0
Seguridad Informática en Redes de Computadores Ing. Wayner Barrios B.  © Especialista en Redes de Computadoras Barranquill...
Seguridad en Redes -  © Ing. Wayner Barrios B. Introducción Módulo de Seguridad en redes
Virus: Worm_Nyxem.E
Virus: Worm_Nyxem.E <ul><li>Una tormenta de conducta “rara” </li></ul><ul><li>Desarrollado en Visual Basic (95 KB) </li></...
Worm_Nyxem.E: Promedio de infecciones por hora Fuente: http://www.caida.org
Worm_Nyxem.E: Víctimas por países y medio de propagación Fuente: http://www.caida.org/analysis/security/blackworm/
Y de los “Hackers” que … <ul><li>Hackers chilenos que integraban una de las bandas de piratas informáticos más importantes...
Seguridad en Redes -  © Ing. Wayner Barrios B. Y de los “Hackers” que …
Ataques: Pasado y presente 1980  1990  Hoy
Correos no deseados …
Cadenas de correos
Seguridad en Redes -  © Ing. Wayner Barrios B. Fuente: http://www.trendmicro.com Mapa de Virus: Detecciones por regiones
Estadísticas Mundiales de Virus … Fuente: http://www.messagelabs.com
Seguridad en Redes -  © Ing. Wayner Barrios B. Estadística de distribución de correo no deseado para LA Fuente: http://www...
Un mundo lleno de Spam … <ul><li>Entre 2005 y 2006 el número de correos no-deseados aumento 147% </li></ul><ul><li>Postini...
Estadísticas Mundiales de Spam … Fuente: http://www.messagelabs.com
10 consejos para navegar en la e-Banca Seguridad en Redes -  © Ing. Wayner Barrios B. <ul><li>Navega directamente en la UR...
Algunos servicios de seguridad en Internet …
Prioridades de inversión en Tecnología Informática Seguridad Disaster Recovery Storage Wireless Servers Network management...
Servicios de Seguridad en Redes <ul><li>Confidencialidad o Secreto </li></ul><ul><li>Autenticación </li></ul><ul><li>Integ...
Amenazas (Threats) <ul><li>Interrupción de servicios (DoS) </li></ul><ul><li>Intercepción (Ataque a la confidencialidad) <...
¿En qué capa va la seguridad? Seguridad en Redes -  © Ing. Wayner Barrios B. FISICA ENLACE RED TRANSPORTE SESIÓN PRESENTAC...
Modalidad de algunos ataques a la Seguridad de Redes <ul><li>Virus, gusanos, troyanos, tormentas, spam, espías, malware, a...
Modalidad de algunos ataques a la Seguridad de Redes <ul><li>Flooding: Inundación (Negación de servicio) </li></ul><ul><li...
Phishing: Una de las principales amenazas de seguridad informática <ul><li>Los crímenes informáticos han sido estimados en...
¿Cómo identificar rápidamente un Phishing? <ul><li>Busque errores ortográficos o gramaticales en el texto del correo o sit...
Ejemplo de Phishing
¿El siguiente correo es o no Phishing? Estimado Cliente(a): Nuestro sistemas informátivos han sufrido problemas este fin d...
Ataque Eavesdropping y Packet Sniffing <ul><li>El objetivo es monitorear el tráfico de la Red en forma pasiva (Sin modific...
Ataque Flooding Tipo de ataque destinado a saturar los recursos del sistema (DoS) Send SYN (Seq=x) Receive SYN (Seq=x) Sen...
Seguridad en Redes -  © Ing. Wayner Barrios B. Ingeniería Social: Definición <ul><li>Consiste en la manipulación de las pe...
Seguridad en Redes -  © Ing. Wayner Barrios B. Ingeniería Social: ¿Qué quieren hacer? <ul><li>Los objetivos básicos de la ...
Seguridad en Redes -  © Ing. Wayner Barrios B. Ingeniería Social: ¿A quién va dirigidos? <ul><li>Las víctimas típicas incl...
Técnicas y Herramientas de Ingeniería Social (Invasivas o Directas) <ul><li>El Teléfono </li></ul><ul><li>El Sitio de Trab...
Técnicas y Herramientas :  El teléfono <ul><li>Personificación Falsa y Persuasión </li></ul><ul><ul><li>Tretas Engañosas: ...
Técnicas y Herramientas :  Sitio de trabajo <ul><li>Entrada a los sitios de trabajo </li></ul><ul><ul><li>Acceso Físico no...
Técnicas y Herramientas :  ¿Qué hay en nuestra basura? <ul><li>Listados Telefónicos </li></ul><ul><li>Organigramas </li></...
Técnicas y Herramientas :  La Internet y la Intranet <ul><li>Si en algo es  consistente  un usuario es en repetir password...
Técnicas y Herramientas :  Fuera de la Oficina <ul><li>Almuerzos “de Negocios” “Cenas de Viernes”, que terminan en “Happy ...
Técnicas y Herramientas de Ingeniería Social (Seductivas o Inadvertidas) <ul><li>Autoridad </li></ul><ul><li>Carisma </li>...
Técnicas y Herramientas: Autoridad <ul><li>Pretender estar con la gente de TI o con un alto ejecutivo en la Empresa o Inst...
Técnicas y Herramientas: Carisma <ul><li>Se usan modales amistosos, agradables </li></ul><ul><li>Se conversa sobre interes...
Técnicas y Herramientas: Reciprocidad <ul><li>Se ofrece o promete ayuda, información u objetos que no necesariamente han s...
Seguridad en Redes -  © Ing. Wayner Barrios B. Técnicas y Herramientas: Consistencia <ul><li>Se usa el contacto repetido d...
Técnicas y Herramientas: Ingeniería Social Reversa <ul><li>Ocurre cuando el “hacker” crea una persona que parece estar en ...
Técnicas y Herramientas: ¿Cómo opera la  Ingeniería Social Reversa? <ul><li>El  Hacker  sabotea una red o sistema, ocasion...
Ingeniería Social: Consejos para defenderse <ul><li>Sea cauteloso y revise su actitud de colaboración.  ¡OJO! No hay que v...
Ciclo de vida de la Seguridad en Redes Seguridad en Redes -  © Ing. Wayner Barrios B. Evaluar Determinar Políticas Remedia...
ISO 17799: International Security Managament Standard Seguridad en Redes -  © Ing. Wayner Barrios B. Es un estándar intern...
Seguridad en Redes -  © Ing. Wayner Barrios B. ISO 17799: International Security Managament Standard La seguridad de la in...
ISO 17799: International Security Managament Standard Seguridad en Redes -  © Ing. Wayner Barrios B. Controles <ul><li>Pol...
ISO 17799: International Security Managament Standard Seguridad en Redes -  © Ing. Wayner Barrios B. Proceso Obtener sopor...
ISO 27001- Sistemas de Gestión Seguridad de la Información  Seguridad en Redes -  © Ing. Wayner Barrios B. Es el reemplazo...
ISO 27001: Principales claves para implantarlo <ul><li>Identificar los objetivos de negocio   </li></ul><ul><ul><li>La seg...
Seguridad en Redes -  © Ing. Wayner Barrios B. Criptografía y Firma Digital Módulo de Seguridad en redes
Criptografía tradicional Seguridad en Redes -  © Ing. Wayner Barrios B. La  criptografía  (del griego  kryptos , «ocultar»...
Criptografía tradicional <ul><li>Por sustitución </li></ul><ul><ul><li>a  ➨  q; b  ➨  w; …, z  ➨  m </li></ul></ul><ul><li...
Cifrado Cesar – Caesar cipher Seguridad en Redes -  © Ing. Wayner Barrios B. Cada letra es sustituida por una letra a un n...
Cifrado de Polybius <ul><li>Polybius era un escritor griego que propuso sustituir una letra por un par de ellas o por núme...
Cifrado de Polybius Para encriptar se debe sustituir cada letra con las coordenadas de la letra en la matriz Ejemplo:  F=B...
Cifrado de V igenère <ul><li>Método original fue inventado por Giovan Batista Belaso </li></ul><ul><li>Este cifrador polia...
