Download Proceso de Auditoría de la Seguridad de la información en las

page
1
page
2
page
3
page
4
page
5
page
6
page
7
page
8
page
9
page
10
page
11
page
12
page
13
page
14
page
15
page
16
page
17
page
18
page
19
page
20
page
21
page
22
page
23
page
24
page
25
page
26
page
27
page
28
page
29
page
30
page
31
page
32
page
33
page
34
page
35
page
36
page
37
page
38
page
39
page
40
page
41
page
42
page
43
Document related concepts

File Transfer Protocol wikipedia , lookup

Simple Network Management Protocol wikipedia , lookup

Telnet wikipedia , lookup

Nmap wikipedia , lookup

Squid (programa) wikipedia , lookup

Transcript 
Proceso de Auditoría de la
Seguridad de la
Información en las
Instituciones
Supervisadas por la CNBS
PARA SU CONOCIMIENO
Proceso de Auditoría de la Seguridad de la
Información en las Instituciones Supervisadas por
la CNBS





Introducción
Descripción General de la Metodología
Utilizada
Detalle de las tareas realizadas
Principales vulnerabilidades de Seguridad
en el Sistema Financiero Hondureño
Actividades a Corto Plazo
Introducción
Objetivos:


Brindar un servicio de consultoría en seguridad informática
de los riesgos externos (Internet) e internos en que pueden
verse involucrados los equipos de cómputo de las
Instituciones Financieras supervisadas por la CNBS.
Determinar si la información crítica de las Instituciones en
términos de disponibilidad, integridad y confidencialidad
está expuesta y altamente en riesgo.

Determinar si existen políticas de seguridad a nivel
institucional que protejan el activo “información”.

Determinar si existe segmentación en las redes.
Introducción
Objetivos:




Determinar si la navegación en Internet por los usuarios de
la red interna se realiza de manera segura.
Determinar si existen Procesos de Traslado de Desarrollo a
Producción.
Determinar si existen Procesos de Respaldo y
Restauración.
Fomentar la conciencia de Seguridad a nivel nacional.
Introducción
Metodología:


El análisis se desarrolla mediante la ejecución de ataques y
técnicas de penetración a sistemas informáticos (Hacking
ético).
Lo que realmente hacemos es reproducir ataques
informáticos a los cuales pueden verse sometidas las
instituciones supervisadas y si logramos penetrar los
servidores de las instituciones podremos realizar las
recomendaciones técnicas oportunas.
Excepciones:

Previendo no afectar el funcionamiento de los equipos y
servicios no se efectúan ataques de denegación de
servicios.
Introducción
Información Requerida:


Los ataques realizados desde la red interna se llevan a cabo
sin ningún usuario autorizado, únicamente con una
dirección IP válida de la red.
En cuanto a los ataques desde Internet, estos se realizan
sin ningún conocimiento previo es decir a partir de cero.
Entregable:


Al final la auditoría se le entrega un reporte a la institución,
el reporte presenta un resumen ejecutivo de las principales
debilidades encontradas en materia de seguridad
informática.
El reporte también incluye los detalles de los puntos débiles
encontrados y las respectivas recomendaciones.
Descripción General de la Metodología




Es necesario conocer y tratar de pensar cómo
actúan los atacantes y piratas informáticos
para ser capaces recomendar soluciones
acerca de la seguridad de la información.
Evaluar la configuración de la red tanto
privada como pública, determinando la forma
en como estas dos redes se interconectan,
verificar si existe segmentación.
Identificar si existen dispositivos que garanticen la
privacidad de la red Interna de la institución ante la
amenaza de ataques externos.
Determinar si existen Políticas de Seguridad a nivel
institucional y evaluar si están definidas y aplicadas en los
equipos de seguridad (FIREWALLS, ROUTERS, SWITCHES,
Servidores de Dominio, Filtros de Contenido, PROXY
SERVERS etc.)
Descripción General de la Metodología


Verificar que los equipos de seguridad estén configurados de tal
forma que no permitan transferencia de información que ponga en
riesgo la red Interna, como ser transferencias de Zonas DNS,
publicación de Direcciones IP, retransmisión de paquetes a
solicitud de ataques de HACKERS etc.
Identificar si la institución cuenta con un Sistema de Detección o
Prevención de Intrusos, Antivirus Corporativo, Filtros de
contenido, Servidores de Actualización etc.
8vyaleh31&d ktu.dtrw8743$Fie*n3h3434234234234
Descripción General de la Metodología


