Seguridad de usuario en el acceso a internet 1

270 views
226 views

Published on

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
270
On SlideShare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
6
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Seguridad de usuario en el acceso a internet 1

  1. 1. Curso: Seguridad de usuario en el acceso a Internet Juan Carlos Rodríguez jcrodriguez@s21sec.com Acceso Internet•Cada día mayor número de conexiones a Internet permanentes.•Escaso conocimiento de los usuarios de las aplicaciones queutilizan•Mínimos conocimientos de las implicaciones de seguridad en el usode las nuevas tecnologías.•Interés creciente en la utilización de programas para la descarga deaudio y video.•Mayor número de servicios “Online” •Banca Electrónica •Reservar de viajes •Compras y subastas
  2. 2. Comercio electrónico en Internet Tecnologías de seguridad¿Cuántos usuarios conocen las tecnologías empleadas en la seguridad informática y telemática? FIREWALLCERTIFICADOS DIGITALES ANTISPAM FIRMA DIGITAL ANTIVIRUS ALGORITMOS DE CIFRADO SPYWARE SERVICE PACKS, HOTFIX JAVASCRIPT ACTIVEX
  3. 3. Riesgos en la autenticaciónEl acceso a determinados servicios requiere la acreditacióndel visitante.¿Es siempre seguro introducir el usuario/password? Estamos ante una página “segura” (conexión SSL), pero: ¿Estamos seguros que la página presentada es la autentica? ¿Estamos seguros que nada ni nadie está registrando los datos que introducimos en el ordenador local (keylogger..)? Identificación Digital Autenticación por Usuario/password Es el método más utilizado, incluido en todas las opciones de autenticación de S.O. y/o aplicaciones. (Telnet, FTP, HTTP, Email, ...) Su fiabilidad se basa en la “robustez” de la política de contraseñas a seguir definiendo aspectos como: •Longitud mínima de la contraseña •Complejidad de la contraseña (caracteres utilizados) •Vigencia de la contraseña
  4. 4. Identificación Digital Claves de accesoEjemplo de configuración de la politica de contraseñas en laPlataforma Windows 2000/XP Identificación Digital Complejidad de la contraseña -Debe de contener una combinación de letras, números y caracteres especiales -No debe ser nunca una posible palabra de diccionario -Debe de cambiarse de contraseña periódicamente y no es conveniente admitir contraseñas anteriormente utilizadas En general resulta difícil su implementación ya que para la mayoría de los usuarios seleccionar una contraseña “robusta” no es tarea sencilla.
  5. 5. Identificación DigitalComplejidad de la contraseñaCombinación de letras, números y caracteres especialesComo ejemplo, si utilizaramos el alfabeto (a..z) y losnumeros naturales para construir la contraseña, lasdiferentes combinaciones de una palabra de 6 letras son:366=2.176.782.336Un ordenador actual puede realizar todas estascombinaciones ! en menos de 2 minutos! Identificación Digital Ejemplo de descubrimiento por fuerza bruta.
  6. 6. Identificación Digital En la actualidad existen “diccionarios” en Internet de numerosos lenguajes (inglés, francés, danés, ...) así como materias diversas (literatura, música, cine,...) Por ello, seleccionar una contraseña de “diccionario” implica su descubrimiento ! en segundos !. Identificación DigitalEl mayor problema surge en la actitud de muchos usuariosy su incapacidad de generar un password adecuado y ! recordarlo !Así, es frecuente que los usuarios:•Anoten y tengan “ a mano” las contraseñas que deben utilizar.•Traten de “evadir” la “complejidad” de la contraseña:(Ej: mínimo 7 caracteres, obligatorio letras, números y caracteres.)Contraseña para Enero: pepe01!Contraseña para Febrero: pepe02!
