1. Conceptos OSI Ataques Servicios Mecanismos Modelo Estándares Certificaciones
Seguridad Informática
Seguridad en redes:
Introducción
Ramón Hermoso y Matteo Vasirani
Universidad Rey Juan Carlos
Curso 2012/2013
2. Conceptos OSI Ataques Servicios Mecanismos Modelo Estándares Certificaciones
Bibliografía
Eric Cole.
Network Security Bible.
Wiley Publishing, Inc., 2nd edition, 2009.
William Stallings.
Network Security Essentials: Applications and Standards.
Pearson Education, Inc., 4nd edition, 2011.
Andrew S. Tanenbaum.
Computer Networks.
Pearson Education International, 4nd edition, 2003.
3. Conceptos OSI Ataques Servicios Mecanismos Modelo Estándares Certificaciones
Motivación(i)
Internet
4. Conceptos OSI Ataques Servicios Mecanismos Modelo Estándares Certificaciones
Motivación(ii)
5. Conceptos OSI Ataques Servicios Mecanismos Modelo Estándares Certificaciones
Introducción
Problemática de tratar seguridad en redes en profundidad
Muchos temas a tratar
Conocimientos en redes a nivel experto
Posibles enfoques:
Creación de sistemas
Protección de sistemas existentes
Romper los sistemas
Auditoría
Informática forense
Con la base dada, se podría hacer búsqueda sobre un tema
concreto y profundizar en el apartado técnico.
Representación de un ataque y la defensa a la red VoIP de
Skype
6. Conceptos OSI Ataques Servicios Mecanismos Modelo Estándares Certificaciones
Conceptos de seguridad informática(i)
Confidencialidad (Confidentiality):
Confidencialidad de la información: La información
privada no está disponible ante acceso no autorizados.
Privacidad: La información relacionada con los usuarios
puede ser recolectada y almacenada sólo por aquellos que
pueden tener acceso a ella.
Integridad (Integrity):
Integridad de la información: Asegura que la información
sólo puede cambiar según unas reglas establecidas.
Integridad del sistema: Asegura que el sistema funciona
de una manera determinista, sin sufrir ningún tipo de
alteración no autorizada.
Disponibilidad (Availability): Asegurar que el sistema
responde puntualmente y no deniega el acceso a usuarios
autorizados.
7. Conceptos OSI Ataques Servicios Mecanismos Modelo Estándares Certificaciones
Conceptos de seguridad informática(ii)
Información
y servicios
Confi-
dencia-
lidad
Integridad
Disponi-
bilidad
8. Conceptos OSI Ataques Servicios Mecanismos Modelo Estándares Certificaciones
Arquitectura de seguridad OSI(i)
El modelo de interconexión de sistemas abiertos OSI
(Open System Interconnection)
Nivel Nivel OSI Funcionalidad Protocolos estándar
7 Aplicación
Servicios como el correo electrónico,
transferencia de ficheros, etc.
HTTP, FTP, TFTP,
DNS, SMTP, SFTP,
SNMP, RLogin, BootP
6 Presentación
Cifrado, conversión y formateo de da-
tos
MPEG, JPEG, TIFF
5 Sesión
Negocia y establece conexiones con
otros ordenadores
SQL, X-Window, ASP,
DNA, SCP, NFS
4 Transporte
Transmisión de información punto a
punto
TPC, UDP, SPX
3 Red
Enrutado de los paquetes de informa-
ción en la red
IP, OSPF, ICMP, RIP,
ARP, RARP
2 Enlace
Comprobación de errores y la transfe-
rencia de tramas
Ethernet, Token Ring,
802.11
1 Físico
Define las interfaces mecánica, eléctri-
ca y de temporización de la red
EIA RS-232, EIA RS-
449, IEEE 802
9. Conceptos OSI Ataques Servicios Mecanismos Modelo Estándares Certificaciones
Arquitectura de seguridad OSI(ii)
Modelo de referencia TCP/IP
Nivel Nivel OSI Funcionalidad Nivel TCP/IP
7 Aplicación
Servicios como el correo electróni-
co, transferencia de ficheros, etc.
Capa de Aplicación
6 Presentación
Cifrado, conversión y formateo de
datos
5 Sesión
Negocia y establece conexiones
con otros ordenadores
4 Transporte
Transmisión de información punto
a punto
Capa de transporte
3 Red
Enrutado de los paquetes de infor-
mación en la red
Capa de interred
2 Enlace
Comprobación de errores y la
transferencia de tramas Host a red
1 Físico
Define las interfaces mecánica,
eléctrica y de temporización de la
red
10. Conceptos OSI Ataques Servicios Mecanismos Modelo Estándares Certificaciones
Arquitectura de seguridad OSI(iii)
Por ejemplo, ¿qué aspecto tenía un paquete IPv4 (red)?
