Master
Seguridad en
Internet
Propósitos del Tema
Divulgar los conceptos de:
Conceptos sobre Seguridad de la información
Conceptos sobre TCP/IP
Funcionamientos de redes
Criptografía
Mecanísmos y Medios técnicos de seguridad
Seguridad: Definiciones
“Sabemos que es hasta que alguien nos
Sabemos que es hasta que alguien nos
pide que lo definamos” (Descartes)
pide que lo definamos
¿Qué entendemos por seguridad?
Real Academia de la Lengua:
SEGURIDAD: Cualidad de seguro
SEGURO: libre y exento de todo peligro,
daño o riesgo
Cierto, indubitable y en cierta manera infalible
No sospechoso
Definiciones de Seguridad Informática:
Consejo Superior de Informática
Conjunto de técnicas y procedimientos que
tienen como misión la protección de los bienes
informáticos de una organización
Bienes informáticos
Hardware
Datos
Programas
La información
ISO/IEC 17799
La información es un activo que tiene valor para la
organización y requiere una protección adecuada.
La seguridad de la información la protege de un
amplio elenco de amenazas para
asegurar la continuidad del negocio,
minimizar los daños a la organización
maximizar el retorno de inversiones
Y las oportunidades de negocios.
ISO/IEC 17799 formas
información
La información adopta diversas formas.
Puede estar impresa o escrita en papel,
Almacenada electrónicamente,
Transmitida por correo o por medios electrónicos,
Mostrada en filmes o hablada en conversación..
Debería protegerse adecuadamente cualquiera que
sea la forma que tome o los medios por los que se
comparta o almacene.
ISO/IEC 17799 Características
La seguridad de la información se caracteriza aquí
por la preservación de:
Su confidencialidad, asegurando que solo quien está
autorizado puede acceder a la información
Su integridad, asegurando que la información y sus
métodos de procesos son exactos y completos
Su disponibilidad, asegurando que los usuarios
autorizados tiene acceso a la información y a sus
activos asociados cuando lo requieran
QUÉ ES SEGURIDAD
Evitar el ingreso de personal no autorizado
Sobrevivir aunque “algo” ocurra
Cumplir con las leyes y reglamentaciones
gubernamentales y de los entes de control del
Estado
Adherirse a los acuerdos de licenciamiento de
software
Prevención, Detección y Respuesta contra
acciones no autorizadas
Niveles de seguridad
Seguro estaba y se murió
Seguridad total
“Queremos que no tenga éxito ningún ataque”
Seguridad = Invulnerabilidad
Imposible de alcanzar
La seguridad total no existe
bien a defender
La política de seguridad siempre es un
Existen grados de seguridad acorde con el
compromiso entre el nivel de riesgo asumido
y el coste requerido
Niveles de seguridad
Enfoque de gestión del riesgo
“Queremos que nuestras expectativas se
cumplan”
Seguridad = Confianza
Posible de gestionar
El riesgo no puede eliminarse
completamente, pero puede reducirse
Análisis de riesgos
• Objetivo:
– Identificar los riesgos
– Cuantificar su impacto
– Evaluar el coste para mitigarlos
– Servir de guía para tomar decisiones
• Riesgo = Activo x Amenaza x
Vulnerabilidad
Definiciones
ACTIVO:
Recurso del sistema de información o relacionado con éste,
necesario para que la organización funcione correctamente
y alcance los objetivos propuestos por su dirección.
AMENAZA:
Evento que puede desencadenar un incidente en la
organización, produciendo daños o pérdidas materiales o
inmateriales en sus activos.
debilidades que pueden permitir que una amenaza se
VULNERABILIDAD:
materialice
RIESGO:
Posibilidad de que una amenaza se materialice.
IMPACTO:
amenaza.
riesgo.
Consecuencia sobre un activo de la materialización de una
CONTROL o SALVAGUARDA:
Práctica, procedimiento o mecanismo que reduce el nivel de
ISO: análisis de riesgos
Valoración cuantitativa del riesgo
Modelo PDCA
Clasificación de las medidas
seguridad (I)
Medidas técnicas
Seguridad física (externa)
De Sistemas
De red
Del software
Se consigue adoptando una serie de medidas
Aspectos:
físicas y administrativas
Intrusos físicos (“choris”)
Agentes físicos externos al sistema
Seguridad lógica (Interna)
técnicas y administrativas
Se consigue adoptando una serie de medidas
ASPECTOS:
Clasificación de las medidas
seguridad (II)
Medidas Organizativas
Normas que determinan funciones como:
Las personas que pueden acceder.
