fundamentos de seguridad - baixardoc.com
TRANSCRIPT
1. Capas de Seguridad 1
2. Autenticación, Autorización y Auditoría 25
3. Directivas de Seguridad 83
4. Seguridad en la Red 105
5. Cómo Proteger al Servidor y al Cliente 159
Lección 1 Capas de Seguridad 1 -----------------Introducción a la Seguridad 2
Qué es la confidencialidad 2
Qué es Integridad 3
Qué es Disponibilidad 3
Amenazas y Administración de Riesgos 3
Principio de Privilegio Mínimo 6
Superficie de Ataque 7
Qué es la Ingeniería Social 8
Vinculación del Costo con la Seguridad 9
Tomar en Cuenta la Seguridad Fis1ca como la Pnmera Lmea de Defensa 1 O
Comprender la Seguridad del Sitio 10
Comprender el Control de Acceso 10
Comprender la Seguridad del Perímetro Exterior 12
Comprender el Perímetro Interno 13
Definición de las Áreas Seguras 13
Procesos de Seguridad del Sitio 14
Seguridad Informática 14
Entender la Seguridad de los Dispositivos Portátiles 15
Dispositivos y Discos Extraíbles 16
Keyloggers 18
Evaluación de Conocimientos 20 Entendiendo lo Básico 22
Evaluación de Competencia 23
Evaluación de Habilidad 23
Lección 2 Autenticación, Autorización y Auditoría 25
Seguridad al iniciar con Autenticación 26 Autenticación mediante algo que se sabe 26
Contraseñas 26
Número de Identificación Personal (PI N) 28
Autenticación por medio de algo que se posee 28
Autenticación demostrando quién se es 29
Introducción a RADIUS y TACACS+ 29
Ejecutar Como 30
Ejecutar un programa como administrador 30
Introducción a los Servicios de directorio utilizando Directorio act1vo (Active Directory) 31
Análisis de los controladores de dominio
Introducción a NTLM 33
Introducción a Kerberos 33
Unidades organizacionales 34
Análisis de los objetos 35
Examinar los usuarios 36
Análisis de los equipos 37
Qué son los grupos 38
Examen de los tipos de grupos 38
Examen de los alcances del grupo 38
Grupos integrados 40
Buscar la autenticación del servidor Web 40
Comparar los derechos y permisos 41
Análisis de NTFS 42
En Resumen 42 Permisos de NTFS 42
Permisos efectivos de NTFS 44
Copiar y mover archivos 47
Propietario de carpeta y archivos 48
Hacer uso de un archivo o carpeta 48
32
Hacer uso compartido de unidades y carpetas 49
Recursos Administrativos Compartidos Especiales 51
Introducción al Reg1stro 51 En Resumen 51
Hacer uso del encriptado para proteger los datos 54
Examen de los tipos de encriptado 55
Análisis del encriptado simétrico 55
Análisis del encriptado asimétrico 56
Análisis de la función Hash 56
Introducción a la infraestructura de clave pública 57
Certificados digitales 58
Examen de una cadena de certificados (Certificate Chain) 60
Firma Digital 60
Protocolo de Capa de Conexión Segura (SSl) v Se-guridad de la Capa de Transporte (TLS) 61
Codificar el Correo Electrónico 62
Encriptar archivos con EFS 62
Encriptar discos de Windows 65
Habilitar Bitlocker 66
Bitlocker v agentes de recuperación de datos 68
Bitlocker To Go 69
IntroduCCión a IPsec 69 Encriptado con tecnología VPN 70
Aud1torra para Completar el cuadro de Seguridad 73
En Resumen 73
Evaluación del conocimiento 78
Evaluac1ón de Competencias 81
Evaluación de Habilidades 81 Planificación y mantenimiento de la seguridad 82
Lección 3 Directivas de Seguridad 83
Directivas sobre Contraseñas para Mejorar la Seguridad 84
En Resumen 84
El nivel de Complejidad de una Contraseña para hacerla más fuerte 84
Bloqueo de Cuenta para evitar el Hacking 85
longitud de Contraseña 86
Historial de Contraseñas para Mantener la Seguridad 86
liempo entre Cambios de Contraseñas 86
Directivas de Grupo sobre Contraseñas para Mantener la Seguridad 93
los Métodos de Ataque Comunes 96
