Clase de Seguridad. Capa de (?) 10 de Junio de DC - FCEyN - UBA. (DC - FCEyN - UBA ) Clase de Seguridad 10 de Junio de / 58

(1)

Clase de Seguridad

Capa de (?)

DC - FCEyN - UBA

10 de Junio de 2015

(2)

Men´

u del d´ıa

1 Introducci´on Referencias Conceptos b´asicos Otros conceptos 2 Modelos de seguridad

Matriz de control de acceso Otros Modelos Firewalls 3 Ejercicio Firewalling Enunciado Solución 4 Criptograf´ıa Conceptos generales Criptograf´ıa clásica Criptograf´ıa moderna Manejo de claves 5 Implementaciones Protocolo Mails Demo 6 Ejercicio Criptograf´ıa Enunciado Solución 7 Ejercicio Parcial Enunciado Cerrando

(3)

Introducci´on Referencias

Referencias

Peterson.

Introduction to Computer Security, Matt Bishop, Addison-Wesley, 2004.

Seguridad de la Informaci´on (http://dc.uba.ar/materias/seginf).

(4)

Introducci´on Conceptos b´asicos

Definici´

on

Seguridad en alg´un punto implica ausencia deriesgo. Esto puede depender de nociones abstractas y sociales como la confianza.

Problema

En las redes, y por sobre todo en la Internet, es muy complejo estar exento de posibles vulnerabilidades. Lo ideal es identificar los riesgos m´as

peligroso respecto a la informaci´on que se desea resguardar y tomar las

medidaspertinentes y factibles seg´un la relaci´on costo / beneficio.

(5)

¿Es seguro?

(6)

Principales aspectos que ata˜

nen a la seguridad

Confidencialidad. Integridad. Disponibilidad.

Las leyes, coyuntura, individuos y organizaciones definen los diversos grados de riesgoque se puedemitigar o soportar respecto a estos conceptos bajo ciertos entornos.

(7)

Confidencialidad

Es elocultamiento o encubrimiento de información y/o recursos. Los mecanismos de control de accesoson los encargados de preservar este rasgo de la información. Si son vulnerados o comprometidos, se pierde la propiedad y la confidencialidad es corrompida. A veces es tan o más importante proteger el mero conocimiento de la existencia de la información que el contenido de la misma.

(8)

Integridad

Es la prevención para que no sucedan modificaciones impropias o sin autorización en la información. Existe tanto la integridad de losdatos

como la integridad deorigen. Mecanismos de autenticación y control de acceso sirven para atenuar el riesgo de comprometer este rasgo de la información. Suele ser más dificultosa de proveer que la confidencialidad.

(9)

Disponibilidad

Concierne la posibilidad deutilizar el recurso o la información necesaria. Se suelen utilizar mecanismos estad´ısticos sobre patrones de utilización de datos para asegurar la disponibilidad. Los famosos ataques dedenegación de servicio apuntan a vulnerar este concepto.

(10)

Introducci´on Otros conceptos

Amenaza

Es una potencialviolaci´on de alg´un rasgo concerniente a la seguridad. No necesariamente tiene que realizarse. Las acciones que permiten que se concrete son denominadas ataques.

Pol´ıticas vs. Mecanismos

Una pol´ıtica o norma de seguridad describe qué está permitido y qué no.

Un mecanismo de seguridad es un m´etodo, herramienta o procedimiento que fuerza el cumplimiento de la pol´ıtica.

(11)

Introducci´on Otros conceptos

Resumiendo...

Dada una especificación (formal o informal) de una pol´ıtica de seguridad describiendo qué es seguro o permisible y qué no, se deben implementar los mecanismos de seguridad adecuados para prevenir los posibles ataques, o en su defecto detectarlosy poder recuperarse de ellos. Es importante notar que a veces alcanza con simplemente identificar y actuar.

(12)

Modelos de seguridad Matriz de control de acceso

Definici´

on

El estado de protecci´on de un sistema es el conjunto de valoresde los recursos que repercuten en la seguridad del sistema (memoria principal, secundaria, registros, etc.). La matriz de control de acceso es una herramienta que permite describir los estados de protecci´on.

