1 / 74

Dr. J. de Jesús Vázquez G.

Necesidad de Seguridad Computacional en los Sistemas Actuales. Dr. J. de Jesús Vázquez G. Agenda. Tendencia Actual Estrategia de Seguridad Conclusión Temas de investigación Referencias. Tendencia Actual. Tendencia Actual. El WWW provee acceso completo a la información.

meir
Download Presentation

Dr. J. de Jesús Vázquez G.

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Necesidad de SeguridadComputacional en los Sistemas Actuales Dr. J. de Jesús Vázquez G.

  2. Agenda • Tendencia Actual • Estrategia de Seguridad • Conclusión Temas de investigación • Referencias

  3. Tendencia Actual

  4. Tendencia Actual • El WWW provee acceso completo a la información. • Tiene un crecimiento anual de más del 500%. • Es ideal para llevar los negocios hasta el rincón más apartado del mundo.

  5. Tendencia Actual • Europa va a la vanguardia, siendo Holanda el más avanzado y con esquemas de comercio ya muy consolidados. • Estados Unidos y Canadá empiezan a ver en el comercio electrónico su estrategia a futuro para realizar negocios.

  6. Tendencia Actual • Africa del Sur, Asia y Oceanía están trabajando hacia ese esquema. • Latinoamérica no debe rezagarse en esta tendencia.

  7. Tendencia Actual El comercio electrónico ya no es más un “lujo” que se pueden dar ciertas grandes corporaciones. El comercio electrónico es la herramienta que permitirá aplicar las nuevas formas de producir y comerciar en un país y en el mundo.

  8. cp8 Tendencia Actual Proveedor Cliente Pago efectivo Retiro Depósito Pago real Banco del proveedor Banco del cliente

  9. Tendencia Actual Proveedor Cliente Pago documento Aviso Depósito Pago real Banco del proveedor Banco del cliente

  10. Intercambio de Documentos (normal) Proveedor Cliente Captura deDatos Orden de Compra Retardo Computadora Mensajería Computadora Captura de Datos Factura Retardo Retardos, Errores, Costos

  11. Costos • Pérdidas a nivel mundial por más de 300 billones de dólares. • Representa hasta el 10% del costo del producto. • Representa hasta el 7% del costo de flete. • Costos por tiempo de almacenamiento en aduanas por falta de documentos.

  12. Tendencia Actual (EDI) Proveedor Cliente Ingreso deDatos Orden de Compra Computadora Red Computadora Ingreso de Datos Factura

  13. e-mail seguro. Intercambio de documentos seguro. Ordenes de compra y Facturas. Publicidad electrónica. Suscripciones. Firma de contratos. Información financiera oportuna. Subastas electrónicas. Seguridad de la Organización. Algunos aspectos a satisfacer

  14. Tendencia Actual • Esta tendencia tecnológica es inminente. • Representa una apertura sin precedentes. • Es necesario agudizar nuestros esquemas de seguridad.

  15. Desafortunadamente, este gran crecimiento incluirá (incluye) individuos deshonestos llamados “Crackers”. • Ninguna institución está libre del asecho de estos individuos. • Todo el mundo alguna vez ha sido afectado por algún problema de seguridad.

  16. Diferencia: Hacker Aquella persona que tiene un alto grado de conoci-miento y experiencia en el campo de la computación, que es capaz de aplicar sus experiencias con gran facilidad, así como compartir su conocimiento con aquellos que apenas inician. Generalmente no causan daños. Cracker Aquella persona que en forma persistente realiza intentos hasta obtener acceso a sistemas computacionales. Una vez logrado el acceso produce daños a los recursos del sistema atacado.

  17. Routing Table /.rhosts /etc/hosts.equiv /etc/passwd if_init rt_init Hit finger Hit SMTP Hit rsh Hit rexec El despertar... Interface Table Phase 0 ~/. forward ~/. rhosts Phase 1 Obvious Guesses User name List Phase 2 Internal Words Host List Guessed Passwords Phase 3 /usr/dict/words • WormMorris,1988 waithit (wait for infected client to respond)

  18. Sniffers Cualquiera, 1998 PKT: (----A- 0000) 148.241.61.18[1225] => 148.241.61.3[telnet] PKT: (----A- 0000) 148.241.61.18[1225] => 148.241.61.3[telnet] PKT: (----A- 0000) 148.241.61.18[1225] => 148.241.61.3[telnet] -- TCP/IP LOG -- TM: Sat Aug 26 16:47:35 -- PATH: nicaragua(1330) => mexico(telnet) STAT: Sat Aug 26 16:47:47, 37 pkts, 43 bytes [SIGNAL] DATA: (255)(253)^C(255)(251)^X(255)(250)^X : SUN-CMD(255)(240)(255)(253)^A(255)(252)^A : mauricio : remmer

  19. Estrategia de Seguridad

  20. Estrategia de Seguridad • Análisis de vulnerabilidades. • Definición de la Política de Seguridad. • Selección de los mecanismos que permiten implantar la Política de Seguridad. • Evaluación de las medidas tomadas.

