Criptografía y Seguridad

en Redes

Leobardo Hernández

Laboratorio de Seguridad
Informática

Centro Tecnológico Aragón, UNAM

VI Simposium Internacional de Computación, Sonora, Nov. 2006 1
 Agenda
 Información y sus estados
 Propiedades de Seguridad de la Información

 Servicios y Mecanismos de Seguridad

 Criptología
 Criptografía
 Criptoanálisis
 Esteganografía
 Seguridad en Redes
 Herramientas para Seguridad en Redes
 Comentarios y Conclusiones

VI Simposium Internacional de Computación, Sonora, Nov. 2006 2

 Información y sus estados

 La información actual es digital

 Su manejo implica considerar estados:
 Adquisición
 Creación

 Almacenamiento

 Proceso (transformación, análisis, etc.)

 Transmisión

VI Simposium Internacional de Computación, Sonora, Nov. 2006 3

 Problemas en manejo de
Información
 Confiabilidad de las fuentes y de la
información misma
 Integridad (verificación)
 Confidencialidad
 Disponibilidad
 Control de Acceso
 Autenticación de las partes
 No repudio

VI Simposium Internacional de Computación, Sonora, Nov. 2006 4

 Más Problemas

 El canal es público
 Uso canales seguros nada fácil, práctico, ni barato

 Las fuentes pueden no ser compatibles ni

confiables
 Los sistemas de análisis y toma de decisiones
asumen lo contrario
 Los resultados y reportes pueden ser equivocados

 Las decisiones se toman a partir de esos

resultados
VI Simposium Internacional de Computación, Sonora, Nov. 2006 5
 Más Problemas

 Información más valiosa que el dinero

 Hay que protegerla

 No solo en almacenamiento y proceso

 También durante la transmisión

 Formas almacenamiento y proceso:

dispositivos digitales
 Formas de transmisión: redes y sistemas
distribuidos
VI Simposium Internacional de Computación, Sonora, Nov. 2006 6
 Más Problemas
 Expuesta a ataques de todo tipo
 Nada fácil crear un modelo para estudiar la
seguridad
 Redes heterogéneas de todos los tipos
 Plataformas, medios, SO’s, arquitecturas
distintas
 La pesadilla: Internet

 Que hacer??

VI Simposium Internacional de Computación, Sonora, Nov. 2006 7

 Seguridad de la Informacion

 Técnicas,procedimientos, políticas y
herramientas para proteger y resguardar
información en medios y dispositivos
electrónicos

 Protegerla información almacenada en los

equipos y la que se transfiere e intercambia
por canales públicos
VI Simposium Internacional de Computación, Sonora, Nov. 2006 8
 Seguridad de la Informacion
 Proteger informacion de amenazas, ataques y
vulnerabilidades reales y potenciales

 Garantizar propiedades de información en todos

sus estados: creación, modificación, transmisión y
almacenamiento

 Implementar servicios de seguridad usando

mecanismos útiles y eficientes
VI Simposium Internacional de Computación, Sonora, Nov. 2006 9
 Servicios y Mecanismos de
Seguridad
 Naturaleza pública del canal no se puede
cambiar
 Sobre ese canal hay que saber qué se
quiere:
 Servicios de Seguridad
 Sobreese canal hay que saber cómo se
implementa (si se puede):
 Mecanismos de seguridad
VI Simposium Internacional de Computación, Sonora, Nov. 2006 10
 Servicios y Mecanismos de
Seguridad
 Servicios Mecanismos
 Confidencialidad Cifrado
 Integridad Funciones Hash
 Autenticación Protocolos Criptográfico
 Control de Acceso Esquemas de CA
 No Repudio Firma Digital
 Disponibilidad No se puede !!

