Criptografía y Seguridad
en Redes
Leobardo Hernández
Laboratorio de Seguridad
Informática
Centro Tecnológico Aragón, UNAM
VI Simposium Internacional de Computación,
Sonora, Nov. 2006
1
Agenda

Información y sus estados

Propiedades de Seguridad de la Información
Servicios y Mecanismos de Seguridad
Criptología








Criptografía
Criptoanálisis
Esteganografía
Seguridad en Redes
Herramientas para Seguridad en Redes
Comentarios y Conclusiones
VI Simposium Internacional de Computación,
Sonora, Nov. 2006
2
Información y sus estados


La información actual es digital
Su manejo implica considerar estados:





Adquisición
Creación
Almacenamiento
Proceso (transformación, análisis, etc.)
Transmisión
VI Simposium Internacional de Computación,
Sonora, Nov. 2006
3
Problemas en manejo de
Información







Confiabilidad de las fuentes y de la
información misma
Integridad (verificación)
Confidencialidad
Disponibilidad
Control de Acceso
Autenticación de las partes
No repudio
VI Simposium Internacional de Computación,
Sonora, Nov. 2006
4
Más Problemas






El canal es público
Uso canales seguros nada fácil, práctico, ni barato
Las fuentes pueden no ser compatibles ni
confiables
Los sistemas de análisis y toma de decisiones
asumen lo contrario
Los resultados y reportes pueden ser equivocados
Las decisiones se toman a partir de esos
resultados
VI Simposium Internacional de Computación,
Sonora, Nov. 2006
5
Más Problemas




Información más valiosa que el dinero
Hay que protegerla
 No solo en almacenamiento y proceso
 También durante la transmisión
Formas almacenamiento y proceso:
dispositivos digitales
Formas de transmisión: redes y sistemas
distribuidos
VI Simposium Internacional de Computación,
Sonora, Nov. 2006
6
Más Problemas


Expuesta a ataques de todo tipo
Nada fácil crear un modelo para estudiar la
seguridad




Redes heterogéneas de todos los tipos
Plataformas, medios, SO’s, arquitecturas
distintas
La pesadilla: Internet
Que hacer??
VI Simposium Internacional de Computación,
Sonora, Nov. 2006
7
Seguridad de la Informacion

Técnicas, procedimientos, políticas y
herramientas para proteger y resguardar
información en medios y dispositivos
electrónicos

Proteger la información almacenada en los
equipos y la que se transfiere e intercambia
por canales públicos
VI Simposium Internacional de Computación,
Sonora, Nov. 2006
8
Seguridad de la Informacion

Proteger informacion de amenazas, ataques y
vulnerabilidades reales y potenciales

Garantizar propiedades de información en todos
sus estados: creación, modificación, transmisión y
almacenamiento

Implementar servicios de seguridad usando
mecanismos útiles y eficientes
VI Simposium Internacional de Computación,
Sonora, Nov. 2006
9
Servicios y Mecanismos de
Seguridad


Naturaleza pública del canal no se puede
cambiar
Sobre ese canal hay que saber qué se
quiere:


Servicios de Seguridad
Sobre ese canal hay que saber cómo se
implementa (si se puede):

Mecanismos de seguridad
VI Simposium Internacional de Computación,
Sonora, Nov. 2006
10
Servicios y Mecanismos de
Seguridad

Servicios






Mecanismos
Confidencialidad
Integridad
Autenticación
Control de Acceso
No Repudio
Disponibilidad
Cifrado
Funciones Hash
Protocolos Criptográfico
Esquemas de CA
Firma Digital
No se puede !!
VI Simposium Internacional de Computación,
Sonora, Nov. 2006
11
Seguridad Informática



Se deben implementar los 5 primeros
servicios para disminuir el riesgo de sufrir
indisponibilidad
Los 5 primeros servicios se estandarizan en
el ISO 7498-2
El Triángulo de Oro de la Seguridad incluye:



Confidencialidad
Integridad
Disponibilidad
VI Simposium Internacional de Computación,
Sonora, Nov. 2006
12
Criptografía y Seguridad

4 de los 5 servicios estandarizados
se implementan usando Criptografía:





Confidencialidad
Integridad (Verificación)
Autenticación
No Repudio
No se puede hablar de Seguridad sin
hablar de Criptografía
VI Simposium Internacional de Computación,
Sonora, Nov. 2006
13
Criptología

Criptología se divide en:




Criptografía
Criptoanálisis
Esteganografía
Criptografía: oculta información aplicando al
mensaje M, una transformación (algoritmo) F,
usando una llave K y produce el texto cifrado C
Fk(M) = C
VI Simposium Internacional de Computación,
Sonora, Nov. 2006
14
Criptografía

Algoritmo F debe ser público

Seguridad debe basarse en:



Diseño y fortaleza de F
Mantener K en secreto
Algoritmo F integra 2 procesos:
Cifrado:
Fk(M) = C
Descifrado:
F’k(C) = M
VI Simposium Internacional de Computación,
Sonora, Nov. 2006
15
Criptografía

Algoritmos usan diferentes bases de diseño:

Operaciones elementales




Matemáticas




Teoría de Números
(RSA, ElGamal, DSS, etc.)
Problemas NP y NP Completos
Curvas Elípticas
(ECC)
Fisica Cuántica



Sustituciones
(César, Vigenere, Vernam, etc.)
Permutaciones
Combinación de ambas
(DES, AES, etc.)
Mecanica Cuántica
Principio de Incertidumbre de Heinsenberg
Otras
VI Simposium Internacional de Computación,
Sonora, Nov. 2006
16
Criptografía

Algoritmos pueden ser:

Simétricos o de Llave Secreta


Asimétricos o de Llave Pública


Usan misma llave para cifrar y descifrar
La llave que cifra es diferente a la que descifra
Funciones Hash, Resumen o Compendio

No usan llave
VI Simposium Internacional de Computación,
Sonora, Nov. 2006
17
Criptografía

También pueden ser por:

Bloque


El mensaje se procesa en bloques del
mismo tamaño
Flujo

El mensaje se procesa como un todo por
unidad básica
VI Simposium Internacional de Computación,
Sonora, Nov. 2006
18
Criptografía

Algoritmos Simétricos o de Llave Secreta




Algoritmos Asimétricos o de Llave Pública




DES (anterior estándar mundial)
AES (Nuevo estándar mundial)
3DES
RSA (Estándar de facto)
ElGamal
DSS (Digital Signature Standard)
Algoritmos Hash


MD5
SHA-1
VI Simposium Internacional de Computación,
Sonora, Nov. 2006
19
Criptografía

Algoritmos Simétricos




Basan su diseño en operaciones elementales
Buscan eficiencia
Seguridad depende del tiempo y los recursos de
cómputo
Aplicaciones de Criptografia Simétrica



Cifrado de información no clasificada (Confidencialidad)
Verificación de Integridad
Autenticación
VI Simposium Internacional de Computación,
Sonora, Nov. 2006
20
Criptografía

Algoritmos Asimétricos





Diseño basado en problemas matemáticos
Seguros computacionalmente
Seguridad no depende de tiempo ni de recursos de
cómputo
Pero...son ineficientes
Aplicaciones de Criptografia Asimétrica



Cifrado de informacion clasificada (Confidencialidad)
Acuerdo de llave simétrica
Firma Digital (Autenticación y No Repudio)
VI Simposium Internacional de Computación,
Sonora, Nov. 2006
21
Criptografía

Algoritmos Hash





Diseño basado en operaciones elementales
Son eficientes
Seguridad depende del tiempo y recursos de cómputo
Proporcionan una huella digital del mensaje
Aplicaciones de Algoritmos Hash




Verificación de Integridad
Autenticación
Demostrar posesión de secretos sin revelar el secreto
Virología
VI Simposium Internacional de Computación,
Sonora, Nov. 2006
22
Aplicaciones de Criptografía

Actualmente se usan de forma híbrida






Simétricos: eficientes
Asimétricos: seguros computacionalmente
Hash: eficientes y proporcionan huella digital
Se usan asimétricos para acordar llave simétrica
Acordada la llave simétrica, se usa un algoritmo
simétrico para cifrar la información
Ejemplo: PGP, SSH, etc.
VI Simposium Internacional de Computación,
Sonora, Nov. 2006
23
Protocolos Criptográficos
Criptografía por sí sola no sirve para
nada
 Protocolos: hilos mágicos que conectan
Seguridad con Criptografía
 Todas las herramientas que
proporcionan servicios de seguridad
implementan protocolos


Ejemplo: PGP, SSH, SET, SSL, etc.
VI Simposium Internacional de Computación,
Sonora, Nov. 2006
24
Seguridad en Redes

A problemas sin resolver (por no haber
soluciones definitivas, por no conocerse o por
no implementarlas) de la seguridad en:







Controles de Acceso
Bases de Datos
Redes
Sistemas Operativos
SPAM
Virus
Etc.
VI Simposium Internacional de Computación,
Sonora, Nov. 2006
25
Seguridad en Redes


Se agregan: cómputo móvil y wireless
El grado y nivel de riesgo de amenazas,
ataques y vulnerabilidades crece:







Internet, Web y sus aplicaciones y desarrollos
Tecnologías de código distribuible (Java, ActiveX)
Sistemas abiertos y bancos de información
Comercio electrónico
Votaciones electrónicas
Minería de datos y DWH
Manejo de imágenes y multimedia
VI Simposium Internacional de Computación,
Sonora, Nov. 2006
26
Seguridad en Redes

