ServiciosdeRedSeguros

Zambrano Paredes, Luis Odar Ivn

CONTENIDO DEL CURSO

CONOCIMIENTOS TEORICOS DE SI.

Definiciones Bsicas de seguridad informtica, Estndares y Guas de Planificacin de seguridad, y Consideraciones tcnicas de seguridad.

SEGURIDAD PERIMETRAL
Conoceremos soluciones y practicaremos con una solucin Libre Zentyal/Linux (Configuracin y mdulos de seguridad perimetral).

SEGURIDAD INTERNA
Conoceremos soluciones y practicaremos con Active Directory Services de Microsoft, ademas veremos soluciones libres.

HERRAMIENTAS DE MONITOREO
Conoceremos soluciones y practicaremos con soluciones libres para la administracin y monitoreo de RED.

SEGURIDAD INFORMATICA
Seguridad en redes es mantener bajo proteccin los recursos y la informacin con que se cuenta en la red, a travs de procedimientos basados en una poltica de seguridad tales que permitan el control de lo actuado.
Siempre hay que tener en cuenta que la seguridad comienza yytermina con personas Siempre hay que tener en cuenta que la seguridad comienza termina con personas
NIVELES DE TRABAJO
CONFIDENCIALIDAD

Confidencialidad. Integridad. Autenticidad. No-Repudio. Disponibilidad ( Recursos e informacin ). Consistencia. Control de Acceso. Auditora

CONTABILIDAD

INTEGRIDAD

DISPONIBILIDAD

SEGURIDAD INFORMTICA
De que nos protegemos?

Estudio Datapro Research Corp

Botnets Crackers Empleados deshonestos Espionaje Script kiddies Software malicioso Siniestros (incendios, inundaciones, terremotos) Robo industrial Terroristas Usuarios (ignorantes, malintencionados) Y un milln de adolescentes...

Errores de empleados 50% Empleados deshonestos 15% Empleados descuidados 15% Intrusos ajenos a la empresa 10% Integridad fsica en las instalaciones 10%

Se puede notar que el 80% de los problemas relacionados a la seguridad informtica son producido por los empleados de dicha organizacin. Y esto se podra tipificar en tres grandes grupos:

Problemas por ignorancia Problemas por haraganera Problemas por malicia

SEGURIDAD INFORMATICA
Por que invertir en seguridad?.

FLUJO NORMAL
AMENAZAS
INTERRUPCION
Se daa, pierde o deja de funcionar un punto del sistema. Su deteccin es inmediata

Destruccin del hardware. Borrado de programas, datos. Fallos en el sistema operativo

SEGURIDAD INFORMATICA
INTERCEPTACION
Acceso a la informacin por parte de personas no autorizadas. Uso de privilegios no adquiridos. Su deteccin es difcil, a veces no deja huellas

Copias ilcitas de programas. Escucha en lnea de datos Acceso no autorizado que cambia el entorno para su beneficio. Su deteccin es difcil segn las circunstancias

MODIFICACION

Modificacin de bases de datos. Modificacin de elementos del HW.

GENERACION

Creacin de nuevos objetos dentro del sistema. Su deteccin es difcil: delitos de falsificacin

Aadir transacciones en red. Aadir registros en base de datos.

SEGURIDAD INFORMATICA
ESTANDARES INTERNACIONALES DE SEGURIDAD

ISO 17799 => Cdigo de buenas prcticas de seguridad en la Gestin de la informacin (No puede ser utilizado para Certificacin). ISO 27000 => Especificacin para la gestin del sistema de seguridad de informacin (Es utilizado para la certificacin). Normas de Apoyo: ISO9000 e ITIL.

SEGURIDAD INFORMATICA
SEGURIDAD FISICA
Incendios, Inundaciones, Condiciones Climatolgicas, Instalaciones Elctricas, Ergometra, Estructura de Red, Robos.

SEGURIDAD LOGICA
Aplicacin de barreras y procedimientos que resguarden el acceso a los datos y slo se permita acceder a ellos a las personas autorizadas para hacerlo.

