View
13
Download
2
Category
Preview:
Citation preview
DEPARTAMENTO DE SEGURIDAD INFORMATICA
PROTECCION INTERNA Y PERIMETRAL
DICIEMBRE 2010
DIRECCIÓN GENERAL DE PROMOCIÓN DE LA EFICIENCIA Y CALIDAD EN LOS SERVICIOS.
DIRECCIÓN DE INFRAESTRUCTURA TECNOLÓGICA.
SUBDIRECCIÓN DE INFRAESTRUCTURA DE CÓMPUTO.
DEPARTAMENTO DE SEGURIDAD INFORMÁTICA.
Ricardo Enrique Vélez JiménezEnlace del Departamentorvelez@sagarpa.gob.mx
Ext. 40508
Ing. Miguel Ángel Avíla CruzJefe del Departamento
mavila@sagarpa.gob.mxExt. 40520
INTRODUCCIÓNSITUACIÓN ACTUALA QUIEN ATENDEMOSSERVICIOS
• ANTIVIRUS• FILTRADO DE CONTENIDO• FILTRADO DE PUERTOS Y PERMISOS PARA AP
LICACIONES INTERNAS Y EXTERNAS• ACCESO REMOTO (RDP Y VPN)• PUBLICACIÓN
DE APLICACIONES (DNS PUBLICO)• RESPALDO DE APLICACIONES (DPM)
CHECK LIST BÁSICOQUE ESPERAMOS DE USTEDESPREGUNTAS
AGENDA
La seguridad es el estado de cualquier sistema (informático o no),
que nos indica que ese sistema está libre de peligro, daño o riesgo.
Para que la información se pueda definir como segura, debe contar
con tres y en algunos casos hasta cuatro características:
• Integridad: La información no puede ser modificada por quien no está
autorizado.
• Confidencialidad: La información solo debe ser legible para los autorizados.
• Disponibilidad: Debe estar disponible cuando se necesita.
• Irrefutabilidad: (No-Rechazo) Que no se pueda negar la autoría.
INTRODUCCION
Controles, Medidas deSeguridad,
Políticas, etc.
PREVENTIVO
Cuando reduceLa probabilidadDe que el riesgose materialice.
DETECTIVO
Cuando nos alerta en el momento de que un riesgo se materializa.
CORRECTIVO
Cuando nos permite minimizar el impacto una vez que un riesgo se materializa.
Cual es el ciclo...
Con estos controles?....
Gente
Procesos Tecnología
Quienes intervienen...
Acuerdo Secretarial y Manual Administrativo de Aplicación General para Tecnologías de Información y Comunicaciones
Publicado el 13 de julio del actual, en el D.O.F.
El MAAGTIC entra en vigor a los 20 días hábiles siguientes al de su publicación: 10 de agosto
La dependencias y entidades que hayan realizado acciones de mejora funcional y sistematización integral de los procesos podrán operar con sus procedimientos optimizados, siempre y cuando acrediten su compatibilidad con el MAAGTIC
Cual es el soporte?....
M A A G T I C
AGENDA
SITUACIÓN ACTUAL
SALIDA INTERNET
(USUARIOS)
SALIDA INTERNET
(SERVIDORES)
AGENDA
OFICINASCENTRALES
OFICINASCENTRALESDELEGACIONESDELEGACIONES
DDR´S Y CADER´SDDR´S Y CADER´S
ORGANOSDESCONCENTRADOS
ORGANOSDESCONCENTRADOS
A QUIEN ATENDEMOS
Security Operations Center (SOC)SEGURIDAD INFORMATICA
AGENDA
SERVICIOSDEPARTAMENTO DE SEGURIDAD INFORMÁTICA
ANTIVIRUSINSTALACIÓN Y CONFIGURACIÓN
SERVICIOS
ACTIVIDAD DESCRIPCIÓN CANTIDAD/PERIODICIDADVerificación de funcionalidad de consolas de Antivirus
Supervisar la correcta operación y actualización de las 35 consolas de antivirus
37 servidores
Verificación de funcionalidad de clientes de Antivirus.
