Internet Aplicado a la Docencia

Seguridad en las Redes

Problemática de la seguridad (1)

¿ Qué se entiende por seguridad ? Privacidad: sólo accede a la información el que tiene

derecho Autenticación: un usuario es quien dice ser Integridad: la información sólo la modifica el dueño de

la misma

¿ A que niveles se gestiona la seguridad ? Sistemas operativos Protocolos y Aplicaciones de red Identificación personal

Política Global de Seguridad

Problemática de la seguridad (2)

¿ Se puede tener seguridad total ? Tal vez sin conexión de red y con vigilancia policial Hay que llegar a compromisos esfuerzo/necesidad NO hay que volverse paranoico ni dejado

¿ Cómo podemos protegernos ? Sistemas operativos: contraseñas, permisos de

archivos, criptografía Protocolos y Aplicaciones de red: permisos de

acceso, filtrado de datos, criptografía Identificación personal: dispositivos de identificación,

criptografía

Problemática de la seguridad (3)

¿ De quién vamos a protegernos ? Usuario interno: protección difícil, medidas de

seguridad críticas Usuario externo: protección fácil, medidas de

seguridad más relajadas Normalmente, protección externa, y protección

interna débil => la mayoría de los ataques se producen con ayuda interna

¿ De qué herramientas disponemos ? Firewalls, criptografía, e identificación

Las dos últimas dé cadas

A partir de los años 80 el uso del ordenador personal comienza a ser común. Asoma ya la preocupación por la integridad de los datos.

En la década de los años 90 proliferan los ataques a sistemas informáticos, aparecen los virus y se toma conciencia del peligro que nos acecha como usuarios de PCs y equipos conectados a Internet.

Las amenazas se generalizan a finales de los 90. Se toma en serio la seguridad: década de los 00s

La dé cada actual

Principalmente por el uso de Internet, el tema de la protección de la información se transforma en una necesidad y con ello se populariza la terminología técnica asociada a la criptología: Cifrado, descifrado, criptoanálisis, firma digital. Autoridades de Certificación, comercio electrónico.

Ya no sólo se transmiten estas enseñanzas en las universidades. El usuario final desea saber, por ejemplo, qué significa firmar un e-mail.

Productos futuros: Seguridad añadida

1er principio de la seguridad

“El intruso al sistema utilizará cualquier artilugio que haga más fácil su acceso y posterior ataque”.

Existirá una diversidad de frentes desde los que puede producirse un ataque. Esto dificulta el análisis de riesgos porque el delincuente aplica la filosofía del punto más débil de este principio.

PREGUNTA:

¿Cuáles son los puntos débiles

de un sistema informático?

2º principio de la seguridad

“Los datos deben protegerse sólo hasta que pierdan su valor”.

Se habla, por tanto, de la caducidad del sistema de protección: tiempo en el que debe mantenerse la confidencialidad o secreto del dato.

Esto nos llevará a la fortaleza del sistema de cifra.

PREGUNTA:¿Cuánto tiempo deberá

protegerse un dato?

3er principio de la seguridad

“Las medidas de control se implementan para ser utilizadas de forma efectiva. Deben ser eficientes, fáciles de usar y apropiadas al medio”.

Que funcionen en el momento oportuno. Que lo hagan optimizando los recursos del

sistema. Que pasen desapercibidas para el usuario. Ningún sistema de control resulta efectivo hasta

que es utilizado al surgir la necesidad de aplicarlo.

Elementos de seguridad (1)

Confidencialidad Los componentes del sistema son accesibles sólo

por los usuarios autorizados. Integridad

Los componentes del sistema sólo pueden ser creados y modificados por los usuarios autorizados.

Disponibilidad Los usuarios deben tener disponibles todos los

componentes del sistema cuando así lo deseen.

Hackers y crackers

Hacker: Definición inicial de los ingenieros del MIT que

hacían alardes de sus conocimientos en informática.

Pirata Informático. Cracker:

Persona que intenta de forma ilegal romper la seguridad de un sistema por diversión o interés.

No existe uniformidad de criterios

Ataques de red (1)

Sniffing Escuchar los datos de la red sin interferir la conexión Para descubrir passwords e información confidencial Protección: encriptación de datos

Spoofing Hacerse pasar por otro interviniendo una conexión Para acceder a recursos confiados sin privilegios Ataque: “adivinación de nº de secuencia” en TCP Protección: encriptación de protocolo

Ataques de red (2)

Hijacking Robar conexión después de autenticación con éxito Para acceder a recursos no confiados sin privilegios Protección: encriptación de protocolo

Ingeniería social Aprovechar la buena voluntad de los usuarios Para tomar privilegios de otros usuarios Ataque: envío de mail como root Protección: autenticación fuerte e información

Ataques de red (3)

Explotar bugs de software Aprovechar errores de implementación de software Para acceder a recursos sin privilegios Protección: baterías de test y listas CERT

Confianza transitiva Aprovechar la confianza UNIX entre usuarios ó hosts Para tomar privilegios de otros usuarios ó hosts Ataque: suplantación de dirección IP Protección: autenticación fuerte y filtrado paquetes

Ataques de red (4)

Ataques dirigidos por datos Ataque diferido originado por datos recibidos Para acceder a recursos sin privilegios Ataque: código javaScript maligno Protección: firma digital e información

Caballo de Troya Ataque diferido originado por programa recibido Para acceder a recursos sin privilegios Ataque: programa de login falso con base de datos Protección: firma digital e información

Ataques de red (5)

Denegación de servicio Bloquear un determinado conjunto de servicios Para que los usuarios legítimos no lo puedan usar Ataque: “mail bombing” o “ping asesino” Protección: sin solución práctica

