• No se han encontrado resultados

Mecanismo de Auditorías de Seguridad Informática con Herramientas de Software Libre

N/A
N/A
Protected

Academic year: 2020

Share "Mecanismo de Auditorías de Seguridad Informática con Herramientas de Software Libre"

Copied!
468
0
0

Texto completo

(1)Universidad Central “Marta Abreu” de Las Villas Facultad de Ingeniería Eléctrica Departamento de Telecomunicaciones y Electrónica. TRABAJO DE DIPLOMA Mecanismo de Auditorías de Seguridad Informática con Herramientas de Software Libre Autor: Adamou Issaka Kodo. Tutor: Ing. Rolando Pérez Versón. Santa Clara 2013 "Año 54 de la Revolución".

(2) Universidad Central “Marta Abreu” de Las Villas Facultad de Ingeniería Eléctrica Departamento de Telecomunicaciones y Electrónica. TRABAJO DE DIPLOMA Mecanismo de Auditorias de Seguridad Informática con Herramientas de Software Libre Autor: Adamou Issaka Kodo e-mail: ikodo@uclv.edu.cu. Tutor: Ing. Rolando Pérez Versón e-mail: rpverson@uclv.edu.cu. Santa Clara 2013 "Año 54 de la Revolución".

(3) Hago constar que el presente trabajo de diploma fue realizado en la Universidad Central “Marta Abreu” de Las Villas como parte de la culminación de estudios de la especialidad de Ingeniería en Telecomunicaciones y Electrónica, autorizando a que el mismo sea utilizado por la Institución, para los fines que estime conveniente, tanto de forma parcial como total y que además no podrá ser presentado en eventos, ni publicados sin autorización de la Universidad.. Firma del Autor Los abajo firmantes certificamos que el presente trabajo ha sido realizado según acuerdo de la dirección de nuestro centro y el mismo cumple con los requisitos que debe tener un trabajo de esta envergadura referido a la temática señalada.. Firma del Autor. Firma del Jefe de Departamento donde se defiende el trabajo. Firma del Responsable de Información Científico-Técnica.

(4) i. PENSAMIENTO. "En los momentos de crisis, sólo la imaginación es más importante que el conocimiento" Albert Einstein.

(5) ii. DEDICATORIA A mis padres, mis hermanos, quienes están más orgullosos de mis pequeños logros que yo mismo. A toda la familia Zarkou Hidou A mi amigo hermano Leon quien no se encuentra más en este mundo A mi familia toda, los que están conmigo y los que siempre estarán en mí A mis amigos quienes tanto confían en mí y a quienes tanto molesto. A mi hermano Mahamadou Mounkaila (Oustaz) desde Francia Y en especial a los que fueron mí guía, mi faro, Mahamadou Zarkou, a mi mama Amintou mi papa, mi mama Amina, mi hermano desde Cotonou, Hadi, Hamey, Hayou a mi mama Milagro, a Tigre,…...

(6) iii. AGRADECIMIENTOS A mis padres porque en todo tiempo han sido mi apoyo y sostén. A mis hermanos por ser incondicionales. A mi hermano Edi Bouchrane (Comor) por ser incondicional A mi tutor Rolando Pérez Versón que más que tutor fue hombre, hermano y amigo, por la dedicación que tuvo, el apoyo incondicional que me dio en todo momento y su ejemplo como profesor. A mis hermanos, Yonli, Berthe, Tall, Aldo y su esposa Sandra Mis compañeros Marata y Genard. Mi hermano Nelson de Angola Mis compañeros de país Audi, Zakaria Ismael, Naser Hassane,Aziz A mi querida hermana Mamy por siempre confiar en mí y amarme inmensamente. A mi hermana de Jamaica Natalia A Milagro, la mama de Tigre, de Niuris, de Yaime por ser como una madre para mí. A todos los que una forma u otra aportaron sus conocimientos y esfuerzos para la realización de este trabajo (Ronny, su novia, Dayana, Rafa, Danay, Erick, Varga, Lianny, papi Riki ) A la oficina de las Relaciones Internacionales Al director de la beca Viamonte y su esposa A las tías de mi edificio A mis amigas Lienna, Wir, Dhamelta, A todos mis profesores mi decano Barrio que hicieron posible que este sueño se hiciera realidad. A Morou Mounkaila desde Niger A Hama Gatta, Hayou, Laila Seydou, A mis amigos que siempre me apoyaron, en especial a Ronny (Tigre), Liena (bruja), Dayana, Mario de Ciego y otros por no necesitar mencionarlos, porque se saben agradecidos..

(7) iv. TAREA TÉCNICA 1. Revisión de la bibliografía técnico-especializada sobre seguridad informática y en particular sobre los algoritmos que se utilizan para codificar la información. 2. Análisis crítico de las herramientas de detección de vulnerabilidades y de las medidas que se puedan implementar para solucionar los problemas detectados. 3. Instalación del sistema propuesto con las diferentes herramientas seleccionadas. 4. Evaluación de la efectividad del mecanismo propuesto en un entorno real.. Firma del Autor. Firma del Tutor.

(8) v. RESUMEN. El concepto de seguridad en redes surge como consecuencia de la necesidad de utilizar medios y procedimientos para reducir riesgos debidos a las posibles amenazas sobre la red física, la información y del personal. Durante las últimas décadas los ataques informáticos han crecido exponencialmente, lo cual ha influido grandemente en el desarrollo de complejas herramientas de seguridad que permiten de forma rápida determinar y neutralizar algunos de estos sucesos. Aunque los casos satisfactorios son numerosos, en la mayoría de las ocasiones los daños provocados por la incursión de un hacker dentro de la infraestructura son muy difíciles de corregir e incluso de detectar. El presente trabajo pretende proponer un esquema de seguridad informática empresarial a partir de la realización de auditorías de seguridad y la corrección de vulnerabilidades, que pueda ser utilizado dentro de cualquier red global y en específico en la red de computadoras de la Facultad de Ingeniería Eléctrica de la UCLV. Con este proyecto se pretende contribuir a la formación de profesionales especializados en la seguridad informática a partir de la generación de una metodología que les permita conocer y reparar posibles brechas de seguridad en sus redes, además de potenciar la utilización de herramientas de software libre en nuestra universidad..

(9) vi. TABLA DE CONTENIDOS. PENSAMIENTO .....................................................................................................................i DEDICATORIA .................................................................................................................... ii AGRADECIMIENTOS ........................................................................................................ iii TAREA TÉCNICA ................................................................................................................iv RESUMEN ............................................................................................................................. v INTRODUCCIÓN .................................................................................................................. 1 Organización del informe ................................................................................................... 3 CAPÍTULO 1. 1.1. FUNDAMENTOS DE LA SEGURIDAD INFORMÁTICA ................... 5. Introducción a la Seguridad Informática .................................................................. 5. 1.1.1. Medidas de Gestión .......................................................................................... 7. 1.1.2. Medidas técnicas ............................................................................................... 7. 1.2. Criptografía .............................................................................................................. 8. 1.2.1. Llaves Criptográficas ........................................................................................ 9. 1.2.2. Funciones Hash de un sentido ........................................................................ 10. 1.2.3. Criptografía simétrica ..................................................................................... 11. 1.2.4. Criptografía asimétrica ................................................................................... 12. 1.2.5. Firmas Digitales .............................................................................................. 13. 1.2.6. Certificados Digitales ..................................................................................... 14.

(10) vii 1.3. Mecanismos de seguridad en redes. ....................................................................... 15. 1.3.1 1.4. Ataques Informáticos ............................................................................................. 22. 1.4.1 1.5. Seguridad en la Transmisión........................................................................... 15. Clasificacion de los ataques ............................................................................ 23. Conclusiones del Capítulo...................................................................................... 27. CAPÍTULO 2. 2.1. HERRAMIENTAS DE SEGURIDAD ................................................... 28. Introducción al Software de Seguridad .................................................................. 28. 2.1.1. Técnicas de escaneo para redes ...................................................................... 28. 2.2. Herramientas de Seguridad .................................................................................... 31. 2.3. Herramientas Simples ............................................................................................ 32. 2.3.1. Nmap ............................................................................................................... 32. 2.3.2. Framework Metasploit .................................................................................... 33. 2.3.3. Nexpose .......................................................................................................... 36. 2.4. Herramientas compuestas....................................................................................... 38. 2.4.1. OSSIM ............................................................................................................ 38. 2.4.2. BackTrack ....................................................................................................... 41. 2.5. Mecanismos de protección para garantizar Seguridad ........................................... 43. 2.5.1. Software Antivirus .......................................................................................... 43. 2.5.2. Firewall ........................................................................................................... 44. 2.6. Mecanismo de auditoria de seguridad informática ................................................ 46. 2.7. Conclusiones del Capítulo...................................................................................... 47. CAPÍTULO 3. 3.1. AUDITORÍA INFORMÁTICA UTILIZANDO NEXPOSE .................. 48. Instalación de la herramienta de auditoría Nexpose .............................................. 48. 3.1.1. Proceso de búsqueda de información.............................................................. 49.

