Security Assesment
M.C. Juan Carlos Olivares Rojas
Department of Computer and System
Instituto Tecnológico de Morelia
[email protected]
19.72388 lat, -101.1848 long
Disclaimer
Some material in this presentation has been
obtained from various sources, each of which
has intellectual property, so in this presentation
will only have some rights reserved.
These slides are free, so you can add, modify,
and delete slides (including this one) and slide
content to suit your needs. They obviously
represent a lot of work on my part. In return for
use, I only ask the following: if you use these
slides (e.g., in a class) in substantially unaltered
form, that you mention their source.
Outline
•
•
•
•
•
•
•
•
Generalities of Physical Area Security
Logical and Confidential Security
Staff Security
Security Control Classification
Data and Software Application Security
Control for Software Applications Assesment
Control for avoiding crime and informatic frauds
Contingency Plan, Insurance, Procedures of
Backup Disasters.
Outline
• Techniques and Tools related with physical and
staff security.
• Techniques and Tools related with data and
software application security.
Objectives of the Session
• The students will know the basis of Security
Information.
• The students will identified and applied some
security controls in the organisations.
Competencias
• Genéricas: Análisis, Diseño de soluciones,
Creatividad y Trabajo en equipo
• Naturaleza Competencia: Entrenamiento
• Competencias Específicas:
• Conocimiento de los fundamentos de auditoria
(conceptos básicos, planeación, Auditoría de la
función informática, Presentación de Informes)
• Conocimiento y Aplicación de los Estándares
de Auditoria en Seguridad Informática y Redes.
Objetivo
• Los estudiantes definirán y aplicarán controles
en diferentes áreas informáticas tales como:
instalaciones físicas, recursos humanos,
telecomunicaciones,
seguridad
de
la
información, realizando actividades de auditoría
y consultoría informática.
Certificación CISA
• Está compuesta por 200 preguntas:
• Proceso de Auditoria de SI 10%
• Gobernanza TI 15%
• Gestión del Ciclo de Vida de Infraestructura y
Systemas 16%
• Soporte y Entrega de Servicios de TI 14%
• Protección de Activos de Información 31%
• Continuidad del Negocio y Recuperación de
Desastres 14%
Estd. de Seguridad Informática
• ISO 17799- ISO 27001
– Política de seguridad
– Aspectos organizativos para la seguridad
– Clasificación y control de activos
– Seguridad ligada al personal
– Seguridad física y del entorno
– Gestión de comunicaciones y operaciones
– Control de accesos
– Desarrollo y mantenimiento de sistemas
– Gestión de incidentes de seguridad
– Gestión de continuidad de negocio
– Conformidad
¿Por qué usar Mejores Prácticas?
• Nos orientan hacia mejores resultados
Seguridad Informática
• Cualquier medida que impida la ejecución de
operaciones no autorizadas sobre un sistema
o red informática, cuyos efectos pueden
conllevar daños sobre la información,
comprometer
su
confidencialidad,
autenticidad o integridad, disminuir el
rendimiento de los equipos o bloquear el
acceso de usuarios autorizados al sistema.
Seguridad
• El ISO/IEC 17799, define CIA (Confidentialy,
Integrity, Availability) como pilar fundamental
de la Seguridad Informática.
• Principios de “defensa en profundidad”:
cifrado de datos, gestión de usuarios,
configuración
robusta
de
equipos,
segmentación de redes (VLANs), Seguridad
Perimetral.
Seguridad Informática
• Existen 4 planes de actuación: técnico,
humano, legal y organizativo.
• La seguridad es un proceso. Se necesita de
un Sistema de Gestión de Seguridad de la
Información (SGSI).
• La información es un recurso vital en el
mundo globalizado de hoy en día.
Seguridad Informática
• SSE/CMM (Systems Security Engineering/
Capability Maturity Model) define:
• Nivel 0: Nada de seguridad
• Nivel 1: Prácticas de seguridad realizadas de
manera informal
• Nivel 2: Planificación y seguimiento de las
prácticas de seguridad
Seguridad Informática
• Nivel 3: Definición y coordinación de las
políticas y procedimientos de seguridad.