  7. 7. Identificación Digital captura de las contraseñasNumerosos servicios como Telnet, FTP, POP3, ... Solicitan el parUsuario/password como control de acceso.Estos servicios “no utilizan cifrado en la comunicación” por lo queSon facilmente interceptados mediante un sniffer (incluso utilizandoSwitchs en lugar de hubs). Identificación Digital Recordar contraseñas Utilizar la opción de “recordar” contraseñas en el equipo local puede permitir extraer sin dificultad todas las contraseñas. (ej SnadBoy’s Revelation)
  8. 8. Identificación Digital Claves de acceso: KeyloggersExisten también numerosas aplicaciones software/hardware queregistran las pulsaciones efectuadas en el teclado Identificación Digital Ejemplo de captura por “software” la sesión de un usuario:
  9. 9. Mecanismos de seguridad más utilizados ! " Certificados DigitalesLos certificados digitales han sido diseñados para garantizar laIdentidad en las operaciones por el ciberespacio (Internet)Un certificado en un documento emitido y firmado por unaAutoridad de Certificación que identifica una clave pública con supropietario.Su efectividad se basa en la combinación de: * Criptografía de llaves públicas * Infraestructura de llaves digitales (PKI) * El sistema legal
  10. 10. Autoridades Certificadoras ¿En que consiste una Autoridad de Certificación (AC)?# " $% &(% "%) "## *# * Certificados Digitales Confianza en la AC + , - " $ ( " $ + " " " . ¿Estamos seguros que la lista que incluye nuestro navegador es de absoluta confianza? ¿Podemos confiar en el lugar desde el que nos ofrecen la descarga del certificado raiz ?
  11. 11. Certificados Raiz de confianza %/ Como se realiza una conexión HTTPS Llave Llave Públicasesión Servidor Web 1 HTTPS Llave Privada 1 2 3 4
  12. 12. Certificados Digitales Seguridad en las conexiones HTTPS) 0 )( ), - 1 2 1 ! "2 $+ $$ $$¿Estamos conectados al servidor esperado?El certificado que incluye la llave pública con la que secifrará la posterior llave de sesión. ¿Es de nuestraconfianza? Certificados Digitales Ejemplo certificado Servidor Web
  13. 13. Certificados Digitales Ejemplo certificado Servidor Web Resolución de nombres + " #( . ! " 3 , - " +$ + " !%4 " " +
  14. 14. Resolución de nombres Consejos para evitar el Pharming • Si utilizamos un ordenador que no es de nuestra confianza, eliminar antes las entradas en caché de resolución DNS• Comprobar el fichero “hosts” (c:windowssystem32driversetchosts) Resolución de nombres Podemos instalar herramientas que monitorizen si se realizan cambios en el fichero HOSTS, la dirección Url de inicio del navegador, ...
  15. 15. Contraseñas + 3 " 5 $ Contraseñas Mejorar la seguridad en la identificación de usuario La selección de una contraseña “compleja” (longitud mínima de 8 caracteres, formada por combinación de letras, números, caracteres especiales) es la mayor garantía de la seguridad del proceso.Sin embargo es frecuente que los usuarios:• Empleen palabras simples y fáciles de asociar o de obtener mediante un diccionario.• En el caso de utilizar contraseñas complejas, escriban y guarden la contraseña por la dificultad de recordarla.• Utilicen la misma contraseña para acceder a múltiples sitios. ¿Podemos gestionar las contraseñas de una forma más eficiente?
  16. 16. Contraseñas • Los navegadores incorporan la posibilidad de “guardar” las contraseñas utilizadas en los accesos Web. Contraseñas• Podemos utilizar programas de “gestión de identidades” que nos permiten registrar contraseñas complejas para acceder a diferentes servicios sin tener que recordar todas ellas.• Tan sólo es necesario recordar una contraseña “maestra” utilizada para cifrar el acceso al resto de contraseñas.
  17. 17. Contraseñas Recomendaciones generales en la gestión de claves 6 7 $8 " 3 $ " $ # 7 " 1 9 *3 * 3 $2 $$ 8 :"$ 8 / " 3 ! " * $ % " 3 " 3 3 ; / $ ¿En que consiste el “Phising”? % 3 5 " / " $
