Seguridad Informática: Más allá del firewall Egdares Futch H. Congreso Emprendedores 2002 Universidad Tecnológica Centroamericana Tegucigalpa, Honduras
End User License Agreement Por medio de su permanencia en la sala, usted está aceptando lo siguiente: Las opiniones son exclusivas del autor, y no representan las de alguna otra institución. Los ejemplos presentados son únicamente con fines educativos, y no pretenden exponer supuestos problemas en los sistemas mencionados. Usted hará preguntas y evitará dormirse (es un Grupo Interactivo de Trabajo!)
El arte de la guerra nos enseña a no depender en que nuestro enemigo no aparezca, sino en nuestra capacidad de recibirlo; a no depender en que no ataque, sino de la habilidad de haber hecho impenetrable nuestra posición. --El Arte de la Guerra, Sun Tzu
Seguridad de la información Base de nuestra discusión: Toda persona o empresa requiere mantener segura su información interna, para mantener su privacidad, secretos personales o corporativos, hábitos de consumo y preferencias de cualquier tipo.
Seguridad de la información Esta seguridad dependía de medios físicos o administrativos: Archivadores con llave Cajas fuertes Accesos controlados Investigación de antecedentes criminales
Seguridad de la información Con la introducción de sistemas de cómputo en el trabajo cotidiano, se creó la necesidad de herramientas informáticas para proteger archivos y otra información almacenada en estos sistemas. El nombre genérico para estas herramientas es: Seguridad Informática.
Seguridad de redes Una segunda necesidad derivada de la introducción de líneas de comunicación electrónica es la de proteger los archivos y datos durante la transmisión de los mismos entre sistemas Las herramientas diseñadas para este fin son llamadas de Seguridad de Redes.
Seguridad vs. Oscuridad Existen dos clases de seguridad: La que no deja que tu hermanita lea tu libretita negra La que no deja que la CIA ni la KGB ni la DIC lean tu libretita negra. Nosotros hablaremos sobre esta última, debiendo notar la diferencia entre seguridad y oscuridad
Oscuridad Si yo tomara una carta, la colocara en una caja fuerte, luego escondiera la caja fuerte en algún lugar de La Tigra y luego le pido que lea la carta, eso es oscuridad Caso: (a) Reuters vs. Intentia (b) Respuestas de exámenes de la Universidad Virtual
Seguridad Ahora bien, si yo pongo la carta en una caja fuerte, y luego le doy: La caja fuerte, con los planos de diseño Cien cajas fuertes iguales a ésta, con todo y las combinaciones Cien expertos en cajas fuertes, para que estudien el diseño Y si aún asi no puede leer la carta...
Seguridad Esta clase de seguridad sólo estaba disponible para los militares (CIA, KGB, Mossad). En los ultimos veinte años se ha hecho tanta investigación en seguridad informática, que es posible para cualquier persona usar técnicas a nivel de las agencias de inteligencia militar.
Hey, y realmente necesita tanta seguridad? Dependencia en la información por parte de las empresas comerciales para la continuidad de sus negocios ($/downtime) Protección intelectual ($/obra) Acoso del gobierno Derecho a la privacidad Anonimidad (votaciones, registros médicos) Paranoia
Los 3 aspectos de la seguridad Ataques de seguridad Mecanismos de seguridad Servicios de seguridad
Ataques de seguridad Fuente: Cryptography and network security, 2 nd Ed. Stallings
Categorización de los ataques Ataques pasivos Conocimiento de comunicaciones confidenciales Análisis de tráfico Ataques activos Denial of Service (DoS) Modificación de mensajes Suplantación Retransmisión
Servicios de seguridad Confidencialidad Autenticación Integridad Confirmación de origen (nonrepudiation) Control de acceso Disponibilidad
Mecanismos de seguridad Criptografía Arte y ciencia de mantener seguros los mensajes. Practicada por criptólogos Criptanálisis Arte y ciencia de romper texto encriptado
Firewalls Un mecanismo de seguridad de red, que consiste en un equipo o grupo de equipos informáticos diseñados para que: Todas las comunicaciones del interior al exterior y viceversa pasen por el firewall Solamente las comunicaciones autorizadas pasen Sea inmune a los ataques (trusted system/trusted OS)
Servicios del firewall Control de servicios de red Control de dirección Control de usuarios Control de comportamiento
Capacidades de un firewall Un único cuello de botella hacia la red protegida Un lugar para monitorear eventos de seguridad Servicios de red relacionados con Internet Plataforma para implementar VPNs
Limitaciones de un firewall Ataques que sobrepasan el firewall Modem en una estación de un empleado Amenazas internas Empleados despedidos/mal pagados Virus Nimda / Code Red Error humano Doh!
Y entonces? No existe la seguridad informática perfecta Bueno...si, el one-time pad La seguridad informática no es fácil de implantar Resistencia de los usuarios Costo de la misma Chiste horrible
Más allá del firewall Para mejorar sensiblemente la seguridad informática y de redes de nuestra empresa, necesitamos más que un firewall: Políticas internas de seguridad Filtrado de contenido Establecimiento y análisis de bitácoras Detección de intrusos Comunicación encriptada Y todo lo nuevo que aparezca...
Políticas de seguridad Normativas de ética y confidencialidad Expiración de passwords y de cuentas de correo Archivos confidenciales o propietarios Virus Eliminación periódica de usuarios inactivos Clarificar la responsabilidad de los usuarios Finalidad: Usarla como disuasivo
Filtrado de contenido Las empresas se exponen a riesgos por los hábitos de uso de Internet de sus empleados: Pornografía Información con derechos de autor restringidos (warez, MP3) Cadenas de e-mail Chats Extremismos u otra conducta antisocial
Bitácoras Los sistemas que se conecten a redes externas deben tener la mayor cantidad de bitácoras habilitadas: Sitios visitados Correo entrante y saliente Conexiones a nuestros servidores Usuarios
Detección de intrusos Los firewalls son pasivos, y se pueden complementar con sistemas IDS Existen diversos tipos: Host intrusion detection (tripwires, actividad sospechosa) Signature-based network intrusion detection (Winnuke, smurf) Anomaly-based network intrusion detection Statistic (port scanning, DDos) Protocol (Code Red)
Comunicaciones encriptadas Asegurarse que las transacciones entre la empresa y sus usuarios o clientes no pueda ser vista por terceros Compras por web Hacer uso de teletrabajo Viajes de trabajo Proliferación del SOHO Filiales, sucursales, distribuidores
Y aún así...que nos falta? ICE: Intruder Counter Electronics Atacar a nuestros atacantes
Preguntas? Comentarios pueden dirigirlos a: efutch@yahoo.com