VI Simposium Internacional de Computación, Sonora, Nov. 2006 11

 Seguridad Informática
 Se deben implementar los 5 primeros
servicios para disminuir el riesgo de sufrir
indisponibilidad
 Los 5 primeros servicios se estandarizan en
el ISO 7498-2
 El Triángulo de Oro de la Seguridad incluye:
 Confidencialidad
 Integridad
 Disponibilidad
VI Simposium Internacional de Computación, Sonora, Nov. 2006 12
 Criptografía y Seguridad
4 de los 5 servicios estandarizados
se implementan usando Criptografía:
 Confidencialidad
 Integridad(Verificación)
 Autenticación
 No Repudio

 Nose puede hablar de Seguridad sin

hablar de Criptografía
VI Simposium Internacional de Computación, Sonora, Nov. 2006 13
 Criptología
 Criptología se divide en:
 Criptografía
 Criptoanálisis
 Esteganografía

 Criptografía: oculta información aplicando al

mensaje M, una transformación (algoritmo) F,
usando una llave K y produce el texto cifrado C
Fk(M) = C

VI Simposium Internacional de Computación, Sonora, Nov. 2006 14

 Criptografía
 Algoritmo F debe ser público

 Seguridad debe basarse en:

 Diseño y fortaleza de F
 Mantener K en secreto

 AlgoritmoF integra 2 procesos:

Cifrado: Fk(M) = C
Descifrado: F’k(C) = M
VI Simposium Internacional de Computación, Sonora, Nov. 2006 15
 Criptografía
 Algoritmos usan diferentes bases de diseño:
 Operaciones elementales
 Sustituciones (César, Vigenere, Vernam, etc.)
 Permutaciones
 Combinación de ambas (DES, AES, etc.)
 Matemáticas
 Teoría de Números (RSA, ElGamal, DSS, etc.)
 Problemas NP y NP Completos
 Curvas Elípticas (ECC)
 Fisica Cuántica
 Mecanica Cuántica
 Principio de Incertidumbre de Heinsenberg
 Otras
VI Simposium Internacional de Computación, Sonora, Nov. 2006 16
 Criptografía
 Algoritmos pueden ser:
 Simétricos o de Llave Secreta
 Usan misma llave para cifrar y descifrar

 Asimétricos o de Llave Pública

 La llave que cifra es diferente a la que descifra

 Funciones Hash, Resumen o Compendio

 No usan llave
VI Simposium Internacional de Computación, Sonora, Nov. 2006 17
 Criptografía
 También pueden ser por:
 Bloque
 Elmensaje se procesa en bloques del
mismo tamaño

 Flujo
 Elmensaje se procesa como un todo por
unidad básica

VI Simposium Internacional de Computación, Sonora, Nov. 2006 18

 Criptografía
 Algoritmos Simétricos o de Llave Secreta
 DES (anterior estándar mundial)
 AES (Nuevo estándar mundial)
 3DES
 Algoritmos Asimétricos o de Llave Pública
 RSA (Estándar de facto)
 ElGamal
 DSS (Digital Signature Standard)
 Algoritmos Hash
 MD5
 SHA-1
VI Simposium Internacional de Computación, Sonora, Nov. 2006 19
 Criptografía
 Algoritmos Simétricos
 Basan su diseño en operaciones elementales
 Buscan eficiencia
 Seguridad depende del tiempo y los recursos de
cómputo

 Aplicaciones de Criptografia Simétrica

 Cifrado de información no clasificada (Confidencialidad)
 Verificación de Integridad
 Autenticación
VI Simposium Internacional de Computación, Sonora, Nov. 2006 20
 Criptografía
 Algoritmos Asimétricos
 Diseño basado en problemas matemáticos
 Seguros computacionalmente
 Seguridad no depende de tiempo ni de recursos de
cómputo
 Pero...son ineficientes

 Aplicaciones de Criptografia Asimétrica

 Cifrado de informacion clasificada (Confidencialidad)
 Acuerdo de llave simétrica
 Firma Digital (Autenticación y No Repudio)
VI Simposium Internacional de Computación, Sonora, Nov. 2006 21
 Criptografía
 Algoritmos Hash
 Diseño basado en operaciones elementales
 Son eficientes
 Seguridad depende del tiempo y recursos de cómputo
 Proporcionan una huella digital del mensaje