Bits 0 - 3 4 - 7 8 - 15 16 - 18 19 - 31
0 Versión
Tamaño
cabece-
ra
Tipo de
servicio
Longitud total
32 Identificador Flags
Posición de frag-
mento
64 TTL Protocolo Suma de control de cabecera
96 Dirección IP origen
128 Dirección IP destino
160 Opciones Relleno
11. Conceptos OSI Ataques Servicios Mecanismos Modelo Estándares Certificaciones
Arquitectura de seguridad OSI(iv)
Por ejemplo, ¿qué aspecto tenía un paquete TCP (transporte)?
Bits 0 - 3 4 - 7 8 - 15 16 - 31
0 Puerto origen Puerto destino
32 Número de Secuencia
64 Número de acuse de recibo (ACK)
96 longitud cabecera TCP Reservado Flags Ventana
128 Suma de verificación (Checksum) Puntero Urgente
160 Opciones + Relleno (opcional)
192 Datos
12. Conceptos OSI Ataques Servicios Mecanismos Modelo Estándares Certificaciones
Ataques de seguridad(i)
Código malicioso: virus
Virus de macro Infección de ficheros
Infección en el sector de arranque Virus polimórficos
Virus espía Caballos de troya
Bombas lógicas Gusanos
Droppers
Ataques
13. Conceptos OSI Ataques Servicios Mecanismos Modelo Estándares Certificaciones
Ataques de seguridad(i)
Código malicioso: virus
Ataques
Denegación de servicio (DoS Denial-of-
service)
Puerta trasera (Back door)
Spoofing / phishing Man in the middle
Replay Secuestro (TCP/Hijacking)
Ataque por fragmentación (Fragmenta-
tion attacks)
Debilidad de clave (Weak keys)
Ataque a los algoritmos (Mathematical
attacks)
Ingeniería social (Social engineering)
Escaneo de puertos (Port scanning) Buscar en la basura (Dumpster diving)
Ataque de cumpleaños (Birthday attack) “Adivinar contraseña” (Password gues-
sing)
Vulnerabilidades software (Software ex-
ploitation)
Uso inapropiado de los sistemas (Inap-
propriate system use)
Escucha o intercepción (Eavesdrop-
ping)
14. Conceptos OSI Ataques Servicios Mecanismos Modelo Estándares Certificaciones
Ataques de seguridad(ii)
Seguridad en redes(i)
Tipos de ataques específicos en red (9/17):
Ataques
Denegación de servicio (DoS
Denial-of-service)
Spoofing / phishing
Man in the middle Replay
Secuestro (TCP/Hijacking) Ataque por fragmentación
Ingeniería social (Social en-
gineering)
Escaneo de puertos (Port
scanning)
Escucha o intercepción (Ea-
vesdropping)
Además, todo ordenador comprometido (bajo un ataque software o
virus) es susceptible de participar en una ataque en red (DoS, con
bootnets, por ejemplo)
15. Conceptos OSI Ataques Servicios Mecanismos Modelo Estándares Certificaciones
Ataques de seguridad(iii)
Ataques según actitud del atacante(ii)
Tipos de ataques según la actitud del atacante
Ataques pasivos
Ataques activos
Actores en los ataques:
Atacante (Darth)
Usuario 1 (Bob)
Usuario 2 (Alice)
Servidor proveedor de servicios
Darth Bob Alice Servidor
16. Conceptos OSI Ataques Servicios Mecanismos Modelo Estándares Certificaciones
Ataques de seguridad(iv)
Ataques pasivos(i)
Internet o cualquier otra red de
comunicaciones
Lee el contenido de un mensaje
enviado por Bob
e intenta leer su contenido
Darth
Bob Alice
Descubrir el contenido un mensaje
17. Conceptos OSI Ataques Servicios Mecanismos Modelo Estándares Certificaciones
Ataques de seguridad(v)
Ataques pasivos(ii)
Internet o cualquier otra red de
comunicaciones
Analiza los patrones de
los mensajes enviados
por Bob
Darth
Bob Alice
Análisis de tráfico
18. Conceptos OSI Ataques Servicios Mecanismos Modelo Estándares Certificaciones
Ataques de seguridad(vi)
Ataques activos(i)
Internet o cualquier otra red de
comunicaciones
Envía mensajes a Alice
como si el remitente fuese
Bob
Darth
Bob Alice
Enmascaramiento (suplantación)
19. Conceptos OSI Ataques Servicios Mecanismos Modelo Estándares Certificaciones
Ataques de seguridad(vii)
Ataques activos(ii)
Internet o cualquier otra red de
comunicaciones
Captura los mensajes de Bob a Alice;
más tarde vuelve a enviar
estos mensajes a Alice.