• Nivel 4: Seguridad controlada a través de
distintos controles y objetivos de calidad.
• Nivel 5: Implantación de un proceso de
mejora continua.
Seguridad Informática
• Se tiene una
informática:
jerarquía
de
• CIA
• Políticas
• Planes
• Procedimientos
• Tareas y Operaciones
• Registros y Evidencias.
seguridad
Seguridad Informática
• Ejemplo de seguridad CIA
• Política: protección del servidor Web de la
organización contra accesos no autorizados.
• Procedimiento 1: Actualización del software
del servidor Web.
• Tarea1: Revisión diaria de los parches
publicados por el fabricante.
Seguridad Informática
• Tarea2: Seguimiento de las noticias sobre
posibles fallos de seguridad.
• Procedimiento 2: Revisión de los registros de
actividad en el servidor.
• Tarea1: revisión semanal de los “logs” del
servidor para detectar anomalías.
Seguridad Informática
• Tarea2: Configuraciones de alertas de
seguridad que permitan reaccionar de forma
urgente ante determinados tipos de ataques
e intentos de intrusión.
• Inventario de soportes físicos. Destructor de
Discos Duros
SGSI
• Un SGSI se encuentra estandarizado en la
norma ISO 27001:2005.
• La ISO 17799:2005 define buenas prácticas
de SI pero en si no es certificable como tal.
Se utilizó hasta antes de definirse el ISO
27001:2005
• Está basado en la norma británica BS7799
utilizada en seguridad de SI.
SGSI
• A continuación se muestran las principales
versiones del estándar:
• ISO 27000 Vocabulario y Glosario
• ISO 27001 Estándar certificable
• ISO 27002 Relevo del ISO/IEC 17799:2005
SGSI
• ISO 27003 Guía de implantación
• ISO 27004 Métricas e indicadores
• ISO 27005 Gestión de Riesgos
• ISO 27006 Requerimientos para
entidades de auditoría y certificación.
las
SGSI
• Se basa en la metodología de Dewey (Plan,
Do, Check, Act). La cual quedaría definida
así:
• Plan: Establecer el SGSI
• Do: Implantar y Operar el SGSI
• Check: Monitorear y Revisar el SGSI
SGSI
• Act: Mantener y mejorar el SGSI
• Otras actividades:
•
•
•
•
Control de Documentos
Capacitación
Acción Correctiva
Acción preventiva
SGSI
• Se clasifican cada uno de los activos, se
determinan amenazas, vulnerabilidades,
riesgos basándose en una escala de 1 (muy
bajo) a 5 (muy alto).
• Se debe realizar un Plan de Continuidad del
Negocio, el cual puede contener:
• DRP Disaster Recovery Planning
SGSI
• BRP Business Resumption Planning
• COOP Continuity Operations Planning
• CP Contingence Planning
• ERP Emergency Response Planning
SGSI
• Pirámide Documental:
• Manual de Seguridad
• Procedimientos
• Instrucciones de Trabajo
• Documentos
SGSI
• Se deben tomar en cuenta muchos aspectos
para establecer mecanismos de seguridad:
• Aspectos legales, sociales y éticos
• Controles físicos
• Cuestiones de política
SGSI
• Problemas operacionales
• Controles de hardware
• Soporte del Sistema Operativo
• Existen dos enfoques
discrecional y obligatorio.
de
seguridad:
SGSI
• En el discrecional, los usuarios tienen
derechos de acceso diferentes (privilegios)
por lo tanto son muy flexibles
• El control obligatorio, cada objeto está
etiquetado con un nivel de clasificación y a
cada usuario se le da un nivel de
acreditación. Son sistemas jerárquicos y
rígidos.
SGSI
• La autenticación es el proceso que consiste
en verificar que el usuario es quién dice ser.
• La autorización es el proceso para que un
usuario pueda realizar una acción.
