SEGURIDAD INFORMATICA 1
Anuncio
1
1
SEGURIDAD
A prueba de Hackers
Lars Klander Ed : Anaya
INFORMATICA
Firewall y la seguridad en Internet
Prentice Hall
2
2
1. Encriptacion
3
3
Comercio Electronico
EDI : Era y es la solucion tradicional
Comercio electronico
» Aumenta las ventas
» Reduce Gastos
» Mejora competitividad
Es posible el uso en forma de extranet
Aunque hace años que EDI se usa
entre empresas, para consumo masivo
no hay demasiada experiencia
4
4
Arquitectura
Proveedor
Proveedor
Internet
Servidor
de e-c
Firewall
BANCO
LAN o Intranet de oficina central
5
5
Ventas
Usualmente solo la compra es electronica, el
resto lleva papeleos
El server de e-c debera
»
»
»
»
Aceptar ordenes de compra
Rebajar inventario
Proveer despacho
Generarf el debito correspondiente
En SOHO el ISP proveera no solo el servidor
de Web sino tambien el servidor de e-c y el
soft de pagos
6
6
Seguridad en transacciones
Se
necesita un buen grado de
seguridad
» Confiabilidad
» Autenticacion
» Integridad
» Garantia de entrega
» Deteccion y eliminacion de mensajes
diplicados
7
7
Formas de Pago 1
e-cash : Efectivo electronico
» Se basa en la transmision de numeros que representan
sumas de dinero, entre computsadoras
» Se puede usar hasta que se agota
First Virtual :
» Adecuado para productos intangibles, se da el numero
de tarjeta de credito y obtiene un PIN
» Al comprar el usuario proporciona el PIN ( No el numero
de tarjeta)
» First Virtual contacta por mail con el comprardor para
confirmar la compra
8
8
Formas de pago 2
Digi cash
» El comprador adquiere ciberbucks al banco que en la
compra se descuentan de la cuenta del usuario
» No quedan registro de la compra
Ciber Cash
» Se usa un soft especializado
» Se baja de la Web un soft lamado wallet que inicializa con
sus datos
» Al comprar se elige el tipo de pago, el computador del
comerciante valida con el server de cibercash.
» En la PC del comprador se guarda info de la comprs
Seguridad Informatica.
Generalidades
9
Antecedentes:
» Gusano 1988 : afecto entre 4000 y 6000
maquinas, su principal efecto fue mostrar el peligro
existente.
» Antes solo virus en PC individuales, El Gusano
pasaba de maquina a maquina por la red.
» Mediante el uso exesivo de recursos se llega a
congelar la maquinna
9
10
10
Riesgos
P e rd id a s d e S e g u rid a d
Sabotaje
Virus
Manipulacion de datos
Varios
Informacion sensible
Telecomunicaciones
11
11
Internet
Users
Millones de maquinas unidas por protocolos
comunes
Red de redes.
Usuarios individuales conetados mediante
ISP
ISP
12
12
Problema de seguridad
Los paquetes enviados de un punto a otro de
internet pasan por numerosas compuadoras,
posiblemente por el servidor de nuestro
principal competidor.
13
13
Avatares
En los primeros 20 años Internet se utilizaba
casi exclusivamente para correo electronico y
acceso a archivos
Hoy en dia es importante como medio de
propagar informacion
Se debe proteger contra personas cuyo
objetivo es robar o destruir informacion
14
Amenazas
Vulnerabilidad
de datos
Vulnerabilidad de software
Vulnerabilidad fisica del
sistema
Vulnerabilidad de la
transmisionn
14
15
15
Tipos de Ataques
Basados en Contraseñas
Intercepcion de paquetes
Mediante accesos de confianza
Falsas IP
Ingenieria social
Prediccion de secuencia
Secuestro de sesiones
Vulnerabilidad tecnologica
Bibliotecas compartidas
16
16
Direcciones
http://www.gosci.com/csi/homepage.htm
http:/www.cert.org
17
17
Cap 2 Redes TCP/IP
TCP/IP : Suite de protocolos
»IP : Protocolo de capa de RED, Encardado de
mover los datos
»TCP : Protocolo de capa de Transporte, mueve
multiples paquetes entre aplicaciones
»UDP : Protocolo de capa de Transporte,menos
fiable, transporta paquets de a uno
» ICMP : Lleva mensajes de errpr
»etc,etc,etc
18
Modelo OSI
Capa de aplicacion
Capa de presentacion
Capa de sesion
Capa de transporte
Capa de Red
Capa de enlace de datos
Capa Fisica
MENSAJES
MENSAJES
MENSAJES
MENSAJES
PAQUETES
TRAMAS
BITS
Buscar Info en
http:/www.uwsg.indiana.edu/usail/network/network_laters.html
18
19
Protocolos de Seguridad
19
Segun modelo OSI
Cada Capa maneja protocolos
que toman en cuenta la necesidad
de seguridad en las comunicaciones
Capa de Aplicacion
Capa de Presentacion
Capa de Sesion
Capa de Transporte
Socks V5
Capa de Red
IPSec
Capa de Enlace de Datos
PPTP, L2F, L2TP
Capa Fisica
20
20
Protocolos
PPTP Protocolo de tuneleo Punto a Punto
» Impulsado por MicroSoft, Se basa en PPP
» Facil de configurar y de integrarse con IPSec
» Autentica con
– CHAP
– PAP
– SPAP
– MS-CHAP
L2F Despacho de capa 2
» Desarrollado por CISCO
» Permite punto multipunto
» Carga menos Overhead
21
21
Protocolos
L2TP Protocolo de Tuneleo de capa 2
» Combina PPTP y L2F
IPSec
» Encripta y autentica paquetes bajo IP
» NO autentica usuarios sini Maquinas ( capa3)
» Puede regular el nivel de seguridad segun niveles
Socks 5 RFC 1928
»
»
»
»
Opera en capa 5 ( no soporta NetBIOS)
Si autentica Usuarios
Ofrece funciones de auditoria
Puede conbinarse con SSL (capa 5)
22
22
Modelo TCP/IP
Aplicacion
Aplicacion
Aplicacion
Aplicacion
Capa de Aplicacion
Capa de
Transporte
TCP
Capa de
Red ICMP
IP
ARP
Capa de Enlace de datos
Capa Fisica
UDP
Interfaz
IGMP
RARP
Esquema de direcciones
23
TCP/IP
Tipo A
Tipo B
Tipo C
0xxxxx....
10xxxx...
110xxx...
1 Byte para id de red
2
¨
3
¨
Ej tipo B
RED
Host
10xxxxxxxxxxxxxx xxxxxxxxxxxxxxxx
23
24
DAEMON
(Demonios)
Es un programa que operapara realizar
una funcion especifica
Realiza el trabajo y no sale, espera mas
Ej : Send mail , Permanece activo
aunque no haya correo que procesar
24
25
25
Archivos de configuracion
etc/host
» Se busca alli la direccion IP del host ( cuando no esta en
uso DNS )
# DIRECCION IP
127.0.0.1
192.139.234.6
142.77.252.6
142.77.17.1
FQDN
localhost
gateway.widgets.ca
gateway.widgets.ca
nb.ottawa.uunet.ca
ALIAS
gateway
router
notar que gateway tiene mas de una direccion o sea mas de una NIC
26
26
Archivos de configuracion
/etc/ethers
» Guarda la direccion Ethernet ( Fisica)
Direccion Ethernet
Nombre de Host
8:0:20:0:fc:6f
2:7:1:1:18:27
0:aa:0:2:30:55
e0:0:c0:1:85:23
chopin
wagner
mozart
ravel
Este archivo es usado por el daemon RARP
27
27
Archivos de configuracion
/etc/protocols
» Lista los protocolos internet conocidos
# protocolos internet
#
ip
0
IP
icmp
1
ICMP
ggp
3
GGP
tcp
6
TCP
La lista contiene : Nombre, Numero y alias del protocolo
28
28
Archivos de configuracion
/etc/services
» Lista los servicios disponibles en el host: Nombre del
servicio, Numero del puerto, Nombre del protocolo, Alias
#
# servicios de red
#
echo
7/tcp
echo
7/udp
discard 9/tcp
sink
discard 9/udp sink
time
37/tcp
time
37/udp
null
null
Nombre y numero se consideran un solo elemneto
y se separan por la barra /
29
29
Equivalencias
Se configura le equivalencia de host mediante
el archivo etc/host.equiv que contiene la lista
de host de confianza
» Ej :
– localhost
SE SUPONE QUE TODOS SON
– napoleon
USUARIOS DE CONFIANZA
– nelson
– Henry
» las maquinas indicadas tienen acceso a sus cuentas
equivalentes sin necesidad de contraseña
» NO SE APLICA AL DIRECTORIO RAIZ
» La equivalencia es un mecanismo por el cual un usuario
es conocido por todas las maquinas
30
30
Ejemplo
host Napoleon
usuario tito
host Henry
usuario tito
Ambas maquinas tiene al usuario tito
Si el usuario esta registrado en Henry y emite
$ rlogin Napoleon
Con la equivalencia establecida queda registrado en Napoleon sin
que le pidad contraseña
31
31
Topologias
Estrella : Usa concentrador, por donde pasa
todo el trafico. La falla de un nodo no afecta
necesariamente a los otros
Anillo : Forman cadena cerrada, Los datos
pasan por todos los nodos , se debe dar
mucha importancia a la seguridad
Bus : Un unico cable conecta todo, su rottura
provocara un fallo, es importante la seguridad
de los dartos
32
32
Tecnologias
Tecnologias de Red
»
»
»
»
Ethernet
ARCNet
Token Ring
ATM
Tecnologias de Interconexio
» Repetidores
» Puentes
» Gateways
Para informacion sobre estos temas remitirse a ppt de LAN
33
33
http - MIME
http Controla la transferencia de datos en la
WWW
http es un protocolo que se debe c rear en
cada transmision
MIME define formatos para imagen, video,
sonido y archivos binarios
34
Cap 3
Para
FIREWALL
ser eficiente un
FW debe
proteger
en todos
los
niveles del modelo
OSI
34
35
35
No hace el FW
Integridad de datos : En general no son
eficientes para proteger contra los virus,
aunque los de ultima generacion
proporcionan alguna proteccion
Proteccion ante desastres : No protegen
ante perdidad de datos
Autenticar : No autentica el origen
Confidencialidad : A veces incluyen
herramientas para paquetes salientes
36
36
A tomar en cuenta
Se permitira que usuarios desde Internet
descargen archivos al/desde el servidor
Se niega acceso a usuarios cincretos
Se permite acceso a paginas de Web
Se permite acceso por Telnet
Que salida se permite
Se requiere personal dedicado a seguridad
Que es lo peor que podria pasar si hay un
acceso no autorizado
37
37
Tipos de FW
Nivel de Red
» Permite o no el acceso de paquetes segun
direcciones de origen y destino, puertos de origen
y protocolos
Nivel de Aplicacion
» Tambien llamado proxi , enmascara red, todo
paquete pasa por el proxi, depende de la aplicacion
Nivel de Circuito
» No es afectado por el tipo de Aplicacion
38
Arquitecturas
38
Doble Conexion
Internet
Se usa una maquina para
crear una linea divisoria
entre la red local e Internet.