 Aplicaciones de Algoritmos Hash

 Verificación de Integridad
 Autenticación
 Demostrar posesión de secretos sin revelar el secreto
 Virología
VI Simposium Internacional de Computación, Sonora, Nov. 2006 22
 Aplicaciones de Criptografía
 Actualmente se usan de forma híbrida
 Simétricos: eficientes
 Asimétricos: seguros computacionalmente

 Hash: eficientes y proporcionan huella digital

 Se usan asimétricos para acordar llave simétrica

 Acordada la llave simétrica, se usa un algoritmo

simétrico para cifrar la información
 Ejemplo: PGP, SSH, etc.

VI Simposium Internacional de Computación, Sonora, Nov. 2006 23

 Protocolos Criptográficos
 Criptografía por sí sola no sirve para
nada
 Protocolos: hilos mágicos que conectan
Seguridad con Criptografía
 Todas las herramientas que
proporcionan servicios de seguridad
implementan protocolos
 Ejemplo: PGP, SSH, SET, SSL, etc.
VI Simposium Internacional de Computación, Sonora, Nov. 2006 24
 Seguridad en Redes
A problemas sin resolver (por no haber
soluciones definitivas, por no conocerse o por
no implementarlas) de la seguridad en:
 Controles de Acceso
 Bases de Datos
 Redes
 Sistemas Operativos
 SPAM
 Virus
 Etc.
VI Simposium Internacional de Computación, Sonora, Nov. 2006 25
 Seguridad en Redes
 Se agregan: cómputo móvil y wireless
 El grado y nivel de riesgo de amenazas,
ataques y vulnerabilidades crece:
 Internet, Web y sus aplicaciones y desarrollos
 Tecnologías de código distribuible (Java, ActiveX)
 Sistemas abiertos y bancos de información
 Comercio electrónico
 Votaciones electrónicas
 Minería de datos y DWH
 Manejo de imágenes y multimedia
VI Simposium Internacional de Computación, Sonora, Nov. 2006 26
 Seguridad en Redes
 El canal es público
 Usar canales cifrados. Ejemplo: SecureSHell
 Cifrar toda información que se intercambia. Ejemplo: usar
Pretty Good Privacy (PGP)
 Usar sistemas de correo seguro (cifrado). Ejemplos: PGP,
PEM, S/MIME
 Monitorear la red. Ejemplo: ntop y EtheReal
 Detectar intentos de intrusión. Ejemplo: usar IDS’s como Snort
o alguno comercial de ISS
 Usar mismas armas que los atacantes para defensa. Ejemplos:
sniffers como EtheReal y crackers como John the Ripper

VI Simposium Internacional de Computación, Sonora, Nov. 2006 27

 Seguridad en Redes
 No se sabe la identidad del que envía o recibe
 Usar esquemas de firma y certificados digitales
Ejemplo: PGP
 Usar protocolos fuertes de autenticación como IKE
 No se sabe qué información entra y sale
 Usar filtros de contenido
 Nose sabe de donde viene y a donde van los
accesos
 Usar filtros por IP, aplicación, etc. Ejemplo: usar
Firewalls como IPTable o IPChains, ChekPoint, etc.
VI Simposium Internacional de Computación, Sonora, Nov. 2006 28
 Seguridad en Redes
 No se sabe si lo que se recibe es lo que se envió
 Usar esquemas para verificar integridad. Ejemplo: PGP
 Usar protocolos que implementen códigos MIC/MAC usando
funciones hash o cifrado simétrico
 No se sabe si la red y sus recursos se están utilizando
como y para lo que se debe
 Implantar politicas de uso (ISO 17799 y 27001)
 Monitoreo y autoataque (ntop, Ethereal, John the Ripper)
 No se sabe por donde me están atacando y que
debilidades tiene mi red
 Usar analizadores de vulnerabilidades. Ejemplo: Nessus

