Seguridad Informática: Más allá del firewall

Transcripción

1 Seguridad Informática: Más allá del firewall Egdares Futch H. Congreso Emprendedores 2002 Universidad Tecnológica Centroamericana Tegucigalpa, Honduras

2 End User License Agreement Por medio de su permanencia en la sala, usted está aceptando lo siguiente: Las opiniones son exclusivas del autor, y no representan las de alguna otra institución. Los ejemplos presentados son únicamente con fines educativos, y no pretenden exponer supuestos problemas en los sistemas mencionados. Usted hará preguntas y evitará dormirse (es un Grupo Interactivo de Trabajo!)

3 El arte de la guerra nos enseña a no depender en que nuestro enemigo no aparezca, sino en nuestra capacidad de recibirlo; a no depender en que no ataque, sino de la habilidad de haber hecho impenetrable nuestra posición. --El Arte de la Guerra, Sun Tzu

4 Seguridad de la información Base de nuestra discusión: Toda persona o empresa requiere mantener segura su información interna, para mantener su privacidad, secretos personales o corporativos, hábitos de consumo y preferencias de cualquier tipo.

5 Seguridad de la información Esta seguridad dependía de medios físicos o administrativos: Archivadores con llave Cajas fuertes Accesos controlados Investigación de antecedentes criminales

6 Seguridad de la información Con la introducción de sistemas de cómputo en el trabajo cotidiano, se creó la necesidad de herramientas informáticas para proteger archivos y otra información almacenada en estos sistemas. El nombre genérico para estas herramientas es: Seguridad Informática.

7 Seguridad de redes Una segunda necesidad derivada de la introducción de líneas de comunicación electrónica es la de proteger los archivos y datos durante la transmisión de los mismos entre sistemas Las herramientas diseñadas para este fin son llamadas de Seguridad de Redes.

8 Seguridad vs. Oscuridad Existen dos clases de seguridad: La que no deja que tu hermanita lea tu libretita negra La que no deja que la CIA ni la KGB ni la DIC lean tu libretita negra. Nosotros hablaremos sobre esta última, debiendo notar la diferencia entre seguridad y oscuridad

9 Oscuridad Si yo tomara una carta, la colocara en una caja fuerte, luego escondiera la caja fuerte en algún lugar de La Tigra y luego le pido que lea la carta, eso es oscuridad Caso: (a) Reuters vs. Intentia (b) Respuestas de exámenes de la Universidad Virtual

10 Seguridad Ahora bien, si yo pongo la carta en una caja fuerte, y luego le doy: La caja fuerte, con los planos de diseño Cien cajas fuertes iguales a ésta, con todo y las combinaciones Cien expertos en cajas fuertes, para que estudien el diseño Y si aún asi no puede leer la carta...

11 Seguridad Esta clase de seguridad sólo estaba disponible para los militares (CIA, KGB, Mossad). En los ultimos veinte años se ha hecho tanta investigación en seguridad informática, que es posible para cualquier persona usar técnicas a nivel de las agencias de inteligencia militar.

12 Hey, y realmente necesita tanta seguridad? Dependencia en la información por parte de las empresas comerciales para la continuidad de sus negocios ($/downtime) Protección intelectual ($/obra) Acoso del gobierno Derecho a la privacidad Anonimidad (votaciones, registros médicos) Paranoia

13 Los 3 aspectos de la seguridad Ataques de seguridad Mecanismos de seguridad Servicios de seguridad

14 Ataques de seguridad Fuente: Cryptography and network security, 2 nd Ed. Stallings

15 Categorización de los ataques Ataques pasivos Conocimiento de comunicaciones confidenciales Análisis de tráfico Ataques activos Denial of Service (DoS) Modificación de mensajes Suplantación Retransmisión

16 Servicios de seguridad Confidencialidad Autenticación Integridad Confirmación de origen (nonrepudiation) Control de acceso Disponibilidad

17 Mecanismos de seguridad Criptografía Arte y ciencia de mantener seguros los mensajes. Practicada por criptólogos Criptanálisis Arte y ciencia de romper texto encriptado

18 Firewalls Un mecanismo de seguridad de red, que consiste en un equipo o grupo de equipos informáticos diseñados para que: Todas las comunicaciones del interior al exterior y viceversa pasen por el firewall Solamente las comunicaciones autorizadas pasen Sea inmune a los ataques (trusted system/trusted OS)

19 Servicios del firewall Control de servicios de red Control de dirección Control de usuarios Control de comportamiento

20 Capacidades de un firewall Un único cuello de botella hacia la red protegida Un lugar para monitorear eventos de seguridad Servicios de red relacionados con Internet Plataforma para implementar VPNs

21 Limitaciones de un firewall Ataques que sobrepasan el firewall Modem en una estación de un empleado Amenazas internas Empleados despedidos/mal pagados Virus Nimda / Code Red Error humano Doh!

22 Y entonces? No existe la seguridad informática perfecta Bueno...si, el one-time pad La seguridad informática no es fácil de implantar Resistencia de los usuarios Costo de la misma Chiste horrible

23 Más allá del firewall Para mejorar sensiblemente la seguridad informática y de redes de nuestra empresa, necesitamos más que un firewall: Políticas internas de seguridad Filtrado de contenido Establecimiento y análisis de bitácoras Detección de intrusos Comunicación encriptada Y todo lo nuevo que aparezca...

24 Políticas de seguridad Normativas de ética y confidencialidad Expiración de passwords y de cuentas de correo Archivos confidenciales o propietarios Virus Eliminación periódica de usuarios inactivos Clarificar la responsabilidad de los usuarios Finalidad: Usarla como disuasivo

25 Filtrado de contenido Las empresas se exponen a riesgos por los hábitos de uso de Internet de sus empleados: Pornografía Información con derechos de autor restringidos (warez, MP3) Cadenas de Chats Extremismos u otra conducta antisocial

26 Bitácoras Los sistemas que se conecten a redes externas deben tener la mayor cantidad de bitácoras habilitadas: Sitios visitados Correo entrante y saliente Conexiones a nuestros servidores Usuarios

27 Detección de intrusos Los firewalls son pasivos, y se pueden complementar con sistemas IDS Existen diversos tipos: Host intrusion detection (tripwires, actividad sospechosa) Signature-based network intrusion detection (Winnuke, smurf) Anomaly-based network intrusion detection Statistic (port scanning, DDos) Protocol (Code Red)

28 Comunicaciones encriptadas Asegurarse que las transacciones entre la empresa y sus usuarios o clientes no pueda ser vista por terceros Compras por web Hacer uso de teletrabajo Viajes de trabajo Proliferación del SOHO Filiales, sucursales, distribuidores

29 Y aún así...que nos falta? ICE: Intruder Counter Electronics Atacar a nuestros atacantes

30 Preguntas? Comentarios pueden dirigirlos a: