BENEMÉRITA UNIVERSIDAD AUTÓNOMA DE PUEBLA

Tamaño: px
Comenzar la demostración a partir de la página:

Download "BENEMÉRITA UNIVERSIDAD AUTÓNOMA DE PUEBLA"

Transcripción

1 BENEMÉRITA UNIVERSIDAD AUTÓNOMA DE PUEBLA FACULTAD DE CIENCIAS DE LA COMPUTACIÓN COMPARATIVAS DE SCANNERS DE RED, A TRAVÉS DE SU APLICACIÓN EN PRUEBAS DE SEGURIDAD INFORMÁTICA TESIS QUE PARA OBTENER EL TITULO DE LICENCIADO EN CIENCIAS DE LA COMPUTACIÓN PRESENTA PATRICIA DÍAZ TIRADO ASESOR M.C. MA. DEL CARMEN SANTIAGO DÍAZ COASESOR DR. APOLONIO GALLEGOS DE LA CRUZ PUEBLA PUE. 2003

2 CONTENIDO INTRODUCCION 1 CAP. 1 UNA VISIÓN GENERAL DE LA SEGURIDAD INFORMATICA La seguridad Informática en el mundo moderno El Internet y la seguridad informática La seguridad informática en México Objetivos del Trabajo 8 CAP. 2 EL CAMPO ACTUAL DE LA SEGURIDAD Documentos relacionados con la seguridad El Manual OSSTMM Dos criterios de evaluación: Orange Book y el Common Criteria El documento Top CAP. 3 SCANNERS Definición de la herramienta scanner Scanners Gratuitos NMAP SARA NESSUS Scanners Comerciales ISS SAINT Otras herramientas para la seguridad en redes 33 CAP. 4 REALIZACION DE PRUEBAS DE SEGURIDAD Primera Etapa Descripción del Equipo Descripción del armado físico y lógico de la red Aplicación de las pruebas Scanners utilizados en las pruebas Resultados de las pruebas Segunda Etapa Descripción del Equipo Descripción lógica y física de la red Aplicación de las pruebas Scanners utilizados en las pruebas Resultados de las pruebas 58 CAP 5. TABLAS COMPARATIVAS Comparativas de Scanners de Puertos Comparativas de Scanners de Vulnerabilidades 79

3 CAP 6. CONCLUSIONES Y PERSPECTIVAS Análisis de resultados Conclusiones Perspectivas 88 A1. VULNERABILIDADES DEL SERVIDOR APACHE 89 BIBLIOGRAFIA 91

4 Lista de Figuras 2.1 Esquema general del Orange Book Aspecto del entorno de trabajo de Nessus Formato de un TCP-paquete 38 Lista de Graficas 1.1 Numero de Incidentes reportados al CERT Niveles de seguridad de la Máq Niveles de seguridad Máq Niveles de Seguridad de la Máq Lista de Tablas 1.1 Vulnerabilidades Encontradas Resultados del Estudio de Vulnerabilidades por Sector Secciones y Módulos del Manual OSSTMM Lista de vulnerabilidades del Top Lista de los puertos más comúnmente vulnerables Tipos de escaneo para el scanner NMAP Opciones generales para el scanner NMAP Lista de precios de SAINT Descripción de scanners de puertos Descripción de scanners de Vulnerabilidades Resultados de las pruebas (1era. etapa) con ESS Resultados de las pruebas (1era. etapa) con EXSCAN Resultados de las pruebas (1era. etapa) con NMAP Resultados de las pruebas (1era. etapa) con RACCESS Resultados de las pruebas (1era. etapa) con NESSUS Resultados de las pruebas (1era. etapa) con RVSCAN Resultados de las pruebas (1era. etapa) con SARA Resultados de las pruebas (1era. etapa) con VETESCAN Características de las maquinas que se tomaron como muestra Resultados de las pruebas (2da. etapa) con ESS Resultados de las pruebas (2da. etapa) con EXSCAN Resultados de las pruebas (2da. etapa) con NMAP-TCP Resultados de las pruebas (2da. etapa) con NMAP-UDP 61

5 4.16 Resultados de las pruebas (2da. etapa) con RACCESS Resultados de las pruebas (2da. etapa) con NESSUS Resultados de las pruebas (2da. etapa) con RVSCAN Resultados de las pruebas (2da. etapa) con SARA Resultados de las pruebas (2da. etapa) con VETESCAN Comparativas de scanners de puertos (primera etapa) Comparativas de scanners de puertos (segunda etapa) Comparativas de scanners de vulnerabilidades (primera etapa) Comparativas de scanners de vulnerabilidades (segunda etapa) 83

6 INTRODUCCION El incremento de los ataques a sistemas informáticos, consecuencia directa de vulnerabilidades, se puede apreciar y destacar en distintos estudios y estadísticas proporcionados por organizaciones como el CERT (Computer Emergency Response Team). En consecuencia y como apoyo en la prevención de estos ataques, han aparecido documentos específicos y herramientas con esta finalidad. Dentro de la gran gama de Documentos, se pueden destacar los siguientes: El manual OSSTMM (Open-Source Security Testing Methodology Manual) el cual proporciona una de las mejores guías para el desarrollo de pruebas de seguridad. El manual consta de 6 secciones de seguridad: Seguridad en Internet, Seguridad en la Información, Seguridad Física, Seguridad de las Comunicaciones, Radio de Seguridad e Ingeniería Social. Para determinar que tan seguros son los sistemas de cómputo, existen los llamados Criterios de Evaluación, por muchos años uno de los más reconocidos fue el TCSEC (Trusted Computer System Evaluation Criteria) mejor conocido como Orange Book. Actualmente se utiliza el Common Criteria el cual es resultado de la unificación de criterios de evaluación como son: TCSEC, ITSEC y CTCPEC. Es bien sabido que la cantidad de vulnerabilidades que afectan a los sistemas informáticos es enorme, sin embargo algunas de ellas son más serias que otras, estas últimas deben ser las primeras en subsanarse; razón por la cual el FBI y el Instituto SANS (SysAdmin, Audit, Network, Security) desarrollaron el documento Top 20 en el cual se reúnen las 20 vulnerabilidades más graves en cuanto a seguridad en redes se refiere. Es un documento en constante actualización, la versión utilizada en este proyecto es la 3.22 publicada el 3 de Marzo del Estos documentos son importantes en el continuo esfuerzo por mantener un nivel aceptable de seguridad en Sistemas Informáticos, por ello son abordados en el presente trabajo. Como se menciono, además de los documentos de seguridad también existen herramientas específicas que apoyan al trabajo correspondiente a la seguridad en redes, como pueden ser Scanners, Sistemas de detección de intrusos, Firewalls, Routers, etc. El presente trabajo se aboca al estudio de estas, en específico, los scanners (herramientas que actúan buscando los posibles fallos de seguridad del sistema), destacando la importancia de estas herramientas, las características, las ventajas y desventajas presentes en ellas. En el presente trabajo se resume un estudio comparativo de diversos scanners, entre ellos NMAP, NESSUS, SARA y otros más que fueron seleccionados, todos ellos gratuitos.

7 Obviamente para poder determinar la eficiencia de cada uno de los scanners, además de especificar los criterios para establecer el análisis comparativo, fue necesario realizar pruebas de seguridad con ellos. Las pruebas fueron realizadas sobre dos sistemas informáticos, que poseen las siguientes características generales: LAN, conformada con 3 computadoras. La finalidad que tiene el realizar pruebas de seguridad sobre esta red, es la de familiarizarse con el uso de estos scanners y obtener las primeras características de estas herramientas. Laboratorio conformado con mayor número de equipos de cómputo, el cual pertenece a la Facultad de Ciencias de Computación de la B.U.A.P. La finalidad que tiene el realizar pruebas sobre esta red, es la de completar el estudio comparativo. Algunos de los criterios utilizados para la realización de las tablas comparativas forman parte de la lista de los puertos más comúnmente atacados y de la lista de las vulnerabilidades más graves del Top 20, por ejemplo: 21/ftp, 53/domain, 139/Netbios, etc. La detección correcta del estado de estos puertos, así como la detección de vulnerabilidades ayudara a mejorar el nivel de seguridad. Otros criterios que también son utilizados son: detección del Sistema Operativo, trabajo en paralelo y en el caso de scanners de vulnerabilidades descripción y posible solución de las vulnerabilidades detectadas. Se espera que este trabajo permita a los administradores y gente interesada en la seguridad en redes, determinar cual de estos scanners es el más adecuado a sus necesidades. Todos los detalles sobre la realización de las pruebas de seguridad con cada uno de los scanners, así como el análisis a los resultados obtenidos, plasmados en tablas comparativas, serán vistos en los siguientes capítulos.

