Seguridad 101Daniel Rodríguez@dvirus

| Seguridad 101

Capítulo 2 Tipos y Métodos de Control

| Seguridad 101

Tipos de control básicosModelos de control de AccesoControles de seguridad físicaControles de acceso lógico

| Seguridad 101

Entendiendo los tipos de control básicos

Riesgo

Controles

● Es la probabilidad de que una amenaza se aproveche de una vulnerabilidad lo cual genera una pérdida.

● Los controles se refieren a contramedidas o salvaguardas

| Seguridad 101

● Publicaciones Especiales - series 800● An Introduction to Computer Security: The NIST Handbook

- SP 800-12● Generally Accepted Principles and Practices for Securing

Information Technology Systems - SP 800-14● Guide for Conducting Risk Assessments - SP 800-30● Guidelines on Securing Public Web Servers - SP 800-44 ● Security and Privacy Controls for Federal Information

Systems and Organizations - SP 800-53 Rev. 4

| Seguridad 101

http://csrc.nist.gov/publications/PubsSPs.html

Controles Técnicos● Un control técnico es en el cual se utiliza la tecnología

para reducir vulnerabilidades (Antivirus, Firewalls, ID’s, NAC’s, etc…)

| Seguridad 101

Controles de Gestión● Son controles generalmente de tipo administrativo como

por ejemplo:○ Gestión de riesgo○ Gestión de Vulnerabilidades○ Pruebas de Intrusión

| Seguridad 101

Controles Operacionales

● Los controles operacionales ayudan a asegurar que las operaciones desarrolladas día a día en las organizaciones cumplan con un plan de seguridad como por ejemplo:

○ Entrenamiento en seguridad○ Gestión de la configuración○ Planes de contingencia○ Protección de medios○ Protección física y del entorno

| Seguridad 101

Controles basados en funciones

● Preventivo○ Previene que un incidente ocurra

■ Guardias de seguridad■ Control de cambios■ Política de desactivación de cuentas■ Hardening de sistemas

● Detectivo○ Detecta cuando una vulnerabilidad ha sido explotada

■ Auditorías de seguridad■ Vigilancia sistemas de vídeo (CCTV)

● Correctivo○ Se maneja el impacto una vez se ha producido un

incidente■ Sistemas de backup y recuperación de

desastres■ Sistemas de detección de intrusos

| Seguridad 101

| Seguridad 101

Modelos de control de Acceso

Terminología● Sujetos:

○ Usuarios o grupos que pueden acceder a un objeto.● Objetos:

○ Son elementos como archivos, carpetas, recursos compartidos, los cuales son accedidos por los sujetos.

| Seguridad 101

RBAC(Control de acceso basado

en Roles / Reglas)

● Role-based Access Control (RBAC)○ Usa roles para gestionar los permisos de usuario,

generalmente ○ Los usuarios son agrupados en roles

● Rule-based Access Control (RBAC)○ Las reglas definen que está permitido○ Ejemplos:

■ Reglas de Firewall■ Control Parental■ Restricciones de tiempo

| Seguridad 101

DAC(Control de acceso

discrecional)

● Discretionary Access Control (DAC)○ En este modelo cada objeto tiene su propietario y el

propietario establece los permisos de acceso al objeto

○ Usado en sistemas operativos como Windows, Linux

SIDs - Identificadores de seguridad DACLs - Listas de control de acceso discrecionales

| Seguridad 101

MAC(Control de acceso

Obligatorio)

● Mandatory Access Control (MAC)○ Modelo más restrictivo ○ Los sujetos y objetos son clasificados por una alta

autoridad:■ Ultra secreto■ Secreto■ Confidencial

Un ejemplo de implementación de control MAC es el módulo de seguridad SELinux (Security-Enhanced Linux)

| Seguridad 101

| Seguridad 101

Controles de seguridad física

| Seguridad 101

Perímetro Edificio Áreas Restringidas

Gabinetes de Servidores y redes

Hardware

Límites● Perímetro

● Edificación

● Áreas de trabajo seguro

● Dispositivos de red y servidores

| Seguridad 101

Sistemas de Acceso en Puertas

● Puertas con código de bloqueo

● Tarjetas de proximidad

| Seguridad 101

Tarjetas de Identificación ● Proveen una confirmación visual de que la persona está

autorizada para el ingreso a cierta área.● Las tarjetas de identificación normalmente incluyen, el

nombre, una fotografía, el cargo e información que describa al sujeto.

| Seguridad 101

Piggybacking - Tailgating

● Piggybacking, es el caso en el que la persona con credenciales válidas es consciente de que está entrando otra persona con su autenticación tras de el.

