Mdulo Profesional: Seguridad y alta disponibilidad

Mdulo Profesional: Seguridad y alta disponibilidad

Cdigo: 0378.
Equivalencia en crditos ECTS: 6.
Duracin: 110 horas.
Resultados de aprendizaje y criterios de evaluacin.
1. Adopta pautas y prcticas de tratamiento seguro de la informacin, reconociendo las
vulnerabilidades de un sistema informtico y la necesidad de asegurarlo.
Criterios de evaluacin:
a) Se ha valorado la importancia de asegurar la privacidad, coherencia y disponibilidad
de la informacin en los sistemas informticos.
b) Se han descrito las diferencias entre seguridad fsica y lgica.
c) Se han clasificado las principales vulnerabilidades de un sistema informtico, segn
su tipologa y origen.
d) Se ha contrastado la incidencia de las tcnicas de ingeniera social en los fraudes
informticos.
e) Se han adoptado polticas de contraseas.
f) Se han valorado las ventajas que supone la utilizacin de sistemas biomtricos.
g) Se han aplicado tcnicas criptogrficas en el almacenamiento y transmisin de la
informacin.
h) Se ha reconocido la necesidad de establecer un plan integral de proteccin
perimetral, especialmente en sistemas conectados a redes pblicas.
i) Se han identificado las fases del anlisis forense ante ataques a un sistema.
2. Implanta mecanismos de seguridad activa, seleccionando y ejecutando contramedidas
ante amenazas o ataques al sistema.
Criterios de evaluacin:
a) Se han clasificado los principales tipos de amenazas lgicas contra un sistema
informtico.
b) Se ha verificado el origen y la autenticidad de las aplicaciones instaladas en un
equipo, as como el estado de actualizacin del sistema operativo.
c) Se han identificado la anatoma de los ataques ms habituales, as como las medidas
preventivas y paliativas disponibles.
d) Se han analizado diversos tipos de amenazas, ataques y software malicioso, en
entornos de ejecucin controlados.
e) Se han implantado aplicaciones especficas para la deteccin de amenazas y la
eliminacin de software malicioso.
f) Se han utilizado tcnicas de cifrado, firmas y certificados digitales en un entorno de
trabajo basado en el uso de redes pblicas.
g) Se han evaluado las medidas de seguridad de los protocolos usados en redes
inalmbricas.
h) Se ha reconocido la necesidad de inventariar y controlar los servicios de red que se
ejecutan en un sistema.
i) Se han descrito los tipos y caractersticas de los sistemas de deteccin de intrusiones.
3. Implanta tcnicas seguras de acceso remoto a un sistema informtico, interpretando y
aplicando el plan de seguridad.
Criterios de evaluacin:
a) Se han descrito escenarios tpicos de sistemas con conexin a redes pblicas en los
que se precisa fortificar la red interna.
b) Se han clasificado las zonas de riesgo de un sistema, segn criterios de seguridad
perimetral.
c) Se han identificado los protocolos seguros de comunicacin y sus mbitos de
utilizacin.
d) Se han configurado redes privadas virtuales mediante protocolos seguros a distintos
niveles.
e) Se ha implantado un servidor como pasarela de acceso a la red interna desde
ubicaciones remotas.
f) Se han identificado y configurado los posibles mtodos de autenticacin en el acceso
de usuarios remotos a travs de la pasarela.
g) Se ha instalado, configurado e integrado en la pasarela un servidor remoto de
autenticacin.
4. Implanta cortafuegos para asegurar un sistema informtico, analizando sus prestaciones
y controlando el trfico hacia la red interna.
