DEPARTAMENTO DE SEGURIDAD INFORMATICA

PROTECCION INTERNA Y PERIMETRAL

DICIEMBRE 2010

DIRECCIÓN GENERAL DE PROMOCIÓN DE LA EFICIENCIA Y CALIDAD EN LOS SERVICIOS.

DIRECCIÓN DE INFRAESTRUCTURA TECNOLÓGICA.

SUBDIRECCIÓN DE INFRAESTRUCTURA DE CÓMPUTO.

DEPARTAMENTO DE SEGURIDAD INFORMÁTICA.

Ricardo Enrique Vélez JiménezEnlace del Departamentorvelez@sagarpa.gob.mx

Ext. 40508

Ing. Miguel Ángel Avíla CruzJefe del Departamento

mavila@sagarpa.gob.mxExt. 40520

INTRODUCCIÓNSITUACIÓN ACTUALA QUIEN ATENDEMOSSERVICIOS

• ANTIVIRUS• FILTRADO DE CONTENIDO• FILTRADO DE PUERTOS Y PERMISOS PARA AP

LICACIONES INTERNAS Y EXTERNAS• ACCESO REMOTO (RDP Y VPN)• PUBLICACIÓN

DE APLICACIONES (DNS PUBLICO)• RESPALDO DE APLICACIONES (DPM)

CHECK LIST BÁSICOQUE ESPERAMOS DE USTEDESPREGUNTAS

AGENDA

La seguridad es el estado de cualquier sistema (informático o no),

que nos indica que ese sistema está libre de peligro, daño o riesgo.

Para que la información se pueda definir como segura, debe contar

con tres y en algunos casos hasta cuatro características:

• Integridad: La información no puede ser modificada por quien no está

autorizado.

• Confidencialidad: La información solo debe ser legible para los autorizados.

• Disponibilidad: Debe estar disponible cuando se necesita.

• Irrefutabilidad: (No-Rechazo) Que no se pueda negar la autoría.

INTRODUCCION

Controles, Medidas deSeguridad,

Políticas, etc.

PREVENTIVO

Cuando reduceLa probabilidadDe que el riesgose materialice.

DETECTIVO

Cuando nos alerta en el momento de que un riesgo se materializa.

CORRECTIVO

Cuando nos permite minimizar el impacto una vez que un riesgo se materializa.

Cual es el ciclo...

Con estos controles?....

Gente

Procesos Tecnología

Quienes intervienen...

Acuerdo Secretarial y Manual Administrativo de Aplicación General para Tecnologías de Información y Comunicaciones

Publicado el 13 de julio del actual, en el D.O.F.

El MAAGTIC entra en vigor a los 20 días hábiles siguientes al de su publicación: 10 de agosto

La dependencias y entidades que hayan realizado acciones de mejora funcional y sistematización integral de los procesos podrán operar con sus procedimientos optimizados, siempre y cuando acrediten su compatibilidad con el MAAGTIC

Cual es el soporte?....

M A A G T I C

AGENDA

SITUACIÓN ACTUAL

SALIDA INTERNET

(USUARIOS)

SALIDA INTERNET

(SERVIDORES)

AGENDA

OFICINASCENTRALES

OFICINASCENTRALESDELEGACIONESDELEGACIONES

DDR´S Y CADER´SDDR´S Y CADER´S

ORGANOSDESCONCENTRADOS

ORGANOSDESCONCENTRADOS

A QUIEN ATENDEMOS

Security Operations Center (SOC)SEGURIDAD INFORMATICA

AGENDA

SERVICIOSDEPARTAMENTO DE SEGURIDAD INFORMÁTICA

ANTIVIRUSINSTALACIÓN Y CONFIGURACIÓN

SERVICIOS

ACTIVIDAD DESCRIPCIÓN CANTIDAD/PERIODICIDADVerificación de funcionalidad de consolas de Antivirus

Supervisar la correcta operación y actualización de las 35 consolas de antivirus

37 servidores

Verificación de funcionalidad de clientes de Antivirus.

