Sede Carrera Asignatura. Tipos de Protección y defensa en Seguridad informática Tecnologías De Información Y Comunicación I

Transcripción

1 Sede Carrera Asignatura Tipos de Protección y defensa en Seguridad informática Tecnologías De Información Y Comunicación I Nombre Alumno: Andrés Meneses Sergio Parra Docente: Rodrigo Tapia Fecha: 27/05/2015 1

2 Indice Qué es la seguridad informática?... 3 Pruebas de Vulnerabilidad... 4 Firewall... 4 Proxy... 5 Lista de control de acceso (ACL - Access Control List)... 6 Sistemas de Detección de Intrusos... 7 Wrapper... 9 Callback... 9 Sistemas Anti Sniffers Secure Shell Gestión de claves Seguras Autentificación Certificado Digital VPN HTTPS Bibliografía

3 Qué es la seguridad informática? Para comenzar se quiere señalar que es la seguridad, está, según el diccionario de la Real Academia Española o RAE significa: 1. Libre y exento de todo peligro, daño o riesgo. 2. adj. Cierto, indubitable y en cierta manera infalible. 3. adj. Firme, constante y que no está en peligro de faltar o caerse. Como describe, la palabra seguridad se puede usar a grandes rasgos, pero, en este caso se quiere enfatizar en la seguridad informática y los tipos de protección que hay para poder así mitigar los riesgos o amenazas. Desde el punto de vista informático un sistema puede ser protegido tanto física como lógicamente, donde las amenazas pueden venir o proceder de programas dañinos que se instalan en la computadora del usuario en forma de virus o también puede ser vía remota, actualmente en el caso de los virus la variedad de estos es muy amplia, por este medio se puede llegar a vulnerar de manera palpable cualquier equipo o sistema informático. Para poder contrarrestar estas vulnerabilidades existen distintas herramientas en las que se encuentran los antivirus, cortafuegos o firewalls, encriptación de información, uso de contraseñas, proxys, sistemas de detección de intrusos o anti-spyware y así una serie de métodos y herramientas de gran utilidad que en su mayoría se trata de programas o aplicaciones por las cuales se puede detectar de manera inmediata anomalías en el sistema. En el caso de los sistemas de detección de intrusos, este nos ayuda a buscar programas espías que se pueden encontrar en nuestro sistemas realizando recopilación de información. En informática los sistemas deben ser seguros para así evitar posible pérdida de información, robo de esta, etc. Este sistema para que se defina como seguro debe ser, íntegro con información modificable 3

4 sólo por las personas autorizadas, confidencial donde los datos tienen que ser legibles sólo por usuarios autorizados, irrefutable donde el usuario no podrá negar las acciones que realizo y tener buena disponibilidad haciendo de este un sistema estable. A continuación se mostrarán herramientas y métodos que ayudaran a que un sistema informático posea un alto porcentaje de seguridad. Pruebas de Vulnerabilidad Las pruebas de vulnerabilidad permitirá a la compañía tener una certeza razonable de hasta dónde un ataque originado interna o externamente a la infraestructura de seguridad de la compañía puede ser efectivo y encontrar los elementos a mejorar en dicha infraestructura constituyéndose así en una medida idónea para la revisión de la efectividad de los controles establecidos, poniéndolos a prueba frente a las sofisticadas herramientas para vulnerar su seguridad que están disponibles en Internet y que serán manejadas por un grupo de profesionales con amplia experiencia en el tema y un alto sentido de la ética. Firewall Un firewall es software o hardware que comprueba la información procedente de Internet o de una red y, a continuación, bloquea o permite el paso de ésta al equipo, en función de la configuración del firewall. Un firewall puede ayudar a impedir que hackers o software malintencionado (como gusanos) obtengan acceso al equipo a través de una red o de Internet. Un firewall también puede ayudar a impedir que el equipo envíe software malintencionado a otros equipos. En la siguiente ilustración se muestra el funcionamiento de un firewall: 4

5 Figura 1 - Ejemplo, Firewall Proxy Un servidor proxy es un ordenador que sirve de intermediario entre un navegador web e internet, este contribuye a la seguridad de la red. Dentro de sus principales funciones está proteger y mejorar el acceso a las páginas web, conservarlas en la caché. De este modo, cuando un navegador envía una petición para acceder a una página web que previamente ha sido almacenada en la caché, la respuesta y el tiempo de visualización es mas rápido, además los servidores proxy aumente la seguridad ya que pueden filtrar cierto contenido web y programas maliciosos. 5

