2. Introducción
La seguridad, protección de los equipos conectados
en red y de los datos que almacenan y comparten, es un
hecho muy importante en la interconexión de equipos.
Cuanto más grande sea una empresa, más
importante será la necesidad de seguridad en la red.
Nuestro interés va más allá del hecho de los
procedimientos para compartir. En realidad se ve
compartir recursos desde la perspectiva de establecer y
mantener la seguridad en la red y en los datos.
La seguridad es bastante más que evitar accesos no
autorizados a los equipos y a sus datos. Incluye el
mantenimiento del entorno físico apropiado que permita
un funcionamiento correcto de la red.
3. Seguridad Informática
La necesidad de la seguridad informática
En la actualidad la información es el objeto de mayor
valor para las empresas.
El progreso de la informática y de las redes de
comunicación nos presenta un nuevo escenario, donde
los objetos del mundo real están representados por bits
y bytes, que ocupan lugar en otra dimensión y poseen
formas diferentes de las originales, no dejando de tener
el mismo valor que sus objetos reales, y, en muchos
casos, llegando a tener un valor superior.
4. Seguridad Informática
Por esto y otros motivos, la seguridad de la
información es un asunto tan importante para todos,
pues afecta directamente a los negocios de una
empresa o de un individuo.
La seguridad de la información tiene como
propósito proteger la información registrada,
independientemente del lugar en que se localice:
Impresos en papel, Discos duros de las computadoras o
incluso en la memoria de las personas que la conocen.
5. Seguridad Informática
Funciones y Responsabilidades de la Seguridad
Informática
… una de las preocupaciones de la seguridad de la
información es proteger los elementos que forman parte
de la comunicación.
Así, para empezar, es necesario identificar los
elementos que la seguridad de la información busca
proteger:
La información
Los equipos que la soportan
Las personas que la utilizan
6. Seguridad Informática
Responsabilidades en el manejo de la
información
En la actualidad, la seguridad informática ha
adquirido gran auge, dadas las cambiantes condiciones
y las nuevas plataformas de computación disponibles.
La posibilidad de interconectarse a través de redes, ha
abierto nuevos horizontes que permiten explorar más
allá de las fronteras de la organización. Esta situación
ha llevado a la aparición de nuevas amenazas en los
sistemas computarizados.
7. Seguridad Informática
Consecuentemente, muchas organizaciones
gubernamentales y no gubernamentales internacionales
han desarrollado documentos y directrices que orientan
en el uso adecuado de estas destrezas tecnológicas y
recomendaciones con el objeto de obtener el mayor
provecho de estas ventajas, y evitar el uso indebido de
la mismas.
Esto puede ocasionar serios problemas en los
bienes y servicios de las empresas en el mundo.
8. Seguridad Informática
Atributos y clasificación de la información
Proteger la información significa mantenerla
segura contra amenazas que puedan afectar su
funcionalidad:
Corrompiéndola,
Accediéndola indebidamente, o incluso
Eliminándola o hurtándola.
9. Seguridad Informática
En un reciente estudio de Datapro Research
Corp. se resumía que los problemas de
seguridad en sistemas basados en redes
responde a la siguiente distribución:
Errores de los empleados 50%
Empleados deshonestos 15%
Empleados descuidados 15%
Otros 20% (Intrusos ajenos a la Empresa 10%;
Integridad física de instalaciones 10% )
10. Seguridad Informática
Se puede notar que el 80% de los problemas, son
generados por los empleados de la organización, y,
éstos se podrían tipificar en tres grandes grupos:
Problemas por ignorancia
Problemas por haraganería
Problemas por malicia
Entre estas razones, la ignorancia es la más fácil de
corregir.
Desarrollando tácticas de entrenamiento y procedimientos
formales e informales son fácilmente neutralizadas. Los
usuarios, además, necesitan de tiempo en tiempo, que se les
recuerden cosas que ellos deberían conocer.
