seguridad informática en redes de computadores

Seguridad Informática en Redes de Computadores

Ing. Wayner Barrios B. ©Especialista en Redes de Computadoras

Barranquilla, 2009

Seguridad en Redes - © Ing. Wayner Barrios B.

Introducción

Módulo de Seguridad en redes

Virus: Worm_Nyxem.E

Virus: Worm_Nyxem.E

Una tormenta de conducta “rara” Desarrollado en Visual Basic (95 KB) Liberado el 15 de Enero de 2006, alcanzó a

infectar a más de 900.000 computadores en 200 países

Contiene un código maliciosos de sobrecarga (“payload”) diseñado para escribir archivos aleatorios los tercer día de cada mes (iniciando el 3 de Febrero de 2006)

Worm_Nyxem.E: Promedio de infecciones por hora

Fuente: http://www.caida.org

Worm_Nyxem.E: Víctimas por países y medio de propagación

Fuente: http://www.caida.org/analysis/security/blackworm/

Y de los “Hackers” que … Hackers chilenos que integraban una de las bandas de piratas informáticos más

importantes del mundo fueron detenidos por la Policía de ese país. Estos jóvenes se habían infiltrado en más de ocho mil sitios de Internet, incluida la NASA y páginas de los gobiernos de Argentina, Bolivia, Colombia, Estados Unidos, Israel, Perú, Turquía y Venezuela

El impacto financiero de código maligno a nivel mundial se estima en 13.2 billones de dólares en el año 2001, siendo los principales contribuyentes: SirCam $1.15 Billones, Code Red $2.62 Billones y NIMDA $635 Millones.

La semana pasada un consultor del FBI robó 38 mil contraseñas de la federal de investigaciones y ahora un grupo de piratas informáticos ingresó en las últimas semanas en el sistema del Departamento de Estado y todo indica que obtuvieron información delicada

Algunos hackers revelaron un método para autentificar las versiones piratas de Microsoft Windows Vista. El 30 de noviembre este sistema operativo fue puesto a la venta para aumentar el número de clientes con licencias originales, y cuenta con nuevas medidas de seguridad que intentan frenar el crecimiento de la piratería.


Y de los “Hackers” que …

Ataques: Pasado y presente

1980 1990 Hoy

Correos no deseados …

Cadenas de correos


Fuente: http://www.trendmicro.com

Mapa de Virus: Detecciones por regiones

Estadísticas Mundiales de Virus …

Fuente: http://www.messagelabs.com


Estadística de distribución de correo no deseado para LA

Fuente: http://www.trendmicro.com

Un mundo lleno de Spam …

Entre 2005 y 2006 el número de correos no-deseados aumento 147% Postini estimó 1.010.186.128 spam e-mails interceptados en Diciembre 18, 2006. Cerca del 74.4% de correo spam proviene de dominios de USA

Fuente: http://discovermagazine.com/2007/mar/map-the-world-according-to-spam

Estadísticas Mundiales de Spam …

Fuente: http://www.messagelabs.com

10 consejos para navegar en la e-Banca


1. Navega directamente en la URL del Banco2. Busca las señales de seguridad3. Mantén a salvo tu identidad electrónica4. Utiliza contraseñas seguras5. No realices operaciones de e-banca en sitios públicos6. Ten cuidado con correos electrónicos fraudulentos7. Mantén en tu equipo los elementos básico de la

seguridad informática8. No instales software pirata o de dudosa procedencia9. Al terminar la operación “cierra” tu sesión10. Sea precavido

Fuente: http://www.cnnexpansion.com

Algunos servicios de seguridad en Internet …

Prioridades de inversión en Tecnología Informática

Seguridad

Disaster Recovery

Storage

Wireless

Servers

Network management

LAN Infraestructure

WAN Services

VideoConferencing

10 20 30 40 50 60 70

Network World, IT Spending Survey 2003


Servicios de Seguridad en Redes

Confidencialidad o Secreto Autenticación Integración No repudiación Acceso Disponibilidad


Amenazas (Threats)

Interrupción de servicios (DoS) Intercepción (Ataque a la confidencialidad) Modificación Fabricación (Ataque a la autenticidad) Violación de autorización Masquarade Repudiación Spoofing Penetración al sistema Ingeniería Social


¿En qué capa va la seguridad?

