones Web

• Valide todos los datos de entrada

• Proteja la autenticación y la autorización

• Proteja los datos confidenciales

• Utilice cuentas de servicio y proceso con los privilegios

mínimos

• Configure la auditoría y el registro

• Utilice métodos estructurados de tratamiento de

excepciones

Diez principios básicos para proteger SQL Server

Instale los Service Packs más recientes

Ejecute MBSA

Configure la autenticación de Windows

Aísle el servidor y realice copias de seguridad de sucontenido

Compruebe la contraseña del usuario sa

Limite los privilegios de los servicios de SQL Server

Bloquee los puertos en el servidor de seguridad

Utilice NTFS

Elimine los archivos de configuración y las bases dedatos de ejemplo

Audite las conexiones

1

2

3

4

5

6

7

8

9

10

Instale los Service Packs más recientes

Ejecute MBSA

Configure la autenticación de Windows

Aísle el servidor y realice copias de seguridad de sucontenido

Compruebe la contraseña del usuario sa

Limite los privilegios de los servicios de SQL Server

Bloquee los puertos en el servidor de seguridad

Utilice NTFS

• La idea de este modelo es muy sencilla: si es

posible proteger a un activo de la organización

con más de una medida de seguridad, hágalo.

• El objetivo del modelo también es claro: para que

un atacante llegue a un dato o información, debe

poder vulnerar más de una medida de seguridad.

Seguridad en Profundidad

Seguridad en Profundidad

• Obviamente que aplicar un control de seguridad

tiene un costo asociado, y por lo tanto será

necesario evaluar si el valor de la información a

proteger justifica una, dos, tres, o las capas de

seguridad que sean necesarias. Pero mientras los

costos lo justifiquen, el modelo pretende proteger

la información sensible de forma tal que un

atacante si llegara a sortear algún mecanismo de

seguridad, esto no sea suficiente para llegar a la

información corporativa.

Gracias