Criptografía <ul><li>Clave Secreta (k) </li></ul><ul><ul><li>Cifrado Simétrico </li></ul></ul><ul><li>Clave Pública y Priv...
Criptografía en Clave Secreta Seguridad en Redes -  © Ing. Wayner Barrios B. ENCRIPTADO y = E k (x) DESENCRIPTADO x = D k ...
Criptografía en Clave Secreta <ul><li>Ventajas </li></ul><ul><ul><li>Provee un canal en dos vía: A y B comparten un secret...
Algoritmos de Clave Secreta Seguridad en Redes -  © Ing. Wayner Barrios B. Nombre Modo Longitud de clave (Bits) DES Bloque...
Criptografía de Clave Pública y Privada Seguridad en Redes -  © Ing. Wayner Barrios B. Mensaje x k y =E k (x) y Mensaje x ...
Criptografía de Clave Pública y Privada <ul><li>Los algoritmos de clave pública son cerca de 100 a 1000 veces más lentos q...
Algoritmos Comunes de Clave Pública y Privada Seguridad en Redes -  © Ing. Wayner Barrios B. Nombre Aplicación Fundamento ...
Firma Digital Seguridad en Redes -  © Ing. Wayner Barrios B. + Archivo Digital X Firma Digital D q (X) q  … clave secreta ...
Firma Digital <ul><li>Usada para autenticar al emisor del mensaje, verificando la integridad del mensaje </li></ul><ul><li...
Aplicaciones de las firmas digitales <ul><li>Mensajes con autenticidad asegurada  </li></ul><ul><li>Contratos comerciales ...
Certificado Digital Seguridad en Redes -  © Ing. Wayner Barrios B. ¿Quién nos da la confinaza que las claves suministradas...
Certificado X.509 <ul><li>Propuesto por la ITU e ISO </li></ul><ul><li>Componentes básicos: Clave pública, firma del solic...
Aspectos a considerar … <ul><li>Algunos gobiernos no permiten la criptografía y algunos la limitan </li></ul><ul><li>Las p...
Seguridad en Redes -  © Ing. Wayner Barrios B. Firewall Módulo de Seguridad en redes
Tipos de Firewall <ul><li>De capa de red o de filtrado de paquetes </li></ul><ul><ul><li>Funciona a nivel de la capa de re...
Políticas de un Firewall <ul><li>Hay dos políticas básicas en la configuración de un cortafuegos y que cambian radicalment...
Configuraciones de un  Firewall Seguridad en Redes -  © Ing. Wayner Barrios B. Screened Subnet (Zona Desmilitarizada – DMZ...
Productos Comerciales de Firewall <ul><li>Checkpoint VPN </li></ul><ul><li>IBM Firewall </li></ul><ul><li>Cisco Secure PIX...
Seguridad en Redes -  © Ing. Wayner Barrios B. Los sistemas “anti” Módulo de Seguridad en redes
Algunos productos de fabricantes de los sistemas “anti” Seguridad en Redes -  © Ing. Wayner Barrios B.
Algunos productos de fabricantes de los sistemas “anti” Seguridad en Redes -  © Ing. Wayner Barrios B.
Seguridad en Redes -  © Ing. Wayner Barrios B. Redes Virtuales Privadas (VPNs) Módulo de Seguridad en redes
VPN Seguridad en Redes -  © Ing. Wayner Barrios B. Red Virtual Privada A
VPN: una breve descripción <ul><li>Un VPN está, compuesta de uno o mas túneles IP seguros y dos o mas redes </li></ul><ul>...
Tipos de VPNs <ul><li>Existen tres (3) arquitecturas según su esquema de conexión </li></ul><ul><li>VPN de acceso remoto <...
Diagrama de VPN de acceso remoto Seguridad en Redes -  © Ing. Wayner Barrios B.
Diagrama de VPN punto a punto Seguridad en Redes -  © Ing. Wayner Barrios B.
Seguridad en Redes -  © Ing. Wayner Barrios B. Sistemas de detección y prevención de intrusos Módulo de Seguridad en redes
¿Qué es un IDS? Seguridad en Redes -  © Ing. Wayner Barrios B. Es un sistema especialmente diseñado para detectar ciertos ...
Seguridad en Redes -  © Ing. Wayner Barrios B. ¿Qué puede considerarse cómo un ataque al IDS? Intentos de detección del si...
IDS  Seguridad en Redes -  © Ing. Wayner Barrios B. Clasificación <ul><li>Clasificación 1 </li></ul><ul><li>Signature – de...
Deep Packet Inspection (DPI) Es un término en Redes de Computadores que se refiere a los dispositivos y tecnologías usadas...
Deep Packet Inspection (DPI)
Seguridad en Redes -  © Ing. Wayner Barrios B. Protocolos de Seguridad Módulo de Seguridad en redes
Protocolos de Seguridad <ul><li>SSL/TLS: Secure Socket Layer / Transport Layer Security </li></ul><ul><li>S/MIME: Secure/M...
SSL/TLS: Secure Socket Layer / Transport Layer Security <ul><li>Fue desarrollado por Netscape </li></ul><ul><li>Se utiliza...
IPsec <ul><li>Es un estándar líder para la criptografía basada en los servicios de autenticidad, integridad y confidencial...
IPsec Seguridad en Redes -  © Ing. Wayner Barrios B. Es un protocolo estándar de seguridad usado para crear y operar sobre...
¿Cómo trabaja IPsec sobre un enrutador? Seguridad en Redes -  © Ing. Wayner Barrios B. Dos enrutadores tiene configurado u...
SET : Secure Electronic Transactions <ul><li>Basado en propuestas previas: </li></ul><ul><ul><li>Secure Transaction Techno...
Funcionamiento del protocolo SET 1 4 2 3 5 $$ Cliente Certificado Entidad Certificadora Comerciante <ul><li>Comprador dese...
Seguridad en Redes -  © Ing. Wayner Barrios B. Network Access Control Módulo de Seguridad en redes
NAC: Network Access Control Es un enfoque en Seguridad de Redes que intenta unificar la tecnología (tales como Antivirus, ...
Entendiendo los procesos de un NAC
NAC: La Administración Centralizada de la Seguridad en la Red Todo en una sola consola
Soluciones comerciales de NAC <ul><li>Enterasys NAC  </li></ul><ul><li>TippingPoint NAC  </li></ul><ul><li>HP - ProCurve N...
Seguridad en Redes -  © Ing. Wayner Barrios B. Informática Forense Módulo de Seguridad en redes
Informática Forense: Definiciones Seguridad en Redes -  © Ing. Wayner Barrios B. <ul><li>Delito Informático </li></ul><ul>...
La prueba en informática Seguridad en Redes -  © Ing. Wayner Barrios B. <ul><li>Problemas en la informática </li></ul><ul>...
Informática Forense: En busca de una solución … Seguridad en Redes -  © Ing. Wayner Barrios B. <ul><li>Seguridad Informáti...
Informática Forense: Herramientas de software Seguridad en Redes -  © Ing. Wayner Barrios B. <ul><li>EnCase:  http://www.e...
Sitios de interés <ul><li>www.isaca.org  Information Systems Audit & Control Association </li></ul><ul><li>www.hispasec.co...