39
39
Arquitecturas
Filtrado de Host
Internet
El Ruteador protege
la maquina de los
ataques de direcciones
especificas
40
40
Arquitecturas
Filtrado de subred
Internet
Provee proteccion de accesos no autorizados desde la red Local
41
41
Indices
Segun el Libro Naranja del
Departamento de Defensa de EEUU
» Ver http://nsi.org/Computer/govt.html
Se divide en 4 categorias ( D,C,B,A )
D : La mas baja ( Ej Windows 95)
A : La mas alta
42
42
Indices
D1 : No distingue entre usuarios
» MS DOS, Windows 95,
7,x Apple
C1 Unix Tipico, El Hard no se compromete facilmente.
» Usa login in Contraseñas
» No limita al administrador
» El directorio raiz esta protegido por contraseñas
C2 Agrega la auditoria a las prestaciones de C1
B1 Soporta multinivel,
B2 Toma en cuenta la comunicacion entre objetos de
distintos niveles de seguridad
B3 Hardware espedializado
A Requiere verificacion sistematicas de todos los
procesos
43
43
Codificacion
Mediante la codificacion se consigue hacer
inentendible el texto a personas no
autorizadas.
Ej:
A B C D E F G H I J K L M N O P Q R S T U V W X Y
Z _
D E F G H I J K L M N O P Q R S T U V W X Y Z _ A B C
PERRO ===> SHUUR
44
44
Clave Unica
La misma clave es usada por el emisor y el
receptor
Problema : como hacer llegar la clave al
receptor
Si se cuenta con un canal seguro para hacer llegar la clave, se podria
enviar el mensaje por ese mismo medio.
Se debera tener una clave para cada individuo con quien nos conectemos
Para solucionar el problema se usan las CLAVES PUBLICAS
45
45
Claves Publicas
Usa dos claves complementarias
» Publica : Se puede distribuir libremente
» Privada : Se conserva en lugar seguro
Una clave no se puede deducir de la otra en
forma operativa.
Lo codificado con una de ellas se debera
decodificar con la otra.
46
46
Encriptado de Datos
Certificados Digitales :Prueba la identidad, el
emisor es la autoridad de Certificados ( Ej :
VeriSign)
»
»
»
»
»
Nro de serie
Nombre
Clave publica
Fecha de expiracion
Nombre y firma digital de la CA
Firma Digital
» Autentica al remitente para evitar el repudio y asegurar la
integridad del mensaje
47
47
Algoritmos
Hay
dos grandes tipos
de algoritmos
»Rivest, Shamir, Adelman
»Diffie, Hellman
48
Rivest, Shamir y Adelman
(RSA)
Propiedades
» D[E[M]] = M
Decodificando la forma codificada se obtiene el
mensaje original.
» No hay grandes problemas para calcula D
yE
» Conociendo E no se conoce facilmente D
» E[D[M]] = M
La codificacion del mensaje decodificado es
igual al mensaje original
48
49
49
Algoritmo RSA
Se convierte el mensaje de texto en un numero
entero menor que n ( Cte Asociada)
Se eleva cada bloque obtenido antes a la potencia E.
Se calcula el modulo de dividir el resultado por n,
obteniendose el valor codificado
Para decodificar se eleva el valor codificado a la
potencia D, se divide modulo n, obteniendose los
bloques del archivo
Se transforma de valor numerico a texto
VER : www.rsa.com Info del algoritmo
www.securid.comm
Demo para Windows 3.11, 95, 98 y NT
50
50
Diffie - Hellman
El intercambio de claves Diffie-Hellman junto
con las firmas digitales DSS realizan las
mismas funciones que RSA
Se diferencia del RSA en la implementacion.
» RSA : Dependen de la dificultad de encontrar factores
primos de un entero muy grande
» DH : Dependen de la dificultad de calcular logaritmos de
un campo finito de numeros primos muy grandes
Ambos son seguros
DH tiene pequeña ventaja en el rendimiento
51
51
Teoria Basica
Numeros Primos : Son aquellos divisibles
solo por si mismos y por 1
» Ej : 1, 2, 3, 5, 7, 11, 13, 17, .......
Factorizar : Encontrar el producto de
numeros primos que forman determinado
numero.
156
78
39
13
1
2
2
3
13
156 = 2x2x3x13
52
52
Codificacion
Cualquier texto puede ser expresado como
un mumero entero.
Asignacion
A B C D F
Ej : C A D
1 2 3
Texto
2 3 5 7 11
Posicion
Nro = 51 x 22 x 73 = 5x2x2x7x7x7 = 6860
53
53
Descodificacion
Para volver al texto original se deben
encontrar los factores primos
Ej 6860
3430
1715
Probar con ACAD ,
343
explicar el inconveniente
49
Dar Soluciones.
