Seguridad de usuario en el acceso a internet 1
24
Curso: Seguridad de usuario en el acceso a Internet Juan Carlos Rodríguez [email protected] Acceso Internet •Cada día mayor número de conexiones a Internet permanentes. •Escaso conocimiento de los usuarios de las aplicaciones que utilizan •Mínimos conocimientos de las implicaciones de seguridad en el uso de las nuevas tecnologías. •Interés creciente en la utilización de programas para la descarga de audio y video. •Mayor número de servicios “Online” •Banca Electrónica •Reservar de viajes •Compras y subastas
Transcript of Seguridad de usuario en el acceso a internet 1
Curso:Seguridad de usuario en el acceso a Internet
Juan Carlos Rodrí[email protected]
Acceso Internet
•Cada día mayor número de conexiones a Internet permanentes.•Escaso conocimiento de los usuarios de las aplicaciones que utilizan•Mínimos conocimientos de las implicaciones de seguridad en el uso de las nuevas tecnologías.•Interés creciente en la utilización de programas para la descarga deaudio y video.•Mayor número de servicios “Online”
•Banca Electrónica•Reservar de viajes•Compras y subastas
���������������� �� ������ ������ ��� ���������� ����������������������� � �������
���� ������������������������������������������������������ ������������������ �����������������
Comercio electrónico en Internet
Tecnologías de seguridad
¿Cuántos usuarios conocen las tecnologías empleadasen la seguridad informática y telemática?
CERTIFICADOS DIGITALES
FIRMA DIGITAL
ALGORITMOS DE CIFRADO
FIREWALL
ANTISPAM
SPYWARE
ANTIVIRUS
SERVICE PACKS, HOTFIX
ACTIVEXJAVASCRIPT
Riesgos en la autenticación
El acceso a determinados servicios requiere la acreditación del visitante.¿Es siempre seguro introducir el usuario/password?
Estamos ante una página “segura” (conexión SSL), pero:
¿Estamos seguros que la página presentada es la autentica?
¿Estamos seguros que nada ni nadie está registrando los datos que introducimos en el ordenador local (keylogger..)?
Identificación Digital
Autenticación por Usuario/password
Es el método más utilizado, incluido en todas las opciones de autenticación de S.O. y/o aplicaciones. (Telnet, FTP, HTTP, Email, ...)
Su fiabilidad se basa en la “robustez” de la política de contraseñas a seguir definiendo aspectos como:
•Longitud mínima de la contraseña•Complejidad de la contraseña (caracteres utilizados)•Vigencia de la contraseña
Identificación Digital
Ejemplo de configuración de la politica de contraseñas en laPlataforma Windows 2000/XP
Claves de acceso
Identificación Digital
Complejidad de la contraseña
-Debe de contener una combinación de letras, números y caracteres especiales
-No debe ser nunca una posible palabra de diccionario
-Debe de cambiarse de contraseña periódicamente y no es conveniente admitir contraseñas anteriormente utilizadas
En general resulta difícil su implementación ya que para la mayoría de los usuarios seleccionar una contraseña “robusta” no es tarea sencilla.
Identificación Digital
Complejidad de la contraseña
Combinación de letras, números y caracteres especiales
Como ejemplo, si utilizaramos el alfabeto (a..z) y los numeros naturales para construir la contraseña, las diferentes combinaciones de una palabra de 6 letras son: 366=2.176.782.336
Un ordenador actual puede realizar todas estas combinaciones ! en menos de 2 minutos!
Identificación Digital
Ejemplo de descubrimiento por fuerza bruta.
Identificación Digital
En la actualidad existen “diccionarios” en Internet de numerosos lenguajes (inglés, francés, danés, ...) así como materias diversas (literatura, música, cine,...)
Por ello, seleccionar una contraseña de “diccionario”implica su descubrimiento ! en segundos !.
Identificación Digital
El mayor problema surge en la actitud de muchos usuariosy su incapacidad de generar un password adecuado y ! recordarlo !
Así, es frecuente que los usuarios:
•Anoten y tengan “ a mano” las contraseñas que deben utilizar.•Traten de “evadir” la “complejidad” de la contraseña:
(Ej: mínimo 7 caracteres, obligatorio letras, números y caracteres.)
Contraseña para Enero: pepe01!Contraseña para Febrero: pepe02!
Identificación Digital
Numerosos servicios como Telnet, FTP, POP3, ... Solicitan el parUsuario/password como control de acceso.
