Seguridad Informática: Más allá del firewall

(c) Egdares Futch H., 2002

Seguridad InformSeguridad Informáática:tica:MMáás alls alláá del firewall del firewall

Egdares Futch H.

Congreso Emprendedores 2002

Universidad Tecnológica Centroamericana

Tegucigalpa, Honduras


End User License AgreementEnd User License Agreement

Por medio de su permanencia en la sala, usted está aceptando lo siguiente:– Las opiniones son exclusivas del autor, y no

representan las de alguna otra institución.– Los ejemplos presentados son únicamente con fines

educativos, y no pretenden exponer supuestos problemas en los sistemas mencionados.

– Usted hará preguntas y evitará dormirse (es un Grupo Interactivo de Trabajo!)


El arte de la guerra nos enseña a no depender en que nuestro enemigo no aparezca, sino en nuestra capacidad de recibirlo; a no depender en que no ataque, sino de la habilidad de haber hecho impenetrable nuestra posición.

--El Arte de la Guerra, Sun Tzu


Seguridad de la informaciónSeguridad de la información

Base de nuestra discusión:– Toda persona o empresa requiere

mantener segura su información interna, para mantener su privacidad, secretos personales o corporativos, hábitos de consumo y preferencias de cualquier tipo.



Esta seguridad dependía de medios físicos o administrativos:– Archivadores con llave– Cajas fuertes– Accesos controlados– Investigación de antecedentes criminales



Con la introducción de sistemas de cómputo en el trabajo cotidiano, se creó la necesidad de herramientas informáticas para proteger archivos y otra información almacenada en estos sistemas.

El nombre genérico para estas herramientas es: Seguridad Informática.


Seguridad de redesSeguridad de redes

Una segunda necesidad derivada de la introducción de líneas de comunicación electrónica es la de proteger los archivos y datos durante la transmisión de los mismos entre sistemas

Las herramientas diseñadas para este fin son llamadas de Seguridad de Redes.


Seguridad vs. OscuridadSeguridad vs. Oscuridad

Existen dos clases de seguridad:– La que no deja que tu hermanita lea tu “libretita

negra”– La que no deja que la CIA ni la KGB ni la DIC

lean tu “libretita negra”.

Nosotros hablaremos sobre esta última, debiendo notar la diferencia entre seguridad y oscuridad


OscuridadOscuridad

Si yo tomara una carta, la colocara en una caja fuerte, luego escondiera la caja fuerte en algún lugar de La Tigra y luego le pido que lea la carta, eso es oscuridad

Caso: (a) Reuters vs. Intentia (b) Respuestas de exámenes de la Universidad Virtual


SeguridadSeguridad

Ahora bien, si yo pongo la carta en una caja fuerte, y luego le doy:– La caja fuerte, con los planos de diseño– Cien cajas fuertes iguales a ésta, con todo y las

combinaciones– Cien expertos en cajas fuertes, para que

estudien el diseño

Y si aún asi no puede leer la carta...


SeguridadSeguridad

Esta clase de seguridad sólo estaba disponible para los militares (CIA, KGB, Mossad).

En los ultimos veinte años se ha hecho tanta investigación en seguridad informática, que es posible para cualquier persona usar técnicas a nivel de las agencias de inteligencia militar.


Hey, y realmente necesita Hey, y realmente necesita tanta seguridad?tanta seguridad?