FISICA

ENLACE

RED

TRANSPORTE

SESIÓN

PRESENTACIÓN

APLICACIÓN

FISICA

ENLACE

RED

TRANSPORTE

SESIÓN

PRESENTACIÓN

APLICACIÓN

ORIGEN DESTINO


Modalidad de algunos ataques a la Seguridad de Redes

Virus, gusanos, troyanos, tormentas, spam, espías, malware, adware …

Ransomware: Secuestro de Documento/Carpeta mediante la encriptación

SCAM: correos engañosos Spoofing: falsedad en dirección IP Phishing: recomendar una página Web falsa Eavesdropping y Packet Sniffing: pasiva intercepción (sin

modificación) del tráfico de red Snooping y Downloading: obtener la información sin

modificarla

Modalidad de algunos ataques a la Seguridad de Redes

Flooding: Inundación (Negación de servicio) Tampering o Data diddling: la modificación no autorizada

de los datos, o al software instalado en un sistema Ingeniería Social

Phishing: Una de las principales amenazas de seguridad informática

Los crímenes informáticos han sido estimados en US $67,2 billones, solo en organizaciones en USA, US $1 billón es por Phishing

Phishing, “Pescando víctimas”: ataques de ingeniería social son aquellos que tratan de obtener información confidencial de las víctimas mediante el engaño y la manipulación

Falsos correos o sitios Web que invitan a registrar información confidencial (en la mayoría de los casos financiera)

¿Cómo identificar rápidamente un Phishing?

Busque errores ortográficos o gramaticales en el texto del correo o sitio Web

Normalmente incluyen frases que las víctimas tomen acciones inmediatas o urgentes: “Haga clic en este link para actualizar su información o su cuenta cancelada”

Ninguna institución financiera contacta a sus clientes por teléfono o correo electrónico para actualizar la información confidencial de los mismos

Estos correos electrónicos, normalmente, contienen un hipervínculo o una dirección URL a la cual debemos ingresar

Algunas veces, estos correos tienen sugerencias para descargar información o algún programa (que en el fondo es un código malicioso)

Ejemplo de Phishing

¿El siguiente correo es o no Phishing?

Estimado Cliente(a):

Nuestro sistemas informátivos han sufrido problemas este fin de semana, y por esta razón, mucha de la información de nuestros customers se ha visto modificada.

Por favor, ingrese a este sitio Web, y actualice su información dentro de las siguientes 24 horas, o sus cuentas se desactivarán:

http://co.bank.data.com/customers/profile/

Muchas gracias por la comprensión y ayuda.

Atentamente,

Departamento de tecnología

Ataque Eavesdropping y Packet Sniffing

El objetivo es monitorear el tráfico de la Red en forma pasiva (Sin modificación)

Realizado mediante el uso de herramientas de software conocidas como “sniffers”

En redes compartidas, las tarjetas configuradas en modo promiscuo “escuchan” todo el tráfico de la red a que pertenecen

En redes conmutadas es necesario crear un puerto espejo del puerto donde está conectado el equipo al que se le quiere hacer sniffing

Ataque Flooding

Tipo de ataque destinado a saturar los recursos del sistema (DoS)

Send SYN(Seq=x)

Receive SYN(Seq=x)Send SYN(Seq=y, ACK=x+1)

Receive SYN(Seq=y, ACK=x+1)Send ACK(Ack=y+1) Receive ACK

(ack=y+1)


Ingeniería Social: Definición

Consiste en la manipulación de las personas para que voluntariamente realicen actos que normalmente no harían

Término usado entre crackers y samurais para referirse a las técnicas de violación que se sustentan en las debilidades de las personas mas que en el software.

El objetivo es engañar a la gente para que revele contraseñas u otra información que comprometa la seguridad del sistema objetivo


Ingeniería Social: ¿Qué quieren hacer?

Los objetivos básicos de la Ingeniería Social son los mismos del “hacking” o “cracking” (dependiendo de quien lo haga) en general: ganar acceso no autorizado a los sistemas, redes o a la información para...

–Cometer Fraude,–Entrometerse en las Redes,–Espionaje Industrial,–Robo de Identidad (de moda),–Irrumpir en los Sistemas o Redes de Computadoras


Ingeniería Social: ¿A quién va dirigidos?

