Introducción a la tecnología web

Documentos relacionados
PROCESO: GESTIÓN DE SISTEMAS DE INFORMACIÓN Y TECNOLOGÍA PROCEDIMIENTO: ADMINISTRACIÓN DE REDES Y COMUNICACIONES

Dirección General de Tecnologías de la Información (DGTI)

Formación Experto en Seguridad en las Comunicaciones y la Información

FUNCIONES DE LA ADMINISTRACIÓN DE REDES

Gestión de Servicios de TI Gestión de Problemas ( menos y menores incidencias)

CAPITULO 2. MODELOS DE REDES

Asistencia técnica para instalación, reparación y mantenimiento preventivo de equipo de cómputo: PC, Laptop, impresora y Fax.

TIC-CURSO 13/14 1 SMNARANCO. TÉRMINOS TIC: Qué son Hackers?

BUEN USO DEL CORREO ELECTRÓNICO

PISIS Cliente Neo. Guía de Instalación y Uso Versión del documento: 1.8 Fecha: Octubre 10 de 2014

MEFFLiveUpdate Configuración MANUAL DE USUARIO

PROGRAMA FORMATIVO AvANZA

Guia básica para la presentación y cobro de siniestros

1.- ESCRITORIO GNOME 2.- SISTEMA: PREFERENCIAS 3.- SISTEMA: ADMINISTRACIÓN

Administración Local Soluciones

Administración Local Soluciones

Manual de Usuario Firewall

SISTEMAS OPERATIVOS. Pág. 1

Instalación del sistema operativo Windows 8, en ordenadores personales de la CARM

Servicio de Informática Vicerrectorado de Tecnologías de la Información y la Comunicación

PROCESO: GESTIÓN DE SISTEMAS DE INFORMACIÓN Y TECNOLOGÍA PROCEDIMIENTO: ASISTENCIA Y SOPORTE TÉCNICO

Dirección General de Tecnologías de la Información (DGTI)

Declaración de Política de Privacidad

Pack Comercio Electrónico

DFD de mi Sistema de Información

TEMARIO 5 Proceso contable. Sesión 5. Sistematización de la Contabilidad

CRETA Consulta multicanal de Registros, Expedientes y Trámites Administrativos en el MITYC

GFacturaXML: Manual del Usuario. Fco. Sancha 22 Bajo G, Madrid tel fax

Código: DOC 7.2 CSC 06 Página : 1 de 7. Fecha de emisión: 02/06/2009. Elaboró: Coord. Seguridad en Cómputo. Aprobado por: Coordinador General

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de autoevaluación D y Atestación de cumplimiento

INTRODUCCIÓN A BSCW CFIE VALLADOLID I (Mayo de 2003)

INTRANET NEGOCIOS. Preguntas Frecuentes: Intranet Negocios

LABORATORIO #1 MONITORIZACIÓN DE SERVICIOS DE DATOS CON PRTG NETWORK MONITOR Y ANÁLISIS DE PROTOCOLOS CON WIRESHARK

*[ La seguridad en un sector sanitario digitalizado]

Paessler - Webserver Stress Tool Características

encriptación de clave pública que utilizan los navegadores y servidores web para transmitir información importante.

ADMINISTRACION DATACENTER I

Modelo de encriptación con llaves colegiadas

Cursos de Capacitación 2015

Regístrese Nuevos Publicar Toolbar Foros Ayuda. Consulte a los expertos. Recomendar. Intranet

AMS (Administración de Membresía y Seguimiento) Windows XP, Windows Vista, Windows 7 Versión [1.0] Historia de revisiones

Análisis y Diseño de Sistemas Operativos Sistema Operativo-Procesos

HOWTO: Cómo configurar el túnel VPN SLL oficina remota (gateway) a oficina remota

PROCEDIMIENTO COMPRAS POR CONTRATO 1. OBJETIVO 2. ALCANCE 3. RESPONSABLES

SOPORTE TÉCNICO UNIDADES TEMÁTICAS. Temas Saber Saber hacer

Windows XP Profesional Completo

Procedimiento P7-SIS Revisión

Plan de Seguridad Informática para una Entidad Financiera. Córdova Rodríguez, Norma Edith. INTRODUCCIÓN

Inicio. En este sitio encontrarás las indicaciones para aprender a crear una wiki en Google Sites.

Instalación de Winisis en Windows 7 64 bits Ernesto Spinak 28/06/2011, borrador 1.3

Aula Informática - GUÍA PARA EL FORMADOR/A -

CURSO ADMINISTRACIÓN DE BASES DE DATOS CON SQL SERVER 2012

Guía rápida de la Oficina Virtual

Localización INDOOR y OUTDOOR para la MINERIA

INFORMACION GENERAL TÉCNICA A CONOCER DURANTE EL TRASLADO

MANUAL DE USUARIO REQUERIMIENTOS TÉCNICOS APLICACIONES WEB

CONTRATO DEL SERVICIO DE MANTENIMIENTO ANUAL KLIK & SPIK

Organizar la información procedente de todo el mundo y hacerla accesible y útil de forma universal.

Uso Correo Electrónico Institucional

TERMINOS DE REFERENCIA RED LATINOAMERICANA Y DEL CARIBE PARA LA EFICIENCIA ENERGETICA CONTRATACIÓN DEL DIRECTOR EJECUTIVO DE LA RED LAC-EE

ANEXO 3: ESTRATIFICACIÓN DE ENTIDADES

Nombre: Francis Ariel Jiménez Zapata. Matricula: Tema: Active Directory y GPO en Windows Server Materia: Sistema Operativo II

Messenger. Novell 1.0 UBICACIÓN DE LA DOCUMENTACIÓN DE NOVELL MESSENGER. INICIO RÁPIDO

SERVIDOR VIRTUAL IPLAN

Localizador Uniforme de Recursos

Se adjuntará en el SOBRE A- DOCUMENTACIÓN GENERAL, el certificado acreditativo de dicha visita expedido por EGARSAT.

MOODLE. CAMPUS VIRTUAL. Para qué utilizar Moodle

INFORMACIÓN ADICIONAL PARA LA PETICIÓN Y DESCARGA DE FICHEROS DEL IMPUESTO SOBRE ACTIVIDADES ECONÓMICAS Y REQUISITOS TÉCNICOS

INDICE. Servicios Informáticos. Guía básica del usuario de Symantec Endpoint Protection Windows Página 1 de 11

Eurowin 8.0 SQL. Manual de EW-LOG. Revisión de incidencias

Software por Uso. (SaaS) Software as a Service. Software como un servicio más, conéctate y úsalo

POLITICA DE ELIMINACION Y DESTRUCCION POLITICA DE ELIMINACION Y DESTRUCCION

Donaciones a institutiones

LA DIRECCIÓN GENERAL DE OBRAS PÚBLICAS LLAMA A CONCURSO PARA PROVEER EL CARGO DE: Jefe de Operaciones Honorario Código (JOPER-HON)

TEMARIO DE LAS PRÁCTICAS:

Curso ICA de: LINUX AVANZADO

MANUAL DE USUARIO REQUERIMIENTOS TÉCNICOS APLICACIONES WEB. Tabla de Contenido

Miembro de Global Compact de las Naciones Unidas - Member United Nations Global Compact SEMINARIOS HERRAMIENTAS COMERCIALES, TEMA:

PROCEDIMIENTO DE FORMACION EN PREVENCION DE RIESGOS LABORALES

ADMINISTRACION Y DISEÑO WEB CON WORDPRESS

ALUMNOS DE DOCTORADO. INSTRUCCIONES DE USO DE LAS AULAS DE INFORMÁTICA

CONFIGURACIÓN DE CONTRASEÑAS SEGURAS

El agente de software de Dr.Web SaaS

UD 3: Instalación y administración de servicios de nombres de dominio

Correo en tu Tigo, por SMS

CAPITULO 12. CONEXIÓN DE LAN

Ampliación Almacenamiento.