Upcoming SlideShare
Loading in...5
×

Seguridad Informática en Redes de Computadores

13,464

Published on

Published in: Technology

Transcript of "Seguridad Informática en Redes de Computadores"

  1. 1. Seguridad Informática en Redes de Computadores Ing. Wayner Barrios B. © Especialista en Redes de Computadoras Barranquilla, 2009
  2. 2. Seguridad en Redes - © Ing. Wayner Barrios B. Introducción Módulo de Seguridad en redes
  3. 3. Virus: Worm_Nyxem.E
  4. 4. Virus: Worm_Nyxem.E <ul><li>Una tormenta de conducta “rara” </li></ul><ul><li>Desarrollado en Visual Basic (95 KB) </li></ul><ul><li>Liberado el 15 de Enero de 2006, alcanzó a infectar a más de 900.000 computadores en 200 países </li></ul><ul><li>Contiene un código maliciosos de sobrecarga (“payload”) diseñado para escribir archivos aleatorios los tercer día de cada mes (iniciando el 3 de Febrero de 2006) </li></ul>
  5. 5. Worm_Nyxem.E: Promedio de infecciones por hora Fuente: http://www.caida.org
  6. 6. Worm_Nyxem.E: Víctimas por países y medio de propagación Fuente: http://www.caida.org/analysis/security/blackworm/
  7. 7. Y de los “Hackers” que … <ul><li>Hackers chilenos que integraban una de las bandas de piratas informáticos más importantes del mundo fueron detenidos por la Policía de ese país. Estos jóvenes se habían infiltrado en más de ocho mil sitios de Internet, incluida la NASA y páginas de los gobiernos de Argentina, Bolivia, Colombia, Estados Unidos, Israel, Perú, Turquía y Venezuela </li></ul><ul><li>El impacto financiero de código maligno a nivel mundial se estima en 13.2 billones de dólares en el año 2001, siendo los principales contribuyentes: SirCam $1.15 Billones, Code Red $2.62 Billones y NIMDA $635 Millones. </li></ul><ul><li>La semana pasada un consultor del FBI robó 38 mil contraseñas de la federal de investigaciones y ahora un grupo de piratas informáticos ingresó en las últimas semanas en el sistema del Departamento de Estado y todo indica que obtuvieron información delicada </li></ul><ul><li>Algunos hackers revelaron un método para autentificar las versiones piratas de Microsoft Windows Vista. El 30 de noviembre este sistema operativo fue puesto a la venta para aumentar el número de clientes con licencias originales, y cuenta con nuevas medidas de seguridad que intentan frenar el crecimiento de la piratería. </li></ul>
  8. 8. Seguridad en Redes - © Ing. Wayner Barrios B. Y de los “Hackers” que …
  9. 9. Ataques: Pasado y presente 1980 1990 Hoy
  10. 10. Correos no deseados …
  11. 11. Cadenas de correos
  12. 12. Seguridad en Redes - © Ing. Wayner Barrios B. Fuente: http://www.trendmicro.com Mapa de Virus: Detecciones por regiones
  13. 13. Estadísticas Mundiales de Virus … Fuente: http://www.messagelabs.com
  14. 14. Seguridad en Redes - © Ing. Wayner Barrios B. Estadística de distribución de correo no deseado para LA Fuente: http://www.trendmicro.com
  15. 15. Un mundo lleno de Spam … <ul><li>Entre 2005 y 2006 el número de correos no-deseados aumento 147% </li></ul><ul><li>Postini estimó 1.010.186.128 spam e-mails interceptados en Diciembre 18, 2006. </li></ul><ul><li>Cerca del 74.4% de correo spam proviene de dominios de USA </li></ul>Fuente: http://discovermagazine.com/2007/mar/map-the-world-according-to-spam
  16. 16. Estadísticas Mundiales de Spam … Fuente: http://www.messagelabs.com
  17. 17. 10 consejos para navegar en la e-Banca Seguridad en Redes - © Ing. Wayner Barrios B. <ul><li>Navega directamente en la URL del Banco </li></ul><ul><li>Busca las señales de seguridad </li></ul><ul><li>Mantén a salvo tu identidad electrónica </li></ul><ul><li>Utiliza contraseñas seguras </li></ul><ul><li>No realices operaciones de e-banca en sitios públicos </li></ul><ul><li>Ten cuidado con correos electrónicos fraudulentos </li></ul><ul><li>Mantén en tu equipo los elementos básico de la seguridad informática </li></ul><ul><li>No instales software pirata o de dudosa procedencia </li></ul><ul><li>Al terminar la operación “cierra” tu sesión </li></ul><ul><li>Sea precavido </li></ul>Fuente: http://www.cnnexpansion.com
  18. 18. Algunos servicios de seguridad en Internet …
  19. 19. Prioridades de inversión en Tecnología Informática Seguridad Disaster Recovery Storage Wireless Servers Network management LAN Infraestructure WAN Services VideoConferencing 10 20 30 40 50 60 70 Network World, IT Spending Survey 2003
  20. 20. Servicios de Seguridad en Redes <ul><li>Confidencialidad o Secreto </li></ul><ul><li>Autenticación </li></ul><ul><li>Integración </li></ul><ul><li>No repudiación </li></ul><ul><li>Acceso </li></ul><ul><li>Disponibilidad </li></ul>Seguridad en Redes - © Ing. Wayner Barrios B.
  21. 21. Amenazas (Threats) <ul><li>Interrupción de servicios (DoS) </li></ul><ul><li>Intercepción (Ataque a la confidencialidad) </li></ul><ul><li>Modificación </li></ul><ul><li>Fabricación (Ataque a la autenticidad) </li></ul><ul><li>Violación de autorización </li></ul><ul><li>Masquarade </li></ul><ul><li>Repudiación </li></ul><ul><li>Spoofing </li></ul><ul><li>Penetración al sistema </li></ul><ul><li>Ingeniería Social </li></ul>Seguridad en Redes - © Ing. Wayner Barrios B.
  22. 22. ¿En qué capa va la seguridad? Seguridad en Redes - © Ing. Wayner Barrios B. FISICA ENLACE RED TRANSPORTE SESIÓN PRESENTACIÓN APLICACIÓN FISICA ENLACE RED TRANSPORTE SESIÓN PRESENTACIÓN APLICACIÓN ORIGEN DESTINO
  23. 23. Modalidad de algunos ataques a la Seguridad de Redes <ul><li>Virus, gusanos, troyanos, tormentas, spam, espías, malware, adware … </li></ul><ul><li>Ransomware: Secuestro de Documento/Carpeta mediante la encriptación </li></ul><ul><li>SCAM: correos engañosos </li></ul><ul><li>Spoofing: falsedad en dirección IP </li></ul><ul><li>Phishing: recomendar una página Web falsa </li></ul><ul><li>Eavesdropping y Packet Sniffing: pasiva intercepción (sin modificación) del tráfico de red </li></ul><ul><li>Snooping y Downloading: obtener la información sin modificarla </li></ul>Seguridad en Redes - © Ing. Wayner Barrios B.
