Criptografía y Seguridad

en Redes

1
 Agenda
l Información y sus estados
l Propiedades de Seguridad de la Información
l Servicios y Mecanismos de Seguridad
l Criptología
l Criptografía
l Criptoanálisis
l Esteganografía
l Seguridad en Redes
l Herramientas para Seguridad en Redes
l Comentarios y Conclusiones

2
 Información y sus estados

l La información actual es digital

l Su manejo implica considerar estados:
l Adquisición
l Creación
l Almacenamiento
l Proceso (transformación, análisis, etc.)
l Transmisión

3
 Problemas en manejo de
Información
l Confiabilidad de las fuentes y de la
información misma
l Integridad (verificación)
l Confidencialidad
l Disponibilidad
l Control de Acceso
l Autenticación de las partes
l No repudio

4
 Más Problemas
l El canal es público
l Uso canales seguros nada fácil, práctico, ni barato
l Las fuentes pueden no ser compatibles ni
confiables
l Los sistemas de análisis y toma de decisiones
asumen lo contrario
l Los resultados y reportes pueden ser equivocados
l Las decisiones se toman a partir de esos
resultados

5
 Más Problemas

l Información más valiosa que el dinero

l Hay que protegerla
l No solo en almacenamiento y proceso
l También durante la transmisión
l Formas almacenamiento y proceso:
dispositivos digitales
l Formas de transmisión: redes y sistemas
distribuidos
6
 Más Problemas
l Expuesta a ataques de todo tipo
l Nada fácil crear un modelo para estudiar la
seguridad
l Redes heterogéneas de todos los tipos
l Plataformas, medios, SO’s, arquitecturas
distintas
l La pesadilla: Internet

l Que hacer??

7
 Seguridad de la Informacion

l Técnicas,procedimientos, políticas y
herramientas para proteger y resguardar
información en medios y dispositivos
electrónicos

l Protegerla información almacenada en los

equipos y la que se transfiere e intercambia
por canales públicos

8
 Seguridad de la Informacion
l Proteger informacion de amenazas, ataques y
vulnerabilidades reales y potenciales

l Garantizar propiedades de información en todos

sus estados: creación, modificación, transmisión y
almacenamiento

l Implementar servicios de seguridad usando

mecanismos útiles y eficientes

9
 Servicios y Mecanismos de
Seguridad
l Naturaleza pública del canal no se puede
cambiar
l Sobre ese canal hay que saber qué se
quiere:
l Servicios de Seguridad
l Sobreese canal hay que saber cómo se
implementa (si se puede):
l Mecanismos de seguridad

10
 Servicios y Mecanismos de
Seguridad
l Servicios Mecanismos
l Confidencialidad Cifrado
l Integridad Funciones Hash
l Autenticación Protocolos Criptográfico
l Control de Acceso Esquemas de CA
l No Repudio Firma Digital
l Disponibilidad

11
 Seguridad Informática
l Se deben implementar los 5 primeros
servicios para disminuir el riesgo de sufrir
indisponibilidad
l Los 5 primeros servicios se estandarizan en
el ISO 7498-2
l El Triángulo de Oro de la Seguridad incluye:
l Confidencialidad
l Integridad
l Disponibilidad

12
 Criptografía y Seguridad
l4 de los 5 servicios estandarizados
se implementan usando Criptografía:
l Confidencialidad
l Integridad(Verificación)
l Autenticación
l No Repudio
l Nose puede hablar de Seguridad sin
hablar de Criptografía
13
 Criptología
l Criptología se divide en:
l Criptografía
l Criptoanálisis
l Esteganografía

l Criptografía: oculta información aplicando al

mensaje M, una transformación (algoritmo) F,
usando una llave K y produce el texto cifrado C
Fk(M) = C

14
 Criptografía
l Algoritmo F debe ser público

l Seguridad debe basarse en:

l Diseño y fortaleza de F
l Mantener K en secreto

l AlgoritmoF integra 2 procesos:

