Dr. J. de Jesús Vázquez G.

Jesús Vázquez G. ITESM-CEM 1998

Necesidad de SeguridadComputacional en los

Sistemas Actuales

Agenda

• Tendencia Actual

• Estrategia de Seguridad

• Conclusión Temas de investigación

• Referencias

Tendencia Actual

• El WWW provee acceso completo a la información.

• Tiene un crecimiento anual de más del 500%.

• Es ideal para llevar los negocios hasta el rincón más apartado del mundo.

Tendencia Actual

• Europa va a la vanguardia, siendo Holanda el más avanzado y con esquemas de comercio ya muy consolidados.

• Estados Unidos y Canadá empiezan a ver en el comercio electrónico su estrategia a futuro para realizar negocios.

Tendencia Actual

• Africa del Sur, Asia y Oceanía están trabajando hacia ese esquema.

• Latinoamérica no debe rezagarse en esta tendencia.

El comercio electrónico ya no es más un “lujo” que se pueden dar ciertas grandes corporaciones.

El comercio electrónico es la herramienta que permitirá aplicar las nuevas formas de producir y comerciar en un país y en el mundo.

Tendencia Actual

Banco del cliente

Banco del proveedor

ClienteProveedor

Retiro Depósito

Pago efectivo

Pago real

Tendencia Actual

Banco del cliente

Banco del proveedor

ClienteProveedor

AvisoDepósito

Pago documento

Pago real

Tendencia Actual

Orden de Compra

Captura de Datos

Captura deDatos

Factura

MensajeríaComputadora Computadora

Intercambio de Documentos (normal)

Retardo

Retardos, Errores, Costos

Cliente Proveedor

Costos

• Pérdidas a nivel mundial por más de 300 billones de dólares.

• Representa hasta el 10% del costo del producto.

• Representa hasta el 7% del costo de flete.

• Costos por tiempo de almacenamiento en aduanas por falta de documentos.

Orden de Compra

Ingreso de Datos

Ingreso deDatos

Factura

RedComputadora Computadora

Tendencia Actual (EDI)

Cliente Proveedor

Algunos aspectos a satisfacer

• e-mail seguro.

• Intercambio de documentos seguro.

• Ordenes de compra y Facturas.

• Publicidad electrónica.

• Suscripciones.

• Firma de contratos.

• Información financiera oportuna.

• Subastas electrónicas.

• Seguridad de la Organización.

Tendencia Actual

• Esta tendencia tecnológica es inminente.

• Representa una apertura sin precedentes.

• Es necesario agudizar nuestros esquemas de seguridad.

• Desafortunadamente, este gran crecimiento incluirá (incluye) individuos deshonestos llamados “Crackers”.

• Ninguna institución está libre del asecho de estos individuos.

• Todo el mundo alguna vez ha sido afectado por algún problema de seguridad.

HackerHacker

CrackerCracker

Aquella persona que en forma persistente realiza intentos hasta obtener acceso a sistemas computacionales. Una vez logrado el acceso produce daños a los recursos del sistema atacado.

Aquella persona que tiene un alto grado de conoci-miento y experiencia en el campo de la computación, que es capaz de aplicar sus experiencias con gran facilidad, así como compartir su conocimiento con aquellos que apenas inician. Generalmente no causan daños.

Diferencia:

WormMorris,1988

Interface Table Routing Table /.rhosts /etc/hosts.equiv

Phase 0 /etc/passwd

rt_initif_init

User name List

Guessed Passwords

Phase 1

Phase 2

Phase 3

Obvious Guesses

Internal Words

/usr/dict/words

~/. forward ~/. rhosts

Hit rsh Hit rexecHit finger Hit SMTP

waithit(wait for infected client to respond)

Host List

El despertar...

Sniffers

PKT: (----A- 0000) 148.241.61.18[1225] => 148.241.61.3[telnet]PKT: (----A- 0000) 148.241.61.18[1225] => 148.241.61.3[telnet]PKT: (----A- 0000) 148.241.61.18[1225] => 148.241.61.3[telnet]-- TCP/IP LOG -- TM: Sat Aug 26 16:47:35 -- PATH: nicaragua(1330) => mexico(telnet) STAT: Sat Aug 26 16:47:47, 37 pkts, 43 bytes [SIGNAL] DATA: (255)(253)^C(255)(251)^X(255)(250)^X : SUN-CMD(255)(240)(255)(253)^A(255)(252)^A : mauricio : remmer

Cualquiera, 1998

Estrategia de Seguridad

• Análisis de vulnerabilidades.

