Seguridad-de-redes

  • Uploaded by: Alumno
  • 0
  • 0
  • May 2020
  • PDF

This document was uploaded by user and they confirmed that they have the permission to share it. If you are author or own the copyright of this book, please report to us by using this DMCA report form. Report DMCA


Overview

Download & View Seguridad-de-redes as PDF for free.

More details

  • Words: 2,046
  • Pages: 46
Criptografía y Seguridad en Redes 1

Agenda Información y sus estados l Propiedades de Seguridad de la Información l Servicios y Mecanismos de Seguridad l Criptología l

l l l

Criptografía Criptoanálisis Esteganografía

Seguridad en Redes l Herramientas para Seguridad en Redes l Comentarios y Conclusiones l

2

Información y sus estados l La

información actual es digital l Su manejo implica considerar estados: Adquisición l Creación l Almacenamiento l Proceso (transformación, análisis, etc.) l Transmisión l

3

Problemas en manejo de Información l Confiabilidad

de las fuentes y de la información misma l Integridad (verificación) l Confidencialidad l Disponibilidad l Control de Acceso l Autenticación de las partes l No repudio 4

Más Problemas El canal es público l Uso canales seguros nada fácil, práctico, ni barato l Las fuentes pueden no ser compatibles ni confiables l Los sistemas de análisis y toma de decisiones asumen lo contrario l Los resultados y reportes pueden ser equivocados l Las decisiones se toman a partir de esos resultados l

5

Más Problemas l Información

más valiosa que el dinero l Hay que protegerla l No solo en almacenamiento y proceso l También durante la transmisión l Formas almacenamiento y proceso: dispositivos digitales l Formas de transmisión: redes y sistemas distribuidos 6

Más Problemas l Expuesta

a ataques de todo tipo l Nada fácil crear un modelo para estudiar la seguridad Redes heterogéneas de todos los tipos l Plataformas, medios, SO’s, arquitecturas distintas l La pesadilla: Internet l

l Que

hacer?? 7

Seguridad de la Informacion l Técnicas,

procedimientos, políticas y herramientas para proteger y resguardar información en medios y dispositivos electrónicos

l Proteger

la información almacenada en los equipos y la que se transfiere e intercambia por canales públicos 8

Seguridad de la Informacion l

Proteger informacion de amenazas, ataques y vulnerabilidades reales y potenciales

l

Garantizar propiedades de información en todos sus estados: creación, modificación, transmisión y almacenamiento

l

Implementar servicios de seguridad usando mecanismos útiles y eficientes 9

Servicios y Mecanismos de Seguridad l Naturaleza

pública del canal no se puede

cambiar l Sobre ese canal hay que saber qué se quiere: l

Servicios de Seguridad

l Sobre

ese canal hay que saber cómo se implementa (si se puede): l

Mecanismos de seguridad 10

Servicios y Mecanismos de Seguridad l Servicios

Mecanismos

Confidencialidad Cifrado l Integridad Funciones Hash l Autenticación Protocolos Criptográfico l Control de Acceso Esquemas de CA l No Repudio Firma Digital l Disponibilidad l

11

Seguridad Informática l Se

deben implementar los 5 primeros servicios para disminuir el riesgo de sufrir indisponibilidad l Los 5 primeros servicios se estandarizan en el ISO 7498-2 l El Triángulo de Oro de la Seguridad incluye: l l l

Confidencialidad Integridad Disponibilidad 12

Criptografía y Seguridad l4

de los 5 servicios estandarizados se implementan usando Criptografía: l Confidencialidad l Integridad

(Verificación) l Autenticación l No Repudio l No

se puede hablar de Seguridad sin hablar de Criptografía 13

Criptología l

Criptología se divide en: l l l

l

Criptografía Criptoanálisis Esteganografía

Criptografía: oculta información aplicando al mensaje M, una transformación (algoritmo) F, usando una llave K y produce el texto cifrado C Fk(M) = C 14

Criptografía l Algoritmo

F debe ser público

l Seguridad

debe basarse en:

Diseño y fortaleza de F l Mantener K en secreto l

l Algoritmo

F integra 2 procesos: Cifrado: Fk(M) = C Descifrado: F’k(C) = M 15

Criptografía l

Algoritmos usan diferentes bases de diseño: l

Operaciones elementales l l l

l

Matemáticas l l l

l

Teoría de Números (RSA, ElGamal, DSS, etc.) Problemas NP y NP Completos Curvas Elípticas (ECC)

Fisica Cuántica l l

l

Sustituciones (César, Vigenere, Vernam, etc.) Permutaciones Combinación de ambas (DES, AES, etc.)