Las víctimas típicas incluyen Empresas Telefónicas Servicios de Help Desk y CRM Corporaciones Renombradas Agencias e Instituciones Gubernamentales y Militares Instituciones Financieras Hospitales

El “boom” de la Internet tuvo su parte de culpa en la proliferación de ataques a pequeños “start-up´s”, pero en general, los ataques se centran en grandes compañías

Técnicas y Herramientas de Ingeniería Social (Invasivas o Directas)

El Teléfono El Sitio de Trabajo La Basura La Internet-Intranet Fuera de la Oficina

Técnicas y Herramientas: El teléfono

Personificación Falsa y Persuasión Tretas Engañosas: Amenazas, Confusiones Falsas Falsos Reportes de Problemas

Personificación Falsa en llamadas a Help Desks y Sistemas CRM Completación de Datos Personales

Robo de Contraseñas o Claves de Acceso Telefónico Consulta de buzones de voz Uso fraudulento de líneas telefónicas Uso de Sistemas Internacionales de Voz sobre IP

Técnicas y Herramientas: Sitio de trabajo

Entrada a los sitios de trabajo Acceso Físico no Autorizado Tailgating

Oficina “Shoulder Surfing” (ver por encima del hombro), Leer al revés Robar, fotografiar o copiar documentos sensibles Pasearse por los pasillos buscando oficinas abiertas Intentos de ganar acceso al cuarto de PBX y/o servidores para:

– Conseguir acceso a los sistemas,– Instalar analizadores de protocolo escondidos, sniffers o,– Remover o robar pequeños equipos con o sin datos

Técnicas y Herramientas: ¿Qué hay en nuestra basura?

Listados Telefónicos Organigramas Memorandos Internos Manuales de Políticas de la Compañía Agendas en Papel de Ejecutivos con Eventos y Vacaciones Manuales de Sistemas Impresiones de Datos Sensibles y Confidenciales “Logins”, “Logons” y a veces... contraseñas Listados de Programas (código fuente) Disquetes y Cintas Papel Membretado y Formatos Varios Hardware Obsoleto

Técnicas y Herramientas: La Internet y la Intranet

Si en algo es consistente un usuario es en repetir passwords

“Password Guessing” Placa del Carro Nombre del HIJO/A + 2008 Fecha de nacimiento

Encuestas, Concursos, Falsas Actualizaciones de Datos

Anexos con Troyanos, Exploits, Spyware, Software de Navegación remota y Screen Rendering

Técnicas y Herramientas: Fuera de la Oficina

Almuerzos “de Negocios” “Cenas de Viernes”, que terminan en “Happy Hours”, con potenciales consecuencias desastrosas: Sesiones de confesión de contraseñas, extensiones,

direcciones de correo electrónico. Al otro día, la víctima no se acuerda

Conexiones “de oficina a Oficina”: ¿Puedo leer mi e-mail desde aquí? Eso está en la Intranet de la Empresa, pero (en tono

jactancioso) yo puedo entrar desde aquí

Técnicas y Herramientas de Ingeniería Social (Seductivas o Inadvertidas)

Autoridad Carisma Reciprocidad Consistencia Ingeniería Social Reversa

Técnicas y Herramientas: Autoridad

Pretender estar con la gente de TI o con un alto ejecutivo en la Empresa o Institución

Puede usar un tono de voz: Intimidante Amenazante Urgente

Técnicas y Herramientas: Carisma

Se usan modales amistosos, agradables Se conversa sobre intereses comunes Puede usar la adulación (interés por

conseguir un favor) para ganar información del contexto sobre una persona, grupo o producto

Técnicas y Herramientas: Reciprocidad

Se ofrece o promete ayuda, información u objetos que no necesariamente han sido requeridos

Esto construye confianza, da la sensación de autenticidad y confiabilidad


Técnicas y Herramientas: Consistencia

Se usa el contacto repetido durante un cierto período de tiempo para establecer familiaridad con la “identidad” del atacante y probar su confiabilidad

Técnicas y Herramientas: Ingeniería Social Reversa

Ocurre cuando el “hacker” crea una persona que parece estar en una posición de autoridad de tal modo que le pedirán información a él, en vez de que él la requiera

Las tres fases de los ataques de ISR: Sabotaje Promoción Asistencia

Técnicas y Herramientas: ¿Cómo opera la Ingeniería Social Reversa?

