Criptografía y Seguridad en Redes

VI Simposium Internacional de Computación, Sonora, Nov. 2006

1

Criptografía y Seguridad en Redes

Leobardo Hernández

Laboratorio de Seguridad Informática

Centro Tecnológico Aragón, UNAM


2

Agenda Información y sus estados Propiedades de Seguridad de la Información Servicios y Mecanismos de Seguridad Criptología

Criptografía Criptoanálisis Esteganografía

Seguridad en Redes Herramientas para Seguridad en Redes Comentarios y Conclusiones


3

Información y sus estados

La información actual es digital Su manejo implica considerar estados:

Adquisición Creación Almacenamiento Proceso (transformación, análisis, etc.) Transmisión


4

Problemas en manejo de Información

Confiabilidad de las fuentes y de la información misma

Integridad (verificación) Confidencialidad Disponibilidad Control de Acceso Autenticación de las partes No repudio


5

Más Problemas

El canal es público Uso canales seguros nada fácil, práctico, ni barato Las fuentes pueden no ser compatibles ni

confiables Los sistemas de análisis y toma de decisiones

asumen lo contrario Los resultados y reportes pueden ser equivocados Las decisiones se toman a partir de esos

resultados


6

Más Problemas

Información más valiosa que el dinero Hay que protegerla

No solo en almacenamiento y proceso También durante la transmisión

Formas almacenamiento y proceso: dispositivos digitales

Formas de transmisión: redes y sistemas distribuidos


7

Más Problemas Expuesta a ataques de todo tipo Nada fácil crear un modelo para estudiar la

seguridad Redes heterogéneas de todos los tipos Plataformas, medios, SO’s, arquitecturas

distintas La pesadilla: Internet

Que hacer??


8

Seguridad de la Informacion

Técnicas, procedimientos, políticas y herramientas para proteger y resguardar información en medios y dispositivos electrónicos

Proteger la información almacenada en los equipos y la que se transfiere e intercambia por canales públicos


9

Seguridad de la Informacion

Proteger informacion de amenazas, ataques y vulnerabilidades reales y potenciales

Garantizar propiedades de información en todos sus estados: creación, modificación, transmisión y almacenamiento

Implementar servicios de seguridad usando mecanismos útiles y eficientes


10

Servicios y Mecanismos de Seguridad

Naturaleza pública del canal no se puede cambiar

Sobre ese canal hay que saber qué se quiere: Servicios de Seguridad

Sobre ese canal hay que saber cómo se implementa (si se puede): Mecanismos de seguridad


11

Servicios y Mecanismos de Seguridad

Servicios Mecanismos Confidencialidad Cifrado Integridad Funciones Hash Autenticación Protocolos Criptográfico Control de Acceso Esquemas de CA No Repudio Firma Digital Disponibilidad No se puede !!


12

Seguridad Informática Se deben implementar los 5 primeros

servicios para disminuir el riesgo de sufrir indisponibilidad

Los 5 primeros servicios se estandarizan en el ISO 7498-2

El Triángulo de Oro de la Seguridad incluye: Confidencialidad Integridad Disponibilidad


13

Criptografía y Seguridad

4 de los 5 servicios estandarizados se implementan usando Criptografía: Confidencialidad Integridad (Verificación) Autenticación No Repudio

No se puede hablar de Seguridad sin hablar de Criptografía


14

Criptología Criptología se divide en:

Criptografía Criptoanálisis Esteganografía

Criptografía: oculta información aplicando al mensaje M, una transformación (algoritmo) F, usando una llave K y produce el texto cifrado C

Fk(M) = C


15

Criptografía Algoritmo F debe ser público

Seguridad debe basarse en: Diseño y fortaleza de F Mantener K en secreto

Algoritmo F integra 2 procesos:Cifrado: Fk(M) = CDescifrado: F’k(C) = M


16

Criptografía Algoritmos usan diferentes bases de diseño:

Operaciones elementales Sustituciones (César, Vigenere, Vernam, etc.) Permutaciones Combinación de ambas (DES, AES, etc.)