El modelo

Caracterizar los permisos de cada sujetorespecto a cada entidaddel estado de protecci´on. Un ejemplo de este modelo es la matriz de acceso de los sistemas Unix.

(13)

Ejemplo

Objetos: File 1, File2, Process 1, Process 2. Sujetos: Process 1, Process 2.

Permisos: Leer, escribir, anexar, ejecutar, ser due˜no de...

(14)

Limitaciones

La matriz de control de acceso es el modelo abstractoprincipal para describir modelos de seguridad. Formalmente, es capaz de expresar

cualquier pol´ıtica de seguridad, pero en la pr´actica no sirve porque no

escala. Se usa solo en ciertos casos como el ejemplo anterior donde los objetos y sujetos no son demasiados y también para análisis teóricos.

(15)

Limitaciones te´

oricas

Ser´ıa interesante encontrar un modelo que defina el estado de la máquina y luego ejecutar algúnalgoritmo, que dado un estado responda si éste es seguro o no. Sin embargo, existe un teoremaque postula que es

indecidible dar a conocer si un estado de protecci´on es seguro dado un permiso gen´erico.

(16)

Modelos de seguridad Otros Modelos

Bell-LaPadula

Orientado a proveer confidencialidad. La integridad es secundaria. Se definen niveles de seguridad para los objetos y sujetos. Ning´un sujeto puede acceder a objetos que pertenezcan a niveles de seguridad m´as altos que el de si mismo.

(17)

Modelos de seguridad Otros Modelos

Biba, Clark-Wilson

Orientado a proveer integridad. La confidencialidad es secundaria. Se definen niveles de seguridad para los objetos y sujetos. Ning´un sujeto puede escribir a objetos que pertenezcan a niveles de seguridad m´as altos que el de si mismo y leer objetos de niveles inferiores.

(18)

Modelos de seguridad Firewalls

Definici´

on

Conjunto de sistemas encargado de mediar todas las comunicaciones entre dos redes implementando una pol´ıtica de seguridad decontrol de acceso

mediante el filtrado de paquetes. Esencialmente verifica cada paquete independientemente de los dem´as y permite o denegado su paso

dependiendo de unconjunto de reglas.

(19)

Definici´

on

(20)

Distintos tipos

Stateless: Utiliza reglas sencillas sobre los mensajes entrantes / salientes del tipo:

<dirorigen,puertoorigen,dirdst,puertodst,protocolo >

Stateful: Mantiene estado de conexiones entrantes o salientes y puede permitir o denegar teniendo en cuenta la sesi´on a la que pertenece.

Gateways de aplicaci´on: Proxy inteligente. Entiende ciertos protocolos. Sirve para aplicar filtros de capa de aplicaci´on.

(21)

Ejercicio Firewalling Enunciado

Pr´

actica 9

Definir reglas y pol´ıticas de seguridad a implementar en un firewall con estado bajo la siguiente organizaci´on.

(22)

Ejercicio Firewalling Soluci´on

Dato

Servidor de mail usa POP3 e IMAP. Servidor web usa solo HTTP.

El servidor web es aut´onomo, no necesita resolver nombres ni salir a inet.

El servidor de bd solo se usa para los sitios web. Los usuarios de la red interna pueden acceder a:

1 Servidor de mail para env´ıo y recepci´on de correo. 2 Servidor proxy para navegar internet.

3 _{Servidor web de la intranet de manera directa.}

(23)

Esquema

(24)

Reglas

Politica de filtrado por defecto: DROP.

1 <Mail,∗,Internet,25,TCP > 2 _<_Mail_,∗_,_Internet_,₅₃_,_UDP _> 3 <Proxy,∗,Internet,53,UDP > 4 <Proxy,∗,Internet,80,TCP > 5 <Proxy,∗,Internet,443,TCP > 6 <Internet,∗,Web,80,TCP > 7 _<_Internet_,∗_,_Mail_,₂₅_,_TCP _> 8 <Interna,∗,Web,80,TCP >

9 <Interna,∗,Proxy,Proxy(8080),TCP > 10 <Interna,∗,Mail,25,TCP >

11 <Interna,∗,Mail,110,TCP > 12 _<_Interna_,∗_,_Mail_,₁₄₃_,_TCP _>

(25)

Demo

1 Acceder a web server. 2 modprobe ip tables.

3 Bloquear con firewall iptables -A INPUT -p tcp –dport 80 -j REJECT. 4 _{Bloquear con firewall iptables -A INPUT -p tcp –dport 80 -j REJECT.} 5 Bloquear con firewall iptables -A INPUT -p tcp –dport 80 -j DROP. 6 Bloquear una ip: iptables -A INPUT -s 192.168.1.100 -j REJECT . 7 Cambiar pol´ıtica por defecto: iptables -P INPUT DROP.

