problemas de seguridad comunes en la unam · demian garcía. seguridad por capas aplicación...
TRANSCRIPT
![Page 1: Problemas de Seguridad Comunes en la UNAM · Demian García. Seguridad por capas Aplicación Sistemas Operativos Red Seguridad física ... • Contenido de prueba • ZIt works en](https://reader030.vdocumento.com/reader030/viewer/2022020304/5ba8a7cf09d3f20c5f8c7f46/html5/thumbnails/1.jpg)
Problemas de Seguridad
Comunes en la UNAM
M.A. Manuel Quintero
Ing. Demian García
![Page 2: Problemas de Seguridad Comunes en la UNAM · Demian García. Seguridad por capas Aplicación Sistemas Operativos Red Seguridad física ... • Contenido de prueba • ZIt works en](https://reader030.vdocumento.com/reader030/viewer/2022020304/5ba8a7cf09d3f20c5f8c7f46/html5/thumbnails/2.jpg)
![Page 3: Problemas de Seguridad Comunes en la UNAM · Demian García. Seguridad por capas Aplicación Sistemas Operativos Red Seguridad física ... • Contenido de prueba • ZIt works en](https://reader030.vdocumento.com/reader030/viewer/2022020304/5ba8a7cf09d3f20c5f8c7f46/html5/thumbnails/3.jpg)
Seguridad por capas
Aplicación
Sistemas Operativos
Red
Seguridad física
Personas
Políticas
Información
![Page 4: Problemas de Seguridad Comunes en la UNAM · Demian García. Seguridad por capas Aplicación Sistemas Operativos Red Seguridad física ... • Contenido de prueba • ZIt works en](https://reader030.vdocumento.com/reader030/viewer/2022020304/5ba8a7cf09d3f20c5f8c7f46/html5/thumbnails/4.jpg)
POLÍTICAS
Aplicación
Sistemas Operativos
Red
Seguridad física
Personas
Políticas
![Page 5: Problemas de Seguridad Comunes en la UNAM · Demian García. Seguridad por capas Aplicación Sistemas Operativos Red Seguridad física ... • Contenido de prueba • ZIt works en](https://reader030.vdocumento.com/reader030/viewer/2022020304/5ba8a7cf09d3f20c5f8c7f46/html5/thumbnails/5.jpg)
Políticas
• ¿Cómo saber que se puede hacer o que no,
si no se plasma en ningún lugar?
• Siempre se requieren políticas
![Page 6: Problemas de Seguridad Comunes en la UNAM · Demian García. Seguridad por capas Aplicación Sistemas Operativos Red Seguridad física ... • Contenido de prueba • ZIt works en](https://reader030.vdocumento.com/reader030/viewer/2022020304/5ba8a7cf09d3f20c5f8c7f46/html5/thumbnails/6.jpg)
Políticas
Políticas como…
• Contraseñas.
– ¿Alguien permite cuentas sin contraseña?
• Respaldos.
– Y si se hacen… ¿quién verifica que funcionen?
• Uso de la red
– Puede ser mas efectivo que en algún lugar diga que no pueden usar Netflix, que bloquear el acceso.
• Uso aceptable de los equipos
![Page 7: Problemas de Seguridad Comunes en la UNAM · Demian García. Seguridad por capas Aplicación Sistemas Operativos Red Seguridad física ... • Contenido de prueba • ZIt works en](https://reader030.vdocumento.com/reader030/viewer/2022020304/5ba8a7cf09d3f20c5f8c7f46/html5/thumbnails/7.jpg)
Porque todos somos los
responsables de...
• Sistemas
• Seguridad
• Redes
• Aplicativos
• Administración
• Desarrollo
• Mantenimiento
• Atención a usuarios
• Configuración de teléfonos…etc.
![Page 8: Problemas de Seguridad Comunes en la UNAM · Demian García. Seguridad por capas Aplicación Sistemas Operativos Red Seguridad física ... • Contenido de prueba • ZIt works en](https://reader030.vdocumento.com/reader030/viewer/2022020304/5ba8a7cf09d3f20c5f8c7f46/html5/thumbnails/8.jpg)
Porque todos somos los
responsables de...
• Debe existir un responsable de la seguridad.
• No se puede ser juez y parte.
![Page 9: Problemas de Seguridad Comunes en la UNAM · Demian García. Seguridad por capas Aplicación Sistemas Operativos Red Seguridad física ... • Contenido de prueba • ZIt works en](https://reader030.vdocumento.com/reader030/viewer/2022020304/5ba8a7cf09d3f20c5f8c7f46/html5/thumbnails/9.jpg)
PERSONAS
Aplicación
Sistemas Operativos
Red
Seguridad física
Personas
Políticas
![Page 10: Problemas de Seguridad Comunes en la UNAM · Demian García. Seguridad por capas Aplicación Sistemas Operativos Red Seguridad física ... • Contenido de prueba • ZIt works en](https://reader030.vdocumento.com/reader030/viewer/2022020304/5ba8a7cf09d3f20c5f8c7f46/html5/thumbnails/10.jpg)
Personas
• Quienes realizan las operaciones en
cualquier equipo son las personas.
