Curso: Redes y comunicaciones II: 03 Seguridad y criptografía.
Dictado en la Universidad Tecnológica del Perú, Lima - Perú, ciclos 2011-3 (octubre/2011) y 2012-1 (abril/2012).
Curso: Redes y comunicaciones II: 03 Seguridad y criptografía
1. Semanas 12 y 13
Seguridad y criptografía
Redes y Comunicaciones II
Ingeniería de Redes y Comunicaciones
Facultad de Ingeniería de Telecomunicaciones y Telemática
Universidad Tecnológica del Perú
Ing. CIP Jack Daniel Cáceres Meza 2011-III V1
3. 3
Ing. CIP Jack Daniel Cáceres Meza
Seguridad
Network Security Strategies
Least Privilege
Most fundamental principle
User or service is given privileges just for performing specific tasks
Defense In depth
Don’t just depend on one security mechanism
Choke point
Forces the attacker to use a narrow channel
So now one can monitor activities closely
'honey pot'
4. 4
Ing. CIP Jack Daniel Cáceres Meza
Security Strategies
Weakest link or “low hanging fruit”
“a chain is as strong as its weakest link”
Attacker is going to go after the weakest link
So if you cannot eliminate it, be cautious about it.
Fail Safe Stance
If a system fails, it should deny access to the attacker
Default Deny Stance
That which is not expressly permitted is prohibited
Default Permit Stance
That which is not expressly prohibited is Permitted
Universal Participation
Every system is involved in defense
Every one is involved in defense
Diversity of defense
Use different types of mechanisms
Never depend on security through obscurity
Assume your system(s) is the last thing standing
Plan on failure
5. 5
Ing. CIP Jack Daniel Cáceres Meza
Elemento de hardware o software utilizado en una red de
computadoras para controlar las comunicaciones, permitiéndolas o
prohibiéndolas según las políticas de seguridad.
FIREWALL “Cortafuegos”=
¿Qué es un Firewall?
6. 6
Ing. CIP Jack Daniel Cáceres Meza
• No protege de ataques fuera de su área.
• No protege lo que no puede ver.
• No protege de espías o usuarios inconscientes.
• No protege de ataques de “ingeniería social”
• No protege contra ataques posibles en la transferencia de datos,
cuando datos son enviados o copiados a un servidor interno y son
ejecutados despachando un ataque.
Limitaciones del Firewall
7. 7
Ing. CIP Jack Daniel Cáceres Meza
Proxy
Un servidor que se encuentra entre una aplicación cliente, como
un navegador Web y un servidor real. Intercepta todas las
peticiones hacia el servidor real para ver si se puede cumplir con
las peticiones él mismo; si no, se envía la solicitud al servidor
real.
Propósitos:
Filtrar requerimientos
Permitir el análisis de patrones de consumo
Incrementar rendimiento ->menor latencia/lentitud
Reducir consumo de ancho de banda ->reduce el tráfico/congestión
Funciones:
Compartición de conexión
Caché (su efectividad depende del patrón de tráfico, miss/hit)
Filtrado
8. 8
Ing. CIP Jack Daniel Cáceres Meza
Elementos de la función compartición de conexión
9. 9
Ing. CIP Jack Daniel Cáceres Meza
Elementos de la función caché
Jia Wang
request
client
Does proxy have
requested pageyes no
Does cooperative proxies
have web page
yes
no
Find web page on server
hit
hit
miss
miss
10. 10
Ing. CIP Jack Daniel Cáceres Meza
Desirable properties of WWW caching system
Fast access
reducir latencia
Robustness
Disponibilidad
caída sin complicación
recuperación rápida
no existir un solo punto de falla
Transparency
el usuario solo debe notar mayor velocidad y disponibilidad
Scalability
de acuerdo con las exigencias de la red
Efficiency
evitar el sobre control y la sub-utilización
Jia Wang
11. 11
Ing. CIP Jack Daniel Cáceres Meza
Desirable properties of WWW caching system
Adaptivity
al cambio dinámico en la demanda del usuario y ambiente de red
Stability
no introducir inestabilidades
Load balance
sin cuellos de botella, distribución uniforme
Ability to deal with heterogeneity
sin importar el hardware o software
Simplicity
para su adopción e implementación, preferentemente empleando
estándares internacionales
Jia Wang
¿Organización, ubicación, contenido, cooperación, compartición,
consistencia, control, ...?