Cifrado: Fk(M) = C
Descifrado: F’k(C) = M
15
 Criptografía
l Algoritmos usan diferentes bases de diseño:
l Operaciones elementales
l Sustituciones (César, Vigenere, Vernam, etc.)
l Permutaciones
l Combinación de ambas (DES, AES, etc.)
l Matemáticas
l Teoría de Números (RSA, ElGamal, DSS, etc.)
l Problemas NP y NP Completos
l Curvas Elípticas (ECC)
l Fisica Cuántica
l Mecanica Cuántica
l Principio de Incertidumbre de Heinsenberg
l Otras

16
 Criptografía
l Algoritmos pueden ser:
l Simétricos o de Llave Secreta
l Usan misma llave para cifrar y descifrar

l Asimétricos o de Llave Pública

l La llave que cifra es diferente a la que descifra

l Funciones Hash, Resumen o Compendio

l No usan llave
17
 Criptografía
l También pueden ser por:
l Bloque
l Elmensaje se procesa en bloques del
mismo tamaño

l Flujo
l Elmensaje se procesa como un todo por
unidad básica

18
 Criptografía
l Algoritmos Simétricos o de Llave Secreta
l DES (anterior estándar mundial)
l AES (Nuevo estándar mundial)
l 3DES
l Algoritmos Asimétricos o de Llave Pública
l RSA (Estándar de facto)
l ElGamal
l DSS (Digital Signature Standard)
l Algoritmos Hash
l MD5
l SHA-1
19
 Criptografía
l Algoritmos Simétricos
l Basan su diseño en operaciones elementales
l Buscan eficiencia
l Seguridad depende del tiempo y los recursos de
cómputo

l Aplicaciones de Criptografia Simétrica

l Cifrado de información no clasificada (Confidencialidad)
l Verificación de Integridad
l Autenticación

20
 Criptografía
l Algoritmos Asimétricos
l Diseño basado en problemas matemáticos
l Seguros computacionalmente
l Seguridad no depende de tiempo ni de recursos de
cómputo
l Pero...son ineficientes

l Aplicaciones de Criptografia Asimétrica

l Cifrado de informacion clasificada (Confidencialidad)
l Acuerdo de llave simétrica
l Firma Digital (Autenticación y No Repudio)

21
 Criptografía
l Algoritmos Hash
l Diseño basado en operaciones elementales
l Son eficientes
l Seguridad depende del tiempo y recursos de cómputo
l Proporcionan una huella digital del mensaje

l Aplicaciones de Algoritmos Hash

l Verificación de Integridad
l Autenticación
l Demostrar posesión de secretos sin revelar el secreto
l Virología

22
 Aplicaciones de Criptografía
l Actualmente se usan de forma híbrida
l Simétricos: eficientes
l Asimétricos: seguros computacionalmente
l Hash: eficientes y proporcionan huella digital
l Se usan asimétricos para acordar llave simétrica
l Acordada la llave simétrica, se usa un algoritmo
simétrico para cifrar la información
l Ejemplo: PGP, SSH, etc.

23
 Protocolos Criptográficos
l Criptografía por sí sola no sirve para
nada
l Protocolos: hilos mágicos que conectan
Seguridad con Criptografía
l Todas las herramientas que
proporcionan servicios de seguridad
implementan protocolos
l Ejemplo: PGP, SSH, SET, SSL, etc.
24
 Seguridad en Redes
lA problemas sin resolver (por no haber
soluciones definitivas, por no conocerse o por
no implementarlas) de la seguridad en:
l Controles de Acceso
l Bases de Datos
l Redes
l Sistemas Operativos
l SPAM
l Virus
l Etc.

