Embed Size (px)
DESCRIPTION
Nuevas tecnologías y Hardware. Sistemas de seguridad. Jornada de formación del CDI de la FGUAM El día 24 de febrero 2009 Duración 4 horas. Hardware de seguridad. Comunicación Sistema s de encriptación/desencriptación de datos Cortafuegos Trusted Platform Module - PowerPoint PPT Presentation
Citation preview
Nuevas tecnologías y Hardware.
Sistemas de seguridad
Jornada de formación del CDI de la FGUAM
El día 24 de febrero 2009
Duración 4 horas.
Hardware de seguridad
• Comunicación– Sistemas de encriptación/desencriptación de datos – Cortafuegos– Trusted Platform Module
• Restauración y integridad de datos– Hardware de copias de seguridad– Bloqueo de cambios
• Identificación de personas / limitación de acceso– Sistemas biométricos– Cámaras de seguridad– Llaves USB y otros dispositivos tipo llave (I.e. PD ResQ)
Como garantizar la seguridad1. Determine las necesidades empresariales críticas de su
organización
2. Evalúe la subcontratación
3. Concéntrese en la rentabilidad
Antes de que adquiera cualquier tecnología o firme un contrato de servicio, tenga en consideración tareas que costarán poco o nada a su empresa, tales como asegurarse de que sus equipos dispongan de confguraciones seguras, y buscar versiones gratuitas de soluciones de protección contra el spyware (como Windows Defender). A pesar de las ventajas de rentabilidad de la tecnología de seguridad mejorada, su mejor rendimiento de la inversión es el dinero que ahorrará su empresa en administración de desastres si se produce infracciones perjudiciales. Si quedasen expuestos datos de clientes, por ejemplo, tendrá que considerar lo difícil que será recuperarse de un golpe de tal magnitud a las relaciones públicas. La mejor manera de obtener un mayor presupuesto para seguridad, dicen los expertos, es exprimir al máximo el dinero asignado actualmente a la seguridad. Esto implica evaluar los sistemas de seguridad actuales y garantizar que funcionen a la máxima eficiencia posible.
Factor humanoEl hacker norteamericano Kevin Mitnick:
"Tomarse en serio a sus empleados, implicando también a los
directivos, crear protocolos de actuación con normas sencillas, fáciles
de recordar y cumplir, implicar a la gente, mostrándoles qué puede
pasar si se dejan engañar y, sobre todo, enseñarles que está bien
negarse a hacer o decir algo si no lo ven claro". Además, el experto
aconseja no tirar a la basura información importante, que alguien pueda
encontrar rebuscando en los contenedores; ni publicar datos en
Internet, como directorios de teléfonos internos, muy valiosos para un
atacante.
Firewall
Solución gratis: Deshabilitar disqueteras y reproductores de CD es importante ya que a través de estos medios, se puede tomar control del ordenador de forma sencilla. A no ser que sea absolutamente necesario, estos dispositivos deberían estar eliminados de los PC’s donde trabajan los empleados. Una solución sería tener un solo ordenador con estos equipos por si hay que grabar alguna cosa. Así mismo, también sería conveniente tener bajo control las memorias USB. Cualquier dispositivo para almacenar datos puede tener virus o programas para vulnerar el sistema.
Basado en hardware
Si tu oficina tiene mas de 10 ordenadores, un Firewall de tipo hardware sería mas conveniente. Si nos basamos en la arquitectura para definirlo, a este tipo se le suele llamar firewall DMZ, porque se encargan de separar la red "desmilitarizada" (De Militarized Zone) o red externa donde se encuentran los equipos que dan servicio a Internet de la red local.
Son equipos con un sistema operativo sobre el que corren programas de routing, firewalling, etc., eso si se le llama firmware.
Basado en software
Si tiene menos de 10 ordenadores con un Firewall tipo software instalado en cada ordenador sería suficiente. También depende de la importancia de la información de esos 10 ordenadores.
