710 likes | 872 Views
SEGURIDAD INFORMÁTICA. Introducción. La seguridad, protección de los equipos conectados en red y de los datos que almacenan y comparten, es un hecho muy importante en la interconexión de equipos.
E N D
Introducción La seguridad, protección de los equipos conectados en red y de los datos que almacenan y comparten, es un hecho muy importante en la interconexión de equipos. Cuanto más grande sea una empresa, más importante será la necesidad de seguridad en la red. Nuestro interés va más allá del hecho de los procedimientos para compartir. En realidad se vecompartir recursos desde la perspectiva de establecer y mantener la seguridad en la red y en los datos. La seguridad es bastante más que evitar accesos no autorizados a los equipos y a sus datos. Incluye el mantenimiento del entorno físico apropiado que permita un funcionamiento correcto de la red.
Seguridad Informática La necesidad de la seguridad informática En la actualidad la información es elobjeto de mayor valor para lasempresas. El progreso de la informáticay de las redes de comunicación nospresenta un nuevo escenario, donde losobjetos del mundo real estánrepresentados por bits y bytes, queocupan lugar en otra dimensión y poseenformas diferentes de las originales, nodejando de tener el mismo valor que susobjetos reales, y, en muchos casos,llegando a tener un valor superior.
Seguridad Informática Por esto y otros motivos, la seguridad de la información es un asunto tanimportante para todos, pues afecta directamente a los negocios de una empresa ode un individuo. La seguridad de la información tiene como propósito proteger lainformación registrada, independientemente del lugar en que selocalice: Impresos en papel, Discos duros de las computadoraso incluso en la memoria de las personas que la conocen.
Seguridad Informática • Funciones y Responsabilidades de la Seguridad Informática … una de las preocupaciones dela seguridad de la informaciónes proteger los elementos queforman parte de lacomunicación. Así, para empezar, es necesarioidentificar los elementos que laseguridad de la información buscaproteger: • La información • Los equipos que la soportan • Las personas que la utilizan
Seguridad Informática • Responsabilidades en el manejo de la información En la actualidad, la seguridad informática ha adquirido gran auge, dadas lascambiantes condiciones y las nuevas plataformas de computación disponibles. Laposibilidad de interconectarse a través de redes, ha abierto nuevos horizontes quepermiten explorar más allá de las fronteras de la organización. Esta situación ha llevadoa la aparición de nuevas amenazas en los sistemas computarizados.
Seguridad Informática Consecuentemente, muchas organizaciones gubernamentales y nogubernamentales internacionales han desarrollado documentos y directrices queorientan en el uso adecuado de estas destrezas tecnológicas y recomendaciones con elobjeto de obtener el mayor provecho de estas ventajas, y evitar el uso indebido de lamismas. Esto puede ocasionar serios problemas en los bienes y servicios de lasempresas en el mundo.
Seguridad Informática • Atributos y clasificación de la información Protegerla información significa mantenerla segura contra amenazas que puedan afectar sufuncionalidad: • Corrompiéndola, • Accediéndola indebidamente, o incluso • Eliminándola o hurtándola.
Seguridad Informática En un reciente estudio de Datapro Research Corp. se resumía que los problemasde seguridad en sistemas basados en redes responde a la siguiente distribución: • Errores de los empleados 50% • Empleados deshonestos 15% • Empleados descuidados 15% • Otros 20% (Intrusos ajenos a la Empresa 10%; Integridad física de instalaciones10% )
Seguridad Informática Se puede notar que el 80% de los problemas, son generados por los empleadosde la organización, y, éstos se podrían tipificar en tres grandes grupos: • Problemas por ignorancia • Problemas por haraganería • Problemas por malicia Entre estas razones, la ignorancia es la más fácil de corregir. Desarrollandotácticas de entrenamiento y procedimientos formales e informales son fácilmenteneutralizadas. Los usuarios, además, necesitan de tiempo en tiempo, que se lesrecuerden cosas que ellos deberían conocer.
Seguridad Informática La forma de instrumentar la confidencialidad de lainformación es a través del establecimiento del grado de sigilo: Grado de sigilo: La información generada por las personas tiene un finespecífico y se destina a un individuo o grupo. Por lo tanto, la informaciónnecesita una clasificación en lo que se refiere a su confidencialidad. Es loque denominamos grado de sigilo, que es una graduación atribuida a cadatipo de información, con base en el grupo de usuarios que poseen permisosde acceso.
Seguridad Informática Dependiendo del tipo de información y del público para el cual se desea colocar adisposición los grados de sigilo podrán ser: • Confidencial • Secreto • Restrictivo • Sigiloso • Público
Seguridad Informática • Conceptos básicos de la seguridad informática · Confidencialidad · Integridad · Autenticidad · No Repudio · Disponibilidad de los recursos y de la información · Consistencia · Control de Acceso · Auditoria
Seguridad Informática • Confidencialidad Consiste en proteger la información contra la lectura no autorizada explícitamente. Incluye no sólo la protección de la información en su totalidad, sino también las piezasindividuales que pueden ser utilizadas para inferir otros elementos de informaciónconfidencial.
Seguridad Informática • Que la información sea accesible solamente a las entidades que tienen derecho a ella, tanto para leerla, imprimirla, desplegarla o para cualquier otra forma de divulgación de la misma. • Transformar la información de tal forma que solo sea entendible o utilizable por aquellas entidades para las que fue creada.
Seguridad Informática • Integridad Es necesario proteger la información contra la modificación sin el permiso deldueño. La información a ser protegida incluye no sólo la que está almacenadadirectamente en los sistemas de cómputo sino que también se deben considerarelementos menos obvios como respaldos, documentación, registros de contabilidad delsistema, tránsito en una red, etc. Esto comprende cualquier tipo de modificaciones:
Seguridad Informática • Que la información no sea destruida y/o modificada, mas que por los usuarios y mecanismos autorizados para ello. • La información no debe modificarse o destruirse ni en los sistemas de procesamiento ni al ser transmitida por algún medio de comunicación.
Seguridad Informática Esto comprende cualquier tipo de modificaciones: • Causadas por errores de hardware y/o software. • Causadas de forma intencional. • Causadas de forma accidental Cuando se trabaja con una red, se debe comprobar que los datos no fueronmodificados durante su transferencia.
Seguridad Informática • Autenticidad La autenticidad garantiza que quiendice ser "X" es realmente "X". Es decir, se deben implementar mecanismos paraverificar quién está enviando la información. Que el origen de la información sea correctamente identificado, asegurando que la identidad no es falsa.
Seguridad Informática • Los usuarios deben de poder probar que realmente son quien dicen ser…. • Tipos de autenticación: • Por factores: • De un factor: Algo que yo se. • De dos factores: Algo que yo se y algo que yo tengo. • De tres factores: Algo que yo se, algo que yo tengo y algo que yo soy *. • *Algo que yo hago
Seguridad Informática • No – repudio Ni el origen ni el destino en un mensaje deben poder negar la transmisión. Quienenvía el mensaje puede probar que, en efecto, el mensaje fue enviado y viceversa.
Seguridad Informática Que las parte involucradas en un proceso de intercambio de información puedan probar la participación de su contraparte de forma inequívoca, así como puedan probar su propia participación en dicho intercambio. Tener los medios para probarle a alguien que hizo algo dentro de un sistema o con cierta información.
Seguridad Informática • Disponibilidad de los recursos y de la información De nada sirve la información si se encuentra intacta en el sistema pero losusuarios no pueden acceder a ella. Por tanto, se deben proteger los servicios decómputo de manera que no se degraden o dejen de estar disponibles a los usuarios deforma no autorizada. La disponibilidad también se entiende como la capacidad de unsistema para recuperarse rápidamente en caso de algún problema.
Seguridad Informática Que se garantice la disponibilidad de los recursos informáticos cuando se requieran y por consecuencia de la información contenida en estos recursos. La información debe estar disponible siempre, de acuerdo a las reglas establecidas de antemano para su uso.
Seguridad Informática • Consistencia Se trata de asegurar que el sistema siempre se comporte de la forma esperada,de tal manera que los usuarios no encuentren variantes inesperadas.
Seguridad Informática • Control de acceso a los recursos Consiste en controlar quién utiliza el sistema o cualquiera de los recursos queofrece y cómo lo hace. Tipos de control de acceso: • Discrecional (DAC): la validez del método de autenticación esta a discreción del usuario. • Mandatorio (MAC): se validan aspectos sobre los cuales el usuario no tiene control.
Seguridad Informática • Autorización Que un usuario tenga acceso solamente a la información que le corresponde una vez que tiene acceso aun sistema o a una red de sistemas de acuerdo a sus privilegios y restricciones.
Seguridad Informática • Auditoria Consiste en contar con los mecanismos para poder determinar qué es lo quesucede en el sistema, qué es lo que hace cada uno de los usuarios y los tiempos yfechas de dichas acciones. En cuanto a los dos últimos puntos resulta de extrema importancia, cuando setrata de los derechos de los usuarios, diferenciar entre “espiar” y “monitorear” a losmismos. La ética es algo que todo buen administrador debe conocer y poseer.
Seguridad Informática • Finalmente, todos estos servicios de seguridad deben ser tomados en cuenta en elmomento de elaborar las políticas y procedimientos de una organización para evitarpasar por alto cuestiones importantes como las que señalan dichos servicios. • De estamanera, es posible sentar de forma concreta y clara los derechos y límites de usuarios yadministradores. • Sin embargo antes de realizar cualquier acción para lograr garantizarestos servicios, es necesario asegurarnos de que los usuarios conozcan sus derechos yobligaciones.
Seguridad en redes • Implantación de la seguridad en redes • La planificación de la seguridad es un elemento importante en el diseño de una red. • Es mucho más sencillo implementar una red segura a partir de un plan, que recuperar los datos perdidos.
Introducción a la criptografía • Criptografía:Ciencia que se dedica a mantener las comunicaciones seguras. • Criptoanálisis: ciencia y arte que analiza la forma de romper los algoritmos criptográficos.
Introducción a la criptografía • Cifrado: transformación de datos en alguna forma que los hace ilegibles si no se cuenta con la “llave”. • Criptología: Rama de las matemáticas que incluye a la criptografía y al criptoanálisis.
Terminología • Texto claro: Datos, información legible. • Texto cifrado (Ciphertext): Datos que han sido cifrados.
Terminología • Decripción: Proceso que convierte el texto cifrado en texto claro. • Algoritmo criptográfico (Cipher): función matemática utilizada para cifrar y descifrar información.
Cifrado Simétrico • La llave de cifrado y la de descifrado son iguales o la llave de descifrado se puede derivar de la de cifrado. • Conocidos como algoritmos de llave secreta o privada. • El emisor y el receptor comparten la misma llave. • Ejemplos: DES, 3DES, RC2, RC5, IDEA, Skipjack.
El problema de la distribución de llaves • ¿Como asegurar que la llave es distribuida de forma segura a todos los participantes en una comunicación?. • Para n usuarios se requieren n(n-1)/2 llaves diferentes. • Si se compromete la llave, toda la comunicación está en peligro.
Cifrado asimétrico • La llave utilizada para cifrar el mensaje es diferente a la utilizada para descifrarlo. • Conocidos como de llave pública. • Ambas llaves están matemáticamente relacionadas. • Su seguridad radica en la dificultad para obtener una llave a partir de la otra. • Están basados en problemas matemáticos complejos: Factorización de números grandes primos, Logaritmos discretos, Curvas elípticas.
Algoritmos asimétricos y la distribución de las llaves • Se genera un par de llaves. • Una se mantiene de forma privada. • La otra se hace del conocimiento de todos. • Alguien que quiera mandar un mensaje al dueño de las llaves la cifra con la llave pública, y el dueño de las llaves la descifra con la llave privada.
Autenticación con cifrado asimétrico • Si cifro con mi llave privada, cualquiera puede descifrar el mensaje con mi llave pública y así pueden estar seguros de que fui yo quien mandó el mensaje. • Este es el principio de las firmas digitales.
Tipos de Algoritmos de cifrado • Por el tipo de llave: • Simétricos. Se utiliza la misma llave para cifrar y descifrar (llave privada) • Asimétricos. Se utilizan llaves diferentes para cifrar y descifrar (llave pública)
Encripción Privada • Bases: • Utiliza la misma llave para cifrado y descifrado • Se basa en una llave secreta • Ventajas • Sencillo y Rápido • Desventajas • Se basa en un secreto • Ejemplos • DES, Lucifer, RC4
El nacimiento de DES • En 1972, el gobierno de EUA empezó un esfuerzo para el desarrollo de un estándar de cifrado que tuviera las siguientes características: • Alto nivel de seguridad • Completamente especificado y fácil de entender • La seguridad del algoritmo no debe de basarse en la confidencialidad del algoritmo. • Debe estar disponible para cualquier usuario • Debe de poderse usar en diversas aplicaciones • Debe de ser barato • Debe de ser validable • Debe de ser exportable
DES • Digital Encryption Standard • Esfuerzo coordinado por NBS y NSA en EUA • National Bureau of Standards • National Security Agency • Basado en Lucifer desarrollado por IBM • Lucifer usaba llaves de 128 bits • Se creo DES con llaves de 56 bits • Se aprobó por el departamento de comercio de EUA en 1976 y se público • Basado en operaciones manipulación de bits
DES y su evolución • Ha estado en uso por más de 20 años • Se puede romper pero toma tiempo • EUA solo permite la exportación de DES con llaves de 40 bits, las cuales se pueden romper facilmente • Ahora está en proceso la aprobación para exportación de DES 56. • TrippleDES • Nace RC4, que es más eficiente
DES y su evolución • ConventionalEncryption
DES y su evolución • Tripple DES
Cifrado Pública • Bases: • Utiliza distintas llaves para cifrar y descifrar • Se basa en factorización de números primos muy grandes • Ventajas • Altamente seguro • Desventajas • Es más lento, la distribución de llaves no es trivial • Ejemplos • RSA, Diffie-Hellman
RSA • Rivest, Shamir, and Adleman
RSA • Inventado por Ron Rivest, Adi Shamir y Leonard Adleman en 1977. • Basado en la factorización de números primos muy grandes. • En Hardware RSA es 1000 veces más lento que DES y en software 100 veces más lento. • Estándar de-facto para cifrado de llave pública. • La patente (E. U.) expira el 20 de Septiembre de 2000.