  24. 24. Modalidad de algunos ataques a la Seguridad de Redes <ul><li>Flooding: Inundación (Negación de servicio) </li></ul><ul><li>Tampering o Data diddling: la modificación no autorizada de los datos, o al software instalado en un sistema </li></ul><ul><li>Ingeniería Social </li></ul>
  25. 25. Phishing: Una de las principales amenazas de seguridad informática <ul><li>Los crímenes informáticos han sido estimados en US $67,2 billones, solo en organizaciones en USA, US $1 billón es por Phishing </li></ul><ul><li>Phishing, “Pescando víctimas”: ataques de ingeniería social son aquellos que tratan de obtener información confidencial de las víctimas mediante el engaño y la manipulación </li></ul><ul><li>Falsos correos o sitios Web que invitan a registrar información confidencial (en la mayoría de los casos financiera) </li></ul>
  26. 26. ¿Cómo identificar rápidamente un Phishing? <ul><li>Busque errores ortográficos o gramaticales en el texto del correo o sitio Web </li></ul><ul><li>Normalmente incluyen frases que las víctimas tomen acciones inmediatas o urgentes: “Haga clic en este link para actualizar su información o su cuenta cancelada” </li></ul><ul><li>Ninguna institución financiera contacta a sus clientes por teléfono o correo electrónico para actualizar la información confidencial de los mismos </li></ul><ul><li>Estos correos electrónicos, normalmente, contienen un hipervínculo o una dirección URL a la cual debemos ingresar </li></ul><ul><li>Algunas veces, estos correos tienen sugerencias para descargar información o algún programa (que en el fondo es un código malicioso) </li></ul>
  27. 27. Ejemplo de Phishing
  28. 28. ¿El siguiente correo es o no Phishing? Estimado Cliente(a): Nuestro sistemas informátivos han sufrido problemas este fin de semana, y por esta razón, mucha de la información de nuestros customers se ha visto modificada. Por favor, ingrese a este sitio Web, y actualice su información dentro de las siguientes 24 horas, o sus cuentas se desactivarán: http://co.bank.data.com/customers/profile/ Muchas gracias por la comprensión y ayuda. Atentamente, Departamento de tecnología
  29. 29. Ataque Eavesdropping y Packet Sniffing <ul><li>El objetivo es monitorear el tráfico de la Red en forma pasiva (Sin modificación) </li></ul><ul><li>Realizado mediante el uso de herramientas de software conocidas como “ sniffers ” </li></ul><ul><li>En redes compartidas, las tarjetas configuradas en modo promiscuo “escuchan” todo el tráfico de la red a que pertenecen </li></ul><ul><li>En redes conmutadas es necesario crear un puerto espejo del puerto donde está conectado el equipo al que se le quiere hacer sniffing </li></ul>
  30. 30. Ataque Flooding Tipo de ataque destinado a saturar los recursos del sistema (DoS) Send SYN (Seq=x) Receive SYN (Seq=x) Send SYN (Seq=y, ACK=x+1) Receive SYN (Seq=y, ACK=x+1) Send ACK (Ack=y+1) Receive ACK (ack=y+1)
  31. 31. Seguridad en Redes - © Ing. Wayner Barrios B. Ingeniería Social: Definición <ul><li>Consiste en la manipulación de las personas para que voluntariamente realicen actos que normalmente no harían </li></ul><ul><li>Término usado entre crackers y samurais para referirse a las técnicas de violación que se sustentan en las debilidades de las personas mas que en el software. </li></ul><ul><li>El objetivo es engañar a la gente para que revele contraseñas u otra información que comprometa la seguridad del sistema objetivo </li></ul>
  32. 32. Seguridad en Redes - © Ing. Wayner Barrios B. Ingeniería Social: ¿Qué quieren hacer? <ul><li>Los objetivos básicos de la Ingeniería Social son los mismos del “hacking” o “cracking” (dependiendo de quien lo haga) en general: ganar acceso no autorizado a los sistemas, redes o a la información para... </li></ul><ul><li>Cometer Fraude, </li></ul><ul><li>Entrometerse en las Redes, </li></ul><ul><li>Espionaje Industrial, </li></ul><ul><li>Robo de Identidad (de moda), </li></ul><ul><li>Irrumpir en los Sistemas o Redes de Computadoras </li></ul>
  33. 33. Seguridad en Redes - © Ing. Wayner Barrios B. Ingeniería Social: ¿A quién va dirigidos? <ul><li>Las víctimas típicas incluyen </li></ul><ul><ul><li>Empresas Telefónicas </li></ul></ul><ul><ul><li>Servicios de Help Desk y CRM </li></ul></ul><ul><ul><li>Corporaciones Renombradas </li></ul></ul><ul><ul><li>Agencias e Instituciones Gubernamentales y Militares </li></ul></ul><ul><ul><li>Instituciones Financieras </li></ul></ul><ul><ul><li>Hospitales </li></ul></ul><ul><li>El “boom” de la Internet tuvo su parte de culpa en la proliferación de ataques a pequeños “start-up´s”, pero en general, los ataques se centran en grandes compañías </li></ul>
  34. 34. Técnicas y Herramientas de Ingeniería Social (Invasivas o Directas) <ul><li>El Teléfono </li></ul><ul><li>El Sitio de Trabajo </li></ul><ul><li>La Basura </li></ul><ul><li>La Internet-Intranet </li></ul><ul><li>Fuera de la Oficina </li></ul>
  35. 35. Técnicas y Herramientas : El teléfono <ul><li>Personificación Falsa y Persuasión </li></ul><ul><ul><li>Tretas Engañosas: Amenazas, Confusiones Falsas </li></ul></ul><ul><ul><li>Falsos Reportes de Problemas </li></ul></ul><ul><li>Personificación Falsa en llamadas a Help Desks y Sistemas CRM </li></ul><ul><ul><li>Completación de Datos Personales </li></ul></ul><ul><li>Robo de Contraseñas o Claves de Acceso Telefónico </li></ul><ul><ul><li>Consulta de buzones de voz </li></ul></ul><ul><ul><li>Uso fraudulento de líneas telefónicas </li></ul></ul><ul><ul><li>Uso de Sistemas Internacionales de Voz sobre IP </li></ul></ul>
  36. 36. Técnicas y Herramientas : Sitio de trabajo <ul><li>Entrada a los sitios de trabajo </li></ul><ul><ul><li>Acceso Físico no Autorizado </li></ul></ul><ul><ul><li>Tailgating </li></ul></ul><ul><li>Oficina </li></ul><ul><ul><li>“ Shoulder Surfing” (ver por encima del hombro), Leer al revés </li></ul></ul><ul><ul><li>Robar, fotografiar o copiar documentos sensibles </li></ul></ul><ul><ul><li>Pasearse por los pasillos buscando oficinas abiertas </li></ul></ul><ul><ul><li>Intentos de ganar acceso al cuarto de PBX y/o servidores para: </li></ul></ul><ul><ul><ul><li>Conseguir acceso a los sistemas, </li></ul></ul></ul><ul><ul><ul><li>Instalar analizadores de protocolo escondidos, sniffers o, </li></ul></ul></ul><ul><ul><ul><li>Remover o robar pequeños equipos con o sin datos </li></ul></ul></ul>
  37. 37. Técnicas y Herramientas : ¿Qué hay en nuestra basura? <ul><li>Listados Telefónicos </li></ul><ul><li>Organigramas </li></ul><ul><li>Memorandos Internos </li></ul><ul><li>Manuales de Políticas de la Compañía </li></ul><ul><li>Agendas en Papel de Ejecutivos con Eventos y Vacaciones </li></ul><ul><li>Manuales de Sistemas </li></ul><ul><li>Impresiones de Datos Sensibles y Confidenciales </li></ul><ul><li>“ Logins”, “Logons” y a veces... contraseñas </li></ul><ul><li>Listados de Programas (código fuente) </li></ul><ul><li>Disquetes y Cintas </li></ul><ul><li>Papel Membretado y Formatos Varios </li></ul><ul><li>Hardware Obsoleto </li></ul>
  38. 38. Técnicas y Herramientas : La Internet y la Intranet <ul><li>Si en algo es consistente un usuario es en repetir passwords </li></ul><ul><li>“ Password Guessing” </li></ul><ul><ul><li>Placa del Carro </li></ul></ul><ul><ul><li>Nombre del HIJO/A + 2008 </li></ul></ul><ul><ul><li>Fecha de nacimiento </li></ul></ul><ul><li>Encuestas, Concursos, Falsas Actualizaciones de Datos </li></ul><ul><li>Anexos con Troyanos, Exploits, Spyware, Software de Navegación remota y Screen Rendering </li></ul>