Mecanica Cuántica Principio de Incertidumbre de Heinsenberg

Otras 16

Criptografía l Algoritmos l Simétricos l Usan

pueden ser: o de Llave Secreta

misma llave para cifrar y descifrar

l Asimétricos l La

llave que cifra es diferente a la que descifra

l Funciones l No

o de Llave Pública

Hash, Resumen o Compendio

usan llave 17

Criptografía l También

pueden ser por:

l Bloque l El

mensaje se procesa en bloques del mismo tamaño

l Flujo l El

mensaje se procesa como un todo por unidad básica 18

Criptografía l

Algoritmos Simétricos o de Llave Secreta l l l

l

Algoritmos Asimétricos o de Llave Pública l l l

l

DES (anterior estándar mundial) AES (Nuevo estándar mundial) 3DES RSA (Estándar de facto) ElGamal DSS (Digital Signature Standard)

Algoritmos Hash l l

MD5 SHA-1 19

Criptografía l

Algoritmos Simétricos l l l

l

Basan su diseño en operaciones elementales Buscan eficiencia Seguridad depende del tiempo y los recursos de cómputo

Aplicaciones de Criptografia Simétrica l l l

Cifrado de información no clasificada (Confidencialidad) Verificación de Integridad Autenticación 20

Criptografía l

Algoritmos Asimétricos l l l l

l

Diseño basado en problemas matemáticos Seguros computacionalmente Seguridad no depende de tiempo ni de recursos de cómputo Pero...son ineficientes

Aplicaciones de Criptografia Asimétrica l l l

Cifrado de informacion clasificada (Confidencialidad) Acuerdo de llave simétrica Firma Digital (Autenticación y No Repudio) 21

Criptografía l

Algoritmos Hash l l l l

l

Diseño basado en operaciones elementales Son eficientes Seguridad depende del tiempo y recursos de cómputo Proporcionan una huella digital del mensaje

Aplicaciones de Algoritmos Hash l l l l

Verificación de Integridad Autenticación Demostrar posesión de secretos sin revelar el secreto Virología 22

Aplicaciones de Criptografía l Actualmente

se usan de forma híbrida

Simétricos: eficientes l Asimétricos: seguros computacionalmente l Hash: eficientes y proporcionan huella digital l Se usan asimétricos para acordar llave simétrica l Acordada la llave simétrica, se usa un algoritmo simétrico para cifrar la información l Ejemplo: PGP, SSH, etc. l

23

Protocolos Criptográficos l Criptografía

por sí sola no sirve para

nada l Protocolos: hilos mágicos que conectan Seguridad con Criptografía l Todas las herramientas que proporcionan servicios de seguridad implementan protocolos l Ejemplo:

PGP, SSH, SET, SSL, etc. 24

Seguridad en Redes lA

problemas sin resolver (por no haber soluciones definitivas, por no conocerse o por no implementarlas) de la seguridad en: l l l l l l l

Controles de Acceso Bases de Datos Redes Sistemas Operativos SPAM Virus Etc. 25

Seguridad en Redes l Se

agregan: cómputo móvil y wireless l El grado y nivel de riesgo de amenazas, ataques y vulnerabilidades crece: l l l l l l l

Internet, Web y sus aplicaciones y desarrollos Tecnologías de código distribuible (Java, ActiveX) Sistemas abiertos y bancos de información Comercio electrónico Votaciones electrónicas Minería de datos y DWH Manejo de imágenes y multimedia 26

