Download Objetivo de la Seguridad Informática

page
1
page
2
page
3
page
4
page
5
page
6
page
7
page
8
page
9
page
10
page
11
page
12
page
13
page
14
page
15
page
16
page
17
page
18
page
19
page
20
page
21
page
22
page
23
page
24
page
25
page
26
page
27
page
28
page
29
page
30
page
31
page
32
page
33
page
34
page
35
page
36
page
37
page
38
page
39
page
40
page
41
page
42
page
43
page
44
page
45
page
46
Document related concepts
no text concepts found
Transcript 
Objetivo de la Seguridad Informática
El objetivo de la seguridad informática es
mantener la Integridad, Disponibilidad,
Privacidad, Control y Autenticidad de la
información manejada por computadora.
www.segu-info.com.ar 2007 - 5
Elementos de la Seguridad Informática
Integridad
Los componentes del sistema permanecen
inalterados a menos que sean modificados por los
usuarios autorizados.
Disponibilidad
Los usuarios deben tener disponibles todos los
componentes del sistema cuando así lo deseen.
Privacidad
Los componentes del sistema son accesibles sólo
por los usuarios autorizados.
www.segu-info.com.ar 2007 - 6
1
Elementos de la Seguridad Informática
Control
Solo los usuarios autorizados deciden cuando y
como permitir el acceso a la información.
Autenticidad
Definir que la información requerida es válida y
utilizable en tiempo, forma y distribución.
No Repudio
Evita que cualquier entidad que envió o recibió
información alegue, que no lo hizo.
Auditoria
Determinar qué, cuándo, cómo y quién realiza
acciones sobre el sistema.
www.segu-info.com.ar 2007 - 7
2
Operatividad vs Seguridad
1
OPERATIVIDAD
=
SEGURIDAD
La función se vuelve
exponencial
acercandose al
100% de seguridad
www.segu-info.com.ar 2007 - 8
Seguridad Física
Aplicación
de
barreras
físicas
y
procedimientos de control, como medidas
de prevención y contramedidas ante
amenazas a los recursos e información.
www.segu-info.com.ar 2007 - 9
1
Seguridad Física
Amenazas
Incendios
Inundaciones
Terremotos
Trabajos no ergométricos
Instalaciones eléctricas
• Estática
• Suministro ininterrumpido de corriente
• Cableados defectuosos
Seguridad del equipamiento
www.segu-info.com.ar 2007 - 10
2
Seguridad Física
Controles
Sistemas de alarma
Control de personas
Control de vehículos
Barreras infrarrojas-ultrasónicas
Control de hardware
Controles biométricos
• Huellas digitales
• Control de voz
• Patrones oculares
• Verificación de firmas
www.segu-info.com.ar 2007 - 11
3
Seguridad Lógica
Aplicación de barreras y procedimientos
que resguarden el acceso a los datos y sólo
se permita acceder a ellos a las personas
autorizadas para hacerlo.
www.segu-info.com.ar 2007 - 12
1
Seguridad Lógica
Identificación: El usuario se da a conocer al
sistema.
Autentificación: Verificación del sistema ante
la Identificación.
Formas de Autentificación-Verificación
. Algo que la persona conoce - Password
. Algo que la persona es - Huella digital
. Algo que la persona hace - Firmar
. Algo que la persona posee - Token Card
www.segu-info.com.ar 2007 - 13
2
Delito Informático
Cualquier comportamiento antijurídico, no
ético o no autorizado, relacionado con el
procesado automático de datos y/o
transmisiones de datos.
Se realizan por medios informáticos y tienen
como objeto a la información en sí misma.
www.segu-info.com.ar 2007 - 14
1
Delitos Informáticos
Fraudes cometidos mediante manipulación
de computadoras
Daños a programas o datos almacenados
Manipulación de datos de E/S
Distribución de virus
Espionaje
Acceso no autorizado
Reproducción y distribución de programas
protegido por la ley
www.segu-info.com.ar 2007 - 15
2
Amenazas Humanas
Hacker: persona curiosa, inconformista y paciente
que busca su superacion continua aprovechando las
posibilidades que le brindan los sistemas.
Cracker: hacker dañino.
Phreaker: persona que engaña a las compañias
telefónicas para su beneficio propio.
Pirata Informático: persona que vende software
protegido por las leyes de Copyright.
Creador de virus Diseminadores de virus
Insider: personal interno de una organización que
amenaza de cualquier forma al sistema de la misma.
www.segu-info.com.ar 2007 - 16
1
Intrusión – Amenazas
www.segu-info.com.ar 2007 - 17
2
Comunicaciones
Protocolo: conjunto de normas que rige el
intercambio de información entre dos
computadoras.