VI Simposium Internacional de Computación, Sonora, Nov. 2006 29

 Seguridad en Redes
 Ya sé por donde, pero no se qué hacer para proteger
mi red
 Actualizar software de sistemas y aplicaciones
 Instalar todos los parches de seguridad
 Cerrar puertos y aplicaciones no necesarios. Prohibir modems
 Informarse diario sobre nuevos ataques y vulnerabilidades e
instalar los parches correspondientes
 Ya estamos hartos del SPAM
 Filtrado de contenidos y Firewalls
 Restringir tráfico de entrada y salida por IP, subject, idioma,
etc.
VI Simposium Internacional de Computación, Sonora, Nov. 2006 30
 Seguridad en Redes
 Ya no soportamos al proveedor de antivirus
 Usar un antivirus libre y realizar sus propias
actualizaciones
 La instalación de software es incontrolable
 Prohibir instalar cualquier software y nombrar único
responsable autorizado para ello
 Políticas de seguridad
 No sé cómo empezar
 Empiece a estudiar
 Visite los sitios especializados
VI Simposium Internacional de Computación, Sonora, Nov. 2006 31
 Aspectos que se deben considerar

 Hay que tener Politicas de Seguridad

 Planes de Recuperacion y Continuidad en caso de Desastre (DRP y BCP)
 Sitios Alternos para funcionar y Respaldos de Informacion
 Sistemas de Detección de Intrusos
 Análisis de bitácoras
 Monitoreo y análisis de actividades de usuarios para limitar privilegios
 Reconocimiento de ataques a la red. Frecuencia y origen de los ataques
 Registro de Consulta de páginas Internet y comunicaciones e-mail con
personas desconocidas
 Monitoreo de tráfico de la red
 Verificación de Integridad de Archivos y Bases de Datos
 Auditorías a la configuración del sistema
 Monitoreo de Recursos Humanos que tienen acceso a información sensible
(selección, reclutamiento y sistemas de desarrollo del personal)
 Sistemas de Control de Confianza

VI Simposium Internacional de Computación, Sonora, Nov. 2006 32

 Aplicaciones Criptográficas
SSH (Secure SHell) http://www.ssh.com/support/downloads/

OpenSSL: http://www.openssl.org/source/

PGP: http://www.pgp.com/downloads/index.html

GPG: http://www.gnupg.org

 Correo Electrónico Seguro

S/MIME: http://www.ietf.org/html.charters/smime-charter.html

PGP: http://www.pgp.com/downloads/index.html
 PKI (Public Key Infrastucture)

Verisign: http://www.verisign.com/products-services/
security-services/pki/index.html

OpenCA: http://www.openca.org/

 Autoridades Certificadoras

Verisign: http://www.verisign.com/

Entrust: http://www.entrust.com/
 IDS (Intrusion Detection System)
Snort: http://www.snort.org

Real Secure (ISS): http://www.iss.net/latam/spanish/products_service

/enterprise_protection/index.php

Cisco:
http://www.cisco.com/en/US/products/sw/secursw/ps2113/index.html

 Firewalls
http://www.checkpoint.com/
http://www.cisco.com/en/US/products/hw/vpndevc/index.html
http://www.watchguard.com/
http://europe.nokia.com/nokia/0,,76737,00.html
 Monitores de Red
Ntop (Network Top) http://www.ntop.org

Nagios http://www.nagios.org

 Sniffers

TCPDump http://www.tcpdump.org/

Ethereal http://www.ethereal.com

Windump http://www.winpcap.org/windump/

Etthercap http://ettercap.sourceforge.net/
 Analizadores de Vulnerabilidades
Nessus http://www.nessus.org