Quién tiene derecho a utilizar el sistema
Horario etc
Clasificación de los usuarios
Administradores
Usuarios
Personas ajenas al sistema
Personal de mantenimiento
Ejecutivos de grado medio
Niveles
Todo el mundo tiene acceso a todo
Dos niveles: privilegiado y normal
Varios niveles de acceso
Medidas organizativas y legales
Todas las normas de “organización” (NO
técnicas) necesarias para llevar a cabo el plan
de seguridad
Medidas legales
Legislación de protección de datos
Normas de seguridad de obligado
cumplimiento
Metodologías de seguridad
Metodologías de análisis de riesgo
Metodologías de nacionales e internacionales
de seguridad
Estándares ISO
ISO 17799/UNE 71501
ISO 27000
http://www.iso27000.es/index.html
Normas ISO 27000
NACE LA FAMILIA DE LAS NORMAS ISO 27000
ISO/IEC 27001 (BS7799Part 2) ‘Information Security Management
System’. Due for release in November 2005. (Once ISO/IEC 27001 is
released, BS77992:2002 will be withdrawn)
ISO/IEC 27002 (ISO/IEC 17799 & BS7799 Part 1) The planned ‘Code
of Practice’ replacement for ISO/IEC 17799:2005 scheduled for April
2007
ISO/IEC 27003 (BS77993) ‘Risk Assessment’. No announcement has
yet been made regarding ISO/IEC 27003 however, the BSI expect to
release BS77993 in November 2005
ISO/IEC 27004 (BS77994) ‘Information Security Metrics and
Measurement’. No launch date is available, although the BSI will
publish a description in July/August 2005
¿Cómo funciona Internet?
¿Qué es Internet?
Internet es una red de redes Heterogénea
¿Que tienen en común?
El protocolo TCP/IP
TCP/IP es un conjunto de protocolos de red
capaces de soportar las comunicaciones entre equipos
conectados a gran número de redes heterogéneas,
independientes de un vendedor.
Ofrece la posibilidad de interconectar redes de
diferentes arquitecturas y con diferentes sistemas
operativos.
Se apoya en los protocolos de más bajo nivel para
acceder a la red física (Ethernet, TokenRing).
Curso Conceptos
http://www.ignside.net/man/redes/index.php
¿Cómo viaja la información por la red?
Mediante unos paquetes con un formato
predeterminado sin encriptación (2065536 bytes)
31
16
19
8
Bit:
0
4
s
o
t
e
t
c
o
0
2
Versión
IHL
Tipo de servicio
Longitud total
Identificación
Tiempo de vida
Protocolo
Indica
dores Desplazamiento de fragmento
Suma de comprobación de la cabecera
Dirección origen
Dirección de destino
Opciones + relleno
Cabecera IPv4
¿Cómo identificamos a las redes
y a los ordenadores en la red?
Mediante direcciones y nombres
Dirección IP (identifica redes y equipos de
cada red)
Nombre de dominio
Traducción nombre a dirección IP (DNS)
www.uca.es 150.214.86.11
Dirección MAC 00E07D9329AB
Traducción dirección IP a MAC
Dirección IP
Formatos direcciones IP
Una red con tres niveles de
jerarquía
Direcciones privadas
I d. de red privada Máscara de subred
I ntervalo de direcciones I P
10.0.0.0
255.0.0.0
10.0.0.1 10.255.255.254
172.16.0.0
255.240.0.0
172.16.0.1 172.31.255.254
192.168.0.0
255.255.0.0
192.168.0.1 192.168.255.254
Nombre de Dominios
• La norma FQDN
Domain Name)
(nombre totalmente cualificado= FullQualified
[email protected]
• Estilo de los dominios de primer nivel
Estilo genéricos gTLD
• Tres letras (Las .com)
Estilo por paises ccTLD
• Dos letras, y por países
.es
¿Cómo asignamos las direcciones IP a
las máquinas?
A nuestra organización
Direcciones IP reales:
la autoridad de la región ISP
Direcciones fijas
Direcciones dinámicas (DHCP)
Direcciones IP privadas
El administrador de cada red
A nuestra máquinas
Puertos ¿Cómo identifico la aplicación
a la que va destinada la información?
• A cada aplicación se le asigna una única
dirección (puerto)
Cuando se produce una solicitud de conexión a
dicho puerto, se ejecutará la aplicación
correspondiente.
Servicio o Aplicación
File Transfer Protocol (FTP)
Telnet
Simple Mail Transfer Protocol (SMTP)
Gopher
Finger
Hypertext Transfer Protocol (HTTP)
Network News Transfer Protocol (NNTP)
Puerto
21
23
25
70
79
80
119
Puertos
¿Cómo traducimos los nombres de
dominios a direcciones IP?
El nombre DNS, que consta de dos partes: un
nombre de host y un nombre de dominio
Resolución de nombres
Resolución de nombres por difusión (NetBios)
Servicio de nombres Internet de Windows (WINS,
Windows Internet Naming Service) (NetBios)
Resolución de nombres usando el Sistema de nombres
de dominio (DNS)
Ficheros LMHOSTS (NetBios)
Fichero HOSTS (DNS)
Resolución de nombres
Ejemplo
A través de su navegador Vd. pide consultar
la página web http://www.arsys.es.
El navegador busca la información de las
DNS del dominio arsys.es.
Internet está ordenada en forma de árbol
invertido, si no encuentra la información en
su ordenador, irá a buscarla a su Servidor de
Conexión
De no estar, seguirá buscándola a niveles
superiores, y en último lugar lo encontrará en
el Servidor de Nombres Raíz
Ejemplo
Relación entre direcciones IP y
direcciones físicas
ARP:
Convierte una dirección IP en una dirección
física
RARP:
Convierte una dirección física en una
En cada host debe existir una tabla de
dirección IP
encaminamiento, que está limitada a la red
que pertenece
Si
Comentarios de: Seguridad en Internet (0)
No hay comentarios