De hecho los routers de gama media tienen capacidad de firewalling y montan microprocesadores de las características del 386. Microprocesadores luego ejecutan código, luego también "tienen software".
Trusted Platform Module
• ¿Qué es Trusted Platform Module?
Trusted Platform Module (TPM) es un chip de almacenamiento seguro de pares de claves y credenciales PKI (Infraestructura de claves públicas) únicos. En otras palabras, es la "caja fuerte" ideal donde se pueden guardar las claves de datos cifrados.
• Así funciona
La mayoría de las soluciones de seguridad actuales se basan en software. En consecuencia, no proporcionan una protección de seguridad suficiente y son vulnerables a los ataques físicos o lógicos. Sin embargo, TPM es una solución de seguridad basada en hardware y software. Forma parte del proceso de inicio del equipo portátil y también se integra con el sistema operativo. A pesar de estar físicamente separado de la CPU principal, el TPM va unido al circuito principal del portátil.
¿Qué aplicaciones se pueden utilizar con TPM?
• Cifrado de archivos y carpetas– Windows EFS (Sistema de archivos de cifrado)– Unidad cifrada virtual (unidad segura personal)
• Correo electrónico seguro– Versiones de Outlook, Outlook Express y Netscape
Communicator que admiten las características de firma digital y cifrado/descifrado de correo.
• WWW seguro Versiones de Internet Explorer y Netscape Communicator que admiten protocolos de seguridad (SSL)
• Otros – Red privada virtual (VPN)– Contraseña de utilización única (por ejemplo, RSA
SecurID) – Autenticación de clientes
CHIP TPM
Llaves USB de seguridad (tipo PD ResQ)
• Bloquear Archivos/Carpetas • Bloquear Discos • Bloquear dispositivos de disco externos • Bloquear Carpetas Compartidas • Bloquear Red • Bloquear los dispositivos de H/W • Encriptación de Datos • Desintegrador de Archivos/Carpetas
¿QUÉ ES LA BIOMETRÍA?
• La Biometría es una tecnología que utiliza alguna característica biofísica de la La Biometría es una tecnología que utiliza alguna característica biofísica de la persona para ser identificada. Cada individuo posee una información biológica que persona para ser identificada. Cada individuo posee una información biológica que
lo diferencia de los demás y lo hace único. Un dispositivo de identificación lo diferencia de los demás y lo hace único. Un dispositivo de identificación biométrica verifica automáticamente la identidad de la persona mediante la biométrica verifica automáticamente la identidad de la persona mediante la
medición de sus características físicas. La referencia de las medidas se obtiene medición de sus características físicas. La referencia de las medidas se obtiene registrando previamente a la persona en el dispositivo biométrico; las posteriores registrando previamente a la persona en el dispositivo biométrico; las posteriores
verificaciones se realizan comparando los datos que se obtengan en dichas verificaciones se realizan comparando los datos que se obtengan en dichas verificaciones con los que se han memorizado en el proceso de registro.verificaciones con los que se han memorizado en el proceso de registro.
– Los dispositivos biométricos pueden reconocer estos rasgos distintivos, como son: Los dispositivos biométricos pueden reconocer estos rasgos distintivos, como son: – la geometría de la mano, la geometría de la mano, – la huella dactilar, la huella dactilar, – la forma facial, la forma facial, – la voz, la voz, – el iris, el iris, – la retina, la retina, – la forma de la firma, la forma de la firma, – las venas, las venas, – etc.etc.
• La Biometría ofrece soluciones seguras y fiables, eliminando los riesgos que tienen La Biometría ofrece soluciones seguras y fiables, eliminando los riesgos que tienen otras tecnologías no tan avanzadas, ya que la información biológica de cada otras tecnologías no tan avanzadas, ya que la información biológica de cada individuo es única. individuo es única.