7
1
2
2
5
7
7
7
Asignacion
A B C D F
2 3 5 7 11
2x2x5x7x7x7
2 ( A ) 2 veces => Pos 2
5 (C) 1 vez
=> Pos 1
7 ( D) 3 veces => Pos 3
CAD
54
54
Autenticacion
Permiten
comprobar validez y
origen del mensaje
» El remitente utiliza su clave secreta para
codificar el mensaje
» El destinatario lo decodifica con la clave
publica
» Reconoce el origen y si hubo cambios en
el mensaje
55
55
Aplicaciones
Codificar con clave publica es complejo y por
tanto lento.
Se usa doble clave
» Mediante clave unica se codifica el mensaje y genera una
clave de sesion
» Mediante la clave publica del destinatario se codifica la
clave de sesion.
» Se envia el mensaje codificado y la clave codificada
» El destinatario con su clave privada obtiene la clave de
sesion
» Con la clave de sesion se decodifica el documento
PGP 5.0 no admite el metodo de doble clave
56
56
Certificados y anillos de Claves
El certificado incluye el nombre del
propietario de la clave, cuando fue
obtenida y la clave
Ver http://www.pgp.com/keyserver
Los anillo de claves son bases de datos
de claves
Los usuarios y las empresas distribuyen
sus claves publicas en servidores por
todo el mundo
57
57
Resumen de mensajes
Message digest : Funcion unidireccional de
128 bits que forma parte de un mensaje PGP
Datos
Valor Hash Unico
58
58
PEM ( Privacy Enhanced Mail)
Procedimientos de autenticacion y encriptacion
Ver RFC 1421, 1422, 1423, 1424
Descargar programas que complen con el
standard PEM
» ftp://ripemem.msu.edu/pub/crypt
» ftp://ftp.com/pub/README
Estandard Internet para la codificacion =
Estandard PEM
» PGP es el mas popular de todos
» ver http://www.pgp.com
» ver http://www.ascom.ch/web/sytec/security/idea.htm
59
Firmas Digitales
Origen
Una firma digital es un valor unico adjuntado
a un archivo
El archivo sin firmar se pasa por una funcion
hash la cual crea un numero a partir del
mensaje
» El proceso inverso no es posible univocamente
El numero es codificado por la clave privada
del usuario
Se envia junto con el mensaje
59
60
Firmas Digitales
Destino
El destinatario decodifica para obtener el
hash mediante la clave publica del remitente
Del mensaje crea una funcion hash
Compara ambos valores
60
61
61
Procedimiento
Remitente
compendio
Hash
+
Firma
Digital
Clave Privada
remitente
Mensaje
+
Texto cifrado
MENSAJE
Clave
Secreta
Certificado
digita
Clave Publica
Destinatario
+
Texto Cifrado
CLAVES
62
62
Procedimiento
Destinatario
Compendio
Hash Original
+
Clave Secreta
+
Clave Privado
Destinatario
Firma Digiyal
Mensaje Recibido
Deben ser
Iguales
Compendio
Hash Recibido
63
Operacion
En Remitente
CIFRADO DE MENSAJE El mensaje original y
la firma digital ( obtenida de aplicar la funcion
hash al mensaje y luego encriptarlo con la
clave privada del remitente) se encripta con
una clave secreta
CIFRADO DE CLAVE Paralelamente se encripta
la clave secreta con la clave publica del
destinatario ( Obtenida del Certificado digital)
Se envian ambos al destinatario.
63
64
Operacion
En Destinatario
1. Con la clave privada del destinatario se
obtiene la clave secreta
Con la clave secreta se obtiene la firma digital
y el mensaje
Con la funcion hash se obtiene el compendio
Hash
Con la clave publica del remitente aplicada a
la firma digital se obtiene el compendio hash
original
Si los dos compendios hash son iguales se verifica que el remitente
es quien dice ser y no se modifico el mensaje
64
65
65
Authenticode
Muy usado en la Web para distribuir Software
Codificar archivos de gran tamaño
por procedimiento de clave publica
lleva mucho procesamiento y por
ello es lento
Solo se codifica la firma digital
y no el archivo a transmitir
66
66
Procedimiento
Crear
» Se comprueba que authenticode tiene acceso a la clave
publica y privoda
» Se crea la firma digital del archivo ( Valor hash
codificado)
» Se adjunta la firma digital, la clave publiuca y el archivo
original
Recibir
»
»
»
»
Se desempaquete la firma, la clave y el archivo
Se decodifica la firma con la clave publica
Se obtiene el valor hash del archivo original
Se comparan valores
Para usar Authenticode se debe obtener un certificado el que se envia
al destinatario el cual puede entonces comparar la firma con la de la
autorudad de certificacion
67
Cap 6
67
s-http
Amplia el conjunto de instrucciones HTTP ( Encapsula comandos HTTP)
S-HTTP utiliza tanto clave simetrica como asimetrica
Pasos de creacion de mensaje S-HTTP
» Se obtiene el mensaje a transmitir, generalmente del disco duro. S-HTTP lo
transportara de forma transparente
» Se toman en cuenta las prefernciascriptograficas de ambas partes para
elegir la codificacion
Pasos de recuperacion de mensaje S-HTTP
» El cliente prueba decodificar con sus preferencias criptgraficas
