seguridad de la información rce 2013 división informática ministerio del interior y seguridad...

Seguridad de la Información

RCE 2013

División InformáticaMinisterio del Interior y Seguridad

PúblicaAbril 2013

Agenda

• ¿Qué es la seguridad Informática?• Consideraciones de seguridad en la RCE 2013• Conclusiones

2Gobierno de Chile | Ministerio del Interior y Seguridad Pública

¿Qué es la seguridad Informática?


• Podría definirse como el conjunto de conocimientos, procedimientos y actuaciones destinados a resguardar el funcionamiento del sistema de información.

• La seguridad es más que un producto que podamos comprar, es un proceso, son hábitos, es cultura, es monitoreo y mejora continua.....

Qué es la seguridad Informática


• La confidencialidad tiene relación con la protección de información frente a posibles accesos no autorizados.



• La integridad se refiere a la protección de información, datos, sistemas, procesos y otros activos informáticos contra cambios o alteraciones en su estructura o contenido.



• La disponibilidad es la garantía de que los usuarios autorizados puedan acceder a la información y recursos cuando los necesiten.

Consideraciones de seguridad en la RCE 2013


Descripción Red de Conectividad del Estado (RCE)

• La Red de Conectividad del Estado es una red IP sobre enlaces Gigabit Ethernet que conecta a todos los Ministerios y principales servicios públicos del barrio cívico en la Región Metropolitana de Santiago.

• Decreto de creación: Decreto Supremo 5996 del 24 de septiembre de 1999.

• La red consta de enlaces gigabit ethernet respaldados y equipos switch ethernet en cada Ministerio y Servicio Público conectado, además de equipamiento central en el Ministerio del Interior que permite la conmutación y ruteo a Internet a través de 4 proveedores Internet (Telefónica/Movistar, ENTEL, Telmex/Claro, GTD).

• La numeración IP de la red es una clase B: 163.247.0.0/16. con AS 17147.

• A cada Ministerio y Servicio Público conectado se le ha asignado una subred o segmento.



La RCE tiene 5 contratos principales:

• Contrato RCE: Interconexión y equipos de acceso y centrales con Telefónica/Movistar Empresas. Conexión sobre enlaces Fibra Óptica oscura, y con accesos de 1Gbps x 2 por cada Ministerios/SSPP.

• Contrato ISP ENTEL: Acceso a Internet 1000Gbps Nacional, 400Mbps Internacional.

• Contrato ISP TELMEX/CLARO: Acceso a Internet 1000Gbps Nacional, 300MbpsInternacional.

• Contrato ISP Telefónica/Movistar: Acceso a Internet 1000Gbps Nacional, 400Mbps Internacional.

• Contrato ISP GTD: Acceso a Internet 2 enlaces 1000Gbps Nacional, 600Mbps Internacional.



CORE - A163.247.54.2

163.247.73.5/30163.247.73.5/30163.247.73.21/30

Telefónica200.91.13.178/30200.91.15.46/30

CORE - B163.247.54.3

1Gbps

163.247.73.1/30163.247.73.9/30163.247.73.17/30

163.247.73.6/30163.247.73.2/30

1Gbps

TELMEX200.29.134.22/30200.29.134.18/30

163.247.73.14/30

163.247.73.10/30

ENTEL164.77.246.26/29190.151.0.6/29

163.247.73.18/30

163.247.73.22/30

Ministerio/Servicio163.247.z.x

1Gbps1Gbps

Ministerio/Servicio163.247.x.x

Ministerio/Servicio163.247.y.x Ministerio/Servicio

163.247.a.x



Redes no ruteables

En los routers de acceso a Internet se han programado en forma de rutas estáticas a Null0 todas las redes no ruteables o que no están asignadas por IANA. Esta información va cambiando en el tiempo es actualizada.

