Mod 2 - Seguridad Capa 2 y 3

Seguridad en Aplicaciones
Confidencialidad
Diplomado en Seguridad de la Información Carlos Hernando Vargas Beltrán / Julián Jiménez Agudelo
Seguridad en Bases de Datos y aplicaciones Todos los derechos reservados - Copyright
Autenticación
Es la primera línea de defensa para la mayoría
de los sistemas computarizados, permitiendo
prevenir el ingreso de personas no autorizadas.
Es la base para la mayor parte de los controles
de acceso y para el seguimiento de las
actividades de los usuarios.
Se denomina Identificación al momento en que
el usuario se da a conocer en el sistema;
y Autenticación a la verificación que realiza el
sistema sobre esta identificación.
Al igual que se considera para la seguridad física,

y basada en ella, existen cuatro tipos de técnicas
que permiten realizar la autenticación de la
identidad del usuario, las cuales pueden ser
utilizadas individualmente o combinadas:
• Algo que solamente el individuo conoce: por ejemplo
una clave secreta de acceso o password, una clave
criptográfica, un número de identificación personal o
PIN, etc.
• Algo que la persona posee: por ejemplo una tarjeta

magnética.
• Algo que el individuo es y que lo identifica

unívocamente: por ejemplo las huellas digitales o la
voz.
• Algo que el individuo es capaz de hacer: por ejemplo

los patrones de escritura.
Desde el punto de vista de la eficiencia, es conveniente
que los usuarios sean identificados y autenticados
solamente una vez, pudiendo acceder a partir de allí, a
todas las aplicaciones y datos a los que su perfil les
permita, tanto en sistemas locales como en sistemas a
los que deba acceder en forma remota. Esto se
denomina “Single Sing On” (SSO).
Autorización
Es una parte del un sistema que protege los
recursos del mismo permitiendo que sólo sean
usados por aquellos consumidores a los que se
les ha concedido autorización para ello.
Los recursos incluyen archivos y otros objetos de
dato, programas, dispositivos y funcionalidades
provistas por aplicaciones.
Protocolos y Estándares
Google + OpenID
Proceso de Autenticación
Confidencialidad con criptografía
Integridad con HASH
Una función de hash es una función que se puede utilizar
para mapear los datos de tamaño arbitrario a los datos de
tamaño fijo. Los valores devueltos por una función hash
se llaman valores hash, códigos hash, sumas de hash, o
simplemente hashes.
Un uso es una estructura de datos llamada tabla hash,
ampliamente utilizado en los programas informáticos
para el rápido de búsqueda de datos. Las funciones hash
aceleran las operaciones de búsqueda de tabla o base de
datos mediante la detección de registros duplicados en
un archivo grande. Un ejemplo es encontrar tramos
similares en secuencias de ADN.
También son útiles en la criptografía. Una
función de hash criptográfica permite verificar
fácilmente que algunos datos de entrada se
asigna a un valor de dispersión dado, pero si los
datos de entrada es desconocido, es
deliberadamente difícil de reconstruir que (o
alternativas equivalentes) conociendo el valor
