INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA. Técnico en Seguridad de Redes y Sistemas 2012, Juan Pablo Quesada Nieves

Transcripción

1 INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA Técnico en Seguridad de Redes y Sistemas 2012, Juan Pablo Quesada Nieves

2 INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA Seguridad y Protección de la Información Criptografía Certificados Digitales PKI Confidencialidad e Integridad en Transacciones Electrónicas Mecanismos de Identificación y Control de Accesos Bibliografía y Recursos Web 2

3 INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA Seguridad y Protección de la Información Criptografía Certificados Digitales PKI Confidencialidad e Integridad en Transacciones Electrónicas Mecanismos de Identificación y Control de Accesos Bibliografía y Recursos Web 3

4 SEGURIDAD Y PROTECCIÓN DE LA INFORMACIÓN «El único sistema verdaderamente seguro es aquel que se encuentra apagado, encerrado en una caja fuerte de titanio, enterrado en un bloque de hormigón, rodeado de gas nervioso y vigilado por guardias armados y muy bien pagados. Incluso entonces, yo no apostaría mi vida por ello». Gene Spafford, experto en Seguridad Informática 4

5 SEGURIDAD Y PROTECCIÓN DE LA INFORMACIÓN Seguridad Informática, por qué? (1/2) El auge de Internet y de los servicios telemáticos hace que los ordenadores y las redes sean un elemento cotidiano en nuestras casas y una herramienta imprescindible en las empresas Ya no hay necesidad de ir al banco para conocer los movimientos de la cuenta bancaria, ni para realizar transferencias, Sea cual sea su tamaño, toda empresa dispone ya de equipos conectados a Internet para ayudarle en sus procesos productivos 5

6 SEGURIDAD Y PROTECCIÓN DE LA INFORMACIÓN Seguridad Informática, por qué? (2/2) Cualquier fallo en los equipos puede generar pérdida de información, pérdida económica por el parón producido, Importante asegurar un correcto funcionamiento de lossistemasylasredes Fuera la creencia de que a nosotros nunca nos pasaráloqueaotros Con buenas políticas de seguridad, tanto físicas como lógicas, conseguiremos que nuestros sistemas sean menos vulnerables a las distintas amenazas 6

7 SEGURIDAD Y PROTECCIÓN DE LA INFORMACIÓN Definición de Seguridad Informática Según la ISO 27002, «la seguridad informática se puede caracterizar por la preservación de la confidencialidad, la integridad y la disponibilidad de la información» Según INFOSEC Glossary 2000, «la seguridad informática son las medidas y controles que aseguran la confidencialidad, la integridad y la disponibilidad de los activos de los sistemas de información, incluyendo hardware, software, firmware y aquella información que procesan, almacenan y comunican» 7

8 SEGURIDAD Y PROTECCIÓN DE LA INFORMACIÓN Objetivos de la Seguridad Informática Confidencialidad Capacidad para garantizar que la información, almacenada en un sistema informático o transmitida por la red, solamente va a estar disponible para aquellas personas autorizadas Disponibilidad Capacidad para garantizar que tanto el sistema como los datos van a estar disponibles al usuario en todo momento Integridad Capacidad para garantizar que los datos no han sido modificados desde su creación sin autorización Norepudio Capacidad para garantizar la participación de las partes en una comunicación. En toda comunicación habrá un emisor y un receptor 8

9 SEGURIDAD Y PROTECCIÓN DE LA INFORMACIÓN Mecanismos para conseguir los objetivos de la Seguridad Informática Autenticación Autorización Auditoría Encriptación Realización de copias de seguridad e imágenes de respaldo Antivirus Cortafuegos Servidores proxy Utilización de firma electrónica o certificado digital Leyes para la protección de datos personales 9

10 SEGURIDAD Y PROTECCIÓN DE LA INFORMACIÓN Clasificación de la Seguridad Informática Según el activo(recursos) a proteger Seguridad física Seguridad lógica Según el momento preciso de actuación Seguridad activa Seguridad pasiva 10

11 SEGURIDAD Y PROTECCIÓN DE LA INFORMACIÓN Clasificación de la Seguridad Informática. Según el activo a proteger (1/4) Seguridad física Trata de proteger el hardware (equipos informáticos, cableado, ) de posibles desastres naturales (terremotos, huracanes, ), de incendios, de inundaciones, de sobrecargas eléctricas, de robos, 11