8 Aceptar conexiones solo al webserver: iptables -A INPUT -p tcp

–dport 80 -j ACCEPT

9 Cambiar A por D para borrar regla. 10 Para limpiar la tabla iptables –flush.

(26)

Criptograf´ıa Conceptos generales

Definici´

on

Un sistema criptogr´afico es una tupla (E,D,M,K,C) tal que: M es el conjunto de lostextos v´alidos.

K el conjunto declaves.

C es el conjunto de los textos cifrados. E: M x K → C.

D: C x K → M.

Objetivo

Mantener la informaci´on encriptadasecreta siempre y cuando la clave se mantenga escondida. Si se conoce el algoritmo de encriptaci´on mejor.

(27)

Criptograf´ıa Criptograf´ıa cl´asica

Dos operaciones b´

asicas

Sustituci´on Caesar Vignere One-Time Pad Transposici´on Rail Fence

(28)

Criptograf´ıa Criptograf´ıa moderna

Taxonom´ıa

Criptograf´ıa Moderna

Cript. Sim´etrica (clave secreta) Cifrado de Flujo

Cifrado en Bloque Funciones de Hashing MDC (sin clave)

Alcanza para no repudio? integridad? Por qu´e? MAC (con clave)

Alcanza para no repudio? integridad? Por qu´e?

Criptograf´ıa Asim´etrica

(29)

DES

Orientado a bitsy no a caracteres. Usa tanto transposici´on como sustituci´on. Trabaja en bloquesde a 64 bits.

Cada bloque ejecuta 16 iteraciones condistintas claves.

Fue mainstream durante muchos a˜nos. Con el tiempo fue quedando obsoleto el largo de la clave y los ataques por fuerza bruta

comenzaron a ser computacionalmente r´apidos. Tambi´en se le encontraron vulnerabilidades para algunas claves espec´ıficas. 3DES.

AES es recomendado hoy en d´ıa. Claves más largas, es más rápido y resuelve las vulnerabilidades encontradas en DES.

(30)

Conceptos

Diferentesclaves para cifrar y descifrar. A diferencia de los m´etodos cl´asicos no se debe compartir una clave secreta. Una de las claves es

p´ublicay la otra (secreta) es privada.

Se deben cumplir tres propiedades

Debe ser f´acil cifrar o descifrar dada la clave adecuada.

Debe ser inviable computacionalmente derivar la clave privada a partir de la p´ublica.

Debe ser inviable computacionalmente derivar la clave privada a partir de un texto descifrado.

(31)

RSA

Los conceptos teóricos que sustentan este algoritmo son ciertas propiedades matemáticas respecto a losnúmeros primos(factorizar números grandes es costoso), módulos y exponenciación. Un algoritmo puede encontrar un par de claves, que debido a estas propiedades no son derivables una de la otra, pero tienen la propiedad de ser lainversa.

(32)

Diversos usos...

No repudio. Integridad. Confidencialidad.

(33)

Message digest

Consiste en adosarle al mensaje a enviar un checksum que luego puede ser recomputado y constatado para verificar la integridad (igual que en ip). Para proveer seguridad se usan funciones de hash con clave o se cifran los hash sin clave.

Funciones de hash fuertes (buenas o de ida) h :A→B

Dado x∈A,h(x) es f´acil de computar.

∀y ∈B es (comp) inviable encontrar x∈Atq h(x) =y.

es (comp) inviable encontrar x,ˆx∈Atq x <>ˆx yh(x) =h(ˆx).

(34)

Mejores algoritmos conocidos actualmente

MD2 MD4 MD5 SHA-1 HAVAL

(35)

Dos Esquemas

HMAC

Hashear el mensaje mezclado con la clave. Sirve para proveerintegridad.