Estos servicios “no utilizan cifrado en la comunicación” por lo queSon facilmente interceptados mediante un sniffer (incluso utilizandoSwitchs en lugar de hubs).
captura de las contraseñas
Identificación Digital
Utilizar la opción de “recordar” contraseñas en el equipo localpuede permitir extraer sin dificultad todas las contraseñas. (ej SnadBoy’s Revelation)
Recordar contraseñas
Identificación Digital
Claves de acceso: Keyloggers
Existen también numerosas aplicaciones software/hardware que registran las pulsaciones efectuadas en el teclado
Identificación Digital
Ejemplo de captura por “software” la sesión de un usuario:
Mecanismos de seguridad más utilizados
� ��������� ���������������������������������� �!�"�� ����� ������� ����� �������������������� ��������� �
� ������������������������������������ ����������
���� ��������� ������ ����� ��������� ��� �
Los certificados digitales han sido diseñados para garantizar la Identidad en las operaciones por el ciberespacio (Internet)
Un certificado en un documento emitido y firmado por una Autoridad de Certificación que identifica una clave pública con su propietario.
Su efectividad se basa en la combinación de:
* Criptografía de llaves públicas* Infraestructura de llaves digitales (PKI)* El sistema legal
Certificados Digitales
#�� ��������������� ����������"����$%�� ����������� �� ����&
'(���� ����������������������� ��'%� �"���������� � %�����')��������"����'#���� �������'#�*������������'#����*����������
Autoridades Certificadoras
¿En que consiste una Autoridad de Certificación (AC)?
'+������������ ����������� ������� �� ���� ��������� ,� ����- ������������� ��������������"����$
'( ������� ����� �� ���������� ���������� ��� ��"��������� ���� �����������������$
'+������ ��� ��"���������"������������"��������� ������������������������� .����� �����
¿Estamos seguros que la lista que incluye nuestro navegador es deabsoluta confianza?
¿Podemos confiar en el lugar desde el que nos ofrecen la descargadel certificado raiz ?
Confianza en la AC
Certificados Digitales
Certificados Raiz de confianza
%/���� ������������ ������� ����������� ��������� �
1
2
3
4
Llave PúblicaServidor Web
HTTPSHTTPS1
Como se realiza unaconexión HTTPS
Llave Privada
Llave sesión
' )����������������� ���� �0���������))(��� �����������������,�������- ������ ����1������2�������� 1������ �!�"2�� ���� ��� ���������������� ���������$
+�� $$$$
¿Estamos conectados al servidor esperado?
El certificado que incluye la llave pública con la que se cifrará la posterior llave de sesión. ¿Es de nuestra confianza?
Seguridad en las conexiones HTTPS
Certificados Digitales
Ejemplo certificado Servidor Web
Certificados Digitales
Ejemplo certificado Servidor Web
Certificados Digitales
Resolución de nombres
' +������������������� ������������"�� �����������#.(������� !�"����������� �� ����� �3���� ����������� ����� �,���������- ������ �"��������������+$
' �+ ��� �� ��� "���������� ��������� ��������� !%4� �� �"��� ����� �
' � �� ����������������������� �"��������������+�
• Si utilizamos un ordenador que no es de nuestra confianza, eliminar antes las entradas en caché de resolución DNS
• Comprobar el fichero “hosts” (c:\windows\system32\drivers\etc\hosts)
Consejos para evitar el Pharming
Resolución de nombres
Podemos instalar herramientas que monitorizen si se realizan cambios en el fichero HOSTS, la dirección Url de inicio del navegador, ...
Resolución de nombres
+���������� �� �������� ���� ����� ��������� ��������������������������������� 3���� �� ��������������������� ��������� �"���������� �� �����5��� �����$
Contraseñas
La selección de una contraseña “compleja” (longitud mínima de 8 caracteres, formada por combinación de letras, números, caracteres especiales) es la mayor garantía de la seguridad del proceso.
Sin embargo es frecuente que los usuarios:
• Empleen palabras simples y fáciles de asociar o de obtener mediante un diccionario.• En el caso de utilizar contraseñas complejas, escriban y guarden la contraseña por la
dificultad de recordarla.• Utilicen la misma contraseña para acceder a múltiples sitios.
Mejorar la seguridad en la identificación de usuario
¿Podemos gestionar las contraseñas de una forma más eficiente?
Contraseñas
• Los navegadores incorporan la posibilidad de “guardar” las contraseñas utilizadas en los accesos Web.
Contraseñas
• Podemos utilizar programas de “gestión de identidades” que nos permiten registrar contraseñas complejas para acceder a diferentes servicios sin tener que recordar todas ellas.
• Tan sólo es necesario recordar una contraseña “maestra” utilizada para cifrar el acceso al resto de contraseñas.
