Criptografía y Seguridad en Redes 1
Agenda Información y sus estados l Propiedades de Seguridad de la Información l Servicios y Mecanismos de Seguridad l Criptología l
l l l
Criptografía Criptoanálisis Esteganografía
Seguridad en Redes l Herramientas para Seguridad en Redes l Comentarios y Conclusiones l
2
Información y sus estados l La
información actual es digital l Su manejo implica considerar estados: Adquisición l Creación l Almacenamiento l Proceso (transformación, análisis, etc.) l Transmisión l
3
Problemas en manejo de Información l Confiabilidad
de las fuentes y de la información misma l Integridad (verificación) l Confidencialidad l Disponibilidad l Control de Acceso l Autenticación de las partes l No repudio 4
Más Problemas El canal es público l Uso canales seguros nada fácil, práctico, ni barato l Las fuentes pueden no ser compatibles ni confiables l Los sistemas de análisis y toma de decisiones asumen lo contrario l Los resultados y reportes pueden ser equivocados l Las decisiones se toman a partir de esos resultados l
5
Más Problemas l Información
más valiosa que el dinero l Hay que protegerla l No solo en almacenamiento y proceso l También durante la transmisión l Formas almacenamiento y proceso: dispositivos digitales l Formas de transmisión: redes y sistemas distribuidos 6
Más Problemas l Expuesta
a ataques de todo tipo l Nada fácil crear un modelo para estudiar la seguridad Redes heterogéneas de todos los tipos l Plataformas, medios, SO’s, arquitecturas distintas l La pesadilla: Internet l
l Que
hacer?? 7
Seguridad de la Informacion l Técnicas,
procedimientos, políticas y herramientas para proteger y resguardar información en medios y dispositivos electrónicos
l Proteger
la información almacenada en los equipos y la que se transfiere e intercambia por canales públicos 8
Seguridad de la Informacion l
Proteger informacion de amenazas, ataques y vulnerabilidades reales y potenciales
l
Garantizar propiedades de información en todos sus estados: creación, modificación, transmisión y almacenamiento
l
Implementar servicios de seguridad usando mecanismos útiles y eficientes 9
Servicios y Mecanismos de Seguridad l Naturaleza
pública del canal no se puede
cambiar l Sobre ese canal hay que saber qué se quiere: l
Servicios de Seguridad
l Sobre
ese canal hay que saber cómo se implementa (si se puede): l
Mecanismos de seguridad 10
Servicios y Mecanismos de Seguridad l Servicios
Mecanismos
Confidencialidad Cifrado l Integridad Funciones Hash l Autenticación Protocolos Criptográfico l Control de Acceso Esquemas de CA l No Repudio Firma Digital l Disponibilidad l
11
Seguridad Informática l Se
deben implementar los 5 primeros servicios para disminuir el riesgo de sufrir indisponibilidad l Los 5 primeros servicios se estandarizan en el ISO 7498-2 l El Triángulo de Oro de la Seguridad incluye: l l l
Confidencialidad Integridad Disponibilidad 12
Criptografía y Seguridad l4
de los 5 servicios estandarizados se implementan usando Criptografía: l Confidencialidad l Integridad
(Verificación) l Autenticación l No Repudio l No
se puede hablar de Seguridad sin hablar de Criptografía 13
Criptología l
Criptología se divide en: l l l
l
Criptografía Criptoanálisis Esteganografía
Criptografía: oculta información aplicando al mensaje M, una transformación (algoritmo) F, usando una llave K y produce el texto cifrado C Fk(M) = C 14
Criptografía l Algoritmo
F debe ser público
l Seguridad
debe basarse en:
Diseño y fortaleza de F l Mantener K en secreto l
l Algoritmo
F integra 2 procesos: Cifrado: Fk(M) = C Descifrado: F’k(C) = M 15
Criptografía l
Algoritmos usan diferentes bases de diseño: l
Operaciones elementales l l l
l
Matemáticas l l l
l
Teoría de Números (RSA, ElGamal, DSS, etc.) Problemas NP y NP Completos Curvas Elípticas (ECC)
Fisica Cuántica l l
l
Sustituciones (César, Vigenere, Vernam, etc.) Permutaciones Combinación de ambas (DES, AES, etc.)
