You are on page 1of 105

Implementaciones Relacin con IPSEC

Ing. Luis Prez

Objetivos
Conocer los objetivos de implementar IPSec.

Describir la arquitectura IPSec.


Definir tipos de IPSec.

Introduccin
75% de ataques son al Nivel de Aplicacin

Gartner. 95% de las vulnerabilidades son de Software NIST. 7 de cada 10 Sitios Web tienen vulnerabilidades White Hat Security 62% de las Organizaciones han tenido brechas de seguridad en los ltimos 12 meses.

Objetivos de IPSec
Verificar el origen de los paquetes IP.

Prevenir la reutilizacin de paquetes antiguos.


Proteger la integridad y/o confidencialidad de los

paquetes.

IPSec

Encapsulated Security Payload (ESP)


Puede encriptar y/o autenticar cada paquete.

La encriptacin ocurre antes de la autenticacin.


La autenticacin es aplicada a la data en la

cabecera IPSec as como a los datos contenidos en el Payload.

IPSec Encapsulating Security Payload (ESP) in Transport Mode


Orig IP Hdr TCP Hdr Data Append Data

Insert
Orig IP Hdr ESP Hdr TCP Hdr

ESP Trailer

ESP Auth

Usually encrypted integrity hash coverage

SecParamIndex

Seq#

InitVector PadLength NextHdr

Keyed Hash

22-36 bytes total ESP is IP protocol 50

Padding

IPSec ESP Tunnel Mode


Orig IP Hdr TCP Hdr Data

IPHdr

ESP Hdr

IP Hdr

TCP Hdr

Data

ESP Trailer

ESP Auth

Usually encrypted integrity hash coverage Nueva cabecera IP con la direccin origen y destino.

Authentication Header (AH)


La autenticacin es aplicada al paquete entero.

Si ESP y AH son aplicados al paquete; AH sigue

a ESP.

(AH) in Transport Mode


Orig IP Hdr TCP Hdr Insert Orig IP Hdr AH Hdr TCP Hdr Data Data

Integrity hash coverage (except for mutable fields in IP hdr)

Next Hdr

Payload Len

Rsrv

SecParamIndex

Seq#

Keyed Hash

AH is IP protocol 51

24 bytes total

IPSec AH Tunnel Mode


Orig IP Hdr TCP Hdr Data

IP Hdr

AH Hdr

Orig IP Hdr

TCP Hdr

Data

Integrity hash coverage (except for mutable new IP hdr fields)

Nueva cabecera IP con la direccin origen y destino.

Las tarjetas inteligentes y su uso prctico. Normas ISO.


Ing. Luis Prez

Objetivos
Conocer la arquitectura de una Smart Card.

Identificar la Platafora de funcionamiento.


Conocer el Sistema de Archivos.

Tarjetas Inteligente Smart Card


Permite la comunicacin a travs de un chip.

Es una manera muy segura de guardar poca

informacin sensible.

Arquitectura del Chip

Sistema Operativo

Memoria de Aplicacin

Clasificacin
Contact smart card Son insertadas en un lector de amart card haciendo contacto fsico.

Contactless smart cards Emplean radio frecuencia (RFID) para la comunicacion.

Plataforma
Procesadores pequeos
8 o 16 bits

Memorias muy pequeas


8k, 16k, 32k, 64k, 128K de ROM Entre 1 y 32 Kb de EEPROM Entre 256 bytes y 4Kb de RAM

Comunicacin
A travs del serial RS 232 y puertos USB

principalmente

Sistema de Archivos

Protocolo de Enrutamiento SSH


Ing. Luis Prez

Objetivos
Definir SSH.

Conocer la arquitectura SSH.


Conocer el funcionamiento SSH. Identificar los usos de SSH.

SSH
Protocolo de Red.
Permite el intercambio de datos sobre un canal

seguro entre 2 computadoras. La encriptacin provee confidencialidad e integridad de los datos.


Utiliza criptografa de llave pblica para autenticar

la computadora remota. Soporta Tunneling.

Servidor SSH
Puerto 22 TCP

Se usa programas de cliente SSH

Componentes de SSH

Paquete SSH

Historia I
1995: Tatu Ylnen disea el protocolo SSH 1
Desarrollado debido a un ataque de password-

sniffing en la red universitaria. El objetivo era remplazar los portocolos rlogin, rsh y Telnet. Liberado como freeware en Julio de 1995.
1996: Se disea el protocolo SSH 2
Incompatible con SSH 1 Mejora la seguridad a travs del Intercambio de

llaves Diffie Hellman Fortalece la integridad va cdigos de autenticacin de mensajes.

Historia II
2005: OpenSSH es la implementacin ms

popular. 2006: el protocolo SSH 2 es propuesto como Estndar de Internet


El grupo de trabajo de la IETF encargado es el

secsh.

