Introducción a la tecnología webmural.uv.es/anmaro5/PDF/ITWxtema4.pdf · Introducción a la...

Máster en Sistemas y Servicios en la Sociedad de la Información

Especialidad Derecho y Tecnologías de la Información y Comunicaciones

Introducción a la tecnología web

Seguridad

Introducción a la tecnología web (parte 5)

Elementos de seguridad en…

o Seguridad en las comunicaciones:

o Prevenir la comprensión de las comunicaciones

intervenidas (Encriptación).

o Establecer la identidad del remitente de una

comunicación (Autentificación).

o Establecer que una comunicación no ha sufrido ningún

tipo de intromisión (Integridad).


Elementos de seguridad en…

o Seguridad en el acceso a recursos:

o Establecer identidad del solicitante (Autentificación).

o Permitir o denegar el acceso (Autorización).


Encriptación

Autentificación

Integridad

Seguridad en las comunicaciones


¿Las comunicaciones son seguras?

o ¿Qué puede ir mal?


Las organizaciones deberían ser un poco “paranoicas”

en lo referido a la seguridad de sus comunicaciones (y datos).

Seguridad en la comunicación

o Encriptación:

o ¿Cómo asegurar que las transacciones son secretas?

o Autentificación:

o ¿Cómo verificar la identidad real de mis interlocutores?

o Integridad:

o ¿Cómo asegurar que el mensaje no ha sido alterado?


Cliente Empresa

Internet

Impostor

Criptografía (simétrica) de clave

secreta


Texto original

For your eyes only

Texto original

For your eyes only

Gf xuiajk

Sklk kdaoiemx sdj

Desencriptar

Clave

Encriptar

IBM IBMHAL

Criptografía (asimétrica) de clave

pública


Texto original

For your eyes only

Texto original

For your eyes only

Gf xuiajk

Sklk kdaoiemx sdj

Encriptar Desencriptar

Clave 1 Clave 2

Clave Pública Clave Privada

Simétrica vs Asimétrica

o Criptografía de clave secreta (simétrica):

o La misma clave secreta se utiliza para encriptar y paradesencriptar.

o Problema: ¿Cómo transmitir la clave de manera segurapor internet?

o Criptografía de clave pública (asimétrica):

o Clave pública conocida por todo el mundo paraencriptar (se puede transmitir sin problemas).

o Clave privada conocida sólo por el propietario paradesencriptar (no hace falta transmitirla).


Encriptación por clave pública


Jesús Ana

Jesús envía mensaje encriptado

con la clave pública de Ana

{mensaje}

Ana desencripta el mensaje

con su clave privada, que sólo

ella conoce.

{mensaje}

PREGUNTA:

¿Se podría encriptar con mi clave privada y

desencriptar con mi clave pública?

La clave pública funciona si…

o La clave privada permanece secreta:

o Nunca abandona el ordenador del propietario.

o Normalmente encriptada y protegida con clave.

o Dificultad de adivinar la clave privada conociendola clave pública:

o Necesidad de probar todas las combinaciones posibles.

o La dificulta de "romper" el código se incrementaexponencialmente con la longitud de la clave.

o Claves de 1024 bits requieren más tiempo que laedad del universo para "romperse".


Encriptar no es suficiente (Autentificar)

o Hacerse pasar por otro (suplantar identidad)

o Es difícil conectarse a una máquina sin la palabra

clave pero es fácil enviar información con el

nombre de otra persona (email).

o Crear distintas identidades en el programa de email.


Autentificar mediante Encriptación

o La clave pública y la clave privada se pueden aplicar encualquier orden.

o Ana tiene que enviar un mensaje a Jesús

o Aplica su clave privada

o Envía el mensaje encriptado a Jesús

o Jesús desencripta el mensaje con la clave pública de Ana

o Recupera el mensaje original.

o Infiere que Ana es el remitente original, puesto que sólo Anaconoce la clave privada que se corresponde con su clave pública.

o Encriptar el mensaje (o parte) con la clave privada actúacomo autentificación del remitente.


