Seguridad Inform á tica: M á s all á del firewall Egdares Futch H. Congreso Emprendedores 2002 Universidad Tecnológica Centroamericana Tegucigalpa, Honduras

End User License Agreement Por medio de su permanencia en la sala, usted está aceptando lo siguiente: Las opiniones son exclusivas del autor, y no representan las de alguna otra institución. Los ejemplos presentados son únicamente con fines educativos, y no pretenden exponer supuestos problemas en los sistemas mencionados. Usted hará preguntas y evitará dormirse (es un Grupo Interactivo de Trabajo!)

Por medio de su permanencia en la sala, usted está aceptando lo siguiente:

Las opiniones son exclusivas del autor, y no representan las de alguna otra institución.

Los ejemplos presentados son únicamente con fines educativos, y no pretenden exponer supuestos problemas en los sistemas mencionados.

Usted hará preguntas y evitará dormirse (es un Grupo Interactivo de Trabajo!)

El arte de la guerra nos enseña a no depender en que nuestro enemigo no aparezca, sino en nuestra capacidad de recibirlo; a no depender en que no ataque, sino de la habilidad de haber hecho impenetrable nuestra posición. --El Arte de la Guerra, Sun Tzu

El arte de la guerra nos enseña a no depender en que nuestro enemigo no aparezca, sino en nuestra capacidad de recibirlo; a no depender en que no ataque, sino de la habilidad de haber hecho impenetrable nuestra posición.

--El Arte de la Guerra, Sun Tzu

Seguridad de la información Base de nuestra discusión: Toda persona o empresa requiere mantener segura su información interna, para mantener su privacidad, secretos personales o corporativos, hábitos de consumo y preferencias de cualquier tipo.

Base de nuestra discusión:

Toda persona o empresa requiere mantener segura su información interna, para mantener su privacidad, secretos personales o corporativos, hábitos de consumo y preferencias de cualquier tipo.

Seguridad de la información Esta seguridad dependía de medios físicos o administrativos: Archivadores con llave Cajas fuertes Accesos controlados Investigación de antecedentes criminales

Esta seguridad dependía de medios físicos o administrativos:

Archivadores con llave

Cajas fuertes

Accesos controlados

Investigación de antecedentes criminales

Seguridad de la información Con la introducción de sistemas de cómputo en el trabajo cotidiano, se creó la necesidad de herramientas informáticas para proteger archivos y otra información almacenada en estos sistemas. El nombre genérico para estas herramientas es: Seguridad Informática .

Con la introducción de sistemas de cómputo en el trabajo cotidiano, se creó la necesidad de herramientas informáticas para proteger archivos y otra información almacenada en estos sistemas.

El nombre genérico para estas herramientas es: Seguridad Informática .

Seguridad de redes Una segunda necesidad derivada de la introducción de líneas de comunicación electrónica es la de proteger los archivos y datos durante la transmisión de los mismos entre sistemas Las herramientas diseñadas para este fin son llamadas de Seguridad de Redes .

Una segunda necesidad derivada de la introducción de líneas de comunicación electrónica es la de proteger los archivos y datos durante la transmisión de los mismos entre sistemas

Las herramientas diseñadas para este fin son llamadas de Seguridad de Redes .

Seguridad vs. Oscuridad Existen dos clases de seguridad : La que no deja que tu hermanita lea tu “libretita negra” La que no deja que la CIA ni la KGB ni la DIC lean tu “libretita negra”. Nosotros hablaremos sobre esta última, debiendo notar la diferencia entre seguridad y oscuridad

Existen dos clases de seguridad :

La que no deja que tu hermanita lea tu “libretita negra”

La que no deja que la CIA ni la KGB ni la DIC lean tu “libretita negra”.

Nosotros hablaremos sobre esta última, debiendo notar la diferencia entre seguridad y oscuridad

Oscuridad Si yo tom ara una carta, la colocara en una caja fuerte, luego escondiera la caja fuerte en alg ú n lugar de La Tigra y luego le pido que lea la carta, eso es oscuridad Caso: (a) Reuters vs. Intentia (b) Respuestas de exámenes de la Universidad Virtual

Si yo tom ara una carta, la colocara en una caja fuerte, luego escondiera la caja fuerte en alg ú n lugar de La Tigra y luego le pido que lea la carta, eso es oscuridad

Caso: (a) Reuters vs. Intentia (b) Respuestas de exámenes de la Universidad Virtual

Seguridad Ahora bien, si yo pongo la carta en una caja fuerte, y luego le doy: La caja fuerte, con los planos de diseño Cien cajas fuertes iguales a é sta, con todo y las combinaciones Cien expertos en cajas fuertes, para que estudien el diseño Y si aún asi no puede leer la carta...

