Post on 18-Mar-2016
description
VI Simposium Internacional de Computación, Sonora, Nov. 2006
1
Criptografía y Seguridad en Redes
Leobardo Hernández
Laboratorio de Seguridad Informática
Centro Tecnológico Aragón, UNAM
VI Simposium Internacional de Computación, Sonora, Nov. 2006
2
Agenda Información y sus estados Propiedades de Seguridad de la Información Servicios y Mecanismos de Seguridad Criptología
Criptografía Criptoanálisis Esteganografía
Seguridad en Redes Herramientas para Seguridad en Redes Comentarios y Conclusiones
VI Simposium Internacional de Computación, Sonora, Nov. 2006
3
Información y sus estados
La información actual es digital Su manejo implica considerar estados:
Adquisición Creación Almacenamiento Proceso (transformación, análisis, etc.) Transmisión
VI Simposium Internacional de Computación, Sonora, Nov. 2006
4
Problemas en manejo de Información
Confiabilidad de las fuentes y de la información misma
Integridad (verificación) Confidencialidad Disponibilidad Control de Acceso Autenticación de las partes No repudio
VI Simposium Internacional de Computación, Sonora, Nov. 2006
5
Más Problemas
El canal es público Uso canales seguros nada fácil, práctico, ni barato Las fuentes pueden no ser compatibles ni
confiables Los sistemas de análisis y toma de decisiones
asumen lo contrario Los resultados y reportes pueden ser equivocados Las decisiones se toman a partir de esos
resultados
VI Simposium Internacional de Computación, Sonora, Nov. 2006
6
Más Problemas
Información más valiosa que el dinero Hay que protegerla
No solo en almacenamiento y proceso También durante la transmisión
Formas almacenamiento y proceso: dispositivos digitales
Formas de transmisión: redes y sistemas distribuidos
VI Simposium Internacional de Computación, Sonora, Nov. 2006
7
Más Problemas Expuesta a ataques de todo tipo Nada fácil crear un modelo para estudiar la
seguridad Redes heterogéneas de todos los tipos Plataformas, medios, SO’s, arquitecturas
distintas La pesadilla: Internet
Que hacer??
VI Simposium Internacional de Computación, Sonora, Nov. 2006
8
Seguridad de la Informacion
Técnicas, procedimientos, políticas y herramientas para proteger y resguardar información en medios y dispositivos electrónicos
Proteger la información almacenada en los equipos y la que se transfiere e intercambia por canales públicos
VI Simposium Internacional de Computación, Sonora, Nov. 2006
9
Seguridad de la Informacion
Proteger informacion de amenazas, ataques y vulnerabilidades reales y potenciales
Garantizar propiedades de información en todos sus estados: creación, modificación, transmisión y almacenamiento
Implementar servicios de seguridad usando mecanismos útiles y eficientes
VI Simposium Internacional de Computación, Sonora, Nov. 2006
10
Servicios y Mecanismos de Seguridad
Naturaleza pública del canal no se puede cambiar
Sobre ese canal hay que saber qué se quiere: Servicios de Seguridad
Sobre ese canal hay que saber cómo se implementa (si se puede): Mecanismos de seguridad
VI Simposium Internacional de Computación, Sonora, Nov. 2006
11
Servicios y Mecanismos de Seguridad
Servicios Mecanismos Confidencialidad Cifrado Integridad Funciones Hash Autenticación Protocolos Criptográfico Control de Acceso Esquemas de CA No Repudio Firma Digital Disponibilidad No se puede !!
VI Simposium Internacional de Computación, Sonora, Nov. 2006
12
Seguridad Informática Se deben implementar los 5 primeros
servicios para disminuir el riesgo de sufrir indisponibilidad
Los 5 primeros servicios se estandarizan en el ISO 7498-2
El Triángulo de Oro de la Seguridad incluye: Confidencialidad Integridad Disponibilidad
VI Simposium Internacional de Computación, Sonora, Nov. 2006
13
Criptografía y Seguridad
4 de los 5 servicios estandarizados se implementan usando Criptografía: Confidencialidad Integridad (Verificación) Autenticación No Repudio
No se puede hablar de Seguridad sin hablar de Criptografía
VI Simposium Internacional de Computación, Sonora, Nov. 2006
14
Criptología Criptología se divide en:
Criptografía Criptoanálisis Esteganografía
Criptografía: oculta información aplicando al mensaje M, una transformación (algoritmo) F, usando una llave K y produce el texto cifrado C
Fk(M) = C
VI Simposium Internacional de Computación, Sonora, Nov. 2006
15
Criptografía Algoritmo F debe ser público
Seguridad debe basarse en: Diseño y fortaleza de F Mantener K en secreto
Algoritmo F integra 2 procesos:Cifrado: Fk(M) = CDescifrado: F’k(C) = M
VI Simposium Internacional de Computación, Sonora, Nov. 2006
16
Criptografía Algoritmos usan diferentes bases de diseño:
Operaciones elementales Sustituciones (César, Vigenere, Vernam, etc.) Permutaciones Combinación de ambas (DES, AES, etc.)
