Seguridad Informática: Estamos seguros ? - PowerPoint PPT Presentation

slide1 n.
Download
Skip this Video
Loading SlideShow in 5 Seconds..
Seguridad Informática: Estamos seguros ? PowerPoint Presentation
Download Presentation
Seguridad Informática: Estamos seguros ?

play fullscreen
1 / 76
Seguridad Informática: Estamos seguros ?
236 Views
Download Presentation
benita
Download Presentation

Seguridad Informática: Estamos seguros ?

- - - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - - -
Presentation Transcript

  1. Seguridad Informática: Estamos seguros ? Por: Juan Carlos Huertas Amaya, M.Sc. e-mail: jhuertam@banrep.gov.co

  2. Alcance Conceptos de Seguridad Informática... Metodología ? Riesgos Informáticos y contra medidas... Qué debo tener en cuenta al desarrollar un Area de SI ?... Seguridad Informática: Estamos seguros ?

  3. Agenda • Conceptos Básicos, • Riesgos Informáticos, • Modelos de Ataques, • Cómo defendernos, • Arquitectura de Seguridad Informática, • Area de Seguridad Informática, • Estamos seguros ?. Seguridad Informática: Estamos seguros ?

  4. Conceptos Básicos sobre Seguridad Informática Seguridad Informática: Estamos seguros ?

  5. Conceptos Básicos • Consecuencias de la ausencia de Seguridad, • Daños por fenómenos naturales: • Infraestructura Física: • Centro de Cómputo, • Hardware, • Redes de Comunicación, • Información. • Fraude Informático: • Virus, • Robo de Software, Piratería, • Intereses económicos, • Inculpar a otros, • Imagen Corporativa. Seguridad Informática: Estamos seguros ?

  6. Conceptos Básicos • Circunstancias que motivan el Fraude, • Oportunidad, • Baja probabilidad de detección, • Grado de conocimiento del sistema, herramientas y sitios sobre vulnerabilidades, • Justificación, • Ego personal. • Cómo evitar el Fraude Informático ?, • Aplicar Metodología de seguridad clara, Seguridad Informática: Estamos seguros ?

  7. Conceptos Básicos Consideraciones importantes(1), Seguridad en todo el esquema computacional, • Un intruso utilizará cualquier medio de penetración; no necesariamente el más obvio ni el más complicado de romper... Seguridad Informática: Estamos seguros ?

  8. Conceptos Básicos Consideraciones importantes(2), • Costos Vs Riesgos ==== Balance, Seguridad Informática: Estamos seguros ?

  9. Conceptos Básicos Administración de Riesgos • Riesgo: Probabilidad de ocurrencia de un evento adverso (DoS) • Amenaza: Causante de un evento adverso (Virus) • Vulnerabilidad: Debilidad frente a una amenaza(No tener AntiVirus) • Incidente: Materialización de un riesgo • Impactos: Imagen, dinero, mercado, etc. Seguridad Informática: Estamos seguros ?

  10. Conceptos Básicos Fundamentos Básicos de la Seguridad Informática(1) • Autenticación:Garantizar que quién solicita un acceso es quién dice ser: • Manejo de Passwords (Algo que se conoce) • Estáticos • Dinámicos (cambio períodico), • Reglas de Inducción (Algo que se sabe generar), • Token Cards, SmartCards (Algo que se tiene), • Biométricos (Algo propio de un ente). Seguridad Informática: Estamos seguros ?

  11. Conceptos Básicos Fundamentos Básicos de la Seguridad Informática(1) • Integridad: Garantizar que la información es la misma de origen a destino: • Huella digital de los datos - Hash (Checksum), • MD5 (Message Digest 5), • SHA-1 (Secure Hash Algoritm 1). Seguridad Informática: Estamos seguros ?

  12. Conceptos Básicos Fundamentos Básicos de la Seguridad Informática(1) • Confidencialidad: Garantizar que nadie pueda entender la información que fluye: • Software y Hardware (combinaciones), • Encripción Simétrica y Asimétrica, • DES, TripleDES, AES(Seleccionado RIJNDAEL), • RSA. Seguridad Informática: Estamos seguros ?

  13. Conceptos Básicos Fundamentos Básicos de la Seguridad Informática(2) • Disponibilidad: Garantizar que los servicios estén activos en todo momento: • Plan de Continuidad: Planes de Contingencia, • Operativa y Tecnológica, • Pruebas Periódicas, • Talleres Prácticos, • Compromiso de los Clientes (Nivel de Acuerdo). Seguridad Informática: Estamos seguros ?

