6669 Criptografía y Seguridad Informática

(1)

Ing Hugo Pagola

6669 Criptografía y

Seguridad Informática

(2)

Recomendación UIT-T X.805

Arquitectura de seguridad para sistemas de

comunicaciones extremo a extremo

ITU el grupo de Seguridad en Telecomunicaciones

(3)

UIT-T X.805

Define un marco para analizar la arquitectura y las

dimensiones que garantizan la seguridad extremo a

extremo de aplicaciones distribuidas.

Los principios y definiciones son válidos para todas las

aplicaciones,

Las amenazas y vulnerabilidades y las medidas para

contrarrestarlas o minimizarlas dependen de cada

aplicación.

(4)

4 Metodología sistemática para analizar la seguridad

de una red.

– Define tres capas, tres planos y 8 dimensiones de

seguridad

¿Qué protección se quiere y contra qué

amenazas?

¿Qué tipos de elementos de infraestructura hay

que proteger y de qué manera?

(5)

5 X805 premisas

Definir

• Tipos de Amenazas

• 8 Dimensiones de Seguridad

• Relación entre las amenazas y las dimensiones

de seguridad.

(6)

6 X.800 Modelo de Amenazas

(simplificado)

X

1 - Destrucción

Ataque a la

Disponibilidad

2 - Corrupción

Ataque a la

Integridad

:

3 - Robo Datos

Ataque a la

Disponibilidad

4 - Divulgación

Ataque a la

Confidencialidad

(7)

7 Accidentales

Intencionales

•Errores software

•Errores Hardware

•Mala Administración

_{•Divulgación}

Pasivo

Activo

•Análisis de tráfico

• Mod. Datos

• retrasos

• bloqueo

• copia datos

•destrucción datos

(8)

8 Control de Acceso

Autenticación

No Repudio

Confidencialidad de datos

Seguridad de la Comunic

Integridad de Datos

Disponibilidad

Privacidad

• Limit & control access to

network elements, services &

applications

• Examples: password, ACL,

firewall

• Prevent ability to deny that an

activity on the network

occurred

• Examples: system logs,

digital signatures

• Ensure information only flows

from source to destination

• Examples: VPN, MPLS,

L2TP

• Ensure network elements,

services and application

available to legitimate users

• Examples: IDS/IPS, network

redundancy, BC/DR

• Provide Proof of Identity

• Examples: shared secret,

PKI, digital signature, digital

certificate

• Ensure confidentiality of data

• Example: encryption

• Ensure data is received as

sent or retrieved as stored

• Examples: MD5, digital

signature, anti-virus software

• Ensure identification and

network use is kept private

• Examples: encryption

Dimensiones de Seguridad según X805

(9)

9 Servicios de Seguridad (X.800)

Autenticación

- assurance that the communicating entity

is the one claimed

Control de Acceso

- prevention of the unauthorized use of

a resource

Confidencialidad de Datos

–protection of data from

unauthorized disclosure

Integridad de Datos

- assurance that data received is as

sent by an authorized entity

No Repudio

- protection against denial by one of the

(10)

10 RELACIÓN ENTRE MECANISMOS Y

SERVICIOS DE SEGURIDAD

Mecanismo

Dimension o Servicio Cifrado

Firma Digital

Control de Acceso

Integridad de Datos

Autentica-ción

Traffic padding

Routing Control

Notariza-tion

Peer entity authentication S S S Data origin authentication S S

Servicio de Control de Acceso s

Confidencialidad S S

Traffic flow confidentiality S S S

Integridad de Datos S S S

No Repudio S S S

Disponibilidad S S

(11)

11 Dimensiones de Seguridad vs. Amenazas

Dimensión

Amenasas a la Seguridad (X.800)

Destrucción Corrupción Robo Datos Divulgación Interrupción

Control de Acceso    

Autenticación  

No Repudio     

Confidencialidad

de datos  

Seguridad de la

Comunicación  

Integridad de

Datos  

Disponibilidad  

(12)

12

• Cada capa tiene vulnerabilidades y amenazas propias

• Cada capa da soporte de seguridad a la superior.