El Hacker sabotea una red o sistema, ocasionando un problema.

Este Hacker entonces promueve que él es el contacto apropiado par solucionar el problema, y entonces, cuando comienza a dar asistencia en el arreglo el problema, requiere pedacitos de información de los empleados y de esa manera obtiene lo que realmente quería cuando llegó.

Los empleados nunca supieron que él era un Hacker, porque su problema se desvaneció, él lo arreglo y todo el mundo está contento.

Ingeniería Social: Consejos para defenderse

Sea cauteloso y revise su actitud de colaboración. ¡OJO! No hay que volverse paranoico

Verifique con quien habla, mas si le preguntan por claves

No se deje intimidar … y por favor ¡NO responda

Mensajes en Cadena!


Ciclo de vida de la Seguridad en Redes

EvaluarDeterminar

Políticas

Remediar Proteger

AmenazasVulnerabilidadesMonitoreo de redesEventos inesperados

Creación de políticasControl de accesosUso de aplicacionesQoS de aplicacionesEstablecimiento de prioridades

Cumplimiento de la políticaControl de accesoAdministración BWPrevención de ataquesContención de ataques

CuarentenaDepuración de virusAplicar parches

ADMINISTRAR


ISO 17799: International Security Managament Standard

Es un estándar internacional propuesto por la ISO en Diciembre de 2000 que define la administración de la seguridad de la información.

ISO 17799 es un estándar de nivel alto, amplio alcance y de naturaleza conceptual. Su enfoque le permite ser aplicado a través de múltiples tipos de organizaciones y aplicaciones.

Define la información como un “activo” que puede existir de diversas formas y poseer un valor significativo en una organización. El objetivo de la seguridad de la información es proteger este activo para asegurar continuidad de negocio, minimizar el daño y maximizar el retorno de la inversión.



La seguridad de la información se define como la conservación de:

Confidencialidad: Solo los usuarios autorizadosIntegridad: Salvaguardar la exactitudDisponibilidad: Asegurarse que los usuarios autorizados tengan acceso a

la información cuando la requieran.

ISO 17799 no es un estándar técnico como tampoco un producto.

ISO 17799 es un descendiente directo del estándar BS7799 que define la Administración de la Seguridad de la Información de l Instituto de Estándares Británico (BSI).



Controles Políticas de seguridad Seguridad organizacional Clasificación y control de los activos Seguridad personal Seguridad ambiental y física Administración de las operaciones y

comunicaciones Control de acceso Plan de contingencia Compliance



Proceso

Obtener soporte de la alta gerencia

Definir la seguridadperimetral

Crear la política deseguridad de información

Crear el sistema de administración

de la seguridad informática

Ejecutar la evaluaciónde riesgos

Seleccionar eimplementar los

controles

Documentar el informe

Auditar


ISO 27001- Sistemas de Gestión Seguridad de la Información

Es el reemplazo del estándar ISO 17799 y BS7799, fue publicado en Octubre de 2005 y se estima que sea el primero de una serie de estándares de seguridad de la información que la organización desea implantar.

El objetivo básico del estándar es ayudar a establecer y mantener un sistema de administración de la seguridad lo suficientemente efectivo, usando un enfoque de mejoramiento continuo. Implementa los principios de OECD (Organization for Economic Cooperation and Development), administrando la seguridad de la información y los sistemas de redes.


ISO 27001: Principales claves para implantarlo Identificar los objetivos de negocio

La seguridad debe alinearse estratégicamente con la actividad de la organización para darle un mejor soporte y robustez.

Seleccionar un alcance adecuado El esfuerzo en la implementación será proporcional al

tamaño del sistema a construir Determinar el nivel de madurez ISO 27001

Existen certificaciones previas en la organización? Analizar el retorno de inversión

Demostrar que el esfuerzo realizado no será un gasto sino una inversión


Criptografía y Firma DigitalMódulo de Seguridad en redes

Criptografía tradicional


La criptografía (del griego kryptos, «ocultar», y grafos, «escribir», literalmente «escritura oculta») es el arte o ciencia de cifrar y descifrar información utilizando técnicas matemáticas que hagan posible el intercambio de mensajes de manera que sólo puedan ser leídos por las personas a quienes van dirigidos.