• Es eslabón más débil de la cadena.
• (TI: Enviar contraseñas en correos sin cifrar desde el principio de los tiempos)
• No basta con implementar políticas, ¡deben
ser accesibles y divulgadas por todos los
usuarios!
![Page 11: Problemas de Seguridad Comunes en la UNAM · Demian García. Seguridad por capas Aplicación Sistemas Operativos Red Seguridad física ... • Contenido de prueba • ZIt works en](https://reader030.vdocumento.com/reader030/viewer/2022020304/5ba8a7cf09d3f20c5f8c7f46/html5/thumbnails/11.jpg)
Personas (IT)
• ¿Quién es responsable de qué?
• ¿Saben quién tiene cuentas de administración en todos los equipos?
• Si hay un problema, ¿quién lo resuelve?
• Matrices RACI
• Capacitación.
• No implica comprar cursos, implica concientizar a las personas.
• Pero yo sé seguridad, a mi no me va a
pasar.
![Page 12: Problemas de Seguridad Comunes en la UNAM · Demian García. Seguridad por capas Aplicación Sistemas Operativos Red Seguridad física ... • Contenido de prueba • ZIt works en](https://reader030.vdocumento.com/reader030/viewer/2022020304/5ba8a7cf09d3f20c5f8c7f46/html5/thumbnails/12.jpg)
SEGURIDAD FÍSICA
Aplicación
Sistemas Operativos
Red
Seguridad física
Personas
Políticas
![Page 13: Problemas de Seguridad Comunes en la UNAM · Demian García. Seguridad por capas Aplicación Sistemas Operativos Red Seguridad física ... • Contenido de prueba • ZIt works en](https://reader030.vdocumento.com/reader030/viewer/2022020304/5ba8a7cf09d3f20c5f8c7f46/html5/thumbnails/13.jpg)
Seguridad física
• No existe un site.
• Instalaciones inadecuadas para los equipos
de cómputo/telecomunicaciones.
• ¿Quién tiene acceso físico a los servidores?
• Telaraña estructurada.
![Page 14: Problemas de Seguridad Comunes en la UNAM · Demian García. Seguridad por capas Aplicación Sistemas Operativos Red Seguridad física ... • Contenido de prueba • ZIt works en](https://reader030.vdocumento.com/reader030/viewer/2022020304/5ba8a7cf09d3f20c5f8c7f46/html5/thumbnails/14.jpg)
RED
Aplicación
Sistemas Operativos
Red
Seguridad física
Personas
Políticas
![Page 15: Problemas de Seguridad Comunes en la UNAM · Demian García. Seguridad por capas Aplicación Sistemas Operativos Red Seguridad física ... • Contenido de prueba • ZIt works en](https://reader030.vdocumento.com/reader030/viewer/2022020304/5ba8a7cf09d3f20c5f8c7f46/html5/thumbnails/15.jpg)
Red
• Seguridad perimetral.
• Es poca o nula.
• A veces se asume que un firewall es más que suficiente.
• Reglas de control de entrada restrictivas, pero permisivas de salida.
• Segmentación de la red.
• Los clientes y servidores están en el mismo segmento (público).
• Direcciones IP públicas.
![Page 16: Problemas de Seguridad Comunes en la UNAM · Demian García. Seguridad por capas Aplicación Sistemas Operativos Red Seguridad física ... • Contenido de prueba • ZIt works en](https://reader030.vdocumento.com/reader030/viewer/2022020304/5ba8a7cf09d3f20c5f8c7f46/html5/thumbnails/16.jpg)
Red
Dispositivos/elementos de red “maliciosos”.
Servicios usados para ataques de amplificación
DNS, NTP, CHARGEN, QOTD, SSDP, SNMP
0
1000
2000
3000
4000
5000
6000
7000
8000
9000
NTP DNS SNMP SSDP
JUNIO 2016
Detecciones
0
10
20
30
40
50
CHARGEN QOTD
JUNIO 2016Detecciones
![Page 17: Problemas de Seguridad Comunes en la UNAM · Demian García. Seguridad por capas Aplicación Sistemas Operativos Red Seguridad física ... • Contenido de prueba • ZIt works en](https://reader030.vdocumento.com/reader030/viewer/2022020304/5ba8a7cf09d3f20c5f8c7f46/html5/thumbnails/17.jpg)
Red
DDoS
![Page 18: Problemas de Seguridad Comunes en la UNAM · Demian García. Seguridad por capas Aplicación Sistemas Operativos Red Seguridad física ... • Contenido de prueba • ZIt works en](https://reader030.vdocumento.com/reader030/viewer/2022020304/5ba8a7cf09d3f20c5f8c7f46/html5/thumbnails/18.jpg)
Red
• No existe control de acceso físico a la red.
• Y es más interesante cuando hay un DHCP.
• Para el acceso a los equipos, se encuentran
disponibles SSH/RDP en “servidores” con IP
pública.
• No se implementan VPN.
• Ausencia de administración de amenazas
(spam, malware, phishing).
![Page 19: Problemas de Seguridad Comunes en la UNAM · Demian García. Seguridad por capas Aplicación Sistemas Operativos Red Seguridad física ... • Contenido de prueba • ZIt works en](https://reader030.vdocumento.com/reader030/viewer/2022020304/5ba8a7cf09d3f20c5f8c7f46/html5/thumbnails/19.jpg)
Ransomware
![Page 20: Problemas de Seguridad Comunes en la UNAM · Demian García. Seguridad por capas Aplicación Sistemas Operativos Red Seguridad física ... • Contenido de prueba • ZIt works en](https://reader030.vdocumento.com/reader030/viewer/2022020304/5ba8a7cf09d3f20c5f8c7f46/html5/thumbnails/20.jpg)
SISTEMAS OPERATIVOS
Aplicación
Sistemas Operativos
Red
Seguridad física
Personas
Políticas
![Page 21: Problemas de Seguridad Comunes en la UNAM · Demian García. Seguridad por capas Aplicación Sistemas Operativos Red Seguridad física ... • Contenido de prueba • ZIt works en](https://reader030.vdocumento.com/reader030/viewer/2022020304/5ba8a7cf09d3f20c5f8c7f46/html5/thumbnails/21.jpg)
Mito: ‘Hay sistemas operativos que
ya son seguros’
![Page 22: Problemas de Seguridad Comunes en la UNAM · Demian García. Seguridad por capas Aplicación Sistemas Operativos Red Seguridad física ... • Contenido de prueba • ZIt works en](https://reader030.vdocumento.com/reader030/viewer/2022020304/5ba8a7cf09d3f20c5f8c7f46/html5/thumbnails/22.jpg)
Vulnerabilidades por SO, 2015
Con información de www.gfi.com
![Page 23: Problemas de Seguridad Comunes en la UNAM · Demian García. Seguridad por capas Aplicación Sistemas Operativos Red Seguridad física ... • Contenido de prueba • ZIt works en](https://reader030.vdocumento.com/reader030/viewer/2022020304/5ba8a7cf09d3f20c5f8c7f46/html5/thumbnails/23.jpg)
No es sólo el SO, sino lo que vive en
él
Con información de www.gfi.com
![Page 24: Problemas de Seguridad Comunes en la UNAM · Demian García. Seguridad por capas Aplicación Sistemas Operativos Red Seguridad física ... • Contenido de prueba • ZIt works en](https://reader030.vdocumento.com/reader030/viewer/2022020304/5ba8a7cf09d3f20c5f8c7f46/html5/thumbnails/24.jpg)
No es sólo el SO, sino lo que vive en
él
Con información de www.gfi.com
![Page 25: Problemas de Seguridad Comunes en la UNAM · Demian García. Seguridad por capas Aplicación Sistemas Operativos Red Seguridad física ... • Contenido de prueba • ZIt works en](https://reader030.vdocumento.com/reader030/viewer/2022020304/5ba8a7cf09d3f20c5f8c7f46/html5/thumbnails/25.jpg)
Sistemas operativos
• Los equipos no cuentan con actualizaciones
y antivirus.
• ‘Solo aplica a Windows’
• Instalaciones por defecto
• ¡Porque Linux/UNIX/OS X ya es seguro!
• Aun existen S.O. Legacy.
• Windows XP
• Debían 5
• Ubuntu 9.10
• Solaris 8
![Page 26: Problemas de Seguridad Comunes en la UNAM · Demian García. Seguridad por capas Aplicación Sistemas Operativos Red Seguridad física ... • Contenido de prueba • ZIt works en](https://reader030.vdocumento.com/reader030/viewer/2022020304/5ba8a7cf09d3f20c5f8c7f46/html5/thumbnails/26.jpg)
Sistemas operativos
• IPTables sin configurar
• O con una regla allow all.
• Contraseñas débiles
• Suelen tener duración 9999.
• admin/adminadmin/passwordpostgres/postgresSYSTEM/manager
• Sin hardening
• HIDS
![Page 27: Problemas de Seguridad Comunes en la UNAM · Demian García. Seguridad por capas Aplicación Sistemas Operativos Red Seguridad física ... • Contenido de prueba • ZIt works en](https://reader030.vdocumento.com/reader030/viewer/2022020304/5ba8a7cf09d3f20c5f8c7f46/html5/thumbnails/27.jpg)
APLICACIÓN
Aplicación
Sistemas Operativos
Red
Seguridad física
Personas
Políticas
![Page 28: Problemas de Seguridad Comunes en la UNAM · Demian García. Seguridad por capas Aplicación Sistemas Operativos Red Seguridad física ... • Contenido de prueba • ZIt works en](https://reader030.vdocumento.com/reader030/viewer/2022020304/5ba8a7cf09d3f20c5f8c7f46/html5/thumbnails/28.jpg)
Aplicación (Web)
• Lo más común, sin validación de entrada
(80%)
• SQL Injection
• XSS
• XSRF
• Contenido de prueba
• ‘It works’ en servidores de producción
• IndexOf
• Respaldos completos vía web con contraseñas en claro
![Page 29: Problemas de Seguridad Comunes en la UNAM · Demian García. Seguridad por capas Aplicación Sistemas Operativos Red Seguridad física ... • Contenido de prueba • ZIt works en](https://reader030.vdocumento.com/reader030/viewer/2022020304/5ba8a7cf09d3f20c5f8c7f46/html5/thumbnails/29.jpg)
Aplicación (Web)
• phpinfo() y phpmyadmin con permisos de
acceso.
• Accesos no restringidos.
• Cuentas de usuario para consultas.
• Usuarios administrativo para realizar
conexiones.
• Aplicaciones Web con conexiones a bases
de datos con root.
![Page 30: Problemas de Seguridad Comunes en la UNAM · Demian García. Seguridad por capas Aplicación Sistemas Operativos Red Seguridad física ... • Contenido de prueba • ZIt works en](https://reader030.vdocumento.com/reader030/viewer/2022020304/5ba8a7cf09d3f20c5f8c7f46/html5/thumbnails/30.jpg)
Pero hay luz al final del camino
• Definir políticas de seguridad
• Y que estén respaldadas.
• Hardening de equipos
• CIS benchmarks (https://www.cisecurity.org/)
• Aplicar mejores prácticas
• www.m3aawg.org
• Actualizar S.O. y antimalware
• En TODOS los sistemas operativos.
• Eliminar prejuicios y mitos.
![Page 31: Problemas de Seguridad Comunes en la UNAM · Demian García. Seguridad por capas Aplicación Sistemas Operativos Red Seguridad física ... • Contenido de prueba • ZIt works en](https://reader030.vdocumento.com/reader030/viewer/2022020304/5ba8a7cf09d3f20c5f8c7f46/html5/thumbnails/31.jpg)
Pero hay luz al final del camino
• Capacitar a los usuarios (y administradores)
• Asegurar la red
• Segmentar y proteger.
• VPN y no pones servicios innecesarios.
• Sanitizar entradas en servicios Web.
• Aplicar procesos de seguridad, no productos
de seguridad.
• Monitorear constatemente, sin asumir que si
todo funciona, es que todo esta bien.
![Page 32: Problemas de Seguridad Comunes en la UNAM · Demian García. Seguridad por capas Aplicación Sistemas Operativos Red Seguridad física ... • Contenido de prueba • ZIt works en](https://reader030.vdocumento.com/reader030/viewer/2022020304/5ba8a7cf09d3f20c5f8c7f46/html5/thumbnails/32.jpg)
Conclusiones
• La cuestión no es si serán vulnerados, sino
cuando.
• La seguridad es un proceso, no un producto.
• Divide y vencerás.
• Trabajo en equipo.
• La seguridad es tan buena como el eslabón
más débil.
• Apoyo de la Dirección.
![Page 33: Problemas de Seguridad Comunes en la UNAM · Demian García. Seguridad por capas Aplicación Sistemas Operativos Red Seguridad física ... • Contenido de prueba • ZIt works en](https://reader030.vdocumento.com/reader030/viewer/2022020304/5ba8a7cf09d3f20c5f8c7f46/html5/thumbnails/33.jpg)
¿Preguntas?
![Page 34: Problemas de Seguridad Comunes en la UNAM · Demian García. Seguridad por capas Aplicación Sistemas Operativos Red Seguridad física ... • Contenido de prueba • ZIt works en](https://reader030.vdocumento.com/reader030/viewer/2022020304/5ba8a7cf09d3f20c5f8c7f46/html5/thumbnails/34.jpg)
M.A. Manuel Quintero
Ing. Demian García
UNAM-CERT
@unamcert
/unamcert
¡Gracias!