(11) viii 3.1.2. Proceso de generación de Reportes ................................................................ 53. 3.2. Análisis detallado del router Allied Telesyn .......................................................... 54. 3.3. Análisis detallado del servidor GAUSS ................................................................. 56. 3.4. Análisis detallado de la computadora AUDITOR ................................................. 58. 3.5. Conclusiones del capitulo ...................................................................................... 61. CONCLUSIONES Y RECOMENDACIONES ................................................................... 63 Conclusiones ..................................................................................................................... 63 Recomendaciones ............................................................................................................. 63 REFERENCIAS BIBLIOGRÁFICAS ................................................................................. 65 ANEXOS .............................................................................................................................. 67 Anexo I. Auditoria Router Allied Telesyn..................................................................... 67. Anexo II. Auditoria al servidor GAUSS ..................................................................... 67. Anexo III. Auditoria a la computadora AUDITOR ...................................................... 67.

(12) INTRODUCCIÓN. INTRODUCCIÓN. El concepto de seguridad en redes surge como consecuencia de la necesidad de utilizar medios y procedimientos para reducir riesgos debidos a las posibles amenazas sobre la red física, la información y del personal. Las amenazas físicas que hacen referencia a siniestros debido a fuego, agua, sabotaje, etc. y las amenazas a la información que se deben regularmente a causas de errores, fallos y omisiones, pueden ser previstas y solventadas por métodos de protección y uso de instalaciones y equipos como son los reglamentos internos, los manuales de uso y mantenimiento, el plan de contingencias, mientras que las amenazas de personal que se basan en el conocimiento que se tenga acerca de los sistemas de comunicación y redes son más difíciles de detectar. En la actualidad, la mayoría de las organizaciones, empresas y universidades que poseen servicios informáticos de cualquier tipo, buscan tener la mayor seguridad posible dentro de sus esquemas, para no tener pérdidas en su economía, su privacidad y en su confidencialidad. La seguridad de la red se ha convertido en un requisito indispensable para las empresas, especialmente para aquellas que se basan en Internet. Durante las últimas décadas los ataques informáticos han crecido exponencialmente, lo cual ha influido grandemente en el desarrollo de complejas herramientas de seguridad que permiten de forma rápida determinar y neutralizar algunos de estos sucesos. Aunque los casos satisfactorios son numerosos, en la mayoría de las ocasiones los daños provocados por la incursión de un hacker dentro de la infraestructura son muy difíciles de corregir e incluso de detectar. Los ataques pueden provenir de personal externo o interno y pueden clasificarse en ataques pasivos o activos. En los primeros la información no es alterada, mientras que en. 1.

(13) INTRODUCCIÓN. los segundos la información es modificada (borrado, retardo, duplicación, suplantación, inserción). Las contramedidas de seguridad a estos ataques tratan de reforzar los puntos débiles que se encuentran en los medios y equipos de transmisión, en la estructura de la información y en los protocolos de comunicación. Para proteger la red física se debe restringir el acceso físico a las instalaciones donde residen los equipos de comunicaciones y redes, también desde el interior del edificio no permitir que se intercepte físicamente el cableado. Con respecto a la protección de la red lógica es importante tener en cuenta aspectos relacionados con las contraseñas, procedimientos para limitar y detectar cualquier intento de acceso no autorizado, facilidades de control de errores, controles para asegurar que las transmisiones van solamente a usuarios autorizados, registro de la actividad de la red, técnicas de cifrado de datos y controles adecuados que cubran la importación o exportación de datos a través de puertas, en cualquier punto de la red, a otros sistemas informáticos. En el caso de la Universidad Central Marta Abreu de Las Villas (UCLV), el tema de la seguridad informática se encuentra dentro de los elementos de mayor prioridad, pues son cada vez más los recursos que se invierten en la informatización y en la implementación de nuevos servicios, lo cual es propenso a que personal malintencionado intente realizar acciones encaminadas a la mala utilización de esos recursos. En Cuba el organismo rector de organizar y legislar todo lo relacionado con la seguridad en las telecomunicaciones es la OSRI, la cual regula la utilización de los medios informáticos y comprueba su correcto funcionamiento mediante inspecciones y auditorias. El presente trabajo pretende proponer un esquema de seguridad informática empresarial a partir de la realización de auditorías de seguridad y la corrección de vulnerabilidades, que pueda ser utilizado dentro de cualquier red global y en específico en la red de computadoras de la Facultad de Ingeniería Eléctrica de la UCLV. De esta forma el objetivo general que se propone radica en: Desarrollar una plataforma para analizar y corregir las vulnerabilidades de seguridad informática de una red corporativa a partir de la realización de auditorías utilizando herramientas de software libre. Para lograr este fin se trazaron los siguientes objetivos específicos:. 2.

(14) INTRODUCCIÓN. 3. 1. Realizar un estudio sobre los elementos que componen la Seguridad Informática y los mecanismos que existen para aplicarla. 2. Realizar una comparación entre varios software detectores de vulnerabilidades en redes de datos y seleccionar el más completo para la arquitectura dada. 3. Utilización de herramientas de escaneo con exploits para comprobar la presencia de agujeros de seguridad dentro de la red. 4. Realizar una auditoría a una sección de la red de la Facultad de Ingeniería Eléctrica para comprobar en un escenario real la efectividad de la propuesta. Con este trabajo se pretende contribuir a la formación de profesionales especializados en la seguridad informática a partir de la generación de una metodología que les permita conocer y reparar posibles brechas de seguridad en sus redes, además de potenciar la utilización de herramientas de software libre en nuestra universidad. Además deberá servir de base metodológica para futuras investigaciones en el tema. El impacto que se espera es dar soluciones a problemáticas modernas vinculadas con la seguridad en redes corporativas y a la protección información sensible, lo cual determina directamente en el ahorro de grandes sumas de dinero y fondo de tiempo, que se invierten en la detección y la posible solución de situaciones de este tipo. Los resultados de esta investigación poseerán una aplicación práctica y teórica de gran trascendencia, al alcance de todos los especialistas e investigadores en el área de la seguridad informática a nivel global y en especial de nuestra facultad. Organización del informe El informe de la investigación está estructurado de la siguiente manera: Introducción: Se definirá la importancia, actualidad y la necesidad de llevar a cabo la investigación acerca del tema y se dejarán explícitos los elementos de la misma. Desarrollo CAPITULO I: Caracterización de los elementos relacionados con la Seguridad Informática y la técnicas criptográficas que se utilizan para proteger la información digital..

(15) INTRODUCCIÓN. 4. CAPITULO II: Análisis del mecanismo propuesto y evaluación de la Herramientas de Seguridad que existen en la actualidad. CAPITULO III: Resultados de la Auditoría de Seguridad Informática aplicada a una sección de red de la Facultad de Ingeniería Eléctrica. Conclusiones Recomendaciones Bibliografía Anexos.