Supervisar la actualización de la actualización a los últimos patrones de antivirus de todos los equipos de cómputo de escritorio de la SAGARPA a nivel nacional (6,000 equipos en promedio)
6,000 equipos de cómputo
Análisis de ataques Revisión del comportamiento de los ataques recibidos a fin de determinar tendencias y en caso de ser necesario elaborar estrategias de contención.
Por demanda
Administración del contrato Supervisión del cumplimiento al contrato de Antivirus y Elaboración de cálculos de los niveles de servicio a fin de determinar el cumplimiento a los mismos
Mensual
Incidentes críticos Seguimiento a la atención de incidentes críticos a fin de que se atiendan de conformidad con lo establecido en el contrato.
Por demanda
Soporte o Atención de reportes de 3er. Nivelo Asesoría a usuarios
Por demanda
Herramienta de Seguridad para Equipos de Cómputo
Fabricante: Symantec
Producto: Symantec Endpoint Protection (SEP)
Versión: 11.0.6005.562
Desde un Navegador ó un explorador de Windows tecleamos la ruta que abajo se describe: (ftp://ftp.sagarpa.gob.mx/pub/Antivirus/Symantec/Install%20Packages/Area%20Metropolitana/), donde encontramos los paquetes de instalación, para los diferentes edificios de la Secretaria en el área metropolitana.
Ubicar en el ftp de la Secretaria el paquete de Instalación.
MANUAL DE INSTALACIÓN
Desde el explorador de Windows.
Procedemos a descargarlo en el escritorio.
Desde el Navegador de Internet (Internet Explorer).
Instalación desatendida, solo se ve la ventana con la barra de estado termina y desaparece, el tiempo que tarda depende mucho de las características del equipo, por ejemplo en un equipo con un procesador de dos núcleos a 2.53 GHz y 4Gb de memoria tarda al rededor de 5 minutos.
Ejecutar el Paquete de Instalación.
Instalación silenciosa, la cual es transparente para el usuario y solo se puede seguir el avance de la instalación desde el administrador de tareas donde se levantan 2 procesos, el setup.exe y el msiexec.exe, los cuales al terminar desaparecen del task manager.
Al termina la instalación, se ejecuta en automático el LiveUpdate de Symantec y descarga las definiciones desde internet, este proceso se puede cancelar y esperar que el cliente se actualice desde el servidor.
Actualización de las definiciones.
Una vez que se termina con todo el proceso, solo verificamos que el antivirus esta actualizado y direccionado al servidor y carpeta que le corresponde.
Verificar las definiciones de virus.
Por ultimo verificamos que la versión del software sea la 11.0.6005.562 que es la mas reciente que tenemos.
Verificar la versión del Software.
TROJAN HORSE
Trojan Horse es una detección genérica que se asigna a diversos programas Trojan horse (Caballo de Troya).
Las siguientes instrucciones pertenecen a todos los productos antivirus de Symantec actuales y recientes, incluyendo las líneas de producto AntiVirus y Norton Antivirus de Symantec.
1. Desactivar Restaurar Sistema (Windows Me/XP/Vista/7).2. Limpiar la carpeta Archivos temporales de Internet.3. Verificar y actualizar las definiciones de virus.4. Analizar el equipo y eliminar los archivos infectados con un escaneo
completo.5. Reiniciar el Equipo.6. Habilitar la restauración del sistema y generar un punto de
restauración.
PROCEDIMIENTO DE DESINFECCIÓN ESTÁNDAR
Procedemos a deshabilitar la restauración del sistema, esto con la finalidad de evitar que se restauren archivos infectados que sean eliminados por el Antivirus.
Una vez que se deshabilito la restauración del sistema, eliminamos todos los archivos temporales de la carpeta Temp.C:\Users\Usuario\AppData\Local\Temp
Una vez que se eliminaros los archivos temporales, verificamos que el antivirus esta actualizado.