Criptografía tradicional

Por sustitucióna ➨ q; b ➨ w; …, z ➨ m

Por transposiciónabcdefgh ➨ cfdgbeha

El código perfecto es el que se utiliza una vez.

PRINCIPIO DE UN BUEN CÓDIGO

1. Considerable redundancia

2. Evitar reusabilidad de mensajes (CRC) (timestamp)


Cifrado Cesar – Caesar cipher

Cada letra es sustituida por una letra a un número fijo de letras posteriores en el alfabeto.

Cesar usaba un desplazamiento de 3, de tal manera que el textoplano pi era encriptado con el textocifrado ci por la regla:

ci = E(pi) = pi + 3

textoplano: a b c d e f g h i …textocifrado: d e f g h i j k l …

Cifrado de Polybius

Polybius era un escritor griego que propuso sustituir una letra por un par de ellas o por números de dos dígitos

El alfabeto es escrito dentro de una matriz de 5x5 o 5x8

El criptograma duplica la cantidad de caracteres del texto en claro por lo que no es un buen sistema de cifra

Cifrado de Polybius

Para encriptar se debe sustituir cada letra con las coordenadas de la letra en la matriz

- A B C D EA A B C D EB F G H IJ KC L M N O PD Q R S T UE V W X Y Z

- 1 2 3 4 51 A B C D E2 F G H IJ K3 L M N O P4 Q R S T U5 V W X Y Z

Ejemplo: F=BA ó F=21

Cifrado de Vigenère Método original fue inventado por Giovan Batista Belaso Este cifrador polialfabético soluciona la debilidad del cifrado del César en que

una letra se cifra siempre igual. Se usa una clave K de longitud L y se cifra carácter a carácter sumando módulo t el texto en claro con los elementos de esta clave

Ci = (Mi + Ki) Mod t , de donde t es el número de caracteres del alfabeto

TEXTO CLAVEM = REDES HOY K = LOU

A B C D E F G H I J K L M N O P Q R S T U V X W Y Z1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26

M = R E D E S H O YK = L O U L O U L OC = D T Y Q H C A N


Criptografía

Clave Secreta (k) Cifrado Simétrico

Clave Pública y Privada (k, q) Cifrado Asimétrico

x = Dk(Ek(x))

x = Dk(Eq(x))


Criptografía en Clave Secreta

ENCRIPTADOy = Ek(x)

DESENCRIPTADOx = Dk(y)

Propiedad matemática: x = Dk(Ek(x))

Mensajex

k

y = fk(x)

y

Mensajex

x = fk-1(y)

Intruso

A B

k


Criptografía en Clave Secreta

Ventajas Provee un canal en dos vía: A y B comparten un secreto Provee autenticación: solo el emisor verdadero puede

construir el mensaje encriptado

Dificultades Si la clave es revelada, los interceptores pueden

inmediatamente desencriptar toda la información. La solución es cambiar la clave con frecuencia

La distribución de la clave es un problema El número de claves se incrementa con el cuadrado del

número de nodos


Algoritmos de Clave Secreta

Nombre Modo Longitud de clave (Bits)

DES Bloque 56

Triple DES – 3DES Bloque 56 ó 112 - 168

AES Bloque Variable, típicamente 128 ó 256

IDEA Bloque 128

RC2 – RC4 – RC5 Bloque Variable de 1 hasta 2048

Blowfish Bloque Variable hasta 448

Rijndael Bloque Variable hasta 256

Gost Bloque Variable hasta 256


Criptografía de Clave Pública y Privada

Mensajex

k

y =Ek(x)

y

Mensajex

x = Dq(y)

Intruso

Propiedad matemática: x = Dq(Ek(x))

Clave Pública de Bob: kClave Privada de Ken: q

Bob Ken

q


Criptografía de Clave Pública y Privada

Los algoritmos de clave pública son cerca de 100 a 1000 veces más lentos que los algoritmos de clave secreta. Por ello son raramente usados para encriptar grandes cantidades de datos.