Matemáticas Teoría de Números (RSA, ElGamal, DSS, etc.) Problemas NP y NP Completos Curvas Elípticas (ECC)
Fisica Cuántica Mecanica Cuántica Principio de Incertidumbre de Heinsenberg
Otras
VI Simposium Internacional de Computación, Sonora, Nov. 2006
17
CriptografíaAlgoritmos pueden ser:
Simétricos o de Llave SecretaUsan misma llave para cifrar y descifrar
Asimétricos o de Llave PúblicaLa llave que cifra es diferente a la que descifra
Funciones Hash, Resumen o CompendioNo usan llave
VI Simposium Internacional de Computación, Sonora, Nov. 2006
18
Criptografía
También pueden ser por: Bloque
El mensaje se procesa en bloques del mismo tamaño
FlujoEl mensaje se procesa como un todo por
unidad básica
VI Simposium Internacional de Computación, Sonora, Nov. 2006
19
Criptografía Algoritmos Simétricos o de Llave Secreta
DES (anterior estándar mundial) AES (Nuevo estándar mundial) 3DES
Algoritmos Asimétricos o de Llave Pública RSA (Estándar de facto) ElGamal DSS (Digital Signature Standard)
Algoritmos Hash MD5 SHA-1
VI Simposium Internacional de Computación, Sonora, Nov. 2006
20
Criptografía Algoritmos Simétricos
Basan su diseño en operaciones elementales Buscan eficiencia Seguridad depende del tiempo y los recursos de
cómputo
Aplicaciones de Criptografia Simétrica Cifrado de información no clasificada (Confidencialidad) Verificación de Integridad Autenticación
VI Simposium Internacional de Computación, Sonora, Nov. 2006
21
Criptografía Algoritmos Asimétricos
Diseño basado en problemas matemáticos Seguros computacionalmente Seguridad no depende de tiempo ni de recursos de
cómputo Pero...son ineficientes
Aplicaciones de Criptografia Asimétrica Cifrado de informacion clasificada (Confidencialidad) Acuerdo de llave simétrica Firma Digital (Autenticación y No Repudio)
VI Simposium Internacional de Computación, Sonora, Nov. 2006
22
Criptografía Algoritmos Hash
Diseño basado en operaciones elementales Son eficientes Seguridad depende del tiempo y recursos de cómputo Proporcionan una huella digital del mensaje
Aplicaciones de Algoritmos Hash Verificación de Integridad Autenticación Demostrar posesión de secretos sin revelar el secreto Virología
VI Simposium Internacional de Computación, Sonora, Nov. 2006
23
Aplicaciones de Criptografía
Actualmente se usan de forma híbrida Simétricos: eficientes Asimétricos: seguros computacionalmente Hash: eficientes y proporcionan huella digital Se usan asimétricos para acordar llave simétrica Acordada la llave simétrica, se usa un algoritmo
simétrico para cifrar la información Ejemplo: PGP, SSH, etc.
VI Simposium Internacional de Computación, Sonora, Nov. 2006
24
Protocolos Criptográficos
Criptografía por sí sola no sirve para nada
Protocolos: hilos mágicos que conectan Seguridad con Criptografía
Todas las herramientas que proporcionan servicios de seguridad implementan protocolos Ejemplo: PGP, SSH, SET, SSL, etc.
VI Simposium Internacional de Computación, Sonora, Nov. 2006
25
Seguridad en Redes A problemas sin resolver (por no haber
soluciones definitivas, por no conocerse o por no implementarlas) de la seguridad en: Controles de Acceso Bases de Datos Redes Sistemas Operativos SPAM Virus Etc.