Criterios de evaluacin:
a) Se han descrito las caractersticas, tipos y funciones de los cortafuegos.
b) Se han clasificado los niveles en los que se realiza el filtrado de trfico.
c) Se ha planificado la instalacin de cortafuegos para limitar los accesos a
determinadas zonas de la red.
d) Se han configurado filtros en un cortafuegos a partir de un listado de reglas de filtrado.
e) Se han revisado los registros de sucesos de cortafuegos, para verificar que las reglas
se aplican correctamente.
f) Se han probado distintas opciones para implementar cortafuegos, tanto software como
hardware.
g) Se han diagnosticado problemas de conectividad en los clientes provocados por los
cortafuegos.
h) Se ha elaborado documentacin relativa a la instalacin, configuracin y uso de
cortafuegos.
5. Implanta servidores "proxy", aplicando criterios de configuracin que garanticen el
funcionamiento seguro del servicio.
Criterios de evaluacin:
a) Se han identificado los tipos de "proxy", sus caractersticas y funciones principales.
b) Se ha instalado y configurado un servidor "proxy-cache".
c) Se han configurado los mtodos de autenticacin en el "proxy".
d) Se ha configurado un "proxy" en modo transparente.
e) Se ha utilizado el servidor "proxy" para establecer restricciones de acceso web.
f) Se han solucionado problemas de acceso desde los clientes al "proxy".
g) Se han realizado pruebas de funcionamiento del "proxy", monitorizando su actividad
con herramientas grficas.
h) Se ha configurado un servidor "proxy" en modo inverso.
i) Se ha elaborado documentacin relativa a la instalacin, configuracin y uso de
servidores "proxy".
6. Implanta soluciones de alta disponibilidad empleando tcnicas de virtualizacin y
configurando los entornos de prueba.
Criterios de evaluacin:
a) Se han analizado supuestos y situaciones en las que se hace necesario implementar
soluciones de alta disponibilidad.
b) Se han identificado soluciones hardware para asegurar la continuidad en el
funcionamiento de un sistema.
c) Se han evaluado las posibilidades de la virtualizacin de sistemas para implementar
soluciones de alta disponibilidad.
d) Se ha implantado un servidor redundante que garantice la continuidad de servicios en
casos de cada del servidor principal.
e) Se ha implantado un balanceador de carga a la entrada de la red interna.
f) Se han implantado sistemas de almacenamiento redundante sobre servidores y
dispositivos especficos.
g) Se ha evaluado la utilidad de los sistemas de "clusters" para aumentar la fiabilidad y
productividad del sistema.
h) Se han analizado soluciones de futuro para un sistema con demanda creciente.
i) Se han esquematizado y documentado soluciones para diferentes supuestos con
necesidades de alta disponibilidad.
7. Reconoce la legislacin y normativa sobre seguridad y proteccin de datos valorando su
importancia.
Criterios de evaluacin:
a) Se ha descrito la legislacin sobre proteccin de datos de carcter personal.
b) Se ha determinado la necesidad de controlar el acceso a la informacin personal
almacenada.
c) Se han identificado las figuras legales que intervienen en el tratamiento y
mantenimiento de los ficheros de datos.
d) Se ha contrastado el deber de poner a disposicin de las personas los datos
personales que les conciernen.
e) Se ha descrito la legislacin actual sobre los servicios de la sociedad de la
informacin y comercio electrnico.
f) Se han contrastado las normas sobre gestin de seguridad de la informacin.
g) Se ha comprendido la necesidad de conocer y respetar la normativa legal aplicable.
Contenidos.
Adopcin de pautas de seguridad informtica:
- Fiabilidad, confidencialidad, integridad y disponibilidad.
- Elementos vulnerables en el sistema informtico: hardware, software y datos.
- Anlisis de las principales vulnerabilidades de un sistema informtico:
- Concepto de vulnerabilidad.
- Escner de vulnerabilidades. Auditoras de seguridad.
- Amenazas. Tipos:
- Amenazas fsicas.
- Amenazas lgicas. Virus, troyanos y gusanos, entre otros.
- Seguridad fsica y ambiental:
- Ubicacin y proteccin fsica de los equipos y servidores.
- Sistemas de alimentacin ininterrumpida.