Supervisar la actualización de la actualización a los últimos patrones de antivirus de todos los equipos de cómputo de escritorio de la SAGARPA a nivel nacional (6,000 equipos en promedio)

6,000 equipos de cómputo

Análisis de ataques Revisión del comportamiento de los ataques recibidos a fin de determinar tendencias y en caso de ser necesario elaborar estrategias de contención.

Por demanda

Administración del contrato Supervisión del cumplimiento al contrato de Antivirus y Elaboración de cálculos de los niveles de servicio a fin de determinar el cumplimiento a los mismos

Mensual

Incidentes críticos Seguimiento a la atención de incidentes críticos a fin de que se atiendan de conformidad con lo establecido en el contrato.

Por demanda

Soporte o Atención de reportes de 3er. Nivelo Asesoría a usuarios

Por demanda

Herramienta de Seguridad para Equipos de Cómputo

Fabricante: Symantec

Producto: Symantec Endpoint Protection (SEP)

Versión: 11.0.6005.562

Desde un Navegador ó un explorador de Windows tecleamos la ruta que abajo se describe: (ftp://ftp.sagarpa.gob.mx/pub/Antivirus/Symantec/Install%20Packages/Area%20Metropolitana/), donde encontramos los paquetes de instalación, para los diferentes edificios de la Secretaria en el área metropolitana.

Ubicar en el ftp de la Secretaria el paquete de Instalación.

MANUAL DE INSTALACIÓN

Desde el explorador de Windows.

Procedemos a descargarlo en el escritorio.

Desde el Navegador de Internet (Internet Explorer).

Instalación desatendida, solo se ve la ventana con la barra de estado termina y desaparece, el tiempo que tarda depende mucho de las características del equipo, por ejemplo en un equipo con un procesador de dos núcleos a 2.53 GHz y 4Gb de memoria tarda al rededor de 5 minutos.

Ejecutar el Paquete de Instalación.

Instalación silenciosa, la cual es transparente para el usuario y solo se puede seguir el avance de la instalación desde el administrador de tareas donde se levantan 2 procesos, el setup.exe y el msiexec.exe, los cuales al terminar desaparecen del task manager.

Al termina la instalación, se ejecuta en automático el LiveUpdate de Symantec y descarga las definiciones desde internet, este proceso se puede cancelar y esperar que el cliente se actualice desde el servidor.

Actualización de las definiciones.

Una vez que se termina con todo el proceso, solo verificamos que el antivirus esta actualizado y direccionado al servidor y carpeta que le corresponde.

Verificar las definiciones de virus.

Por ultimo verificamos que la versión del software sea la 11.0.6005.562 que es la mas reciente que tenemos.

Verificar la versión del Software.

TROJAN HORSE

Trojan Horse es una detección genérica que se asigna a diversos programas Trojan horse (Caballo de Troya).

Las siguientes instrucciones pertenecen a todos los productos antivirus de Symantec actuales y recientes, incluyendo las líneas de producto AntiVirus y Norton Antivirus de Symantec.

1. Desactivar Restaurar Sistema (Windows Me/XP/Vista/7).2. Limpiar la carpeta Archivos temporales de Internet.3. Verificar y actualizar las definiciones de virus.4. Analizar el equipo y eliminar los archivos infectados con un escaneo

completo.5. Reiniciar el Equipo.6. Habilitar la restauración del sistema y generar un punto de

restauración.

PROCEDIMIENTO DE DESINFECCIÓN ESTÁNDAR

Procedemos a deshabilitar la restauración del sistema, esto con la finalidad de evitar que se restauren archivos infectados que sean eliminados por el Antivirus.

Una vez que se deshabilito la restauración del sistema, eliminamos todos los archivos temporales de la carpeta Temp.C:\Users\Usuario\AppData\Local\Temp

Una vez que se eliminaros los archivos temporales, verificamos que el antivirus esta actualizado.

Buscamos en el panel izquierdo del antivirus la opción Scan for threats y del lado derecho del panel damos click en el botón Creat a New Scan

Nos despliega el siguiente recuadro donde buscamos y seleccionamos la opción Full Scan y damos click en Siguiente.

En el siguiente recuadro buscamos la opción Actions y le damos click.

Se configuran las acciones que realizara el antivirus durante el escaneo.

Para Macro virus y Non-macro virus: en la primera acción que intente limpiarlo y si la primera opción falla, que la segunda acción lo elimine.

Para Security Risk: en la primera acción que lo elimine y si la primera opción falla que la segunda acción lo ponga en cuarentena.

Y para finalizar damos click en OK.

Una vez que se ha terminado de configurar las acciones damos click en Siguiente.

Donde seleccionamos la opción On demand, para que sea ejecutado solo cuando lo solicite el usuario y damos clik en Siguiente.

Para terminar le asignamos un nombre al Escaneo para identificarlo y damos click en Finalizar.

En la pantalla se muestra ya enlistado, el escaneo que acabamos de crear y al que para ejecutarlo solo tenemos que darle click derecho Scan Now.

Este proceso tarda entre una y media y dos horas, al terminar reiniciamos el equipo.

Después de reiniciar el equipo habilitamos la restauración del sistema y creamos un punto de restauración.

Herramienta de Seguridad para Equipos de Escritorio

Fabricante: Symantec

Producto: Symantec Endpoint Protection

Versión: 11.0.6005.562

Proveedor: Industrial Solutions

Ingeniero de SoporteIng. Hugo Guerra Rosario

soporte.antivirus@sagarpa.gob.mxExt. 40045 y 40009

AGENDA

FILTRADO DE

CONTENIDOPERMISOS DE NAVEGACIÓN

SERVICIOS

ACTIVIDAD DESCRIPCIÓN CANTIDAD/PERIODICIDADAdministración o Cambios de políticas

o Cambios de perfiles de navegación.o Páginas Bloqueadaso Comprobación de contenidos válidos o

impropios en páginas no categorizadas.

Por demanda

Análisis de uso de Internet Revisión de enlace y los top´s de tráfico.o Utilización del ancho de banda.o Top de Usuarios.o Top de Sitios visitados.o Top de Tiempo de conexión.

Por demanda

Análisis de ataques Revisión del comportamiento de los ataques recibidos a fin de determinar tendencias y en caso de ser necesario elaborar estrategias de contención.

Por demanda

Incidentes críticos Seguimiento a la atención de incidentes críticos a fin de que se atiendan de conformidad con lo establecido en el contrato.

Por demanda

Soporte o Asesoría a usuarios Por demanda

PERFILES DE NAVEGACIÓN - PÁGINAS RESTRINGIDAS

PERFILES DE NAVEGACIÓN - APLICACIONES EXTERNAS

AGENDA

FILTRADO DE PUERTOS Y PERMISOS PARA

APLICACIONES INTERNAS Y EXTERNAS

PERMISOS DE FIREWALL

SERVICIOS

ACTIVIDAD DESCRIPCIÓN CANTIDAD/PERIODICIDADAdministración o Altas

o Bajaso Cambios de políticas o Creación de reglas de acceso para

aplicaciones internaso Creación de reglas de salida para

aplicaciones externas.o Permisos para puertos especialeso Cambios de política global de salida a

Internet

Por demanda

Incidentes críticos o Seguimiento a la atención de incidentes críticos a fin de que se resolverlos con oportunidad

Por demanda

Soporte o Asesoría a usuarios Por demanda

APLICACIONES EXTERNASPUERTOS ESPECIALES

APLICACIONES - VALIDACIÓN DE PUERTOS

telnet

telnet

APLICACIONES - VALIDACIÓN DE PUERTOS

netstat

APLICACIONES - VALIDACIÓN DE PUERTOS

AGENDA

ACCESO REMOTO

(RDP Y VPN)

