Seguridad Informática en Redes de Computadores
-
Upload
wayner-barrios -
Category
Technology
-
view
13.315 -
download
0
Transcript of Seguridad Informática en Redes de Computadores
Seguridad Informática en Redes de Computadores
Ing. Wayner Barrios B. ©Especialista en Redes de Computadoras
Barranquilla, 2009
Seguridad en Redes - © Ing. Wayner Barrios B.
Introducción
Módulo de Seguridad en redes
Virus: Worm_Nyxem.E
Virus: Worm_Nyxem.E
Una tormenta de conducta “rara” Desarrollado en Visual Basic (95 KB) Liberado el 15 de Enero de 2006, alcanzó a
infectar a más de 900.000 computadores en 200 países
Contiene un código maliciosos de sobrecarga (“payload”) diseñado para escribir archivos aleatorios los tercer día de cada mes (iniciando el 3 de Febrero de 2006)
Worm_Nyxem.E: Promedio de infecciones por hora
Fuente: http://www.caida.org
Worm_Nyxem.E: Víctimas por países y medio de propagación
Fuente: http://www.caida.org/analysis/security/blackworm/
Y de los “Hackers” que … Hackers chilenos que integraban una de las bandas de piratas informáticos más
importantes del mundo fueron detenidos por la Policía de ese país. Estos jóvenes se habían infiltrado en más de ocho mil sitios de Internet, incluida la NASA y páginas de los gobiernos de Argentina, Bolivia, Colombia, Estados Unidos, Israel, Perú, Turquía y Venezuela
El impacto financiero de código maligno a nivel mundial se estima en 13.2 billones de dólares en el año 2001, siendo los principales contribuyentes: SirCam $1.15 Billones, Code Red $2.62 Billones y NIMDA $635 Millones.
La semana pasada un consultor del FBI robó 38 mil contraseñas de la federal de investigaciones y ahora un grupo de piratas informáticos ingresó en las últimas semanas en el sistema del Departamento de Estado y todo indica que obtuvieron información delicada
Algunos hackers revelaron un método para autentificar las versiones piratas de Microsoft Windows Vista. El 30 de noviembre este sistema operativo fue puesto a la venta para aumentar el número de clientes con licencias originales, y cuenta con nuevas medidas de seguridad que intentan frenar el crecimiento de la piratería.
Seguridad en Redes - © Ing. Wayner Barrios B.
Y de los “Hackers” que …
Ataques: Pasado y presente
1980 1990 Hoy
Correos no deseados …
Cadenas de correos
Seguridad en Redes - © Ing. Wayner Barrios B.
Fuente: http://www.trendmicro.com
Mapa de Virus: Detecciones por regiones
Estadísticas Mundiales de Virus …
Fuente: http://www.messagelabs.com
Seguridad en Redes - © Ing. Wayner Barrios B.
Estadística de distribución de correo no deseado para LA
Fuente: http://www.trendmicro.com
Un mundo lleno de Spam …
Entre 2005 y 2006 el número de correos no-deseados aumento 147% Postini estimó 1.010.186.128 spam e-mails interceptados en Diciembre 18, 2006. Cerca del 74.4% de correo spam proviene de dominios de USA
Fuente: http://discovermagazine.com/2007/mar/map-the-world-according-to-spam
Estadísticas Mundiales de Spam …
Fuente: http://www.messagelabs.com
10 consejos para navegar en la e-Banca
Seguridad en Redes - © Ing. Wayner Barrios B.
1. Navega directamente en la URL del Banco2. Busca las señales de seguridad3. Mantén a salvo tu identidad electrónica4. Utiliza contraseñas seguras5. No realices operaciones de e-banca en sitios públicos6. Ten cuidado con correos electrónicos fraudulentos7. Mantén en tu equipo los elementos básico de la
seguridad informática8. No instales software pirata o de dudosa procedencia9. Al terminar la operación “cierra” tu sesión10. Sea precavido
Fuente: http://www.cnnexpansion.com
Algunos servicios de seguridad en Internet …
Prioridades de inversión en Tecnología Informática
Seguridad
Disaster Recovery
Storage
Wireless
Servers
Network management
LAN Infraestructure
WAN Services
VideoConferencing
10 20 30 40 50 60 70
Network World, IT Spending Survey 2003
Seguridad en Redes - © Ing. Wayner Barrios B.
Servicios de Seguridad en Redes
Confidencialidad o Secreto Autenticación Integración No repudiación Acceso Disponibilidad
Seguridad en Redes - © Ing. Wayner Barrios B.
Amenazas (Threats)
Interrupción de servicios (DoS) Intercepción (Ataque a la confidencialidad) Modificación Fabricación (Ataque a la autenticidad) Violación de autorización Masquarade Repudiación Spoofing Penetración al sistema Ingeniería Social
Seguridad en Redes - © Ing. Wayner Barrios B.
¿En qué capa va la seguridad?
FISICA
ENLACE
RED
TRANSPORTE
SESIÓN
PRESENTACIÓN
APLICACIÓN
FISICA
ENLACE
RED
TRANSPORTE
SESIÓN
PRESENTACIÓN
APLICACIÓN
ORIGEN DESTINO
Seguridad en Redes - © Ing. Wayner Barrios B.
Modalidad de algunos ataques a la Seguridad de Redes
Virus, gusanos, troyanos, tormentas, spam, espías, malware, adware …
Ransomware: Secuestro de Documento/Carpeta mediante la encriptación
SCAM: correos engañosos Spoofing: falsedad en dirección IP Phishing: recomendar una página Web falsa Eavesdropping y Packet Sniffing: pasiva intercepción (sin
modificación) del tráfico de red Snooping y Downloading: obtener la información sin
modificarla
Modalidad de algunos ataques a la Seguridad de Redes
Flooding: Inundación (Negación de servicio) Tampering o Data diddling: la modificación no autorizada
de los datos, o al software instalado en un sistema Ingeniería Social
Phishing: Una de las principales amenazas de seguridad informática
Los crímenes informáticos han sido estimados en US $67,2 billones, solo en organizaciones en USA, US $1 billón es por Phishing
Phishing, “Pescando víctimas”: ataques de ingeniería social son aquellos que tratan de obtener información confidencial de las víctimas mediante el engaño y la manipulación
Falsos correos o sitios Web que invitan a registrar información confidencial (en la mayoría de los casos financiera)
¿Cómo identificar rápidamente un Phishing?
Busque errores ortográficos o gramaticales en el texto del correo o sitio Web
Normalmente incluyen frases que las víctimas tomen acciones inmediatas o urgentes: “Haga clic en este link para actualizar su información o su cuenta cancelada”
Ninguna institución financiera contacta a sus clientes por teléfono o correo electrónico para actualizar la información confidencial de los mismos
Estos correos electrónicos, normalmente, contienen un hipervínculo o una dirección URL a la cual debemos ingresar
Algunas veces, estos correos tienen sugerencias para descargar información o algún programa (que en el fondo es un código malicioso)
Ejemplo de Phishing
¿El siguiente correo es o no Phishing?
Estimado Cliente(a):
Nuestro sistemas informátivos han sufrido problemas este fin de semana, y por esta razón, mucha de la información de nuestros customers se ha visto modificada.
Por favor, ingrese a este sitio Web, y actualice su información dentro de las siguientes 24 horas, o sus cuentas se desactivarán:
http://co.bank.data.com/customers/profile/
Muchas gracias por la comprensión y ayuda.
Atentamente,
Departamento de tecnología
Ataque Eavesdropping y Packet Sniffing
El objetivo es monitorear el tráfico de la Red en forma pasiva (Sin modificación)
Realizado mediante el uso de herramientas de software conocidas como “sniffers”
En redes compartidas, las tarjetas configuradas en modo promiscuo “escuchan” todo el tráfico de la red a que pertenecen
En redes conmutadas es necesario crear un puerto espejo del puerto donde está conectado el equipo al que se le quiere hacer sniffing
Ataque Flooding
Tipo de ataque destinado a saturar los recursos del sistema (DoS)
Send SYN(Seq=x)
Receive SYN(Seq=x)Send SYN(Seq=y, ACK=x+1)
Receive SYN(Seq=y, ACK=x+1)Send ACK(Ack=y+1) Receive ACK
(ack=y+1)
Seguridad en Redes - © Ing. Wayner Barrios B.
Ingeniería Social: Definición
Consiste en la manipulación de las personas para que voluntariamente realicen actos que normalmente no harían
Término usado entre crackers y samurais para referirse a las técnicas de violación que se sustentan en las debilidades de las personas mas que en el software.
El objetivo es engañar a la gente para que revele contraseñas u otra información que comprometa la seguridad del sistema objetivo
Seguridad en Redes - © Ing. Wayner Barrios B.
Ingeniería Social: ¿Qué quieren hacer?
Los objetivos básicos de la Ingeniería Social son los mismos del “hacking” o “cracking” (dependiendo de quien lo haga) en general: ganar acceso no autorizado a los sistemas, redes o a la información para...
–Cometer Fraude,–Entrometerse en las Redes,–Espionaje Industrial,–Robo de Identidad (de moda),–Irrumpir en los Sistemas o Redes de Computadoras
Seguridad en Redes - © Ing. Wayner Barrios B.
Ingeniería Social: ¿A quién va dirigidos?
Las víctimas típicas incluyen Empresas Telefónicas Servicios de Help Desk y CRM Corporaciones Renombradas Agencias e Instituciones Gubernamentales y Militares Instituciones Financieras Hospitales
El “boom” de la Internet tuvo su parte de culpa en la proliferación de ataques a pequeños “start-up´s”, pero en general, los ataques se centran en grandes compañías
Técnicas y Herramientas de Ingeniería Social (Invasivas o Directas)
El Teléfono El Sitio de Trabajo La Basura La Internet-Intranet Fuera de la Oficina
Técnicas y Herramientas: El teléfono
Personificación Falsa y Persuasión Tretas Engañosas: Amenazas, Confusiones Falsas Falsos Reportes de Problemas
Personificación Falsa en llamadas a Help Desks y Sistemas CRM Completación de Datos Personales
Robo de Contraseñas o Claves de Acceso Telefónico Consulta de buzones de voz Uso fraudulento de líneas telefónicas Uso de Sistemas Internacionales de Voz sobre IP
Técnicas y Herramientas: Sitio de trabajo
Entrada a los sitios de trabajo Acceso Físico no Autorizado Tailgating
Oficina “Shoulder Surfing” (ver por encima del hombro), Leer al revés Robar, fotografiar o copiar documentos sensibles Pasearse por los pasillos buscando oficinas abiertas Intentos de ganar acceso al cuarto de PBX y/o servidores para:
– Conseguir acceso a los sistemas,– Instalar analizadores de protocolo escondidos, sniffers o,– Remover o robar pequeños equipos con o sin datos
Técnicas y Herramientas: ¿Qué hay en nuestra basura?
Listados Telefónicos Organigramas Memorandos Internos Manuales de Políticas de la Compañía Agendas en Papel de Ejecutivos con Eventos y Vacaciones Manuales de Sistemas Impresiones de Datos Sensibles y Confidenciales “Logins”, “Logons” y a veces... contraseñas Listados de Programas (código fuente) Disquetes y Cintas Papel Membretado y Formatos Varios Hardware Obsoleto
Técnicas y Herramientas: La Internet y la Intranet
Si en algo es consistente un usuario es en repetir passwords
“Password Guessing” Placa del Carro Nombre del HIJO/A + 2008 Fecha de nacimiento
Encuestas, Concursos, Falsas Actualizaciones de Datos
Anexos con Troyanos, Exploits, Spyware, Software de Navegación remota y Screen Rendering
Técnicas y Herramientas: Fuera de la Oficina
Almuerzos “de Negocios” “Cenas de Viernes”, que terminan en “Happy Hours”, con potenciales consecuencias desastrosas: Sesiones de confesión de contraseñas, extensiones,
direcciones de correo electrónico. Al otro día, la víctima no se acuerda
Conexiones “de oficina a Oficina”: ¿Puedo leer mi e-mail desde aquí? Eso está en la Intranet de la Empresa, pero (en tono
jactancioso) yo puedo entrar desde aquí
Técnicas y Herramientas de Ingeniería Social (Seductivas o Inadvertidas)
Autoridad Carisma Reciprocidad Consistencia Ingeniería Social Reversa
Técnicas y Herramientas: Autoridad
Pretender estar con la gente de TI o con un alto ejecutivo en la Empresa o Institución
Puede usar un tono de voz: Intimidante Amenazante Urgente
Técnicas y Herramientas: Carisma
Se usan modales amistosos, agradables Se conversa sobre intereses comunes Puede usar la adulación (interés por
conseguir un favor) para ganar información del contexto sobre una persona, grupo o producto
Técnicas y Herramientas: Reciprocidad
Se ofrece o promete ayuda, información u objetos que no necesariamente han sido requeridos
Esto construye confianza, da la sensación de autenticidad y confiabilidad
Seguridad en Redes - © Ing. Wayner Barrios B.
Técnicas y Herramientas: Consistencia
Se usa el contacto repetido durante un cierto período de tiempo para establecer familiaridad con la “identidad” del atacante y probar su confiabilidad
Técnicas y Herramientas: Ingeniería Social Reversa
Ocurre cuando el “hacker” crea una persona que parece estar en una posición de autoridad de tal modo que le pedirán información a él, en vez de que él la requiera
Las tres fases de los ataques de ISR: Sabotaje Promoción Asistencia
Técnicas y Herramientas: ¿Cómo opera la Ingeniería Social Reversa?
El Hacker sabotea una red o sistema, ocasionando un problema.
Este Hacker entonces promueve que él es el contacto apropiado par solucionar el problema, y entonces, cuando comienza a dar asistencia en el arreglo el problema, requiere pedacitos de información de los empleados y de esa manera obtiene lo que realmente quería cuando llegó.
Los empleados nunca supieron que él era un Hacker, porque su problema se desvaneció, él lo arreglo y todo el mundo está contento.
Ingeniería Social: Consejos para defenderse
Sea cauteloso y revise su actitud de colaboración. ¡OJO! No hay que volverse paranoico
Verifique con quien habla, mas si le preguntan por claves
No se deje intimidar … y por favor ¡NO responda
Mensajes en Cadena!
Seguridad en Redes - © Ing. Wayner Barrios B.
Ciclo de vida de la Seguridad en Redes
EvaluarDeterminar
Políticas
Remediar Proteger
AmenazasVulnerabilidadesMonitoreo de redesEventos inesperados
Creación de políticasControl de accesosUso de aplicacionesQoS de aplicacionesEstablecimiento de prioridades
Cumplimiento de la políticaControl de accesoAdministración BWPrevención de ataquesContención de ataques
CuarentenaDepuración de virusAplicar parches
ADMINISTRAR
Seguridad en Redes - © Ing. Wayner Barrios B.
ISO 17799: International Security Managament Standard
Es un estándar internacional propuesto por la ISO en Diciembre de 2000 que define la administración de la seguridad de la información.
ISO 17799 es un estándar de nivel alto, amplio alcance y de naturaleza conceptual. Su enfoque le permite ser aplicado a través de múltiples tipos de organizaciones y aplicaciones.
Define la información como un “activo” que puede existir de diversas formas y poseer un valor significativo en una organización. El objetivo de la seguridad de la información es proteger este activo para asegurar continuidad de negocio, minimizar el daño y maximizar el retorno de la inversión.
Seguridad en Redes - © Ing. Wayner Barrios B.
ISO 17799: International Security Managament Standard
La seguridad de la información se define como la conservación de:
Confidencialidad: Solo los usuarios autorizadosIntegridad: Salvaguardar la exactitudDisponibilidad: Asegurarse que los usuarios autorizados tengan acceso a
la información cuando la requieran.
ISO 17799 no es un estándar técnico como tampoco un producto.
ISO 17799 es un descendiente directo del estándar BS7799 que define la Administración de la Seguridad de la Información de l Instituto de Estándares Británico (BSI).
Seguridad en Redes - © Ing. Wayner Barrios B.
ISO 17799: International Security Managament Standard
Controles Políticas de seguridad Seguridad organizacional Clasificación y control de los activos Seguridad personal Seguridad ambiental y física Administración de las operaciones y
comunicaciones Control de acceso Plan de contingencia Compliance
Seguridad en Redes - © Ing. Wayner Barrios B.
ISO 17799: International Security Managament Standard
Proceso
Obtener soporte de la alta gerencia
Definir la seguridadperimetral
Crear la política deseguridad de información
Crear el sistema de administración
de la seguridad informática
Ejecutar la evaluaciónde riesgos
Seleccionar eimplementar los
controles
Documentar el informe
Auditar
Seguridad en Redes - © Ing. Wayner Barrios B.
ISO 27001- Sistemas de Gestión Seguridad de la Información
Es el reemplazo del estándar ISO 17799 y BS7799, fue publicado en Octubre de 2005 y se estima que sea el primero de una serie de estándares de seguridad de la información que la organización desea implantar.
El objetivo básico del estándar es ayudar a establecer y mantener un sistema de administración de la seguridad lo suficientemente efectivo, usando un enfoque de mejoramiento continuo. Implementa los principios de OECD (Organization for Economic Cooperation and Development), administrando la seguridad de la información y los sistemas de redes.
Seguridad en Redes - © Ing. Wayner Barrios B.
ISO 27001: Principales claves para implantarlo Identificar los objetivos de negocio
La seguridad debe alinearse estratégicamente con la actividad de la organización para darle un mejor soporte y robustez.
Seleccionar un alcance adecuado El esfuerzo en la implementación será proporcional al
tamaño del sistema a construir Determinar el nivel de madurez ISO 27001
Existen certificaciones previas en la organización? Analizar el retorno de inversión
Demostrar que el esfuerzo realizado no será un gasto sino una inversión
Seguridad en Redes - © Ing. Wayner Barrios B.
Criptografía y Firma DigitalMódulo de Seguridad en redes
Criptografía tradicional
Seguridad en Redes - © Ing. Wayner Barrios B.
La criptografía (del griego kryptos, «ocultar», y grafos, «escribir», literalmente «escritura oculta») es el arte o ciencia de cifrar y descifrar información utilizando técnicas matemáticas que hagan posible el intercambio de mensajes de manera que sólo puedan ser leídos por las personas a quienes van dirigidos.
Seguridad en Redes - © Ing. Wayner Barrios B.
Criptografía tradicional
Por sustitucióna ➨ q; b ➨ w; …, z ➨ m
Por transposiciónabcdefgh ➨ cfdgbeha
El código perfecto es el que se utiliza una vez.
PRINCIPIO DE UN BUEN CÓDIGO
1. Considerable redundancia
2. Evitar reusabilidad de mensajes (CRC) (timestamp)
Seguridad en Redes - © Ing. Wayner Barrios B.
Cifrado Cesar – Caesar cipher
Cada letra es sustituida por una letra a un número fijo de letras posteriores en el alfabeto.
Cesar usaba un desplazamiento de 3, de tal manera que el textoplano pi era encriptado con el textocifrado ci por la regla:
ci = E(pi) = pi + 3
textoplano: a b c d e f g h i …textocifrado: d e f g h i j k l …
Cifrado de Polybius
Polybius era un escritor griego que propuso sustituir una letra por un par de ellas o por números de dos dígitos
El alfabeto es escrito dentro de una matriz de 5x5 o 5x8
El criptograma duplica la cantidad de caracteres del texto en claro por lo que no es un buen sistema de cifra
Cifrado de Polybius
Para encriptar se debe sustituir cada letra con las coordenadas de la letra en la matriz
- A B C D EA A B C D EB F G H IJ KC L M N O PD Q R S T UE V W X Y Z
- 1 2 3 4 51 A B C D E2 F G H IJ K3 L M N O P4 Q R S T U5 V W X Y Z
Ejemplo: F=BA ó F=21
Cifrado de Vigenère Método original fue inventado por Giovan Batista Belaso Este cifrador polialfabético soluciona la debilidad del cifrado del César en que
una letra se cifra siempre igual. Se usa una clave K de longitud L y se cifra carácter a carácter sumando módulo t el texto en claro con los elementos de esta clave
Ci = (Mi + Ki) Mod t , de donde t es el número de caracteres del alfabeto
TEXTO CLAVEM = REDES HOY K = LOU
A B C D E F G H I J K L M N O P Q R S T U V X W Y Z1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26
M = R E D E S H O YK = L O U L O U L OC = D T Y Q H C A N
Seguridad en Redes - © Ing. Wayner Barrios B.
Criptografía
Clave Secreta (k) Cifrado Simétrico
Clave Pública y Privada (k, q) Cifrado Asimétrico
x = Dk(Ek(x))
x = Dk(Eq(x))
Seguridad en Redes - © Ing. Wayner Barrios B.
Criptografía en Clave Secreta
ENCRIPTADOy = Ek(x)
DESENCRIPTADOx = Dk(y)
Propiedad matemática: x = Dk(Ek(x))
Mensajex
k
y = fk(x)
y
Mensajex
x = fk-1(y)
Intruso
A B
k
Seguridad en Redes - © Ing. Wayner Barrios B.
Criptografía en Clave Secreta
Ventajas Provee un canal en dos vía: A y B comparten un secreto Provee autenticación: solo el emisor verdadero puede
construir el mensaje encriptado
Dificultades Si la clave es revelada, los interceptores pueden
inmediatamente desencriptar toda la información. La solución es cambiar la clave con frecuencia
La distribución de la clave es un problema El número de claves se incrementa con el cuadrado del
número de nodos
Seguridad en Redes - © Ing. Wayner Barrios B.
Algoritmos de Clave Secreta
Nombre Modo Longitud de clave (Bits)
DES Bloque 56
Triple DES – 3DES Bloque 56 ó 112 - 168
AES Bloque Variable, típicamente 128 ó 256
IDEA Bloque 128
RC2 – RC4 – RC5 Bloque Variable de 1 hasta 2048
Blowfish Bloque Variable hasta 448
Rijndael Bloque Variable hasta 256
Gost Bloque Variable hasta 256
Seguridad en Redes - © Ing. Wayner Barrios B.
Criptografía de Clave Pública y Privada
Mensajex
k
y =Ek(x)
y
Mensajex
x = Dq(y)
Intruso
Propiedad matemática: x = Dq(Ek(x))
Clave Pública de Bob: kClave Privada de Ken: q
Bob Ken
q
Seguridad en Redes - © Ing. Wayner Barrios B.
Criptografía de Clave Pública y Privada
Los algoritmos de clave pública son cerca de 100 a 1000 veces más lentos que los algoritmos de clave secreta. Por ello son raramente usados para encriptar grandes cantidades de datos.
Son comúnmente usados para la fase inicial de comunicación, con el objetivo de autenticar ambas partes y establecer una clave secreta:
Autehntication – Key Distribution
Seguridad en Redes - © Ing. Wayner Barrios B.
Nombre AplicaciónFundamento matemático
RSA
(Rivest, Shamir & Adleman)
Confidencialidad,
Firma Digital, Intercambio de llaves
Factorización
DSA
(Digital Signature Algorithm), basado en el Gamal
Firma Digital Algoritmo discreto
Diffie – Hellman Bloque Factorización
discreta
Algoritmos Comunes de Clave Pública y Privada
Seguridad en Redes - © Ing. Wayner Barrios B.
Firma Digital
+Archivo DigitalX
Firma DigitalDq(X)
q … clave secreta del firmantek … clave pública del firmante
Verificación de la firma: Ek(Dq(X)) = X
Seguridad en Redes - © Ing. Wayner Barrios B.
Firma Digital
Usada para autenticar al emisor del mensaje, verificando la integridad del mensaje
Usa la criptografía de clave pública El emisor usa su clave privada A envía a B: DA(M) Cualquiera puede verificar haciendo uso de la clave
pública EA
El mensaje enviado es privado y autenticado La Firma Digital es mecanismo de seguridad
empleado para asegurar la Autenticidad, No repudiación y no falsificación
Aplicaciones de las firmas digitales Mensajes con autenticidad asegurada Contratos comerciales electrónicos Factura electrónica Transacciones comerciales electrónicas Invitación electrónica Dinero electrónico Notificaciones judiciales electrónicas Voto electrónico Decretos ejecutivos (Gobierno) Créditos de seguridad social Contratación pública Sellado de tiempo
Seguridad en Redes - © Ing. Wayner Barrios B.
Seguridad en Redes - © Ing. Wayner Barrios B.
Certificado Digital
¿Quién nos da la confinaza que las claves suministradas por el Centro de Distribución de Claves (KDC) son auténticas?
Un certificado es un documento digital que indica el autor o dueño de una firma digital. Hace publica la clave pública del autor y está avalado por el 2ente” que expide el certificado.
Certificados
Seguridad en Redes - © Ing. Wayner Barrios B.
Certificado X.509
Propuesto por la ITU e ISO Componentes básicos: Clave pública, firma
del solicitante y certificación del ente emisor Recomienda el uso de RSA Certificado para un e-mail En el ambiente financiero se necesita
extender el certificado para codificar la información como el número de la tarjeta de crédito y límite del crédito
Seguridad en Redes - © Ing. Wayner Barrios B.
Aspectos a considerar …
Algunos gobiernos no permiten la criptografía y algunos la limitan
Las patentes criptográficas tardan mucho en convertirse en estándares públicos
¿Qué validez legal tiene las firmas digitales la Corte Judicial de algunos países?
Seguridad en Redes - © Ing. Wayner Barrios B.
Firewall
Módulo de Seguridad en redes
Tipos de Firewall
De capa de red o de filtrado de paquetes Funciona a nivel de la capa de red Filtrado en los campos de los paquetes IP: dirección IP
origen y destino.
De aplicación o “Proxy” Funciona a nivel de la capa de aplicación Por ejemplo: filtrado http o URL
Personal Filtra comunicaciones entre un PC y el resto de la red o
viceversa
Seguridad en Redes - © Ing. Wayner Barrios B.
Políticas de un Firewall
Hay dos políticas básicas en la configuración de un cortafuegos y que cambian radicalmente la filosofía fundamental de la seguridad en la organización:Política restrictiva
Negación de todo el tráfico excepto lo que está permitido
Política permisiva Se permite todo el tráfico excepto el que está negado Cada servicio potencialmente peligroso debe aislarse
caso por caso
Seguridad en Redes - © Ing. Wayner Barrios B.
Seguridad en Redes - © Ing. Wayner Barrios B.
Configuraciones de un Firewall
Internet
ServidoresCorporativosServidor Web
www.mycomp.com
Servidor Firewall
LAN CorporativaDMZ
Screened Subnet(Zona Desmilitarizada – DMZ)
Seguridad en Redes - © Ing. Wayner Barrios B.
Productos Comerciales de Firewall
Checkpoint VPN IBM Firewall Cisco Secure PIX Firewall eSoft Interceptor Astaro Security SonicWall Pro WatchGuard LiveSecurity System Symantec Firewall McAfee Firewall
Seguridad en Redes - © Ing. Wayner Barrios B.
Los sistemas “anti”
Módulo de Seguridad en redes
Seguridad en Redes - © Ing. Wayner Barrios B.
Algunos productos de fabricantes de los sistemas “anti”
Seguridad en Redes - © Ing. Wayner Barrios B.
Algunos productos de fabricantes de los sistemas “anti”
Seguridad en Redes - © Ing. Wayner Barrios B.
Redes Virtuales Privadas (VPNs)
Módulo de Seguridad en redes
Seguridad en Redes - © Ing. Wayner Barrios B.
VPN
Red Virtual Privada A
Seguridad en Redes - © Ing. Wayner Barrios B.
VPN: una breve descripción Un VPN está, compuesta de uno o mas túneles IP
seguros y dos o mas redes Un túnel IP seguro describe el proceso de
encapsulamiento de un paquete IP, incluyen su información de header, en un nuevo paquete IP que será visto únicamente por los firewall origen y destino
El túnel definido especifica la política implementada en los datos (paquete IP): Encriptación Autenticación Encriptación y después autenticación
Tipos de VPNs
Existen tres (3) arquitecturas según su esquema de conexiónVPN de acceso remoto
Modelo más usado Usuarios que se conecta a la red de la empresa
VPN punto a punto Interconexión de oficina remotas Es también conocida como la técnica Tunneling
VPN interna WLAN Una variante de la VPN de acceso remoto No usa Internet sino la red local Usuarios inalámbricos Wi-Fi
Seguridad en Redes - © Ing. Wayner Barrios B.
Diagrama de VPN de acceso remoto
Seguridad en Redes - © Ing. Wayner Barrios B.
Diagrama de VPN punto a punto
Seguridad en Redes - © Ing. Wayner Barrios B.
Seguridad en Redes - © Ing. Wayner Barrios B.
Sistemas de detección y prevención de intrusos
Módulo de Seguridad en redes
Seguridad en Redes - © Ing. Wayner Barrios B.
¿Qué es un IDS?
Es un sistema especialmente diseñado para detectar ciertos patrones de tráfico considerados como dañinos. Al contrario que un Firewall, un IDS estudia el tráfico de forma global, almacenando información en tiempo real relativa a las diferentes sesiones, o conversaciones, que los usuarios mantienen con los servidores.
Esto permite la detección de comportamientos sospechosos que pasan totalmente desapercibidos al Firewall y que empiezan a ser detectados tan pronto como el sistema se pone en marcha.
InternetRed IP
corporativa
IDSFW
Seguridad en Redes - © Ing. Wayner Barrios B.
¿Qué puede considerarse cómo un ataque al IDS?
Intentos de detección del sistema operativoA nadie le interesa realmente en qué sistema operativo están corriendo los servicios que la compañía suministra si no es para intentar aprovecharse de las debilidades conocidas, o aún no publicadas, del mismo. Aunque en sí este comportamiento no es un ataque, suele ser el preludio de otros más agresivos que si pueden ser considerados como tales.
Listado de direccionesBien mediante escaneo o mediante lectura no autorizada de los servidores DNS se intenta descubrir los equipos susceptibles de ataque.
Escaneo de puertosEl objetivo es localizar, de entre el rango de direcciones anteriormente detectado, qué canales de entrada existen en el sistema para luego intentar ataques específicos segun el tipo de cada uno.
Seguridad en Redes - © Ing. Wayner Barrios B.
IDS ClasificaciónClasificación 1
1. Signature – detectionCompara parámetros contra patrones conocidos de ataques. Usa bases de datos universales que se actualizan periódicamente
2. Anomaly – detectionCompara el tráfico contra estándares de tráfico
Clasificación 2
1. Network – basedUtiliza parámetros de red
2. Host – basedUtiliza parámetros del host
Deep Packet Inspection (DPI)
Es un término en Redes de Computadores que se refiere a los dispositivos y tecnologías usadas para inspeccionar y tomar acción basándose en el contenido del paquete (comúnmente llamado “payload”) y no solamente en la cabecera del mismo.
Deep Packet Inspection (DPI)
Seguridad en Redes - © Ing. Wayner Barrios B.
Protocolos de Seguridad
Módulo de Seguridad en redes
Seguridad en Redes - © Ing. Wayner Barrios B.
Protocolos de Seguridad
SSL/TLS: Secure Socket Layer / Transport Layer Security
S/MIME: Secure/Multipurpose Internet Mail Extensions
IPsec: IP Security Protocol SET: Secure Electronic Transactions PPTP: (Point-to-Point Tunneling Protocol)
Seguridad en Redes - © Ing. Wayner Barrios B.
SSL/TLS: Secure Socket Layer / Transport Layer Security
Fue desarrollado por Netscape Se utiliza en las versiones SSL 2.0 y SSL 3.0 Una ligera modificación del SSL 3.0 dio origen al
TLS, propuesto pot la IETF Es utilizado en la mayoria de las empresas que
comercian a través de Internet dado que parte de la mayoría de los navegadores y servidores Web
SSL no es un protocolo para el comercio electrónico, sino una forma de establecer un canal virtual seguro entre el servidor y el cliente
Seguridad en Redes - © Ing. Wayner Barrios B.
IPsec
Es un estándar líder para la criptografía basada en los servicios de autenticidad, integridad y confidencialidad a nivel de la capa IP
Se basa en los algoritmos RSA, Diffie-Hellman para el intercambio de claves
Host-to-Host pipes, túneles encapsulados, VPNs
IPsec
Seguridad en Redes - © Ing. Wayner Barrios B.
Es un protocolo estándar de seguridad usado para crear y operar sobre Redes Virtuales Privadas
¿Cómo trabaja IPsec sobre un enrutador?
Seguridad en Redes - © Ing. Wayner Barrios B.
Dos enrutadores tiene configurado un túnel IPsec usando algoritmos y parámetros comunes.
El tráfico en rojo representa al flujo de datos que fluye a través de los enrutadores con destino a Internet.
Mientras que el tráfico en verde es aquel que va de un lado a otro a través del túnel Ipsec de la VPN.
Seguridad en Redes - © Ing. Wayner Barrios B.
SET : Secure Electronic Transactions
Basado en propuestas previas:– Secure Transaction Technology (STT)– Secure Electronic Payment Protocol (SEPP)
Desarrollado por VISA y MasterCard, con el apoyo de GTE, IBM, Microsofot, Netscape, Terisa, VerySign y RSA Data Security
La versión 1.0 lanzada 31 de Mayo de 1997 Es independiente de cualquier HW o
plataforma de SW
Funcionamiento del protocolo SET
1
4
2
35
$$
Cliente
Certificado
EntidadCertificadora
Comerciante
1. Comprador desea pagar2. Comerciante confirma fondos del Cliente 3. Entidad Certificadora autoriza pago verificando certificado del Cliente4. Cliente confirma su pago5. Comerciante solicita su pago6. Entidad Certificadora ordena la transferencia
Banco del Cliente
Banco del Comerciante
Seguridad en Redes - © Ing. Wayner Barrios B.
Network Access Control
Módulo de Seguridad en redes
NAC: Network Access Control
Es un enfoque en Seguridad de Redes que intenta unificar la tecnología (tales como Antivirus, IDS, IPS, Identificación de vulnerabilidades), Sistemas de Autenticación de Usuario y la aplicación de la Política de Seguridad Informática.
Objetivos de un NAC
1. Mitigación de Cero Ataques en el día
2. Aplicación de la Política de Seguridad
3. Administración de Identidad y Accesos
Entendiendo los procesos de un NAC
NAC: La Administración Centralizada de la Seguridad en la Red
Todo en una sola consola
Soluciones comerciales de NAC
Enterasys NAC TippingPoint NAC HP - ProCurve Networking - NAC 800 Nortel SNA Bradford Networks - Campus Manager/NAC Director Cisco NAC Insightix Visibility and NAC Impulse Point - Safe.Connect NAC ForeScout - CounterACT Clientless NAC and Signatureless IPS Juniper Networks Controlling Access NetClarity patented agent-less NACwalls McAfee Network Access Control McAfee Mirage Networks - Network Access Control Sophos Network Access Control Symantec Network Access Control Ignition from Identity Engines Trend Micro Network VirusWall Enforcer USP Network Authentication System
Seguridad en Redes - © Ing. Wayner Barrios B.
Informática Forense
Módulo de Seguridad en redes
Informática Forense: Definiciones
Seguridad en Redes - © Ing. Wayner Barrios B.
Delito Informático Un acto que viola la Ley y que fue llevado a cabo con la ayuda
de las computadoras
Evidencia Digital Es un tipo de evidencia física. Esta construida de campos
magnéticos y pulsos electrónicos que pueden ser recolectados y analizados con herramientas y técnicas especiales
Computación Forense La investigación forense en computación es la aplicación de
métodos y técnicas para obtener, analizar y preservar toda evidencia digital susceptible de ser eliminada o sufrir alteraciones.
Permite reunir pruebas para adelantar una acción penal.
La prueba en informática
Seguridad en Redes - © Ing. Wayner Barrios B.
Problemas en la informática Falta de conocimiento y habilidades del legislador para
identificar, valorar y revisar evidencia digital. Facilidad de la duplicación y dificultad en la verificación del
original Dónde está el original de la evidencia digital? Almacenamiento y durabilidad de la información en medios
electrónicos. Reconocimiento legal del mismo Identificación problemática del autor de los documentos El transporte inadecuado puede llevar a modificar el contenido
de la evidencia digital recolectada. La evidencia recolectada puede estar cifrada, lo cual hace que
no se pueda identificar con facilidad su contenido. Desconocimiento de las técnicas de intrusión de sistemas
Informática Forense: En busca de una solución …
Seguridad en Redes - © Ing. Wayner Barrios B.
Seguridad Informática Principios: Confidencialidad, Integridad y
Disponibilidad Servicios: Autenticación, autorización, No-repudiación
y auditabilidad
Mecanismos de Seguridad Informática Firmas digitales Certificados digitales Algoritmos de encripción simétrica y asimétrica Intrusion Detection Systems, Control de integridad de
archivos Logs de auditoría
Informática Forense: Herramientas de software
Seguridad en Redes - © Ing. Wayner Barrios B.
EnCase: http://www.encase.com Forense ToolKit: http://www.accessdata.com Digital Intelligence Software:
http://www.digitalintelligence.com Paraben Forensic Tools: http://www.paraben-
forensics.com WinHex: http://www.x-ways.net/winhex/ SafeBack: http://www.forensics-intl.com/safeback.html
Seguridad en Redes - © Ing. Wayner Barrios B.
Sitios de interés www.isaca.org Information Systems Audit & Control
Association www.hispasec.com HISPASEC SISTEMAS www.zone-h.org www.microsoft.com/latam/technet/articulos/
200011/art04/default.asp Estrategia de Seguridad de Microsoft Corp.
www.jc1.se/images/spam1.htm Métodos para combatir el SPAM
www.us-cert.org U.S. CERT (USA Computer Emergency Response Team )
www.antiphishing.org (APWG AntiPhishing Working Group)