Auditoria de seguridad de accesos remotos
Jesús R. Ortega
Modulo 3 día 1
auditoria acceso remoto
Curso 1
Guillermo Obispo
Jesús R. Ortega
Jorge Navas
auditoria IT
M1
Jorge Navas Elorza
seguridad informática
M2
Guillermo Obispo San Román
acceso remoto
M3
Jesús Rodríguez Ortega
M3: agenda
día 1: tecnología: acceso remoto
día 2: normativa: lista de comprobación 1
día 4: trazabilidad: logs
día 3: normativa: lista de comprobación 2
evolución
Rápida revisión tecnológica
intro
del Mainframe al IoT
evolución: mainframes
intro
evolución: PC's
intro
módelo C/S
evolución: internet
intro
seguridad
intro
El Gobierno español gestiona diariamente una media de 2,8 ciberincidentes con un alto nivel de impacto.
seguridad
intro
El 58% de los ciberataques detectados estuvo dirigido a explotar vulnerabilidades e introducirse en los sistemas.
- También tuvieron una presencia importante las infecciones por código dañino (troyanos, spyware o ransomware)
- y las webs modificadas para minar criptomonedas.
seguridad
intro
previsión para 2023:
incremento del 60%
análisis de riesgos
intro
€
acceso remoto
tipologías de acceso remoto
tipología
acceso remoto
VPN
tipología
VPN
tipología
VPN
misma LAN
tipología
encriptado
VPN
misma LAN
tipología
VPN
misma LAN
tipología
confidencialidad
encriptado: SSL/TLS, IPsec, PPTP/L2TP,...
autentificación
extremos se conocen: similar, reforzada,...
perdida de rendimiento
acceso como "dentro de la oficina"
logon, latencia, velocidad, congestión, caídas, ...
acceso configurable
(ej.) internet: todo por la oficina, mixto,...
elemento crítico
escalable, disponible
cliente
gestionado, no gestionado (byod),...
integridad
los datos no pueden ser alterados en la transmisión
impide reenvíos
un atacante no podrá interceptar y retirar e insertar paquetes de datos
análisis de tráfico
extraer datos a través del análisis del tráfico
VPN: seguridad
a los elementos ya existentes...
tipología
servidor VPN
software, hardware | escalabilidad
autentificación
contraseña, doble factor, certificado
seg física, seg. perimetral, control de acceso, anti malware,...
acceso configurable
ej: uso de internet
cliente
gestionado, no gestionado (byod), móviles, terminales,...
ej: se permite usar discos usb...
encriptado
SSL/TLS, IPsec, PPTP/L2TP/..., ...
antivirus
virus, malware, endpoint management
ej: protocolos permitidos
VPN: seguridad
la misma LAN?
tipología
físico (señal, cobre, fibra,...)
enlace (ethernet, mac)
red (IP)
transporte (TCP)
sesión
presentación
aplicación
modelo OSI de la ISO
IP: 90 .166.127.186
lo gestiona ICANN
Europa: RIPE
el router de nuestra oficina con la ip+mask saca fuera o no el "paquete de datos"...es decir lo enruta
mask: 255.255.255. 0
subredes
direcciones públicas / privadas
IP v6: 0000:0000:0000:0000:0000:ffff:5aa6:7fba
IPv4: 4.294.967.296 (2 )
32
IPv6:3,4 10 (2 )
128
38
DNS
DHCP
TCP/IP
puertos... puerto 80 HTTP,..., 3389 RDP
NTP
VPN
VPN
pasapalabra
IPsec
SSL/TSL
PPTP/L2TP
Tunel encriptado
LAN
Ethernet
TCP/IP
DNS
DHCP
mac address
IP v6
puerto 80
NTP
acceso remoto
Escritorio remoto
tipología
Escritorio remoto
tipología
Microsoft RDP
Citrix ICA (HDX)
...
+VPN
Microsoft RDP
DEMO RDP
Microsoft
escritorio remoto
Microsoft RDP
VPN
VPN
DC1
DC2
TS
apps
DA
DNS
ficheros
Microsoft
escritorio remoto
Escritorio remoto
tipología
Citrix ICA
DEMO CITRIX
OTP
tipología
DEMO CITRIX
Citrix ICA
CITRIX
escritorio remoto
CITRIX
escritorio remoto
CITRIX
escritorio remoto
CITRIX
escritorio remoto
CITRIX
escritorio remoto
CITRIX vs RDP
escritorio remoto
caminan juntos
mayor funcionalidad
escritorios, aplicaciones, desktop
DA, LDAP, Radius, OpenID...
