dr. j. de jesús vázquez g

Jesús Vázquez G. ITESM-CEM 1998

Dr. J. de Jesús Vázquez G.

Necesidad de SeguridadComputacional en los

Sistemas Actuales


Agenda

• Tendencia Actual

• Estrategia de Seguridad

• Conclusión Temas de investigación

• Referencias


Tendencia Actual


Tendencia Actual

• El WWW provee acceso completo a la información.

• Tiene un crecimiento anual de más del 500%.

• Es ideal para llevar los negocios hasta el rincón más apartado del mundo.


Tendencia Actual

• Europa va a la vanguardia, siendo Holanda el más avanzado y con esquemas de comercio ya muy consolidados.

• Estados Unidos y Canadá empiezan a ver en el comercio electrónico su estrategia a futuro para realizar negocios.


Tendencia Actual

• Africa del Sur, Asia y Oceanía están trabajando hacia ese esquema.

• Latinoamérica no debe rezagarse en esta tendencia.


El comercio electrónico ya no es más un “lujo” que se pueden dar ciertas grandes corporaciones.

El comercio electrónico es la herramienta que permitirá aplicar las nuevas formas de producir y comerciar en un país y en el mundo.

Tendencia Actual


Banco del cliente

Banco del proveedor

ClienteProveedor

Retiro Depósito

Pago efectivo

Pago real

cp8

Tendencia Actual


Banco del cliente

Banco del proveedor

ClienteProveedor

AvisoDepósito

Pago documento

Pago real

Tendencia Actual


Orden de Compra

Captura de Datos

Captura deDatos

Factura

MensajeríaComputadora Computadora

Intercambio de Documentos (normal)

Retardo

Retardo

Retardos, Errores, Costos

Cliente Proveedor


Costos

• Pérdidas a nivel mundial por más de 300 billones de dólares.

• Representa hasta el 10% del costo del producto.

• Representa hasta el 7% del costo de flete.

• Costos por tiempo de almacenamiento en aduanas por falta de documentos.


Orden de Compra

Ingreso de Datos

Ingreso deDatos

Factura

RedComputadora Computadora

Tendencia Actual (EDI)

Cliente Proveedor


Algunos aspectos a satisfacer

• e-mail seguro.

• Intercambio de documentos seguro.

• Ordenes de compra y Facturas.

• Publicidad electrónica.

• Suscripciones.

• Firma de contratos.

• Información financiera oportuna.

• Subastas electrónicas.

• Seguridad de la Organización.


Tendencia Actual

• Esta tendencia tecnológica es inminente.

• Representa una apertura sin precedentes.

• Es necesario agudizar nuestros esquemas de seguridad.


• Desafortunadamente, este gran crecimiento incluirá (incluye) individuos deshonestos llamados “Crackers”.

• Ninguna institución está libre del asecho de estos individuos.

• Todo el mundo alguna vez ha sido afectado por algún problema de seguridad.


HackerHacker

CrackerCracker

Aquella persona que en forma persistente realiza intentos hasta obtener acceso a sistemas computacionales. Una vez logrado el acceso produce daños a los recursos del sistema atacado.

Aquella persona que tiene un alto grado de conoci-miento y experiencia en el campo de la computación, que es capaz de aplicar sus experiencias con gran facilidad, así como compartir su conocimiento con aquellos que apenas inician. Generalmente no causan daños.

Diferencia:


WormMorris,1988

Interface Table Routing Table /.rhosts /etc/hosts.equiv

Phase 0 /etc/passwd

rt_initif_init

User name List

Guessed Passwords

Phase 1

Phase 2

Phase 3

Obvious Guesses

Internal Words

/usr/dict/words

~/. forward ~/. rhosts

Hit rsh Hit rexecHit finger Hit SMTP

waithit(wait for infected client to respond)

Host List

El despertar...


Sniffers

PKT: (----A- 0000) 148.241.61.18[1225] => 148.241.61.3[telnet]PKT: (----A- 0000) 148.241.61.18[1225] => 148.241.61.3[telnet]PKT: (----A- 0000) 148.241.61.18[1225] => 148.241.61.3[telnet]-- TCP/IP LOG -- TM: Sat Aug 26 16:47:35 -- PATH: nicaragua(1330) => mexico(telnet) STAT: Sat Aug 26 16:47:47, 37 pkts, 43 bytes [SIGNAL] DATA: (255)(253)^C(255)(251)^X(255)(250)^X : SUN-CMD(255)(240)(255)(253)^A(255)(252)^A : mauricio : remmer

Cualquiera, 1998


Estrategia de Seguridad


Estrategia de Seguridad

• Análisis de vulnerabilidades.

• Definición de la Política de Seguridad.

• Selección de los mecanismos que permiten implantar la Política de Seguridad.

• Evaluación de las medidas tomadas.


Políticas de Seguridad


Análisis de vulnerabilidades.

• Primer vistazo a la seguridad existente:

• Lógica.Orientada a los sistemas.

• Física.Ingeniería social.Revisión de instalaciones.


Política de Seguridad

• Definición del conjunto de reglas que deben respetarse para mantener la seguridad de la información.

• Depende de los objetivos de la organización.


Requisitos de Seguridaden Sistemas Actuales

• Autentificación

• Integridad

• Confidencialidad

• Disponibilidad

• No repudiación


Autentificación

La autentificación se refiere a demostrar la identidad de las entidades involucradas en la transacción. Evita que alguien tome la identidad de otro. Generalmente toma dos formas:

• Autentificación del proveedor de bienes o servicios.

• Autentificación del cliente.


Integridad

Los datos intercambiados en una transacción no deben sufrir modificaciones.


Confidencialidad

Generalmente, los participantes en una negociación desean privacía en sus transacciones.


Disponibilidad

Cuando se desea adquirir un bien o efectuar un pago, es indispensable contar con una alta disponibilidad de los recursos de comunicaciones.


No repudiación

Es necesario garantizar que alguien que haya recibido un pago no pueda negar este hecho.

Es necesario garantizar que alguien que haya efectuado un pago no pueda negar haberlo hecho.

Se requiere de Notarios.



Reglas:

• Sobre los usuarios.

• Sobre la información.

• Sobre los sistemas y equipos.

• Plan de contingencia.

• Cultura de Seguridad Computacional.


Paradigmas

1) Paranoico: Nada está permitido (Sin conexión a internet).

2) Prudente: Lo que no está expresamente permitido, está prohibido.

3) Permisivo: Lo que no está expresamente prohibido, está permitido.

4) Promiscuo: Todo está permitido.

*


Estrategia en una Universidad

• Iniciar haciendo seguros los sistemas prioritarios al Campus.

• Proseguir con las redes internas.

• Concluir haciendo segura la conexión a internet.

• “De adentro hacia fuera”.


Nivel 1

Nivel 2

Nivel 3

Nivel 4

Nivel 5

Primera Línea, Administrador de Seguridad, Administrador General de Sistemas

Segunda Línea, División Informática.

Personal Docente

Alumnos

Cuentas provisionales, Usuarios temporales

Nivel 6 Usuarios sin privilegios

Niveles de seguridad de usuarios


Nivel 1

Nivel 2

Nivel 3

Nivel 4

Nivel 5

Firewall, Autentificación (certificados), Servidor de Cursos rediseñados, ruteadores, switches, T Server.

Correo, NIS, NFS, DNS, DHCP, control escolar

Nivel 6

Niveles de seguridad de servidores

WWW, FTP anónimo

FTP, TELNET, paquetes LCE, Biblioteca Digital, HDesk, Servidor de archivos de profesores

Servidores de archivos de alumnos

Servidores de archivos de usuarios temporales


Reglas para usuarios

Documentoelectrónico

Huellafirma

Documentoelectrónico

firma

89Nivel 1y 2 Nivel 3

Opcional


Estrategia en organizaciones Militares

Top-Secret

Secret

Classified

Unclassified


Read Down

Top-Secret

Secret

Classified

Unclassified

Read Up

Simple Security


Write Up

Top-Secret

Secret

Classified

Unclassified

Write Down

*-property


S

C

TS

r

r

w

w

Política MLS en un sistemaCliente - Servidor


S

TS

UC

TS

S

TS

UC

C

TS

CC

Política MLS en Redes

Escritura de A a C

A

B C

D


Clark y Wilson proponen en 1987 la política de seguridad comercial.

Basada en:

• Transacciones Correctas.• Separación de Funciones.

Estrategia en organizacionesno militarizadas


Un modelo de seguridad comercial

TC1

TC3

TC2

O1

O3

O2

O4

S2

S3

S1


Plan de Contingencia• Preservar vidas humanas.

• Recuperar información de niveles 1 y 2.

• Preservar equipos e infraestructura.

• Recuperar información de niveles 3 a 6.

• Cuidar la imagen de la empresa.

• Aplicar aspectos legales.

• Investigar cómo ocurrio el incidente. Adecuar la Política de seguridad.


Respuesta a Incidentes

• Llamar a la persona adecuada.

• Lugar, fecha y hora en que ocurrió el incidente.

• Indicar plataforma utilizada.

• Indicar sistema operativo utilizado.

• Aplicación que estaba utilizando.



Requiere:

• Respaldo de la Dirección General.

• Consejo de Seguridad.

• Administrador de seguridad y staff.

• Difusión de políticas.