Infrastructure Security Applications Security Services Security AMENAZAS VULNERABILITIES ATAQUES Destrucción Divulgación Corrupción Robo Datos Infraestructura Aplicaciones Servicios VULNERABILIDADES Interrupción

1 – Capa de seguridad

infraestructura:

• Ejemplos:

–

Routers, switches, servers

–

WAN links

–

Ethernet links

2 - Capa de seguridad servicios:

• Ejemplos:

–

IP, DHCP, DNS,AAA

–

VPN

–

VoIP, QoS, Location services

3 - Capa de seguridad aplicaciones:

• Ejemplos:

–

Web

–

Email

–

E-commerce

–

…

(13)

13 Capas de Seguridad

Capa de seguridad infraestructura

– La capa de seguridad infraestructura comprende los

dispositivos de transmisión de la red y los elementos de red

Capa de seguridad servicios

– La capa de seguridad servicios tiene que ver con la seguridad

de los servicios que los proveedores prestan a sus clientes.

Capa de seguridad aplicaciones

(14)

14 Capa de seguridad infraestructura

– Equipamiento de red: routers, switches y servers

– Links de comunicación.

Capa de seguridad servicios

– Ruteo de la red IP

– Servicios de soporte IP (Ej., AAA, DNS, DHCP)

– Servicios de Valor Agregado: (Ej., VPN, VoIP, QoS)

Capa de seguridad aplicaciones

– Aplicaciones de Red Básicas (Ej. FTP, Acceso WEB, File

Share)

– correo, Intranet

– e-commerce,…

(15)

15 Planos de Seguridad

No es lo mismo el patrón característico de uso y las amenazas

que pueda tener un usuario que un administrador de seguridad

o de sistemas.

(16)

16

• En cada plano de seguridad aplicado sobre cada capa de la seguridad, lo que genera 9

perspectivas.

Planos de Seguridad

Infrastructure Security Applications Security

Services Security

End User Security

Control/Signaling Security

Management Security VULNERABILITIES Security Layers Security Planes Infraestructura Aplicaciones Servicios

Plano de Usuario Final

Plano de Control

Plano de Gestión

VULNERABILIDADES

Capas de Seguridad

Planos de Seguridad

Pueden existir en Cada capa y en cada Plano de seguridad

AMENAZAS ATAQUES Destrucción Divulgación Corrupción Robo Datos Interrupción

1 – Plano de Usuario Final:

• Acceso y uso de la red y aplicaciones por

los usuarios:

–

Conectividad Básica

–

Servicios (VPN, VoIP, etc.)

–

Aplicaciones de Red (correo, Web,

ecommerce)

2 – Plano de Control y operación:

• Actividades para permitir el funcionamiento

eficiente de la red

3 – Plano de Gestión:

• Administración de elementos de

infraestructura, servicios y aplicaciones.

• FCAPS (Fault, Configuration, Accounting,

Performance, Security).

(17)

17 A

ccess

M

an

a

g

emen

t

Infrastructure Security

Applications Security

Services Security

End User Security

Control/Signaling Security Management Security

D

ata

C

o

n

fi

d

en

ti

al

ity

C

o

mmu

n

icati

o

n

Secu

ri

ty

In

teg

ri

ty

A

v

ai

labil

ity

Pr

iv

acy

A

u

th

en

ti

cati

o

n

Non

-rep

u

d

iati

o

n

Security Layers

Security Planes

C

o

n

tr

o

l

d

e

A

cceso

Infraestructura

Aplicaciones

Servicios

Plano de Usuario Final

Plano de Gestion

AMENAZAS

VULNERABILIDADES

Dimensiones de Seguridad

ATAQUES

C

o

n

fi

d

en

ci

al

id

ad

d

e

d

ato

s

Seg

u

ri

d

ad

d

e

las

co

mu

n

ic.

In

teg

ri

d

ad

d

e

d

ato

s

D

isp

o

n

ib

il

id

a

d

Pr

iv

aci

d

ad

A

u

ten

ti

cación

No

-rep

u

d

io

Capas de Seguridad

Planos Seguridad Pueden existir En cada capa, Plano. Destrucción Divulgación Corrupción Robo Datos Interrupción

(18)

18

Capa Infraestructura

Capa Servicios

Capa Aplicaciones

Plano de Gestion

Modulo uno Modulo cuatro Modulo siete

Modulo dos Modulo cinco Modulo ocho

Plano de Usuario

Modulo tres Modulo seis Modulo nueve

En cada modulo se definen objetivos de control para cada dimensión de

seguridad

Access Management

Data Confidentiality

Communication Security

Integrity

Availability

Privacy

Authentication

Non

-

repudiation

Control de Acceso

Confidencialidad de datos

Seguridad de las comunic.

