Transcript Integridad de Información

SEGURIDAD LÓGICA
Seguridad y Auditoria de Sistemas
Ciclo 2009-2
Ing. Yolfer Hernández, CIA
TEMARIO –
Herramientas y
Técnicas SL
• Sistemas de Identificación Personal:
• Conceptos Generales
• Dispositivos: Tarjetas
• Lógicos: Sistemas de acceso
• Presenciales: Biometría.
• Integridad de Información
• Conceptos de Integridad de Información
• Integridad en Bases de Datos, Discos y
Comunicaciones
Sistemas de Identificación
Personal
Identificadores:
• Físicos
Vigilancia con identificación legal
• Por Dispositivos
Smart Card, Rusco
• Presenciales
Biométricas
• Lógicos
Sistemas de Acceso
PIN, Segunda clave, clave token, etc.
Firmas Digitales (Certificados)
Clasificación según el usuario “Algo que”:
• Tiene
Tarjetas inteligentes, llaves físicas
• Conoce
Passwords, PIN,
• Es
Huellas dactilares, voz, iris, firma
Smart Card
Físicamente es una
tarjeta de plástico con
estándares de
resistencia y flexibilidad.
Tipos:
 Tarjetas de Contacto:


Con memoria
Con procesador
 Tarjetas inalámbricas:


Radiofrecuencia
Read only y R/W con protocolos propietarios
Smart Card
Versatilidad = f (memoria, cpu, otros)
Normas ISO y Open Card
Aplicaciones:
 Identificaciones de acceso
 Hoteles, Resorts
 Telefonía
 Tarjetas de Salud
 Monedero electrónico bancario
 Pasaporte electrónico, peajes
Sistemas de Acceso
Aplicaciones que permiten asignar accesos y
privilegios a usuarios según políticas y
procedimientos. Se establecen:
Recursos: Aplicaciones, Transacciones, Ambientes
Usuarios: Personalización al individuo
Políticas: Permisos de usos de recursos
Perfiles: Agrupación de usuarios
Administración: Solicitante, Autorizador, Ejecutor
Control y Auditoria: Verificaciones y rastreos
Sistemas de Acceso
Ejemplo:
Sistema SeguriNet
Componentes
- Servicio: Local o Central
- Cliente: Ejecutado en cada PC
- Modulo de Administración y Seguridad
Biometría
Permite identificar, comprobar y/o obtener
rasgos de la persona basándose en sus
características biológicas medibles y/o en
sus pautas de comportamiento.
En seguridad de sistemas, se usan técnicas
de autentificación que permiten establecer
una relación entre una persona y un
determinado patrón asociado a ella de forma
segura e intransferible.
Controles biométricos
Por Características:
Fisiológicas
Huella digital
Iris y Retina
Reconocimiento Facial
Geometría de la mano
Comportamiento
Firma
Voz
Dinámica del Teclado
Controles biométricos
Parámetros de características:
- Unicidad: No existan dos iguales
- Estabilidad: Permanecen inalterables
- Universalidad: Se pueden extraer a
cualquiera
- Otros: Facilidad de captura, rendimiento,
costos,aceptación.
LG IrisAccessTM 3000
http://www.lgiris.com/ps/products/index.htm
Funcionamiento
• Registro en el Sistema (“Enroll”)

Captura el rasgo característico de la persona

Crea el modelo de referencia

Almacenar en una BD
• Verificación

Captura del rasgo

Crea el “modelo vivo”

Compara el resultado del modelo con la BD
Algoritmos de comparación:

Poca probabilidad de dos tomas exactamente iguales

Tasas de errores: ensayo de comparación

Umbral de aceptación o rechazo
Un producto biométrico
Funcionamiento
• Se presiona el lector con el dedo
• El escáner aprecia los pequeños detalles que encierran
curvas, remolinos, profundidad, cordilleras y los
convierte en valores y / o funciones matemáticas.
• El resultado del algoritmo es una serie de números
• No podrán ser traducidos a la imagen original
• Pueden ser comparados con los números la
próxima vez que se generen al presionar el
dispositivo
Ventajas / Desventajas
Integridad de Información
Garantiza que el contenido de la información no
sea alterada (por degradación o manipulación) en
el origen, transito o destino, a menos que sea
autorizada (personas, procesos o procedimientos), desde
el momento en que fueron creados, transmitidos o
guardados.
Está estrechamente relacionado al concepto de
autentificación del origen de los datos, que
permite conocer la validez del origen.
Existen:
En Bases de Datos
En Dispositivos magnéticos
En Tramas
Integridad en Bases de Datos
• Integridad de dominio

Regla de valores válidos: Tipos de datos y contenido
• Integridad de Transición


Define los estados por lo que debe pasar una “tupla”
Ejemplo: Solicitado, Autorizado, procesado
• Integridad de Entidades


Una entidad se distinga de las demás inequívocamente
Ejemplo: Clave primaria: identificador único y no nulo
• Integridad de Transacciones



Varias operaciones sobre la BD considerada como una sola.
En el intermedio puede estar en estado inconsistente
Al inicio y cuando termina en estado consistente.
Integridad en Bases de Datos
• Integridad Referencial


Se da entre la clave primaria y foránea
La clave foránea exista en la tabla referenciada
• Integridad Semántica



Violan restricciones (como dominios o atributos) diseñadas
en la BD, que debe ser consistente con la realidad
Estáticas: propiedad que debe ser correcta en cada estado.
Xe la edad debe ser valor positivo
De transición: Se debe cumplir en cada par de estados
consecutivos. Xe la edad no debe decrecer.
• Integridad Operacional