Seguridad en Redes l

El canal es público l l

l

l l

l

Usar canales cifrados. Ejemplo: SecureSHell Cifrar toda información que se intercambia. Ejemplo: usar Pretty Good Privacy (PGP) Usar sistemas de correo seguro (cifrado). Ejemplos: PGP, PEM, S/MIME Monitorear la red. Ejemplo: ntop y EtheReal Detectar intentos de intrusión. Ejemplo: usar IDS’s como Snort o alguno comercial de ISS Usar mismas armas que los atacantes para defensa. Ejemplos: sniffers como EtheReal y crackers como John the Ripper

27

Seguridad en Redes l No l l

Usar esquemas de firma y certificados digitales Ejemplo: PGP Usar protocolos fuertes de autenticación como IKE

l No l

se sabe la identidad del que envía o recibe

se sabe qué información entra y sale

Usar filtros de contenido

l No

se sabe de donde viene y a donde van los accesos l

Usar filtros por IP, aplicación, etc. Ejemplo: usar Firewalls como IPTable o IPChains, ChekPoint, etc. 28

Seguridad en Redes l

No se sabe si lo que se recibe es lo que se envió l l

l

No se sabe si la red y sus recursos se están utilizando como y para lo que se debe l l

l

Usar esquemas para verificar integridad. Ejemplo: PGP Usar protocolos que implementen códigos MIC/MAC usando funciones hash o cifrado simétrico

Implantar politicas de uso (ISO 17799 y 27001) Monitoreo y autoataque (ntop, Ethereal, John the Ripper)

No se sabe por donde me están atacando y que debilidades tiene mi red l

Usar analizadores de vulnerabilidades. Ejemplo: Nessus

29

Seguridad en Redes l

Ya sé por donde, pero no se qué hacer para proteger mi red l l l l

l

Actualizar software de sistemas y aplicaciones Instalar todos los parches de seguridad Cerrar puertos y aplicaciones no necesarios. Prohibir modems Informarse diario sobre nuevos ataques y vulnerabilidades e instalar los parches correspondientes

Ya estamos hartos del SPAM l l

Filtrado de contenidos y Firewalls Restringir tráfico de entrada y salida por IP, subject, idioma, etc. 30

Seguridad en Redes l Ya l

Usar un antivirus libre y realizar sus propias actualizaciones

l La l l

l

instalación de software es incontrolable

Prohibir instalar cualquier software y nombrar único responsable autorizado para ello Políticas de seguridad

l No l

no soportamos al proveedor de antivirus

sé cómo empezar

Empiece a estudiar Visite los sitios especializados 31

Aspectos que se deben considerar l l l l

l l l l l l l l l

Hay que tener Politicas de Seguridad Planes de Recuperacion y Continuidad en caso de Desastre (DRP y BCP) Sitios Alternos para funcionar y Respaldos de Informacion Sistemas de Detección de Intrusos

Análisis de bitácoras Monitoreo y análisis de actividades de usuarios para limitar privilegios Reconocimiento de ataques a la red. Frecuencia y origen de los ataques Registro de Consulta de páginas Internet y comunicaciones e-mail con personas desconocidas Monitoreo de tráfico de la red Verificación de Integridad de Archivos y Bases de Datos Auditorías a la configuración del sistema Monitoreo de Recursos Humanos que tienen acceso a información sensible (selección, reclutamiento y sistemas de desarrollo del personal) Sistemas de Control de Confianza

32

l

Aplicaciones Criptográficas

SSH (Secure SHell) http://www.ssh.com/support/downloads/ OpenSSL: http://www.openssl.org/source/ PGP: http://www.pgp.com/downloads/index.html GPG: http://www.gnupg.org

l

Correo Electrónico Seguro

S/MIME: http://www.ietf.org/html.charters/smime-charter.html PGP: http://www.pgp.com/downloads/index.html

l PKI

(Public Key Infrastucture)

Verisign: http://www.verisign.com/products-services/security-service OpenCA: http://www.openca.org/ l Autoridades

Certificadoras

Verisign: http://www.verisign.com/ Entrust: http://www.entrust.com/

l

IDS (Intrusion Detection System)

Snort: http://www.snort.org

Real Secure (ISS): http://www.iss.net/latam/spanish/products_service/enterprise_protecti