12 SEGURIDAD Y PROTECCIÓN DE LA INFORMACIÓN Clasificación de la Seguridad Informática. Según el activo a proteger (2/4) Seguridad física Amenaza Desastres naturales Incendios Inundaciones Mecanismos de defensa Continuo contacto con el Instituto Geográfico Nacional y la Agencia Estatal de Meteorología Uso de mobiliario ignífugo Sistemas antiincendios, detectores de humo, extintores, Evitar la ubicación de los CPDs en las plantas bajas Impermeabilización de paredes y techos del CPD Sobrecargas eléctricas Robos Utilización de SAIs Puertas con medidas biométricas, cámaras de seguridad, 12

13 SEGURIDAD Y PROTECCIÓN DE LA INFORMACIÓN Clasificación de la Seguridad Informática. Según el activo a proteger (3/4) Seguridad lógica Complementa a la seguridad física protegiendo el software de los equipos informáticos, es decir, las aplicaciones y los datos de usuario, de robos, de pérdidas, de virus, de modificaciones no autorizadas, de ataques desde la red, 13

14 SEGURIDAD Y PROTECCIÓN DE LA INFORMACIÓN Clasificación de la Seguridad Informática. Según el activo a proteger (4/4) Seguridad lógica Robos Amenaza Pérdidas de datos Virus Modificaciones no autorizadas de los datos Ataques desde la red Mecanismos de defensa Cifrado de la información Utilización de contraseñas Sistemas biométricos Realización de copias de seguridad Uso de sistemas tolerantes a fallos Uso de discos redundantes Uso de antivirus Uso de contraseñas UsodeACLs Cifrado de documentos Cortafuegos Servidores proxy 14

15 SEGURIDAD Y PROTECCIÓN DE LA INFORMACIÓN Clasificación de la Seguridad Informática. Según el momento preciso de actuación (1/4) Seguridad activa Conjunto de medidas que previenen e intentan evitar los daños en los sistemas informáticos Técnico en Seguridad de Redes y Sistemas 15

16 SEGURIDAD Y PROTECCIÓN DE LA INFORMACIÓN Clasificación de la Seguridad Informática. Según el momento preciso de actuación (2/4) Seguridad activa Técnica Uso de contraseñas Listas de control de acceso Encriptación Uso de software de seguridad informática Firmas y certificados digitales Sistemas de ficheroscon tolerancia a fallos Cuotas de disco Qué previene? El acceso a recursos por parte de personas no autorizadas El acceso alos ficheros por parte de personal no autorizado La interpretación de la información por parte de personas sin autorización LosvirusylaentradaindeseadaalSI El desconocimiento de la procedencia, la autenticidad y la integridad de los mensajes Fallos de integridad en caso de apagones de sincronización o comunicación Uso indebido de la capacidad de disco por parte de ciertos usuarios 16

17 SEGURIDAD Y PROTECCIÓN DE LA INFORMACIÓN Clasificación de la Seguridad Informática. Según el momento preciso de actuación (3/4) Seguridad pasiva Complementa a la seguridad activa y se encarga de minimizar los efectos ocasionados por algún percance Técnico en Seguridad de Redes y Sistemas 17

18 SEGURIDAD Y PROTECCIÓN DE LA INFORMACIÓN Clasificación de la Seguridad Informática. Según el momento preciso de actuación (4/4) Seguridad pasiva Técnica Conjunto de discos redundantes SAI Realización de copias de seguridad Cómo minimiza? Se puede restaurar información que no es válida ni consistente Una vez la corriente se pierde, las baterías del SAI se ponen en funcionamiento proporcionando la corriente necesaria Se puede recuperar información en casodepérdidadedatos 18

19 SEGURIDAD Y PROTECCIÓN DE LA INFORMACIÓN Amenazas y ataques a un SI (1/5) Hacker Cracker Phreaker Sniffer Nombre Tipos de atacantes Definición Experto informático con gran curiosidad por descubrir vulnerabilidades en los SI, pero sin motivación económica o dañina Hacker con motivación económica odañina Experto en telefonía que sabotea las redes telefónicas para conseguir llamadas gratuitas Experto en redes que analiza el tráfico para obtener información de los paquetes que se transmiten (continúa) 19