Son comúnmente usados para la fase inicial de comunicación, con el objetivo de autenticar ambas partes y establecer una clave secreta:

Autehntication – Key Distribution


Nombre AplicaciónFundamento matemático

RSA

(Rivest, Shamir & Adleman)

Confidencialidad,

Firma Digital, Intercambio de llaves

Factorización

DSA

(Digital Signature Algorithm), basado en el Gamal

Firma Digital Algoritmo discreto

Diffie – Hellman Bloque Factorización

discreta

Algoritmos Comunes de Clave Pública y Privada


Firma Digital

+Archivo DigitalX

Firma DigitalDq(X)

q … clave secreta del firmantek … clave pública del firmante

Verificación de la firma: Ek(Dq(X)) = X


Firma Digital

Usada para autenticar al emisor del mensaje, verificando la integridad del mensaje

Usa la criptografía de clave pública El emisor usa su clave privada A envía a B: DA(M) Cualquiera puede verificar haciendo uso de la clave

pública EA

El mensaje enviado es privado y autenticado La Firma Digital es mecanismo de seguridad

empleado para asegurar la Autenticidad, No repudiación y no falsificación

Aplicaciones de las firmas digitales Mensajes con autenticidad asegurada Contratos comerciales electrónicos Factura electrónica Transacciones comerciales electrónicas Invitación electrónica Dinero electrónico Notificaciones judiciales electrónicas Voto electrónico Decretos ejecutivos (Gobierno) Créditos de seguridad social Contratación pública Sellado de tiempo



Certificado Digital

¿Quién nos da la confinaza que las claves suministradas por el Centro de Distribución de Claves (KDC) son auténticas?

Un certificado es un documento digital que indica el autor o dueño de una firma digital. Hace publica la clave pública del autor y está avalado por el 2ente” que expide el certificado.

Certificados


Certificado X.509

Propuesto por la ITU e ISO Componentes básicos: Clave pública, firma

del solicitante y certificación del ente emisor Recomienda el uso de RSA Certificado para un e-mail En el ambiente financiero se necesita

extender el certificado para codificar la información como el número de la tarjeta de crédito y límite del crédito


Aspectos a considerar …

Algunos gobiernos no permiten la criptografía y algunos la limitan

Las patentes criptográficas tardan mucho en convertirse en estándares públicos

¿Qué validez legal tiene las firmas digitales la Corte Judicial de algunos países?


Firewall


Tipos de Firewall

De capa de red o de filtrado de paquetes Funciona a nivel de la capa de red Filtrado en los campos de los paquetes IP: dirección IP

origen y destino.

De aplicación o “Proxy” Funciona a nivel de la capa de aplicación Por ejemplo: filtrado http o URL

Personal Filtra comunicaciones entre un PC y el resto de la red o

viceversa


Políticas de un Firewall

Hay dos políticas básicas en la configuración de un cortafuegos y que cambian radicalmente la filosofía fundamental de la seguridad en la organización:Política restrictiva

Negación de todo el tráfico excepto lo que está permitido

Política permisiva Se permite todo el tráfico excepto el que está negado Cada servicio potencialmente peligroso debe aislarse

caso por caso



Configuraciones de un Firewall

Internet

ServidoresCorporativosServidor Web

www.mycomp.com

Servidor Firewall

LAN CorporativaDMZ

Screened Subnet(Zona Desmilitarizada – DMZ)


Productos Comerciales de Firewall

Checkpoint VPN IBM Firewall Cisco Secure PIX Firewall eSoft Interceptor Astaro Security SonicWall Pro WatchGuard LiveSecurity System Symantec Firewall McAfee Firewall


Los sistemas “anti”



Algunos productos de fabricantes de los sistemas “anti”


Redes Virtuales Privadas (VPNs)



VPN

Red Virtual Privada A


VPN: una breve descripción Un VPN está, compuesta de uno o mas túneles IP

seguros y dos o mas redes Un túnel IP seguro describe el proceso de

encapsulamiento de un paquete IP, incluyen su información de header, en un nuevo paquete IP que será visto únicamente por los firewall origen y destino

El túnel definido especifica la política implementada en los datos (paquete IP): Encriptación Autenticación Encriptación y después autenticación

Tipos de VPNs

Existen tres (3) arquitecturas según su esquema de conexiónVPN de acceso remoto

Modelo más usado Usuarios que se conecta a la red de la empresa

VPN punto a punto Interconexión de oficina remotas Es también conocida como la técnica Tunneling

VPN interna WLAN Una variante de la VPN de acceso remoto No usa Internet sino la red local Usuarios inalámbricos Wi-Fi


Diagrama de VPN de acceso remoto


Diagrama de VPN punto a punto



Sistemas de detección y prevención de intrusos



¿Qué es un IDS?

Es un sistema especialmente diseñado para detectar ciertos patrones de tráfico considerados como dañinos. Al contrario que un Firewall, un IDS estudia el tráfico de forma global, almacenando información en tiempo real relativa a las diferentes sesiones, o conversaciones, que los usuarios mantienen con los servidores.

Esto permite la detección de comportamientos sospechosos que pasan totalmente desapercibidos al Firewall y que empiezan a ser detectados tan pronto como el sistema se pone en marcha.

InternetRed IP

corporativa

IDSFW


¿Qué puede considerarse cómo un ataque al IDS?

Intentos de detección del sistema operativoA nadie le interesa realmente en qué sistema operativo están corriendo los servicios que la compañía suministra si no es para intentar aprovecharse de las debilidades conocidas, o aún no publicadas, del mismo. Aunque en sí este comportamiento no es un ataque, suele ser el preludio de otros más agresivos que si pueden ser considerados como tales.

Listado de direccionesBien mediante escaneo o mediante lectura no autorizada de los servidores DNS se intenta descubrir los equipos susceptibles de ataque.

Escaneo de puertosEl objetivo es localizar, de entre el rango de direcciones anteriormente detectado, qué canales de entrada existen en el sistema para luego intentar ataques específicos segun el tipo de cada uno.


IDS ClasificaciónClasificación 1

1. Signature – detectionCompara parámetros contra patrones conocidos de ataques. Usa bases de datos universales que se actualizan periódicamente

2. Anomaly – detectionCompara el tráfico contra estándares de tráfico

Clasificación 2

1. Network – basedUtiliza parámetros de red

2. Host – basedUtiliza parámetros del host

Deep Packet Inspection (DPI)

Es un término en Redes de Computadores que se refiere a los dispositivos y tecnologías usadas para inspeccionar y tomar acción basándose en el contenido del paquete (comúnmente llamado “payload”) y no solamente en la cabecera del mismo.

Deep Packet Inspection (DPI)


Protocolos de Seguridad



Protocolos de Seguridad

SSL/TLS: Secure Socket Layer / Transport Layer Security

S/MIME: Secure/Multipurpose Internet Mail Extensions

IPsec: IP Security Protocol SET: Secure Electronic Transactions PPTP: (Point-to-Point Tunneling Protocol)


SSL/TLS: Secure Socket Layer / Transport Layer Security

Fue desarrollado por Netscape Se utiliza en las versiones SSL 2.0 y SSL 3.0 Una ligera modificación del SSL 3.0 dio origen al

TLS, propuesto pot la IETF Es utilizado en la mayoria de las empresas que

comercian a través de Internet dado que parte de la mayoría de los navegadores y servidores Web

SSL no es un protocolo para el comercio electrónico, sino una forma de establecer un canal virtual seguro entre el servidor y el cliente


IPsec

Es un estándar líder para la criptografía basada en los servicios de autenticidad, integridad y confidencialidad a nivel de la capa IP

Se basa en los algoritmos RSA, Diffie-Hellman para el intercambio de claves

Host-to-Host pipes, túneles encapsulados, VPNs

IPsec


Es un protocolo estándar de seguridad usado para crear y operar sobre Redes Virtuales Privadas

¿Cómo trabaja IPsec sobre un enrutador?


Dos enrutadores tiene configurado un túnel IPsec usando algoritmos y parámetros comunes.

El tráfico en rojo representa al flujo de datos que fluye a través de los enrutadores con destino a Internet.

Mientras que el tráfico en verde es aquel que va de un lado a otro a través del túnel Ipsec de la VPN.


