Guía Docente 2015/2016

Transcripción

1 Guía Docente 2015/2016 Seguridad en la Información Information Security Grado en Ingeniería Informática Presencial

2 Índice Seguridad en la Información... 3 Breve descripción de la asignatura... 3 Requisitos Previos... 4 Objetivos... 4 Competencias y resultados de aprendizaje... 4 Metodología... 6 Temario... 6 Relación con otras asignaturas del plan de estudios Sistema de evaluación Bibliografía y fuentes de referencia Web relacionadas Recomendaciones para el estudio Material didáctico Tutorías... 13

3 Seguridad en la Información Módulo: Tecnologías de la Información. Materia: Seguridad y administración. Carácter: Básico. Nº de créditos: 4,5 ECTS. Unidad Temporal:3º curso 2º semestre Profesor de la asignatura:fernando Pereñíguez García (web profesorado). fpereniguez@ucam.edu Horario de atención a los alumnos/as: Miércoles de 11:00 a 13:00. Fuera de este horario se pueden atender tutorías a petición del alumno. Preferiblemente se pedirán las citas por el campus virtual, pero se puede poner también por correo electrónico. Profesor coordinador de módulo: Francisco Arcas Túnez. Profesor coordinador de curso: Fernando Pereñíguez García Breve descripción de la asignatura En esta asignatura se estudian los fundamentos básicos de seguridad en redes. Se inicia realizando un repaso a nociones básicas sobre seguridad, terminología asociada y tipos de ataques más representativos. A continuación, se estudian las técnicas criptográficas más relevantes empleadas para la implementación de soluciones de seguridad en redes, cubriendo modelos de criptografía simétrica, asimétrica y firma digital. En este sentido, se hará especial hincapié en el funcionamiento de las infraestructuras de clave pública, por su relevancia y uso en los actuales sistemas de seguridad. Finalmente, el resto de la asignatura plantea el estudio y análisis de soluciones de seguridad concretas, abarcando tanto los protocolos seguros como su uso para el diseño de aplicaciones seguras. Brief Description This subject covers basic security concepts in current computer networks. Initially, the most basic concepts related to security are reviewed, related terminology as well as relevant types of security attacks. Next, the subject studies well-known cryptographic techniques used nowadays for the development of security solutions for computer networks. In this part, the student will analyze not only symmetric and asymmetric models, but also digital signature. In this sense, the subject will emphasize in the operational issues associated to public key infrastructures, due to their relevance and wide use in current security systems. Finally, the remaining of the subject will focus on the study and analysis of concrete security solutions, including security protocols and their use for the design of security applications.

4 Requisitos Previos Para que el alumno curse la asignatura de forma satisfactoria, es necesario que el alumno sea familiar con los conceptos y nociones básicas del funcionamiento de protocolos de redes de ordenadores. Así mismo, se requiere familiaridad con los comandos de administración y configuración de sistemas operativos.en este sentido, que el alumno esté familiarizado con el trabajo en un entorno tipo Linux, ya que gran parte de las herramientas de seguridad a emplear en la parte práctica de la asignatura están disponibles para esta plataforma. Por este motivo, sería aconsejable que el alumno haya cursado y superado con éxito las asignaturas de Redes de Computadores y Sistemas Operativos. Objetivos 1. Conocer la importancia que representa la seguridad de la información en las redes de computadores. 2. Enumerar los servicios y elementos de seguridad más importantes. 3. Conocer los mecanismos criptográficos básicos. 4. Saber explicar los distintos tipos de ataques más representativos que pueden darse en una red. 5. Conocer los mecanismos de criptografía clásica y su importancia para el desarrollo de las técnicas criptográficas aplicadas en la actualidad. 6. Conocer el funcionamiento de las técnicas de criptografía simétrica. 7. Conocer el funcionamiento de las técnicas de criptografía asimétrica. 8. Conocer el funcionamiento de las técnicas de firma digital. 9. Enumerar los esquemas de cifrado más comunes empleados en la actualidad. 10. Conocer las técnicas de distribución de claves para sistemas criptográficos simétricos. 11. Conocer las técnicas de distribución de claves para sistemas de clave pública. 12. Explicar el formato de los certificados X Explicar el funcionamiento de las infraestructuras de clave pública. 14. Conocer los distintos elementos que integran una infraestructura de clave pública. 15. Saber explicar los procesos asociados a la gestión de infraestructuras de clave pública. 16. Conocer los protocolos seguros existentes en cada nivel de la pila TCP/IP. 17. Saber explicar el funcionamiento de los protocolos seguros. 18. Conocer ejemplos de aplicaciones que refuerzan su seguridad en bases al uso de protocolos seguros. Competencias y resultados de aprendizaje Competencias transversales T1 - Capacidad de análisis y síntesis.

