Beruflich Dokumente
Kultur Dokumente
Aplicaciones Telemticas
Curso 2010/11
UAH
Contenidos
Introduccin Objetivos Principios bsicos Seguridad en los Sistemas de Informacin Deniciones Mtodo de defensa en profundidad Infraestructura de seguridad en capas Hacking tico. Test de penetracin (PENTEST) Introduccin Tests de penetracin o intrusin Metodologas de tests de intrusin
UAH
Esbozo
Introduccin Objetivos Principios bsicos Seguridad en los Sistemas de Informacin Deniciones Mtodo de defensa en profundidad Infraestructura de seguridad en capas Hacking tico. Test de penetracin (PENTEST) Introduccin Tests de penetracin o intrusin Metodologas de tests de intrusin
UAH
Objetivos
Objetivos
El atacante debe perder el empuje inicial, dado que debe superar varias barreras independientes.
UAH
Esbozo
Introduccin Objetivos Principios bsicos Seguridad en los Sistemas de Informacin Deniciones Mtodo de defensa en profundidad Infraestructura de seguridad en capas Hacking tico. Test de penetracin (PENTEST) Introduccin Tests de penetracin o intrusin Metodologas de tests de intrusin
UAH
Principios bsicos
Sbastien Le Prestre, Marqus de Vauban. Ingeniero militar con Luis XIV.
Varias lneas de defensa autnomas, coordinadas y ordenadas por capacidad de defensa. La prdida de una lnea de defensa debe debilitar el ataque, reforzando el resto de lneas de defensa. Una lnea de defensa debe atender todas las amenazas. La defensa no excluye acciones ofensivas.
UAH
Esbozo
Introduccin Objetivos Principios bsicos Seguridad en los Sistemas de Informacin Deniciones Mtodo de defensa en profundidad Infraestructura de seguridad en capas Hacking tico. Test de penetracin (PENTEST) Introduccin Tests de penetracin o intrusin Metodologas de tests de intrusin
UAH
Deniciones
Gravedad. Impacto real en funcin de la criticidad del bien (consecuencia directa) e impacto potencial en funcin de la cantidad de lneas de defensa restantes.
Denir una escala que determine los niveles de gravedad (comparar los distintos incidentes de seguridad).
Barrera. Medida de seguridad capaz de proteger una parte del sistema contra al menos una amenaza. Lnea de defensa. Conjunto de barreras cuya superacin provoca un incidente de seguridad. Su gravedad se supedita a la cantidad de barreras que una amenaza debe atravesar an para alcanzar el bien protegido.
Una lnea de defensa comprende una transicin entre dos niveles de gravedad e implica una reaccin planicada.
UAH
Deniciones
Defensa en profundidad. Defensa global y dinmica que coordina varias lneas de defensa que cubren toda la profundidad del sistema.
Profundidad en la organizacin.
Cadena de responsabilidades. Difusin de la informacin de seguridad.
Profundidad en la implementacin.
Polticas de seguridad contrastadas y actualizadas (dinamismo). Polticas de mantenimiento.
UAH
Esbozo
Introduccin Objetivos Principios bsicos Seguridad en los Sistemas de Informacin Deniciones Mtodo de defensa en profundidad Infraestructura de seguridad en capas Hacking tico. Test de penetracin (PENTEST) Introduccin Tests de penetracin o intrusin Metodologas de tests de intrusin
UAH
UAH
Escala de gravedad
UAH
UAH
UAH
Etapa 4. Calicacin
Validacin de la organizacin y la arquitectura. Enfoque cualitativo Validar el cumplimiento de los principios de defensa en profundidad. Procedimiento de calidad.
Demostrar el carcter exhaustivo de los objetivos de seguridad repecto a las amenazas consideradas.
Enfoque cuantitativo o demostrativo Analizar la coherencia prctica de la aplicacin del mtodo de defensa en profundidad (contrastar modelo de defensa con anlisis de riesgos).
Anlisis por situacin envolvente. Evaluar riesgo mximo, valorando la pertinencia de la cantidad de barreras propuesta. Anlisis por componente defectuoso. Valorar la proteccin restante ante un fallo aleatorio en alguno de los componentes.
UAH
Aspectos fundamentales.
Estudio esttico de los componentes. Estudio dinmico de las incidencias (experiencia). Esquema orientativo. Auditoras peridicas. Retroaccin. Evolucin del ciclo de vida del sistema (actualizacin si el coste lo merece). Homologacin de seguridad (decisin no permanente) El Sistema de Informacin se considera apto para procesar informacin, de acuerdo a un nivel de sensibilidad determinado.