  14. Conceptos Básicos Fundamentos Básicos de la Seguridad Informática(3) • Control de Acceso: Permitir que algo o alguien acceda sólo lo que le es permitido: • Políticas de Acceso, • Asociación usuarios y recursos, • Administración de recursos, • Periféricos, • Directorios, • Archivos, etc, • Operaciones, • Perfiles, • Niveles de Sensibilidad, • ACL’s, • Horarios y holgura, • Privilegios. Seguridad Informática: Estamos seguros ?

  15. Conceptos Básicos Fundamentos Básicos de la Seguridad Informática(4) • No-Repudiación: Garantizar que quién genere un evento válidamente, no pueda retractarse: • Certificados Digitales, • Firmas Digitales, • Integridad, • No copias de la llave privada para firmar. Seguridad Informática: Estamos seguros ?

  16. Conceptos Básicos Fundamentos Básicos de la Seguridad Informática(5) • Auditoria:Llevar registro de los eventos importantes: • Monitoreo de pistas, • Ocasional, • Periódico, • Alertas, • Herramientas Amigables. Seguridad Informática: Estamos seguros ?

  17. Conceptos Básicos E = ? t = & e = # u = ( s = “ n = / j = * M = % a = + Este es un Mensaje ?”&# #” (/ %#/”+*# Encripción (A) A => • A debe ser secreto, • Pocos participantes, Este es un Mensaje ?”&# #” (/ %#/”+*# DesEncripción (A) E = ? t = & e = # u = ( s = “ n = / j = * M = % a = + Este es un Mensaje ?”&# #” (/ %#/”+*# Encripción (Ak) Ak=> E = $ t = # e = ! u = ) s = ? n = ¿ j = ‘ M = * a = - Este es un Mensaje ?”&# #” (/ %#/”+*# Am=> DesEncripción (Ak) • A siempre igual, • A es conocido por todos, • Muchos participantes, • A usado con claves diferentes genera distintos resultados, • La clave es la Seguridad, no A, • Dos o mas participantes deben • compartir la misma clave, • Algoritmos simétricos, • Cómo distribuyo la clave de • manera segura ?. Seguridad Informática: Estamos seguros ?

  18. Conceptos Básicos • Cada participante tiene 2 claves: • Clave Privada (Pri): Sólo la conoce el dueño, • Clave Pública (Pub): Puede ser conocida por cualquiera. • El algoritmo A es conocido por todos, • No importa la cantidad de participantes, • La Seguridad se basa en el par de claves de cada participante (Pri, Pub), • No hay problema en distribuir las claves públicas, • De la clave pública no se puede deducir la privada y viceversa, • Algoritmos Asimétricos, Pedro Ana Intercambio de públicas PriPedro PubPedro PubAna PriAna PubAna PubPedro Encripción (APubAna) ?”&# #” (/ %#/”+*# Este es un Mensaje DesEncripción (APriAna) Este es un Mensaje ?”&# #” (/ %#/”+*# Encripción (APubPedro) DesEncripción (APriPedro) Este es un Mensaje Seguridad Informática: Estamos seguros ?

  19. Conceptos Básicos • Las firmas dependen tanto de la clave privada como de los datos del mensaje, • Los procesos de encripción y firma digital se pueden combinar, • Ojo: Si cambio de claves (Pub y Pri) debo preservar las anteriores para validar los mensajes anteriores, • Fundamentos de los PKI’s. Pedro Ana Intercambio de públicas PriPedro PubPedro PubAna PriAna PubAna PubPedro Firmar (APrivPedro) Verificar (APubPedro) Este es un Mensaje Firmado Este es un Mensaje Firmado Verificar (APubAna) Firmar (APriAna) Este es un Mensaje Firmado Este es un Mensaje Firmado Seguridad Informática: Estamos seguros ?

  20. S S S S PubPedro PrvPedro PubAna PrvAna Conceptos Básicos Cómo funciona actualmente el modelo simétrico y asimétrico ? Comienzo de sesión segura. Proponer llave de sesión. Asimétrico. Pedro Ana E( ) E( ) E( ) E( ) OK Mensajes encriptados con llave acordada. Simétrico. E( ) E( ) Este es un Mensaje Este es un Mensaje Seguridad Informática: Estamos seguros ?

  21. Riesgos Informáticos Seguridad Informática: Estamos seguros ?

  22. Riesgos Informáticos • Medio Logístico, • Medio Cliente, • Medio Comunicación, • Medio Servidor. Seguridad Informática: Estamos seguros ?

  23. Riesgos Informáticos Medio Logístico(1) • Descuido de papeles o documentos confidenciales, • Passwords, • Listas de control de Acceso, • Mapas de la Red de la Organización, • Listados de información sensible. • Contra medida: Admon. de documentos y/o papeles sensibles. Categorías para los documentos. Seguridad Informática: Estamos seguros ?