+ encriptación, seguridad,...
más caro
mejor rendimiento
escritorio remoto
VPN
pasapalabra
escritorio remoto
SSL/TSL 1x, 2x
PPTP/L2TP
certificado de servidor
LAN
ICA (HDX), RDP
DA
DNS
DC
SAN
OTP
acceso remoto
VDI
tipología
VDI
virtual desktop infrastructure
vitualización
VDI
generar máquinas sólo con sw a imagen y semejanza de las tangibles y reales
vitualización
VDI
hipervisor: sw de virtualización
CPU, RAM, Discos, Red, USB, Pantalla, Teclado, Ratón, ...
vitualización
VDI
vitualización
VDI
vitualización
VDI
VMWare ESX
DEMO
virtualización
VDI
Hipervisores: VMWare, AWS, Microsoft/Azure, Linux, Xen/Citrix
virtualización
VDI
Las licencias de los SO y aplicaciones instaladas en las VM...son de pago
Te da disponibilidad lógica no física...
Te da mucha flexibilidad
Servidores por "rol"....no un servidor para todos los "roles"
Copias de seguridad instantáneas...(snapshots)
Hay máquinas virtuales de "todo"...
...
Desktop as a Service
DaaS
VDI
es lo mismo que la VDI...pero se lleva la infraestructura de virtualización y de "virtual desktops" a la nube
En su nube se lleva toda la tecnología de VD
Las máquinas virtuales pueden estar en esa misma nube o en otra
Si fuera necesario y para servir aplicaciones "on premise" del cliente se usan equipos con un "rol" especial que permite esta conexión con el cliente (lo denominan "controller")
Modelo de negocio: subscripción
Mercado emergente (además de Citrix, Azure, VMware, AWS,..+++)
virtualización
VDI
Una evolución....contenedores
se virtualizan servicios o aplicaciones.... no sistemas operativos
más eficiente y susceptible de ser más seguro
VDI
VDI
pasapalabra
DaaS
máquina virtual
hipervisor
on premise
Azure, AWS, VMWare,...
rol de servidor
switch
firewall
Docker
ids/ips
snapshot
contenedor
acceso remoto
IaaS /PaaS
tipología
IaaS
Infrastructure as a Service
acceso remoto
IaaS
Infrastructure as a Service
acceso remoto
consiste en "sacar" de las instalaciones locales toda la infraestructura de sistemas (servidores, dispositivos de red y comunicaciones,...) y llevarlas a la nube
IaaS
Pasos previos...
acceso remoto
(housing) primero...se plantea llevar tus servidores a un gran CPD público (SEAD), privado (Telefónica, COLT, ...) y pagas por el servicio; parte de la infraestructura es tuya...y compartes la responsabilidad de seguridad
(hosting) segundo...usas toda la infraestructura del proveedor y pagas por el servicio que asume la responsabilidad de la seguridad (...y operatividad)
IaaS
Evolución...
acceso remoto
AWS (amazon)
AZURE (microsoft)
...
PaaS
Platform as a Service
acceso remoto
PaaS
Platform as a Service
acceso remoto
ya no te ofrece "crear" servidores, dispositivos,... en la nube
te ofrece una plataforma para que desarrolles aplicaciones y servicios seguros, disponibles y escalables
PaaS
Platform as a Service
acceso remoto
provee servicios como:
identidad y autentificación
seguridad (análisis, detección, DoS, ...)
monitorización, auditoría,...
bases de datos (diferentes tipos), servidor de correo, ...
lenguajes de programación
disponibilidad - escalabilidad
modelo de negocio: pago por uso
PaaS
Platform as a Service
acceso remoto
lideres:
Google App Engine
Amazon AWS
Microsoft Azure
Stripe
Cloudflare
...
PaaS
acceso remoto
nodos actuales y de próximo funncionamiento de AWS
PaaS
acceso remoto
regiones actuales y de próximo funncionamiento de Google Cloud
PaaS
acceso remoto
nodos actuales y de próximo funncionamiento de Cloudflare
IaaS
IaaS - PaaS
pasapalabra
PaaS
hosting
housing
on premise
Google App Engine
Microsoft Azure
servicios de identidad
Amazon AWS
Cloudflare
Stripe
acceso remoto
SaaS
tipología
Software as a Service
SaaS
acceso remoto
las aplicaciones o servicios de información de tu negocio están en la nube y son accesible remotamente normalmente mediante un navegador
Software as a Service
SaaS
acceso remoto
es un modelo maduro y en continuo crecimiento
modelo de negocio: por subscripción
acceso seguros via sesiones SSL
servicio de identidad de terceros (Google, Okta, OpenID,...)
