Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
SEGURIDAD DE LA INFORMACION
SEGURIDAD EN APLICACIONES Y SO
Escuela de Informática y
Telecomunicaciones
1
DIPLOMADO DE
SEGURIDAD DE LA INFORMACION
Introducción
Escuela de Informática y
Telecomunicaciones
2
Introducción
• "Hoy más del 70% de los ataques contra el sitio web de
una compañía o aplicación web se dirigen a la “Capa de
aplicación” y no a la red o al sistema, según el Gartner
Group.
• Los problemas de seguridad en las aplicaciones que
desarrolla una empresa repercuten directamente en la
imagen de la misma ante el mercado, afectando
fuertemente su negocio.
• No obstante, también es importante considerar que
cada aplicación esta soportada por un Sistema
Operativo, que aunque sea una aplicación comercial,
no está exento de vulnerabilidades
4
Amenazas al Sistema Operativo
• Componentes del Sistema Operativo:
• Kernel: es el componente mas importante del Sistema
operativo y se encarga de proveer la interfaz entre el
hardware y las aplicaciones.
• Sus principales funciones son:
– Ejecución de procesos.
– Carga de programas.
– Interfaz entrada/salida (periféricos).
– Supervisión de transmisión de datos.
Usando abreviatura
Ctrl + shift + esc
Puede usar el siguiente comando
• Ataque de cliente
38
Unidad de Aprendizaje N°3
Análisis de Seguridad
en los Sistemas Operativos
• A.- Virus
• B.- Spyware
• C.- Backdoor
• D.- Rootkit
• A.- Spyware.
• B.- Adware.
• C.- Virus.
• D.- Gusano.
• Security Focus:
– http://www.securityfocus.com/vulnerabilities
• Secunia:
– https://secunia.com/community/advisories/
• OSVDB
– http://osvdb.org/search/advsearch
• X-Force de IBM
– http://www.ibm.com/security/xforce
• Operación de Nessus:
– Nessus realizada un mapeo de todos los puertos que están
abiertos en el servidor destino.
– A continuación envía los plugin o firmas de tráfico que tiene
configurados a los puertos disponibles.
– Luego recibe la respuesta del servidor para validar si la
vulnerabilidad existe.
– Luego compara el resultado con su base de dato interna para
validar la clasificación de las vulnerabilidades encontradas.
• Foudstone de McAfee
– http://www.mcafee.com/us/services/foundstone-
services/index.aspx
• NexPose de Rapid7
– https://www.rapid7.com/products/nexpose/
• QVM de IBM
– http://www-03.ibm.com/software/products/en/qradar-
Diplomado de Seguridad de la Información
vulnerability-manager/ 60
Análisis de Seguridad de Sistema Operativo
• El mercado de las herramientas de Vulnerability
Assessment según Gartner
• Clasificación de vulnerabilidades
– Calculadora NVD
– Iniciativa OVAL
74
Pregunta 1
• ¿Cuál de las siguientes afirmaciones describe de mejor
forma el concepto de “vulnerabilidad”?
• Ubuntu:
– http://www.ubuntu.com/usn/
• Apple:
– http://lists.apple.com/archives/security-announce
• Red-Hat:
– https://access.redhat.com/security/security-updates/#/
Diplomado de Seguridad de la Información 83
Mitigación de vulnerabilidades
• Ejemplo de un reporte de mitigación de Nessus
97
Hardening de Servidores
• Definición: es el proceso a través del cual se mejora la
seguridad de un sistema a ejecutando las labores de
mitigación de vulnerabilidades. Además en este
proceso se incorporan todas las configuraciones
recomendadas por los fabricantes y las entidades de
seguridad, tales como:
• CIS (Center for Internet Security):
– https://benchmarks.cisecurity.org/downloads/browse/index.cfm?
category=benchmarks.os
• NSA:
– https://www.nsa.gov/ia/mitigation_guidance/security_configurati
on_guides/
• Características:
– Crea archivos cifrados de cualquier tamaño
– Crea directorios cifrados compartidos
– Permite crear volúmenes o particiones cifradas
– Permite doble autenticación
• Ejemplo de configuración:
• Referencia:
– https://openvpn.net/index.php/open-
source/documentation/howto.html
Diplomado de Seguridad de la Información 111
Hardening de Servidores
• Seguridad en OpenVPN:
• Las principales recomendaciones para evitar algunos
incidentes de seguridad es agregar los siguientes
comandos al archivo de configuración:
• Evitar ataques DoS:
– # tls-auth llave_precompartida direccion_IP
– # conect-freq no_conexiones tpo_segundos
• Referencia:
– http://www.linuxcommand.org/man_pages/arpwatch8.html
• Reiniciar el servicio:
– # /etc/init.d/rsyslog restart
• Configuración de /etc/rsyslog.conf
• Comprobación de funcionamiento:
• La forma mas utilizada es ejecutar el comando logger
– # logger –t LOG “esto es una prueba”
• Seguridad en Hardening
– Principios de Seguridad
– Cifrado de discos
– Cifrado de archivos
– VPN (OpenVPN)
• Protección de Servidores
– Protección contra ARP Spoofing
– Protección contra DCHP Spoofing
– Jaulas con CHROOT
– Listas de control de acceso (ACL)
• Almacenamiento de logs
– Configuración de servidor
– Configuración de envío seguro de logs
– Configuración de cliente
– Arquitectura de un sistema de almacenamiento de logs
144
Pregunta 1
• ¿Cuáles son los pasos recomendados para realizar un
hardening, en un servidor?