- Fuentes de alimentacin redundantes.
- Seguridad lgica:
- Criptografa. Cifrado simtrico. Cifrado asimtrico. Funciones de hash. Certificados
digitales.
- Listas de control de acceso.
- Tipos de autenticacin de usuarios: contraseas. Tarjetas inteligentes. Sistemas
biomtricos.
- Establecimiento de polticas de contraseas.
- Polticas de almacenamiento.
- Copias de seguridad e imgenes de respaldo.
- Medios de almacenamiento.
- Anlisis forense en sistemas informticos:
- Captura de evidencias.
- Anlisis de evidencias.
- Herramientas de anlisis.
Implantacin de mecanismos de seguridad activa:
- Ataques y contramedidas en sistemas personales:
- Clasificacin de los ataques. Tipos de ataques ms frecuentes.
- Anatoma de ataques y anlisis de software malicioso.
- Correo electrnico: spam, hoax, phishing, entre otros.
- Herramientas preventivas. Instalacin y configuracin.
- Herramientas paliativas. Instalacin y configuracin.
- Actualizacin de sistemas y aplicaciones.
- Seguridad en la conexin con redes pblicas. Cifrado. Firma digital.
- Pautas y prcticas seguras.
- Seguridad en la red corporativa:
- Monitorizacin del trfico en redes.
- Seguridad en los protocolos para comunicaciones inalmbricas. IEEE 802.1x.
- Riesgos potenciales de los servicios de red.
- Intentos de penetracin. Crackeo de contraseas. Puertas traseras y exploits.
Implantacin de tcnicas de acceso remoto. Seguridad perimetral:
- Elementos bsicos de la seguridad perimetral:
- Router frontera.
- Cortafuegos.
- Permetros de red. Zonas desmilitarizadas.
- Arquitectura dbil de subred protegida.
- Arquitectura fuerte de subred protegida.
- Redes privadas virtuales. Tipos de VPN:
- Sitio a sitio.
- Acceso remoto.
- Beneficios y desventajas con respecto a las lneas dedicadas.
- Tcnicas de cifrado. Clave pblica y clave privada:
- VPN a nivel de enlace. PPTP. L2TP entre otros.
- VPN a nivel de red. SSL, IPSec.
- VPN a nivel de aplicacin. SSH.
- Servidores de acceso remoto:
- Protocolos de autenticacin.
- Configuracin de parmetros de acceso.
- Servidores de autenticacin.
Instalacin y configuracin de cortafuegos:
- Utilizacin de cortafuegos.
- Filtrado de paquetes de datos.
- Tipos de cortafuegos. Caractersticas. Funciones principales.
- Instalacin de software de cortafuegos libres y propietarios. Ubicacin.
- Reglas de filtrado de cortafuegos.
- Pruebas de funcionamiento. Sondeo.
- Registros de sucesos de un cortafuegos.
- Cortafuegos por hardware.
Instalacin y configuracin de servidores "proxy":
- Tipos de "proxy". Caractersticas y funciones.
- Instalacin de servidores "proxy".
- Instalacin y configuracin de clientes "proxy".
- Configuracin del almacenamiento en la cach de un "proxy".
- Configuracin de filtros. Listas de control de acceso. Listas negras.
- Mtodos de autenticacin en un "proxy".
Implantacin de soluciones de alta disponibilidad:
- Definicin y objetivos.
- Anlisis de configuraciones de alta disponibilidad:
- Funcionamiento ininterrumpido.
- Integridad de datos y recuperacin de servicio.
- Servidores redundantes.
- Sistemas de "clusters".
- Balanceadores de carga.
- Instalacin y configuracin de soluciones de alta disponibilidad.
- Virtualizacin de sistemas. Tipos.
- Posibilidades de la virtualizacin de sistemas.
- Herramientas para la virtualizacin. Personales y empresariales.
- Configuracin y utilizacin de mquinas virtuales.
