Introduccion a la Seguridad Informatica PDF
Document Details
Uploaded by Deleted User
Tags
Related
- Seguridad Informática y Seguridad de la Información PDF
- Seguridad Informática y Seguridad de la Información PDF
- Seguridad en Sistemas de Información PDF
- SSI T2 Seguridad en Sistemas Informáticos PDF
- Hackers PDF - Escuela técnica N°1 Otto Krause
- Modelo OSI y Seguridad en la Capa Física - Fase 3 (PDF)
Summary
Este documento proporciona una introduccion a los conceptos clave de seguridad informática. Explica las cuatro caracteristicas principales de los sistemas informaticos seguros: fiabilidad, confidencialidad, integridad y disponibilidad. Tambien describe la paradoja de la seguridad.
Full Transcript
UNIDAD 1 - Introducción a la seguridad informática Introducción a la seguridad informática La seguridad informática es el área de la informática enfocada a la protección de los elementos vulnerables de todo sistema informático: software, hardware y datos, estos últimos durante su procesam...
UNIDAD 1 - Introducción a la seguridad informática Introducción a la seguridad informática La seguridad informática es el área de la informática enfocada a la protección de los elementos vulnerables de todo sistema informático: software, hardware y datos, estos últimos durante su procesamiento, almacenamiento o transmisión. Las cuatro principales características que debe tener un sistema informático seguro son: Fiabilidad: el sistema informático debe permanecer en funcionamiento, sin bajar de un nivel mínimo de rendimiento considerado óptimo. Confidencialidad: los datos del sistema solo deben ser accesibles para las personas que realmente tienen permiso para manejarlos. Integridad: el sistema debe mantener el conjunto de sus datos sin pérdidas o alteración no deseada de estos (corrupción de datos). Disponibilidad: el sistema informático y sus datos deben estar accesibles en todo momento que sean requeridos. La paradoja de la seguridad Existen tres propiedades de un sistema informático que todo administrador de sistemas persigue: Funcionalidad: el sistema pone a disposición de sus usuarios multitud de herramientas y servicios que les facilitan su trabajo. Usabilidad: el sistema es cómodo y fácil de usar para los usuarios. Seguridad: el sistema y sus datos son seguros. Sin embargo estas tres cualidades no son plenamente compatibles, cuanto más seguro hagamos un sistema, menos funcional y usable será, pues las medidas de seguridad impuestas harán que el sistema sea más incómodo y estricto. Es lo que se denomina paradoja de la seguridad. Entonces, ¿dónde colocar el punto? Es una decisión que debe tomar el administrador del sistema. Huella digital La huella digital o checksum es un conjunto de bytes generado a partir de un documento mediante un algoritmo (denominado función hash) que garantiza que: Cualquier cambio en el documento, incluso de un único bit, produce una huella digital diferente. Es imposible obtener el documento original a partir de la huella. La huellas digitales no sirven para cifrar un documento, sino como garantía de que no ha sido alterado. Las huellas producidas por un determinado algoritmo hash tienen siempre el mismo tamaño en bytes, independientemente del tamaño del documento sobre el que son generadas. Los algoritmos más utilizados para generar huellas digitales son: MD5: genera huellas de 128 bits = 16 bytes = 32 caracteres hexadecimales. SHA1: genera huellas de 160 bits = 20 bytes = 40 caracteres hexadecimales. SHA2: existen diferentes versiones de este algoritmo, dependiendo del número de bits: SHA-224, SHA-256, SHA-384 y SHA-512. En el caso de SHA-512, la huella es de 512 bits = 64 bytes = 128 caracteres hexadecimales. Amenazas, riesgos y ataques Conceptos relacionados con las amenazas: Amenaza: Acción que pretende ser dañina para el sistema en riesgo. Ej: virus, mala actuación de un administrador de sistemas, un empleado descontento, etc. Vulnerabilidad o brecha: Es el grado de exposición del sistema amenazado a las amenazas de un atacante. Ej: Un fallo de programación puede representar una vulnerabilidad, no tener actualizado el fichero de firmas del antivirus, sistema no actualizado con todos los parches recomendados, etc. Amenazas, riesgos y ataques Contramedida: Es la acción que pretende la prevención de una amenaza que