GESTION DE LA SEGURIDAD

Polticas administrativas: Las polticas establecen la gua para realizar backups, upgrades, auditoras, monitorizacin, etc. Deben establecer claramente indicar la periodicidad y el momento de realizar upgrades, por ejemplo. Debe definir la persona responsable de cada actividad relacionada con la seguridad, y quien debe tomar las decisiones relativas a la misma. Debe establecer los procedimientos de actuacin en caso de verse vulnerada la seguridad de la empresa. Planes de recuperacin ante desastres: El Plan de recuperacin ante desastres (DRP) debera establecer el mecanismo de actuacin ante cualquier posible evento que ponga en riesgo la continuidad de la empresa. Es caro y complicado de realizar, pero resulta imprescindible. Todas las personas o departamentos de la empresa deben conocerlo y deben conocer las acciones que ellos deben realizar de cara a un desastre. Polticas de informacin: Hace referencia a aspectos relacionados con el flujo de la informacin (acceso, clasificacin, marcado, almacenado, transmisin, destruccin, etc) . Niveles habituales son: Pblica, Interna, Privada, Confidencial. Polticas de seguridad: Describe la configuracin de redes y sistemas, instalacin de software, hardware, conexiones de red, cifrado, antivirus, etc. Definen tambin la seguridad de acceso al CPD (identificacin y autenticacin). Requerimientos de diseo de software: Muchas compaas realizan sus propias aplicaciones para realizar funciones internas dentro de la empresa (produccin, control, I+D..,). En el diseo de estas aplicaciones debe asegurarse que son integrables con las polticas de seguridad de la empresa. Polticas de uso: Las polticas de uso definen el modo en que deben utilizarse la informacin y los recursos de la empresa. Incluyen aspectos como confidencialidad, propiedad intelectual, etc. Dentro de esta poltica pueden tomarse acciones de concienciacin y/o legales para asegurar el correcto uso. Polticas de gestin de usuarios: Definen el modo en que se tratan los aspectos relativos a los usuarios para realizar su funcin diaria habitual (altas de nuevos usuarios, bajas, cambios de funciones, ascensos, etc). Muchos ataques son provocados por personas con permiso de realizar su accin maliciosa o errnea.

GESTION DE LA SEGURIDAD

GESTION DE LA SEGURIDAD

GESTION DE LA SEGURIDAD
Determinar qu asegurar y cmo asegurarlo Es necesario listar todos aquellos recursos (servidores, servicios, datos y otros componentes) que contengan datos, den servicios, formen parte de la infraestructura de tu compaa, etc. A continuacin se detalla una pequea lista:

Necesitas averiguar contra qu lo quieres proteger:

Daos fsicos (humo, agua, comida, etc.) Borrado / modificacin de datos (registros contables, deterioro de tu sitio web, etc.) Exposicin de datos (registros contables, etc.) Continuidad de servicios (mantenimiento activo de los servidores de correo/www/ficheros) Evitar que otros hagan uso ilegal/impropio de tus servicios (envos masivos de correos, etc.)

Servidores fsicos Servidores de correo y servicios Servidores de Control de Acceso Servidores de DNS y servicios Servidores de WWW y servicios Servidores de ficheros y servicios Datos internos de la compaa, como registros contables Infraestructura de la red (cables, hubs, switches, routers, etc.) Sistema telefnico (PBX, buzones de voz, etc.)

cul es la probabilidad de que se d un suceso determinado?

lista de los posibles resultados derivados de un incidente de seguridad:

Prdidas de datos Perdida directa de beneficios (ventas va web, el servidor de ficheros inactivo, etc) Costes en tiempo de personal Prdida de productividad del departamento de informtica, as como de los trabajadores dependientes de su infraestructura Implicaciones legales (registros mdicos, registros contables de clientes, etc.) Prdida de la confianza por parte del cliente Publicidad por parte de los medios de comunicacin

GESTION DE LA SEGURIDAD
Amenazas Posibles Consecuencias Ambiente Mecanismos Factor Humano

Bases del anlisis del sistema de seguridad

Programa Seguridad

Controles y Vigilancia

Revisin

Plan de Accin

Procedimientos y Normativas

Auditoras de Sistema de Seguridad

Simulacin

LOGFILE

TOPOLOGIA DE RED SEGURA

Capacidades de un diseo de Red
Todas las redes comparten un nmero determinado de capacidades. Su desarrollo determina la calidad del diseo.

Fiabilidad: Garantiza la conectividad entre usuarios, aplicaciones y servicios. Modularidad: Garantiza el crecimiento de la red. Flexibilidad: Grado de adaptacin a la evolucin tecnolgica. Seguridad: Uso de tcnicas tratamiento de la informacin. de

VP

Controlabilidad: Garantiza la estabilidad de la estructura lgica. Disponibilidad: Establece el grado de utilizacin de la red

TOPOLOGIA DE RED SEGURA

INTERNET
Zonas de seguridad: Es necesario definir zonas que aslen determinados sistemas de usuarios que no deben tener acceso a la misma. Pueden definirse cuatro tipos de zonas: Internet: Es la red de redes. Insegura por definicin. Intranet: Redes privadas administradas por una misma entidad. Extranet: Intranets extendidas a otras redes de confianza (clientes, Partners, etc). DMZ (Zona desmilitarizada): rea para poner servicios pblicos, a los que accedern usuarios no confiables.
Usuario Cliente Prov. Personal Empresa Cliente Prov. Usuario

EXTRANET
INTRANET

TOPOLOGIA DE RED SEGURA

VPN
SSL/TLS SSL/TLS
SSL proporciona servicios de seguridad a la pila de protocolos, encriptando los datos salientes de la capa de Aplicacin antes de que estos sean segmentados en la capa de Transporte y encapsulados y enviados por las capas inferiores. Es ms, tambin puede aplicar algoritmos de compresin a los datos a enviar y fragmentar los bloques de tamao mayor a 214 bytes, volviendolos a reensamblarlos en el receptor. La versin ms actual de SSL es la 3.0. que usa los algoritmos simtricos de encriptacin DES, TRIPLE DES, RC2, RC4 e IDEA, el asimtrico RSA, la funcin hash MD5 y el algoritmo de firma SHA-1.

