Seguridad Informática

Seguridad Informática: Estamos seguros ? JCH-2

Conceptos de Seguridad Informática...

Qué debo tener en cuenta al desarrollar un Area de SI ?...

Riesgos Informáticosy contra medidas...

Metodología ?


Conceptos Básicos,Conceptos Básicos,

Riesgos Informáticos,Riesgos Informáticos,

Modelos de Ataques,Modelos de Ataques,

Cómo defendernos,Cómo defendernos,

Arquitectura de Seguridad Informática,Arquitectura de Seguridad Informática,

Area de Seguridad Informática,Area de Seguridad Informática,

Estamos seguros ?.Estamos seguros ?.


Consecuencias de la ausencia de Seguridad,Daños por fenómenos naturales:

Infraestructura Física:Centro de Cómputo,Hardware,Redes de Comunicación,

Información.

Fraude Informático:Virus,Robo de Software, Piratería,Intereses económicos,Inculpar a otros,Imagen Corporativa.


Circunstancias que motivan el Fraude,

Oportunidad,

Baja probabilidad de detección,

Grado de conocimiento del sistema, herramientas y sitios

sobre vulnerabilidades,

Justificación,

Ego personal.

Cómo evitar el Fraude Informático ?,

Aplicar Metodología de seguridad clara,


Consideraciones importantes(1),Seguridad en todo el esquema computacional,Un intruso utilizará cualquier medio de penetración; no necesariamente el más obvio ni el más complicado de romper...

Medio Cliente: C

Medio Comunicación: R

Medio Servidor: S

Medio Logístico: L


Consideraciones importantes(2),Costos Vs Riesgos ==== Balance,


Administración de Riesgos

• Riesgo: Probabilidad de ocurrencia de un evento

adverso (DoS)

• Amenaza: Causante de un evento adverso (Virus)

• Vulnerabilidad: Debilidad frente a una amenaza(No

tener AntiVirus)

• Incidente: Materialización de un riesgo

• Impactos: Imagen, dinero, mercado, etc.


Fundamentos Básicos de la Seguridad Informática(1)

Autenticación:Garantizar que quién solicita un acceso es

quién dice ser:

•Manejo de Passwords (Algo que se conoce)

•Estáticos

•Dinámicos (cambio períodico),

•Reglas de Inducción (Algo que se sabe generar),

•Token Cards, SmartCards (Algo que se tiene),

•Biométricos (Algo propio de un ente).



Integridad: Garantizar que la información es la misma de

origen a destino:

•Huella digital de los datos - Hash (Checksum),

•MD5 (Message Digest 5),

•SHA-1 (Secure Hash Algoritm 1).



Confidencialidad: Garantizar que nadie pueda entender

la información que fluye:

•Software y Hardware (combinaciones),

•Encripción Simétrica y Asimétrica,

•DES, TripleDES, AES(Seleccionado RIJNDAEL),

•RSA.



Disponibilidad: Garantizar que los servicios estén activos

en todo momento:

•Plan de Continuidad: Planes de Contingencia,

•Operativa y Tecnológica,

•Pruebas Periódicas,

•Talleres Prácticos,

•Compromiso de los Clientes (Nivel de Acuerdo).



Control de Acceso: Permitir que algo o alguien acceda

sólo lo que le es permitido:

•Políticas de Acceso,

•Asociación usuarios y recursos,

•Administración de recursos,

•Periféricos,

•Directorios,

•Archivos, etc,

•Operaciones,

•Perfiles,

•Niveles de

Sensibilidad,

•ACL’s,

•Horarios y holgura,

•Privilegios.



No-Repudiación: Garantizar que quién genere un evento

válidamente, no pueda retractarse:

•Certificados Digitales,

•Firmas Digitales,

•Integridad,

•No copias de la llave privada para firmar.



Auditoria:Llevar registro de los eventos importantes:

•Monitoreo de pistas,

•Ocasional,

•Periódico,

•Alertas,

•Herramientas Amigables.