(16) CAPÍTULO 1. FUNDAMENTOS DE LA SEGURIDAD INFORMÁTICA. 5. CAPÍTULO 1. FUNDAMENTOS DE LA SEGURIDAD INFORMÁTICA. En este capítulo se abordan los temas relacionados con los fundamentos teóricos de la seguridad informática en las redes de datos y las medidas para la protección de estos; entre las cuales podemos destacar el control y las limitaciones que se les aplican a los usuarios para el acceso de los datos, ya sea de forma interna o externa. Dentro de este capítulo se incluye una descripción de forma general de los diversos algoritmos para el cifrado de datos, protocolos para la protección de los mensajes y el intercambio de llaves; así como los mecanismos para garantizar la autenticidad, integridad y confidencialidad de la información en un sistema involucrado con la transmisión de información. 1.1. Introducción a la Seguridad Informática. Se entiende por Seguridad Informática la característica de cualquier sistema computacional, que hace que esté libre de todo peligro, daño o riesgo. Como no hay sistema infalible, se trata de que el sistema sea lo más fiable posible (Carlos Miguez Perez 2006). Actualmente la seguridad informática es un tema muy importante y delicado, puesto que siempre está en continua evolución debido al desarrollo de nuevas amenazas a la privacidad de la información. Desde que Internet es la alternativa de interconexión global, la seguridad informática se ha convertido en una de las primeras prioridades de las empresas, universidades y organizaciones nacionales e internacionales. La seguridad informática, trata de minimizar los riesgos asociados al acceso y utilización de determinado sistema de forma no autorizada y en general malintencionada. Esto se debe a que los sistemas informáticos son susceptibles a ataques de virus, averías y accesos no.

(17) CAPÍTULO 1. FUNDAMENTOS DE LA SEGURIDAD INFORMÁTICA. 6. autorizados que pueden provocar afectaciones en su correcto funcionamiento. Para poder hacer frente a todos estos factores deben desarrollarse medidas o planes de seguridad que permitan, en la medida de lo posible, eliminar los riesgos potenciales. (Carlos Miguez Perez 2006) La seguridad informática persigue tres objetivos básicos (Beekman and Martín 2005): . Confidencialidad: Que la información sea accesible exclusivamente para las personas autorizadas.. . Integridad: Que la totalidad de la información esté protegida, así como sus métodos de proceso.. . Disponibilidad: Que el acceso a la información y los recursos esté garantizado para los usuarios autorizados.. Los tres principales elementos a proteger de cualquier sistema informático son: . Hardware: el cual se puede afectar por caídas de tensión, averías, etc.. . Software: el cual se puede afectar por virus, errores en las configuraciones, etc.. . Datos: su afectación incluye cualquiera de los problemas de software o hardware.. De los tres elementos anteriores, el principal son los datos, ya que es el más amenazado y seguramente el más difícil de recuperar. Existe un gran abanico de medidas de seguridad que pueden reducir el riesgo de pérdidas debidas a la aparición de incidentes en los sistemas informáticos. Muchas veces al hablar de medidas de seguridad, solo se mencionan las meramente técnicas, como cortafuegos, antivirus o sistemas de copias de respaldo. Sin embargo, las medidas más efectivas suelen ser las medidas de gestión planteadas a medio y largo plazo desde un punto de vista estratégico y táctico (Miller and Pearson 2011). A continuación mencionaremos brevemente las medidas y sistemas de seguridad más frecuentes agrupándolas bajo dos aspectos: medidas de gestión y medidas técnicas. Las primeras deben ser implantadas por los gestores de las organizaciones como parte de los planes estratégicos y tácticos, mientras que las segundas se corresponden con herramientas y sistemas técnicos diseñados para evitar, controlar o recuperar los daños que pueden sufrir los sistemas por la aparición de determinadas amenazas de seguridad (Almanza 2008)..

(18) CAPÍTULO 1. FUNDAMENTOS DE LA SEGURIDAD INFORMÁTICA. 7. 1.1.1 Medidas de Gestión Los gestores de toda organización deben contemplar la seguridad informática como parte integral de las estrategias y tácticas corporativas. Las políticas de seguridad son las normas y procedimientos internos que deben seguir los integrantes de la organización para respetar los requerimientos de seguridad que deseen preservarse. Las políticas de seguridad deben considerar la criticidad de los sistemas y de la información, los roles de cada puesto de trabajo y la mecánica de acceso a los sistemas, herramientas, documentación y cualquier otro componente del sistema de información (Galdámez 2010). Resulta frecuente desglosar las políticas de seguridad en procedimientos detallados para cada componente del sistema de forma individual, así por ejemplo, pueden crearse documentos que describan las políticas de tratamiento de correos electrónicos, políticas de uso de Internet, de copias de respaldo y de tratamiento de virus (Lacuesta and Catalán 2004). Conviene destacar que las políticas de seguridad deben surgir de la estrategia corporativa y que se trata de documentos que deben conocer todos los integrantes de la organización. Por su parte, el plan de contingencia describe los procedimientos que se deben seguir ante la aparición de eventualidades significativas que puedan suponer graves consecuencias para la organización. 1.1.2 Medidas técnicas Existen innumerables herramientas y sistemas de seguridad orientadas a preservar la integridad, confidencialidad y disponibilidad de información. La oferta en este sentido es muy numerosa y toda organización debería dedicar un esfuerzo significativo a su estudio y selección. Entre las técnicas más consolidadas se encuentran (Galdámez 2010): . Copias de respaldo: se encaminan a garantizar la disponibilidad de los sistemas frente a cualquier eventualidad.. . Antivirus: se encargan de evitar la aparición de lógica maliciosa y en caso de infección tratan de eliminarla de los sistemas. Entre los antivirus conviene destacar.

(19) CAPÍTULO 1. FUNDAMENTOS DE LA SEGURIDAD INFORMÁTICA. 8. aquellos que inspeccionan los correos electrónicos evitando la infección de sus destinatarios. . Cortafuegos: tratan de reducir el número de vías potenciales de acceso a los sistemas corporativos desde el exterior, estableciendo limitaciones al número de equipos y de servicios visibles.. . Mecanismos de autenticación: pueden variar desde esquemas simples basados en los pares usuario-contraseña, hasta complejos sistemas distribuidos soportados bajo una estructura de credenciales o mecanismos de autenticación biométricos. . Criptografía: todo esquema de seguridad debe contemplar en una u otra medida el cifrado de información sensible. A veces puede ser suficiente el cifrado de las contraseñas, mientras que en otras resulta imprescindible el cifrado de las comunicaciones y de las bases de datos. Como medidas más avanzadas, podemos mencionar la esteganografía, la detección de vulnerabilidades y la detección de intrusos. A diferencia de la criptografía, que trata de hacer indescifrable la información, la esteganografía trata de evitar que siquiera se note su existencia. Por ejemplo las empresas dedicadas a producir documentos digitales, pueden estar interesadas en incluir determinada marca invisible de forma que sea demostrable su autoría y puedan perseguirse copias ilegales (dos Santos, von Paumgartten et al. 2012).. . Herramientas de detección de vulnerabilidades: suelen verse como herramientas de auditoría, que pueden mostrar las vías que con mayor probabilidad utilizarían los intrusos para acceder a los sistemas.. . Sistemas de detección de intrusos: tratan de descubrir, muchas veces en tiempo real, accesos no autorizados a los sistemas, tanto desde el exterior de la organización, como desde dentro de las propias instalaciones de la empresa.. 1.2. Criptografía. En el mundo real si queremos salir de un cuarto lo cerramos con llave; si queremos conservar algunas cosas importantes, las guardamos en una caja fuerte. Lamentablemente, en una red no disponemos de todas estas medidas que nos parecen habituales, por lo cual la principal o única forma de protección va a venir de la mano de la criptografía..

(20) CAPÍTULO 1. FUNDAMENTOS DE LA SEGURIDAD INFORMÁTICA. 9. El término criptología proviene de las palabras griegas Krypto y Logos, y significa estudio de lo oculto. La Criptografía es una ciencia que utiliza las matemáticas para cifrar y descifrar datos. La criptografía permite almacenar información sensible, o transmitirla a través de canales inseguros (como Internet) de tal forma que no pueda ser leída por nadie que no sea la persona a la que va dirigida, o que tiene los permisos para hacerlo (Stallings 2011). El Criptoanálisis es la ciencia encargada de analizar, e interrumpir una comunicación segura, las técnicas clásicas de criptoanálisis involucran una combinación de razonamiento analítico, la aplicación de herramientas matemáticas, búsqueda de patrones, paciencia, determinación y un poco de suerte. La Criptología involucra tanto a la Criptografía como al Criptoanálisis, mientras que un criptosistema está formado por un algoritmo criptográfico, más todas las posibles llaves y los protocolos. El diagrama en bloques de un sistema criptográfico se puede ver en la Figura 1.1. Figura 1.1 Diagrama en bloques de un sistema criptográfico Un algoritmo criptográfico trabaja en combinación con una llave secreta, que puede ser una palabra, número o frase, la cual será utilizada para el cifrado del texto plano. Es necesario recalcar, que el texto cifrado resultante va a ser diferente cuando las llaves de cifrado son diferentes, por lo que la seguridad de los datos cifrados depende completamente de dos cosas: de la robustez del algoritmo de cifrado y la secrecía de la llave (Navarro 2006). 1.2.1 Llaves Criptográficas Una llave es un valor que trabaja con un algoritmo criptográfico para producir un texto cifrado específico; las llaves son básicamente números muy grandes, y su tamaño se mide en bits, y entre más grande es la llave, más seguro es el texto cifrado..

