SEGURIDAD LGICA

SEGURIDAD INFORMTICA
Consiste en asegurar que los recursos del sistema de informacin de una organizacin sean utilizados de la manera que se decidi y que el acceso a la informacin all contenida, as como su modificacin, f f slo sea posible a las personas que se encuentren acreditadas y dentro de los lmites de su autorizacin.

M.Sc. Ing. Hernn Leonardo Torres Carrin

SEGURIDAD LGICA

SEGURIDAD INFORMTICA

M.Sc. Ing. Hernn Leonardo Torres Carrin

SEGURIDAD LGICA

NORMA ISO
ISO IRAM IEC 17799 - Tecnologa de la ISO-IRAM-IEC Informacin Tcnicas de Seguridad Cdigo de Prctica para la Administracin de la Seguridad de la Informacin.
Es un estndar para la seguridad de la informacin publicado por primera vez por ISO/IEC 17799:2000 en el ao 2000, luego de un periodo de revisin el estndar se public en el ao 2005 para l cual f d lo l fue denominado ISO/IEC 17799 2005 i d 17799:2005.

M.Sc. Ing. Hernn Leonardo Torres Carrin

SEGURIDAD LGICA

ISO/IEC 17799:2005
L seguridad d l I f La id d de la Informacin se d fi en el i define l estndar como la preservacin de la..

M.Sc. Ing. Hernn Leonardo Torres Carrin

SEGURIDAD LGICA

ISO/IEC 17799:2005
La versin de 2005 del estndar incluye las siguientes once
secciones principales:
Poltica de seguridad. Aspectos organizativos para la seguridad. Clasificacin y control de activos. Seguridad ligada al personal. Seguridad fsica y del entorno. Gestin de comunicaciones y operaciones. Control de accesos. Desarrollo y mantenimiento de sistemas. Gestin de incidentes de seguridad de la informacin. Gestin de continuidad de negocio. Conformidad.
M.Sc. Ing. Hernn Leonardo Torres Carrin

SEGURIDAD LGICA

NORMA ISO
ISO/IEC 27000 - Tecnologa de la Informacin Tcnicas de Seguridad La Seguridad de la Informacin de Gestin de Sistemas Fundamentos y Vocabulario.
Es un conjunto de estndares desarrollados por ISO e IEC que s u co ju to est da es desa o ados po SO C proporcionan un marco de gestin de la seguridad de la informacin utilizable por cualquier tipo de organizacin, pblica o privada, grande o pequea. p g p q La serie ISO/IEC 27000 est formado por algunas normas que van desde (27000 a 27019 y de 27030 a 27044) y que indican p g p g cmo puede una organizacin implantar un sistema de gestin de seguridad de la informacin (SGSI).
M.Sc. Ing. Hernn Leonardo Torres Carrin

SEGURIDAD LGICA
ISO/IEC 27001: Tecnologa de la informacin g p Tcnicas de seguridad - Especificacin de un Sistema de Gestin de Seguridad de la Informacin.
Publicada el 15 de Octubre de 2005, es la certificacin que deben obtener las organizaciones Esta norma especifica los organizaciones. requisitos para la implantacin del SGSI. Es la norma ms importante de la familia. Adopta un enfoque de gestin de riesgos y promueve la mejora continua de los procesos. g p j p

ISO / IEC 27002: Tecnologa de la informacin

Tcnicas de seguridad - Cdigo de Prctica para la Gestin de Seguridad de la Informacin
Desde el 1 de Julio de 2007, es el nuevo nombre de ISO 17799:2005, manteniendo 2005 como ao de edicin. Es una gua d b de buenas prcticas que d ti describe l objetivos d control y ib los bj ti de t l controles recomendables en cuanto a seguridad de la informacin. No es certificable. M.Sc. Ing. Hernn Leonardo
Torres Carrin

SEGURIDAD LGICA
ISO / IEC 27003: Tecnologa de la informacin g p Tcnicas de Seguridad Gua de implementacin del sistema de administracin y seguridad de la informacin.
Publicada el 01 de Febrero de 2010 No es certificable Es una 2010. certificable. gua que se centra en los aspectos crticos necesarios para el diseo e implementacin con xito de un SGSI

ISO / IEC 27004: Tecnologa de la informacin Tcnicas de Seguridad Administracin de medidas de seguridad de la informacin.
Publicada el 7 de Diciembre de 2009. No certificable. Es una gua para el desarrollo y utilizacin de mtricas y tcnicas de medida aplicables para determinar la eficacia de un SGSI
M.Sc. Ing. Hernn Leonardo Torres Carrin

SEGURIDAD LGICA
ISO / IEC 27005: Tecnologa de la informacin g g Tcnicas de Seguridad Administracin de riesgos en la seguridad de la informacin
Publicada el 4 de Junio de 2008. No certificable. Proporciona directrices para la gestin del riesgo en la seguridad de la informacin.