actúa aprovechándose de una vulnerabilidad. Ej: actualización diaria del antivirus. Atacante: Es el agente activo que perpetra la amenaza que subyace a una vulnerabilidad. Riesgo: Es la valoración del daño que representan las amenazas a las que se está expuesto debido a las vulnerabilidades teniendo en cuenta las contramedidas que se implementan para la defensa. Tipos de amenazas ¿Ante qué debemos proteger un sistema informático? Amenazas físicas: Ponen en riesgo el hardware del sistema, por ejemplo: Desgracias sobrevenidas: incendios, inundaciones, terremotos. Exceso de temperatura. Picos de tensión y cortes en el suministro eléctrico. Averías o fin de vida útil del hardware: fallos en componentes electrónicos, dispositivos de comunicaciones o sistemas de almacenamiento. Robos: Accesos no permitidos al hardware para robarlo. Acceso no autorizado a ficheros o dispositivos. Amenazas lógicas: hacen referencia al software y especialmente a los datos: Acceso ilegítimo al sistema informático: hackers intentando hacerse pasar por un usuario del sistema. Software malicioso: virus, gusanos, troyanos…en general todo tipo de software malintencionado al que se ha dado en denominar malware. Privacidad de los datos y las comunicaciones: Captación ilegítima de datos, suplantación de la identidad de otro usuario, etc Tipos de amenazas Amenazas de banca electrónica detectadas Compromiso del sistema interno: El atacante utiliza los servidores de banca electrónica expuestos para entrar en un sistema bancario interno. Robo de datos de clientes: Un atacante roba los datos personales y financieros de los clientes del banco de la base de datos de clientes. Transacciones falsas desde un servidor externo: Un atacante altera el código de la aplicación de banca electrónica y realiza transacciones haciéndose pasar por un usuario legítimo. Transacciones falsas con una tarjeta inteligente o un PIN robados: Un atacante roba la identidad de un cliente y realiza transacciones maliciosas desde la cuenta robada. Ataque al sistema desde el interior: Un empleado del banco encuentra una falla en el sistema y la aprovecha para iniciar un ataque. Errores de ingreso de datos: Un usuario ingresa datos incorrectos o realiza solicitudes de transacciones incorrectas. Destrucción del centro de datos: Un evento catastrófico daña gravemente o destruye el centro de datos. Medidas de protección Dependiendo de la amenaza, es posible adoptar medidas de seguridad activas o pasivas: Medidas pasivas: se aplican al sistema informático, normalmente desde el principio de su instalación. Por ejemplo, la instalación de una alarma antiincendios. Medidas activas: Se utilizan en el día a día para combatir daños en el sistema informático provocados, principalmente, por el factor humano e implican la supervisión de un administrador del sistema. Un ejemplo de este tipo de medidas es la instalación, configuración y supervisión de un firewall (cortafuegos). Algunos autores denominan medidas pasivas a aquellas que son automatizables, y medidas activas a las que necesitan de la intervención del administrador. Según esta interpretación, un antivirus sería clasificado como medida pasiva por estar automatizado; sin embargo el antivirus solicita intervención del usuario cuando encuentra una amenaza. Queremos dejar patente que la clasificación de las medidas de seguridad es en cierto modo subjetiva y dependiendo del autor, una medida puede ser incluida en una u otra categoría. Medidas de protección Las medidas de seguridad también pueden clasificarse en: Medidas preventivas: Se adoptan para evitar el problema.También son denominadas proactivas. Medidas paliativas: Se adoptan para solucionar los efectos del problema una vez que ya se ha producido. También son denominadas correctivas o reactivas. ¿Qué es INCIBE? La tarea de supervisión de vulnerabilidades de un sistema es constante. La figura del administrador del sistema es, pues, fundamental en todos los sistemas informáticos. INCIBE es el Instituto Nacional de Ciberseguridad de España (antes Inteco). INCIBE trabaja para afianzar la confianza digital, elevar la ciberseguridad y la resiliencia y contribuir al mercado digital de manera que se impulse el uso seguro del ciberespacio en España. https://www.incibe.es/ Planes de seguridad La mejor solución contra un ataque es