(21) CAPÍTULO 1. FUNDAMENTOS DE LA SEGURIDAD INFORMÁTICA. 10. Mientras que las llaves públicas y privadas de la criptografía asimétrica están completamente relacionadas, es muy difícil deducir la llave privada a partir de la llave pública, sin embargo, si es posible hacerlo teniendo suficiente tiempo y poder de cómputo, por lo cual es necesario tener llaves del tamaño correcto, esto es suficientemente grandes para ser seguras, pero suficientemente pequeñas para que para ser aplicadas con cierta facilidad. Las llaves más largas, serán criptográficamente seguras por un período de tiempo más largo, éstas deben ser almacenadas en forma cifrada también, para evitar que algún intruso pueda tener acceso a nuestro disco duro y obtener la llave. 1.2.2 Funciones Hash de un sentido Una función hash toma una entrada de longitud variable, un mensaje de cualquier tamaño, incluso de algunos miles de millones de bits, y produce una salida de longitud fija, con la condición de que si alguno de los bits del mensaje original es modificado, la salida producida por la función de hash, va a ser completamente diferente, a esta salida se le conoce como la firma o resumen del mensaje, (message digest). Actualmente los algoritmos hash más utilizados son el MD5 (sucesor del algoritmo MD4) y SHA (Stallings 2011) en sus versiones SHA-1, SHA-224, SHA-256 y SHA-512, no obstante se han documentado algunas vulnerabilidades en algunos de ellos. Las funciones de hash tienen dos propiedades básicas, la primera es que son de un solo sentido, esto significa que es relativamente muy fácil tomar un mensaje y calcular su valor de hash, pero es prácticamente imposible tomar un valor de hash y obtener a partir de él, el valor del mensaje original, (entendiendo por imposible que no puede ser hecho en una cantidad razonable de tiempo); la segunda propiedad, es que los algoritmos de hash son libres de colisiones, esto significa que es imposible encontrar dos mensajes que tengan el mismo valor del hash. Vulnerar un algoritmo de hash, implica que alguna o ambas no se cumpla. La propiedad de libertad de colisiones es parcialmente cierta, ya que como hemos mencionado anteriormente, cada algoritmo de hash produce una salida fija en tamaño, tomando por ejemplo los 160 bits que arroja SHA-1, tenemos que el espacio completo de posibilidades de valores hash es 2160, un número bastante grande pero evidentemente menor al infinito de posibilidades de mensajes que podemos utilizar, por lo cual existe un.

(22) CAPÍTULO 1. FUNDAMENTOS DE LA SEGURIDAD INFORMÁTICA. 11. número infinito de colisiones, para el caso de SHA-1, obteniendo 280 mensajes aleatorios, llegaríamos a una colisión de forma segura, eso sería un ataque de fuerza bruta sobre el algoritmo (Snouffer and Lee 2010). 1.2.3 Criptografía simétrica La criptografía simétrica o convencional, utiliza únicamente una sola llave, la cual es utilizada tanto para cifrar como para descifrar, DES (Data Encryption Standard) es un ejemplo de un criptosistema simétrico que utiliza llaves de 56 bits, definido como estándar por la Secretaría de Comercio de los Estados Unidos el 22 de enero de 1988 (Stallings 2003), y posteriormente reemplazado por AES (Advanced Encryption Standard), publicado en el FIPS PUB 197 de fecha 26 de noviembre del 2001 (FIPS 2001) , el cual utiliza llaves de 128,192 ó 256 bits. El cifrado convencional (criptografía simétrica) tiene como principal ventaja, que es muy rápido de ejecutar, es muy útil cuando se tienen que cifrar una gran cantidad de datos, sin embargo tiene la desventaja que se tiene que transmitir la llave por un canal seguro. Cuando un emisor y un receptor se tienen que comunicar de forma segura utilizando criptografía simétrica, entonces ellos tienen que quedar de acuerdo en la llave que han de utilizar, y mantenerla en secreto, pero si ellos se encuentran en diferentes lugares, entonces ellos necesitan un mecanismo seguro para poder intercambiar la llave secreta, ya que cualquier persona que pueda interceptar el mensaje que contiene la llave, podrá descifrar toda la comunicación entre las dos personas. En la Figura 1.2 se muestra el esquema de cifrado utilizando criptografía simétrica, teniendo una sola llave tanto para cifrar como para descifrar.. Figura 1.2 Esquema de cifrado utilizando criptografía simétrica.

(23) CAPÍTULO 1. FUNDAMENTOS DE LA SEGURIDAD INFORMÁTICA. 12. 1.2.4 Criptografía asimétrica El concepto de criptografía asimétrica fue introducido por Whitfield Diffie y Martin Hellman en 1975, aunque hay evidencia de que el servicio secreto británico lo había inventado algunos años antes, solo que lo mantienen como secreto militar (Moya and Martínez 2005). La criptografía asimétrica utiliza un par de llaves, una llave que puede ser pública, utilizada generalmente para cifrar, y la correspondiente llave privada, utilizada para descifrar la información cifrada con la pública. Si A desea enviar un mensaje cifrado a B, entonces A obtiene la llave pública de B y cifra el mensaje con ella, únicamente B con su llave privada puede descifrar lo que A le escribió. Computacionalmente hablando, es imposible deducir la llave privada a partir de la pública, esto implica que cualquiera que tenga la llave pública puede únicamente cifrar, no descifrar el texto. El beneficio principal de la criptografía asimétrica, es que permite que personas que no tienen un acuerdo de seguridad previo, puedan intercambiar información de forma segura, y por lo tanto la necesidad de enviar y recibir las llaves secretas únicamente a través de algún canal seguro es eliminada, puesto que todas las comunicaciones involucran únicamente llaves públicas, y ninguna llave privada es transmitida o compartida. Algunos ejemplos de criptosistema de llave pública son Elgamal, RSA, Diffie-Hellman y DSA (Digital Signature Algorithm). En la Figura 1.3 se ilustra el uso de la criptografía asimétrica.. Figura 1.3 Esquema de cifrado utilizando criptografía asimétrica.

(24) CAPÍTULO 1. FUNDAMENTOS DE LA SEGURIDAD INFORMÁTICA. 13. 1.2.5 Firmas Digitales Las firmas digitales son un mecanismo que permite el receptor de un mensaje, verificar la autenticidad del origen de la información, así como verificar la integridad de la información recibida. Una firma digital ofrece así mismo, el esquema de “no repudio”, lo que significa que una persona que ha firmado un documento, no puede negar el hecho de haberlo firmado. La forma de crear las firmas digitales es la siguiente: primero se calcula el Digest (resumen) del mensaje que se desea firmar, ese resumen es cifrado con la llave privada de la persona que firma el mensaje, y dicha firma es adjuntada al mensaje original. Para verificar la firma digital contenida en un documento, el procedimiento es el siguiente: el receptor que desea verificar la firma digital del emisor descifra la firma contenida en el mensaje utilizando la llave pública del emisor, después vuelve a calcular el resumen (Hash) del documento recibido y compara estos dos valores, si coinciden, se puede garantizar que el emisor firmó digitalmente el documento, y que el documento no fue modificado durante su recorrido desde el emisor hacia el receptor. La figura 1.4 ilustra el procedimiento para firmar digitalmente un documento.. Figura 1.4 Procedimiento para firmar digitalmente un documento.