Las transacciones deben ser “seriables”
Mecanismos de control de concurrencia
Problemas: Operación perdida, Inconsistencias en la BD,
Salidas inconsistentes, pérdida de actualizaciones.
Técnicas: bloqueos, marcas de tiempo, trx anidadas
Integridad en dispositivos
magnéticos
Sistemas de Detección de errores
• Control de Paridad
•
•
•
Se añade un bit extra en cada porción del bloque
Puede ser paridad par o impar
Usado generalmente para ASCII que usa 7 bits
• Check Sum – Suma de Comprobación


Se añade la suma al final del bloque de datos (256 Bytes o
1Kb)
El receptor debe comprobar
• CRC (Cyclic Redundancy Check)


Usan el código polinómico: tratan las cadenas de bits como
representaciones de polinomios con coeficiente 0 y 1
Se define el polinomio generador
Integridad en dispositivos
magnéticos
Sistemas de Corrección de errores, añadiendo
palabras de control intercaladas entre los datos.
• Por Suma
•
•
Se intercala la suma de dos datos adyacentes, si hay error
en una palabra se detecta y corrige con una resta.
Si existen n datos de m bits, se añaden n-1 datos de m+1
bits
• Por XOR (OR exclusivo)



Se aplica bit a bit a cada pareja de datos y el resultado se
intercala entre ellos
El numero de bits resultante es el mismo que la entrada
Si se aplica otro XOR entre el resultado y uno de los datos,
se obtiene el otro
Integridad en dispositivos
magnéticos
Sistemas de Corrección de errores:
• Se implementa con mecanismos de agrupación para
que no estén consecutivos los datos n, n+1 y n+2
• Se agrupan al menos de 3 en 3 bloques
• Se define el tamaño del bloque que indica el numero
máximo de bytes seguidos que se puede perder
• X ejemplo: en los Cd’s se puede recuperar 14000 bits
seguidos errados, entonces discos con fallas de 2
milimetros se reproducen sin problemas.
Existen sistemas mas eficientes y complejos como el Reed
Solomon o la Clave Golay.
Integridad en dispositivos
magnéticos
RAID: Sistema de Almacenamiento de Datos
• Almacena en forma redundante en diferentes lugares de
discos múltiples (arreglo de discos)
• Usa técnica de “striping” (creación de bandas):partición
del disco en sectores (de 512 bytes a varios MB).
• Las operaciones de I/O tienen mejor rendimiento
• Tiempo de posicionamiento del cabezal de lectura
•
Tiempo de busqueda y Latencia rotacional (retardo por giro
del disco al inicio de datos)
• Tiempo de transferencia de datos desde/hacia el disco
•
De un bit por vez y densidad de grabación
• RAID de Hardware, se presenta como un solo disco: SCSI
• RAID de Software, se implementa en el código Kernel de la
gestión del disco: Discos IDE y SCSI
• Existen diferentes tipos de RAID y dependerá de la aplicación,
costo, rendimiento e integridad.
Integridad en
Comunicaciones
Capas OSI
Protocolos
Aplicación
DNS, FTP, HTTP, IMAP, IRC, NFS, NNTP, NTP, POP3, SMB/CIFS, SMTP,
SNMP, SSH, Telnet, SIP
Presentación
ASN.1, MIME, SSL/TLS, XML
Sesión
NetBIOS
Transporte
SCTP, SPX, TCP, UDP
Red
AppleTalk, IP, IPX, NetBEUI, X.25
Enlace
ATM, Ethernet , Frame Relay, HDLC, PPP, Token Ring, Wi-Fi, STP
Físico
Cable coaxial, Cable de fibra óptica, Cable de par trenzado,
Microondas, Radio, RS-232
Preámbulo
Dirección
de Destino
Dirección
de Origen
Tipo /
Longitud
DATOS
Verificación
de Trama
Formatos: Ethernet, Token Ring, IEEE 802.3, etc.
Integridad en
Comunicaciones
Se dan a nivel de enlace (nivel 2 de OSI), cuyo objetivo es
conseguir que la información fluya, libre de errores, entre dos
máquinas que estén conectadas directamente. Ante un error
la corrección puede ser:
• Por retransmisión: Sistemas de detección como control de
paridad, suma de comprobación, CRC, ARQ-ACK, etc.
• Por corrección directa: Sistemas de corrección como Entrelazado
(palabras de control)
Los sistemas de protección realizan una codificación y
decodificación del mensaje, para lo cual se toman medidas de
seguridad con:
• Algoritmos de autenticación: Firma Digital
• Algoritmos de encriptación: Funciones Hash (MD5, SHA-1, MAC)
Integridad en
Comunicaciones – Firma Digital
Firma:
El emisor encripta el documento con su llave privada
Envía al destinatario el documento en claro y el encriptado.
Verificación:
El receptor desencripta el documento cifrado con la clave pública de A
Comprueba que coincide con el documento original, lo que valida que
el emisor ha sido efectivamente A.
Integridad en
Comunicaciones – Firma Digital
Firma
El emisor obtiene un resumen con una función hash al documento
Encripta dicho resumen con su clave privada.
Envía al receptor el documento en texto el resumen hash encriptado.
Verificación:
El receptor aplica la función hash al resumen sin encriptar
Desencripta el resumen encriptado con la llave pública de A.
Compara ambos, si coinciden está seguro de que ha sido A el que le ha
enviado el documento.