6 Figura 3 - Ejemplo, Configuración de ACL Lista de control de acceso (ACL - Access Control List) Una lista de control de acceso o ACL es un concepto informático utilizado para la separación de privilegios, de esta forma se determinan permisos a determinados objetos o sectores, además permiten controlar el flujo del tráfico en los equipos en redes y su principal objetivo es filtrar tráfico, permitiendo o denegando este en la red, Aunque tiene otros usos como por ejemplo la distinción de tráfico interesante el cual es lo suficientemente importante como para mantener una conexión activa. En cuanto a las redes informáticas, ACL hace referencia a una lista de reglas que detallan los distintos puertos de servicio o nombres de dominios que están disponibles en un terminal a otro en la capa de red. Las ACL pueden configurarse también para controlar el tráfico entrante y saliente lo cual es similar a un firewall o cortafuegos. Existen dos tipos de listas de control de acceso: Lista fija, no cambia. Lista variable, cambia. 6

7 Figura 4 - Ejemplo, Configuración de ACL Sistemas de Detección de Intrusos Consiste en un mecanismo que, sigilosamente, escucha el tráfico en la red para detectar actividades anormales o sospechosas, y de este modo, reducir el riesgo de intrusión. Existen dos claras familias importantes de IDS: El grupo N-IDS (Sistema de detección de intrusos de red), que garantiza la seguridad dentro de la red. El grupo H-IDS (Sistema de detección de intrusos en el host), que garantiza la seguridad en el host. Un N-IDS requiere un hardware exclusivo. Éste forma un sistema que puede verificar paquetes de información que viajan por una o más líneas de la red para descubrir si se ha producido alguna actividad maliciosa o anormal mediante uno o más adaptadores de red exclusivos del sistema en modo invisible en el que no tiene dirección IP. El H-IDS se encuentra en un host particular. Por lo tanto, su software cubre una amplia Su función es actuar como un daemon o servicio estándar en el sistema de un host. Tradicionalmente, el H-IDS analiza 7

8 la información particular almacenada en registros (como registros de sistema, mensajes, lastlogs y wtmp) y también captura paquetes de la red que se introducen/salen del host para poder verificar las señales de intrusión (como ataques por denegación de servicio, puertas traseras, troyanos, intentos de acceso no autorizado, ejecución de códigos malignos o ataques de desbordamiento de búfer). Figura 5 - Ejemplo, sistema de detección de intrusos. 8

9 Wrapper Wrapper que al castellano es empaquetador, es empaquetador al hacer referencia a informática es un software usado para filtrar el acceso a las red. Wrapper Figura 6 - Ejemplo, Callback Callback el cual es una devolución de llamada o retro llamada es una función que se usa como argumento en otra función, al hacer esto permite desarrollar capas de abstracción de código. Una retro llamada puede ser usada como una aproximación simple al polimorfismo, donde el comportamiento de la función puede ser dinámicamente determinado por el paso de punteros o funciones/ 9

10 Figura 7 - Ejemplo, Callback Sistemas Anti Sniffers Para hablar sobre un sistema anti-sniffer primero se hablará de que es un sniffer, en base a esto, técnicamente un sniffer es un programa informático que registra la información que envían los periféricos de una red para poder monitorear la actividad de un determinado ordenador o directamente todo el tráfico en la red. Cómo hacemos para detectar un sniffer en la red? Para comenzar decir que los sniffers no son fáciles de detectar y combatir, esto debido a que son programas que trabajan en modo pasivo. Las técnicas a tratar no son totalmente fiables en todos los casos aunque sí tienen una gran aproximación al descubrimiento de este tipo de vulnerabilidad. Antes que todo y para entender algunos conceptos se verá cómo funciona, brevemente, el protocolo ARP. Qué es ARP y para qué sirve? 10

11 ARP o Address Resolution Protocol del inglés, es un protocolo de resolución de direcciones situada en la capa de enlace de datos y es responsable de encontrar la dirección hardware (MAC) que corresponde a una determinada dirección IP. En una red Ethernet cuando queremos enviar un paquete IP entre dos hosts conectados las únicas direcciones válidas son las MAC y lo que circula son tramas Ethernet. Entonces volviendo a lo anterior cuando queremos enviar un paquete IP lo que se hace es agregar el paquete dentro de una trama Ethernet y lo envía. Formato de una cabecera ARP Figura 8 - Ejemplo protocolo ARP HLEN: Longitud dirección hardware PLEN: Longitud dirección del protocolo OPERACIÓN: Código de operación (ARPreques ó ARPreply) SENDER HA: Dirección de origen hardware SENDER IP: Dirección de origen del protocolo TARGET HA: Dirección de destino hardware Cuál es el problema entonces? 11