El canal es público






Usar canales cifrados. Ejemplo: SecureSHell
Cifrar toda información que se intercambia. Ejemplo: usar
Pretty Good Privacy (PGP)
Usar sistemas de correo seguro (cifrado). Ejemplos: PGP,
PEM, S/MIME
Monitorear la red. Ejemplo: ntop y EtheReal
Detectar intentos de intrusión. Ejemplo: usar IDS’s como Snort
o alguno comercial de ISS
Usar mismas armas que los atacantes para defensa. Ejemplos:
sniffers como EtheReal y crackers como John the Ripper
VI Simposium Internacional de Computación,
Sonora, Nov. 2006
27
Seguridad en Redes

No se sabe la identidad del que envía o recibe



No se sabe qué información entra y sale


Usar esquemas de firma y certificados digitales
Ejemplo: PGP
Usar protocolos fuertes de autenticación como IKE
Usar filtros de contenido
No se sabe de donde viene y a donde van los
accesos

Usar filtros por IP, aplicación, etc. Ejemplo: usar
Firewalls como IPTable o IPChains, ChekPoint, etc.
VI Simposium Internacional de Computación,
Sonora, Nov. 2006
28
Seguridad en Redes

No se sabe si lo que se recibe es lo que se envió



No se sabe si la red y sus recursos se están utilizando
como y para lo que se debe



Usar esquemas para verificar integridad. Ejemplo: PGP
Usar protocolos que implementen códigos MIC/MAC usando
funciones hash o cifrado simétrico
Implantar politicas de uso (ISO 17799 y 27001)
Monitoreo y autoataque (ntop, Ethereal, John the Ripper)
No se sabe por donde me están atacando y que
debilidades tiene mi red

Usar analizadores de vulnerabilidades. Ejemplo: Nessus
VI Simposium Internacional de Computación,
Sonora, Nov. 2006
29
Seguridad en Redes

Ya sé por donde, pero no se qué hacer para proteger
mi red





Actualizar software de sistemas y aplicaciones
Instalar todos los parches de seguridad
Cerrar puertos y aplicaciones no necesarios. Prohibir modems
Informarse diario sobre nuevos ataques y vulnerabilidades e
instalar los parches correspondientes
Ya estamos hartos del SPAM


Filtrado de contenidos y Firewalls
Restringir tráfico de entrada y salida por IP, subject, idioma,
etc.
VI Simposium Internacional de Computación,
Sonora, Nov. 2006
30
Seguridad en Redes

Ya no soportamos al proveedor de antivirus


La instalación de software es incontrolable



Usar un antivirus libre y realizar sus propias
actualizaciones
Prohibir instalar cualquier software y nombrar único
responsable autorizado para ello
Políticas de seguridad
No sé cómo empezar


Empiece a estudiar
Visite los sitios especializados
VI Simposium Internacional de Computación,
Sonora, Nov. 2006
31
Aspectos que se deben considerar













Hay que tener Politicas de Seguridad
Planes de Recuperacion y Continuidad en caso de Desastre (DRP y BCP)
Sitios Alternos para funcionar y Respaldos de Informacion
Sistemas de Detección de Intrusos
Análisis de bitácoras
Monitoreo y análisis de actividades de usuarios para limitar privilegios
Reconocimiento de ataques a la red. Frecuencia y origen de los ataques
Registro de Consulta de páginas Internet y comunicaciones e-mail con
personas desconocidas
Monitoreo de tráfico de la red
Verificación de Integridad de Archivos y Bases de Datos
Auditorías a la configuración del sistema
Monitoreo de Recursos Humanos que tienen acceso a información sensible
(selección, reclutamiento y sistemas de desarrollo del personal)
Sistemas de Control de Confianza
VI Simposium Internacional de Computación,
Sonora, Nov. 2006
32

Aplicaciones Criptográficas
SSH (Secure SHell) http://www.ssh.com/support/downloads/
OpenSSL: http://www.openssl.org/source/
PGP: http://www.pgp.com/downloads/index.html
GPG: http://www.gnupg.org

Correo Electrónico Seguro
S/MIME: http://www.ietf.org/html.charters/smime-charter.html
PGP: http://www.pgp.com/downloads/index.html

PKI (Public Key Infrastucture)
Verisign: http://www.verisign.com/productsservices/security-services/pki/index.html
OpenCA: http://www.openca.org/

Autoridades Certificadoras
Verisign: http://www.verisign.com/
Entrust: http://www.entrust.com/

IDS (Intrusion Detection System)
Snort: http://www.snort.org
Real Secure (ISS):
http://www.iss.net/latam/spanish/products_service/enterprise_prot
ection/index.php
Cisco:
http://www.cisco.com/en/US/products/sw/secursw/ps2113/index.ht
ml