• Definición de la Política de Seguridad.

• Selección de los mecanismos que permiten implantar la Política de Seguridad.

• Evaluación de las medidas tomadas.

Políticas de Seguridad

Análisis de vulnerabilidades.

• Primer vistazo a la seguridad existente:

• Lógica.Orientada a los sistemas.

• Física.Ingeniería social.Revisión de instalaciones.

Política de Seguridad

• Definición del conjunto de reglas que deben respetarse para mantener la seguridad de la información.

• Depende de los objetivos de la organización.

Requisitos de Seguridaden Sistemas Actuales

• Autentificación

• Integridad

• Confidencialidad

• Disponibilidad

• No repudiación

Autentificación

La autentificación se refiere a demostrar la identidad de las entidades involucradas en la transacción. Evita que alguien tome la identidad de otro. Generalmente toma dos formas:

• Autentificación del proveedor de bienes o servicios.

• Autentificación del cliente.

Integridad

Los datos intercambiados en una transacción no deben sufrir modificaciones.

Confidencialidad

Generalmente, los participantes en una negociación desean privacía en sus transacciones.

Disponibilidad

Cuando se desea adquirir un bien o efectuar un pago, es indispensable contar con una alta disponibilidad de los recursos de comunicaciones.

No repudiación

Es necesario garantizar que alguien que haya recibido un pago no pueda negar este hecho.

Es necesario garantizar que alguien que haya efectuado un pago no pueda negar haberlo hecho.

Se requiere de Notarios.

Reglas:

• Sobre los usuarios.

• Sobre la información.

• Sobre los sistemas y equipos.

• Plan de contingencia.

• Cultura de Seguridad Computacional.

Paradigmas

1) Paranoico: Nada está permitido (Sin conexión a internet).

2) Prudente: Lo que no está expresamente permitido, está prohibido.

3) Permisivo: Lo que no está expresamente prohibido, está permitido.

4) Promiscuo: Todo está permitido.

Estrategia en una Universidad

• Iniciar haciendo seguros los sistemas prioritarios al Campus.

• Proseguir con las redes internas.

• Concluir haciendo segura la conexión a internet.

• “De adentro hacia fuera”.

Nivel 1

Nivel 2

Nivel 3

Nivel 4

Nivel 5

Primera Línea, Administrador de Seguridad, Administrador General de Sistemas

Segunda Línea, División Informática.

Personal Docente

Alumnos

Cuentas provisionales, Usuarios temporales

Nivel 6 Usuarios sin privilegios

Niveles de seguridad de usuarios

Nivel 1

Nivel 2

Nivel 3

Nivel 4

Nivel 5

Firewall, Autentificación (certificados), Servidor de Cursos rediseñados, ruteadores, switches, T Server.

Correo, NIS, NFS, DNS, DHCP, control escolar

Nivel 6

Niveles de seguridad de servidores

WWW, FTP anónimo

FTP, TELNET, paquetes LCE, Biblioteca Digital, HDesk, Servidor de archivos de profesores

Servidores de archivos de alumnos

Servidores de archivos de usuarios temporales

Reglas para usuarios

Documentoelectrónico

Huellafirma

Documentoelectrónico

89Nivel 1y 2 Nivel 3

Opcional

Estrategia en organizaciones Militares

Top-Secret

Secret

Classified

Unclassified

Read Down

Top-Secret

Secret

Classified

Unclassified

Read Up

Simple Security

Write Up

Top-Secret

Secret

Classified

Unclassified

Write Down

*-property

Política MLS en un sistemaCliente - Servidor

Política MLS en Redes

Escritura de A a C

Clark y Wilson proponen en 1987 la política de seguridad comercial.

Basada en:

• Transacciones Correctas.• Separación de Funciones.

Estrategia en organizacionesno militarizadas

Un modelo de seguridad comercial

Plan de Contingencia• Preservar vidas humanas.

