Fundamentos Básicos de la Seguridad Informática(1)
Confidencialidad: Garantizar que nadie pueda entender la información que fluye:
Software y Hardware (combinaciones),
Encripción Simétrica y Asimétrica,
DES, TripleDES, AES(Seleccionado RIJNDAEL),
RSA.
Conceptos Básicos
Fundamentos Básicos de la Seguridad Informática(2)
Disponibilidad: Garantizar que los servicios estén activos en todo momento:
Plan de Continuidad: Planes de Contingencia,
Operativa y Tecnológica,
Pruebas Periódicas,
Talleres Prácticos,
Compromiso de los Clientes (Nivel de Acuerdo).
Conceptos Básicos
Fundamentos Básicos de la Seguridad Informática(3)
Control de Acceso: Permitir que algo o alguien acceda sólo lo que le es permitido:
Políticas de Acceso,
Asociación usuarios y recursos,
Administración de recursos,
Periféricos,
Directorios,
Archivos, etc,
Operaciones,
Perfiles,
Niveles de Sensibilidad,
ACL’s,
Horarios y holgura,
Privilegios.
Conceptos Básicos
Fundamentos Básicos de la Seguridad Informática(4)
No-Repudiación: Garantizar que quién genere un evento válidamente, no pueda retractarse:
Certificados Digitales,
Firmas Digitales,
Integridad,
No copias de la llave privada para firmar.
Conceptos Básicos
Fundamentos Básicos de la Seguridad Informática(5)
Auditoria:Llevar registro de los eventos importantes:
Monitoreo de pistas,
Ocasional,
Periódico,
Alertas,
Herramientas Amigables.
Conceptos Básicos
Este es un
Mensaje
?”&# #” (/
%#/”+*#
E = ? t = & e = #
u = ( s = “ n = /
j = * M = % a = +
Encripción (A)
A =>
Este es un
Mensaje
?”&# #” (/
%#/”+*#
A debe ser secreto,
Pocos participantes,
DesEncripción (A)
Este es un
Mensaje
?”&# #” (/
%#/”+*#
E = ? t = & e = #
u = ( s = “ n = /
j = * M = % a = +
Encripción (Ak)
Ak =>
Este es un
Mensaje
?”&# #” (/
%#/”+*#
DesEncripción (Ak)
E = $ t = # e = !
u = ) s = ? n = ¿
j = ‘ M = * a = –
Am=>
A siempre igual,
A es conocido por todos,
Muchos participantes,
A usado con claves diferentes genera distintos resultados,
La clave es la Seguridad, no A,
Dos o mas participantes deben
compartir la misma clave,
Algoritmos simétricos,
Cómo distribuyo la clave de
manera segura ?.
Conceptos Básicos
Conceptos Básicos
Cada participante tiene 2 claves:
Clave Privada (Pri): Sólo la conoce el dueño,
Clave Pública (Pub): Puede ser conocida por cualquiera.
El algoritmo A es conocido por todos,
No importa la cantidad de participantes,
La Seguridad se basa en el par de claves de cada participante (Pri, Pub),
No hay problema en distribuir las claves públicas,
De la clave pública no se puede deducir la privada y viceversa,
Algoritmos Asimétricos,
Pedro
PriPedro
PubPedro
PubAna
Ana
PriAna
PubAna
PubPedro
Intercambio de públicas
Este es un
Mensaje
?”&# #” (/
%#/”+*#
Encripción (APubAna)
DesEncripción (APriAna)
Este es un
Mensaje
Encripción (APubPedro)
?”&# #” (/
%#/”+*#
DesEncripción (APriPedro)
Este es un
Mensaje
Conceptos Básicos
Pedro
PriPedro
PubPedro
PubAna
Ana
PriAna
PubAna
PubPedro
Intercambio de públicas
Este es un
Mensaje
Firmado
Firmar (APrivPedro)
Verificar (APubPedro)
Este es un
Mensaje
Firmado
Este es un
Mensaje
Firmado
Verificar (APubAna)
Firmar (APriAna)
Este es un
Mensaje
Firmado
Las firmas dependen tanto de la clave privada como de los datos del mensaje,
Los procesos de encripción y firma digital se pueden combinar,
Ojo: Si cambio de claves (Pub y Pri) debo preservar las anteriores para validar los mensajes anteriores,
Fundamentos de los PKI’s.
Conceptos Básicos
Pedro
Cómo funciona actualmente el modelo simétrico y asimétrico ?
Ana
Comienzo de sesión segura. Proponer llave de sesión. Asimétrico.
(Gp:) S
E( )
(Gp:) PrvPedro
(Gp:) PubAna
E( )
(Gp:) S
E( )
(Gp:) PubPedro
(Gp:) PrvAna
E( )
OK
Este es un
Mensaje
E( )
(Gp:) S
Este es un
Mensaje
E( )
(Gp:) S
Mensajes encriptados con llave acordada. Simétrico.
Riesgos Informáticos
Riesgos Informáticos
Medio Logístico,
Medio Cliente,
Medio Comunicación,
Medio Servidor.
Riesgos Informáticos
Descuido de papeles o documentos confidenciales,
Passwords,
Listas de control de Acceso,
Mapas de la Red de la Organización,
Listados de información sensible.
Contra medida: Admon. de documentos y/o papeles sensibles. Categorías para los documentos.
Medio Logístico(1)
Riesgos Informáticos
Ingeniería Social,
Ataque de Autoridad: con o sin armas,
Ataque de Conocimiento: Solicitar otro tipo de información basándose en conocimiento profundo,
Ataque de Respuesta: Basarse en mentiras,
Ataque Persistente: Intentos repetitivos con amenazas,
Ataques sobre las actividades diarias: Revisar acciones, movimientos, etc.,
El ataque 10: Usar el atractivo físico,
Ataque por engaño: Habilitar falsas alarmas para deshabilitar las verdaderas,
Ataque Help-Desk: Pasarse por un usuario de la red de la organización,
Ataque de los premios: Prometer premios si se llena cierta información.
