3
Rafael.Ausejo@dvc.es
Consultor de Seguridad
2003 por Rafael Ausejo Prieto. Los logotipos de DAVINCI y el Colegio Oficial de Ingenieros son usados con permiso. Esta versin es una modificacin de la presentacin original usada en el FIST 2003.
29 diapositivas
ndice
Introduccin a las Auditoras de Seguridad Dimensionamiento de la Auditora La metodologa OSSTMM Seguridad en las aplicaciones 2 El informe de Auditora Para qu sirve la Auditora Conclusiones
3
Comprobacin de Seguridad
coste
Anlisis de Vulnerabilidades
Fuente: OSSTMM
tiempo
Interna (Caja Blanca) Realizada en las instalaciones de ACME Se parte de un esquema de red Informacin proporcionada por el cliente
Externa (Caja Negra) Realizada de forma remota Se parte de un rango de IPs o de un dominio DNS Informacin desconocida
Interna (Caja Blanca) Realizada en las instalaciones del cliente Se parte de un esquema de red Informacin proporcionada por el cliente
Externa (Caja Negra) Realizado de forma remota Se parte de un rango de IPs o de un dominio DNS Informacin desconocida
Solucin:
Auditora de Seguridad Internet: fase I OSSTMM
Auditora de Seguridad Internet Externa (Caja Negra) Realizada de forma remota Se parte de un rango de IPs o de un dominio DNS Informacin desconocida Cobertura: deteccin remota de vulnerabilidades Se realiza en dos o tres semanas Se sigue la metodologa OSSTMM
Dimensionamiento de la Auditora
El tiempo es dinero
Cobertura propuesta Tiempo y recursos necesarios Presupuesto final
El dinero es tiempo
Presupuesto inicial Tiempo y recursos asignados Cobertura alcanzable
Dimensionamiento de la Auditora
Dimensionamiento de la Auditora
Batera de preguntas
Cuntos son los dispositivos a Auditar? Ej: 100 dispositivos fsicos con 150 IPs en la misma clase C Cul es la cobertura necesaria? Ej: Determinacin y anlisis de vulnerabilidades de cada uno Cul es el tiempo necesario? Ej: Tres semanas SE DETERMINA EL TIEMPO NECESARIO Y EL NMERO DE RECURSOS 10
Dimensionamiento de la Auditora
ACME: Seguimiento de la Auditora de Seguridad
Da Lunes Martes Mircoles Jueves Viernes Sbado Domingo Lunes Martes Mircoles Jueves Viernes Sbado Domingo Lunes Martes Mircoles Jueves Viernes Sbado Domingo Lunes Martes Mircoles Fecha 14 de junio de 2004 15 de junio de 2004 16 de junio de 2004 17 de junio de 2004 18 de junio de 2004 19 de junio de 2004 20 de junio de 2004 21 de junio de 2004 22 de junio de 2004 23 de junio de 2004 24 de junio de 2004 25 de junio de 2004 26 de junio de 2004 27 de junio de 2004 28 de junio de 2004 29 de julio de 2004 30 de julio de 2004 1 de julio de 2004 2 de julio de 2004 3 de julio de 2004 4 de julio de 2004 Descripcin de tareas (Consultor 1) Recopilacin de informacin y reunin inicial Bsqueda de informacin pblica Bsqueda DNSs, traceroutes, AS Numbers, etc. Exploracin de red y escaneo "bulk" (nmap) Exploracin de red y escaneo "bulk" (nmap) Descripcin de tareas (Jefe de Proyecto) Recopilacin, Project y reunin Documentacin inicial Horas Horas Horas C1 JP Totales 8 8 16 8 8 16 8 0 8 8 0 8 8 2 10
Total Semana Anlisis de Datos Determinacin de SSOO y puertos TCP/UDP Determinacin de SSOO y puertos TCP/UDP Comprobacin manual de sistemas y servicios Comprobacin manual de sistemas y servicios Anlisis de Datos Documentacin
40 8 8 8 8 8
18 8 8 0 0 2
58 16 16 8 8 10
11
Total Semana Mapa de Red Anlisis de vulnerabilidades "bulk" (nessus) Anlisis de vulnerabilidades "bulk" (nessus) Comprobacin manual de vulnerabilidades Eliminacin de falsos positivos Anlisis de Datos Documentacin 40 8 8 8 8 8 18 8 8 0 0 4 58 16 16 8 8 12
Anlisis de Datos
Total Semana 5 de julio de 2004 Documentacin 6 de julio de 2004 Documentacin 7 de julio de 2004 Reunin final y Entrega Documentacin Documentacin Reunin Total Semana Total Auditora
40 8 8 8 24 144
20 8 8 8 24 80
60 16 16 16 48 224
28 das
Dimensionamiento de la Auditora
Problemtica
Las tareas de gestin de proyecto consumen tiempo Los escaneos consumen tiempo y necesitan de equipos porttiles
El Jefe de Proyecto debe ser real, no virtual, aunque est al 33% en MS Project Deben asignarse equipos porttiles y fomentar la simultaneidad de tareas
12
Lo que no est analizado en Documentar todo lo que se el informe no existe haga y poner una fecha de congelacin de escaneos
La metodologa OSSTMM
Metodologa OSSTMM
13
La metodologa OSSTMM
14
La metodologa OSSTMM
15
La metodologa OSSTMM
16
La metodologa OSSTMM
Anlisis de la red
Objetivo Se realiza un anlisis preliminar, con el fin de delimitar especficamente el mbito de actuacin y localizar las mquinas que se van a auditar.
