Seguridad-de-redes

Criptografía y Seguridad en Redes 1

Agenda Información y sus estados l Propiedades de Seguridad de la Información l Servicios y Mecanismos de Seguridad l Criptología l

l l l

Criptografía Criptoanálisis Esteganografía

Seguridad en Redes l Herramientas para Seguridad en Redes l Comentarios y Conclusiones l

2

Información y sus estados l La

información actual es digital l Su manejo implica considerar estados: Adquisición l Creación l Almacenamiento l Proceso (transformación, análisis, etc.) l Transmisión l

3

Problemas en manejo de Información l Confiabilidad

de las fuentes y de la información misma l Integridad (verificación) l Confidencialidad l Disponibilidad l Control de Acceso l Autenticación de las partes l No repudio 4

Más Problemas El canal es público l Uso canales seguros nada fácil, práctico, ni barato l Las fuentes pueden no ser compatibles ni confiables l Los sistemas de análisis y toma de decisiones asumen lo contrario l Los resultados y reportes pueden ser equivocados l Las decisiones se toman a partir de esos resultados l

5

Más Problemas l Información

más valiosa que el dinero l Hay que protegerla l No solo en almacenamiento y proceso l También durante la transmisión l Formas almacenamiento y proceso: dispositivos digitales l Formas de transmisión: redes y sistemas distribuidos 6

Más Problemas l Expuesta

a ataques de todo tipo l Nada fácil crear un modelo para estudiar la seguridad Redes heterogéneas de todos los tipos l Plataformas, medios, SO’s, arquitecturas distintas l La pesadilla: Internet l

l Que

hacer?? 7

Seguridad de la Informacion l Técnicas,

procedimientos, políticas y herramientas para proteger y resguardar información en medios y dispositivos electrónicos

l Proteger

la información almacenada en los equipos y la que se transfiere e intercambia por canales públicos 8

Seguridad de la Informacion l

Proteger informacion de amenazas, ataques y vulnerabilidades reales y potenciales

l

Garantizar propiedades de información en todos sus estados: creación, modificación, transmisión y almacenamiento

l

Implementar servicios de seguridad usando mecanismos útiles y eficientes 9

Servicios y Mecanismos de Seguridad l Naturaleza

pública del canal no se puede

cambiar l Sobre ese canal hay que saber qué se quiere: l

Servicios de Seguridad

l Sobre

ese canal hay que saber cómo se implementa (si se puede): l

Mecanismos de seguridad 10

Servicios y Mecanismos de Seguridad l Servicios

Mecanismos

Confidencialidad Cifrado l Integridad Funciones Hash l Autenticación Protocolos Criptográfico l Control de Acceso Esquemas de CA l No Repudio Firma Digital l Disponibilidad l

11

Seguridad Informática l Se

deben implementar los 5 primeros servicios para disminuir el riesgo de sufrir indisponibilidad l Los 5 primeros servicios se estandarizan en el ISO 7498-2 l El Triángulo de Oro de la Seguridad incluye: l l l

Confidencialidad Integridad Disponibilidad 12

Criptografía y Seguridad l4

de los 5 servicios estandarizados se implementan usando Criptografía: l Confidencialidad l Integridad

(Verificación) l Autenticación l No Repudio l No

se puede hablar de Seguridad sin hablar de Criptografía 13

Criptología l

Criptología se divide en: l l l

l

Criptografía Criptoanálisis Esteganografía

Criptografía: oculta información aplicando al mensaje M, una transformación (algoritmo) F, usando una llave K y produce el texto cifrado C Fk(M) = C 14

Criptografía l Algoritmo

F debe ser público

l Seguridad

debe basarse en:

Diseño y fortaleza de F l Mantener K en secreto l

l Algoritmo

F integra 2 procesos: Cifrado: Fk(M) = C Descifrado: F’k(C) = M 15

Criptografía l

Algoritmos usan diferentes bases de diseño: l

Operaciones elementales l l l

l

Matemáticas l l l

l

Teoría de Números (RSA, ElGamal, DSS, etc.) Problemas NP y NP Completos Curvas Elípticas (ECC)

Fisica Cuántica l l

l

Sustituciones (César, Vigenere, Vernam, etc.) Permutaciones Combinación de ambas (DES, AES, etc.)