TOPOLOGIA DE RED SEGURA

DMZ El trfico de la red externa a la DMZ est autorizado El trfico de la red externa a la red interna est prohibido El trfico de la red interna a la DMZ est autorizado El trfico de la red interna a la red externa est autorizado El trfico de la DMZ a la red interna est prohibido El trfico de la DMZ a la red externa est denegado

DMZ

IDS/IPS
El IDS solamente reporta eventos, el IPS corta el trafico peligroso cuando detecta eventos peligrosos.

TOPOLOGIA DE RED SEGURA

Host Intrusion Detection Systems(HIDSs) Es importante implementar HIDS para detectar ataques que no fueron detectaron por el NIDS ( Seguridad en profundidad) Es un Agente instalado sobre en sistema operativo para detectar ataques sobre ese mismo servidor. Agnete podr impactar el performance de la maquina sobre la cual esta instalado. Reporta eventos a una consola central. La consola tiene una base de datos de firmas de ataques. En caso de deteccin de ataque la consola reporta al administrador va mail, SMS etc

Network Intrusion Detection Systems (NIDSs) El IDS el pasivo, no para los ataques solamente reporta problemas. en la mayora de los casos el IDS es un Appliance colocado en el permetro de la red. Tiene al mnimo 2 placas de red, una para analizar trafico, la otra para gestionar el IDS/Nics en promiscus mode La Solucin de IDS tiene dos componenetos: sensor y Management. Detecta ataques con firmas (como AV). Las firmas se actualizan de los servidores del vendor. Hay IDs que permiten que uno mismo escriba y agregue firmas. Port mirror puede crear mucha carga sobre el switch, perdida de paquetes.

TOPOLOGIA DE RED SEGURA

VLAN Topologa que permite liberamos direcciones de nuestra red origen 172.16.1.0/24 pasndolas a las distintas VLAN que hemos creado. Gracias al switch de nivel 3 podremos gestionar la visibilidad entre las distintas VLAN y notaremos una mejora en el rendimiento de la red ya que las difusiones o broadcast de cada VLAN slo llegarn a los equipos conectados a la misma.

Ms Posibles SOLUCIONES Firewall / Proxy CAPA 7 WiFi => WPA2 + RADIUS VIRTUALIZACION HA + DRS + SELINUX BACKUPS, REDUNDANCIA, ANTIVIRUS Firewall WEB(?...)

VULNERABILIDADES Y ATAQUES
Uno de los carteles ms infames en el rea TIC's es el tpico "No hay servicio". Algo tan molesto para usuarios como para aquellos que deben atender a los mismos.

VULNERABILIDAD = DEBILIDAD VULNERABILIDAD = DEBILIDAD

(Fallos en los sistemas que hace que la seguridad se vea disminuida o Nula)

99% protegido = 100% vulnerable 99% protegido = 100% vulnerable

ATAQUES ATAQUES vulnerabilidad vulnerabilidad

VULNERABILIDADES Y ATAQUES
Reconocimiento Reconocimiento
Ingeniera Social, el Dumpster Diving, el sniffing

Exploracin Exploracin

network mappers, port mappers, network scanners, port scanners, y vulnerability scanners. Buffer Overflow, Denial of Service (DoS), Distributed Denial of Service (DDos), Password filtering y Session hijacking.

Obtener acceso Obtener acceso

Mantener el acceso Mantener el acceso

backdoors, rootkits y troyanos.

Borrar huellas Borrar huellas

buscar eliminar los archivos de registro (log) o alarmas del Sistema de Deteccin de Intrusos (IDS).

VULNERABILIDADES Y ATAQUES
Un ataque ocurre cuando un individuo o grupo intenta acceder, modificar o daar propiedades. Los ataques pueden ser:

Ataque de acceso: Alguien ha accedido a los datos o a los recursos por parte de alguien no autorizado a hacerlo. Algunos de los mtodos que se emplea para realizar estos ataques son: Bsqueda en la basura: Consiste en analizar los restos de las organizaciones, en busca de informacin. Robo de informacin en ruta: Consiste en interceptar o leer informacin que se encuentra en el camino entre el emisor y el receptor. Eavesdropping: Consiste en escuchar partes de una conversacin o trfico de red. Snooping: Alguien busca en los ficheros o documentos esperando encontrar algo valioso, pero sin saber lo que busca exactamente. Interception: Lectura de la informacin cuando sta viaja del origen al destino.