Firewalls
http://www.checkpoint.com/
http://www.cisco.com/en/US/products/hw/vpndevc/index.html
http://www.watchguard.com/
http://europe.nokia.com/nokia/0,,76737,00.html

Monitores de Red
Ntop (Network Top) http://www.ntop.org
Nagios http://www.nagios.org

Sniffers
TCPDump http://www.tcpdump.org/
Ethereal http://www.ethereal.com
Windump http://www.winpcap.org/windump/
Etthercap http://ettercap.sourceforge.net/

Analizadores de Vulnerabilidades
Nessus http://www.nessus.org
LANGUARD http://www.gfi.com/languard/
Internet Scanner (ISS)
htttp://www.iss.net/products_services/enterprise_prote
ction/vulnerability_assessment/scanner_internet.php

Passwords Crackers
John de Ripper http://www.openwall.com/john/

ISO/IEC 17799-2005
http://www.iso.org/iso/en/prodsservices/popstds/informationsecurity.html

ISO/IEC 27001
http://www.bsiglobal.com/News/Releases/2005/November/
n4368cedc60947.xalter

Sarbanes Oxley http://www.s-ox.com/

ANTIVIRUS
AVAST (libre)
http://www.avast.com/eng/free_virus_protectio.html
CLAM WIN (libre) http://www.clamwin.com/
SYMANTEC http://www.symantec.com/index.htm
MCAFFE http://www.mcafee.com/es/
PANDA http://www.pandasoftware.com
AVG http://www.grisoft.com/doc/1
Recursos de Seguridad
www.nsa.gov
 www.nist.gov
 www.cert.org
 www.securityfocus.org
 www.packetstorm.org
 www.sans.org

VI Simposium Internacional de Computación,
Sonora, Nov. 2006
40
Comentarios y Conclusiones


Hay que empezar a preocuparse y ocuparse del
problema
Ejemplos en que nunca hubo ya necesidad: cuando
ocurrió, no hubo nunca más que hacer porque había
desaparecido todo



Biblioteca de Alejandría
11 Sept. 2001
A partir de 2001 el mundo cambió su visión,
concepción y percepción de seguridad y su relación
con las TI



Replanteamiento total: Land Home Security
Seguridad Nacional
Estandarización global
VI Simposium Internacional de Computación,
Sonora, Nov. 2006
41
Comentarios y Conclusiones

Estándares Globales





ISO 17799-2005 y 27001
Ley Sarbanes Oxley (SOX)
BS 7799
Para empresas e instituciones, la seguridad ha
dejado de ser un problema tecnológico para
convertirse en ventaja competitiva
Toda empresa o institución que desee competir
a nivel mundial tiene que cumplir esos
estándares
VI Simposium Internacional de Computación,
Sonora, Nov. 2006
42
Comentarios y Conclusiones

La seguridad puede verse ahora en 3 niveles de
responsabilidad





Directores y cuadros ejecutivos
Niveles técnicos y operativos
Usuarios
Todos los niveles deben tener conciencia del problema
Todo gobierno actual se siente obligado a seguir las
tendencias globales


Muchos no están preparados (México)
Están empezando a prepararse
VI Simposium Internacional de Computación,
Sonora, Nov. 2006
43
Comentarios y Conclusiones

Tampoco las empresas están preparadas


No es el mejor camino el que se sigue ahora
para resolver el problema:




Empiezan a darse cuenta
Consultoría externa (cara y escasa): dependencia
Productos ¨milagro¨ generales (no resuelven nada)
Soluciones sobre la marcha (improvisación y
arribismo)
Hay que trabajar en educación en Seguridad

Universidades
VI Simposium Internacional de Computación,
Sonora, Nov. 2006
44
Seguridad y TI en la UNAM

Diplomado en Seguridad Informática

http://siberiano.aragon.unam.mx/diplomadoseguridad/juriquilla/

http://siberiano.aragon.unam.mx/
Diplomado en Tecnologías de Información
http://siberiano.aragon.unam.mx/dti/juriquilla/
http://siberiano.aragon.unam.mx/dti/aragon/
http://siberiano.aragon.unam.mx/dti/
Laboratorio de Seguridad Informática, CTA
http://leopardo.aragon.unam.mx/labsec/
Grupo de Seguridad de DGSCA







VI Simposium Internacional de Computación,
Sonora, Nov. 2006
45
Gracias ..............
Leobardo Hernández
Laboratorio de Seguridad Informática
Centro Tecnológico Aragón, UNAM
[email protected]
Tel. 01 55 56231070
VI Simposium Internacional de Computación,
Sonora, Nov. 2006
46
Descargar

Diplomado Seg Inter y EE