• Registro de auditoría es un archivo o base de
datos en el que el sistema lleva la cuenta de
las operaciones realizadas por los usuarios.
SGSI
• Los controles de acceso obligatorio se rigen
en base al principio de Bell-LaPadula:
• El usuario i puede recuperar el objeto j sólo si
el nivel de acreditación de i es mayor o igual
al nivel de clasificación de j (“propiedad de
seguridad simple”).
SGSI
• El usuario i puede actualizar el objeto j sólo si
el nivel de acreditación de i es igual al nivel
de clasificación de j.
• Los controles de acceso se dividen en 4: D,
C, B y A.
• Donde D es la protección mínima, C es
discrecional, B es obligatoria y A es
verificada.
SGSI
• Dentro de C, se encuentran los niveles C1
(menos segura) y C2.
• La seguridad física es muy importante a tal
punto que se debe de considerar en todo
SGSI.
• Una de las normas de seguridad física más
utilizada es: BS 7799-2:2002.
Riesgos de Seguridad Informática
Pasos Recomendados en una
Estrategia
Evaluación de Activos
COBIT
Control Objective for Information & related
Technology.
ITIL
• IT Infrastructure Library, incluye definiciones
de las mejores prácticas para la gestión de
Servicios. La definición se divide en dos
volúmenes:
• Soporte de Servicios
• Distribución de Servicios
Amenazas de Seguridad
• Intercepción
• Interrupción
• Modificación
• Fabricación
Amenazas de Seguridad
• Ingeniería Social
• Ataques pasivos
• Ataques activos
• Análisis de Riesgos
• Interrupción del Serivicio
• FPGA
Amenazas de Seguridad
•
•
•
•
•
•
•
•
•
Virus informáticos
Gusanos
Troyanos
Spyware
Adware
Dialers
Exploit
Bots
Pharming
Amenazas de Seguridad
• Backdoor
• Bomba fork
• Hijacker
• Keystroke o Keyloggers
• Párasito Informático
Amenazas de Seguridad
•
•
•
•
•
•
•
•
•
Phishings
Pornware
Rabbit
Rootkit
Spam
Pop-Ups
Bomba Lógica
Cookies (Malas)
Trampas y/o Inocentadas
Mecanismos de Seguridad
• Cifrado
• Autorización
• Autenticación
• Auditoría
Mecanismos de Seguridad
• Derecho a la intimidad
• Elaboración de perfiles
• Dispositivos biométricos
• Uso de VPN
• Uso de certificados de autoridad
Mecanismos de Seguridad
• Antivirus
• Firewall
• Anti-Spyware
• Anti-Rootkits
• Parches (Service Pack)
• Configuraciones
• Trucos, Trucos y más trucos
Mecanismos de Seguridad
• Hacer copias de seguridad
• Habilitar las zonas de seguridad
• Utilizar antivirus y dos firewalls*
• Control para padres
• Utilización de sockets seguros (SSL)
Mecanismos de Seguridad
• Emplear claves difíciles de acordar.*
• Comprobar el estado del sistema operativo.
• Comprobación del estado del hardware
• Evitar descargas de archivos.
• IDS Sistemas Detector de Intrusos
• Utilización de Proxys
Generalities of Physical Area
Security
• No sobrecargar los circuitos eléctricos y
cordones de extensión. Asegurarse que el
voltaje combinado no exceda la capacidad de
los circuitos.
• Tener un extintor de fuegos tipos C.
• No utilizar ningún tipo de electrodoméstico
dentro del site.
SGSI
• No tomar líquidos dentro del site.
• No fumar.
• Tener letreros de seguridad.
• No situar equipos en sitios altos para evitar
caídas. No colocar equipos cerca de
ventanas.
Logical and Confidential Security
• Logical Security is focused in provide a serie of
controls with the objective of asurrance an
information asset.
• Example of Logical Control is a paper motion
(trade) when a user must do for obtaining a
product or service in the company.