VI Simposium Internacional de Computación, Sonora, Nov. 2006
26
Seguridad en Redes Se agregan: cómputo móvil y wireless El grado y nivel de riesgo de amenazas,
ataques y vulnerabilidades crece: Internet, Web y sus aplicaciones y desarrollos Tecnologías de código distribuible (Java, ActiveX) Sistemas abiertos y bancos de información Comercio electrónico Votaciones electrónicas Minería de datos y DWH Manejo de imágenes y multimedia
VI Simposium Internacional de Computación, Sonora, Nov. 2006
27
Seguridad en Redes El canal es público
Usar canales cifrados. Ejemplo: SecureSHell Cifrar toda información que se intercambia. Ejemplo: usar
Pretty Good Privacy (PGP) Usar sistemas de correo seguro (cifrado). Ejemplos: PGP,
PEM, S/MIME Monitorear la red. Ejemplo: ntop y EtheReal Detectar intentos de intrusión. Ejemplo: usar IDS’s como Snort
o alguno comercial de ISS Usar mismas armas que los atacantes para defensa. Ejemplos:
sniffers como EtheReal y crackers como John the Ripper
VI Simposium Internacional de Computación, Sonora, Nov. 2006
28
Seguridad en Redes No se sabe la identidad del que envía o recibe
Usar esquemas de firma y certificados digitales Ejemplo: PGP
Usar protocolos fuertes de autenticación como IKE No se sabe qué información entra y sale
Usar filtros de contenido No se sabe de donde viene y a donde van los
accesos Usar filtros por IP, aplicación, etc. Ejemplo: usar
Firewalls como IPTable o IPChains, ChekPoint, etc.
VI Simposium Internacional de Computación, Sonora, Nov. 2006
29
Seguridad en Redes No se sabe si lo que se recibe es lo que se envió
Usar esquemas para verificar integridad. Ejemplo: PGP Usar protocolos que implementen códigos MIC/MAC usando
funciones hash o cifrado simétrico No se sabe si la red y sus recursos se están utilizando
como y para lo que se debe Implantar politicas de uso (ISO 17799 y 27001) Monitoreo y autoataque (ntop, Ethereal, John the Ripper)
No se sabe por donde me están atacando y que debilidades tiene mi red Usar analizadores de vulnerabilidades. Ejemplo: Nessus
VI Simposium Internacional de Computación, Sonora, Nov. 2006
30
Seguridad en Redes Ya sé por donde, pero no se qué hacer para proteger
mi red Actualizar software de sistemas y aplicaciones Instalar todos los parches de seguridad Cerrar puertos y aplicaciones no necesarios. Prohibir modems Informarse diario sobre nuevos ataques y vulnerabilidades e
instalar los parches correspondientes Ya estamos hartos del SPAM
Filtrado de contenidos y Firewalls Restringir tráfico de entrada y salida por IP, subject, idioma,
etc.
VI Simposium Internacional de Computación, Sonora, Nov. 2006
31
Seguridad en Redes Ya no soportamos al proveedor de antivirus
Usar un antivirus libre y realizar sus propias actualizaciones
La instalación de software es incontrolable Prohibir instalar cualquier software y nombrar único
responsable autorizado para ello Políticas de seguridad
No sé cómo empezar Empiece a estudiar Visite los sitios especializados
VI Simposium Internacional de Computación, Sonora, Nov. 2006
32
Aspectos que se deben considerar
Hay que tener Politicas de Seguridad Planes de Recuperacion y Continuidad en caso de Desastre (DRP y BCP) Sitios Alternos para funcionar y Respaldos de Informacion Sistemas de Detección de Intrusos Análisis de bitácoras Monitoreo y análisis de actividades de usuarios para limitar privilegios Reconocimiento de ataques a la red. Frecuencia y origen de los ataques Registro de Consulta de páginas Internet y comunicaciones e-mail con
personas desconocidas Monitoreo de tráfico de la red Verificación de Integridad de Archivos y Bases de Datos Auditorías a la configuración del sistema Monitoreo de Recursos Humanos que tienen acceso a información sensible
(selección, reclutamiento y sistemas de desarrollo del personal) Sistemas de Control de Confianza
Aplicaciones Criptográficas
SSH (Secure SHell) http://www.ssh.com/support/downloads/
OpenSSL: http://www.openssl.org/source/
PGP: http://www.pgp.com/downloads/index.html
GPG: http://www.gnupg.org
Correo Electrónico Seguro
S/MIME: http://www.ietf.org/html.charters/smime-charter.html
PGP: http://www.pgp.com/downloads/index.html
PKI (Public Key Infrastucture)