Buscamos en el panel izquierdo del antivirus la opción Scan for threats y del lado derecho del panel damos click en el botón Creat a New Scan
Nos despliega el siguiente recuadro donde buscamos y seleccionamos la opción Full Scan y damos click en Siguiente.
En el siguiente recuadro buscamos la opción Actions y le damos click.
Se configuran las acciones que realizara el antivirus durante el escaneo.
Para Macro virus y Non-macro virus: en la primera acción que intente limpiarlo y si la primera opción falla, que la segunda acción lo elimine.
Para Security Risk: en la primera acción que lo elimine y si la primera opción falla que la segunda acción lo ponga en cuarentena.
Y para finalizar damos click en OK.
Una vez que se ha terminado de configurar las acciones damos click en Siguiente.
Donde seleccionamos la opción On demand, para que sea ejecutado solo cuando lo solicite el usuario y damos clik en Siguiente.
Para terminar le asignamos un nombre al Escaneo para identificarlo y damos click en Finalizar.
En la pantalla se muestra ya enlistado, el escaneo que acabamos de crear y al que para ejecutarlo solo tenemos que darle click derecho Scan Now.
Este proceso tarda entre una y media y dos horas, al terminar reiniciamos el equipo.
Después de reiniciar el equipo habilitamos la restauración del sistema y creamos un punto de restauración.
Herramienta de Seguridad para Equipos de Escritorio
Fabricante: Symantec
Producto: Symantec Endpoint Protection
Versión: 11.0.6005.562
Proveedor: Industrial Solutions
Ingeniero de SoporteIng. Hugo Guerra Rosario
soporte.antivirus@sagarpa.gob.mxExt. 40045 y 40009
AGENDA
FILTRADO DE
CONTENIDOPERMISOS DE NAVEGACIÓN
SERVICIOS
ACTIVIDAD DESCRIPCIÓN CANTIDAD/PERIODICIDADAdministración o Cambios de políticas
o Cambios de perfiles de navegación.o Páginas Bloqueadaso Comprobación de contenidos válidos o
impropios en páginas no categorizadas.
Por demanda
Análisis de uso de Internet Revisión de enlace y los top´s de tráfico.o Utilización del ancho de banda.o Top de Usuarios.o Top de Sitios visitados.o Top de Tiempo de conexión.
Por demanda
Análisis de ataques Revisión del comportamiento de los ataques recibidos a fin de determinar tendencias y en caso de ser necesario elaborar estrategias de contención.
Por demanda
Incidentes críticos Seguimiento a la atención de incidentes críticos a fin de que se atiendan de conformidad con lo establecido en el contrato.
Por demanda
Soporte o Asesoría a usuarios Por demanda
PERFILES DE NAVEGACIÓN - PÁGINAS RESTRINGIDAS
PERFILES DE NAVEGACIÓN - APLICACIONES EXTERNAS
AGENDA
FILTRADO DE PUERTOS Y PERMISOS PARA
APLICACIONES INTERNAS Y EXTERNAS
PERMISOS DE FIREWALL
SERVICIOS
ACTIVIDAD DESCRIPCIÓN CANTIDAD/PERIODICIDADAdministración o Altas
o Bajaso Cambios de políticas o Creación de reglas de acceso para
aplicaciones internaso Creación de reglas de salida para
aplicaciones externas.o Permisos para puertos especialeso Cambios de política global de salida a
Internet
Por demanda
Incidentes críticos o Seguimiento a la atención de incidentes críticos a fin de que se resolverlos con oportunidad
Por demanda
Soporte o Asesoría a usuarios Por demanda
APLICACIONES EXTERNASPUERTOS ESPECIALES