Ataque de repudio: Alguien quiere modificar informacin contenida en los sistemas. Son ataques difciles de detectar. Un ataque tpico es el WEB defacement, que cambia el contenido de una pgina WEB.. Una variacin a este ataque es el ataque de reputacin, que no modifica la informacin, pero hace ver que la fuente de la misma no es fiable. Para hacer estos ataques antes es necesario realizar un ataque de acceso. Ataque de denegacin de servicio (DoS): Intentan hacer que el sistema sea incapaz de cumplir su funcin. Muchos se basan en consumir los recursos de la victima, hasta que no puede hacer su funcin normal. Una modalidad es el ataque de DoS distribuido (DDoS), donde muchas mquinas (zombies) controladas por un atacante, lanzan al mismo tiempo un ataque contra la vctima, multiplicando la potencia del mismo y dificultando la localizacin real de la fuente.

VULNERABILIDADES Y ATAQUES
ATAQUES COMUNES

Ataques de backdoor: Puede existir una puerta trasera bien por que se ha desarrollado para labores de mantenimiento o bien porque se ha desarrollado un software que la crea. La puerta trasera da acceso al sistema sin los mecanismos de control de acceso principales. Ataques de spoofing: Un spoofing es una suplantacin de identidad. Los ataques ms comunes son IP spoofing y DNS spoofing. Ataques de hombre en el medio: Son ataques ms sofisticados. El mtodo es poner un cdigo entre el usuario y el servidor, y capturar el trfico que circula entre ambos, haciendo creer a cada uno que est hablando con el otro. Ataques de repeticin: En una red local, los datos como user y password son enviados por la red. un ataque de repeticin Ataques de adivinacin de password: Son ataques de fuerza bruta o basada en diccionarios para tratar de lograr la password de acceso a un sistema. Ataques de escalada de privilegios: Estn asociados con Bugs en el software, que le permitira a la aplicacin (y a quien la controle) obtener permisos superiores a los que originalmente tenia la aplicacin. HOAX: No es realmente un ataque, sino un mensaje que avisa de la presencia de un ataque. Hace perder productividad y en ocasiones, al tratar de solucionar el falso ataque, se pueden causar daos.

APLICACION:Buffer Overflow, Backdoors, Covert Chaneels PRESENTACION:SQL Injection, XSS, Input Validation.
Ej. www.x.com/etc/password

SESION:Falta de autenticacin o Autenticacin dbil, Spoffing. TRANSPORTE:Fingerprinting, Information leakage (Banner Grabbing). RED:IP Address Spoofing (Confiar en una IP para la Autenticacin). ENLACE:MAC Spoofing, ARP Poisoning (VLAN a VLAN, Sniffing). FISICA:Problemas de Electricidad, Robo de PC, Keylogger por Hardware

VULNERABILIDADES Y ATAQUES
DOS / DDOS

Ataque a sistema o red que causa perdida de servicio. Normalmente causa la perdida de conectividad por consumo del bandwitch o sobrecarga de recursos. El DDoS (Distributed Denial of Service), es una versin mejorada, en la cual participan varios agentes remotos. El invasor consigue de esta manera amplificar el volumen de flood provocado.

Eficaz Difcil proteccin Fcil de realizar

TIPOS:

Syn Flood Land Attack (Falsifica Source/Destino) ICMP Flood UDP Flood

VULNERABILIDADES Y ATAQUES

Exploit (no es lo mismo que Xploit) Rootkits Malware / Spyware Backdoors Virus Troyanos Bomba Lgica :(){ :|: &};: Gusanos

INGENIERIA SOCIAL LOS USUARIOS SON EL ESLABON DEBIL

LOS 44PRINCIPIOS DE KEVIN MITNICK LOS PRINCIPIOS DE KEVIN MITNICK -> El primer movimiento es siempre -> El primer movimiento es siempre de confianza de confianza -> Todos queremos ayudar -> Todos queremos ayudar -> No nos gusta decir que no -> No nos gusta decir que no -> Nos gusta que nos alaben -> Nos gusta que nos alaben

Educar y entrenar a los usuarios

SEGURIDAD WEB
Cross Site Scripting (XSS)
El XSS es un ataque basado en la validacin de datos en HTML incrustado. Permite la inyeccin de codigo malicioso dentro de las aplicaciones web.

SQL Injection

Vulnerabilidad en el nivel de la validacin de las entradas a la DB a causa del filtrado incorrecto de las variables utilizadas en las partes del programa con cdigo SQL. Sucede cuando se inyecta un cdigo SQL invasor dentro de otro cdigo SQL para alterar su funcionamiento normal, y hacer que se ejecute maliciosamente el cdigo invasor en la base de datos.

Abarca cualquier ataque que permitia ejecutar cdigo de scripting, como VBScript o JavaScript, en el contexto de otro dominio. Es posible llegar a obtener Cookies, para que el script kiddie pueda hacerse pasar por otro usuario (ej. administrador).

Directa: Este tipo de XSS es el que normalmente es censurado; as que es muy poco comn que puedas usar tags como <script> o <iframe>. Indirecta: Consiste en modificar valores que la aplicacin web utiliza para pasar variables entre dos pginas, sin usar sesiones.

