Seguridad Informática: Más allá del firewall

Documentos relacionados
CRIPTOGRAFIA. Universidad Tecnológica Centroamericana

Seguridad Informática: Mecanismos de defensa

CURSOS DE CAPACITACIÓN DE SEGURIDAD

Programa Asignatura. I.- Identificación

Seguridad Perimetral. Mg. Ing. M. Angélica Castillo Ríos Jefa de la Oficina de Sistemas PCM

El Estado del Arte de la Seguridad Informática

CRIPTOGRAFÍA 5º CURSO DE INGENIERÍA INFORMÁTICA

Guía de Instalación Versión 3.0. Cliente VPN. Sistema Ingresador de Información Periódica

UNIVERSIDAD TECNOLÓGICA DE LA SIERRA HIDALGUENSE Registro Plan de Curso

REDES INTERNAS CORPORATIVAS SEGURAS

ISO GAP ANALYSIS

SEGURIDAD INFORMATICA. Vulnerabilidades

Seguridad en Redes: Network Hacking

Política de Seguridad Informática

Seguridad en Redes: Network Hacking

Seguridad. Carrera: SDC SATCA 1

Tema 1 DESCRIPCIÓN DEL PROBLEMA DE LA SEGURIDAD EN LAS COMUNICACIONES Y EN LA INFORMACIÓN. TIPOS DE ATAQUES

Principios Básicos de Seguridad en Bases de Datos

PROYECTO ISO SISTESEG

CCNA SECURITY 2.0 Objetivo: TEMARIO CAPÍTULO 1:

Esquema de arquitectura y seguridad.

Cortafuegos. Enrique Arias. Departamento de Sistemas Informáticos Escuela Superior de Ingeniería Informática Universidad de Castilla-La Mancha

PONTIFICIA UNIVERSIDAD JAVERIANA Módulo Seguridad

Management de la Seguridad Informática

Redes inalámbricas. red inalámbrica

Introducción a Seguridad en Redes. Emilio Hernández

TÉCNICAS DE HACKING ÉTICO

Principios de la Seguridad Informática

Formato 1 Diseño estructural y propuesta de actividades

Que los alumnos puedan evaluar el nivel de riesgos a los cuales están expuesta la información.

Guatemala, 18 de abril de 2013.

Asignatura: Horas: Total (horas): Obligatoria Teóricas 3.0 Semana 3.0

Base7Germany GmbH. Anexo 1 Medidas técnicas y organizativas

SEGURIDAD EN COMUNICACIONES

REDES INTERNAS CORPORATIVAS

DIPLOMADO EN SEGURIDAD EN REDES MICROSOFT

Cada día se realizan copias de seguridad automatizadas y el lugar de los servidores es monitorizado 24/7 y protegidos ante intrusos y accidentes.

Seguridad Integrada Analizando los Vectores

DATOS GENERALES DE LA ASIGNATURA

ADMINISTRACIÓN DE LA SEGURIDAD PERIMETRAL EN REDES LAN. Ing. Mg. Miguel Ángel Valles Coral.

La seguridad del entorno electrónico

Seguridad Linux: Server Hacking

intechractive.com Funciones Hash: Aplicaciones en los Sistemas Computacionales Elaborado por: Gimer A. Cervera Evia, Ph.D.

Curso de Seguridad Informática en la Empresa: Planificación

Análisis de Vulnerabilidades

ANALISIS DE VULNERABILIDADES

Mejor calidad de filtrado del tráfico de correo

Fundamentos de Ciberseguridad

Universidad de los Lagos

Mirando a Través de las Nubes: La Visibilidad de la Nube Mejora la Seguridad de la Red

BIENVENIDOS CIBER ATAQUE EN TU EMPRESA RIESGOS DE UN SESIÓN FORMATIVA

Network traffic?? Not a blackhole anymore!! Javier Nieto León Business Development Manager

Integridad Almacenamiento Autenticidad. Figura 6.1. Procesos de la información

Nuevos Servicios Avanzados de Seguridad

NIDS(Network Intrusion Detection System)

Seguridad y Linux. David Fernández Vaamonde III Jornadas sobre el sistema operativo Linux

Criptografía Hash para Firma Electrónica. Dr. Luis A. Lizama Pérez

ANX-PR/CL/ GUÍA DE APRENDIZAJE. ASIGNATURA Diseño y seguridad de redes. CURSO ACADÉMICO - SEMESTRE Segundo semestre

TEMA 3: SERVICIO SSH

Ataque a los Sistemas Informáticos

Datos Descriptivos. Guía de Aprendizaje Información al estudiante. Sólo castellano Sólo inglés Ambos IDIOMA IMPARTICIÓN