Matemáticas Teoría de Números (RSA, ElGamal, DSS, etc.) Problemas NP y NP Completos Curvas Elípticas (ECC)

Fisica Cuántica Mecanica Cuántica Principio de Incertidumbre de Heinsenberg

Otras


17

CriptografíaAlgoritmos pueden ser:

Simétricos o de Llave SecretaUsan misma llave para cifrar y descifrar

Asimétricos o de Llave PúblicaLa llave que cifra es diferente a la que descifra

Funciones Hash, Resumen o CompendioNo usan llave


18

Criptografía

También pueden ser por: Bloque

El mensaje se procesa en bloques del mismo tamaño

FlujoEl mensaje se procesa como un todo por

unidad básica


19

Criptografía Algoritmos Simétricos o de Llave Secreta

DES (anterior estándar mundial) AES (Nuevo estándar mundial) 3DES

Algoritmos Asimétricos o de Llave Pública RSA (Estándar de facto) ElGamal DSS (Digital Signature Standard)

Algoritmos Hash MD5 SHA-1


20

Criptografía Algoritmos Simétricos

Basan su diseño en operaciones elementales Buscan eficiencia Seguridad depende del tiempo y los recursos de

cómputo

Aplicaciones de Criptografia Simétrica Cifrado de información no clasificada (Confidencialidad) Verificación de Integridad Autenticación


21

Criptografía Algoritmos Asimétricos

Diseño basado en problemas matemáticos Seguros computacionalmente Seguridad no depende de tiempo ni de recursos de

cómputo Pero...son ineficientes

Aplicaciones de Criptografia Asimétrica Cifrado de informacion clasificada (Confidencialidad) Acuerdo de llave simétrica Firma Digital (Autenticación y No Repudio)


22

Criptografía Algoritmos Hash

Diseño basado en operaciones elementales Son eficientes Seguridad depende del tiempo y recursos de cómputo Proporcionan una huella digital del mensaje

Aplicaciones de Algoritmos Hash Verificación de Integridad Autenticación Demostrar posesión de secretos sin revelar el secreto Virología


23

Aplicaciones de Criptografía

Actualmente se usan de forma híbrida Simétricos: eficientes Asimétricos: seguros computacionalmente Hash: eficientes y proporcionan huella digital Se usan asimétricos para acordar llave simétrica Acordada la llave simétrica, se usa un algoritmo

simétrico para cifrar la información Ejemplo: PGP, SSH, etc.


24

Protocolos Criptográficos

Criptografía por sí sola no sirve para nada

Protocolos: hilos mágicos que conectan Seguridad con Criptografía

Todas las herramientas que proporcionan servicios de seguridad implementan protocolos Ejemplo: PGP, SSH, SET, SSL, etc.


25

Seguridad en Redes A problemas sin resolver (por no haber

soluciones definitivas, por no conocerse o por no implementarlas) de la seguridad en: Controles de Acceso Bases de Datos Redes Sistemas Operativos SPAM Virus Etc.


26

Seguridad en Redes Se agregan: cómputo móvil y wireless El grado y nivel de riesgo de amenazas,

ataques y vulnerabilidades crece: Internet, Web y sus aplicaciones y desarrollos Tecnologías de código distribuible (Java, ActiveX) Sistemas abiertos y bancos de información Comercio electrónico Votaciones electrónicas Minería de datos y DWH Manejo de imágenes y multimedia


27

Seguridad en Redes El canal es público

Usar canales cifrados. Ejemplo: SecureSHell Cifrar toda información que se intercambia. Ejemplo: usar

Pretty Good Privacy (PGP) Usar sistemas de correo seguro (cifrado). Ejemplos: PGP,

PEM, S/MIME Monitorear la red. Ejemplo: ntop y EtheReal Detectar intentos de intrusión. Ejemplo: usar IDS’s como Snort

o alguno comercial de ISS Usar mismas armas que los atacantes para defensa. Ejemplos:

sniffers como EtheReal y crackers como John the Ripper


28

Seguridad en Redes No se sabe la identidad del que envía o recibe

Usar esquemas de firma y certificados digitales Ejemplo: PGP

Usar protocolos fuertes de autenticación como IKE No se sabe qué información entra y sale

Usar filtros de contenido No se sabe de donde viene y a donde van los

accesos Usar filtros por IP, aplicación, etc. Ejemplo: usar

Firewalls como IPTable o IPChains, ChekPoint, etc.


