• Share
  • Email
  • Embed
  • Like
  • Save
  • Private Content
Criptoy sr son06
 

Criptoy sr son06

on

  • 885 views

 

Statistics

Views

Total Views
885
Views on SlideShare
883
Embed Views
2

Actions

Likes
0
Downloads
23
Comments
0

1 Embed 2

https://jujo00obo2o234ungd3t8qjfcjrs3o6k-a-sites-opensocial.googleusercontent.com 2

Accessibility

Categories

Upload Details

Uploaded via as Microsoft PowerPoint

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    Criptoy sr son06 Criptoy sr son06 Presentation Transcript

    • Criptografía y Seguridad en Redes Leobardo Hernández Laboratorio de Seguridad Informática Centro Tecnológico Aragón, UNAM VI Simposium Internacional de Computación, Sonora, Nov. 2006
    • Agenda
      • Informaci ó n y sus estados
      • Propiedades de Seguridad de la Informaci ó n
      • Servicios y Mecanismos de Seguridad
      • Criptología
        • Criptografía
        • Criptoanálisis
        • Esteganografía
      • Seguridad en Redes
      • Herramientas para Seguridad en Redes
      • Comentarios y Conclusiones
      VI Simposium Internacional de Computación, Sonora, Nov. 2006
    • Información y sus estados
      • La información actual es digital
      • Su manejo implica considerar estados:
        • Adquisición
        • Creación
        • Almacenamiento
        • Proceso (transformación, análisis, etc.)
        • Transmisión
      VI Simposium Internacional de Computación, Sonora, Nov. 2006
    • Problemas en manejo de Información
      • Confiabilidad de las fuentes y de la información misma
      • Integridad (verificación)
      • Confidencialidad
      • Disponibilidad
      • Control de Acceso
      • Autenticación de las partes
      • No repudio
      VI Simposium Internacional de Computación, Sonora, Nov. 2006
    • Más Problemas
      • El canal es público
      • Uso canales seguros nada fácil, práctico, ni barato
      • Las fuentes pueden no ser compatibles ni confiables
      • Los sistemas de análisis y toma de decisiones asumen lo contrario
      • Los resultados y reportes pueden ser equivocados
      • Las decisiones se toman a partir de esos resultados
      VI Simposium Internacional de Computación, Sonora, Nov. 2006
    • Más Problemas
      • Información más valiosa que el dinero
      • Hay que protegerla
        • No solo en almacenamiento y proceso
        • También durante la transmisión
      • Formas almacenamiento y proceso: dispositivos digitales
      • Formas de transmisión: redes y sistemas distribuidos
      VI Simposium Internacional de Computación, Sonora, Nov. 2006
    • Más Problemas
      • Expuesta a ataques de todo tipo
      • Nada fácil crear un modelo para estudiar la seguridad
        • Redes heterogéneas de todos los tipos
        • Plataformas, medios, SO’s, arquitecturas distintas
        • La pesadilla: Internet
      • Que hacer??
      VI Simposium Internacional de Computación, Sonora, Nov. 2006
    • Seguridad de la Informacion
      • Técnicas, procedimientos, políticas y herramientas para proteger y resguardar información en medios y dispositivos electrónicos
      • Proteger la información almacenada en los equipos y la que se transfiere e intercambia por canales públicos
      VI Simposium Internacional de Computación, Sonora, Nov. 2006
    • Seguridad de la Informacion
      • Proteger informacion de amenazas, ataques y vulnerabilidades reales y potenciales
      • Garantizar propiedades de información en todos sus estados: creación, modificación, transmisión y almacenamiento
      • Implementar servicios de seguridad usando mecanismos útiles y eficientes
      VI Simposium Internacional de Computación, Sonora, Nov. 2006
    • Servicios y Mecanismos de Seguridad
      • Naturaleza pública del canal no se puede cambiar
      • Sobre ese canal hay que saber qué se quiere :
        • Servicios de Seguridad
      • Sobre ese canal hay que saber cómo se implementa (si se puede):
        • Mecanismos de seguridad
      VI Simposium Internacional de Computación, Sonora, Nov. 2006
    • Servicios y Mecanismos de Seguridad
      • Servicios Mecanismos
        • Confidencialidad Cifrado
        • Integridad Funciones Hash
        • Autenticación Protocolos Criptográfico
        • Control de Acceso Esquemas de CA
        • No Repudio Firma Digital
        • Disponibilidad No se puede !!
      VI Simposium Internacional de Computación, Sonora, Nov. 2006
    • Seguridad Informática
      • Se deben implementar los 5 primeros servicios para disminuir el riesgo de sufrir indisponibilidad
      • Los 5 primeros servicios se estandarizan en el ISO 7498-2
      • El Triángulo de Oro de la Seguridad incluye:
        • Confidencialidad
        • Integridad
        • Disponibilidad
      VI Simposium Internacional de Computación, Sonora, Nov. 2006
    • Criptografía y Seguridad
      • 4 de los 5 servicios estandarizados se implementan usando Criptografía :
        • Confidencialidad
        • Integridad (Verificación)
        • Autenticación
        • No Repudio
      • No se puede hablar de Seguridad sin hablar de Criptografía
      VI Simposium Internacional de Computación, Sonora, Nov. 2006
    • Criptología
      • Criptología se divide en:
        • Criptografía
        • Criptoanálisis
        • Esteganografía
      • Criptografía : oculta información aplicando al mensaje M , una transformación (algoritmo) F, usando una llave K y produce el texto cifrado C
              • F k (M) = C
      VI Simposium Internacional de Computación, Sonora, Nov. 2006
    • Criptografía
      • Algoritmo F debe ser público
      • Seguridad debe basarse en:
        • Diseño y fortaleza de F
        • Mantener K en secreto
      • Algoritmo F integra 2 procesos:
              • Cifrado: F k (M) = C
              • Descifrado: F’ k (C) = M
      VI Simposium Internacional de Computación, Sonora, Nov. 2006
    • Criptografía
      • Algoritmos usan diferentes bases de diseño:
        • Operaciones elementales
          • Sustituciones (César, Vigenere, Vernam, etc.)
          • Permutaciones
          • Combinación de ambas (DES, AES, etc.)
        • Matemáticas
          • Teoría de Números (RSA, ElGamal, DSS, etc.)
          • Problemas NP y NP Completos
          • Curvas Elípticas (ECC)
        • Fisica Cuántica
          • Mecanica Cuántica
          • Principio de Incertidumbre de Heinsenberg
        • Otras
      VI Simposium Internacional de Computación, Sonora, Nov. 2006
    • Criptografía
      • Algoritmos pueden ser:
        • Simétricos o de Llave Secreta
          • Usan misma llave para cifrar y descifrar
        • Asimétricos o de Llave Pública
          • La llave que cifra es diferente a la que descifra
        • Funciones Hash, Resumen o Compendio
          • No usan llave
      VI Simposium Internacional de Computación, Sonora, Nov. 2006
    • Criptografía
      • También pueden ser por:
        • Bloque
          • El mensaje se procesa en bloques del mismo tamaño
        • Flujo
          • El mensaje se procesa como un todo por unidad básica
      VI Simposium Internacional de Computación, Sonora, Nov. 2006
    • Criptografía
      • Algoritmos Simétricos o de Llave Secreta
        • DES (anterior estándar mundial)
        • AES (Nuevo estándar mundial)
        • 3DES
      • Algoritmos Asimétricos o de Llave Pública
        • RSA (Estándar de facto)
        • ElGamal
        • DSS (Digital Signature Standard)
      • Algoritmos Hash
        • MD5
        • SHA-1
      VI Simposium Internacional de Computación, Sonora, Nov. 2006
    • Criptografía
      • Algoritmos Simétricos
        • Basan su diseño en operaciones elementales
        • Buscan eficiencia
        • Seguridad depende del tiempo y los recursos de cómputo
      • Aplicaciones de Criptografia Simétrica
        • Cifrado de información no clasificada (Confidencialidad)
        • Verificación de Integridad
        • Autenticación
      VI Simposium Internacional de Computación, Sonora, Nov. 2006
    • Criptografía
      • Algoritmos Asimétricos
        • Diseño basado en problemas matemáticos
        • Seguros computacionalmente
        • Seguridad no depende de tiempo ni de recursos de cómputo
        • Pero...son ineficientes
      • Aplicaciones de Criptografia Asimétrica
        • Cifrado de informacion clasificada (Confidencialidad)
        • Acuerdo de llave simétrica
        • Firma Digital (Autenticación y No Repudio)
      VI Simposium Internacional de Computación, Sonora, Nov. 2006
    • Criptografía
      • Algoritmos Hash
        • Diseño basado en operaciones elementales
        • Son eficientes
        • Seguridad depende del tiempo y recursos de cómputo
        • Proporcionan una huella digital del mensaje
      • Aplicaciones de Algoritmos Hash
        • Verificación de Integridad
        • Autenticación
        • Demostrar posesión de secretos sin revelar el secreto
        • Virología
      VI Simposium Internacional de Computación, Sonora, Nov. 2006
    • Aplicaciones de Criptografía
      • Actualmente se usan de forma híbrida
        • Simétricos: eficientes
        • Asimétricos: seguros computacionalmente
        • Hash: eficientes y proporcionan huella digital
        • Se usan asimétricos para acordar llave simétrica
        • Acordada la llave simétrica, se usa un algoritmo simétrico para cifrar la información
        • Ejemplo: PGP, SSH, etc.
      VI Simposium Internacional de Computación, Sonora, Nov. 2006
    • Protocolos Criptográficos
      • Criptografía por sí sola no sirve para nada
      • Protocolos: hilos mágicos que conectan Seguridad con Criptografía
      • Todas las herramientas que proporcionan servicios de seguridad implementan protocolos
        • Ejemplo: PGP, SSH, SET, SSL, etc.
      VI Simposium Internacional de Computación, Sonora, Nov. 2006
    • Seguridad en Redes
      • A problemas sin resolver (por no haber soluciones definitivas, por no conocerse o por no implementarlas) de la seguridad en:
        • Controles de Acceso
        • Bases de Datos
        • Redes
        • Sistemas Operativos
        • SPAM
        • Virus
        • Etc.
      VI Simposium Internacional de Computación, Sonora, Nov. 2006
    • Seguridad en Redes
      • Se agregan: cómputo móvil y wireless
      • El grado y nivel de riesgo de amenazas, ataques y vulnerabilidades crece:
        • Internet, Web y sus aplicaciones y desarrollos
        • Tecnologías de código distribuible (Java, ActiveX)
        • Sistemas abiertos y bancos de información
        • Comercio electrónico
        • Votaciones electrónicas
        • Minería de datos y DWH
        • Manejo de imágenes y multimedia
      VI Simposium Internacional de Computación, Sonora, Nov. 2006
    • Seguridad en Redes
      • El canal es público
        • Usar canales cifrados. Ejemplo: SecureSHell
        • Cifrar toda informaci ó n que se intercambia. Ejemplo: usar Pretty Good Privacy (PGP)
        • Usar sistemas de correo seguro (cifrado). Ejemplos: PGP, PEM, S/MIME
        • Monitorear la red. Ejemplo: ntop y EtheReal
        • Detectar intentos de intrusión. Ejemplo: usar IDS’s como Snort o alguno comercial de ISS
        • Usar mismas armas que los atacantes para defensa. Ejemplos: sniffers como EtheReal y crackers como John the Ripper
      VI Simposium Internacional de Computación, Sonora, Nov. 2006
    • Seguridad en Redes
      • No se sabe la identidad del que envía o recibe
        • Usar esquemas de firma y certificados digitales Ejemplo: PGP
        • Usar protocolos fuertes de autenticación como IKE
      • No se sabe qué información entra y sale
        • Usar filtros de contenido
      • No se sabe de donde viene y a donde van los accesos
        • Usar filtros por IP, aplicaci ó n, etc. Ejemplo: usar Firewalls como IPTable o IPChains, ChekPoint, etc.
      VI Simposium Internacional de Computación, Sonora, Nov. 2006
    • Seguridad en Redes
      • No se sabe si lo que se recibe es lo que se envió
        • Usar esquemas para verificar integridad. Ejemplo: PGP
        • Usar protocolos que implementen c ó digos MIC/MAC usando funciones hash o cifrado sim é trico