Cisco: http://www.cisco.com/en/US/products/sw/secursw/ps2113/index.html l

Firewalls

http://www.checkpoint.com/ http://www.cisco.com/en/US/products/hw/vpndevc/index.html http://www.watchguard.com/ http://europe.nokia.com/nokia/0,,76737,00.html

l Monitores

de Red

Ntop (Network Top) http://www.ntop.org Nagios http://www.nagios.org l Sniffers

TCPDump http://www.tcpdump.org/ Ethereal http://www.ethereal.com Windump http://www.winpcap.org/windump/ Etthercap http://ettercap.sourceforge.net/

l Analizadores

de Vulnerabilidades

Nessus http://www.nessus.org LANGUARD http://www.gfi.com/languard/

Internet Scanner (ISS) htttp://www.iss.net/products_services/enterprise_protection l Passwords

Crackers

John de Ripper http://www.openwall.com/john/

l ISO/IEC

17799-2005 http://www.iso.org/iso/en/prods-services/popstd

l ISO/IEC

27001

http://www.bsi-global.com/News/Releases/2005 l Sarbanes

Oxley http://www.s-ox.com/

l

ANTIVIRUS

AVAST (libre) http://www.avast.com/eng/free_virus_protectio.html CLAM WIN (libre) http://www.clamwin.com/ SYMANTEC http://www.symantec.com/index.htm MCAFFE http://www.mcafee.com/es/ PANDA http://www.pandasoftware.com AVG http://www.grisoft.com/doc/1

Recursos de Seguridad l www.nsa.gov l www.nist.gov l www.cert.org l www.securityfocus.org l www.packetstorm.org l www.sans.org

40

Comentarios y Conclusiones l l

Hay que empezar a preocuparse y ocuparse del problema Ejemplos en que nunca hubo ya necesidad: cuando ocurrió, no hubo nunca más que hacer porque había desaparecido todo l l

l

Biblioteca de Alejandría 11 Sept. 2001

A partir de 2001 el mundo cambió su visión, concepción y percepción de seguridad y su relación con las TI l l l

Replanteamiento total: Land Home Security Seguridad Nacional Estandarización global 41

Comentarios y Conclusiones l Estándares l l l

Globales

ISO 17799-2005 y 27001 Ley Sarbanes Oxley (SOX) BS 7799

l Para

empresas e instituciones, la seguridad ha dejado de ser un problema tecnológico para convertirse en ventaja competitiva l Toda empresa o institución que desee competir a nivel mundial tiene que cumplir esos estándares 42

Comentarios y Conclusiones l

La seguridad puede verse ahora en 3 niveles de responsabilidad l l l

Directores y cuadros ejecutivos Niveles técnicos y operativos Usuarios

l

Todos los niveles deben tener conciencia del problema

l

Todo gobierno actual se siente obligado a seguir las tendencias globales l l

Muchos no están preparados Están empezando a prepararse 43

Comentarios y Conclusiones l Tampoco l

las empresas están preparadas

Empiezan a darse cuenta

l No

es el mejor camino el que se sigue ahora para resolver el problema: l l l

Consultoría externa (cara y escasa): dependencia Productos ¨milagro¨ generales (no resuelven nada) Soluciones sobre la marcha (improvisación y arribismo)

l Hay l

que trabajar en educación en Seguridad

Universidades 44

l

Diplomado en Seguridad Informática

l

http://siberiano.aragon.unam.mx/diplomadoseguridad/juriquilla/

l

http://siberiano.aragon.unam.mx/ Diplomado en Tecnologías de Información http://siberiano.aragon.unam.mx/dti/juriquilla/ http://siberiano.aragon.unam.mx/dti/aragon/ http://siberiano.aragon.unam.mx/dti/ Laboratorio de Seguridad Informática, CTA http://leopardo.aragon.unam.mx/labsec/ Grupo de Seguridad de DGSCA

l l l l l l l

45

46

More Documents from "Alumno"

May 2020 9
Calidad De Servicio
May 2020 3
Estandar 802.11 N
May 2020 8
Protocolo Profibus
May 2020 5
Iptv
May 2020 12