11. Seguridad Informática
La forma de instrumentar la confidencialidad de la
información es a través del establecimiento del grado de
sigilo:
Grado de sigilo:
La información generada por las personas tiene un fin
específico y se destina a un individuo o grupo. Por lo
tanto, la información necesita una clasificación en lo que
se refiere a su confidencialidad. Es lo que denominamos
grado de sigilo, que es una graduación atribuida a cada
tipo de información, con base en el grupo de usuarios
que poseen permisos de acceso.
12. Seguridad Informática
Dependiendo del tipo de información y del público para
el cual se desea colocar a disposición los grados de
sigilo podrán ser:
Confidencial
Secreto
Restrictivo
Sigiloso
Público
13. Seguridad Informática
Conceptos básicos de la seguridad informática
Confidencialidad
Integridad
Autenticidad
No Repudio
Disponibilidad de los recursos y de la información
Consistencia
Control de Acceso
Auditoria
14. Seguridad Informática
Confidencialidad
Consiste en proteger la información contra la
lectura no autorizada explícitamente.
Incluye no sólo la protección de la información
en su totalidad, sino también las piezas
individuales que pueden ser utilizadas para
inferir otros elementos de información
confidencial.
15. Seguridad Informática
Que la información sea accesible solamente a
las entidades que tienen derecho a ella, tanto
para leerla, imprimirla, desplegarla o para
cualquier otra forma de divulgación de la
misma.
Transformar la información de tal forma que
solo sea entendible o utilizable por aquellas
entidades para las que fue creada.
16. Seguridad Informática
Integridad
Es necesario proteger la información contra
la modificación sin el permiso del dueño.
La información a ser protegida incluye no
sólo la que está almacenada directamente en
los sistemas de cómputo sino que también se
deben considerar elementos menos obvios
como respaldos, documentación, registros de
contabilidad del sistema, tránsito en una red,
etc. Esto comprende cualquier tipo de
17. Seguridad Informática
Que la información no sea destruida y/o
modificada, mas que por los usuarios y
mecanismos autorizados para ello.
La información no debe modificarse o destruirse
ni en los sistemas de procesamiento ni al ser
transmitida por algún medio de comunicación.
18. Seguridad Informática
Esto comprende cualquier tipo de modificaciones:
Causadas por errores de hardware y/o software.
Causadas de forma intencional.
Causadas de forma accidental
Cuando se trabaja con una red, se debe
comprobar que los datos no fueron modificados
durante su transferencia.
19. Seguridad Informática
Autenticidad
La autenticidad garantiza que quien dice ser "X" es
realmente "X".
Es decir, se deben implementar mecanismos para
verificar quién está enviando la información.
Que el origen de la información sea correctamente
identificado, asegurando que la identidad no es
falsa.
20. Seguridad Informática
Los usuarios deben de poder probar que realmente
son quien dicen ser….
Tipos de autenticación:
Por factores:
De un factor: Algo que yo se.
De dos factores: Algo que yo se y algo que yo tengo.
De tres factores: Algo que yo se, algo que yo tengo y algo que
yo soy *.
*Algo que yo hago
21. Seguridad Informática
No – repudio
Ni el origen ni el destino en un mensaje deben
poder negar la transmisión. Quien envía el
mensaje puede probar que, en efecto, el
mensaje fue enviado y viceversa.
22. Seguridad Informática
Que las parte involucradas en un proceso de
intercambio de información puedan probar la
participación de su contraparte de forma
inequívoca, así como puedan probar su propia
participación en dicho intercambio.
Tener los medios para probarle a alguien que
hizo algo dentro de un sistema o con cierta
información.
23. Seguridad Informática
Disponibilidad de los recursos y de la
información
De nada sirve la información si se encuentra
intacta en el sistema pero los usuarios no pueden
acceder a ella.
Por tanto, se deben proteger los servicios de
cómputo de manera que no se degraden o dejen de
estar disponibles a los usuarios de forma no
autorizada.
La disponibilidad también se entiende como la
capacidad de un sistema para recuperarse
24. Seguridad Informática
Que se garantice la disponibilidad de los
recursos informáticos cuando se requieran y por
consecuencia de la información contenida en
estos recursos.
La información debe estar disponible
siempre, de acuerdo a las reglas establecidas
de antemano para su uso.