8 Capitulo 1 UNA VISION GENERAL DE LA SEGURIDAD INFORMATICA 1.1 LA SEGURIDAD INFORMÁTICA EN EL MUNDO MODERNO Desde siempre, la información ha sido parte fundamental en el desarrollo de una sociedad, hoy en día la característica dinámica de la sociedad requiere de un manejo rápido y seguro de enormes cantidades de información, lo cual únicamente puede lograrse a través del uso de complejos sistemas de información, que obviamente involucran mecanismos de acceso y el manejo controlado de cierta información. El hecho de tener un manejo controlado de cierta información, implica una problemática, que involucra desde la selección de un modelo de seguridad y definir una política de seguridad, lo cual inicia con un conjunto de pruebas para tener una referencia del nivel de seguridad inicial del sistema para posteriormente efectuar las correcciones necesarias, para llegar al nivel de seguridad deseado, finalmente definir un sistema periódico de pruebas a fin de mantener la seguridad en el nivel deseado. Cuando se habla de la seguridad de un sistema informático, casi siempre se piensa en que cierta información sea privada, para esto se utilizan contraseñas, mensajes cifrados y todo aquello que sirva de protección y confidencialidad, pero muchas veces no se toman en cuenta otros aspectos sin los cuales no se puede llegar a un grado aceptable de seguridad. En este contexto debemos delimitar cuales son los aspectos que debe contener un modelo de seguridad, para que un sistema posea un grado aceptable. Aunque debe quedar claro que ningún sistema informático es 100% seguro, sin embargo para poder conseguir un grado aceptable de seguridad debemos tener en cuenta, entre otros, los siguientes aspectos [1]: a) Privacidad: Se trata de evitar que la información considerada como restringida y contenida en un sistema informático sea accesible a personas no autorizadas. b) Integridad: Se debe proteger la información, ya sean datos o programas, de posibles modificaciones e incluso la eliminación de los mismos por parte de usuarios que no sean los propietarios de dicha información. c) Disponibilidad: El sistema debe estar disponible siempre que el usuario lo necesite. Se deben evitar paradas e interrupciones en el sistema, así como la degradación de los servicios que éste proporciona. d) Consistencia: El sistema debe funcionar como se espera que lo haga. Habrá que evitar que se produzcan fallos en el software y hardware, y en el caso de que se produzcan, habrá que reaccionar lo antes posible para erradicar el problema y evitar un posible desastre.

9 e) Aislamiento: En el caso de que se detecten accesos no autorizados o la aparición de programas extraños en el sistema, habrá que ver cómo se produjeron o cómo llegaron hasta ahí, que problemas han causado o pueden llegar a causar; y como detectar a la persona o personas implicadas en el suceso. f) Auditoria: No solo cometen fallos o actos maliciosos los usuarios no autorizados, por ello hay que mantener un registro interno del sistema, con la idea de determinar que se ha realizado, quien lo ha realizado y que se ha visto afectado. Una vez delineados los aspectos generales que se deben tener en cuenta en el establecimiento de un programa de seguridad, se debe seguir una metodología de aplicación de pruebas de seguridad, para alcanzar el mayor nivel posible de seguridad. 1.- Lo primero es determinar el estado de seguridad que guarda el sistema. En la actualidad se cuenta con documentos y guías de seguridad muy completas, así como también con una gran variedad de herramientas para la realización de este tipo de tareas o pruebas de seguridad. Dentro del marco de la aplicación de este tipo de herramientas, se enmarca el presente trabajo. 2.- Lo segundo seria aplicar las correcciones necesarias, es decir, rediseñar los esquemas de seguridad más dañados, o bien establecer un nuevo modelo de seguridad. 3.- Establecimiento (en su caso) del modelo de seguridad seleccionado y de un programa de revisiones periódicas, a fin de mantener el sistema actualizado y en un nivel de seguridad aceptable. Estos y otros aspectos más, siempre deben ser considerados a detalle en todos los sistemas informáticos, principalmente aquellos que están o serán conectados a Internet, dándole a cada uno de ellos la importancia correspondiente. 1.2 EL INTERNET Y LA SEGURIDAD INFORMÁTICA La comunicación informática hoy en día puede efectuarse a través de una amplia gama de posibilidades, sin embargo es indudable que el Internet es uno de los mecanismos informáticos que mayor volumen de información maneja y en consecuencia uno de los pilares dentro de la transferencia de información actual. Irónicamente en la medida que el Internet es parte fundamental dentro del manejo de información, es la parte más propensa a la inseguridad, dentro de los sistemas informáticos de transferencia de información. El auge alcanzado por el Internet ha llevado a una gran parte de las organizaciones a utilizar esta tecnología dentro de sus procesos y actividades cotidianas, prueba de esto, es que el Internet, hoy en día se usa para fines tan diversos como el aprendizaje, la docencia, la investigación, el comercio, etc. Por otra parte, la creciente aparición de nuevos usuarios que quieren acceder a Internet, también supone un riesgo añadido, ya que cuantos más usuarios haya, más posibilidades hay de que aparezcan usuarios que intenten romper las protecciones y mecanismos de seguridad de los sistemas informáticos, a fin de acceder a información no autorizada (clasificada), o con otros fines. Dependiendo de la intención de sus acciones, estos usuarios son llamados hackers o crackers.

10 El hacker es una persona que ansia conocimiento, disfruta explorando los detalles de un sistema operativo o un lenguaje de programación. En sus exploraciones el hacker busca malas configuraciones, errores y agujeros en los sistemas operativos que les permitan entrar en la máquina [1]. Por otro lado un cracker se puede definir como una persona que busca dar sus golpes, destruyendo o alterando los datos de un sistema. Para el cracker el invadir un sistema requiere de mucha persistencia y la obstinada repetición de trucos bien conocidos en los puntos débiles de un sistema. La principal diferencia entre un hacker y cracker es el interés de ambos, para el cracker el interés es destrozar la máquina que hay al otro lado, no es constructivo como un hacker, que trata de mejorar la red dando a conocer sus incursiones y fallos encontrados. Desde su nacimiento el Internet por sus características propias, ha sido la puerta de entrada para que usuarios mal intencionados, intenten acceder a información clasificada, lo cual es considerado como un ataque al sistema informático. A lo largo de los años hemos conocido casos, en que importantes empresas y organizaciones, han visto comprometidas sus operaciones debido a que han sufrido ataques perpetrados a través de Internet. En general, un ataque se puede definir como toda aquella acción que suponga una violación de la seguridad establecida en un sistema informático, y en estos términos, el ataque a un sistema informático, se puede clasificar, según sus efectos, en [7]: a) Interrupción: Un recurso es destruido o se vuelve no disponible. b) Intercepción: Una entidad no autorizada consigue acceso a un recurso. c) Modificación: Una entidad no autorizada no solo consigue acceder a un recurso, si no que es capaz de manipularlo. Virus y troyanos poseen esta capacidad. d) Fabricación: Una entidad no autorizada inserta objetos falsificados en el sistema. Asimismo estos ataques, se pueden clasificar en pasivos y activos, y se definen de la siguiente manera. o Pasivos: No alteran la comunicación, si no que únicamente la escuchan o monitorean, para obtener información que este siendo transmitida. o Activos: Implican algún tipo de modificación de los datos o la creación de falsos datos: Suplantación de identidad, Modificación de mensajes, etc. Para tener una idea global de cómo los ataques al Internet han crecido con éste, a continuación se mencionan, algunos de los ataques que han sido documentados [6]: En 1990, el sistema de conmutación de llamadas de larga distancia de AT&T fue comprometido durante nueve horas, dando como resultado que más de 70 millones de llamadas no fueran completadas.

11 En 1994, dos crackers ingleses comprometieron y robaron información de varios sitios militares estadounidenses, entre ellos los Rome Labs de la Fuerza Aérea. En 1997, un solo cracker obtuvo y trato de vender información sobre más de 100,000 tarjetas de crédito obtenidas ilegalmente de varias compañías que realizan negocios en la Web. En el año 2000, el sitio web de la compañía Yahoo!, el más visitado del mundo, estuvo fuera de servicio durante varias horas debido a un ataque distribuido de denegación de servicio perpetrado por un grupo de crackers. En mayo del 2001, el sitio web promocionado como el más seguro de la Unión Europea (http://www.saferinternet.org) fue comprometido y sustituido por una pagina que alardeaba sobre el éxito del ataque. Un caso reciente en México, es el del fraude por Internet realizado al ciudadano coreano radicado en Guadalajara, Jalisco, Sang Won Lee Joo. Este ataque, ocurrió el 8 de Abril del año 2002, al ver su estado de cuenta, Wong Lee detecto que tenía 150 mil pesos, cuando el saldo según el coreano debería ser de 700 mil pesos, al señor Lee le robaron a través de Internet. Se trata de uno de los primeros fraudes cibernéticos registrados en el estado de Jalisco. Dada la importancia del área, en la actualidad se han efectuado diversos estudios y análisis, que muestran una tendencia creciente en cuanto a incidentes o ataques en Internet, un ejemplo de esto son los reportes que ha dado a conocer el Computer Emergency Response Team (CERT).De hecho el CERT indico que el número de incidentes de seguridad en Internet, se incremento en un 170% entre el año 2000 y el 2001, es decir de 21,756 a 52,652 casos, tal y como se muestra en la grafica 1.1 [8]. 1.3 LA SEGURIDAD INFORMÁTICA EN MÉXICO Con respecto a la seguridad informática en nuestro país, se puede decir que el área es relativamente nueva en México, pocos datos se conocen sobre el número de incidentes que se han presentado. Organizaciones como MxCERT (Mexican Computer Emergency Response Team) establecido en el Instituto Tecnológico de Estudios Superiores de Monterrey (ITESM) y el UNAM-CERT, de la Universidad Nacional Autónoma de México, hacen esfuerzos por promover la importancia de la seguridad informática en el país, pero no cuentan con estadísticas que reflejen la magnitud del problema en México. Con el único propósito de contribuir a la difusión de la importancia que debe tomar la seguridad informática en las organizaciones de nuestro país, la empresa Sekureit llevo a cabo un estudio sobre la situación actual de las entidades mexicanas en cuanto a la seguridad de sus sitios. El estudio se centra en las diferentes vulnerabilidades presentes en los sitios y sus riesgos potenciales.

12 Número de incidentes reportados al CERT Incidentes Reportados Año Grafica 1.1. Número de Incidentes reportados al CERT Para la realización de este estudio se tomo una muestra representativa de 242 entidades pertenecientes a diferentes sectores de la vida pública nacional. Entre ellos, académico, agrícola, gubernamental, comercial y turístico [6]. El estudio permitió detectar un total de 436 vulnerabilidades distintas. Como se muestra en la tabla 1.1, la mayor parte de ellas corresponden a vulnerabilidades de mediano y alto riesgo. Tipo de Vulnerabilidad Cantidad Encontrada Porcentaje Alto Riesgo % Medio Riesgo % Bajo Riesgo % Total % Tabla 1.1. Vulnerabilidades Encontradas La clasificación de los resultados por sectores permite analizar de manera más clara cuales son aquellas que presentan mayores riesgos. La tabla 1.2 destaca que los sectores relativos al Turismo, Educación, Energía y Gobiernos Estatales y Municipales, en ese orden, son los que presentan una mayor problemática. Sector Alto Riesgo (%) Medio Riesgo (%) Bajo Riesgo (%)

13 Agricultura Comercio Comunicaciones Educación Energía Finanzas Gobiernos Estatales y Municipales Secretarias de Edo Turismo Otras Tabla 1.2. Resultados del Estudio de Vulnerabilidades por Sector Los resultados presentados en este artículo, son una alerta sobre el enorme trabajo que debe realizarse para mejorar el nivel de seguridad informática en las instituciones nacionales. 1.4 OBJETIVOS DEL TRABAJO Después de haber destacado el incremento de los ataques a los sistemas informáticos, a través de estadísticas, ejemplos documentados y estudios hechos, podemos notar que constantemente se trabaja para subsanar las carencias de seguridad y aun así surgen nuevas, en todo este trabajo se involucran toda clase de herramientas y material de apoyo. Por medio de este trabajo, nos enfocaremos a tratar una pequeña parte de la seguridad, en específico él de las vulnerabilidades, concretamente herramientas que las detectan. Así es que el objetivo, es abocarnos al estudio de una de estas herramientas, los denominados scanners, para finalmente utilizarlos en la realización de pruebas de seguridad y realizar un análisis comparativo. Antes de esto, estudiaremos brevemente algunas guías y documentos relacionados con la seguridad. En los siguientes capítulos se hablará de estos documentos, de las herramientas de seguridad, un estudio especial de los scanners, para finalmente llegar a la realización de pruebas con ellas, resultados, generación de tablas comparativas y las conclusiones finales, así coma las recomendaciones sobre estas herramientas de gran utilidad.

14 Capitulo 2 EL CAMPO ACTUAL DE LA SEGURIDAD 2.1 DOCUMENTOS RELACIONADOS CON LA SEGURIDAD Debido al importante papel que desempeñan los sistemas informáticos en el manejo de información dentro de la sociedad actual, es obvio que una de las preocupaciones fundamentales de los responsables, es mantener un nivel aceptable de seguridad en sus sistemas. Dentro del marco de esta preocupación han aparecido una gran variedad de documentos relacionados con la seguridad, que van desde simples recomendaciones de seguridad, hasta guías completas de seguridad, reconocidas y prestigiadas. A pesar de que el objetivo final de estos documentos es tasar y en todo caso establecer un cierto nivel de seguridad en un sistema informático, cada uno de ellos posee características especificas y algunas se complementan entre sí. Dentro de esta amplia gama de documentos, tenemos: Guías para la aplicación de pruebas de seguridad. Por ejemplo el denominado manual OSSTMM (Open Source Security Testing Methodology Manual). Relación y descripción de vulnerabilidades más comunes en un sistema informático. Por ejemplo el denominado, documento Top 20. Criterios de Evaluación. Por muchos años uno de los más reconocidos fue el TCSEC mejor conocido como Orange Book, actualmente se utiliza el Common Criteria el cual es el resultado de la unificación de criterios de evaluación como son : TCSEC, ITSEC y CTCPEC. 2.2 EL MANUAL OSSTMM El Manual de Metodología de Pruebas de Seguridad de Fuente Abierta en ingles Open-Source Security Testing Methodology Manual (OSSTMM) es el único y el más extenso estándar certificado disponible para el desarrollo de pruebas de Seguridad en Sistemas de Internet y Redes. Creado por Pete Herzog de la organización ISECOM (Institute for Security and Open Methodologies); el OSSTMM es un documento en continuo desarrollo; esta organización se asegura de estar al tanto de los cambios que ocurren y los nuevos progresos en materia de Seguridad Informática, con el fin de que el manual este actualizado [9]. Este manual proporciona una guía estandarizada, abierta, pública y disponible para pruebas de seguridad.

15 Antes del Manual OSSTMM, no existían documentos que abordaran las necesidades profesionales de seguridad y que proporcionaran una guía estandarizada abierta, pública y disponible para efectuar pruebas formales de Seguridad. Es obvio que existen otras metodologías o manuales con esta misma finalidad, sin embargo en caso de existir, a la fecha ninguna empresa comercial las ha hecho del conocimiento público. El manual OSSTMM ofrece un marco constante y resultados en la aplicación de sus pruebas claramente cuantificables, de tal modo que se produce un nivel de aseguramiento o de calidad de la salida, exactitud y la validez de las pruebas a usuarios finales. Las Pruebas de Seguridad llegan a ser cuantificables, constantes y repetibles, visiblemente cuidadosas y disciplinadas a una gama global de leyes individuales y locales. El OSSTMM proporciona una guía muy completa, con respecto a los aspectos cruciales de la seguridad de la información en un negocio o corporación, así mismo permite que los encargados de realizar las pruebas puedan consultar información relevante sobre sus propias políticas de seguridad, esto muestra la gran flexibilidad del Manual. Para los Administradores de Sistemas o los Ingenieros en Redes, los servicios de OSSTMM sirven para destacar las áreas donde se pueden concentrar la mayoría de los ataques a la Red y así pueden crear las bases correctivas y las acciones preventivas para evitar esos ataques. En el nivel más simple de beneficio, la metodología del OSSTMM, proporciona una guía en el proceso, en la preparación o en la ejecución de una Prueba de Seguridad para ser aplicada a un sistema, negocio o corporación. El manual (versión 2.0 ) consta de 6 secciones de seguridad: Seguridad en Internet, Seguridad en la Información, Seguridad Física, Seguridad de las Comunicaciones, Radio de Seguridad e Ingeniería Social [8]. Cada sección se encuentra dividida en Módulos, por ejemplo los Módulos de la Sección Seguridad en Internet son: Examen de la Red, Scaneo de Puertos, Identificación del Sistema, Identificación de Servicios, Investigación y Verificación de la Vulnerabilidad, Prueba de Aplicaciones de Internet, Prueba de Router, Prueba de Sistemas Confiables, Prueba de Firewall, Prueba del Sistema de Detección de Intrusos, Prueba de las Medidas de Contención, Crakeo de Passwords y Prueba del Sistema de Denegación. En la tabla 2.1 se lista cada sección con sus módulos correspondientes. Así mismo, cada módulo contempla un conjunto de pruebas específicas para aplicar al sistema informático, cuya seguridad se va a evaluar. Para la aplicación de estas pruebas hay que seleccionar las herramientas correspondientes (mapeadores de red, sniffers, scanners, etc.).

16 Seguridad en Internet Examinar la Red. Scaneo de Puertos. Identificación del Sistema. Identificación de Servicios. Investigación y Verificación de Vulnerabilidades. Prueba de Aplicaciones de Internet. Prueba de Router. Prueba de Firewall. Prueba del Sistema de Detección de Intrusos. Prueba de Sistemas Confiables. Crackeo de Passwords. Prueba del Sistema de Denegación. Prueba de las Medidas de Contención. Seguridad en la Información Destrucción de Documentos Exploración Inteligente de la Competencia Revisión de la Privacidad Ingeniería Social Pruebas de Petición. Pruebas de Sugerencias Dirigidas Pruebas de Confianza Radio de Seguridad Pruebas del Radio de las Redes. Prueba de Comunicaciones Inalámbricas. Revisión de la Privacidad Seguridad en las Comunicaciones Prueba del PBX Prueba de los Mensajes de Voz Revisión del Fax Pruebas del MODEM Seguridad Física Prueba del Control de Acceso Revisión del Perímetro Revisión del Monitoreo Prueba de la Respuesta de la Alarma Revisión de la Localización Revisión Del Ambiente Tabla 2.1 Secciones y Módulos del Manual OSSTMM 2.3 DOS CRITERIOS DE EVALUACION: ORANGE BOOK Y EL COMMON CRITERIA a) EL ORANGE BOOK Como se menciono anteriormente, el Orange Book actualmente ya no es utilizado, sin embargo es importante describir brevemente sus características, debido a que estas son el fundamento de los nuevos criterios. El Criterio de Evaluación para Sistemas de Cómputo Confiables (Trusted Computer System Evaluation Criteria, siglas en ingles TCSEC), que básicamente evalúa e indica los niveles de seguridad ofrecidos por un sistema de cómputo. Publicado en 1983, es comúnmente referido como el Libro Naranja [5]. El criterio que establece el Libro Naranja, consta de 4 divisiones, ordenadas en forma decreciente: A- Protección Controlada.

17 B- Protección Obligatoria. C- Protección Discrecional. D- Protección Mínima. A continuación, se detallan brevemente las características de cada una de estas divisiones. Protección mínima (D).- Reservada para aquellos sistemas que fracasan en la evaluación, ya que no cubren los requerimientos de las clases más altas del criterio. Protección discrecional (C).- Limitación de accesos a los usuarios, proteger y privatizar la información. Protección obligatoria (B).- Reglas de control de accesos, políticas de seguridad, etiquetado de datos. Protección controlada (A).- Monitorear accesos inmediatos de sujetos a objetos y la existencia de pruebas de accesos. Métodos formales de verificación y altísimo nivel de resistencia a penetraciones. Dentro de cada división hay clases. Por ejemplo C tiene la clase C1 y C2, donde C2 tiene más seguridad que C1. A1: Diseño verificado B3: Dominios de Seguridad B2: Protección estructurada B1: Protección mediante seguridad etiquetada C2: Protección mediante accesos controlados C1: Protección mediante seguridad discrecional D: Seguridad mínima Para que un sistema pueda clasificarse dentro de alguna clase, debe cumplir con los criterios correspondientes. Los criterios son: Políticas de seguridad Responsabilidad Confiabilidad Documentación En la figura 2.1 se muestra la estructura general del Orange Book

18 Figura 2.1 Esquema General del Orange Book Enseguida se describe brevemente los criterios de cada una de estas clases [5]. Políticas de seguridad.- Se deben de tener bien identificados los eventos, los objetos y las reglas para determinar si un evento dado puede acceder a un objeto específico. Responsabilidad.- Los eventos individuales deben de ser identificados. Cada acceso a la información debe ser registrado (quien y que autorización posee). Confiabilidad y documentación.- Crear mecanismos de control de hardware y software que evalúen independientemente problemas y proporcionen suficiente seguridad. Los mecanismos de control deben ser continuamente protegidos contra interferencias o cambios no autorizados.

19 Con el objeto de tener una idea más clara de los niveles y subniveles de este criterio, a continuación se dan ejemplos de sistemas que están dentro de alguno de los niveles de seguridad del TCSEC: El nivel D son los sistemas no seguros. Ejemplo de sistema nivel D es MS-DOS. El nivel C ofrece control al usuario de los datos. El usuario puede determinar quien accede a estos. En el nivel C1 se encuentran los sistemas que ofrecen un cierto control de acceso discreto, permitiendo acceso a los archivos en forma individual. El UNIX sencillo o estándar se encuentra en este nivel. Los niveles B y A proporcionan control obligatorio. En este nivel no se tienen sistemas comerciales. b) EL COMMON CRITERIA Además del Orange Book, en años siguientes se desarrollo el ITSEC (Information Technology Security Evaluation Criteria), desarrollado conjuntamente por Francia, Alemania, Holanda y el Reino Unido. En Canadá, igualmente se desarrollaron en 1993 los criterios CTCPEC (Canadian Trusted Computer Product Evaluation). Ante esto se toma la decisión de estandarizar internacionalmente estos criterios para su uso general, y en esa labor ISO comienza a trabajar a principios de los años 90 dando como resultado la certificación Common Criteria (o ISO-IEC 15408). Debido a que Common Criteria es un estándar internacional, proporciona un conjunto común de estándares que los usuarios con operaciones internacionales pueden utilizar para escoger productos que se ajusten localmente a las necesidades de seguridad. A continuación se describe de manera general el Common Criteria (versión 2.1) [12]. La versión 2.1 consiste de las siguientes partes: Parte 1: Introducción y modelo general Es la introducción al Common Criteria, este define los conceptos generales y principales de evaluación de seguridad IT (Information Technology) y presenta un modelo de evaluación general. Parte 2: Requerimientos Funcionales de seguridad En esta parte se establece un sistema de componentes funcionales de seguridad como manera estándar de expresar los requisitos funcionales de seguridad para los objetivos de la evaluación. Parte 3: Requerimientos del Aseguramiento de la seguridad Aquí se establece un sistema de componentes de aseguramiento como manera estándar de expresar los requisitos del aseguramiento para los objetivos de la evaluación. Blanco de audiencias del Common Criteria

20 Estos son tres grupos con un interés general en evaluación de las propiedades de seguridad de productos IT y sistemas: consumidores TOE (Target of Evaluation), desarrolladores TOE, y evaluadores TOE. El criterio presentado en este documento, ha sido estructurado para soportar las necesidades de los 3 grupos. Tipos de Evaluación: PP evaluación (evaluación de perfil de protección) ST evaluación (evaluación de blanco de seguridad) TOE evaluación (evaluación de blanco) Evaluación de los niveles de garantía EAL1: Es aplicable donde la confianza de una correcta operación es requerida pero la amenaza a la seguridad no es vista como seria. EAL2: Requiere la cooperación de los desarrolladores en términos de la liberación del diseño de información y prueba de resultados, pero no demanda más esfuerzo sobre la parte de el desarrollador. EAL2 es por lo tanto aplicable en esas circunstancias donde desarrolladores o usuarios requieren de bajo a moderado nivel de garantizada seguridad. EAL3: Es aplicable en circunstancias donde desarrolladores requieren un moderado nivel de garantía de seguridad y requieren una completa investigación de blancos de evaluación y este desarrollo sin substancial re-ingeniería. EAL4: Es aplicable en circunstancias donde desarrolladores o usuarios requieren de moderado a un alto nivel de garantía de seguridad. EAL5: Aplicable en circunstancias donde desarrolladores o usuarios requieren un alto nivel de garantía de seguridad en un planeado desarrollo y requiere un riguroso desarrollo aproximado sin incurrir irrazonablemente a costos atribuidos a técnicas de ingeniería en seguridad especializada. EAL6: Aplicable a el desarrollo de seguridad de blancos de evaluación para aplicaciones en situaciones de alto riesgo donde el valor de protección justifica los costos adiciónales. EAL7: Aplicable a el desarrollo de seguridad de blancos, para aplicaciones en situaciones de extremo riesgo y/o donde hay un alto valor de bienes que justifican altos costos. Como ejemplo, esta el caso de Microsoft Windows 2000 Profesional, el cual tras dos años de someter cientos de componentes a exhaustivos análisis y test, según los estrictos requerimientos de Common Criteria, el nivel obtenido se denomina EAL4+ Flaw Remediation. EAL4 es el nivel máximo para un sistema operativo comercial, el añadido + Flaw Remediation significa que el fabricante a establecido un seguimiento y corrección de defectos.

LAS 20 VULNERABILIDADES MÁS EXPLOTADAS EN INTERNET

LAS 20 VULNERABILIDADES MÁS EXPLOTADAS EN INTERNET LAS 20 VULNERABILIDADES MÁS EXPLOTADAS EN INTERNET Desde hace ya varios años, el Instituto SANS (System Administration Networking and Security Institute) y el FBI han venido publicando una lista con las

Más detalles

INSTITUTO POLITECNICO NACIONAL Unidad Profesional Interdisciplonaria de Ingenierìa y Ciencias Sociales y Admonistrativas

INSTITUTO POLITECNICO NACIONAL Unidad Profesional Interdisciplonaria de Ingenierìa y Ciencias Sociales y Admonistrativas INSTITUTO POLITECNICO NACIONAL Unidad Profesional Interdisciplonaria de Ingenierìa y Ciencias Sociales y Admonistrativas W8: wexplor VIROLOGÌA Y CRIPTOLOGÌA 4NM73 W8:INTERNET EXPLORER U5: FILE TRANSFER

Más detalles

3-ANÁLISIS DE VULNERABILIDADES

3-ANÁLISIS DE VULNERABILIDADES 3-ANÁLISIS DE VULNERABILIDADES Es la tercera fase del ciclo de auditoria del tipo Hacking Ético, y tiene como objetivo el identificar si un sistema es débil o susceptible de ser afectado o atacado de alguna

Más detalles

GUIA DE SOLUCIONES Y SEGURIDADES ANTE POTENCIALES ATAQUES A LA PLATAFORMA LINUX

GUIA DE SOLUCIONES Y SEGURIDADES ANTE POTENCIALES ATAQUES A LA PLATAFORMA LINUX CAPITULO 7 CONCLUSIONES Y RECOMENDACIONES 1.- CONCLUSIONES Linux es un sistema operativo que requiere de altos conocimientos técnicos como programación, una alta cultura investigativa, curiosidad e iniciativa,

Más detalles

El Hacking Ético y los Grupos Hackitivistas Anonymous y Lulzsec

El Hacking Ético y los Grupos Hackitivistas Anonymous y Lulzsec Metodología. www.dsteamseguridad.com La Metodología de la charla esta guiada por el concepto de cada una de las fases de ataque, con su respectiva demostración Arquitectura de Red (Laboratorio Virtual)

Más detalles

Técnicas del Penetration Testing

Técnicas del Penetration Testing Técnicas del Penetration Testing Victor H. Montero vmontero@cybsec cybsec.comcom Septiembre de 2005 Buenos Aires - ARGENTINA Agenda - Qué es un Penetration Test? - El rol del PenTest en la Seguridad Informática.

Más detalles

ATAQUES DE MONITORIZACION Seguridad Informática

ATAQUES DE MONITORIZACION Seguridad Informática ATAQUES DE MONITORIZACION Seguridad Informática por Alberto Medina Mazuelos Profesor Rodrigo Tapia Santis Tecnologías de la Información y Comunicación Ingeniería en Informática Universidad Tecnológica

Más detalles

Administración de sitios Web. Capítulo 8. Servidores Web: Internet Information Server

Administración de sitios Web. Capítulo 8. Servidores Web: Internet Information Server 1 of 9 4/15/2010 9:47 PM Anterior Administración de sitios Web Capítulo 8. Servidores Web: Internet Information Server Siguiente En este punto, nos centraremos en las tareas de administración del servidor

Más detalles

Proceso de Auditoría de la Seguridad de la Información en las Instituciones Supervisadas por la CNBS

Proceso de Auditoría de la Seguridad de la Información en las Instituciones Supervisadas por la CNBS Proceso de Auditoría de la Seguridad de la Información en las Instituciones Supervisadas por la CNBS Julio 2005 Proceso de Auditoría de la Seguridad de la Información en las Instituciones Supervisadas

Más detalles

EXPERTO EN ADMINISTRACIÓN Y SEGURIDAD DE REDES INFORMÁTICAS

EXPERTO EN ADMINISTRACIÓN Y SEGURIDAD DE REDES INFORMÁTICAS Instituto de Formación Profesional CBTech Estudie desde su hogar y obtenga un certificado universitario Formación a distancia de EXPERTO EN ADMINISTRACIÓN Y SEGURIDAD DE REDES INFORMÁTICAS 1 Temario del

Más detalles

Seguridad en Informática Aspectos Duros y Blandos. Dr. José Fernández G.

Seguridad en Informática Aspectos Duros y Blandos. Dr. José Fernández G. Seguridad en Informática Aspectos Duros y Blandos Dr. José Fernández G. Octubre 2013 Agenda Definición de Seguridad Informática. Objetivos del Área de Seguridad Informática. Amenazas y sus distintos tipos.

Más detalles

MÁSTER ONLINE EN ADMINISTRACIÓN LINUX

MÁSTER ONLINE EN ADMINISTRACIÓN LINUX MÁSTER ONLINE EN ADMINISTRACIÓN LINUX Módulo 1 Hardware & Arquitectura de sistemas - 20 horas Este módulo permite conocer y configurar los elementos básicos del hardware del sistema, como también otros

Más detalles

Seguridad Informática

Seguridad Informática Seguridad Informática Técnicas de Hacking y Seguridad Luis Yagüe EFOR Temario Comparación de Sistemas Operativos desde el punto de vista de la Seguridad Informática Firewalls, Proxys, DMZs. Virus Informáticos

Más detalles

HERRAMIENTAS DE SEGURIDAD

HERRAMIENTAS DE SEGURIDAD Seguridad Informática I M.C. Cintia Quezada Reyes HERRAMIENTAS DE SEGURIDAD Siempre es conveniente instalar herramientas de seguridad y es aconsejable que éstas sean las que se consideren necesarias después

Más detalles

Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan)

Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan) Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan) 3. Política de seguridad 3.1. Política de seguridad de la

Más detalles

CONCLUSIONES 155 A través de cada uno de los capítulos del presente documento se han enumerado una serie herramientas de seguridad que forman parte del sistema de defensa de una red y que, controlan su

Más detalles

INTRODUCCIÓN...15 TEORÍA...17

INTRODUCCIÓN...15 TEORÍA...17 ÍNDICE INTRODUCCIÓN...15 TEORÍA...17 CAPÍTULO 1. ASPECTOS BÁSICOS...19 1.1 TAREAS DEL ADMINISTRADOR...19 1.2 HARDWARE DEL SERVIDOR...21 1.2.1 CPD...21 1.2.2 Sistema de rack...23 1.2.3 Servidores...24 1.2.4

Más detalles

Webinar Gratuito Hacking Ético

Webinar Gratuito Hacking Ético Webinar Gratuito Hacking Ético V. 2 Alonso Eduardo Caballero Quezada Consultor en Hacking Ético, Informática Forense & GNU/Linux Sitio Web: http://www.reydes.com e-mail: ReYDeS@gmail.com Jueves 30 de Octubre

Más detalles

Seguridad en Redes Introducción al Ethical Hacking

Seguridad en Redes Introducción al Ethical Hacking Seguridad en Redes Introducción al Ethical Hacking Félix Molina Ángel molina@uagro.mx Objetivo: Fomentar la importancia de asegurar los recursos informáticos para evitar el acceso no autorizado. Agenda

Más detalles

Intrusion Detection/Prevention Systems SNORT.

Intrusion Detection/Prevention Systems SNORT. Intrusion Detection/Prevention Systems SNORT. Miguel Angel Rodriguez Yamid Armando Pantoja Juan Carlos Pantoja Universidad de Nariño Facultad de Ingeniería Programa Ingeniería de Sistemas 11 de diciembre

Más detalles

Universidad Autónoma de Nuevo León Facultad de Ciencias Físico Matemáticas. Laboratorio de Seguridad en aplicaciones web

Universidad Autónoma de Nuevo León Facultad de Ciencias Físico Matemáticas. Laboratorio de Seguridad en aplicaciones web Universidad Autónoma de Nuevo León Facultad de Ciencias Físico Matemáticas Laboratorio de Seguridad en aplicaciones web Practica 2: Configuración de VPN y escaneo de puertos. Objetivos: En esta práctica

Más detalles

Vulnerabilidades de los sistemas informáticos

Vulnerabilidades de los sistemas informáticos Vulnerabilidades de los sistemas informáticos formador Ezequiel Llarena Borges http://youtu.be/fdhayogalv4/ 1 Responsables de las vulnerabilidades que afectan a los sistemas informáticos formador Ezequiel

Más detalles

II MARCO CONCEPTUAL. 2.1 Auditorías. 2.1.1 Proceso de Auditorías

II MARCO CONCEPTUAL. 2.1 Auditorías. 2.1.1 Proceso de Auditorías II MARCO CONCEPTUAL 2.1 Auditorías En general podemos considerar una auditoría como un proceso sistemático y formal en el que se determina hasta qué punto una organización está cumpliendo los objetivos

Más detalles

Especificaciones Técnicas para Ethical Hacking

Especificaciones Técnicas para Ethical Hacking Especificaciones Técnicas para Ethical Hacking OBJETIVO PRINCIPAL El BANCO DEL ESTADO, requiere efectuar un estudio de Ethical Hacking sobre su infraestructura, que permita identificar y corregir las vulnerabilidades

Más detalles

Seguridad en redes: TCP/IP, filtrado de tráfico y firewalls. Alberto Castro Rojas

Seguridad en redes: TCP/IP, filtrado de tráfico y firewalls. Alberto Castro Rojas Seguridad en redes: TCP/IP, filtrado de tráfico y firewalls EL64E Alberto Castro Rojas 1 Agenda Las redes locales y su conexión a distancias Dirección MAC y dirección IP Equipos de interconexión Los protocolos

Más detalles

SIE - Firewall DMZ. Protección perimetral para su red local. 1. Importancia de los firewalls. 2. Arquitectura de la red

SIE - Firewall DMZ. Protección perimetral para su red local. 1. Importancia de los firewalls. 2. Arquitectura de la red Protección perimetral para su red local por ALBA Software SIE Firewall es un sistema pensado para proteger la red de su empresa de posibles ataques de Internet. El firewall actua de barrera separando la

Más detalles

ETHICAL HACKING. FAVA - Formación en Ambientes Virtuales de Aprendizaje. SENA - Servicio Nacional de Aprendizaje

ETHICAL HACKING. FAVA - Formación en Ambientes Virtuales de Aprendizaje. SENA - Servicio Nacional de Aprendizaje ETHICAL HACKING INTRODUCCIÓN Desde hace varias décadas han aparecido nuevas modalidades de delitos informáticos dentro de los que se encuentran los ataques por crackers o hackers capaces de comprometer

Más detalles

LA ARQUITECTURA TCP/IP

LA ARQUITECTURA TCP/IP LA ARQUITECTURA TCP/IP Hemos visto ya como el Modelo de Referencia de Interconexión de Sistemas Abiertos, OSI-RM (Open System Interconection- Reference Model) proporcionó a los fabricantes un conjunto

Más detalles

Seguridad en Sistemas

Seguridad en Sistemas Seguridad en Sistemas Introducción En nuestra presentación el objetivo principal es entender que es seguridad y si existe la seguridad en los sistemas, y comprobamos que la seguridad en los sistemas no

Más detalles

Protección de los clientes contra los ataques a la red

Protección de los clientes contra los ataques a la red Protección de los clientes contra los ataques a la red La información incluida en este documento representa el punto de vista actual de Microsoft Corporation acerca de los temas tratados hasta la fecha

Más detalles

Penetration Test Metodologías & Usos

Penetration Test Metodologías & Usos Penetration Test Metodologías & Usos Lic. Luis Ramírez lramirez@cybsec.com 18 de Noviembre de 2009 Asunción, n, Paraguay Agenda Introducción Seguridad Informática en los Sistemas Objetivos, Tipos y Alcances

Más detalles

Port Scanning. Definición

Port Scanning. Definición Universidad del Valle de Guatemala Redes Ing. Gerson Raymundo Donald Antonio Velásquez Aguilar, 09379 Javier Alejandro Pérez Archila, 09377 Fecha: 27/05/2012 Port Scanning Definición El término Port Scanning

Más detalles

Software y Aplicaciones

Software y Aplicaciones Software y Aplicaciones 1. Consejo de Seguridad Informática ST04-006 Saber qué son los Parches Cuando los proveedores advierten vulnerabilidades en sus productos, a menudo largan parches para solucionar

Más detalles

Qué es el protocolo SSH y cómo configurarlo para mejorar la seguridad de acceso a los servidores Linux

Qué es el protocolo SSH y cómo configurarlo para mejorar la seguridad de acceso a los servidores Linux Qué es el protocolo SSH y cómo configurarlo para mejorar la seguridad de acceso a los servidores Linux Cardenal Gardoki, 1 48008 BILBAO (Vizcaya) Teléfono: 902 012 199 www.hostalia.com Cuando uno contrata

Más detalles

INDICE. Agradecimientos Introducción Parte I Fundamentos de la conectividad de redes XIX XXI

INDICE. Agradecimientos Introducción Parte I Fundamentos de la conectividad de redes XIX XXI INDICE Agradecimientos Introducción Parte I Fundamentos de la conectividad de redes 3 1 El negocio de la conectividad Conectividad de redes: la perspectiva corporativa Qué necesita su compañía? 4 Puestos