Aplicaciones y mercados
• Control de acceso físico• Control de acceso lógico• Control de presencia (control horario)• Autorización de transacciones• Fidelización
Se utiliza en medianas y grandes empresas para controles de acceso físico (departamentos de I+D, zonas restringidas y VIPs, dirección, centros de cálculo...) y controles de acceso lógico (acceso a sistemas informáticos y redes, ficheros) o como elemento de control de presencia en los accesos a la empresa, ya que la biometría asegura que es verdaderamente el trabajador quien se está identificando ante el sistema. En aeropuertos y zonas con seguridad crítica, en bancos, en comunidades de vecinos, casas particulares y condominios, ascensores.
Tabla comparativa de sistemas biométricos
Ojo (Iris) Ojo (Retina) Huellas dactilaresGeometría de
la mano Escritura y firma Voz Cara
Fiabilidad Muy alta Muy alta Alta Alta Media Alta Alta
Facilidad de uso Media Baja Alta Alta Alta Alta Alta
Prevención de ataques Muy alta Muy alta Alta Alta Media Media Media
Aceptación Media Media Media Alta Muy alta Alta Muy alta
Estabilidad Alta Alta Alta Media Baja Media Media
Reconocimiento por la geometría de la mano.
• Posibilidad de trabajar en modo autónomo u off-line (el equipo se encarga de todas las funciones) y on-line o conectado en red y controlados, local o remotamente, por un sistema informático con el correspondiente software de gestión.
• Gran capacidad de almacenamiento de datos (patrones). • Programación de diversos parámetros y condiciones, así como conexión de periféricos. • Velocidad de lectura y verificación aceptable. • Discrimina pequeños desplazamientos, desvíos o rotaciones al presentar la mano para su lectura. • Almacenamiento en memoria de acontecimientos: admisiones, denegaciones, fallos, averías, etc. • Confirmación de operaciones por medio de señales acústicas, ópticas o mensajes hablados. • Discrimina la presencia de cambios poco significativos motivados por anillos o alianzas, tiritas o apósitos, heridas o cortes, etc. • Posibilidad de instalación en red para controlar tanto el acceso como la presencia de numerosas personas en múltiples
ubicaciones. • Integración en otros sistemas de control de acceso implantados (tornos, puertas, barreras,...) y combinación con otros medios de
identificación automática (lectores de tarjetas, teclados). • No hay que preocuparse de portar objetos para identificarse ni de su custodia.
Los equipos pueden contar con display en el que reciben mensajes de confirmación de operaciones o textos dirigidos a ellos personalmente. Si cuenta con dispositivos de interfonía los mensajes pueden ser verbales.
Estos equipos permiten identificar las personas por el reconocimiento del perfil tridimensional de la mano (exclusivo de cada persona) que es capturado al presentarse en la pantalla del lector.
Para ello, al dar de alta un nuevo perfil de mano, se crea un patrón que es almacenado en memoria para posteriores comprobaciones de acceso. Hay equipos que actualizan el patrón de referencia cada vez que detectan cambios mínimos en el perfil presentado, siendo las causas más frecuentes hematomas, contusiones, cicatrices, etc.
Reconocimiento de la voz
Equipo que permite identificar las personas por el reconocimiento de características fónicas (tono, timbre, intensidad) de la voz. El usuario habla a través de un teléfono o micrófono conectado a un controlador que verifica la coincidencia con el perfil almacenado y actúa en consecuencia, confirmando o denegando el acceso.
Para ello, al dar de alta una nueva caracterización, se crea un perfil biométrico que es memorizado con el fin de cotejar posteriores intentos de acceso. Estos equipos actualizan el patrón de referencia cada vez que detectan cambios mínimos en el perfil captado.
• Posibilidad de trabajar en modo autónomo u off-line (el equipo se encarga de todas las funciones) y on-line o conectado en red y controlado, local o remotamente, por un sistema informático con el correspondiente software de gestión.
• Es conveniente utilizar una frase secreta por cada usuario ya que se aumenta la seguridad al desconocer la "longitud" del mensaje.