Ahora bien, si yo pongo la carta en una caja fuerte, y luego le doy:

La caja fuerte, con los planos de diseño

Cien cajas fuertes iguales a é sta, con todo y las combinaciones

Cien expertos en cajas fuertes, para que estudien el diseño

Y si aún asi no puede leer la carta...

Seguridad Esta clase de seguridad s ó lo estaba disponible para los militares (CIA, KGB, Mossad) . En los ultimos veinte años se ha hecho tanta investigación en seguridad informática , que es posible para cualquier persona usar técnicas a nivel de las agencias de inteligencia militar .

Esta clase de seguridad s ó lo estaba disponible para los militares (CIA, KGB, Mossad) .

En los ultimos veinte años se ha hecho tanta investigación en seguridad informática , que es posible para cualquier persona usar técnicas a nivel de las agencias de inteligencia militar .

Hey, y realmente necesita tanta seguridad? Dependencia en la información por parte de las empresas comerciales para la continuidad de sus negocios ($/downtime) Protecci ó n intelectual ($/obra) Acoso del gobierno Derecho a la privacidad Anonimidad (votaciones, registros médicos) Paranoia

Dependencia en la información por parte de las empresas comerciales para la continuidad de sus negocios ($/downtime)

Protecci ó n intelectual ($/obra)

Acoso del gobierno

Derecho a la privacidad

Anonimidad (votaciones, registros médicos)

Paranoia

Los 3 aspectos de la seguridad Ataques de seguridad Mecanismos de seguridad Servicios de seguridad

Ataques de seguridad

Mecanismos de seguridad

Servicios de seguridad

Ataques de seguridad Fuente: Cryptography and network security, 2 nd Ed. Stallings

Categorización de los ataques Ataques pasivos Conocimiento de comunicaciones confidenciales Análisis de tráfico Ataques activos Denial of Service (DoS) Modificación de mensajes Suplantación Retransmisión

Ataques pasivos

Conocimiento de comunicaciones confidenciales

Análisis de tráfico

Ataques activos

Denial of Service (DoS)

Modificación de mensajes

Suplantación

Retransmisión

Servicios de seguridad Confidencialidad Autenticación Integridad Confirmación de origen (nonrepudiation) Control de acceso Disponibilidad

Confidencialidad

Autenticación

Integridad

Confirmación de origen (nonrepudiation)

Control de acceso

Disponibilidad

Mecanismos de seguridad Criptografía Arte y ciencia de mantener seguros los mensajes. Practicada por cript ó logos Criptanálisis Arte y ciencia de romper texto encriptado

Criptografía

Arte y ciencia de mantener seguros los mensajes. Practicada por cript ó logos

Criptanálisis

Arte y ciencia de romper texto encriptado

Firewalls Un mecanismo de seguridad de red, que consiste en un equipo o grupo de equipos informáticos diseñados para que: Todas las comunicaciones del interior al exterior y viceversa pasen por el firewall Solamente las comunicaciones autorizadas pasen Sea inmune a los ataques (trusted system/trusted OS)

Un mecanismo de seguridad de red, que consiste en un equipo o grupo de equipos informáticos diseñados para que:

Todas las comunicaciones del interior al exterior y viceversa pasen por el firewall

Solamente las comunicaciones autorizadas pasen

Sea inmune a los ataques (trusted system/trusted OS)

Servicios del firewall Control de servicios de red Control de dirección Control de usuarios Control de comportamiento

Control de servicios de red

Control de dirección

Control de usuarios

Control de comportamiento

Capacidades de un firewall Un único cuello de botella hacia la red protegida Un lugar para monitorear eventos de seguridad Servicios de red relacionados con Internet Plataforma para implementar VPNs

Un único cuello de botella hacia la red protegida

Un lugar para monitorear eventos de seguridad

Servicios de red relacionados con Internet

Plataforma para implementar VPNs

Limitaciones de un firewall Ataques que sobrepasan el firewall Modem en una estación de un empleado Amenazas internas Empleados despedidos/mal pagados Virus Nimda / Code Red Error humano Doh!