12 El problema radica en que sabemos la dirección IP del host de destino pero no su dirección MAC. Cómo se soluciona esto? La solución está en que antes de enviar el paquete IP se debe usar ARP para averiguar cuál es la dirección MAC del host destino de la conexión que pretendemos realizar. ARP tiene dos tipos básicos de mensajes: Mensaje de petición o ARPrequest Mensaje de respuesta o ARPreply Los dos viajan por nuestra red dentro de tramas Ethernet y cuando queremos enviar un paquete IP desde un host origen (A) hacia un host destino (B) esto es lo que sucede: (A) crea un mensaje o petición ARPrequest indicando: Su dirección IP Su dirección MAC Dirección IP del host (B) Campo de dirección MAC host (B) sin rellenar. Envía el ARPrequest a la dirección broadcast (todos los hosts de la red) pero sólo contesta uno de ellos (B) entonces (B) crea un mensaje ARPreply: Rellena el campo de dirección MAC con su MAC Intercambia las direcciones origen y destino Cambia el tipo de mensaje de ARPreques a ARPreply Envía el mensaje ARPrpely a (A). Con esto ya hay información suficiente para establecer cualquier comunicación entre (A) y (B). 12

13 Para comprobar este método, podemos utilizar un sniffer de red como ethernet y filtrando por protocolos, en este caso ARP: C:\scan>windump -qtn arp windump: listening on \Device\NPF_{604C8AE3-5FAC-45A5-BFAA-81175A8C32BF} arp who-has tell arp who-has tell arp who-has tell arp who-has tell arp who-has tell arp who-has tell arp who-has tell arp who-has tell arp who-has tell arp who-has tell arp reply is-at 0:1:2:e7:57:cf arp who-has tell arp who-has tell arp reply is-at 0:1:2:e7:57:cf arp who-has tell arp who-has tell arp reply is-at 0:1:2:e7:57:cf... También hay distintos softwares para la detección de sniffers tales como SniffDet Remote Sniffer Detection AntiSniff_v1.3 Sentinel 13

14 Además otras formas de detectar posibles sniffers son: Detectar y controlar los logs que suelen generar los sniffers. Detectar y controlar las conexiones al exterior. Monitorizados los programas que acceden al dispositivo de red. Algunas técnicas de detección son: El test DNS El Test del Ping El Test ICMP El test ARP El test Etherping Para poder protegerse contra la acción de los sniffers y para que éstos no cumplan sus objetivos de olfateo de contraseñas y en general nos "capturen datos sensibles" en texto plano -sin cifrado fuerte-, podemos hacer uso de diversas técnicas o utilizar sistemas como: Redes conmutadas (no siempre es efectivo) PGP (Pretty Good Privacy) SSL (Secure Sockets Layer) SSH (Secure Shell) VPN (Virtual Private Network) etc. Secure Shell 14

15 Secure shell es el nombre de un protocolo y del programa que lo implementa, y este sirve para acceder a máquinas remotas a través de una red. Además, este nos permite copiar datos en forma segura mediante un canal tunelizado mediante SSH, este utiliza técnicas de cifrado que hacen que la información que viaja por el medio de comunicación sea ilegible por terceros. Figura 9 - Túnel SSH Gestión de claves Seguras La gestión de contraseñas es uno de los puntos débiles de los usuarios al momento de garantizar la seguridad de su información personal. Como parte de los consejos para incrementar los niveles de seguridad de la información es, además de tener contraseñas robustas, tener contraseñas diferentes para cada uno de los servicios que utilice el usuario. Esta alternativa plantea el reto para el usuario de manejar muchas contraseñas, por lo cual una contraseña segura debe poseer al menos 8 caracteres de longitud, con los 96 caracteres posibles. Con estas características de contraseña puede tardar años en descifrar (analizando palabras por segundo). Esto se obtiene a partir de las 96^8 ( ) claves posibles de generar con esos caracteres. Si bien se recomienda establecer diferentes contraseñas para todos los servicios en los cuales se utilizan, esto puede llevar al 15

16 olvido de cada una por lo cual para esta solución existen distintos software que ayudan a la gestión de las contraseñas, almacenadas en la nube o de forma local mediante encriptación y cifrado. Autentificación La autentificación es el proceso de verificar formalmente la identidad de las entidades participantes en una comunicación o intercambio de información mediante uno o varios atributos (usuario, contraseña, etc), como también puede ser a través de la biometría (huellas digitales, retina del ojo, la voz). Certificado Digital Un certificado digital o certificado electrónico es un fichero informático generado por una entidad de servicios de certificación que asocia unos datos de identidad a una persona física, organismo o empresa confirmando de esta manera su identidad digital en Internet. El certificado digital es válido principalmente para autenticar a un usuario o sitio web en internet por lo que es necesaria la colaboración de un tercero que sea de confianza para cualquiera de las partes que participe en la comunicación. El nombre asociado a esta entidad de confianza es Autoridad Certificadora pudiendo ser un organismo público o empresa reconocida en Internet. En Chile e-certchile brinda los servicios de certificados digitales ofreciendo planes desde $ por 1 años. VPN Es una tecnología de red que permite una extensión segura de la red local (LAN) sobre una red pública o no controlada como Internet. Permite que la computadora en la red envíe y reciba datos sobre redes compartidas o públicas como si fuera una red privada con toda la funcionalidad, seguridad y políticas de gestión de una red privada. Esto se realiza estableciendo una conexión virtual punto a punto mediante el uso de conexiones dedicadas, cifrado o la combinación de ambos métodos. 16

