Información de contacto: Maestría en Computación II Semestre Carta al Estudiante

Transcripción

1 Universidad de Costa Rica Seguridad en Internet Sistema de Estudios Sigla PF-3382 de Posgrado Prof. Roy Valenciano. Maestría en Computación II Semestre 2010 Carta al Estudiante Co-requisito: PF-3383 Laboratorio Seguridad en Internet (aplica solo para estudiantes de la maestría profesional) Créditos: 4. Horario: miércoles 5-9pm. Horas de consulta Lunes-Jueves: 5pm-6pm. Otras: a convenir previa coordinación con el profesor. Motivación La convergencia de servicios de información privada hacia redes de carácter público, tal como Internet, para su uso como medio de acceso o transporte, incrementa sustancialmente la importancia de velar por la seguridad de dicha información. Los profesionales en el área de la computación e informática, en particular, y profesionales de otras ramas, en general, deben contar con una base sólida en el campo de la seguridad de la información con respecto al Internet, propósito de este curso. Conocimientos previos Para llevar este curso es recomendable que el o la estudiante tenga conocimientos generales en los siguientes temas: Conocimientos del stack de protocolos de TCP/IP: SMTP, SNMP, POP3, FTP, TELNET, HTTP. Administración básica de computadores, incluyendo servidores: permisos de acceso a archivos, configuración básica, instalación/desinstalación de servicios, monitoreo. Conexión, configuración e interoperabilidad de equipos en redes basadas en TCP/IP. Conocimientos básicos de redes de computadores. Objetivo General Proveer al o la estudiante de las mejores prácticas de la industria en materia de seguridad de tecnologías de información y así ser capaz de construir la infraestructura organizativa, de hardware y de software necesaria para una conexión segura al Internet.

2 Objetivos Específicos Que el o la estudiante sea capaz de: Identificar los diferentes componentes de seguridad involucrados al conectarse al Internet. Conocer los factores claves del éxito para el aseguramiento de la información en un ambiente conectado al Internet. Realizar revisiones y mejoras a implementaciones de red existentes basado en las mejores prácticas de la industria. Conocer las buenas prácticas para el establecimiento de políticas y controles relacionados con la gestión de la seguridad de la información. Conocer metodologías de análisis de riesgos de seguridad de sistemas conectados al Internet. Familiarizarse con conceptos y herramientas especializadas relacionadas con la seguridad de la información en Internet. Metodología y recursos El curso se impartirá por medio de clases magistrales, combinadas con asignaciones prácticas que ejemplifiquen los diversos temas del curso. Para la realización de asignaciones prácticas se usarán principalmente equipos basados en sistemas operativos Windows y/o Linux bajo plataforma Intel. Contenido temático A-Fundamentos de seguridad 1. Introducción a la seguridad. 2. Políticas de seguridad. 3. Identificación de amenazas/vulnerabilidades/ataques. 4. Análisis de riesgos de seguridad. 5. Seguridad en aplicaciones web. B-Servicios en redes IP y firewalls 1. Lo básico de TCP/IP. 2. Direccionamiento IP. 3. Protocolos TCP/IP. 4. Definición, configuración, y colocación de firewalls. 5. Filtros de paquetes y listas de acceso. C-Criptografía y control de acceso 1. Conceptos de criptografía. 2. Criptografía simétrica y asimétrica. 3. Certificados digitales. 4. Sistemas de autenticación, autorización, auditoría (AAA). 5. Encripción y autenticación en aplicaciones web.

3 E-Temas varios relacionados con seguridad de redes 1. Virus y antivirus, spyware y spam. 2. Sistemas de detección/prevención de intrusos. 3. Problemas de seguridad en servicios de correo. 4. Aspectos de seguridad en el desarrollo de software. 5. Detección y respuesta a incidentes (si el tiempo lo permite) 6. Metodología de hacking (si el tiempo lo permite) Evaluación I Examen Parcial 25% (Fecha: ) II Examen Parcial 25% (Fecha: ) Exámenes cortos/tareas 20% (*) Asignaciones prácticas 30% (**) (15% cada una) Asignación Práctica #1 (Fecha de entrega: ) Asignación Práctica #2 (Fecha de entrega: ) (*) Pueden ser avisados o sin avisar. Los exámenes cortos iniciarán a las 7:00pm. No se reponen exámenes parciales ni exámenes cortos salvo casos de fuerza mayor con la respectiva justificación debidamente sellada y por escrito. (**) Las asignaciones prácticas deberán realizarse en grupos de 2 personas. Los grupos deben ser formados por los/las estudiantes y comunicados al profesor como máximo el 25 de agosto del Reglas adicionales: 1. Se calificará la correctitud, completitud y calidad de las asignaciones prácticas y las tareas, en porcentajes de 60, 20 y 20 respectivamente. 2. En cualquiera de las evaluaciones, la comprobación de plagio o copia equivaldrá a la pérdida total del puntaje correspondiente. 3. Por cada día de retraso en un entregable se rebajarán 15 puntos en una escala de 1 a 100, siendo 2 días naturales el máximo de retraso permitido. Luego de estos 2 días, el entregable no se recibirá y se perderá la totalidad de los puntos asignados al mismo. 4. Para cada asignación práctica se entregará oportunamente la estructura del contenido a seguir. 5. Todos los trabajos deben ser remitidos en formato de Microsoft Word, así como en formato.pdf, a la dirección rvalenciano@yahoo.com.