      • No se sabe si la red y sus recursos se están utilizando como y para lo que se debe
        • Implantar politicas de uso (ISO 17799 y 27001)
        • Monitoreo y autoataque (ntop, Ethereal, John the Ripper)
      • No se sabe por donde me están atacando y que debilidades tiene mi red
        • Usar analizadores de vulnerabilidades. Ejemplo: Nessus
      VI Simposium Internacional de Computación, Sonora, Nov. 2006
    • Seguridad en Redes
      • Ya sé por donde, pero no se qué hacer para proteger mi red
        • Actualizar software de sistemas y aplicaciones
        • Instalar todos los parches de seguridad
        • Cerrar puertos y aplicaciones no necesarios. Prohibir modems
        • Informarse diario sobre nuevos ataques y vulnerabilidades e instalar los parches correspondientes
      • Ya estamos hartos del SPAM
        • Filtrado de contenidos y Firewalls
        • Restringir tráfico de entrada y salida por IP, subject, idioma, etc.
      VI Simposium Internacional de Computación, Sonora, Nov. 2006
    • Seguridad en Redes
      • Ya no soportamos al proveedor de antivirus
        • Usar un antivirus libre y realizar sus propias actualizaciones
      • La instalación de software es incontrolable
        • Prohibir instalar cualquier software y nombrar único responsable autorizado para ello
        • Políticas de seguridad
      • No sé cómo empezar
        • Empiece a estudiar
        • Visite los sitios especializados
      VI Simposium Internacional de Computación, Sonora, Nov. 2006
    • Aspectos que se deben considerar
      • Hay que tener Politicas de Seguridad
      • Planes de Recuperacion y Continuidad en caso de Desastre (DRP y BCP)
      • Sitios Alternos para funcionar y Respaldos de Informacion
      • Sistemas de Detección de Intrusos
      • Análisis de bitácoras
      • Monitoreo y análisis de actividades de usuarios para limitar privilegios
      • Reconocimiento de ataques a la red. Frecuencia y origen de los ataques
      • Registro de Consulta de páginas Internet y comunicaciones e-mail con personas desconocidas
      • Monitoreo de tráfico de la red
      • Verificación de Integridad de Archivos y Bases de Datos
      • Auditorías a la configuración del sistema
      • Monitoreo de Recursos Humanos que tienen acceso a información sensible (selección, reclutamiento y sistemas de desarrollo del personal)
      • Sistemas de Control de Confianza
      VI Simposium Internacional de Computación, Sonora, Nov. 2006
      • Aplicaciones Criptográficas
      • SSH (Secure SHell) http://www.ssh.com/support/downloads/
      • OpenSSL: http://www.openssl.org/source/
      • PGP: http://www.pgp.com/downloads/index.html
      • GPG: http://www.gnupg.org
      • Correo Electrónico Seguro
      • S/MIME: http://www.ietf.org/html.charters/smime-charter.html
      • PGP: http://www.pgp.com/downloads/index.html
      • PKI (Public Key Infrastucture)
      • Verisign: http://www.verisign.com/products-services/security-services/pki/index.html
      • OpenCA: http://www.openca.org/
      • Autoridades Certificadoras
      • Verisign: http://www.verisign.com/
      • Entrust: http://www.entrust.com /
      • IDS (Intrusion Detection System)
      • Snort: http://www.snort.org
      • Real Secure (ISS): http://www.iss.net/latam/spanish/products_service/enterprise_protection/index.php
      • Cisco: http://www.cisco.com/en/US/products/sw/secursw/ps2113/index.html
      • Firewalls
      • http://www.checkpoint.com/
      • http://www.cisco.com/en/US/products/hw/vpndevc/index.html
      • http://www.watchguard.com/
      • http://europe.nokia.com/nokia/0,,76737,00.html
      • Monitores de Red
      • Ntop (Network Top) http://www.ntop.org
      • Nagios http://www.nagios.org
      • Sniffers
      • TCPDump http://www.tcpdump.org/
      • Ethereal http://www.ethereal.com
      • Windump http://www.winpcap.org/windump/
      • Etthercap http://ettercap.sourceforge.net/
      • Analizadores de Vulnerabilidades
      • Nessus http://www.nessus.org
      • LANGUARD http://www.gfi.com/languard/
      • Internet Scanner (ISS) htttp://www.iss.net/products_services/enterprise_protection/vulnerability_assessment/scanner_internet.php
      • Passwords Crackers
      • John de Ripper http://www.openwall.com/john/
      • ISO/IEC 17799-2005 http://www.iso.org/iso/en/prods-services/popstds/informationsecurity.html
      • ISO/IEC 27001
      • http://www.bsi-global.com/News/Releases/2005/November/n4368cedc60947.xalter
      • Sarbanes Oxley http://www.s-ox.com/
      • ANTIVIRUS
      • AVAST (libre)
      • http://www.avast.com/eng/free_virus_protectio.html
      • CLAM WIN (libre) http://www.clamwin.com/
      • SYMANTEC http://www.symantec.com/index.htm
      • MCAFFE http://www.mcafee.com/es/
      • PANDA http://www.pandasoftware.com
      • AVG http://www.grisoft.com/doc/1
    • Recursos de Seguridad
      • www.nsa.gov
      • www.nist.gov
      • www.cert.org
      • www.securityfocus.org
      • www.packetstorm.org
      • www.sans.org
      VI Simposium Internacional de Computación, Sonora, Nov. 2006
    • Comentarios y Conclusiones
      • Hay que empezar a preocuparse y ocuparse del problema
      • Ejemplos en que nunca hubo ya necesidad: cuando ocurrió, no hubo nunca más que hacer porque había desaparecido todo
        • Biblioteca de Alejandría
        • 11 Sept. 2001
      • A partir de 2001 el mundo cambió su visión, concepción y percepción de seguridad y su relación con las TI
        • Replanteamiento total: Land Home Security
        • Seguridad Nacional
        • Estandarización global
      VI Simposium Internacional de Computación, Sonora, Nov. 2006
    • Comentarios y Conclusiones
      • Estándares Globales
        • ISO 17799-2005 y 27001
        • Ley Sarbanes Oxley (SOX)
        • BS 7799
      • Para empresas e instituciones, la seguridad ha dejado de ser un problema tecnológico para convertirse en ventaja competitiva
      • Toda empresa o institución que desee competir a nivel mundial tiene que cumplir esos estándares
      VI Simposium Internacional de Computación, Sonora, Nov. 2006
    • Comentarios y Conclusiones
      • La seguridad puede verse ahora en 3 niveles de responsabilidad
        • Directores y cuadros ejecutivos
        • Niveles técnicos y operativos
        • Usuarios
      • Todos los niveles deben tener conciencia del problema
      • Todo gobierno actual se siente obligado a seguir las tendencias globales
        • Muchos no están preparados (México)
        • Están empezando a prepararse
      VI Simposium Internacional de Computación, Sonora, Nov. 2006
    • Comentarios y Conclusiones
      • Tampoco las empresas están preparadas
        • Empiezan a darse cuenta
      • No es el mejor camino el que se sigue ahora para resolver el problema:
        • Consultoría externa (cara y escasa): dependencia
        • Productos ¨milagro¨ generales (no resuelven nada)
        • Soluciones sobre la marcha (improvisación y arribismo)
      • Hay que trabajar en educación en Seguridad
        • Universidades
      VI Simposium Internacional de Computación, Sonora, Nov. 2006
    • Seguridad y TI en la UNAM
        • Diplomado en Seguridad Informática
        • http://siberiano.aragon.unam.mx/diplomadoseguridad/juriquilla/
        • http://siberiano.aragon.unam.mx/
        • Diplomado en Tecnologías de Información
        • http://siberiano.aragon.unam.mx/dti/juriquilla/
        • http://siberiano.aragon.unam.mx/dti/aragon/
        • http://siberiano.aragon.unam.mx/dti/
        • Laboratorio de Seguridad Informática, CTA
        • http://leopardo.aragon.unam.mx/labsec/
        • Grupo de Seguridad de DGSCA
      VI Simposium Internacional de Computación, Sonora, Nov. 2006
    • Gracias ..............
      • Leobardo Hernández
      • Laboratorio de Seguridad Informática
      • Centro Tecnológico Aragón, UNAM
      • [email_address]
      • Tel. 01 55 56231070
      VI Simposium Internacional de Computación, Sonora, Nov. 2006