  18. 18. PHISING ¿Como se realiza el “Phising”?Mensajes enviados para engañar al usuario, utilizando todo tipo de ingeniososargumentos relacionados con la seguridad para justificar la necesidad deintroducir sus datos de acceso.Un ejemplo de los más comunes pueden ser los siguientes: •Problemas de carácter técnico. •Recientes detecciones de fraude y urge un cambio del nivel de seguridad. •Nuevas recomendaciones de seguridad para prevención del fraude. PHISING Ejemplo de intento de Phising
  19. 19. PHISING• También podrán intentarlo mediante mensajes relacionados con:• – Promoción de nuevos productos de la entidad, – Premios o regalos.• En ocasiones se intenta forzar al usuario a tomar una decisión casi de forma inmediata con amenazas de que si no realiza los cambios solicitados, en pocas horas o días su acceso quedará deshabilitado. • Configuración Seguridad de Internet Explorer.
  20. 20. Seguridad del navegadorPodemos configurar nuestro navegador con medidas de seguridadque reduzcan la posibilidad de ser “atacados”, pero a cambio selimitará la “versatilidad” de su uso.Internet Explorer define “4 zonas de seguridad”•Intranet (páginas Web que se encuentran en nuestra misma red)•Sitios de Confianza (confiamos en su contenido)•Sitios Restringidos (no confiamos en su contenido)•Internet (cualquier sitio Web no definido en los 3 anteriores)Cada una de estas zonas tiene configuradas las opciones deseguridad que pueden ser modificadas por el usuario. Zonas de Seguridad de IE
  21. 21. Agregar un sitio de confianza (IE) Podemos “saltar” las restricciones de la zona de Internet indicando que sitios Web son de nuestra confianza. Seguridad DNSLa resolución DNS permite acceder a un sitio conociendo su nombre (URL)realizando este servicio la traducción de nombre a dirección IP.¿Es seguro el servicio DNS?Cada “dominio” en Internet tiene su propio servidor DNS “autoridad” de suzona.Si preguntamos a un servidor DNS por la dirección de un equipo “propio” larespuesta es inmediata y ofrecida por el mismo servidor.A este se le conoce como “Respuesta Autoritativa”Si preguntamos por una máquina de un dominio diferente, el servidor noconoce la respuesta (esta fuera de su “zona”) y debe preguntar a otro servidorDNS en Internet de nivel superior.¿Podemos estar seguros que la respuesta que recibe es verdadera?
  22. 22. Resolución DNSConsulta sobre un equipo del Consulta sobre un equipo demismo (Servidor DNS SOA diferente dominio.de s21edu.com) La respuesta no es autoritativa¿Cómo sabemos que la dirección IP entregada a nuestro servidor DNSEs autentica? Resolución DNS Las consultas DNS (udp 53) no se envian cifradas por lo que pueden ser interceptadas. En udp, no hay control de la conexión y por ello da por “fiable” solamente por incluir la pregunta en la respuesta
  23. 23. Resolución DNS Además de utilizar un servidor DNS para la resolución de nombres, es posible utilizar el fichero HOSTS para incluir pares de valores directamente. Si este fichero es manipulado malintencionadamente... Introducimos la dirección IP de “google” en la referencia a “altavista” XP Centro de Control de Seguridad:•Gestión de Firewall deSeguridad•Actualizaciones automáticas•Gestión de Antivirus
  24. 24. Establecer ExcepcionesLas excepciones de tráfico pueden ser configuradas parapuertos y aplicaciones determinados•El Firewall monitoriza los puertos que la aplicación escucha ylos añade automáticamente a la lista de trafico entrantepermitido.•Incluye excepciones preconfiguradas para las aplicacionesmás comunes: Compartir archivos e impresoras. Escritorio Remoto ... Establecer excepciones en el FW de XP

×