Académique Documents
Professionnel Documents
Culture Documents
CAP
TULO1.
TULO1.
PRINCIPIOS DE SEGURIDAD
PRINCIPIOS DE SEGURIDAD
Y ALTA DISPONIBILIDAD
Y ALTA DISPONIBILIDAD
Autor: Jes
Autor: Jes
s Costas Santos
s Costas Santos
SEGURIDAD Y ALTA
SEGURIDAD Y ALTA
DISPONIBILIDAD
DISPONIBILIDAD
ndice de contenidos
ndice de contenidos
1.1 INTRODUCCI
1.1 INTRODUCCI
N A LA SEGURIDAD
N A LA SEGURIDAD
INFORM
INFORM
TICA
TICA
1.2 FIABILIDAD, CONFIDENCIALIDAD,
1.2 FIABILIDAD, CONFIDENCIALIDAD,
INTEGRIDAD Y DISPONIBILIDAD
INTEGRIDAD Y DISPONIBILIDAD
1.3 ELEMENTOS VULNERABLES EN EL
1.3 ELEMENTOS VULNERABLES EN EL
SISTEMA INFORM
SISTEMA INFORM
TICO: HARDWARE,
TICO: HARDWARE,
SOFTWARE Y DATOS
SOFTWARE Y DATOS
1.4 AMENAZAS
1.4 AMENAZAS
1.5 PROTECCI
1.5 PROTECCI
N
N
SEGURIDAD Y ALTA
SEGURIDAD Y ALTA
DISPONIBILIDAD
DISPONIBILIDAD
1.1 INTRODUCCI 1.1 INTRODUCCI N A LA SEGURIDAD INFORM N A LA SEGURIDAD INFORM TICA TICA
Hoy en d Hoy en d a un sistema inform a un sistema inform tico totalmente seguro es imposible, la tico totalmente seguro es imposible, la
conectividad global, extiende el campo de posibles amenazas. conectividad global, extiende el campo de posibles amenazas.
La seguridad inform La seguridad inform tica: asegurar que los recursos del tica: asegurar que los recursos del
sistema de informaci sistema de informaci n sean utilizados de la manera que n sean utilizados de la manera que
se decidi se decidi y que el acceso y modificaci y que el acceso y modificaci n a la informaci n a la informaci n, n,
solo sea posible a las personas que se encuentren solo sea posible a las personas que se encuentren
acreditadas y dentro de los l acreditadas y dentro de los l mites de su autorizaci mites de su autorizaci n. n.
SEGURIDAD Y ALTA
SEGURIDAD Y ALTA
DISPONIBILIDAD
DISPONIBILIDAD
1.1 INTRODUCCI 1.1 INTRODUCCI N A LA SEGURIDAD INFORM N A LA SEGURIDAD INFORM TICA TICA
Objetivos
Objetivos
de la seguridad inform
de la seguridad inform
tica:
tica:
n de los
n de los
recursos y de las aplicaciones de los sistemas.
recursos y de las aplicaciones de los sistemas.
Limitar las p
Limitar las p
n en caso de un incidente.
n en caso de un incidente.
tica:
tica:
t
t
cnicas
cnicas
para
para
obtener
obtener
altos niveles de
altos niveles de
seguridad
seguridad
FIABILIDAD.
FIABILIDAD.
Sistema seguro (o fiable), garantizar
Sistema seguro (o fiable), garantizar
CIDAN: Confidencialidad, Integridad y
CIDAN: Confidencialidad, Integridad y
Disponibilidad + Autenticaci
Disponibilidad + Autenticaci
n y No
n y No
Repudio.
Repudio.
SEGURIDAD Y ALTA
SEGURIDAD Y ALTA
DISPONIBILIDAD
DISPONIBILIDAD
1.2 FIABILIDAD, CONFIDENCIALIDAD, INTEGRIDAD Y 1.2 FIABILIDAD, CONFIDENCIALIDAD, INTEGRIDAD Y
DISPONIBILIDAD DISPONIBILIDAD
Confidencialidad
Confidencialidad
: privacidad o
: privacidad o
protecci
protecci
n de informaci
n de informaci
n o
n o
comunicaci
comunicaci
n.
n.
Integridad
Integridad
: comprobar que no ha sido
: comprobar que no ha sido
alterada cierta informaci
alterada cierta informaci
n o
n o
comunicaci
comunicaci
n.
n.
Disponibilidad
Disponibilidad
: capacidad de un
: capacidad de un
servicio, datos o sistema, a ser accesible.
servicio, datos o sistema, a ser accesible.
SEGURIDAD Y ALTA
SEGURIDAD Y ALTA
DISPONIBILIDAD
DISPONIBILIDAD
1.2 CONFIDENCIALIDAD, INTEGRIDAD Y DISPONIBILIDAD 1.2 CONFIDENCIALIDAD, INTEGRIDAD Y DISPONIBILIDAD
Ejemplos Confidencialidad Ejemplos Confidencialidad: :
EFS. Cifrado de archivos en sistema operativo EFS. Cifrado de archivos en sistema operativo
Windows. Windows.