Evaluar las políticas de
acceso a información
externa, y el nivel de
monitoreo de las mismas, a
fin de establecer el nivel de
riesgo a que puede verse
expuesta la red privada.
Identificar y evaluar los
mecanismos de alerta y
notificación de los aspectos
que se consideran
irregulares dentro de la
administración del sistema.
Descripción General de la Metodología
Evaluación de los Dispositivos



Verificar que los Sistemas Operativos
hayan sido instalados de acuerdo a
las recomendaciones de hardware,
configuraciones especiales y Parches
necesarios que estén definidos para
la plataforma que se ha instalado.
Verificar que todas las versiones de software instalado, se
encuentren actualizadas a la última versión del mismo, o que
contengan todas las actualizaciones que el fabricante haya
puesto a disponibilidad de esa plataforma y versión.
Verificar que la configuración de los servidores se encuentre
ajustada a las necesidades de la empresa, esto es que no
mantenga activo servicios y protocolos que la empresa no
pretenda usar.
Descripción General de la Metodología
Evaluación de los dispositivos



Verificar que hayan sido deshabilitados todos
aquellos usuarios que el sistema, base de datos u
otro software aplicativo en uso, hayan definido
por defecto, y que no serán de utilidad.
Verificar que exista un software antivirus
corporativo actualizado, que garantice la
integridad del software y datos críticos de la
institución.
Verificar que exista un plan de respaldo y
recuperación tanto a nivel de política establecida
así como a nivel del sistema.
Descripción General de la Metodología
Evaluación de los dispositivos



Evaluar si se utilizan protocolos que transmiten los
datos en claro, de ser así estos deben ser
reemplazados por protocolos que encriptan la
información.
Verificar si existen usuarios definidos en el sistema
que no deberían existir, por ejemplo usuarios
invitados o usuarios creados por intrusos, así como
programas con código malicioso como troyanos o
puertas traseras (Informática Forense).
Verificar si está activa la auditoría en los equipos
principales, servidores o dispositivos de red.
Descripción General de la Metodología
Evaluación de los dispositivos




Revisar los permisos que tienen cada uno de los
usuarios tanto a nivel de Directorios y archivos como a
nivel de comandos, servicios y protocolos.
Verificar que existan políticas de seguridad de
contraseñas definidas en el sistema, esto es para
minimizar el riesgo de penetración, por ejemplo se
debe establecer como política de seguridad el forzar a
cambiar regularmente las contraseñas y el establecer
tiempos de caducidad de las mismas
Verificar que las contraseñas sean robustas y que se
hayan modificado las contraseñas que vienen por
omisión tanto en los sistemas operativos como en los
programas de administración instalados
Evaluar que el acceso físico a los servidores esté
restringido
Descripción General de la Metodología
Estaciones de Trabajo

Verificar que estén aplicados los parches de seguridad mas
recientes del sistema operativo y software instalados

El Software antivirus debe estar actualizado

No deben existir carpetas compartidas

Verificar que no esté instalado software que pueda poner el
riesgo el funcionamiento de la red o la información misma
Detalle de las Tareas Realizadas
Proceso de Auditoría de la Seguridad de la información
desde la Red Interna
1. Seguridad de Protocolos TCP/IP


En esta fase se pretende obtener información sobre los
servidores de la organización que serán atacados.
Una vez que sabemos cuáles son los servidores y sus
sistemas operativos realizamos conexiones a los mismos
utilizando usuarios y contraseñas que vienen por omisión
en cada sistema operativo, si alguno de ellos no ha sido
modificado habremos penetrado sin ningún problema.
Detalle de las Tareas Realizadas
Proceso de Auditoría de la Seguridad de la información
desde la Red Interna



Se realiza un rastreo de puertos tanto de los servidores
como de los dispositivos de comunicaciones, es a través de
estos puertos que se intenta realizar la penetración.
Herramienta utilizada: nmap
Una vez determinados cuáles son los puertos abiertos en
cada equipo, procedemos a explotar las vulnerabilidades
conocidas de cada puerto y servicio tcp o udp.
Detalle de las Tareas Realizadas
Proceso de Auditoría de la Seguridad de la información
desde la Red Interna

