SEGURIDAD INFORMÁTICA. Introducción La seguridad, protección de los equipos conectados en red y...
-
Upload
bayardo-espinosa -
Category
Documents
-
view
12 -
download
1
Transcript of SEGURIDAD INFORMÁTICA. Introducción La seguridad, protección de los equipos conectados en red y...
SEGURIDADINFORMÁTICA
Introducción
La seguridad, protección de los equipos conectados en red y de los datos que almacenan y comparten, es un hecho muy importante en la interconexión de equipos.
Cuanto más grande sea una empresa, más importante será la necesidad de seguridad en la red.
Nuestro interés va más allá del hecho de los procedimientos para compartir. En realidad se ve compartir recursos desde la perspectiva de establecer y mantener la seguridad en la red y en los datos.
La seguridad es bastante más que evitar accesos no autorizados a los equipos y a sus datos. Incluye el mantenimiento del entorno físico apropiado que permita un funcionamiento correcto de la red.
Seguridad Informática
La necesidad de la seguridad informática
En la actualidad la información es el objeto de mayor valor para las empresas.
El progreso de la informática y de las redes de comunicación nos presenta un nuevo escenario, donde los objetos del mundo real están representados por bits y bytes, que ocupan lugar en otra dimensión y poseen formas diferentes de las originales, no dejando de tener el mismo valor que sus objetos reales, y, en muchos casos, llegando a tener un valor superior.
Seguridad Informática
Por esto y otros motivos, la seguridad de la información es un asunto tan importante para todos, pues afecta directamente a los negocios de una empresa o de un individuo.
La seguridad de la información tiene como propósito proteger la información registrada, independientemente del lugar en que se localice: Impresos en papel, Discos duros de las computadoras o incluso en la memoria de las personas que la conocen.
Seguridad Informática
Funciones y Responsabilidades de la Seguridad Informática
… una de las preocupaciones de la seguridad de la información es proteger los elementos que forman parte de la comunicación.
Así, para empezar, es necesario identificar los elementos que la seguridad de la información busca proteger:
La información Los equipos que la soportan Las personas que la utilizan
Seguridad Informática
Responsabilidades en el manejo de la información
En la actualidad, la seguridad informática ha adquirido gran auge, dadas las cambiantes condiciones y las nuevas plataformas de computación disponibles. La posibilidad de interconectarse a través de redes, ha abierto nuevos horizontes que permiten explorar más allá de las fronteras de la organización. Esta situación ha llevado a la aparición de nuevas amenazas en los sistemas computarizados.
Seguridad Informática
Consecuentemente, muchas organizaciones gubernamentales y no gubernamentales internacionales han desarrollado documentos y directrices que orientan en el uso adecuado de estas destrezas tecnológicas y recomendaciones con el objeto de obtener el mayor provecho de estas ventajas, y evitar el uso indebido de la mismas.
Esto puede ocasionar serios problemas en los bienes y servicios de las empresas en el mundo.
Seguridad Informática
Atributos y clasificación de la información
Proteger la información significa mantenerla segura contra amenazas que puedan afectar su funcionalidad:
Corrompiéndola, Accediéndola indebidamente, o incluso Eliminándola o hurtándola.
Seguridad Informática
En un reciente estudio de Datapro Research Corp. se resumía que los problemas de seguridad en sistemas basados en redes responde a la siguiente distribución: Errores de los empleados 50% Empleados deshonestos 15% Empleados descuidados 15% Otros 20% (Intrusos ajenos a la Empresa 10%;
Integridad física de instalaciones 10% )
Seguridad Informática
Se puede notar que el 80% de los problemas, son generados por los empleados de la organización, y, éstos se podrían tipificar en tres grandes grupos:
Problemas por ignorancia Problemas por haraganería Problemas por malicia
Entre estas razones, la ignorancia es la más fácil de corregir.
Desarrollando tácticas de entrenamiento y procedimientos formales e informales son fácilmente neutralizadas. Los usuarios, además, necesitan de tiempo en tiempo, que se les recuerden cosas que ellos deberían conocer.
Seguridad Informática
La forma de instrumentar la confidencialidad de la información es a través del establecimiento del grado de sigilo:
Grado de sigilo:
La información generada por las personas tiene un fin específico y se destina a un individuo o grupo. Por lo tanto, la información necesita una clasificación en lo que se refiere a su confidencialidad. Es lo que denominamos grado de sigilo, que es una graduación atribuida a cada tipo de información, con base en el grupo de usuarios que poseen permisos de acceso.
Seguridad Informática
Dependiendo del tipo de información y del público para el cual se desea colocar a disposición los grados de sigilo podrán ser:
Confidencial Secreto Restrictivo Sigiloso Público
Seguridad Informática
Conceptos básicos de la seguridad informática
· Confidencialidad · Integridad · Autenticidad · No Repudio · Disponibilidad de los recursos y de la información
· Consistencia · Control de Acceso · Auditoria
Seguridad Informática
Confidencialidad
Consiste en proteger la información contra la lectura no autorizada explícitamente.
Incluye no sólo la protección de la información en su totalidad, sino también las piezas individuales que pueden ser utilizadas para inferir otros elementos de información confidencial.
Seguridad Informática
Que la información sea accesible solamente a las entidades que tienen derecho a ella, tanto para leerla, imprimirla, desplegarla o para cualquier otra forma de divulgación de la misma.
Transformar la información de tal forma que solo sea entendible o utilizable por aquellas entidades para las que fue creada.
Seguridad Informática
Integridad
Es necesario proteger la información contra la modificación sin el permiso del dueño.
La información a ser protegida incluye no sólo la que está almacenada directamente en los sistemas de cómputo sino que también se deben considerar elementos menos obvios como respaldos, documentación, registros de contabilidad del sistema, tránsito en una red, etc. Esto comprende cualquier tipo de modificaciones:
Seguridad Informática
Que la información no sea destruida y/o modificada, mas que por los usuarios y mecanismos autorizados para ello.
La información no debe modificarse o destruirse ni en los sistemas de procesamiento ni al ser transmitida por algún medio de comunicación.
Seguridad Informática
Esto comprende cualquier tipo de modificaciones:
Causadas por errores de hardware y/o software.
Causadas de forma intencional. Causadas de forma accidental
Cuando se trabaja con una red, se debe comprobar que los datos no fueron modificados durante su transferencia.
Seguridad Informática
Autenticidad
La autenticidad garantiza que quien dice ser "X" es realmente "X".
Es decir, se deben implementar mecanismos para verificar quién está enviando la información.
Que el origen de la información sea correctamente identificado, asegurando que la identidad no es falsa.
Seguridad Informática
Los usuarios deben de poder probar que realmente son quien dicen ser….
Tipos de autenticación: Por factores:
De un factor: Algo que yo se.
De dos factores: Algo que yo se y algo que yo tengo.
De tres factores: Algo que yo se, algo que yo tengo y algo que yo soy *.
*Algo que yo hago
Seguridad Informática
No – repudio
Ni el origen ni el destino en un mensaje deben poder negar la transmisión. Quien envía el mensaje puede probar que, en efecto, el mensaje fue enviado y viceversa.
Seguridad Informática
Que las parte involucradas en un proceso de intercambio de información puedan probar la participación de su contraparte de forma inequívoca, así como puedan probar su propia participación en dicho intercambio.
Tener los medios para probarle a alguien que hizo algo dentro de un sistema o con cierta información.
Seguridad Informática
Disponibilidad de los recursos y de la información
De nada sirve la información si se encuentra intacta en el sistema pero los usuarios no pueden acceder a ella.
Por tanto, se deben proteger los servicios de cómputo de manera que no se degraden o dejen de estar disponibles a los usuarios de forma no autorizada.
La disponibilidad también se entiende como la capacidad de un sistema para recuperarse rápidamente en caso de algún problema.
Seguridad Informática
Que se garantice la disponibilidad de los recursos informáticos cuando se requieran y por consecuencia de la información contenida en estos recursos.
La información debe estar disponible siempre, de acuerdo a las reglas establecidas de antemano para su uso.
Seguridad Informática
Consistencia
Se trata de asegurar que el sistema siempre se comporte de la forma esperada, de tal manera que los usuarios no encuentren variantes inesperadas.
Seguridad Informática
Control de acceso a los recursos
Consiste en controlar quién utiliza el sistema o cualquiera de los recursos que ofrece y cómo lo hace.Tipos de control de acceso:
Discrecional (DAC): la validez del método de autenticación esta a discreción del usuario.
Mandatorio (MAC): se validan aspectos sobre los cuales el usuario no tiene control.
Seguridad Informática
Autorización
Que un usuario tenga acceso solamente a la información que le corresponde una vez que tiene acceso aun sistema o a una red de sistemas de acuerdo a sus privilegios y restricciones.
Seguridad Informática
Auditoria
Consiste en contar con los mecanismos para poder determinar qué es lo que sucede en el sistema, qué es lo que hace cada uno de los usuarios y los tiempos y fechas de dichas acciones.
En cuanto a los dos últimos puntos resulta de extrema importancia, cuando se trata de los derechos de los usuarios, diferenciar entre “espiar” y “monitorear” a los mismos.
La ética es algo que todo buen administrador debe conocer y poseer.
Seguridad Informática
Finalmente, todos estos servicios de seguridad deben ser tomados en cuenta en el momento de elaborar las políticas y procedimientos de una organización para evitar pasar por alto cuestiones importantes como las que señalan dichos servicios.
De esta manera, es posible sentar de forma concreta y clara los derechos y límites de usuarios y administradores.
Sin embargo antes de realizar cualquier acción para lograr garantizar estos servicios, es necesario asegurarnos de que los usuarios conozcan sus derechos y obligaciones.
Seguridad en redes
Implantación de la seguridad en redes
La planificación de la seguridad es un elemento importante en el diseño de una red.
Es mucho más sencillo implementar una red segura a partir de un plan, que recuperar los datos perdidos.
31
Tipos de Algoritmos de cifrado
Por el tipo de llave: Simétricos. Se utiliza la misma llave para
cifrar y descifrar (llave privada) Asimétricos. Se utilizan llaves diferentes
para cifrar y descifrar (llave pública)
32
Encripción Privada
Bases: Utiliza la misma llave para cifrado y descifrado Se basa en una llave secreta
Ventajas Sencillo y Rápido
Desventajas Se basa en un secreto
Ejemplos DES, Lucifer, RC4
33
El nacimiento de DES
En 1972, el gobierno de EUA empezó un esfuerzo para el desarrollo de un estándar de cifrado que tuviera las siguientes características:
Alto nivel de seguridad Completamente especificado y fácil de entender La seguridad del algoritmo no debe de basarse en la
confidencialidad del algoritmo. Debe estar disponible para cualquier usuarios Debe de poderse usar en diversas aplicaciones Debe de ser barato Debe de ser validable Debe de ser exportable
34
DES
Digital Encryption Standard Esfuerzo coordinado por NBS y NSA en EUA
National Bureau of Standards National Security Agency
Basado en Lucifer desarrollado por IBM Lucifer usaba llaves de 128 bits Se creo DES con llaves de 56 bits Se aprobó por el departamento de comercio de
EUA en 1976 y se público en 1976 Basado en operaciones manipulación de bits
35
DES y su evolución
Ha estado en uso por más de 20 años Se puede romper pero toma tiempo EUA solo permite la exportación de DES
con llaves de 40 bits, las cuales se pueden romper fácilmente
Ahora está en proceso la aprobación para exportación de DES 56.
Tripple DES Nace RC4, que es más eficiente y
propietario
36
Cifrado Pública
Bases: Utiliza distintas llaves para cifrar y descifrar Se basa en factorización de números primos
muy grandes Ventajas
Altamente seguro Desventajas
Es más lento, la distribución de llaves no es trivial
Ejemplos RSA, Diffie-Hellman
37
Algoritmo de RSA
Se escogen 2 números primos (p y q) muy grandes
n=pq Se escoge una llave de cifrado de forma
tal que e y (p-1) (q-1) son relativamente primos
ed = 1 mod (p-1)(q-1)d=e^-1 mod ((p-1)(q-1))
De esta forma e y n son la llave pública, d es la llave privada, p y q solo se necesitan para la generación de llaves
38
Llaves públicas
El problema: Creación y distribución de llave
¿Quién las crea? ¿Cómo sabes si la persona correcta las
creo? Si yo te envío mi llave pública a través
de correo electrónico, ¿estas seguro de que fui yo?
39
Creación y Distribución de llaves Autoridad certificadora
Puntos de confianza Verisign en EUA ¿y en México?
Banco de México Bancos Notarias ¿Quién?
40
Intercambio de llaves privadas Llaves de sesión Utilizamos Diffie-Hellman
Algoritmo de criptografía Criptografía pública Creado por Diffie y Hellman 1976 Sencillo
41
Diffie - Hellman
Usuario A Selecciona un entero
grande x, y le manda a B esto:X = g^x mod n
A calcula: k = Y^x mod n
Usuario B Selecciona un entero
grande y y lo manda a A esto:Y = g^y mod n
B calcula: k’ = X^y mod n
Ambas k y k’ son igual a g^(xy) mod n. Nadie en medio de la comunicación puede calcular ese valor porque solo conocen n, g, X y Y. k es la llave secreta o de sesión que ambas partes usan
Ambos A y B, acuerdan en dos números primos grandes n y g.Estos números son secretos.
Herramientas de Seguridad.
Firewalls. Single Sign On. Detección de Intrusión. PKI. SSL. SET.
Introducción a la criptografía
Criptografia: Ciencia que se dedica a mantener las comunicaciones seguras.
Criptoanálisis: ciencia y arte que analiza la forma de romper los algoritmos criptográficos.
Cifrado: transformación de datos en alguna forma que los hace ilegibles si no se cuenta con la “llave”.
Criptología: Rama de las matemáticas que incluye a la criptografía y al criptoanálisis.
Terminología
Texto claro: Datos, información legible. Texto cifrado (Ciphertext): Datos que
han sido cifrados. Decripción: Proceso que convierte el
texto cifrado en texto claro. Algoritmo criptográfico (Cipher): función
matemática utilizada para cifrar y descifrar información.
Cifrado Simétrico
La llave de cifrado y la de descifrado son iguales o la llave de descifrado se puede derivar de la de cifrado.
Conocidos como algoritmos de llave secreta o privada.
El emisor y el receptor comparten la misma llave.
Ejemplos: DES, 3DES, RC2, RC5, IDEA, Skipjack.
El problema de la distribución de llaves
¿Como asegurar que la llave es distribuida de forma segura a todos los participantes en una comunicación?.
Para n usuarios se requieren n(n-1)/2 llaves diferentes.
Si se compromete la llave, toda la comunicación está en peligro.
Cifrado asimétrico
La llave utilizada para cifrar el mensaje es diferente a la utilizada para descifrarlo.
Conocidos como de llave pública. Ambas llaves están matemáticamente
relacionadas. Su seguridad radica en la dificultad para
obtener una llave a partir de la otra. Están basados en problemas matemáticos
complejos: Factorización de números grandes primos, Logaritmos discretos, Curvas elípticas.
Algoritmos asimétricos y la distribución de las
llaves Se genera un par de llaves. Una se mantiene de forma privada. La otra se hace del conocimiento de
todos. Alguien que quiera mandar un mensaje
al dueño de las llaves la cifra con la llave pública, y el dueño de las llaves la descifra con la llave privada.
Esto reduce el problema de la distribución a un grado de complejidad O(n).
