Upload
others
View
5
Download
0
Embed Size (px)
Citation preview
Máster en Sistemas y Servicios en la Sociedad de la Información
Especialidad Derecho y Tecnologías de la Información y Comunicaciones
Introducción a la tecnología web
Seguridad
Introducción a la tecnología web (parte 5)
Elementos de seguridad en…
o Seguridad en las comunicaciones:
o Prevenir la comprensión de las comunicaciones
intervenidas (Encriptación).
o Establecer la identidad del remitente de una
comunicación (Autentificación).
o Establecer que una comunicación no ha sufrido ningún
tipo de intromisión (Integridad).
Introducción a la tecnología web (parte 5)
Elementos de seguridad en…
o Seguridad en el acceso a recursos:
o Establecer identidad del solicitante (Autentificación).
o Permitir o denegar el acceso (Autorización).
Introducción a la tecnología web (parte 5)
Encriptación
Autentificación
Integridad
Seguridad en las comunicaciones
Introducción a la tecnología web (parte 5)
¿Las comunicaciones son seguras?
o ¿Qué puede ir mal?
Introducción a la tecnología web (parte 5)
Las organizaciones deberían ser un poco “paranoicas”
en lo referido a la seguridad de sus comunicaciones (y datos).
Seguridad en la comunicación
o Encriptación:
o ¿Cómo asegurar que las transacciones son secretas?
o Autentificación:
o ¿Cómo verificar la identidad real de mis interlocutores?
o Integridad:
o ¿Cómo asegurar que el mensaje no ha sido alterado?
Introducción a la tecnología web (parte 5)
Cliente Empresa
Internet
Impostor
Criptografía (simétrica) de clave
secreta
Introducción a la tecnología web (parte 5)
Texto original
For your eyes only
Texto original
For your eyes only
Gf xuiajk
Sklk kdaoiemx sdj
Desencriptar
Clave
Encriptar
IBM IBMHAL
Criptografía (asimétrica) de clave
pública
Introducción a la tecnología web (parte 5)
Texto original
For your eyes only
Texto original
For your eyes only
Gf xuiajk
Sklk kdaoiemx sdj
Encriptar Desencriptar
Clave 1 Clave 2
Clave Pública Clave Privada
Simétrica vs Asimétrica
o Criptografía de clave secreta (simétrica):
o La misma clave secreta se utiliza para encriptar y paradesencriptar.
o Problema: ¿Cómo transmitir la clave de manera segurapor internet?
o Criptografía de clave pública (asimétrica):
o Clave pública conocida por todo el mundo paraencriptar (se puede transmitir sin problemas).
o Clave privada conocida sólo por el propietario paradesencriptar (no hace falta transmitirla).
Introducción a la tecnología web (parte 5)
Encriptación por clave pública
Introducción a la tecnología web (parte 5)
Jesús Ana
Jesús envía mensaje encriptado
con la clave pública de Ana
{mensaje}
Ana desencripta el mensaje
con su clave privada, que sólo
ella conoce.
{mensaje}
PREGUNTA:
¿Se podría encriptar con mi clave privada y
desencriptar con mi clave pública?
La clave pública funciona si…
o La clave privada permanece secreta:
o Nunca abandona el ordenador del propietario.
o Normalmente encriptada y protegida con clave.
o Dificultad de adivinar la clave privada conociendola clave pública:
o Necesidad de probar todas las combinaciones posibles.
o La dificulta de "romper" el código se incrementaexponencialmente con la longitud de la clave.
o Claves de 1024 bits requieren más tiempo que laedad del universo para "romperse".
Introducción a la tecnología web (parte 5)
Encriptar no es suficiente (Autentificar)
o Hacerse pasar por otro (suplantar identidad)
o Es difícil conectarse a una máquina sin la palabra
clave pero es fácil enviar información con el
nombre de otra persona (email).
o Crear distintas identidades en el programa de email.
Introducción a la tecnología web (parte 5)
Autentificar mediante Encriptación
o La clave pública y la clave privada se pueden aplicar encualquier orden.
o Ana tiene que enviar un mensaje a Jesús
o Aplica su clave privada
o Envía el mensaje encriptado a Jesús
o Jesús desencripta el mensaje con la clave pública de Ana
o Recupera el mensaje original.
o Infiere que Ana es el remitente original, puesto que sólo Anaconoce la clave privada que se corresponde con su clave pública.
o Encriptar el mensaje (o parte) con la clave privada actúacomo autentificación del remitente.