5 T2 - Capacidad de organización y planificación. T3 - Capacidad de gestión de la información. T4 - Resolución de problemas. T5 - Toma de decisiones. T6 - Trabajo en equipo. T11 - Razonamiento crítico. T12 - Compromiso ético. T14 - Aprendizaje autónomo. T15 - Adaptación a nuevas situaciones. T16 - Creatividad e innovación. T18 - Iniciativa y espíritu emprendedor. T19 - Motivación por la calidad. T21 - Capacidad de reflexión. T22 - Comprender los puntos principales de textos claros y en lengua estándar si tratan sobre cuestiones relacionadas con el ámbito deestudio. Competencias específicas TI1 - Capacidad para comprender el entorno de una organización y sus necesidades en el ámbito de las tecnologías de la información y las comunicaciones. TI2 - Capacidad para seleccionar, diseñar, desplegar, integrar, evaluar, construir, gestionar, explotar y mantener las tecnologías de hardware, software y redes, dentro de los parámetros de coste y calidad adecuados. TI4 - Capacidad para seleccionar, diseñar, desplegar, integrar y gestionar redes e infraestructuras de comunicaciones en una organización. TI7 - Capacidad para comprender, aplicar y gestionar la garantía y seguridad de los sistemas informáticos. Resultados de aprendizaje RA Describir diferentes procesos de desarrollo software. RA Explicar diferentes técnicas de modelado software, sus componentes y posibles usos. RA Aplicar diferentes técnicas de modelado a la resolución de supuestos prácticos mediante el uso de la notación y las herramientas adecuadas.

6 RA Identificar los distintos patrones de diseño relacionándolos con los problemas que resuelven. RA Explicar las características principales de la reutilización y la reingeniería. RA Comprender las principales metodologías de gestión de proyectos. Metodología Metodología Horas Horas de trabajo presencial Horas de trabajo no presencial Exposición teórica 17 Grupos de discusión, seminarios 16 Evaluación 3 45horas (40 %) Tutoría 9 Estudio personal 29,7 Preparación de trabajo 27 y exposición Análisis de artículos 4 67,5horas (60 %) científicos Búsquedas 6,8 bibliográficas TOTAL 112, ,5 Temario Tema 1. Introducción. Programa de la enseñanza teórica 1. Introducción al concepto de seguridad de la información. 2. Objetivos básicos de seguridad 3. Arquitectura X Terminología 5. Ataques de red

7 6. Malware Tema 2. Criptografía clásica. 1. Introducción 2. Escítala 3. Polybios 4. Cifrado del César 5. Vignère 6. Playfair 7. Vernam 8. Sistemas de rotor. Tema 2. Criptografía simétrica. 1. Introducción 2. Requisitos 3. Tipos: Stream Ciphers, Block Ciphers 4. Modos de operación de cifrado por bloques: ECB, CBC, CFC, OFB 5. Esquema de cifrado Feistel 6. Algoritmos de criptografía simétrica a. DES b. 3DES c. AES 7. Distribución de claves Tema 3. Criptografía asimétrica. 1. Introducción. 2. Aplicaciones 3. Características 4. Algoritmos de criptografía asimétrica a. Diffie-Hellman

8 b. RSA Tema 4: Funciones Hash Critpgráficas 1. Introducción. 2. Funciones hash: a. SHA b. MD5 3. Aplicaciones a. Autenticación de mensajes b. Firma digital c. Otras aplicaciones Tema 3. Infraestructuras de clave pública. 1. Introducción. 2. Elementos de la PKI. 3. PKI basada en X Esquemas de certificación. 5. Servicios básicos: emisión, renovación, revocación. Tema 4. Protocolos seguros. 1. Introducción. 2. Niveles inferiores: a. IKEv2 b. IPsec. 3. Niveles superiores a. SSL/TLS b. Kerberos. Tema 5. Aplicaciones seguras. 1. HTTPS 2. SSH