SET : Secure Electronic Transactions

Basado en propuestas previas:– Secure Transaction Technology (STT)– Secure Electronic Payment Protocol (SEPP)

Desarrollado por VISA y MasterCard, con el apoyo de GTE, IBM, Microsofot, Netscape, Terisa, VerySign y RSA Data Security

La versión 1.0 lanzada 31 de Mayo de 1997 Es independiente de cualquier HW o

plataforma de SW

Funcionamiento del protocolo SET

1

4

2

35

$$

Cliente

Certificado

EntidadCertificadora

Comerciante

1. Comprador desea pagar2. Comerciante confirma fondos del Cliente 3. Entidad Certificadora autoriza pago verificando certificado del Cliente4. Cliente confirma su pago5. Comerciante solicita su pago6. Entidad Certificadora ordena la transferencia

Banco del Cliente

Banco del Comerciante


Network Access Control


NAC: Network Access Control

Es un enfoque en Seguridad de Redes que intenta unificar la tecnología (tales como Antivirus, IDS, IPS, Identificación de vulnerabilidades), Sistemas de Autenticación de Usuario y la aplicación de la Política de Seguridad Informática.

Objetivos de un NAC

1. Mitigación de Cero Ataques en el día

2. Aplicación de la Política de Seguridad

3. Administración de Identidad y Accesos

Entendiendo los procesos de un NAC

NAC: La Administración Centralizada de la Seguridad en la Red

Todo en una sola consola

Soluciones comerciales de NAC

Enterasys NAC TippingPoint NAC HP - ProCurve Networking - NAC 800 Nortel SNA Bradford Networks - Campus Manager/NAC Director Cisco NAC Insightix Visibility and NAC Impulse Point - Safe.Connect NAC ForeScout - CounterACT Clientless NAC and Signatureless IPS Juniper Networks Controlling Access NetClarity patented agent-less NACwalls McAfee Network Access Control McAfee Mirage Networks - Network Access Control Sophos Network Access Control Symantec Network Access Control Ignition from Identity Engines Trend Micro Network VirusWall Enforcer USP Network Authentication System


Informática Forense


Informática Forense: Definiciones


Delito Informático Un acto que viola la Ley y que fue llevado a cabo con la ayuda

de las computadoras

Evidencia Digital Es un tipo de evidencia física. Esta construida de campos

magnéticos y pulsos electrónicos que pueden ser recolectados y analizados con herramientas y técnicas especiales

Computación Forense La investigación forense en computación es la aplicación de

métodos y técnicas para obtener, analizar y preservar toda evidencia digital susceptible de ser eliminada o sufrir alteraciones.

Permite reunir pruebas para adelantar una acción penal.

La prueba en informática


Problemas en la informática Falta de conocimiento y habilidades del legislador para

identificar, valorar y revisar evidencia digital. Facilidad de la duplicación y dificultad en la verificación del

original Dónde está el original de la evidencia digital? Almacenamiento y durabilidad de la información en medios

electrónicos. Reconocimiento legal del mismo Identificación problemática del autor de los documentos El transporte inadecuado puede llevar a modificar el contenido

de la evidencia digital recolectada. La evidencia recolectada puede estar cifrada, lo cual hace que

no se pueda identificar con facilidad su contenido. Desconocimiento de las técnicas de intrusión de sistemas

Informática Forense: En busca de una solución …


Seguridad Informática Principios: Confidencialidad, Integridad y

Disponibilidad Servicios: Autenticación, autorización, No-repudiación

y auditabilidad

Mecanismos de Seguridad Informática Firmas digitales Certificados digitales Algoritmos de encripción simétrica y asimétrica Intrusion Detection Systems, Control de integridad de

archivos Logs de auditoría

Informática Forense: Herramientas de software


EnCase: http://www.encase.com Forense ToolKit: http://www.accessdata.com Digital Intelligence Software:

http://www.digitalintelligence.com Paraben Forensic Tools: http://www.paraben-

forensics.com WinHex: http://www.x-ways.net/winhex/ SafeBack: http://www.forensics-intl.com/safeback.html


Sitios de interés www.isaca.org Information Systems Audit & Control

Association www.hispasec.com HISPASEC SISTEMAS www.zone-h.org www.microsoft.com/latam/technet/articulos/

200011/art04/default.asp Estrategia de Seguridad de Microsoft Corp.

www.jc1.se/images/spam1.htm Métodos para combatir el SPAM

www.us-cert.org U.S. CERT (USA Computer Emergency Response Team )

www.antiphishing.org (APWG AntiPhishing Working Group)