Auditoria de seguridad de accesos remotos
Jesús R. Ortega
Modulo 3 día 1


auditoria acceso remoto
Curso 1
Guillermo Obispo

Jesús R. Ortega

Jorge Navas

auditoria IT
M1
Jorge Navas Elorza

seguridad informática
M2
Guillermo Obispo San Román

acceso remoto
M3
Jesús Rodríguez Ortega

M3: agenda
día 1: tecnología: acceso remoto
día 2: normativa: lista de comprobación 1
día 4: trazabilidad: logs
día 3: normativa: lista de comprobación 2
evolución
Rápida revisión tecnológica
intro
del Mainframe al IoT
evolución: mainframes
intro




evolución: PC's
intro




módelo C/S
evolución: internet
intro



seguridad
intro

El Gobierno español gestiona diariamente una media de 2,8 ciberincidentes con un alto nivel de impacto.
seguridad
intro

El 58% de los ciberataques detectados estuvo dirigido a explotar vulnerabilidades e introducirse en los sistemas.
- También tuvieron una presencia importante las infecciones por código dañino (troyanos, spyware o ransomware)
- y las webs modificadas para minar criptomonedas.
seguridad
intro

previsión para 2023:
incremento del 60%
análisis de riesgos
intro
€
acceso remoto
tipologías de acceso remoto
tipología
acceso remoto
VPN
tipología
VPN
tipología




VPN
misma LAN
tipología




encriptado
VPN
misma LAN
tipología


VPN
misma LAN
tipología
confidencialidad
encriptado: SSL/TLS, IPsec, PPTP/L2TP,...
autentificación
extremos se conocen: similar, reforzada,...
perdida de rendimiento
acceso como "dentro de la oficina"
logon, latencia, velocidad, congestión, caídas, ...
acceso configurable
(ej.) internet: todo por la oficina, mixto,...
elemento crítico
escalable, disponible
cliente
gestionado, no gestionado (byod),...
integridad
los datos no pueden ser alterados en la transmisión
impide reenvíos
un atacante no podrá interceptar y retirar e insertar paquetes de datos
análisis de tráfico
extraer datos a través del análisis del tráfico
VPN: seguridad
a los elementos ya existentes...
tipología
servidor VPN
software, hardware | escalabilidad
autentificación
contraseña, doble factor, certificado
seg física, seg. perimetral, control de acceso, anti malware,...
acceso configurable
ej: uso de internet
cliente
gestionado, no gestionado (byod), móviles, terminales,...
ej: se permite usar discos usb...
encriptado
SSL/TLS, IPsec, PPTP/L2TP/..., ...
antivirus
virus, malware, endpoint management
ej: protocolos permitidos
VPN: seguridad
la misma LAN?
tipología
físico (señal, cobre, fibra,...)
enlace (ethernet, mac)
red (IP)
transporte (TCP)
sesión
presentación
aplicación
modelo OSI de la ISO

IP: 90 .166.127.186
lo gestiona ICANN

Europa: RIPE
el router de nuestra oficina con la ip+mask saca fuera o no el "paquete de datos"...es decir lo enruta
mask: 255.255.255. 0
subredes
direcciones públicas / privadas
IP v6: 0000:0000:0000:0000:0000:ffff:5aa6:7fba
IPv4: 4.294.967.296 (2 )
32
IPv6:3,4 10 (2 )
128
38
DNS
DHCP
TCP/IP
puertos... puerto 80 HTTP,..., 3389 RDP
NTP
VPN
VPN
pasapalabra
IPsec
SSL/TSL
PPTP/L2TP
Tunel encriptado
LAN
Ethernet
TCP/IP
DNS
DHCP
mac address
IP v6
puerto 80
NTP
acceso remoto
Escritorio remoto
tipología
Escritorio remoto
tipología








Microsoft RDP
Citrix ICA (HDX)
...
+VPN





Microsoft RDP
DEMO RDP
Microsoft
escritorio remoto




Microsoft RDP
VPN
VPN
DC1
DC2
TS
apps
DA
DNS



ficheros
Microsoft
escritorio remoto
Escritorio remoto
tipología





Citrix ICA
DEMO CITRIX
OTP
tipología





DEMO CITRIX







Citrix ICA

CITRIX
escritorio remoto
CITRIX
escritorio remoto

CITRIX
escritorio remoto

CITRIX
escritorio remoto

CITRIX
escritorio remoto

CITRIX vs RDP
escritorio remoto
caminan juntos
mayor funcionalidad

escritorios, aplicaciones, desktop
DA, LDAP, Radius, OpenID...
+ encriptación, seguridad,...
más caro

mejor rendimiento

escritorio remoto
VPN
pasapalabra
escritorio remoto
SSL/TSL 1x, 2x
PPTP/L2TP
certificado de servidor
LAN
ICA (HDX), RDP
DA
DNS
DC
SAN
OTP
acceso remoto
VDI
tipología
VDI
virtual desktop infrastructure
vitualización
VDI
generar máquinas sólo con sw a imagen y semejanza de las tangibles y reales
vitualización
VDI
hipervisor: sw de virtualización
CPU, RAM, Discos, Red, USB, Pantalla, Teclado, Ratón, ...