Análisis de Ataques mediante un Diccionario v con Fuerza Bruta 96
Ataques Físicos 97
Contraseñas Divulgadas sin Autorización y Comparti-das 97
Contraseñas Crackeadas 98
Examen de Sniffers de Red e Inalámbricos 98
Contraseñas Adivinadas 99
Evaluac1ón de Conocimientos 100
Contenido V
Evaluación de Competencia 102
Evaluación de Habilidad 103
Directivas de Grupo 103
Lección 4 Seguridad en la Red 105
Utilizar Cortafuegos (firewalls) dedicados para proteger una Red 106
En Resumen 1 06 Comprensión del Modelo OSI 107
Análisis de Firewalls de Hardware v sus Características 110
Análisis del filtrado de paquetes 111
Análisis de los cortafuegos a nivel de circuito 112
Análisis de los cortafuegos a nivel de aplicación 112
Análisis de los cortafuegos con estado Multinivel 113
Cortafuegos de hardware contra cortafuegos de softvvare 113
Inspección Stateful contra la Inspección Stateless 115
Controlar el acceso con la Protecc1ón de Acceso a Redes (NAP) 116
En Resumen 116 El propósito de la NAP 116
Cómo funciona la NAP 117
Requisitos para la NAP 120
Usar el aislamiento para proteger la red 121
En Resumen 121 LAN virtuales 121
Qué es el enrutamiento 123
Cómo funciona el en ruta miento 125
Protocolos de enrutamiento 126
Sistemas de Prevención y Detección de Intrusión 128
Qué son los Honeypots 129
Qué son las DMZ 131
Traducción de Dirección de Red (NAT) 133
Redes Privadas Virtuales (VPN) 134
Internet Protocol Security (IPsec) 135
Otros Protocolos VPN 137
Utilizar el Protocolo de Capa de Conexión Segura (SSl) y Seguridad de la Capa de Transporte (TlS) 137
Secure Shell (SSH) 138
Aislamiento del Dominio y del Servidor 139
VI
Proteger los datos con la seguridad del protocolo 141
En Resumen 141
Qué es el Túnel 141
Extensiones de Seguridad del DNS (DNSSEC) 142
Protocol Spoofing 143
Sniffing de Red 143
Métodos Comunes de Ataque a la red 145
Asegurar Redes Inalámbricas 148
En Resumen 148
Service Set ldentifier (SSIO) 149
Comprender las Claves 149
Wired Equivalency Privacy (WEP) 149
Acceso Protegido Wi-Fi (WPA) y Acceso Protegido Wi-Fi Versión 2 (WPA2) 150
Filtros MAC 151
Pros y Contras de tipos de seguridad especificas 151
Evaluación de Conocimientos 154
Evaluación de competencias 157
Evaluación de Habilidades 157
Estación de trabajo lista 158
Defensa a Profundidad 158
Lección 5 Cómo proteger al Servidor y al Cliente 159
Cómo proteger la computadora cliente 160
En Resumen 160
Cómo proteger su computadora de Malware 160
Tipos de Malware 160
Cómo Identificar Malware 162
Actualizaciones de Seguridad y Software de Antivi-rus para los Clientes 163
Cómo Usar el Sentido Común con el Malware 163
Cómo eliminar Malware 164
Cómo examinar un Virus Hoax 165
Cómo utilizar Windows Updates 165
Control de Cuenta de Usuario (UAC) 168
Usar el Firewall de Windows 172
Usar Archivos Offline 175
Bloquear la computadora de un Cliente 176
Cómo Proteger Su Correo Electrónico 177
En Resumen 177
Tratar con el Spam 177
Transferencia de Correos Electrónicos
Cómo Asegurar Internet Explorer
En Resumen 179
179
Cookies y Configuraciones de Seguridad
Cómo Examinar las Zonas de Contenido
Phishing y Pharming 185
Cómo Proteger Su Servidor 186
En Resumen 186
Cómo Colocar el Servidor 186
Cómo Fortalecer al Servidor 186
Cómo Asegurar DNS Dinámico 188
Evaluación de Conocimiento 190
Evaluación de Competencia/Capacidad 193
Evaluación de Destreza 193
Cómo Mantener el Paso con la Seguridad
179
179
182
194
Matriz para la Lección sobre Capacidad
Capacidad Tecnológica Dominio del Objetivo Número del Dominio Objetivo
Introducción a la Seguridad Comprender los principios básicos de seguridad.