Mecanica Cuántica Principio de Incertidumbre de Heinsenberg

Otras 16

Criptografía l Algoritmos l Simétricos l Usan

pueden ser: o de Llave Secreta

misma llave para cifrar y descifrar

l Asimétricos l La

llave que cifra es diferente a la que descifra

l Funciones l No

o de Llave Pública

Hash, Resumen o Compendio

usan llave 17

Criptografía l También

pueden ser por:

l Bloque l El

mensaje se procesa en bloques del mismo tamaño

l Flujo l El

mensaje se procesa como un todo por unidad básica 18

Criptografía l

Algoritmos Simétricos o de Llave Secreta l l l

l

Algoritmos Asimétricos o de Llave Pública l l l

l

DES (anterior estándar mundial) AES (Nuevo estándar mundial) 3DES RSA (Estándar de facto) ElGamal DSS (Digital Signature Standard)

Algoritmos Hash l l

MD5 SHA-1 19

Criptografía l

Algoritmos Simétricos l l l

l

Basan su diseño en operaciones elementales Buscan eficiencia Seguridad depende del tiempo y los recursos de cómputo

Aplicaciones de Criptografia Simétrica l l l

Cifrado de información no clasificada (Confidencialidad) Verificación de Integridad Autenticación 20

Criptografía l

Algoritmos Asimétricos l l l l

l

Diseño basado en problemas matemáticos Seguros computacionalmente Seguridad no depende de tiempo ni de recursos de cómputo Pero...son ineficientes

Aplicaciones de Criptografia Asimétrica l l l

Cifrado de informacion clasificada (Confidencialidad) Acuerdo de llave simétrica Firma Digital (Autenticación y No Repudio) 21

Criptografía l

Algoritmos Hash l l l l

l

Diseño basado en operaciones elementales Son eficientes Seguridad depende del tiempo y recursos de cómputo Proporcionan una huella digital del mensaje

Aplicaciones de Algoritmos Hash l l l l

Verificación de Integridad Autenticación Demostrar posesión de secretos sin revelar el secreto Virología 22

Aplicaciones de Criptografía l Actualmente

se usan de forma híbrida

Simétricos: eficientes l Asimétricos: seguros computacionalmente l Hash: eficientes y proporcionan huella digital l Se usan asimétricos para acordar llave simétrica l Acordada la llave simétrica, se usa un algoritmo simétrico para cifrar la información l Ejemplo: PGP, SSH, etc. l

23

Protocolos Criptográficos l Criptografía

por sí sola no sirve para

nada l Protocolos: hilos mágicos que conectan Seguridad con Criptografía l Todas las herramientas que proporcionan servicios de seguridad implementan protocolos l Ejemplo:

PGP, SSH, SET, SSL, etc. 24

Seguridad en Redes lA

problemas sin resolver (por no haber soluciones definitivas, por no conocerse o por no implementarlas) de la seguridad en: l l l l l l l

Controles de Acceso Bases de Datos Redes Sistemas Operativos SPAM Virus Etc. 25

Seguridad en Redes l Se

agregan: cómputo móvil y wireless l El grado y nivel de riesgo de amenazas, ataques y vulnerabilidades crece: l l l l l l l

Internet, Web y sus aplicaciones y desarrollos Tecnologías de código distribuible (Java, ActiveX) Sistemas abiertos y bancos de información Comercio electrónico Votaciones electrónicas Minería de datos y DWH Manejo de imágenes y multimedia 26