vitualización
VDI

vitualización
VDI

vitualización
VDI






VMWare ESX
DEMO
virtualización
VDI
Hipervisores: VMWare, AWS, Microsoft/Azure, Linux, Xen/Citrix
virtualización
VDI
Las licencias de los SO y aplicaciones instaladas en las VM...son de pago
Te da disponibilidad lógica no física...
Te da mucha flexibilidad
Servidores por "rol"....no un servidor para todos los "roles"
Copias de seguridad instantáneas...(snapshots)
Hay máquinas virtuales de "todo"...
...
Desktop as a Service
DaaS
VDI
es lo mismo que la VDI...pero se lleva la infraestructura de virtualización y de "virtual desktops" a la nube
En su nube se lleva toda la tecnología de VD
Las máquinas virtuales pueden estar en esa misma nube o en otra
Si fuera necesario y para servir aplicaciones "on premise" del cliente se usan equipos con un "rol" especial que permite esta conexión con el cliente (lo denominan "controller")
Modelo de negocio: subscripción
Mercado emergente (además de Citrix, Azure, VMware, AWS,..+++)
virtualización
VDI
Una evolución....contenedores
se virtualizan servicios o aplicaciones.... no sistemas operativos
más eficiente y susceptible de ser más seguro
VDI
VDI
pasapalabra
DaaS
máquina virtual
hipervisor
on premise
Azure, AWS, VMWare,...
rol de servidor
switch
firewall
Docker
ids/ips
snapshot
contenedor
acceso remoto
IaaS /PaaS
tipología
IaaS
Infrastructure as a Service
acceso remoto
IaaS
Infrastructure as a Service
acceso remoto
consiste en "sacar" de las instalaciones locales toda la infraestructura de sistemas (servidores, dispositivos de red y comunicaciones,...) y llevarlas a la nube
IaaS
Pasos previos...
acceso remoto
(housing) primero...se plantea llevar tus servidores a un gran CPD público (SEAD), privado (Telefónica, COLT, ...) y pagas por el servicio; parte de la infraestructura es tuya...y compartes la responsabilidad de seguridad
(hosting) segundo...usas toda la infraestructura del proveedor y pagas por el servicio que asume la responsabilidad de la seguridad (...y operatividad)
IaaS
Evolución...
acceso remoto
AWS (amazon)
AZURE (microsoft)
...
PaaS
Platform as a Service
acceso remoto
PaaS
Platform as a Service
acceso remoto
ya no te ofrece "crear" servidores, dispositivos,... en la nube
te ofrece una plataforma para que desarrolles aplicaciones y servicios seguros, disponibles y escalables
PaaS
Platform as a Service
acceso remoto
provee servicios como:
identidad y autentificación
seguridad (análisis, detección, DoS, ...)
monitorización, auditoría,...
bases de datos (diferentes tipos), servidor de correo, ...
lenguajes de programación
disponibilidad - escalabilidad
modelo de negocio: pago por uso
PaaS
Platform as a Service
acceso remoto
lideres:
Google App Engine
Amazon AWS
Microsoft Azure
Stripe
Cloudflare
...
PaaS
acceso remoto

nodos actuales y de próximo funncionamiento de AWS
PaaS
acceso remoto

regiones actuales y de próximo funncionamiento de Google Cloud
PaaS
acceso remoto

nodos actuales y de próximo funncionamiento de Cloudflare
IaaS
IaaS - PaaS
pasapalabra
PaaS
hosting
housing
on premise
Google App Engine
Microsoft Azure
servicios de identidad
Amazon AWS
Cloudflare
Stripe
acceso remoto
SaaS
tipología
Software as a Service
SaaS
acceso remoto
las aplicaciones o servicios de información de tu negocio están en la nube y son accesible remotamente normalmente mediante un navegador
Software as a Service
SaaS
acceso remoto
es un modelo maduro y en continuo crecimiento
modelo de negocio: por subscripción
acceso seguros via sesiones SSL
servicio de identidad de terceros (Google, Okta, OpenID,...)
SaaS
SaaS
pasapalabra
Wordpress
Gmail
Salesforce
Google Drive
Office 365
slides.com
Google Docs
Google Sheets
ilovepdf.com
deepl.com
asana
slack
Stripe
zoom
Dynamics 365
Oracle netsuite
SAP business one
Sage cloud
Hasta ahora hemos analizado numeras tecnologías con las que acceder a nuestros servicios de información...
endpoint
acceso remoto
...pero falta el eslabón perdido
desde que dispositivo accedemos
endpoint
acceso remoto
desde que dispositivo accedemos
endpoint
acceso remoto






