Auditoria de seguridad de accesos remotos

Jesús R. Ortega

Modulo 3 día 1

auditoria acceso remoto

Curso 1

Guillermo Obispo

Jesús R. Ortega

Jorge Navas

auditoria IT

M1

Jorge Navas Elorza

seguridad informática

M2

Guillermo Obispo San Román

acceso remoto

M3

Jesús Rodríguez Ortega

M3: agenda

día 1: tecnología: acceso remoto

día 2: normativa: lista de comprobación 1

día 4: trazabilidad: logs

día 3: normativa: lista de comprobación 2

evolución

Rápida revisión tecnológica

intro

del Mainframe al IoT

evolución: mainframes

intro

evolución: PC's

intro

módelo C/S

evolución: internet

intro

seguridad

intro

El Gobierno español gestiona diariamente una media de 2,8 ciberinci­dentes con un alto nivel de impacto.

seguridad

intro

El 58% de los ciberataques detectados estuvo dirigido a explotar vulnerabilidades e introducirse en los sistemas.

  • También tuvieron una presencia importante las infecciones por código dañino (troyanos, spyware o ransomware)
  • y las webs modificadas para minar criptomonedas.

seguridad

intro

previsión para 2023:

incremento del 60%

análisis de riesgos

intro

acceso remoto

tipologías de acceso remoto

tipología

acceso remoto

VPN

tipología

VPN

tipología

VPN

misma LAN

tipología

encriptado

VPN

misma LAN

tipología

VPN

misma LAN

tipología

confidencialidad

encriptado: SSL/TLS, IPsec, PPTP/L2TP,...

autentificación

extremos se conocen: similar, reforzada,...

perdida de rendimiento

acceso como "dentro de la oficina"

logon, latencia, velocidad, congestión, caídas, ...

acceso configurable

(ej.) internet: todo por la oficina, mixto,...

elemento crítico

escalable, disponible

cliente

gestionado, no gestionado (byod),...

integridad

los datos no pueden ser alterados en la transmisión

impide reenvíos

un atacante no podrá interceptar y retirar e insertar paquetes de datos

análisis de tráfico

extraer datos a través del análisis del tráfico

VPN: seguridad

a los elementos ya existentes...

tipología

servidor VPN

software, hardware | escalabilidad

autentificación

contraseña, doble factor, certificado

seg física, seg. perimetral, control de acceso, anti malware,...

acceso configurable

ej: uso de internet

cliente

gestionado, no gestionado (byod), móviles, terminales,...

ej: se permite usar discos usb...

encriptado

SSL/TLS, IPsec, PPTP/L2TP/..., ...

antivirus

virus, malware, endpoint management

ej: protocolos permitidos

VPN: seguridad

la misma LAN?

tipología

físico (señal, cobre, fibra,...)

enlace (ethernet, mac)

red (IP)

transporte (TCP)

sesión

presentación

aplicación

modelo OSI de la ISO

IP: 90 .166.127.186

lo gestiona ICANN

Europa: RIPE

el router de nuestra oficina con la ip+mask saca fuera o no el "paquete de datos"...es decir lo enruta

mask: 255.255.255.  0

subredes

direcciones públicas / privadas

IP v6: 0000:0000:0000:0000:0000:ffff:5aa6:7fba

IPv4: 4.294.967.296 (2   )

32

IPv6:3,4 10   (2   )

128

38

DNS

DHCP

TCP/IP

puertos... puerto 80 HTTP,..., 3389 RDP

NTP

VPN

VPN

pasapalabra

IPsec

SSL/TSL

PPTP/L2TP

Tunel encriptado

LAN

Ethernet

TCP/IP

DNS

DHCP

mac address

IP v6

puerto 80

NTP

acceso remoto

Escritorio remoto

tipología

Escritorio remoto

tipología

Microsoft RDP

Citrix ICA (HDX)

...

+VPN

Microsoft RDP

DEMO RDP

Microsoft

escritorio remoto

Microsoft RDP

VPN

VPN

DC1

DC2

TS

apps

DA

DNS

ficheros

Microsoft

escritorio remoto

Escritorio remoto

tipología

Citrix ICA

DEMO CITRIX

OTP

tipología

DEMO CITRIX

Citrix ICA

CITRIX

escritorio remoto

CITRIX

escritorio remoto

CITRIX

escritorio remoto

CITRIX

escritorio remoto

CITRIX

escritorio remoto

CITRIX vs RDP

escritorio remoto

caminan juntos

mayor funcionalidad

escritorios, aplicaciones, desktop

DA, LDAP, Radius, OpenID...