Más detalles

CAPITULO 4 TCP/IP NETWORKING

CAPITULO 4 TCP/IP NETWORKING CAPITULO 4 TCP/IP NETWORKING Algo sobre LINUX http://www.diarioti.com/gate/n.php?id=9470 2 AGENDA 4.1 Historia del protocolo TCP/IP 4.2 Direccionamiento IP 4.3 Nombre de resolución 4.4 Protocolos TCP/IP

Más detalles

LOGO. Modulo 2. Carlos Villanueva

LOGO. Modulo 2. Carlos Villanueva SSO5501 Hardening de un Sistema Operativo de Red LOGO Modulo 2 Carlos Villanueva Introduccion Hardering, del ingles Endurecimiento, se refiere al proceso de segurizar un Sistema o Aplicación Objetivos

Más detalles

Sistemas de Computación Archivos de Red. 2º Semestre, 2008 José Miguel Rubio L. jose.rubio.l@ucv.cl http://www.inf.ucv.cl/~jrubio

Sistemas de Computación Archivos de Red. 2º Semestre, 2008 José Miguel Rubio L. jose.rubio.l@ucv.cl http://www.inf.ucv.cl/~jrubio Sistemas de Computación Archivos de Red 2º Semestre, 2008 José Miguel Rubio L. jose.rubio.l@ucv.cl http://www.inf.ucv.cl/~jrubio NFS Características: Provee un acceso transparente a un Sistema de Archivos

Más detalles

Requerimientos Técnicos para mantenimiento anual de certificación del Área Perimetral

Requerimientos Técnicos para mantenimiento anual de certificación del Área Perimetral Requerimientos Técnicos para mantenimiento anual de certificación del Área Perimetral Trabajo a realizar Cotización de mantenimiento anual de certificación de seguridad informática para el área perimetral

Más detalles

Tecnologías De La Información Y Comunicación I. Firewall Y Proxy. Integrantes: Héctor Duran. Katherine Zumelzu

Tecnologías De La Información Y Comunicación I. Firewall Y Proxy. Integrantes: Héctor Duran. Katherine Zumelzu Firewall Y Proxy Integrantes: Héctor Duran Katherine Zumelzu Fecha: 15/04/2015 Índice Qué es un firewall?... 3 Tipos de Firewall... 4 -Nivel de aplicación de Pasarela:... 4 -Circuito a nivel de Pasarela:...

Más detalles

: COMPUTACIÓN E INFORMATICA : Ingeniería de Redes y Comunicaciones : Técnicas de Hacking : Z-RED109

: COMPUTACIÓN E INFORMATICA : Ingeniería de Redes y Comunicaciones : Técnicas de Hacking : Z-RED109 I. DATOS INFORMATIVOS Carrera Especialidad Curso Código Ciclo : Sexto Requisitos Duración Horas Semana : 08 horas Versión : v.0109 II. SUMILLA: : COMPUTACIÓN E INFORMATICA : Ingeniería de Redes y Comunicaciones

Más detalles

2.3.5 Capa de sesión. Protocolos

2.3.5 Capa de sesión. Protocolos 2.3.5 Capa de sesión Protocolos RPC El RPC (del inglés Remote Procedure Call, Llamada a Procedimiento Remoto) es un protocolo que permite a un programa de computadora ejecutar código en otra máquina remota

Más detalles

! "! #$%$& ! " #! $ % & +,- ' ( ) *+, - $ %

! ! #$%$& !  #! $ % & +,- ' ( ) *+, - $ % " #$%$& " # $ % & "#"$$ $%&'"()*#"$ +,-./ ' " #$%$& ' ( ) *+, - $ % "#"$$ $%&'"()*#"$ +,-./ % ( )*+, $%-./ 0 #"$%$& Estimados señores, De la manera más atenta nos dirigimos a ustedes con el fin de realizar

Más detalles

LA SEGURIDAD INFORMÁTICA Y LA LEY FEDERAL DE TRANSPARENCIA Y ACCESO A LA INFORMACIÓN

LA SEGURIDAD INFORMÁTICA Y LA LEY FEDERAL DE TRANSPARENCIA Y ACCESO A LA INFORMACIÓN LA SEGURIDAD INFORMÁTICA Y LA LEY FEDERAL DE TRANSPARENCIA Y ACCESO A LA INFORMACIÓN Autores: M. en I.A. Miguel Alejandro Orozco Malo M. en A.C. Alejandro Rubio Pérez Problemática Uno de los aspectos más

Más detalles

PRACTICA CAPITULO 2 MODULO 1 PROTOCOLOS Y LA FUNCIONALIDAD DE LA CAPA DE APLICACIÓN

PRACTICA CAPITULO 2 MODULO 1 PROTOCOLOS Y LA FUNCIONALIDAD DE LA CAPA DE APLICACIÓN PRACTICA CAPITULO 2 MODULO 1 PROTOCOLOS Y LA FUNCIONALIDAD DE LA CAPA DE APLICACIÓN Los protocolos de capa de aplicación de TCP/IP más conocidos son aquellos que proporcionan intercambio de la información

Más detalles

TEMA: PROTOCOLOS TCP/IP

TEMA: PROTOCOLOS TCP/IP TEMA: PROTOCOLOS TCP/IP HISTORIA: El Protocolo de Internet (IP) y el Protocolo de Transmisión (TCP), fueron desarrollados inicialmente en 1973 por el informático estadounidense Vinton Cerf como parte de

Más detalles

Firewalls, IPtables y Netfilter

Firewalls, IPtables y Netfilter Firewalls, IPtables y Netfilter Dastugue, Juan Cristobal, Leandro Temario Políticas de diseño de un Firewall Definición Qué es un Firewall? Es un sistema o conjunto de sistemas, ubicado entre dos redes.

Más detalles

Capítulo 4.- Recomendaciones para un Servidor web y de bases de datos seguro.

Capítulo 4.- Recomendaciones para un Servidor web y de bases de datos seguro. Capítulo 4.- Recomendaciones para un Servidor web y de bases de datos seguro. Este capítulo explica las características que un servidor web y de bases de datos seguro debe tener. Esto es esencial para

Más detalles

Utilizar los servicios de Index Service para buscar información de forma rápida y segura, ya sea localmente o en la red.

Utilizar los servicios de Index Service para buscar información de forma rápida y segura, ya sea localmente o en la red. Funciones de servidor La familia Windows Server 2003 ofrece varias funciones de servidor. Para configurar una función de servidor, instale dicha función mediante el Asistente para configurar su servidor;

Más detalles

IS23 Mantenimiento de Instalaciones Informáticas Práctica 7. Análisis de redes

IS23 Mantenimiento de Instalaciones Informáticas Práctica 7. Análisis de redes IS23 Mantenimiento de Instalaciones Informáticas Práctica 7. Análisis de redes 1 Objetivos Ingeniería Técnica Informática de Sistemas Curso 2003/2004 En la presente sesión se pretende familiarizar al alumno

Más detalles

Ataques de lado Cliente (Client-Side Attacks)

Ataques de lado Cliente (Client-Side Attacks) Ataques de lado Cliente (Client-Side Attacks) Mauricio Velazco, OSEH Consultor mvelazco@open-sec.com http://ehopen-sec.blogspot.com/ Dont learn to hack, hack to learn Por qué OpenSec? Unica empresa Peruana

Más detalles

TALLER MANUEL ARROYAVE HENAO PRESENTADO A:

TALLER MANUEL ARROYAVE HENAO PRESENTADO A: TALLER DESCUBRIENDO OTRAS HERRAMIENTAS DE SW AUDITORIA MANUEL ARROYAVE HENAO JHON FREDY GIRALDO PRESENTADO A: CARLOS HERNAN GÓMEZ INGENIERO DE SISTEMAS UNIVERSIDAD DE CALDAS FACULTAD DE INGENIRIAS INGENIERIA

Más detalles

Tema 1: Introducción a la gestión y planificación de redes

Tema 1: Introducción a la gestión y planificación de redes Tema 1: Introducción a la gestión y planificación de redes 1. Introducción general 2. Objetivos de la gestión de redes 3. Objetivos de la planificación de redes 4. Sistemas de gestión de red Gestión de

Más detalles

CAPÍTULO VI. RESULTADOS, PRUEBAS Y CONCLUSIONES DE LA APLICACIÓN.

CAPÍTULO VI. RESULTADOS, PRUEBAS Y CONCLUSIONES DE LA APLICACIÓN. CAPÍTULO VI. RESULTADOS, PRUEBAS Y CONCLUSIONES DE LA APLICACIÓN. Finalmente en este último capítulo se conocen los resultados, las pruebas y las conclusiones finales de la aplicación Web para el monitoreo

Más detalles

Realiza algunas tareas en beneficio de otras aplicaciones llamadas clientes. Algunos servicios habituales son los servicios de

Realiza algunas tareas en beneficio de otras aplicaciones llamadas clientes. Algunos servicios habituales son los servicios de Realiza algunas tareas en beneficio de otras aplicaciones llamadas clientes. Algunos servicios habituales son los servicios de archivos, que permiten a los usuarios almacenar y acceder a los archivos de

Más detalles

RECOMENDACIONES PARA SOFTWARE E INFRAESTRUCTURA SEGURA

RECOMENDACIONES PARA SOFTWARE E INFRAESTRUCTURA SEGURA RECOMENDACIONES PARA SOFTWARE E INFRAESTRUCTURA SEGURA Rodrigo Ferrer CISSP rodrigo.ferrer@sisteseg.com Bogotá Colombia www.sisteseg.com El objetivo primordial de la elaboración de este documento, se relaciona