SERVICIOS

ACTIVIDAD DESCRIPCIÓN CANTIDAD/PERIODICIDADAdministración o Altas de cuentas

o Bajaso Bloqueoso Cambios de permisos

Por demanda

Incidentes críticos Seguimiento a la atención de incidentes críticos a fin de que se resolverlos con oportunidad

Por demanda

Soporte o Asesoría a usuarios Por demanda

ACCESO REMOTO

AGENDA

ACCESO REMOTO

PUBLICACION DE

APLICACIONESDNS PUBLICO

SERVICIOS

ACTIVIDAD DESCRIPCIÓN CANTIDAD/PERIODICIDADAdministración o Alta de dominios

o Creación de subdominioso Cambios de direccionamiento

Por demanda

Incidentes críticos Seguimiento a la atención de incidentes críticos a fin de que se resolverlos con oportunidad

Por demanda

Soporte o Asesoría a usuarios Por demanda

PUBLICACION NIC MEXICO

nslookup

AGENDA

RESPALDO DE

APLICACIONES(DPM)

SERVICIOS

ACTIVIDAD DESCRIPCIÓN CANTIDAD/PERIODICIDADAdministración o Alta de proceso de respaldo Por demanda

Incidentes críticos Seguimiento a la atención de incidentes críticos a fin de que se resolverlos con oportunidad

Por demanda

Soporte o Asesoría a usuarios Por demanda

AGENDA

CHECK LISTBÁSICO

REPORTES DE SEGURIDAD

Datos del Usuario:Nombre del usuario (Propio y de dominio)Ubicación Física (Edificio, piso, ala, etc.)Contacto (Email, teléfono directo o extensión)Dirección IP (Fija o DHCP)Sistema Operativo (Versión, Service Pack)Tipo de problema.(Antivirus, Filtrado de Internet, Puertos, etc.)Pruebas BásicasConectividad LAN ( Ping a su puerta de enlace)Conectividad WAN (Ping a algún sitio externo p.e. www.yahoo.com)Antivirus:

Tiene AVVersión de AVTiene conexión a la Consola de AVPatrón AV actualizado

DATOS DEL USUARIO PRUEBAS BÁSICAS

CHECK LIST

Filtrado de Contenido:Que navegador utiliza (Internet Explorer, Firefox)Que DNS utilizaAbre el portal SAGARPAAbre alguna página externa (SHCP, SCT, UNIVERSAL, etc.)Recibe mensaje de página bloqueada.

Filtrado de puertos:La barra de estado del navegador indica redirecciónAparece alguna conexión en espera a algún puerto

Permiso de acceso a aplicaciones WEB Internas y externas:Utiliza puerto especialCon un cliente.Usa el navegador.Usa un Software especial.

DATOS DEL USUARIO PRUEBAS BÁSICAS

AGENDA

Cuidar que los servicios contratados sean adecuadamente seguros.

Apoyo y cumplimiento a las políticas de seguridad. Monitoreo y medición de desempeño de los servicios. Promover una mayor educación y difusión en materia de

seguridad. Manejo de lenguaje sencillo y libre de tecnicismos. Detectar, reportar y compartir información sobre

vulnerabilidades.

QUE ESPERAMOS DE USTEDES

¿ Preguntas ?

Ricardo Enrique Vélez JiménezEnlace del Departamento de Seguridad

Informáticarvelez@sagarpa.gob.mx

Ext. 40508

Ing. Miguel Ángel Avíla CruzJefe del Departamento de Seguridad

Informáticamavila@sagarpa.gob.mx

Ext. 40520

Hugo Guerra RosarioIngeniero de Soporte Antivirus

soporte.antivirus@sagarpa.gob.mxExt. 40045 y 40009

DIRECCIÓN GENERAL DE PROMOCIÓN DE LA EFICIENCIA Y CALIDAD EN LOS SERVICIOS.

DIRECCIÓN DE INFRAESTRUCTURA TECNÓLOGICA.

SUBDIRECCIÓN DE INFRAESTRUCTRUCTURA DE CÓMPUTO.

DEPARTAMENTO DE SEGURIDAD INFORMÁTICA.