Comparativa
SSH 1
Protocolo todo en uno. Chequeo de integridad con CRC 32.

SSH 2
Protocolos separados. Chequeo de integridad fuerte.

Una sesin por conexin.


No hay cambio de contrasea. No hay autenticacin con certificado de llave pblica.

Mltiples sesiones por conexin.


Cambio de contrasea. Provee autenticacin con certificado de llave pblica.

Public-key encryption
public key
(encodes)

Server

Client

private key
(decodes)

Client

Client

Client

Public-key encryption
server's public key
lock unlock

Server

server's private key

symmetric key
Client

Symmetric-key encryption
Server

message symmetric key

symmetric key

Client

Usos de SSH
Administracin remota X11.

Aseguramiento de la transferencia de archivos

SFTP. En combinacin con rsync realiza backup seguros. Tunneling VPN.

Arquitectura
Definido en el RFC 4251
Capa de Transporte. Capa de Autenticacin de Usuario. Capa de Conexin.

Arquitectura

Funcionamiento SSH

SCP
Secure Copy
Transfiere archivos de computadora usando el

protocolo SSH.

SFTP
FTP seguro.

Protocolo de Enrutamiento SSH


Ing. Luis Prez

Objetivos
Definir SSH.

Conocer la arquitectura SSH.


Conocer el funcionamiento SSH. Identificar los usos de SSH.

SSH
Protocolo de Red.
Permite el intercambio de datos sobre un canal

seguro entre 2 computadoras. La encriptacin provee confidencialidad e integridad de los datos.


Utiliza criptografa de llave pblica para autenticar

la computadora remota. Soporta Tunneling.

Servidor SSH
Puerto 22 TCP

Se usa programas de cliente SSH

Componentes de SSH

Paquete SSH

Historia I
1995: Tatu Ylnen disea el protocolo SSH 1
Desarrollado debido a un ataque de password-

sniffing en la red universitaria. El objetivo era remplazar los portocolos rlogin, rsh y Telnet. Liberado como freeware en Julio de 1995.
1996: Se disea el protocolo SSH 2
Incompatible con SSH 1 Mejora la seguridad a travs del Intercambio de

llaves Diffie Hellman Fortalece la integridad va cdigos de autenticacin de mensajes.

Historia II
2005: OpenSSH es la implementacin ms

popular. 2006: el protocolo SSH 2 es propuesto como Estndar de Internet


El grupo de trabajo de la IETF encargado es el

secsh.

Comparativa
SSH 1
Protocolo todo en uno. Chequeo de integridad con CRC 32.

SSH 2
Protocolos separados. Chequeo de integridad fuerte.

Una sesin por conexin.


No hay cambio de contrasea. No hay autenticacin con certificado de llave pblica.

Mltiples sesiones por conexin.


Cambio de contrasea. Provee autenticacin con certificado de llave pblica.

Public-key encryption
public key
(encodes)

Server

Client

private key
(decodes)

Client

Client

Client

Public-key encryption
server's public key
lock unlock

Server

server's private key

symmetric key
Client

Symmetric-key encryption
Server

message symmetric key

symmetric key

Client

Usos de SSH
Administracin remota X11.

Aseguramiento de la transferencia de archivos

SFTP. En combinacin con rsync realiza backup seguros. Tunneling VPN.

Arquitectura
Definido en el RFC 4251
Capa de Transporte. Capa de Autenticacin de Usuario. Capa de Conexin.

Arquitectura

Funcionamiento SSH

SCP
Secure Copy
Transfiere archivos de computadora usando el

protocolo SSH.

SFTP
FTP seguro.

Evolucin de las Tecnologas Inalmbricas


Ing. Luis Prez

Objetivos
Conocer la historia de las Redes Wireless.

Comparar las ventajas y desventajas de las

Tecnologas Inalmbricas. Conocer la Infraestructura GSM.

Introduccin

Historia Red Wireless


1947: Idea de telfonos celulares. Laboratorios

AT&T Bell. 1958: Primera red wireless A-Netz (160 MHz). Alemania.
B-Netz (160 MHz). Recibia llamadas de un telfono

conectado a una estacin mvil conocida.


1968: Propuesta de una red celular. Laboratorios

AT&T Bell. Abril 1973: Invencin del primer telfono mvil. Martin Cooper (Motorola). 1977: Construccin de un prototipo de red celular. Laboratorios AT&T Bell.

Evolucin Datos Inalmbricos


Primera Generacin (1G)
Tecnologa Anloga CDMA

Segunda Generacin (2G)


Tecnologa Digitalizada FDMA y TDMA 2.5G: La voz se digitaliza sobre el circuito.