Autentificación (2)


Jesús Ana

Ana envía mensaje

Encriptado con su clave privada

{mensaje}

Jesús desencripta el

mensaje con la

clave pública de Ana y

está “seguro” de que Ana

es la remitente.

Firma Digital

o La firma digital de un documento se añade aldocumento original e incluye información sobre elcontenido del documento, codificada usando la claveprivada del remitente.

o En realidad, la firma digital acredita la identidad delremitente y la integridad de los datos.

o Al decodificar la firma digital con la clave pública delremitente podemos estar “seguros” de la identidad delremitente y saber si el documento recibido es idénticoal enviado.


Act.1

Gestión de la clave pública

o El sistema funciona si se obtiene la clave pública de

una fuente de confianza

o Organismos de certificación oficiales/reconocidos

o La clave pública se puede transmitir por canales de

comunicación poco seguros.

o Servidores de claves públicas.

o http://www.rediris.es/keyserver/


Act.2 y 3

Infraestructura de clave pública

o PKI, Public Key Infrastructure

o Combinación de hardware, software, políticas yprocedimientos de seguridad que permiten la ejecución congarantías de operaciones criptográficas.

o Las Autoridades Certificadoras son entidades con laresponsabilidad de generar certificados fiables a losindividuos que los soliciten.

o Los certificados incluyen la clave pública y están firmadospor AC.

o La AC verifica la identidad del solicitante antes de emitir elcertificado.


Act.4

Certificados

o Utilizados para certificar la identidad de un usuariofrente a otro.

o Nombre del emisor del certificado.

o A quien certifica

o La clave pública

o Los certificados están firmados digitalmente por unemisor.

o El emisor debe de ser una entidad de confianza.

o Todos los usuarios deben tener la clave pública delemisor para verificar la firma del certificado.


Certificados en los navegadores


Act.5

Aplicaciones: Comercio Electrónico

o eCommmerce: Necesidad de transmitir información

"sensible" a través de la web:

o Números de tarjetas de crédito

o Ordenes de compra

o Requisitos:

o Cliente y servidor (emisor y receptor) deben

autentificarse antes de enviar datos.

o Los datos deben transmitirse firmados


HTTPS

o El protocolo HTTPS es la versión segura del protocoloHTTP.

o Crea un canal cifrado (cuyo nivel de cifrado depende delservidor remoto y del navegador utilizado por el cliente)más apropiado para el tráfico de información sensible queel protocolo HTTP.

o Para que un servidor web acepte conexiones HTTPS eladministrador debe crear un certificado para elservidor.

o Sólo proteje los datos en tránsito, una vez que llegan asu destino la seguridad depende del ordenadorreceptor.


Act.6

Autentificación

Autorización

Seguridad en el acceso a recursos


Control de acceso

o Primero autentificar y después autorizar:

o El sistema tiene registradas las autorizaciones en

función de la identidad.

o Procedimientos:

o Usuarios autorizados con clave personal

o Sistemas biométricos

o Tarjetas inteligentes


Usuarios autorizados con clave

o Procedimiento de acceso al recurso (ordenador,

página web, etc) basado en una clave personal.

o Debilidades del procedimiento:

o Palabras claves sencillas o "adiviniables"

o Conocimiento de la clave por terceras personas:

o De manera involuntaria

o Comunicaciones interceptadas


Sistemas biométricos


Tarjetas inteligentes

o Diversas categorías y tecnologías.

o Tarjetas criptográficas:

o Almacenan el certificado digital del usuario y su clave

privada.

o La clave privada no reside en el ordenador y, por

tanto, no se puede obtener fraudulentamente de él.

o Emitidas por entidades certificadoras.

o Son precisos lectores de tarjetas.

o DNI electrónico.


Lo que puede ir mal


Tipos de vulnerabilidades

o Tecnológicas:

o Debilidades (errores de diseño) en los protocolos de

red, sistema operativo, dispositivos de red, etc.

o Configuración:

o Errores de configuración de los dispositivos de red,

servicios de Internet, sistemas de acceso, etc.

o Políticas de seguridad:

o Mala planificación global de la seguridad de la red

corporativa.


