VI Simposium Internacional de Computación, Sonora, Nov. 2006 1 Criptografía y Seguridad en Redes Leobardo Hernández Laboratorio de Seguridad Informática

VI Simposium Internacional de Computación, Sonora, Nov. 2006

1

Criptografía y Seguridad en Redes

Leobardo Hernández

Laboratorio de Seguridad Informática

Centro Tecnológico Aragón, UNAM


2

Agenda Información y sus estados Propiedades de Seguridad de la Información Servicios y Mecanismos de Seguridad Criptología

Criptografía Criptoanálisis Esteganografía

Seguridad en Redes Herramientas para Seguridad en Redes Comentarios y Conclusiones


3

Información y sus estados

La información actual es digital Su manejo implica considerar estados:

Adquisición Creación Almacenamiento Proceso (transformación, análisis, etc.) Transmisión


4

Problemas en manejo de Información

Confiabilidad de las fuentes y de la información misma

Integridad (verificación) Confidencialidad Disponibilidad Control de Acceso Autenticación de las partes No repudio


5

Más Problemas

El canal es público Uso canales seguros nada fácil, práctico, ni barato Las fuentes pueden no ser compatibles ni

confiables Los sistemas de análisis y toma de decisiones

asumen lo contrario Los resultados y reportes pueden ser equivocados Las decisiones se toman a partir de esos

resultados


6

Más Problemas

Información más valiosa que el dinero Hay que protegerla

No solo en almacenamiento y proceso También durante la transmisión

Formas almacenamiento y proceso: dispositivos digitales

Formas de transmisión: redes y sistemas distribuidos


7

Más Problemas

Expuesta a ataques de todo tipo Nada fácil crear un modelo para estudiar la

seguridad Redes heterogéneas de todos los tipos Plataformas, medios, SO’s, arquitecturas

distintas La pesadilla: Internet

Que hacer??


8

Seguridad de la Informacion

Técnicas, procedimientos, políticas y herramientas para proteger y resguardar información en medios y dispositivos electrónicos

Proteger la información almacenada en los equipos y la que se transfiere e intercambia por canales públicos


9

Seguridad de la Informacion

Proteger informacion de amenazas, ataques y vulnerabilidades reales y potenciales

Garantizar propiedades de información en todos sus estados: creación, modificación, transmisión y almacenamiento

Implementar servicios de seguridad usando mecanismos útiles y eficientes


10

Servicios y Mecanismos de Seguridad

Naturaleza pública del canal no se puede cambiar

Sobre ese canal hay que saber qué se quiere: Servicios de Seguridad

Sobre ese canal hay que saber cómo se implementa (si se puede): Mecanismos de seguridad


11

Servicios y Mecanismos de Seguridad

Servicios Mecanismos Confidencialidad Cifrado Integridad Funciones Hash Autenticación Protocolos Criptográfico Control de Acceso Esquemas de CA No Repudio Firma Digital Disponibilidad No se puede !!


12

Seguridad Informática

Se deben implementar los 5 primeros servicios para disminuir el riesgo de sufrir indisponibilidad

Los 5 primeros servicios se estandarizan en el ISO 7498-2

El Triángulo de Oro de la Seguridad incluye: Confidencialidad Integridad Disponibilidad


13

Criptografía y Seguridad

4 de los 5 servicios estandarizados se implementan usando Criptografía: Confidencialidad Integridad (Verificación) Autenticación No Repudio

No se puede hablar de Seguridad sin hablar de Criptografía


14

Criptología

Criptología se divide en: Criptografía Criptoanálisis Esteganografía

Criptografía: oculta información aplicando al mensaje M, una transformación (algoritmo) F, usando una llave K y produce el texto cifrado C

Fk(M) = C


15

Criptografía

Algoritmo F debe ser público

Seguridad debe basarse en: Diseño y fortaleza de F Mantener K en secreto

Algoritmo F integra 2 procesos:

Cifrado: Fk(M) = C

Descifrado: F’k(C) = M


16

Criptografía

Algoritmos usan diferentes bases de diseño: Operaciones elementales

Sustituciones (César, Vigenere, Vernam, etc.) Permutaciones Combinación de ambas (DES, AES, etc.)

Matemáticas Teoría de Números (RSA, ElGamal, DSS, etc.) Problemas NP y NP Completos Curvas Elípticas (ECC)

Fisica Cuántica Mecanica Cuántica Principio de Incertidumbre de Heinsenberg

Otras


17

Criptografía

Algoritmos pueden ser: Simétricos o de Llave Secreta

Usan misma llave para cifrar y descifrar

Asimétricos o de Llave PúblicaLa llave que cifra es diferente a la que descifra

Funciones Hash, Resumen o CompendioNo usan llave


18

Criptografía

También pueden ser por: Bloque

El mensaje se procesa en bloques del mismo tamaño

FlujoEl mensaje se procesa como un todo por

unidad básica


19

Criptografía

Algoritmos Simétricos o de Llave Secreta DES (anterior estándar mundial) AES (Nuevo estándar mundial) 3DES

Algoritmos Asimétricos o de Llave Pública RSA (Estándar de facto) ElGamal DSS (Digital Signature Standard)

Algoritmos Hash MD5 SHA-1


20

Criptografía

Algoritmos Simétricos Basan su diseño en operaciones elementales Buscan eficiencia Seguridad depende del tiempo y los recursos de

cómputo

Aplicaciones de Criptografia Simétrica Cifrado de información no clasificada (Confidencialidad) Verificación de Integridad Autenticación


21

Criptografía

Algoritmos Asimétricos Diseño basado en problemas matemáticos Seguros computacionalmente Seguridad no depende de tiempo ni de recursos de

cómputo Pero...son ineficientes

Aplicaciones de Criptografia Asimétrica Cifrado de informacion clasificada (Confidencialidad) Acuerdo de llave simétrica Firma Digital (Autenticación y No Repudio)


22

Criptografía

Algoritmos Hash Diseño basado en operaciones elementales Son eficientes Seguridad depende del tiempo y recursos de cómputo Proporcionan una huella digital del mensaje

Aplicaciones de Algoritmos Hash Verificación de Integridad Autenticación Demostrar posesión de secretos sin revelar el secreto Virología


23

Aplicaciones de Criptografía

Actualmente se usan de forma híbrida Simétricos: eficientes Asimétricos: seguros computacionalmente Hash: eficientes y proporcionan huella digital Se usan asimétricos para acordar llave simétrica Acordada la llave simétrica, se usa un algoritmo

simétrico para cifrar la información Ejemplo: PGP, SSH, etc.


24

Protocolos Criptográficos

Criptografía por sí sola no sirve para nada

Protocolos: hilos mágicos que conectan Seguridad con Criptografía

Todas las herramientas que proporcionan servicios de seguridad implementan protocolos Ejemplo: PGP, SSH, SET, SSL, etc.


25

Seguridad en Redes

A problemas sin resolver (por no haber soluciones definitivas, por no conocerse o por no implementarlas) de la seguridad en: Controles de Acceso Bases de Datos Redes Sistemas Operativos SPAM Virus Etc.


26

Seguridad en Redes

Se agregan: cómputo móvil y wireless El grado y nivel de riesgo de amenazas,

ataques y vulnerabilidades crece: Internet, Web y sus aplicaciones y desarrollos Tecnologías de código distribuible (Java, ActiveX) Sistemas abiertos y bancos de información Comercio electrónico Votaciones electrónicas Minería de datos y DWH Manejo de imágenes y multimedia


27

Seguridad en Redes

El canal es público Usar canales cifrados. Ejemplo: SecureSHell Cifrar toda información que se intercambia. Ejemplo: usar

Pretty Good Privacy (PGP) Usar sistemas de correo seguro (cifrado). Ejemplos: PGP,

PEM, S/MIME Monitorear la red. Ejemplo: ntop y EtheReal Detectar intentos de intrusión. Ejemplo: usar IDS’s como Snort

o alguno comercial de ISS Usar mismas armas que los atacantes para defensa. Ejemplos:

sniffers como EtheReal y crackers como John the Ripper


28

Seguridad en Redes

No se sabe la identidad del que envía o recibe Usar esquemas de firma y certificados digitales

Ejemplo: PGP Usar protocolos fuertes de autenticación como IKE

No se sabe qué información entra y sale Usar filtros de contenido

No se sabe de donde viene y a donde van los accesos Usar filtros por IP, aplicación, etc. Ejemplo: usar

Firewalls como IPTable o IPChains, ChekPoint, etc.