Sistema de Gestión de Seguridad
de la Información
Criptography
• Es un control de seguridad enfocado en la
confidencialidad e integridad de la información.
• Consiste en cambiar un mensaje original por
otro con la finalidad de que dicho mensaje no
pueda ser modificado o visualizado de forma
sencilla.
• El criptoanálisis estudia el proceso de descifrar
los mensajes poniéndolos en su forma original,
o bien tratando de romper la seguridad.
Criptografía
• Existen varios algoritmos de cifrado cayendo en
el área de simétricos y asimétricos.
• ¿Qué diferencia existente entre ellos?
• En los simétricos la misma clave se utiliza para
cifrar y descifrar el mensaje. En los asimétricos
se utilizan llaves distintas siendo el esquema
más generalizado el PKI (Public Key
Infrastructure)
Cesar Ciphred
• Consist in the transposition of n positions of
character in the alphabet.
• For example:
• Plain Text: Hola mundo
• K=3
• Cipher Text: Krod pxqgr
• Es un cifrado sencillo del tipo simétrico.
Problem
• A message crypted from terrorisms was
intercepted by some students of Instituto
Tecnologico de Morelia.
• Your mission is decrypted the next cipher text
using an analysis of character frecuencies.
• The first student whose break the message has
100, second 95, third 90, etc. 5 points less in
each place.
Problem
• Cipher Text:
Staff Security
• It’s important guaranted the security of all the
members of a company.
• Physical security is extremely important in
organisations which have business process
with high risk. For example a helmet in the
building business.
• All controls include a business regularization for
using with employees and how can they must
use the enterprise resources
Security Assesment Examples
• We present some study cases in Security
Assesment. The object is obtain competences
in this field.
Ejercicio 2
• Entre los incidentes más recientes en el
Hospital Santa Cecilia se cuentan los
siguientes:
• Se han detectado numerosos equipos a los
cuales los empleados le han instalado
aplicaciones como “Hotbar” y “Messenger
Plus”. Otros tienen instalados utilerías que les
permiten ver la temperatura de la ciudad en
su desktop. Sin embargo, estas aplicaciones
Ejercicio 2
• Se han reportado clientes del hospital
notificando la recepción de un mail con una
liga que les solicita la actualización de los
datos para ingresar al portal del Laboratorio.
El hospital nunca ha enviado mensajes de
ese tipo.
• Su portal de banca electrónica estuvo
sobrecargado
durante
dos
días
imposibilitando a sus clientes acceder al
mismo.
Ejercicio 2
• Existe software no licenciado instalado en los
equipos del hospital.
• Un empleado de sistemas fue despedido y en
represalia copió el archivo de contraseñas de
acceso al sistema de información de
pacientes.
• Se detectó virus en diversos equipos a pesar
de contar con software antivirus instalado.
Ejercicio 2
• Se han detectado accesos no autorizados a
los sistemas.
• ¿Qué eventos de los explicados en la sesión
han afectado al hospital?
• ¿Con base en tu experiencia que harías para
corregir esta situación?
Ejercicio 3
• Identifica qué principio y activo es el más
importante para cada una de las siguientes
organizaciones. Justifica tu respuesta.
•
•
•
•
•
Secretaría de Hacienda
Ejército
Empresa farmacéutica
Amazon.com
Sistema de Escolar de una Universidad
Ejercicio 3
•
•
•
•
•
Sistema de emergencias telefónica 066
Su equipo de cómputo personal.
Banco
Carrier de telecomunicaciones.
Coca Cola.
Ejercicio 4
• La empresa Alfa-2030 ha estado trabajando
en los últimos años desarrollando servicios
on-line de seguros de todo tipo para
empresas. Su negocio está basado en
transacciones en Internet a través de su
portal de Internet donde los clientes realizan
todas sus transacciones como contratación
de los seguros, pagos electrónicos en línea,
renovaciones, reclamaciones, cancelaciones,
etc.