4 Bibliografía A practical guide to Red Hat Linux Mark G. Sobell Prentice Hall., 2005 Construya Firewalls para Internet D. Brent Chapman & Elizabeth D. Zwicky O Reilly & Associates, Inc., 1997 Delitos informáticos Carlos Chinchilla Sandí Ediciones Farben., 2004 Designing Security for Microsoft Networks Microsoft Official Course, 2002 Firewalls and Internet Security William R. Cheswick, Steven M. Bellovin, Aviel D. Rubin Addison-Wesley., 2003 Firewalls PIX de Cisco Secure David W. Chapman Jr. & Andy Fox Cisco Press., 2002 Firewalls y la seguridad en Internet Karanjit Siyan & Chris Hare O Reilly & Associates, Inc., 1997 Hack Proofing your network, Second Edition David R. Mirza, Ido Dubrawsky, Hal Flynn. Syngress Publishing, Inc., 2002 Incident Response & Computer Forensics Kevin Mandia & Chris Prosise & Matt Pepe Mc Graw Hill., 2003 Information Security Policies Charles Cresson Wood Trade Service Publications., 1999 ISO , Código de práctica para la administración de la seguridad de la información ISO, 2002 Linux Firewalls Steve Suehring & Robert L. Ziegler Linux Firewalls., 2006 Security+ Certification Andy Ruth & Kurt Hudson Microsoft Press., 2003

5 Laboratorio Universidad de Costa Rica Seguridad en Internet Sistema de Estudios Sigla PF-3383 de Posgrado Prof. Roy Valenciano. Maestría en Computación II Semestre 2010 Co-requisito: PF-3382 Seguridad en Internet. Créditos: 2. Horario: a convenir. Carta al Estudiante Horas de consulta Lunes-Jueves: 5pm-6pm. Otras: a convenir previa coordinación con el profesor. Motivación La convergencia de servicios de información privada hacia redes de carácter público, tal como Internet, para su uso como medio de acceso o transporte, incrementa sustancialmente la importancia de velar por la seguridad de dicha información. Los profesionales en el área de la computación e informática, en particular, y profesionales de otras ramas, en general, deben contar con una base sólida en el campo de la seguridad de la información con respecto al Internet, propósito de este curso. Conocimientos previos Para llevar este curso es recomendable que el o la estudiante tenga conocimientos generales en los siguientes temas: Conocimientos del stack de protocolos de TCP/IP: SMTP, SNMP, POP3, FTP, TELNET, HTTP. Administración básica de computadores, incluyendo servidores: permisos de acceso a archivos, configuración básica, instalación/desinstalación de servicios, monitoreo. Conexión, configuración e interoperabilidad de equipos en redes basadas en TCP/IP. Conocimientos básicos de redes de computadores. Objetivo General Proveer al o la estudiante de las mejores prácticas de la industria en materia de seguridad de tecnologías de información y así ser capaz de construir la infraestructura organizativa, de hardware y de software necesaria para una conexión segura al Internet.

6 Objetivos Específicos Que el o la estudiante sea capaz de: Identificar los diferentes componentes de seguridad involucrados al conectarse al Internet. Conocer los factores claves del éxito para el aseguramiento de la información en un ambiente conectado al Internet. Realizar revisiones y mejoras a implementaciones de red existentes basado en las mejores prácticas de la industria. Conocer las buenas prácticas para el establecimiento de políticas y controles relacionados con la gestión de la seguridad de la información. Conocer metodologías de análisis de riesgos de seguridad de sistemas conectados al Internet. Familiarizarse con conceptos y herramientas especializadas relacionadas con la seguridad de la información en Internet. Contenido temático A-Fundamentos de seguridad 1. Introducción a la seguridad. 2. Políticas de seguridad. 3. Identificación de amenazas/vulnerabilidades/ataques. 4. Análisis de riesgos de seguridad. 5. Seguridad en aplicaciones web. B-Servicios en redes IP y firewalls 1. Lo básico de TCP/IP. 2. Direccionamiento IP. 3. Protocolos TCP/IP. 4. Definición, configuración, y colocación de firewalls. 5. Filtros de paquetes y listas de acceso. C-Criptografía y control de acceso 1. Conceptos de criptografía. 2. Criptografía simétrica y asimétrica. 3. Certificados digitales. 4. Sistemas de autenticación, autorización, auditoría (AAA). 5. Encripción y autenticación en aplicaciones web. E-Temas varios relacionados con seguridad de redes 1. Virus y antivirus, spyware y spam. 2. Sistemas de detección/prevención de intrusos. 3. Problemas de seguridad en servicios de correo. 4. Aspectos de seguridad en el desarrollo de software. 5. Detección y respuesta a incidentes (si el tiempo lo permite)