+ encriptación, seguridad,...

más caro

mejor rendimiento

escritorio remoto

VPN

pasapalabra

escritorio remoto

SSL/TSL 1x, 2x

PPTP/L2TP

certificado de servidor

LAN

ICA (HDX), RDP

DA

DNS

DC

SAN

OTP

acceso remoto

VDI

tipología

VDI

virtual desktop infrastructure

vitualización

VDI

generar máquinas sólo con sw a imagen y semejanza de las tangibles y reales

vitualización

VDI

hipervisor: sw de virtualización

CPU, RAM, Discos, Red, USB, Pantalla, Teclado, Ratón, ...

vitualización

VDI

vitualización

VDI

vitualización

VDI

VMWare ESX

DEMO

virtualización

VDI

Hipervisores: VMWare, AWS,  Microsoft/Azure, Linux, Xen/Citrix

virtualización

VDI

Las licencias de los SO y aplicaciones instaladas en las VM...son de pago

Te da disponibilidad lógica no física...

Te da mucha flexibilidad

Servidores por "rol"....no un servidor para todos los "roles"

Copias de seguridad instantáneas...(snapshots)

Hay máquinas virtuales de "todo"...

...

Desktop as a Service

DaaS

VDI

es lo mismo que la VDI...pero se lleva la infraestructura de virtualización y de "virtual desktops" a la nube

En su nube se lleva toda la tecnología de VD

Las máquinas virtuales pueden estar en esa misma nube o en otra

Si fuera necesario y para servir aplicaciones "on premise" del cliente se usan equipos con un "rol" especial que permite esta conexión con el cliente (lo denominan "controller")

Modelo de negocio: subscripción

Mercado emergente (además de Citrix, Azure, VMware, AWS,..+++)

virtualización

VDI

Una evolución....contenedores

se virtualizan servicios o aplicaciones.... no sistemas operativos

más eficiente y susceptible de ser más seguro

VDI

VDI

pasapalabra

DaaS

máquina virtual

hipervisor

on premise

Azure, AWS, VMWare,...

rol de servidor

switch

firewall

Docker

ids/ips

snapshot

contenedor

acceso remoto

IaaS /PaaS

tipología

IaaS

Infrastructure as a Service

acceso remoto

IaaS

Infrastructure as a Service

acceso remoto

consiste en "sacar" de las instalaciones locales toda la infraestructura de sistemas (servidores, dispositivos de red y comunicaciones,...) y llevarlas a la nube

IaaS

Pasos previos...

acceso remoto

(housing) primero...se plantea llevar tus servidores a un gran CPD público (SEAD), privado (Telefónica, COLT, ...) y pagas por el servicio; parte de la infraestructura es tuya...y compartes la responsabilidad de seguridad

(hosting) segundo...usas toda la infraestructura del proveedor y pagas por el servicio que asume la responsabilidad de la seguridad (...y operatividad)

IaaS

Evolución...

acceso remoto

AWS (amazon)

AZURE (microsoft)

...

PaaS

Platform as a Service

acceso remoto

PaaS

Platform as a Service

acceso remoto

ya no te ofrece "crear" servidores, dispositivos,... en la nube

te ofrece una plataforma para que desarrolles aplicaciones y servicios seguros, disponibles y escalables

PaaS

Platform as a Service

acceso remoto

provee servicios como:

identidad y autentificación

seguridad (análisis, detección, DoS, ...)

monitorización, auditoría,...

bases de datos (diferentes tipos), servidor de correo, ...

lenguajes de programación

disponibilidad - escalabilidad

modelo de negocio: pago por uso

PaaS

Platform as a Service

acceso remoto

lideres:

Google App Engine

Amazon AWS

Microsoft Azure

Stripe

Cloudflare

...

PaaS

acceso remoto

nodos actuales y de próximo funncionamiento de AWS

PaaS

acceso remoto

regiones actuales y de próximo funncionamiento de Google Cloud

PaaS

acceso remoto

nodos actuales y de próximo funncionamiento de Cloudflare

IaaS

IaaS - PaaS

pasapalabra

PaaS

hosting

housing

on premise

Google App Engine

Microsoft Azure

servicios de identidad

Amazon AWS

Cloudflare

Stripe

acceso remoto

SaaS

tipología

Software as a Service

SaaS

acceso remoto

las aplicaciones o servicios de información de tu negocio están en la nube y son accesible remotamente normalmente mediante un navegador

Software as a Service

SaaS

acceso remoto

es un modelo maduro y en continuo crecimiento

modelo de negocio: por subscripción

acceso seguros via sesiones SSL

servicio de identidad de terceros (Google, Okta, OpenID,...)