1.1
Análisis de la Seguridad Física como la Primera Línea de Defensa
Comprender la seguridad física. 1.2
Términos clave
• Conrrol de acceso • Capturador de teclado (keylogger) • Evaluación de riesgo
• Superficie de ataque • Dispositivo móvil • Prevención de riesgo
• Disponibi lidad • Principio de privilegio mínimo • Gestión de riesgo
• Confidencialidad • Dispositivo extraíble • Mitigación de riesgo • Defensa en profundidad • Riesgo residual • Transferencia de riesgo • Unidad Aash (Flash drive) • Riesgo • Ingeniería social
• Ioregridad • Acepración del riesgo • Amenaza
Cuando pensamos en seguridad, podemos comenzar por tomar en cuenca nuestras cosas personales. Todos cenemos objetos que realmente nos importan, unos que serían difíciles de reemplazar y otros que tienen un gran valor seorimeoral. Tenemos cosas de las que no queremos que otras personas se enceren, incluso algunas sin las cuales tampoco podríamos vivir. Piense ahora en donde las guarda. Podría ser en su casa, auromóvil, escuela u oficina; en un locker, en una mochila o mal era o en otros numerosos lugares. Piense en codo lo maJo que podría ocurrirle a sus cosas. Puede ser asaltado o encontrarse en un desastre natural por ejemplo un incendio, un terremoto o una inundación. De cualquier manera desea proteger sus posesiones, sin importar de donde proviene la amenaza.
A un alto nivel, la seguridad es para proteger algo. En el caso de las cosas personales, se erara de asegurarse que cierra con Uave la puerca al salir de la casa, acordarse de llevar consigo la bolsa al salir de un restaurant o incluso asegurarse que ha escondido en la paree trasera de su automóvil codos los regalos que compró para los días de fiesta ames de regresar a la plaza comercial.
Muchos de los remas de seguridad acerca de los que hablaremos en esra lección se reducen al mismo sentido común que utilizamos todos los días para proteger nuestras cosas. En el entorno empresarial, sin embargo, lo que estamos protegiendo son recursos, información, sistemas y redes, y podemos proteger estos objetos de valor mediante una variedad de herramientas y técnicas sobre las cuales hablamos en decaUe en este libro.
En esta lección, comenzamos por lo básico. Analizaremos algunos de los principios básicos de un programa de seguridad y así establecer la base para la comprensión de los remas más avanzados que se verán más adelante en este libro. También hablaremos acerca del concepto de seguridad física, la cual es esencial no únicamente para asegurar los recursos físicos, sino también los recursos de información. Cuando terminemos, tendrá una buena idea de cómo proteger efectivamente las cosas necesarias en codos los aspectos de la vida.
2 Lección 1
• Introducción a la Seguridad
-!- EN RESUMEN
Ames de empezar a asegurar su enrorno, es necesario rener una comprensión fundamenral de los concepros estándar de seguridad. Es fácil comenzar a comprar firewalls, pero hasta que encienda qué es lo que trata de proteger, por qué necesita estar protegido y de qué lo está protegiendo, únicamenre está tirando su dinero a la basura.
0 listo para la Certificación
¿Puede enumerar y describir lo que representa CIA en lo que se refiere a seguridad? -1 .1
Cuando se trabaja en el campo de seguridad de la información, una de las primeras siglas con las que nos encontraremos es CIA - pero no hay que confundirlas con la agencia gubernamenral con Las mismas siglas. Más bien, en esce contexto, CIA representa los objetivos básicos de un programa de seguridad de la información:
• Confidencialidad
• Integridad
• Disponibilidad
..,. Qué es la confidencialidad
Referencia Cruzada
la lección 2 contiene más detalles acerca de una encriptación de alta seguridad, una fuerte autenticación y estrictos controles de acceso
*Tome Nota
Clasifique su información y sus activos (es la única manera en que puede protegerlos eficazmente)
Confidet7citdidad es un concepto con el que tratamos con frecuencia en la vida real. Por ejemplo, esperamos que nuestros médicos mantengan nuescros expedientes como confidenciales y confiamos en que nuestros amigos mantengan nuestros secretos como confidenciales. En el mundo de los negocios, definimos la confidencialidad como la característica de un recurso que asegura que el acceso está restringido para ser utilizado únicamente por usuarios, aplicaciones o sistemas informáticos autorizados. Pero, ¿qué significa esco en realmente? En pocas palabras, La confidencialidad se ocupa de mantener la información, las redes y los sistemas seguros frente a cualquier acceso no autorizado.
La confidencialidad es particularmente crítica en el entorno actual. Recientemente, en algunos casos de airo perfil, diversas empresas importantes han filtrado información personal de algunos individuos. Escas violaciones de la confidencialidad estuvieron en las noticias en gran parte debido a que la información filtrada podría ser utilizada para llevar a cabo el robo de identidad de las personas cuya información habfa sido diseminada.
Existen varias tecnologías que apoyan la confidencialidad en la implementación de seguridad en una empresa. Escas incluyen:
• Una encripcación de alea seguridad
• U na fuerce autenticación
• Estrictos controles de acceso
Ocro componente clave que se debe de tomar en consideración al hablar de la confidencialidad es cómo determinar qué información es considerada como privada. Algunas clasificaciones comunes de la información son "Pública", ''Únicamente para Uso Interno .. , "'Confidencial (o privada)" y ''Estrictamente Confidencial". También podrá observar la clasificación "Privilegiado", la cual es uti lizada con frecuencia entre abogados. De la misma manera, los militares muchas veces clasifican la información como "'No Clasificada", "Restringida", "Confidencial". "Secreta" o "Ultra Secreta". Es ras clasificaciones son utilizadas para determinar las medidas apropiadas para proteger La información. Si su información no es clasificada, tendrá dos opciones, puede proreger roda su información como si fuera confidencial (una tarea costosa y de enormes proporciones) o puede tratar roda su información como si fuera "Pública" o "Únicamente para Uso Interno" y no comar medidas estrictas de protección.
Capas de Seguridad 3
lll> Qué es Integridad
En el contexto de seguridad de la información, la integridad es definida como la consistencia, la precisión y la validez de los datos y la información. Uno de los objetivos de un programa ex.icoso de seguridad para la información, es asegurar que la información esté protegida frente a cualquier cambio no autorizado o accidental. Por lo canco, un programa de seguridad debe incluir procesos y procedimiencos para manejar cambios intencionales, así como la capacidad para detectar cambios. Algunos de los muchos procesos que se pueden urilizar para asegurar eficazmence la incegridad de la información incluyen la autenticación, la autorización y la audicoría. Por ejemplo, puede urilizar derechos y aurorizaciones para concrolar quién puede tener acceso a cierta información o recursos. También puede utilizar una función Hash (una función matem<ítica) que puede ser calculada con relación a la información o a un mensaje ames y después de un periodo determinado de tiempo para mostrar si la información ha sido modificada durante ese tiempo en específico o puede utilizar un sistema de auditoría o rrazabilidad que registra cuando se hao producido cambios.
lll> Qué es Disponibilidad
Disponibilidad es el tercer principio básico de la seguridad y describe un recurso que es accesible para un usuario, una aplicación o sistema informático cuando es requerido. En otras palabras, disponibilidad significa que cuando un usuario necesita obtener información, él o ella tienen la capacidad de obtenerla.
Por lo general, las amenazas a la disponibilidad son de dos tipos: accideoral y deliberada. Las amenazas accidentales incluyen desastres naturales cales como rormentas, inundaciones, incendios, corees de energía eléctrica, terremotos, ecc. Esta categoría también incluye corees debidos a fallas en el equipo, problemas de sofrware y ocros problemas no planeados relacionados con el sistema, la red o el usuario. La segunda categoría (amenazas deliberadas) relacionadas con cortes que son el resultado de la explotación de una vulnerabilidad del sistema. Algunos ejemplos de este tipo de amenaza incluyen ataques de denegación de servicio o gusanos informáticos que afectan a los sistemas vulnerables y su disponibilidad. En algtmos casos, una de las primeras acciones que deberá tomar después de un corte, es determinar la categoría de éste. Las empresas manejan las interrupciones accidentales de manera muy diferente a las interrupciones deliberadas.
