PDF de programación - Seguridad en Internet

Master

Seguridad en 
Internet

Propósitos del Tema

 Divulgar los conceptos de:

 Conceptos sobre Seguridad de la información
 Conceptos sobre TCP/IP
 Funcionamientos de redes
 Criptografía
 Mecanísmos y Medios técnicos de seguridad

Seguridad: Definiciones

 “Sabemos que es hasta que alguien nos 
Sabemos que es hasta que alguien nos 
pide que lo definamos” (Descartes)
pide que lo definamos

¿Qué entendemos por seguridad? 

 Real Academia de la Lengua:

 SEGURIDAD: Cualidad de seguro
 SEGURO: libre y exento de todo peligro, 
daño o riesgo
 Cierto, indubitable y en cierta manera infalible
 No sospechoso

Definiciones de Seguridad Informática:

 Consejo Superior de Informática

 Conjunto de técnicas y procedimientos que 

tienen como misión la protección de los bienes 
informáticos de una organización

 Bienes informáticos

 Hardware
 Datos
 Programas

La información
 ISO/IEC 17799 
 La información es un activo que tiene valor para la 
organización y requiere una protección adecuada. 

 La seguridad de la información la protege de un 

amplio elenco de amenazas para
 asegurar la continuidad del negocio, 
 minimizar los daños a la organización
 maximizar el retorno de inversiones
 Y las oportunidades de negocios.

ISO/IEC 17799 formas 
información
 La información adopta diversas formas. 
 Puede estar impresa o escrita en papel, 
 Almacenada electrónicamente, 
 Transmitida por correo o por medios electrónicos, 
 Mostrada en filmes o hablada en conversación.. 

 Debería protegerse adecuadamente cualquiera que 
sea la forma que tome o los medios por los que se 
comparta o almacene.

ISO/IEC 17799 Características

 La seguridad de la información se caracteriza aquí 

por la preservación de:
 Su confidencialidad, asegurando que solo quien está 

autorizado puede acceder a la información

 Su integridad, asegurando que la información y sus 

métodos de procesos son exactos y completos
 Su disponibilidad, asegurando que los usuarios 

autorizados tiene acceso a la información y a sus 
activos asociados cuando lo requieran

QUÉ ES SEGURIDAD
Evitar el ingreso de personal no autorizado
Sobrevivir aunque “algo” ocurra
Cumplir con las leyes y reglamentaciones  

gubernamentales y de los entes de control del 
Estado 

Adherirse a los acuerdos de licenciamiento de 

software

Prevención, Detección y Respuesta contra 

acciones no autorizadas

Niveles de seguridad

 Seguro estaba y se murió
 Seguridad total

“Queremos que no tenga éxito ningún ataque”
Seguridad = Invulnerabilidad
Imposible de alcanzar
La seguridad total no existe
bien a defender 
La política de seguridad siempre es un 

 Existen grados de seguridad acorde con el 

compromiso entre el nivel de  riesgo asumido 
y el coste requerido

Niveles de seguridad

Enfoque de gestión del riesgo
 “Queremos que nuestras expectativas se 

cumplan”

 Seguridad = Confianza
 Posible de gestionar
 El riesgo no puede eliminarse 

completamente, pero puede reducirse

Análisis de riesgos

• Objetivo:

– Identificar los riesgos
– Cuantificar su impacto
– Evaluar el coste para mitigarlos
– Servir de guía para tomar decisiones

• Riesgo = Activo x Amenaza x 

Vulnerabilidad

Definiciones
 ACTIVO: 

 Recurso del sistema de información o relacionado con éste, 
necesario para que la organización funcione correctamente 
y alcance los objetivos propuestos por su dirección.

 AMENAZA: 

 Evento que puede desencadenar un incidente en la 

organización, produciendo daños o pérdidas materiales o 
inmateriales en sus activos.

 debilidades que pueden permitir que una amenaza se 

 VULNERABILIDAD:

materialice

 RIESGO: 

 Posibilidad de que una amenaza se materialice.

 IMPACTO: 

amenaza.

riesgo.

 Consecuencia sobre un activo de la materialización de una 

 CONTROL o SALVAGUARDA: 

 Práctica, procedimiento o mecanismo que reduce el nivel de 

ISO: análisis de riesgos

Valoración cuantitativa del riesgo

Modelo PDCA

Clasificación de las medidas 
seguridad (I)
 Medidas técnicas

 Seguridad física (externa)

 De Sistemas
 De red
 Del software 

 Se consigue adoptando una serie de medidas 
 Aspectos:

físicas y administrativas

 Intrusos físicos (“choris”)
 Agentes físicos externos al sistema
 Seguridad lógica (Interna)
técnicas y administrativas

 Se consigue adoptando una serie de medidas 
 ASPECTOS:

Clasificación de las medidas 
seguridad (II)

 Medidas Organizativas

 Normas que determinan funciones como:

 Las personas que pueden acceder.
 Quién tiene derecho a utilizar el sistema
 Horario etc

 Clasificación de los usuarios

 Administradores
 Usuarios
 Personas ajenas al sistema
 Personal de mantenimiento
 Ejecutivos de grado medio

 Niveles

 Todo el mundo tiene acceso a todo
 Dos niveles: privilegiado y normal
 Varios niveles de acceso