Ejercicio 4
• Esta empresa ha experimentado desde hace
meses ciertos incidentes en materia de
seguridad de información, que a continuación
se describen:
• Recién se ha creado el equipo de seguridad
de información de la empresa, sus procesos
operativos de Seguridad son incipientes
(respaldos de información, manejo de
capacidad, controles de acceso lógico, etc.).
Ejercicio 4
• La tecnología para proteger la seguridad de
información ha estado poco ausente de
hecho este equipo de Seguridad ha iniciado
con planes de adquirir tecnologías.
• El presidente de la empresa ha solicitado a
un experto en seguridad de información que
estime los riesgos para cada una de las
siguientes amenazas:
Ejercicio 4
• Acceso no autorizado a la información de los
clientes.
• Software malicioso que afecte
principales sistemas de la empresa
a
los
• Denegación de servicios a su portal de
Internet
Ejercicio 4
• A partir del caso anterior, escriba un reporte
donde determine los riesgos (niveles) para
cada una de las amenazas descritas, tendrá
que justificar sus respuestas en cuanto a
describir las vulnerabilidades y sus impactos.
• De manera adicional, escriba un reporte,
donde mencionen al menos 5 controles de
Seguridad de información que mitiguen las
amenazas descritas en este caso.
Ejercicio 5
• La empresa Alfa-2030 ha decidido iniciar con
un programa formal de Seguridad de
información como una función importante y
su propio presupuesto en la organización,
Ricardo Aranguren ha sido nombrado como
Director de Seguridad de Información
dependiendo en forma directa de la Dirección
General, de momento sólo se la ha asignado
a tres personas para esta nueva función.
Ejercicio 5
• Lo primero que la dirección genera le ha
solicitado al Director de seguridad de
información es establecer una política
específica del uso del e-mail dado que han
ocurrido últimamente incidentes en el mismo
tales como virus y gusanos que han causado
pérdidas al negocio, además hay personal
que al parecer abusa de este servicio
haciendo mal uso del mismo.
Ejercicio 5
• Escribe un reporte con está política
especifica con un mínimo de 6 párrafos
(cuerpo de la política). Asegúrate que este
documento contenga estas secciones:
•
•
•
•
•
Antecedentes
Objetivo
Cuerpo del documento
Responsabilidades
Definición de términos
Ejercicio 6
• La empresa Alfa-2030 ha estado trabajando
en los últimos años desarrollando servicios
on-line de seguros de todo tipo para
empresas. Su negocio está basado en
transacciones en Internet a través de su
portal de Internet donde los clientes realizan
todas sus transacciones como contratación
de los seguros, pagos electrónicos en línea,
renovaciones, reclamaciones, cancelaciones,
etc.
Ejercicio 6
• El Director general ha solicitado realizar un
plan de trabajo para desarrollar los
procedimientos operativos de Seguridad de
información para su portal de Internet.
• Se debe realizar un reporte que seleccione la
prioridad del desarrollo de los siguientes
procedimientos operativos (justifiquen su
respuesta):
Ejercicio 6
• Procedimientos de respaldos de Información
• Procedimientos de control de acceso lógico a
la información
• Procedimientos de control de cambios
• Procedimientos
malicioso
de
control
de
software
Ejercicio 7
• EL Hospital “El Milagro” ha estado
desarrollando actividades en el medio por
más de 5 años, el director del Hospital le ha
llamado a un equipo especializado en
seguridad de información debido a que se ha
sentido frustrado por haber invertido mucho
dinero en seguridad de información sin tener
resultados positivos.
• EL director en una entrevista mencionó lo
siguiente (en resumen):
Ejercicio 7
• El área de seguridad depende del área de
redes
• Al parecer nunca le alcanza al Hospital el
dinero que se solicita para inversiones en el
área de seguridad.
• Los usuarios de los sistemas de información
tienen la impresión que la función de
seguridad nunca los ha tomado en cuenta.
Ejercicio 7
• El gasto de inversión en equipos de seguridad
como Firewalls, licencias de antivirus, detectores de
intrusos, etc. se ha disparado.