APLICACIONES - VALIDACIÓN DE PUERTOS
telnet
telnet
APLICACIONES - VALIDACIÓN DE PUERTOS
netstat
APLICACIONES - VALIDACIÓN DE PUERTOS
AGENDA
ACCESO REMOTO
(RDP Y VPN)
SERVICIOS
ACTIVIDAD DESCRIPCIÓN CANTIDAD/PERIODICIDADAdministración o Altas de cuentas
o Bajaso Bloqueoso Cambios de permisos
Por demanda
Incidentes críticos Seguimiento a la atención de incidentes críticos a fin de que se resolverlos con oportunidad
Por demanda
Soporte o Asesoría a usuarios Por demanda
ACCESO REMOTO
AGENDA
ACCESO REMOTO
PUBLICACION DE
APLICACIONESDNS PUBLICO
SERVICIOS
ACTIVIDAD DESCRIPCIÓN CANTIDAD/PERIODICIDADAdministración o Alta de dominios
o Creación de subdominioso Cambios de direccionamiento
Por demanda
Incidentes críticos Seguimiento a la atención de incidentes críticos a fin de que se resolverlos con oportunidad
Por demanda
Soporte o Asesoría a usuarios Por demanda
PUBLICACION NIC MEXICO
nslookup
AGENDA
RESPALDO DE
APLICACIONES(DPM)
SERVICIOS
ACTIVIDAD DESCRIPCIÓN CANTIDAD/PERIODICIDADAdministración o Alta de proceso de respaldo Por demanda
Incidentes críticos Seguimiento a la atención de incidentes críticos a fin de que se resolverlos con oportunidad
Por demanda
Soporte o Asesoría a usuarios Por demanda
AGENDA
CHECK LISTBÁSICO
REPORTES DE SEGURIDAD
Datos del Usuario:Nombre del usuario (Propio y de dominio)Ubicación Física (Edificio, piso, ala, etc.)Contacto (Email, teléfono directo o extensión)Dirección IP (Fija o DHCP)Sistema Operativo (Versión, Service Pack)Tipo de problema.(Antivirus, Filtrado de Internet, Puertos, etc.)Pruebas BásicasConectividad LAN ( Ping a su puerta de enlace)Conectividad WAN (Ping a algún sitio externo p.e. www.yahoo.com)Antivirus:
Tiene AVVersión de AVTiene conexión a la Consola de AVPatrón AV actualizado
DATOS DEL USUARIO PRUEBAS BÁSICAS
CHECK LIST
Filtrado de Contenido:Que navegador utiliza (Internet Explorer, Firefox)Que DNS utilizaAbre el portal SAGARPAAbre alguna página externa (SHCP, SCT, UNIVERSAL, etc.)Recibe mensaje de página bloqueada.
Filtrado de puertos:La barra de estado del navegador indica redirecciónAparece alguna conexión en espera a algún puerto
Permiso de acceso a aplicaciones WEB Internas y externas:Utiliza puerto especialCon un cliente.Usa el navegador.Usa un Software especial.
DATOS DEL USUARIO PRUEBAS BÁSICAS
AGENDA
Cuidar que los servicios contratados sean adecuadamente seguros.
Apoyo y cumplimiento a las políticas de seguridad. Monitoreo y medición de desempeño de los servicios. Promover una mayor educación y difusión en materia de
seguridad. Manejo de lenguaje sencillo y libre de tecnicismos. Detectar, reportar y compartir información sobre
vulnerabilidades.
QUE ESPERAMOS DE USTEDES
¿ Preguntas ?
Ricardo Enrique Vélez JiménezEnlace del Departamento de Seguridad
Informáticarvelez@sagarpa.gob.mx
Ext. 40508
Ing. Miguel Ángel Avíla CruzJefe del Departamento de Seguridad
Informáticamavila@sagarpa.gob.mx
Ext. 40520
Hugo Guerra RosarioIngeniero de Soporte Antivirus
soporte.antivirus@sagarpa.gob.mxExt. 40045 y 40009
DIRECCIÓN GENERAL DE PROMOCIÓN DE LA EFICIENCIA Y CALIDAD EN LOS SERVICIOS.
DIRECCIÓN DE INFRAESTRUCTURA TECNÓLOGICA.
SUBDIRECCIÓN DE INFRAESTRUCTRUCTURA DE CÓMPUTO.
DEPARTAMENTO DE SEGURIDAD INFORMÁTICA.
Recommended