  39. 39. Técnicas y Herramientas : Fuera de la Oficina <ul><li>Almuerzos “de Negocios” “Cenas de Viernes”, que terminan en “Happy Hours”, con potenciales consecuencias desastrosas: </li></ul><ul><ul><li>Sesiones de confesión de contraseñas, extensiones, direcciones de correo electrónico. Al otro día, la víctima no se acuerda </li></ul></ul><ul><li>Conexiones “de oficina a Oficina”: </li></ul><ul><ul><li>¿Puedo leer mi e-mail desde aquí? </li></ul></ul><ul><ul><li>Eso está en la Intranet de la Empresa, pero (en tono jactancioso) yo puedo entrar desde aquí </li></ul></ul>
  40. 40. Técnicas y Herramientas de Ingeniería Social (Seductivas o Inadvertidas) <ul><li>Autoridad </li></ul><ul><li>Carisma </li></ul><ul><li>Reciprocidad </li></ul><ul><li>Consistencia </li></ul><ul><li>Ingeniería Social Reversa </li></ul>
  41. 41. Técnicas y Herramientas: Autoridad <ul><li>Pretender estar con la gente de TI o con un alto ejecutivo en la Empresa o Institución </li></ul><ul><li>Puede usar un tono de voz: </li></ul><ul><ul><li>Intimidante </li></ul></ul><ul><ul><li>Amenazante </li></ul></ul><ul><ul><li>Urgente </li></ul></ul>
  42. 42. Técnicas y Herramientas: Carisma <ul><li>Se usan modales amistosos, agradables </li></ul><ul><li>Se conversa sobre intereses comunes </li></ul><ul><li>Puede usar la adulación (interés por conseguir un favor) para ganar información del contexto sobre una persona, grupo o producto </li></ul>
  43. 43. Técnicas y Herramientas: Reciprocidad <ul><li>Se ofrece o promete ayuda, información u objetos que no necesariamente han sido requeridos </li></ul><ul><li>Esto construye confianza, da la sensación de autenticidad y confiabilidad </li></ul>
  44. 44. Seguridad en Redes - © Ing. Wayner Barrios B. Técnicas y Herramientas: Consistencia <ul><li>Se usa el contacto repetido durante un cierto período de tiempo para establecer familiaridad con la “identidad” del atacante y probar su confiabilidad </li></ul>
  45. 45. Técnicas y Herramientas: Ingeniería Social Reversa <ul><li>Ocurre cuando el “hacker” crea una persona que parece estar en una posición de autoridad de tal modo que le pedirán información a él, en vez de que él la requiera </li></ul><ul><li>Las tres fases de los ataques de ISR: </li></ul><ul><ul><li>Sabotaje </li></ul></ul><ul><ul><li>Promoción </li></ul></ul><ul><ul><li>Asistencia </li></ul></ul>
  46. 46. Técnicas y Herramientas: ¿Cómo opera la Ingeniería Social Reversa? <ul><li>El Hacker sabotea una red o sistema, ocasionando un problema. </li></ul><ul><li>Este Hacker entonces promueve que él es el contacto apropiado par solucionar el problema, y entonces, cuando comienza a dar asistencia en el arreglo el problema, requiere pedacitos de información de los empleados y de esa manera obtiene lo que realmente quería cuando llegó. </li></ul><ul><li>Los empleados nunca supieron que él era un Hacker , porque su problema se desvaneció, él lo arreglo y todo el mundo está contento. </li></ul>
  47. 47. Ingeniería Social: Consejos para defenderse <ul><li>Sea cauteloso y revise su actitud de colaboración. ¡OJO! No hay que volverse paranoico </li></ul><ul><li>Verifique con quien habla, mas si le preguntan por claves </li></ul><ul><li>No se deje intimidar </li></ul><ul><li>… y por favor ¡NO responda Mensajes en Cadena! </li></ul>
  48. 48. Ciclo de vida de la Seguridad en Redes Seguridad en Redes - © Ing. Wayner Barrios B. Evaluar Determinar Políticas Remediar Proteger Amenazas Vulnerabilidades Monitoreo de redes Eventos inesperados Creación de políticas Control de accesos Uso de aplicaciones QoS de aplicaciones Establecimiento de prioridades Cumplimiento de la política Control de acceso Administración BW Prevención de ataques Contención de ataques Cuarentena Depuración de virus Aplicar parches ADMINISTRAR
  49. 49. ISO 17799: International Security Managament Standard Seguridad en Redes - © Ing. Wayner Barrios B. Es un estándar internacional propuesto por la ISO en Diciembre de 2000 que define la administración de la seguridad de la información. ISO 17799 es un estándar de nivel alto, amplio alcance y de naturaleza conceptual. Su enfoque le permite ser aplicado a través de múltiples tipos de organizaciones y aplicaciones. Define la información como un “activo” que puede existir de diversas formas y poseer un valor significativo en una organización. El objetivo de la seguridad de la información es proteger este activo para asegurar continuidad de negocio, minimizar el daño y maximizar el retorno de la inversión.
  50. 50. Seguridad en Redes - © Ing. Wayner Barrios B. ISO 17799: International Security Managament Standard La seguridad de la información se define como la conservación de: Confidencialidad: Solo los usuarios autorizados Integridad: Salvaguardar la exactitud Disponibilidad: Asegurarse que los usuarios autorizados tengan acceso a la información cuando la requieran. ISO 17799 no es un estándar técnico como tampoco un producto. ISO 17799 es un descendiente directo del estándar BS7799 que define la Administración de la Seguridad de la Información de l Instituto de Estándares Británico (BSI).
  51. 51. ISO 17799: International Security Managament Standard Seguridad en Redes - © Ing. Wayner Barrios B. Controles <ul><li>Políticas de seguridad </li></ul><ul><li>Seguridad organizacional </li></ul><ul><li>Clasificación y control de los activos </li></ul><ul><li>Seguridad personal </li></ul><ul><li>Seguridad ambiental y física </li></ul><ul><li>Administración de las operaciones y comunicaciones </li></ul><ul><li>Control de acceso </li></ul><ul><li>Plan de contingencia </li></ul><ul><li>Compliance </li></ul>
  52. 52. ISO 17799: International Security Managament Standard Seguridad en Redes - © Ing. Wayner Barrios B. Proceso Obtener soporte de la alta gerencia Definir la seguridad perimetral Crear la política de seguridad de información Crear el sistema de administración de la seguridad informática Ejecutar la evaluación de riesgos Seleccionar e implementar los controles Documentar el informe Auditar
  53. 53. ISO 27001- Sistemas de Gestión Seguridad de la Información Seguridad en Redes - © Ing. Wayner Barrios B. Es el reemplazo del estándar ISO 17799 y BS7799, fue publicado en Octubre de 2005 y se estima que sea el primero de una serie de estándares de seguridad de la información que la organización desea implantar. El objetivo básico del estándar es ayudar a establecer y mantener un sistema de administración de la seguridad lo suficientemente efectivo, usando un enfoque de mejoramiento continuo. Implementa los principios de OECD (Organization for Economic Cooperation and Development), administrando la seguridad de la información y los sistemas de redes.
  54. 54. ISO 27001: Principales claves para implantarlo <ul><li>Identificar los objetivos de negocio </li></ul><ul><ul><li>La seguridad debe alinearse estratégicamente con la actividad de la organización para darle un mejor soporte y robustez. </li></ul></ul><ul><li>Seleccionar un alcance adecuado </li></ul><ul><ul><li>El esfuerzo en la implementación será proporcional al tamaño del sistema a construir </li></ul></ul><ul><li>Determinar el nivel de madurez ISO 27001 </li></ul><ul><ul><li>Existen certificaciones previas en la organización? </li></ul></ul><ul><li>Analizar el retorno de inversión </li></ul><ul><ul><li>Demostrar que el esfuerzo realizado no será un gasto sino una inversión </li></ul></ul>Seguridad en Redes - © Ing. Wayner Barrios B.
  55. 55. Seguridad en Redes - © Ing. Wayner Barrios B. Criptografía y Firma Digital Módulo de Seguridad en redes
  56. 56. Criptografía tradicional Seguridad en Redes - © Ing. Wayner Barrios B. La criptografía (del griego kryptos , «ocultar», y grafos , «escribir», literalmente «escritura oculta») es el arte o ciencia de cifrar y descifrar información utilizando técnicas matemáticas que hagan posible el intercambio de mensajes de manera que sólo puedan ser leídos por las personas a quienes van dirigidos.
