seguridad ¿qué proteger? ¿de qué proteger? ¿qué conseguir? ¿cómo proteger? hardware software...
TRANSCRIPT
SeguridadSeguridad
¿Qué proteger?¿Qué proteger? ¿De qué proteger?¿De qué proteger?
¿Qué conseguir?¿Qué conseguir?
¿Cómo proteger?¿Cómo proteger?
HardwareHardware
SoftwareSoftware
DatosDatos
PersonasPersonas
Amenazas LógicasAmenazas Lógicas
Problemas físicosProblemas físicos
PrevenciónPrevención
DetecciónDetección
RecuperaciónRecuperación
AutenticaciónAutenticación
DisponibilidadDisponibilidad
ConfidencialidadConfidencialidad
IntegridadIntegridad
No repudioNo repudio
Introducción
CatástrofesCatástrofes
Autorización Autorización
AuditoríaAuditoría
Datos
CriptografíaCriptografía
EncriptaciónEncriptación
Datos
DesencriptaciónDesencriptaciónasE4Bhl
Datos Datos cifradoscifrados
Criptografía
Datos Hash
Algoritmo Algoritmo HashHash
Algoritmos Hash de una direcciónAlgoritmos Hash de una dirección
• MD4 y MD5MD4 y MD5
• SHASHA
Algoritmos Hash
Datos
Hash
Algoritmos Hash de una dirección con claveAlgoritmos Hash de una dirección con clave
• MACMAC
Algoritmos Hash con clave
Clave Clave PrivadaPrivada
Algoritmo Algoritmo HashHash
Autenticación NT-UNIX simplificada
Autenticación NT-UnixAutenticación NT-Unix
Contraseña
Usuario
Algoritmo Algoritmo HashHash
BD contraseñas encriptadas
Usuario1
Usuario2
Contr Enc
Contr Enc
¿ Iguales ?¿ Iguales ?Acceso Acceso permitidopermitido
SiSi
Acceso Acceso denegadodenegado
NoNo
ClienteCliente ServidorServidor
Usuario
Contr. Encrip.
Algoritmo Algoritmo HashHash
Contraseña
UsuarioCreación de
Usuario
Autenticación de un Usuario
Contr. Encrip.
Contr. Encrip.
Datos
Algoritmo de clave simétrica Algoritmo de clave simétrica ( ó privada)( ó privada)
asE4Bhl
Datos Datos cifradoscifrados
Clave Clave PrivadaPrivada
Algoritmo de Algoritmo de clave simétricaclave simétrica
Datos
Clave Clave PrivadaPrivada
Algoritmo de Algoritmo de clave simétricaclave simétrica
Algoritmos de clave privada
• DES y triple DESDES y triple DES
• IDEAIDEA
• RC2 y RC4RC2 y RC4
• SkipJackSkipJack
Datos
asE4Bhl
Datos Datos cifradoscifrados
Datos
Clave Clave PrivadaPrivada
Algoritmo de Algoritmo de clave públicaclave pública
Algoritmo de Algoritmo de clave públicaclave pública
Clave Clave PúblicaPública
Algoritmos de clave pública
• RSARSA
• Diffie-HellmanDiffie-Hellman
Algoritmo de clave asimétrica ( ó pública)Algoritmo de clave asimétrica ( ó pública)
Datos
Cifrado privadoCifrado privado
Cifrado públicoCifrado público
Datos Hash
Algoritmo Algoritmo HashHash
Firma digitalFirma digital
Firma Firma DigitalDigital
Algoritmo declave pública
Clave Clave PrivadaPrivada del firmadordel firmador
Firma Digital
Datos
Datos Datos firmadosfirmados
Algoritmo declave pública
Datos
Hash
Hash
Firma Firma DigitalDigital
Clave Pública Clave Pública del firmadordel firmador
Algoritmo Algoritmo HashHash
Datos Datos auténticos auténticos íntegros y íntegros y validadosvalidados
SiSi
Datos FalsosDatos Falsos
NoNo
IgualesIguales
Comprobación de firma digitalComprobación de firma digital
Comprobación de firma digital
Datos
Datos Datos firmadosfirmados
CertificadoCertificadoIdentificación del titular del certificado
Certificado
Clave Clave Pública Pública del titulardel titular
$
VISIO CORPORATION
Certificado de una EntidadCertificado de una Entidad
Datos de la Autoridad de Certificación
Firma Digital de la Firma Digital de la Autoridad CertificadoraAutoridad Certificadora
Fechas de Fechas de expediciónexpedición y y expiraciónexpiración del Certificado del Certificado
Nº de serie: E524 F094 6000 5B80 11D3 3A19 A976 471D
Algoritmo de encriptación empleado para firmar
Usos del certificado
X.509v3X.509v3
Petición de CertificadoPetición de Certificado
Datos de la Entidad
Petición de Certificado
Generador de Generador de pareja de clavespareja de claves
Clave Clave Privada Privada (bajo contraseña)(bajo contraseña)
Clave Clave PúblicaPúblicaPetición
EntidadEntidad
Autoridad Autoridad Certificadora (CA)Certificadora (CA)
Petición Datos CA
$
VISIO CORPORATION
Certificado de la EntidadCertificado de la Entidad
Respuesta
Clave Clave Pública Pública EntidadEntidad
RespuestaClave Clave Privada Privada $
VISIO CORPORATION
Certificado de la EntidadCertificado de la Entidad
Clave Clave Privada de CAPrivada de CA
SSLSSL
SSL
httphttpss://www.dominio.com://www.dominio.com
$
VISIO CORPORATION
Certificado servidorCertificado servidor
Auténtico ?Auténtico ?
