Académique Documents
Professionnel Documents
Culture Documents
• Profesores :
– Unai Arronategui : unai@unizar.es, D. 1.02
– Elvira Mayordomo: elvira@unizar.es, D 1.05
– Fernando Tricas : ftricas@unizar.es, D 1.14
• Militar...
• Aplicaciones
• Sistemas operativos
• Redes de computadores
• Criptografía
Master Servicios Web, Seguridad Informática y Aplicaciones de Comercio Electrónico
Departamento de Informática e Ingeniería de Sistemas (Univ. Zaragoza) Seguridad Informática : Sistemas y redes 4
Definiciones de Seguridad Informática
Implementación.
Master Servicios Web, Seguridad Informática y Aplicaciones de Comercio Electrónico
Departamento de Informática e Ingeniería de Sistemas (Univ. Zaragoza) Seguridad Informática : Sistemas y redes 7
Planificar las necesidades
Tipos :
– Confidencialidad (Privacidad) : ley de protección de datos.
– Integridad de datos.
– Disponibilidad.
– Consistencia.
– Control.
– Auditoría.
Ejemplos :
– Banco: integridad, control y capacidades de auditoría
– Defensa : confidencialidad
– Universidad : integridad y disponibilidad
Master Servicios Web, Seguridad Informática y Aplicaciones de Comercio Electrónico
Departamento de Informática e Ingeniería de Sistemas (Univ. Zaragoza) Seguridad Informática : Sistemas y redes 8
Evaluación de riesgos
3 pasos :
– Identificación de bienes y su valor
– Identificación de peligros
– Cálculo de riesgos
Master Servicios Web, Seguridad Informática y Aplicaciones de Comercio Electrónico
Departamento de Informática e Ingeniería de Sistemas (Univ. Zaragoza) Seguridad Informática : Sistemas y redes 9
Evaluación de riesgos (II)
Problemas físicos :
– Fenómenos naturales : incendios, inundaciones, terremotos,...
– Acceso a componentes físicos del sistema : ordenador, consola de
administración, cables de red, etc.
Problemas lógicos :
– Errores en los programas.
– Utilización incorrecta por parte de los usuarios (educación).
– Utilización fraudulenta del sistema.
– Principalmente, tres categorías :
Contraseñas.
Sistemas de ficheros.
La red.
Herramientas para la detección de riesgos informáticos.
Master Servicios Web, Seguridad Informática y Aplicaciones de Comercio Electrónico
Departamento de Informática e Ingeniería de Sistemas (Univ. Zaragoza) Seguridad Informática : Sistemas y redes 10
Análisis de costes/beneficios y mejores
prácticas
Coste de la pérdida.
Probabilidad de pérdida.
Coste de la prevención. Comparativas. Prioridades.
Seguro = 1 / Utilizable.
Procedimientos estándares.
Guías.
Master Servicios Web, Seguridad Informática y Aplicaciones de Comercio Electrónico
Departamento de Informática e Ingeniería de Sistemas (Univ. Zaragoza) Seguridad Informática : Sistemas y redes 12
Políticas de seguridad (II)
Ideas en el desarrollo de políticas :
– Asignar propiedad a información y equipos.
– Enfocar la expresión de políticas de forma positiva.
– Recordar que empleados y usuarios son personas
– Educar a los usuarios.
– Responsabilidad debe conllevar autoridad.
– Conocer el périmetro de seguridad (portátiles, PDAs, redes
inalámbricas, ordenadores utilizados en casa, DVDs, discos extraibles,
visitas, impresoras, copiadoras, fax,..)
– Decidir filosofía básica (permitido lo no especificado o inversa)
– Niveles independientes y redundantes de defensa a varios niveles, con
auditoría y monitorización
Master Servicios Web, Seguridad Informática y Aplicaciones de Comercio Electrónico
Departamento de Informática e Ingeniería de Sistemas (Univ. Zaragoza) Seguridad Informática : Sistemas y redes 13
Implementación
• Gestión de riesgos supone sentido común.
– Uso de tecnologías y educación de personas
– Múltiples niveles de defensa
– Priorizar
• Auditorías de cumplimiento de políticas. Problemas :
– Personal insuficiente (falta formación, sobrecarga,..)
– Material insuficiente (inadecuación de recursos, sobrecarga,..)
– Organización insuficiente (asignación responsabilidades y
autoridades, conflictos de responsabilidades, tareas poco claras)
– Política insuficiente (riesgos no previstos, incompletud,
conflictos de políticas, discordancia entre políticas y contexto)
Master Servicios Web, Seguridad Informática y Aplicaciones de Comercio Electrónico
Departamento de Informática e Ingeniería de Sistemas (Univ. Zaragoza) Seguridad Informática : Sistemas y redes 14
Implementación (II)
• Respuestas a incidentes
• Modelos de Protección
– Permisos y privilegios
– Control de accesos
• Simplificación de servicios.