Darth
Bob Alice
Replay
20. Conceptos OSI Ataques Servicios Mecanismos Modelo Estándares Certificaciones
Ataques de seguridad(viii)
Ataques activos(iii)
Internet o cualquier otra red de
comunicaciones
Modifica los mensajes desde
Bob para Alice.
Darth
Bob Alice
Modificación del mensaje (Man in the middle)
21. Conceptos OSI Ataques Servicios Mecanismos Modelo Estándares Certificaciones
Ataques de seguridad(ix)
Ataques activos(iv)
Internet o cualquier otra red de
comunicaciones
Darth intenta saturar los
servicios ofrecidos por el
Servidor
Darth
Bob Servidor
Denegación de servicio
22. Conceptos OSI Ataques Servicios Mecanismos Modelo Estándares Certificaciones
Ataques de seguridad(x)
Ataques activos(v)
Internet o cualquier otra red de
comunicaciones
Darth utiliza la información
obtenida de Bob para
tener acceso a Servidor
Darth
Bob Servidor
Darth obtiene información
de Bob interactuando
con él
Ingeniería social
23. Conceptos OSI Ataques Servicios Mecanismos Modelo Estándares Certificaciones
Servicios de seguridad(i)
X.800
X.800 define un conjunto de reconmendaciones básicas de
seguridad en las distintas capas de los protocolos de
comunicaciones, para interconectar dispositivos de
computación.
X.800 forma parte de la Unión Internacional de
Telecomunicaciones, aprobada el 22 de marzo de 1991.
Define en qué capa del modelo OSI se puede aplicar cada
servicio o mecanismo.
Servicios definidos:
Autenticación
Control de acceso
Confidencialidad
Integridad
No repudio
24. Conceptos OSI Ataques Servicios Mecanismos Modelo Estándares Certificaciones
Servicios de seguridad(ii)
Autenticación
Autenticación
Asegura que las entidades que participan en una comunicación
son quienes dicen ser.
Autenticación de los participantes:
Corrobora la identidad de todos los participantes en una
comunicación.
Se realiza durante la fase de conexión o establecimiento de
la comunicación.
Intenta evitar enmascaramiento o reenvío de información
no autorizado (reply).
Autenticación del origen de la información:
Corrobora la autenticidad de la fuente de las unidades de
información.
No ofrece protección ante integridad de la información.
25. Conceptos OSI Ataques Servicios Mecanismos Modelo Estándares Certificaciones
Servicios de seguridad(iii)
Control de acceso
Control de acceso
En el contexto de seguridad informática, limita y controla
el acceso host y aplicaciones utilizando enlaces de
comunicaciones.
Las políticas de acceso pueden ser definidas y adaptadas
a cada participante.
Cada uno de estos participantes deberá primeramente
identificarse o autenticarse contra el servicio de control de
acceso.
26. Conceptos OSI Ataques Servicios Mecanismos Modelo Estándares Certificaciones
Servicios de seguridad(iv)
Confidencialidad
Confidencialidad
Protege los datos transmitidos de un ataque pasivo.
Confidencialidad de conexión: protege todos los datos
en una conexión.
Confidencialidad sin conexión: protege la información
enviada en un único bloque de información.
Confidencialidad por campos: se selecciona qué partes
de la comunicación se desea proteger (p.e. sólo cierta
parte de la información, sin importar origen y destino)
Confidencialidad del flujo de información: protege el
flujo de comunicación de ser observado y analizado.
27. Conceptos OSI Ataques Servicios Mecanismos Modelo Estándares Certificaciones
Servicios de seguridad(v)
Integridad
Integridad
Asegura que los datos recibidos son exactamente los mismos
que los enviados.
Integridad en la conexión, con recuperación: ante
cualquier fallo de integridad, no sólo lo detecta, sino que
puede recuperar la información original.
Integridad en la conexión, sin recuperación: detecta
únicamente el fallo de integridad.