organizar una buena defensa, sobre todo, a través de la prevención. Políticas recomendadas para mantener un sistema seguro: ○ Tener un plan de seguridad de los sistemas de información que debe haberse probado antes de que se produzca un posible ataque. ○ Respetar los códigos éticos de comportamiento personal y profesional. ○ Proveer planes de contingencia específicos para cada activo informático, validados mediante pruebas. ○ Disponer de un sistema eficaz de evaluación de la seguridad informática. Planes de seguridad Todo plan de respuesta a incidentes tiene cuatro fases: ○ Acción inmediata para detener o minimizar el incidente de seguridad. ○ Investigación del incidente. ○ Restauración de los recursos afectados, dañados o comprometidos debido al incidente. ○ Reporte del incidente y de los daños a los responsables de nivel superior. Tecnologías relacionadas con la seguridad Se enumeran aquí y se tratarán más adelante con profundidad: – Cortafuegos – Administración de las cuentas de los usuarios y de los servicios – Detección y prevención de intrusos – Antivirus y antimalware – Infraestructura de clave pública, técnicas de cifrado y firma digital – Técnicas de seguridad en el comercio electrónico – Capa de socket segura (SSL) – IPSec – Single Sign On (SSO) o inicio de sesión único – Biometría – Control de los accesos remotos – Redes privadas virtuales – Informática forense – Recuperación de datos – Monitorización y auditoría del sistema Seguridad física y ambiental Los equipos y dispositivos informáticos están formados por componentes electrónicos y son vulnerables a multitud de riesgos. No se llevan bien con el agua, que provoca cortocircuitos. Su rendimiento disminuye con las altas temperaturas. Son extremadamente sensibles a los picos de tensión en el suministro eléctrico. Los sistemas de almacenamiento de datos pueden quedar en un estado inconsistente, ante un corte repentino del suministro eléctrico. Son componentes caros y pueden atraer a los ladrones (aunque más comúnmente los atraen por contener información valiosa). Ubicación y protección de equipos y servidores El CPD (Centro de Proceso de Datos) debe cumplir ciertas características: Restringir su acceso al mínimo de personas imprescindible. No debe haber conducciones de gas, agua o calefacción. Tiene que disponer de un doble suelo que evite cortocircuitos en caso de inundación. Ha de estar debidamente climatizado. Debe disponer de salas de alimentación ininterrumpida. En zonas de especial presencia electromagnética, se debe aislar el CPD. En zonas de riesgo sísmico, deben disponer de un sistema de protección adecuado. Protección ante fallos del cableado Los cables de red o las interfaces de red pueden sufrir daños y deteriorar la calidad de la transmisión. Todo administrador de sistemas debe contar con latiguillos, conectores, bobinas y herramientas específicas para realizar reparaciones de este tipo. Centrándonos en el cableado interno del CPD, puede ser inaceptable el tiempo de parada (downtime) y por eso es habitual utilizar métodos de combinación de dos o más cables físicos redundantes, que a todos los efectos se comportan como un único cable virtual. Esta tecnología recibe diversos nombres, según el fabricante de hardware: link aggregation, IEEE 802.3X, LAG (Link Aggregation Group), NIC bonding, port trunking, NIC teaming, etc. Protección ante fallos del cableado Un bond formado por tres cables de 1 Gbps actúa como un único cable que tiene las siguientes características: Ambos dispositivos deben utilizar el mismo protocolo de link aggregation y las tres interfaces de red empleadas en cada uno de ellos deben trabajar a la misma velocidad de transmisión (1Gbps). Mientras funcione uno de los cables, el bond seguirá transmitiendo datos aunque fallen los otros dos. El ancho de banda ancho de banda del bond es la suma del de los tres cables (3Gbps), pues cada cable puede realizar transmisiones en paralelo a los otros dos. Desde el punto de vista del usuario, el bond ofrece una velocidad máxima de 1 Gbps y desde el punto de vista del administrador de la red ofrece un ancho de banda de 3 Gbps. A ojos del dispositivo 2, el dispositivo 1 solo tiene una interfaz de red, y viceversa. Protección ante fallos del cableado El concepto de link-aggregation es utilizado en cableado Ethernet y