TECNOLOGÍAS DE LA INFORMACIÓN

la Seguridad Perimetral

Gerenciamiento de la Seguridad

ANX-PR/CL/ GUÍA DE APRENDIZAJE. ASIGNATURA Diseño y seguridad de redes. CURSO ACADÉMICO - SEMESTRE Segundo semestre

2.Introducción a la seguridad

SEGURIDAD INFORMATICA CORPORATIVA

Experto en Gestión y Mantenimiento de Seguridad en Redes Cisco (MCNS)

Ppt 2 Seguridad Informatica

UNIVERSIDAD AUTONOMA DE QUERETARO Facultad de Informática

Seguridad en Sistemas de Información

UNIVERSIDAD DE ORIENTE NÚCLEOS NUEVA ESPARTA-SUCRE COMISIÓN DE CURRICULA PROGRAMA ANALÍTICO DE LA ASIGNATURA

CompTIA Security+ Examen Asociado: SY0-401 Duración: 40 Horas. Descripción del Curso: A quién va dirigido?

Criptografía: principios, medios y métodos de protección de la información para asegurar su integridad, confidencialidad y autenticidad.

UF2183 Configuración de la Seguridad de las Redes Inalámbricas de Área Local y Metropolitana (Online)

I. Datos de la institución. II. Datos del asesor. III. Datos de la asignatura. IV. Contenido temático. Grado o Licenciatura.

POLITICA GENERAL DE SEGURIDAD DE LA INFORMACIÓN P00

Agentes móviles. Sistemas Multi-Agente y Sistemas Autónomos

100% Laboratorio en vivo

Curso Especializado Seguridad Informática GNU/LINUX

Incluimos una lista de cotejo con requisitos de seguridad según establecido en las Reglas de NACHA.

SOLUCIÓN FIABLE PARA LA PROTECCIÓN DE INFORMACIÓN CONFIDENCIAL SEGURIDAD DE LOS DATOS NETWORK SECURITY I ENDPOINT SECURITY I DATA SECURITY

Seguridad y Competencias Profesionales Tema 2: Introducción a la Seguridad

CAPÍTULO 7. PRIVACIDAD Y SEGURIDAD EN RFID

SEGURIDAD. Código: º GRADO EN INGENIERÍA INFORMÁTICA tinyurl.com/luismarotounedsevilla

Servicios en la nube para el Testing Assistant. Informe técnico de seguridad

Álvaro Gómez Vieites

La migración de información hacia plataformas digitales, abiertas e interconectadas hace de la seguridad informática un asunto crítico de negocio.

Introducción a la Seguridad Informática

ANX-PR/CL/ GUÍA DE APRENDIZAJE

Guía de Instalación Versión 2.0. Cliente VPN de Cisco. Segunda Generación de Sistemas Ingresadores

1.-DATOS DE LA ASIGNATURA

Riesgos potenciales en los servicios de red. Vicente Sánchez Patón I.E.S Gregorio Prieto. Tema 2 SAD

Transcripción:

Seguridad Informática: Más allá del firewall Egdares Futch H. Congreso Emprendedores 2002 Universidad Tecnológica Centroamericana Tegucigalpa, Honduras

End User License Agreement Por medio de su permanencia en la sala, usted está aceptando lo siguiente: Las opiniones son exclusivas del autor, y no representan las de alguna otra institución. Los ejemplos presentados son únicamente con fines educativos, y no pretenden exponer supuestos problemas en los sistemas mencionados. Usted hará preguntas y evitará dormirse (es un Grupo Interactivo de Trabajo!)

El arte de la guerra nos enseña a no depender en que nuestro enemigo no aparezca, sino en nuestra capacidad de recibirlo; a no depender en que no ataque, sino de la habilidad de haber hecho impenetrable nuestra posición. --El Arte de la Guerra, Sun Tzu

Seguridad de la información Base de nuestra discusión: Toda persona o empresa requiere mantener segura su información interna, para mantener su privacidad, secretos personales o corporativos, hábitos de consumo y preferencias de cualquier tipo.

Seguridad de la información Esta seguridad dependía de medios físicos o administrativos: Archivadores con llave Cajas fuertes Accesos controlados Investigación de antecedentes criminales

Seguridad de la información Con la introducción de sistemas de cómputo en el trabajo cotidiano, se creó la necesidad de herramientas informáticas para proteger archivos y otra información almacenada en estos sistemas. El nombre genérico para estas herramientas es: Seguridad Informática.

Seguridad de redes Una segunda necesidad derivada de la introducción de líneas de comunicación electrónica es la de proteger los archivos y datos durante la transmisión de los mismos entre sistemas Las herramientas diseñadas para este fin son llamadas de Seguridad de Redes.

