Módulo 1.-Fundamentos, Políticas y Procedimientos Esquemas ...

1

Módulo 1.- Fundamentos, Políticas y Procedimientos

Esquemas y Modelos de

Seguridad

(Implementación)

Gustavo A. Santana Torrellas

accenture

José de Jesús Vázquez Gómez

Banco de México


2


Elección de mecanismos

Mecanismos de seguridad normalmente adoptados:– Antivirus y revisión de contenidos– Firewalls – Detección de Intrusos– Evaluacón y supresión de vulnerabilidades– VPN, IPSec– Forenses informáticos

Mecanismos normalmente bajo estudio:– Criptografía, PKI (Public Key Infrastructure)– Tarjetas inteligentes y Biometría– Pruebas de penetración éticas– Nuevas tecnologías en firewalls


InternetInternet

Servicios

ClienteClienteremoto

Cliente

Zona desmilitarizada

Red interna

Firewall

Medidas prácticas

3


InternetInternet

Medidas prácticas


Cliente


Red interna

Firewall


InternetInternet

Medidas prácticas


Cliente


Red interna

Firewall

4


Perímetro

• Medidas contra accesos desde Internet

• Firewalls

• Ruteadores selectivos

• Detectores de intrusos

• Protección de red interna y zona neutral


InternetInternet

Medidas prácticas


Cliente


Red interna

Web hosting

Firewall

5


Zona neutral

• Monitoreo de servicios públicos

• Fortalecimiento de servicios públicos

• Probable replicación de servicios al cliente

• Web hosting como alternativa

• Políticas de comunicación y operación con servidores

• Flujo de datos

• Cifrado


InternetInternet

Medidas prácticas


Cliente


Red interna

Web hosting

Red

Producción

Red

Usuarios

Firewall

Servidor

6


Red interna

• División entre redes de usuarios comunes y redes de servidores en producción

• Monitoreo de servidores

• Fortalecimiento de servidores

• Firewalls personales

• Cifrado de datos y fortalecimiento de los esquemas de autenticación.

• Cultura


Correo seguro

7


La implementación (1)

InternetInternet


ClienteDMZ

Red interna

wwwe-mailDNS

(1) Firewalls

(3) Agentes detectoresde intrusos y de vulnerabilidades

(6) Acceso remoto

(7) Pruebas de penetraciónexternas

(5)VPN

(4) Cifradolocal y Fw

(2)Antivirus

Servidor(2) Antivirus

(0) Administración de la seguridad


La implementación (2)

InternetInternet


ClienteDMZ

Red interna

wwwe-mailDNS

(4) Firewalls

(2y6) Agentes detectoresde intrusos y de vulnerabilidades

(8) Acceso remoto

(9) Pruebas de penetraciónexternas

(7)VPN

(3) Cifradolocal y Fw

(6)Antivirus

Servidor(1) Antivirus

(0) Administración de la seguridad(5) Creación de DMZ

8


NIP: ART%.#3b

Contraseña: Panamá

Biométricos

Smart Card

Contraseñas dearranque, servicioso aplicaciones

Tokens

Fortalecimiento de la autenticación


Banco del

cliente

Banco del

proveedor

Cliente Proveedor

RetiroDepósito

Pago efectivo

Pago real

cp8

IPSec, SSL, SET ?

9


PKI

Documento

electrónico

Huella

firma

Encripción

CA


Confidencialidad

Integridad

Disponibilidad

Pretty Good Privacy

Backups, Redundancia, Plan de contingencia, etc.

(PGP) , DES, RSA, IDEA, AES

Tripwire y Message Digest

(MD5), PGP (Huella Digital).

Autenticación Kerberos, Firma digital, Directorio

Firewalls, IDS, Redundancia

Continuidad de operación

Medidas

10


Criptosistemas

• Data Encryption Standard

• Advanced Encryption Standard

• Rivest Shamir y Adleman

• Message Digest Algorithm

• PKI


La Arquitectura ISO/OSI 7498

FísicaCarateriza interfaz física entre dispositivos y reglas mediante las cuales se envian bits

de un lugar a otro: cubre aspectos mecánicos, eléctricos, funcionales y procedurales.

EnlaceTransforma los servicios de transmisión en un servicio sin errores; segmenta la

información en secuencia de tramas y procesa acuses de recibo; su retransmisión;

sincroniza velocidad de proceso entre entidades

RedControla la operación de la subred; ruteo de paquetes, estático o dinámico; control de

flujo de congestion; control de tarifas y costos de comunicación, interfaz a otras redes.

TransporteCapa Fuente-Destino, extremo a extremo; provee servicios de comunicación: envio

aislado o en secuencia; control de flujo extremo a extremo; establecimiento y

terminación de cada sesión de transporte.

Sesión Provee mecanismos para establecer diálogos entre aplicaciones; servicios como

duplex, half duplex, simplex; recuperación como el uso de checkpoints, etc. .

PresentaciónSíntaxis de los datos que intercambian las entidades de aplicación; ayuda en la

selección y modificaciones posteriores del formato y representación de datos;

compresión y descompresión de datos.