también en enlaces wifi haciendo uso de múltiples bandas de frecuencia. Existen diversos protocolos para enlaces redundantes. En redes Ethernet suele utilizarse LACP (Link Aggregation Control Protocol) basado en el estándar IEEE802.3ad. Posiblemente tu smartphone ya utilice link aggregation mediante el protocolo LTE-WLAN o LWA, gracias al cual puede combinar tu conexión de datos 3G/4G (LTE) y una red wifi (WLAN). Ejemplo de link-aggregation entre un switch y un servidor Protección ante humedades e inundaciones Es habitual en un CPD instalar sensores de humedad. Un CPD debe mantenerse en un rango de humedad del 45-55%. No es recomendable que el nivel de humedad baje del 40% o suba del 60%. Puede ser peligroso para los equipos electrónicos si baja del 30% o sube del 70%. Protección ante incendios y altas temperaturas Utilización de material ignífugo en techos, paredes y suelos. La pintura también puede ser ignífuga y libre de elementos químicos tóxicos por inhalación. Utilización de puertas cortafuegos. Colocación de extintores de C02,especialmente en el CPD. ¡No vale cualquier extintor! Colocación de detectores de humo y alarma antiincendios. Almacenamiento de copias de seguridad Sistemas de ventilación, especialmente en el rack. Instalación de un sistema de climatización que mantenga la sala refrigerada por debajo de la temperatura máxima recomendada de 25ºC; cuánto más cerca esté de los 15ºC ideales, mejor. Protección ante terremotos En zonas con alto riesgo sísmico las normas de construcción ya contemplan el uso de materiales y estructuras antisísmicas. Actividad 1.1: Realiza una búsqueda de imágenes con “Modular datacenter” y podrás ver varios modelos de CPD prefabricados, algunos de ellos con ruedas para permitir su movilidad. Intenta averiguar sus características y precios. Protección ante problemas de suministro eléctrico Los Sistemas de Alimentación Ininterrumpida (SAI), en inglés UPS (Uninterrupted Power System) nos protegen frente a los picos de tensión y los cortes de suministro. Un SAI es un dispositivo que se coloca entre un equipo informático (servidor, dispositivo de redes, etc.) y la toma de corriente. Deja pasar la corriente eliminando cualquier pico de tensión (tanto por exceso como por defecto de voltaje), protegiendo incluso ante saltos importantes como los producidos por la caída de un rayo gracias a un fusible. Esta protección recibe el término inglés de surge protection (protector de sobretensiones). Al mismo tiempo un SAI dispone de una batería encargada de proporcionar energía al equipo cuando hay un corte de suministro, obviamente por un tiempo limitado, pero el suficiente para proceder a un apagado ordenado del equipo que evite la corrupción o pérdida de sus datos. Esto recibe el término inglés de battery backup (batería de respaldo). SAI: Tipos y características Los SAI más avanzados son capaces de eliminar alteraciones en la onda eléctrica, distorsiones armónicas, etc. (anomalías conocidas como ruido). Internamente convierten la corriente alterna de entrada en corriente continua, para volver a transformarla a alterna, ya libre de ruido. Los fabricantes de SAI clasifican los equipos en función de los fallos eléctricos que corrigen. Principalmente existen tres tipos de SAI: ○ SAI offline ○ SAI line-interactive ○ SAI online: Este tipo de SAI es el más seguro y el que más fallos corrige. Un SAI, por tanto dispone de una toma de corriente de entrada y una o más de salida donde enchufar uno o más dispositivos críticos. Normalmente no todas las tomas proporcionan corriente ante un corte de suministro, por lo que podemos encontrarnos con tomas surge protection only. Las tomas battery backup siempre son, además, surge protection. SAI: Tipos y características A la hora de elegir un SAI es necesario fijarse en: Potencia máxima que es capaz de proporcionar. Se mide en vatios (W) o voltioamperios (VA). Debemos adquirir un SAI cuya potencia máxima iguale la suma de las potencias de consumo de los equipos que van a ser conectados (más un margen de tolerancia del 15-20%). 