25
 Seguridad en Redes
l Se agregan: cómputo móvil y wireless
l El grado y nivel de riesgo de amenazas,
ataques y vulnerabilidades crece:
l Internet, Web y sus aplicaciones y desarrollos
l Tecnologías de código distribuible (Java, ActiveX)
l Sistemas abiertos y bancos de información
l Comercio electrónico
l Votaciones electrónicas
l Minería de datos y DWH
l Manejo de imágenes y multimedia

26
 Seguridad en Redes
l El canal es público
l Usar canales cifrados. Ejemplo: SecureSHell
l Cifrar toda información que se intercambia. Ejemplo: usar
Pretty Good Privacy (PGP)
l Usar sistemas de correo seguro (cifrado). Ejemplos: PGP,
PEM, S/MIME
l Monitorear la red. Ejemplo: ntop y EtheReal
l Detectar intentos de intrusión. Ejemplo: usar IDS’s como Snort
o alguno comercial de ISS
l Usar mismas armas que los atacantes para defensa. Ejemplos:
sniffers como EtheReal y crackers como John the Ripper

27
 Seguridad en Redes
l No se sabe la identidad del que envía o recibe
l Usar esquemas de firma y certificados digitales
Ejemplo: PGP
l Usar protocolos fuertes de autenticación como IKE
l No se sabe qué información entra y sale
l Usar filtros de contenido
l Nose sabe de donde viene y a donde van los
accesos
l Usar filtros por IP, aplicación, etc. Ejemplo: usar
Firewalls como IPTable o IPChains, ChekPoint, etc.

28
 Seguridad en Redes
l No se sabe si lo que se recibe es lo que se envió
l Usar esquemas para verificar integridad. Ejemplo: PGP
l Usar protocolos que implementen códigos MIC/MAC usando
funciones hash o cifrado simétrico
l No se sabe si la red y sus recursos se están utilizando
como y para lo que se debe
l Implantar politicas de uso (ISO 17799 y 27001)
l Monitoreo y autoataque (ntop, Ethereal, John the Ripper)
l No se sabe por donde me están atacando y que
debilidades tiene mi red
l Usar analizadores de vulnerabilidades. Ejemplo: Nessus

29
 Seguridad en Redes
l Ya sé por donde, pero no se qué hacer para proteger
mi red
l Actualizar software de sistemas y aplicaciones
l Instalar todos los parches de seguridad
l Cerrar puertos y aplicaciones no necesarios. Prohibir modems
l Informarse diario sobre nuevos ataques y vulnerabilidades e
instalar los parches correspondientes
l Ya estamos hartos del SPAM
l Filtrado de contenidos y Firewalls
l Restringir tráfico de entrada y salida por IP, subject, idioma,
etc.

30
 Seguridad en Redes
l Ya no soportamos al proveedor de antivirus
l Usar un antivirus libre y realizar sus propias
actualizaciones
l La instalación de software es incontrolable
l Prohibir instalar cualquier software y nombrar único
responsable autorizado para ello
l Políticas de seguridad
l No sé cómo empezar
l Empiece a estudiar
l Visite los sitios especializados

31
 Aspectos que se deben considerar

l Hay que tener Politicas de Seguridad

l Planes de Recuperacion y Continuidad en caso de Desastre (DRP y BCP)
l Sitios Alternos para funcionar y Respaldos de Informacion
l Sistemas de Detección de Intrusos
l Análisis de bitácoras
l Monitoreo y análisis de actividades de usuarios para limitar privilegios
l Reconocimiento de ataques a la red. Frecuencia y origen de los ataques
l Registro de Consulta de páginas Internet y comunicaciones e-mail con
personas desconocidas
l Monitoreo de tráfico de la red
l Verificación de Integridad de Archivos y Bases de Datos
l Auditorías a la configuración del sistema
l Monitoreo de Recursos Humanos que tienen acceso a información sensible
(selección, reclutamiento y sistemas de desarrollo del personal)
l Sistemas de Control de Confianza

32
l Aplicaciones Criptográficas
SSH (Secure SHell) http://www.ssh.com/support/downloads/

OpenSSL: http://www.openssl.org/source/

PGP: http://www.pgp.com/downloads/index.html

GPG: http://www.gnupg.org

l Correo Electrónico Seguro

S/MIME: http://www.ietf.org/html.charters/smime-charter.html

PGP: http://www.pgp.com/downloads/index.html
l PKI (Public Key Infrastucture)
Verisign:
http://www.verisign.com/products-services/security-service

OpenCA: http://www.openca.org/

l Autoridades Certificadoras
Verisign: http://www.verisign.com/

Entrust: http://www.entrust.com/
l IDS (Intrusion Detection System)
Snort: http://www.snort.org

