Introducción Seguridad ¿Qué proteger? ¿De qué proteger? Hardware Personas Software Amenazas Lógicas Datos Problemas físicos Seguridad Catástrofes ¿Qué conseguir? ¿Cómo proteger? Autenticación Autorización Prevención Disponibilidad Detección Confidencialidad Recuperación Integridad Auditoría No repudio Introducción
Criptografía Criptografía Encriptación Desencriptación Datos cifrados asE4Bhl Datos cifrados Criptografía
Algoritmos Hash Algoritmos Hash de una dirección MD4 y MD5 SHA Algoritmo Hash Datos Hash Algoritmos Hash
Algoritmos Hash con clave Algoritmos Hash de una dirección con clave Datos MAC Algoritmo Hash Hash Clave Privada Algoritmos Hash con clave
Autenticación NT-UNIX simplificada Cliente Servidor Algoritmo Hash Contraseña Usuario Autenticación de un Usuario Creación de Usuario Contr. Encrip. Usuario Contraseña Algoritmo Hash BD contraseñas encriptadas Usuario Usuario1 Usuario2 Contr Enc Contr. Encrip. Contr. Encrip. Acceso permitido Si ¿ Iguales ? Acceso denegado No Autenticación NT-UNIX simplificada
Algoritmos de clave privada Algoritmo de clave simétrica ( ó privada) DES y triple DES IDEA RC2 y RC4 SkipJack Datos Datos Algoritmo de clave simétrica asE4Bhl Datos cifrados Algoritmo de clave simétrica Clave Privada Clave Privada Algoritmos de clave privada
Algoritmos de clave pública Algoritmo de clave asimétrica ( ó pública) Datos Datos Datos RSA Diffie-Hellman Algoritmo de clave pública asE4Bhl Datos cifrados Algoritmo de clave pública Clave Pública Clave Privada Cifrado público Cifrado privado Algoritmos de clave pública
Firma Digital Firma digital Algoritmo Hash Firma Digital Datos Algoritmo Hash Hash Algoritmo de clave pública Datos Datos firmados Clave Privada del firmador Firma Digital Firma Digital
Comprobación de firma digital Datos Datos firmados Comprobación de firma digital Datos Algoritmo Hash Hash Iguales Datos auténticos íntegros y validados Si Algoritmo de clave pública Firma Digital Datos Falsos No Hash Clave Pública del firmador Comprobación de firma digital
Certificado Certificado X.509v3 Clave Pública del titular Identificación del titular del certificado Clave Pública del titular Datos de la Autoridad de Certificación Certificado de una Entidad Fechas de expedición y expiración del Certificado Usos del certificado Nº de serie: E524 F094 6000 5B80 11D3 3A19 A976 471D Algoritmo de encriptación empleado para firmar X.509v3 Firma Digital de la Autoridad Certificadora Certificado
Petición de Certificado Entidad Petición de Certificado Generador de pareja de claves Petición Datos CA Clave Privada de CA Clave Privada (bajo contraseña) Clave Pública Petición Datos de la Entidad Certificado de la Entidad Clave Pública Entidad Certificado de la Entidad Respuesta Clave Privada Respuesta Autoridad Certificadora (CA) Petición de Certificado
SSL Cliente SSL Servidor Fin No No Si Clave simétrica de sesión Continuar ? No Fin SSL No Si Clave simétrica de sesión Auténtico ? Certificado servidor Generador de claves Clave simétrica de sesión https://www.dominio.com Clave Pública servidor asE4Bhl Clave Privada servidor Clave simétrica de sesión Servidor SSL
SSL doble Cliente SSL doble Servidor Fin Fin No No Si Continuar ? No Fin SSL doble No Si Clave simétrica de sesión Auténtico ? Certificado servidor Generador de claves Clave simétrica de sesión https://www.dominio.com Clave Pública servidor Certificado cliente asE4Bhl Clave Privada servidor Si Auténtico ? Servidor No Fin Clave simétrica de sesión SSL doble
Smart Cards Smart Cards Portabilidad Datos seguros PIN E5B4 CRIPTO-PROCESADOR MEMORIA SISTEMA OPERATIVO ENTRADA SALIDA Procesos seguros Datos seguros Clave Privada Clave Pública PIN E5B4 Portabilidad Smart Cards
VPN (Red Privada Virtual) Internet VPN