Resultados
Nombres de Dominio Nombres de Servidores Direcciones IP Mapa de Red Informacin administrativa del Proveedor de Servicios Propietarios y administradores de las mquinas Posibles limitaciones en las pruebas de la Auditora
17
La metodologa OSSTMM
Escaneo de puertos
Objetivo El escaneo de puertos es una prueba de los puertos TCP y UDP en la capa de transporte, as como servicios de red encapsulados en ellos. Se utiliza para enumerar puertos abiertos que permitirn utilizar servicios que logren atravesar el cortafuegos y acceder a la red interna.
Resultados
Puertos abiertos, cerrados y filtrados Direcciones IP de sistemas activos Lista de tneles descubiertos y encapsulacin de protocolos Lista de protocolos de enrutamiento soportados descubiertos. Servicios activos Mapa de red
18
La metodologa OSSTMM
Deteccin Remota de Sistemas Operativos
Objetivo Se realiza una prueba activa de la respuesta a determinadas solicitudes de conexin que puedan identificar el Sistema Operativo remoto utilizado y el nivel de versin.
Resultados
19
La metodologa OSSTMM
Prueba de Servicios
Objetivo Se examinan de forma activa las aplicaciones que estn escuchando en los puertos abiertos. En ciertos casos, una misma aplicacin puede abrir distintos puertos para servicios diferentes.
Resultados
20
La metodologa OSSTMM
Anlisis de Vulnerabilidades
Objetivo Se realizar la bsqueda y anlisis bsico de las vulnerabilidades de los distintos sistemas, usando herramientas automticas y procedimientos manuales para determinar agujeros de seguridad en aplicaciones y en versiones de parches.
Resultados
Lista de vulnerabilidades del sistema Tipos de aplicacin o servicio por vulnerabilidad Descripcin de cada vulnerabilidad y forma de explotarla Recomendaciones de niveles de parche de sistemas y aplicaciones que corrigen la vulnerabilidad
21
22
23
El Informe de Auditora
El contenido del Informe de Auditora es crtico para el xito de la misma 1. Sumario Ejecutivo (Introduccin, Problemas encontrados y Conclusin) El proceso de Auditora de Seguridad (Introduccin, Objeto, mbito, Objetivo, Perodo, Metodologa, Acuerdo de Confidencialidad) Resultados del Test (Recopilacin inicial de datos, Exploracin de Red, Perfil de la Red, Identificacin de Sistemas, Informacin sobre Servicios, Identificacin y Anlisis de Vulnerabilidades) Resumen (Conclusiones y Recomendaciones) Apndices Glosario
2.
3.
24
4. 5. 6.
Justificacin de las inversiones a realizar Descubrimiento de nuevas amenazas 25 Adecuacin a la Poltica de Seguridad Adecuacin a la legislacin vigente (LOPD) Certificacin en estndares (ISO 900X)
ISO/IEC/UNE 717799-1:2002 1 Poltica de Seguridad 2 Organizacin de la Seguridad 3 Organizacin y Control de Activos 4 Seguridad Ligada al Personal 5 Seguridad Fsica y del Entorno 6 Comunicaciones y Gestin de Explotacin 7 Control de Acceso al Sistema 8 Desarrollo y Mantenimiento 9 Plan de Continuidad y Mantenimiento 10 Conformidad Legal y a la Poltica de Seguridad
26
El Plan de Seguridad muestra de forma cualitativa los puntos ms prioritarios en que es necesario invertir en Seguridad de la Informacin.
Dnde invertir?
Seguridad perimetral (cortafuegos, routers) Proteccin contra intrusiones (IDS, IPS) Proteccin antivirus y filtrado de contenidos Securizacin del acceso (autenticacin, SSO, PKI) Securizacin de datos (integridad, cifrado VPN) Securizacin de sistemas (hardening, mantenimientos) Adecuacin legal y a la Poltica de Seguridad 27
La auditora y el anlisis de riesgos justifican con mtricas, cuales son las prioridades de inversin.
Conclusiones
El peligro de las vulnerabilidades es que existe la amenaza de que sean explotadas Una gestin inadecuada del proyecto puede hacer fracasar al mejor equipo de Auditores de Seguridad
28
Toda auditora de seguridad debera complementarse con un anlisis de riesgos y una mtrica para medir el impacto
Gracias
29
DAVINCI Consulting Tecnolgico, s.a.u. Parque Empresarial Alvento. Va de los Poblados, 1 Edificio A 6 planta 28033 Madrid Tlf: 902 464 546 htttp://www.dvc.es Fax: 91 561 3175