Integridad en la conexión por campos: aplica el servicio
de integridad sólo a ciertas partes del mensaje.
Integridad en comunicaciones sin conexión: servicio de
integridad para un único bloque. Debería detectar
problemas de reenvíos (reply)
28. Conceptos OSI Ataques Servicios Mecanismos Modelo Estándares Certificaciones
Servicios de seguridad(vi)
No repudio
No repudio
Provee protección ante la posibilidad de que el emisor de un
mensaje niegue hacer enviado dicho mensaje o que el receptor
niegue haberlo recibido.
No repudio en origen: prueba que un mensaje ha sido
enviado por una entidad específica.
No repudio en destino: prueba que el mensaje ha sido
recibido por una entidad específica.
29. Conceptos OSI Ataques Servicios Mecanismos Modelo Estándares Certificaciones
Mecanismos de seguridad(i)
X.800
Mecanismos de seguridad específicos: para incorporar
sobre la capa de seguridad OSI correspondiente.
Cifrado
Firma digital
Control de acceso
Integridad
Mecanismos de autenticación
Tráfico de relleno
Control de enrutamiento
Mecanismos de notario
Mecanismos de seguridad omnipresentes: no
específicos de ninguna capa OSI concreta.
Mecanismos de confianza
Etiquetas de seguridad
Detección de eventos
Auditorías de seguridad
Mecanismos de recuperación
30. Conceptos OSI Ataques Servicios Mecanismos Modelo Estándares Certificaciones
Mecanismos de seguridad(ii)
Mecanismos de seguridad específicos(i)
Mecanismos de seguridad específicos(i)
Cifrado: Uso de algoritmos matemáticos para
transformación la información de forma que no pueda ser
leída (criptografía).
Firma digital: Información añadida al final del mensaje
que prueba el origen e integridad del mensaje enviado
(criptografía).
Control de acceso: Variedad de mecanismos que
refuerzan los derechos de acceso a los recursos.
Integridad: Mecanismos que aseguran la integridad de la
información transmitida: tanto de los flujos de información
como de los datos individuales.
31. Conceptos OSI Ataques Servicios Mecanismos Modelo Estándares Certificaciones
Mecanismos de seguridad(iii)
Mecanismos de seguridad específicos(ii)
Mecanismos de seguridad específicos(ii)
Mecanismos de autenticación: Mecanismos que
aseguran la identidad de todos los participantes en una
interacción mediante el intercambio de información.
Tráfico de relleno: Inserción de información adicional en
los flujos de información para dificultar el análisis del
tráfico.
Control de enrutamiento: Selección de rutas físicas para
el envío de información, propiciando el uso de rutas
alternativas antes posibles brechas de seguridad.
Mecanismos de notario: Uso de terceras entidades de
confianza para asegurar ciertas propiedades de la
información intercambiada.
32. Conceptos OSI Ataques Servicios Mecanismos Modelo Estándares Certificaciones
Mecanismos de seguridad(iv)
Mecanismos de seguridad omnipresentes
Mecanismos de seguridad omnipresentes
Mecanismos de confianza: Confianza en los
mecanismos y servicios utilizados dentro de un sistema de
seguridad.
Etiquetas de seguridad: Abstracción para la asignación
de niveles y atributos de seguridad a conjuntos de datos y
comunicaciones.
Detección de eventos:Detección de eventos relevantes
para la seguridad del sistema.
Auditorías de seguridad: Recolección de información
para la posible realización de una auditoría.
Mecanismos de recuperación: utilizando información
sobre eventos y funciones de gestión, puede gestionar
transacciones y recuperarse de acciones realizadas.
33. Conceptos OSI Ataques Servicios Mecanismos Modelo Estándares Certificaciones
Mecanismos de seguridad(v)
Mecanismo
Servicio Cifrado
Firma
digital
Control
de ac-
ceso
Inte-
gridad
Auten-
tica-
ción
Tráfico
de
relleno
Control
de en-
ruta-
miento
Notario
Aut.
partici-
pantes
Aut.
origen
Control
acce-
so
Conf.