Seguridad vs. Oscuridad Existen dos clases de seguridad: La que no deja que tu hermanita lea tu libretita negra La que no deja que la CIA ni la KGB ni la DIC lean tu libretita negra. Nosotros hablaremos sobre esta última, debiendo notar la diferencia entre seguridad y oscuridad

Oscuridad Si yo tomara una carta, la colocara en una caja fuerte, luego escondiera la caja fuerte en algún lugar de La Tigra y luego le pido que lea la carta, eso es oscuridad Caso: (a) Reuters vs. Intentia (b) Respuestas de exámenes de la Universidad Virtual

Seguridad Ahora bien, si yo pongo la carta en una caja fuerte, y luego le doy: La caja fuerte, con los planos de diseño Cien cajas fuertes iguales a ésta, con todo y las combinaciones Cien expertos en cajas fuertes, para que estudien el diseño Y si aún asi no puede leer la carta...

Seguridad Esta clase de seguridad sólo estaba disponible para los militares (CIA, KGB, Mossad). En los ultimos veinte años se ha hecho tanta investigación en seguridad informática, que es posible para cualquier persona usar técnicas a nivel de las agencias de inteligencia militar.

Hey, y realmente necesita tanta seguridad? Dependencia en la información por parte de las empresas comerciales para la continuidad de sus negocios ($/downtime) Protección intelectual ($/obra) Acoso del gobierno Derecho a la privacidad Anonimidad (votaciones, registros médicos) Paranoia

Los 3 aspectos de la seguridad Ataques de seguridad Mecanismos de seguridad Servicios de seguridad

Ataques de seguridad Fuente: Cryptography and network security, 2 nd Ed. Stallings

Categorización de los ataques Ataques pasivos Conocimiento de comunicaciones confidenciales Análisis de tráfico Ataques activos Denial of Service (DoS) Modificación de mensajes Suplantación Retransmisión

Servicios de seguridad Confidencialidad Autenticación Integridad Confirmación de origen (nonrepudiation) Control de acceso Disponibilidad

Mecanismos de seguridad Criptografía Arte y ciencia de mantener seguros los mensajes. Practicada por criptólogos Criptanálisis Arte y ciencia de romper texto encriptado

Firewalls Un mecanismo de seguridad de red, que consiste en un equipo o grupo de equipos informáticos diseñados para que: Todas las comunicaciones del interior al exterior y viceversa pasen por el firewall Solamente las comunicaciones autorizadas pasen Sea inmune a los ataques (trusted system/trusted OS)

Servicios del firewall Control de servicios de red Control de dirección Control de usuarios Control de comportamiento

Capacidades de un firewall Un único cuello de botella hacia la red protegida Un lugar para monitorear eventos de seguridad Servicios de red relacionados con Internet Plataforma para implementar VPNs

Limitaciones de un firewall Ataques que sobrepasan el firewall Modem en una estación de un empleado Amenazas internas Empleados despedidos/mal pagados Virus Nimda / Code Red Error humano Doh!

Y entonces? No existe la seguridad informática perfecta Bueno...si, el one-time pad La seguridad informática no es fácil de implantar Resistencia de los usuarios Costo de la misma Chiste horrible

Más allá del firewall Para mejorar sensiblemente la seguridad informática y de redes de nuestra empresa, necesitamos más que un firewall: Políticas internas de seguridad Filtrado de contenido Establecimiento y análisis de bitácoras Detección de intrusos Comunicación encriptada Y todo lo nuevo que aparezca...

Políticas de seguridad Normativas de ética y confidencialidad Expiración de passwords y de cuentas de correo Archivos confidenciales o propietarios Virus Eliminación periódica de usuarios inactivos Clarificar la responsabilidad de los usuarios Finalidad: Usarla como disuasivo

Filtrado de contenido Las empresas se exponen a riesgos por los hábitos de uso de Internet de sus empleados: Pornografía Información con derechos de autor restringidos (warez, MP3) Cadenas de e-mail Chats Extremismos u otra conducta antisocial

Bitácoras Los sistemas que se conecten a redes externas deben tener la mayor cantidad de bitácoras habilitadas: Sitios visitados Correo entrante y saliente Conexiones a nuestros servidores Usuarios

Detección de intrusos Los firewalls son pasivos, y se pueden complementar con sistemas IDS Existen diversos tipos: Host intrusion detection (tripwires, actividad sospechosa) Signature-based network intrusion detection (Winnuke, smurf) Anomaly-based network intrusion detection Statistic (port scanning, DDos) Protocol (Code Red)

Comunicaciones encriptadas Asegurarse que las transacciones entre la empresa y sus usuarios o clientes no pueda ser vista por terceros Compras por web Hacer uso de teletrabajo Viajes de trabajo Proliferación del SOHO Filiales, sucursales, distribuidores

Y aún así...que nos falta? ICE: Intruder Counter Electronics Atacar a nuestros atacantes

Preguntas? Comentarios pueden dirigirlos a: efutch@yahoo.com

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback