dr. j. de jesús vázquez g
DESCRIPTION
Necesidad de Seguridad Computacional en los Sistemas Actuales. Dr. J. de Jesús Vázquez G. Agenda. Tendencia Actual Estrategia de Seguridad Conclusión Temas de investigación Referencias. Tendencia Actual. Tendencia Actual. El WWW provee acceso completo a la información. - PowerPoint PPT PresentationTRANSCRIPT
Jesús Vázquez G. ITESM-CEM 1998
Dr. J. de Jesús Vázquez G.
Necesidad de SeguridadComputacional en los
Sistemas Actuales
Jesús Vázquez G. ITESM-CEM 1998
Agenda
• Tendencia Actual
• Estrategia de Seguridad
• Conclusión Temas de investigación
• Referencias
Jesús Vázquez G. ITESM-CEM 1998
Tendencia Actual
Jesús Vázquez G. ITESM-CEM 1998
Tendencia Actual
• El WWW provee acceso completo a la información.
• Tiene un crecimiento anual de más del 500%.
• Es ideal para llevar los negocios hasta el rincón más apartado del mundo.
Jesús Vázquez G. ITESM-CEM 1998
Tendencia Actual
• Europa va a la vanguardia, siendo Holanda el más avanzado y con esquemas de comercio ya muy consolidados.
• Estados Unidos y Canadá empiezan a ver en el comercio electrónico su estrategia a futuro para realizar negocios.
Jesús Vázquez G. ITESM-CEM 1998
Tendencia Actual
• Africa del Sur, Asia y Oceanía están trabajando hacia ese esquema.
• Latinoamérica no debe rezagarse en esta tendencia.
Jesús Vázquez G. ITESM-CEM 1998
El comercio electrónico ya no es más un “lujo” que se pueden dar ciertas grandes corporaciones.
El comercio electrónico es la herramienta que permitirá aplicar las nuevas formas de producir y comerciar en un país y en el mundo.
Tendencia Actual
Jesús Vázquez G. ITESM-CEM 1998
Banco del cliente
Banco del proveedor
ClienteProveedor
Retiro Depósito
Pago efectivo
Pago real
cp8
Tendencia Actual
Jesús Vázquez G. ITESM-CEM 1998
Banco del cliente
Banco del proveedor
ClienteProveedor
AvisoDepósito
Pago documento
Pago real
Tendencia Actual
Jesús Vázquez G. ITESM-CEM 1998
Orden de Compra
Captura de Datos
Captura deDatos
Factura
MensajeríaComputadora Computadora
Intercambio de Documentos (normal)
Retardo
Retardo
Retardos, Errores, Costos
Cliente Proveedor
Jesús Vázquez G. ITESM-CEM 1998
Costos
• Pérdidas a nivel mundial por más de 300 billones de dólares.
• Representa hasta el 10% del costo del producto.
• Representa hasta el 7% del costo de flete.
• Costos por tiempo de almacenamiento en aduanas por falta de documentos.
Jesús Vázquez G. ITESM-CEM 1998
Orden de Compra
Ingreso de Datos
Ingreso deDatos
Factura
RedComputadora Computadora
Tendencia Actual (EDI)
Cliente Proveedor
Jesús Vázquez G. ITESM-CEM 1998
Algunos aspectos a satisfacer
• e-mail seguro.
• Intercambio de documentos seguro.
• Ordenes de compra y Facturas.
• Publicidad electrónica.
• Suscripciones.
• Firma de contratos.
• Información financiera oportuna.
• Subastas electrónicas.
• Seguridad de la Organización.
Jesús Vázquez G. ITESM-CEM 1998
Tendencia Actual
• Esta tendencia tecnológica es inminente.
• Representa una apertura sin precedentes.
• Es necesario agudizar nuestros esquemas de seguridad.
Jesús Vázquez G. ITESM-CEM 1998
• Desafortunadamente, este gran crecimiento incluirá (incluye) individuos deshonestos llamados “Crackers”.
• Ninguna institución está libre del asecho de estos individuos.
• Todo el mundo alguna vez ha sido afectado por algún problema de seguridad.
Jesús Vázquez G. ITESM-CEM 1998
HackerHacker
CrackerCracker
Aquella persona que en forma persistente realiza intentos hasta obtener acceso a sistemas computacionales. Una vez logrado el acceso produce daños a los recursos del sistema atacado.
Aquella persona que tiene un alto grado de conoci-miento y experiencia en el campo de la computación, que es capaz de aplicar sus experiencias con gran facilidad, así como compartir su conocimiento con aquellos que apenas inician. Generalmente no causan daños.
Diferencia:
Jesús Vázquez G. ITESM-CEM 1998
WormMorris,1988
Interface Table Routing Table /.rhosts /etc/hosts.equiv
Phase 0 /etc/passwd
rt_initif_init
User name List
Guessed Passwords
Phase 1
Phase 2
Phase 3
Obvious Guesses
Internal Words
/usr/dict/words
~/. forward ~/. rhosts
Hit rsh Hit rexecHit finger Hit SMTP
waithit(wait for infected client to respond)
Host List
El despertar...
Jesús Vázquez G. ITESM-CEM 1998
Sniffers
PKT: (----A- 0000) 148.241.61.18[1225] => 148.241.61.3[telnet]PKT: (----A- 0000) 148.241.61.18[1225] => 148.241.61.3[telnet]PKT: (----A- 0000) 148.241.61.18[1225] => 148.241.61.3[telnet]-- TCP/IP LOG -- TM: Sat Aug 26 16:47:35 -- PATH: nicaragua(1330) => mexico(telnet) STAT: Sat Aug 26 16:47:47, 37 pkts, 43 bytes [SIGNAL] DATA: (255)(253)^C(255)(251)^X(255)(250)^X : SUN-CMD(255)(240)(255)(253)^A(255)(252)^A : mauricio : remmer
Cualquiera, 1998
Jesús Vázquez G. ITESM-CEM 1998
Estrategia de Seguridad
Jesús Vázquez G. ITESM-CEM 1998
Estrategia de Seguridad
• Análisis de vulnerabilidades.
• Definición de la Política de Seguridad.
• Selección de los mecanismos que permiten implantar la Política de Seguridad.
• Evaluación de las medidas tomadas.
Jesús Vázquez G. ITESM-CEM 1998
Políticas de Seguridad
Jesús Vázquez G. ITESM-CEM 1998
Análisis de vulnerabilidades.
• Primer vistazo a la seguridad existente:
• Lógica.Orientada a los sistemas.
• Física.Ingeniería social.Revisión de instalaciones.
Jesús Vázquez G. ITESM-CEM 1998
Política de Seguridad
• Definición del conjunto de reglas que deben respetarse para mantener la seguridad de la información.
• Depende de los objetivos de la organización.
Jesús Vázquez G. ITESM-CEM 1998
Requisitos de Seguridaden Sistemas Actuales
• Autentificación
• Integridad
• Confidencialidad
• Disponibilidad
• No repudiación
Jesús Vázquez G. ITESM-CEM 1998
Autentificación
La autentificación se refiere a demostrar la identidad de las entidades involucradas en la transacción. Evita que alguien tome la identidad de otro. Generalmente toma dos formas:
• Autentificación del proveedor de bienes o servicios.
• Autentificación del cliente.
Jesús Vázquez G. ITESM-CEM 1998
Integridad
Los datos intercambiados en una transacción no deben sufrir modificaciones.
Jesús Vázquez G. ITESM-CEM 1998
Confidencialidad
Generalmente, los participantes en una negociación desean privacía en sus transacciones.
Jesús Vázquez G. ITESM-CEM 1998
Disponibilidad
Cuando se desea adquirir un bien o efectuar un pago, es indispensable contar con una alta disponibilidad de los recursos de comunicaciones.
Jesús Vázquez G. ITESM-CEM 1998
No repudiación
Es necesario garantizar que alguien que haya recibido un pago no pueda negar este hecho.
Es necesario garantizar que alguien que haya efectuado un pago no pueda negar haberlo hecho.
Se requiere de Notarios.
Jesús Vázquez G. ITESM-CEM 1998
Política de Seguridad
Reglas:
• Sobre los usuarios.
• Sobre la información.
• Sobre los sistemas y equipos.
• Plan de contingencia.
• Cultura de Seguridad Computacional.
Jesús Vázquez G. ITESM-CEM 1998
Paradigmas
1) Paranoico: Nada está permitido (Sin conexión a internet).
2) Prudente: Lo que no está expresamente permitido, está prohibido.
3) Permisivo: Lo que no está expresamente prohibido, está permitido.
4) Promiscuo: Todo está permitido.
*
Jesús Vázquez G. ITESM-CEM 1998
Estrategia en una Universidad
• Iniciar haciendo seguros los sistemas prioritarios al Campus.
• Proseguir con las redes internas.
• Concluir haciendo segura la conexión a internet.
• “De adentro hacia fuera”.
Jesús Vázquez G. ITESM-CEM 1998
Nivel 1
Nivel 2
Nivel 3
Nivel 4
Nivel 5
Primera Línea, Administrador de Seguridad, Administrador General de Sistemas
Segunda Línea, División Informática.
Personal Docente
Alumnos
Cuentas provisionales, Usuarios temporales
Nivel 6 Usuarios sin privilegios
Niveles de seguridad de usuarios
Jesús Vázquez G. ITESM-CEM 1998
Nivel 1
Nivel 2
Nivel 3
Nivel 4
Nivel 5
Firewall, Autentificación (certificados), Servidor de Cursos rediseñados, ruteadores, switches, T Server.
Correo, NIS, NFS, DNS, DHCP, control escolar
Nivel 6
Niveles de seguridad de servidores
WWW, FTP anónimo
FTP, TELNET, paquetes LCE, Biblioteca Digital, HDesk, Servidor de archivos de profesores
Servidores de archivos de alumnos
Servidores de archivos de usuarios temporales
Jesús Vázquez G. ITESM-CEM 1998
Reglas para usuarios
Documentoelectrónico
Huellafirma
Documentoelectrónico
firma
89Nivel 1y 2 Nivel 3
Opcional
Jesús Vázquez G. ITESM-CEM 1998
Estrategia en organizaciones Militares
Top-Secret
Secret
Classified
Unclassified
Jesús Vázquez G. ITESM-CEM 1998
Read Down
Top-Secret
Secret
Classified
Unclassified
Read Up
Simple Security
Jesús Vázquez G. ITESM-CEM 1998
Write Up
Top-Secret
Secret
Classified
Unclassified
Write Down
*-property
Jesús Vázquez G. ITESM-CEM 1998
S
C
TS
r
r
w
w
Política MLS en un sistemaCliente - Servidor
Jesús Vázquez G. ITESM-CEM 1998
S
TS
UC
TS
S
TS
UC
C
TS
CC
Política MLS en Redes
Escritura de A a C
A
B C
D
Jesús Vázquez G. ITESM-CEM 1998
Clark y Wilson proponen en 1987 la política de seguridad comercial.
Basada en:
• Transacciones Correctas.• Separación de Funciones.
Estrategia en organizacionesno militarizadas
Jesús Vázquez G. ITESM-CEM 1998
Un modelo de seguridad comercial
TC1
TC3
TC2
O1
O3
O2
O4
S2
S3
S1
Jesús Vázquez G. ITESM-CEM 1998
Plan de Contingencia• Preservar vidas humanas.
• Recuperar información de niveles 1 y 2.
• Preservar equipos e infraestructura.
• Recuperar información de niveles 3 a 6.
• Cuidar la imagen de la empresa.
• Aplicar aspectos legales.
• Investigar cómo ocurrio el incidente. Adecuar la Política de seguridad.
Jesús Vázquez G. ITESM-CEM 1998
Respuesta a Incidentes
• Llamar a la persona adecuada.
• Lugar, fecha y hora en que ocurrió el incidente.
• Indicar plataforma utilizada.
• Indicar sistema operativo utilizado.
• Aplicación que estaba utilizando.
Jesús Vázquez G. ITESM-CEM 1998
Política de Seguridad
Requiere:
• Respaldo de la Dirección General.
• Consejo de Seguridad.
• Administrador de seguridad y staff.
• Difusión de políticas.
Jesús Vázquez G. ITESM-CEM 1998
Selección de mecanismos
Jesús Vázquez G. ITESM-CEM 1998
Selección de Mecanismos
(Para implementar la Política de Seguridad)
Jesús Vázquez G. ITESM-CEM 1998
Mecanismos de Implementación
(Ejemplo) Seguridad en Internet. Mecanismos
que nos permitan controlar el flujo de tráfico entre la red privada e Internet.
Seguridad Local (Unix). Instalación inicial y administración de seguridad continua de sistemas.
Jesús Vázquez G. ITESM-CEM 1998
GW 1
GW 3
GW 4 GW 5
GW 2
GW6
GW7
Red Insegura
Jesús Vázquez G. ITESM-CEM 1998
Seguridad en INTERNET
Uno de los mecanismos de seguridad más comunmente usados hoy en día consiste en la instalación de un firewall.
*
Jesús Vázquez G. ITESM-CEM 1998
Internet Red aproteger
Bastion Host
Dual-homed gateway
Jesús Vázquez G. ITESM-CEM 1998
Ejemplos de políticas:
action ourhost port theirhost port
block * * Atacante *
allow GW 25 * *
allow * * * 25
block * 80 * *
Jesús Vázquez G. ITESM-CEM 1998
GW 1
GW 3
GW 4 GW 5
GW 2
GW7
Bastion Host
Jesús Vázquez G. ITESM-CEM 1998
AutentificaciónLa Autentificación es un punto importante a tratar en la seguridad.
Generalmente, en los sistemas UNIX, ésta se lleva a cabo bajo el débil esquema de login y password.Este es el principal problema de seguridad en la mayoría de los sistemas.
Jesús Vázquez G. ITESM-CEM 1998
KERBEROSKerberos es un sistema de autentificación que permite:
- Probar la identidad de las entidades que se comunican en la red.
- Prevenir los ataques de escucha y de repetición de información.
- Detectar la modificación de los flujos de datos (integridad).
- Prevenir la lectura no autorizada usando DES (Data Encryption Standard).
Jesús Vázquez G. ITESM-CEM 1998
GW 3
GW 4 GW 5
GW 2
GW7
GW 1
Bastion Host
Jesús Vázquez G. ITESM-CEM 1998
GW 1
Bastion Host
KERBEROS
Jesús Vázquez G. ITESM-CEM 1998
Seguridad en UNIX
Existen actualmente herramientas que nos permiten evaluar globalmente la seguridad de sistemas UNIX (SATAN, COPS, etc).
Jesús Vázquez G. ITESM-CEM 1998
GW 1
Bastion Host
COPS
Jesús Vázquez G. ITESM-CEM 1998
GW 3
GW 4 GW 5
GW 2
GW7
GW 1
Bastion Host
Jesús Vázquez G. ITESM-CEM 1998
Confidencialidad
Integridad
Disponibilidad
Pretty Good Privacy
Firewalls, Backups, Redundancia, Plan de contingencia, etc.
(PGP) , DES, RSA, IDEA y Kerberos
Tripwire y Message Digest 5
(MD5), PGP (Firma Digital).
Sugerencia:Sugerencia:*
Jesús Vázquez G. ITESM-CEM 1998
No olvidar que lo anterior es inútil si no es derivado de una Política de Seguridady si no se fomenta una cultura de seguridad.
Jesús Vázquez G. ITESM-CEM 1998
Caso universitario
• Los niveles de usuarios se implementarán mediante certificados. Se requiere un AC y un Directorio.
• Los niveles de información se implementan con administración continua. (manual)
• Los niveles de redes y servidores se implementan con buena configuración de dispositivos. (manual)
Jesús Vázquez G. ITESM-CEM 1998
Caso comercio electrónico
Existen dos requisitos básicos para realizar comercio electrónico en Internet (WWW):
• Transporte de información seguro (Canal de comunicación seguro).
• Pagos Seguros.
Jesús Vázquez G. ITESM-CEM 1998
Ubicación en el Modelo OSISistema A
Aplicación
PresentaciónSesión
Transporte
Red
Enlace
Físico
Sistema B
medio físico de transmisión
Aplicación
PresentaciónSesión
Transporte
Red
Enlace
Físico
Pagos
Canal Seguro
Jesús Vázquez G. ITESM-CEM 1998
Canal Seguro
Este canal es provisto por una capa de transporte, al que se le agregan características de autentificación, confidencialidad e integridad de extremo a extremo.
Jesús Vázquez G. ITESM-CEM 1998
Pagos Seguros
Existen dos esquemas generales para realizar un pago electrónico:
• Pago en efectivo.
• Pago con documento.
Jesús Vázquez G. ITESM-CEM 1998
Limitaciones
Existen aún ciertas limitaciones:
• Culturales: Dar el justo valor a la información.
• Tecnológicas, en cuanto a desempeño y a seguridad computacional se refiere.
Jesús Vázquez G. ITESM-CEM 1998
Limitaciones
• Soluciones propietarias.
• Exportación de la criptografía.
• Soluciones que requieren de un dispositivo específico (smart cards, electronic wallets, etc.).
Jesús Vázquez G. ITESM-CEM 1998
Desventajas de los mecanismos de seguridad
No adaptados a nuevos productos. No contrarrestan virus, worms, bugs, bombas lógicas,
caballos de troya, etc. Cuellos de botella. Todos los huevos en la misma canasta. Poco inteligentes. Aislados (falta de soluciones inegradas). La seguridad tiene muchos significados.
Jesús Vázquez G. ITESM-CEM 1998
Temas de investigación• Definición de Políticas de Seguridad.• Integración de Herramientas de Monitoreo y prevención.• Políticas Multidominio.• Servidores WWW seguros.• Detección de Intrusión.• Seguridad en Sistemas de Archivos.• Firewalls Inteligentes.• Análisis de ataques.• Implementación de criptosistemas nacionales.• Seguridad en sistemas tiempo real.
Jesús Vázquez G. ITESM-CEM 1998
Moraleja
• No se puede garantizar la seguridad de un sistema al 100%.
• La recuperación de la inversión en seguridad no es fácil de demostrar.
Jesús Vázquez G. ITESM-CEM 1998
Referencias