tema 1 - seguridad en red
DESCRIPTION
Muy util para SMR, realizado por Pedro Alcaraz Díaz 2012TRANSCRIPT
![Page 1: Tema 1 - Seguridad en Red](https://reader035.vdocuments.mx/reader035/viewer/2022072009/55cf92d4550346f57b99f551/html5/thumbnails/1.jpg)
Seguridad informática
Temario
1. Conceptos de seguridad informática.
2. Seguridad física
3. Seguridad lógica
4. Criptografía
5. Gestión de almacenamiento de la información
6. Seguridad en redes
7. Normativa legal
8. Auditorias de seguridad
Seguridad Informática: Es el conjunto de mecanismos HW y SW (físico y lógico) para asegurar
el buen funcionamiento de los recursos informático y, además, garantizar la confidencialidad,
autenticación e integridad de la información.
Glosario de términos
- Confidencialidad: Nadie ajeno a esa información puede conocerla.
- Autenticación/autentificación: El origen de la información es bien conocido (well-
known, es quien dice ser).
- Integridad: La información no ha sido manipulada.
- No repudio: Es la combinación de autenticación + integridad. Es un término legal.
- Disponibilidad: La información es accesible.
- Fiabilidad: Los equipos no fallan o están preparados para responder adecuadamente a
los fallos.
- Redundancia: Duplicar recursos para aumentar la fiabilidad y la disponibilidad.
- Distribuido: Duplicar recursos para aumentar la fiabilidad y la disponibilidad.
- Distribuidor: La información total se reparte entre varios elementos.
- Vulnerabilidad: Es un agujero de seguridad en tu sistema informático.
- Hacker: Experto informático, no tiene motivación maligna.
- Cracker: Es un experto informático pero con intenciones dañinas.
- Lammer: Es igual que el cracker, pero sin conocimientos.
- Phreakers: Es un cracker telefónico.
- Sniffer: Es un cracker especializado en extraer el trafico de las redes.
- Sniffing: Robar información de una red de aire o cable.
- Spoofing: Suplanta la identidad.
- Newbie: Es un hacker novato.
- Ciberterrorismo: Es un cracker que se dedica a hacer daño contra el gobierno.
- Carders: Cracker especializados en tarjetas (cajeros).
- Programador de virus: Cracker que se dedica a hacer virus.
![Page 2: Tema 1 - Seguridad en Red](https://reader035.vdocuments.mx/reader035/viewer/2022072009/55cf92d4550346f57b99f551/html5/thumbnails/2.jpg)
- KeyLogger: Herramienta que va capturando todo lo que se escribe en el teclado.
- Fuerza bruta: Va probando contraseñas una por una hasta averiguar cuál es.
- Denegación de Servicio (DoS): Interrumpir un servicio de un ordenador mediante un
envió masivo de peticiones.
- Pishing: Obtener datos mediante una suplantación de identidad (dar datos a una
página falsa de banco)(Ataque de ingeniería Social).
- Spam: Envió de correo masivo para dar publicidad.
- Malware: Virus, programas espías, secuestradores del navegador.
- Conexión no autorizada: Conectarte con el servidor de un ordenador sin tener
permiso.
- Auditoría: Verifica si se cumplen las normas de seguridad de una empresa.
- Política de servicios: Es el conjunto de normas de seguridad que tiene una empresa.
LOPD Ley organica de protección de datos: Es un tipo de medida que nos protege para que las
empresas no puedan dar nuestros datos, y para hacerlos nos deben de pedir permiso.
Clasificación de los mecanismos de seguridad
1. Según su naturaleza:
- Físicos
- Lógicos
2. Según el momento en el que actúan:
- Pasivos
- Activos
Ejercicio 1:
- Físicos: Firewall, extintores, detectores de humos, servidor de copias de seguridad,
alarmas contra robos, SAI.