(25) CAPÍTULO 1. FUNDAMENTOS DE LA SEGURIDAD INFORMÁTICA. 14. 1.2.6 Certificados Digitales Un problema que tienen los criptosistemas de llave pública, es que los usuarios deben de estar completamente seguros de que están cifrando información con la llave pública de la persona correcta. En un ambiente en donde es relativamente muy fácil intercambiar llaves por medio de servidores públicos, es muy probable que los ataques -hombre en el mediose presenten; es decir que cuando algún atacante suplanta la llave de la persona a la que se le quiere enviar un mensaje cifrado, con otra llave con la cual él conoce la respectiva llave privada, toda la información dirigida hacia el verdadero receptor es entonces interceptada por el atacante, el cual al conocer la verdadera llave pública del receptor, reenvía el mensaje cifrándolo con su verdadera llave pública, actuando el atacante como un punto intermedio en la comunicación entre emisor y receptor. En un ambiente de llave pública, a veces es necesario intercambiar información con gente que nunca se ha conocido, es entonces cuando surge la necesidad de utilizar los certificados digitales, que se pueden definir como una credencial de identidad, la cual contiene información certificada acerca de la persona propietaria, contiene una llave pública y la(s) firma(s) digital(es) de la(s) Autoridad(es) Certificadora(s) que emitió o emitieron dicho Certificado Digital. El formato estándar para los Certificados Digitales es el X.509, el cual incluye como información (Martins 2001): . El número de versión X.509 del Certificado Digital. . La llave pública del dueño del Certificado Digital. . El número de serie del Certificado Digital. . El identificador único del dueño del Certificado Digital. . El período de validez del Certificado Digital. . El nombre del emisor del Certificado Digital. . La firma digital del emisor del Certificado Digital, utilizando su llave privada. . El identificador del algoritmo de la firma digital. En la Figura 1.5 se puede ver una representación esquemática de un Certificado Digital X.509..

(26) CAPÍTULO 1. FUNDAMENTOS DE LA SEGURIDAD INFORMÁTICA. 15. Figura 1.5 Representación de un Certificado Digital X.509 1.3. Mecanismos de seguridad en redes.. Para lograr las medidas de seguridad necesarias en una red, se deben implementar los mecanismos siguientes: . Seguridad en la transmisión de la información, mediante el uso de protocolos de comunicación seguros.. . Seguridad en los servidores, mediante el uso de firewalls.. . Seguridad de los datos almacenados en discos, bases de datos o repositorios.. 1.3.1 Seguridad en la Transmisión Debido a que en Internet la información viaja a través de un medio completamente inseguro, es necesario establecer protocolos de comunicación que hagan dicho proceso de intercambio de información completamente seguro, esto se logra principalmente cifrando la información durante el tiempo en el que viaja de un extremo a otro del proceso de comunicación. Los protocolos de seguridad utilizados en la actualidad son los siguientes: . SSH (Secure Shell): utilizado como reemplazo del comando telnet para establecer sesiones remotas..

(27) CAPÍTULO 1. FUNDAMENTOS DE LA SEGURIDAD INFORMÁTICA. . 16. SSL (Secure Socket Layer): utilizado en comunicaciones hipertexto principalmente, pero con aplicaciones en otros protocolos.. . TSL (Transport Layer Secure): utilizado para establecer seguridad en la capa de transporte del modelo OSI.. . HTTPS (Hypertext Transfer Protocol Secure): utilizado para establecer seguridad en el protocolo HTTP.. . PGP (Pretty Good Privacy): utilizado para garantizar la protección de la información distribuida a través de Internet, mediante el uso de criptografía asimétrica, y facilitar la autenticación de documentos a través de las firmas digitales, aunque también puede ser utilizado para la protección de datos almacenados en discos, copias de seguridad etc.. Protocolo SSH SSH es un protocolo para crear una conexión segura entre dos sistemas, en el protocolo SSH, la máquina cliente inicia una conexión con la máquina servidor, el protocolo SSH establece las siguientes medidas de seguridad: . Después de una conexión inicial, el cliente verifica cada vez que se conecta al mismo servidor durante subsecuentes sesiones. . El cliente transmite su información para autenticación al servidor, tal como su nombre de usuario y contraseña, pero cifrados ambos. . Todos los datos enviados y recibidos durante la conexión, son transmitidos utilizando un cifrado de 128 bits. Debido a que el protocolo SSH cifra todo lo que envía y recibe, por lo cual puede ser utilizado para asegurar diferentes protocolos inseguros, utilizando una técnica llamada Port Forwarding, un servidor SSH puede llegar a manejar protocolos inseguros como POP. El protocolo SSH está compuesto por tres componentes . El protocolo de la capa de transporte (SSH-TRANS): el cual provee autenticación del servidor, confidencialidad e integridad, y también opcionalmente compresión. La capa de transporte está corriendo sobre una conexión TCP/IP generalmente, pero puede ser usada en cualquier otro flujo confiable de datos..

(28) CAPÍTULO 1. FUNDAMENTOS DE LA SEGURIDAD INFORMÁTICA. . 17. El protocolo de autenticación de usuarios (SSH-USERAUTH): autentica el usuario del lado del cliente con el servidor, se ejecuta sobre el protocolo de la capa de transporte.. . El protocolo de conexión (SSH-CONNECT): el cual multiplexa el túnel cifrado en varios canales lógicos, se ejecuta sobre el protocolo de autenticación del usuario. El cliente envía una petición de servicio una vez que una conexión de la capa segura de transporte ha sido establecida, una segunda petición de servicio es enviada después de que la autenticación del usuario ha sido completada, esto permite a los nuevos protocolos ser definidos y coexistir con los protocolos listados previamente (UIT 2007).. El protocolo de conexión provee canales que pueden ser usados para un amplio rango de propósitos, los métodos estándar son desarrollados para abrir sesiones interactivas y para realizar un “túnel” para los puertos TCP/IP y las conexiones X11. El protocolo permite la opción de que el nombre del servidor y la llave del host no sean verificadas cuando se conecta al host por primera vez, permitiendo la comunicación entre ambas partes, esta conexión ofrece protección contra ataques pasivos, sin embargo es vulnerable a ataques de Hombre en medio. Las implementaciones actuales, permiten una conexión sin verificar únicamente la primera vez, la llave del servidor es almacenada localmente y comparada con la llave del host en todas las futuras conexiones (Cobas 2005). El objetivo principal del protocolo SSH, es mejorar la seguridad en el Internet, de acuerdo a las siguientes propiedades: . Todos los algoritmos de cifrado, de integridad y de llave pública utilizados, son algoritmos bien conocidos, y de dominio público.. . Todos los algoritmos son utilizados con tamaños de llaves suficientemente grandes como para proveer seguridad contra ataques de criptoanálisis.. . Todos los algoritmos utilizados son periódicamente revisados, y en caso de que alguno haya sido vulnerado, es relativamente muy fácil reemplazarlo con otro que ofrezca el nivel de seguridad requerido..

(29) CAPÍTULO 1. FUNDAMENTOS DE LA SEGURIDAD INFORMÁTICA. 18. Protocolo SSL El objetivo principal del protocolo SSL (Caro Alonso-Rodríguez 2013), es garantizar privacidad y confiabilidad entre dos aplicaciones que se comunican; el protocolo está compuesto por dos capas, la de más bajo nivel se basa en algunos de los protocolos de transporte más confiables, se denomina SSL Record Protocol, el cual es utilizado para encapsular varios protocolos de nivel más alto, uno de esos protocolos es el SSL Handshake Protocol, el cual permite al servidor y al cliente, autenticarse uno al otro, y negociar el algoritmo de cifrado y las llaves criptográficas antes de que el protocolo transmita o reciba el primer byte de datos. Una ventaja de SSL es que es independiente del protocolo; un protocolo de más alto nivel puede estar en una capa superior al protocolo SSL de forma transparente (la mayoría de las veces es TCP). El protocolo SSL tiene tres propiedades básicas de seguridad: . La conexión es privada: Se realiza un proceso de autenticación inicial, para establecer una llave secreta, después se utiliza criptografía simétrica para el cifrado de datos.. . Las identidades tanto del cliente como del servidor, pueden ser autenticadas utilizando criptografía asimétrica o de llave pública.. . La conexión es confiable: el transporte de los mensajes, incluye una revisión de la integridad del mensaje, utilizando una MAC3 con llave, con algoritmos seguros (SHA).. Los objetivos del protocolo SSL v3.0 (la última versión), en orden de prioridad, consisten en (Tsema 2011): . Seguridad criptográfica: SSL es utilizado para establecer una conexión segura entre dos partes.. . Interoperabilidad: Los programadores deben ser capaces de poder desarrollar aplicaciones utilizando SSL 3.0 y poder intercambiar parámetros criptográficos, sin el conocimiento del código de los demás.. . Extensibilidad: SSL busca ofrecer un marco de trabajo en el cual, nuevas llaves públicas y métodos de cifrado, puedan ser incorporados como sea necesario; esto con el objeto de prevenir la necesidad de crear un nuevo protocolo (con el riesgo de.

