Académique Documents
Professionnel Documents
Culture Documents
en Redes
1
Agenda
l Información y sus estados
l Propiedades de Seguridad de la Información
l Servicios y Mecanismos de Seguridad
l Criptología
l Criptografía
l Criptoanálisis
l Esteganografía
l Seguridad en Redes
l Herramientas para Seguridad en Redes
l Comentarios y Conclusiones
2
Información y sus estados
3
Problemas en manejo de
Información
l Confiabilidad de las fuentes y de la
información misma
l Integridad (verificación)
l Confidencialidad
l Disponibilidad
l Control de Acceso
l Autenticación de las partes
l No repudio
4
Más Problemas
l El canal es público
l Uso canales seguros nada fácil, práctico, ni barato
l Las fuentes pueden no ser compatibles ni
confiables
l Los sistemas de análisis y toma de decisiones
asumen lo contrario
l Los resultados y reportes pueden ser equivocados
l Las decisiones se toman a partir de esos
resultados
5
Más Problemas
l Que hacer??
7
Seguridad de la Informacion
l Técnicas,procedimientos, políticas y
herramientas para proteger y resguardar
información en medios y dispositivos
electrónicos
8
Seguridad de la Informacion
l Proteger informacion de amenazas, ataques y
vulnerabilidades reales y potenciales
9
Servicios y Mecanismos de
Seguridad
l Naturaleza pública del canal no se puede
cambiar
l Sobre ese canal hay que saber qué se
quiere:
l Servicios de Seguridad
l Sobreese canal hay que saber cómo se
implementa (si se puede):
l Mecanismos de seguridad
10
Servicios y Mecanismos de
Seguridad
l Servicios Mecanismos
l Confidencialidad Cifrado
l Integridad Funciones Hash
l Autenticación Protocolos Criptográfico
l Control de Acceso Esquemas de CA
l No Repudio Firma Digital
l Disponibilidad
11
Seguridad Informática
l Se deben implementar los 5 primeros
servicios para disminuir el riesgo de sufrir
indisponibilidad
l Los 5 primeros servicios se estandarizan en
el ISO 7498-2
l El Triángulo de Oro de la Seguridad incluye:
l Confidencialidad
l Integridad
l Disponibilidad
12
Criptografía y Seguridad
l4 de los 5 servicios estandarizados
se implementan usando Criptografía:
l Confidencialidad
l Integridad(Verificación)
l Autenticación
l No Repudio
l Nose puede hablar de Seguridad sin
hablar de Criptografía
13
Criptología
l Criptología se divide en:
l Criptografía
l Criptoanálisis
l Esteganografía
14
Criptografía
l Algoritmo F debe ser público
16
Criptografía
l Algoritmos pueden ser:
l Simétricos o de Llave Secreta
l Usan misma llave para cifrar y descifrar
l Flujo
l Elmensaje se procesa como un todo por
unidad básica
18
Criptografía
l Algoritmos Simétricos o de Llave Secreta
l DES (anterior estándar mundial)
l AES (Nuevo estándar mundial)
l 3DES
l Algoritmos Asimétricos o de Llave Pública
l RSA (Estándar de facto)
l ElGamal
l DSS (Digital Signature Standard)
l Algoritmos Hash
l MD5
l SHA-1
19
Criptografía
l Algoritmos Simétricos
l Basan su diseño en operaciones elementales
l Buscan eficiencia
l Seguridad depende del tiempo y los recursos de
cómputo
20
Criptografía
l Algoritmos Asimétricos
l Diseño basado en problemas matemáticos
l Seguros computacionalmente
l Seguridad no depende de tiempo ni de recursos de
cómputo
l Pero...son ineficientes
21
Criptografía
l Algoritmos Hash
l Diseño basado en operaciones elementales
l Son eficientes
l Seguridad depende del tiempo y recursos de cómputo
l Proporcionan una huella digital del mensaje
22
Aplicaciones de Criptografía
l Actualmente se usan de forma híbrida
l Simétricos: eficientes
l Asimétricos: seguros computacionalmente
l Hash: eficientes y proporcionan huella digital
l Se usan asimétricos para acordar llave simétrica
l Acordada la llave simétrica, se usa un algoritmo
simétrico para cifrar la información
l Ejemplo: PGP, SSH, etc.