17 En base a este concepto surgen los siguientes: PPTP: Es un protocolo de red que permite el tráfico seguro de datos desde un cliente remoto a un servidor corporativo privado, estableciéndose así una Red Privada Virtual basada en TCP/IP. PPTP soporta múltiples protocolos de red (IP, IPX y NetBEUI) y puede ser utilizado para establecer dichas redes virtuales a través de otras redes públicas o privadas como líneas telefónicas, redes de área local o extensa (LAN's y WAN's) e Internet u otras redes públicas basadas en TCP/IP. L2TP: (Layer 2 Tunneling Protocol) Es una variación de un protocolo de encapsulamiento IP. Un túnel L2TP se crea encapsulando una trama L2TP en un paquete UDP, el cual es encapsulado a su vez en un paquete IP, cuyas direcciones de origen y destino definen los extremos del túnel. IPsec: Es un conjunto de protocolos cuya función es asegurar las comunicaciones sobre el Protocolo de Internet (IP) autenticando y/o cifrando cada paquete IP en un flujo de datos. IPsec también incluye protocolos para el establecimiento de claves de cifrado. HTTPS Hypertext Transfer Protocol Secure (Protocolo seguro de transferencia de hipertexto) o más conocido por sus siglas HTTPS, es un protocolo de aplicación basado en el protocolo HTTP, destinado a la transferencia segura de datos de Hipertexto, es decir, es la versión segura de HTTP, este utiliza un cifrado basado en SSL/TLS para crear un canal cifrado (cuyo nivel de cifrado depende del servidor remoto y del navegador utilizado por el cliente) más apropiado para el tráfico de información sensible que el protocolo HTTP. De este modo se consigue que la información sensible (usuario y claves de paso normalmente) no pueda ser usada por un atacante que haya conseguido interceptar la transferencia de datos de la conexión, ya que lo único que obtendrá será un flujo de datos cifrados que le resultará imposible de descifrar, el puerto estándar para este protocolo es el 443. Seguridad en el comercio electrónico La incorporación de mecanismos, técnicas y algoritmos adecuados para realizar transacciones electrónicas se hace necesario para evitar los riesgos a la hora de ejecutar una transacción. 17

18 En este sentido se puede hablar de cuatro aspectos básicos de seguridad: autenticación, confidencialidad, integridad y el no-repudio. Autentificación: La autentificación es el proceso de verificar formalmente la identidad de las entidades participantes en una comunicación o intercambio de información. Por entidad se entiende tanto personas, como procesos o computadoras. Existen varias formas de poder autentificarse: - basada en claves - basada en direcciones - criptográfica De estas tres posibilidades la más segura es la tercera, ya que en el caso de las dos primeras es posible que alguien escuche la información enviada y pueden suplantar la identidad del emisor de información. Confidencialidad: La confidencialidad es la propiedad de la seguridad que permite mantener en secreto la información y solo los usuarios autorizados pueden manipularla. Igual que antes, los usuarios pueden ser personas, procesos, programas. Para evitar que nadie no autorizado pueda tener acceso a la información transferida y que recorre la Red se utilizan técnicas de encriptación o codificación de datos. Integridad: La integridad de la información corresponde a lograr que la información transmitida entre dos entidades no sea modificada por un tercero y esto se logra mediante la utilización de firmas digitales. No-repudio 18

19 Los servicios de no-repudio ofrece una prueba al emisor de que la información fue entregada y una prueba al receptor del origen de la información recibida. Con este aspecto conseguimos que una vez que alguien ha mandado un mensaje, este no pueda negar que es el autor del mensaje. Bibliografía Real academia española, significado seguro, último acceso Definición seguridad informática, último acceso Prueba de vulnerabilidad, último acceso Firewall, último acceso Gestión de claves seguras, último acceso Firma electrónica, último acceso Sistemas sniffers y detección de sniffers, último acceso Seguridad en el comercio electrónico, último acceso