Integridad de datos

Disponibilidad

Privacidad

Autenticación

No

-

repudio

(19)

19 Objetivos de Seguridad

Módulo 3: Capa infraestructura, plano de usuario

Dimension

seguridad Objetivos de seguridad

Control de acceso Garantizar que las personas y los dispositivos autorizados son los únicos que pueden acceder a los datos de usuario que transitan por la infraestructura.

Autenticación Verificar la identidad de la persona o el dispositivo que intentan acceder a los datos de un usuario que transitan por un elemento de la infraestructura.

No repudio Crear un registro de las personas o dispositivos que han accedido a los datos de usuario que transitan por un elemento de infraestructura.

Este registro puede utilizarse como prueba de acceso a los datos de usuario.

Confidencialidad de los datos

Crear un registro de las personas o dispositivos que han accedido a los datos de usuario que transitan por la infraestructura.

Este registro puede utilizarse como prueba de acceso a los datos de usuario.

Seguridad de la comunicación

Garantizar que los datos de usuario que transitan por la infraestructura no son desviados ni interceptados entre estos puntos extremo sin una autorización de acceso (por ejemplo, interceptación legal).

Integridad de los datos

Proteger los datos de usuario que transitan por la infraestructura, contra la modificación, la supresión, la creación y la reactuación sin autorización.

Disponibilidad Garantizar que nada impedirá que las personas (incluyendo usuarios) y los

dispositivos autorizados puedan acceder a los datos de usuario que residen en un dispositivo no conectado. Incluye una protección contra ataques activos, por ejemplo de denegación de servicio (DoS) y contra ataques pasivos, por ejemplo la

modificación o la supresión de la información de autenticación (por ejemplo, identificación y contraseñas de usuario o de administrador).

Privacidad Garantizar que los elementos de red no proporcionan información sobre las

(20)

20 Intenta ser una vista de la Arquitectura de Seguridad de una Red del

tipo “end-to-end”.

–

Redes de Proveedores de Servicio

–

Redes corporativas

Cualquier Tecnología

–

Wireless, optical networks

–

Voice, data, video, converged networks

(21)

21 Resumen: X.805 Arquitectura de Seguridad

Puede aplicarse a las políticas y los procedimientos de seguridad,

y también a la tecnología, en las tres etapas de un programa de

seguridad.

– Definición y Planificación;

– Implementación;

– y Mantenimiento.

(22)

Evaluación de

Seguridad

(23)

23

(24)

24

(25)

25 Evaluación de Seguridad X805

Sistema de procesamiento de

pedidos Orden en linea

Transferencia Electronica

Gateway de Pago User Pedido por WEB

Medio de pago

Submit OK

Envio de Producto

Problema cobros

(26)

26 Security Assessment Methodology

Buenas Practicas NIST

ISO IETF

ARQUITECTURA DEL SISTEMA

Analisis de la Arquitectura y Revision de politicas de seguridad

Vulnerabilidades, Amenazas y Pruebas de Penetración Modulo nueve Modulo seis Modulo tres Plano de Usuario Modulo ocho Modulo cinco Modulo dos Plano de Control Modulo siete Modulo cuatro Modulo uno Plano de Gestion Capa Aplicaciones Capa Servicios Capa Infraestructura Modulo nueve Modulo seis Modulo tres Plano de Usuario Modulo ocho Modulo cinco Modulo dos Plano de Control Modulo siete Modulo cuatro Modulo uno Plano de Gestion Capa Aplicaciones Capa Servicios Capa Infraestructura

Entrevistas y Relevamiento

Analisis

Scoreboard

seguridad Reporte de

Vulnerabilidades Recomendaciones

Sistema de procesamiento de pedidos Orden en linea

Transferencia Electronica

Gateway de Pago User

Pedido por WEB Medio de pago

Submit OK

Envio de Producto

Problema cobros