Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Contenido
Autenticacin
Identificar al usuario que desea tener acceso a los servicios de cmputo (Web server, etc.) Monitoreo del flujo de paquetes y verificar que pertenecen a un usuario y servicio autorizado Identificar Software intruso y verificar que su funcionalidad est autorizada, libres de virus
4
Autenticacin Tcnicas
Biomtricas
Reconocimiento de voz Reconocimiento de la mano Huella digital Reconocimiento del iris (muy confiable)
5
Criptologa
Criptografa
La criptografa es una necesidad, ya que el desarrollo de las comunicaciones electrnicas hace posible la transmisin y almacenamiento de informacin confidencial que es necesario proteger.
Proceso Criptogrfico
Mensaje cifrado
A
Mensaje de origen
B
CIFRADO DESCIFRADO DESCRIPTADO Mensaje de origen? Mensaje de origen Interceptado
Algoritmos de encriptacin
ROT13, a cada letra se asigna a un nmero y se le suma 13, despus se reemplaza el nmero por otra letra. Si es mayor de 26 se le resta 26 y se convierte.
Entre ms bits se usen, es ms difcil de descrifrar. El algoritmo PGP soporta claves de hasta 4,096 bits Se requieren 3 das para descifrar una llave de 56 bits, 6 das para 57 bits, 768 das para 64 bits, etc. Las llaves de 128 bits hoy son seguras 10
Finalidad de la criptografa
Un buen sistema criptogrfico ser aquel que ofrezca un descrifrado imposible pero un encriptado sencillo. La finalidad es doble:
Mantener la confidencialidad del mensaje. Garantizar la autenticidad tanto del mensaje como del par remitente/destinatario..
11
Cifrado
Definicin
Es el mecanismo para proporcionar confidencialidad a travs de funciones matemticas
Tipos
Simtricos o de Llave Privada (DES). Asimtricos o de Llave Pblica (RSA).
Hbrido (SSL).
12
la
Protege la informacin mientras transita de un sistema de cmputo a otro Puede detectar y evitar alteraciones accidentales o intencionales a los datos Puede verificar si el autor de un documento es realmente quien se cree que es 13
No puede prevenir que un agresor borre intencionalmente todos los datos Encontrar la forma de que no se tuviera conocimiento previamente Acceder al archivo antes de que sea cifrado o despus de descifrar
14
Algoritmos criptogrficos
Cada participante tiene una clave privada no compartida y una clave pblica que todos conocen El mensaje se encripta usando la llave pblica y el participante descifra el mensaje con su clave privada (Ej. RSA de Rivest, Shamir y Adleman)
16
Algoritmos criptogrficos
No involucran el uso de claves Determina una suma de verificacin (checksum) criptogrfica sobre el mensaje nica
17
RC2
Usa una clave de 128 bits, utilizado por el programa PGP (para e-mail).
SKIPJACK
Realiza 16 iteraciones y en cada una hace una sustitucin y una permutacin con la llave
En Hardware es ms rpido hasta 1Gb/seg. La llave privada se puede enviar con cada mensaje
19
20
Se requieren 1500 aos para hallar la clave o 6 meses si se usan 300 PCs en paralelo Estndar ampliamente utilizado en la industria, donde para mayor seguridad se encripta 3 veces (3DES), usando tres claves diferentes
21
Basado en aritmtica exponencial y modular, puede usarse para cifrado y firmas digitales.
DSA
Algoritmo de firmas digitales, puede ser de cualquier longitud, solamente se permiten claves entre 512 y 1024 bits bajo FIPS 25
Pohlig-Hellman
Sistema para el intercambio de claves criptogrficas entre partes activas. La clave puede ser de cualquier longitud, dependiendo de la implementacin de que se trate.
Puede usarse tanto para cifrar informacin como para ser la base de un sistema digital de firmas.
