Please enable JavaScript.
Coggle requires JavaScript to display documents.
Chapter 2 Monitoreando y diagnosticando redes (Terminos (Intrusion…
Chapter 2 Monitoreando y diagnosticando redes
Terminos
Intrusion detection system (IDS):
Un sistema que monitorea una red en busca de posibles intromisiones y guarda registros de esa actividad.
Demilitarizated zone (DMZ):
Es un segmento de red que esta entre dos firewalls, uno de los firewalls están conectados al exterior y otro a la red interna. Servidores público se ponen aquí.
Honeynet:
Una red que sirve como un honeypot.
Honeypot:
Un sistema falso que sirve para atraer atacantes y aprender de ellos.(logging and tracking.)
Information security management system (ISMS):
Un termino amplio que se usa para un monton de sistemas que manejan la informacion de seguridad
intrusion prevention system (IPS / active IDS):
IDS + que bloquea el trafico que es sospechoso de ser un ataque.
personally identifiable information (PII):
Culquier informacion que podria identificar a un individuo
software-defined network (SDN):
La red entera, incluyendo todos los dispositivos de seguridad, incluyendo los virtualizados.
stateful packet inspection (SPI):
Un firewall que no sol examina cada paquete pero también recuerda los recientes paquetes.
ISO Standars
ISO/IEC 27001:2013:
Especifica los requerimientos para establecer, implementar, mantener y mejorar continuamente los ISMS dentro del contexto de la organizacion.
Te motiva a mirar los problemas de seguridad específicos de su organización. Esto incluye la capacidades de la organización y su cultura corporativa
Este framework NO te va ofrecer como hacerlo, sino un enfoque mas generalizado de hacer las cosas.
Ayuda a identificar los involucrados relevantes que tiene un interés en la seguridad de su organización
ISO 27002:
Este estándar recomienda buenas prácticas para inicializar, implementar y mantener un ISMS,
Tiene buenas prácticas las cuales abarcan lo siguiente:
Seguridad de los recursos humanos
Gestion de activos
Organizacion de la seguridad de la informacion
Control de accesos
Politicas de seguridad
Criptografia
Seguridad física y ambiental
Operaciones de seguridad
Comunicación de Seguridad
Adquisición de sistemas, procedimientos y responsabilidades.
Relaciones con proveedores.
Manejo de incidentes de seguridad
BCM aspectos de seguridad
ISO 27017
Es una guía de seguridad de la nube.
Aplica la guia de ISO 27002 pero con mas controles
Tiene que haber un acuerdo acerca de las responsabilidad compartidas o divididas entre el cliente y el proveedor de la nube.
Como los activos van a ser removidos o retornados de la nube cuando el contrato se termine.
Nuestro ambiente en la nube debe estar separado de otros ambientes de clientes
Asegurar que las maquinas virtuales del proveedor estén protegidas
Es responsabilidad exclusiva del cliente definir y gestionar las operaciones administrativas.
El proveedor de la nube debe dejar al cliente monitorear su propio ambiente
El ambiente virtual tiene que estar configurado para que cumpla con las politicas de seguridad.
ISO 27018
Define requerimientos de privacidad en un ambiente de nube, todo relacionado en como el cliente va a proteger su
PII
.
NERC
Usado en la industria eléctrica
NERC tiene un estándar para la seguridad informatica, CIP-002-3
NIST
NIST Special Publication 800-12
Enfatiza en la necesidad de abordar la seguridad en todo el ciclo de desarrollo del sistema
Special Publication 800-14
Describe principios de seguridad que deberían se abordados dentro de las políticas de seguridad
Los principios son
Seguridad suporta la misión de la organización
Seguridad en un aspecto clave de la administracion
Seguridad debe ser costo efectiva
Los dueños de los sistemas tienen responsabilidad afuera de sus organizaciones
Responsabilidades de seguridad deben ser explicitas
Seguridad requiere un enfoque comprensivo y integrado
Seguridad debe ser reevaluada periódicamente.
La seguridad esta restringida por factores sociales
NIST SP 800-53
Define tres niveles minimos de controles de seguridad
Special Publication 800-82
Como desarrollar un plan de seguridad exhaustivo en SCADA y PLCs
El plan incluye problemas de firewall, segregación de red, protocolos de red y controles de seguridad para mitigar amenazas
NIST 800-30
Estándar para realizar evaluaciones de riesgos
NIST 800-35
En esta norma, se definen seis fases del ciclo de vida de la seguridad de TI:
Las fases son
Iniciación:
A este punto la organización eta buscando establecer un servicio, dispositivo o proceso de seguridad
Evaluacion:
Esta fase involucra determinar el estado actual de la seguridad
Solucion:
Se selecciona las soluciones
Implementacion:
Se implementa el servicio, dispositivo o proceso de seguridad
Operacion:
Es la operación en curso y mantenimiento de un servicio, dispositivo o proceso.