Este es unMensaje

?”&# #” (/%#/”+*#

E = ? t = & e = #u = ( s = “ n = /j = * M = % a = +

Encripción (A) A =>

Este es unMensaje

?”&# #” (/%#/”+*#

•A debe ser secreto,•Pocos participantes,DesEncripción (A)

Este es unMensaje

?”&# #” (/%#/”+*#

E = ? t = & e = #u = ( s = “ n = /j = * M = % a = +

Encripción (Ak) Ak =>

Este es unMensaje

?”&# #” (/%#/”+*#DesEncripción (Ak)

E = $ t = # e = !u = ) s = ? n = ¿j = ‘ M = * a = -

Am=>

•A siempre igual,•A es conocido por todos,•Muchos participantes,•A usado con claves diferentes

genera distintos resultados,

•La clave es la Seguridad, no A,•Dos o mas participantes debencompartir la misma clave,•Algoritmos simétricos,•Cómo distribuyo la clave de manera segura ?.


• Cada participante tiene 2 claves:

•Clave Privada (Pri): Sólo la conoce

el dueño,

•Clave Pública (Pub): Puede ser

conocida por cualquiera.

• El algoritmo A es conocido por todos,

• No importa la cantidad de

participantes,

• La Seguridad se basa en el par de

claves de cada participante (Pri, Pub),

• No hay problema en distribuir las

claves públicas,

• De la clave pública no se puede

deducir la privada y viceversa,

• Algoritmos Asimétricos,

Pedro

PriPedro

PubPedro

PubAna

Ana

PriAna

PubAna

PubPedro

Intercambio de públicas

Este es unMensaje

?”&# #” (/%#/”+*#

Encripción (APubAna)

DesEncripción (APriAna)

Este es unMensaje

Encripción (APubPedro)

?”&# #” (/%#/”+*#

DesEncripción (APriPedro)

Este es unMensaje


Pedro

PriPedro

PubPedro

PubAna

Ana

PriAna

PubAna

PubPedro

Intercambio de públicas

Este es unMensajeFirmado

Firmar (APrivPedro) Verificar (APubPedro)Este es unMensajeFirmado

Este es unMensajeFirmado

Verificar (APubAna) Firmar (APriAna)Este es unMensajeFirmado

• Las firmas dependen tanto de la clave

privada como de los datos del

mensaje,

• Los procesos de encripción y firma

digital se pueden combinar,

• Ojo: Si cambio de claves (Pub y Pri)

debo preservar las anteriores para

validar los mensajes anteriores,

• Fundamentos de los PKI’s.


Pedro

Cómo funciona actualmente el modelo simétrico y asimétrico ?

AnaComienzo de sesión segura. Proponer llave de sesión. Asimétrico.

S

PrvPedro PubAna

S

PubPedro PrvAna

OK

Este es unMensaje

S

Este es unMensaje

S

Mensajes encriptados con llave acordada. Simétrico.


Medio Logístico,

Medio Cliente,

Medio Comunicación,

Medio Servidor.


Descuido de papeles o documentos confidenciales,

Passwords,

Listas de control de Acceso,

Mapas de la Red de la Organización,

Listados de información sensible. Contra medida: Admon. de documentos y/o papeles sensibles.

Categorías para los documentos.

Medio Logístico(1)


Ingeniería Social,• Ataque de Autoridad: con o sin armas,• Ataque de Conocimiento: Solicitar otro tipo de información basándose en

conocimiento profundo,• Ataque de Respuesta: Basarse en mentiras,• Ataque Persistente: Intentos repetitivos con amenazas,• Ataques sobre las actividades diarias: Revisar acciones, movimientos, etc.,• El ataque 10: Usar el atractivo físico,• Ataque por engaño: Habilitar falsas alarmas para deshabilitar las

verdaderas,• Ataque Help-Desk: Pasarse por un usuario de la red de la organización,• Ataque de los premios: Prometer premios si se llena cierta información.

Contra medida: Esquemas de autenticación. Protección física. Seleccionar personal idóneo para funciones sensibles. Procedimientos claros.