Continuar ?Continuar ?NoNo
SiSi
SiSi
Clave Clave Pública Pública servidorservidor
Clave Clave Privada Privada servidorservidor
Clave simétrica Clave simétrica de sesiónde sesión
asE4Bhl
Clave simétrica Clave simétrica de sesiónde sesión
Clave simétrica Clave simétrica de sesiónde sesión
NoNoFinFinClienteCliente
ServidorServidor
Generador de clavesGenerador de claves
SSL dobleSSL doble
SSL doble
httphttpss://www.dominio.com://www.dominio.com
$
VISIO CORPORATION
Certificado servidorCertificado servidor
Auténtico ?Auténtico ?
Continuar ?Continuar ?NoNo
SiSi
SiSi
Clave Clave Pública Pública servidorservidor
Clave Clave Privada Privada servidorservidor
Clave simétrica Clave simétrica de sesiónde sesión
asE4Bhl
Clave simétrica Clave simétrica de sesiónde sesión
Clave simétrica Clave simétrica de sesiónde sesión
NoNoFinFinClienteCliente
ServidorServidor
Generador de clavesGenerador de claves
$
VISIO CORPORATION
Certificado clienteCertificado cliente
Auténtico ?Auténtico ?
NoNo
FinFin
SiSi
Smart Cards
Smart Cards Smart Cards
CRIPTO-PROCESADOR
MEMORIA
SISTEMA OPERATIVO
ENTRADA ENTRADA
SALIDASALIDA
PINPINE5B4
Procesos segurosPortabilidadPortabilidad
Datos Datos
segurosseguros
Clave Clave PrivadaPrivadaClave Clave PúblicaPública
InternetInternet
VPN
VPN (Red Privada Virtual) VPN (Red Privada Virtual)
PKI
P.K.I.P.K.I.Public Key InfraestructurePublic Key Infraestructure
UsuariosUsuarios
Autoridad Autoridad de Registrode Registro
Certificados Certificados válidosválidos
$
VISIO CORPORATION
$
VISIO CORPORATION
$
VISIO CORPORATION
Certificados Certificados RevocadosRevocados
$
VISIO CORPORATION
$
VISIO CORPORATION
$
VISIO CORPORATION
CRLCRL
Autoridad de Autoridad de CertificaciónCertificación
$
VISIO CORPORATION
Repositorio / Directorio X.500Repositorio / Directorio X.500
Servidores de Servidores de tiempotiempo
PKI, Entidades de certificación
P.K.I. Entidades de certificaciónP.K.I. Entidades de certificación
Españolas: El proyecto CERES (CERtificación ESpañola) liderado por la FNMT (Fábrica Nacional de Moneda y Timbre) ha creado una Entidad Pública de Certificación con el principal objetivo de asegurar las comunicaciones electrónicas de los ciudadanos con la Administración. ACE (Agencia de Certificación Española), se constituyó en 1997 con socios como Telefónica, Sistema 4B, SERMEPA y CECA. Proporciona certificación bajo SET y X.509v3. FESTE (Fundación para el Estudio de la Seguridad en las TElecomunicaciones) integrado por los Notarios, los corredores de comercio y la Universidad de Zaragoza. Aunque su vocación es realizar estudios y proyectos, también actúa como servicio de certificación. CAMERFIRMA está basado en las Cámaras de Comercio de toda Europa. Proporciona certificación bajo X.509v3.
Internacionales: VeriSign SecureNet Entrust
final
Aspectos técnicos de la Aspectos técnicos de la seguridad en la información seguridad en la información
sanitariasanitaria
Sebastian Hualde TapiaDirector del servicio de Organización y
Planificación de la información
Jokin SanzJefe de la sección de Sistemas
Gobierno de Navarra
Autenticación
$
VISIO CORPORATION
Certificado digitalCertificado digital
AutenticaciónAutenticaciónContraseña*********
PINPINE5B4
Caraterística biométricaCaraterística biométrica
Tarjeta inteligenteTarjeta inteligente
¿ Iguales ?¿ Iguales ?