• Recuperar información de niveles 1 y 2.

• Preservar equipos e infraestructura.

• Recuperar información de niveles 3 a 6.

• Cuidar la imagen de la empresa.

• Aplicar aspectos legales.

• Investigar cómo ocurrio el incidente. Adecuar la Política de seguridad.

Respuesta a Incidentes

• Llamar a la persona adecuada.

• Lugar, fecha y hora en que ocurrió el incidente.

• Indicar plataforma utilizada.

• Indicar sistema operativo utilizado.

• Aplicación que estaba utilizando.

Requiere:

• Respaldo de la Dirección General.

• Consejo de Seguridad.

• Administrador de seguridad y staff.

• Difusión de políticas.

Selección de mecanismos

Selección de Mecanismos

(Para implementar la Política de Seguridad)

Mecanismos de Implementación

(Ejemplo) Seguridad en Internet. Mecanismos

que nos permitan controlar el flujo de tráfico entre la red privada e Internet.

Seguridad Local (Unix). Instalación inicial y administración de seguridad continua de sistemas.

GW 4 GW 5

Red Insegura

Seguridad en INTERNET

Uno de los mecanismos de seguridad más comunmente usados hoy en día consiste en la instalación de un firewall.

Internet Red aproteger

Bastion Host

Dual-homed gateway

Ejemplos de políticas:

action ourhost port theirhost port

block * * Atacante *

allow GW 25 * *

allow * * * 25

block * 80 * *

GW 4 GW 5

Bastion Host

AutentificaciónLa Autentificación es un punto importante a tratar en la seguridad.

Generalmente, en los sistemas UNIX, ésta se lleva a cabo bajo el débil esquema de login y password.Este es el principal problema de seguridad en la mayoría de los sistemas.

KERBEROSKerberos es un sistema de autentificación que permite:

- Probar la identidad de las entidades que se comunican en la red.

- Prevenir los ataques de escucha y de repetición de información.

- Detectar la modificación de los flujos de datos (integridad).

- Prevenir la lectura no autorizada usando DES (Data Encryption Standard).

GW 4 GW 5

Bastion Host

KERBEROS

Seguridad en UNIX

Existen actualmente herramientas que nos permiten evaluar globalmente la seguridad de sistemas UNIX (SATAN, COPS, etc).

Bastion Host

GW 4 GW 5

Bastion Host

Confidencialidad

Integridad

Disponibilidad

Pretty Good Privacy

Firewalls, Backups, Redundancia, Plan de contingencia, etc.

(PGP) , DES, RSA, IDEA y Kerberos

Tripwire y Message Digest 5

(MD5), PGP (Firma Digital).

Sugerencia:Sugerencia:*

No olvidar que lo anterior es inútil si no es derivado de una Política de Seguridady si no se fomenta una cultura de seguridad.

Caso universitario

• Los niveles de usuarios se implementarán mediante certificados. Se requiere un AC y un Directorio.

• Los niveles de información se implementan con administración continua. (manual)

• Los niveles de redes y servidores se implementan con buena configuración de dispositivos. (manual)

Caso comercio electrónico

Existen dos requisitos básicos para realizar comercio electrónico en Internet (WWW):

• Transporte de información seguro (Canal de comunicación seguro).

• Pagos Seguros.

Ubicación en el Modelo OSISistema A

Aplicación

PresentaciónSesión

Transporte

Enlace

Físico

Sistema B

medio físico de transmisión

Aplicación

PresentaciónSesión

Transporte

Enlace

Físico

Canal Seguro

Este canal es provisto por una capa de transporte, al que se le agregan características de autentificación, confidencialidad e integridad de extremo a extremo.

Pagos Seguros

Existen dos esquemas generales para realizar un pago electrónico:

• Pago en efectivo.

• Pago con documento.

Limitaciones

Existen aún ciertas limitaciones:

• Culturales: Dar el justo valor a la información.

• Tecnológicas, en cuanto a desempeño y a seguridad computacional se refiere.

Limitaciones

• Soluciones propietarias.

• Exportación de la criptografía.

• Soluciones que requieren de un dispositivo específico (smart cards, electronic wallets, etc.).