23
Protocolos Criptográficos
l Criptografía por sí sola no sirve para
nada
l Protocolos: hilos mágicos que conectan
Seguridad con Criptografía
l Todas las herramientas que
proporcionan servicios de seguridad
implementan protocolos
l Ejemplo: PGP, SSH, SET, SSL, etc.
24
Seguridad en Redes
lA problemas sin resolver (por no haber
soluciones definitivas, por no conocerse o por
no implementarlas) de la seguridad en:
l Controles de Acceso
l Bases de Datos
l Redes
l Sistemas Operativos
l SPAM
l Virus
l Etc.
25
Seguridad en Redes
l Se agregan: cómputo móvil y wireless
l El grado y nivel de riesgo de amenazas,
ataques y vulnerabilidades crece:
l Internet, Web y sus aplicaciones y desarrollos
l Tecnologías de código distribuible (Java, ActiveX)
l Sistemas abiertos y bancos de información
l Comercio electrónico
l Votaciones electrónicas
l Minería de datos y DWH
l Manejo de imágenes y multimedia
26
Seguridad en Redes
l El canal es público
l Usar canales cifrados. Ejemplo: SecureSHell
l Cifrar toda información que se intercambia. Ejemplo: usar
Pretty Good Privacy (PGP)
l Usar sistemas de correo seguro (cifrado). Ejemplos: PGP,
PEM, S/MIME
l Monitorear la red. Ejemplo: ntop y EtheReal
l Detectar intentos de intrusión. Ejemplo: usar IDS’s como Snort
o alguno comercial de ISS
l Usar mismas armas que los atacantes para defensa. Ejemplos:
sniffers como EtheReal y crackers como John the Ripper
27
Seguridad en Redes
l No se sabe la identidad del que envía o recibe
l Usar esquemas de firma y certificados digitales
Ejemplo: PGP
l Usar protocolos fuertes de autenticación como IKE
l No se sabe qué información entra y sale
l Usar filtros de contenido
l Nose sabe de donde viene y a donde van los
accesos
l Usar filtros por IP, aplicación, etc. Ejemplo: usar
Firewalls como IPTable o IPChains, ChekPoint, etc.
28
Seguridad en Redes
l No se sabe si lo que se recibe es lo que se envió
l Usar esquemas para verificar integridad. Ejemplo: PGP
l Usar protocolos que implementen códigos MIC/MAC usando
funciones hash o cifrado simétrico
l No se sabe si la red y sus recursos se están utilizando
como y para lo que se debe
l Implantar politicas de uso (ISO 17799 y 27001)
l Monitoreo y autoataque (ntop, Ethereal, John the Ripper)
l No se sabe por donde me están atacando y que
debilidades tiene mi red
l Usar analizadores de vulnerabilidades. Ejemplo: Nessus
29
Seguridad en Redes
l Ya sé por donde, pero no se qué hacer para proteger
mi red
l Actualizar software de sistemas y aplicaciones
l Instalar todos los parches de seguridad
l Cerrar puertos y aplicaciones no necesarios. Prohibir modems
l Informarse diario sobre nuevos ataques y vulnerabilidades e
instalar los parches correspondientes
l Ya estamos hartos del SPAM
l Filtrado de contenidos y Firewalls
l Restringir tráfico de entrada y salida por IP, subject, idioma,
etc.
30
Seguridad en Redes
l Ya no soportamos al proveedor de antivirus
l Usar un antivirus libre y realizar sus propias
actualizaciones
l La instalación de software es incontrolable
l Prohibir instalar cualquier software y nombrar único
responsable autorizado para ello
l Políticas de seguridad
l No sé cómo empezar
l Empiece a estudiar
l Visite los sitios especializados
31
Aspectos que se deben considerar
32
l Aplicaciones Criptográficas
SSH (Secure SHell) http://www.ssh.com/support/downloads/
OpenSSL: http://www.openssl.org/source/
PGP: http://www.pgp.com/downloads/index.html
GPG: http://www.gnupg.org
PGP: http://www.pgp.com/downloads/index.html
l PKI (Public Key Infrastucture)
Verisign:
http://www.verisign.com/products-services/security-service
OpenCA: http://www.openca.org/
l Autoridades Certificadoras
Verisign: http://www.verisign.com/
Entrust: http://www.entrust.com/
l IDS (Intrusion Detection System)
Snort: http://www.snort.org
Cisco:
http://www.cisco.com/en/US/products/sw/secursw/ps2113/index.html
l Firewalls
http://www.checkpoint.com/
http://www.cisco.com/en/US/products/hw/vpndevc/index.html
http://www.watchguard.com/
http://europe.nokia.com/nokia/0,,76737,00.html
l Monitores de Red
Ntop (Network Top) http://www.ntop.org
Nagios http://www.nagios.org
l Sniffers
TCPDump http://www.tcpdump.org/
Ethereal http://www.ethereal.com
Windump http://www.winpcap.org/windump/
Etthercap http://ettercap.sourceforge.net/
l Analizadores de Vulnerabilidades
Nessus http://www.nessus.org
LANGUARD http://www.gfi.com/languard/
l Passwords Crackers
l ISO/IEC 27001
http://www.bsi-global.com/News/Releases/2005
AVAST (libre)
http://www.avast.com/eng/free_virus_protectio.html
SYMANTEC http://www.symantec.com/index.htm
MCAFFE http://www.mcafee.com/es/
PANDA http://www.pandasoftware.com
AVG http://www.grisoft.com/doc/1
Recursos de Seguridad
l www.nsa.gov
l www.nist.gov
l www.cert.org
l www.securityfocus.org
l www.packetstorm.org
l www.sans.org
40
Comentarios y Conclusiones
l Hay que empezar a preocuparse y ocuparse del
problema
l Ejemplos en que nunca hubo ya necesidad: cuando
ocurrió, no hubo nunca más que hacer porque había
desaparecido todo
l Biblioteca de Alejandría
l 11 Sept. 2001
l A partir de 2001 el mundo cambió su visión,
concepción y percepción de seguridad y su relación
con las TI
l Replanteamiento total: Land Home Security
l Seguridad Nacional
l Estandarización global
41
Comentarios y Conclusiones
l Estándares Globales
l ISO 17799-2005 y 27001
l Ley Sarbanes Oxley (SOX)
l BS 7799
l Para empresas e instituciones, la seguridad ha
dejado de ser un problema tecnológico para
convertirse en ventaja competitiva
l Toda empresa o institución que desee competir
a nivel mundial tiene que cumplir esos
estándares
42
Comentarios y Conclusiones
l La seguridad puede verse ahora en 3 niveles de
responsabilidad
l Directores y cuadros ejecutivos
l Niveles técnicos y operativos
l Usuarios
l Todos los niveles deben tener conciencia del problema
43
Comentarios y Conclusiones
l Tampoco las empresas están preparadas
l Empiezan a darse cuenta
l Noes el mejor camino el que se sigue ahora
para resolver el problema:
l Consultoría externa (cara y escasa): dependencia
l Productos ¨milagro¨ generales (no resuelven nada)
l Soluciones sobre la marcha (improvisación y
arribismo)
l Hay que trabajar en educación en Seguridad
l Universidades
44
l Diplomado en Seguridad Informática
l http://siberiano.aragon.unam.mx/diplomadoseguridad/juriquilla/
l http://siberiano.aragon.unam.mx/
l Diplomado en Tecnologías de Información
l http://siberiano.aragon.unam.mx/dti/juriquilla/
l http://siberiano.aragon.unam.mx/dti/aragon/
l http://siberiano.aragon.unam.mx/dti/
l Laboratorio de Seguridad Informática, CTA
l http://leopardo.aragon.unam.mx/labsec/
l Grupo de Seguridad de DGSCA
45
46