Seguridad en Redes l

El canal es público l l

l

l l

l

Usar canales cifrados. Ejemplo: SecureSHell Cifrar toda información que se intercambia. Ejemplo: usar Pretty Good Privacy (PGP) Usar sistemas de correo seguro (cifrado). Ejemplos: PGP, PEM, S/MIME Monitorear la red. Ejemplo: ntop y EtheReal Detectar intentos de intrusión. Ejemplo: usar IDS’s como Snort o alguno comercial de ISS Usar mismas armas que los atacantes para defensa. Ejemplos: sniffers como EtheReal y crackers como John the Ripper

27

Seguridad en Redes l No l l

Usar esquemas de firma y certificados digitales Ejemplo: PGP Usar protocolos fuertes de autenticación como IKE

l No l

se sabe la identidad del que envía o recibe

se sabe qué información entra y sale

Usar filtros de contenido

l No

se sabe de donde viene y a donde van los accesos l

Usar filtros por IP, aplicación, etc. Ejemplo: usar Firewalls como IPTable o IPChains, ChekPoint, etc. 28

Seguridad en Redes l

No se sabe si lo que se recibe es lo que se envió l l

l

No se sabe si la red y sus recursos se están utilizando como y para lo que se debe l l

l

Usar esquemas para verificar integridad. Ejemplo: PGP Usar protocolos que implementen códigos MIC/MAC usando funciones hash o cifrado simétrico

Implantar politicas de uso (ISO 17799 y 27001) Monitoreo y autoataque (ntop, Ethereal, John the Ripper)

No se sabe por donde me están atacando y que debilidades tiene mi red l

Usar analizadores de vulnerabilidades. Ejemplo: Nessus

29

Seguridad en Redes l

Ya sé por donde, pero no se qué hacer para proteger mi red l l l l

l

Actualizar software de sistemas y aplicaciones Instalar todos los parches de seguridad Cerrar puertos y aplicaciones no necesarios. Prohibir modems Informarse diario sobre nuevos ataques y vulnerabilidades e instalar los parches correspondientes

Ya estamos hartos del SPAM l l

Filtrado de contenidos y Firewalls Restringir tráfico de entrada y salida por IP, subject, idioma, etc. 30

Seguridad en Redes l Ya l

Usar un antivirus libre y realizar sus propias actualizaciones

l La l l

l

instalación de software es incontrolable

Prohibir instalar cualquier software y nombrar único responsable autorizado para ello Políticas de seguridad

l No l

no soportamos al proveedor de antivirus

sé cómo empezar

Empiece a estudiar Visite los sitios especializados 31

Aspectos que se deben considerar l l l l

l l l l l l l l l

Hay que tener Politicas de Seguridad Planes de Recuperacion y Continuidad en caso de Desastre (DRP y BCP) Sitios Alternos para funcionar y Respaldos de Informacion Sistemas de Detección de Intrusos

Análisis de bitácoras Monitoreo y análisis de actividades de usuarios para limitar privilegios Reconocimiento de ataques a la red. Frecuencia y origen de los ataques Registro de Consulta de páginas Internet y comunicaciones e-mail con personas desconocidas Monitoreo de tráfico de la red Verificación de Integridad de Archivos y Bases de Datos Auditorías a la configuración del sistema Monitoreo de Recursos Humanos que tienen acceso a información sensible (selección, reclutamiento y sistemas de desarrollo del personal) Sistemas de Control de Confianza

32

l

Aplicaciones Criptográficas

SSH (Secure SHell) http://www.ssh.com/support/downloads/ OpenSSL: http://www.openssl.org/source/ PGP: http://www.pgp.com/downloads/index.html GPG: http://www.gnupg.org

l

Correo Electrónico Seguro

S/MIME: http://www.ietf.org/html.charters/smime-charter.html PGP: http://www.pgp.com/downloads/index.html

l PKI

(Public Key Infrastucture)

Verisign: http://www.verisign.com/products-services/security-service OpenCA: http://www.openca.org/ l Autoridades

Certificadoras

Verisign: http://www.verisign.com/ Entrust: http://www.entrust.com/

l

IDS (Intrusion Detection System)