Contra medida: Esquemas de autenticación. Protección física. Seleccionar personal idóneo para funciones sensibles. Procedimientos claros.
Medio Logístico(2)
Riesgos Informáticos
Responsabilidad sobre una sola área o persona,
Contra medida: Segregación de funciones (definición de políticas de seguridad Vs. Administración de las políticas) en áreas diferentes. Doble intervención. Doble autenticación.
Empleados y/o Ex-empleados disgustados,
Contra medida: Sacar de todo acceso a los ex-empleados. Política de autenticación y control de acceso clara para los empleados. Cultura de seguridad informática.
Medio Logístico(3)
Riesgos Informáticos
Virus:
Tabla de Particiones,
Boot Sector,
Archivos,
Polimórficos: Encripción, se alteran solos,
Stealth: Parcialmente residentes en memoria,
Múltiples partes: Combina 2 anteriores,
Macro Virus.
Contra medida: Antivirus para Micros, Servidores, Firewalls, Correo e Internet. Políticas claras sobre riesgos en Internet. Restringir mensajes de fuentes dudosas.
Medio Cliente(1)
Riesgos Informáticos
Mal uso de los passwords:
Muy cortos,
Muy simples (sin números, símbolos y/o caracteres especiales),
Palabras comunes a un diccionario,
Lógicas simples (password = login al contrario),
Passwords estáticos.
Contra medida: Políticas de administración de passwords (vigencia, herramientas para romperlos y generar reportes). Esquemas robustos de autenticación (Token Cards, Smart Cards, Biométricos).
Medio Cliente(2)
Riesgos Informáticos
Ningún control de acceso al Micro:
Micro sensible no protegido físicamente,
No control de acceso al sistema operacional,
Passwords escritos cerca al Micro,
Administración pobre del sistema de archivos y privilegios locales,
Compartir el Micro sin discriminar el usuario.
Ningún sistema de seguridad local (permite cargar agentes residentes locales).
Contra medida: Control de acceso físico al Micro. Políticas de administración en el sistema operacional. Perfiles claros por usuario. Módulos de seguridad activos.
Medio Cliente(3)
Riesgos Informáticos
Ver información por la Red,
Contra medida: Encripción,
Modificar información que viaja por la Red,
Contra medida: Checksums (hash), firmas,
Modificar información que viaja por la Red,
Contra medida: Checksums (hash), firmas,
Medio Comunicaciones y Servidor(1)
Modelos de Ataques
Spoofing
Modelos de Ataques
DoS
Modelos de Ataques
Char *
vg_error;
int f_suma(int x, int y)
{
printf(“Escriba algo..n”);
gets(vg_error);
……..
/*— Si hubo error mensaje en p_error —*/
Return(x+y);
}
int main ()
{
int
res;
printf(“Comienzo…n”);
vg_error = (char *)malloc(10);
res = f_suma(3, 4, vg_error);
printf(“Suma = %i. n”, res);
free(vg_error);
}
Tope Pila
Datos
Código
Vg_error
Dir. de retorno
Modelos de Ataques
Buffer Overflow(1)
Tope Pila
Datos
Código
Vg_error=1234567890
Dir. Cod. Maligno
Cod. Maligno
gets(vg_error); === “1234567890Dir.Cod.Maligno Cod.Maligno”
int main ()
{
int
res;
printf(“Comienzo…n”);
vg_error = (char *)malloc(10);
res = f_suma(3, 4, vg_error);
printf(“Suma = %i. n”, res);
free(vg_error);
}
Modelos de Ataques
Buffer Overflow(2)
Cómo defendernos ?
Tecnologías Vs Fundamentos
Tecnologías Vs Fundamentos (1)
Cómo defendernos ?
Tecnologías Vs Fundamentos (2)
Cómo defendernos ?
Tecnologías Vs Fundamentos (3)
Cómo defendernos ?
Acuerdos de Servicios de Seguridad
Marco Legal
Mecanismos de
Seguridad
Ley 527
Ley, Decreto, Resolución
Acuerdo en términos de seguridad
Modelos de encripción, etc.
Cómo defendernos ?
SSL – SET
Transacción SSL…
Cliente
(Browser)
Servidor
WEB
1. Cliente abre conexión con Servidor y envía mensaje ClientHello
2. Servidor responde con ServerHello. Session ID
3. Servidor envía su Certificado. Llave Pública
4. Servidor envía solicitud de certificado del Cliente
5. Cliente envía su certificado
6. Cliente envía mensaje ClientKeyExchange
7. Cliente envía mensaje para verificar certificado
8. Ambos envían confirmación de que están listos
9. Prueba de mensaje de ambos sin modificaciones
LPS
LPS
LSe
LVS
LSe
Cómo defendernos ?
Cliente
Banco de la Tarjeta(VISA)
Banco del Comerciante
Comerciante
1. Cliente Navega y decide comprar. Llena forma de compra
2. SET envía información del pedido y pago
7. Comerciante completa la orden de compra
9. Envía cuenta
de pago
3. Comerciante inf. De pago al banco
6. Banco autoriza pago
8. Comerciante captura Transacción
4. Banco comerciante verifica con
banco cliente por autorización de pago
5. Banco cliente autoriza pago
!!!!Hay Encripción,
Certificados firmados basados en autoridades certificadoras
Cómo defendernos ?
 Página anterior | Volver al principio del trabajo | Página siguiente  |