Intentamos averiguar para cada servidor y equipo de
comunicación los siguientes datos:








las interfaces de red conectadas
los recursos compartidos
los servicios instalados
cuentas de usuario
redes conectadas
direcciones Mac
Rutas
Conexiones Activas
Detalle de las Tareas Realizadas
Proceso de Auditoría de la Seguridad de la información
desde la Red Interna



Se determina si algún dispositivo tiene activo el protocolo
SNMP y si está configurado con las contraseñas de
comunidad por omisión, si es así podremos tomar control
total sobre el dispositivo.
Herramienta utilizada: SolarWinds
Una vez que sabemos los puertos y protocolos disponibles
procedemos a realizar ataques de diccionario y ataques de
fuerza bruta contra ciertos protocolos como Ftp, http, pop3
(Podemos averiguar la contraseña de correo de todos los
usuarios), snmp, telnet etc.
Detalle de las Tareas Realizadas
Proceso de Auditoría de la Seguridad de la información
desde la Red Interna



Herramienta utilizada: Brutus
Un ataque de diccionario consiste en probar una
combinación de todos los usuarios y contraseñas
posibles basados en un diccionario.
Un ataque de fuerza bruta consiste en probar una
combinación de todos los usuarios y contraseñas
posibles basados en todos los caracteres
disponibles.
Detalle de las Tareas Realizadas
Proceso de Auditoría de la Seguridad de la información
desde la Red Interna
Ataques a Protocolos
Utilizar un rastreador de redes, mediante estos aplicaciones
podemos ver todo el tráfico de información que circula a
través de la red, con el objetivo de capturar información
valiosa como las contraseñas de los administradores,
también podemos capturar contraseñas de protocolos como
POP3, telnet, FTP, SNMP,Oracle SQL*Net etc.


Herramientas utilizadas: Ethereal + Ettercap, Cain, Iris
Recomendaciones: No utilizar protocolos que transmiten la
información en claro, utilizar por ejemplo el protocolo SSH
en lugar de FTP yTelnet, El SSH transmite la información en
forma cifrada.
Detalle de las Tareas Realizadas
Proceso de Auditoría de la Seguridad de la información
desde la Red Interna
2. Información del Objetivo

Dibujar un diagrama de la red, esto nos dará un amplio
panorama de la estructura y situación actual de la red.

Herramientas utilizadas: Cheops, Networkview

Si los sistemas operativos y los programas instalados en
servidores y equipos de comunicación no están actualizados
y parchados, es posible acceder al archivo de contraseñas
para luego descifrarlos localmente.
Detalle de las Tareas Realizadas
Proceso de Auditoría de la Seguridad de la información
desde la Red Interna



Existen muchos métodos para obtener estos archivos
dependiendo de la vulnerabilidad no parchada y del sistema
operativo, también existen varias herramientas para
descifrar las contraseñas.
Herramientas utilizadas: enum, pwdump, john the ripper.
Existe una serie de ataques que pueden hacerse contra
servidores y equipos no parchados, por ejemplo ataques de
buffer Overflow.
Detalle de las Tareas Realizadas
Proceso de Auditoría de la Seguridad de la información
desde la Red Interna




Buffer Overflow (Programas que provocan un
desbordamiento de la memoria y retornan un shell del
Sistema Operativo)
Recomendaciones: Establecer políticas que permitan
mantener actualizados y parchados los recursos
informáticos de la red.
Proteger los archivos importantes relacionados a la
seguridad, tanto a nivel de sistemas operativos como de
datos.
Establecer políticas de creación y cambio de contraseñas
con el fin de dificultar la averiguación de las mismas.
Detalle de las Tareas Realizadas
Proceso de Auditoría de la Seguridad de la información
desde la Red Interna


Determinar todas las carpetas compartidas dentro de la
red, estas representan un foco de infección de virus y de
pérdida de información, utilizamos programas que además
de listar las carpetas compartidas averigua las contraseñas
en segundos.
Recomendación: Establecer una política de seguridad que
prohíba la creación de carpetas compartidas.
Detalle de las Tareas Realizadas
Proceso de Auditoría de la Seguridad de la información
desde la Red Interna
3. Ataques a Servidores