• Gran capacidad de almacenamiento de datos. • Velocidad de lectura aceptable. • Integración en otros sistemas de control de acceso implantados (tornos, puertas, barreras,...) y combinación con otros medios
de identificación automática (lectores de tarjetas, teclados). • Almacenamiento en memoria de acontecimientos: admisiones, denegaciones, fallos, averías, etc. • Confirmación de operaciones por medio de señales acústicas, ópticas o mensajes hablados. • Programación de diversos parámetros y condiciones. • Posibilidad de instalación en red para controlar tanto el acceso como la presencia de numerosas personas en múltiples
ubicaciones. • No hay que preocuparse de portar objetos para identificarse ni de su custodia.
Los equipos pueden contar con display en el que reciben mensajes de confirmación de operaciones o textos dirigidos a ellos personalmente. Si cuenta con dispositivos de interfonía los mensajes pueden ser verbales.
Reconocimiento por la retina o iris.
Equipo que permite identificar las personas por el reconocimiento de la disposición de los vasos sanguíneos de la retina, cuya forma y número es capturada y analizada al presentarse en el lector, el cual actúa en consecuencia, confirmando o denegando el acceso.
Para ello, al dar de alta una nueva forma de retina, se crea un perfil biométrico que es memorizado con el fin de verificar posteriores intentos de acceso.
El lector detecta la presencia de usuarios y presenta una abertura desde la cual se debe mirar hacia puntos establecidos mientras el equipo capta los datos a verificar.
• Posibilidad de trabajar en modo autónomo u off-line (el equipo se encarga de todas las funciones) y on-line o conectado en red y controlado, local o remotamente, por un sistema informático con el correspondiente software de gestión.
• Gran capacidad de almacenamiento de datos. • Velocidad de lectura aceptable. • Integración en otros sistemas de control de acceso implantados (tornos,
puertas, barreras,...) y combinación con otros medios de identificación automática (lectores de tarjetas, teclados).
• Programación de diversos parámetros y condiciones. • Almacenamiento en memoria de acontecimientos: admisiones,
denegaciones, fallos, averías, etc. • Confirmación de operaciones por medio de señales acústicas, ópticas o
mensajes hablados. • No hay que preocuparse de portar objetos para identificarse ni de su
custodia.
Los equipos pueden contar con display en el que reciben mensajes de confirmación de operaciones o textos dirigidos a ellos personalmente. Si cuenta con dispositivos de interfonía los mensajes pueden ser verbales.
Reconocimiento facial
Equipo que permite identificar las personas por el reconocimiento de sus particulares y únicas características de la cara, que son capturadas por una cámara de televisión y comparadas con las almacenadas en memoria del sistema, el cual actúa en consecuencia, autorizando o denegando el acceso.
Para ello, al dar de alta un nuevo rostro, se crea un perfil biométrico que es memorizado con el fin de verificar posteriores intentos de acceso.
• No precisa el contacto físico con el equipo. • Reconocimiento desde distintos ángulos e, incluso, con cambios en el aspecto: cortes
de pelo, gestos, gafas, prendas para la cabeza, etc. • Rechaza automáticamente fotos, fotocopias, caricaturas,... • Almacenamiento en memoria de acontecimientos: admisiones, denegaciones, fallos,
averías, etc. • Confirmación de operaciones por medio de señales acústicas, ópticas o mensajes
hablados. • Posibilidad de grabación de las imágenes de los accesos autorizados y/o denegados. • Posibilidad de funcionamiento autónomo o conectado en red. • Integración en otros sistemas de control de acceso implantados (tornos, puertas,
barreras,...). • No hay que preocuparse de portar objetos para identificarse ni de su custodia.
Los equipos pueden contar con display en el que reciben mensajes de confirmación de operaciones o textos dirigidos a ellos personalmente. Si cuenta con dispositivos de interfonía los mensajes pueden ser verbales.
