TEMA 5: Seguridad en los Sistemas Informticos

1
TEMA 5 Seguridad en los Sistemas Informáticos
2
Seguridad ante

• Ataques a los sistemas informáticos de las
  empresas.
• Captura de datos confidenciales transmitidos por
  Internet.
• Intrusos, Hackers, Crackers,

3
Los fraudes informáticos (Parker)

• Data diddling (introducción de datos falsos).
• Trojan horse (caballo de troya).
• Salami Techniques o rouding down.
• Superzapping (uso no autorizado de un programa
  clave).
• Trap doors (Trampas).
• Logic bombs (bombs lógicas)
• Asynchronous attacks (ataques asíncronos).
• Scavenging (recogida de información residual).
• Piggybacking y Impersonation (trasiego de
  personas).
• Wiretapping (pinchazo de líneas)

4
Lo que se persigue

• Autentificación de usuarios Para asegurar que
  quien accede a la información es quien realmente
  debe hacerlo, y está autorizado para ello.
• Privacidad de los datos Cada usuario accede solo
  a la información que le esta permitida según el
  tipo de usuario.
• Integridad de la información es realmente la
  función que persigue la encriptación.
• No repudio de origen El que envía datos no puede
  negar que lo ha hecho.

5
Como se consigue

• CORTAFUEGOS (FIREWALL).
• SERVIDORES PROXY
• ENCRIPTACIÓN
• CERTIFICADOS DIGITALES

6
CORTAFUEGOS (FIREWALL) (1)

• Conjunto de componentes hardware y software
  destinados a establecer unos controles de
  seguridad en el punto o puntos de entrada de
  nuestra red.
• Permite al administrador poner un embudo
  manteniendo al margen usuarios no autorizados,
  prohibiendo potencialmente la entrada/salida al
  vulnerar los servicios de la red y proporcionar
  la protección para varios tipos de ataques
  posibles.
•  

7
CORTAFUEGOS (FIREWALL) (2)

• Podremos distinguir entre el interior y el
  exterior, pudiendo determinar qué comportamiento
  general queremos para cada servicio.
• Permiten llegar donde los mecanismos de
  seguridad de los sistemas operativos a veces no
  pueden.
• Permite ofrecer y utilizar servicios de Internet
  e Intranet de una forma más segura.

8
Tipos de cortafuegos (1)

• Packet filter (filtrador de paquetes).
• Se basa en el tratamiento de los paquetes IP a
  los que aplica unas reglas de filtrado que le
  permiten discriminar el tráfico según nuestras
  indicaciones.
• Tipos de agresiones
• Por direccionamiento IP (IP origen falsa interna)
• Por router (el paquete indica qué dirección de
  ruteo debe tomar el paquete)
• Por fragmentación (dividir paquetes TCP)
• Pasarelas a nivel de aplicación.
• Tratan los servicios por separado, utilizando el
  código adecuado para cada uno.

9
Tipos de cortafuegos (2)

• Pasarelas a nivel de circuito.
• Se basan en el control de las conexiones TCP y
  actúan como si fuesen un cable de red
• Por un lado reciben las peticiones de conexión a
  un puerto TCP.
• Y por otro, establecen la conexión con el
  destinatario deseado, si se han cumplido las
  restricciones establecidas, copiando los bytes de
  un puesto al otro.

10
Beneficios del Cortafuegos

• Incremento de la seguridad del sistema
• Auditorías del uso de red
• Localización de cuellos de botella
• Justificar gasto de conexión a Internet
• Ideal para colocar servidores WWW y FTP

11
Limitaciones del Cortafuegos

• Fugas de seguridad
• Ataques sociales
• Virus a través de la red interna
• Ataques mediante transferencia de datos

12
Inconvenientes del Cortafuegos

• Restringen el acceso a Internet desde la red
  protegida.
• Programas como Netscape, que requieren una
  conexión directa con la Internet, no funcionan
  desde detrás de un cortafuegos. La solución es un
  Servidor Proxy.

13
Servidor Proxy

• Invento que permite el acceso directo a Internet
  desde detrás de un cortafuegos.
• Funcionan abriendo un socket en el servidor y
  permitiendo la comunicación con Internet a través
  de él.

14
Herramientas del hacker(I)

• Recolección de información
• SNMP conocer topología de la red
• Traceroute descubrir routers y redes intermedias
• Nslookup para acceder al dns
• Finger información sobre los usuarios
• Ping ver si un servidor está activo

15
Herramientas del hacker(II)

• Sondeo de seguridad
• Prueba de servidores existentes
• Intentar conexión en puertos específicos
  especificando el tipo de servicio que está
  asignado a ese puerto
• Uso de herramientas tipo SATAN o ISS
• Rastreo de subred o dominio en busca de fugas de
  seguridad
• Uso de esta información para acceso no autorizado

16
Herramientas del hacker(III)

• Acceso a sistemas protegidos una vez dentro
• Destruir evidencias
• Crear fugas
• Instalar caballos de troya
• Encontrar otros servidores del sistema de mayor
  relevancia
• Acceso a email, archivos, etc

17
Criptosistemas O Encriptación

• Criptografía simétrica
• DES
• Criptografía asimétrica
• Intercambio Diffie-Hellman
• RSA
• Firma digital
• MD5

18
Criptografía simétrica

• Basados en la utilización de la misma clave para
  cifrar y descifrar
• Previamente conocida por emisor y receptor
• Son públicos (seguridad del método)
• Modos de cifrado dependen de la relación
  existente entre los bits del mensaje en claro
• Cifrado de flujo
• Cifrado de bloque

19
Cifrado de flujo

• Basados en el cifrado de Vernam
• Se utiliza una clave con el mismo número de bits
  que el mensaje a cifrar.
• Se utiliza un generador de números
  pseudo-aleatórios (PRNG) para generar la clave

20
DES Características

• Es un cifrado de bloques de 64 bits
• La clave es de 64 bits, dónde sólo son efectivos
  56 y el resto son para control de la paridad.
• Se basa en bloques (rounds) que aplican
  sustituciones (S-Box) y permutaciones (P-Box)
• Se realizan 16 vueltas sucesivas
• Sólo se utilizan operaciones aritmetico-lógicas
  estándar sobre enteros de 64 bits.
• Se implementa fácilmente en hardware (se aprobó
  la implementación software en 1.993)

21
Criptografía asimétrica

• Métodos públicos basados en la utilización de dos
  claves distintas para cifrar y descifrar
• Una es privada y sólo conocida por el receptor
• Otra es pública y conocida por cualquier emisor
• Dos entidades pueden intercambiar información
  secreta sobre un canal inseguro
• Usos
• Privacidad/Integridad cifrado
• Autentificación firma digital
• Negociación de passwords/claves de sesión

22
Bases de criptografía asimétrica

• Presentada por Diffie-Hellman en 1.976
• Los algoritmos asimétricos deben cumplir
• El cálculo del par de claves debe ser fácil
• El emisor A, si conoce la clave pública KP y el
  mensaje P, calcula C EKP(P) en O(n).
• El receptor B, conociendo su clave secreta KS y
  el criptograma C, determina PDKS(C) en O(n)
• Obtener KS a partir de KP es intratable.
• Obtener P de KP y C es intratable

23
Envoltura digital (1)

• El problema de la criptografía simétrica es el
  reparto de las claves
• Todos los participantes deben conocerlas
• Sólo los participantes deben conocerlas
• Negociación de claves simétricas mediante
  criptografía asimétrica
• Se usa un método seguro para compartir claves
• Se usa un método rápido para cifrar los datos
• Ejemplo
• Usar cifrado DH para intercambiar una clave DES

24
Envoltura digital (2)
Encriptación
Desencriptación
25
Resumen digital

• Funciones hash que transforman mensajes de
  longitud arbitraria en mensajes de longitud fija
• hH(P)
• La función hash tiene que cumplir
• Dado P es fácil calcular H(P)
• Dada h es difícil encontrar P con H(P)h
• Dado P es difícil hallar P tal que H(P)H(P)
• Es difícil hallar P y P tales que H(P)H(P)