(30) CAPÍTULO 1. FUNDAMENTOS DE LA SEGURIDAD INFORMÁTICA. 19. la introducción de posibles nuevas debilidades), y evitar la necesidad de tener que implementar una nueva librería de seguridad completa. Las operaciones criptográficas tienden a consumir muchos recursos, principalmente tiempo de procesamiento, particularmente las que involucran criptografía asimétrica, por esta razón, el protocolo SSL ha incorporado un esquema opcional de manejo de sesión optimizado, para reducir el número de conexiones que necesitan ser establecidas, adicionalmente, se ha tenido cuidado en reducir el tráfico en la red (Cobas 2005). De forma general se puedes expresar que SSL es un protocolo dividido en capas; en cada una de ellas, los mensajes pueden incluir campos para la longitud, descripción y contenido. SSL toma los mensajes que van a ser transmitidos, fragmentos de datos en bloques manejables, opcionalmente comprime los datos, aplica MAC, cifra y transmite el resultado. Los datos recibidos son descifrados, verificados, descomprimidos y ensamblados, entonces entregados a los clientes de más alto nivel. Protocolo TLS El protocolo TLS se utiliza para establecer una conexión segura entre un cliente y un servidor, TLS es capaz de autenticar en ambos lados de la comunicación, y crea una conexión cifrada entre las dos. El protocolo TLS puede ser extendido, esto es que nuevos algoritmos pueden ser utilizados para cualquiera de los propósitos, con la condición de que tanto el cliente como el servidor estén conscientes de los algoritmos. La principal propiedad del protocolo TLS, es ofrecer privacidad e integridad de los datos, entre dos aplicaciones que se comunican; el protocolo está compuesto por dos capas, el TLS Record Protocol y el TLS Handshake Protocol. El TLS Record Protocol ofrece seguridad en las conexiones y tiene dos propiedades básicas: . La conexión es privada: se utiliza criptografía simétrica para el cifrado de los datos (DES, AES, RC4), las llaves para los algoritmos simétricos son generadas una sola vez para cada sesión, y están basadas en un secreto negociado por otro protocolo (TLS Handshake), el TLS Record Protocol puede ser utilizado sin cifrado también..

(31) CAPÍTULO 1. FUNDAMENTOS DE LA SEGURIDAD INFORMÁTICA. . 20. La conexión es confiable, el transporte de mensajes, incluye una verificación de integridad de mensajes, utilizando una MAC con llave, para esto se utilizan algoritmos de funciones de Hash seguros como SHA1, SHA256, MD5.. El TLS Record Protocol, es utilizado para la encapsulación de varios protocolos de nivel superior, uno de estos es el TLS Handshake Protocol, el cual es utilizado para autenticar tanto a los clientes como a los servidores, y para negociar un algoritmo de cifrado así como las llaves criptográficas, antes de que el protocolo de la aplicación transmita o reciba el primer byte de datos. El protocolo TLS Handshake Protocol ofrece seguridad en la conexión, y tiene tres propiedades básicas (Stallings 2011): . La identidad de la otra parte puede ser verificada utilizando criptografía asimétrica (RSA o DSS), esta autenticación puede ser opcional, pero generalmente se requiere por al menos una de las partes.. . La negociación de un secreto compartido es segura: el secreto negociado no está disponible para ningún atacante, incluso si el atacante utilizara un ataque hombre en el medio.. . La negociación es confiable: ningún atacante puede modificar la comunicación sin ser detectado por las partes que intervienen en la comunicación.. Una ventaja de TLS, es que es independiente del protocolo de la aplicación, los protocolos de más alto nivel pueden tener capas encima del protocolo TLS de forma transparente, sin embargo, el estándar TLS no especifica de qué forma los protocolos definen la seguridad en TLS, las decisiones de cómo inicializar Handshaking, y cómo interpretar los certificados de autenticación intercambiados, se dejan a juicio de los diseñadores y los implementadores de los protocolos que corren por encima de TLS. Protocolo HTTPS El protocolo HTTPS es una versión segura del protocolo http, utiliza un sistema de cifrado basado en la Secure Socket Layers (SSL), para crear un canal seguro cuyo nivel de cifrado depende del servidor remoto y del navegador utilizado por el cliente, más apropiado para el tráfico de información sensible que el protocolo http, ambos protocolos pueden existir juntos, ya que los navegadores de hoy en día, los soportan (Viega, Messier et al. 2009). El.

(32) CAPÍTULO 1. FUNDAMENTOS DE LA SEGURIDAD INFORMÁTICA. 21. protocolo http, fue originalmente utilizado en claro sobre Internet, sin embargo, el uso reiterado de dicho protocolo en aplicaciones importantes, ha requerido que algunas medidas de seguridad sean consideradas, por lo cual los protocolos SSL y su sucesor TLS (ambos descritos previamente), fueran diseñados para ofrecer seguridad en el canal de comunicación. Conceptualmente hablando, el protocolo http puede utilizarse sobre algún otro protocolo de seguridad, TLS o SSL, de la misma forma en que se utiliza sobre el protocolo TCP. El intercambio seguro de información sobre HTTPS tiene dos momentos claves: . Inicio de una conexión: el agente que actúa como el cliente http, también debería actuar como el cliente TLS o SSL, y sería el encargado de iniciar una conexión al servidor en el puerto apropiado, y enviar un mensaje de inicio del protocolo, por ejemplo un mensaje del tipo TLS Client Hello para iniciar el protocolo de acuerdo (Handshake) sobre TLS. Una vez que el protocolo de acuerdo ha terminado, el cliente debe entonces iniciar la primera petición http; todos los datos http deben ser enviados como datos de la aplicación TLS.. . Fin de una conexión: el protocolo TLS ofrece una posibilidad de cerrar una conexión de forma segura; cuando se recibe un mensaje de petición de cierre de la conexión, una implementación debe asegurar que ya no se recibirán datos después de haber cerrado dicha conexión. Las implementaciones TLS deben iniciar un intercambio de mensajes de cierre, antes de cerrar por completo una conexión, sin embargo, una implementación TLS puede después de enviar una advertencia de cierre, proceder a cerrar la conexión sin tener que esperar a que la otra parte en el canal de comunicación envíe su advertencia de cierre de conexión, generando así un cierre incompleto.. Cuando HTTPS fue utilizado por primera vez por el navegador Netscape 2 en 1995, la estrategia utilizada fue la de usar dos puertos diferentes, el puerto 80 para http y el 443 para HTTPS..

(33) CAPÍTULO 1. FUNDAMENTOS DE LA SEGURIDAD INFORMÁTICA. 22. Sistema PGP Es un sistema desarrollado por Phil Zimmerman cuya finalidad es proteger la información distribuida a través de Internet mediante el uso de criptografía de asimétrica y firmas digitales, también puede ser utilizado para proteger datos almacenados en discos. PGP; combina algunas de las mejores características de los sistemas criptográficos simétricos y asimétricos, por lo cual es considerado un criptosistema híbrido (Snouffer and Lee 2010). Cuando un usuario cifra un texto plano con PGP, el texto es comprimido primeramente, esto con la finalidad de ahorrar tiempo de transmisión y espacio en disco, pero sobretodo, la compresión del texto incrementa la seguridad criptográfica, ya que la mayoría de las técnicas de criptoanálisis explotan patrones encontrados en el texto plano para vulnerar el cifrado (criptoanálisis de frecuencias). PGP comienza creando una llave de sesión, la cual es una llave secreta que se utiliza una sola vez, esta llave es un número aleatorio generado utilizando como función generadora, los movimientos del ratón, esta llave de sesión trabaja con un algoritmo de cifrado simétrico seguro y muy rápido, para cifrar el texto plano, el resultado es el texto cifrado. Una vez que los datos son cifrados, la llave de sesión es entonces cifrada con la llave pública del que recibe el mensaje, junto con esta llave cifrada, se envía también el texto cifrado.(Bregni, Giacomazzi et al. 2011) Para el proceso de descifrar, el receptor del mensaje utiliza su llave privada para descifrar la llave de sesión que viene acompañando al mensaje cifrado, entonces utilizando la llave de sesión, se descifra el texto cifrado. La combinación de los dos métodos de criptografía, combina la practicidad de la criptografía asimétrica con la velocidad de la criptografía simétrica, la cual es mil veces más rápida. La criptografía de llave pública, ofrece una solución al problema de distribución de llaves y transmisión de datos, y utilizados ambos sistemas, se obtiene una solución mejorada, sin sacrificar la seguridad. 1.4. Ataques Informáticos. En términos generales un ataque es una acción violenta en contra de una persona o cosa para hacerle daño. En informática la palabra ataque se refiere a una acción o un método por el cual un individuo haciendo uso de un sistema informático intenta dañar otro sistema.