Conf.
flujo
Inte-
gridad
No re-
pudio
Dispo-
nibili-
dad
34. Conceptos OSI Ataques Servicios Mecanismos Modelo Estándares Certificaciones
Un modelo de seguridad en redes
Protección del sistema
(sistema de privilegios, separación de procesos, etc)
Administración de seguridad
Gestión de claves (criptografía)
Identificación (y nombrado)
Protección de las comunicaciones
Recurso
Usuario
o
proceso
Auditoría
No repudio
Privacidad
transacciones
Autenticación
Autorización
Control de
acceso
Detección de
intrusiones
Prueba de
integridad
Restaurar
estado
"seguro"
Leyenda
Prevención
Recuperación
Soporte
Fuente: Security Services Model, NIST Special Publication 800-33, December 2001, Underlying Technical Models
35. Conceptos OSI Ataques Servicios Mecanismos Modelo Estándares Certificaciones
Estándares
SGSI
SGSI (ISMS): Sistemas de Gestión de la Seguridad de la
Información (Information Security Management System)
Información conjunto de datos organizados que pueden
poseer valor para la entidad que los posea
Normativa ISO 27000
Seguridad de la información: preservación de su
confidencibilidad, integridad y disponibilidad.
También se contempla la seguridad de los
sistemas implicados en el tratamiento de la
información dentro de la organización.
Propone hacer uso de procesos sistemáticos, documentados y
conocidos por toda la organización.
36. Conceptos OSI Ataques Servicios Mecanismos Modelo Estándares Certificaciones
Estándares
Familia de normas ISO 27000 (i)
La ISO 27001 podría considerarse como la conocida ISO 9001
aplicada a sistemas de calidad para la seguridad de la
información.
37. Conceptos OSI Ataques Servicios Mecanismos Modelo Estándares Certificaciones
Estándares
Familia de normas ISO 27000 (ii)
Ejemplo de lo recogido en la familia de la norma ISO 27000
ISO/IEC 27000 Visión general de las normas de la serie
27000.
ISO/IEC 27001 Norma certificiable que establece los
requisitos de un SGSI.
ISO/IEC 27002 Código de buenas prácticas para la seguridad
de la información.
ISO/IEC 27003 Guía de implantación de SGSI.
ISO/IEC 27004 Descripción de métricas, indicadores y
mediciones que pueden realizarse son un SGSI.
ISO/IEC 27005 Trata aspectos relacionados con la gestión de
riegos.
ISO/IEC 27006 Especifica los requisitos para una organización
que desee acreditarse como “entidad
certificadora” de ISO 27001.
38. Conceptos OSI Ataques Servicios Mecanismos Modelo Estándares Certificaciones
Estándares
Familia de normas ISO 27000 (iii)
Ejemplo de lo recogido en la familia de la norma ISO 27000
...
ISO/IEC 27011 Guía para la implementación de un SGSI para
el sector de las telecomunicaciones.
ISO/IEC 27031 Ciberseguridad.
ISO/IEC 27033 Seguridad en redes.
ISO/IEC 27034 Seguridad para aplicaciones informáticas.
...
39. Conceptos OSI Ataques Servicios Mecanismos Modelo Estándares Certificaciones
Certificaciones(i)
Empresas certifican (mediante exámenes) los
conocimientos sobre seguridad informática o sobre cómo
utilizar sus propios productos en seguridad informática.
Pueden ser requisito para ciertos proyectos de
implantación y para cumplir con normativas de seguridad.
La mayoría de las certificaciones debe ser renovadas
después de unos años (por lo general, no más de 5 años)
Algunos ejemplos de certificaciones:
CISM - CISM Certificaciones: Certified Information Security Manager
CISSP - CISSP Certificaciones: Security Professional Certification
GIAC - GIAC Certificaciones: Global Information Assurance Certification
CISA- Certified Information Systems Auditor, ISACA
CISM- Certified Information Security Manager, ISACA
Lead Auditor ISO27001- Lead Auditor ISO 27001, BSI
CISSP - Certified Information Systems Security Professional, ISC2
SECURITY+, COMPTia - Computing Technology Industry Association
CEH - Certified Ethical Hacker
PCI DSS - PCI Data Security Standard
40. Conceptos OSI Ataques Servicios Mecanismos Modelo Estándares Certificaciones
Certificaciones(ii)
Algunas empresas ofrecen su propia carrera de certificaciones
en seguridad: ejemplo de certificaciones CISCO:
Nivel básico
CCENT: Cisco Certified Entry Networking Technician
CCNA: Cisco Certified Network Associate
CCDA: Cisco Certified Design Associate
Nivel profesional
CCDP: Cisco Certified Design Professional
CCIP: Cisco Certified Internetwork Professional
CCNP: Cisco Certified Network Professional
CCSP: Cisco Certified Security Professional
CCVP: Cisco Certified Voice Professional
Nivel experto
CCIE: Cisco Certified Internetwork Expert