LANGUARD http://www.gfi.com/languard/

Internet Scanner (ISS) htttp

://www.iss.net/products_services/enterprise_protection/vul

 Passwords Crackers

John de Ripper http://www.openwall.com/john/

 ISO/IEC 17799-2005
http://www.iso.org/iso/en/prods-services/po

 ISO/IEC 27001
http://www.bsi
-global.com/News/Releases/2005/November/n

 Sarbanes Oxley http://www.s-ox.com/

 ANTIVIRUS

AVAST (libre)
http://www.avast.com/eng/free_virus_protectio.html

CLAM WIN (libre) http://www.clamwin.com/

SYMANTEC http://www.symantec.com/index.htm

MCAFFE http://www.mcafee.com/es/

PANDA http://www.pandasoftware.com

AVG http://www.grisoft.com/doc/1
 Recursos de Seguridad

 www.nsa.gov

 www.nist.gov

 www.cert.org

 www.securityfocus.org

 www.packetstorm.org

 www.sans.org

VI Simposium Internacional de Computación, Sonora, Nov. 2006 40

Comentarios y Conclusiones
 Hay que empezar a preocuparse y ocuparse del
problema
 Ejemplos en que nunca hubo ya necesidad: cuando
ocurrió, no hubo nunca más que hacer porque había
desaparecido todo
 Biblioteca de Alejandría
 11 Sept. 2001
 A partir de 2001 el mundo cambió su visión,
concepción y percepción de seguridad y su relación
con las TI
 Replanteamiento total: Land Home Security
 Seguridad Nacional
 Estandarización global
VI Simposium Internacional de Computación, Sonora, Nov. 2006 41
 Comentarios y Conclusiones
 Estándares Globales
 ISO 17799-2005 y 27001
 Ley Sarbanes Oxley (SOX)
 BS 7799
 Para empresas e instituciones, la seguridad ha
dejado de ser un problema tecnológico para
convertirse en ventaja competitiva
 Toda empresa o institución que desee competir
a nivel mundial tiene que cumplir esos
estándares
VI Simposium Internacional de Computación, Sonora, Nov. 2006 42
Comentarios y Conclusiones
 La seguridad puede verse ahora en 3 niveles de
responsabilidad
 Directores y cuadros ejecutivos
 Niveles técnicos y operativos
 Usuarios
 Todos los niveles deben tener conciencia del problema

 Todo gobierno actual se siente obligado a seguir las

tendencias globales
 Muchos no están preparados (México)
 Están empezando a prepararse
VI Simposium Internacional de Computación, Sonora, Nov. 2006 43
 Comentarios y Conclusiones
 Tampoco las empresas están preparadas
 Empiezan a darse cuenta
 Noes el mejor camino el que se sigue ahora
para resolver el problema:
 Consultoría externa (cara y escasa): dependencia
 Productos ¨milagro¨ generales (no resuelven nada)
 Soluciones sobre la marcha (improvisación y
arribismo)
 Hay que trabajar en educación en Seguridad
 Universidades
VI Simposium Internacional de Computación, Sonora, Nov. 2006 44
Seguridad y TI en la UNAM
 Diplomado en Seguridad Informática
 http://siberiano.aragon.unam.mx/diplomadoseguridad/juriquilla/
 http://siberiano.aragon.unam.mx/
 Diplomado en Tecnologías de Información
 http://siberiano.aragon.unam.mx/dti/juriquilla/
 http://siberiano.aragon.unam.mx/dti/aragon/
 http://siberiano.aragon.unam.mx/dti/
 Laboratorio de Seguridad Informática, CTA
 http://leopardo.aragon.unam.mx/labsec/
 Grupo de Seguridad de DGSCA
VI Simposium Internacional de Computación, Sonora, Nov. 2006 45
 Gracias ..............
Leobardo Hernández

Laboratorio de Seguridad Informática

Centro Tecnológico Aragón, UNAM

leo@servidor.unam.mx
Tel. 01 55 56231070
VI Simposium Internacional de Computación, Sonora, Nov. 2006 46