Mecanica Cuántica Principio de Incertidumbre de Heinsenberg
Otras 16
Criptografía l Algoritmos l Simétricos l Usan
pueden ser: o de Llave Secreta
misma llave para cifrar y descifrar
l Asimétricos l La
llave que cifra es diferente a la que descifra
l Funciones l No
o de Llave Pública
Hash, Resumen o Compendio
usan llave 17
Criptografía l También
pueden ser por:
l Bloque l El
mensaje se procesa en bloques del mismo tamaño
l Flujo l El
mensaje se procesa como un todo por unidad básica 18
Criptografía l
Algoritmos Simétricos o de Llave Secreta l l l
l
Algoritmos Asimétricos o de Llave Pública l l l
l
DES (anterior estándar mundial) AES (Nuevo estándar mundial) 3DES RSA (Estándar de facto) ElGamal DSS (Digital Signature Standard)
Algoritmos Hash l l
MD5 SHA-1 19
Criptografía l
Algoritmos Simétricos l l l
l
Basan su diseño en operaciones elementales Buscan eficiencia Seguridad depende del tiempo y los recursos de cómputo
Aplicaciones de Criptografia Simétrica l l l
Cifrado de información no clasificada (Confidencialidad) Verificación de Integridad Autenticación 20
Criptografía l
Algoritmos Asimétricos l l l l
l
Diseño basado en problemas matemáticos Seguros computacionalmente Seguridad no depende de tiempo ni de recursos de cómputo Pero...son ineficientes
Aplicaciones de Criptografia Asimétrica l l l
Cifrado de informacion clasificada (Confidencialidad) Acuerdo de llave simétrica Firma Digital (Autenticación y No Repudio) 21
Criptografía l
Algoritmos Hash l l l l
l
Diseño basado en operaciones elementales Son eficientes Seguridad depende del tiempo y recursos de cómputo Proporcionan una huella digital del mensaje
Aplicaciones de Algoritmos Hash l l l l
Verificación de Integridad Autenticación Demostrar posesión de secretos sin revelar el secreto Virología 22
Aplicaciones de Criptografía l Actualmente
se usan de forma híbrida
Simétricos: eficientes l Asimétricos: seguros computacionalmente l Hash: eficientes y proporcionan huella digital l Se usan asimétricos para acordar llave simétrica l Acordada la llave simétrica, se usa un algoritmo simétrico para cifrar la información l Ejemplo: PGP, SSH, etc. l
23
Protocolos Criptográficos l Criptografía
por sí sola no sirve para
nada l Protocolos: hilos mágicos que conectan Seguridad con Criptografía l Todas las herramientas que proporcionan servicios de seguridad implementan protocolos l Ejemplo:
PGP, SSH, SET, SSL, etc. 24
Seguridad en Redes lA
problemas sin resolver (por no haber soluciones definitivas, por no conocerse o por no implementarlas) de la seguridad en: l l l l l l l
Controles de Acceso Bases de Datos Redes Sistemas Operativos SPAM Virus Etc. 25
Seguridad en Redes l Se
agregan: cómputo móvil y wireless l El grado y nivel de riesgo de amenazas, ataques y vulnerabilidades crece: l l l l l l l
Internet, Web y sus aplicaciones y desarrollos Tecnologías de código distribuible (Java, ActiveX) Sistemas abiertos y bancos de información Comercio electrónico Votaciones electrónicas Minería de datos y DWH Manejo de imágenes y multimedia 26
Seguridad en Redes l
El canal es público l l
l
l l
l
Usar canales cifrados. Ejemplo: SecureSHell Cifrar toda información que se intercambia. Ejemplo: usar Pretty Good Privacy (PGP) Usar sistemas de correo seguro (cifrado). Ejemplos: PGP, PEM, S/MIME Monitorear la red. Ejemplo: ntop y EtheReal Detectar intentos de intrusión. Ejemplo: usar IDS’s como Snort o alguno comercial de ISS Usar mismas armas que los atacantes para defensa. Ejemplos: sniffers como EtheReal y crackers como John the Ripper