ATAQUES EN LA WEB
Autenticacin 1. Fuerza bruta: Un ataque de fuerza bruta es un proceso automatizado de prueba y error utilizado para adivinar un nombre de usuario, contrasea, nmero de tarjeta de crdito o clave criptogrfica. 2. Autenticacin insuficiente: La autenticacin insuficiente ocurre cuando un sitio web permite a un atacante acceder a contenido sensible o funcionalidades sin haberse autenticado correctamente. 3. Dbil Validacin en la recuperacin de contraseas: La dbil validacin en la recuperacin de contraseas se produce cuando un sitio web permite a un atacante obtener, modificar o recuperar, de forma ilegal, la contrasea de otro usuario.
Autorizacin 4. Prediccin de credenciales/sesin: La prediccin de credenciales/sesin es un mtodo de secuestro o suplantacin de un usuario del sitio web. 5. Autorizacin insuficiente: La autorizacin insuficiente se produce cuando un sitio web permite acceso a contenido sensible o funcionalidades que deberan requerir un incremento de las restricciones en el control de acceso. 6. Expiracin de sesin insuficiente: La expiracin de sesin insuficiente se produce cuando un sitio web permite a un atacante reutilizar credenciales de sesin o IDs de sesin antiguos para llevar a cabo la autorizacin. 7. Fijacin de sesin: La fijacin de sesin es una tcnica de ataque que fuerza al ID de sesin de un usuario a adoptar un valor determinado.

ATAQUES EN LA WEB
Ataques en la parte cliente 8. Suplantacin de contenido: La suplantacin de contenido es una tcnica de ataque utilizada para engaar al usuario hacindole creer que cierto contenido que aparece en un sitio web es legtimo, cuando en realidad no lo es. 9. Cross-site scripting: Cross-site Scripting (XSS): es una tcnica de ataque que fuerza a un sitio web a repetir cdigo ejecutable facilitado por el atacante, y que se cargar en el navegador del usuario. Ataques lgicos 10. Abuso de funcionalidad: El abuso de funcionalidad es una tcnica de ataque que usa las propias capacidades y funcionalidades de un sitio web para consumir, estafar o evadir mecanismos de control de acceso. 12. Denegacin de servicio: La denegacin de servicio (Denial of Service, DoS) es una tcnica de ataque cuyo objetivo es evitar que un sitio web permita la actividad habitual de los usuarios. 13. Anti-automatizacin insuficiente: La anti-automatizacin insuficiente se produce cuando un sitio web permite a un atacante automatizar un proceso que slo debe ser llevado a cabo manualmente. 14. Validacin de proceso insuficiente: La validacin de proceso insuficiente se produce cuando un sitio web permite a un atacante evadir o engaar el flujo de control esperado por la aplicacin.

ATAQUES EN LA WEB
Ejecucin de comandos 15. Desbordamiento de buffer: La explotacin de un desbordamiento de buffer es un ataque que altera el flujo de una aplicacin sobreescribiendo partes de la memoria. 16. Ataques de formato de cadena: Los ataques de formato de cadena alteran el flujo de una aplicacin utilizando las capacidades proporcionadas por las libreras de formato de cadenas para acceder a otro espacio de memoria. 17. Inyeccin LDAP: La inyeccin LDAP es una tcnica de ataque usada para explotar sitios web que construyen sentencias LDAP a partir de datos de entrada suministrados por el usuario. 18. Comandos de Sistema Operativo: Los comandos de sistema operativo es una tcnica de ataque utilizada para explotar sitios web mediante la ejecucin de comandos de sistema operativo a travs de la manipulacin de las entradas a la aplicacin. 19. Inyeccin de cdigo SQL: La inyeccin de cdigo SQL es una tcnica de ataque usada para explotar sitios web que construyen sentencias SQL a partir de entradas facilitadas por el usuario. 20. Inyeccin de cdigo SSI: La inyeccin de cdigo SSI (Serverside Include) es una tcnica de explotacin en la parte servidora que permite a un atacante enviar cdigo a una aplicacin web, que posteriormente ser ejecutado localmente por el servidor web. 21. Inyeccin Xpath: La inyeccin XPath es una tcnica de ataque utilizada para explotar sitios web que construyen consultas Xpath con datos de entrada facilitados por el usuario.

Revelacin de informacin 22. Indexacin de directorio: La indexacin/listado automtico de directorio es una funcin del servidor web que lista todos los ficheros del directorio solicitado si no se encuentra presente el fichero de inicio habitual. 23. Fuga de informacin: La fuga de informacin se produce cuando un sitio web revela informacin sensible, como comentarios de los desarrolladores o mensajes de error, que puede ayudar a un atacante para explotar el sistema. 24. Path Traversal: La tcnica de ataque Path Traversal fuerza el acceso a ficheros, directorios y comandos que potencialmente residen fuera del directorio document root del servidor web. 25. Localizacin de recursos predecibles: La localizacin de recursos predecibles es una tcnica de ataque usada para descubrir contenido y funcionalidades ocultas en el sitio web.

ARQUITECTURA WEB

PORT 80 // 443 PORT 80 443

DESARROLLO DE APLICACIONES WEB SEGURAS

Seguridad con APACHE

Primero, cerciorarte de tener instalado los ltimos parches de seguridad Restringir acceso por IP
Order Deny,Allow Deny from all Allow from 176.16.0.0/16

Asegurarte de que los archivos a los que se accede son los deseados
Order Deny,Allow Deny from all Options None AllowOverride None Order Allow,Deny Allow from all

Oculta la versin y otra informacin delicada

ServerSignature Off ServerTokens ProductOnly

Desactiva las opciones para explorar directorios

Options Indexes

Apache debe funcionar bajo su propia cuenta y grupo de usuario

Desactiva los includes del lado servidor

Options Includes

User apache Group apache

Utiliza el mod_security Deshabilitar cualquier mdulo innecesario

grep LoadModule httpd.conf

Desactiva la ejecucin de CGI

Options ExecCGI

Seguridad con APACHE

No permitir que apache siga enlaces simblicos

Options FollowSymLinks

Disminuye el valor mximo de tiempo de espera

Timeout 45

Desactivar todas las opciones

Options None Options ExecCGI FollowSymLinks Indexes

Limitar el tamao maximo de peticiones

LimitRequestBody 1048576

Desactivar la ayuda para los archivos .htaccess

AllowOverride None AccessFileName .httpdoverride Order allow,deny Deny from all Satisfy All

Ocultar Versin PHP

/etc/php5/apache2/php.ini expose_php = Off

Deshabilitar las respuestas de Trazado HTTP.

TraceEnable off

Usar mod_ssl

SEGURIDAD CON PHP

Archivos de configuracin php.ini Archivo de configuracin de PHP. httpd.conf Archivo de configuracin el servidor HTTP Apache. .htaccess Fichero especial que usa Apache en el que se pueden poner ciertas llamadas a sus directivas o las de algunos mdulos que haya cargado. Requiere permisos para poder utilizarlo. Tipos de directivas PHP_INI_SYSTEM, PHP_INI_PERDIR, PHP_INI_USER, PHP_INI_ALL.
<?php if (usuario_valido()) { $autorizado = true; } if ($autorizado) { echo "Bienvenido a mis documentos importantes\n"; } else { echo "No tienes acceso a esta seccin\n"; } ?>

Con register_globals = On /archivo.php?autorizado=1

<?php if (usuario_valido()) { $_SESSION['autorizado'] = $_SESSION['login']['nombre']; } else { $_SESSION['autorizado'] = false; } if ($_SESSION['autorizado'] !== false) { echo "Bienvenido a mis documentos importantes {$_SESION['autorizado']['nombre']}\n"; } else { echo "No tienes acceso a esta seccin\n"; exit; } ?>

SEGURIDAD CON PHP

error_reporting (Desarrollo y Produccin).

E_ERROR: Errores fatales al ejecutar una aplicacin, interrumpen la ejecucin del mismo. Estos errores se producen por ejemplo al intentar utilizar funciones no definidas. E_WARNING: Advertencias en tiempo de ejecucin, no detienen la ejecucin de una aplicacin. Se produce cuando (por ejemplo) se proporciona a una funcin (como fwrite()) un recurso no vlido como parmetro. E_ALL: Agrupa todos los errores excepto los de tipo E_STRICT. E_NOTICE: El tipo menos conocido, junto con E_STRICT, y de los ms tiles. Estos errores se producen mayormente al encontrar el intrprete de PHP una variable o constante no definida. No detienen la ejecucin. E_STRICT: Est disponible nicamente a partir de PHP 5. Si habilitas este tipo de error PHP lanzar avisos si encuentra cdigo obsoleto para que el programador (o sea, t) puedas corregirlo y as "mantener la compatibilidad e interoperabilidad".

Dessarrollo:(php.ini) E_ALL | E_STRICT Produccin:(.htaccess) php_flag display_errors Off php_flag log_errors On php_value error_log "Ruta al registro"

safe_mode(Los ficheros sobre los que operamos desde otro fichero (la aplicacin) tienen el mismo dueo).

PHP.INI safe_mode = On HTTPD.CONF php_admin_flag safe_mode Off

SEGURIDAD CON PHP

open_basedir para definir las rutas desde donde PHP tiene permiso para acceder a ficheros mediante funciones como fopen() o gzopen(). Si algn fichero esta fuera de las rutas incluidas en open_basdir, PHP no permitir abrirlos.

disable_functions para deshabilitar algunas funciones que pudieran dejar tu sitio vulnerable. Algunas de estas funciones son: system, shell_exec, exec, phpinfo, etc.