Cierre:
Esto sucede cuando un sistema es removido o reemplazado
Payment Card Industry Data Security Standard
Es el control de seguridad que se una para procesar tarjetas de crédito
Objetivos
Construir y mantener un red segura
Protejer al dueño de la tarjeta
Mantener un programa de administracion de vulnerabilidades
Regularmente monitorear y probar las redes
Open Web Application Security Project (OWASP)
Estandares de seguridad para aplicaciones web
Controles de seguridad
Verificar por seguridad tempranamente y seguido
Parametrizar queries
Codificar data
Validar todos los inputs
Implementar controles de identidad y autenticacion
Protejer la data
Implementar el registro (logging) y la detecion de intrusos
Aprovechar los macor de referencia de seguridad
Manejo de errores y exepciones
Security Configuration Guides and other Concepts
Web Server
Recomendaciones
Configurar autenticacion y autorizacion
Configurar certificados digitales apropiadamente
Proteger los archivos del servidor
Configurar de manera segura el Common Gateway Interface (CGI)
Configurar apropiadamente permisos
Abilidad de denegar acceso a direcciones IP
IIS y apache casi corren la mayoria de páginas del mundo
OS
Recomendaciones
Mantener su sistema operativo parcheado
Usar un antivirus
Usar un firewall
Realizar actividades diarias con cuentas no administrativas
Apagar servicios, cuentas o otros metodos de acceso al sistema
Activar lo suficiente logging para poder auditar el sistema y ver que es lo que pasa.
Tener el firewall apropiadamente configurado.
Correr un software antimalware regularmente
El metodo de hacer seguro un SO lo mas que se pueda sin utilizar software de terceros se llama
operating system hardening
Una
kiosk
es usalmente una computadora usada para un fin en especifico, por lo tanto sus funciones estan reducidas
Patch Management
Es probable que los patches tengan problemas o bugs
Los patches puede generar problemas con las aplicaciones que tiene previamente instaladas
Se recomienda lo siguiente:
Lea la descripcion del patch, si para resolver security leaks apliquelo sino no.
Despliegue el patch en un sistema de prueba identico a los sistemas que quiere aplicar el patch
Si el patch no da problemas en el paso pasado apliquelo en un numero pequeño de computadoras y despues vaya aplicando gradualmente en las otras.
Siempre tener un plan de recuperacion en caso de que algo salga mal
Al terminar de parchar documento las lecciones aprendidas esto ayuda a hacer los deployments mas rapidos.
Network Infrastructure Devices
Todo dispositivo debe estar seguro
SDN
Software-.define networking (SDN)
Es util para colocar dispositivos de seguridad y para segmentar la red
En un SDN la red entera esta virtualizada, por lo tanto la segmentacion en muy facil de hacer, tambien se puede colocar donde sea cualquier dispositivo que se desee.
Hardware and firmware security
Full disk encription(FDE):
encripta el disco entero, en vez de encriptar un archivo o carpeta en especifico.
Este es recomendable para una seguridad completa en el sistema
Self-encrypting drive(SED):
Tiene unchip controlador construido internamente que automaticamente encripta el disco y lo desencripta con la contraseña correcta, el disco encripta con una llave
media encription key (MEK)
y utiliza otra llave para desbloquear el disco (encryption key KEK)
Trusted platform modules (TPMs):
son dedicados para llaves criptograficas para desarrolla una gran variedad de tareas, TPMs son usados para facilitar los FDE
Hardware security modules(HSMs):
Son dispositivos que son usados para manejar llaves, son usados para faciliar encriptacion asi como autenticacion
Secure Configurations
least functionality:
El sistema solo deberia hacer lo que se espera que haga.
Deshabilitar todos los password por defecto y cuentas por defecto que no se usan.
Deshabilitar servicios que se tengan por defecto.
Zones
Cada Zona tiene un nivel diferente de seguridad, por lo que si una zona en hackeada, el atacante solo afectó a una zona, por lo tanto la red entera no es del todo vulnerable.
Segmentar la red en zonas
Separar la zona basados en necesidades de seguridad
Secure Zone:
Aqui se colocan los sistemas mas críticos o mas sensitivos.
General Work Zone:
Aquí se colocan las estaciones de trabajo y servidores con una funcion en específico.
Low Security Zone:
Estas son computadoras, segmentos de red y sistemas que no tiene informacion sensible.
DMZ:
Es una área donde se puede poner un servidor publico que es accedido por personas que no se confia, por lo tanto el servidor ahi esta isolado de la red interna, es posible acceder a la DMZ desde la red interna pero otros no puede acceder a otros recursos de red, esto se logra por firewalls.
Una forma facil de crear una DMZ es usando un firewall que transmita data desde:
a la red interna, a la red externa, a la informacion publica que se esta compartiendo en DMZ.
Los host que existen afuera de la DMZ abiertas al publico son llamados
bastion host
Extranet and Intranet
Intranet
Usualmente estan constituidos por sitios que solo puede ser accesidos dentro de una entidad(empresa, casa).
Como los sitios se encuentran solo pueden ser accedidos dentro de la organizacion, las medidas de seguridad no son exahustivas.
La intranet solo es accesible por usuarios dentro de la misma red y usualmente ya estan protegidas con antivirus, firewalls etc.
Extranet
Presentan mas problemas de seguridad
Hay que asegurar que la entidad externa a su organizacion cumpla sus politicas y estandares de seguridad.
Otro problema es segmentar la extranet para que esta no puede obtener acceso al resto de su red.
Wireless
Unos de los grandes problemas de seguridad con esta tecnología es la segmentacion.
Otro es determinar cual protocolo de seguridad e protecion utilizar, siempre trate de usar WPA2.
Los dispositivos que no soporten WPA2 deben estar en redes aparte de las que si.
Es recomendable tener un red separada totalmente del resto, tales como la red guest.
Nunca utilizar ad hoc WIFI es la antitesis de segmentar su redes en zonas.
Segmentation and Defense in Death
La defensa en profundidad es un precepto fundamental en seguridad.
La defense en Death trata que uno no debe solo poner seguridad unicamente en los puntos de acceso a su red interna.
Nunca debe ser el caso de que un atacante ingrese a su red y este tenga acceso a todo.
Recomendaciones
Tener todos los dispositivos conectados a la red configurados
Realizar segmentacion de redes. esto sirve para tratar la seguridad de forma distinta en cada zona y tambien poner firewalls, barreras entre zonas.
Utilice VLAN para separar logicamente varias redes.
Segementar mendiante air-gap
Es cuando uno o mas sistemas literalmente no estan conectados a una red.
Tener un air-gapped servidor de bacup es una buena idea.
Virtualizacion es otra forma de segmentar una red.
es mucho mas sencillo segmentar mediante virtualizacion que de manera fisica.
Control Diversity
Uno simplemente no resuelve un problema de seguridad con único control o un control de un vendedor.
Se tiene para un problema de seguridad evaluar varias acciones que me resulvan el problema. no debe ser única.
Vendor Diversity
Usar diferentes vendors en las soluciones de seguridad, por ejemplo vendor A en antimalware, vendor B en firewall, etc.
Cuando se implementa controles para mitigar un problema se seguridad existen tres categorias
Administrativos:
involucran politicas, procedimientos, procesos que soporta la seguridad.
Tecnicos:
Estos envuelven software y hardware, por ejemplo, firewalls, VLAN's, antimalware, etc.
Fisicos:
security awareness al staff.
Honeypots and Honeynets
Honeypots
es un sistema separado que parece ser atractivo para ser atacado
NUNCA usuarios legitimos deben acceder a el
Honeynets
es un segmento de red falsa que incita a ser atacada.
Es recomendable monitorear el sistema para obtener informacion de los atacantes
Tunneling/VPN
Un VPN es una conexion a una red privada a travez de un red publica.
Con un VPN el dispositivo conectado remotamente a la red aparece como si estuviera conectado localmente.
VPN usualmente usa un protocolo de tunneling, como Layer 2, IPSec, PPTP
El se establece una extranet o intranet entre dos entidades remotas el problema de seguridad es la encriptacion.
Una VPN solo debe aceptar conectarse usuarios autorizados.
Placing Security Devices
Se debería poner un firewall en cada union de zonas de redes, cada zona debe estar protegida por un firewall
Se debe tener un motor de correlacion para detectar futuros ataques. estos accesa a los logs de los firewalls
En el perímetro de la redes deben habe mitigadores de DDoS
Todo el trafico debe pasar por medio de un IDS o IPS.
Los IDS o IPS debe estar presentes en cada segmento de red
Firewall funciona como uno o mas formas
Packet Filter Firewalls
Pasa o bloquea el trafico de direcciones especificas basados en el tipo de aplicacion
Este no analiza data de un paquete, el decide si el paquete pasa basandose en la
informacion de direccion del paquete
Este firewall permite cualquier trafico que se le indique como aceptable
Proxy firewall
Es un intermediario entre su red y otra red
Son usados para procesar peticiones desde un red externa; el proxy firewall examina la data y hace decisiones con reglas.
Este es mejor que el packet filter firewall, porque es mas inteligente que el otro.
proxy ofrece caching, lo cual incrementa la eficiencia cuando es un peticion que ya se hizo la anteriormente.
Stateful packet inspection firewall
Estos toman decisiones basandose en la data almacena en los paquetes de datos
Este se refiere a un
stateful packet inspection(SPI)
, en esto toda la comunicacion entre el cliente y el servidor es examinado.