Medio Logístico(2)


Responsabilidad sobre una sola área o persona,

Contra medida: Segregación de funciones (definición de políticas

de seguridad Vs. Administración de las políticas) en áreas

diferentes. Doble intervención. Doble autenticación.

Empleados y/o Ex-empleados disgustados,

Contra medida: Sacar de todo acceso a los ex-empleados. Política

de autenticación y control de acceso clara para los empleados.

Cultura de seguridad informática.

Medio Logístico(3)


Virus:• Tabla de Particiones,• Boot Sector,• Archivos,• Polimórficos: Encripción, se alteran solos,• Stealth: Parcialmente residentes en memoria,• Múltiples partes: Combina 2 anteriores,• Macro Virus.

Contra medida: Antivirus para Micros, Servidores, Firewalls, Correo e

Internet. Políticas claras sobre riesgos en Internet. Restringir mensajes

de fuentes dudosas.

Medio Cliente(1)


Mal uso de los passwords:

Muy cortos,

Muy simples (sin números, símbolos y/o caracteres especiales),

Palabras comunes a un diccionario,

Lógicas simples (password = login al contrario),

Passwords estáticos.

Contra medida: Políticas de administración de passwords (vigencia,

herramientas para romperlos y generar reportes). Esquemas robustos

de autenticación (Token Cards, Smart Cards, Biométricos).

Medio Cliente(2)


Ningún control de acceso al Micro:

Micro sensible no protegido físicamente,

No control de acceso al sistema operacional,

Passwords escritos cerca al Micro,

Administración pobre del sistema de archivos y privilegios locales,

Compartir el Micro sin discriminar el usuario.

Ningún sistema de seguridad local (permite cargar agentes

residentes locales). Contra medida: Control de acceso físico al Micro. Políticas de

administración en el sistema operacional. Perfiles claros por usuario.

Módulos de seguridad activos.

Medio Cliente(3)


Ver información por la Red, Contra medida: Encripción,

Modificar información que viaja por la Red, Contra medida: Checksums (hash), firmas,

Modificar información que viaja por la Red, Contra medida: Checksums (hash), firmas,

Medio Comunicaciones y Servidor(1)


SpoofingTipo de Spoof Escenario Por qué puede suceder Cómo prevenir

Email

Envía mensajes vagos con falso "from" a un servidor SMTP No Autenticación en SMTP

Verificar dirección IP fuente del mensaje o usar firmas digitales

Remailer anónimo

Atacante envia mensaje vía una cuenta de remailer anónimo No Autenticación en SMTP Firmas digitales

LoginUsar el login y el pw de otra persona para lograr acceso No cuidar paswwords

Proteger pw o usar autenticación robusta

RoutingEnviar paquetes RIP o ICMP redireccionados a un router

No autenticación en redirecionamiento RIP o ICMP

No los use en redes inseguras

DNS

Enviar un no solicitado dominio/dir. al servidor víctima No autenticación en DNS

Usar DNS modificados que no hagan cache en sus entradas

Direcciones IP Enviar dirección falsa a un Host La IP fuente no es verificada Bloquear red interna

Robo de sesiónAtacante inserta paquetes falsos en sesión activa Ya hubo una autenticación Sesiones encriptadas

Spoofing de WEB

Atacante crea una copia del WEB site, permitiendo que todo el tráfico pase por ahí

Un típico "hombre en el medio" donde se reescriben las solicitudes finales (y las respuestas)

Esté seguro que su URL si es la correcta


DoSAtaque Disco Ancho de banda BufferOverflow Ciclos CPU o Crash Notas

Cargar grandes datos vía ftp X Llena el discoCausar mensajes grandes en logs X X X Disco o buffer overflow

SYN Flood XBloquear puerto por corto tiempo

Teardrop X XOverlapping frafmentos IP

Smurf X

Redirecciona broadcast, spoof de IP de la víctima

Snork X

Envía mensajes de error a NT RPC puerto 135

UDP bomba X XSpoofing de paquetes entre echo y puertos

OOB ataque X XUsa apuntadores de datos urgentes falsos

Ping of Death X XBuffer overflow de los datagramas IP

Flood Ping X X Empantana la red

WinNuke X XManda basura al puerto 139 de NT

Land X XEnvía spoof de la víctima como fuente

Mailbombs, spam X X

Sobrecarga servidor de correo, gateway o mailbox de los usuarios


Char * vg_error;

int f_suma(int x, int y){ printf(“Escriba algo..\n”); gets(vg_error); ........ /*--- Si hubo error mensaje en p_error ---*/ Return(x+y);}

int main (){ int res; printf(“Comienzo...\n”); vg_error = (char *)malloc(10); res = f_suma(3, 4, vg_error); printf(“Suma = %i. \n”, res); free(vg_error);}

Tope Pila

Datos

Código

Vg_error

Dir. de retorno

Buffer Overflow(1)


Tope Pila

Datos

Código

Vg_error=1234567890

Dir. Cod. Maligno

Cod. Malignogets(vg_error); === “1234567890Dir.Cod.Maligno Cod.Maligno”

int main (){ int res; printf(“Comienzo...\n”); vg_error = (char *)malloc(10); res = f_suma(3, 4, vg_error); printf(“Suma = %i. \n”, res); free(vg_error);}

Buffer Overflow(2)


Tecnologías Vs Fundamentos


Tecnologías Vs Fundamentos (1)



Acuerdos de Servicios de Seguridad

Marco Legal Mecanismos de

Seguridad

Ley 527

Ley,

Decreto,

Resolución

Acuerdo en

términos de

seguridad

Modelos de

encripción,

etc.


SSL - SET


Transacción SSL...

Cliente(Browser)

ServidorWEB

1. Cliente abre conexión con Servidor y envía mensaje ClientHello

2. Servidor responde con ServerHello. Session ID

3. Servidor envía su Certificado. Llave Pública

4. Servidor envía solicitud de certificado del Cliente

5. Cliente envía su certificado

6. Cliente envía mensaje ClientKeyExchange

7. Cliente envía mensaje para verificar certificado

8. Ambos envían confirmación de que están listos

9. Prueba de mensaje de ambos sin modificaciones

LPS

LPSLSe LVS

LSe


Cliente

Banco de la Tarjeta(VISA) Banco del Comerciante

Comerciante1. Cliente Navega y decide comprar. Llena forma de compra

2. SET envía información del pedido y pago

7. Comerciante completa la orden de compra

9. Envía cuentade pago

3. C

omer

cian

te in

f. D

e p

ago

al b

anco

6. B

anco

au

tori

za p

ago

8. C

omer

cian

te c

aptu

ra T

ran

sacc

ión

4. Banco comerciante verifica conbanco cliente por autorización de pago

5. Banco cliente autoriza pago

•!!!!Hay Encripción,•Certificados firmados

basados en autoridades

certificadoras


VPNs


Red TelefónicaPública Conmutada

Enru

tador

Enru

tador

Enru

tador

Enrutador

RED

DE L

A E

NTID

AD

CEN

TR

AL

RED

DE A

CC

ESO

MODEM14.4Kbps

Criptos

MODEM

Criptos

PPP 19.2Kbps

Asinc. Cifrado 14.4bpsAsin

c. Cifra

do 14.4bps

PPP 19.2Kbps

Plataforma de Acceso actualPlataforma de Acceso actualVPN(1)


Transmisión: Líneas telefónicasTransmisión: Líneas telefónicas Alto tiempo de establecimiento de conexión,Alto tiempo de establecimiento de conexión,

Baja velocidad de transmisión,Baja velocidad de transmisión,

Cantidad limitada de líneas de acceso,Cantidad limitada de líneas de acceso,

Sin opción de contingencia automática,Sin opción de contingencia automática,

Obsolescencia de los equipos utilizados.Obsolescencia de los equipos utilizados.

VPN(2)


Virtual Private Network - VPN,

Es una red privada virtual, que utiliza como

medio de transmisión una red publica (como

Internet) o privada para conectarse de manera

segura con otra red .

VPN(3)


VPNsVPNs

Operación independientedel medio de tx.

Seg

urid

ad

Costo-Beneficio

Flexibilidad

VPN(6)


El equipo de VPN realiza funciones de autenticación, encripción, chequeo de integridad y autenticidad de la información

X Y

AB

X Y C

Por qué son seguras las VPNs ?Por qué son seguras las VPNs ?

VPN(12)


X y Y son VPN Gateway que van a establecer un túnel seguro Por medio de certificados digitales Y conoce a X X conoce a Y

X YA B

Por qué son seguras las VPNs ?Por qué son seguras las VPNs ?VPN(13)


X y Y realizan un intercambio seguro de llaves y acuerdan una clave secreta con la cual cifrarán los datos El cifrado de los datos se hace con algoritmos robustos como 3DES cuyas claves pueden ser de 168 bits (DES: clave de 56

bits)

X YA B



Una clave de 128 bits es imposible de descubrir en un tiempo favorable Sin la clave no se pueden descifrar los datos Y y X pueden negociar una nueva clave cada cierto tiempo (minutos)

X YA B



Criterios para seleccionar una VPNCriterios para seleccionar una VPN

Cumplir recomendaciones de

Superbancaria, Cumplir estándares internacionales para

VPN, Flexibilidad – Gestión remota, Desempeño, Costo, Seguridad.

VPN(22)


PKI


PKI – Problemática ActualCorreoIntermediariosFinancieros

CorreoUsuariosInternos

CertificadosDigitales Servidores Web

Autenticaciónde Usuarios

Portal de Seguridad

Múltiples Módulos De Seguridad


PKI – Definición

Infraestructura de seguridad de gran alcance Infraestructura de seguridad de gran alcance con servicios basados en técnicas y con servicios basados en técnicas y

conceptos de llaves públicasconceptos de llaves públicas


PKI - Funciones

n Brindar interoperabilidad entre sistemas.n Facilitar seguridad en las operaciones.n Fomentar el desarrollo del Comercio

Electrónico – Mecanismos.


PKI – Componentes (cont.)

n CA – Autoridad ó Entidad Certificadora– Es la entidad que genera los certificados.– Implementa las politicas definidas.– Usa un procedimiento de cómo se van a utilizar

los certificados.



n RA – Autoridad ó Entidad de Registro– Es un servicio subordinado de la CA.– Ofrece facilidad en la delegación de tareas para

esquemas de organizaciones distribuidas.



n Repositorio de Certificados– Lugar en donde se almacenan los certificados.– Llamado también directorio.– LDAP (Lightweight Directory Access Protocol)

n Es un estándar adoptado por los sistemas de PKI.n Soporta gran cantidad de usuarios.n Es fácilmente escalable.n Es eficiente para requerimientos de búsqueda.n Está basado en un estándar abierto (RFC 1777).



n CRL – Certificate Revocation List– Es un directorio usado por las aplicaciones

cliente para verificar la validez de un certificado digital.

– Hay incertidumbre de la actualización del directorio

– Una alternativa es el procedimiento naciente OCSP (On-line Certificate Status Protocol)


PKI - Arquitectura

Repositorio

Usuarios finales

Organizaciones

Autoridadde Registro

RA

Autoridad deCertificación

CA

CVS

Núcleo de la PKI

SolicitudValidaciónAprobaciónRegistroInformar

ExpideGenera copiasRevocaExpiraciónHistóricoActualiza CRLActualiza CVL

CRL CVL

Atiendeconsultas

Lan–Internet

X


PKI – Cerrada y Abierta en Colombian Cerradan Abierta


PKI – Alcance del Proyecto

n Fase 1– Estudio técnico de los diferentes proveedores de

sistemas de PKI.n Fase 2

– Implantación del sistema elegido.– Integración con el correo electrónico.– Integración con los dispositivos de VPN.– Aseguramiento de los servidores WEB .– Aseguramiento de los documentos electrónicos.