29

Seguridad en Redes No se sabe si lo que se recibe es lo que se envió

Usar esquemas para verificar integridad. Ejemplo: PGP Usar protocolos que implementen códigos MIC/MAC usando

funciones hash o cifrado simétrico No se sabe si la red y sus recursos se están utilizando

como y para lo que se debe Implantar politicas de uso (ISO 17799 y 27001) Monitoreo y autoataque (ntop, Ethereal, John the Ripper)

No se sabe por donde me están atacando y que debilidades tiene mi red Usar analizadores de vulnerabilidades. Ejemplo: Nessus


30

Seguridad en Redes Ya sé por donde, pero no se qué hacer para proteger

mi red Actualizar software de sistemas y aplicaciones Instalar todos los parches de seguridad Cerrar puertos y aplicaciones no necesarios. Prohibir modems Informarse diario sobre nuevos ataques y vulnerabilidades e

instalar los parches correspondientes Ya estamos hartos del SPAM

Filtrado de contenidos y Firewalls Restringir tráfico de entrada y salida por IP, subject, idioma,

etc.


31

Seguridad en Redes Ya no soportamos al proveedor de antivirus

Usar un antivirus libre y realizar sus propias actualizaciones

La instalación de software es incontrolable Prohibir instalar cualquier software y nombrar único

responsable autorizado para ello Políticas de seguridad

No sé cómo empezar Empiece a estudiar Visite los sitios especializados


32

Aspectos que se deben considerar

Hay que tener Politicas de Seguridad Planes de Recuperacion y Continuidad en caso de Desastre (DRP y BCP) Sitios Alternos para funcionar y Respaldos de Informacion Sistemas de Detección de Intrusos Análisis de bitácoras Monitoreo y análisis de actividades de usuarios para limitar privilegios Reconocimiento de ataques a la red. Frecuencia y origen de los ataques Registro de Consulta de páginas Internet y comunicaciones e-mail con

personas desconocidas Monitoreo de tráfico de la red Verificación de Integridad de Archivos y Bases de Datos Auditorías a la configuración del sistema Monitoreo de Recursos Humanos que tienen acceso a información sensible

(selección, reclutamiento y sistemas de desarrollo del personal) Sistemas de Control de Confianza

Aplicaciones Criptográficas

SSH (Secure SHell) http://www.ssh.com/support/downloads/

OpenSSL: http://www.openssl.org/source/

PGP: http://www.pgp.com/downloads/index.html

GPG: http://www.gnupg.org

Correo Electrónico Seguro

S/MIME: http://www.ietf.org/html.charters/smime-charter.html

PGP: http://www.pgp.com/downloads/index.html

http://www.ssh.com/support/downloads/

http://www.openssl.org/source/





http://www.pgp.com/downloads/index.html






http://www.gnupg.org/

http://www.gnupg.org/

http://www.ietf.org/html.charters/smime-charter.html







PKI (Public Key Infrastucture)

Verisign: http://www.verisign.com/products-services/security-services/pki/index.html

OpenCA: http://www.openca.org/

Autoridades Certificadoras

Verisign: http://www.verisign.com/

Entrust: http://www.entrust.com/

http://www.verisign.com/products-services/security-services/pki/index.html














http://www.openca.org/



http://www.verisign.com/

http://www.entrust.com/



IDS (Intrusion Detection System)Snort: http://www.snort.org

Real Secure (ISS): http://www.iss.net/latam/spanish/products_service/enterprise_protection/index.php

Cisco: http://www.cisco.com/en/US/products/sw/secursw/ps2113/index.html

Firewallshttp://www.checkpoint.com/http://www.cisco.com/en/US/products/hw/vpndevc/index.htmlhttp://www.watchguard.com/http://europe.nokia.com/nokia/0,,76737,00.html

http://www.snort.org/

http://www.snort.org/

http://www.iss.net/latam/spanish/products_service/enterprise_protection/index.php












http://www.checkpoint.com/

http://www.cisco.com/en/US/products/hw/vpndevc/index.html

http://www.watchguard.com/

http://europe.nokia.com/nokia/0,,76737,00.html

http://europe.nokia.com/nokia/0,,76737,00.html

Monitores de RedNtop (Network Top) http://www.ntop.org

Nagios http://www.nagios.org

Sniffers

TCPDump http://www.tcpdump.org/

Ethereal http://www.ethereal.com

Windump http://www.winpcap.org/windump/

Etthercap http://ettercap.sourceforge.net/

http://www.ntop.org/

http://www.ntop.org/

http://www.nagios.org/

http://www.nagios.org/

http://www.tcpdump.org/

http://www.ethereal.com/

http://www.winpcap.org/windump/

http://ettercap.sourceforge.net/



Analizadores de VulnerabilidadesNessus http://www.nessus.org

LANGUARD http://www.gfi.com/languard/

Internet Scanner (ISS) htttp://www.iss.net/products_services/enterprise_protection/vulnerability_assessment/scanner_internet.php