  21. Políticas de Seguridad

  22. Análisis de vulnerabilidades. • Primer vistazo a la seguridad existente: • Lógica.Orientada a los sistemas. • Física.Ingeniería social.Revisión de instalaciones.

  23. Política de Seguridad • Definición del conjunto de reglas que deben respetarse para mantener la seguridad de la información. • Depende de los objetivos de la organización.

  24. Requisitos de Seguridaden Sistemas Actuales • Autentificación • Integridad • Confidencialidad • Disponibilidad • No repudiación

  25. Autentificación La autentificación se refiere a demostrar la identidad de las entidades involucradas en la transacción. Evita que alguien tome la identidad de otro. Generalmente toma dos formas: • Autentificación del proveedor de bienes o servicios. • Autentificación del cliente.

  26. Integridad Los datos intercambiados en una transacción no deben sufrir modificaciones.

  27. Confidencialidad Generalmente, los participantes en una negociación desean privacía en sus transacciones.

  28. Disponibilidad Cuando se desea adquirir un bien o efectuar un pago, es indispensable contar con una alta disponibilidad de los recursos de comunicaciones.

  29. No repudiación Es necesario garantizar que alguien que haya recibido un pago no pueda negar este hecho. Es necesario garantizar que alguien que haya efectuado un pago no pueda negar haberlo hecho. Se requiere de Notarios.

  30. Política de Seguridad Reglas: • Sobre los usuarios. • Sobre la información. • Sobre los sistemas y equipos. • Plan de contingencia. • Cultura de Seguridad Computacional.

  31. * Paradigmas 1) Paranoico: Nada está permitido (Sin conexión a internet). 2) Prudente: Lo que no está expresamente permitido, está prohibido. 3) Permisivo: Lo que no está expresamente prohibido, está permitido. 4) Promiscuo: Todo está permitido.

  32. Estrategia en una Universidad • Iniciar haciendo seguros los sistemas prioritarios al Campus. • Proseguir con las redes internas. • Concluir haciendo segura la conexión a internet. • “De adentro hacia fuera”.

  33. Niveles de seguridad de usuarios Primera Línea, Administrador de Seguridad, Administrador General de Sistemas Nivel 1 Nivel 2 Segunda Línea, División Informática. Nivel 3 Personal Docente Nivel 4 Alumnos Cuentas provisionales, Usuarios temporales Nivel 5 Usuarios sin privilegios Nivel 6

  34. Niveles de seguridad de servidores Firewall, Autentificación (certificados), Servidor de Cursos rediseñados, ruteadores, switches, T Server. Nivel 1 Nivel 2 Correo, NIS, NFS, DNS, DHCP, control escolar FTP, TELNET, paquetes LCE, Biblioteca Digital, HDesk, Servidor de archivos de profesores Nivel 3 Nivel 4 Servidores de archivos de alumnos Nivel 5 Servidores de archivos de usuarios temporales Nivel 6 WWW, FTP anónimo

  35. Reglas para usuarios 8 Nivel 1y 2 Nivel 3 9 Documentoelectrónico Documentoelectrónico firma firma Huella Opcional

  36. Estrategia en organizaciones Militares Top-Secret Secret Classified Unclassified

  37. Simple Security Read Down Top-SecretSecretClassifiedUnclassified Read Up

  38. *-property Write Up Top-SecretSecretClassifiedUnclassified Write Down

  39. r C w S w r TS Política MLS en un sistemaCliente - Servidor

  40. Política MLS en Redes S UC D A TS UC S TS C TS C C C B TS Escritura de A a C

  41. Estrategia en organizacionesno militarizadas • Clark y Wilson proponen en 1987 la política de seguridad comercial. • Basada en: • Transacciones Correctas. • Separación de Funciones.

  42. S1 O1 TC1 O2 TC2 S2 O3 TC3 S3 O4 Un modelo de seguridad comercial

  43. Plan de Contingencia • Preservar vidas humanas. • Recuperar información de niveles 1 y 2. • Preservar equipos e infraestructura. • Recuperar información de niveles 3 a 6. • Cuidar la imagen de la empresa. • Aplicar aspectos legales. • Investigar cómo ocurrio el incidente. Adecuar la Política de seguridad.

  44. Respuesta a Incidentes • Llamar a la persona adecuada. • Lugar, fecha y hora en que ocurrió el incidente. • Indicar plataforma utilizada. • Indicar sistema operativo utilizado. • Aplicación que estaba utilizando.

  45. Política de Seguridad Requiere: • Respaldo de la Dirección General. • Consejo de Seguridad. • Administrador de seguridad y staff. • Difusión de políticas.

  46. Selección de mecanismos

  47. Selección de Mecanismos (Para implementar la Política de Seguridad)

  48. Mecanismos de Implementación(Ejemplo) • Seguridad en Internet. Mecanismos que nos permitan controlar el flujo de tráfico entre la red privada e Internet. • Seguridad Local (Unix). Instalación inicial y administración de seguridad continua de sistemas.

  49. GW 2 GW 3 GW 4 GW 5 Red Insegura GW6 GW 1 GW7

  50. * Seguridad en INTERNET Uno de los mecanismos de seguridad más comunmente usados hoy en día consiste en la instalación de un firewall.

More Related