Contraseñas
Recomendaciones generales en la gestión de claves
' 6�� ������� �����7��������������$8 �����"����3�� �������������$
' ��"��������������������� ����� $
' #������� ������7�������� ������������ ��������������"���� ����������� �� ���� ����� ����1����9�������� �*�3���*���������� 3���$$$2
' 8 ��������������������������� �� ����� �:�"$
' 8������������������������������������/������"�� �� �� ��� ��������� 3��������!�"���������*���������� ������� ��� ��������� � � � ������������������������������$
' %���������������������������� ���������������� ����� ������� ��"��� 3� � ��"�������3��� ����� �3���; � ����� ����/� ���� ������ �����$
Contraseñas
¿En que consiste el “Phising”?
'%�������������������� ������������������ ����������������� ������� ����������� �������������3� � ����������� �����5� �� ���������������� "�����/������������ � ����� ������"������$
¿Como se realiza el “Phising”?
Mensajes enviados para engañar al usuario, utilizando todo tipo de ingeniosos argumentos relacionados con la seguridad para justificar la necesidad de introducir sus datos de acceso.
Un ejemplo de los más comunes pueden ser los siguientes:
•Problemas de carácter técnico. •Recientes detecciones de fraude y urge un cambio del nivel de seguridad. •Nuevas recomendaciones de seguridad para prevención del fraude.
PHISING
Ejemplo de intento de Phising
PHISING
• También podrán intentarlo mediante mensajes relacionados con:
•– Promoción de nuevos productos de la entidad, – Premios o regalos.
• En ocasiones se intenta forzar al usuario a tomar una decisión casi de forma inmediata con amenazas de que si no realiza los cambios solicitados, en pocas horas o días su acceso quedará deshabilitado.
PHISING
• Configuración Seguridad de Internet Explorer.
Seguridad del navegador
Podemos configurar nuestro navegador con medidas de seguridad que reduzcan la posibilidad de ser “atacados”, pero a cambio se limitará la “versatilidad” de su uso.
Internet Explorer define “4 zonas de seguridad”
•Intranet (páginas Web que se encuentran en nuestra misma red)•Sitios de Confianza (confiamos en su contenido)•Sitios Restringidos (no confiamos en su contenido)•Internet (cualquier sitio Web no definido en los 3 anteriores)
Cada una de estas zonas tiene configuradas las opciones de seguridad que pueden ser modificadas por el usuario.
Zonas de Seguridad de IE
Agregar un sitio de confianza (IE)
Podemos “saltar” las restricciones de la zona de Internet indicando que sitios Web son de nuestra confianza.
Seguridad DNS
La resolución DNS permite acceder a un sitio conociendo su nombre (URL) realizando este servicio la traducción de nombre a dirección IP.
¿Es seguro el servicio DNS?
Cada “dominio” en Internet tiene su propio servidor DNS “autoridad” de su zona.Si preguntamos a un servidor DNS por la dirección de un equipo “propio” la respuesta es inmediata y ofrecida por el mismo servidor.A este se le conoce como “Respuesta Autoritativa”
Si preguntamos por una máquina de un dominio diferente, el servidor no conoce la respuesta (esta fuera de su “zona”) y debe preguntar a otro servidor DNS en Internet de nivel superior.¿Podemos estar seguros que la respuesta que recibe es verdadera?
Resolución DNS
Consulta sobre un equipo del mismo (Servidor DNS SOA de s21edu.com)
Consulta sobre un equipo de diferente dominio.La respuesta no es autoritativa
¿Cómo sabemos que la dirección IP entregada a nuestro servidor DNSEs autentica?
Resolución DNS
Las consultas DNS (udp 53) no se envian cifradas por lo que pueden ser interceptadas.En udp, no hay control de la conexión y por ello da por “fiable”solamente por incluir la pregunta en la respuesta
Resolución DNS
Además de utilizar un servidor DNS para la resolución de nombres, es posible utilizar el fichero HOSTS para incluir pares de valores directamente.Si este fichero es manipulado malintencionadamente...
Introducimos la dirección IP de “google” en la referencia a “altavista”
XP Centro de Control de Seguridad:
•Gestión de Firewall de Seguridad
•Actualizaciones automáticas
•Gestión de Antivirus
Las excepciones de tráfico pueden ser configuradas para puertos y aplicaciones determinados
•El Firewall monitoriza los puertos que la aplicación escucha y los añade automáticamente a la lista de trafico entrante permitido.
•Incluye excepciones preconfiguradas para las aplicaciones más comunes:
�Compartir archivos e impresoras.
�Escritorio Remoto
�...
Establecer Excepciones
Establecer excepciones en el FW de XP