9 3. S/MIME Programa de la enseñanza práctica Los alumnos realizarán una serie de trabajos de prácticas que integren los conceptos y las técnicas de seguridad abarcadas en el programa de enseñanza teórica de la asignatura. Concretamente, las prácticas a desarrollar versarán sobre los siguientes temas: Práctica 1. Introducción a la seguridad. En este práctica pretende que el alumno adquiera consciencia de la situación actual de la problemática de la seguridad de los sistemas de información, centrándose en aspectos como la ciberseguridad y ciberdefensa. Para ello se revisarán noticias actuales publicas en prensa así como documentales. Práctica 2. Sistemas criptográficos clásicos. Esta práctica está orientada al estudio de los sistemas de cifrado clásicos con el fin de familiarizarse con las técnicas tradicionales de sustitución y transposición. Apoyándose del uso de la herramienta CrypTool, el alumno estudiará las ventajas/inconvenientes de cada sistema de cifrado y conocerá aspectos como la entropía o resistencia a ataques de criptoanálisis. Práctica 3. Sistemas criptográficos modernos. Este práctica pretende que el alumno se familiarice con el uso delos algoritmos criptográficos modernos de tipo simétrico y asimétrico, así como lasfunciones de hash. Concretamente, el alumno experimentará con el uso de operacionescriptográficas en Java, el cuál es uno de los lenguajes de programación más usados enla actualidad para el desarrollo de aplicaciones Práctica 4. Certificación. Esta prácticaintroduce al alumno con la manipulación de certificados. Esto incluye la generación y gestión de certificados de forma correcta. Así mismo se experimentará con el uso de certificados en una aplicación real para implementar una operación básica de firma digital y/o autentificación de mensajes. Práctica 5. Seguridad a nivel de transporte. En esta práctica el alumno trabajará el desarrollo de comunicaciones seguras para aplicaciones distribuidas que se comunican de forma remota a través de redes inseguras. Para ello, a modo de ejemplo, se estudiará sobre la plataforma Java las librerías que implementan un transporte seguro mediante el protocolo SSL/TLS. Práctica 6. Estudio de nuevos paradigmas y tendencias de los sistemas seguros. Sobre un conjunto de temas propuestos, el alumno se documentará a través de diversas fuentes bibliográficas. El objetivo de esta práctica consiste en formar al alumno acerca de nuevas tecnologías para el desarrollo de sistemas de comunicación seguros. Con el fin de maximizar los beneficios de esta práctica sobre el alumno, cada grupo presentará su práctica en clase ante el resto de alumnos.

10 Relación con otras asignaturas del plan de estudios Esta asignatura proporciona un complemento fundamental al resto de materias relacionadas con el desarrollo de aplicaciones así como con el estudio de las comunicaciones en redes. Por un lado, los contenidos vistos en esta asignatura complementan la formación adquirida por el alumno en materias como Desarrollo de Aplicaciones Distribuidas o Redes de Computadores. Por otro lado, esta asignatura proporciona al alumno las capacidades adecuadas para cursar la asignatura de Auditoría y Peritaje. Sistema de evaluación - Primera prueba parcial: 30% del total de la nota. Se evaluarán los conocimientos acerca de los principios básicos de seguridad (Tema 1) y criptografía (Tema 2). - Prueba final: 30% del total de la nota. Se evaluarán los conocimientos acerca de las infraestructuras de clave pública, protocolos y aplicaciones seguras (temas 3 a 5). - Evaluación de prácticas y problemas: 40% del total de la nota. Práctica 1 (70%) Práctica 2(30%) Bibliografía y fuentes de referencia Bibliografía básica W. Stallings. Cryptography and Network Security. Prentice Hall ISBN: W. Stallings. Fundamentos de Seguridad en Redes. Prentice Hall ISBN: P. Caballero. Introducción a la Criptografía. 2ª Edición. Editorial Ra-Ma ISBN: J. Ramió. Libro Electrónico de Seguridad Informática y Criptografía. Versión M.A. Huth. Secure Communicating Systems. Design, Analysis and Implementation. Cambridge University Press ISBN: B. Schneier. Secrets & Lies. Digital Security in a Networked World. Jon Wiley & Sons ISBN: R. Atkinson. Security Architecture for the Internet Protocol. Internet RFC F. Warwick; S. Chokhani. Certificate Policy and Certification Practices Framework. Internet RFC C. Scott; P. Wolfe. Virtual Private Networks. 2nd Edition. O Reilly ISBN:

11 Bibliografía complementaria J. Ramió. Aplicaciones criptográficas. Departamento de Publicaciones EUI. UPM. W. Cheswick; S. Bellovin. Firewalls and Internet Security: Repelling the Wily Hacker, Addison-Wesley ISBN: X. B. Schneier. Secure Communicating Systems. Design, Analysis and Implementation. Cambridge University Press. ISBN: J.Seberry; J. Pieprzyk. Cryptography: An Introduction to Computer Security. Prentice Hall. ISBN: R. Smith. Internet Cryptography. Addison Wesley ISBN: D. Welsh. Codes and Cryptography. Oxford Science Publications ISBN: E. Kaufman, A. Newman. Implementing IPsec. John Wiley & Sons ISBN: M. Murhammer; T. Bourne; T. Gaidosch; C. Kunzinger; L. Rademacher; A. Weinfurter. A Comprehensive Guide to Virtual Private Networks, Volume I. IBM Redbooks ISBN: A. O. Alan; P. Freier; P.C. Kocher. The SSL Protocol Version 3.0. Internet RFC W. Ford; M. Baum. Secure Electonic Commerce: Building the Infraestructure for Digital Signatures and Encryption. Prentice Hall ISBN: Web relacionadas Internet Engineering Task Force: Institute of Electrical and Electronics Engineers: National Institute of Standards and Technology. Open SSL: Cryptography and SSL/TLS Tookit. StrongSwan: the OpenSource IPsec based VPN solutionhttp:// IPsec-Tools. Java Secure Socket Extension html Kerberos MIT implementation. Recomendaciones para el estudio La asignatura está estructurada en dos partes. En primer lugar, se abordan fundamentos básicos de la criptografía, principalmente los distintos esquemas de cifrado así como las infraestructuras de clave pública.en segundo lugar, se abordan los protocolos seguros que existen a día de hoy más relevantes, así como ejemplo de aplicación mediante el diseño de aplicaciones seguras. En este sentido, es fundamental que el alumno adquiera una correcta comprensión de la primera parte de la

12 asignatura pues, de lo contrario, será imposible adquirir una correcta comprensión de los contenidos tratados en la segunda parte. La misma problemática se presenta con las prácticas de la asignatura. Sólo mediante un correcto estudio de los protocolos y aplicaciones seguras se conseguirá realizar una correcta solución de seguridad para el problema planteado. Material didáctico Aplicaciones Para el desarrollo de la práctica 1 de la asignatura, el alumno tendrá a su disposición diversas herramientas de software libre que implementan los protocolos seguros más relevantes tratados en la asignatura. En este sentido, se dispone de un amplio abanico de herramientas que permiten implementar soluciones de seguridad a distintos niveles como, por ejemplo: Niveles inferiores TCP/IP: o StrongSwan: the OpenSource IPsec based VPN solution o IPsec-Tools. Niveles superiores TCP/IP: o Open SSL: Cryptography and SSL/TLS Tookit. o Java Secure Socket Extension. o Kerberos MIT implementation Material didáctico Además de la bibliografía recomendada en esta guía docente (básica y complementaria), en el apartado de Recursos del Campus Virtual, el estudiante dispondrá de recursos adicionales que le servirán de apoyo al proceso de aprendizaje. Dicho material se ofrecerá organizado por temas, de acuerdo con la organización de contenidos detallada anteriormente. Concretamente se pondrán a disposición del alumno los siguientes recursos: Apuntes sobre cada tema, indicando conceptos relevantes y ejemplos de uso. Enlaces de interés que permitan la ampliación de información sobre los temas. Presentaciones con explicación oral del profesor de los temas más dificultosos.

13 Tutorías En la asignatura se establecen los siguientes mecanismos de tutorización: Sesiones de tutorías: en el horario de atención de los alumnos semanal indicado anteriormente, el profesor atenderá dudas de los alumnos de forma presencial o por vía telefónica. En la medida de lo posible, dada la naturaleza de los contenidos impartidos, se recomienda que los alumnos opten por la tutorización presencial pues facilita la atención y resolución de dudas planteadas sobre los modelos software planteados. Correo electrónico y/o mensajes privados: se atenderán dudas puntuales planteadas a través de medios telemáticos como el correo electrónico y la herramienta del Campus Virtual Mensajes privados. Preferiblemente, se recomienda el uso del Campus Virtual. Este tipo de tutorización se realizará diariamente, con un compromiso de respuesta en menos de 48 horas lectivas desde la recepción del mismo. Foros: los foros sirven para fomentar la resolución de dudas en la asignatura de forma colaborativa entre los alumnos. Se crearán diversos temas en el foro donde discutir distintos aspectos de interés, tales como unidades temáticas, prácticas, ejercicios propuestos, etc. Este mecanismo de tutorización permite a los estudiantes generar debates sobre los distintos planteamientos e intervenciones que se realicen. El profesor moderará las discusiones surgidas a través de los foros, reorientando las discusiones hacia el propósito formativo.