SaaS

SaaS

pasapalabra

Wordpress

Gmail

Salesforce

Google Drive

Office 365

slides.com

Google Docs

Google Sheets

ilovepdf.com

deepl.com

asana

slack

Stripe

zoom

Dynamics 365

Oracle netsuite

SAP business one

Sage cloud

Hasta ahora hemos analizado numeras tecnologías con las que acceder a nuestros servicios de información...

endpoint

acceso remoto

...pero falta el eslabón perdido

desde que dispositivo accedemos

endpoint

acceso remoto

desde que dispositivo accedemos

endpoint

acceso remoto

problema de seguridad

endpoint

acceso remoto

endpoint

analisis de riesgos

BYOD

gestionado

Si tu "endpoint" está comprometido...la VPN no lo evita

encriptado

endpoint

acceso remoto

comprometido...AV no actualizado, SO no actualizado, phishing, ...

Si la BIOS no está protegida te pueden arrancar facilmente desde USB y robarte información

endpoint

acceso remoto

OS en USB

o si el USB está permitido

Si el disco no está cifrado... un robo y extracción del mismo ....

endpoint

acceso remoto

no cifrado

el uso del móvil corporativo o personal suele estar desprotegido y a la vez, cada vez es más funcional

endpoint

acceso remoto

¿?

Unified Endpoint Management

endpoint

acceso remoto

Uso de "sandboxes"...

corporativo y privado

Unified Endpoint Management

endpoint

acceso remoto

https://www.mobileiron.com/es

https://www.blackberry.com/us/en/products/blackberry-uem

endpoint

analisis de riesgos

endpoint

analisis de riesgos

gestionado y bastionado

thin client

VDI - Citrix

endpoint

endpoint

pasapalabra

sandboxes

BIOS

bastionado

gestionado

byod

UEM

thin client

acceso remoto

Zero trust security

tipología

Zero trust

Las redes empresariales y soluciones de acceso remoto se basan en paradigmas de cierta antigüedad

acceso remoto

Zero trust

La forma de trabajar ha cambiado, pero la red no.

acceso remoto

Zero trust

La irrupción de la pandemia ha provocado picos de más del 60-70% de los empleados trabajen desde casa. 

acceso remoto

Se espera que en 2022, estas cifras bajaran pero se mantendrán por encima del 40%

Zero trust

Las VPN están en el disparadero

acceso remoto

problemas de escalado, costes, rendimiento y complejidad

Zero trust

Internet es la red corporativa

acceso remoto

Zero trust

Un modelo de seguridad informática que impone una estricta verificación de la identidad de cada persona y dispositivo que intenta acceder a los recursos de una red privada, independientemente de que se encuentre dentro o fuera del perímetro de la red.

acceso remoto

No hay ninguna tecnología específica asociada a la arquitectura de confianza cero; es un enfoque integral de la seguridad de la red que incorpora varios principios y tecnologías diferentes.

Zero trust

Concepto lanzado por Google en 2016: "considera que tanto las redes internas como las externas no son de confianza".

acceso remoto

La rápida aceleración al trabajo remoto, junto con el aumento de las amenazas, es un gran reto para los departamentos IT. Esto exige adoptar nuevos enfoques...

... por ejemplo evaluar (modernas) soluciones SaaS, que muchas de las cuales son normalmente más robustas que las tradicionales...

... que la seguridad funcione a nivel de red, adoptando un modelo que considera que los dispositivos son intrínsecamente poco fiables (porque es muy difícil securizarlos)....

  

... modelo de autenticación descentralizado . aplicaciones que abarcan la infraestructura local, la nube y el SaaS

 

 

Zero trust

técnicas avanzadas....

acceso remoto

DNS filtering

Browser isolation

Data loss prevention (DLP)

Monitorización avanzada: integración con SIEM corporativos: tráfico web: usuarios, dispositivos, ubicaciones.

Uso no aprobado de las apps SaaS: boqueo de acceso

Gestión de identidad y acceso avanzado (IAM)

Protección DDoS

Firewall de aplicaciones (capa 7)

Detección avanzada de phishing/malware: IA

Integración de apps y dispositivos "on-premise"

Zero trust

Internet es la red corporativa

acceso remoto

tendencia

día 1: tecnología: acceso remoto

día 2: normativa: lista de comprobación 1

día 3: normativa: lista de comprobación 2

día 4: trazabilidad: logs

808

acceso remoto

g

r

а

с

i

a

s

Curso de auditoria IT. acceso remoto

By Jesús R. Ortega

Curso de auditoria IT. acceso remoto

Curso de auditoria IT. acceso remoto. Módulo 3

  • 61
Loading comments...

More from Jesús R. Ortega