» Se pruebe con las preferncias criptograficas del serbidor
» En la cabecera figuran los pasos usados para codificar el mensaje
En HTTP el server terminaria la conexion luego de tranasmitir los datos
En S-HTTP no termina hasta indicacion especifica
68
Metodo de Codificacion
S-HTTP
Claves
» Simetricas ( Unicas)
– La clave se debe intercambiar por un canal seguro
» Asimetrica ( Publica-Privada)
S-HTPP usa mayormente
intercambio de claves en banda
» Un cliente vista la Web y el servidor responde con
¨conexion establecida¨
» El Browser del cliente , en segundo plano, transmitira al server
su clave publica y el sistema criptografico
» El server envia al cliente la clave de la sesion codificada con la
clave publica
» El Cliente codificara cada transmision con la clave de sesion
68
69
69
S_HTTP
Ver : http://www.terisa.com
S-HTTP admite multiples tipos de
codificaciones y los puede cambiar segun el
cliente
Los parametros son negociados con los
clientes
Si hay varios clientes, Cada uno de ellos
puede requerir codificacion simultaneas y
diferentes
» Usar clve de sesion intercambiada previamente por clave
publica
» uasar Kerberos
70
SSL
Secure Socket Layer
Los sitios ademas de S-HTTP suelen
usar SSL
Caracteristicas de SSL
» Abierto ( S-HTTP es propietario )
» Proporciona Codificacion de datos,
autenticaciondel servicidor, integridad de datos,
autenticacion del cliente
» Es compatible con los Firewall
» Es compatible con conexiones de Tuneleo
» SSL utiliza S-MIME para datos seguros
70
71
71
Capa Socket Segura 3.0
Aplicacion
Aplicacion
Aplicacion
Aplicacion
Capa de Aplicacion
Capa Socket Segura
Capa de
Transporte
TCP
Capa de
Red ICMP
IP
ARP
Capa de Enlace de datos
Capa Fisica
UDP
Interfaz
IGMP
RARP
72
72
IMPORTANTE
Por mas que agregemos seguridad con
protocolos especializados esto no altera en
nada la confianza en la empresa misma o en
la persona con quien nos comunicamos
73
73
Seguridad de SSL
Servicios
» AUTENTICACION : del servidor por medio de certificados
digitales
» PRIVACIDAD : de la transmision mediante codificacion
» INTEGRIDAD : de los datos entre ambos extremos de la
conexion
SSL utiliza criptografia RSA
La situacion de la capa SSL - Bajo la de aplicacion y sobre TCP e IP
le permite usar los estandares de comunicacion ya existentes
74
CAP 7
Ataques y defensas
Una ataque comun es la prediccion se
sequencias numericas
74
75
CAP 13
Virus
Son una de las principales amenazas de las
redes informaticas
Se pega a un programa y le inyecta su codigo
El medio mas comun es por disquettes
Hay dos formas de infeccion
» Archivos
» Sector de arranque
Cualquier programa que haga copias de si
mismo sin aprobacion del ususario debe ser
cosiderado virus
75
76
76
Pasos de un virus
1. Se carga un archivo infectado en la
memoria, una vez ejecytado comienza a hacer
copias de si mismo.
Queda en memoria en espera de otro
programa que infectar
Se repite el proceso hasta infectar todo el
computador
Al apagar se destruye la copia que estaba en
RAM pero no la pegada a programas
infectados
Al reencender la copia vuelve a memoria
77
77
Sintomas mas comunes
Los programas ocupan mas espacio de lo habitual
Aparecen o desaparecen archivos
Aparecen mensajes extraños
El disco trabaja mas de lo necesario
Los objetos en pantalla aparecen levemente
distorcionados
Disminuye la c antidad de espacio libre en disco
Se modifican los nombres de los ficheros
No se puede acceder al disco rigido
CHKDR o SCANDISK dan resultados incorrectos
78
78
Tipos de virus
Entre los mas comunes
»
»
»
»
»
»
»
»
Caballos de Troya
Virus polimorfos
Encriptados
Sigilosos
Lentos
Retro-virus
Blindados
voraces
VER : http://www.virusbtn.com.WildLists/
79
79
Riegos
El principal medio de transmision de los virus
no suele ser Internet
Algunas empresas que comercializan soft,
cargan aplicaciones comerciasles en
maquinas que les dejan a reparar y luego lo
vuelven a poner en cajas y lo venden
» Si la maquina estaba contaminadas puede dañar al soft
En princio solo los programas ejecutables
pueden llevar virus
» Salvo los virus macro
80
80
Que hace el virus-parasitos
Lee la cabecera del archivo ( long, checksum,
contenido)
Calcula la cantidad de espacio que ha de
añadir
Se añade al fichero y modifica la cabecera
Se pegan al archivo y der alli infectan al resto de los programas
81
81
Caballos de Troya
Se esconden dentro de un codigo de
archivo no ejecutable
Suelen aparecer como soft de apoyo o
librerias dentro de los archivos
comprimidos
El mas conocido es Crackerjack
» Se usaba para probar contraseñas
» pero ademas permitia que las leyera el que tenia la
clave adecuada
82
82
Polimorfos
Encriptan el cuerpo del virus para
dificultar la deteccion.