(34) CAPÍTULO 1. FUNDAMENTOS DE LA SEGURIDAD INFORMÁTICA. 23. (servidor, un equipo de cómputo, una red). Un ataque informático siempre se efectúa por medio de la red, aprovechando las vulnerabilidades de un sistema operativo, aplicación, servidor y por otros medios. Este se realiza con la finalidad de (Chirillo 2001): . Obtener acceso a una aplicación.. . Robar información de la empresa, de los procesos de esta, clientes (cuentas bancarias, dirección, teléfono).. . Afectar el funcionamiento normal del servicio que presta la organización.. . Utilizar el sistema de un usuario como un intermediario para un ataque.. 1.4.1 Clasificacion de los ataques A continuación se expondrán diferentes tipos de ataques perpetrados, principalmente, por hackers. Estos ataques pueden ser realizados sobre cualquier tipo de red, sistema operativo, usando diferentes protocolos. En los primeros tiempos, los ataques involucraban poca sofisticación técnica. A través de los años se han desarrollado formas cada vez más sofisticadas de ataque para explotar “agujeros” en el diseño, configuración y operación de los sistemas. Ingeniería Social (IS) Es la manipulación de las personas para convencerlas de que ejecuten acciones o actos que normalmente no realizan para que revele todo lo necesario para superar las barreras de seguridad. Esta técnica es una de las más usadas y efectivas a la hora de averiguar nombres de usuarios y contraseñas. Por ejemplo suele llamarse a un usuario haciéndose pasar por administrador del sistema y requerirle su contraseña con alguna excusa convincente. O bien, podría enviarse un mail (falsificando la dirección origen a nombre del administrador) pidiendo al usuario que modifique su contraseña a una palabra que el atacante suministra. Para evitar situaciones de IS es conveniente tener en cuenta estas recomendaciones: . Tener servicio técnico propio o de confianza.. . Instruir a los usuarios para que no respondan ninguna pregunta sobre cualquier.

(35) CAPÍTULO 1. FUNDAMENTOS DE LA SEGURIDAD INFORMÁTICA. 24. característica del sistema y derivan la inquietud a los responsables que tenga competencia para dar esa información. . Asegurarse que las personas que llaman por teléfono son quien dicen ser.. . Si la persona que llama se identifica como proveedor de internet lo mejor es cortar y devolver la llamada a forma de confirmación.. Ingeniería Social Inversa (ISI) Consiste en la generación por parte de los intrusos, de una situación inversa a la originada en Ingeniería Social. En este caso el intruso publica de alguna manera que es capaz de brindar ayuda a los usuarios, y estos lo llaman ante algún imprevisto. El intruso aprovechará esta oportunidad para pedir información necesaria para solucionar el problema del usuario y el suyo propio (la forma de acceso al sistema). La ISI es más difícil de llevar a cabo y por lo general se aplica cuando los usuarios están alertados de acerca de las técnicas de IS. Puede usarse en algunas situaciones específicas y después de mucha preparación e investigación por parte del intruso, entre los ejemplos más típicos podemos mencionar: . Generación de una falla en el funcionamiento normal del sistema: generalmente esta falla es fácil de solucionar pero puede ser difícil de encontrar por los usuarios inexpertos (sabotaje). Requiere que el intruso tenga un mínimo contacto con el sistema.. . Comunicación a los usuarios de que la solución es brindada por el intruso (publicidad).. . Provisión de ayuda del intruso encubierto como servicio técnico.. Trashing (Cartoneo) Generalmente, un usuario anota su Login y Password en un papel y luego, cuando lo recuerda, lo arroja a la basura. El procedimiento Trashing consiste en revisar el la basura en búsqueda información y por más inocente que parezca es método el que puede aprovechar un atacante para hacerse de una llave para entrar al sistema. Ataques de monitorización.

(36) CAPÍTULO 1. FUNDAMENTOS DE LA SEGURIDAD INFORMÁTICA. 25. Este tipo de ataque se realiza para observar a la víctima y su sistema, con el objetivo de obtener información, establecer sus vulnerabilidades y posibles formas de acceso futuro. Ataque de Denegación de Servicio El objetivo del ataque de denegación de servicios también conocido como ataque DoS (Denial of Service), es interrumpir el funcionamiento normal de un servicio y por lo tanto este se vuelve inaccesible para los usuarios legítimos del sistema o de la red. Este tipo de ataque se efectúa mediante la saturación de los puertos con flujo de información, lo cual provoca que el servidor se sobrecargue y debido a esto ya no pueda continuar dado servicios. Por lo general, las denegaciones de servicio se dividen de la siguiente manera (Miller and Pearson 2011): . Explotación de las debilidades del protocolo TCP/IP.. . Explotación de las vulnerabilidades del software del servidor.. Shoulder Surfing Consiste en espiar físicamente a los usuarios para obtener el Login y su Password correspondiente. El Surfing explota el error de los usuarios de dejar sus datos anotados cerca de la computadora (generalmente en notas adheridas al monitor o teclado). Cualquier intruso puede pasar por ahí, verlos y memorizarlos para su posterior uso. Otra técnica relacionada al Surfing es aquella mediante la cual se ve, por encima del hombro, al usuario cuando teclea su nombre y contraseña. (Tsema 2011) Ataques de autentificación Este tipo de ataque tiene como objetivo engañar al sistema de la víctima para ingresar al mismo. Generalmente este engaño se realiza tomando las sesiones ya establecidas por la víctima u obteniendo su Nombre de Usuario y Contraseña. Ataque de Spoofing-looping. Spoofing puede traducirse como “hacerse pasar por otro” y el objetivo de esta técnica, justamente, es actuar en nombre de otros usuarios. El intruso usualmente utiliza un sistema para obtener información e ingresar en otro, y luego utiliza este para entrar en otro, y así sucesivamente. Este proceso se le llama Looping, tiene la finalidad de desaparecer la.

(37) CAPÍTULO 1. FUNDAMENTOS DE LA SEGURIDAD INFORMÁTICA. 26. identificación y la ubicación del atacante. El camino tomado desde el origen hasta el destino puede tener muchas estaciones, que exceden obviamente los límites de un país. Otra consecuencia del looping es que una compañía o gobierno pueden suponer que están siendo atacados por un competidor o una agencia de gobierno extranjera, cuando en realidad están seguramente siendo atacados internamente, o por un estudiante a miles de kilómetros de distancia, pero que ha tomado la identidad de otros. La investigación de procedencia de un looping es casi imposible, ya que el investigador debe contar con la colaboración de cada administrador de cada red utilizada en la ruta. Entre otros tipos de Spoofing podemos mencionar: . IP Spoofing: Con el IP Spoofing, el atacante genera paquetes de internet con una dirección de red falsa en el campo From, pero que es aceptada por el destinatario del paquete. Su utilización más común es enviar los paquetes con la dirección de un tercero, de forma que la víctima “ve” un ataque proveniente de esa tercera red, y no la dirección real del intruso.. . DNS Spoofing: Este ataque se consigue mediante la manipulación de paquetes UDP pudiéndose comprometer el servidor de nombres de dominio (DNS) de la red en cuestión. Si se permite el método de recursión en la resolución DNS, es posible controlar algunos aspectos del DNS remoto. La recursión consiste en la capacidad de un servidor de nombres para resolver una petición de dirección IP a partir de un nombre que no figura en su base de datos. Este es el método de funcionamiento por defecto.. . Web Spoofing: En el caso Web Spoofing el atacante crea un sitio web completo (falso) similar al que la víctima desea entrar. Los accesos a este sitio están dirigidos por el atacante, permitiéndole monitorear todas las acciones de la víctima, desde sus datos hasta los passwords, números de tarjeta de crédito, etc. El atacante también es libre de modificar cualquier dato que se esté transmitiendo entre el servidor original y la víctima o viceversa..

(38) CAPÍTULO 1. FUNDAMENTOS DE LA SEGURIDAD INFORMÁTICA. 1.5. 27. Conclusiones del Capítulo. En este capítulo se abordaron los temas relacionados con los fundamentos teóricos de la Seguridad Informática, haciendo énfasis en la criptografía y sus variantes. De igual forma se realizó un recorrido por los mecanismos de seguridad que implementan las diferentes aplicaciones y algunos de los tipos de ataques a los cuales podemos estar expuestos cuando trabajamos dentro de un entorno computacional interconectado en red..

(39) CAPÍTULO 2. HERRAMIENTAS DE SEGURIDAD. 28. CAPÍTULO 2. HERRAMIENTAS DE SEGURIDAD. En este capítulo se abordan los temas relacionados con los mecanismos de escaneo de redes, la explotación de las vulnerabilidades detectadas y se realiza un recorrido por varias herramientas de seguridad. Se muestran algunas de las políticas que se deben implementar de manera complementaria para tener una mayor protección en la red. Existen muchas herramientas de seguridad, pero solo se escogieron las más utilizadas, comentando sus principales características, e incluyendo su evolución hasta la actualidad. Se describen también las herramientas simples y compuestas, algunos tipos de estas, además de sus ventajas y desventajas. 2.1. Introducción al Software de Seguridad. Un Software de Seguridad es un programa que se ejecuta en un espacio de usuario; diseñado para ayudar al administrador; ya sea alertándolo o realizando por sí mismo las acciones necesarias para mantener seguro el sistema que protege (Joancomartí, Alfaro et al. 2004). Los software de seguridad están mayormente orientados al trabajo dentro de una red de computadoras y se caracterizan por realizar el procesamiento de la información proveniente de esta, utilizando técnicas como: barridos de puertos, análisis de conexiones no autorizadas; y monitoreo de los equipos de interconexión. 2.1.1. Técnicas de escaneo para redes. Las bases para análisis de la seguridad en una red informática están sentadas sobre el escaneo de los recursos que se encuentran dentro de estas. El descubrimiento de los equipos que conforman la red es el primer paso antes de realizar cualquiera otra acción que se.

(40) CAPÍTULO 2. HERRAMIENTAS DE SEGURIDAD. 29. requiera por un atacante o administrador de sistemas. Entre las técnicas más difundidas podemos mencionar: Escaneo TCP SYN; Escaneo de Conexión TCP; Escaneo PING y Escaneo UDP. Escaneo TCP SYN Es el utilizado por defecto en la mayoría de las aplicaciones de escaneo por simplicidad y eficiencia. Puede realizarse con rapidez, escaneando miles de puertos por segundo en una red en la que no coexistan cortafuegos. Es relativamente sigiloso, ya que no llega a completar las conexiones TCP; es la razón por la que no se muestra en los archivos de eventos. Otra ventaja del Escaneo TCP SYN es que muestra una clara y fiable diferenciación entre los estados abierto, cerrado, y filtrado de los puertos TCP. El modo de funcionamiento de este escaneo se basa en el envío de un paquete SYN, como si se fuera a abrir una conexión real y después se espera una respuesta. Si se recibe un paquete SYN/ACK esto indica que el puerto está en escucha (abierto), mientras que si se recibe un RST (reset) indica que no hay nada escuchando en el puerto. Si no se recibe ninguna respuesta después de realizar algunas retransmisiones entonces el puerto se marca como filtrado. También se marca el puerto como filtrado si se recibe un error de tipo ICMP no alcanzable. En la figura 2.1 se muestra una representación de un Escaneo TCP SYN. Figura 2.1 Representación de un Escaneo TCP SYN. Escaneo de Conexión TCP El Escaneo de Conexión TCP es más útil cuando se necesita obtener una información más completa sobre los puertos TCP abierto o para cuando no se cuentan con privilegios.

(41) CAPÍTULO 2. HERRAMIENTAS DE SEGURIDAD. 30. administrativo sobre el sistema que se está analizando. Cuando se detecta un puerto abierto en un dispositivo remoto, el escáner realiza la operación de conexión típica de TCP. El Escaneo de Conexión TCP tiene un comportamiento diferente cuando el puerto analizado resulta estar cerrado. En este caso se intenta realizar una llamada de alto nivel TCP Connect () para verificar que el puerto no esté protegido detrás de un Cortafuego. Este método provoca mucha demora para dar un resultado; y puede ser que las entidades objetivo registren los eventos de intento de conexión, además de sufrir de una pequeña demanda de recursos (Lyon 2009). En la figura 2.2 se muestra una representación de un Escaneo de Conexión TCP.. Figura 2.2 Representación de un Escaneo de Conexión TCP. Escaneo PING Es uno de los escaneos más rápidos que se pueden realizar, pues permite que únicamente se efectúe el descubrimiento mediante el sondeo ICMP Ping, para hacer un listado de los equipos que responden al mismo. El Escaneo PING envía paquetes a los objetivos, por eso es considerado como intrusivo. Además admite un reconocimiento sin profundidad de la red, para evitar llamar mucho la atención. Es muy recomendable utilizar esta técnica si hay un cortafuegos con un filtrado estricto entre el sistema que ejecuta el escáner y la red objetivo. Escaneo UDP Este escaneo tiene resultados categóricamente diferentes a los obtenidos con los métodos que utilizan TCP como base, ya que causa muy poca sobrecarga de tráfico y es mucho más efectivo en objetivos que no limitan los puertos UDP. Este mecanismo. necesita de. privilegios administrativos dentro del sistema operativo para poder ejecutarse y además de.

(42) CAPÍTULO 2. HERRAMIENTAS DE SEGURIDAD. 31. incrementar el tráfico cuando los paquetes ICMP indiquen que el puerto está inalcanzable. Muchos de los sistemas operativos UNIX limitan el la razón de datos a través de los puertos UDP, lo cual influye en que tome más tiempo en resolverse en estos casos.(Lyon 2009) 2.2. Herramientas de Seguridad. De manera paralela al desarrollo del software para el análisis de la seguridad, también hay aplicaciones informáticas para explorar la red y realizar auditorías sobre sus elementos. De esta forma se intenta garantizar la seguridad del sistema ante diversos ataques. Se puede definir como una herramienta de seguridad a la agrupación de uno o varios software que incluyan entre sus prestaciones las funciones de análisis, escaneo y detección de vulnerabilidades (Lyon 2008). Se pueden mencionar dos tipos principales de estas: herramientas simples y compuestas. A continuación se abordará de forma más profunda en algunas de estas herramientas y se describirán varias de sus características. En la Figura 2.3 se muestra un esquema con la clasificación de algunas de las principales herramientas de seguridad disponibles en la actualidad.. Figura 2.3 Clasificación por tipo de las principales herramientas disponibles en la actualidad..

Figure

Figura 1.1 Diagrama en bloques de un sistema criptográfico
Figura 1.2 Esquema de cifrado utilizando criptografía simétrica
Figura 1.3 Esquema de cifrado utilizando criptografía asimétrica
Figura 1.4 Procedimiento para firmar digitalmente un documento
+7

Referencias

Documento similar

La campaña ha consistido en la revisión del etiquetado e instrucciones de uso de todos los ter- mómetros digitales comunicados, así como de la documentación técnica adicional de

[r]

SECUNDARIA COMPRENDE LOS

[r]

Luis Miguel Utrera Navarrete ha presentado la relación de Bienes y Actividades siguientes para la legislatura de 2015-2019, según constan inscritos en el

No había pasado un día desde mi solemne entrada cuando, para que el recuerdo me sirviera de advertencia, alguien se encargó de decirme que sobre aquellas losas habían rodado

diabetes, chronic respiratory disease and cancer) targeted in the Global Action Plan on NCDs as well as other noncommunicable conditions of particular concern in the European

o Si dispone en su establecimiento de alguna silla de ruedas Jazz S50 o 708D cuyo nº de serie figura en el anexo 1 de esta nota informativa, consulte la nota de aviso de la