29

Seguridad en Redes

No se sabe si lo que se recibe es lo que se envió Usar esquemas para verificar integridad. Ejemplo: PGP Usar protocolos que implementen códigos MIC/MAC usando

funciones hash o cifrado simétrico No se sabe si la red y sus recursos se están utilizando

como y para lo que se debe Implantar politicas de uso (ISO 17799 y 27001) Monitoreo y autoataque (ntop, Ethereal, John the Ripper)

No se sabe por donde me están atacando y que debilidades tiene mi red Usar analizadores de vulnerabilidades. Ejemplo: Nessus


30

Seguridad en Redes

Ya sé por donde, pero no se qué hacer para proteger mi red Actualizar software de sistemas y aplicaciones Instalar todos los parches de seguridad Cerrar puertos y aplicaciones no necesarios. Prohibir modems Informarse diario sobre nuevos ataques y vulnerabilidades e

instalar los parches correspondientes

Ya estamos hartos del SPAM Filtrado de contenidos y Firewalls Restringir tráfico de entrada y salida por IP, subject, idioma,

etc.


31

Seguridad en Redes

Ya no soportamos al proveedor de antivirus Usar un antivirus libre y realizar sus propias

actualizaciones La instalación de software es incontrolable

Prohibir instalar cualquier software y nombrar único responsable autorizado para ello

Políticas de seguridad No sé cómo empezar

Empiece a estudiar Visite los sitios especializados


32

Aspectos que se deben considerar

Hay que tener Politicas de Seguridad Planes de Recuperacion y Continuidad en caso de Desastre (DRP y BCP) Sitios Alternos para funcionar y Respaldos de Informacion Sistemas de Detección de Intrusos Análisis de bitácoras Monitoreo y análisis de actividades de usuarios para limitar privilegios Reconocimiento de ataques a la red. Frecuencia y origen de los ataques Registro de Consulta de páginas Internet y comunicaciones e-mail con

personas desconocidas Monitoreo de tráfico de la red Verificación de Integridad de Archivos y Bases de Datos Auditorías a la configuración del sistema Monitoreo de Recursos Humanos que tienen acceso a información sensible

(selección, reclutamiento y sistemas de desarrollo del personal) Sistemas de Control de Confianza

Aplicaciones Criptográficas

SSH (Secure SHell) http://www.ssh.com/support/downloads/

OpenSSL: http://www.openssl.org/source/

PGP: http://www.pgp.com/downloads/index.html

GPG: http://www.gnupg.org

Correo Electrónico Seguro

S/MIME: http://www.ietf.org/html.charters/smime-charter.html

PGP: http://www.pgp.com/downloads/index.html

http://www.ssh.com/support/downloads/

http://www.openssl.org/source/





http://www.pgp.com/downloads/index.html






http://www.gnupg.org/

http://www.gnupg.org/

http://www.ietf.org/html.charters/smime-charter.html







PKI (Public Key Infrastucture)

Verisign: http://www.verisign.com/products-services/security-services/pki/index.html

OpenCA: http://www.openca.org/

Autoridades Certificadoras

Verisign: http://www.verisign.com/

Entrust: http://www.entrust.com/

http://www.verisign.com/products-services/security-services/pki/index.html














http://www.openca.org/



http://www.verisign.com/

http://www.entrust.com/



IDS (Intrusion Detection System)Snort: http://www.snort.org

Real Secure (ISS): http://www.iss.net/latam/spanish/products_service/enterprise_protection/index.php

Cisco: http://www.cisco.com/en/US/products/sw/secursw/ps2113/index.html

Firewallshttp://www.checkpoint.com/

http://www.cisco.com/en/US/products/hw/vpndevc/index.html

http://www.watchguard.com/

http://europe.nokia.com/nokia/0,,76737,00.html

http://www.snort.org/

http://www.snort.org/

http://www.iss.net/latam/spanish/products_service/enterprise_protection/index.php












http://www.checkpoint.com/

http://www.cisco.com/en/US/products/hw/vpndevc/index.html

http://www.watchguard.com/



Monitores de RedNtop (Network Top) http://www.ntop.org

Nagios http://www.nagios.org

Sniffers

TCPDump http://www.tcpdump.org/

Ethereal http://www.ethereal.com

Windump http://www.winpcap.org/windump/

Etthercap http://ettercap.sourceforge.net/

http://www.ntop.org/

http://www.ntop.org/

http://www.nagios.org/

http://www.nagios.org/

http://www.tcpdump.org/

http://www.ethereal.com/

http://www.winpcap.org/windump/

http://ettercap.sourceforge.net/



Analizadores de VulnerabilidadesNessus http://www.nessus.org

LANGUARD http://www.gfi.com/languard/

Internet Scanner (ISS) htttp://www.iss.net/products_services/enterprise_protection/vulnerability_assessment/scanner_internet.php