Usa una rutina especial para
desencriptarse
» Sule cambiar la encriptacion en cada mutacion
» Hay un motor de mutaciones que genera
modificaciiones al codigo fuente para cambiar la
firma
Es muy complicado de detectar
83
83
Virus Sigilosos
Ocultan las moificaciones efectuadas
Cuando un programa quiere acceder a una
zona que no tiene virus el programa de virus
lo lleva a otra infectada
Suelen tener capacidad de tamaño my lectura
» TAMAÑO : Oculta el tamaño final del programa
modificado para no resultar evidente
» LECTURA : cuando se solicita leer una parte infectada
direccionan la lectura a otra parte
Todos los antivirus suelen decubrirlos sin
demasiado problema
84
84
Virus Lentos
Afecta al archivo cuando el usuario
esta realizando una modificacion en el
Se usan comprobadores de integridad
para descubrirlos
» Cada vez que se nota un archivo nuevo se avisa sl
usuario
» Tambien se crean archivos .com o .exe conocidos y
se los revisa periodicamente para ver si cambiaron
85
85
Retro-virus
Ataca al antivirus para esconder su
presencia
Se basan en que es sencillo tener
acceso a los antivirus del mercado
Suelen buscar el archivo que los
antivirus usan para guardar las firmas
de los distintos virus
86
86
Virus varios
BLINDADOS :Se protegen por medio de
codigos de programacion
VORACES : Modifican programas o bases de
datos
GUSANOS : Se propagan y regeneran
DE COMPAÑIA : Se pegan a un archivo
ejecutable y adptan su nombre, al llamar al
archivo se los llama a ellos
87
87
Macro Virus
Son los mas extendidos en Internet
Son completamente independientes del
sistema operativo
Se encuentran en macros de editores de
texto, hojas de alculo etc.
Solo se ejecutan en plataformas que tengan
la aplicacion ´para la que fuerorn creados
Pueden borrar archivos, modificar nombres,
modificar contenidos
88
WORD
y los macro virus
Word es muy usado por los macro
virus pues:
» Muy difundido
» normal.dot tiene todas las macros que se
puedenusar
» Word puede ejecutar macros automaticamente sin
consentimiento humano
» Es mucho mas sencillo programar en macro que en
ensamblador
88
89
Ej de virus macro
para word 6.0
Sub MAIN
ChDir “c:\windows\temp”
Temp$ = File” (*.*)”
While Temp$ <> “ “
KILL Temp$
Temp$ = File$()
Wend
End Sub
Borra el contenido del directorio Temp
89
90
Defensa
contra macro virus
Word 7.0, Windows 95, NT, Word 97 avisan
si los documentos contienen macros
Microsoft proporciona MVP que detecta
macros sospechosas
» http://www.microsoft.com/word/freestuff/mvtool/mvto
ol2.htm
Se cambia el lenguaje de programacion por
Visual Basic para aplicaciones 5.0 (VBA) lo
que anulara la mayoria de los virus
existentes
90
91
91
Antivirus
Los virus utilizan una firma para no infectarse
a si mismos
El softwarededeteccion se basa en esa firma
Antivirus
McAfee
SOS Software
Symantec
On Technology
http://www.mcafee.com
http://www.drsolomon.com
http://www.symantec.com
http:/www.on.com
92
92
2. FIREWALL
93
93
Politicas de Seguridad
Vale la pena implementar politicas de
seguridad si los recursos e informacionn
valen la pena
No deben disminuir la capacidad de la
organizacion
Debe abarcar TODOS los sitios que esten
interconectados
VER RFC 1244
94
94
Planeamiento
Que recursos trato de proteger ?
De quien debo protegerlos ?
Que tan posibles son las amenazas ?
Que tan importante es el recurso ?
El costo de proteger al recurso debe ser
menor que el de recuperacion en caso
de ser afectado
95
95
Analisis de Riesgo
Se debe
» Estimar el riesgo de perder el recurso
» Estimar la importancia del recurso
El producto de ambos es el riesgo
evaluado
VER http:/www.fws.gov/~pullent/security/rpamp.html
96
96
Accesos y amenazas
El acceso de los recursos de la red debe estar permitido
SOLO a usuarios autorizados
La revelacion de informacion es una amenaza importante
» Un sistema se vuelve vulnerable si se revelan las contraseñas
Debe hacerse una lista con los usuarios que necesitan
recursos de red y luego establecer el uso aceptable de
estos recursos
»
»
»
»
Se permite desifrar contraseñas
introducirse en cuentas
Si un archivo tiene permiso de lectura, supone autrorizacion de lectura ?
Pueden los usuarios modificar archivos que no sean suyos, aun cuando
tengan permiso de escritura ?
97
97
Politicas
Sondeos legitimos de red para probar
seguridad
» Cuiales estan permitidos ?
» Se permite probar virus (MUY PELIGROSO ) ?
» Como se protege a los usuarios de los sondeos de
seguridad?
A quien rinden cuenta las personas que
tienen privilegios especiales de acceso
No permitir contraseñas igual al nombre
Desactivar las cuentas sin uso
No permitir el uso de la misma contraseña
por mucho tiempo
98
98
Politicas
Cont.