Passwords Crackers

John de Ripper http://www.openwall.com/john/

http://www.nessus.org/

http://www.gfi.com/languard/

http://www.iss.net/products_services/enterprise_protection/vulnerability_assessment/scanner_internet.php



http://www.openwall.com/john/





ISO/IEC 17799-2005 http://www.iso.org/iso/en/prods-services/popstds/informationsecurity.html

ISO/IEC 27001

http://www.bsi-global.com/News/Releases/2005/November/n4368cedc60947.xalter

Sarbanes Oxley http://www.s-ox.com/

http://www.iso.org/iso/en/prods-services/popstds/informationsecurity.html

http://www.iso.org/iso/en/prods-services/popstds/informationsecurity.html

http://www.s-ox.com/





ANTIVIRUS

AVAST (libre) http://www.avast.com/eng/free_virus_protectio.html

CLAM WIN (libre) http://www.clamwin.com/

SYMANTEC http://www.symantec.com/index.htm

MCAFFE http://www.mcafee.com/es/

PANDA http://www.pandasoftware.com

AVG http://www.grisoft.com/doc/1


40

Recursos de Seguridad

www.nsa.govwww.nist.govwww.cert.orgwww.securityfocus.orgwww.packetstorm.orgwww.sans.org


41

Comentarios y Conclusiones Hay que empezar a preocuparse y ocuparse del

problema Ejemplos en que nunca hubo ya necesidad: cuando

ocurrió, no hubo nunca más que hacer porque había desaparecido todo Biblioteca de Alejandría 11 Sept. 2001

A partir de 2001 el mundo cambió su visión, concepción y percepción de seguridad y su relación con las TI Replanteamiento total: Land Home Security Seguridad Nacional Estandarización global


42

Comentarios y Conclusiones Estándares Globales

ISO 17799-2005 y 27001 Ley Sarbanes Oxley (SOX) BS 7799

Para empresas e instituciones, la seguridad ha dejado de ser un problema tecnológico para convertirse en ventaja competitiva

Toda empresa o institución que desee competir a nivel mundial tiene que cumplir esos estándares


43

Comentarios y Conclusiones La seguridad puede verse ahora en 3 niveles de

responsabilidad Directores y cuadros ejecutivos Niveles técnicos y operativos Usuarios

Todos los niveles deben tener conciencia del problema Todo gobierno actual se siente obligado a seguir las

tendencias globales Muchos no están preparados (México) Están empezando a prepararse


44

Comentarios y Conclusiones Tampoco las empresas están preparadas

Empiezan a darse cuenta No es el mejor camino el que se sigue ahora

para resolver el problema: Consultoría externa (cara y escasa): dependencia Productos ¨milagro¨ generales (no resuelven nada) Soluciones sobre la marcha (improvisación y

arribismo) Hay que trabajar en educación en Seguridad

Universidades


45

Seguridad y TI en la UNAM

Diplomado en Seguridad Informática http://siberiano.aragon.unam.mx/diplomadoseguridad/juriquilla/ http://siberiano.aragon.unam.mx/ Diplomado en Tecnologías de Información http://siberiano.aragon.unam.mx/dti/juriquilla/ http://siberiano.aragon.unam.mx/dti/aragon/ http://siberiano.aragon.unam.mx/dti/ Laboratorio de Seguridad Informática, CTA http://leopardo.aragon.unam.mx/labsec/ Grupo de Seguridad de DGSCA

http://siberiano.aragon.unam.mx/diplomadoseguridad/juriquilla/



http://siberiano.aragon.unam.mx/



http://siberiano.aragon.unam.mx/dti/juriquilla/



http://siberiano.aragon.unam.mx/dti/aragon/



http://siberiano.aragon.unam.mx/dti/



http://leopardo.aragon.unam.mx/labsec/




46

Gracias ..............Leobardo Hernández

Laboratorio de Seguridad Informática

Centro Tecnológico Aragón, UNAM

[email protected]. 01 55 56231070

mailto:[email protected]

Documents

Criptografía y Seguridad en Redes