Est´a demostrado que la seguridad de HMAC depende de la funci´on de hash que se utilice (RFC 2104).

HMAC(K,m) =H((K +opad)||H((K +ipad)||m)) con k clave sim´etrica

Con clave asim´etrica

Hashear el mensaje y encriptar el resultado con la clave privada del emisor

−>firma digital.

(36)

Criptograf´ıa Manejo de claves

Tipos de claves

Claves de intercambio: Asociadas a un ente (máquina / persona). Claves de sesión: Asociadas a una comunicación.

Se usan claves de sesi´on nuevas por cada comunicaci´on permitiendo disminuir las posibilidades de ataques estad´ısticos.

(37)

Generar clave de sesi´

on

Confiar en un tercero (Cathy)

1 Alice → Cathy:{ Request de clave de Sesion con Bob}K_Alice 2 Cathy → Alice:{K_ses }K_Alice || {K_ses}K_Bob

3 Alice → Bob:{ K_ses }K_Bob

Kerberos

Es un servicio que provee claves de sesi´on basado en el algoritmo anterior. En la realidad es bastante m´as complejo ya que evita el

man-in-the-middle o otras posibles vulnerabilidades.

(38)

Usando criptograf´ıa de clave p´

ublica

Alice → Bob: Alice, { {Kses } DAlice }EBob

Desaf´ıos

La cuestión más importante es la validación y manejo de las claves públicas y privadas.

Aparecen los certificadosque b´asicamente son relaciones entre claves p´ublicas y cierta entidad. Para darle validez a estos certificados se conf´ıa en autoridades certificanteso cadenas de confianza.

X.509v3 es el estándar de que define los formatos de certificados (RFC 6818 la última versión).

(39)

Certificado X.509

(40)

Demo Certificados

1 Browser. 2 _Binary:

1 openssl s client -showcerts -connect host:443</dev/null 2>/dev/null| openssl x509 -outform PEM>mycertfile.pem

2 openssl x509 -in mycertfile.pem -text -noout

(41)

Implementaciones Protocolo

¿En qu´

e nivel?

(42)

TLS

Versi´on actualizada de SSL (Secure Sockets Layer).

La ´ultima versi´on de SSL (Netscape) fue 3.0 TLS se identifica como SSL v 3.1.

Similar, pero no compatible directamente.

Especificado en RFC 2246 (1999). Muchas actualizaciones: RFC 6176 (2011).

Protege una sesi´on entre cliente y servidor. El caso m´as conocido es HTTP (navegador y web server).

Requiere protocolo de transporte confiable, por ejemplo TCP.

(43)

Servicios

Autenticaci´on.

Del servidor frente el cliente

Opcionalmente, del cliente frente al servidor. Mediantecertificadosde clave p´ublica.

Integridad.

MedianteMACy n´umeros de seq.

Confidencialidad.

Opcional.

Mediantecifradocon algoritmo sim´etrico.

(44)

Handshake SSL

Se negocianlos algoritmos a utilizar durante la conexi´on. Se autentica al servidor o los dos entes.

Se genera un canal seguro para definir unamaster key. Se derivan las claves necesarias a partir de la master.

Se constata laintegridadde todos los mensajes de intercambio de claves.

Ejercicio 5

¿Qu´e informaci´on tienen disponible ambos extremos antes de iniciar el handshake?

Describa una posible implementaci´on de un handshake para establecer una conexi´on segura.

(45)

A alto nivel

(46)

Pregunta integradora

Acceder´ıan a su home banking, asumiendo por supuesto que

est´a implementado sobre la capa TLS (HTTPS), desde el wifi abierto de una plaza p´ublica?

(47)

SSH

Es un protocolo para acceder a m´aquinas remotas de manera segura Alternativa segura a Telnet y Ftp.

Provee autenticaci´on, confidencialidad e integridad.

Permite hacer cosas más avanzadas como redirigir la salida de aplicaciones a través de canales seguros (port forwarding). Ese es un caso particular de túneles seguros.

Las fases SSH son similares a las fases TLS.

(48)

Handshake SSH a alto nivel

(49)

T´

unel SSH

Sirven para:

proteger claves de protocolos inseguros (Ftp, Telnes, IMAP). Atravesar Firewalls (si permiten ssh).

Acceder a servicios internos de una LAN con ip privadas.

(50)

Implementaciones Mails

Seguridad en correos electr´

onicos

Dos esquemas:

PGP

Confidencialidad y autenticaci´on.

La gesti´on de claves se basa en un esquema de confianza.

S/Mime

Certificados X509 y PKI.

Confidencialidad y autenticaci´on.

(51)

Implementaciones Demo

Demo correos encriptados con pgp

1 _{gpg –list-keys}|_{grep Edward}

2 gpg –recipient edward@fsf.org –encrypt –sign –armor

mailDePrueba.txt

3 _{gpg –decrypt respuesta.asc}

(52)

Ejercicio Criptograf´ıa Enunciado

Ejercicio 13

Dada la siguiente red se pide:

1 Describir un criptosistema de manera informal para garantizar la

autenticidad del Proxy y del servidor de la intranet. Enumere los elementos utilizados y explique c´omo esta soluci´on impide ataques de

Man in the middle. Si hacen falta cambios en las tablas de firewalling

descr´ıbalos.

(53)

Ejercicio Criptograf´ıa Soluci´on

Varias opciones

1 _HTTPS.

Firewall 1: allow<lan,∗,dmz,443,tcp>. 2 _T´_{unel SSH.}

Firewall 1: allow<lan,∗,dmz,ssh,tcp>.

3 _{Agregar certificados a los servers de la DMZ para que}_firmen_los mensajes.

Se necesita clave p´ublica y privada para el server.

Crear nuevo servicio que encapsule los mensajes del protocolo original dentro de un mensaje firmado.

Certificado en todos los hosts con la clave p´ublica del server. Firewall 1: allow<lan,∗,dmz,nuevo servicio,tcp>.

(54)

Ejercicio Parcial Enunciado

1C2015

En la organizaci´onFondoBuitre los empleados deben registrar

transacciones fraudulentas a un servidor en la Internet. Con el fin de evitar dejar rastros, las transacciones se realizan en un servidor con IP dinámica. Para conseguir dicha IP, primero se debe iniciar una conexión TCP al puerto 7564 de un servidor con IP fija (156.33.24.56) desde un host de la red interna (200.0.0.0/24). Tras autenticarse, se recibirá un intento de conexión al puerto 7565 desde la IP donde se debe efectuar la transacción. FondoBuitre protege su red interna mediante un firewall stateless que filtra paquetes en base a las reglas estándar:

<IPorigen,Puertoorigen,IPdst,Puertodst >.

(55)

Continuaci´

on

Sin embargo, también es capaz de agregar reglas dinámicamente que incluyen a los flags TCP. Las reglas dinámicas se verifican a la llegada de cada paquete y de cumplirse generan una o más reglas estáticas nuevas. A continuación, la sintaxis y semántica de las reglas dinámicas:

(56)

Continuaci´

on

<$1,$2,200,0,0,1,80,SAR>→ {<$1,$2,200,0,0,1,80>, <

200,0,0,2,$2,200,0,0,1,$2>}significa que si llega un paquete de

cualquier <IP,puerto>, a la IP interna 200.0.0.1 puerto 80 con las flags SYN, ACK y RST encendidos entonces, en ese momento y por un per´ıodo acotado, se agregan las siguientes reglas est´aticas:

<IP,Puerto,200,0,0,1,80> y<200,0,0,2,Puerto,200,0,0,1,Puerto >

siendoIP yPuertolos valores concretos del paquete recibido. O sea, a partir de una regla din´amica, a la llegada de un paquete se pueden generar varias reglas est´aticas.

(57)

Se pide:

a. Defina el conjunto de reglas más restrictivo posible, tanto estáticas como dinámicas, necesarias para lograr que los empleados puedan realizar las transacciones descriptas.

b. Luego de un tiempo se identifica que existe una falla de seguridad ya que nadie verifica la autenticidad del servidor. Por ende se pide agregar un mecanismo criptográfico de clave asimétrico que asegure las propiedades de integridad y no repudio. De modo breve y conciso, detalle y justifique cómo lo implementar´ıa.

Clase de Seguridad. Capa de (?) 10 de Junio de DC - FCEyN - UBA. (DC - FCEyN - UBA ) Clase de Seguridad 10 de Junio de / 58