Dependencia en la información por parte de las empresas comerciales para la continuidad de sus negocios ($/downtime)

Protección intelectual ($/obra)Acoso del gobiernoDerecho a la privacidadAnonimidad (votaciones, registros médicos)Paranoia


Los 3 aspectos de la seguridadLos 3 aspectos de la seguridad

Ataques de seguridad

Mecanismos de seguridad

Servicios de seguridad


Ataques de seguridadAtaques de seguridad

Fuente: Cryptography and network security, 2nd Ed. Stallings


Categorización de los ataquesCategorización de los ataques

Ataques pasivos– Conocimiento de comunicaciones confidenciales– Análisis de tráfico

Ataques activos– Denial of Service (DoS)– Modificación de mensajes– Suplantación– Retransmisión


Servicios de seguridadServicios de seguridad

ConfidencialidadAutenticaciónIntegridadConfirmación de origen (nonrepudiation)Control de accesoDisponibilidad


Mecanismos de seguridadMecanismos de seguridad

Criptografía– Arte y ciencia de mantener seguros los

mensajes. Practicada por criptólogos

Criptanálisis– Arte y ciencia de romper texto encriptado


FirewallsFirewalls

Un mecanismo de seguridad de red, que consiste en un equipo o grupo de equipos informáticos diseñados para que:

– Todas las comunicaciones del interior al exterior y viceversa pasen por el firewall

– Solamente las comunicaciones autorizadas pasen– Sea inmune a los ataques (trusted system/trusted OS)


Servicios del firewallServicios del firewall

Control de servicios de redControl de direcciónControl de usuariosControl de comportamiento


Capacidades de un firewallCapacidades de un firewall

Un único cuello de botella hacia la red protegida

Un lugar para monitorear eventos de seguridad

Servicios de red relacionados con InternetPlataforma para implementar VPNs


Limitaciones de un firewallLimitaciones de un firewall

Ataques que sobrepasan el firewall– Modem en una estación de un empleado

Amenazas internas– Empleados despedidos/mal pagados

Virus– Nimda / Code Red

Error humano– Doh!


¿Y entonces ?¿Y entonces ?

No existe la seguridad informática perfecta– Bueno...si, el one-time pad

La seguridad informática no es fácil de implantar– Resistencia de los usuarios– Costo de la misma

Chiste horrible


Más allá del firewallMás allá del firewall

Para mejorar sensiblemente la seguridad informática y de redes de nuestra empresa, necesitamos más que un firewall:– Políticas internas de seguridad– Filtrado de contenido– Establecimiento y análisis de bitácoras– Detección de intrusos– Comunicación encriptada

– Y todo lo nuevo que aparezca...


Políticas de seguridadPolíticas de seguridad

Normativas de ética y confidencialidad Expiración de passwords y de cuentas de correo Archivos confidenciales o propietarios Virus Eliminación periódica de usuarios inactivos Clarificar la responsabilidad de los usuarios Finalidad: Usarla como disuasivo


Filtrado de contenidoFiltrado de contenido

Las empresas se exponen a riesgos por los hábitos de uso de Internet de sus empleados:– Pornografía– Información con derechos de autor restringidos

(warez, MP3)– Cadenas de e-mail– Chats– Extremismos u otra conducta antisocial


BitácorasBitácoras

Los sistemas que se conecten a redes externas deben tener la mayor cantidad de bitácoras habilitadas:– Sitios visitados– Correo entrante y saliente– Conexiones a nuestros servidores– Usuarios


Detección de intrusosDetección de intrusos

Los firewalls son pasivos, y se pueden complementar con sistemas IDS

Existen diversos tipos:– Host intrusion detection (tripwires, actividad

sospechosa)– Signature-based network intrusion detection (Winnuke,

smurf)– Anomaly-based network intrusion detection

Statistic (port scanning, DDos) Protocol (Code Red)


Comunicaciones encriptadasComunicaciones encriptadas

Asegurarse que las transacciones entre la empresa y sus usuarios o clientes no pueda ser vista por terceros– Compras por web

Hacer uso de teletrabajo– Viajes de trabajo– Proliferación del SOHO– Filiales, sucursales, distribuidores


¿ Y aún así...que nos falta ?¿ Y aún así...que nos falta ?

ICE: Intruder Counter Electronics

Atacar a nuestros atacantes


¿Preguntas?¿Preguntas?

Comentarios pueden dirigirlos a:

[email protected]

Technology

Seguridad Informática: Más allá del firewall