26
27
Aceptan como entrada un conjunto de datos y genera un resultado de longitud fija nico:
No debe ser posible reconstruir la fuente de datos con el resultado compendiado El resultado debe parecer un conjunto aleatorio de datos para que al agregarlos a los datos cifrados no se pueda determinar donde terminan y donde inicia la firma digital
28
Calculan una suma de verificacin (checksum) criptogrfica de longitud fija de un mensaje de entrada de longitud arbitraria
Operan en partes de mensaje de 512 bits con transformaciones complejas Para la firma se usa RSA sobre el resultado de la Checksum
29
SNERFU N-HASH MD2, MD4, MD5 Message Digest Algorithm SHA Secure Hash Algorithm RIPE MD HAVAL
30
Encriptacin y autenticacin para correo electrnico Usa una llave pblica certificada por alguien
El protocolo IPSEC opera a nivel de capa de red Seguridad de nivel capa de transporte HTTPS
Otros protocolos de capa de transporte son SSL y TLS, proporcionan privacidad, integridad y autenticacin 32
33
Hola acuerdo sobre los algoritmos a usar Intercambio de claves, generando la maestra de produccin de clave de sesin para cifrar de verificacin del servidor al usar RSA de autenticacin del cliente de fin para iniciar el intercambio de inf. 34
No es adecuado para micropagos (< US$10) Garantiza la autenticacin de todas las partes: cliente, vendedor, bancos emisor y adquiriente Alta confidencialidad, el vendedor no tiene acceso al nmero de tarjeta y el banco no accesa los pedidos Permite la gestin de la actividad comercial, registros, autorizaciones y liquidaciones
36
Limitantes
Lento desarrollo de software de monedero y POST (punto de venta) No hay compatibilidad completa de los productos que maneja SET Exige rgidas jerarquias de certificacin, diferentes para cada tarjeta, lo cual es engorroso El costo de su implementacin es elevada
37
38
Sistemas de certificacin
Se autentifica a los clientes que desean acceder a servidores Los procedimientos se iniciaron en el MIT con Kerberos y ahora se tiene el estndar X.509 La verificacin la hace un tercero servidor de certificacin. Tanto el cliente, como el servidor y el certificador usan encriptacin
39
Certificado digital
La empresa mas importante a nivel mundial para la expedicion de firma o certificado digital es:
http://www.verisign.com/clie nt/enrollment/index.html Costo del certificado: 60 Das Gratis. $14.95 por Ao.
40
Certificado digital
41
Proceso de Certificacin
El proceso de certificacin incluye servicios de registro, "naming", autenticacin, emisin, revocacin y suspensin de los certificados.
VeriSign ofrece tres niveles de servicios de certificacin de acuerdo a las necesidades del usuario.
42
Son utilizados para determinadas aplicaciones de comercio electrnico como Electronic banking' y Electronic Data Interchange (EDI).
46
47
Firma electrnica
Por Firma Electrnica se entiende "aquel conjunto de datos en forma electrnica, anexos a otros datos electrnicos o asociados funcionalmente con ellos, utilizados como medio para identificar formalmente al autor o a los autores del documento que la recoge.
48
Certificado digital
Certificado de Navegador, Intranets/Extranets. Este tipo de certificados permiten firmar digitalmente los documentos, garantizando la autenticidad y el no repudio de los mismos.
Certificado de Servidor Seguro. Garantizan la identidad del servidor y posibilitan las comunicaciones seguras y privadas con clientes, socios, proveedores u otras personas. Certificado de firma de Software. Garantizan la identidad del fabricante y la integridad del contenido. 50
51
Seguridad en la Web
Los examinadores de la web se usan para tener acceso a informacin almacenada en los servidores y para desplegarla en la pantalla del usuario.