Desventajas de los mecanismos de seguridad

No adaptados a nuevos productos. No contrarrestan virus, worms, bugs, bombas lógicas,

caballos de troya, etc. Cuellos de botella. Todos los huevos en la misma canasta. Poco inteligentes. Aislados (falta de soluciones inegradas). La seguridad tiene muchos significados.

Temas de investigación• Definición de Políticas de Seguridad.• Integración de Herramientas de Monitoreo y prevención.• Políticas Multidominio.• Servidores WWW seguros.• Detección de Intrusión.• Seguridad en Sistemas de Archivos.• Firewalls Inteligentes.• Análisis de ataques.• Implementación de criptosistemas nacionales.• Seguridad en sistemas tiempo real.

Moraleja

• No se puede garantizar la seguridad de un sistema al 100%.

• La recuperación de la inversión en seguridad no es fácil de demostrar.

Referencias

Gracias

jvazquez@campus.cem.itesm.mx

Dr. J. de Jesús Vázquez G.

Documents

Transcript of Dr. J. de Jesús Vázquez G.

ÁLVAREZ LÁZARO, P. F.; VÁZQUEZ ROMERO, J. M.; PINILLA ... · PROGRAMA DE DOCTORADO EN INDIVIDUO, FAMILIA Y SOCIEDAD: UNA VISIÓN MULTIDISCIPLINAR ÁLVAREZ LÁZARO, P. F.; VÁZQUEZ

Alicia Chacalo Jaime Grabinski Héctor J. Vázquez Alejandro ...

VÁZQUEZ PARADA, Manuel J.: “De personas y barcos. El ... · Manuel J. Vázquez Parada 246 1. INTRODUCCIÓN “Pese a la modernidad, a los satélites y a todas esas cosas, el mar

Se generar plataforma obtener derivados petróleo...Sergio Jesús Vázquez Cruz, Jesús Contla Fermán, Prisciliano Farfán González y José Luis Pierdant Santiago. En este tenor,

J. RATZINGER-BENEDICTO XVI: JESÚS DE NAZARET

José miguel Tardío Fernández José Manuel Sancho Gómez Jesús Vozmediano Vázquez

ST. PAUL S ROMAN CATHOLIC C -H R Corazón de Jesús por la salud de Cira Sánchez, +Celso Ortiz Vázquez, + Pedro Rivas, +Raúl Ortiz Vázquez, +Julia Ortiz Vázquez, +Concepción

Expresión escrita - educacionadistancia.juntadeandalucia.es · Expresión escrita Francisco J. Vázquez CEP de Huelva-Isla Cristina Abril 2010

Huesos de la cara Curso Anatomía Humana Biomedicina 2011 Dr. J. Vázquez Toriz.

Manual Ciudadano - Transparencia Mexicana · Josefina Vázquez Mota• • • • • • • • • • • • ... J o s e fina Vázquez Mota S e c r e taria de Desarrollo Social

Masaje Transverso Profundo - Masaje de Cyriax - Dr. J. Vázquez Gallego, Dr. A. Jáuregui Crespo

A. Vizuete, A. Gallegos, M. A. Vázquez, J. O. … · A. Vizuete, A. Gallegos, M. A. Vázquez, J. O. Magallanes, Mª C. Fernández y F. Marcos Hospital Ntra. Sra. Del Prado Talavera

Barrios, Leonardo de Jesús; **J. Courville, Karen ...

Figueroa Hurtado Juan Manuel Manuel Bravo Gutiérrez Martínez Vázquez Jesús Alejandro Alvarado Romero Sergio.

EL LENGUAJE DE LOS SIGNOS. J. M. Vázquez de Prada

Jesús Vázquez - SEPROT · 2016-12-19 · las preocupaciones de Jesús alrededor de un proyecto o de un manuscrito. Como todo buen orfebre Jesús nos ofrece varias versiones de un

Presenta: M. en C. C. J. Jair Vázquez Palma.

Hebreos: Jesús Sacerdote J. L. Caravias Solidaridad total.

CV Dr. J Sotelo Vázquez

Los mitos acerca de China. Ignacio J. Vázquez Elliott mitos acerca... · 2006. 9. 28. · Los mitos acerca de China. Ignacio J. Vázquez Elliott Este año tuve la oportunidad de