Cifrado asim Cifrado asim trico/sim trico/sim trico en comunicaciones trico en comunicaciones
SEGURIDAD Y ALTA
SEGURIDAD Y ALTA
DISPONIBILIDAD
DISPONIBILIDAD
1.2 CONFIDENCIALIDAD, INTEGRIDAD Y DISPONIBILIDAD 1.2 CONFIDENCIALIDAD, INTEGRIDAD Y DISPONIBILIDAD
Ejemplos de Integridad Ejemplos de Integridad: :
Comprobaci Comprobaci n de integridad, no falsificaci n de integridad, no falsificaci n o n o
modificaci modificaci n, de archivos del sistema ( n, de archivos del sistema (anti anti- -rootkit rootkit). ).
Windows (SFC) Windows (SFC) GNU/Linux ( GNU/Linux (Rootkit Rootkit Hunter Hunter) )
Firma digital y funciones resumen o Firma digital y funciones resumen o hash hash en en
comunicaciones. comunicaciones.
SEGURIDAD Y ALTA
SEGURIDAD Y ALTA
DISPONIBILIDAD
DISPONIBILIDAD
1.2 FIABILIDAD, CONFIDENCIALIDAD, INTEGRIDAD Y 1.2 FIABILIDAD, CONFIDENCIALIDAD, INTEGRIDAD Y
DISPONIBILIDAD DISPONIBILIDAD
Ejemplos de Disponibilidad
Ejemplos de Disponibilidad
:
:
Comprobaci Comprobaci n de disponibilidad de servicios, n de disponibilidad de servicios,
protocolos y aplicaciones inseguras: NMAP, protocolos y aplicaciones inseguras: NMAP,
NESSUS, MBSA, etc. NESSUS, MBSA, etc.
Alta disponibilidad ( Alta disponibilidad (High High Availability Availability): ): aplicaciones aplicaciones
y datos se encuentren operativos para los y datos se encuentren operativos para los
usuarios autorizados en todo momento y sin usuarios autorizados en todo momento y sin
interrupciones interrupciones, , car car cter cr cter cr tico tico. .
M Mantener sistemas funcionando 24 horas, 7 d antener sistemas funcionando 24 horas, 7 d as, as,
365 d 365 d as a salvo de interrupciones. El mayor nivel as a salvo de interrupciones. El mayor nivel
acepta 5 minutos de inactividad al a acepta 5 minutos de inactividad al a o, o,
disponibilidad de 5 nueves: 99,999%. disponibilidad de 5 nueves: 99,999%.
Ejemplo de AD: Centros de procesamiento de datos Ejemplo de AD: Centros de procesamiento de datos
(CPD). (CPD).
SEGURIDAD Y ALTA
SEGURIDAD Y ALTA
DISPONIBILIDAD
DISPONIBILIDAD
1.2 FIABILIDAD, CONFIDENCIALIDAD, INTEGRIDAD Y DISPONIBILIDAD 1.2 FIABILIDAD, CONFIDENCIALIDAD, INTEGRIDAD Y DISPONIBILIDAD
Autenticaci Autenticaci n n: verificaci : verificaci n de la identidad de un n de la identidad de un
usuario, aporta alg usuario, aporta alg n modo que permita verificar que n modo que permita verificar que
es quien dice ser (credencial: usuario o es quien dice ser (credencial: usuario o login login + +
contrase contrase a o a o password password) ). .
No repudio No repudio o o irrenunciabilidad irrenunciabilidad: permite probar la : permite probar la
participaci participaci n de las partes en una comunicaci n de las partes en una comunicaci n. n.
Existen dos posibilidades: Existen dos posibilidades:
No repudio en origen No repudio en origen: el emisor no puede negar el env : el emisor no puede negar el env o. La o. La
prueba la crea el propio emisor y la recibe el destinatario. prueba la crea el propio emisor y la recibe el destinatario.
No repudio en destino No repudio en destino: el receptor no puede negar que : el receptor no puede negar que
recibi recibi el mensaje porque el emisor tiene pruebas de la el mensaje porque el emisor tiene pruebas de la
recepci recepci n. En este caso la prueba irrefutable la crea el receptor n. En este caso la prueba irrefutable la crea el receptor
y la recibe el emisor. y la recibe el emisor.
SEGURIDAD Y ALTA
SEGURIDAD Y ALTA
DISPONIBILIDAD
DISPONIBILIDAD
1.2 FIABILIDAD, CONFIDENCIALIDAD, INTEGRIDAD 1.2 FIABILIDAD, CONFIDENCIALIDAD, INTEGRIDAD
Y DISPONIBILIDAD Y DISPONIBILIDAD
1
1
la seguridad del
la seguridad del
sistema = punto m
sistema = punto m
s d
s d
bil.
bil.
Datos: principal elemento a proteger
Datos: principal elemento a proteger
SEGURIDAD Y ALTA
SEGURIDAD Y ALTA
DISPONIBILIDAD
DISPONIBILIDAD
1.4 AMENAZAS
1.4 AMENAZAS
Personas:
Personas:
Personal de una organizaci Personal de una organizaci n. n.