● Tailgating, caso en el que la persona autenticada no sea consciente.

| Seguridad 101

ControlesPiggybacking /

Tailgating

● Tornos giratorios

● Puertas dobles

● Guardias de seguridad

● Cámaras de vigilancia (CCTV)

| Seguridad 101

Listas de Acceso Físico

● Listas de Acceso○ Especifica quién tiene permitido el acceso○ Reforzada por guardias

● Log○ Registran quién entra y quién sale○ Reforzado con video-vigilancia.

| Seguridad 101

Cámaras de vigilancia (CCTV)

● Grabar solo en áreas públicas

● Notificar a los empleados acerca de las grabaciones

● No grabar audio

● Sensores de Movimiento

| Seguridad 101

Seguros para hardware

● Control de menor costo

● No genera un registro de acceso

● Generalmente usados para prevenir el robo de portátiles.

| Seguridad 101

Barricadas

● Comunes en bases militares

● Prohibición de actividades comerciales

● Previenen de estacionamiento de vehículos cerca a las puertas (Bolardos)

.

| Seguridad 101

Metodología deEvaluación

● Alcance de la propiedad a evaluar o proteger

● Establecer puntos de ingreso y salida

● Medidas de seguridad existente

● Evaluación de propiedad física

● Evaluación de Riesgos.

| Seguridad 101

Metodología deEvaluación

● Alto nivel○ Centros de datos○ Oficinas ejecutivas○ Finanzas y Contabilidad

● Nivel Medio○ Entradas y salidas○ Recepción ○ Ascensores

● Bajo Nivel○ Áreas comunes○ Puestos de atención

.

| Seguridad 101

Consideraciones

● Requerimientos del negocio

● Requerimientos de salud ocupacional / industrial

● Requerimientos de cumplimiento.

| Seguridad 101

Consideraciones

● Cámaras○ Campo visual○ Redundancia○ Registro

● Puertas○ Tipo de cerraduras○ Multi-Factor de Autenticación○ Restricciones basadas en tiempo

.

| Seguridad 101

Diseño FísicoCentros de Datos

● El diseño protege contra amenazas ambientales como inundaciones, terremotos y tormentas?

● Ante un desastre el datacenter cuenta con personal y elementos para poder seguir operando?

○ Suministro de agua○ Suministro de energía○ Comida○ Telecomunicaciones○ Accesibilidad

● Está limitado el acceso físico únicamente a personal autorizado?

.

| Seguridad 101

Centros de DatosEstándares

● BICSI ○ Diseño e instalación de cableado

● IDCA○ Ubicación de centros de datos, estructuras y

aplicación

● NFPA○ Asociación del departamento de bomberos

● ANSI EIA TIA 942.

| Seguridad 101

Centros de DatosEstándares

| Seguridad 101

Tier 1 Basic Site Infrastructure

Tier 2 Redundant Site Infrastructure Capacity

Components

Tier 3Concurrently Maintainable Site

Infrastructure

Tier 4Tolerant Site Infrastructure

| Seguridad 101

El modelo de escalas (Tiered Model)

Consideraciones Ambientales

Temperatura Mínima 18° C

Temperatura Máxima 27° C

Humedad Mínima 40% humedad relativa y 5.5°C punto de rocío

Humedad Máxima 60% humedad relativa y 15°C punto de rocío.

| Seguridad 101

| Seguridad 101

Controles de acceso lógico

Menor Privilegio

● El principio de Menor Privilegio establece que una persona o proceso no debe tener acceso a información que no necesita para desarrollar su trabajo.

● Incluir en este principio a los administradores

● Emplear la política Denegar Todo/Permitir por Excepción

| Seguridad 101

Listas de control de acceso (ACLs)

● Las listas de control de acceso son usadas para establecer de forma específica que está permitido y que nó está permitido ya sea basado en permisos o en tráfico.

● Generalmente se opera usando una política de denegación de forma implicita y con base en ella se crean reglas permisivas según los requerimientos.

| Seguridad 101

Políticas de Grupo

● Las políticas de grupo se encuentran normalmente configuradas en dominios Windows para la gestión de múltiples usuarios y equipos de un dominio, a través de GPO Group Policy Objects .

● Las políticas de seguridad afectan a todos los objetos● Se convierte en un punto central de administración.

| Seguridad 101

Política de contraseñas

● Garantizar el historial de contraseñas● Edad máxima de la contraseña● Edad mínima de la contraseña● Longitud mínima de la contraseña● Complejidad de la contraseña● Cifrado de la contraseña

| Seguridad 101

Política de Dispositivos ● Deshabilitar autorun

● Prevenir la conexión o instalación de dispositivos más pequeños como memorias USB, reproductores MP3

● Detectar el uso de dispositivos más pequeños

| Seguridad 101

Política de Dispositivos

| Seguridad 101

Gestión de Cuentas

| Seguridad 101

● La gestión de cuentas comprende la creación, eliminación y desactivación de cuentas de usuario.

○ Desactivar cuentas inactivas○ Desactivar cuentas por terminacion contractual○ Desactivar por ausencia○ Restricciones por tiempo○ Monitoreo y auditoría

● Centralización de gestión de cuentas○ Todas las cuentas son almacenadas en un

repositorio central ej: LDAP

● Gestión descentralizada de cuentas○ Credenciales almacenadas en cada estación de

trabajo de forma local