25. Seguridad Informática
Consistencia
Se trata de asegurar que el sistema siempre se
comporte de la forma esperada, de tal manera
que los usuarios no encuentren variantes
inesperadas.
26. Seguridad Informática
Control de acceso a los recursos
Consiste en controlar quién utiliza el sistema
o cualquiera de los recursos que ofrece y cómo
lo hace.
Tipos de control de acceso:
Discrecional (DAC): la validez del método de
autenticación esta a discreción del usuario.
Mandatorio (MAC): se validan aspectos sobre
los cuales el usuario no tiene control.
27. Seguridad Informática
Autorización
Que un usuario tenga acceso solamente a
la información que le corresponde una vez que
tiene acceso aun sistema o a una red de
sistemas de acuerdo a sus privilegios y
restricciones.
28. Seguridad Informática
Auditoria
Consiste en contar con los mecanismos para
poder determinar qué es lo que sucede en el
sistema, qué es lo que hace cada uno de los
usuarios y los tiempos y fechas de dichas
acciones.
En cuanto a los dos últimos puntos resulta
de extrema importancia, cuando se trata de los
derechos de los usuarios, diferenciar entre
“espiar” y “monitorear” a los mismos.
La ética es algo que todo buen administrador
debe conocer y poseer.
29. Seguridad Informática
Finalmente, todos estos servicios de seguridad
deben ser tomados en cuenta en el momento de
elaborar las políticas y procedimientos de una
organización para evitar pasar por alto cuestiones
importantes como las que señalan dichos servicios.
De esta manera, es posible sentar de forma concreta
y clara los derechos y límites de usuarios y
administradores.
Sin embargo antes de realizar cualquier acción para
lograr garantizar estos servicios, es necesario
asegurarnos de que los usuarios conozcan sus
derechos y obligaciones.
30. Seguridad en redes
Implantación de la seguridad en redes
La planificación de la seguridad es un
elemento importante en el diseño de una red.
Es mucho más sencillo implementar una red
segura a partir de un plan, que recuperar los
datos perdidos.
31. Introducción a la
criptografía
Criptografía: Ciencia que se dedica a mantener las
comunicaciones seguras.
Criptoanálisis: ciencia y arte que analiza la forma de
romper los algoritmos criptográficos.
32. Introducción a la
criptografía
Cifrado: transformación de datos en alguna forma que
los hace ilegibles si no se cuenta con la “llave”.
Criptología: Rama de las matemáticas que incluye a la
criptografía y al criptoanálisis.
33. Terminología
Texto claro: Datos, información legible.
Texto cifrado (Ciphertext): Datos que han sido
cifrados.
34. Terminología
Decripción: Proceso que convierte el texto cifrado en
texto claro.
Algoritmo criptográfico (Cipher): función matemática
utilizada para cifrar y descifrar información.
35. Cifrado Simétrico
La llave de cifrado y la de descifrado son
iguales o la llave de descifrado se puede
derivar de la de cifrado.
Conocidos como algoritmos de llave secreta o
privada.
El emisor y el receptor comparten la misma
llave.
Ejemplos: DES, 3DES, RC2, RC5, IDEA,
36. El problema de la distribución de
llaves
¿Como asegurar que la llave es distribuida de
forma segura a todos los participantes en una
comunicación?.
Para n usuarios se requieren n(n-1)/2 llaves
diferentes.
Si se compromete la llave, toda la
comunicación está en peligro.
37. Cifrado asimétrico
La llave utilizada para cifrar el mensaje es diferente a la
utilizada para descifrarlo.
Conocidos como de llave pública.
Ambas llaves están matemáticamente relacionadas.
Su seguridad radica en la dificultad para obtener una llave
a partir de la otra.
Están basados en problemas matemáticos complejos:
Factorización de números grandes primos, Logaritmos
discretos, Curvas elípticas.
38. Algoritmos asimétricos y la
distribución de las llaves
Se genera un par de llaves.
Una se mantiene de forma privada.
La otra se hace del conocimiento de todos.
Alguien que quiera mandar un mensaje al dueño
de las llaves la cifra con la llave pública, y el
dueño de las llaves la descifra con la llave
privada.
