Criptografía y Seguridad en Redes by xpj11142

VIEWS: 569 PAGES: 46

									Criptografía y Seguridad
       en Redes

      Leobardo Hernández

    Laboratorio de Seguridad
          Informática

Centro Tecnológico Aragón, UNAM
             VI Simposium Internacional de Computación,   1
                         Sonora, Nov. 2006
                     Agenda
   Información y sus estados
   Propiedades de Seguridad de la Información
   Servicios y Mecanismos de Seguridad
   Criptología
       Criptografía
       Criptoanálisis
       Esteganografía
   Seguridad en Redes
   Herramientas para Seguridad en Redes
   Comentarios y Conclusiones
                         VI Simposium Internacional de Computación,   2
                                     Sonora, Nov. 2006
    Información y sus estados

   La información actual es digital
   Su manejo implica considerar estados:
       Adquisición
       Creación
       Almacenamiento
       Proceso (transformación, análisis, etc.)
       Transmisión


                      VI Simposium Internacional de Computación,   3
                                  Sonora, Nov. 2006
     Problemas en manejo de
           Información
   Confiabilidad de las fuentes y de la
    información misma
   Integridad (verificación)
   Confidencialidad
   Disponibilidad
   Control de Acceso
   Autenticación de las partes
   No repudio
                  VI Simposium Internacional de Computación,   4
                              Sonora, Nov. 2006
             Más Problemas

   El canal es público
   Uso canales seguros nada fácil, práctico, ni barato
   Las fuentes pueden no ser compatibles ni
    confiables
   Los sistemas de análisis y toma de decisiones
    asumen lo contrario
   Los resultados y reportes pueden ser equivocados
   Las decisiones se toman a partir de esos
    resultados
                    VI Simposium Internacional de Computación,   5
                                Sonora, Nov. 2006
           Más Problemas

   Información más valiosa que el dinero
   Hay que protegerla
     No solo en almacenamiento y proceso

     También durante la transmisión

   Formas almacenamiento y proceso:
    dispositivos digitales
   Formas de transmisión: redes y sistemas
    distribuidos
                 VI Simposium Internacional de Computación,   6
                             Sonora, Nov. 2006
              Más Problemas
   Expuesta a ataques de todo tipo
   Nada fácil crear un modelo para estudiar la
    seguridad
       Redes heterogéneas de todos los tipos
       Plataformas, medios, SO’s, arquitecturas
        distintas
       La pesadilla: Internet
   Que hacer??

                     VI Simposium Internacional de Computación,   7
                                 Sonora, Nov. 2006
    Seguridad de la Informacion

   Técnicas, procedimientos, políticas y
    herramientas para proteger y resguardar
    información en medios y dispositivos
    electrónicos

   Proteger la información almacenada en los
    equipos y la que se transfiere e intercambia
    por canales públicos
                  VI Simposium Internacional de Computación,   8
                              Sonora, Nov. 2006
    Seguridad de la Informacion

   Proteger informacion de amenazas, ataques y
    vulnerabilidades reales y potenciales

   Garantizar propiedades de información en todos
    sus estados: creación, modificación, transmisión y
    almacenamiento

   Implementar servicios de seguridad usando
    mecanismos útiles y eficientes
                    VI Simposium Internacional de Computación,   9
                                Sonora, Nov. 2006
        Servicios y Mecanismos de
                Seguridad
   Naturaleza pública del canal no se puede
    cambiar
   Sobre ese canal hay que saber qué se
    quiere:
       Servicios de Seguridad
   Sobre ese canal hay que saber cómo se
    implementa (si se puede):
       Mecanismos de seguridad
                     VI Simposium Internacional de Computación,   10
                                 Sonora, Nov. 2006
        Servicios y Mecanismos de
                Seguridad

   Servicios                                  Mecanismos
       Confidencialidad                       Cifrado
       Integridad                             Funciones Hash
       Autenticación                          Protocolos Criptográfico
       Control de Acceso                      Esquemas de CA
       No Repudio                             Firma Digital
       Disponibilidad                         No se puede !!


                    VI Simposium Internacional de Computación,       11
                                Sonora, Nov. 2006
         Seguridad Informática
   Se deben implementar los 5 primeros
    servicios para disminuir el riesgo de sufrir
    indisponibilidad
   Los 5 primeros servicios se estandarizan en
    el ISO 7498-2
   El Triángulo de Oro de la Seguridad incluye:
       Confidencialidad
       Integridad
       Disponibilidad
                     VI Simposium Internacional de Computación,   12
                                 Sonora, Nov. 2006
        Criptografía y Seguridad

   4 de los 5 servicios estandarizados
    se implementan usando Criptografía:
       Confidencialidad
       Integridad (Verificación)
       Autenticación
       No Repudio
   No se puede hablar de Seguridad sin
    hablar de Criptografía
                    VI Simposium Internacional de Computación,   13
                                Sonora, Nov. 2006
                   Criptología
   Criptología se divide en:
       Criptografía
       Criptoanálisis
       Esteganografía


   Criptografía: oculta información aplicando al
    mensaje M, una transformación (algoritmo) F,
    usando una llave K y produce el texto cifrado C
                    Fk(M) = C

                         VI Simposium Internacional de Computación,   14
                                     Sonora, Nov. 2006
                 Criptografía
   Algoritmo F debe ser público

   Seguridad debe basarse en:
       Diseño y fortaleza de F
       Mantener K en secreto

   Algoritmo F integra 2 procesos:
         Cifrado:           Fk(M) = C
         Descifrado:        F’k(C) = M
                     VI Simposium Internacional de Computación,   15
                                 Sonora, Nov. 2006
                       Criptografía
   Algoritmos usan diferentes bases de diseño:
       Operaciones elementales
           Sustituciones        (César, Vigenere, Vernam, etc.)
           Permutaciones
           Combinación de ambas         (DES, AES, etc.)
       Matemáticas
           Teoría de Números           (RSA, ElGamal, DSS, etc.)
           Problemas NP y NP Completos
           Curvas Elípticas            (ECC)
       Fisica Cuántica
           Mecanica Cuántica
           Principio de Incertidumbre de Heinsenberg
       Otras
                             VI Simposium Internacional de Computación,   16
                                         Sonora, Nov. 2006
                    Criptografía
   Algoritmos pueden ser:
       Simétricos o de Llave Secreta
           Usan misma llave para cifrar y descifrar

       Asimétricos o de Llave Pública
           La llave que cifra es diferente a la que descifra

       Funciones Hash, Resumen o Compendio
           No usan llave
                         VI Simposium Internacional de Computación,   17
                                     Sonora, Nov. 2006
                  Criptografía

   También pueden ser por:
       Bloque
           El mensaje se procesa en bloques del
            mismo tamaño


       Flujo
           El mensaje se procesa como un todo por
            unidad básica

                      VI Simposium Internacional de Computación,   18
                                  Sonora, Nov. 2006
                    Criptografía
   Algoritmos Simétricos o de Llave Secreta
       DES (anterior estándar mundial)
       AES (Nuevo estándar mundial)
       3DES
   Algoritmos Asimétricos o de Llave Pública
       RSA (Estándar de facto)
       ElGamal
       DSS (Digital Signature Standard)
   Algoritmos Hash
       MD5
       SHA-1
                        VI Simposium Internacional de Computación,   19
                                    Sonora, Nov. 2006
                    Criptografía
   Algoritmos Simétricos
       Basan su diseño en operaciones elementales
       Buscan eficiencia
       Seguridad depende del tiempo y los recursos de
        cómputo


   Aplicaciones de Criptografia Simétrica
       Cifrado de información no clasificada (Confidencialidad)
       Verificación de Integridad
       Autenticación
                        VI Simposium Internacional de Computación,   20
                                    Sonora, Nov. 2006
                    Criptografía
   Algoritmos Asimétricos
       Diseño basado en problemas matemáticos
       Seguros computacionalmente
       Seguridad no depende de tiempo ni de recursos de
        cómputo
       Pero...son ineficientes


   Aplicaciones de Criptografia Asimétrica
       Cifrado de informacion clasificada (Confidencialidad)
       Acuerdo de llave simétrica
       Firma Digital (Autenticación y No Repudio)
                        VI Simposium Internacional de Computación,   21
                                    Sonora, Nov. 2006
                   Criptografía
   Algoritmos Hash
       Diseño basado en operaciones elementales
       Son eficientes
       Seguridad depende del tiempo y recursos de cómputo
       Proporcionan una huella digital del mensaje

   Aplicaciones de Algoritmos Hash
       Verificación de Integridad
       Autenticación
       Demostrar posesión de secretos sin revelar el secreto
       Virología
                        VI Simposium Internacional de Computación,   22
                                    Sonora, Nov. 2006
    Aplicaciones de Criptografía

   Actualmente se usan de forma híbrida
       Simétricos: eficientes
       Asimétricos: seguros computacionalmente
       Hash: eficientes y proporcionan huella digital
       Se usan asimétricos para acordar llave simétrica
       Acordada la llave simétrica, se usa un algoritmo
        simétrico para cifrar la información
       Ejemplo: PGP, SSH, etc.

                      VI Simposium Internacional de Computación,   23
                                  Sonora, Nov. 2006
        Protocolos Criptográficos

 Criptografía por sí sola no sirve para
  nada
 Protocolos: hilos mágicos que conectan
  Seguridad con Criptografía
 Todas las herramientas que
  proporcionan servicios de seguridad
  implementan protocolos
       Ejemplo: PGP, SSH, SET, SSL, etc.
                    VI Simposium Internacional de Computación,   24
                                Sonora, Nov. 2006
           Seguridad en Redes
   A problemas sin resolver (por no haber
    soluciones definitivas, por no conocerse o por
    no implementarlas) de la seguridad en:
       Controles de Acceso
       Bases de Datos
       Redes
       Sistemas Operativos
       SPAM
       Virus
       Etc.
                     VI Simposium Internacional de Computación,   25
                                 Sonora, Nov. 2006
           Seguridad en Redes
   Se agregan: cómputo móvil y wireless
   El grado y nivel de riesgo de amenazas,
    ataques y vulnerabilidades crece:
       Internet, Web y sus aplicaciones y desarrollos
       Tecnologías de código distribuible (Java, ActiveX)
       Sistemas abiertos y bancos de información
       Comercio electrónico
       Votaciones electrónicas
       Minería de datos y DWH
       Manejo de imágenes y multimedia
                       VI Simposium Internacional de Computación,   26
                                   Sonora, Nov. 2006
            Seguridad en Redes
   El canal es público
       Usar canales cifrados. Ejemplo: SecureSHell
       Cifrar toda información que se intercambia. Ejemplo: usar
        Pretty Good Privacy (PGP)
       Usar sistemas de correo seguro (cifrado). Ejemplos: PGP,
        PEM, S/MIME
       Monitorear la red. Ejemplo: ntop y EtheReal
       Detectar intentos de intrusión. Ejemplo: usar IDS’s como Snort
        o alguno comercial de ISS
       Usar mismas armas que los atacantes para defensa. Ejemplos:
        sniffers como EtheReal y crackers como John the Ripper

                          VI Simposium Internacional de Computación,   27
                                      Sonora, Nov. 2006
            Seguridad en Redes
   No se sabe la identidad del que envía o recibe
       Usar esquemas de firma y certificados digitales
        Ejemplo: PGP
       Usar protocolos fuertes de autenticación como IKE
   No se sabe qué información entra y sale
       Usar filtros de contenido
   No se sabe de donde viene y a donde van los
    accesos
       Usar filtros por IP, aplicación, etc. Ejemplo: usar
        Firewalls como IPTable o IPChains, ChekPoint, etc.
                        VI Simposium Internacional de Computación,   28
                                    Sonora, Nov. 2006
            Seguridad en Redes
   No se sabe si lo que se recibe es lo que se envió
       Usar esquemas para verificar integridad. Ejemplo: PGP
       Usar protocolos que implementen códigos MIC/MAC usando
        funciones hash o cifrado simétrico
   No se sabe si la red y sus recursos se están utilizando
    como y para lo que se debe
       Implantar politicas de uso (ISO 17799 y 27001)
       Monitoreo y autoataque (ntop, Ethereal, John the Ripper)
   No se sabe por donde me están atacando y que
    debilidades tiene mi red
       Usar analizadores de vulnerabilidades. Ejemplo: Nessus

                          VI Simposium Internacional de Computación,   29
                                      Sonora, Nov. 2006
             Seguridad en Redes
   Ya sé por donde, pero no se qué hacer para proteger
    mi red
       Actualizar software de sistemas y aplicaciones
       Instalar todos los parches de seguridad
       Cerrar puertos y aplicaciones no necesarios. Prohibir modems
       Informarse diario sobre nuevos ataques y vulnerabilidades e
        instalar los parches correspondientes
   Ya estamos hartos del SPAM
       Filtrado de contenidos y Firewalls
       Restringir tráfico de entrada y salida por IP, subject, idioma,
        etc.

                           VI Simposium Internacional de Computación,     30
                                       Sonora, Nov. 2006
            Seguridad en Redes
   Ya no soportamos al proveedor de antivirus
       Usar un antivirus libre y realizar sus propias
        actualizaciones
   La instalación de software es incontrolable
       Prohibir instalar cualquier software y nombrar único
        responsable autorizado para ello
       Políticas de seguridad
   No sé cómo empezar
       Empiece a estudiar
       Visite los sitios especializados
                        VI Simposium Internacional de Computación,   31
                                    Sonora, Nov. 2006
    Aspectos que se deben considerar

   Hay que tener Politicas de Seguridad
   Planes de Recuperacion y Continuidad en caso de Desastre (DRP y BCP)
   Sitios Alternos para funcionar y Respaldos de Informacion
   Sistemas de Detección de Intrusos
   Análisis de bitácoras
   Monitoreo y análisis de actividades de usuarios para limitar privilegios
   Reconocimiento de ataques a la red. Frecuencia y origen de los ataques
   Registro de Consulta de páginas Internet y comunicaciones e-mail con
    personas desconocidas
   Monitoreo de tráfico de la red
   Verificación de Integridad de Archivos y Bases de Datos
   Auditorías a la configuración del sistema
   Monitoreo de Recursos Humanos que tienen acceso a información sensible
    (selección, reclutamiento y sistemas de desarrollo del personal)
   Sistemas de Control de Confianza


                           VI Simposium Internacional de Computación,      32
                                       Sonora, Nov. 2006
   Aplicaciones Criptográficas
SSH (Secure SHell) http://www.ssh.com/support/downloads/

OpenSSL: http://www.openssl.org/source/

PGP: http://www.pgp.com/downloads/index.html

GPG: http://www.gnupg.org


   Correo Electrónico Seguro
S/MIME: http://www.ietf.org/html.charters/smime-charter.html

PGP: http://www.pgp.com/downloads/index.html
   PKI (Public Key Infrastucture)
Verisign: http://www.verisign.com/products-
  services/security-services/pki/index.html

OpenCA: http://www.openca.org/


   Autoridades Certificadoras
Verisign: http://www.verisign.com/

Entrust: http://www.entrust.com/
   IDS (Intrusion Detection System)
Snort: http://www.snort.org

Real Secure (ISS):
  http://www.iss.net/latam/spanish/products_service/enterprise_prot
  ection/index.php


Cisco:
    http://www.cisco.com/en/US/products/sw/secursw/ps2113/index.ht
    ml


   Firewalls
http://www.checkpoint.com/
http://www.cisco.com/en/US/products/hw/vpndevc/index.html
http://www.watchguard.com/
http://europe.nokia.com/nokia/0,,76737,00.html
   Monitores de Red
Ntop (Network Top) http://www.ntop.org

Nagios http://www.nagios.org

   Sniffers
TCPDump http://www.tcpdump.org/

Ethereal http://www.ethereal.com

Windump http://www.winpcap.org/windump/

Etthercap http://ettercap.sourceforge.net/
   Analizadores de Vulnerabilidades
Nessus http://www.nessus.org

LANGUARD http://www.gfi.com/languard/

Internet Scanner (ISS)
   htttp://www.iss.net/products_services/enterprise_prote
   ction/vulnerability_assessment/scanner_internet.php


   Passwords Crackers

John de Ripper http://www.openwall.com/john/
   ISO/IEC 17799-2005
    http://www.iso.org/iso/en/prods-
    services/popstds/informationsecurity.html

   ISO/IEC 27001
    http://www.bsi-
    global.com/News/Releases/2005/November/
    n4368cedc60947.xalter

   Sarbanes Oxley http://www.s-ox.com/
   ANTIVIRUS

AVAST (libre)
http://www.avast.com/eng/free_virus_protectio.html

CLAM WIN (libre) http://www.clamwin.com/

SYMANTEC http://www.symantec.com/index.htm

MCAFFE http://www.mcafee.com/es/

PANDA http://www.pandasoftware.com

AVG http://www.grisoft.com/doc/1
    Recursos de Seguridad

 www.nsa.gov
 www.nist.gov

 www.cert.org

 www.securityfocus.org

 www.packetstorm.org

 www.sans.org


            VI Simposium Internacional de Computación,   40
                        Sonora, Nov. 2006
    Comentarios y Conclusiones
   Hay que empezar a preocuparse y ocuparse del
    problema
   Ejemplos en que nunca hubo ya necesidad: cuando
    ocurrió, no hubo nunca más que hacer porque había
    desaparecido todo
       Biblioteca de Alejandría
       11 Sept. 2001
   A partir de 2001 el mundo cambió su visión,
    concepción y percepción de seguridad y su relación
    con las TI
       Replanteamiento total: Land Home Security
       Seguridad Nacional
       Estandarización global
                          VI Simposium Internacional de Computación,   41
                                      Sonora, Nov. 2006
    Comentarios y Conclusiones
   Estándares Globales
       ISO 17799-2005 y 27001
       Ley Sarbanes Oxley (SOX)
       BS 7799
   Para empresas e instituciones, la seguridad ha
    dejado de ser un problema tecnológico para
    convertirse en ventaja competitiva
   Toda empresa o institución que desee competir
    a nivel mundial tiene que cumplir esos
    estándares
                     VI Simposium Internacional de Computación,   42
                                 Sonora, Nov. 2006
    Comentarios y Conclusiones
   La seguridad puede verse ahora en 3 niveles de
    responsabilidad
       Directores y cuadros ejecutivos
       Niveles técnicos y operativos
       Usuarios
   Todos los niveles deben tener conciencia del problema
   Todo gobierno actual se siente obligado a seguir las
    tendencias globales
       Muchos no están preparados (México)
       Están empezando a prepararse

                          VI Simposium Internacional de Computación,   43
                                      Sonora, Nov. 2006
    Comentarios y Conclusiones
   Tampoco las empresas están preparadas
       Empiezan a darse cuenta
   No es el mejor camino el que se sigue ahora
    para resolver el problema:
       Consultoría externa (cara y escasa): dependencia
       Productos ¨milagro¨ generales (no resuelven nada)
       Soluciones sobre la marcha (improvisación y
        arribismo)
   Hay que trabajar en educación en Seguridad
       Universidades
                        VI Simposium Internacional de Computación,   44
                                    Sonora, Nov. 2006
Seguridad y TI en la UNAM

   Diplomado en Seguridad Informática
   http://siberiano.aragon.unam.mx/diplomadoseguridad/juriquilla/
   http://siberiano.aragon.unam.mx/
   Diplomado en Tecnologías de Información
   http://siberiano.aragon.unam.mx/dti/juriquilla/
   http://siberiano.aragon.unam.mx/dti/aragon/
   http://siberiano.aragon.unam.mx/dti/
   Laboratorio de Seguridad Informática, CTA
   http://leopardo.aragon.unam.mx/labsec/
   Grupo de Seguridad de DGSCA
                       VI Simposium Internacional de Computación,    45
                                   Sonora, Nov. 2006
  Gracias ..............
      Leobardo Hernández

Laboratorio de Seguridad Informática

Centro Tecnológico Aragón, UNAM

      leo@servidor.unam.mx
        Tel. 01 55 56231070
           VI Simposium Internacional de Computación,   46
                       Sonora, Nov. 2006

								
To top