Se debe determinar el grado en que el
administrador esta autorizado a examinar
directorios y archivos de usuarios
Si un usuario no tiene necesidad de manejar
informacion delicada no debe tener cuenta en
un sistema que la contenga
Violacionnes de Seguridad
»
»
»
»
Por negligencia
Por accidente
Ignorancia de la politica
Deliberadamete
99
99
Violaciones de Seguridad
Dos
respuestas
» Protejar y Continue
– Si la compañia es vulnerable, implica
proteger la red inmediatamente para
que los usuarios puedan seguir
usandola
» Persiga y demande
– Se permite que el intruso continue pero
bajo estrecha vigilancia y control, el
intruso no debe enterarse , Se buscan
pruebas para demanda
100
100
Proteger y Continuar
Si la Empresa NO esta bien protegida
Si la actividad intrusa puede causar
daños considerables
Si el costo de la demanda es muy
elevado o no hay voluntad
Si se esta sujeto a demanda de
usuarios
101
101
Perseguir y Demandar
Si el sistema esta bien protegido
Si es ataque repetitivo
Si el sitio es notorio
Si el intruso es controlable
Si se esta dispuesto a demandar
Si se dispone de buenos respaldos
102
102
Riesgos de los Recursos
Puntos vulnerables
»
»
»
»
»
Puntos de acceso
Sistemas configurados inadecuadamenbte
Problemas de Software
Amenazas Internas
Seguridad Fisica
La politica de seguridad debe ser un
esfuerzo colectivo
Se debe estudiaqr los recursos a
proteger
103
103
Puntos de accceso
Son los puntos de entrada para los usuarios
A mas puntos de entrada mas riesgos
conex.
telefonica
....
R
Terminal Server
R
Router
Punto de acceso
Router de acceso
104
104
Problemas de Software
Hay fallas de seguridad conocidas en
los Softwares que los vuelven metodos
comunes de violaciones de seguridad
Se debe estar conciente de los puntos
debiles del ssitema utilizado
105
105
Amenazas Internas
Los usuarios internos tiene ams
acceso al softwae de la computadora y
del Hardware de la red.
Se debe tener precaucion en aquellos
servicios en que la contraseña se envia
en forma clara ( telnetm, rlogin, ftp)
106
106
Seguridad Fisica
Si la computadora no esta
fisicamenbte segura es posible ignorar
la seguridad del software
Los recursosn importantes (
backbones, host, servidores ) deben
estar ubicados en areas fisicamente
seguras
107
107
Repaldos
Estrategias de respaldo
» Respaldo Total ( nivel 0)
– Respalda todos los datos sin importar si han
sido modificados o no
» Respaldo nivel 1
– Respalda todos los archivos que han sido
modificados desde el ultimo respaldo nivel 0
» Respaldo nivel 2
– IDEM desde el ultimo nivel 1
» Respaldo personalizado
– Se elige que respaldar
108
108
Routers de Seleccion
Los routers con capacidad para
seleccionar paquetes en base a
diversos criterios se llaman routers de
seleccion
Criterios
»
»
»
»
Tipo de protocolo
Direccion de origen
Direccion de Destino
Puertos
109
109
Zona de riesgo
Los host dentro de la zona de riesgo son
vulnerables a los ataques
Las redes con capacidad TCP/IP son
vulnerables si estan conectadas con acceso
directo a Internet
Un host No-TCP/IP puede tambien ser
vulnerable a patir de un protocolo comun con
un host TCP/IP
110
110
Protocolos
TCP
IP
INTERNET
TCP
R
Otro
Protocolo
Otro
Protocolo
IP
Se extiende la zona
de riesgo
111
111
Filtado de paquetes
Los fitros de paquetes se colocan entre uno o mas
segmentos de red
Se deben evitar solucionews complejas
» Son dificiles de mantener
» Facilitan los errores de configuracion
» Disminuyen el desempeño del dispositivo
Los filtros de cada lado suelen comportarse de manera
diiferente ( son Asimetricos)
R
Reglas de
filtracion de
paquetes
S
Red Interna
Router de
seleccion
INTERNET
112
Operacion
de filtado de paquetes
Cuando llega un paquete se analiza el
encabezado ( en general IP, TCP o UDP)
Las reglas de filtracion se almacena en orden
especifico y se aplican en ese mismo orden
Si una regla bloquea la transmision o
recepcion el paquete NO es permitido
Si una regla permite la transmision o
recepcion el paquete es autorizado
Si no satisface ninguna regal es bloqueado
LO QUE NO ESTA EXPRESAMENTE PERMITIDO ESTA PROHIBIDO
112
113
113
Diagranma de Flujo
Almacenar reglas
de filtracion
permite ?
SI
Autorizar
NO
Analizar campos
IP, TCP, UDP
SI
Bloquea ?
Aplicar la siguiente
regla al paquete
NO
Bloquear
SI
NO
Ultima regla ?