Introducción a la tecnología web (parte 5)
Autentificación (2)
Introducción a la tecnología web (parte 5)
Jesús Ana
Ana envía mensaje
Encriptado con su clave privada
{mensaje}
Jesús desencripta el
mensaje con la
clave pública de Ana y
está “seguro” de que Ana
es la remitente.
Firma Digital
o La firma digital de un documento se añade aldocumento original e incluye información sobre elcontenido del documento, codificada usando la claveprivada del remitente.
o En realidad, la firma digital acredita la identidad delremitente y la integridad de los datos.
o Al decodificar la firma digital con la clave pública delremitente podemos estar “seguros” de la identidad delremitente y saber si el documento recibido es idénticoal enviado.
Introducción a la tecnología web (parte 5)
Act.1
Gestión de la clave pública
o El sistema funciona si se obtiene la clave pública de
una fuente de confianza
o Organismos de certificación oficiales/reconocidos
o La clave pública se puede transmitir por canales de
comunicación poco seguros.
o Servidores de claves públicas.
o http://www.rediris.es/keyserver/
Introducción a la tecnología web (parte 5)
Act.2 y 3
Infraestructura de clave pública
o PKI, Public Key Infrastructure
o Combinación de hardware, software, políticas yprocedimientos de seguridad que permiten la ejecución congarantías de operaciones criptográficas.
o Las Autoridades Certificadoras son entidades con laresponsabilidad de generar certificados fiables a losindividuos que los soliciten.
o Los certificados incluyen la clave pública y están firmadospor AC.
o La AC verifica la identidad del solicitante antes de emitir elcertificado.
Introducción a la tecnología web (parte 5)
Act.4
Certificados
o Utilizados para certificar la identidad de un usuariofrente a otro.
o Nombre del emisor del certificado.
o A quien certifica
o La clave pública
o Los certificados están firmados digitalmente por unemisor.
o El emisor debe de ser una entidad de confianza.
o Todos los usuarios deben tener la clave pública delemisor para verificar la firma del certificado.
Introducción a la tecnología web (parte 5)
Certificados en los navegadores
Introducción a la tecnología web (parte 5)
Act.5
Aplicaciones: Comercio Electrónico
o eCommmerce: Necesidad de transmitir información
"sensible" a través de la web:
o Números de tarjetas de crédito
o Ordenes de compra
o Requisitos:
o Cliente y servidor (emisor y receptor) deben
autentificarse antes de enviar datos.
o Los datos deben transmitirse firmados
Introducción a la tecnología web (parte 5)
HTTPS
o El protocolo HTTPS es la versión segura del protocoloHTTP.
o Crea un canal cifrado (cuyo nivel de cifrado depende delservidor remoto y del navegador utilizado por el cliente)más apropiado para el tráfico de información sensible queel protocolo HTTP.
o Para que un servidor web acepte conexiones HTTPS eladministrador debe crear un certificado para elservidor.
o Sólo proteje los datos en tránsito, una vez que llegan asu destino la seguridad depende del ordenadorreceptor.
Introducción a la tecnología web (parte 5)
Act.6
Autentificación
Autorización
Seguridad en el acceso a recursos
Introducción a la tecnología web (parte 5)
Control de acceso
o Primero autentificar y después autorizar:
o El sistema tiene registradas las autorizaciones en
función de la identidad.
o Procedimientos:
o Usuarios autorizados con clave personal
o Sistemas biométricos
o Tarjetas inteligentes
Introducción a la tecnología web (parte 5)
Usuarios autorizados con clave
o Procedimiento de acceso al recurso (ordenador,
página web, etc) basado en una clave personal.
o Debilidades del procedimiento:
o Palabras claves sencillas o "adiviniables"
o Conocimiento de la clave por terceras personas:
o De manera involuntaria
o Comunicaciones interceptadas
Introducción a la tecnología web (parte 5)
Sistemas biométricos
Introducción a la tecnología web (parte 5)
Tarjetas inteligentes
o Diversas categorías y tecnologías.
o Tarjetas criptográficas:
o Almacenan el certificado digital del usuario y su clave
privada.
o La clave privada no reside en el ordenador y, por
tanto, no se puede obtener fraudulentamente de él.
o Emitidas por entidades certificadoras.
o Son precisos lectores de tarjetas.
o DNI electrónico.
Introducción a la tecnología web (parte 5)
Lo que puede ir mal
Introducción a la tecnología web (parte 5)
Tipos de vulnerabilidades
o Tecnológicas:
o Debilidades (errores de diseño) en los protocolos de
red, sistema operativo, dispositivos de red, etc.
o Configuración:
o Errores de configuración de los dispositivos de red,
servicios de Internet, sistemas de acceso, etc.
o Políticas de seguridad:
o Mala planificación global de la seguridad de la red
corporativa.
Introducción a la tecnología web (parte 5)
Las puertas traseras
o Se trata de "agujeros" (fallos) en aplicaciones del
sistema que permiten saltar el control de acceso:
o Virus
o Ataques por desbordamiento de memoria
o …
Introducción a la tecnología web (parte 5)
Virus y gusanos (worms)
o Son programas que se ejecutan en el ordenador sin
el conocimiento y/o el consentimiento del
propietario/adminitrador y cuyo objetivo suele ser
causar algún tipo de perjuicio a los usuarios.
o Se transmiten a través de los canales de E/S.
o Para evitar que entren en nuestro ordenador y/o
eliminarlos:
o Antivirus
o Firewall
Introducción a la tecnología web (parte 5)
Spyware, Adware, Malware
o Programas incorporados a nuestro ordenador sinnuestro conocimiento y que hacen cosas no deseadascomo:
o Abrir contenidos no deseados en pop-ups
o Enviar información sobre el ordenador o sus usuarios a otrossistemas.
o Modificar barras de herramientas, página web de inicio,etc.
o Se transmiten a través de:
o Páginas web
o Otros programas
Introducción a la tecnología web (parte 5)
Ataque por denegación de servicio
o Inundar de peticiones de acceso a la máquina
utilizando direcciones IP falsas.
o El ataque se suele producir desde diversas
máquinas donde el generador del ataque ha
entrado fraudulentamente.
o Ejemplos:
o eBay
o Yahoo
o Amazon
Introducción a la tecnología web (parte 5)
Medidas de defensa
o Antivirus
o Firewall
o Sistemas de detección de intrusos
Introducción a la tecnología web (parte 5)
Antivirus
o Programas que analizan el contenido de los
archivos almacenados en el disco, buscando virus
(programas) conocidos.
o Muy importante: actualizar la información sobre
virus conocidos.
o El antivirus no puede actuar sobre virus que no
conoce.
Introducción a la tecnología web (parte 5)
¿Qué hace un Firewall?
o Los cortafuegos dotan de seguridad "permitral" a la redcorporativa.
o Controla el acceso a los servicios de red y a los datos.
o Sólo usuarios e información autorizada puede cruzar nuestra red.
o Oculta la estructura de la red dando la sensación de quetodas las transmisiones tienen su origen en el cortafuegos(firewall).
o Bloquea todos los datos que no hayan sido explícitamentelegitimados por un usuario de la red.
o Sólo admite datos de sitios de confianza.
o Reconoce y bloquea paquetes correspondientes a ataquestípicos.
Introducción a la tecnología web (parte 5)
Tipos de Firewall
o Filtro de paquetes: revisa los paquetes que entran ysalen de la red y acepta o rechaza en función de lasreglas definidas por el usuario.
o Un programa o un router.
o Servidor proxy: intercepta todos los mensajes queentran o salen de la red. Oculta de manera efectiva lasdirecciones de red.
o Es un intermediario que aisla la red corporativa delexterior.
o El servidor ve el proxy como si fuera el cliente y el cliente love como si fuera el servidor.
Introducción a la tecnología web (parte 5)
Introducción a la tecnología web (parte 5)
Filtro de paquetesMenor seguridad
Mayor rapidez
ProxyMayor seguridad
Menor rapidez
Monitorización
o La seguridad perimetral debe ir acompañada de
una monitorización continua del tráfico de red.
o Las barreras establecidas permiten ganar tiempo,
pero es preciso detectar los ataques para evitar
que lleguen al núcleo del sistema corporativo.
o Ejemplo: Sistema de seguridad de un castillo.
Introducción a la tecnología web (parte 5)
Otras medidas preventivas
o Los IDS (sistemas de detección de intrusos) utilizan
técnicas de minería de datos para descubrir e
informar sobre actividades sospechosas.
o Conviene estar al día en la instalación de "parches"
del sistema operativo que tengamos instalado.
Introducción a la tecnología web (parte 5)
A pesar de todas las prevenciones…
o Los incidentes de seguridad siguen creciendo.
o Cada vez hacen falta menos conocimientos técnicos
para generar ataques sofisticados:
o Herramientas
o Información pública
Introducción a la tecnología web (parte 5)