AplicaciónProvee los medios para que los programas de aplicación accesen el ambiente OSI,

por ejemplo: protocolos de transferencia de archivos, correo electrónico y protocolos

de autenticación.

11


ISO 7498-2

• El anexo 2 de la Norma 7498 “Modelo de Referencia OSI”.

• Define el concepto de arquitectura de seguridad.

• Los componentes principales son los servicios y los mecanismos de seguridad, así como su ubicación en la arquitectura.


ISO 7498-2

Audit

&

Alert

Mgt

Policy

Management

Object

Management

Services

Management

Mechanisms

Management

Mechanisms

Objects

Services

Digital

Signature

Identification &

Authentication

Confidentiality

Integrity

Encript/

Decript

Access

Control

Non

Repudia

tion

Entity

Authentication

Message

Authentication

Modification

Detection

ACLsLabels

Audit

Events

Programs Passwords

Groups

User ids

Encription

Keys

Privileges

ISO 7498-2

12


YY

YY

YY

YY

YY

YY

YY

YY

YY

YY

YY

YY

YY

YY

YY

YY

Authentication

Access Control

Data

Confidenciality

Data

Integrity

Non-Repudiation

Services

Layer

YY

YY

YY

YY

YY

YY

YY

YY

YY

YY

YY

YY

YY

YY

YY

YY

YY

YY

YY

YY

YY

YY

YY

YY

YY

YY

YY

YY

YY

YY

YY

YY

YY

YY

YY

YY

YY

YY

YY

YY

YY

YY

YY

YY

Peer Entity Authentication

Data Origin Authentication

Access Control Services

Connection Confidentiality

Conectionless Confidentiality

Selective Field Confidentiality

Traffic Flow Confidentiality

Connection Integrity with Recovery

Connection Integrity without Recovery

Selective Field Connection integrity

Connection integrity

Selective field Connectionless Integrity

Non-Repudiation Origin

Non-Repudiation Delivery

YY

YY

YY

YY

YY

YY

YY

YY

ISO/OSI Security Protocols 7498-2


YY

YY

YY

YY

YY

YY

YY

YY

YY

YY

YY

YY

YY

YY

YY

YY

YY

YY

YY

YY

YY

YY

YY

YY

YY

YY

YY

YY

YY

YY

YY

YY

YY

YY

YY

YY

YY

YY

YY

YY

YY

YY

YY

YY

YY

YY

YY

YY

Authentication

Access Control

Data

Confidenciality

Data

Integrity

Non-Repudiation

Services

Mechanisms

Peer Entity Authentication

Data Origin Authentication

Access Control Services

Connection Confidentiality

Conectionless Confidentiality

Selective Field Confidentiality

Traffic Flow Confidentiality

Connection Integrity with Recovery

Connection Integrity without Recovery

Selective Field Connection integrity

Connection integrity

Selective field Connectionless Integrity

Non-Repudiation Origin

Non-Repudiation Delivery

YY

YY

YY

YY

ISO/OSI Security Protocols 7498-2

YYYY

YYYY

YY

YY

YY

YY

YY

YY

YYYY

13


BS 7799

• British Standard Code of practice.

• Provee una base común para el desarrollo, implementación y medición de las prácticas de administración de la seguridad.