Verificar la existencia de servicios que estén mal
configurados desde el punto de vista de la seguridad, así
como la existencia de servicios innecesarios para la
empresa, por ejemplo el IIS v5 instala programas ejemplo
que permiten navegar ( y modificar) en el disco duro del
Web Server de la compañía, o cualquier otro servidor que
tenga instalado el IIS.
Herramientas utilizadas: Nessus, Retina, LanGuard, mbsa,
www.securityfocus.com, Netcat, Metaexploit.
Detalle de las Tareas Realizadas
Proceso de Auditoría de la Seguridad de la información
desde la Red Interna

Recomendación: Hacer un inventario de todos los servicios
instalados a fin de determinar cuáles son necesarios y cuáles no.

Revisar la configuración de los servicios existentes.

Análisis de los siguientes puntos:
•
•
•
•
•
Ataques vía ODBC
Revisión de existencia de Puertas Traseras
Emuladores de terminales (Configuración)
Revisar los privilegios asignados a los usuarios
Determinar si existen cuentas que pertenezcan a usuarios
que ya no trabajan en la empresa.
• Verificar si es posible que los usuarios actuales tienen la
posiblidad de Elevación de Privilegios
Detalle de las Tareas Realizadas
Proceso de Auditoría de la Seguridad de la información
desde la Red Externa
4. Establecimiento del objetivo


En esta fase se busca obtener la mayor información general
disponible de la víctima, información como direcciones IP
externas, nombres de los responsables técnicos de la
institución, sistemas operativos y sus versiones, etc.
Para realizar esta actividad realizamos búsquedas en
Internet de información relacionada con la empresa, por
ejemplo podemos determinar las páginas que tengan
enlaces al sitio de la víctima o listar todas las páginas que
componen el sitio Internet de la empresa.
Detalle de las Tareas Realizadas
Proceso de Auditoría de la Seguridad de la información
desde la Red Externa




Otra información que podemos obtener es la lista de
servidores de la empresa, con esto podremos determinar
cuál es servidor de correo, el firewall, el DNS, el Web
Server, etc.
Herramienta utilizada: Nslookup
También obtenemos información como cuál es el proveedor
de Internet de la organización, el sistema operativo del
Web server, el historial de cambios de direcciones IP o de
proveedor de internet y datos acerca de un posible sitio
seguro que utilice el protocolo https.
Herramienta utilizada: www.netcraft.com
Detalle de las Tareas Realizadas
Proceso de Auditoría de la Seguridad de la información
desde la Red Externa

Intentamos averiguamos para cada servidor y equipos de
comunicación datos tales como los siguientes:
•
•
•
•
•
•
•
•

las interfaces de red conectadas
los recursos compartidos
los servicios instalados
cuentas de usuario
redes conectadas
direcciones Mac
Rutas
Conexiones Activas
También intentamos determinar si algún dispositivo tiene activo el
protocolo SNMP y están configuradas las contraseñas por omisión,
si es así podremos tomar control total sobre el dispositivo.
Detalle de las Tareas Realizadas
Proceso de Auditoría de la Seguridad de la información
desde la Red Externa



Una vez que sabemos los puertos y protocolos disponibles
procedemos a realizar ataques de diccionario y ataques de
fuerza bruta contra ciertos protocolos como Ftp, http, pop3,
snmp, telnet, etc.
También se determinan las vulnerabilidades existentes para
los puertos y protocolos disponibles y se intenta penetrar a
través de las mismas.
Herramientas utilizadas: Nessus, Retina, LanGuard, mbsa,
www.securityfocus.com, Netcat, Metaexploit.
Detalle de las Tareas Realizadas
Proceso de Auditoría de la Seguridad de la información
desde la Red Externa

Ataques a las aplicaciones de Internet
•
•
•
•
•

Verificar si las aplicaciones de Internet son susceptibles a ataques de:
SQL Injection
Cross-Site Scripting
Secuestro de Sesiones válidas
Ataques de diccionario y/o Fuerza bruta
Algunas Recomendaciones:
• Validar todos los campos de entrada
• Almacenar en bitácora todas las transacciones realizadas por los
usuarios
• No escribir contraseñas o claves para descifrar contraseñas dentro del
código
• Las aplicaciones no deben efectuar sentencias directamente a la base
de datos
Detalle de las Tareas Realizadas
Proceso de Auditoría de la Seguridad de la información
desde la Red Externa