Verisign: http://www.verisign.com/products-services/security-services/pki/index.html
OpenCA: http://www.openca.org/
Autoridades Certificadoras
Verisign: http://www.verisign.com/
Entrust: http://www.entrust.com/
IDS (Intrusion Detection System)Snort: http://www.snort.org
Real Secure (ISS): http://www.iss.net/latam/spanish/products_service/enterprise_protection/index.php
Cisco: http://www.cisco.com/en/US/products/sw/secursw/ps2113/index.html
Firewallshttp://www.checkpoint.com/http://www.cisco.com/en/US/products/hw/vpndevc/index.htmlhttp://www.watchguard.com/http://europe.nokia.com/nokia/0,,76737,00.html
Monitores de RedNtop (Network Top) http://www.ntop.org
Nagios http://www.nagios.org
Sniffers
TCPDump http://www.tcpdump.org/
Ethereal http://www.ethereal.com
Windump http://www.winpcap.org/windump/
Etthercap http://ettercap.sourceforge.net/
Analizadores de VulnerabilidadesNessus http://www.nessus.org
LANGUARD http://www.gfi.com/languard/
Internet Scanner (ISS) htttp://www.iss.net/products_services/enterprise_protection/vulnerability_assessment/scanner_internet.php
Passwords Crackers
John de Ripper http://www.openwall.com/john/
ISO/IEC 17799-2005 http://www.iso.org/iso/en/prods-services/popstds/informationsecurity.html
ISO/IEC 27001
http://www.bsi-global.com/News/Releases/2005/November/n4368cedc60947.xalter
Sarbanes Oxley http://www.s-ox.com/
ANTIVIRUS
AVAST (libre) http://www.avast.com/eng/free_virus_protectio.html
CLAM WIN (libre) http://www.clamwin.com/
SYMANTEC http://www.symantec.com/index.htm
MCAFFE http://www.mcafee.com/es/
PANDA http://www.pandasoftware.com
AVG http://www.grisoft.com/doc/1
VI Simposium Internacional de Computación, Sonora, Nov. 2006
40
Recursos de Seguridad
www.nsa.govwww.nist.govwww.cert.orgwww.securityfocus.orgwww.packetstorm.orgwww.sans.org
VI Simposium Internacional de Computación, Sonora, Nov. 2006
41
Comentarios y Conclusiones Hay que empezar a preocuparse y ocuparse del
problema Ejemplos en que nunca hubo ya necesidad: cuando
ocurrió, no hubo nunca más que hacer porque había desaparecido todo Biblioteca de Alejandría 11 Sept. 2001
A partir de 2001 el mundo cambió su visión, concepción y percepción de seguridad y su relación con las TI Replanteamiento total: Land Home Security Seguridad Nacional Estandarización global
VI Simposium Internacional de Computación, Sonora, Nov. 2006
42
Comentarios y Conclusiones Estándares Globales
ISO 17799-2005 y 27001 Ley Sarbanes Oxley (SOX) BS 7799
Para empresas e instituciones, la seguridad ha dejado de ser un problema tecnológico para convertirse en ventaja competitiva
Toda empresa o institución que desee competir a nivel mundial tiene que cumplir esos estándares
VI Simposium Internacional de Computación, Sonora, Nov. 2006
43
Comentarios y Conclusiones La seguridad puede verse ahora en 3 niveles de
responsabilidad Directores y cuadros ejecutivos Niveles técnicos y operativos Usuarios
Todos los niveles deben tener conciencia del problema Todo gobierno actual se siente obligado a seguir las
tendencias globales Muchos no están preparados (México) Están empezando a prepararse
VI Simposium Internacional de Computación, Sonora, Nov. 2006
44
Comentarios y Conclusiones Tampoco las empresas están preparadas
Empiezan a darse cuenta No es el mejor camino el que se sigue ahora
para resolver el problema: Consultoría externa (cara y escasa): dependencia Productos ¨milagro¨ generales (no resuelven nada) Soluciones sobre la marcha (improvisación y
arribismo) Hay que trabajar en educación en Seguridad
Universidades
VI Simposium Internacional de Computación, Sonora, Nov. 2006
45
Seguridad y TI en la UNAM
Diplomado en Seguridad Informática http://siberiano.aragon.unam.mx/diplomadoseguridad/juriquilla/ http://siberiano.aragon.unam.mx/ Diplomado en Tecnologías de Información http://siberiano.aragon.unam.mx/dti/juriquilla/ http://siberiano.aragon.unam.mx/dti/aragon/ http://siberiano.aragon.unam.mx/dti/ Laboratorio de Seguridad Informática, CTA http://leopardo.aragon.unam.mx/labsec/ Grupo de Seguridad de DGSCA
VI Simposium Internacional de Computación, Sonora, Nov. 2006
46
Gracias ..............Leobardo Hernández
Laboratorio de Seguridad Informática
Centro Tecnológico Aragón, UNAM
leo@servidor.unam.mxTel. 01 55 56231070