PKI – Alcance del Proyecto

n Fase 3– Generación de un esquema real de SSO.– Adecuación de aplicaciones Legacy para operar

con la PKI (este punto se realizará de manera incremental).

n Fase 4– Retroalimentación de los esquemas generados y

adaptación de las nuevas tecnologías (mantenimiento continuo y soporte)


Definición del Mundo

Análisis de Riesgos e Impactos

Diseño Políticasde Seguridad

Diseño Mecanismosde Seguridad

Implementación y Pruebas de

Políticas, Mecanismos

Implantación Políticasy Mecanismos

CIVISICIVISI

Mo

de

lo S

eg

uri

da

d d

e la

Org

.M

od

elo

Se

gu

rid

ad

de

la O

rg.

Monitoreo y Seguimiento

Pruebas de Vulnerabilidad

Mercadeo Cultura Seguridad, Políticas, Planes deContingencia y Mapas de Acción

Ataques Reales o Falla de Esquema

Evaluación ResultadosVulnerabilidad

11

22

33

11

22

Plan de AcciónInmediata - Grupo Incidentes

22

33

Equipo Atención Emergencias Recomendaciones

11

Volver Normalidad44

Rastreo y Manejo Incidente55

66

Area Adm. SI AuditoríaControl Interno

ASI

Activar Continuidad66

11

Talleres, Pruebas Continuidad22

Políticas Glogales Políticas de Seguridad Informática

Autenticación, Integridad, Privacidad, Disponibilidad,Control de Acceso, No-Repudación, Auditoria

Seminarios, Estándares


Area de Seguridad InformáticaArea de Seguridad Informática Arquitectura de Seguridad

Políticas, estándaresy Visión Seguridad

Seguridad de Redes

Análisis de Riesgos e Impactos

Seguridad Aplicaciones

Continuidad delNegocio

Políticas de SI

Visión Tecnológica

Estándares sobre SI

Encripción x HW

VPNs yEncripción x SW

FWs

Virus

Correo InternoExterno - Seguro

PKIs

Centro de Cómputo

Pruebas de Vulnerabilidad

Sistemas Operacionales

Transferencias Seguras

Metodologías

Análisis Riesgos

Análisis Impactos

Incidentes/CERT

LIB Mecanismos

Seguimiento AR

BD

WEB

Seguridad Apls

Herr. Auditoría

Herr. Libres

Nuevos Proyectos

SSO

Fundamentos

Estrategias

Procedimientos

Planes Conting.

Talleres

Pruebas Planes

Metodologías

Certificación

AcuerdosLiderar Certificación

Proyectos de SIen Producción

Area Admon de SI

Auditoría

Control Interno


FUNDAMENTOS DE SEGURIDAD

POLÍTICAS DE SEGURIDAD

Son las directrices de alto nivel que establecen un marco de referencia para la

actuación de todos los empleados y funcionarios del Banco de la Republica.




ESTÁNDARES Y PROCEDIMIENTOS

Estándar: Conjunto de requisitos de obligatorio cumplimiento que especifican

tecnologias y métodos para implementar las políticas de seguridad





Procedimiento: define un conjunto de pasos operacionales para efectuar una labor

particular



M1 M2 Mi .... Mn

MECANISMOS DE SEGURIDAD




Fundamental en toda Organización entender los conceptos e

importancia de la Seguridad Informática,

Areas dentro de la Organización que se hagan cargo,

Los fundamentos básicos son buen punto de partida para

estudio de Seguridad Informática,

Visión sobre la Seguridad Informática alineada con

estándares internacionales,

Campañas preventivas en toda la organización,


No existe la seguridad 100% pero si se pueden

minimizar, evitar, transferir y/o aceptar riesgos,

Es necesario seguir una metodología para estudio de la

seguridad,

Ataque la seguridad por frentes, sin perder su

globalidad,

Tecnología valiosa: Encripción, Llaves P y P, PKI, VPN,

Seguridad Informática

Documents

Transcript of Seguridad Informática