1 vatio = 1 voltioamperio x F. P. (factor de potencia) El factor de potencia suele rondar 0,8-0,9 en todos los SAI. Tiempo de autonomía (runtime): dependerá en todo momento del número de baterías del SAI, la carga actual de estas y la potencia de suministro aportada. SAI: Tipos y características Algunos modelos de SAI disponen de una toma de salida maestra (master) y otras controladas por la maestra (controlled by master). Es una característica de ahorro energético: si el SAI detecta que el equipo conectado a la toma maestra se apaga, entonces también corta el suministro de las tomas controladas. Ahorramos energía al apagar equipos que no necesitan estar encendidos si tampoco lo está el principal. Una característica que tienen los SAI más avanzados es la segmentación de carga. Consiste en dividir las tomas de salida en críticas y no críticas. Cuando el SAI entra en modo batería, proporciona energía en todas las tomas pero, si la carga de la batería desciende por debajo de un nivel concreto, el SAI apaga las tomas no críticas para centrar toda la energía en los equipos críticos. Monitorización de un SAI Actualmente, todos los SAI empresariales disponen de conexión por puerto USB para que un equipo supervise el estado y carga del dispositivo. Es fundamental para toda la empresa contar con un sistema capaz de autoapagarse correctamente en caso de agotamiento de la batería del SAI, pues los cortes en el suministro pueden producirse fuera del horario laboral del administrador del sistema. Los SAI más avanzados pueden ser controlados por red. En funcionamiento normal, un SAI estará en estado ONLINE (recibe electricidad) y tendrá una carga del 100%). Monitorización de un SAI La batería de un SAI tiene una vida útil limitada. El software de monitorización también avisará de esta eventualidad. PDU (Power Distribution Unit): No confundir un SAI con una PDU o unidad de distribución de potencia. Una PDU es lo que se conoce normalmente como una regleta de enchufes. Actividad Actividad 1.2: Comparación de modelos de SAI Visita los asistentes “recomendadores” de tres de las principales marcas de SAI, Salicru, CyberPower y APC, y encuentra para cada marca, el modelo “enrackable” más apropiado para una carga aproximada de 4000 VA. Actividad 1.3: Monitorización de un SAI La mayoría de los servidores de archivos (NAS) están diseñados para ser conectados a un SAI. Estudia en la web de Synology, uno de los principales fabricantes de NAS, cómo se configuran estos para controlar un SAI y apagarse en caso de necesidad. Protección ante accesos no autorizados y robos Acceso físico al CPD solo puede ser realizado por un número muy limitado de personas dentro de la empresa. Existen sistemas de control de acceso por código, por sensores biométricos, de doble contraseña, etc. Si no disponemos de un sistema de control de acceso avanzado, podemos instalar un sistema de videovigilancia en los accesos importantes a la empresa, entre ellos, al CPD. La videovigilancia recibe en inglés el nombre de surveillance. Protección ante accesos no autorizados y robos En lo concerniente a los robos, existen muchas variedades de alarma en el mercado para proteger cualquier tipo de recinto. Los equipos individuales pueden ser protegidos mediante cadenas o candados antirrobo. Existen varios modelos pero el más estandarizado es el kensington (llamado así por la marca que lo inventó) tanto para equipos portátiles como sobremesa. Análisis forense de sistemas informáticos Muchas compañías contratan a empresas especializadas en seguridad informática, llamadas auditorías de seguridad informática (o peritos de seguridad informática si se trata de trabajadores autónomos) para que evalúen el sistema mediante técnicas de pentesting, encuentren vulnerabilidades y aconsejen medidas de seguridad a aplicar. Para evaluar las principales amenazas cuentan con hackers éticos, los cuales intentan penetrar en el sistema como lo haría cualquier hacker pero bajo un contrato de confidencialidad. Estas auditorías reciben el nombre de análisis forense de sistemas informáticos si se aplican después de la vulneración del sistema. Análisis forense de sistemas informáticos El contenido mínimo de un informe de auditoría de seguridad está definido en la norma ISO 19011, “Directrices para la auditoría de Sistemas de Gestión”, y debería ser: Objetivo de la auditoría. Si se trata de una auditoría periódica o una auditoría de seguimiento de acciones correctivas. Alcance de la auditoría: incluyendo procesos, departamentos, delegaciones, etc. Equipo auditor, con nombres, apellidos y cargo que ocupa en el equipo. Fechas y lugares de la auditoría. Criterios de la auditoría: ¿Qué procesos se han auditado? Resultados de la auditoría: Hallazgos y mejores prácticas. Conclusiones de la auditoría: Resumen de los resultados Análisis forense de sistemas informáticos Fases del análisis forense 1) Estudio previo: Estudio inicial mediante entrevistas y documentación entregada por el cliente. 