• Al parecer estos equipos no han sido efectivos dado
que han ocurrido incidentes de Seguridad y no se
ha protegido al Hospital de estos impactos
causados.
• Hace poco un auditor externo mencionó que no vio
ningún procedimiento operativo de seguridad.
Ejercicio 7
• El encargado de redes batalla mucho para
que le apruebe los proyectos el Hospital dado
que el lenguaje que usa es muy técnico.
• Realizar un comentario que brinde consejos
al Director General para poder ir armando la
estrategia de la función de Seguridad de
Información,
favor
de
justificar
sus
respuestas.
Ejercicio 7
• De manera adicional
siguientes actividades:
se
deben
realizar
las
• Visión de seguridad de información (a 5 años)
• Misión de seguridad de información
• Que dimensión será la más relevante en un
Hospital
(Disponibilidad,
confidencialidad,
Integridad, autenticidad y no repudiación)
• Establecer 5 objetivos de seguridad de información.
Ejercicio 8
• Retomando el caso del Hospital Santa Cecilia
y de acuerdo a la información proporcionada
en el mismo realiza lo siguiente:
• Escribe una política de seguridad corporativa
(Máximo tres párrafos).
• Identifica tres políticas específicas
consideras deben de desarrollarse.
que
Ejercicio 8
• Lista tres recomendaciones que harías a los
empleados del hospital en cuanto a:
•
•
•
•
Respaldo de información
Correo electrónico
Manejo de usuarios y contraseñas
Uso de equipo de cómputo.
Friends and enemies: Alice, Bob, Trudy
• well-known in network security world
• Bob, Alice (lovers!) want to communicate “securely”
• Trudy (intruder) may intercept, delete, add messages
Alice
channel
data
secure
sender
Bob
data, control
messages
secure
receiver
Trudy
data
Figure 30.1 Cryptography components
30.87
Figure 30.2 Categories of cryptography
30.88
Figure 30.3 Symmetric-key cryptography
30.89
Figure 30.4 Asymmetric-key cryptography
30.90
Figure 30.5 Keys used in cryptography
30.91
Figure 30.6 Comparison between two categories of cryptography
30.92
Figure 30.7 Traditional ciphers
30.93
Symmetric key cryptography
substitution cipher: substituting one thing for another
– monoalphabetic cipher: substitute one letter for another
plaintext:
abcdefghijklmnopqrstuvwxyz
ciphertext:
mnbvcxzasdfghjklpoiuytrewq
E.g.:
Plaintext: bob. i love you. alice
ciphertext: nkn. s gktc wky. mgsbc
Q: How hard to break this simple cipher?:
 brute force (how hard?)
 other?
Symmetric key crypto: DES
DES: Data Encryption Standard
• US encryption standard [NIST 1993]
• 56-bit symmetric key, 64-bit plaintext input
• How secure is DES?
– DES Challenge: 56-bit-key-encrypted phrase
(“Strong cryptography makes the world a safer
place”) decrypted (brute force) in 4 months
– no known “backdoor” decryption approach
• making DES more secure:
– use three keys sequentially (3-DES) on each
datum
Figure 30.13 DES
Figure 30.16 Triple DES
Public key cryptography
symmetric key crypto
• requires
sender,
receiver know shared
secret key
• Q: how to agree on key
in
first
place
(particularly if never
“met”)?
public key cryptography
 radically different approach
[Diffie-Hellman76, RSA78]
 sender, receiver do not
share secret key
 public encryption key known
to all
 private decryption key known
only to receiver
8: Network Security
8-98
Public key cryptography
+ Bob’s public
B key
K
K
plaintext
message, m
encryption ciphertext
algorithm
+
K (m)
B
- Bob’s private
B key
decryption plaintext
algorithm message
m = K - (K +(m))
B
8: Network Security
B
8-99
Digital Signatures
cryptographic technique analogous to handwritten signatures.
• sender (Bob) digitally signs document, establishing
he is document owner/creator.