Etc....Etc....
Datos Datos
almacenadosalmacenados
Acceso Acceso permitidopermitido
SiSi
Acceso denegadoAcceso denegado
NoNo
Tcp/ip Demonios
TCP/IP, demonios y puertosTCP/IP, demonios y puertos
........PuertosPuertos
InternetInternet
Demonios / procesosDemonios / procesos
TCP/IPTCP/IP
Web, FTP, CorreoWeb, FTP, Correo
2121 2525 8080
WebWebFTPFTP CorreoCorreo
ZonaZona DesmilitarizadaDesmilitarizada
CorreoCorreo WebWeb Base Datos Base Datos públicapública
Cortafuegos / Proxy
Cortafuegos yCortafuegos y
Proxy de aplicacionesProxy de aplicacionesInternetInternet
............
Red InternaRed Interna
Base Datos Base Datos privadaprivada
ProxyProxy
CortafuegosCortafuegos
Cortafuegos. Reglas
Cortafuegos y reglasCortafuegos y reglas
TCP/IPTCP/IP
........PuertosPuertos
Demonios / procesosDemonios / procesos
Web, FTP, CorreoWeb, FTP, Correo
2121 2525 8080
WebWebFTPFTP CorreoCorreo
CortafuegosCortafuegos
Estac 1
Estac 1 Servidor1 21 Permitir
Origen Destino Puerto Acción
Estac 1 Servidor1 25 Denegar
Servidor1
Personas
PersonasPersonas
hackers, crackers, phreakershackers, crackers, phreakers
TrabajadoresTrabajadores
.....
Ex - empleadosEx - empleados
Amenazas lógicas
Amenazas lógicasAmenazas lógicas
virusvirus
troyanostroyanos
gusanosgusanos
Bombas lógicasBombas lógicasBugs Bugs .. y exploits.. y exploits
Puertas de atrásPuertas de atrás
Herramientas Herramientas de seguridadde seguridad Técnicas SalamiTécnicas Salami
Problemas físicos
Problemas físicosProblemas físicos
eléctricoseléctricos
Condiciones Condiciones ambientalesambientales
MemoriasMemorias
DiscosDiscos
ProcesadoresProcesadores
Prevención
Mecanismos de Mecanismos de prevenciónprevención
Autenticación, autorización, confidencialidad, integridad, no Autenticación, autorización, confidencialidad, integridad, no repudio y disponibilidadrepudio y disponibilidad
Medios removibles: cd’s, discos,...Medios removibles: cd’s, discos,...
Medios no electrónicosMedios no electrónicos
RedRed: Cortafuegos, proxy,...: Cortafuegos, proxy,...
Detección
Mecanismos de detecciónMecanismos de detección
Gestión de infraestructurasGestión de infraestructuras
Análisis de riesgosAnálisis de riesgos::* * scannerscanner de puertos de puertos* * fotosfotos del sistema del sistema* análisis de contraseñas* análisis de contraseñas* ....* ....
De monitorización y detecciónDe monitorización y detección
AntivirusAntivirus
PKI, petición
P.K.I. P.K.I. SolicitudSolicitud
UsuariosUsuarios
Autoridad Autoridad de Registrode Registro
Autoridad de Autoridad de CertificaciónCertificación
$
VISIO CORPORATION
SolicitudesSolicitudes
Datos Datos validadosvalidados
Certificados Certificados válidosválidos
$
VISIO CORPORATION
$
VISIO CORPORATION
$
VISIO CORPORATION
Certificados Certificados RevocadosRevocados
$
VISIO CORPORATION
$
VISIO CORPORATION
$
VISIO CORPORATION
CRLCRL
Repositorio / Directorio X.500Repositorio / Directorio X.500
BDBD solicitudes solicitudes
ConsultaConsultaLDAPLDAP
CertificadoCertificado$
VISIO CORPORATION
CertificadoCertificado
CertificadoCertificado$
VISIO CORPORATION
BD BD certificadoscertificados
Autenticación NTdesafio respuesta
Autenticación NT Autenticación NT desafío-respuestadesafío-respuesta
Contraseña
Usuario
Desafio
Algoritmo Algoritmo HashHash
BD contraseñas encriptadas
Usuario1
Usuario2
Contr Enc
Contr EncDesafio
Algoritmo Algoritmo CombinaciónCombinación
Algoritmo Algoritmo CombinaciónCombinación
Respuesta
Respuesta
¿ Iguales ?¿ Iguales ?
Acceso Acceso permitidopermitido
SiSi
Acceso Acceso denegadodenegado
NoNoClienteCliente
ServidorServidorUsuario
Contr. Encrip.