  57. 57. Criptografía tradicional <ul><li>Por sustitución </li></ul><ul><ul><li>a ➨ q; b ➨ w; …, z ➨ m </li></ul></ul><ul><li>Por transposición </li></ul><ul><ul><li>abcdefgh ➨ cfdgbeha </li></ul></ul>Seguridad en Redes - © Ing. Wayner Barrios B. <ul><li>El código perfecto es el que se utiliza una vez. </li></ul><ul><li>PRINCIPIO DE UN BUEN CÓDIGO </li></ul><ul><li>Considerable redundancia </li></ul><ul><li>Evitar reusabilidad de mensajes (CRC) (timestamp) </li></ul>
  58. 58. Cifrado Cesar – Caesar cipher Seguridad en Redes - © Ing. Wayner Barrios B. Cada letra es sustituida por una letra a un número fijo de letras posteriores en el alfabeto. Cesar usaba un desplazamiento de 3 , de tal manera que el textoplano p i era encriptado con el textocifrado c i por la regla: c i = E(p i ) = p i + 3 textoplano: a b c d e f g h i … textocifrado : d e f g h i j k l …
  59. 59. Cifrado de Polybius <ul><li>Polybius era un escritor griego que propuso sustituir una letra por un par de ellas o por números de dos dígitos </li></ul><ul><li>El alfabeto es escrito dentro de una matriz de 5x5 o 5x8 </li></ul><ul><li>El criptograma duplica la cantidad de caracteres del texto en claro por lo que no es un buen sistema de cifra </li></ul>
  60. 60. Cifrado de Polybius Para encriptar se debe sustituir cada letra con las coordenadas de la letra en la matriz Ejemplo: F=BA ó F=21
  61. 61. Cifrado de V igenère <ul><li>Método original fue inventado por Giovan Batista Belaso </li></ul><ul><li>Este cifrador polialfabético soluciona la debilidad del cifrado del César en que una letra se cifra siempre igual. Se usa una clave K de longitud L y se cifra carácter a carácter sumando módulo t el texto en claro con los elementos de esta clave </li></ul>C i = (M i + K i ) Mod t , de donde t es el número de caracteres del alfabeto
  62. 62. Criptografía <ul><li>Clave Secreta (k) </li></ul><ul><ul><li>Cifrado Simétrico </li></ul></ul><ul><li>Clave Pública y Privada (k, q) </li></ul><ul><ul><li>Cifrado Asimétrico </li></ul></ul>Seguridad en Redes - © Ing. Wayner Barrios B. x = D k (E k (x)) x = D k (E q (x))
  63. 63. Criptografía en Clave Secreta Seguridad en Redes - © Ing. Wayner Barrios B. ENCRIPTADO y = E k (x) DESENCRIPTADO x = D k (y) Propiedad matemática: x = D k (E k (x)) Mensaje x k y = f k (x) y Mensaje x x = f k -1 (y) Intruso A B k
  64. 64. Criptografía en Clave Secreta <ul><li>Ventajas </li></ul><ul><ul><li>Provee un canal en dos vía: A y B comparten un secreto </li></ul></ul><ul><ul><li>Provee autenticación: solo el emisor verdadero puede construir el mensaje encriptado </li></ul></ul><ul><li>Dificultades </li></ul><ul><ul><li>Si la clave es revelada, los interceptores pueden inmediatamente desencriptar toda la información. La solución es cambiar la clave con frecuencia </li></ul></ul><ul><ul><li>La distribución de la clave es un problema </li></ul></ul><ul><ul><li>El número de claves se incrementa con el cuadrado del número de nodos </li></ul></ul>Seguridad en Redes - © Ing. Wayner Barrios B.
  65. 65. Algoritmos de Clave Secreta Seguridad en Redes - © Ing. Wayner Barrios B. Nombre Modo Longitud de clave (Bits) DES Bloque 56 Triple DES – 3DES Bloque 56 ó 112 - 168 AES Bloque Variable, típicamente 128 ó 256 IDEA Bloque 128 RC2 – RC4 – RC5 Bloque Variable de 1 hasta 2048 Blowfish Bloque Variable hasta 448 Rijndael Bloque Variable hasta 256 Gost Bloque Variable hasta 256
  66. 66. Criptografía de Clave Pública y Privada Seguridad en Redes - © Ing. Wayner Barrios B. Mensaje x k y =E k (x) y Mensaje x x = D q (y) Intruso Propiedad matemática: x = D q (E k (x)) Clave Pública de Bob: k Clave Privada de Ken: q Bob Ken q
  67. 67. Criptografía de Clave Pública y Privada <ul><li>Los algoritmos de clave pública son cerca de 100 a 1000 veces más lentos que los algoritmos de clave secreta. Por ello son raramente usados para encriptar grandes cantidades de datos. </li></ul><ul><li>Son comúnmente usados para la fase inicial de comunicación, con el objetivo de autenticar ambas partes y establecer una clave secreta: </li></ul><ul><ul><ul><li>Autehntication – Key Distribution </li></ul></ul></ul>Seguridad en Redes - © Ing. Wayner Barrios B.
  68. 68. Algoritmos Comunes de Clave Pública y Privada Seguridad en Redes - © Ing. Wayner Barrios B. Nombre Aplicación Fundamento matemático RSA (Rivest, Shamir & Adleman) Confidencialidad, Firma Digital, Intercambio de llaves Factorización DSA (Digital Signature Algorithm), basado en el Gamal Firma Digital Algoritmo discreto Diffie – Hellman Bloque Factorización discreta
  69. 69. Firma Digital Seguridad en Redes - © Ing. Wayner Barrios B. + Archivo Digital X Firma Digital D q (X) q … clave secreta del firmante k … clave pública del firmante Verificación de la firma: E k (D q (X)) = X
  70. 70. Firma Digital <ul><li>Usada para autenticar al emisor del mensaje, verificando la integridad del mensaje </li></ul><ul><li>Usa la criptografía de clave pública </li></ul><ul><li>El emisor usa su clave privada </li></ul><ul><li>A envía a B: D A (M) </li></ul><ul><li>Cualquiera puede verificar haciendo uso de la clave pública E A </li></ul><ul><li>El mensaje enviado es privado y autenticado </li></ul><ul><li>La Firma Digital es mecanismo de seguridad empleado para asegurar la Autenticidad, No repudiación y no falsificación </li></ul>Seguridad en Redes - © Ing. Wayner Barrios B.
  71. 71. Aplicaciones de las firmas digitales <ul><li>Mensajes con autenticidad asegurada </li></ul><ul><li>Contratos comerciales electrónicos </li></ul><ul><li>Factura electrónica </li></ul><ul><li>Transacciones comerciales electrónicas </li></ul><ul><li>Invitación electrónica </li></ul><ul><li>Dinero electrónico </li></ul><ul><li>Notificaciones judiciales electrónicas </li></ul><ul><li>Voto electrónico </li></ul><ul><li>Decretos ejecutivos (Gobierno) </li></ul><ul><li>Créditos de seguridad social </li></ul><ul><li>Contratación pública </li></ul><ul><li>Sellado de tiempo </li></ul>Seguridad en Redes - © Ing. Wayner Barrios B.
  72. 72. Certificado Digital Seguridad en Redes - © Ing. Wayner Barrios B. ¿Quién nos da la confinaza que las claves suministradas por el Centro de Distribución de Claves (KDC) son auténticas? Un certificado es un documento digital que indica el autor o dueño de una firma digital. Hace publica la clave pública del autor y está avalado por el 2ente” que expide el certificado. Certificados
  73. 73. Certificado X.509 <ul><li>Propuesto por la ITU e ISO </li></ul><ul><li>Componentes básicos: Clave pública, firma del solicitante y certificación del ente emisor </li></ul><ul><li>Recomienda el uso de RSA </li></ul><ul><li>Certificado para un e-mail </li></ul><ul><li>En el ambiente financiero se necesita extender el certificado para codificar la información como el número de la tarjeta de crédito y límite del crédito </li></ul>Seguridad en Redes - © Ing. Wayner Barrios B.
  74. 74. Aspectos a considerar … <ul><li>Algunos gobiernos no permiten la criptografía y algunos la limitan </li></ul><ul><li>Las patentes criptográficas tardan mucho en convertirse en estándares públicos </li></ul><ul><li>¿Qué validez legal tiene las firmas digitales la Corte Judicial de algunos países? </li></ul>Seguridad en Redes - © Ing. Wayner Barrios B.
  75. 75. Seguridad en Redes - © Ing. Wayner Barrios B. Firewall Módulo de Seguridad en redes
  76. 76. Tipos de Firewall <ul><li>De capa de red o de filtrado de paquetes </li></ul><ul><ul><li>Funciona a nivel de la capa de red </li></ul></ul><ul><ul><li>Filtrado en los campos de los paquetes IP: dirección IP origen y destino. </li></ul></ul><ul><li>De aplicación o “Proxy” </li></ul><ul><ul><li>Funciona a nivel de la capa de aplicación </li></ul></ul><ul><ul><li>Por ejemplo: filtrado http o URL </li></ul></ul><ul><li>Personal </li></ul><ul><ul><li>Filtra comunicaciones entre un PC y el resto de la red o viceversa </li></ul></ul>Seguridad en Redes - © Ing. Wayner Barrios B.