lll> Amenazas y Administración de Riesgos
La admírlistt·ación de riesgos es el proceso mediante el cual se identifica, evalúa y se da prioridad a las amenazas y los riesgos. Un t"Íesgo es definido generalmente como la probabilidad de que ocurra un evento. En la realidad, las empresas sólo están preocupadas por los riesgos que podrían tener un impacro negarivo sobre el enromo informático. Por ejemplo, existe una probabilidad de que pudiera ganar la lotería el viernes, pero esto no es un riesgo que su empresa aborde de manera activa, porque sería algo positivo. Más bien, su empresa podría estar más preocupada por el tipo específico de riesgo que se conoce como una amenaza, el cual es definido como una acción o suceso que pudiese resultar en la violación, corte o corrupción de un sistema mediante la exploración de vulnerabilidades conocidas o desconocidas. Generalmente, cuando alguien se refiere a la administración de riesgos, se está enfocando en esre tipo de riesgo negativo. El objetivo de cualquier plan de administración de riesgos es el de eliminar las amenazas siempre que esto sea posible y el de minimizar las consecuencias de las que no pueden ser eliminadas. El primer paso para la creación de un plan para la adm inistración de riesgos es llevar a cabo una evaluación. Las evaluaciones de riesgos generalmente se utilizan para identificar los peligros que pudieran tener un impacto sobre un enromo en particular.
4 Lección 1
Tome Nota
En un entorno desarrollado de evaluación de riesgos es común registrarlos, debido a que su oportuna documentación proporciona un mecanismo formal para revisar sus impactos, controles y cualquier otra información requerida por el programa de administración de riesgos.
Una vez que ha terminado su evaluación e identificado sus riesgos, es necesario que valore cada riesgo en busca de dos facrores; primero, debe determinar la probabilidad de que un riesgo pudiese ocurrir en su entorno, por ejemplo, es mucho más probable que un tornado ocurra en Oklahoma que en Vermont. No es muy probable que caiga un meteorito en algún lugar, sin embargo, es un ejemplo que se utiliza comúnmente para representar la pérdida rora! de una instalación, al hablar de riesgos. Una vez que ha determinado la probabilidad de un riesgo específico, debe determinar el impacto que ese riesgo rendría sobre su entorno. Por ejemplo, un virus en la estación de trabajo de un usuario generalmenre tiene poco impacto sobre la empresa (aún cuando sí consriruye un aleo impacto para el usuario). Un virus en su sistema financiero tiene un impacto general mucho mayor, aunque se espera que sea una probabilidad mucho menor.
Una vez que ha evaluado sus riesgos, llega el momento de darles una prioridad. Uno de los mejores mecanismos para ayudarle a establecer prioridades, es la creación de una matriz de riesgos, la cual puede ser utilizada para determinar una clasificación de amenaza global. Una matriz de riesgos debe incluir los siguientes elemenros:
• El riesgo
• La probabilidad de que realmente ocurra el riesgo
• El impacto del riesgo
• Una punruación coral de riesgo
• El dueño del proceso afectado (persona, equipo o departamento) por el riesgo
• Los principios de seguridad básicos afectados por el riesgo, confidencialidad, integridad y/o disponibilidad.
• La estrategia o estrategias apropiadas para hacer frente al riesgo.
Algunos campos adicionales que podrían ser de utilidad en su registro de riesgos son los siguienres:
• U na fecha cuando el riesgo que debe ser abordado
• Documenración con relación al riesgo residual (p. ej., e l riesgo que queda después de que se han cornada las medidas para reducir la probabilidad o minimizar el efecco de un evento).
• El esrarus de la estrategia o estrategias que se utilizan para abordar el riesgo; esro puede incluir indicadores cales como "Planeación" "en Espera de Aprobación", "Jmplemenración" y "Completo".
Una forma sencilla para calcular una puntuación coral de riesgo es la de asignar valores numéricos a su probabilidad e impacto. Por ejemplo, puede clasificar la probabilidad y el impacto sobre la base de una escala de 1 al 5, donde 1 equivale a una baja posibilidad y 5 equivale a un airo impacco. A conrinuación, puede multiplicaren conjunro la probabilidad y el impacto para generar una puntuación total de riesgo. Mediante la clasificación de mayor a menor, cuenca con un método fácil para dar una prioridad inicial a sus riesgos. A continuación, debe repasar los riesgos específicos para determinar el orden final en que desea abordarlos. En esre punto, es posible que se encuentre con factores externos, cales como coseos o recursos disponibles, que afecten sus prioridades.