viernes, 10 de septiembre de 2010

LA SEGURIDAD INFORMATICA

La seguridad informática consiste en asegurar que los recursos del sistema de información (material informático o programas) de una organización sean utilizados de la manera que se decidió y que el acceso a la información allí contenida, así como su modificación, sólo sea posible a las personas o los usuarios autorizados.

Es importante para evitar que otros usuarios o personas ya seán piratas informaticos o hackers no puedan tener acceso a la red empresarial para evitar la pérdida de la información, modificaciones o eliminar datos.

Las amenazas o vulnerabilidades más destacadas de la seguridad informatica son los ataques de virus, códigos maliciosos, gusanos, caballos de troya y hackers, entre otros.

Las políticas de seguridad informática deben basarse en los siguientes pasos:


  • Identificar y seleccionar la información que se desea proteger.

  • Dar prioridad a la información a proteger.

  • Mirar las posibles consecuencias de no proteger alguna información.

  • Ver posibles amenazas y vulnerabilidades.

  • Hacer analisis de costos de prevensión y beneficios.

  • Implementar respuestas de incidentes y posibles soluciones.


Implementación de seguridad en Sistemas Operativos
OpenBSD


El proyecto OpenBSD ubicado en Canadá es una de las distribuciones que en más de 10 años solo ha tenido dos agujeros de seguridad en la instalación por defecto.
Integra criptografía en muchas partes del sistema operativo. Los componentes criptográficos que se usan se escribieron en Argentina, Australia, Canadá, Alemania, Grecia, Noruega, y Suecia.
Incluye Kerberos V. El código base que se usa es el de la versión exportable de Heimdal, de Suecia. El código fuente del entorno gráfico X11 se ha ampliado para usar Kerberos.
Fué el primer sistema operativo que incluyó Ipsec integrada en el núcleo, con aceleración de hardware basada en una variedad de tarjetas.

OpenSSH

Desde la versión OpenBSD 2.6 se implementó una versión de ssh totalmente libre y sin gravámenes de patentes. Agregando características como:
  • Los componentes con patentes fueron eliminados directamente del código fuente; cualquier componente bajo licencia o patentado utiliza bibliotecas externas.

  • Actualizado para dar soporte al protocolo 1.5 de ssh.

  • Soporte para autenticación de tickets con Kerberos.

  • Soporte para autenticación con «contraseña de uso de una sola vez» (one-time password) con skey (S/Key es una procedimiento para usar una sola vez las contraseñas para autenticar el acceso a los sistemas informáticos. Se utiliza 64 bits de información transformada por algoritmos MD4, MD5, RIPEMD-160 o SHA1. El usuario suministra los 64 bits en forma de 6 palabras en Inglés que son generados por un ordenador seguro). Antes de usar skey el sistema necesita ser inicializado utilizando skeyinit. Esto establecerá una contraseña secreta. Después de eso, se pueden generar contraseñas de un solo uso que se pueden generar mediante skey, que pedirá la contraseña secreta. Después de usar una contraseña de una sola vez para iniciar sesión, ya no puede ser reutilizada. Posteriormente se extendió OpenSSH para que también incluyera el protocolo SSH 2 obteniendo como resultado el soporte para los 3 protocolos principales de SSH: 1.3, 1.5 y 2.0.


Generadores De Números Pseudoaleatorios



Un generador de números pseudoaleatorios (PRNG, Pseudo Random Number Generator) provee a las aplicaciones con una fuente de números que tienen ciertas propiedades importantes para la seguridad del sistema.
El algoritmo PRNG consiste en que los mismos valores iniciales producirán las mismas secuencias de salida. En un S.O multiusuario como OpenBSD existen muchos recursos que permiten alimentar el PRNG con datos aleatorios por lo cual el núcleo de OpenBSD usa el interruptor de tiempo del ratón, las señales de interrupción de datos de la red, las señales producidas entre diferentes pulsaciones de teclado y la información de E/S del disco, para alimentar la entropía. Los números aleatorios están disponibles para las rutinas del núcleo y se exportan mediante dispositivos a programas en los directorios de usuario.
Los números aleatorios se usan en: 

  1. Asignación dinámica de sin_port en bind.
  2. PIDs de procesos.IDs de datagramas de IP. 
  3. IDs de transacción de RPC (XID). 
  4. IDs de transacción de NFS RPC (XID). 
  5. IDs de requerimiento de DNS.
  6. Números de generación de I-nodos.Perturbaciones de tiempo en traceroute.Nombres temporales más robustos para mktemp y mkstemp. 
  7. Aleatoriedad añadida al valor TCP ISS para la protección contra ataques de «falseamiento de direcciones» (spoofing). 
  8. Relleno aleatorio en los paquetes esp_old de IPsec.Generación de «sales» para los distintos algoritmos de las contraseñas.Generación de retos S/Key falsos.
  9.  En isakmpd, proveer pruebas vivas de intercambios de claves 
  10. Funciones de resumen criptográfico (hash functions) 
    Estas funciones comprimen los datos de entrada en una cadena de tamaño constante.

Transformaciones criptográficas



Son utilizadas para cifrar y descifrar datos, comúnmente utilizadas con una clave de cifrado para cifrar datos, y con una clave de descifrar para descifrarlos.
OpenBSD provee transformaciones como DES, 3DES, Blowfish y Cast para el núcleo del sistema y los programas en directorios de usuario, se usan:
  • En libc para crear contraseñas con Blowfish.
  • En IPsec para proveer confidencialidad en la red.
  • En isakmpd para proteger los intercambios en los que se negocie material de clave IPsec.
  • En AFS para proteger los mensajes que pasan por la red, dando confidencialidad para el acceso remoto a los sistemas de archivos.
  • En libssl para dejar que las aplicaciones se comuniquen mediante el protocolo de facto criptográficamente seguro, SSL.

Windows


Implementa cuentas de usuario con diferentes perfiles, ya que por ejemplo el usuario administrador tiene permisos para verlo, ejecutarlo, instalarlo y borrarlo todo. Mientras que otros usuarios están limitados para realizar todas éstas funciones, pero puede utilizar los instalados por administradores. Un usuario limitado no tendrá acceso a los archivos de otros usuarios, ni a componentes importantes del sistema operativo.



Conclusiones: 


La criptografía es hoy un importante medio para mejorar la seguridad en un sistema operativo.



Publicado por en

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)