Referencias:

http://www.iana.org/assignments/ipv4-address-space/ipv4-address-space.xmlhttp://www.cymru.com/Documents/bogon-list.html

Ejemplo:ip route 10.0.0.0 255.0.0.0 Null0ip route 100.64.0.0 255.192.0.0 Null0ip route 127.0.0.0 255.0.0.0 Null0ip route 169.254.0.0 255.255.0.0 Null0ip route 172.16.0.0 255.240.0.0 Null0ip route 192.0.0.0 255.255.255.0 Null0ip route 192.0.2.0 255.255.255.0 Null0ip route 192.18.0.0 255.254.0.0 Null0ip route 192.168.0.0 255.255.0.0 Null0ip route 198.51.100.0 255.255.255.0 Null0ip route 203.0.113.0 255.255.255.0 Null0

http://www.cymru.com/Documents/bogon-list.html

http://www.cymru.com/Documents/bogon-list.html



Protecciones Básicas

En los router de acceso a Internet se han programado algunas restricciones básicas orientadas a evitar intentos de ataque o portscan a protocolos utilizados por servidores o estaciones de trabajo con S.O. Microsoft. Además de restricciones a los intentos de conexión desde redes no asignadas.Ejemplo:

ip access-list extendeddeny udp any any range 135 netbios-ssdeny tcp any any eq 42deny tcp any any eq 445deny tcp any any range 135 139deny ip 163.247.0.0 0.0.255.255 any logdeny ip 0.0.0.0 0.255.255.255 anydeny ip 5.0.0.0 0.255.255.255 anydeny ip 10.0.0.0 0.255.255.255 anydeny ip 127.0.0.0 0.255.255.255 anydeny ip 169.254.0.0 0.0.255.255 anydeny ip 172.16.0.0 0.15.255.255 anydeny ip 192.0.2.0 0.0.0.255 anydeny ip 192.168.0.0 0.0.255.255 anydeny ip 223.0.0.0 0.255.255.255 anypermit ip any any



Rutas a null de todas las redes en 163.247.0.0/24 que NO se están ocupando.

ip route 163.247.1.0 255.255.255.0 Null0ip route 163.247.2.0 255.255.255.0 Null0ip route 163.247.3.0 255.255.255.0 Null0ip route 163.247.4.0 255.255.255.0 Null0ip route 163.247.5.0 255.255.255.0 Null0ip route 163.247.6.0 255.255.255.0 Null0………ip route 163.247.250.0 255.255.255.0 Null0ip route 163.247.251.0 255.255.255.0 Null0ip route 163.247.252.0 255.255.255.0 Null0



Red de 1000 MbpsLa Red de Conectividad del Estado (RCE) es una red IP que conecta en Gigabit Ethernet (1000Mbps) a todos los Ministerios y a los principales Servicios Públicos del barrio cívico del área metropolitana de Santiago.190.000 usuarios.

Problemas, desafíos?Esta red lleva 12 años de operación y como toda red no ha estado inmune a problemas y deberá enfrentar nuevos desafíos en el futuro: Virus, Spywares, DOS, DDOS, Spam, Fraudes, p2p, anonymous.

Evolución permanenteInternet ha cambiado, hay nuevos servicios y aplicaciones, muchos más usuarios que hace 12 años y más preparados, informados, y demandando mejores servicios online, así como también hay nuevas amenazas, y una Red de Gobierno debe prepararse para enfrentar nuevos problemas y amenazas.



Presencia responsable en Internet?

Somos buenos vecinos?De acuerdo a mediciones que se han estado efectuando en forma frecuente en la red RCE se puede concluir que los administradores de las redes de los Ministerios y Servicios conectados no se preocupan mayormente del daño que pueden causar a otras redes en Internet.

Redes protegidas?En buena parte de los casos los administradores o responsable de estas redes configuran mecanismos de protección para defender sus redes de ataques externos, pero son permisivos en cuanto a las acciones que los equipos desde el interior de sus redes pueden efectuar.