Más detalles

CAPÍTULO II USO Y RESPONSABILIDADES DE LA RED

CAPÍTULO II USO Y RESPONSABILIDADES DE LA RED CAPÍTULO II USO Y RESPONSABILIDADES DE LA RED Existen numerosas cuestiones que deben abordarse al elaborar una política de seguridad: 1. Quién esta autorizado para usar los recursos? 2. Cuál es el uso

Más detalles

LABORATORIO DE FTP. PRESENTADO POR: Diana Maritza Aragón Marta Moreno Luis Miguel Pérez. PRESENTADO A: Marcelo Utard Javier Bozzuto

LABORATORIO DE FTP. PRESENTADO POR: Diana Maritza Aragón Marta Moreno Luis Miguel Pérez. PRESENTADO A: Marcelo Utard Javier Bozzuto LABORATORIO DE FTP PRESENTADO POR: Diana Maritza Aragón Marta Moreno Luis Miguel Pérez PRESENTADO A: Marcelo Utard Javier Bozzuto ESCUELA DE GRADUADOS DE ELECTRÓNICA Y TELECOMUNICACIONES LABORATORIO DE

Más detalles

Linux, Solaris, http://www.ossec.net monitorear y controlar sus sistemas. Se mezcla

Linux, Solaris, http://www.ossec.net monitorear y controlar sus sistemas. Se mezcla Marco Teórico SIM/SIEM: Security Information and Event Management. Un Administrador de eventos de seguridad (SEM) (siglas SIEM y SIM) es una herramienta informática utilizada en la empresa de redes de

Más detalles

Certified Ethical Hacker Training

Certified Ethical Hacker Training Pág. 1 de 6 CONTENIDO DETALLADO Certified Ethical Hacker Training Descripción del Curso El Hacker Ético es la persona que lleva a cabo intentos de intrusión en redes y/o sistemas utilizando los mismos

Más detalles

http://actualizacion.itesm.mx

http://actualizacion.itesm.mx Diplomado Seguridad informática El Instituto Tecnológico de Estudios Superiores de Monterrey, Campus Estado de México (ITESM-CEM) y la Asociación Latinoamericana de Profesionales en Seguridad Informática,

Más detalles

- Telnet, Rlogin, SSH - X-Terminal - Escritorio remoto VNC - Terminal Server - Acceso remoto mediante interfaz web

- Telnet, Rlogin, SSH - X-Terminal - Escritorio remoto VNC - Terminal Server - Acceso remoto mediante interfaz web - Telnet, Rlogin, SSH - X-Terminal - Escritorio remoto VNC - Terminal Server - Acceso remoto mediante interfaz web Los Servicios de Escritorio Remoto (del inglés Remote Desktop Services), antiguamente

Más detalles

Nombre: Francis Ariel Jiménez Zapata. Matricula: 2010-0077. Tema: Trabajando con Windows Server 2008 Módulo 6. Materia: Sistema Operativo II

Nombre: Francis Ariel Jiménez Zapata. Matricula: 2010-0077. Tema: Trabajando con Windows Server 2008 Módulo 6. Materia: Sistema Operativo II Nombre: Francis Ariel Jiménez Zapata Matricula: 2010-0077 Tema: Trabajando con Windows Server 2008 Módulo 6 Materia: Sistema Operativo II Facilitador: José Doñe Introducción En este trabajo estaremos tratando

Más detalles

EEHC. Enhacke Ethical Hacking Certification

EEHC. Enhacke Ethical Hacking Certification EEHC Enhacke Ethical Hacking Certification Curso de Certificación de Hacking Ético ENHACKE S.A.C. Año 2010 ENHACKE ETHICAL HACKING CERTIFICATION EEHC INTRODUCCION El curso EEHC provee el conocimiento necesario

Más detalles

Instalación, creación y configuración del servicio FTP

Instalación, creación y configuración del servicio FTP Instalación, creación y configuración del servicio OBJETIVOS Instalar el servicio de en Windows. Configurar y administrar el Servicio de en Windows. Prueba de acceso desde la LAN al servidor. Apertura

Más detalles

SSH MANUAL BÁSICO. AUTORES Karen Giraldo Escobar Julián Andrés Lozano. 3/10/2010 Universidad ICESI

SSH MANUAL BÁSICO. AUTORES Karen Giraldo Escobar Julián Andrés Lozano. 3/10/2010 Universidad ICESI SSH MANUAL BÁSICO AUTORES Karen Giraldo Escobar Julián Andrés Lozano 3/10/2010 Universidad ICESI TABLA DE CONTENIDO 1. INTRODUCCIÓN... 3 1.1. Que es SSH?... 3 1.2. Características de SSH 3 1.3. Por qué

Más detalles

Cómo trabaja el Atacante? El atacante trabaja en 5 pasos, los cuales son: Ethical-Hacker.net. Reconocimiento. Borrado de Huellas.

Cómo trabaja el Atacante? El atacante trabaja en 5 pasos, los cuales son: Ethical-Hacker.net. Reconocimiento. Borrado de Huellas. El equipo de inteligencia en seguridad de es una organización de investigación de primer nivel dedicada a descubrir vulnerabilidades y fallas de seguridad en redes de cómputo. Pocas son las organizaciones

Más detalles

CAPITULO 1 INTRODUCCIÓN

CAPITULO 1 INTRODUCCIÓN CAPITULO 1 INTRODUCCIÓN La seguridad en las redes de comunicaciones se ha convertido en un aspecto de importancia para los proveedores del Internet y para los clientes debido a la prioridad que ha tomado

Más detalles

Symantec Network Access Control Guía de inicio

Symantec Network Access Control Guía de inicio Symantec Network Access Control Guía de inicio Symantec Network Access Control Guía de inicio El software que se describe en este manual se suministra con contrato de licencia y sólo puede utilizarse según

Más detalles

Tema 41.- Medidas de seguridad en conectividad de redes: Cortafuegos, IDS, IPS, filtro de contenidos.

Tema 41.- Medidas de seguridad en conectividad de redes: Cortafuegos, IDS, IPS, filtro de contenidos. Tema 41.- Medidas de seguridad en conectividad de redes: Cortafuegos, IDS, IPS, filtro de contenidos. Introducción...1 1 Cortafuegos Firewall-... 3 1.1 Políticas de control de acceso... 4 1.2 Órganización

Más detalles

PRACTICA CAPITULO 2 MODULO 1 PROTOCOLOS Y LA FUNCIONALIDAD DE LA CAPA DE APLICACIÓN

PRACTICA CAPITULO 2 MODULO 1 PROTOCOLOS Y LA FUNCIONALIDAD DE LA CAPA DE APLICACIÓN PRACTICA CAPITULO 2 MODULO 1 PROTOCOLOS Y LA FUNCIONALIDAD DE LA CAPA DE APLICACIÓN Los protocolos de capa de aplicación de TCP/IP más conocidos son aquellos que proporcionan intercambio de la información

Más detalles

Es Internet un lugar seguro para vivir?

Es Internet un lugar seguro para vivir? Seguridad file:///home/jpiquer/jpiquer/charlas/seguridad4/charla.html Es Internet un lugar seguro para vivir? José M. Piquer DCC - U. de Chile 1 of 1 06/08/2007 04:43 PM Internet Comercial (8) file:///home/jpiquer/jpiquer/charlas/seguridad4/1.html

Más detalles

DIPLOMADO EN SEGURIDAD INFORMATICA

DIPLOMADO EN SEGURIDAD INFORMATICA DIPLOMADO EN SEGURIDAD INFORMATICA Modulo 9: Soporte Computacional Clase 9_3:Protocolos de comunicación y conectividad de arquitecturas multiplataforma. Director Programa: César Torres A Profesor : Claudio

Más detalles

Cumplimiento de la normativa PCI sobre seguridad de datos mediante análisis del comportamiento de la red y registros de incidencias de seguridad

Cumplimiento de la normativa PCI sobre seguridad de datos mediante análisis del comportamiento de la red y registros de incidencias de seguridad Cumplimiento de la normativa PCI sobre seguridad de datos mediante análisis del comportamiento de la red y registros de incidencias de seguridad A la hora de monitorizar y validar la conformidad es necesaria

Más detalles

Bitácora del sistema - Introducción

Bitácora del sistema - Introducción Bitácora del sistema M A T E R I A : A R Q U I T E C T U R A A V A N Z A D A P R O F E S O R : J U A N J O S E M U Ñ O Z A L U M N O : F E D E R I C O D I B E N E D E T T O M A T R I C U L A : 7 6 5 6

Más detalles

Internet Firewalls Linux ipchains.

Internet Firewalls Linux ipchains. Internet Firewalls Linux ipchains. I Parte. Firewalls Introducción. Actualmente, Internet es la principal vía para consultar y publicar información de una forma sencilla, económica y revolucionaria. Del

Más detalles

Hacking ético y Seguridad en Red

Hacking ético y Seguridad en Red TFC: Administración de Redes y Sistemas Operativos Hacking ético y Seguridad en Red Alumno: Cristiano Dias Consultor: José Manuel Castillo Pedrosa 1 Índice Introducción... 3 Perfil del Hacker ético...