PHP.INI open_basedir=/tu/ruta/a/tu/web

php_flag directive_name directive_value

PHP.INI disable_functions = "apache_get_modules, apache_get_version, apache_getenv, apache_note, apache_setenv,disk_free_space, diskfreespace,dl, highlight_file,ini_alter,ini_restore, openlog,passthru,phpinfo, proc_nice, shell_exec,show_source,symlink,system" (Tener Cuidado con las funciones)

DESARROLLO DE APLICACIONES WEB SEGURAS

Usa GET para peticiones seguras y POST para inseguras

Las peticiones GET pueden ser cacheadas. Las peticiones GET son almacenadas en el historial del navegador Las peticiones GET pueden ser almacenadas en los marcadores Las peticiones GET pueden ser compartidas o distribuidas facilmente Las peticiones GET pueden ser hackeadas (1!) [NE: Aunque las POST tmb con las herramientas adecuadas, ejem. Firefox ]

AMENAZAS => RECOMENDACIONES Inyeccin SQL preg_match('/^.+@.+\..{2,3}$/',$_POST['email']) XSS htmlentities () que convierte caracteres a entidades HTML, strip_tags () que elimina las etiquetas HTML y PHP de una cadena Robo de sesiones session_regenerate_id() PHP5.2 o posteriores se puede denegar al Javascript del navegador el acceso a la cookie activando el flag httponly. Directory Traversal( ../../archivo ) Tener un array de pginas vlidas. Comprobar que el archivo solicitado coincide con un formato concreto. Remote file inclusion( require isset( $_GET['page'] ) . '.php'; ) allow_url_include: controla si el include (), require (), include_once () y require_once () debe ser capaz de incluir archivos remotos.

DESARROLLO DE APLICACIONES WEB SEGURAS

DESARROLLO DE APLICACIONES WEB SEGURAS

md5()=>128bits md5()=>128bits sha1()=>160bits sha1()=>160bits

SEGURIDAD CON MYSQL

No d nunca a nadie (excepto a la cuenta root de MySQL acceso a la tabla User en la base de datos mysql) Esto es crtico. La clave cifrada es la verdadera clave en MySQL. Estudie el sistema de privilegios deacceso de MySQL. Las sentencias GRANT y REVOKE se utilizan para controlar elacceso a MySQL. No otorgue ms privilegios de los necesarios. Pruebe el comando mysql -u root. Si es capaz de conectar al servidor sin la necesidad de introducir una clave, tiene problemas.

Apis de Programacin:

API MySQL de C: Utilice la funcin mysql_real_escape_string(). PHP: Utilice la funcin mysql_escape_string(). puede utilizar la extensin mysqli, que soporta los protocolo de autentificacin y clave de acceso mejorados de MySQL, as como las sentencias preparadas con placeholders. JDBC de Java: Utilice un objeto PreparedStatement y placeholders.

Crear diferentes usuarios y claves para todos las conexiones a BD MySQL Asignar y ejecutar servidor MySQL con usuario diferente root de Unix. Esto es extremadamente peligroso porque cualquier usuario con el privilegio FILE es capaz de crear ficheros como root (por ejemplo, ~root/.bashrc). Para prevenir esto, mysqld rechaza ejecutarse como root a menos que se utilice explcitamente la opcin --user=root.

SISTEMAS DE RESPALDO (Backup, Replicacin)

OWASP seguridad Web al alcance de todos.

La Fundacin OWASP (Open Web Application Security Project) es un proyecto de cdigo abierto destino al desarrollo de aplicaciones Web seguras. Se tratan de una gua de recomendaciones detallada con el fin de securizar este tipo de aplicaciones. Incluyen amplia descripcin de las principales vulnerabilidades existentes y pautas para evitarlas. La Gua se concentra en las tres opciones comunes para sus ejemplos (PHP,ASP.NET y J2EE), la Gua puede utilizarse con cualquier aplicacin web de tecnologa. Dispone de un conjunto de herramienta capaces de testear vulnerabilidades (WebScarab) o simulacin de vulnerabilidades.
http://www.owasp.org/index.php/Category:OWASP_Download

ASPECTOS TECNICOS DE SEGURIDAD

SEGURIDAD SSH

Software que revisa los logs de ssh en busca de ips que intente loguearse mediante ataques de fuerza bruta.

nano /etc/sudoers
... root ALL=(ALL) ALL user1 ALL=(ALL) ALL ...

Nano /etc/denyhosts.conf DENY_THRESHOLD_INVALID: Nmero de intentos fallidos (con un usuario que no exista) necesarios para banear esa IP. DENY_THRESHOLD_VALID: Nmero de intentos fallidos (con un usuario existente) necesarios para banear esa IP. DENY_THRESHOLD_ROOT: Nmero de intentos fallidos (intentando entrar como root) necesarios para banear esa IP. BLOCK_SERVICE = sshd/ALL/etc : Servicios que bloqueados a usuarios baneados. DAEMON_LOG = /var/log/denyhosts : Ubicacin del log de denyhosts.

nano /etc/ssh/sshd_config

... Port 432 Protocol 2 LoginGraceTime 30 PermitRootLogin no MaxAuthTries 2 MaxStartups 3 ListenAddress 192.168.0.0/24 AllowUsers AllowUsers user1@*.dn1.com user2@192.168.0.* ...

