Fortinet ConfidentialFortinet ConfidentialMay 20, 2011
Mundo Contact. (MX)
Alejandro Martínez.Ingeniería Pre-Venta [email protected]
Fortinet ConfidentialFortinet Confidential
• Ambiente Tecnológico HOY.
• Visión General de la Seguridad
• El Resguardo de la Información.
• Optimiza los recursos existentes.
• Es Necesario estar preparado.
• Planeando el Futuro.
• Un entorno en base a Procesos.
• Protección Inmediata.
• Soluciones Integradas.
Agenda.
Fortinet ConfidentialFortinet Confidential
Dos visiones acerca de la seguridad de red
• Como un gastoSeguridad como una
necesidad: Los recursos deben ser protegidos.
La seguridad debe ser simple de administrar/operar
Los Carriers y Proveedores de Servicios pagan el OPEX
La seguridad incrementa el costo de los servicios a proveer.
• Como un facilitador de negocioSeguridad como valor-
agregado: Protegiendo los recursos del cliente
La seguridad debe ser flexible para poder ofrecer servicio
Los clientes pagan el OPEX como una cuota del servicio
Incrementa la relación con el cliente y aumenta los ingresos
3
Fortinet ConfidentialFortinet Confidential
El resguardo de la Información.
Retos de Negocios – Seguridad en
Aplicaciones/Bases de Datos
Las bases de datos (BD) almacenan la información más sensible
(Financiera, Clientes, HR) por ejemplo, # de Seguro Social, # de
Tarjeta de Crédito, # de Utilidades, etc.
Mitigar amenazas internas (Seguridad)
Cumplimiento de Regulaciones (PCI, SOX, Protección de
Privacidad, HIPAA, GLBA, BASEL II …)
Menor TCO
Fortinet ConfidentialFortinet Confidential
Optimiza tus Recursos.
• Incrementa el acceso a los datos y sistemas.
• Minimiza el riezgo de los accesos no autorizados.
• Reducir la complejidad de la infraestructura de seguridad.
• Baja costos de operación y de capital.
Fortinet ConfidentialFortinet Confidential
Repercusiones en el Mercado.
Pérdidas reportadas promedio de ataques internos fueron de $2.7M por incidente
— Encuesta CSI/FBI
Amenazas a la seguridad de Información, Realidades
78% de los perpetradores son usuarios autorizados: empleados, proveedores, etc. - CERT/Servicio Secreto
Fortinet ConfidentialFortinet Confidential
Mirando Nuevas Tecnologías.
• La tecnología escogida necesita seguir los Planes de Negocio (tipo de
oferta)
− p.e. La Tecnología escogida es una decisión de Negocio, NO de Ingeniería.
− Recordatorio. Los tipos de oferta son: En la nube, Basados en CPE, hibrido.
• Funciones de la Tecnología en Servicios Administrados de Seguridad
− Inspección: Analizar el tráfico para detectar y limpiar el contenido malicioso.
− Administración: configuración, actualizaciones de versión y de seguridad,
reportería.
− Lo anterior puede estar distribuido, centralizado o híbrido, dependiendo de la
oferta.
− Los Atributos de la Tecnología dependerán (una vez más) del tipo de oferta.
Fortinet ConfidentialFortinet Confidential
Es NECESARIO estar preparado.
• Eliminar los puntos ciegos.
• Cumplimiento de Políticas.
• Bajar el tiempo de respuesta.
• Realizar de manera eficiente las mejores
prácticas con ayuda de los expertos.
• Reducir el riesgo de perdida por
insignificante que parezca de la información.
Fortinet ConfidentialFortinet Confidential
Control de Acceso Seguro.
POLÍTICAS DE ACCESO.
ENTORNO SEGURO.
VPN IPSec / SSL / Mobilidad.
Taller.
Fortinet ConfidentialFortinet ConfidentialMay 20, 2011
Mundo Contact. (MX)Día 2
Alejandro Martínez.Ingeniería Pre-Venta [email protected]
Fortinet ConfidentialFortinet Confidential
Inovación: ¿Qué significa?
• Inovación es una nueva forma
de hacer algo o “cosas nuevas hechas para ser útiles”
• Puede ser incremental y emergente o radical y revolucionar cambios en pensamiento, productos, procesos y organizaciones.