Hacker Hacker: : White White / / Grey Grey / / Black Black ( (cracker cracker) )
Newbie Newbie / / wanabber wanabber / / script script- -kiddie kiddie / / luser luser. .
F
F
sicas o ambientales:
sicas o ambientales:
Robos, incendio, inundaci Robos, incendio, inundaci n, terremoto, cortes de n, terremoto, cortes de
suministro el suministro el ctrico, interferencias ctrico, interferencias
electromagn electromagn ticas, etc. ticas, etc.
L
L
gicas o de software:
gicas o de software:
Malware Malware (virus, gusano, (virus, gusano, troyano,etc troyano,etc), ), rootkit rootkit, ,
rogueware rogueware, , backdoor backdoor, , sw sw bacteria, canal cubierto, bacteria, canal cubierto,
etc. etc.
SEGURIDAD Y ALTA
SEGURIDAD Y ALTA
DISPONIBILIDAD
DISPONIBILIDAD
1.4 AMENAZAS
1.4 AMENAZAS
T
T
cnicas de ataque:
cnicas de ataque:
Malware Malware
Ingenier Ingenier a social / a social / Scam Scam / / Phishing Phishing
Botnet Botnet
Dos / Dos / DDos DDos
Spam Spam
Sniffing Sniffing
Spoofing Spoofing / / Pharming Pharming
Password Password cracking cracking / / Shoulder Shoulder surfing surfing
SEGURIDAD Y ALTA
SEGURIDAD Y ALTA
DISPONIBILIDAD
DISPONIBILIDAD
1.5 PROTECCI
1.5 PROTECCI
N
N
Auditor
Auditor
a
a
: An
: An
a
a
y sistemas de
y sistemas de
gesti
gesti
n de seguridad
n de seguridad
: est
: est
ndar
ndar
ISO 27001
ISO 27001
.
.
Fases de
Fases de
auditor
auditor
a
a
:
:
Enumeraci Enumeraci n de sistemas operativos, servicios, n de sistemas operativos, servicios,
aplicaciones, topolog aplicaciones, topolog as y protocolos de red. as y protocolos de red.
Detecci Detecci n, comprobaci n, comprobaci n y evaluaci n y evaluaci n de n de
vulnerabilidades. vulnerabilidades.
Medidas espec Medidas espec ficas de correcci ficas de correcci n. n.
Recomendaciones sobre implantaci Recomendaciones sobre implantaci n de medidas n de medidas
preventivas. preventivas.
SEGURIDAD Y ALTA
SEGURIDAD Y ALTA
DISPONIBILIDAD
DISPONIBILIDAD
1.5 PROTECCI
1.5 PROTECCI
N
N
Tipos
Tipos
de
de
auditor
auditor
a
a
:
:
Interna, perimetral,
Interna, perimetral,
test
test
de intrusi
de intrusi
n, de
n, de
c
c
digo de aplicaciones, an
digo de aplicaciones, an
lisis forense.
lisis forense.
Ejemplo pr
Ejemplo pr
cticos:
cticos:
Auditor Auditor a a wireless wireless
Auditor Auditor a a de acceso a sistemas operativos de acceso a sistemas operativos
Auditor Auditor a a de acceso a datos y aplicaciones de acceso a datos y aplicaciones
seguras. seguras.
Auditor Auditor a a de versiones inseguras de de versiones inseguras de
aplicaciones y sistema operativo. aplicaciones y sistema operativo.
SEGURIDAD Y ALTA
SEGURIDAD Y ALTA
DISPONIBILIDAD
DISPONIBILIDAD
1.5 PROTECCI
1.5 PROTECCI
N
N
Medidas de seguridad:
Medidas de seguridad:
Recurso a proteger:
Recurso a proteger:
Seguridad f Seguridad f sica sica
Seguridad l Seguridad l gica gica
a es la primera y mejor
a es la primera y mejor
recomendaci
recomendaci
n en materia de
n en materia de
seguridad inform
seguridad inform
tica
tica
.
.
Origen y evoluci Origen y evoluci n del n del eFraude eFraude
http http:// ://www.securitybydefault.com www.securitybydefault.com/2010/01/origen /2010/01/origen- -y y- -evolucion evolucion- -del del- -
efraude.html efraude.html
Los peligros m Los peligros m s comunes para los usuarios de Internet los s comunes para los usuarios de Internet los
encontramos en las denominadas redes sociales, ya que son encontramos en las denominadas redes sociales, ya que son
actualmente de las actualmente de las webs webs m m s usadas. Para ello se propone s usadas. Para ello se propone
analizar la siguiente noticia analizar la siguiente noticia Cinco nuevas estafas en Cinco nuevas estafas en Facebook Facebook y y
Twitter Twitter . .
Fuente: Fuente:http http:// ://www.csospain.es www.csospain.es/Cinco /Cinco- -nuevas nuevas- -estafas estafas- -en en- -Facebook Facebook- -y y- -
Twitter Twitter/ /seccion seccion- -alertas/articulo alertas/articulo- -196360 196360