- Alta disponibilidad y virtualizacin.
- Simulacin de servicios con virtualizacin.
Legislacin y normas sobre seguridad:
- Legislacin sobre proteccin de datos. Ley de Proteccin de Datos de Carcter Personal
(LOPD).
- Legislacin sobre los servicios de la sociedad de la informacin y correo electrnico.
Orientaciones didcticas.
El objetivo de este mdulo es describir cules son los mtodos ms comunes que se
utilizan actualmente para realizar ataques a la seguridad informtica (confidencialidad,
integridad y disponibilidad de la informacin) tanto en sistemas operativos como en redes
de ordenadores y qu armas podemos implementar para la defensa ante estos ataques.
A la hora de realizar prcticas de ataques en el aula sera conveniente enfocar dichos
ataques sobre protocolos de comunicaciones analizados en el mdulo Planificacin y
administracin de redes; por ejemplo, ataques del tipo envenenamiento ARP, ataques
spoofing direcciones IP, escaneo de puertos TCP, etc.
El mdulo contempla tambin la seguridad de las redes inalmbricas, implantando
soluciones empresariales basadas en el estndar 802.1x y la utilizacin de servidores de
autenticacin Radius. Actualmente est claro y demostrado que las redes inalmbricas son
inseguras de forma intrnseca y que es necesaria una mayor dedicacin a su securizacin
que con las redes cableadas.
En una segunda parte se analizan las soluciones de alta disponibilidad, para evitar que,
ante imprevistos como fallos de hardware, elctricos o de la red, los sistemas dejen de
funcionar. Se utilizan tambin las tcnicas de virtualizacin de servidores para implementar
"clusters" de servidores, replicacin y balanceo de carga, que aseguren la disponibilidad de
recursos.
Para un seguimiento correcto de este mdulo se deben tener claros los conceptos de
comunicaciones, en particular de la arquitectura OSI y del conjunto de protocolos TCP/IP.
Se considera conveniente que los contenidos establecidos en este mdulo se organicen en
la siguiente secuencia:
- Conceptos sobre seguridad informtica. Confidencialidad. Integridad. Disponibilidad.
- Criptografa simtrica. Clave secreta.
- Criptografa asimtrica. Clave pblica.
- Ataques pasivos. Ingeniera social, sniffers.
- Ataques activos. Escaneo de puertos. Escaneo de vulnerabilidades.
- Seguridad en redes inalmbricas.
- Proteccin de redes corporativa. Seguridad perimetral.
- Instalacin y configuracin de cortafuegos.
- Instalacin y configuracin de redes privadas virtuales.
- Normativa. Ley proteccin de datos de carcter personal (LOPD).
- Instalacin y configuracin de soluciones de alta disponibilidad.
- Tcnicas de virtualizacin.
Se sugiere iniciar el mdulo haciendo un estudio de la criptografa, su justificacin y sus
aplicaciones, empezando por una aproximacin bsica, para seguir con una clasificacin
de los distintos tipos de algoritmos criptogrficos ms utilizados, su aplicacin en
protocolos y aplicaciones de uso habitual (por ejemplo en las redes inalmbricas o en el
cifrado de datos de un disco duro) y finalizando con la construccin de redes privadas
virtuales (VPN) y, en particular, dos implantaciones de las mismas: las que utilizan
protocolos SSL y las que utilizan protocolos IPSec.
Es importante que el alumnado conozca los tipos de autenticacin existentes, sus
protocolos asociados y sus aplicaciones ms habituales. Conceptos, por tanto, como
autenticacin y cifrado son muy importantes en este mdulo y convendra asegurar su
perfecta comprensin con el fin de aplicarlos de forma prctica en la implantacin de las
tcnicas de defensa.
