Seguridad distribuida en la red y centralizada en los sistemas

---

---

Partes: 1, 2

1 El Reto en la Seguridad Los sistemas de Tecnologías de la Información… … cambian rápidamente … son cada vez más complejos Y los “Hackers” son más sofisticados, y hacer“Hacking” cada vez más fácil (Gp:) El nivel de seguridad debe crecer también!


2 Hackers: más peligroso y más fácil Complejidad de las herramientas Packet Forging/ Spoofing 1990 1980 Password Guessing Self Replicating Code Password Cracking Exploiting Known Vulnerabilities Disabling Audits Back Doors Hijacking Sessions Sweepers Sniffers Stealth Diagnostics (Gp:) Complejidad de uso High Low 2000 DDOS


3 Seguridad La Organización Internacional de Estándares (ISO), como parte de su norma 7498 en la que se establece el modelo de referencia para la interconexión de sistemas abiertos, define la seguridad informática como una serie de mecanismos que minimizan la vulnerabilidad de bienes y recursos, donde un bien se define como algo de valor y la vulnerabilidad se define como la debilidad que se puede explotar para violar un sistema o la información que contiene. Para ello, se han desarrollado protocolos y mecanismos adecuados, para preservar la seguridad.


4 Temas legales En muchos gobiernos el uso de información cifrada está prohibido. Los temas de seguridad son muy peliagudos y los Gobiernos tratan de implantar reglas (o estándares de cifrado) que ellos mismos puedan descifrar fácilmente. La polémica está levantada, pero no es objeto de la asignatura entrar en detalle en estos temas. Por ejemplo en Francia y EEUU no están permitidas transacciones cifradas, que el gobierno no sea capaz de descifrar, pues pueden utilizarse para comercio de armas, delincuencia, ...


5 Marco legislativo español Real decreto-Ley 14/1999 (17/Sept) Orden ministerial 21/Feb/2000 aprueba el Reglamento de acreditación de prestadores de servicios de certificación y algunos productos de firma. Nuevo código penal (título 10: delitos relacionados con las nuevas tecnologías), Reglamento de Seguridad de la LORTAD (Ley Orgánica de Regulación del Tratamiento Automatizado de los Datos de carácter personal), Ley Orgánica de Protección de Datos (15/1999 13 Diciembre),... Otras leyes sobre: DNI electrónico, Ley de Firma electrónica, Ley de Facturas Telemáticas, ...


6 Conceptos “seguridad de una red” implica la seguridad de cada uno de las computadoras de la red “hacker”: cualquier barrera es susceptible de ser superada y tiene como finalidad la de salir de un sistema informático (tras un ataque) sin ser detectado. Es un programador “cracker”: no es un programado y utiliza sus ataques para sacar beneficio económico “Amenaza o ataque”: intento de sabotear una operación o la propia preparación para sabotearla (poner en compromiso)


7 Tipos de amenazas Compromiso: la entidad atacante obtiene el control de algún elemento interno de la red, por ejemplo utilizando cuentas con password trivial o errores del sistema Modificación: la entidad atancante modifica el contenido de algún mensaje o texto Suplantación: la entidad atacante se hace pasar por otra persona Reenvío: la entidad atacante obtiene un mensaje o texto en tránsito y más tarde lo reenvía para duplicar su efecto Denegación de servicio: la entidad atacante impide que un elemento cumpla su función


8 Servicios ofrecidos por la “seguridad” Autenticación: ¿es realmente quien dice ser? Control de Acceso: ¿tiene derechos a hacer lo que pide? No repudio: ¿ha enviado/recibido esto realmente? Integridad: ¿puedo asegurar que este mensaje esta intacto? Confidencialidad: ¿lo ha interceptado alguien más? Auditoria: ¿qué ha pasado aquí? Alarma: ¿qué está pasando ahora? Disponibilidad: El servicio debe estar accesible en todo momento


9 Clasificación de problemas de seguridad Los problemas de seguridad de las redes pueden dividirse de forma general en cuatro áreas interrelacionadas:   1.-El secreto, encargado de mantener la información fuera de las manos de usuarios no autorizados.   2.-La validación de identificación, encargada de determinar la identidad de la persona/computadora con la que se esta hablando.   3.-El control de integridad, encargado de asegurar que el mensaje recibido fue el enviado por la otra parte y no un mensaje manipulado por un tercero.   4.-El no repudio, encargado de asegurar la “firma” de los mensajes, de igual forma que se firma en papel una petición de compra/venta entre empresas.


10 Criptografía y criptoanálisis KRYPTOS= oculto GRAPHE=escrito El criptoanálisis se encarga de descifrar los mensajes. Los intrusos utilizan estas técnicas. La criptografía busca métodos más seguros de cifrado. Criptografía clásica: cifrados por sustitución y trasposición Criptografía moderna: cifrados en base a claves


11 Cifrado: codificación de los mensajes El texto normal (P) se transforma (cifra) mediante una función parametrizada por una clave secreta k evitando el criptoanálisis de intrusos C=Ek(P) es el texto cifrado (C) obtenido a partir de P, usando la clave K usando la función matemática Ek para codificar P=Dk(C) es el descifrado de C para obtener el texto normal P


12 Cifrado y descifrado Dk(Ek(P))=P E y D son sólo funciones matemáticas parametrizadas con la clave k Estas funciones E() y D() son conocidas por el criptoanalista, pero no la clave. 1.-Esto es así, porque la cantidad de esfuerzo necesario para inventar, probar e instalar un método nuevo cada vez que el viejo es conocido siempre hace impracticable mantenerlo en secreto. 2.-Este método de cifrado con claves, permite cambiar fácilmente de método de cifrado simplemente con cambiar la clave