  24. Riesgos Informáticos Medio Logístico(2) • Ingeniería Social, • Ataque de Autoridad: con o sin armas, • Ataque de Conocimiento: Solicitar otro tipo de información basándose en conocimiento profundo, • Ataque de Respuesta: Basarse en mentiras, • Ataque Persistente: Intentos repetitivos con amenazas, • Ataques sobre las actividades diarias: Revisar acciones, movimientos, etc., • El ataque 10: Usar el atractivo físico, • Ataque por engaño: Habilitar falsas alarmas para deshabilitar las verdaderas, • Ataque Help-Desk: Pasarse por un usuario de la red de la organización, • Ataque de los premios: Prometer premios si se llena cierta información. • Contra medida: Esquemas de autenticación. Protección física. Seleccionar personal idóneo para funciones sensibles. Procedimientos claros. Seguridad Informática: Estamos seguros ?

  25. Riesgos Informáticos Medio Logístico(3) • Responsabilidad sobre una sola área o persona, • Contra medida: Segregación de funciones (definición de políticas de seguridad Vs. Administración de las políticas) en áreas diferentes. Doble intervención. Doble autenticación. • Empleados y/o Ex-empleados disgustados, • Contra medida: Sacar de todo acceso a los ex-empleados. Política de autenticación y control de acceso clara para los empleados. Cultura de seguridad informática. Seguridad Informática: Estamos seguros ?

  26. Riesgos Informáticos Medio Cliente(1) • Virus: • Tabla de Particiones, • Boot Sector, • Archivos, • Polimórficos: Encripción, se alteran solos, • Stealth: Parcialmente residentes en memoria, • Múltiples partes: Combina 2 anteriores, • Macro Virus. • Contra medida: Antivirus para Micros, Servidores, Firewalls, Correo e Internet. Políticas claras sobre riesgos en Internet. Restringir mensajes de fuentes dudosas. Seguridad Informática: Estamos seguros ?

  27. Riesgos Informáticos Medio Cliente(2) • Mal uso de los passwords: • Muy cortos, • Muy simples (sin números, símbolos y/o caracteres especiales), • Palabras comunes a un diccionario, • Lógicas simples (password = login al contrario), • Passwords estáticos. • Contra medida: Políticas de administración de passwords (vigencia, herramientas para romperlos y generar reportes). Esquemas robustos de autenticación (Token Cards, Smart Cards, Biométricos). Seguridad Informática: Estamos seguros ?

  28. Riesgos Informáticos Medio Cliente(3) • Ningún control de acceso al Micro: • Micro sensible no protegido físicamente, • No control de acceso al sistema operacional, • Passwords escritos cerca al Micro, • Administración pobre del sistema de archivos y privilegios locales, • Compartir el Micro sin discriminar el usuario. • Ningún sistema de seguridad local (permite cargar agentes residentes locales). • Contra medida: Control de acceso físico al Micro. Políticas de administración en el sistema operacional. Perfiles claros por usuario. Módulos de seguridad activos. Seguridad Informática: Estamos seguros ?

  29. Riesgos Informáticos Medio Comunicaciones y Servidor(1) • Ver información por la Red, • Contra medida: Encripción, • Modificar información que viaja por la Red, • Contra medida: Checksums (hash), firmas, • Modificar información que viaja por la Red, • Contra medida: Checksums (hash), firmas, Seguridad Informática: Estamos seguros ?

  30. Modelos de Ataques Seguridad Informática: Estamos seguros ?

  31. Modelos de Ataques Spoofing Seguridad Informática: Estamos seguros ?

  32. Modelos de Ataques DoS Seguridad Informática: Estamos seguros ?

  33. Modelos de Ataques Buffer Overflow(1) Char * vg_error; int f_suma(int x, int y) { printf(“Escriba algo..\n”); gets(vg_error); ........ /*--- Si hubo error mensaje en p_error ---*/ Return(x+y); } int main () { int res; printf(“Comienzo...\n”); vg_error = (char *)malloc(10); res = f_suma(3, 4, vg_error); printf(“Suma = %i. \n”, res); free(vg_error); } Tope Pila Dir. de retorno Vg_error Datos Código Seguridad Informática: Estamos seguros ?

  34. Modelos de Ataques Buffer Overflow(2) Tope Pila gets(vg_error); === “1234567890Dir.Cod.Maligno Cod.Maligno” int main () { int res; printf(“Comienzo...\n”); vg_error = (char *)malloc(10); res = f_suma(3, 4, vg_error); printf(“Suma = %i. \n”, res); free(vg_error); } Cod. Maligno Dir. Cod. Maligno Vg_error=1234567890 Datos Código Seguridad Informática: Estamos seguros ?