114
114
Ejemplo
Se desea permitir el correo
Se desa bloquear el trafico originado en
NAPOLEON
S
Red 199.245.180.0
INTERNET
115
115
Solucion
Propio
Nro
Accion
host
Puerto
X
X
1
Bloqueo
2
Permitir Correo
25
3
Permitir
X
X
Externo
Host
Napoleon
X
X
Puerto
Descripcion
X
Bloquear trafico de Napoleon
X
Permitir conexion a correo
25
Permitir salida correo
Segun RFC 1700 el puerto 25 se reserva para SMTP ( correo)
116
116
Detalles
Regla 1
» No se permite trafico con NAPOLEON
Regla 2
» Permitir cualquier conexion entre cualquier puerto de
cualquier host externo hacia el puerto 25 del host de
correo
Regla 3
» Permitir trafico de salida de SMTP a un gateway de
correo remoto
117
117
ACK
SEQ#=1001 Long = 100
Los paquetes TCP DEBEN ser confirmados
Se envia un segmento cuyo byte de inicio es 1001
y su long.100
El receptor envia la confirmacion ACK =1
ACK = 1, ACK# = 1101
y el numero de confirmacion en 1101
Luego el remitente envia 2 paquetes de 200
DATOS, SEQ# = 1101.Long = 200
bytes cada uno
Son confirmados por un ACK en 1501
DATOS, SEQ# = 1301, Long = 200
ACK = 1, ACK# = 1501
TCP ES FULL DUPLEX
Las reglas de filtracion deben tomar
en cuenta la respuesta del ACK
118
118
Reglas de filtracion
O R I G E N
Nro Accion Host/RED
1 Permitir 199.245.180.0
2
Permitir
X
DESTINO
Puerto Host/RED Puerto Indicador Descripcion
X
25
X
199.245.180.0
25
X
X
ACK
Permite paquete
de la red indicada
al puerto 25 de
cualquier host
Permite el regreso
de la confirmacion
de recepcion
119
119
Detalles
Regla 1
» Permite cualquier conexion de la red 199.245.189.0
surgida de cualquiera de sus puertos, al puerto 25 de
cualquier host de destino, con cualquier nindicador de
TCP o conjunto de opciones IP
Regla 2
» Permite que cualquier conexion continue para
establecerse desde cualquier red, surgida del puerto 25 y
que tenga ACK =1, con cualquier puerto de nuestra red
120
120
Asociacion Completa
Describe
» Tipo de Protocolo
» Direccion IP Local
» Numero de puerto local TCP
» Direccion IP Remota
» Numero de Puerto TCP Remoto
121
121
Ejemplo
(TCP,199.21.32.2,1400,196.62.132.1,21)
1400
TCP
21
TCP
IP199.21.32.2
Internet
IP196.62.132.1
122
Filtado de Pauqetes
con routers CISCO
Cada tipo de dispositivo tiene su propio
conjunto de reglas y sintaxis
Los routers Cisco definen listas de acceso
» coleccion secuencial de condiciones pemiso - negacion
» La primera coincidencia define si se acepta o rechaza el
paquete
» Es importante el orden
Dos tipos de listas de acceso
» estandar
» extendida
122
123
123
Listas de acceso estandar
Sintaxis
» access - list lista {permit | deny} direccion mascaracomodin
– lista es un entero 1 a 99 que identifica las
condiciones
124
124
Firewall
Los routers de seleccion se usan a menudo
como primera linea de proteccion
» Solo tiene la info de la capa de red para decidir
» No sulen tener mecanismos de auditoria ni alerta
Los firewall operan a nivel de capa de
aplicacion
El principal objetivo del Firewall es proteger
una red de otra
Actua como punto de cierre que monitorea y
rechaza a nivel de capa de aplicacion
» Tambien puede operar a nivel dce capa de red y de
tranporte
125
125
Operacion del Firewall
Firewall
Capa de Aplicacion
Capa de Presentacion
Capa de Sesion
Capa de Transporte
Capa de Red
Capa de Enlace de Datos
Red
Interna
Capa Fisica
Internet
126
126
Host de base Dual
Host de base multiple ( Dual homed )
es aquel que tiene varias tarjetas de
red
Si la funcion de enrutamiento esta
inhibida se llama Host de base dual
» Puede aislar el trafico entre dos redes pero permite
que se cimpartan datos
» Para trabajar como FW DEBE tener inhibida la
funcion enrutamiento
– De no ser asi podria llegar a puentearse
127
127
Host de base multiple
Permite el pase de
paquetes entre redes !!
NIC 1
RED 1
NIC 2
NIC 3
RED 2
RED 3
128
128
Host de base dual
NO hay intercambio
de paquetes
APPL
A
APPL
B
Datos
Compartidos
NIC
NIC
Se intercambia informacion a mediante datos compartidos
129
Host de base dual
como FW
Funciones a nivel
Aplicacion
Si no esta inhibido
el enrutamiento es
posible evitar las
funciones a nives
apliucacion
Funciones a nivel
de capa de Red
NIC
INTERNET
NIC
129
130
130
Amenazas al FW de base dual
La principal es que se acceda y habilite el
enrutamiento
El unico acceso al FW debe ser la consola o
un acceso remoto seguro
131
131
Precauciones
Eliminar herramientas de programacion
Eliminar cuentas especiales
Eliminar servicios de red no necesarios
Evitar inicializacion de programas no
necesarios
132
132
Host de bastion
Se llama asi al host determinante de la
seguridad de la red
El Base dual pueder ser un host de bastion
Red Interna
INTERNET
Bastion Host
133
133
Gateway de Host seleccionado
Se suele poner otra linea de defensa
» Un router de seleccion a la entrada ( R )
» El router debe enviar al host de bastion TODO la que recibe del exterior luego de
haberlo filtrado
» El host de bastion usaq criterios de capa de aplicacion para permitir el paso a la red
INTERNET
R
134
134
Amenaza
Si se cambia el enrutamiento de ruteador se
elimina el host de bastion.
» El ruteador debe utilizar rutas estaticas
» no debe tener activado ICMP, ARP, finger, TELNET
Host bastion con ambas
interfaces
135
Se crea una DMZ ( Zona desmilitarizada )
R
INTERNET
DMZ
Host
de
Bastion
Aunque se cambie el
enrutamiento de R
no se puede evitar
al host de bastion
135