ISO / IEC 27006: Tecnologa de la informacin

Tcnicas de Seguridad - Requisitos para la prestacin de auditora y certificacin de sistemas de gestin de seguridad de la informacin.
Publicada el 1 de Marzo de 2007. Especifica los requisitos para la acreditacin de entidades de auditora y certificacin de sistemas de gestin de seguridad de la informacin.
M.Sc. Ing. Hernn Leonardo Torres Carrin

SEGURIDAD LGICA
ISO/IEC 27033: Tecnologa de la informacin
g g Tcnicas de Seguridad - Seguridad en Redes.
Norma dedicada a la seguridad en redes, consistente en 7 partes: 27033-1, conceptos generales (publicada el 10 de Diciembre de 2009); 27033-2, directrices de diseo e ); , implementacin de seguridad en redes (prevista para 2011); 27033-3, escenarios de redes de referencia (prevista para 2011); 27033-4, aseguramiento de las comunicaciones entre redes mediante gateways de seguridad (prevista para 2012); 27033-5, aseguramiento de comunicaciones mediante VPNs (prevista para 2012); 27033-6, convergencia IP (prevista para 2012); 27033-7, d inalmbricas ( 2012) 27033 7 redes i l b i (prevista para 2012) i t 2012).

SEGURIDAD LGICA

MECANISMOS DE PREVENCIN
Cortafuegos C t f Polticas de Seguridad Informtica Zonas Desmilitarizadas (DMZ) Autenticacn, Autorizacin y Auditora (AAA) Listas de Control de Acceso(ACL) Red de rea Local Virtual (VLAN) RADIUS Red Privada Virtual (VPN) Certificados y Firmas Digitales
M.Sc. Ing. Hernn Leonardo Torres Carrin

SEGURIDAD LGICA
Cortafuegos

M.Sc. Ing. Hernn Leonardo Torres Carrin

DESARROLLO DE LA SOLUCIN

Diseo de la Seguridad Informtica Manejada

desde el Data Center
Seguridad en los Servidores
Para la seguridad en los servidores se planifica la implementacin de una DMZ la misma que nos ayudar a proteger los servidores pblicos de ataques de la extranet e intranet , adems de proteger a esta ltima. Los servidores que ofrecen servicios al exterior de la red se encuentran conectados directamente al Router y no al Firewall que protege la red interna, en este caso toda la seguridad de los servidores dependen de s mismos

M.Sc. Ing. Hernn Leonardo Torres Carrin

SEGURIDAD EN LOS SERVIDORES

DMZ con un solo Firewall

M.Sc. Ing. Hernn Leonardo Torres Carrin

SEGURIDAD EN LOS SERVIDORES

DMZ con doble Firewall

M.Sc. Ing. Hernn Leonardo Torres Carrin

SEGURIDAD EN LOS SERVIDORES

Planteamiento de la mejor solucin

M.Sc. Ing. Hernn Leonardo Torres Carrin

UTILIZACIN DE VLAN
La idea de una VLAN es que a pesar de tener diferentes
p q p dispositivos conectados en diferentes equipos de interconexin, pertenecen a una misma Red de rea Local.
Asla los dominios de colisin por cada uno de los puertos. Dedica el ancho de banda a cada uno de los puertos y, por lo tanto, a cada computadora. d t d Proporciona seguridad, ya que si se quiere conectar a otro puerto del switch que no sea el suyo, no va a poder realizarlo, debido a que se configuraron cierta cantidad de puertos para cada VLAN VLAN.

M.Sc. Ing. Hernn Leonardo Torres Carrin

UTILIZACIN DE VLAN
Controla ms la administracin de las direcciones IP. Por cada VLAN se
recomienda asignar un bloque de IPs, independiente uno de otro, as ya no se podr configurar por parte del usuario cualquier direccin IP en su mquina y se evitar la repeticin de direcciones IP en la LAN. No importa en donde nos encontremos conectados dentro del edificio de oficinas, si estamos configurados en una VLAN, nuestros compaeros de , g , p rea, direccin, sistemas, administrativos, etc., estarn conectados dentro de la misma VLAN, y quienes se encuentren en otro edificio, podrn vernos como una Red de rea Local independiente a las dems.

En el caso de una organizacin se utilizara VLANs POR DHCP se

asignar un bloque de direcciones para cada VLAN y se las administrar a t d un servidor DHCP por l que al momento d i i t travs de id DHCP, lo l t de encender cada computador automticamente lo reconoce el DHCP y le asigna una direccin IP de acuerdo a la VLAN que corresponda. corresponda
M.Sc. Ing. Hernn Leonardo Torres Carrin

PROPUESTA DE VLANs
VLANs en el AEIRNNR, FEUE y ADMINISTRACIN
CENTRAL

UTILIZACIN DE ACLs
Una ACL es una coleccin secuencial de sentencias de
p permiso o rechazo, estas nos permiten limitar el acceso , p desde y hacia dispositivos a travs de un filtrado de paquetes. En el Caso de los Ro ter y S itch de capa 3 estos Router Switch proporcionan capacidades de filtrado de trfico a travs de listas de control de acceso (ACL), las mismas que son listas de instrucciones que se aplican a una interfaz del Router. Estas listas indican al Router que tipo de paquetes se deben aceptar y qu tipo de paquetes se deben denegar

M.Sc. Ing. Hernn Leonardo Torres Carrin

UTILIZACIN DE ACLs
Es muy importante la utilizacin de ACL en la red de la
g , p g organizacin, a continuacin se explican algunas razones para poderlas implementar:
Mejorar el trfico y el rendimiento de la red. Brindar control de flujo de trfico trfico. Proporcionar un nivel bsico de seguridad para el acceso a la red. S d b d idi qu ti d t fi se envan o bl Se debe decidir tipo de trfico bloquean en l las interfaces del dispositivo de capa 3.