Medidas organizativas y legales
 Todas las normas de “organización”  (NO 

técnicas) necesarias para llevar a cabo el plan 
de seguridad
 Medidas legales

 Legislación de protección de datos
 Normas de seguridad de obligado 

cumplimiento

 Metodologías de seguridad

 Metodologías de análisis de riesgo
 Metodologías de nacionales e internacionales 

de seguridad

Estándares ISO
 ISO 17799/UNE 71501
 ISO 27000

 http://www.iso27000.es/index.html 

Normas ISO 27000

 NACE LA FAMILIA DE LAS NORMAS ISO 27000
 ISO/IEC 27001 (BS7799­Part 2) ­ ‘Information Security Management 
System’. Due for release in November 2005. (Once ISO/IEC 27001 is 
released, BS7799­2:2002 will be withdrawn)

 ISO/IEC 27002 (ISO/IEC 17799 & BS7799­ Part 1) ­ The planned ‘Code 

of Practice’ replacement for ISO/IEC 17799:2005 scheduled for April 
2007

 ISO/IEC 27003 (BS7799­3) ‘Risk Assessment’. No announcement has 

yet been made regarding ISO/IEC 27003 however, the BSI expect to 
release BS7799­3 in November 2005

 ISO/IEC 27004 (BS7799­4) ‘Information Security Metrics and 

Measurement’. No launch date is available, although the BSI will 
publish a description in July/August 2005 

¿Cómo funciona Internet?
 ¿Qué es Internet?

 Internet es una red de redes Heterogénea

¿Que tienen en común?

 El protocolo TCP/IP

 TCP/IP es un conjunto de protocolos de red 

capaces de soportar las comunicaciones entre equipos 
conectados a gran número de redes heterogéneas, 
independientes de un vendedor.

 Ofrece la posibilidad de interconectar redes de 

diferentes arquitecturas y con diferentes sistemas 
operativos.

 Se apoya en los protocolos de más bajo nivel para 

acceder a la red física (Ethernet, Token­Ring).

 Curso Conceptos

 http://www.ignside.net/man/redes/index.php 

¿Cómo viaja la información por la red?

Mediante unos paquetes con un formato 
predeterminado sin encriptación (20­65536 bytes)
31

16

19

8

Bit:

0

4

s
o
t
e
t
c
o
0
2

 

Versión

IHL

Tipo de servicio

Longitud total

Identificación

Tiempo de vida

Protocolo

Indica­
dores Desplazamiento de fragmento
Suma de comprobación de la cabecera

Dirección origen

Dirección de destino

Opciones + relleno

Cabecera IPv4

¿Cómo identificamos a las redes 
y a los ordenadores en la red?
 Mediante direcciones y nombres

 Dirección IP (identifica redes y equipos de 

cada red)

 Nombre de dominio 
 Traducción nombre a dirección IP (DNS)
 www.uca.es  150.214.86.11

 Dirección MAC  00­E0­7D­93­29­AB
 Traducción dirección IP a MAC

Dirección IP

Formatos direcciones IP

Una red con tres niveles de 
jerarquía 

Direcciones privadas

I d. de red privada  Máscara de subred 

I ntervalo de direcciones I P 

10.0.0.0 

255.0.0.0 

10.0.0.1 ­ 10.255.255.254 

172.16.0.0 

255.240.0.0 

172.16.0.1 ­ 172.31.255.254 

192.168.0.0 

255.255.0.0 

192.168.0.1 ­ 192.168.255.254 

 

Nombre de Dominios

• La norma FQDN 

Domain Name)

(nombre totalmente cualificado= Full­Qualified 

[email protected]

• Estilo de los dominios de primer nivel

Estilo genéricos gTLD

•  Tres letras (Las .com)

Estilo por paises ccTLD

• Dos letras, y por países

.es

¿Cómo asignamos las direcciones IP a 
las máquinas?
 A nuestra organización
 Direcciones IP reales: 

 la autoridad de la región  ISP

 Direcciones fijas
 Direcciones dinámicas (DHCP)

 Direcciones IP  privadas

 El administrador de cada red

 A nuestra máquinas

Puertos ¿Cómo identifico la aplicación 
a la que va destinada la información?
• A cada aplicación se le asigna una única 

dirección (puerto)
Cuando se produce una solicitud de conexión a 

dicho puerto, se ejecutará la aplicación 
correspondiente.
Servicio o Aplicación
File Transfer Protocol (FTP)
Telnet
Simple Mail Transfer Protocol (SMTP)
Gopher
Finger
Hypertext Transfer Protocol (HTTP)
Network News Transfer Protocol (NNTP)

Puerto
21
23
25
70
79
80
119

Puertos

¿Cómo traducimos los nombres de 
dominios a direcciones IP?
 El nombre DNS, que consta de dos partes: un 
nombre de host y un nombre de dominio

 Resolución de nombres

 Resolución de nombres por difusión (NetBios)
 Servicio de nombres Internet de Windows (WINS, 

Windows Internet Naming Service) (NetBios)

 Resolución de nombres usando el Sistema de nombres 

de dominio (DNS)

 Ficheros LMHOSTS (NetBios)
 Fichero HOSTS (DNS)

Resolución de nombres

Ejemplo

 A través de su navegador Vd. pide consultar 

la página web http://www.arsys.es. 

 El navegador busca la información de las 

DNS del dominio arsys.es. 

 Internet está ordenada en forma de árbol 

invertido, si no encuentra la información en 
su ordenador, irá a buscarla a su Servidor de 
Conexión

 De no estar, seguirá buscándola a niveles 

superiores, y en último lugar lo encontrará en 
el Servidor de Nombres Raíz

Ejemplo

Relación entre direcciones IP y 
direcciones físicas
 ARP:

  Convierte una dirección IP en una dirección 

física
 RARP:

  Convierte una dirección física en una 
 En cada host debe existir una tabla de 

dirección IP

encaminamiento, que está limitada a la red 
que pertenece

 Si