P.K.I. Public Key Infraestructure Autoridad de Certificación Autoridad de Registro Servidores de tiempo Repositorio / Directorio X.500 Certificados válidos Certificados Revocados CRL Usuarios PKI
PKI, Entidades de certificación Españolas: · El proyecto CERES (CERtificación ESpañola) liderado por la FNMT (Fábrica Nacional de Moneda y Timbre) ha creado una Entidad Pública de Certificación con el principal objetivo de asegurar las comunicaciones electrónicas de los ciudadanos con la Administración. · ACE (Agencia de Certificación Española), se constituyó en 1997 con socios como Telefónica, Sistema 4B, SERMEPA y CECA. Proporciona certificación bajo SET y X.509v3. · FESTE (Fundación para el Estudio de la Seguridad en las TElecomunicaciones) integrado por los Notarios, los corredores de comercio y la Universidad de Zaragoza. Aunque su vocación es realizar estudios y proyectos, también actúa como servicio de certificación. · CAMERFIRMA está basado en las Cámaras de Comercio de toda Europa. Proporciona certificación bajo X.509v3. Internacionales: · VeriSign · SecureNet · Entrust PKI, Entidades de certificación
Aspectos técnicos de la seguridad en la información sanitaria Muchas gracias Sebastian Hualde Tapia Director del servicio de Organización y Planificación de la información Jokin Sanz Jefe de la sección de Sistemas Gobierno de Navarra final
Autenticación Autenticación Datos almacenados Si Acceso permitido No Contraseña ********* PIN E5B4 Datos almacenados Certificado digital ¿ Iguales ? Acceso permitido Si Caraterística biométrica Acceso denegado No Tarjeta inteligente Etc.... Autenticación
Tcp/ip Demonios Web, FTP, Correo Demonios / procesos .... Puertos 21 TCP/IP, demonios y puertos Web, FTP, Correo Demonios / procesos .... Puertos 21 25 80 Web FTP Correo Internet TCP/IP Tcp/ip Demonios
Cortafuegos / Proxy Internet Cortafuegos Proxy ...... Cortafuegos y Proxy de aplicaciones Cortafuegos Zona Desmilitarizada Correo Web Base Datos pública ...... Red Interna Base Datos privada Proxy Cortafuegos / Proxy
Cortafuegos. Reglas TCP/IP .... Puertos Demonios / procesos Web, FTP, Correo 21 25 80 Web FTP Correo Cortafuegos y reglas Servidor1 Cortafuegos Origen Destino Puerto Acción Estac 1 Servidor1 21 Permitir Estac 1 Servidor1 25 Denegar Estac 1 Cortafuegos. Reglas
Personas Personas Ex - empleados Trabajadores ..... Ex - empleados Personas hackers, crackers, phreakers Personas
Amenazas lógicas Amenazas lógicas troyanos Bugs Bombas lógicas virus .. y exploits gusanos Herramientas de seguridad Amenazas lógicas Puertas de atrás Técnicas Salami Amenazas lógicas
Problemas físicos Problemas físicos Condiciones ambientales eléctricos Memorias Discos Procesadores Problemas físicos Problemas físicos
Mecanismos de prevención Medios removibles: cd’s, discos,... Medios no electrónicos Red: Cortafuegos, proxy,... Autenticación, autorización, confidencialidad, integridad, no repudio y disponibilidad Prevención
Mecanismos de detección De monitorización y detección Análisis de riesgos: * scanner de puertos * fotos del sistema * análisis de contraseñas * .... Gestión de infraestructuras Antivirus Detección
PKI, petición P.K.I. Solicitud Autoridad de Certificación Autoridad de Registro Datos validados BD certificados BD solicitudes Certificado Solicitudes Certificado Certificados válidos Certificados Revocados CRL Repositorio / Directorio X.500 Usuarios Consulta LDAP PKI, petición
Autenticación NT desafio respuesta Servidor Autenticación NT desafío-respuesta Usuario Usuario Desafio BD contraseñas encriptadas Usuario1 Usuario2 Contr Enc Contraseña Algoritmo Combinación Algoritmo Hash Desafio Algoritmo Combinación Respuesta Contr. Encrip. ¿ Iguales ? Respuesta Acceso permitido Si Acceso denegado No Cliente Autenticación NT desafio respuesta