UAH
Esbozo
Introduccin Objetivos Principios bsicos Seguridad en los Sistemas de Informacin Deniciones Mtodo de defensa en profundidad Infraestructura de seguridad en capas Hacking tico. Test de penetracin (PENTEST) Introduccin Tests de penetracin o intrusin Metodologas de tests de intrusin
UAH
UAH
Esbozo
Introduccin Objetivos Principios bsicos Seguridad en los Sistemas de Informacin Deniciones Mtodo de defensa en profundidad Infraestructura de seguridad en capas Hacking tico. Test de penetracin (PENTEST) Introduccin Tests de penetracin o intrusin Metodologas de tests de intrusin
UAH
Introduccin
Conocer si los sistemas informticos y redes estn protegidos frente a intrusos. Medidas preventivas. Evaluar la seguridad de los sistemas. Hacking tico Simulacin controlada de las actividades delictivas. Filosofa. Para atrapar a un ladrn se debe pensar como un ladrn. Motivacin. La seguridad no suele incorporarse en el proceso de desarrollo del software.
Tests de penetracin
UAH
Esbozo
Introduccin Objetivos Principios bsicos Seguridad en los Sistemas de Informacin Deniciones Mtodo de defensa en profundidad Infraestructura de seguridad en capas Hacking tico. Test de penetracin (PENTEST) Introduccin Tests de penetracin o intrusin Metodologas de tests de intrusin
UAH
Tipos de tests
Objetivos. Comprobar y clasicar las vulnerabilidades.
El impacto se supedita a las necesidades de la organizacin.
Tipos de tests de intrusin Tests de intrusin con objetivo. Componentes especcos relevantes para la organizacin. Tests de intrusin sin objetivo. Totalidad de los componentes de la organizacin. Tests de intrusin ciega. Informacin pblica disponible sobre la organizacin.
Tests de intrusin informada. Ataques perpetrados por entes internos. Tests de intrusin externa. Seguridad perimetral. Evaluacin externa de las instalaciones. Tests de intrusin interna. Polticas y mecanismos internos de seguridad. Evaluacin interna de las instalaciones.
UAH
UAH
Principios
Infraestructuras de red accesibles desde el exterior. Seguridad cambiante. Tests de penetracin peridicos. Preparativos de los tests de penetracin.
Reconocimiento de la visibilidad de la organizacin (tcnicas no intrusivas). Sistemas sometidos a los tests de penetracin Ataques.
Tests desde mquina remota, con direccin IP pblica conocida por el cliente. Metodologas OSSTMM, ISSAF, OWASP, etc. No se efectuarn pruebas de DoS e ingeniera social, salvo exigencia expresa del cliente.
UAH
1 2 3 4 5 6 7 8 9
Recopilacin de informacin. Enumeracin de la red. Exploracin de los sistemas. Extraccin de informacin. Acceso no autorizado a informacin sensible. Auditora de aplicaciones web. Elaboracin de informes y recomendaciones. Comprobacin del proceso de parcheado de los sistemas. Informe nal.
UAH
UAH
Esbozo
Introduccin Objetivos Principios bsicos Seguridad en los Sistemas de Informacin Deniciones Mtodo de defensa en profundidad Infraestructura de seguridad en capas Hacking tico. Test de penetracin (PENTEST) Introduccin Tests de penetracin o intrusin Metodologas de tests de intrusin
UAH
Aspectos no tcnicos.
Credenciales del profesional del testing. Presentacin de resultados. Normas ticas y legales. Tiempos invertidos en las tareas (frecuencia de los tests). Valores de Evaluacin de Riesgos (RAV). Objetividad y transparencia.
UAH
Contenidos distribuidos por dominios: generales y especcos (tcnicas concretas). Prestar atencin a las actualizaciones (obsolescencia).
UAH
OWASP. Open Web Application Security Project Evaluacin de seguridad de aplicaciones web. Metodologa dividida en dos partes.
Primera parte.
Principios de testing. Explicacin de las tcnicas de testing. Explicacin general del marco OWASP.
Segunda parte.
Planicacin de tcnicas de testing en cada etapa del ciclo de vida del desarrollo software (SDCL).
UAH
3 Durante el desarrollo. Revisin del cdigo. 4 Durante la implementacin. Tests de intrusin de aplicacin, administracin y conguracin. 5 Operacin y mantenimiento. Chequeos peridicos y control de cambios.
UAH
ISO 27002
ISO/IEC 17799:2005. Certicacin de calidad Manual de buenas prcticas y especicacin de requisitos necesarios para establecer, implantar, mantener y mejorar un Sistema de Gestin de la Seguridad de la Informacin (mecanismos y controles).
Poltica de seguridad de la informacin. Organizacin de la seguridad de la iInformacin Gestin de activos de informacin. Seguridad de los recursos humanos. Seguridad fsica y ambiental. Gestin de las comunicaciones y operaciones. Control de accesos. Adquisicin, desarrollo y mantenimiento de sistemas de informacin. Gestin de incidentes en la seguridad de la informacin. Gestin de continuidad del negocio. Cumplimiento.
UAH
Lecturas recomendadas
Cliff Riggs. Network perimeter security: building defense in-depth. Auerbach Publications, 2003. Omar Santos. End-to-end network security: defense-in-depth. Cisco Press, 2008. Houston H. Carr, Charles A. Snyder, Bliss Bailey. Defense in Depth: The Management of Network Security. Tavenner Publishing Company, 2007. Michael T. Simpson, Kent Backman, James Corley. Hands-On Ethical Hacking and Network Defense. Second edition, Cengage Learning, 2010.
UAH