Reconocimiento por la forma de la firma
Sistema que permite identificar las personas por el reconocimiento de la forma de la firma. El usuario elabora la firma en una pantalla de digitalización con un lápiz especial mientras un controlador verifica la coincidencia con el perfil (PIN) almacenado y actúa en consecuencia, confirmando o denegando el acceso.
• Posibilidad de trabajar en modo autónomo o conectado en red. • Programación de diversos parámetros y condiciones • Almacenamiento en memoria de acontecimientos: admisiones, denegaciones, fallos,
averías, etc. • Confirmación de operaciones por medio de señales acústicas, ópticas o mensajes
hablados. • Integración en otros sistemas de control de acceso implantados (tornos, puertas,
barreras,...) y combinación con otros medios de identificación automática (lectores de tarjetas, teclados).
• No hay que preocuparse de portar objetos para identificarse ni de su custodia.
Equipos combinados: lector o teclado y biométrico.
La implantación de los sistemas biométricos se ha concentrado en áreas que exigen un alto nivel de protección, el cual es frecuentemente reforzado al vincularse la operatividad del sistema con otros equipos de identificación automática, como teclados o lectores de tarjetas.Las exigencias de acatar dos requisitos de identificación, al supeditar la autorización de paso a dos sistemas, han orientado su aplicación hacia actividades y sectores donde prevalezcan los criterios redundantes de seguridad sobre los de reducción de costes.
El resultado es una alta fiabilidad en las operaciones de control de accesos fruto de la combinación integrada o ampliada de las funciones y prestaciones propias de cada equipo. En las tarjetas chip es factible grabar el perfil del rasgo biométrico en la memoria de la tarjeta. Por lo tanto el sistema reúne y complementa las características propias del sistema de identificación biométrico y las del elemento portado o teclado, anteriormente expuestas en cuanto a:
• Funcionamiento en modo autónomo o conectado en red y control, local o remoto. • Capacidad de almacenamiento de datos (perfiles). • Velocidad de lectura y verificación. • Almacenamiento en memoria de acontecimientos. • Integración en otros sistemas de control de acceso implantados. • Confirmación de operaciones por medio de señales. • Programación de diversos parámetros y condiciones. • Aplicaciones informáticas compatibles con sistemas operativos de uso generalizado.
Es importante seguir el proceso de control establecido, siendo habitual introducir primero el código en teclado o utilizar un lector de tarjetas sobre los cuales se obtiene un PIN numérico y posteriormente el rasgo biométrico asociado al PIN.Los equipos pueden contar con display en el que reciben mensajes de confirmación de operaciones o textos dirigidos a ellos personalmente. Si cuenta con dispositivos de interfonía los mensajes pueden ser verbales.Estos sistemas son apropiados para empresas o entidades que precisan de un elevado nivel de seguridad: laboratorios de alta tecnología, instalaciones diplomáticas o militares, edificios inteligentes, centros de proceso de datos, industrias de bienes estratégicos, etc.
Reconocimiento de la huella dactilar
Equipo que permite identificar las personas por el reconocimiento de su característica, intransferible y exclusiva huella dactilar que es capturada y analizada al presentarse en el lector, el cual actúa en consecuencia, confirmando o denegando el acceso. Para ello, al dar de alta (escanear) una nueva huella, se crea un perfil biométrico que es memorizado con el fin de verificar posteriores intentos de acceso.
• Posibilidad de trabajar en modo autónomo u off-line (el equipo se encarga de todas las funciones) y on-line o conectado en red y controlados, local o remotamente, por un sistema informático con el correspondiente software de gestión.
• Gran capacidad de almacenamiento de datos (perfil de huellas). • Velocidad de lectura y verificación aceptable (1 segundo). • Almacenamiento en memoria de acontecimientos: admisiones, denegaciones, fallos, averías, etc. • Aceptación del desplazamiento (unos 5 mm.) o rotación del dedo (unos 15 º). • Integración en otros sistemas de control de acceso implantados (tornos, puertas, barreras,...) y combinación con otros medios de identificación
automática (lectores de tarjetas, teclados). • Confirmación de operaciones por medio de señales acústicas, ópticas o mensajes hablados. • Programación de diversos parámetros y condiciones. • Posibilidad de instalación en red para controlar tanto el acceso como la presencia de numerosas personas en múltiples ubicaciones. • No hay que preocuparse de portar objetos para identificarse ni de su custodia. • Posibilidad de montaje superficial o empotrado en paredes o puertas. • Existen equipos de identificación portátiles, conectables a cualquier toma eléctrica o equipados de fuente de alimentación propia. • Como aplicación alternativa se emplea también par autorizar el acceso y uso en ordenadores.
Los equipos pueden contar con display en el que reciben mensajes de confirmación de operaciones o textos dirigidos a ellos personalmente. Si cuenta con dispositivos de interfonía los mensajes pueden ser verbales.
Sensores biométricos de huella dactilar
• Sensores Capacitivos: El escáner capacitivo genera una imagen de las crestas y valles de la huella en la superficie de un circuito integrado de silicio.
• Sensores de barra térmica: El sensor térmico utiliza un sistema de composición de la imagen basado en imágenes parciales de la huella que se van obteniendo por contraste térmico a medida que el dedo se desliza sobre el sensor. Es por ello que a menudo nos referimos a ellos como sensores de deslizamiento. Las imágenes parciales se superponen obteniendo la imagen total de la huella dactilar, momento a partir del cual se buscan los puntos significativos o minucias para extraer el modelo biométrico. Admiten bien su instalación en exteriores, a diferencia de los ópticos o capacitivos.
• Sensores ópticos: Posiblemente el sistema más extendido y común gracias a su reducido coste y facilidad de uso. El sensor óptico obtiene la imagen de la huella a partir de un escáner, mediante un proceso óptico, como su propio nombre indica.
Tipos de lectores biométricos de huella dactilar
• Lectores biométricos de tecnología térmica: Los lectores de tecnología térmica son especialmente indicados para soluciones de control de acceso. Estos lectores disponen de una IP45 que permite instalarlos en ambientes húmedos y también en exteriores si están debidamente protegidos. Estos terminales pueden integrarse con nuestros sistemas de domótica DMI y DMK.
• Lectores biométricos de tecnología óptica: Los lectores de tecnología óptica son especialmente indicados para soluciones de control de presencia y acceso. Estos lectores sólo pueden instalarse en interior. Estos terminales permiten un registro autónomo de 400 a 2000 huellas según el modelo.
• Lectores biometricos de tecnologia óptica con código personal: La solución perfecta para el control horario, presencia y acceso. Pensados para la micro, pequeña y mediana empresa. Estos equipos utilizan sensor óptico y la combinación de un código personal para la gestión de las distintas entradas, salidas y eventos. Fácil de instalar, práctico, seguro y fiable.
PORTATILES CON ACCESO BIOMETRICO
Los sistemas de identificación mediante reconocimiento de la huella dactilar para los ordenadores portátiles tienen un funcionamiento muy sencillo y se presentan principalmente en dos formatos:
• por presión
• arrastre del dedo.
El usuario tiene primero que registrar su huella bien situando su dedo sobre el sensor o arrastrando su dedo sobre el mismo. Es entonces cuando el sensor digitaliza el dedo y elabora una imagen en tres dimensiones de la huella dactilar. Mediante un algoritmo particular del sistema se extraen puntos específicos de la imagen y estos puntos se convierten en un dato matemático, similar a una contraseña, que es encriptada y almacenada para su comprobación posteriormente. Este número representa al usuario y por tanto el sistema no almacena ninguna imagen de las huellas, sólo los números que se generan. Cuando se accede al sistema, si se pone la huella digital adecuada, se vuelve a desarrollar todo el sistema, y esta vez el número generado se compara con la muestra obtenida con anterioridad. Al coincidir el número generado con el almacenado se permite el acceso al equipo o a las aplicaciones o los datos concretos.