/etc/init.d/denyhosts start

ASPECTOS TECNICOS DE SEGURIDAD

Configuraciones responsables de las aplicaciones y equipos. Sensibilizacin de seguridad Realizacin constante de auditoras y documentacin. Definicin de Roles. Investigacin y actualizacin constante Elaborar y aplicar Polticas de seguridad. Realizar Penetration Testing

Los 10 errores ms comunes

Entrar como superusuario: Evitar las actualizaciones: Instalar aplicaciones binarias de distintos tipos: Iniciar un servidor con las X: Contraseas dbiles: Malentendidos con los permisos de archivos: No tener backups de ficheros crticos: No consultar los registros y logs: No usar la lnea de comandos: No actualizar el kernel:

HERRAMIENTAS DE SEGURIDAD

Vasto es un conjunto de herramientas que permiten explotar vulnerabilidades de las principales infraestructuras de virtualizacin: VMware y Citrix XenCenter. VASTO est formado por componentes de Metasploit.

AirSnort Snort Clamav EtherAPE Fprobe IPTraf Spade Metasploit Nessus Netcat Nikto Nmap Ntop Osiris TCP Dump Wiresharck arpwatch

w3af ettercat iftop iptables SQLmap ntop DSniff ssh Kismet aircrack-ng partclone imagicpart nbtscan tcptraceroute rdesktop medusa firefox

HERRMIENTAS DE SEGURIDAD
Herramientas de seguridad PHP

PhpSecInfo Esta herramienta reporta informacin de seguridad en el ambiente PHP, y lo mejor, ofrece sugerencias para mejorar los errores. Se puede descargar bajo la licencia New BSD, y el proyecto PhpSecInfo busca constantemente desarrolladores PHP para mejorar esta herramienta.

Joomscan(scanner el cual se especializa en portales Joomla)

Hecho en Perl Permite actualizarse. Reporte completo. Interfaz web y por consola. Detecta vulnerabilidades como: SQL injection, LFI, RFI, XSS entre otros. Se basa en OWASP.

PHP Security Scanner Esta herramienta se utiliza para escanear cdigo PHP para vulnerabilidades, y se puede usar para escanear cualquier directorio. PHP Security Scanner presenta una muy prctica UI para mejorar la visualizacin de potenciales problemas.

./joomscan.pl u url_joomla NSIA (monitoriza la seguridad de pginas Web) WebPagetest (herramienta que nos permite hacer un test de desempeo de nuestro sitio web, incluyendo velocidades de carga, velocidad de acceso, velocidad de respuesta y muchos otros tests que nos ayudan a optimizar nuestro sitio)

Spike PHP Security Audit Tool La herramienta de seguridad Spike PHP Audit es una solucin de cdigo abierto para realizar anlisis estticos de cdigo PHP. Buscar problemas de seguridad, para que puedas corregirlos durante el proceso de desarrollo.

SOLUCIONES LIBRES
Zenoss Nagios

Cacti

SOLUCIONES LIBRES

METASPLOIT

OSSIM

SOLUCIONES LIBRES

SOLUCIONES LIBRES

SEGURIDAD PERIMETRAL
Arquitectura y elementos de red que proveen de seguridad al permetro de una red interna frente a otra que generalmente es Internet.

Cortafuegos. Sistemas Intrusos. Honeypots VPN de Deteccin y Prevencin de

Pasarelas antivirus y antispam.

SEGURIDAD PERIMETRAL
Cortafuegos (Firewalls) Elemento de red donde se define la poltica de accesos, permitiendo o denegando el trfico segn se definan sus reglas.

Dos filosofas distintos de uso: Poltica restrictiva (lista blanca): se deniega todo menos lo que se acepta explcitamente. x Poltica permisiva (lista negra): se acepta todo menos lo que se deniega explcitamente.

SEGURIDAD PERIMETRAL

Gestin Unificada de Amenazas / UTM

SEGURIDAD PERIMETRAL

SEGURIDAD PERIMETRAL

SEGURIDAD PERIMETRAL

Seguridad Interna
Seguridad con Windows Seguridad con Windows Seguridad con Servicios de Linux Seguridad con Servicios de Linux Seguridad con Dispositivos de RED Seguridad con Dispositivos de RED ActiveDirectory, Firewalls en PC Locales, Servidor de AntiVirus ActiveDirectory, Firewalls en PC Locales, Servidor de AntiVirus Backups, Sincronizacion, Virtualizacion, Clusters, Redundancia Backups, Sincronizacion, Virtualizacion, Clusters, Redundancia Administracion de Switch, Control de software malicioso, Administracion de Switch, Control de software malicioso, Radius, ldap, etc. Radius, ldap, etc.

Herramientas de Monitoreo

IPTRAF Zenoss Nagios Cacti NTOP Nesus Etherape Wireshark, etc.

De: LuisOdarIvnZambranoParedes