27
Seguridad en Redes l No l l
Usar esquemas de firma y certificados digitales Ejemplo: PGP Usar protocolos fuertes de autenticación como IKE
l No l
se sabe la identidad del que envía o recibe
se sabe qué información entra y sale
Usar filtros de contenido
l No
se sabe de donde viene y a donde van los accesos l
Usar filtros por IP, aplicación, etc. Ejemplo: usar Firewalls como IPTable o IPChains, ChekPoint, etc. 28
Seguridad en Redes l
No se sabe si lo que se recibe es lo que se envió l l
l
No se sabe si la red y sus recursos se están utilizando como y para lo que se debe l l
l
Usar esquemas para verificar integridad. Ejemplo: PGP Usar protocolos que implementen códigos MIC/MAC usando funciones hash o cifrado simétrico
Implantar politicas de uso (ISO 17799 y 27001) Monitoreo y autoataque (ntop, Ethereal, John the Ripper)
No se sabe por donde me están atacando y que debilidades tiene mi red l
Usar analizadores de vulnerabilidades. Ejemplo: Nessus
29
Seguridad en Redes l
Ya sé por donde, pero no se qué hacer para proteger mi red l l l l
l
Actualizar software de sistemas y aplicaciones Instalar todos los parches de seguridad Cerrar puertos y aplicaciones no necesarios. Prohibir modems Informarse diario sobre nuevos ataques y vulnerabilidades e instalar los parches correspondientes
Ya estamos hartos del SPAM l l
Filtrado de contenidos y Firewalls Restringir tráfico de entrada y salida por IP, subject, idioma, etc. 30
Seguridad en Redes l Ya l
Usar un antivirus libre y realizar sus propias actualizaciones
l La l l
l
instalación de software es incontrolable
Prohibir instalar cualquier software y nombrar único responsable autorizado para ello Políticas de seguridad
l No l
no soportamos al proveedor de antivirus
sé cómo empezar
Empiece a estudiar Visite los sitios especializados 31
Aspectos que se deben considerar l l l l
l l l l l l l l l
Hay que tener Politicas de Seguridad Planes de Recuperacion y Continuidad en caso de Desastre (DRP y BCP) Sitios Alternos para funcionar y Respaldos de Informacion Sistemas de Detección de Intrusos
Análisis de bitácoras Monitoreo y análisis de actividades de usuarios para limitar privilegios Reconocimiento de ataques a la red. Frecuencia y origen de los ataques Registro de Consulta de páginas Internet y comunicaciones e-mail con personas desconocidas Monitoreo de tráfico de la red Verificación de Integridad de Archivos y Bases de Datos Auditorías a la configuración del sistema Monitoreo de Recursos Humanos que tienen acceso a información sensible (selección, reclutamiento y sistemas de desarrollo del personal) Sistemas de Control de Confianza
32
l
Aplicaciones Criptográficas
SSH (Secure SHell) http://www.ssh.com/support/downloads/ OpenSSL: http://www.openssl.org/source/ PGP: http://www.pgp.com/downloads/index.html GPG: http://www.gnupg.org
l
Correo Electrónico Seguro
S/MIME: http://www.ietf.org/html.charters/smime-charter.html PGP: http://www.pgp.com/downloads/index.html
l PKI
(Public Key Infrastucture)
Verisign: http://www.verisign.com/products-services/security-service OpenCA: http://www.openca.org/ l Autoridades
Certificadoras
Verisign: http://www.verisign.com/ Entrust: http://www.entrust.com/
l
IDS (Intrusion Detection System)
Snort: http://www.snort.org
Real Secure (ISS): http://www.iss.net/latam/spanish/products_service/enterprise_protecti
Cisco: http://www.cisco.com/en/US/products/sw/secursw/ps2113/index.html l
Firewalls
http://www.checkpoint.com/ http://www.cisco.com/en/US/products/hw/vpndevc/index.html http://www.watchguard.com/ http://europe.nokia.com/nokia/0,,76737,00.html
l Monitores
de Red
Ntop (Network Top) http://www.ntop.org Nagios http://www.nagios.org l Sniffers
TCPDump http://www.tcpdump.org/ Ethereal http://www.ethereal.com Windump http://www.winpcap.org/windump/ Etthercap http://ettercap.sourceforge.net/
l Analizadores
de Vulnerabilidades
Nessus http://www.nessus.org LANGUARD http://www.gfi.com/languard/
Internet Scanner (ISS) htttp://www.iss.net/products_services/enterprise_protection l Passwords
Crackers
John de Ripper http://www.openwall.com/john/
l ISO/IEC
17799-2005 http://www.iso.org/iso/en/prods-services/popstd
l ISO/IEC
27001
http://www.bsi-global.com/News/Releases/2005 l Sarbanes
Oxley http://www.s-ox.com/
l
ANTIVIRUS
AVAST (libre) http://www.avast.com/eng/free_virus_protectio.html CLAM WIN (libre) http://www.clamwin.com/ SYMANTEC http://www.symantec.com/index.htm MCAFFE http://www.mcafee.com/es/ PANDA http://www.pandasoftware.com AVG http://www.grisoft.com/doc/1
Recursos de Seguridad l www.nsa.gov l www.nist.gov l www.cert.org l www.securityfocus.org l www.packetstorm.org l www.sans.org
40
Comentarios y Conclusiones l l
Hay que empezar a preocuparse y ocuparse del problema Ejemplos en que nunca hubo ya necesidad: cuando ocurrió, no hubo nunca más que hacer porque había desaparecido todo l l
l
Biblioteca de Alejandría 11 Sept. 2001
A partir de 2001 el mundo cambió su visión, concepción y percepción de seguridad y su relación con las TI l l l
Replanteamiento total: Land Home Security Seguridad Nacional Estandarización global 41
Comentarios y Conclusiones l Estándares l l l
Globales
ISO 17799-2005 y 27001 Ley Sarbanes Oxley (SOX) BS 7799
l Para
empresas e instituciones, la seguridad ha dejado de ser un problema tecnológico para convertirse en ventaja competitiva l Toda empresa o institución que desee competir a nivel mundial tiene que cumplir esos estándares 42
Comentarios y Conclusiones l
La seguridad puede verse ahora en 3 niveles de responsabilidad l l l
Directores y cuadros ejecutivos Niveles técnicos y operativos Usuarios
l
Todos los niveles deben tener conciencia del problema
l
Todo gobierno actual se siente obligado a seguir las tendencias globales l l
Muchos no están preparados Están empezando a prepararse 43
Comentarios y Conclusiones l Tampoco l
las empresas están preparadas
Empiezan a darse cuenta
l No
es el mejor camino el que se sigue ahora para resolver el problema: l l l
Consultoría externa (cara y escasa): dependencia Productos ¨milagro¨ generales (no resuelven nada) Soluciones sobre la marcha (improvisación y arribismo)
l Hay l
que trabajar en educación en Seguridad
Universidades 44
l
Diplomado en Seguridad Informática
l
http://siberiano.aragon.unam.mx/diplomadoseguridad/juriquilla/
l
http://siberiano.aragon.unam.mx/ Diplomado en Tecnologías de Información http://siberiano.aragon.unam.mx/dti/juriquilla/ http://siberiano.aragon.unam.mx/dti/aragon/ http://siberiano.aragon.unam.mx/dti/ Laboratorio de Seguridad Informática, CTA http://leopardo.aragon.unam.mx/labsec/ Grupo de Seguridad de DGSCA
l l l l l l l
45
46