Tercera Generacin (3G)


Tcnicas de Espectro Expandido

Cuarta Generacin (4G)


Redes de Capacidad Multisalto OFDM

Evolucin Servicios

Tcnicas de Acceso

OFDM

Ventajas
Flexibilidad

Movilidad
Robustez Escalabilidad Fcil instalacin Menores costos

Desventajas
Calidad de Servicio
Bajo Ancho de Banda Bajo ratio de trasmisin de datos Altos ratios de error Interferencia

Mayor demora

Restricciones de licencia de uso de banda Interferencia con otros dispositivos

Red GSM

Video
http://www.youtube.com/watch?v=rhJAJ1TdNyg

Normas de Seguridad Modelos y Buenas Prcticas


Ing. Luis Prez

Objetivos
Conocer los Modelos de Administracin de

Seguridad de la Informacin. Implementar los elementos claves de la Seguridad de la Informacin, de acuerdo a la realidad de cada Empresa.

Introduccin
Para crear y mantener un entorno de Seguridad

Informtica se debe disear un Plan de Seguridad. Puede empezar con la creacin o validacin de un Modelo de Seguridad. Un estndar es una buena gua para iniciar el proceso de diseo, seleccin e implementacin de los controles de Seguridad.

ISO/IEC 17799:2005
Originalmente publicado como el British Standard

BS 7799. Tiene como propsito establecer guas y principios generales para iniciar, implementar, mantener y fortalecer la administracin de la Seguridad de la Informacin en una Organizacin. Tiene 133 posibles controles. Cada seccin incluye 4 categoras de informacin:
1. Uno o ms objetivos 2. Controles relevantes para alcanzar los objetivos

ISO/IEC 17799:2005 Usabilidad

ISO/IEC 17799 Secciones


1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11.

Poltica de Seguridad Organizacin Administracin de Activos Seguridad de Recursos Humanos Seguridad del Entorno y Fsica Administracin de Operaciones y Comunicaciones Control de Acceso Adquisicin, Desarrollo y Mantenimiento de los Sistemas de Informacin Administracin de Incidentes Administracin de la Continuidad de Negocios Cumplimiento

BS7799:2

ISO/IEC 27001:2005 InfoSec Management System


Plan
1. Definir el alcance del ISMS 2. Definir un poltica de ISMS 3. Definir una metodologa de Evaluacin de

4.
5. 6. 7. 8.

Riesgos Identificar Riesgos Evaluar Riesgos Identificar y Evaluar opciones para el tratamiento de riesgos Seleccionar objetivos de control Preparar el Statement of Applicability

ISO/IEC 27001:2005 InfoSec Management System


Do
9. Formular un Plan de Tratamiento de Riesgos 10. Implementar el Plan de Tratamiento de Riesgos 11. Implementar controles 12. Implementar programas de entrenamiento y

concientizacin 13. Administrar operaciones 14. Administrar recursos 15. Implementar procedimientos para detectar y responder ante Incidentes de Seguridad

ISO/IEC 27001:2005 InfoSec Management System


Check
16. Ejecutar procedimientos de monitoreo 17. Efectuar revisiones regulares de la efectividad del 18.

19.
20. 21.

ISMS Revisar el nivel de riesgo aceptable y residual Realizar auditora interna del ISMS Efectuar revisiones regulares del ISMS Registrar acciones y eventos que impacten en el ISMS

ISO/IEC 27001:2005 InfoSec Management System


Act
22. Implementar mejoras identificadas 23. Realizar acciones preventivas y correctivas 24. Aplicar lecciones aprendidas 25. Comunicar resultados a las partes interesadas

26. Asegurar el logro de objetivos

NIST
Publicaciones gratuitas
SP 800-12, Computer Security Handbook SP 800-14, Generally Accepted Security Principles

& Practices SP 800-18, Guide for Developing Security Plans SP 800-26, Security Self-Assessment Guide-IT Systems SP 800-30, Risk Management for Information Technology Systems

The Computer Security Handbook


Referencia para la administracin de Seguridad

de la Informacin Identifica 17 controles organizada en 3 categoras


1. Administracin de Controles

2. Controles Operativos
3. Controles Tcnicos

NIST Special Publication 800-14 Generally Accepted Principles and Practices for Securing Information Technology Systems
Describe las mejores prcticas usadas en el

desarrollo de un estndar de seguridad. Describe principios que pueden ser integrados en los procesos de Seguridad de la Informacin. Posee 8 puntos y 33 principios.

NIST Special Publication 800-18 A Guide for Developing Security Plans for Information Technology Systems
Provee mtodos detallados para evaluar, disear

y evaluar controles y planes para diversas aplicaciones. Incluye plantillas para la aplicarlos en los Planes de Seguridad.