Autenticación con cifrado asimétrico
Si cifro con mi llave privada, cualquiera puede descifrar el mensaje con mi llave pública y así pueden estar seguros de que fui yo quien mandó el mensaje.
Este es el principio de las firmas digitales.
RSA
Inventado por Ron Rivest, Adi Shamir y Leonard Adleman en 1977.
Basado en la factorización de números primos muy grandes.
En Hardware RSA es 1000 veces más lento que DES y en software 100 veces más lento.
Estándar de-facto para cifrado de llave pública.
La patente (E. U.) expira el 20 de Septiembre de 2000.
Criptosistemas Híbridos
Los algoritmos asimétricos son lentos en comparación con los simétricos.
Los algoritmos simétricos son vulnerables a ataques de “texto claro elegido”.
Las implementaciones prácticas utilizan algoritmos de llave publica para distribuir y proteger las llaves y algoritmos de llave simétrica para asegurar (cifrar) el tráfico de los mensajes.
Algoritmos seguros de “Hash” También conocidos como: digest de
mensajes, Checksum criptográfico, huella digital del mensaje, checksum para integridad del mensaje.
Propiedades: es fácil generar un hash a partir de un
mensaje. es difícil determinar el mensaje en base a un
hash determinado. Es difícil obtener el mismo hash de dos
mensajes diferentes. Algoritmos populares de hash: MD5, SHA.
Firmas Digitales
Generación: Se procesa el mensaje con una función
de Hash para generar una digestión del mensaje.
Se cifra (firma) el mensaje con la llave pública.
Se envía el mensaje firmado (mensaje y firma juntos).
Obtención del mensaje:
Firmas Digitales El más popular: DSA (Digital
Signature Algorithm. Utiliza SHA, parte del estándar DSS
(Digital Signature Standar), llaves desde 512 hasta 1024 bits, estándar federal 1994.
Problemas: No sirve para distribución de llaves. El NSA le pudo haber puesto un “trap
door”. Llaves demasiado pequeñas. Más lento que RSA.
Requerimiento Base de Datos
Sistema Operativo
Red
Confidencialidad Si Si
Autentificación Si Si
Integridad Si
No-repudiación Si Si
Control de Acceso Si Si Si
Autorización Si
Disponibilidad Si Si
Implementación
Requerimiento Implementado mediante
Confidencialidad SSL y contraseña de acceso
Autentificación Contraseña de acceso
Integridad Permisos en la base de datos
No-repudiación Bitacoras de acceso
Control de Acceso Políticas de seguridad
Autorización Permisos en la base de datos
Disponibilidad SSL e implementación en Web
Implementación “Segura”
Requerimiento Implemención mediante
Confidencialidad SSL y contraseña de acceso
Autentificación Certificados digitales
Integridad Permisos en la base de datos.
No-repudiación Firma y certificado digital
Control de Acceso
Certificados digitales y políticas de seguridad
Autorización Permisos en la base de datos
Disponibilidad VPN y enlaces punto a punto
Ejemplo de Aplicación de Web normal
Internet
ISP
Bienvenido
WEBSERVER
Servidor de Web Seguro
FW
Información
Solicitud de certificación del servidor
Internet
ISP
WEBSERVER
Solicitud de certificación
AutoridadCertificadora.
Solicitud de certificación del cliente
Internet
ISP
CLIENTE
Solicitud de certificación
AutoridadCertificadora.
Ejemplo de aplicación con llave pública
Internet
ISP
WEBSERVER
FW
Información
¿Quien es?
Yo soy X
BienvenidoX
Solicitud servicio
AutoridadCertificadora.
Aplicaciones de los esquemas de llave pública. SSL (Secure Socket Layer).
SET (Secure Electronic Transactions).
Se les conoce como Infraestructuras de Llave Pública.
Componentes de una Infraestructura de Llave Pública.
Autoridad Certificadora. Autoridad Registradora. Esquema de cifrado. Certificados digitales. Uno o dos pares de llaves (uno para
cada participante en la comunicación).