hash almacenado. Esto se utiliza para asegurar
la integridad de los datos transmitidos.
Características de HASH
• Bajo consumo de CPU.
• Rápido
• No reversible
Tipos de HASH
• MD5 - message-digest algorithm
– Capaz de producir un valor hash de 128 bits (16 bytes),
normalmente expresada en formato de texto como un
número hexadecimal de 32 dígitos.
– RFC 1321
• SHA1 - Secure Hash Algorithm 1
– Diseñadao por la Agencia de Seguridad Nacional de los
Estados Unidos y es un Federal Information Processing
Standard EE.UU. publicado por el NIST Estados Unidos.
SHA-1 produce un valor hash de 160 bits (20 bytes)
conocido como un resumen del mensaje. Un valor hash
SHA-1 se suele representar como un número hexadecimal,
40 dígitos de longitud.
• Sha 2
– La familia SHA-2 consta de seis funciones hash con digest
(valores hash) que son 224, 256, 384 o 512 bits: SHA-224, SHA-
256, SHA-384, SHA-512, SHA-512/224, SHA -512 / 256.
– SHA-256 y SHA-512 son novedosas funciones hash calculado con
palabras de 32 bits y 64 bits, respectivamente. Se utilizan
diferentes cantidades de desplazamiento y constantes aditivas,
pero sus estructuras son de otra manera prácticamente idéntica,
que sólo difieren en el número de rondas.
– SHA-224 y SHA-384 son simplemente versiones truncadas de los
dos primeros, calculadas con diferentes valores iniciales.
– SHA-512/224 y SHA-512/256 también son versiones truncadas
de SHA-512, pero los valores iniciales se generan utilizando el
método descrito en los Estándares Federales de Procesamiento
de Información (FIPS PUB 180-4).
• Sha 3
– En SHA-3, el estado consiste en una matriz de 5 ×
5 de palabras de 64 bits, 1600 bits en total.
Ejemplo de integridad
Link descarga de código
Diffie-Hellman
Algoritmo de intercambio de claves, D-H es
un método específico para intercambiar de
manera segura claves criptográficas sobre un
canal público y fue uno de los primeros
protocolos de clave pública conceptualizado
originalmente por Ralph Merkle sin embargo
lleva el nombre de
Whitfield Diffie y Martin Hellman.
Video:
https://www.youtube.com/watch?v=YEBfamv-_do
Certificados digitales
La certificación digital funciona con la
criptografía asimétrica. La criptografía
asimétrica consiste básicamente en dos claves,
una privada y una pública. Lo que está
codificado con una clave privada necesita su
correspondiente clave pública para ser
descodificado, y al revés.
RSA
RSA es uno de los primeros sistemas criptográficos de clave pública
prácticos y es ampliamente utilizado para la transmisión segura de
datos.
En un sistema de cifrado , la clave de cifrado es público y se diferencia
de la clave de descifrado que se mantiene en secreto.
En RSA, esta asimetría se basa en la dificultad práctica de factorizar el
producto de dos números primos grandes, el problema factorización.
RSA está hecho de las letras iniciales de los apellidos de Ron Rivest, Adi
Shamir y Leonard Adleman, que describió por primera vez en público
el algoritmo en 1977.
“Clifford Cocks, un matemático Inglés de la agencia de inteligencia del Reino Unido