Algunas Recomendaciones:
• El proceso de encripción de las contraseñas debe incluir una llave de
encripción propia de la institución mas datos particulares del usuario
(Valor SALT), de tal forma que la contraseña almacenada no sea
simplemente el resultado del algoritmo de encripción y de esta forma
protegerla contra ataques de diccionario o fuerza bruta.
• La identificación o administración de la sesión debe ser llevada a cabo
por la aplicación y no por el Servidor de Internet
• La base de datos debe estar en un servidor separado del Servidor de
Internet o servidor de aplicaciones.
• Las aplicaciones deben asegurar que ningún parámetro con
información útil para un posible atacante viaje a través del navegador
del cliente y así evitar que estos parámetros puedan ser manipulados,
esto incluye las consultas a nivel de URL.
Principales debilidades de Seguridad encontradas en el
Sistema Financiero Nacional
• En general no existe conciencia de Seguridad Informática a nivel
nacional
• No existe un Área de Seguridad dedicada a tiempo completo a
proteger la disponibilidad, integridad y confidencialidad de la
información
• No existen políticas de seguridad a nivel institucional que protejan el
activo “información”
• No existe segmentación en la arquitectura de la red, los servidores de
producción están en el mismo segmento de red que las estaciones de
trabajo.
• No existe control sobre las carpetas compartidas en la red
Principales debilidades de Seguridad encontradas en el
Sistema Financiero Nacional
•
En algunas instituciones no existe un sistema automatizado que permita
las actualizaciones de seguridad en los sistemas operativos
•
La navegación a Internet se realiza desde la red interna lo cual expone
tanto la red interna como todas las redes a las cuales esté conectado el
usuario
•
En algunas instituciones no están instalados Sistemas de Prevención o
Detección de Intrusos a nivel de red.
•
No existe una correcta separación de los ambientes de desarrollo y
producción
•
Configuraciones de servidores y equipos de comunicación sin controles de
seguridad
•
En algunas instituciones es posible que un atacante ingrese a la red interna
desde Internet
Principales debilidades de Seguridad encontradas en el
Sistema Financiero Nacional
• Lo anterior conlleva un sinnúmero de riesgos entre los que se
destacan la sustracción, eliminación o modificación de la
información sensitiva del banco, por ejemplo es posible
obtener el archivo de contraseñas de los usuarios de la
aplicación de banca electrónica, descifrarlas e ingresar al
sistema con usuarios válidos, habilitando al atacante a realizar
transferencias bancarias o cualquier servicio disponible en el
sitio de la institución.
• Se utilizan protocolos a nivel de red que envían información en
claro la cual puede ser interceptada por cualquier usuario y de
esta forma obtener contraseñas o cualquier tipo de
información que ponga en peligro la seguridad de la
información de la institución

Actividades a Corto Plazo
•
Actualmente la CNBS está creando la primera Normativa para el Sistema
Financiero en relación a la Seguridad Informática, la normativa pretende regular
los aspectos mas relevantes de la seguridad informática en las instituciones del
sistema financiero nacional:





Crear un Área de Seguridad Informática
Regular la documentación tecnológica
Generar registros de auditoría
Outsourcing de Tecnologías de Información
Generación de políticas de Seguridad

Actividades a Corto Plazo




Regular la confidencialidad de la información:
• (1)
Identificación y autentificación,
• (2)
Privacidad y confidencialidad,
• (3)
Integridad y disponibilidad, y
• (4)
No-repudio.
Regular la Arquitectura de Red
Regular la Banca Electrónica
Respaldo y Recuperación

Actividades a Corto Plazo
• Actualmente la CNBS está creando el Área de Seguridad Informática
que se encargará entre otras funciones de:

Generar políticas de Seguridad a nivel de la CNBS:
• Uso de Internet
• Uso del Correo Electrónico
• Uso de las estaciones de Trabajo
• Proceso Antivirus
• Adquisición de Hardware y Software
• Seguridad de Contraseñas
• Seguridad de la Información Sensitiva
• Seguridad de Servidores
• Seguridad de equipos de comunicación
• Seguridad en redes inalámbricas (Si existen)
• Seguridad en Redes con Terceros
• Acceso y Configuración remotos.