SaaS
SaaS
pasapalabra
Wordpress
Gmail
Salesforce
Google Drive
Office 365
slides.com
Google Docs
Google Sheets
ilovepdf.com
deepl.com
asana
slack
Stripe
zoom
Dynamics 365
Oracle netsuite
SAP business one
Sage cloud
Hasta ahora hemos analizado numeras tecnologías con las que acceder a nuestros servicios de información...
endpoint
acceso remoto
...pero falta el eslabón perdido
desde que dispositivo accedemos
endpoint
acceso remoto
desde que dispositivo accedemos
endpoint
acceso remoto
problema de seguridad
endpoint
acceso remoto
endpoint
analisis de riesgos
€
BYOD
gestionado
Si tu "endpoint" está comprometido...la VPN no lo evita
encriptado
endpoint
acceso remoto
comprometido...AV no actualizado, SO no actualizado, phishing, ...
Si la BIOS no está protegida te pueden arrancar facilmente desde USB y robarte información
endpoint
acceso remoto
OS en USB
o si el USB está permitido
Si el disco no está cifrado... un robo y extracción del mismo ....
endpoint
acceso remoto
no cifrado
el uso del móvil corporativo o personal suele estar desprotegido y a la vez, cada vez es más funcional
endpoint
acceso remoto
¿?
Unified Endpoint Management
endpoint
acceso remoto
Uso de "sandboxes"...
corporativo y privado
Unified Endpoint Management
endpoint
acceso remoto
https://www.mobileiron.com/es
https://www.blackberry.com/us/en/products/blackberry-uem
endpoint
analisis de riesgos
€
endpoint
analisis de riesgos
€
gestionado y bastionado
thin client
VDI - Citrix
€
€
endpoint
endpoint
pasapalabra
sandboxes
BIOS
bastionado
gestionado
byod
UEM
thin client
acceso remoto
Zero trust security
tipología
Zero trust
Las redes empresariales y soluciones de acceso remoto se basan en paradigmas de cierta antigüedad
acceso remoto
Zero trust
La forma de trabajar ha cambiado, pero la red no.
acceso remoto
Zero trust
La irrupción de la pandemia ha provocado picos de más del 60-70% de los empleados trabajen desde casa.
acceso remoto
Se espera que en 2022, estas cifras bajaran pero se mantendrán por encima del 40%
Zero trust
Las VPN están en el disparadero
acceso remoto
problemas de escalado, costes, rendimiento y complejidad
Zero trust
Internet es la red corporativa
acceso remoto
Zero trust
Un modelo de seguridad informática que impone una estricta verificación de la identidad de cada persona y dispositivo que intenta acceder a los recursos de una red privada, independientemente de que se encuentre dentro o fuera del perímetro de la red.
acceso remoto
No hay ninguna tecnología específica asociada a la arquitectura de confianza cero; es un enfoque integral de la seguridad de la red que incorpora varios principios y tecnologías diferentes.
Zero trust
Concepto lanzado por Google en 2016: "considera que tanto las redes internas como las externas no son de confianza".
acceso remoto
La rápida aceleración al trabajo remoto, junto con el aumento de las amenazas, es un gran reto para los departamentos IT. Esto exige adoptar nuevos enfoques...
... por ejemplo evaluar (modernas) soluciones SaaS, que muchas de las cuales son normalmente más robustas que las tradicionales...
... que la seguridad funcione a nivel de red, adoptando un modelo que considera que los dispositivos son intrínsecamente poco fiables (porque es muy difícil securizarlos)....
... modelo de autenticación descentralizado . aplicaciones que abarcan la infraestructura local, la nube y el SaaS
Zero trust
técnicas avanzadas....
acceso remoto
DNS filtering
Browser isolation
Data loss prevention (DLP)
Monitorización avanzada: integración con SIEM corporativos: tráfico web: usuarios, dispositivos, ubicaciones.
Uso no aprobado de las apps SaaS: boqueo de acceso
Gestión de identidad y acceso avanzado (IAM)
Protección DDoS
Firewall de aplicaciones (capa 7)
Detección avanzada de phishing/malware: IA
Integración de apps y dispositivos "on-premise"
Zero trust
Internet es la red corporativa
acceso remoto
tendencia
día 1: tecnología: acceso remoto
día 2: normativa: lista de comprobación 1
día 3: normativa: lista de comprobación 2
día 4: trazabilidad: logs
808
acceso remoto
g
r
а
с
i
a
s
Curso de auditoria IT. acceso remoto
By YBK
Curso de auditoria IT. acceso remoto
Curso de auditoria IT. acceso remoto. Módulo 3