Las puertas traseras

o Se trata de "agujeros" (fallos) en aplicaciones del

sistema que permiten saltar el control de acceso:

o Virus

o Ataques por desbordamiento de memoria

o …


Virus y gusanos (worms)

o Son programas que se ejecutan en el ordenador sin

el conocimiento y/o el consentimiento del

propietario/adminitrador y cuyo objetivo suele ser

causar algún tipo de perjuicio a los usuarios.

o Se transmiten a través de los canales de E/S.

o Para evitar que entren en nuestro ordenador y/o

eliminarlos:

o Antivirus

o Firewall


Spyware, Adware, Malware

o Programas incorporados a nuestro ordenador sinnuestro conocimiento y que hacen cosas no deseadascomo:

o Abrir contenidos no deseados en pop-ups

o Enviar información sobre el ordenador o sus usuarios a otrossistemas.

o Modificar barras de herramientas, página web de inicio,etc.

o Se transmiten a través de:

o Páginas web

o Otros programas


Ataque por denegación de servicio

o Inundar de peticiones de acceso a la máquina

utilizando direcciones IP falsas.

o El ataque se suele producir desde diversas

máquinas donde el generador del ataque ha

entrado fraudulentamente.

o Ejemplos:

o eBay

o Yahoo

o Amazon


Medidas de defensa

o Antivirus

o Firewall

o Sistemas de detección de intrusos


Antivirus

o Programas que analizan el contenido de los

archivos almacenados en el disco, buscando virus

(programas) conocidos.

o Muy importante: actualizar la información sobre

virus conocidos.

o El antivirus no puede actuar sobre virus que no

conoce.


¿Qué hace un Firewall?

o Los cortafuegos dotan de seguridad "permitral" a la redcorporativa.

o Controla el acceso a los servicios de red y a los datos.

o Sólo usuarios e información autorizada puede cruzar nuestra red.

o Oculta la estructura de la red dando la sensación de quetodas las transmisiones tienen su origen en el cortafuegos(firewall).

o Bloquea todos los datos que no hayan sido explícitamentelegitimados por un usuario de la red.

o Sólo admite datos de sitios de confianza.

o Reconoce y bloquea paquetes correspondientes a ataquestípicos.


Tipos de Firewall

o Filtro de paquetes: revisa los paquetes que entran ysalen de la red y acepta o rechaza en función de lasreglas definidas por el usuario.

o Un programa o un router.

o Servidor proxy: intercepta todos los mensajes queentran o salen de la red. Oculta de manera efectiva lasdirecciones de red.

o Es un intermediario que aisla la red corporativa delexterior.

o El servidor ve el proxy como si fuera el cliente y el cliente love como si fuera el servidor.



Filtro de paquetesMenor seguridad

Mayor rapidez

ProxyMayor seguridad

Menor rapidez

Monitorización

o La seguridad perimetral debe ir acompañada de

una monitorización continua del tráfico de red.

o Las barreras establecidas permiten ganar tiempo,

pero es preciso detectar los ataques para evitar

que lleguen al núcleo del sistema corporativo.

o Ejemplo: Sistema de seguridad de un castillo.


Otras medidas preventivas

o Los IDS (sistemas de detección de intrusos) utilizan

técnicas de minería de datos para descubrir e

informar sobre actividades sospechosas.

o Conviene estar al día en la instalación de "parches"

del sistema operativo que tengamos instalado.


A pesar de todas las prevenciones…

o Los incidentes de seguridad siguen creciendo.

o Cada vez hacen falta menos conocimientos técnicos

para generar ataques sofisticados:

o Herramientas

o Información pública


Introducción a la tecnología webmural.uv.es/anmaro5/PDF/ITWxtema4.pdf · Introducción a la...

Documents

Transcript of Introducción a la tecnología webmural.uv.es/anmaro5/PDF/ITWxtema4.pdf · Introducción a la...