Fortinet ConfidentialFortinet Confidential
Pensar Estrategicamente.
• Estar preparado para posiblescambios en la infraestructura de seguridad.
» Anticiparse a los cambios en cuestión de
amenazas con tecnología eficiente.
• Buscar nuevas oportunidades quefortalezcan la seguridad.
» Reducir la Complejidad.
» Incrementar la Seguridad.
» Disminuir el riesgo.
• Identificar y ofrecer respuestaseficientes ante las amenazas.
Fortinet ConfidentialFortinet Confidential
Aplicaciónes WEB.
Aplicaciónes públicas y
al alcance de todos.
Provee acceso a correo
electrónico, tiendas
departamentales,
periodicos y otros
servicios.
Provee ventajas
competitivas para el
comercio electrónico y
visibilidad del negocio. Servidores
De
Base de Datos
Front End
Web Servers
El Perimetro
del
Centro de Datos.
La complejidad de la seguridad de aplicaciones Web.
Fortinet ConfidentialFortinet Confidential
La complejidad de la seguridad de aplicaciones Web.
Aplicaciónes WEB diseñadas para
ofrecer contenido provechoso.
Algunas otras son desarrolladas
para culplir el proposito pero omiten
la seguridad.
Aplicaciones Expuestas.
Se expone información
sensible.
Ataques simples (Cambios en la
Configuración).
Ataques Mayores. (Robo de
Identidad)
Fortinet ConfidentialFortinet Confidential
• Las aplicaciónes por defecto son críticas.
• Pero…
• El 40% de las aplicaciónes WEB
continen vulnerabilidades de alto nivel
lo cual las hace propensas a ser
atacadas.
• 80%-96% son vulnerables a ataques
dedicados.
• 99% de las Aplicaciónes WEB no son
compatibles con PCI
Aplicaciónes. ¿Por que asegurarlas?
Fortinet ConfidentialFortinet Confidential
Aplicaciónes. ¿Por que asegurarlas?
• Las vulnerabilidades más comunes
no son controladas por la
seguridad Perimetral.
• Cross-site scripting
• SQL injection
• Information Leakage
• HTTP Response Splitting
• Consecuencias de un ataque:
• Perdida de ingresos.
• Penalizaciónes por no cumplir con
regulaciónes de ley.
• Daño a la marca (Fidelidad).
Fortinet ConfidentialFortinet Confidential
Equipos Físicos y Virtuales. Seguridad y alto rendimiento en equipos físicos para el perímetroVirtualización para Centro de Datos en zonas de seguridad.
Centros de Datos moviéndose a la Virtualización
Fortinet ConfidentialFortinet Confidential
Ambientes No Virtualizados.
Escritorio
Servidores
Servicios en la nube
SaaS
PaaS
laaS
Servicios Implementados en la Nube
Públicos
Privados
Comunidad
Hibridos
Éxito demostrado en entornos de seguridad virtual y en la nube. Apoyando a empresas y proveedores de servicios a ofrecer seguridad en modelos de negocio.
Redes Virtuales / Estrategias de Seguridad en la Nube
Fortinet ConfidentialFortinet Confidential
Puntos importantes de nuestros datos…
• Quien tiene el derecho de leer la Información.
• Quien tiene el derecho para realizar cambios.
• Que tán critica es la información.?
• Existen Datos Encriptados?
• Quien los respalda?
• Quien se asegura que los datos estendisponibles.?
• Que tan vulnerable esta ante un ataque.?
• Quienes son los administradores.?
• Cuales son esas amenazas?
• Quién está haciendo qué, dónde, cuándo y cómo?
Fortinet ConfidentialFortinet Confidential
Configuraciónes de Reporteo.
1. Company Name: MundoContact_2011
2. Company Logo: MundoContactLogo.jpg
Fortinet ConfidentialFortinet Confidential
Configurar la Base de Datos.(Oracle)
1. Ir a la opción Target Database Server Auto Discovery
2. Seleccionar la IP en la cual se encuentran las Bases de Datos.
3. Deseleccionar todas las Bases existentes excepto ORACLE:
4. Click en “Begin Discovery”
5. Se realizará una busqueda de Bases de Datos en la PC.
Fortinet ConfidentialFortinet Confidential
Configuremos el Objetivo.
1. Seleccionamos la Base (ORACLE)
2. La Agregamos como “Objetivo”
Fortinet ConfidentialFortinet Confidential
Continuando con la Conexión (Oracle).