- Lógicos: Antivirus, anti-spyware, proxys, anti-troyano,
Ejercicio 2:
- Activos: Cámaras de seguridad, antivirus, encriptación, firewall
- Pasivos: Copia de seguridad, SAI
Preguntas:
1. ¿Qué problemas pueden surgir en una empresa que vende cosas en internet si le entra
un virus que formatea todos los ordenadores?
![Page 3: Tema 1 - Seguridad en Red](https://reader035.vdocuments.mx/reader035/viewer/2022072009/55cf92d4550346f57b99f551/html5/thumbnails/3.jpg)
- Pues que pierda la información de todos los productos que tiene en venta, que pierda
la información de sus clientes y sus compras, que pierdas la información de comprar
realizadas anteriormente y conlleven a problemas de devoluciones, etc.
2. ¿Qué problemas puede tener un miembro de mi familia cuando se conecta a mi red
wifi sin proteger?
- Le pueden robar datos confidenciales, les pueden meter un KeyLogger para robarles
contraseñas, entre otros muchos problemas
Encriptación o cifrado. Ocultación de datos empleando algoritmos matemáticos Contraseñas
(password): Es una serie de bits que se utilizan junto con el algoritmo matemático para
encriptar los datos.
Ejercicio: crea un algoritmo matemático
- Cojo cada palabra y la adelanto 3 posiciones en el diccionario, y cada letra la cambio
por su opuesta en el abecedario.
Clasificación de los métodos de encriptación
- Simétricos: misma clave para encriptar y desencriptar
o Ventajas: Son rápidos
o Inconvenientes: Es necesario compartir la clave. Nos la pueden robar
- Asimétricos: Distinta clave para encriptar y desencriptar
o Ventajas: No se comparte la clave privada
o Inconvenientes: Son más lentos
Sistemas asimétricos: Usan dos claves distintas. Cumpliendo lo siguiente.
1. Cada clave del par es capaz de desencriptar lo que haya encriptado la otra. No existe
otra clave distinta que puede conseguirlo.
2. A partir de las claves del par no podemos averiguar la otra.
Funcionamiento:
Un único agente genera el par de claves, una de ellas nunca se compartirá (privada).La otra se
podrá compartir libremente y se denomina pública
Simétrica:
Datos
originales
011101111
Datos
encriptados
100111
Contraseña
+ algoritmo
Cifrado
Datos
originales
011101111
Datos
encriptados
100111
Contraseña
+ algoritmo
inverso
Descifrado
Iguales
Encriptación Desencriptación
Datos
originales
--------------
--------------
--------------
Datos
encriptados
----------------
----------------
----------------
Datos
originales
--------------
--------------
--------------
![Page 4: Tema 1 - Seguridad en Red](https://reader035.vdocuments.mx/reader035/viewer/2022072009/55cf92d4550346f57b99f551/html5/thumbnails/4.jpg)
Asimétrica:
- Encriptación con la privada (Se obtiene autentificación)
- Encriptación con la pública (Se obtiene confidencialidad)
- Encriptación asimétrica con dos pares de claves
- Mezcla de encriptación simétrica y asimétrica
Publica Privada
Encriptación Desencriptación
Datos
originales
--------------
--------------
--------------
Datos
encriptados
----------------
----------------
----------------
Datos
originales
--------------
--------------
--------------
Privada Publica
Encriptación Desencriptación
Datos
originales
--------------
--------------
--------------
Datos
encriptados
----------------
----------------
----------------
Datos
originales
--------------
--------------
--------------
A B
Privada de A Privada de B
Pública de B Pública de A
“B” desencriptar con su
privada y descifra la
simétrica, a partir de ahí
es la que utilizan
A B
Privada de A Privada de B
Pública de B Pública de A
A genera una clave
simétrica y se la manda a
“B” con la pública de “B”
![Page 5: Tema 1 - Seguridad en Red](https://reader035.vdocuments.mx/reader035/viewer/2022072009/55cf92d4550346f57b99f551/html5/thumbnails/5.jpg)
Certificados digitales
Es un documento electrónico (o tarjeta inteligente) que contiene información sobre su diseño:
- Nombre
- Datos personales
- Fecha de caducidad
- Entidad emisora
Si es un certificado digital completo – Clave publica + clave privada.