Enrutamiento fuente Modificación de la ruta de vuelta de los paquetes Para acceder a recursos confiados sin privilegios Protección: filtrado de paquetes

Ataques de red (6)

Adivinación de passwords Prueba sistemática de passwords a un usuario Para que los usuarios no legítimos lo puedan usar Ataque: programa de chequeo de passwords Protección: autenticación fuerte

Mensajes de control de red Utilizar mensajes ICMP para aprovechar malas

implementaciones de la pila TCP/IP Para acceder a paquetes de otra red Ataque: “ICMP redirect” o “Destination unreachable” Protección: filtrado de paquetes

Ataques de red (7)

Tempest Barrido de emisión de electrones de los CRTs Para observar información en pantalla de un usuario Protección: paredes de plomo y hormigón

Rubber-Hose Utilizar soborno o tortura para obtener información Para acceder a información privilegiada Ataque: obtención de passwords y topologías Protección: defensa personal

Soluciones de seguridad

Herramientas y técnicas Firewalls: protección de ataques externos.

Protección de servicios (UNIX, Windows NT). Criptografía: privacidad de las comunicaciones.

Protocolos seguros (IPSec, SSL, SSH). Almacenamiento de claves (Tarjetas inteligentes). Certificación (Certificados X.509, PGP).

Productos VPN: Redes Privadas Virtuales. PKI: Infraestructuras de Clave Pública.

Tipos de protecció n de datos

Seguridad Lógica Uso de herramientas de protección de la

información en el mismo medio en el que se genera o transmite.

Seguridad Física Procedimientos de protección física del sistema

(incendios, agua, terremotos, etc.). Medidas de prevención de riesgos tanto físicos

como lógicos.

Protecció n física

Anclajes a mesas de trabajo. Cerraduras. Tarjetas con alarma. Etiquetas con adhesivos especiales. Bloqueo de disquetera. Protectores de teclado. Tarjeta de control de acceso al hardware. Suministro ininterrumpido de corriente. Toma de tierra. Eliminación de la estática... etc.

Protecció n ló gica

La medida más eficiente para la protección de los datos es una buena política de backups: Copia de seguridad completa

Todos los datos (la primera vez). Copias de seguridad incrementales

Sólo se copian los ficheros creados o modificados desde el último backup.

Elaboración de un plan de backup en función del volumen de información generada

Tipo de copias, ciclo de esta operación, etiquetado correcto.

Diarias, semanales, mensuales: creación de tablas.

Políticas de seguridad

Políticas administrativas Procedimientos administrativos.

Políticas de control de acceso Privilegios de acceso del usuario o programa.

Políticas de flujo de información Normas bajo la cuales se comunican los sujetos

dentro del sistema.

Políticas de control de acceso

Política de menor privilegio Acceso estricto a objetos determinados

Política de compartición Acceso de máximo privilegio

Granularidad Número de objetos accesibles (gruesa y fina)

Historia de los virus

Primer ejemplo: John von Neuman (1949) Primer virus: M. Gouglas de Bell Laboratories crea el Core

War en 1960. Primeros ataques a PCs entre 1985 y 1987:

Virus Jerusalem y Brain. Inofensivos (pelota, letras, etc.)

Sólo molestan y entorpecen el trabajo pero no destruyen información. Pueden residir en el PC.

Malignos (Viernes 13, Melissa, Navidad, etc.) Destruyen los datos y afectan a la integridad y la

disponibilidad del sistema. Hay que eliminarnos.

Transmisió n de virus

Se transmiten sólo mediante la ejecución de un programa. Esto es muy importante recordarlo.

El correo electrónico por definición no puede contener virus al ser sólo texto. No obstante, sí puede contener archivos añadidos que se ejecuten en el cliente de correo del usuario y éstos pueden tener incluido un virus. ¡Ahí está el peligro!

El entorno web es mucho más peligroso. Un hiperenlace puede lanzar un programa en Java u otro que se ejecute en el disco duro del cliente.

Tipos de ataques con virus

Aquellos que infectan a programas (.EXE, .COM y .SYS por ejemplo) Residen en memoria al ejecutarse el huésped y de

ahí se propagan a otros archivos. Aquellos que infectan el sistema y el sector de

arranque y tablas de entrada (áreas determinadas del disco). Se instalan directamente allí y por lo tanto residen

en memoria.

Medidas básicas de prevenció n

Proteger los disquetes con la pestaña. Es una protección tipo hardware elemental. Escanear de vez en cuando el disco duro (por

ejemplo una vez al mes) y siempre los disquetes. Usar software con licencia. Controlar el acceso de extraños al disco duro. Instalar un antivirus. Dejarlo en modo residente y actualizar la versión al

menos una vez al mes a través de Internet.

Medidas en caso de infecció n

Detener las conexiones remotas. No mover el ratón ni activar el teclado. Apagar el sistema. Arrancar con un disquete de arranque o emergencia limpio

y ejecutar un programa antivirus. Hacer copia de seguridad de ficheros del sistema. Formatear el disco duro a bajo nivel si no queda otra

solución. Instalar nuevamente el sistema operativo y restaurar las

copias de seguridad.

Bibliografía

Jorge Ramió, “Aplicaciones Criptográficas”, UPM, 1.999 William Cheswick, Steven Bellovin, “Firewalls and Internet

Security: Repelling the Wily Hacker”, Addison-Wesley, 1.994

Jesús Ibáñez Martínez, Antonio Gómez Skarmeta, Humberto Martínez Barberá, “Seguridad en Internet: Ataques, Técnicas, y Firewalls”, Novática, nº 127, pp. 23-30, 1.997

Eric Knight, “Computer Vulnerabilities”, Security Paradigm, 2.000