NIST Special Publication 800-26 17 Areas Defining the core of the NIST Security Management Structure
Management Controls Technical Controls
15.Identification and Authentication 16.Logical Access Controls 17.Audit Trails

Risk Management Review of Security Controls Life Cycle Maintenance Authorization of Processing (Certification and Accreditation) 5. System Security Plan
1. 2. 3. 4.

Operational Controls
6. Personnel Security 7. Physical Security 8. Production, Input/Output Controls 9. Contingency Planning 10.Hardware and Systems Software 11.Data Integrity 12.Documentation 13.Security Awareness, Training, and

Education 14.Incident Response Capability

NIST Special Publication 800-30 Risk Management Guide for Information Technology Systems
Provee fundamentos para el desarrollo de un

programa efectivo de administracin de riesgos. Contiene una Gua Prctica para evaluar y mitigar riesgos identificados en los sistemas de TI. Habilita a las Organizaciones a tener una mejor administracin de riesgos.

RFC 2196 Site Security Handbook


Provee un anlisis funcional de problemas de

seguridad a travs de casos detallados. Cubre polticas de seguridad, arquitectura de seguridad, servicios de seguridad y manejo de incidentes de seguridad.

Control Objectives for Information and related Technology (COBIT)


Creado por Information Systems Audit and

Control Association (ISACA) and the IT Governance Institute (ITGI) en 1992. Contiene 34 objetivos de alto nivel que cubre 215 objetivos de control, organizados en 4 dominios:
1. Planificacin y Organizacin 10 objetivos de alto

nivel 2. Adquisicin e Implementacin 7 objetivos de alto nivel 3. Entrega y Soporte 13 objetivos de alto nivel 4. Monitoreo y Evaluacin 4 objetivos de alto nivel

Committee of Sponsoring Organizations of the Treadway Commission (COSO)


Tiene como objetivo principal identificar los

factores que causan fraudes financieros y realiza recomendaciones para reducir incidentes. Est construido en base a 5 componentes interrelacionados:
1. Ambiente de control
2. Evaluacin de riesgos 3. Actividades de control 4. Informacin y comunicacin 5. Monitoreo

Biometra
Ing. Luis Prez

Objetivos
Conocer el concepto de Biometra.

Identificar los distintos tipos de reconocimiento

biomtrico. Hacer un anlisis comparativo entre los tipos.

Definicin
Es una caracterstica fisiolgica o de

comportamiento del Ser Humano que puede distinguir una persona de otra y que tericamente puede ser usada para identificacin o verificacin de identidad.

Tringulo de la Autenticacin
Qu tienes?

Qu sabes?

Quin eres?

Biometra como solucin


Robo de Identidades

Ingeniera Social para averiguar lo que se sabe.


Confianza en la verificacin manual

Categora
Fisiolgica
Iris Huella Digital Mano Reconocimiento de la Retina

Reconocimiento de la Cara

Comportamiento
Voz

Patrn de escritura
Firma

Proceso de la Autenticacin Biomtrica


Obtencin

Creacin Caractersticas Master

Almacenamiento Caractersticaa Master

Mtricas
FTE Failure To Enroll

FTA Failure To Accept


FAR False Acceptance Rates FRR False Reject Rates

Parmetros
Prueba de vitalidad

Resistencia al sabotaje
Comunicacin segura Nivel de seguridad Nodo de retroalimentacin

Reconocimiento de Huella Digital


Divide la impresin en bucles, espirales y arcos.

Calcula los puntos minsculos en el final de los

espirales.

Reconocimiento de Huella Digital Desventajas


Caractersticas raciales

Modificacin de la yema dactilar


Puede evitarse la prueba de vitalidad

Geometra de la mano
Ms confiable que el reconocimiento de huella

digital. Da un balance entre rendimiento y usabilidad.

Geometra de la mano Desventajas


Escaneos muy grandes

Escner de Retina
Se usa luz de baja intensidad

Muy eficiente
Escner de Iris
Escanea el patrn nico del Iris No se requiere el contacto

Escner de Retina Desventajas


El ratio FTE es alto.

Temas de aceptabilidad Exposicin a la luz

Reconocimiento de Cara
Se requiere una expresin neutral.

Reconocimiento de Cara Desventajas


Se identifica la expresin.

El FRR y FAR es fluctuante.

Tabla Comparativa
Iris Retina Huella Dactilares Alta Alta Alta Geometra de la Mano Alta Alta Alta Escritura y firma Alta Alta Media Voz Cara Fiabilidad Facilidad de Uso Prevencin de Ataques Aceptacin Estabilidad Muy Alta Media Muy Alta Media Alta Muy Alta Baja Muy Alta Media Alta Alta Alta Media Alta Alta Media

Media Alta

Alta Media

Muy Alta Media

Alta Media

Muy Alta Media

Video
http://www.youtube.com/watch?v=_OOlTs3hUU4

You might also like