20 SEGURIDAD Y PROTECCIÓN DE LA INFORMACIÓN Amenazas y ataques a un SI (2/5) Nombre Lammer Newbie Ciberterrorista Programador de virus Carder Tipos de atacantes Definición (continuación) Joven sin grandes conocimientos de informática que se considera a sí mismo hacker y se vanagloria de ello Hacker novato Experto en informática e intrusiones en la red que trabaja para países y organizaciones como espía y saboteador informático Experto en programación, redes y sistemas que crea programas dañinos Personaquesededicaalataquede los sistemas con tarjetas 20

21 SEGURIDAD Y PROTECCIÓN DE LA INFORMACIÓN Amenazas y ataques a un SI (3/5) Interrupción Intercepción Modificación Fabricación Tipos de ataques (según las vulnerabilidades del SI) Nombre Definición Un recurso del sistema o de la red deja de estar disponible Acceso de un intruso a la información de un equipo o a la queseenvíaporlared Alteración de la información sin autorización,porloquedejadeser válida Creación de un producto (por ejemplo, una página Web) difícil de distinguir del auténtico y que se utiliza, por ejemplo, para hacerse con información confidencial del usuario 21

22 SEGURIDAD Y PROTECCIÓN DE LA INFORMACIÓN Amenazas y ataques a un SI (4/5) Spoofing Sniffing Nombre Conexión no autorizada Malware Tipos de ataques (según su forma de actuación) Definición Suplantación de la identidad de un SI o de algún dato del mismo (por ejemplo, de su dirección MAC) Monitorización y análisis del tráfico de la red para hacerse con información Búsqueda de agujeros de seguridad en un SI y, una vez descubiertos, conexión no autorizada a los mismos Introducción de software malicioso (virus, gusanos o troyanos) en el sistema (continúa) 22

23 SEGURIDAD Y PROTECCIÓN DE LA INFORMACIÓN Amenazas y ataques a un SI (5/5) Keylogger Nombre Denegación de Servicio (DoS) Ingeniería Social Tipos de ataques (según su forma de actuación) Definición (continuación) Uso de una herramienta que permite conocer todo lo que el usuario escribe a través de teclado e, incluso, permite realizar capturas de pantalla Interrupción del servicio que se está ofreciendo en servidores o redes de ordenadores Obtención de información confidencial de una persona u organismo para utilizarla con fines maliciosos (phishing, pharming, ) 23

24 SEGURIDAD Y PROTECCIÓN DE LA INFORMACIÓN Pautas de protección de un S.I. Noinstalarnadaquenoseanecesario Actualizar todos los parches de seguridad Instalar un cortafuegos Mantener copias de seguridad Gestionaryrevisarloslogsdelsistema Formar a los usuarios del sistema para que hagan uso de buenas prácticas Hacerusodelsentidocomún 24

25 SEGURIDAD Y PROTECCIÓN DE LA INFORMACIÓN Leyes relacionadas con la seguridad de la información Ley de Protección de Datos de Carácter Personal (LOPD) ReguladaenLO15/1999,de13dediciembre Desarrollada en RD 1720/2007, de 21 de diciembre Supervisada por la Agencia de Protección de Datos Ley de Servicios de la Información y el Comercio Electrónico(LSSI) ReguladaenLey34/2002,de11dejulio Normas y procedimientos de los mercados nacionales de comunicaciones electrónicas y de servicios audiovisuales establecidas por la Comisión del Mercado de las Telecomunicaciones(CMT) 25

26 INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA Seguridad y Protección de la Información Criptografía Certificados Digitales PKI Confidencialidad e Integridad en Transacciones Electrónicas Mecanismos de Identificación y Control de Accesos Bibliografía y Recursos Web 26

27 CRIPTOGRAFÍA Un poco de historia (1/4) El término criptografía proviene de las palabras griegas krypto(oculto) y graphos(escribir) La criptografía puede definirse como la técnica que permite ocultar mensajes, alterando de alguna forma el texto original Los primeros mensajes cifrados datan del siglo V a.c. Los espartanos utilizaban la escítala 27

28 CRIPTOGRAFÍA Un poco de historia (2/4) A mediados del siglo II a.c. el historiador griego Polybios desarrolló el método de cifrado que lleva su nombre, primer sistema de cifrado por sustitución de caracteres Tabla para el cifrado de Polybios A B C D E A A B C D E B F G H IJ K C L M N O P D Q R S T U E V W X Y Z 28

29 CRIPTOGRAFÍA Un poco de historia (3/4) En el siglo I a.c. los romanos desarrollaron el cifrado del César, consistente en desplazar tres posiciones a la derecha el carácter original del alfabeto utilizado, noexistiendolasletrash,j,ñyw Alfabeto original Alfabeto cifrado Tabla para el cifrado del César A B C D E F G I D E F G I K L M 29

30 CRIPTOGRAFÍA Un poco de historia (4/4) En el siglo XV, León Battista Alberti escribió un ensayo donde proponía utilizar dos o más alfabetos cifrados, alternando entre ellos durante la codificación Blaise de Vigenère en el siglo XVI desarrolló la idea de Alberti Todos estos métodos se fueron perfeccionando con el paso del tiempo, pero es en la Segunda Guerra Mundial cuando se hace imprescindible el uso de máquinas que cifren los mensajes, para así evitar que el enemigo intercepte información sensible 30

31 CRIPTOGRAFÍA Clasificación de los sistemas criptográficos Sistemas de transposición Descolocan el orden de las letras, sílabas o conjunto de letras En función del número de transposiciones tenemos: Sistemas de transposición simple Sistemas de transposición doble o múltiple Sistemas de sustitución Reemplazan algunas letras del alfabeto por otras o por un conjunto de ellas En función del tipo de sustitución tenemos: Sistemas de sustitución literal Sistemas de sustitución numérica Sistemas de sustitución esteganográfica 31

32 CRIPTOGRAFÍA Criptografía moderna Criptografía simétrica(o de clave privada) Mismaclaveparaelcifradoyeldescifrado Criptografía asimétrica(o de clave pública) Pareja de claves(pública-privada) para el proceso de cifrado y descifrado Criptografía híbrida 32

33 CRIPTOGRAFÍA Criptografía simétrica Desventajas Difícil distribución de claves Elevado número de claves necesarias Técnico en Seguridad de Redes y Sistemas 33

34 CRIPTOGRAFÍA Criptografía asimétrica Método publicado por Whitfield Diffie y Martin Hellman en 1976 Soluciona las desventajas de la criptografía simétrica Desventajas Lentitudenelprocesodecifradoydescifrado Mayor tamaño de la información cifrada 34

35 CRIPTOGRAFÍA Algoritmos de cifrado (1/2) Métodos que se utilizan para transformar el texto claro en el texto cifrado El principio de Kerckhoffs establece que la fortaleza de un sistema de cifrado debe recaer en la claveynoenelalgoritmo 35

36 CRIPTOGRAFÍA Algoritmos de cifrado (2/2) Clasificación: Algoritmos de cifrado por bloques Dividen el texto plano en bloques de bits, por lo general del mismo tamaño, y cifran cada uno de ellos por separado, para al final construir el documento cifrado Utilizados normalmente en criptografía simétrica Ejemplos: DES, 3DES, AES, IDEA, Blowfish, CAST-128, Algoritmos de cifrado por flujo Cifranbitabit,obyteabyte,ocarácteracarácter Utilizados normalmente en criptografía asimétrica Ejemplos: RC4, ElGamal, RSA, 36

37 CRIPTOGRAFÍA Hashing o Funciones Resumen (1/2) Funciones que asocian a cada documento un número y que tienen la propiedad de que, conocido el valor numérico, no se puede obtener el documento (funciones de un solo sentido) Requisitos fundamentales Debe ser muy difícil que dos documentos distintos tengan el mismo resumen Debe ser muy difícil (imposible) obtener un documento a partir del valor resumen 37

38 CRIPTOGRAFÍA Hashing o Funciones Resumen (2/2) Algoritmos empleados MD5 MD5("") = d41d8cd98f00b204e ecf8427e SHA SHA1("") = da39a3ee5e6b4b0d3255bfef afd

39 CRIPTOGRAFÍA Firma digital (1/3) La firma manuscrita que una persona hace sobre un documento le da veracidad al mismo y responsabiliza alapersonadeloqueallísediga La firma digital sustituye a la manuscrita en el mundo de la informática 39

40 CRIPTOGRAFÍA Firma digital (2/3) Procesodefirmadigitaldeundocumento 1. Cálculo de un valor resumen del documento a través de algún algoritmo(md5 o SHA) 2. Cifrado del valor resumen con la clave privada de la pareja de claves pública-privada(ésta es la firma) 3. El documento se acompaña con la firma 40