  77. 77. Políticas de un Firewall <ul><li>Hay dos políticas básicas en la configuración de un cortafuegos y que cambian radicalmente la filosofía fundamental de la seguridad en la organización: </li></ul><ul><li>Política restrictiva </li></ul><ul><ul><li>Negación de todo el tráfico excepto lo que está permitido </li></ul></ul><ul><li>Política permisiva </li></ul><ul><ul><li>Se permite todo el tráfico excepto el que está negado </li></ul></ul><ul><ul><li>Cada servicio potencialmente peligroso debe aislarse caso por caso </li></ul></ul>Seguridad en Redes - © Ing. Wayner Barrios B.
  78. 78. Configuraciones de un Firewall Seguridad en Redes - © Ing. Wayner Barrios B. Screened Subnet (Zona Desmilitarizada – DMZ) Internet Servidores Corporativos Servidor Web www.mycomp.com Servidor Firewall LAN Corporativa DMZ
  79. 79. Productos Comerciales de Firewall <ul><li>Checkpoint VPN </li></ul><ul><li>IBM Firewall </li></ul><ul><li>Cisco Secure PIX Firewall </li></ul><ul><li>eSoft Interceptor </li></ul><ul><li>Astaro Security </li></ul><ul><li>SonicWall Pro </li></ul><ul><li>WatchGuard LiveSecurity System </li></ul><ul><li>Symantec Firewall </li></ul><ul><li>McAfee Firewall </li></ul>Seguridad en Redes - © Ing. Wayner Barrios B.
  80. 80. Seguridad en Redes - © Ing. Wayner Barrios B. Los sistemas “anti” Módulo de Seguridad en redes
  81. 81. Algunos productos de fabricantes de los sistemas “anti” Seguridad en Redes - © Ing. Wayner Barrios B.
  82. 82. Algunos productos de fabricantes de los sistemas “anti” Seguridad en Redes - © Ing. Wayner Barrios B.
  83. 83. Seguridad en Redes - © Ing. Wayner Barrios B. Redes Virtuales Privadas (VPNs) Módulo de Seguridad en redes
  84. 84. VPN Seguridad en Redes - © Ing. Wayner Barrios B. Red Virtual Privada A
  85. 85. VPN: una breve descripción <ul><li>Un VPN está, compuesta de uno o mas túneles IP seguros y dos o mas redes </li></ul><ul><li>Un túnel IP seguro describe el proceso de encapsulamiento de un paquete IP, incluyen su información de header, en un nuevo paquete IP que será visto únicamente por los firewall origen y destino </li></ul><ul><li>El túnel definido especifica la política implementada en los datos (paquete IP): </li></ul><ul><ul><li>Encriptación </li></ul></ul><ul><ul><li>Autenticación </li></ul></ul><ul><ul><li>Encriptación y después autenticación </li></ul></ul>Seguridad en Redes - © Ing. Wayner Barrios B.
  86. 86. Tipos de VPNs <ul><li>Existen tres (3) arquitecturas según su esquema de conexión </li></ul><ul><li>VPN de acceso remoto </li></ul><ul><ul><li>Modelo más usado </li></ul></ul><ul><ul><li>Usuarios que se conecta a la red de la empresa </li></ul></ul><ul><li>VPN punto a punto </li></ul><ul><ul><li>Interconexión de oficina remotas </li></ul></ul><ul><ul><li>Es también conocida como la técnica Tunneling </li></ul></ul><ul><li>VPN interna WLAN </li></ul><ul><ul><li>Una variante de la VPN de acceso remoto </li></ul></ul><ul><ul><li>No usa Internet sino la red local </li></ul></ul><ul><ul><li>Usuarios inalámbricos Wi-Fi </li></ul></ul>Seguridad en Redes - © Ing. Wayner Barrios B.
  87. 87. Diagrama de VPN de acceso remoto Seguridad en Redes - © Ing. Wayner Barrios B.
  88. 88. Diagrama de VPN punto a punto Seguridad en Redes - © Ing. Wayner Barrios B.
  89. 89. Seguridad en Redes - © Ing. Wayner Barrios B. Sistemas de detección y prevención de intrusos Módulo de Seguridad en redes
  90. 90. ¿Qué es un IDS? Seguridad en Redes - © Ing. Wayner Barrios B. Es un sistema especialmente diseñado para detectar ciertos patrones de tráfico considerados como dañinos. Al contrario que un Firewall, un IDS estudia el tráfico de forma global, almacenando información en tiempo real relativa a las diferentes sesiones, o conversaciones, que los usuarios mantienen con los servidores. Esto permite la detección de comportamientos sospechosos que pasan totalmente desapercibidos al Firewall y que empiezan a ser detectados tan pronto como el sistema se pone en marcha. Internet Red IP corporativa IDS FW
  91. 91. Seguridad en Redes - © Ing. Wayner Barrios B. ¿Qué puede considerarse cómo un ataque al IDS? Intentos de detección del sistema operativo A nadie le interesa realmente en qué sistema operativo están corriendo los servicios que la compañía suministra si no es para intentar aprovecharse de las debilidades conocidas, o aún no publicadas, del mismo. Aunque en sí este comportamiento no es un ataque, suele ser el preludio de otros más agresivos que si pueden ser considerados como tales. Listado de direcciones Bien mediante escaneo o mediante lectura no autorizada de los servidores DNS se intenta descubrir los equipos susceptibles de ataque. Escaneo de puertos El objetivo es localizar, de entre el rango de direcciones anteriormente detectado, qué canales de entrada existen en el sistema para luego intentar ataques específicos segun el tipo de cada uno.
  92. 92. IDS Seguridad en Redes - © Ing. Wayner Barrios B. Clasificación <ul><li>Clasificación 1 </li></ul><ul><li>Signature – detection </li></ul><ul><ul><li>Compara parámetros contra patrones conocidos de ataques. Usa bases de datos universales que se actualizan periódicamente </li></ul></ul><ul><li>Anomaly – detection </li></ul><ul><ul><li>Compara el tráfico contra estándares de tráfico </li></ul></ul><ul><li>Clasificación 2 </li></ul><ul><li>Network – based </li></ul><ul><ul><li>Utiliza parámetros de red </li></ul></ul><ul><li>Host – based </li></ul><ul><ul><li>Utiliza parámetros del host </li></ul></ul>
  93. 93. Deep Packet Inspection (DPI) Es un término en Redes de Computadores que se refiere a los dispositivos y tecnologías usadas para inspeccionar y tomar acción basándose en el contenido del paquete (comúnmente llamado “payload”) y no solamente en la cabecera del mismo.
  94. 94. Deep Packet Inspection (DPI)
  95. 95. Seguridad en Redes - © Ing. Wayner Barrios B. Protocolos de Seguridad Módulo de Seguridad en redes
  96. 96. Protocolos de Seguridad <ul><li>SSL/TLS: Secure Socket Layer / Transport Layer Security </li></ul><ul><li>S/MIME: Secure/Multipurpose Internet Mail Extensions </li></ul><ul><li>IPsec: IP Security Protocol </li></ul><ul><li>SET: Secure Electronic Transactions </li></ul><ul><li>PPTP: (Point-to-Point Tunneling Protocol) </li></ul>Seguridad en Redes - © Ing. Wayner Barrios B.
  97. 97. SSL/TLS: Secure Socket Layer / Transport Layer Security <ul><li>Fue desarrollado por Netscape </li></ul><ul><li>Se utiliza en las versiones SSL 2.0 y SSL 3.0 </li></ul><ul><li>Una ligera modificación del SSL 3.0 dio origen al TLS, propuesto pot la IETF </li></ul><ul><li>Es utilizado en la mayoria de las empresas que comercian a través de Internet dado que parte de la mayoría de los navegadores y servidores Web </li></ul><ul><li>SSL no es un protocolo para el comercio electrónico, sino una forma de establecer un canal virtual seguro entre el servidor y el cliente </li></ul>Seguridad en Redes - © Ing. Wayner Barrios B.
  98. 98. IPsec <ul><li>Es un estándar líder para la criptografía basada en los servicios de autenticidad, integridad y confidencialidad a nivel de la capa IP </li></ul><ul><li>Se basa en los algoritmos RSA, Diffie-Hellman para el intercambio de claves </li></ul><ul><li>Host-to-Host pipes, túneles encapsulados, VPNs </li></ul>Seguridad en Redes - © Ing. Wayner Barrios B.
  99. 99. IPsec Seguridad en Redes - © Ing. Wayner Barrios B. Es un protocolo estándar de seguridad usado para crear y operar sobre Redes Virtuales Privadas
  100. 100. ¿Cómo trabaja IPsec sobre un enrutador? Seguridad en Redes - © Ing. Wayner Barrios B. Dos enrutadores tiene configurado un túnel IPsec usando algoritmos y parámetros comunes. El tráfico en rojo representa al flujo de datos que fluye a través de los enrutadores con destino a Internet. Mientras que el tráfico en verde es aquel que va de un lado a otro a través del túnel Ipsec de la VPN.
  101. 101. SET : Secure Electronic Transactions <ul><li>Basado en propuestas previas: </li></ul><ul><ul><li>Secure Transaction Technology (STT) </li></ul></ul><ul><ul><li>Secure Electronic Payment Protocol (SEPP) </li></ul></ul><ul><li>Desarrollado por VISA y MasterCard, con el apoyo de GTE, IBM, Microsofot, Netscape, Terisa, VerySign y RSA Data Security </li></ul><ul><li>La versión 1.0 lanzada 31 de Mayo de 1997 </li></ul><ul><li>Es independiente de cualquier HW o plataforma de SW </li></ul>Seguridad en Redes - © Ing. Wayner Barrios B.
  102. 102. Funcionamiento del protocolo SET 1 4 2 3 5 $$ Cliente Certificado Entidad Certificadora Comerciante <ul><li>Comprador desea pagar </li></ul><ul><li>Comerciante confirma fondos del Cliente </li></ul><ul><li>Entidad Certificadora autoriza pago verificando certificado del Cliente </li></ul><ul><li>Cliente confirma su pago </li></ul><ul><li>Comerciante solicita su pago </li></ul><ul><li>Entidad Certificadora ordena la transferencia </li></ul>Banco del Cliente Banco del Comerciante
  103. 103. Seguridad en Redes - © Ing. Wayner Barrios B. Network Access Control Módulo de Seguridad en redes
  104. 104. NAC: Network Access Control Es un enfoque en Seguridad de Redes que intenta unificar la tecnología (tales como Antivirus, IDS, IPS, Identificación de vulnerabilidades), Sistemas de Autenticación de Usuario y la aplicación de la Política de Seguridad Informática. <ul><li>Objetivos de un NAC </li></ul><ul><li>Mitigación de Cero Ataques en el día </li></ul><ul><li>Aplicación de la Política de Seguridad </li></ul><ul><li>Administración de Identidad y Accesos </li></ul>
  105. 105. Entendiendo los procesos de un NAC
  106. 106. NAC: La Administración Centralizada de la Seguridad en la Red Todo en una sola consola
  107. 107. Soluciones comerciales de NAC <ul><li>Enterasys NAC </li></ul><ul><li>TippingPoint NAC </li></ul><ul><li>HP - ProCurve Networking - NAC 800 </li></ul><ul><li>Nortel SNA </li></ul><ul><li>Bradford Networks - Campus Manager/NAC Director </li></ul><ul><li>Cisco NAC </li></ul><ul><li>Insightix Visibility and NAC </li></ul><ul><li>Impulse Point - Safe.Connect NAC </li></ul><ul><li>ForeScout - CounterACT Clientless NAC and Signatureless IPS </li></ul><ul><li>Juniper Networks Controlling Access </li></ul><ul><li>NetClarity patented agent-less NACwalls </li></ul><ul><li>McAfee Network Access Control McAfee </li></ul><ul><li>Mirage Networks - Network Access Control </li></ul><ul><li>Sophos Network Access Control </li></ul><ul><li>Symantec Network Access Control </li></ul><ul><li>Ignition from Identity Engines </li></ul><ul><li>Trend Micro Network VirusWall Enforcer </li></ul><ul><li>USP Network Authentication System </li></ul>
  108. 108. Seguridad en Redes - © Ing. Wayner Barrios B. Informática Forense Módulo de Seguridad en redes
  109. 109. Informática Forense: Definiciones Seguridad en Redes - © Ing. Wayner Barrios B. <ul><li>Delito Informático </li></ul><ul><ul><li>Un acto que viola la Ley y que fue llevado a cabo con la ayuda de las computadoras </li></ul></ul><ul><li>Evidencia Digital </li></ul><ul><ul><li>Es un tipo de evidencia física. Esta construida de campos magnéticos y pulsos electrónicos que pueden ser recolectados y analizados con herramientas y técnicas especiales </li></ul></ul><ul><li>Computación Forense </li></ul><ul><ul><li>La investigación forense en computación es la aplicación de métodos y técnicas para obtener, analizar y preservar toda evidencia digital susceptible de ser eliminada o sufrir alteraciones. </li></ul></ul><ul><ul><li>Permite reunir pruebas para adelantar una acción penal. </li></ul></ul>
  110. 110. La prueba en informática Seguridad en Redes - © Ing. Wayner Barrios B. <ul><li>Problemas en la informática </li></ul><ul><ul><li>Falta de conocimiento y habilidades del legislador para identificar, valorar y revisar evidencia digital. </li></ul></ul><ul><ul><li>Facilidad de la duplicación y dificultad en la verificación del original </li></ul></ul><ul><ul><li>Dónde está el original de la evidencia digital? </li></ul></ul><ul><ul><li>Almacenamiento y durabilidad de la información en medios electrónicos. Reconocimiento legal del mismo </li></ul></ul><ul><ul><li>Identificación problemática del autor de los documentos </li></ul></ul><ul><ul><li>El transporte inadecuado puede llevar a modificar el contenido de la evidencia digital recolectada. </li></ul></ul><ul><ul><li>La evidencia recolectada puede estar cifrada, lo cual hace que no se pueda identificar con facilidad su contenido. </li></ul></ul><ul><ul><li>Desconocimiento de las técnicas de intrusión de sistemas </li></ul></ul>
  111. 111. Informática Forense: En busca de una solución … Seguridad en Redes - © Ing. Wayner Barrios B. <ul><li>Seguridad Informática </li></ul><ul><ul><li>Principios: Confidencialidad, Integridad y Disponibilidad </li></ul></ul><ul><ul><li>Servicios: Autenticación, autorización, No-repudiación y auditabilidad </li></ul></ul><ul><li>Mecanismos de Seguridad Informática </li></ul><ul><ul><li>Firmas digitales </li></ul></ul><ul><ul><li>Certificados digitales </li></ul></ul><ul><ul><li>Algoritmos de encripción simétrica y asimétrica </li></ul></ul><ul><ul><li>Intrusion Detection Systems, Control de integridad de archivos </li></ul></ul><ul><ul><li>Logs de auditoría </li></ul></ul>
  112. 112. Informática Forense: Herramientas de software Seguridad en Redes - © Ing. Wayner Barrios B. <ul><li>EnCase: http://www.encase.com </li></ul><ul><li>Forense ToolKit: http://www.accessdata.com </li></ul><ul><li>Digital Intelligence Software: http://www.digitalintelligence.com </li></ul><ul><li>Paraben Forensic Tools: http://www.paraben-forensics.com </li></ul><ul><li>WinHex: http://www.x-ways.net/winhex/ </li></ul><ul><li>SafeBack: http://www.forensics-intl.com/safeback.html </li></ul>
  113. 113. Sitios de interés <ul><li>www.isaca.org Information Systems Audit & Control Association </li></ul><ul><li>www.hispasec.com HISPASEC SISTEMAS </li></ul><ul><li>www.zone-h.org </li></ul><ul><li>www.microsoft.com/latam/technet/articulos/200011/art04/default.asp Estrategia de Seguridad de Microsoft Corp. </li></ul><ul><li>www.jc1.se/images/spam1.htm Métodos para combatir el SPAM </li></ul><ul><li>www.us-cert.org U.S. CERT (USA Computer Emergency Response Team ) </li></ul><ul><li>www.a ntiphishing.org (APWG AntiPhishing Working Group) </li></ul>Seguridad en Redes - © Ing. Wayner Barrios B.
  1. A particular slide catching your eye?

    Clipping is a handy way to collect important slides you want to go back to later.

×