seguridad lÓgica ing. yolfer hernández, cia seguridad y auditoria de sistemas ciclo 2009-2

SEGURIDAD LÓGICA

Ing. Yolfer Hernández, CIA

Seguridad y Auditoria de Sistemas

Ciclo 2009-2

• Sistemas de Identificación Personal:• Conceptos Generales• Dispositivos: Tarjetas• Lógicos: Sistemas de acceso• Presenciales: Biometría.

• Integridad de Información• Conceptos de Integridad de Información • Integridad en Bases de Datos, Discos y

Comunicaciones

TEMARIO – Herramientas y Técnicas SL

Sistemas de Identificación Personal

Identificadores:• Físicos Vigilancia con identificación legal

• Por Dispositivos Smart Card, Rusco

• Presenciales Biométricas

• Lógicos Sistemas de Acceso

PIN, Segunda clave, clave token, etc.

Firmas Digitales (Certificados)

Clasificación según el usuario “Algo que”:• Tiene Tarjetas inteligentes, llaves físicas• Conoce Passwords, PIN, • Es Huellas dactilares, voz, iris, firma

Smart Card

Físicamente es una tarjeta de plástico con estándares de resistencia y flexibilidad.

Tipos: Tarjetas de Contacto:

Con memoria Con procesador

Tarjetas inalámbricas: Radiofrecuencia Read only y R/W con protocolos propietarios

Smart Card

Versatilidad = f (memoria, cpu, otros)Normas ISO y Open CardAplicaciones:

Identificaciones de acceso Hoteles, Resorts Telefonía Tarjetas de Salud Monedero electrónico bancario Pasaporte electrónico, peajes

Aplicaciones que permiten asignar accesos y privilegios a usuarios según políticas y procedimientos. Se establecen:

Recursos: Aplicaciones, Transacciones, Ambientes

Usuarios: Personalización al individuo

Políticas: Permisos de usos de recursos

Perfiles: Agrupación de usuarios

Administración: Solicitante, Autorizador, Ejecutor

Control y Auditoria: Verificaciones y rastreos

Sistemas de Acceso

Ejemplo:

Sistema SeguriNet

Sistemas de Acceso

Componentes

- Servicio: Local o Central

- Cliente: Ejecutado en cada PC

- Modulo de Administración y Seguridad

Permite identificar, comprobar y/o obtener rasgos de la persona basándose en sus características biológicas medibles y/o en sus pautas de comportamiento.

En seguridad de sistemas, se usan técnicas de autentificación que permiten establecer una relación entre una persona y un determinado patrón asociado a ella de forma segura e intransferible.

Biometría

Controles biométricos

Por Características:

Fisiológicas Huella digitalIris y RetinaReconocimiento FacialGeometría de la mano

ComportamientoFirmaVozDinámica del Teclado

Controles biométricos

Parámetros de características:

- Unicidad: No existan dos iguales- Estabilidad: Permanecen inalterables- Universalidad: Se pueden extraer a cualquiera- Otros: Facilidad de captura, rendimiento, costos,aceptación.

LG IrisAccessTM 3000

http://www.lgiris.com/ps/products/index.htm

Funcionamiento

• Registro en el Sistema (“Enroll”) Captura el rasgo característico de la persona

Crea el modelo de referencia

Almacenar en una BD

• Verificación Captura del rasgo

Crea el “modelo vivo”

Compara el resultado del modelo con la BD

Algoritmos de comparación: Poca probabilidad de dos tomas exactamente iguales

Tasas de errores: ensayo de comparación

Umbral de aceptación o rechazo

Un producto biométrico

Funcionamiento

•Se presiona el lector con el dedo

•El escáner aprecia los pequeños detalles que encierran curvas, remolinos, profundidad, cordilleras y los convierte en valores y / o funciones matemáticas.

•El resultado del algoritmo es una serie de números

• No podrán ser traducidos a la imagen original

• Pueden ser comparados con los números la próxima vez que se generen al presionar el dispositivo

Ventajas / Desventajas

Integridad de Información

Garantiza que el contenido de la información no sea alterada (por degradación o manipulación) en el origen, transito o destino, a menos que sea autorizada (personas, procesos o procedimientos), desde el momento en que fueron creados, transmitidos o guardados.

Está estrechamente relacionado al concepto de autentificación del origen de los datos, que permite conocer la validez del origen.

Existen: En Bases de Datos

En Dispositivos magnéticos

En Tramas

Integridad en Bases de Datos

• Integridad de dominio Regla de valores válidos: Tipos de datos y contenido

• Integridad de Transición Define los estados por lo que debe pasar una “tupla” Ejemplo: Solicitado, Autorizado, procesado

• Integridad de Entidades Una entidad se distinga de las demás inequívocamente Ejemplo: Clave primaria: identificador único y no nulo

• Integridad de Transacciones Varias operaciones sobre la BD considerada como una sola. En el intermedio puede estar en estado inconsistente Al inicio y cuando termina en estado consistente.

Integridad en Bases de Datos

• Integridad Referencial Se da entre la clave primaria y foránea La clave foránea exista en la tabla referenciada

• Integridad Semántica Violan restricciones (como dominios o atributos) diseñadas

en la BD, que debe ser consistente con la realidad Estáticas: propiedad que debe ser correcta en cada estado.

Xe la edad debe ser valor positivo De transición: Se debe cumplir en cada par de estados

consecutivos. Xe la edad no debe decrecer.

• Integridad Operacional Las transacciones deben ser “seriables” Mecanismos de control de concurrencia Problemas: Operación perdida, Inconsistencias en la BD,

Salidas inconsistentes, pérdida de actualizaciones. Técnicas: bloqueos, marcas de tiempo, trx anidadas

Integridad en dispositivos magnéticos

Sistemas de Detección de errores

• Control de Paridad• Se añade un bit extra en cada porción del bloque• Puede ser paridad par o impar• Usado generalmente para ASCII que usa 7 bits

• Check Sum – Suma de Comprobación Se añade la suma al final del bloque de datos (256 Bytes o

1Kb) El receptor debe comprobar

• CRC (Cyclic Redundancy Check) Usan el código polinómico: tratan las cadenas de bits como

representaciones de polinomios con coeficiente 0 y 1 Se define el polinomio generador

Integridad en dispositivos magnéticos

Sistemas de Corrección de errores, añadiendo palabras de control intercaladas entre los datos.

• Por Suma• Se intercala la suma de dos datos adyacentes, si hay error en

una palabra se detecta y corrige con una resta.• Si existen n datos de m bits, se añaden n-1 datos de m+1

bits

• Por XOR (OR exclusivo) Se aplica bit a bit a cada pareja de datos y el resultado se

intercala entre ellos El numero de bits resultante es el mismo que la entrada Si se aplica otro XOR entre el resultado y uno de los datos, se

obtiene el otro

Integridad en dispositivos magnéticos

Sistemas de Corrección de errores:

• Se implementa con mecanismos de agrupación para que no estén consecutivos los datos n, n+1 y n+2

• Se agrupan al menos de 3 en 3 bloques

• Se define el tamaño del bloque que indica el numero máximo de bytes seguidos que se puede perder

• X ejemplo: en los Cd’s se puede recuperar 14000 bits seguidos errados, entonces discos con fallas de 2 milimetros se reproducen sin problemas.

Existen sistemas mas eficientes y complejos como el Reed Solomon o la Clave Golay.

Integridad en dispositivos magnéticos

RAID: Sistema de Almacenamiento de Datos• Almacena en forma redundante en diferentes lugares de

discos múltiples (arreglo de discos)• Usa técnica de “striping” (creación de bandas):partición

del disco en sectores (de 512 bytes a varios MB).• Las operaciones de I/O tienen mejor rendimiento• Tiempo de posicionamiento del cabezal de lectura

• Tiempo de busqueda y Latencia rotacional (retardo por giro del disco al inicio de datos)

• Tiempo de transferencia de datos desde/hacia el disco• De un bit por vez y densidad de grabación

• RAID de Hardware, se presenta como un solo disco: SCSI

• RAID de Software, se implementa en el código Kernel de la gestión del disco: Discos IDE y SCSI

• Existen diferentes tipos de RAID y dependerá de la aplicación, costo, rendimiento e integridad.

Integridad en Comunicaciones

Verificación de Trama

DATOSTipo / Longitud

Dirección de Origen

Dirección de Destino

Preám-bulo

Formatos: Ethernet, Token Ring, IEEE 802.3, etc.

Capas OSI ProtocolosAplicación DNS, FTP, HTTP, IMAP, IRC, NFS, NNTP, NTP, POP3, SMB/CIFS, SMTP,

SNMP, SSH, Telnet, SIP

Presentación ASN.1, MIME, SSL/TLS, XML

Sesión NetBIOS

Transporte SCTP, SPX, TCP, UDP

Red AppleTalk, IP, IPX, NetBEUI, X.25

Enlace ATM, Ethernet , Frame Relay, HDLC, PPP, Token Ring, Wi-Fi, STP

Físico Cable coaxial, Cable de fibra óptica, Cable de par trenzado, Microondas, Radio, RS-232

Integridad en Comunicaciones

Se dan a nivel de enlace (nivel 2 de OSI), cuyo objetivo es conseguir que la información fluya, libre de errores, entre dos máquinas que estén conectadas directamente. Ante un error la corrección puede ser:

• Por retransmisión: Sistemas de detección como control de paridad, suma de comprobación, CRC, ARQ-ACK, etc.

• Por corrección directa: Sistemas de corrección como Entrelazado (palabras de control)

Los sistemas de protección realizan una codificación y decodificación del mensaje, para lo cual se toman medidas de seguridad con:

• Algoritmos de autenticación: Firma Digital• Algoritmos de encriptación: Funciones Hash (MD5, SHA-1, MAC)

Integridad en Comunicaciones – Firma Digital

Firma: El emisor encripta el documento con su llave privadaEnvía al destinatario el documento en claro y el encriptado.

Verificación:El receptor desencripta el documento cifrado con la clave pública de AComprueba que coincide con el documento original, lo que valida que el emisor ha sido efectivamente A.

FirmaEl emisor obtiene un resumen con una función hash al documentoEncripta dicho resumen con su clave privada. Envía al receptor el documento en texto el resumen hash encriptado.

Verificación:El receptor aplica la función hash al resumen sin encriptarDesencripta el resumen encriptado con la llave pública de A. Compara ambos, si coinciden está seguro de que ha sido A el que le ha enviado el documento.

Integridad en Comunicaciones – Firma Digital