Más detalles

Sistemas de Detección y Prevención de Intrusos Estado del Arte. Charles Ware cware@uy.ibm.com Agosto 2011

Sistemas de Detección y Prevención de Intrusos Estado del Arte. Charles Ware cware@uy.ibm.com Agosto 2011 Sistemas de Detección y Prevención de Intrusos Estado del Arte Charles Ware cware@uy.ibm.com Agosto 2011 Agenda Concientización y estate del arte Historia Detección de Intrusos Prevención de Intrusos IDPS

Más detalles

Julio C. Ardita, CISM jardita@cybsec.com. 9 de Abril de 2014

Julio C. Ardita, CISM jardita@cybsec.com. 9 de Abril de 2014 Experiencias i de Seguridad d en SAP Julio C. Ardita, CISM jardita@cybsec.com 9 de Abril de 2014 Agenda - Seguridad en la arquitectura - Seguridad en el SO y DB del entorno SAP - Seguridad a nivel técnico

Más detalles

Red de Comunicación. Tipos de Redes. Local Area Network

Red de Comunicación. Tipos de Redes. Local Area Network Red de Comunicación Internet y sus Servicios Conjunto de dispositivos y procedimientos asociados, que están conectados por medio de recursos de comunicaciones para intercambiar información. INTRODUCCIÓN

Más detalles

Ministerio de Educación,Cultura y Deporte. Aulas en Red. Windows. Módulo 4: Servicios de Internet. FTP

Ministerio de Educación,Cultura y Deporte. Aulas en Red. Windows. Módulo 4: Servicios de Internet. FTP Ministerio de Educación,Cultura y Deporte. Aulas en Red. Windows Módulo 4: Servicios de Internet. FTP Aulas en red. Aplicaciones y servicios. Windows Servicio FTP Con anterioridad, en este mismo módulo

Más detalles

SEGURIDAD EN REDES. NOMBRE: Daniel Leonardo Proaño Rosero. TEMA: SSH server

SEGURIDAD EN REDES. NOMBRE: Daniel Leonardo Proaño Rosero. TEMA: SSH server SEGURIDAD EN REDES NOMBRE: Daniel Leonardo Proaño Rosero TEMA: SSH server SSH (Secure SHell, en español: intérprete de órdenes segura) es el nombre de un protocolo y del programa que lo implementa, y sirve

Más detalles

CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA

CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA Hoy en día las redes de comunicaciones son cada vez mas importantes para las organizaciones ya que depende de estás, para que exista un manejo adecuado de

Más detalles

Seguridad en Administración de Redes. INTEGRANTES: Santa Elena Rodríguez Calzada María de los Ángeles Ramírez Ortiz Liliana Gpe. Olivares Valdovinos.

Seguridad en Administración de Redes. INTEGRANTES: Santa Elena Rodríguez Calzada María de los Ángeles Ramírez Ortiz Liliana Gpe. Olivares Valdovinos. Seguridad en Administración de Redes INTEGRANTES: Santa Elena Rodríguez Calzada María de los Ángeles Ramírez Ortiz Liliana Gpe. Olivares Valdovinos. Administración de Seguridad en Redes La administración

Más detalles

El estado del arte de la Seguridad Informática

El estado del arte de la Seguridad Informática 1 El estado del arte de la Seguridad Informática Lic. Julio C. Ardita jardita@cybsec.com Seminario Tendencias de la Tecnología en Seguridad Informática 12 de Septiembre de 2002 Buenos Aires - ARGENTINA

Más detalles

Guía: Controles de Seguridad y Privacidad de la Información

Guía: Controles de Seguridad y Privacidad de la Información Guía: Controles de Seguridad y Privacidad de la Información Guía Técnica HISTORIA VERSIÓN FECHA CAMBIOS INTRODUCIDOS 1.0.0 15/12/2010 Versión inicial del documento 2.0.0 30/09/2011 Restructuración de forma

Más detalles

Suplemento informativo: aclaración del requisito 6.6 sobre revisiones de códigos y firewalls de aplicaciones

Suplemento informativo: aclaración del requisito 6.6 sobre revisiones de códigos y firewalls de aplicaciones Norma: Normas de Seguridad de Datos (DSS) Requisito: 6.6 Fecha: febrero de 2008 Suplemento informativo: aclaración del requisito 6.6 sobre revisiones de códigos y firewalls de aplicaciones Fecha de publicación:

Más detalles

INFORME DE ACCESO REMOTO SEGURO CON PROTECCIÓN WAF WEB APPLICATION FIREWALL. Universidad de Alcalá Departamento de Ciencias de la Computación

INFORME DE ACCESO REMOTO SEGURO CON PROTECCIÓN WAF WEB APPLICATION FIREWALL. Universidad de Alcalá Departamento de Ciencias de la Computación LABORATORIO INFORME DE ACCESO REMOTO SEGURO CON PROTECCIÓN WAF WEB APPLICATION FIREWALL SonicWALL SRA 4200 Universidad de Alcalá Departamento de Ciencias de la Computación SonicWALL SRA 4200 SonicWALL

Más detalles

Seguretat en xarxes. Tallafocs, IDS, IPS, filtrat de continguts

Seguretat en xarxes. Tallafocs, IDS, IPS, filtrat de continguts Seguretat en xarxes. Tallafocs, IDS, IPS, filtrat de continguts Índice de contenido Seguretat en xarxes. Tallafocs, IDS, IPS, filtrat de continguts...1 Licencia...1 Cortafuegos...1 Sin estado...2 Con estado

Más detalles

UNIVERSIDAD NACIONAL AUTÓNOMA DE MÉXICO Facultad de Ingeniería Redes de Datos Práctica 10 Capa 5 Modelo OSI

UNIVERSIDAD NACIONAL AUTÓNOMA DE MÉXICO Facultad de Ingeniería Redes de Datos Práctica 10 Capa 5 Modelo OSI PRÁCTICA 10 Filtrado de puertos TCP/UDP mediante un firewall 1.- Objetivo de Aprendizaje El alumno: Al finalizar la práctica el alumno comprenderá algunos conceptos de la Capa 5 del Modelo OSI. Manejará

Más detalles

CA ARCserve Backup Patch Manager para Windows

CA ARCserve Backup Patch Manager para Windows CA ARCserve Backup Patch Manager para Windows Guía del usuario r16 Esta documentación, que incluye sistemas incrustados de ayuda y materiales distribuidos por medios electrónicos (en adelante, referidos

Más detalles

Servicio de Protección Total Web

Servicio de Protección Total Web Servicio de Protección Total Web Prevención de Fraude Inspecciones de Procesos, Tecnología, Personas y Lugares, Ethical hacking, Concientización y Capacitación en Seguridad Detección de Fraude Ambientes

Más detalles

Monitoreo WAN. Monitoreo de Servidores

Monitoreo WAN. Monitoreo de Servidores OpManager Monitoreo WAN Visibilidad en tiempo real dentro de la salud de los accesos WAN y routers Mapas especiales para los routers, permitiendo a los operadores monitorear la interfase de los routers

Más detalles

CAPÍTULO 1. LAS REDES...

CAPÍTULO 1. LAS REDES... ÍNDICE CAPÍTULO 1. LAS REDES... 13 1.1 QUÉ ES UNA RED?... 13 1.2 LOS COMPONENTES DE UNA RED... 14 1.3 LOS TIPOS DE REDES... 14 1.3.1 Por su tamaño... 15 1.3.2 Por la forma de conexión... 15 1.4 VENTAJAS

Más detalles

Hacking en 5 pasos usando Software libre

Hacking en 5 pasos usando Software libre Hacking en 5 pasos usando Ponente: JUAN DAVID BERRIO LOPEZ judabe2003@gmail.com Ingeniero en Informática. Especialista en redes Universidad san Buenaventura Posgrado en Seguridad Redes UOC, CCNSP Cyberoam/India

Más detalles

ESCUELA POLITECNICA NACIONAL

ESCUELA POLITECNICA NACIONAL 1 de 19 Tecnologías de la Información Técnicas de seguridad Sistemas de Gestión de la Seguridad de la Información Requisitos Objetivo Revisar los aspectos importantes sobre la norma ISO/EIC 27001 para

Más detalles

GUÍA DE PREVENCIÓN FRAUDES TELEFÓNICOS EN SU EMPRESA

GUÍA DE PREVENCIÓN FRAUDES TELEFÓNICOS EN SU EMPRESA GUÍA DE PREVENCIÓN FRAUDES TELEFÓNICOS EN SU EMPRESA DE Guía de prevención de fraudes teléfonicos en su empresa Contenido Contenido 1. Definiciones y generalidades sobre fraudes telefónicos 1.1. Qué es

Más detalles

Seguridad Y Auditoria Wireless

Seguridad Y Auditoria Wireless Seguridad Y Auditoria Wireless Integrantes: -Héctor Durán -Katherine Zumelzu Profesor: Rodrigo Tapia Santis Índice Contenido Seguridad... 3 Auditoria... 3 Pero qué es Seguridad y Auditoría Wireless?...

Más detalles

WHITE PAPER. Cumplimiento de Aranda 360 ENDPOINT SECURITY con la Norma ISO/IEC 27001 (Tecnología de la Información Técnicas de Seguridad)

WHITE PAPER. Cumplimiento de Aranda 360 ENDPOINT SECURITY con la Norma ISO/IEC 27001 (Tecnología de la Información Técnicas de Seguridad) con la Norma ISO/IEC 27001 (Tecnología de la Información Técnicas de Seguridad) Abril 2008 TABLA DE CONTENIDO INTRODUCCIÓN. 3 ARANDA 360 ENDPOINT SECURITY & LA NORMA ISO / IEC 27001. 4 www.arandasoft.com

Más detalles

Privacy by design (PbD). Necesidades de desarrollo seguro. Daniel de los Reyes dadecal@s2grupo.es Director de desarrollo. S2 Grupo 12 de Mayo, 2011

Privacy by design (PbD). Necesidades de desarrollo seguro. Daniel de los Reyes dadecal@s2grupo.es Director de desarrollo. S2 Grupo 12 de Mayo, 2011 Privacy by design (PbD). Necesidades de desarrollo seguro. Daniel de los Reyes dadecal@s2grupo.es Director de desarrollo. S2 Grupo 12 de Mayo, 2011 Antecedentes Nueva Directiva comunitaria sobre Protección

Más detalles