• A.- Suspensión.
• B.- Eliminación.
• C.- Parchado.
• D.- Mitigación.
• A.- Compensatorio.
• B.- Correctivo.
• C.- Aleatorio.
• D.- Auxiliar.
• A.- Bastille.
• B.- Nessus.
• C.- NMAP
• D.- MBSA.
• Oracle en Windows:
– No instalar la base de datos en un controlador de dominio
– Crear una cuenta independiente por cada DBA
– Valide que el usuario de Oracle es propietario de todos los
archivos bajo el directorio $ORACLE_HOME/bin
– Deshabilitar iSQL*plus para los servidores de producción
Diplomado de Seguridad de la Información 166
Seguridad en Bases de Datos
• Recomendaciones para hardening de bases de
datos
• SQL Server:
– Instalar en una partición NTFS
– Utilizar una cuenta de bajo privilegio para la instalación
– NO utilizar las cuentas de Administrador o LocalSystem
– Remover la cuenta de invitado (guest) y las cuentas de ejemplo
– Utilizar la autenticación de Windows en lugar de otro sistema
– Permitir el acceso solo desde la red local
– Deshabilitar las capacidades de envío de correo electrónico
– No instalar los procedimientos extendidos de creación de
usuarios
– No instalar la búsqueda “full-text”
Diplomado de Seguridad de la Información 167
Seguridad en Bases de Datos
• Sitios de interés para información de Seguridad en
Bases de Datos
• SQL Server:
– http://www.sqlsecurity.com/home
– https://technet.microsoft.com/es-ES/sqlserver/ff803383.aspx
• Oracle:
– http://www.oracle.com/technetwork/topics/security/alerts-
086861.html
• DB2:
– http://www-01.ibm.com/support/docview.wss?uid=swg27007053
• MySQL:
– http://dev.mysql.com/downloads/
Diplomado de Seguridad de la Información 168
Seguridad en Bases de Datos
• Sitios especializados en búsqueda de vulnerabilidades
para Bases de Datos:
• Security Tracker:
– http://securitytracker.com/search/search.html
Aplicación Control de
Acceso
Sistema
Operativo
Errores de
Base de configuración
Datos
Vulnerabilidades
Datos
Confidencialidad
• Sistema Operativo:
– Análisis de vulnerabilidades y parchado
• Base de Datos:
– Firewall de Bases de Datos
– Auditoria de configuraciones
• Datos:
– Cifrado y ofuscamiento
Diplomado de Seguridad de la Información 173
Seguridad en Bases de Datos
• Modelo de conexión a bases de datos (3 capas)
• SQL Server:
• SQLSus
– http://sqlsus.sourceforge.net/
• Rational de IBM
– http://www-01.ibm.com/software/cl/rational/
Auditoría
¿Qué hizo?
Cifrado
¿Quién puede
verlo?
Autorización
¿Quién puede hacerlo?
• Perforce
– https://www.perforce.com/threat-detection
202
Pregunta 1
• Para obtener información de la transacción en una base
de datos, una solución DAM (Database Activity
Monitoring) debe ser capaz de revisar la capa de
________________ del modelo TCP/IP
• A.- Red.
• B.- Transporte.
• C.- Aplicación.
• D.- Sesión.
• A.- Parchado.
• B.- Perfilamiento.
• C.- Control de acceso.
• D.- Alta disponibilidad.
• BurpSuite de PortSwigger
– http://portswigger.net/burp/download.html
• WebScarab de OWASP
– https://www.owasp.org/index.php/Category:OWASP_WebScara
b_Project
• Principales amenazas
– OWASP Top 10
– SQL Injection
– Session Hijacking
– XSS (Cross Site Scripting)
– CSRF
– Inyección de comandos.
• SDLC
• OWASP
– Guía de revisión de OWASP
– Métodos de mitigación
• Herramientas
• A.- CSRF
• B.- XSS (Cross Site Scripting )
• C.- SQL Injection
• D.- Command Injection
• A.- Diseño.
• B.- Finalización.
• C.- Pruebas.
• D.- Desarrollo.
• A.- XSS.
• B.- SQL injección.
• C.- Command injecction.
• D.- Secuestro de sesión.
287