Passwords Crackers

John de Ripper http://www.openwall.com/john/

http://www.nessus.org/

http://www.gfi.com/languard/

http://www.iss.net/products_services/enterprise_protection/vulnerability_assessment/scanner_internet.php



http://www.openwall.com/john/





ISO/IEC 17799-2005 http://www.iso.org/iso/en/prods-services/popstds/informationsecurity.html

ISO/IEC 27001

http://www.bsi-global.com/News/Releases/2005/November/n4368cedc60947.xalter

Sarbanes Oxley http://www.s-ox.com/

http://www.iso.org/iso/en/prods-services/popstds/informationsecurity.html

http://www.iso.org/iso/en/prods-services/popstds/informationsecurity.html

http://www.s-ox.com/





ANTIVIRUS

AVAST (libre) http://www.avast.com/eng/free_virus_protectio.html

CLAM WIN (libre) http://www.clamwin.com/

SYMANTEC http://www.symantec.com/index.htm

MCAFFE http://www.mcafee.com/es/

PANDA http://www.pandasoftware.com

AVG http://www.grisoft.com/doc/1


40

Recursos de Seguridad

www.nsa.govwww.nist.govwww.cert.orgwww.securityfocus.orgwww.packetstorm.orgwww.sans.org


41

Comentarios y Conclusiones

Hay que empezar a preocuparse y ocuparse del problema

Ejemplos en que nunca hubo ya necesidad: cuando ocurrió, no hubo nunca más que hacer porque había desaparecido todo Biblioteca de Alejandría 11 Sept. 2001

A partir de 2001 el mundo cambió su visión, concepción y percepción de seguridad y su relación con las TI Replanteamiento total: Land Home Security Seguridad Nacional Estandarización global


42


Estándares Globales ISO 17799-2005 y 27001 Ley Sarbanes Oxley (SOX) BS 7799

Para empresas e instituciones, la seguridad ha dejado de ser un problema tecnológico para convertirse en ventaja competitiva

Toda empresa o institución que desee competir a nivel mundial tiene que cumplir esos estándares


43


La seguridad puede verse ahora en 3 niveles de responsabilidad Directores y cuadros ejecutivos Niveles técnicos y operativos Usuarios

Todos los niveles deben tener conciencia del problema

Todo gobierno actual se siente obligado a seguir las tendencias globales Muchos no están preparados (México) Están empezando a prepararse


44


Tampoco las empresas están preparadas Empiezan a darse cuenta

No es el mejor camino el que se sigue ahora para resolver el problema: Consultoría externa (cara y escasa): dependencia Productos ¨milagro¨ generales (no resuelven nada) Soluciones sobre la marcha (improvisación y

arribismo) Hay que trabajar en educación en Seguridad

Universidades


45

Seguridad y TI en la UNAM

Diplomado en Seguridad Informática http://siberiano.aragon.unam.mx/diplomadoseguridad/juriquilla/ http://siberiano.aragon.unam.mx/ Diplomado en Tecnologías de Información http://siberiano.aragon.unam.mx/dti/juriquilla/ http://siberiano.aragon.unam.mx/dti/aragon/ http://siberiano.aragon.unam.mx/dti/ Laboratorio de Seguridad Informática, CTA http://leopardo.aragon.unam.mx/labsec/ Grupo de Seguridad de DGSCA


46

Gracias ..............

Leobardo Hernández

Laboratorio de Seguridad Informática

Centro Tecnológico Aragón, UNAM

[email protected]. 01 55 56231070

Documents

VI Simposium Internacional de Computación, Sonora, Nov. 2006 1 Criptografía y Seguridad en Redes Leobardo Hernández Laboratorio de Seguridad Informática