  35. Cómo defendernos ? Tecnologías Vs Fundamentos Seguridad Informática: Estamos seguros ?

  36. Cómo defendernos ? Tecnologías Vs Fundamentos (1) Seguridad Informática: Estamos seguros ?

  37. Cómo defendernos ? Tecnologías Vs Fundamentos (2) Seguridad Informática: Estamos seguros ?

  38. Cómo defendernos ? Tecnologías Vs Fundamentos (3) Acuerdos de Servicios de Seguridad Marco Legal Mecanismos de Seguridad Ley 527 Ley, Decreto, Resolución Acuerdo en términos de seguridad Modelos de encripción, etc. Seguridad Informática: Estamos seguros ?

  39. Cómo defendernos ? SSL - SET Seguridad Informática: Estamos seguros ?

  40. Cómo defendernos ? • Transacción SSL... 1. Cliente abre conexión con Servidor y envía mensaje ClientHello 2. Servidor responde con ServerHello. Session ID Cliente (Browser) Servidor WEB 3. Servidor envía su Certificado. Llave Pública LPS 4. Servidor envía solicitud de certificado del Cliente 5. Cliente envía su certificado 6. Cliente envía mensaje ClientKeyExchange LSe LPS LVS 7. Cliente envía mensaje para verificar certificado LSe 8. Ambos envían confirmación de que están listos 9. Prueba de mensaje de ambos sin modificaciones Seguridad Informática: Estamos seguros ?

  41. Cómo defendernos ? Cliente Comerciante 1. Cliente Navega y decide comprar. Llena forma de compra 2. SET envía información del pedido y pago 7. Comerciante completa la orden de compra • !!!!Hay Encripción, • Certificados firmados basados en autoridades certificadoras 9. Envía cuenta de pago 6. Banco autoriza pago 8. Comerciante captura Transacción 3. Comerciante inf. De pago al banco 4. Banco comerciante verifica con banco cliente por autorización de pago 5. Banco cliente autoriza pago Banco de la Tarjeta(VISA) Banco del Comerciante Seguridad Informática: Estamos seguros ?

  42. Cómo defendernos ? VPNs Seguridad Informática: Estamos seguros ?

  43. Criptos Criptos MODEM 14.4Kbps MODEM Red Telefónica Pública Conmutada Enrutador RED DE ACCESO RED DE LA ENTIDAD CENTRAL Enrutador Enrutador Asinc. Cifrado 14.4bps PPP 19.2Kbps Asinc. Cifrado 14.4bps PPP 19.2Kbps Enrutador Cómo defendernos ? Plataforma de Acceso actual VPN(1) Seguridad Informática: Estamos seguros ?

  44. Cómo defendernos ? VPN(2) Transmisión: Líneas telefónicas • Alto tiempo de establecimiento de conexión, • Baja velocidad de transmisión, • Cantidad limitada de líneas de acceso, • Sin opción de contingencia automática, • Obsolescencia de los equipos utilizados. Seguridad Informática: Estamos seguros ?

  45. Cómo defendernos ? VPN(3) • Virtual Private Network - VPN, • Es una red privada virtual, que utiliza como medio de transmisión una red publica (como Internet) o privada para conectarse de manera segura con otra red . Seguridad Informática: Estamos seguros ?

  46. Cómo defendernos ? VPN(6) Flexibilidad Operación independiente del medio de tx. VPNs Costo-Beneficio Seguridad Seguridad Informática: Estamos seguros ?

  47. X Y C X Y B A P l ontrol Pago Pago Cómo defendernos ? Por qué son seguras las VPNs ? VPN(12) • El equipo de VPN realiza funciones de autenticación, encripción, chequeo de integridad y autenticidad de la información Seguridad Informática: Estamos seguros ?

  48. B X Y A Cómo defendernos ? Por qué son seguras las VPNs ? VPN(13) • X y Y son VPN Gateway que van a establecer un túnel seguro • Por medio de certificados digitales Y conoce a X • X conoce a Y Seguridad Informática: Estamos seguros ?

  49. B X Y A Cómo defendernos ? Por qué son seguras las VPNs ? VPN(14) • X y Y realizan un intercambio seguro de llaves y acuerdan una clave secreta con la cual cifrarán los datos • El cifrado de los datos se hace con algoritmos robustos como 3DES cuyas claves pueden ser de 168 bits (DES: clave de 56 bits) Seguridad Informática: Estamos seguros ?

  50. B X Y A Cómo defendernos ? Por qué son seguras las VPNs ? VPN(15) • Una clave de 128 bits es imposible de descubrir en un tiempo favorable • Sin la clave no se pueden descifrar los datos • Y y X pueden negociar una nueva clave cada cierto tiempo (minutos) Seguridad Informática: Estamos seguros ?