Snort: http://www.snort.org

Real Secure (ISS): http://www.iss.net/latam/spanish/products_service/enterprise_protecti

Cisco: http://www.cisco.com/en/US/products/sw/secursw/ps2113/index.html l

Firewalls

http://www.checkpoint.com/ http://www.cisco.com/en/US/products/hw/vpndevc/index.html http://www.watchguard.com/ http://europe.nokia.com/nokia/0,,76737,00.html

l Monitores

de Red

Ntop (Network Top) http://www.ntop.org Nagios http://www.nagios.org l Sniffers

TCPDump http://www.tcpdump.org/ Ethereal http://www.ethereal.com Windump http://www.winpcap.org/windump/ Etthercap http://ettercap.sourceforge.net/

l Analizadores

de Vulnerabilidades

Nessus http://www.nessus.org LANGUARD http://www.gfi.com/languard/

Internet Scanner (ISS) htttp://www.iss.net/products_services/enterprise_protection l Passwords

Crackers

John de Ripper http://www.openwall.com/john/

l ISO/IEC

17799-2005 http://www.iso.org/iso/en/prods-services/popstd

l ISO/IEC

27001

http://www.bsi-global.com/News/Releases/2005 l Sarbanes

Oxley http://www.s-ox.com/

l

ANTIVIRUS

AVAST (libre) http://www.avast.com/eng/free_virus_protectio.html CLAM WIN (libre) http://www.clamwin.com/ SYMANTEC http://www.symantec.com/index.htm MCAFFE http://www.mcafee.com/es/ PANDA http://www.pandasoftware.com AVG http://www.grisoft.com/doc/1

Recursos de Seguridad l www.nsa.gov l www.nist.gov l www.cert.org l www.securityfocus.org l www.packetstorm.org l www.sans.org

40

Comentarios y Conclusiones l l

Hay que empezar a preocuparse y ocuparse del problema Ejemplos en que nunca hubo ya necesidad: cuando ocurrió, no hubo nunca más que hacer porque había desaparecido todo l l

l

Biblioteca de Alejandría 11 Sept. 2001

A partir de 2001 el mundo cambió su visión, concepción y percepción de seguridad y su relación con las TI l l l

Replanteamiento total: Land Home Security Seguridad Nacional Estandarización global 41

Comentarios y Conclusiones l Estándares l l l

Globales

ISO 17799-2005 y 27001 Ley Sarbanes Oxley (SOX) BS 7799

l Para

empresas e instituciones, la seguridad ha dejado de ser un problema tecnológico para convertirse en ventaja competitiva l Toda empresa o institución que desee competir a nivel mundial tiene que cumplir esos estándares 42

Comentarios y Conclusiones l

La seguridad puede verse ahora en 3 niveles de responsabilidad l l l

Directores y cuadros ejecutivos Niveles técnicos y operativos Usuarios

l

Todos los niveles deben tener conciencia del problema

l

Todo gobierno actual se siente obligado a seguir las tendencias globales l l

Muchos no están preparados Están empezando a prepararse 43

Comentarios y Conclusiones l Tampoco l

las empresas están preparadas

Empiezan a darse cuenta

l No

es el mejor camino el que se sigue ahora para resolver el problema: l l l

Consultoría externa (cara y escasa): dependencia Productos ¨milagro¨ generales (no resuelven nada) Soluciones sobre la marcha (improvisación y arribismo)

l Hay l

que trabajar en educación en Seguridad

Universidades 44

l

Diplomado en Seguridad Informática

l

http://siberiano.aragon.unam.mx/diplomadoseguridad/juriquilla/

l

http://siberiano.aragon.unam.mx/ Diplomado en Tecnologías de Información http://siberiano.aragon.unam.mx/dti/juriquilla/ http://siberiano.aragon.unam.mx/dti/aragon/ http://siberiano.aragon.unam.mx/dti/ Laboratorio de Seguridad Informática, CTA http://leopardo.aragon.unam.mx/labsec/ Grupo de Seguridad de DGSCA

l l l l l l l

45

46