Consecuencias?Desprestigio de las instituciones de Gobierno desde el punto de vista de la seguridad.



Presencia responsable en Internet?

Problema frecuente: Emisión de virusEsto se traduce, por ejemplo, en que cuando se contamina un equipo al interior de algunas de estas redes, al no tener restricciones de salida, este emite miles o decenas de miles de virus hacia el exterior, generando molestias y reclamos de parte de los administradores de otras redes, y de paso afectando el prestigio de la RCE como una Red de Gobierno.

En mediciones efectuadas en la RCE, y publicadas en http://red.gov.cl/alertas/ [disponible para usuarios RCE] se puede apreciar que en numerosas ocasiones las redes de varios Ministerios y Servicios se han contaminado y han actuado como emisoras de virus.



Errores de configuración

Configuraciones por defecto:Son problemas frecuentes en la RCE, y en las redes de los Ministerios y Servicios Públicos, los errores de configuración, las omisiones, o configuraciones por defecto. Algunos administradores de sistemas se apresuran en dejar operando sus redes y sistemas, pero en condiciones que no son totalmente seguras o sin tomar todas las precauciones necesarias y recomendadas por los fabricantes o especialistas

Configuraciones de DNS incompletas o erróneas:Otra fuente frecuente de errores, es la configuración incompleta del servicio de nombres (DNS). Los administradores de los Ministerios y Servicios por lo general se preocupan sólo de que exista una correlación entre una dirección IP y un nombre, y descuidan la configuración de reversos.

Esto es un error importante y que tiene implicancias en las medidas paliativas contra el SPAM. La consecuencia más usual es que los correos de los Ministerios son rechazados porque no existen reversos declarados en los DNS.



Problemas de eficiencia

Ausencia de políticas o normas de uso adecuado:La mayor parte de los Ministerios y Servicios tienen alguna forma de acceso a Internet, pero no todos tienen políticas de uso adecuado de este recurso, y por lo general tienen reglas permisivas con respecto a lo que los funcionarios pueden hacer con este acceso.

Una red para trabajar o jugar y divertirse?:La evolución de Internet ha generado una serie de aplicaciones nuevas, las que son muy atractivas para los funcionarios, muchas tienen una clara orientación a la diversión, por ejemplo: intercambio de archivos, música en especial, conversaciones en línea, acceso a servicios de audio y video, como radios y televisión.

P2P, BW y legalidad:El acceso no regulado a todas estas aplicaciones tiene implicaciones con respecto a la eficiencia laboral y es causa directa de congestión y saturación del ancho de banda de acceso a Internet, además expone a la red a demandas por violaciones de los derechos de autor.



Problemas de eficiencia

Uso adecuado ineficiente?:Otras actividades que podrían ser consideradas normales, en realidad pueden y debieran ser efectuadas en forma más eficiente. Se mencionan por ejemplo las navegación sin restricciones por Internet, las actualizaciones de antivirus, y las actualizaciones de sistemas operativos.



Virus, Virus:El problema principal de la RCE de acuerdo a las mediciones efectuadas y publicadas en http://red.gov.cl/alertas/ en la facilidad con que las redes de un número relevante de los Ministerios se contaminan por virus o gusanos.

Algunos Ministerios y Servicios parecen ser especialmente vulnerables y se han detectado casos con miles de virus emitidos durante un solo día por una sola institución.

Spywares:Otro aspecto desatendido por los sysadmin es la alta contaminación detectada por varias formas de spyware.

Se detectan decenas de miles de intentos de acceso a los HOME de los spywares desde las Redes de Gobierno.