• verifiable, nonforgeable: recipient (Alice) can prove
to someone that Bob, and no one else (including
Alice), must have signed document
8: Network Security
8-
Digital Signatures
simple digital signature for message m:
• Bob “signs” m by encrypting with his private key
KB, creating “signed” message, KB(m)
Bob’s message, m
Dear Alice
Oh, how I have missed
you. I think of you all the
time! …(blah blah blah)
Bob
K B Bob’s private
key
public key
encryption
algorithm
-
K B(m)
Bob’s message,
m, signed
(encrypted) with
his private key
8: Network Security
8-
Digital Signatures (more)
-
• suppose Alice receives msg m, digital signature KB(m)
• Alice verifies m signed by Bob by applying Bob’s public
+
+ key KB to KB(m) then checks KB(KB(m) ) = m.
+
-
• if KB(KB(m) ) = m, whoever signed m must have used
Bob’s private key.
Alice thus verifies that:
 Bob signed m.
 No one else signed m.
 Bob signed m and not m’.
non-repudiation:
 Alice can take m, and signature KB(m) to court
and prove that Bob signed m.
8: Network Security
8-
Public Key Certification
public key problem:
• When Alice obtains Bob’s public key (from web site, email, diskette), how does she know it is Bob’s public
key, not Trudy’s?
solution:
• trusted certification authority (CA)
8: Network Security
8-
Certification Authorities
• Certification Authority (CA): binds public key to
particular entity, E.
• E registers its public key with CA.
– E provides “proof of identity” to CA.
– CA creates certificate binding E to its public key.
– certificate containing E’s public key digitally signed by CA: CA
says “This is E’s public key.”
+
K CA(KB )
Bob’s
public
key
Bob’s
identifying
information
+
KB
digital
signature
(encrypt)
CA
private
key
-
K CA
+
KB
certificate for
Bob’s public key,
signed by CA
8: Network Security
8-
Certification Authorities
• when Alice wants Bob’s public key:
– gets Bob’s certificate (Bob or elsewhere).
– apply CA’s public key to Bob’s certificate,
get Bob’s public key
+
KB
-
+
K CA(KB )
digital
signature
(decrypt)
CA
public
key
Bob’s
public
+
key
KB
+
K CA
8: Network Security
8-
A certificate contains:
• Serial number (unique to issuer)
• info about certificate owner, including algorithm and
key value itself (not shown)
 info about
certificate
issuer
 valid dates
 digital signature
by issuer
8: Network Security
8-
Pretty good privacy (PGP)
• Internet
e-mail
encryption
A PGP signed message:
scheme, de-facto standard.
• uses
symmetric
key ---BEGIN PGP SIGNED MESSAGE--cryptography,
public
key Hash: SHA1
cryptography, hash function, and
Bob:My husband is out of town
digital signature as described.
tonight.Passionately
yours,
Alice
• provides
secrecy,
sender
authentication, integrity.
---BEGIN PGP SIGNATURE--• inventor, Phil Zimmerman, was Version: PGP 5.0
target
of
3-year
federal Charset: noconv
yhHJRHhGJGhgg/12EpJ+lo8gE4vB3mqJ
investigation.
hFEvZP9t6n7G6m5Gw2
---END PGP SIGNATURE---
8: Network Security
8-
Cryptanalysis
• Some common symmetric-key cryptographic
algorithms.
RSA
• An example of the RSA algorithm.
Communication Security
•
•
•
•
•
IPsec
Firewalls*
Virtual Private Networks
Wireless Security
SSL
802.11 Security
• Packet encryption using WEP.
Security Control Classification
• Check ISO 17799 – 27001
• Physical
• Logical
• Technical (Access Control / Network Security)
What’s this?
• Codification:
• .- ..- -.. .. - --- .-. .. .- / .. -. ..-. --- .-. -- .- - .. -.-. .- /
Data and Software Application
Security
• The data security is the most important in all
organizations. Data security only can be
achived with software security.
• One kind of software security is oscurantism.
This mechanism consist of hidden information.