Se estudian tambin los diferentes tipos de ataque dividindolos en categoras que pueden
estar relacionadas entre s, ya que el uso de un mtodo en una categora permite el uso de
otros mtodos en otras. Por ejemplo, despus de crakear un password o contrasea, un
intruso realiza un login como un usuario legtimo para navegar entre los archivos y explotar
vulnerabilidades del sistema. Entre estas categoras podemos diferenciar:
- Ataques a los sistemas operativos.
- Ataques a las aplicaciones.
- Ataques a la configuracin del sistema.
Tambin se analizan los tipos de defensa posible, potenciando el uso de escneres de
vulnerabilidades, sistemas de deteccin de intrusos y sobre todo tcnicas de defensa
perimetral, como la instalacin y configuracin de cortafuegos y las redes privadas virtuales
(VPN).
Por ltimo, podemos abordar la segunda parte del mdulo, donde presentaremos los
contenidos referentes a alta disponibilidad y virtualizacin. Bsicamente se trata de realizar
la instalacin y configuracin de un servidor de virtualizacin y la instalacin y
configuracin de diversas mquinas virtuales.
En relacin a los contenidos descritos, se sugieren a continuacin una serie de actividades
de referencia:
- Instalar y configurar una Infraestructura de Clave Pblica (PKI).
Se tratara de realizar la instalacin y configuracin de una PKI incluyendo un servidor que
realice las funciones de una entidad emisora de certificados, un servidor web, un servidor
de correo y un equipo cliente comprobando que se producen de forma segura todas las
transacciones realizadas. Todos estos equipos podemos instalarlos con software de
virtualizacin.
- Tcnicas de ataque a redes TCP/IP.
En un entorno de laboratorio explotar las principales amenazas de seguridad y
vulnerabilidad que pueden afectar a las redes de ordenadores bajo el protocolo TCP/IP.
Las tareas a realizar, entre otras, podran ser las siguientes:
- Captura de paquetes en una red conmutada.
- Test de intrusin.
- Auditora sobre polticas de usuario y contraseas.
- Instalacin y configuracin de un cortafuegos.
En un entorno de laboratorio donde identifiquemos una red local interna y una red externa
separadas por un cortafuegos con dos interfaces de red, configurar el cortafuegos para que
limite el acceso a la red interna desde la red externa, permitiendo slo el acceso a un
servidor web, a un acceso remoto (telnet o ssh) y a una VPN que tuviramos en la red
local, realizar la siguiente secuencia de acciones:
- Aceptacin total y denegacin explcita.
- Denegacin total y aceptacin explcita.
- Securizacin de redes inalmbricas.
En un entorno de laboratorio donde dispongamos de un punto de acceso inalmbrico (o
router inalmbrico) y dispositivos equipados con tarjetas inalmbricas en los que se desea
disponer de conexin inalmbrica, establecer una serie de medidas de seguridad bsicas
(filtrado MAC, ocultar el nombre de la red) y medidas avanzadas (autenticacin contra un
servidor Radius) para poder mantener lo ms segura posible nuestra red.
Al tratarse de un mdulo terico-prctico, sera conveniente disponer de un aula-taller
donde el alumnado pueda realizar ejercicios prcticos y de simulacin. Convendra utilizar,
entre otros, software del tipo escner de vulnerabilidades, software de deteccin de
intrusos, analizadores o sniffers de redes, software de simulaciones criptogrficas, software
de cortafuegos, virtualizacin, etc.
En lo que se refiere a relaciones con otros mdulos, este de Seguridad y alta disponibilidad
est relacionado con varios mdulos del ciclo, principalmente con Planificacin y
administracin de redes, Servicios de red y, en menor medida, con Implantacin de
aplicaciones web. De todos ellos, la relacin es especialmente estrecha con el de Servicios
de red, al utilizar los conceptos de seguridad informtica para securizar los servicios y
protocolos TCP/IP (https, secure shell...). En este sentido sera conveniente sincronizar
ambos mdulos; fundamentalmente, aspectos sobre cifrado de datos, la firma digital y los
certificados digitales se deberan trabajar previamente en este mdulo. Asimismo, el
mdulo Seguridad y alta disponibilidad ofrece soluciones adicionales de seguridad
perimetral, como zonas desmilitarizadas (DMZ) y redes privadas virtuales (VPN) que
cooperan en la defensa de los servicios.