Si es un certificado digital público – Solo la clave pública.
Entidades emisoras de certificados (completos) / Infraestructuras PKI
Son empresas u organismos que emiten certificados digitales completos a personas o
empresas. Son suficientemente conocidos como para confiar en ellos y garantizar que sus
certificados son auténticos.
Certificado digital público de una persona
Nombre
Caducidad
Clave publica de esa persona
Clave privada de la entidad emisora
Cert. Público
F. Caducidad
C. Pública
--------------------
C. pública e.
emisora
B (Amazon)
Privada de B
A (Yo)
Pública de C
Pública de B
C (Entidad emisora)
Ej. verisign
Privada de C
![Page 6: Tema 1 - Seguridad en Red](https://reader035.vdocuments.mx/reader035/viewer/2022072009/55cf92d4550346f57b99f551/html5/thumbnails/6.jpg)
Firma digital
Es un mecanismo de seguridad basado en las técnicas de encriptación asimétrica. Sirve para
garantizar la autenticación y la integridad de un documento. Ej.: Contratos online, etc.
Funcion hash o resumen: Es una función matemática que aplicada a unos datos originales nos
da como resultado una serie de bits denominadas “hash” o “resumen”
Si los datos originales no cambian, al aplicar sucesivamente la función, nos dará siempre el
mismo hash. Si los datos son modificados, el hash cambia.
Esquema de funcionamiento. (Ej.: Correo electrónico)
Ejercicio 1: investigación sobre algoritmos de encriptación.
1. Simétrico:
a. DES/3DES
b. Blowfish
c. AES
d. IDEA
2. Asimétrico:
A (Yo) B
(Casero)
a) Contrato original
b) C. Pública A
(cert. Publico A)
c) Hash encriptado
Contrato
f. Hash
Hash
C. Privada
Hash
Contrato
f. Hash
Nuevo Hash
Hash
C. Pública A
Hash original
Compara
No son iguales
Han alterado el contrato
O
No es quien dice ser
Si son iguales
Autenticación
+
Integridad
![Page 7: Tema 1 - Seguridad en Red](https://reader035.vdocuments.mx/reader035/viewer/2022072009/55cf92d4550346f57b99f551/html5/thumbnails/7.jpg)
a. RSA
b. DSA
c. DH
Ejercicio 2:Investiga en la pagina de la FNMT lo siguiente
1. Pasos que hay que seguir para sacarse el certificado
a. Solicitud vía internet de su Certificado.
b. Acreditación de la identidad en una Oficina de Registro.
c. Descarga de su Certificado de Usuario.
2. ¿Cuándo caducaría?¿Como se realiza la renovación?
a. Dos años .
b.
I. Solicitar la renovación desde el navegador donde actualmente tiene
instalado el certificado que va a caducar, y...
II. Descargar el certificado renovado desde esta página web.
3. ¿Qué relación existe entre el certificado online de la FNMT y el DNI-e?
a. Que con el DNI-e te puedes sacar el certificado, sin DNI-e no puedes.
4. ¿Cuál es la oficina mas cercana a tu casa donde puedes gestionar la obtención del
certificado digital online?
a. Avda. de la universidad s/n
Infraestructura PKI (Public Key Infrastructure)
Es el conjunto de recursos software y hardware que posibilita el uso de certificados digitales en
una empresa
Esquema/Elementos
Entidad
certificadora (CA)
Se encarga de
emitir los
certificados
completos
Agente de
registro (RA)
Se encarga de
procesar las
solicitudes
Usuarios de los
certificados
Certificados
públicos
Directorio /
Almacen de
certificados