Modelo OSI TCP/IP
Aplicación
Presentación
Aplicación
SMTP – POP – MIME – HTTP
ICMP – FTP – TELNET
Sesión
Transporte
Transporte
Red
Internet
Enlace datos
Físico
Físico
TCP – UDP
IP – IPX/SPX – Appletalk
PPP – SLIP – Ethernet
Token Ring – ARP – RARR
www.segu-info.com.ar 2007 - 18
Amenazas
Marco Legal acorde con los avances tecnólogicos
Crackers
Hackers
Insiders
Amenaza
Bien
Protegido
Errores
Virus
Ingeniería Social
Marco Tecnológico – Comunicaciones – Internet
Amenaza: elemento que compromete al sistema
www.segu-info.com.ar 2007 - 19
Tipos de Ataques
Ingeniería Social – Social Inversa
Trashing
Vulnerabilidades propias de los sistemas
Monitorización
Autentificación
Observación
Verificación Falsa
Shoulder Surfing
Decoy
Scanning
Spoofing
Looping
Hijacking
Backdoors
Exploits
Obtención de claves
www.segu-info.com.ar 2007 - 20
1
Tipos de Ataques
Denial of Service
Saturación de Servicios
Modificación
Daños
Jamming Flooding
Tampering
SynFlood
Borrado de huellas
Connection Flood
Ataques con Scripts
Land Attack
Ataques con ActiveX
Smurf Attack
Ataque con JAVA
Nuke
Virus
Tear Drop
Bombing
www.segu-info.com.ar 2007 - 21
2
Ataques
Implementación
. Recopilación de información
. Exploración del sistema
. Enumeración e identificación
. Intrusión
Defensa
Mantener hardware actualizado
No permitir tráfico broadcast
Filtrar tráfico de red
Auditorías
Actualización de los sistemas
Capacitación permanente
www.segu-info.com.ar 2007 - 22
Virus
Programa de actuar subrepticio para el usuario; cuyo
código incluye información suficiente y necesaria para
que, utilizando los mecanismos de ejecución que le
ofrecen otros programas, puedan reproducirse y ser
susceptibles de mutar; resultando de dicho proceso la
modificación, alteración y/o daño de los programas,
información y/o hardware afectados.
Modelo:
Dañino
Autoreproductor
Subrepticio
Daño Implícito
Daño Explícito
www.segu-info.com.ar 2007 - 23
Tipos de Virus
Carácter Vandálico
Amateur
Sector de arranque
Archivos ejecutables
Residentes
Macrovirus
De email
De sabotaje
Programas que no
cumplen con la
definición de virus
Hoax
Gusanos
Caballos de troya
Bombas lógicas
Carácter Dirigido
Profesional y de espionaje
Armas digitales
www.segu-info.com.ar 2007 - 24
Antivirus
Gran base de datos con la “huella digital” de
todos los virus conocidos para identificarlos y
también con las pautas más comunes de los
virus.
Detección
Confirmar la
presencia de un virus
Identificación
Determinar que virus
fue detectado
Detección – Identificación
Scanning
Búsqueda heurística
Monitor de actividad
Chequeador de integridad
www.segu-info.com.ar 2007 - 25
Modelo de Protección
Política de seguridad de la organización
Plan de respuestas a incidentes
Sistema de seguridad a nivel físico
Seguridad a nivel Router–Firewall
Sistemas de detección de intrusos (IDS)
Modelo Descendente
Auditorías permanentes
Penetration Testing
www.segu-info.com.ar 2007 - 26
Penetration Testing
Conjuntos de técnicas tendientes a realizar
una evaluación integral de las debilidades de
los sistema.
Externo
Interno
Fuerzas de las passwords
Protocolos internos
Captura de tráfico de red
Autentificación de usuarios
Detección de protocolos
Aplicaciones propietarias
Scanning de puertos
Verificación de permisos
Vulnerabilidades existentes
Ataques de DoS
Ataques de DoS
Test de servidores
Seguridad física en las
estaciones de trabajo
www.segu-info.com.ar 2007 - 27
Firewalls
Sistema ubicado entre dos redes y que ejerce
una política de seguridad establecida.
Mecanismo encargado de proteger una red
confiable de otra que no lo es.
Características
Defensa perimetral.
Defensa nula en el
interior.
Protección nula contra un
intruso que lo traspasa.
Sus reglas son definidas
por humanos.
www.segu-info.com.ar 2007 - 28
Tipos de Firewalls
. Filtrado de paquetes
Filtran Protocolos, IPs y puertos utilizados
. Gateway de Aplicaciones
Se analizan cada uno de los paquetes que ingresa
al sistema
. Firewalls personales
Aplicaciones disponibles para usuarios finales.
www.segu-info.com.ar 2007 - 29
Tipos de Firewalls
. Filtrado de paquetes
Filtra Protocolos, IPs y puertos utilizados
Economicos y con alto desempeño
No esconden la topología de la red
. Gateway de Aplicaciones
Nodo Bastion intermediario entre Cliente y Servidor
Transparente al usuario
Bajan rendimiento de la red
. Dual Homed Host
Conectados al perímetro interior y exterior
Paquetes IPs desactivado
www.segu-info.com.ar 2007 - 30
1
Tipos de Firewalls
. Screened Host
Router + Host Bastion.
El Bastion es el único accesible desde el exterior.
. Screened Subnet
Se aisla el Nodo Bastion (el más atacado).
Se utilizan dos o más routers para
establecer la seguridad interna y externa.
. Inspección de paquetes
Cada paquete es inspeccionado.
. Firewalls personales
Aplicaciones disponibles para usuarios finales.
www.segu-info.com.ar 2007 - 31
2
IDS
Sistema encargado de detectar intentos de
intrusión en tiempo real.
Ventajas
Debilidades
Mantener un registro
completo de actividades.
Tiene una alta tasa de falsas
alarmas.
Necesita reentrenamiento
períodico.
Puede sufir ataques durante
la fase de aprendizaje y son
considerados normales.
No contempla la solución
a nuevos agujeros de
seguridad.
Recoger evidencia.
Descubre intrusiones
automáticamente.
Es disuador de “curiosos”.
Es Independiente del SO.
Dificulta la eliminación de
huellas.
www.segu-info.com.ar 2007 - 32
Firewall–IDS
www.segu-info.com.ar 2007 - 33
Passwords
1
Cant.
Caracteres
26
Min.
36
Min. + Dig.
52
May. + Min.
96
Todos
6
51 min.
6 horas
2,3 días
3 meses
7
22,3 horas
9 días
4 meses
24 años
8
24 días
10,5 meses
17 años
2.280 años
9
21 meses
32,6 años
890 años
219.601 años
10
45 años
1.160 años
45.840 años
21.081.705 años
Ataque a 13.794 cuentas con un
diccionario de 62.727 palabras
Ataque a 2.134 cuentas a
227.000 palabras/segundo
1 Año 3.340 claves (24,22%)
Dicc. 2.030 36 cuentas en
19 segundos.
1° Semana 3.000 claves (21,74%)
1° 15 Minutos 368 claves (2,66%)
Dicc. 250.000 64 cuentas
en 36:18 minutos
www.segu-info.com.ar 2007 - 34
Passwords
2
Normas de elección de passwords
No utilizar contraseñas que sean palabras.
No usar contraseñas con algún significado.
Mezclar caracteres alfanuméricos.
Longitud mínima de 7 caracteres.
Contraseñas diferentes en sistemas diferentes.
Ser fáciles de recordar Uso de nmotécnicos.
Normas de gestión de passwords
NO permitir cuentas sin contraseña.
NO mantener las contraseñas por defecto.
NO compartirlas.
NO escribir, enviar o decir la contraseña.
Cambiarlas periódicamente.
www.segu-info.com.ar 2007 - 35
Criptografía
Criptografía: del griego Κρυιπτοζ (Kripto–
Oculto). Arte de escribir con clave secreta o
de un modo enigmático.
Ciencia que consiste en transformar un
mensaje inteligible en otro que no lo es,
mediante la utilización de claves, que solo el
emisor y receptor conocen.
Texto
Plano
Algortimo de
cifrado f(x)
otxeT
onalP
www.segu-info.com.ar 2007 - 36
Métodos Criptográficos
Simétricos o de Clave Privada: se emplea la
misma clave para cifrar y descifrar. El emisor y
receptor deben conocerlas.
Clásicos
Modernos
Método del Cesar
Transposición
Redes de Feistel
Sustitución general
IDEA
La escítala
Blowfish
DES–3DES
RC5
CAST
RijndaelAES
www.segu-info.com.ar 2007 - 37
1
Métodos Criptográficos
Asimétricos o de Clave Pública: se emplea
una doble clave kp (privada) y KP (Pública).
Una de ellas es utilizada para cifrar y la otra
para descifrar. El emisor conoce una y el
receptor la otra. Cada clave no puede
obtenerse a partir de la otra.
Métodos
Diffie–Hellman (DH): basado en el tiempo necesario para
calcular el logaritmo de un número muy alto.
RSA: basado en la dificultad de factorizar números primos
muy altos.
Curvas Elípticas: basado en los Logaritmos Discretos de
DH y las raíces cuadradas módulo un número compuesto.
Muy Alto = 200 dígitos +
www.segu-info.com.ar 2007 - 38
2
Autenticación
Firma Digital: función Hash de resumen y de
longitud constante, que es una muestra única
del mensaje original.
Condiciones
Métodos
. Si A firma dos documentos
MD5
produce criptogramas distintos.
SHA–1
. Si A y B firman dos documentos m
RIPEMD
producen criptogramas diferentes.
N–Hash
. Cualquiera que posea la clave
Snefru
pública de A puede verificar que el
mensaje es autenticamente de A.
Tiger
Haval
www.segu-info.com.ar 2007 - 39
Utilidad de la Criptografía
Cifrado
Firma Digital
Confidencialidad
Integridad
No Repudio
Autentificación
Actualidad del mensaje
Certificación
Modelo
Cifrado–Firmado
B
A
Texto
Plano
Clave
DES
Texto
Cifrado
DES
Descifrada
DES
Cifrada
Clave
Privada
A
Texto
Plano
Clave
Pública
A
www.segu-info.com.ar 2007 - 40
Evaluación de Costos
Siendo:
CP: Costo de los bienes Protegidos.
CR: Costo de los medios para Romper la seguridad.
CS: Costo de las medidas de Seguridad.
CR > CP: Debe ser más costoso un ataque que el valor
de los mismos.
CP > CS: Debe ser más costoso el bien protegido que
las medidas de seguridad dispuestas para el mismo.
Luego:
Minimiza el costo de la protección.
CR > CP > CS
Maximiza el costo de los atques.
www.segu-info.com.ar 2007 - 41
Políticas de Seguridad
www.segu-info.com.ar 2007 - 42
Conclusiones
Se requiere un diseño seguro.
Adaptación de la legislación vigente.
Tecnología como elemento protector.
Los daños son minimizables.
Los riesgos son manejables.
Inversión baja comparada con los daños.
La seguridad es un viaje permanente.
www.segu-info.com.ar 2007 - 43
Muchas Gracias !
Diapositivas
Extras
Funcionamiento de PGP
1
Cifrado y Firmado por parte de A
Cif
ra
do
Generador
aleatorio
Clave
Simétrica
Texto
Claro
Algoritmo
Simétrico
Clave
Pública B
Clave
Privada A
Algoritmo
Asimétrico
a
Firm
Clave
Simétrica
Cifrada
Texto
Cifrado
www.segu-info.com.ar 2007 - 46
Funcionamiento de PGP
2
Descifrado y Verificación por parte de B
De
scif
rad
o
Clave
Simétrica
Cifrada
Texto
Cifrado
Clave
Privada B
Clave
Pública A
Algoritmo
Asimétrico
ión
c
a
fic
i
r
e
V
Clave
Simétrica
Algoritmo
Simétrico
Texto
Claro
www.segu-info.com.ar 2007 - 47
Estadísticas de Ataques
Aparición de los Bugs de IIS
www.segu-info.com.ar 2007 - 48
1
Estadísticas de Ataques
www.segu-info.com.ar 2007 - 49
2
Estadísticas de Ataques
www.segu-info.com.ar 2007 - 50
3
Related documents
03-Instalación y configuración de sistema operativo
03-Instalación y configuración de sistema operativo
La historia sin fin: Virus Bagle
La historia sin fin: Virus Bagle
iPhorensics - Trabajos de Grado de la facultad de Ingeniería de
iPhorensics - Trabajos de Grado de la facultad de Ingeniería de
Criptografía básica - OpenCourseWare de la Universidad de Oviedo
Criptografía básica - OpenCourseWare de la Universidad de Oviedo
Descarga de Noticias|| Sun MicrosSystem ahora es de
Descarga de Noticias|| Sun MicrosSystem ahora es de
Área temática
Área temática
Protecciones complementarias contra infecciones de virus
Protecciones complementarias contra infecciones de virus
La Información como arma contra los virus
La Información como arma contra los virus
Actividad1_Herramientas de seguridad para redes
Actividad1_Herramientas de seguridad para redes
Programación Semanal
Programación Semanal
seguridad y protección
seguridad y protección
Seguridad y Criptografía
Seguridad y Criptografía
Defenderse de todo - Diplomado en Tecnologías de la Información
Defenderse de todo - Diplomado en Tecnologías de la Información
Seguridad informática y Criptografía final
Seguridad informática y Criptografía final
Autentif-SegSW
Autentif-SegSW
Estudio de Soluciones de Gestión Personal de Contraseñas
Estudio de Soluciones de Gestión Personal de Contraseñas
Presentación de PowerPoint
Presentación de PowerPoint
Aplicaciones Criptografía
Aplicaciones Criptografía
Seguridad y privacidad informáticas Seguridad y privacidad
Seguridad y privacidad informáticas Seguridad y privacidad
Aseguramiento Criptografico de Aplicaciones
Aseguramiento Criptografico de Aplicaciones