Selección de mecanismos


Selección de Mecanismos

(Para implementar la Política de Seguridad)


Mecanismos de Implementación

(Ejemplo) Seguridad en Internet. Mecanismos

que nos permitan controlar el flujo de tráfico entre la red privada e Internet.

Seguridad Local (Unix). Instalación inicial y administración de seguridad continua de sistemas.


GW 1

GW 3

GW 4 GW 5

GW 2

GW6

GW7

Red Insegura


Seguridad en INTERNET

Uno de los mecanismos de seguridad más comunmente usados hoy en día consiste en la instalación de un firewall.

*


Internet Red aproteger

Bastion Host

Dual-homed gateway


Ejemplos de políticas:

action ourhost port theirhost port

block * * Atacante *

allow GW 25 * *

allow * * * 25

block * 80 * *


GW 1

GW 3

GW 4 GW 5

GW 2

GW7

Bastion Host


AutentificaciónLa Autentificación es un punto importante a tratar en la seguridad.

Generalmente, en los sistemas UNIX, ésta se lleva a cabo bajo el débil esquema de login y password.Este es el principal problema de seguridad en la mayoría de los sistemas.


KERBEROSKerberos es un sistema de autentificación que permite:

- Probar la identidad de las entidades que se comunican en la red.

- Prevenir los ataques de escucha y de repetición de información.

- Detectar la modificación de los flujos de datos (integridad).

- Prevenir la lectura no autorizada usando DES (Data Encryption Standard).


GW 3

GW 4 GW 5

GW 2

GW7

GW 1

Bastion Host


GW 1

Bastion Host

KERBEROS


Seguridad en UNIX

Existen actualmente herramientas que nos permiten evaluar globalmente la seguridad de sistemas UNIX (SATAN, COPS, etc).


GW 1

Bastion Host

COPS


GW 3

GW 4 GW 5

GW 2

GW7

GW 1

Bastion Host


Confidencialidad

Integridad

Disponibilidad

Pretty Good Privacy

Firewalls, Backups, Redundancia, Plan de contingencia, etc.

(PGP) , DES, RSA, IDEA y Kerberos

Tripwire y Message Digest 5

(MD5), PGP (Firma Digital).

Sugerencia:Sugerencia:*


No olvidar que lo anterior es inútil si no es derivado de una Política de Seguridady si no se fomenta una cultura de seguridad.


Caso universitario

• Los niveles de usuarios se implementarán mediante certificados. Se requiere un AC y un Directorio.

• Los niveles de información se implementan con administración continua. (manual)

• Los niveles de redes y servidores se implementan con buena configuración de dispositivos. (manual)


Caso comercio electrónico

Existen dos requisitos básicos para realizar comercio electrónico en Internet (WWW):

• Transporte de información seguro (Canal de comunicación seguro).

• Pagos Seguros.


Ubicación en el Modelo OSISistema A

Aplicación

PresentaciónSesión

Transporte

Red

Enlace

Físico

Sistema B

medio físico de transmisión

Aplicación

PresentaciónSesión

Transporte

Red

Enlace

Físico

Pagos

Canal Seguro


Canal Seguro

Este canal es provisto por una capa de transporte, al que se le agregan características de autentificación, confidencialidad e integridad de extremo a extremo.


Pagos Seguros

Existen dos esquemas generales para realizar un pago electrónico:

• Pago en efectivo.

• Pago con documento.


Limitaciones

Existen aún ciertas limitaciones:

• Culturales: Dar el justo valor a la información.

• Tecnológicas, en cuanto a desempeño y a seguridad computacional se refiere.


Limitaciones

• Soluciones propietarias.

• Exportación de la criptografía.

• Soluciones que requieren de un dispositivo específico (smart cards, electronic wallets, etc.).


Desventajas de los mecanismos de seguridad

No adaptados a nuevos productos. No contrarrestan virus, worms, bugs, bombas lógicas,

caballos de troya, etc. Cuellos de botella. Todos los huevos en la misma canasta. Poco inteligentes. Aislados (falta de soluciones inegradas). La seguridad tiene muchos significados.


Temas de investigación• Definición de Políticas de Seguridad.• Integración de Herramientas de Monitoreo y prevención.• Políticas Multidominio.• Servidores WWW seguros.• Detección de Intrusión.• Seguridad en Sistemas de Archivos.• Firewalls Inteligentes.• Análisis de ataques.• Implementación de criptosistemas nacionales.• Seguridad en sistemas tiempo real.


Moraleja

• No se puede garantizar la seguridad de un sistema al 100%.

• La recuperación de la inversión en seguridad no es fácil de demostrar.


Referencias


Gracias

[email protected]

dr. j. de jesús vázquez g

Documents