Mdulo Profesional 0378: Seguridad y alta disponibilidad (110 h)
CDIGO UNIDAD FORMATIVA HORAS
0378-UF01(NA) Tcnicas y herramientas de ataque en redes, sistemas y servicios 30
0378-UF02(NA) Proteccin de redes corporativas. Seguridad perimetral 30
0378-UF03(NA) Redes privadas virtuales e IPSec 30
0378-UF04(NA) Alta disponibilidad y virtualizacin 20

Mdulo Profesional: Seguridad y alta disponibilidad
Cdigo: 0378. Duracin: 110 horas.
Unidad formativa: Tcnicas y herramientas de ataque en redes, sistemas y servicios.
Cdigo: 0378 - UF01 (NA). Duracin: 30 horas.
- Descripcin del problema de la seguridad en las comunicaciones.
- Tcnicas de criptografa: criptografa simtrica (clave secreta) y asimtrica (clave pblica).
Despliegue infraestructura clave pblica (PKI).
- Autenticacin y sistemas de firma digital.
- Seguridad en los elementos hardware.
- Seguridad en los elementos software. Sistemas operativos, aplicaciones y datos.
- Mtodos de ataque pasivo (ingeniera social, sniffers, etc.).
- Mtodos de ataque activo (escaneo de puertos, escaneo de vulnerabilidades, exploits).
- Herramientas de defensa bsicas ante los ataques.
- Herramientas de anlisis de vulnerabilidades.
- Herramientas de deteccin de intrusos (IDS).
- Malware. Virus.
- Tcnicas de ataque en redes inalmbricas.
Unidad formativa: Proteccin de redes corporativas. Seguridad perimetral.
Cdigo: 0378 - UF02 (NA). Duracin: 30 horas.
- Cortafuegos. Tipos y topologas.
- Zonas desmilitarizadas (DMZ).
- Instalacin y configuracin de cortafuegos en sistemas operativos libres y propietarios.
- Antivirus.
- Vulnerabilidades.
- Filtrado de contenidos. Antispam.
- Autenticacin fuerte.
- Seguridad empresarial redes inalmbricas. IEEE 802.1x.
- Implantacin IEEE 802.1x. Instalacin y configuracin servidores Radius.
Unidad formativa: Redes privadas virtuales e IPSec.
Cdigo: 0378 - UF03 (NA). Duracin: 30 horas.
- Redes privadas virtuales (VPN). Tneles.
- Tipos de VPN. Sitio a sitio. Acceso remoto.
- VPN de nivel 2. Protocolos PPTP y L2TP.
- Instalacin y configuracin de servidores VPN en sistemas libres y propietarios.
- Servidores VPN protegidos por un cortafuegos.
- VPN de nivel 3. Protocolo IPSec (IP SECurity).
- Modos de funcionamiento IPSec. Modo transporte. Modo tnel.
- VPN de nivel 4. Protocolos SSL y TLS.
Unidad formativa: Alta disponibilidad y virtualizacin.
Cdigo: 0378 - UF04 (NA). Duracin: 20 horas.
- Causas de fallos ms comunes.
- Diseos de alta disponibilidad.
- Recuperacin ante desastres.
- Tcnicas de replicacin.
- Soluciones de clustering.
- Almacenamiento. Sistemas RAID. Sistemas NAS.
- Copias de respaldo fiables.
- Red y comunicaciones.
- Aplicaciones y servicios.
- Virtualizacin. Tcnicas y modos de virtualizacin.
- Virtualizacin de aplicaciones.
- Virtualizacin de almacenamiento.
- Virtualizacin de servidores de aplicaciones.