For example a Web server runs in 80 TCP Port
but we can configure in other port. Open
Source code is other better example of these.
Oscurantism
• It’s very important don’t use default settings.
For example in a computer network (IP
Addresses) can be in 192.168.1.0/24.
• Some services executed with pre-setting
configuration like MySQL server, user root and
password in blank.
• A logical control and access control must be
required for a correct secuirty of data.
Competence 2
• Setup a service with oscurastims (no only
change
port)
and
non
defult-settings
configurations.
Control for Software Applications
Assesment
Control for avoiding crime and
informatic frauds
Contingency Plan, Insurance,
Procedures of Backup Disasters
Techniques and Tools related
with physical and staff security.
Techniques and Tools related
with data and software
application security.
Referencias
• Morales, R. (2008) Curso de Seguridad
Informática, SI040001, ITESM.
• González, H. (2008), Curso de Seguridad
Informática II, UNID Sede Morelia.
Referencias
• Date, C. (2001) Introducción a los Sistemas
de Bases de Datos,
Séptima edición,
Capítulo 16 Seguridad, Pearson Educación,
pp. 504-536.
• McPherson, F. (2005), Pocket PC a su
Alcance, 3ra. Edición, McGraw-Hill, México,
2005, ISBN: 970-10-4731-1.
Referencias
• Elmasri, R. y Navathe S. (2000) Sistemas de
Bases de Datos, 2da. Edición. Capítulo 20
Seguridad, Addison-Wesley 200, México, pp.
599-613, ISBN: 968-444-399-4.
• Tanenbaum, A. y Van Steen, M. (2007).
Distributed
Systems.
Principles
and
Paradigms, Segunda edición, Capítulo 9
Seguridad, Pearson Education, Estados
Unidos, pp. 377-442, ISBN: 0-13-239227-5.
referencias
• Guerrero,
R.
(2008).
Proyecto
de
Comunicación Telefónica VoIP en Gobierno
del Estado de Michoacán, Tesina de
Titulación.
• Watters, P (2005) Solaris 10 The Complete
Reference, McGraw-Hill Osborne, Estados
Unidos, ISBN: 0-07-222998-5.
Referencias
• Coulouris, G., Dollimore, J. y Kindberg, T.
(2001). Sistemas Distribuidos, Capítulo 7
Seguridad, pp. 235-289, ISBN: 84-7829-0494.
• Nyhus, R. (2008). Redes y Redes
Inalámbricas. PC Cuadernos, España.
• Facundo, H. (2007). Revista USERS
LinuxSeguridad, número 24 pp. 24-37.
Referencias
• Froufe, A. y Jorge, P. (2004) J2ME Java 2
Micro Edition, Alfaomega Ra-Ma, México,
ISBN: 970-15-1022-4.
• Millán, R. (2006). Domine las Redes P2P,
Alfaomega, España, ISBN: 970-15-1206-5.
• Velte, T. (2008). Manual de Cisco, Cuarta
Edición, McGraw-Hill, México, ISBN: 978970-10-5927-2
Referencias
• Stallings, W. (2004) Comunicaciones y Redes
de Computadoras, Séptima Edición, Pearson
Prentice Hall, España, ISBN: 84-205-4110-9.
• Nichols, R. y Lekkas, P. (2003) Seguridad
para Comunicaciones Inalámbricas, McGrawHill, España, ISBN: 84-481-3782-5.
• Shah, S. (2001) Manual de Administración de
Linux, Osborne McGraw-Hill, España, ISBN:
Referencias
• Gómez, A. (2007). Enciclopedia de la
Seguridad Informática, Alfaomega, México,
ISBN: 978-970-15-1266-1.
• McNab, C. (2004). Seguridad de Redes.
Anaya Multimedia O’Reilly, España, ISBN:
84-415-1751-1
References
• Senft, S. And Gallegos, F. (2008) Information
Technology Control and Audit, Third Edition,
CRC Press, United States
¿Preguntas?
Descargar

Clase modelo