41 CRIPTOGRAFÍA Firma digital (3/3) Proceso de verificación de la firma digital 1. Descifrado de la firma utilizando la clave pública de la pareja de claves pública-privada (aquí se obtiene el valor resumen) 2. Cálculo del valor resumen del documento que acompaña a la firma digital a través del mismo algoritmo utilizado en elprocesodefirma(md5osha) 3. Comparación de los valores resumen(si coinciden, la firma es válida; en caso contrario, nula) 41

42 INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA Seguridad y Protección de la Información Criptografía Certificados Digitales PKI Confidencialidad e Integridad en Transacciones Electrónicas Mecanismos de Identificación y Control de Accesos Bibliografía y Recursos Web 42

43 CERTIFICADOS DIGITALES El Certificado Digital (1/2) Documento que contiene información sobre una persona o entidad (nombre, dirección, , ), su clave pública y una firma digital de un organismo de confianza (autoridad certificadora) que rubrica que la clave pública que contiene el certificado pertenece al propietario del mismo EnEspaña,laRealCasadelaMonedaesquienfirma los certificados digitales El certificado digital facilita los trámites con las administraciones públicas 43

44 CERTIFICADOS DIGITALES El Certificado Digital (2/2) Existen multitud de formatos para el archivo que almacena el certificado digital. El más extendido y usado en Internet es el estándar X.509 Un certificado X.509 almacena los siguientes campos: Versión Númerodeserie Algoritmo de firma Emisor(autoridad certificadora) Válido desde y Válido hasta(periodo de validez) Asunto(o Sujeto propietario de la clave-) Clave pública Firma digital(de la autoridad certificadora) 44

45 INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA Seguridad y Protección de la Información Criptografía Certificados Digitales PKI Confidencialidad e Integridad en Transacciones Electrónicas Mecanismos de Identificación y Control de Accesos Bibliografía y Recursos Web 45

46 PKI Infraestructura de Clave Pública (1/2) (Public Key Infrastructure) Hace referencia a todo lo necesario, tanto hardware como software, para llevar a cabo comunicaciones seguras mediante certificados digitales Gracias a ella, se consiguen los cuatro objetivos de la seguridad informática, que son: Confidencialidad Disponibilidad Integridad Norepudio 46

47 PKI Infraestructura de Clave Pública (2/2) (Public Key Infrastructure) Componentes: Autoridad de certificación(ca, Certificate Authority) Entidad de confianza encargada de emitir y revocar los certificados digitales Autoridad de registro(ra, Registration Authority) Encargada de controlar la generación de certificados (peticiones + comprobación de identidad + solicitud de certificados a la CA) Repositorios Almacenes de certificados emitidos y revocados HW+SW necesario para el uso de los certificados digitales 47

48 INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA Seguridad y Protección de la Información Criptografía Certificados Digitales PKI Confidencialidad e Integridad en Transacciones Electrónicas Mecanismos de Identificación y Control de Accesos Bibliografía y Recursos Web 48

49 CONFIDENCIALIDAD E INTEGRIDAD EN TRANSACCIONES ELECTRÓNICAS Leyes aplicadas en las transacciones electrónicas Ley de Protección de Datos de Carácter Personal (LOPD) ReguladaenLO15/1999,de13dediciembre Desarrollada en RD 1720/2007, de 21 de diciembre Supervisada por la Agencia de Protección de Datos Ley de Firma Electrónica ReguladaenLey59/2003,de19dediciembre 49

50 INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA Seguridad y Protección de la Información Criptografía Certificados Digitales PKI Confidencialidad e Integridad en Transacciones Electrónicas Mecanismos de Identificación y Control de Accesos Bibliografía y Recursos Web 50

51 MECANISMOS DE IDENTIFICACIÓN Y CONTROL DE ACCESOS Formas de autenticarse Poralgoqueelusuariosabe Password PIN Poralgoqueelusuarioposee Tarjeta de claves Tarjeta ATM(tarjeta bancaria) Certificado digital Poralgoqueelusuarioes Características biométricas (huella dactilar, iris, pulsación deteclas, ) 51

52 INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA Seguridad y Protección de la Información Criptografía Certificados Digitales PKI Confidencialidad e Integridad en Transacciones Electrónicas Mecanismos de Identificación y Control de Accesos Bibliografía y Recursos Web 52

53 BIBLIOGRAFÍA Y RECURSOS WEB GnuPG. El GNU Privacy Guard. [En línea] < [Consulta 01/09/2011] Seoane Ruano, C.; Saiz Herrero, A.B.; Fernández Álvarez, E.; Fernández Aranda, L.: Seguridad informática. McGraw-Hill