39. Autenticación con cifrado
asimétrico
Si cifro con mi llave privada, cualquiera puede descifrar el mensaje
con mi llave pública y así pueden estar seguros de que fui yo quien
mandó el mensaje.
Este es el principio de las firmas digitales.
40. Tipos de Algoritmos de cifrado
40
Por el tipo de llave:
Simétricos. Se utiliza la misma llave para cifrar y
descifrar (llave privada)
Asimétricos. Se utilizan llaves diferentes para
cifrar y descifrar (llave pública)
42. Encripción Privada
42
Bases:
Utiliza la misma llave para cifrado y descifrado
Se basa en una llave secreta
Ventajas
Sencillo y Rápido
Desventajas
Se basa en un secreto
Ejemplos
DES, Lucifer, RC4
43. El nacimiento de DES
43
En 1972, el gobierno de EUA empezó un esfuerzo para
el desarrollo de un estándar de cifrado que tuviera las
siguientes características:
Alto nivel de seguridad
Completamente especificado y fácil de entender
La seguridad del algoritmo no debe de basarse en la
confidencialidad del algoritmo.
Debe estar disponible para cualquier usuario
Debe de poderse usar en diversas aplicaciones
Debe de ser barato
Debe de ser validable
Debe de ser exportable
44. DES
44
Digital Encryption Standard
Esfuerzo coordinado por NBS y NSA en EUA
National Bureau of Standards
National Security Agency
Basado en Lucifer desarrollado por IBM
Lucifer usaba llaves de 128 bits
Se creo DES con llaves de 56 bits
Se aprobó por el departamento de comercio de EUA en 1976 y
se público
Basado en operaciones manipulación de bits
45. DES y su evolución
45
Ha estado en uso por más de 20 años
Se puede romper pero toma tiempo
EUA solo permite la exportación de DES con llaves
de 40 bits, las cuales se pueden romper facilmente
Ahora está en proceso la aprobación para
exportación de DES 56.
Tripple DES
Nace RC4, que es más eficiente
46. DES y su evolución
46
Conventional Encryption
48. Cifrado Pública
48
Bases:
Utiliza distintas llaves para cifrar y descifrar
Se basa en factorización de números primos muy grandes
Ventajas
Altamente seguro
Desventajas
Es más lento, la distribución de llaves no es trivial
Ejemplos
RSA, Diffie-Hellman
50. RSA
Inventado por Ron Rivest, Adi Shamir y
Leonard Adleman en 1977.
Basado en la factorización de números primos
muy grandes.
En Hardware RSA es 1000 veces más lento
que DES y en software 100 veces más lento.
Estándar de-facto para cifrado de llave
pública.
La patente (E. U.) expira el 20 de Septiembre
de 2000.
51. Algoritmo de RSA
51
Se escogen 2 números primos (p y q) muy
grandes
n=pq
Se escoge una llave de cifrado de forma tal
que e y (p-1) (q-1) son relativamente primos
ed = 1 mod (p-1)(q-1)
d=e^-1 mod ((p-1)(q-1))
De esta forma e y n son la llave pública, d es la llave
privada, p y q solo se necesitan para la generación
de llaves
52. Llaves públicas
52
El problema: Creación y distribución de llave
¿Quién las crea?
¿Cómo sabes si la persona correcta las creo?
Si yo te envío mi llave pública a través de
correo electrónico, ¿estas seguro de que fui
yo?
53. Creación y Distribución de
llaves
53
Autoridad certificadora
Puntos de confianza
Verisign en EUA
¿y en México?
Banco de México
Bancos
Notarias
¿Quién?
54. Intercambio de llaves privadas
54
Llaves de sesión
Utilizamos Diffie-Hellman
Algoritmo de criptografía
Criptografía pública
Creado por Diffie y Hellman
1976
Sencillo
55. Diffie - Hellman
Usuario A
Selecciona un entero
grande x, y le manda a B
esto:
X = g^x mod n
A calcula:
k = Y^x mod n
Usuario B
Selecciona un entero
grande y y lo manda a A
esto:
Y = g^y mod n
B calcula:
k’ = X^y mod n
55
Ambas k y k’ son igual a g^(xy) mod n. Nadie en medio de la
comunicación puede calcular ese valor.
k es la llave secreta o de sesión que ambas partes usan
Ambos A y B, acuerdan en dos números primos grandes n y g.
Estos números son secretos.
57. Criptosistemas Híbridos
Los algoritmos asimétricos son lentos en
comparación con los simétricos.
Los algoritmos simétricos son vulnerables a
ataques de “texto claro elegido”.
Las implementaciones prácticas utilizan
algoritmos de llave publica para distribuir y
proteger las llaves y algoritmos de llave
simétrica para asegurar (cifrar) el tráfico de los
mensajes.
58. Niveles de Ataque
Sólo texto cifrado
El atacante posee uno o más textos cifrados
Texto claro conocido
El atacante posee uno o más textos cifrados y sus textos
claros
Texto claro elegido
El atacante puede elegir textos claros y conocer sus textos
cifrados
Texto cifrado elegido
El atacante puede elegir textos cifrados y conocer sus textos
claros
59. Algoritmos seguros de “Hash”
También conocidos como:
Digest de mensajes
Checksum criptográfico
Huella digital del mensaje
Checksum para integridad del mensaje.
Propiedades:
Es fácil generar un hash a partir de un mensaje.
Es difícil determinar el mensaje en base a un hash
determinado.
Es difícil obtener el mismo hash de dos mensajes
diferentes.
Algoritmos populares de hash: MD5, SHA.
60. Firmas Digitales
Generación:
Se procesa el mensaje con una función de
Hash para generar una digestión del mensaje.
Se cifra (firma) el mensaje con la llave pública.
Se envía el mensaje firmado (mensaje y firma
juntos).
Obtención del mensaje:
61. Firmas Digitales
El más popular: DSA (Digital Signature Algorithm.
Utiliza SHA (Secure Hash Algoritm), parte del estándar DSS
(Digital Signature Standar), llaves desde 512 hasta 1024
bits, estándar federal 1994.
Problemas:
No sirve para distribución de llaves.
El NSA le pudo haber puesto un “trap door”.
Llaves demasiado pequeñas.
Más lento que RSA.
63. Implementación
Requerimiento Implementado mediante
Confidencialidad SSL y contraseña de acceso
Autentificación Contraseña de acceso
Integridad Permisos en la base de datos
No-repudiación Bitacoras de acceso
Control de Acceso Políticas de seguridad
Autorización Permisos en la base de datos
Disponibilidad SSL e implementación en Web
64. Implementación “Segura”
Requerimiento Implemención mediante
Confidencialidad SSL y contraseña de acceso
Autentificación Certificados digitales
Integridad Permisos en la base de datos.
No-repudiación Firma y certificado digital
Control de Acceso Certificados digitales y políticas de
seguridad
Autorización Permisos en la base de datos
Disponibilidad VPN y enlaces punto a punto
65. Ejemplo de Aplicación de Web
normal
Internet
ISP
Bienvenido
WEB
SERVER
Servidor de Web
Seguro
FW
Información
66. Solicitud de certificación del
servidor
Internet
ISP
WEB
SERVER
Solicitud de
certificación
Autoridad
Certificadora.
67. Solicitud de certificación del
cliente
Internet
ISP
CLIENTE
Solicitud de
certificación
Autoridad
Certificadora.
68. Ejemplo de aplicación con llave
pública
Internet
ISP
WEB
SERVER
FW
Información
¿Quien es?
Yo soy X
Bienvenido
X
Solicitud
servicio
Autoridad
Certificadora.
69. Aplicaciones de los esquemas de
llave pública.
SSL (Secure Socket Layer).
SET (Secure Electronic Transactions).
Se les conoce como Infraestructuras de Llave
Pública.
70. Componentes de una Infraestructura
de Llave Pública.
Autoridad Certificadora.
Autoridad Registradora.
Esquema de cifrado.
Certificados digitales.
Uno o dos pares de llaves (uno para cada
participante en la comunicación).