• Navegadores web
• Privacidad
Master Servicios Web, Seguridad Informática y Aplicaciones de Comercio Electrónico
Departamento de Informática e Ingeniería de Sistemas (Univ. Zaragoza) Seguridad Informática : Sistemas y redes 22
Operaciones regulares de seguridad
• Actualización adecuada del software.
• Copias de Seguridad
• Gestión de contraseñas (robustez, contraseñas de una vez,....)
• Monitorización del sistema informático :
– Análisis del registro de eventos del sistema
– Gestión de integridad del sistema de ficheros (Tripwire)
– Sistemas de detección de intrusiones :
• Local a partir del análisis del registro de eventos (swatch)
• De red (NIDS) : detección de pautas de paquetes y de acceso a puertos
UDP/TCP (Snort,...).
– Auditoría de sistema y/o red (Bastille Linux, COPS, SATAN, Nessus,.....)
Master Servicios Web, Seguridad Informática y Aplicaciones de Comercio Electrónico
Departamento de Informática e Ingeniería de Sistemas (Univ. Zaragoza) Seguridad Informática : Sistemas y redes 23
Sistema de autentificación Kerberos
• Sistema de autentificación de única firma en red con
posibilidad de privacidad. Versión 5: MIT, Heimdal,
Windows 200X
• Abstracción de acceso de programas a servicios Kerberos :
– Estándar IETF: Generic Security Services API (GSS-API).
disponible en C, C++, JAVA.
– Windows : Security Support Provider Interface (SSPI)
– Negociación de mecanismos de autentificación : Simple and
Protected Negotiation Mechanism (SPNEGO)
• Tecnología de clave simétrica (3DES en V. 5))
Master Servicios Web, Seguridad Informática y Aplicaciones de Comercio Electrónico
Departamento de Informática e Ingeniería de Sistemas (Univ. Zaragoza) Seguridad Informática : Sistemas y redes 24
Elementos de Kerberos
Servidor Kerberos
Centro de distribución de claves
(KDC)
C, A
E (( T
, L, K
E (( T , A ),
, L, K K C ),
, C),
KA )
E (( C
E (( T , T ),
, L, K K ),
, C ),
KA )
+ 1 , K)
E (T
3. Petición de conexión:
Autentificador*; Billete de servicio**
Internet
3.
7. Copia de CRL
Petición de Certificado
para Miguel
4. 5.
Certificado Certificado
Crear
para Miguel para Miguel
Clave Privada y
Verifier (2) Certificado digital,
solicitante (Miguel)
(Pablo) y distribuir este último
Master Servicios Web, Seguridad Informática y Aplicaciones de Comercio Electrónico
Departamento de Informática e Ingeniería de Sistemas (Univ. Zaragoza) Seguridad Informática : Sistemas y redes 39
SSL/TLS
• El Nivel Seguro de Sockets (SSL) o Seguridad de Nivel
Transporte (TLS -SSL 3.1-), Estándar IETF, utiliza
certificados (opcional, pero usual) y sockets TCP para
proveer conexiones seguras, con las siguientes opciones :
– Autentificación de una o ambas partes utilizando certificados
– Protección de mensajes :
• Confidencialidad (criptografía simétrica)
• Integridad (MD5, SHA) SSL/TLS
• Librerías Java, C, C++
Certificados Sockets TCP
• Librería OpenSSL.
Master Servicios Web, Seguridad Informática y Aplicaciones de Comercio Electrónico
Departamento de Informática e Ingeniería de Sistemas (Univ. Zaragoza) Seguridad Informática : Sistemas y redes 40
Arquitectura SSL/TLS
• Dos niveles :
– Protocolo registro SSL provee servicios básicos de seguridad.
– 3 protocolos de nivel superior:
• Apretón de manos, cambio de especificación de cifrado, alertas
• Conexión
– Transporte con algún servicio, asociado a una sesión
• Sesión
– Creada por apretón de manos, define parámetros criptográficos de
seguridad para múltiples conexiones.
• Objetivos :
Túnel cifrado
Encaminador Encaminador
cifrado NO c
o ifrado
ci f ra d
A N O B
AH
Determina el SA
con su SPI Enviar a B
Master Servicios Web, Seguridad Informática y Aplicaciones de Comercio Electrónico
Departamento de Informática e Ingeniería de Sistemas (Univ. Zaragoza) Seguridad Informática : Sistemas y redes 53
Procesamiento en entrada
Paquete de entrada (en B)
A B
Desde A
BD de SAs SPD
SPI & Paquete
(Políticas)
Paquete IP original
…
“un-process” …
• Obligatorio
• Utilización de SSL/TSL