1 / 46

Criptografía y Seguridad en Redes

Criptografía y Seguridad en Redes. Leobardo Hernández Laboratorio de Seguridad Informática Centro Tecnológico Aragón, UNAM. Agenda. Informaci ó n y sus estados Propiedades de Seguridad de la Informaci ó n Servicios y Mecanismos de Seguridad Criptología Criptografía Criptoanálisis

nhi
Download Presentation

Criptografía y Seguridad en Redes

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Criptografía y Seguridad en Redes Leobardo Hernández Laboratorio de Seguridad Informática Centro Tecnológico Aragón, UNAM VI Simposium Internacional de Computación, Sonora, Nov. 2006

  2. Agenda • Información y sus estados • Propiedades de Seguridad de la Información • Servicios y Mecanismos de Seguridad • Criptología • Criptografía • Criptoanálisis • Esteganografía • Seguridad en Redes • Herramientas para Seguridad en Redes • Comentarios y Conclusiones VI Simposium Internacional de Computación, Sonora, Nov. 2006

  3. Información y sus estados • La información actual es digital • Su manejo implica considerar estados: • Adquisición • Creación • Almacenamiento • Proceso (transformación, análisis, etc.) • Transmisión VI Simposium Internacional de Computación, Sonora, Nov. 2006

  4. Problemas en manejo de Información • Confiabilidad de las fuentes y de la información misma • Integridad (verificación) • Confidencialidad • Disponibilidad • Control de Acceso • Autenticación de las partes • No repudio VI Simposium Internacional de Computación, Sonora, Nov. 2006

  5. Más Problemas • El canal es público • Uso canales seguros nada fácil, práctico, ni barato • Las fuentes pueden no ser compatibles ni confiables • Los sistemas de análisis y toma de decisiones asumen lo contrario • Los resultados y reportes pueden ser equivocados • Las decisiones se toman a partir de esos resultados VI Simposium Internacional de Computación, Sonora, Nov. 2006

  6. Más Problemas • Información más valiosa que el dinero • Hay que protegerla • No solo en almacenamiento y proceso • También durante la transmisión • Formas almacenamiento y proceso: dispositivos digitales • Formas de transmisión: redes y sistemasdistribuidos VI Simposium Internacional de Computación, Sonora, Nov. 2006

  7. Más Problemas • Expuesta a ataques de todo tipo • Nada fácil crear un modelo para estudiar la seguridad • Redes heterogéneas de todos los tipos • Plataformas, medios, SO’s, arquitecturas distintas • La pesadilla: Internet • Que hacer?? VI Simposium Internacional de Computación, Sonora, Nov. 2006

  8. Seguridad de la Informacion • Técnicas, procedimientos, políticas y herramientas para proteger y resguardar información en medios y dispositivos electrónicos • Proteger la información almacenada en los equipos y la que se transfiere e intercambia por canales públicos VI Simposium Internacional de Computación, Sonora, Nov. 2006

  9. Seguridad de la Informacion • Proteger informacion de amenazas, ataques y vulnerabilidades reales y potenciales • Garantizar propiedades de información en todos sus estados: creación, modificación, transmisión y almacenamiento • Implementar servicios de seguridad usando mecanismos útiles y eficientes VI Simposium Internacional de Computación, Sonora, Nov. 2006

  10. Servicios y Mecanismos de Seguridad • Naturaleza pública del canal no se puede cambiar • Sobre ese canal hay que saber qué se quiere: • Servicios de Seguridad • Sobre ese canal hay que saber cómo se implementa (si se puede): • Mecanismos de seguridad VI Simposium Internacional de Computación, Sonora, Nov. 2006

  11. Servicios y Mecanismos de Seguridad • Servicios Mecanismos • Confidencialidad Cifrado • Integridad Funciones Hash • Autenticación Protocolos Criptográfico • Control de Acceso Esquemas de CA • No Repudio Firma Digital • Disponibilidad No se puede !! VI Simposium Internacional de Computación, Sonora, Nov. 2006

  12. Seguridad Informática • Se deben implementar los 5 primeros servicios para disminuir el riesgo de sufrir indisponibilidad • Los 5 primeros servicios se estandarizan en el ISO 7498-2 • El Triángulo de Oro de la Seguridad incluye: • Confidencialidad • Integridad • Disponibilidad VI Simposium Internacional de Computación, Sonora, Nov. 2006

  13. Criptografía y Seguridad • 4 de los 5 servicios estandarizados se implementan usando Criptografía: • Confidencialidad • Integridad (Verificación) • Autenticación • No Repudio • No se puede hablar de Seguridad sin hablar de Criptografía VI Simposium Internacional de Computación, Sonora, Nov. 2006

  14. Criptología • Criptología se divide en: • Criptografía • Criptoanálisis • Esteganografía • Criptografía: oculta información aplicando al mensaje M, una transformación (algoritmo) F, usando una llave K y produce el texto cifrado C Fk(M) = C VI Simposium Internacional de Computación, Sonora, Nov. 2006

  15. Criptografía • Algoritmo F debe ser público • Seguridad debe basarse en: • Diseño y fortaleza de F • Mantener K en secreto • Algoritmo F integra 2 procesos: Cifrado: Fk(M) = C Descifrado: F’k(C) = M VI Simposium Internacional de Computación, Sonora, Nov. 2006

  16. Criptografía • Algoritmos usan diferentes bases de diseño: • Operaciones elementales • Sustituciones (César, Vigenere, Vernam, etc.) • Permutaciones • Combinación de ambas (DES, AES, etc.) • Matemáticas • Teoría de Números (RSA, ElGamal, DSS, etc.) • Problemas NP y NP Completos • Curvas Elípticas (ECC) • Fisica Cuántica • Mecanica Cuántica • Principio de Incertidumbre de Heinsenberg • Otras VI Simposium Internacional de Computación, Sonora, Nov. 2006

  17. Criptografía • Algoritmos pueden ser: • Simétricos o de Llave Secreta • Usan misma llave para cifrar y descifrar • Asimétricos o de Llave Pública • La llave que cifra es diferente a la que descifra • Funciones Hash, Resumen o Compendio • No usan llave VI Simposium Internacional de Computación, Sonora, Nov. 2006

  18. Criptografía • También pueden ser por: • Bloque • El mensaje se procesa en bloques del mismo tamaño • Flujo • El mensaje se procesa como un todo por unidad básica VI Simposium Internacional de Computación, Sonora, Nov. 2006

  19. Criptografía • Algoritmos Simétricos o de Llave Secreta • DES (anterior estándar mundial) • AES (Nuevo estándar mundial) • 3DES • Algoritmos Asimétricos o de Llave Pública • RSA (Estándar de facto) • ElGamal • DSS (Digital Signature Standard) • Algoritmos Hash • MD5 • SHA-1 VI Simposium Internacional de Computación, Sonora, Nov. 2006

  20. Criptografía • Algoritmos Simétricos • Basan su diseño en operaciones elementales • Buscan eficiencia • Seguridad depende del tiempo y los recursos de cómputo • Aplicaciones de Criptografia Simétrica • Cifrado de información no clasificada (Confidencialidad) • Verificación de Integridad • Autenticación VI Simposium Internacional de Computación, Sonora, Nov. 2006

  21. Criptografía • Algoritmos Asimétricos • Diseño basado en problemas matemáticos • Seguros computacionalmente • Seguridad no depende de tiempo ni de recursos de cómputo • Pero...son ineficientes • Aplicaciones de Criptografia Asimétrica • Cifrado de informacion clasificada (Confidencialidad) • Acuerdo de llave simétrica • Firma Digital (Autenticación y No Repudio) VI Simposium Internacional de Computación, Sonora, Nov. 2006

  22. Criptografía • Algoritmos Hash • Diseño basado en operaciones elementales • Son eficientes • Seguridad depende del tiempo y recursos de cómputo • Proporcionan una huella digital del mensaje • Aplicaciones de Algoritmos Hash • Verificación de Integridad • Autenticación • Demostrar posesión de secretos sin revelar el secreto • Virología VI Simposium Internacional de Computación, Sonora, Nov. 2006

  23. Aplicaciones de Criptografía • Actualmente se usan de forma híbrida • Simétricos: eficientes • Asimétricos: seguros computacionalmente • Hash: eficientes y proporcionan huella digital • Se usan asimétricos para acordar llave simétrica • Acordada la llave simétrica, se usa un algoritmo simétrico para cifrar la información • Ejemplo: PGP, SSH, etc. VI Simposium Internacional de Computación, Sonora, Nov. 2006

  24. Protocolos Criptográficos • Criptografía por sí sola no sirve para nada • Protocolos: hilos mágicos que conectan Seguridad con Criptografía • Todas las herramientas que proporcionan servicios de seguridad implementan protocolos • Ejemplo: PGP, SSH, SET, SSL, etc. VI Simposium Internacional de Computación, Sonora, Nov. 2006

  25. Seguridad en Redes • A problemas sin resolver (por no haber soluciones definitivas, por no conocerse o por no implementarlas) de la seguridad en: • Controles de Acceso • Bases de Datos • Redes • Sistemas Operativos • SPAM • Virus • Etc. VI Simposium Internacional de Computación, Sonora, Nov. 2006

  26. Seguridad en Redes • Se agregan: cómputo móvil y wireless • El grado y nivel de riesgo de amenazas, ataques y vulnerabilidades crece: • Internet, Web y sus aplicaciones y desarrollos • Tecnologías de código distribuible (Java, ActiveX) • Sistemas abiertos y bancos de información • Comercio electrónico • Votaciones electrónicas • Minería de datos y DWH • Manejo de imágenes y multimedia VI Simposium Internacional de Computación, Sonora, Nov. 2006

  27. Seguridad en Redes • El canal es público • Usar canales cifrados. Ejemplo: SecureSHell • Cifrar toda información que se intercambia. Ejemplo: usar Pretty Good Privacy (PGP) • Usar sistemas de correo seguro (cifrado). Ejemplos: PGP, PEM, S/MIME • Monitorear la red. Ejemplo: ntop y EtheReal • Detectar intentos de intrusión. Ejemplo: usar IDS’s como Snort o alguno comercial de ISS • Usar mismas armas que los atacantes para defensa. Ejemplos: sniffers como EtheReal y crackers como John the Ripper VI Simposium Internacional de Computación, Sonora, Nov. 2006

  28. Seguridad en Redes • No se sabe la identidad del que envía o recibe • Usar esquemas de firma y certificados digitales Ejemplo: PGP • Usar protocolos fuertes de autenticación como IKE • No se sabe qué información entra y sale • Usar filtros de contenido • No se sabe de donde viene y a donde van los accesos • Usar filtros por IP, aplicación, etc. Ejemplo: usar Firewalls como IPTable o IPChains, ChekPoint, etc. VI Simposium Internacional de Computación, Sonora, Nov. 2006

  29. Seguridad en Redes • No se sabe si lo que se recibe es lo que se envió • Usar esquemas para verificar integridad. Ejemplo: PGP • Usar protocolos que implementen códigos MIC/MAC usando funciones hash o cifrado simétrico • No se sabe si la red y sus recursos se están utilizando como y para lo que se debe • Implantar politicas de uso (ISO 17799 y 27001) • Monitoreo y autoataque (ntop, Ethereal, John the Ripper) • No se sabe por donde me están atacando y que debilidades tiene mi red • Usar analizadores de vulnerabilidades. Ejemplo: Nessus VI Simposium Internacional de Computación, Sonora, Nov. 2006

  30. Seguridad en Redes • Ya sé por donde, pero no se qué hacer para proteger mi red • Actualizar software de sistemas y aplicaciones • Instalar todos los parches de seguridad • Cerrar puertos y aplicaciones no necesarios. Prohibir modems • Informarse diario sobre nuevos ataques y vulnerabilidades e instalar los parches correspondientes • Ya estamos hartos del SPAM • Filtrado de contenidos y Firewalls • Restringir tráfico de entrada y salida por IP, subject, idioma, etc. VI Simposium Internacional de Computación, Sonora, Nov. 2006

  31. Seguridad en Redes • Ya no soportamos al proveedor de antivirus • Usar un antivirus libre y realizar sus propias actualizaciones • La instalación de software es incontrolable • Prohibir instalar cualquier software y nombrar único responsable autorizado para ello • Políticas de seguridad • No sé cómo empezar • Empiece a estudiar • Visite los sitios especializados VI Simposium Internacional de Computación, Sonora, Nov. 2006

  32. Aspectos que se deben considerar • Hay que tener Politicas de Seguridad • Planes de Recuperacion y Continuidad en caso de Desastre (DRP y BCP) • Sitios Alternos para funcionar y Respaldos de Informacion • Sistemas de Detección de Intrusos • Análisis de bitácoras • Monitoreo y análisis de actividades de usuarios para limitar privilegios • Reconocimiento de ataques a la red. Frecuencia y origen de los ataques • Registro de Consulta de páginas Internet y comunicaciones e-mail con personas desconocidas • Monitoreo de tráfico de la red • Verificación de Integridad de Archivos y Bases de Datos • Auditorías a la configuración del sistema • Monitoreo de Recursos Humanos que tienen acceso a información sensible (selección, reclutamiento y sistemas de desarrollo del personal) • Sistemas de Control de Confianza VI Simposium Internacional de Computación, Sonora, Nov. 2006

  33. Aplicaciones Criptográficas SSH (Secure SHell) http://www.ssh.com/support/downloads/ OpenSSL: http://www.openssl.org/source/ PGP: http://www.pgp.com/downloads/index.html GPG: http://www.gnupg.org • Correo Electrónico Seguro S/MIME: http://www.ietf.org/html.charters/smime-charter.html PGP: http://www.pgp.com/downloads/index.html

  34. PKI (Public Key Infrastucture) Verisign: http://www.verisign.com/products-services/security-services/pki/index.html OpenCA: http://www.openca.org/ • Autoridades Certificadoras Verisign: http://www.verisign.com/ Entrust: http://www.entrust.com/

  35. IDS (Intrusion Detection System) Snort: http://www.snort.org Real Secure (ISS): http://www.iss.net/latam/spanish/products_service/enterprise_protection/index.php Cisco: http://www.cisco.com/en/US/products/sw/secursw/ps2113/index.html • Firewalls http://www.checkpoint.com/ http://www.cisco.com/en/US/products/hw/vpndevc/index.html http://www.watchguard.com/ http://europe.nokia.com/nokia/0,,76737,00.html

  36. Monitores de Red Ntop (Network Top)http://www.ntop.org Nagios http://www.nagios.org • Sniffers TCPDump http://www.tcpdump.org/ Ethereal http://www.ethereal.com Windump http://www.winpcap.org/windump/ Etthercap http://ettercap.sourceforge.net/

  37. Analizadores de Vulnerabilidades Nessus http://www.nessus.org LANGUARD http://www.gfi.com/languard/ Internet Scanner (ISS) htttp://www.iss.net/products_services/enterprise_protection/vulnerability_assessment/scanner_internet.php • Passwords Crackers John de Ripper http://www.openwall.com/john/

  38. ISO/IEC 17799-2005 http://www.iso.org/iso/en/prods-services/popstds/informationsecurity.html • ISO/IEC 27001 http://www.bsi-global.com/News/Releases/2005/November/n4368cedc60947.xalter • Sarbanes Oxley http://www.s-ox.com/

  39. ANTIVIRUS AVAST (libre) http://www.avast.com/eng/free_virus_protectio.html CLAM WIN (libre) http://www.clamwin.com/ SYMANTEC http://www.symantec.com/index.htm MCAFFE http://www.mcafee.com/es/ PANDA http://www.pandasoftware.com AVG http://www.grisoft.com/doc/1

  40. Recursos de Seguridad • www.nsa.gov • www.nist.gov • www.cert.org • www.securityfocus.org • www.packetstorm.org • www.sans.org VI Simposium Internacional de Computación, Sonora, Nov. 2006

  41. Comentarios y Conclusiones • Hay que empezar a preocuparse y ocuparse del problema • Ejemplos en que nunca hubo ya necesidad: cuando ocurrió, no hubo nunca más que hacer porque había desaparecido todo • Biblioteca de Alejandría • 11 Sept. 2001 • A partir de 2001 el mundo cambió su visión, concepción y percepción de seguridad y su relación con las TI • Replanteamiento total: Land Home Security • Seguridad Nacional • Estandarización global VI Simposium Internacional de Computación, Sonora, Nov. 2006

  42. Comentarios y Conclusiones • Estándares Globales • ISO 17799-2005 y 27001 • Ley Sarbanes Oxley (SOX) • BS 7799 • Para empresas e instituciones, la seguridad ha dejado de ser un problema tecnológico para convertirse en ventaja competitiva • Toda empresa o institución que desee competir a nivel mundial tiene que cumplir esos estándares VI Simposium Internacional de Computación, Sonora, Nov. 2006

  43. Comentarios y Conclusiones • La seguridad puede verse ahora en 3 niveles de responsabilidad • Directores y cuadros ejecutivos • Niveles técnicos y operativos • Usuarios • Todos los niveles deben tener conciencia del problema • Todo gobierno actual se siente obligado a seguir las tendencias globales • Muchos no están preparados (México) • Están empezando a prepararse VI Simposium Internacional de Computación, Sonora, Nov. 2006

  44. Comentarios y Conclusiones • Tampoco las empresas están preparadas • Empiezan a darse cuenta • No es el mejor camino el que se sigue ahora para resolver el problema: • Consultoría externa (cara y escasa): dependencia • Productos ¨milagro¨ generales (no resuelven nada) • Soluciones sobre la marcha (improvisación y arribismo) • Hay que trabajar en educación en Seguridad • Universidades VI Simposium Internacional de Computación, Sonora, Nov. 2006

  45. Seguridad y TI en la UNAM • Diplomado en Seguridad Informática • http://siberiano.aragon.unam.mx/diplomadoseguridad/juriquilla/ • http://siberiano.aragon.unam.mx/ • Diplomado en Tecnologías de Información • http://siberiano.aragon.unam.mx/dti/juriquilla/ • http://siberiano.aragon.unam.mx/dti/aragon/ • http://siberiano.aragon.unam.mx/dti/ • Laboratorio de Seguridad Informática, CTA • http://leopardo.aragon.unam.mx/labsec/ • Grupo de Seguridad de DGSCA VI Simposium Internacional de Computación, Sonora, Nov. 2006

  46. Gracias .............. Leobardo Hernández Laboratorio de Seguridad Informática Centro Tecnológico Aragón, UNAM leo@servidor.unam.mx Tel. 01 55 56231070 VI Simposium Internacional de Computación, Sonora, Nov. 2006

More Related