12. 12
Ing. CIP Jack Daniel Cáceres Meza
Recursos requeridos
Disk
Stores cached objects
Memory
Metadata and index
In-transit object data
Networking
CPU
Probable cuello de botella
Distribución de controladores
Distribución de discos
Lo más necesario
Podría incrementarse el tráfico
Tarjetas de alta velocidad
Mejor multiprocesadores que
un solo procesador potente
13. 13
Ing. CIP Jack Daniel Cáceres Meza
Factores de seguridad
Acceso no autorizado
Soborno
Robo
Mala intención
Equipamiento de seguridad
Entrenamiento / capacitación
Difusión
Normativas / políticas
Permisos
Otros
14. 14
Ing. CIP Jack Daniel Cáceres Meza
Seguridad básica
Analizar logs
Buscar archivos ocultos o inusuales
Comprobar que binarios no han sido sustituídos
Revisar programadores de tareas y programas que se ejecutan
Asegurar servicios, su ejecución y cantidad
Buscar alteraciones en cuentas, contraseñas, archivos
Políticas y normas apropiadas
15. 15
Ing. CIP Jack Daniel Cáceres Meza
Preparación
Acciones Detalle
Detección De intrusos
Escalamiento A quien conoce el funcionamiento o la operación de los servicios
Recuperación
Ordenada y priorizada
Valoración
Dimensionar la pérdida o riesgo
Prevención Pruebas, control, políticas, normas, procedimentos
16. 16
Ing. CIP Jack Daniel Cáceres Meza
Information States
Security Measures
Information
Security
Properties
NSTISSI 4011: National Training Standard for Information Systems Security Professionals, 1994
Modelo de Seguridad de la Información
17. 17
Ing. CIP Jack Daniel Cáceres Meza
Availability
Integrity
Confidentiality
Propiedades de la Seguridad de la Información
18. 18
Ing. CIP Jack Daniel Cáceres Meza
Processing
Storage
Transmission
Estados de la Información
19. 19
Ing. CIP Jack Daniel Cáceres Meza
Policy and Procedures
Technology
Education, Training, and Awareness
Métricas de la Seguridad de la Información
20. 20
Ing. CIP Jack Daniel Cáceres Meza
Confidentiality
Integrity
Availability
Processing
Storage
Transmission
Policy and Procedures
Technology
Education, Training,
and Awareness
Modelo de Seguridad de la Información
21. 21
Ing. CIP Jack Daniel Cáceres Meza
Características de un sistema de monitoreo
Monitoreo de servicios de red como SMTP, POP3, HTTP, NNTP, PING,
otros.
Monitoreo de recursos del servidor como carga del procesador,
consumo de disco y memoria, procesos en ejecución, registros, otros.
Monitoreo de factores ambientales tales como temperatura.
Diseño plugin simple que permite que los usuarios desarrollen
fácilmente su propia forma de chequeo.
Capacidad de definir la jerarquía del servidor, permitiendo la detección y
la distinción entre los servidores que están caídos y los que no son
alcanzables.
Envío de notificaciones cuando ocurren los problemas del servicio o del
servidor y cuando son resueltos (vía e-mail, u otro método definido por
el usuario).
Escalamiento opcional de las notificaciones del servidor y del servicio a
diversos grupos del contacto.
Capacidad de definir un manejo de eventos, los que serán ejecutados
para la resolución proactiva de problemas en servicios o servidores.
22. 22
Ing. CIP Jack Daniel Cáceres Meza
Características de un sistema de monitoreo (cont.)
Apoyo para implementar servidores de monitoreo redundantes y
distribuidos.
Interfaz de comando externo que permite modificar de forma dinámica
el monitoreo y el comportamiento de las notificaciones, mediante el uso
de manejadores de eventos, interfaz Web y aplicaciones de terceros.
Retención del estado del servidor y del servicio a través de
re-inicializaciones del programa.
Horarios especiales para suprimir notificaciones del servidor y de
servicios durante períodos de interrupciones previstas (como
mantenimiento preventivo).
Capacidad de reconocer problemas vía la interfase Web.
Interfase Web para visualizar el estado actual de la red, historia de
notificaciones y problemas, registro diario, otros.
Esquema simple de autorización que le permite restringir qué usuarios
pueden ver y hacer desde la interfase Web.
23. 23
Ing. CIP Jack Daniel Cáceres Meza
Ejemplos
Netflow (CISCO)
PRTG Network Monitor (www.paessler.com)
Cacti (www.cacti.net)
MRTG (oss.oetiker.ch/mrtg/)
Nagios (www.nagios.org)
29. 29
Ing. CIP Jack Daniel Cáceres Meza
Algunas definiciones previas
Es el proceso por el cual la información
de una fuente es convertida en
símbolos para ser comunicada
Proceso por el que una
información legible se
transforma mediante un
algoritmo (llamado cifra)
en información ilegible,
llamada criptograma o
secreto
Es una pieza de
información que
controla la operación de
un algoritmo de
criptografía
Seña secreta que
permite el acceso a algo,
a alguien o a un grupo
de personas antes
inaccesible
La situación en
que intervienen
numerosas y
cambiantes
variables de muy
distinto género
Dificultad
imprevista
procedente de la
concurrencia de
cosas diversas
30. 30
Ing. CIP Jack Daniel Cáceres Meza
Principios de Sustitución y Transposición
Sustitución: Consiste en establecer una correspondencia entre las
letras del alfabeto en el que está escrito el mensaje original y los
elementos de otro conjunto, que puede ser el mismo o distinto
alfabeto.
Transposición: Consiste en “barajar” los símbolos del mensaje
original colocándolos en un orden distinto, de manera que el
criptograma contenga los mismos elementos del texto claro, pero
colocados de tal forma que resulten incomprensibles.
31. 31
Ing. CIP Jack Daniel Cáceres Meza
Cifrado por Transposición
El objetivo de las sustituciones es crear confusión.
Una transposición es un cifrado en el que las letras del mensaje
son cambiadas de posición.
Su objetivo es el de la difuminar el mensaje.
También se conoce como una permutación.
En este caso al reordenar el criptograma aparecerán
exactamente los mismos caracteres que en el texto en claro.
Es fácil detectar que nos enfrentamos ante un cifrado por
transposición si comprobamos que la frecuencia de aparición de
caracteres cumple la estadística para algún idioma.
Estas técnicas de cifrado son atacadas mediante técnicas de
“ANAGRAMACIÓN”.