7 6. Metodología de hacking (si el tiempo lo permite) Metodología y recursos Cada grupo de trabajo deberá proponer una empresa que se encuentre conectada al Internet con el objetivo de realizarle un análisis y evaluación de riesgos de seguridad a la misma. En ningún caso deberá revelarse el nombre de la empresa, tampoco en los documentos escritos. Si es necesario, podrán solicitar al profesor una carta dirigida a la empresa candidata con la explicación y objetivos del trabajo, donde además se garantiza a la empresa total confidencialidad y anonimato. Se utilizará para el análisis de riesgos la metodología del NIST para Administración de Riesgos en Sistemas de Información. El profesor proporcionará dicha metodología en formato electrónico. El laboratorio deberá realizarse en grupos de 2 personas. Los grupos deben ser formados por los/las estudiantes y comunicados al profesor como máximo el 25 de agosto del Evaluación Evaluación y análisis de riesgos de seguridad de una empresa conectada al Internet según los siguientes entregables: 1. Reporte de análisis de riesgos 40% (Fecha de entrega: ) 2. Reporte de plan de implementación de seg. 40% (Fecha de entrega: ) 3. Informe final 10% (Fecha de entrega: ) 3. Exposición 10% (Fechas: y ) Se entregará la estructura que deben seguir los entregables citados anteriormente y los factores a calificar en la exposición en fecha oportuna. El día de la exposición se deberá entregar un resumen ejecutivo a cada compañero(a) de máximo una página. Se calificará el resumen ejecutivo y la calidad de la exposición con una distribución de 3% y 7% respectivamente, del total de 10% asignado a dicho rubro. Cada grupo dispondrá de un máximo de 30 minutos para la exposición. El profesor definirá en su momento el orden de exposición de los grupos. Al final del semestre el profesor definirá aquellos trabajos susceptibles de ser extendidos para el TFIA. Reglas adicionales: 1. Se calificará la correctitud, completitud y calidad de los entregables 1. y 2., en porcentajes de 60, 20 y 20 respectivamente.

8 2. En cualquiera de las evaluaciones, la comprobación de plagio o copia equivaldrá a la pérdida total del puntaje correspondiente. 3. Por cada día de retraso en un entregable se rebajarán 15 puntos en una escala de 1 a 100, siendo 2 días naturales el máximo de retraso permitido. Luego de estos 2 días, el entregable no se recibirá y se perderá la totalidad de los puntos asignados al mismo. 4. Todos los trabajos deben ser remitidos en formato de Microsoft Word, así como en formato.pdf, a la dirección rvalenciano@yahoo.com. Bibliografía A practical guide to Red Hat Linux Mark G. Sobell Prentice Hall., 2005 Construya Firewalls para Internet D. Brent Chapman & Elizabeth D. Zwicky O Reilly & Associates, Inc., 1997 Delitos informáticos Carlos Chinchilla Sandí Ediciones Farben., 2004 Designing Security for Microsoft Networks Microsoft Official Course, 2002 Firewalls and Internet Security William R. Cheswick, Steven M. Bellovin, Aviel D. Rubin Addison-Wesley., 2003 Firewalls PIX de Cisco Secure David W. Chapman Jr. & Andy Fox Cisco Press., 2002 Firewalls y la seguridad en Internet Karanjit Siyan & Chris Hare O Reilly & Associates, Inc., 1997 Hack Proofing your network, Second Edition David R. Mirza, Ido Dubrawsky, Hal Flynn. Syngress Publishing, Inc., 2002 Incident Response & Computer Forensics Kevin Mandia & Chris Prosise & Matt Pepe Mc Graw Hill., 2003 Information Security Policies Charles Cresson Wood Trade Service Publications., 1999

9 ISO , Código de práctica para la administración de la seguridad de la información ISO, 2002 Linux Firewalls Steve Suehring & Robert L. Ziegler Linux Firewalls., 2006 Security+ Certification Andy Ruth & Kurt Hudson Microsoft Press., 2003