problema de seguridad
endpoint
acceso remoto







endpoint
analisis de riesgos
€
BYOD
gestionado
Si tu "endpoint" está comprometido...la VPN no lo evita




encriptado
endpoint
acceso remoto
comprometido...AV no actualizado, SO no actualizado, phishing, ...
Si la BIOS no está protegida te pueden arrancar facilmente desde USB y robarte información

endpoint
acceso remoto
OS en USB
o si el USB está permitido
Si el disco no está cifrado... un robo y extracción del mismo ....

endpoint
acceso remoto
no cifrado
el uso del móvil corporativo o personal suele estar desprotegido y a la vez, cada vez es más funcional
endpoint
acceso remoto

¿?
Unified Endpoint Management
endpoint
acceso remoto

Uso de "sandboxes"...
corporativo y privado
Unified Endpoint Management
endpoint
acceso remoto

https://www.mobileiron.com/es
https://www.blackberry.com/us/en/products/blackberry-uem
endpoint
analisis de riesgos
€
endpoint
analisis de riesgos
€
gestionado y bastionado
thin client
VDI - Citrix
€
€
endpoint
endpoint
pasapalabra
sandboxes
BIOS
bastionado
gestionado
byod
UEM
thin client
acceso remoto
Zero trust security
tipología
Zero trust
Las redes empresariales y soluciones de acceso remoto se basan en paradigmas de cierta antigüedad
acceso remoto

Zero trust
La forma de trabajar ha cambiado, pero la red no.
acceso remoto

Zero trust
La irrupción de la pandemia ha provocado picos de más del 60-70% de los empleados trabajen desde casa.
acceso remoto

Se espera que en 2022, estas cifras bajaran pero se mantendrán por encima del 40%

Zero trust
Las VPN están en el disparadero
acceso remoto

problemas de escalado, costes, rendimiento y complejidad

Zero trust
Internet es la red corporativa
acceso remoto

Zero trust
Un modelo de seguridad informática que impone una estricta verificación de la identidad de cada persona y dispositivo que intenta acceder a los recursos de una red privada, independientemente de que se encuentre dentro o fuera del perímetro de la red.
acceso remoto

No hay ninguna tecnología específica asociada a la arquitectura de confianza cero; es un enfoque integral de la seguridad de la red que incorpora varios principios y tecnologías diferentes.
Zero trust
Concepto lanzado por Google en 2016: "considera que tanto las redes internas como las externas no son de confianza".
acceso remoto

La rápida aceleración al trabajo remoto, junto con el aumento de las amenazas, es un gran reto para los departamentos IT. Esto exige adoptar nuevos enfoques...
... por ejemplo evaluar (modernas) soluciones SaaS, que muchas de las cuales son normalmente más robustas que las tradicionales...
... que la seguridad funcione a nivel de red, adoptando un modelo que considera que los dispositivos son intrínsecamente poco fiables (porque es muy difícil securizarlos)....
... modelo de autenticación descentralizado . aplicaciones que abarcan la infraestructura local, la nube y el SaaS
Zero trust
técnicas avanzadas....
acceso remoto

DNS filtering
Browser isolation
Data loss prevention (DLP)
Monitorización avanzada: integración con SIEM corporativos: tráfico web: usuarios, dispositivos, ubicaciones.
Uso no aprobado de las apps SaaS: boqueo de acceso
Gestión de identidad y acceso avanzado (IAM)
Protección DDoS
Firewall de aplicaciones (capa 7)
Detección avanzada de phishing/malware: IA
Integración de apps y dispositivos "on-premise"

Zero trust
Internet es la red corporativa
acceso remoto

tendencia
día 1: tecnología: acceso remoto
día 2: normativa: lista de comprobación 1
día 3: normativa: lista de comprobación 2
día 4: trazabilidad: logs
808
acceso remoto
g
r
а
с
i
a
s
Curso de auditoria IT. acceso remoto
By YBK
Curso de auditoria IT. acceso remoto
Curso de auditoria IT. acceso remoto. Módulo 3
- 747