Real Secure (ISS):

http://www.iss.net/latam/spanish/products_service/enterprise_protecti

Cisco:
http://www.cisco.com/en/US/products/sw/secursw/ps2113/index.html

l Firewalls
http://www.checkpoint.com/
http://www.cisco.com/en/US/products/hw/vpndevc/index.html
http://www.watchguard.com/
http://europe.nokia.com/nokia/0,,76737,00.html
l Monitores de Red
Ntop (Network Top) http://www.ntop.org

Nagios http://www.nagios.org

l Sniffers

TCPDump http://www.tcpdump.org/

Ethereal http://www.ethereal.com

Windump http://www.winpcap.org/windump/

Etthercap http://ettercap.sourceforge.net/
l Analizadores de Vulnerabilidades
Nessus http://www.nessus.org

LANGUARD http://www.gfi.com/languard/

Internet Scanner (ISS)

htttp://www.iss.net/products_services/enterprise_protection

l Passwords Crackers

John de Ripper http://www.openwall.com/john/

l ISO/IEC 17799-2005
http://www.iso.org/iso/en/prods-services/popstd

l ISO/IEC 27001

http://www.bsi-global.com/News/Releases/2005

l Sarbanes Oxley http://www.s-ox.com/

l ANTIVIRUS

AVAST (libre)
http://www.avast.com/eng/free_virus_protectio.html

CLAM WIN (libre) http://www.clamwin.com/

SYMANTEC http://www.symantec.com/index.htm

MCAFFE http://www.mcafee.com/es/

PANDA http://www.pandasoftware.com

AVG http://www.grisoft.com/doc/1
 Recursos de Seguridad
l www.nsa.gov
l www.nist.gov
l www.cert.org
l www.securityfocus.org
l www.packetstorm.org
l www.sans.org

40
Comentarios y Conclusiones
l Hay que empezar a preocuparse y ocuparse del
problema
l Ejemplos en que nunca hubo ya necesidad: cuando
ocurrió, no hubo nunca más que hacer porque había
desaparecido todo
l Biblioteca de Alejandría
l 11 Sept. 2001
l A partir de 2001 el mundo cambió su visión,
concepción y percepción de seguridad y su relación
con las TI
l Replanteamiento total: Land Home Security
l Seguridad Nacional
l Estandarización global

41
 Comentarios y Conclusiones
l Estándares Globales
l ISO 17799-2005 y 27001
l Ley Sarbanes Oxley (SOX)
l BS 7799
l Para empresas e instituciones, la seguridad ha
dejado de ser un problema tecnológico para
convertirse en ventaja competitiva
l Toda empresa o institución que desee competir
a nivel mundial tiene que cumplir esos
estándares

42
Comentarios y Conclusiones
l La seguridad puede verse ahora en 3 niveles de
responsabilidad
l Directores y cuadros ejecutivos
l Niveles técnicos y operativos
l Usuarios
l Todos los niveles deben tener conciencia del problema

l Todo gobierno actual se siente obligado a seguir las

tendencias globales
l Muchos no están preparados
l Están empezando a prepararse

43
 Comentarios y Conclusiones
l Tampoco las empresas están preparadas
l Empiezan a darse cuenta
l Noes el mejor camino el que se sigue ahora
para resolver el problema:
l Consultoría externa (cara y escasa): dependencia
l Productos ¨milagro¨ generales (no resuelven nada)
l Soluciones sobre la marcha (improvisación y
arribismo)
l Hay que trabajar en educación en Seguridad
l Universidades

44
l Diplomado en Seguridad Informática
l http://siberiano.aragon.unam.mx/diplomadoseguridad/juriquilla/
l http://siberiano.aragon.unam.mx/
l Diplomado en Tecnologías de Información
l http://siberiano.aragon.unam.mx/dti/juriquilla/
l http://siberiano.aragon.unam.mx/dti/aragon/
l http://siberiano.aragon.unam.mx/dti/
l Laboratorio de Seguridad Informática, CTA
l http://leopardo.aragon.unam.mx/labsec/
l Grupo de Seguridad de DGSCA

45
46