GCHQ, había desarrollado un sistema equivalente en 1973, pero no fue desclasificado
hasta 1997”
Ron Rivest, Adi Shamir y Leonard Adleman
Video:
https://www.youtube.com/watch?v=wXB-V_Keiu8
Funcionamiento Certificado
Python y RSA
• http://blog.hackxcrack.net/introduccion-a-la-
criptografia-moderna-con-python-2-rsa/
Ejemplo, Cifrar con RSA
Algoritmos
Disponibilidad
Disponibilidad se refiere a la habilidad de la
comunidad de usuarios para acceder al sistema,
someter nuevos trabajos, actualizar o alterar
trabajos existentes o recoger los resultados de
trabajos previos. Si un usuario no puede acceder
al sistema se dice que está no disponible. El
término tiempo de inactividad (downtime) es
usado para definir cuándo el sistema no está
disponible.
Disponibilidad es usualmente expresada como un
porcentaje del tiempo de funcionamiento en un año
dado.
• 99,9% = 43.8 minutos/mes u 8,76 horas/año ("tres nueves")

• 99,99% = 4.38 minutos/mes o 52.6 minutos/año ("cuatro nueves")
• 99,999% = 0.44 minutos/mes o 5.26 minutos/año ("cinco nueves")
Paradójicamente, añadiendo más componentes al sistema total

puede socavar esfuerzos para lograr alta disponibilidad. Esto es
debido a que sistemas complejos tienen inherentemente más
puntos de fallos potenciales y son más difíciles de implementar
correctamente
Soluciones para una alta disponibilidad
• Sistemas distribuidos
• Granja de servidores (NLB)
• Cluster
• Grid
• Cloud
Sistemas Distribuidos
• Un Sistema Distribuido (SD) “Es una colección
de computadores independientes que dan al
usuario la impresión de constituir un único
sistema coherente” (Tanenbaum)
Componentes de un SD
Mensajes Algoritmo Acción
Un ejemplo de sistema de nombres es NFS
cuya idea es permitir el acceso a archivos
remotos, en forma transparente, en
ambientes Unix
/
/ /
a b e
c d
/a/c
/e
/a/d
/b
/ /
a b e
c d
/a/c /e
/b/e
/a/d
/b
La implementación se hace a través de
la primitiva mount, que puede ser
ejecutada en forma automática al iniciar
el sistema
Lo más interesante es la transparencia
Ejemplo
• Montar NTFS
– Repositorios
• # apt-get update
– Servidor y cliente
• # apt-get install nfs-kernel-server nfs-common portmap
– Configurar directorio comprartido - Servidor
• Nano /etc/exports
• Directorio a compartir Dir IP/Mascara de red Servidor(permisos)
• /home/usuario/archivos 192.168.0.0/255.255.0.0(rw,sync,no_subtree_check)
– Servidor
• Reiniciar el servicio
• # /etc/init.d/nfs-kernel-server restart
– Cliente
# mount IPServidor:Directorio compartido Directorio destino
# mount 192.168.X.Y:/home/usuario/archivos /home/usuario/Prueba
Para desmontar el directorio use el comando

# umount /home/usuario/Prueba
/ /
a b e
c d e
c d
/a/c /e
/b/e
/a/d
/b
Granja de servidores
Network Load Balancing
El servicio NLB permite que varias máquinas

servidoras compartan una única dirección IP de
tal forma que la carga de solicitudes se balancea
entre las maquinas que pertenecen a la granja.
Mas información sobre el protocolo aquí
Para este ejemplo se instala en dos servidores el 2 y 3
English
Español
Desde uno de los servidores
Se escribe la IP del host con el cual se realizará el NLB
Esto toma varios segundos, por favor espere.
Seleccione y siguiente >
Posible error, lo que hace falta es agregar el mismo host al cluster
Netxt > Next > y Finalizar.
Cluster
Un cluster de alta disponibilidad es un conjunto
de dos o más máquinas que se caracterizan por
mantener una serie de servicios compartidos y
por estar constantemente monitorizándose
entre sí. Podemos dividirlo en dos clases:
• Alta disponibilidad de infraestructura
• Alta disponibilidad de aplicación
Oracle
La OSG facilita el acceso a la informática de alto
rendimiento distribuida para la investigación en los
EE.UU. Los recursos accesibles a través de la OSG
son aportados por la comunidad, organizada por la
OSG, y se rigen por el consorcio OSG.
En los últimos 12 meses, hemos proporcionado más
de 800 millones de horas de CPU a los
investigadores a través de una amplia variedad de
proyectos.

Mod 2 - Seguridad Capa 2 y 3

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Mod 2 - Seguridad Capa 2 y 3

Transféré par

Droits d'auteur :

Formats disponibles

Seguridad en Aplicaciones

Al igual que se considera para la seguridad física,

• Algo que la persona posee: por ejemplo una tarjeta

• Algo que el individuo es y que lo identifica

• Algo que el individuo es capaz de hacer: por ejemplo

Link descarga de código

“Clifford Cocks, un matemático Inglés de la agencia de inteligencia del Reino Unido

• 99,9% = 43.8 minutos/mes u 8,76 horas/año ("tres nueves")

Paradójicamente, añadiendo más componentes al sistema total

Mensajes Algoritmo Acción

Lo más interesante es la transparencia

# mount IPServidor:Directorio compartido Directorio destino

# mount 192.168.X.Y:/home/usuario/archivos /home/usuario/Prueba

Para desmontar el directorio use el comando

El servicio NLB permite que varias máquinas

Mas información sobre el protocolo aquí

Seleccione y siguiente >

Vous aimerez peut-être aussi