2) Adquisición de datos: Obtención de datos e informaciones para la investigación. Las fuentes de información que se utilizan, son: ○ Ficheros log del cortafuegos ○ Ficheros log del sistema de control de incidencias ○ Ficheros log del sistema operativo, servidor, equipos, etc. ○ Ficheros log proporcionados por el proveedor de internet (IPS) ○ Correos electrónicos ○ Historial del navegador ○ Entrevistas con el administrador del sistema o con los usuarios. ○ Listados de vulnerabilidades Análisis forense de sistemas informáticos Fases del análisis forense 3) Análisis e investigación: Se realiza un estudio con los datos adquiridos en la fase anterior. 4) Realización del informe: En esta fase se elabora el informe que será remitido a la dirección de la empresa. Las vulnerabilidades utilizadas por los atacantes, si están identificadas, aparecen en listados públicos. Se emplea el estándar de nomenclatura de vulnerabilidades, CVE (Common Vulnerabilities and Exposures). https://www.incibe.es/incibe-cert/alerta-temprana/vulnerabilidades Herramientas para el análisis forense Las herramientas utilizadas en el análisis forense abarcan multitud de categorías, como pueden ser clonación de unidades de almacenamiento, análisis de dispositivos de almacenamiento, análisis de ficheros log, análisis de conexiones de red, etc. Algunas de ellas son: Digital Forensics Framework, herramienta de código abierto y con licencia GPL. SANS Investigative Forensic Toolkit (SIFT), distribución de Linux dedicada al análisis forense de todo tipo de sistemas. Open Computer Forensics Architecture (OCFA), creado originalmente por la Agencia Nacional de Policía holandesa. The Sleuth Kit (TSK), conjunto de herramientas de código abierto especializada en el análisis de dispositivos de almacenamiento. OpenSCAP, basada en el protocolo SCAP de Automatización de los Contenidos sobre Seguridad. Pretende estandarizar la búsqueda, evaluación y documentación de vulnerabilidades en los sistemas informáticos. Registro log centralizado Por las mismas razones por las que es conveniente sincronizar la hora en toda la red, puede ser conveniente mantener un registro log centralizado, al cual todos los servicios y dispositivos envíen sus eventos, en lugar de que cada uno de ellos los almacene en ficheros locales. Esto se consigue mediante rsyslog (término que hace referencia tanto al servidor como al protocolo utilizado para enviar los eventos al registro central de dicho servidor) en sistemas Unix/Linux o con la redirección de eventos (WEF, Windows Event Forwarding) en sistemas Windows. https://www.rsyslog.com/doc/master/index.html Registro log centralizado Entornos Linux El protocolo syslog está implementado en el mundo Linux con el paquete rsyslog, que viene instalado por defecto en todos los sistemas. El demonio rsyslogd es el encargado de recibir eventos de todas las aplicaciones del sistema, principalmente del kernel, y los va almacenando en ficheros log, pero puede ser configurado para, además, enviar eventos de equipos remotos así como almacenar la información en múltiples formatos, incluyendo bases de datos MySQL o PostgreSQL. Una de las formas de “almacenar” la información es redirigirla a otro equipo. Entornos Windows Un servidor central, denominado recopilador, es el que recibe los eventos del resto de equipos, llamados fuentes. Para ello hace uso del protocolo WinRM de intercambio de información entre equipos, proporcionado por el servicio “Administración remota de Windows” que deberá ser habilitado en todos los equipos del sistema. El equipo recopilador, además, deberá habilitar el servicio “Recopilador de eventos de Windows”. Bibliografía Triviño Mosquera, Ignacio (2019). Seguridad y alta disponibilidad (Grado Superior). Editorial Síntesis Abad Domingo, Alfredo (2013). Seguridad y alta disponibilidad (Grado Superior). Editorial Garceta Introducción a la seguridad (2023). Cisco Networking Academy