26
MD5 Message Digest 5

• Creado por Ron Rivest (1.992) RFC 1321
• Produce un hash de 128 bits
• Procesa el mensaje en bloques de 512 bits
• Cada bloque se pasa por 4 etapas
• En cada etapa se aplica una función f 16 veces
• Se calcula tiint(232abs(sin(i))), i en radianes
• La salida de f depende del resultado anterior y
  ti
• Cada f implementa una función lógica no lineal
• Está siendo estudiado y objetado, pero no ha sido
  roto aún

27
Seguridad en razón del tamaño de la clave pública
28
Firma digital (1)

• Surgen con el uso de la criptografía asimétrica
• Asegura la identidad del emisor
• Aseguran la integridad del mensaje (a diferencia
  de las manuales)
• Es necesario un modelo de confianza
• En el poseedor de la clave privada
• En la entidad que certifica la validez de dicha
  clave
• Hay esquemas de claves asimétricas sólo válidos
  para firmas digitales

29
Firma digital (2)

• Diferentes modos de implementación
• Cifrar con la clave privada todo el mensaje P
• Muy lento generando la firma
• Cifrar con la clave privada sólo un resumen
  digital
• El modelo más implementado (DSA, RSA)
• Keyed-hash Hacer un resumen digital de P y una
  clave privada
• Ambos deben de conocer la clave

30
Firma digital (3)
31
Autoridades de Certificación

• Uso de un sistema de cifrado para la recepción
  segura de documentos.
• Basado en el protocolo SSL (Secure Socket Layer).
  Requiere el uso de Certificados Digitales.
• Funcionamiento
• El cliente se conecta con el servidor.
• El servidor le envía su clave pública (en forma
  de certificado).
• El cliente cifra con ella la clave secreta que
  ambos utilizaran en el intercambio seguro
  posterior.

32
Característica del sistema de criptografía de
clave pública

• Las claves han de ser avaladas o certificadas por
  una tercera entidad, con el fin de tener la
  seguridad de que pertenecen a quien dicen
  pertenecer.
• Para lo cual se crean las Autoridades de
  Certificación (CAS)
• Son organismos supuestamente seguros e
  independientes que cobran por certificar claves
  publicas y testificar de forma digital que las
  claves publicas pertenecen a aquellos que dicen
  ser sus propietarios.

33
Partes de un Certificado (1)

• Clave publica
• Nombre del propietario
• Periodo temporal de validez (fecha de expedición
  y expiración)
• Nombre de la Autoridad de Certificación que lo
  emite
• Numero de serie
• Otros campos opcionales

34
Partes de un Certificado (2)

• Firma digital del emisor. Clave privada de la
  Autoridad de Certificación.
• Resumen de todos los campos anteriores generado
  con una función hash segura.

35
Proceso de verificación de un Certificado Personal
CERTIFICADO PERSONAL
Certifico que esta clave Pepito Calves Nª
Serie2345AB-45678 Algoritmo RSAMD5 Valido desde
2-1-1998 hasta 2-1-2000 Firma y Rubrica Autoridad
CLAVE PUBLICA
VERIFICADA
CERTIFICADO DE AUTORIDAD (CA)
A
Certifico que soy la Autoridad y que puedo
certificar claves publicas. Nª Serie000-000-1ASXC
Z Algoritmo RSAMD5 Valido desde 2-1-1998 hasta
2-1-2000 Firma y Rubrica Autoridad
A
36
Protocolo SSL

• Creado por Netscape.
• Los clientes (los navegadores), lo traen
  incorporado de serie.
• Los servidores web que quieran funcionar con
  https han de incorporar el soporte de SSL en sus
  ejecutables.

37
Descripción de protocolo SSL (1)

• El cliente envía un Hola
•  El servidor acepta la conexión enviando a su vez
  su clave publica certificada por una autoridad.
• Esto sirve para autentificarse así mismo y
  permite al cliente que pueda utilizar la clave
  pública para cifrar con ella una clave secreta
  que envía al servidor de forma segura.
• Envío de una clave secreta por parte del cliente
  al servidor.
• La comunicación se establece y se cifrará con la
  clave secreta antes intercambiada.

38
Descripción de protocolo SSL (2)
HOLA
CLIENTE
SERVIDOR
CERTIFICADO
CLAVE SECRETA CIFRADA