52
Los usuarios no deben ser capaces de ejecutar comandos arbitrarios o interactuar con el intrprete de comandos en el servidor. Los guiones CGI que se ejecutan deben desempearse ya sea haciendo la funcin esperada o devolviendo un mensaje de error. Un agresor no debera ser capaz de usar el servidor para ataques posteriores. 53
Restringir el acceso a usuarios en particular. Restringir el acceso de usuarios que presenten claves pblicas firmadas por una autoridad de certificacin apropiada. 54
El sitio oculto puede pasar a produccin y contiene informacin sobre el producto que puede servir en caso de fallas En caso de problemas es mejor avisarle a todo mundo que se est consciente del problema y que se toma la responsabilidad del caso
De no hacerlo, los usuarios descontentos pueden hacer una campaa negativa de publicidad en lnea 55
En 1994 un matemtico descubri que el chip Pentium no haca clculos correctos de punto flotante en ciertas condiciones, al avisarle a Intel no hizo caso, trataron de esconder el problema
Hubo una gran protesta por Internet, por los medios, los usuarios pedan reemplazo de chips. Intel reemplaz los chips por una nueva serie. (Ford en llamas)
Ahora tiene una base de datos on line de errores detectados. El Pentium II se puede corregir por soft. 56
Experiencias on line
Jugo de manzana Odwalla con la bacteria E-coli mata a beb. Se retiraron jugos en 4,500 comercios, se instal una pgina para informacin y consulta. Al final 90% de los clientes seguan prefiriendo la marca Lo mismo sucedi con Swiss Air en su accidente en Canada, cuando la empresa dio toda la informacin
En el caso del descarrilamiento del tren de alta velocidad de Alemania de la Deutche Bundesbahn, no dio ninguna informacin y perdi mucha credibilidad 57
Complain.com, Fight Back y Complain To Us, cobran una tarifa por escribir una carta y dar seguimiento de quejas
58
Administracin de riesgo
Auditorias regulares de riesgo Documentar planes de emergencia Monitoreo de palabras clave Manual de crisis accesible en Intranet Sitios ocultos completos y actualizados
Desarrollar un sitio oculto con informacin acerca de medidas de seguridad, debe incluir formas de contactar a expertos y debe reemplazar al sitio normal en menos de una hora, con declaraciones de la alta direccin El sitio debe estar en CD o ZIP para llevarlo a un ISP y publicarlo, avisando por los medios al pblico
Hay sitios que monitorean la red en caso de problemas, The informant y Mind It (perro guardian) 60
61
Seguridad Computacional
Seguridad Informtica
Confidencialidad
Disponibilidad Integridad
62
Seguridad Computacional
Confidencialidad
La informacin slo es revelada a los individuos o procesos autorizados
Integridad
La informacin no debe ser modificada de manera accidental o maliciosa
Disponibilidad
Los recursos de informacin son accesibles en todo momento.
63
Si maneja informacin secreta lo mejor es mantenerla encriptada en su disco duro y en el servidor. Usar PGP(Pretty Good Privacy). No olvide asegurar su llave privada. Para compartir informacin en la red, asegrese de colocar los permisos estrictamente necesarios a los usuarios adecuados y por el mnimo tiempo posible.
65
programas
no
Procure que su equipo se encuentre en optimas condiciones, buena ventilacin, mantenimiento de hardware y software por el personal autorizado de la empresa.
66
Recuerde realizar copias de respaldo actualizadas de la informacin vital y colocarla en un lugar interno y externo seguro bajo llave y encriptada.
Mantener la informacin de la empresa en la misma y no transportarla a otros sitios diferentes. Asegurarse de seguir cada uno de los 10 mandamientos.
67
Siga, respalde y audite cada uno de Los 10 Mandamientos del usuario de la Red.
Establezca polticas de seguridad apropiadas para la red computacional de la empresa,
Implemente sistemas de seguridad para la red en cada uno de los servidores de la empresa utilizando Firewalls, proxy o filtros.
68
Responda inmediatamente a cualquier sugerencia o queja de un usuario con respecto a la seguridad de su informacin. Procure no sobrecargar los servidores asignndoles muchos servicios, recuerde que esto baja el rendimiento y atenta contra la seguridad y la constancia de los servicios.
69
Debe leer diariamente los logs ( Archivo de texto que muestra el funcionamiento y la utilizacin del equipo)
70
El acceso al centro de computo donde se encuentran los servidores de la empresa, debe ser completamente restringido y auditado a cada instante
Verificar la seguridad, convirtase en el Hacker de su empresa.
71