Ataques que sobrepasan el firewall

Modem en una estación de un empleado

Amenazas internas

Empleados despedidos/mal pagados

Virus

Nimda / Code Red

Error humano

Doh!

¿Y entonces ? No existe la seguridad informática perfecta Bueno...si, el one-time pad La seguridad informática no es fácil de implantar Resistencia de los usuarios Costo de la misma Chiste horrible

No existe la seguridad informática perfecta

Bueno...si, el one-time pad

La seguridad informática no es fácil de implantar

Resistencia de los usuarios

Costo de la misma

Chiste horrible

Más allá del firewall Para mejorar sensiblemente la seguridad informática y de redes de nuestra empresa, necesitamos más que un firewall: Políticas internas de seguridad Filtrado de contenido Establecimiento y análisis de bitácoras Detección de intrusos Comunicación encriptada Y todo lo nuevo que aparezca...

Para mejorar sensiblemente la seguridad informática y de redes de nuestra empresa, necesitamos más que un firewall:

Políticas internas de seguridad

Filtrado de contenido

Establecimiento y análisis de bitácoras

Detección de intrusos

Comunicación encriptada

Y todo lo nuevo que aparezca...

Políticas de seguridad Normativas de ética y confidencialidad Expiración de passwords y de cuentas de correo Archivos confidenciales o propietarios Virus Eliminación periódica de usuarios inactivos Clarificar la responsabilidad de los usuarios Finalidad: Usarla como disuasivo

Normativas de ética y confidencialidad

Expiración de passwords y de cuentas de correo

Archivos confidenciales o propietarios

Virus

Eliminación periódica de usuarios inactivos

Clarificar la responsabilidad de los usuarios

Finalidad: Usarla como disuasivo

Filtrado de contenido Las empresas se exponen a riesgos por los hábitos de uso de Internet de sus empleados: Pornografía Información con derechos de autor restringidos (warez, MP3) Cadenas de e-mail Chats Extremismos u otra conducta antisocial

Las empresas se exponen a riesgos por los hábitos de uso de Internet de sus empleados:

Pornografía

Información con derechos de autor restringidos (warez, MP3)

Cadenas de e-mail

Chats

Extremismos u otra conducta antisocial

Bitácoras Los sistemas que se conecten a redes externas deben tener la mayor cantidad de bitácoras habilitadas: Sitios visitados Correo entrante y saliente Conexiones a nuestros servidores Usuarios

Los sistemas que se conecten a redes externas deben tener la mayor cantidad de bitácoras habilitadas:

Sitios visitados

Correo entrante y saliente

Conexiones a nuestros servidores

Usuarios

Detección de intrusos Los firewalls son pasivos, y se pueden complementar con sistemas IDS Existen diversos tipos: Host intrusion detection (tripwires, actividad sospechosa) Signature-based network intrusion detection (Winnuke, smurf) Anomaly-based network intrusion detection Statistic (port scanning, DDos) Protocol (Code Red)

Los firewalls son pasivos, y se pueden complementar con sistemas IDS

Existen diversos tipos:

Host intrusion detection (tripwires, actividad sospechosa)

Signature-based network intrusion detection (Winnuke, smurf)

Anomaly-based network intrusion detection

Statistic (port scanning, DDos)

Protocol (Code Red)

Comunicaciones encriptadas Asegurarse que las transacciones entre la empresa y sus usuarios o clientes no pueda ser vista por terceros Compras por web Hacer uso de teletrabajo Viajes de trabajo Proliferación del SOHO Filiales, sucursales, distribuidores

Asegurarse que las transacciones entre la empresa y sus usuarios o clientes no pueda ser vista por terceros

Compras por web

Hacer uso de teletrabajo

Viajes de trabajo

Proliferación del SOHO

Filiales, sucursales, distribuidores

¿ Y aún así...que nos falta ? ICE: Intruder Counter Electronics Atacar a nuestros atacantes

ICE: Intruder Counter Electronics

Atacar a nuestros atacantes

¿Preguntas? Comentarios pueden dirigirlos a: [email_address]

Comentarios pueden dirigirlos a:

[email_address]