Actividades a Corto Plazo



Entregar prototipos de Políticas de Seguridad a las
instituciones del Sistema Financiero Nacional.
Desarrollar Normativa hacia las Instituciones del Sistema
Financiero Nacional referente a los controles de Seguridad
mínimo en el proceso de Comercio Electrónico y
arquitectura de Redes.
Llevar a cabo pruebas de penetración periódicas (Hacking
ético) a las redes externas e internas de la CNBS y de las
Instituciones para descubrir vulnerabilidades de Seguridad
y realizar las recomendaciones respectivas.

Actividades a Corto Plazo



Involucrase en el diseño de los Sistemas de Información
Internos de la CNBS para garantizar que el código de los
programas se desarrolle tomando en cuenta la Seguridad
de la Información.
Reacción, en conjunto con la División de Operaciones, ante
incidentes de Seguridad dentro de las redes de la CNBS y
las Instituciones del sistema Financiero Nacional.
Crear un ambiente y una cultura de Seguridad a nivel del
Sistema Financiero Nacional y la CNBS, para esto se deben
llevar a cabo campañas de concientización a los usuarios
en el tema de la importancia de la Seguridad de la
Información.
Taller Demostrativo
Servidor de Agencia
20.0.0.3
HS1 HS2 OK1 OK2 PS
1 2 3 4 5 6 7 8 9101112
COLACTSTA-
CONSOLE
Switch de Agencia
20.0.0.2
20.0.0.1
ROUTER
Servidor de Base de Datos
10.0.0.3
10.0.0.1
HS1 HS2 OK1 OK2 PS
1 2 3 4 5 6 7 8 9101112
COLACTSTA-
CONSOLE
Switch de Oficina Principal
10.0.0.5
Controlador de Dominio
10.0.0.2
PC del Administrador de la Red
10.0.0.4
Taller Demostrativo
Conexión TCP
Syn
Syn tAck
PC A
Ack
PC B
Muchas Gracias
por su Atención!
Related documents
“Evitemos el Fraude Electrónico”
“Evitemos el Fraude Electrónico”
Propuesta de Tesis
Propuesta de Tesis
Descargar tutorial de Nmap
Descargar tutorial de Nmap
Plantilla de documento
Plantilla de documento
Seguridad en Aplicaciones Web
Seguridad en Aplicaciones Web
NMAP
NMAP
prueba de intrusión al sistema operativo windows server 2003 de
prueba de intrusión al sistema operativo windows server 2003 de
CUESTIONES OPERATIVAS Y ADMINISTRATIVAS
CUESTIONES OPERATIVAS Y ADMINISTRATIVAS
Tesis previa a la obtención del Título de Ingeniero
Tesis previa a la obtención del Título de Ingeniero
Sistemas operativos Windows/Windows server, Solaris, UNIX, Linux
Sistemas operativos Windows/Windows server, Solaris, UNIX, Linux
aseguramiento de sistema operativo red hat 6.6 enterprise para
aseguramiento de sistema operativo red hat 6.6 enterprise para
implementación de un sistema de protección y
implementación de un sistema de protección y
View/Open - Repositorio PUCE
View/Open - Repositorio PUCE
tesis profesional - Apache Tomcat/8.0.36
tesis profesional - Apache Tomcat/8.0.36
tesis de grado ingeniero en sistemas informáticos
tesis de grado ingeniero en sistemas informáticos
El sistema operativo GNU/Linux y sus herramientas libres en
El sistema operativo GNU/Linux y sus herramientas libres en
Análisis forense con distribuciones GNU/LINUX
Análisis forense con distribuciones GNU/LINUX
Las “16 prioridades” para proteger UNIX SAFE Consulting Group
Las “16 prioridades” para proteger UNIX SAFE Consulting Group
EMPRESARIOS DE LA BANCA NACIONAL REUNIDOS EN TORNO
EMPRESARIOS DE LA BANCA NACIONAL REUNIDOS EN TORNO