En el caso de Linux por ejemplo, al manejar un Firewall

en Linux utilizando IPTABLE el proxy de ese cortafuego ser en Linux mismo utilizando una herramienta que se llama Squid, que a la final sirve para establecer una Lista de Control de Acceso
M.Sc. Ing. Hernn Leonardo Torres Carrin

UTILIZACIN DE ACLs
Evitar que los usuarios de la red se conecten a Internet
p a partir de cierta hora. Que no puedan hacer uso de internet el fin de semana. Que no se puedan descargar archivos con ciertas extensiones. Que no puedan acceder a ciertas pginas de internet. Que no se puedan conectar a internet ciertos departamentos de la institucin

M.Sc. Ing. Hernn Leonardo Torres Carrin

UTILIZACIN DE VPNs
Red Privada Virtual.

UTILIZACIN DE VPNs

Una de las soluciones ms comunes en las

organizaciones es utilizar Hardware para establecer la VPN por ejemplo (Router to Router) pero el consto es mayor, por lo tanto se )p y ,p aconseja que se siga utilizando OpenVPN con la diferencia que no lo instalaramos en el Firewall sino ms bi i bien utilizaramos un servidor solo ili id l para VPN utilizando OpenVPN el mismo que estara conectado a la DMZ y saldramos a travs del Router del ISP
M.Sc. Ing. Hernn Leonardo Torres Carrin

PROPUESTA DE VPN

PROTOCOLO (AAA) A TRAVS DE RADIUS

Significa (Autenticacin, Autorizacin y Auditora), este

p protocolo o conjunto de protocolos se puede j p p implementar en redes cableadas e inalmbricas. La mejor propuesta que he analizado por lo que significa trabajar con soft are libre sera utilizar un ser idor software libre, tili ar n servidor RADIUS y un servidor LDAP (OpenLDAP) que contendr la informacin de los usuarios que se conectan a la red trabndolo a travs de perfiles. En el caso de la red cableada los switch que se utilicen tiene que soportar conexin mediante RADIUS es decir RADIUS, decir, autenticacin (CISCO 2960, 3560 y 4506). En el caso de la red inalmbrica el (AP) tiene que soportar RADIUS (Dlink 3200 o CISCO linksys)
M.Sc. Ing. Hernn Leonardo Torres Carrin

PROPUESTA RADIUS

Validacin por Usuario Contrasea.

El servidor RADIUS elegido es (freeradius) ms el servidor de bases de datos (OpenLDAP) son las herramientas necesarias para satisfacer los requerimientos de control de acceso por usuariocontrasea

PROPUESTA DE RED UTILIZANDO RADIUS

UTILIZACIN DE CERTIFICADOS Y FIRMAS DIGITALES

Certificados Digitales.-

los certificados digitales garantizan que dos computadoras que se comunican entre s puedan efectuar transacciones electrnicas con xito. La base de esta tecnologa reside en los cdigos secretos o en la encriptacin La encriptacin garantiza encriptacin. la confidencialidad, la integridad y la autenticidad de la informacin que se desea transmitir y que tiene vital importancia para la persona o empresa.

A t id d C tifi d Autoridades Certificadoras

M.Sc. Ing. Hernn Leonardo Torres Carrin

UTILIZACIN DE CERTIFICADOS Y FIRMAS DIGITALES

Firma Digital.-

Las firmas digitales son bloques de datos que han sido codificados con una llave secreta y que se pueden decodificar con una llave pblica; son utilizadas principalmente para verificar la autenticidad del mensaje o la de una llave pblica pblica. Es importante que la organizacin a travs de su Centro de Datos maneje transacciones electrnicas seguras, j g , para Suramrica se tiene algunas filiales a la empresa Verisign por ejemplo: en Brasil, Argentina y Chile; en esta ltima se tiene la empresa afiliada llamada E-Sign que da servicio a Chile, Per, Ecuador y Colombia, por lo que se tendra que hacer el contacto respectivo para saber cules son l b l los b beneficios y el costo d l fi i l t de los mismos. M.Sc. Ing. Hernn Leonardo
Torres Carrin

ESQUEMA DE SEGURIDAD INFORMTICA

M.Sc. Ing. Hernn Leonardo C

EQUIPAMIENTO

Switch Core

M.Sc. Ing. Hernn Leonardo Torres Carrin

GRACIAS
Espero haber aportado a travs de esta materia en sus conocimientos
M.Sc. Ing. Hernn Leonardo Torres Carrin