1. Ir a Target Databases Server Targets
2. Seleccionar la Base de Datos Encontrada. (ORACLE)
3. Llenar la siguiente Información:
1. General:
• DB Name: orcl
• User Name: system
• Password: fortidb1!$ (La que se uso en la instalación.)
2. Classification
• Location: México D.F
• Usage: Xtreme Team 2010
4. Test Connection
5. Save
Fortinet ConfidentialFortinet Confidential
Viewing Assessment Results
1. Select created assessment
2. Go to Results tab
3. Select appropriate result from the list
4. Select appropriate target from the list
5. Review results
Summary Section
Detail Section
Fortinet ConfidentialFortinet Confidential
Vulnerability Assessment Dashboard
1. Go to Vulnerability Assessment Global Summary
2. Review dashboard
Fortinet ConfidentialFortinet Confidential
Generating Vulnerability Reports
1. Go to Reports Predefined VA Reports
2. Select Detailed Report
3. Select which assessment should be used for reporting
Assessment Name: Xtreme_Oracle_Assessment
Assessment Time: The least run
Target: Oracle DB
4. Scroll down and export the report as PDF
5. Take a moment to review generated report
Fortinet ConfidentialFortinet Confidential
Run the VA once more and generate a Trend Report
1. Run the assessment once again (you need at least three results
to generate a Trend Report)
2. Go to Reports and generate a new Trend Report. Select first
result as Report Start and the last one as Report End.
Fortinet ConfidentialFortinet Confidential
Run VA on All Databases
1. Edit Xtreme_Oracle_Assessment
2. Select Xtreme_DB group as Target
3. In Policies select:
• MySQL Policy Group
• Oracle Policy Group
• Pen Test Policy Group
• SQL Server Policy Group
4. Save it and Run it
5. Review results and generate reports
Fortinet ConfidentialFortinet Confidential
Creating Custom VA Policy (cont.)
• Name: Xtreme Vulnerability 1
• Database Type: Oracle
• SQL Query: “select ENAME, SAL from
SCOTT.EMP where SAL >= 3000
• Result Column Name(s): ENAME; SAL
• Result Column Label(s): Employee Name;
Salary
• Severity: Cautionary
• Classification: Unclassified
• Overview: Users with high salaries
Fortinet ConfidentialFortinet Confidential
Enable Native Audit in Oracle Database
• Connect to database using SQLPlus
• Execute:
SQL> conn sys/fortidb1!$ as sysdba ; (use password specified during
installation)
SQL> alter system set audit_trail=db_extended scope=spfile ; (enable
audit)
• Go to Windows Services and restart OracleServiceORCL
Fortinet ConfidentialFortinet Confidential
Configure Database Monitor in Oracle DB (cont.)
1. Go to Data Activity Monitoring Monitors
2. Click on Oracle monitor and configure it as follow
Policy Groups:
• All Oracle Policies
• Metadata Policies
• Privilege Policies
• SYS Operations
General:
• Collection Method: DB, EXTENDED
• Polling Frequency: 60 seconds
3. Test Connection
4. Save
Fortinet ConfidentialFortinet Confidential
Off-topic: About DB Monitor Status
• Monitor is running and all enabled policies are being applied
• Monitor is not running
• Monitor is starting
• Monitor is stopping
• Monitor had failed to start (check monitor’s log)
• Monitor has been changed and a Reconfigure is necessary
to apply changes to database
• Monitor is running but there’re policies that couldn’t be
activated (check monitor’s log)
Fortinet ConfidentialFortinet Confidential
Generating Database Events
1. Connect to Oracle Database with SQLPlus
2. Create a new user and grant Database Administrator role
SQL> create user badguy identified by verybad ;
SQL> grant dba to badguy ;
3. Review Alerts pane and verify new events
4. Review event details
Fortinet ConfidentialFortinet Confidential
Generating Database Events (cont.)
1. Connect to Oracle Database with SQLPlus as badguy
2. Open all-oracle-act.sql file with Notepad, select all lines, copy
and paste them in SQLPlus console.
3. Review Alerts pane and verify new events
4. Review event details
Fortinet ConfidentialFortinet Confidential
Contacto.
Alejandro Martínez.Ingeniería Pre-Venta [email protected]