Entre las causas de las fallas de seguridad se puede mencionar lassiguientes:

Instalaciones no adecuadas o precarias. Poco personal, no especializado, no capacitado en seguridad. Baja importancia relativa de informática y telecomunicaciones. Descuido en la administración de sistemas. Protecciones de antivirus sin actualizar. Protecciones contra spywares escasas o inexistentes. Usuarios con permisos muy amplios. Falta de criterio o falta de una cultura de seguridad. Inexistencia de políticas de uso adecuado. Acceso a Internet sin restricciones. Reglas permisivas de salida en los firewall de acceso a Internet. Inexistencia de sistemas de detección de intrusos (IDS). Escasa vigilancia interna.

FALTA DE AUDITORIA DE ESTAS MATERIAS.



Medida urgentes

Instalación de sistemas de detección de intrusos (IDS/IPS/APS) al interior del las redes.

Mayor compromiso directivo en la seguridad (conocer el real estado). Aplicación de medidas correctivas a los problemas ya detectados. Aplicación de mayores restricciones al uso personal (diversión). Obligatoriedad de la aplicación de medidas de seguridad. Obligatoriedad de incorporación bajo jerarquía GOV.CL. Sanciones, cambios o traslados de personal no competente.

HACER DE LA AUDITORIA UNA HERRAMIENTA DE MEJORAMIENTO CONTINUO!!!



Mediciones que ilustran lo que fluye en la RCE (1 semana)



Mediciones que ilustran lo que fluye en la RCE (1 semana): Virus y Spy



Mediciones que ilustran lo que fluye en la RCE (1 semana): x sub-cat



http://red.gov.cl/alertas/



Algunos datos publicados:Tráfico asociado C&C Zeus

163.247.40.160 Agricultura 163.247.40.50 Agricultura 163.247.43.31 Economía 163.247.46.12 Justicia 163.247.46.15 Justicia163.247.46.218 Justicia 163.247.46.220 Justicia163.247.46.223 Justicia163.247.48.2 Obras Publicas163.247.49.4 Desarrollo Social 163.247.53.2 Vivienda 163.247.56.21 SEGEGOB 163.247.57.10 SEGPRES163.247.59.10 Energía163.247.61.13 FONASA163.247.62.62 IPS163.247.67.40 Otros SSPP (Educación)163.247.80.17 Salud - Hospitales/Consultorios 163.247.80.19 Salud - Hospitales/Consultorios 163.247.80.20 Salud - Hospitales/Consultorios 163.247.80.247 Salud - Hospitales/Consultorios 163.247.80.7 Salud - Hospitales/Consultorios



Algunos datos publicados:

Conclusiones: Mensaje Final


Necesitamos que Ustedes actúen

El equipo CSIRT del Ministerio del Interior puede ayudar

Necesitamos incorporar las Buenas prácticas que se nos hacen

llegar a través de por ejemplo el PMG-SSI

Las exigencia de ciberseguridad solo va a aumentar en este mundo globalizado, pues Chile es parte activa de macrogrupaciones como: OCDE, APEC, ONU, OEA, las que tienen mensajes explícitos y directos sobre la materia.

La RCE 2013:


Conclusiones

Es importante que nos conozcamos para que exista una adecuada coordinación:

Primer Nivel de atención:

NOC 7x24 [email protected] - 26904343 Coordinador Marcos Terreros [email protected] / +56 9

8902 1260 / 26904192 (7x24) Pablo Ramírez Encargado de Seguridad de la Información MI

[email protected] / +56 9 7479 8408 / 26904192 (7x24) Carlos Landeros Jefe División Informática MI

[email protected] / 26904192 (7x24)

Segundo Nivel de atención: En caso de incidentes dar aviso a: [email protected] (7x24)

mailto:[email protected]





"Security must become an integral part of the daily routine of individuals, businesses and governments in their use of ICTs and conduct of online activities"

(Fuente: www.ocde.org)

Nuestra meta es alinearnos con directivas de nivel internacional como las que

nos plantean la OCDE, la ONU/ITU, la APEC, la OEA y el Estándar Internacional ISO 27000

Conclusiones: Mensaje Final

Gracias.