BS 7799Security

PolicyOrganizational

Security

Communications

& Operations

Management

Physical &

Environmental

Security

Business

Continuity

Management

Access

Control

Systems

Development

& Maintenance

Asset

Classification

& Control

Personnel

Security

Compliance

14


ISO – 17799 Código de la Práctica• Información de las Políticas de Seguridad

• Organización de la Seguridad

• Clasificación de Activos y su Control

• Seguridad del Personal

• Seguridad Física y Ambiental

• Administración de Comunicaciones y de las Operaciones

• Control de Acceso

• Desarrollo de Sistemas y su Mantenimiento

• Administración de la Continuidad del Negocio

• Cumplimiento


Organización de la Seguridad 4.1

Seguridad de Acceso de Terceros 4.2

Outsourcing 4.3Políticas de Seguridad 3.1

Requerimientos del Negocio de Control de Acceso 9.1

Administración de Acceso de Usuarios 9.2

Responsabilidades del Usuario 9.3

Control de Acceso a la Red 9.4

Control de Acceso al Sistema Operativo 9.5

Control de Acceso a las Aplicaciones 9.6

Sistema de Monitoreo de Acceso y Uso 9.7

Computación Móvil y Trabajo a distancia 9.8

Requerimientos de Seguridad del Sistema 10.1

Seguridad en los Sistemas de Aplicaciones 10.2

Controles Criptográficos 10.3

Seguridad en Archivos del Sistema 10.4

Seguridad en el desarrollo y soporte de procesos 10.5

Cumplimiento de Requerimientos Legales 12.1

Revisión de las Políticas de Seguridad y CumplimientoTécnico 12.2

Consideraciones de Auditoria de Sistemas 12.3

Aspectos de Planeación de Continuidad del Negocio 11.1

Procedimientos Operacionales y Responsabilidades 8.1

Planeación del Sistema y Aceptación 8.2

Protección de software malicioso 8.3

Housekeeping 8.4

Administración de la Red 8.5

Manejo de Media 8.6

Intercambio de Información y Software 8.7

Control de Activos 5.1

Clasificación de la Información 5.2

Seguridad en la definición del trabajo y recursos 6.1

Capacitación del Usuario 6.2

Respuesta a los incidentes de seguridad y mal funcionamiento 6.3

Áreas Seguras 7.1

Seguridad del Equipo 7.2

Controles Generales 7.3

Controles del BS 7799

15


Information Security Standards


Contents

• Overview of security standards

• Type of standards

• List of standards

• Quick insight to each standard

• Conclusions

16


Types of Standards

• Risk based

• Management

• Technical

• Lightweight

• Thorough

• System-wide focus

• Product focus

• Assurance based

• Prescriptive controls

• Checklists


Security Standards - Pick One!

• AS/NZS 4444 (BS 7799, ISO 17799)

• US TCSEC (Rainbow series)

• ITSEC (Europe)

• Common Criteria (ISO 15408)

• IETF Site Security Handbook (RFC 2196)

• Vendor handbooks and checklists, B.S.I., SANS

• Website certification services

• SAS-70

17


AS/NZS 4444

• Information Security Management Standard

• Part 1 - 1999

• Part 2 - 2000

• JANZAS

• Based BS7799

• BS7799 based on industry - Shell Oil etc


AS 4444

• Good internal security management

• Information Security Management System

• Explicit Target - trusted interconnection

• Catalogue of controls

• Recommended baselines

• Risk based assessments

18


AS4444 Controls

• Security policy

• Asset classification and

control

• Physical and environmental

security

• Access control

• Business continuity

management

• Security organisation

• Personnel security

• Communications and operations management

• Systems development and maintenance

• Compliance


TCSEC

• Trusted Computer Security Evaluation Criteria -1983

• US Government specification

• “Orange book” and “Raindbow series”

• Origin of C2, B1, B3 etc

• Functionality & Assurance tightly coupled

• Superceded by still in use

19


ITSEC

• Information Technology Security Evaluation Criteria -

1991

• UK, France, Germany & The Netherlands

• Used by Australia

• System and product use

• http://www.dsd.gov.au/infosec/aisep/EPL/prod.html

• Superceded but still in use


Common Criteria

• Common Criteria for Information Technology Security

Evaluation - 1999

• ISO 15408 (CC v 2.1)

• Merge of TCSEC & ITSEC

• Emerging standard

• Assurance level separate from functionality level

• Mutual recognition agreement - 13 countries

20


RFC 2196

• IETF Site Security Handbook

• Developed by CERT/CC of the CMU

• Response oriented

• Good practical advice

• Explicit about system hardening and patch installation


Vendor Checklists

• SGI

• Compaq/Digital

• Sun Microsystems (Blue prints)

• AIX (redbooks)

• Microsoft

• Apache

• Oracle

21


Vendor Checklists - Continued

• Explicit and specific

• Good for specification in designs or outsourcing

• “how to” oriented

• Sometimes too light


Third Party Vendor Checklists

• AusCERT/CERT Unix security checklist

• Windows NT 4 NSA/Trusted Systems checklist (http://www.trustedsystems.com)

• Windows 2000 security checklist (http://www.systemexperts.com)

• Books - e.g. Practical Unix and Internet Security -Spafford & Garfinkel

22


BSI

• Bundesamt fuer Sicherheit in der Informationstechnik

• http://www.bsi.de/gshb/english/etc/inhalt.htm

• IT Baseline Protection Manual

• More practical than other government attempts


SANS

• System and Network Security

• http://www.sans.org

• Advice on policy and controls

• training (& certification ?)

• Checklists

• Vulnerability service

23


Website Certification Programs

• TruSecure (ICSA/TruSecure)

• Web trust

• beTRUSTed (PwC)

• SysTrust (AICPA)

• Others?


SAS-70

• Statement on Auditing Standards

• American Institute of Certified Public Accountants

• Formal Audit Standard - background of financial audits

• Two levels

– Type I - inspections of key area

– Type II - testing of effective of controls

24


Miscellaneous

• IS 18 - Qld Government

• VISA - security for merchants sites

• NIST - FIPS 102

• US - HIPAA

• OECD - Guidelines for the Security of Information

Systems

• ISO 13335 - Guidelines for the Management of IT

Security


Miscellaneous - continued

• System Security Engineering Capability Maturity

Model (SSE-CMM) - International Systems Security

Engineering Association (ISSEA)

• CoBIT - “IT Governance” - AICPA

25


Conclusions

• Great choice of standards

• None are a full solution

Módulo 1.-Fundamentos, Políticas y Procedimientos Esquemas ...

Documents

Transcript of Módulo 1.-Fundamentos, Políticas y Procedimientos Esquemas ...