LENGUAJES DE PROGRAMACION INFORMATICOS PARA EL DESARROLLO DE SOFTWARE

Registro de Autorización Empresa Venta y Asistencia Técnica de Comunidades Autónomas

NEW HORIZONS NEW HORIZONS

REDES SOCIALES. En nuestro medio existen dos tipos de redes sociales que surgen con la evolución de la tecnología en el mundo, estas son:

LOCALIZACIÓN EN LA PROGRAMACIÓN DE AULA ÁREA Tecnología CURSO 3º E.S.O.

Guía de integración del módulo de Redsys en Magento

Comunicación Empresarial y Atención al Cliente (GA_CEAC)

CUESTIONARIO PARA ANÁLISIS DIPLOMÁTICO

Telealta de Abonados. Guía de Telealta en CST BIOINGENIERÍA ARAGONESA S.L. Índice. Vivienda del Abonado. Central de CST

Transcripción:

Intrducción a la tecnlgía web Máster en Sistemas y Servicis en la Sciedad de la Infrmación Especialidad Derech y Tecnlgías de la Infrmación y Cmunicacines

Seguridad Intrducción a la tecnlgía web (parte 5)

Elements de seguridad en Seguridad en las cmunicacines: Prevenir la cmprensión de las cmunicacines intervenidas (Encriptación). Establecer la identidad del remitente de una cmunicación (Autentificación). Establecer que una cmunicación n ha sufrid ningún tip de intrmisión (Integridad). Intrducción a la tecnlgía web (parte 5)

Elements de seguridad en Seguridad en el acces a recurss: Establecer identidad del slicitante (Autentificación). Permitir denegar el acces (Autrización). Intrducción a la tecnlgía web (parte 5)

Seguridad en las cmunicacines Encriptación Autentificación Integridad Intrducción a la tecnlgía web (parte 5)

Las cmunicacines sn seguras? Qué puede ir mal? Las rganizacines deberían ser un pc paranicas en l referid a la seguridad de sus cmunicacines (y dats). Intrducción a la tecnlgía web (parte 5)

Seguridad en la cmunicación Encriptación: Cóm asegurar que las transaccines sn secretas? Autentificación: Cóm verificar la identidad real de mis interlcutres? Integridad: Cóm asegurar que el mensaje n ha sid alterad? Internet Cliente Empresa Impstr Intrducción a la tecnlgía web (parte 5)

Criptgrafía (simétrica) de clave secreta Clave Text riginal Fr yur eyes nly Gf xuiajk Sklk kdaiemx sdj Text riginal Fr yur eyes nly Encriptar Desencriptar IBM HAL IBM Intrducción a la tecnlgía web (parte 5)

Criptgrafía (asimétrica) de clave pública Clave Pública Clave Privada Clave 1 Clave 2 Text riginal Fr yur eyes nly Gf xuiajk Sklk kdaiemx sdj Text riginal Fr yur eyes nly Encriptar Desencriptar Intrducción a la tecnlgía web (parte 5)

Simétrica vs Asimétrica Criptgrafía de clave secreta (simétrica): La misma clave secreta se utiliza para encriptar y para desencriptar. Prblema: Cóm transmitir la clave de manera segura pr internet? Criptgrafía de clave pública (asimétrica): Clave pública cncida pr td el mund para encriptar (se puede transmitir sin prblemas). Clave privada cncida sól pr el prpietari para desencriptar (n hace falta transmitirla). Intrducción a la tecnlgía web (parte 5)

Encriptación pr clave pública Jesús envía mensaje encriptad cn la clave pública de Ana Jesús {mensaje} {mensaje} Ana PREGUNTA: Se pdría encriptar cn mi clave privada y desencriptar cn mi clave pública? Ana desencripta el mensaje cn su clave privada, que sól ella cnce. Intrducción a la tecnlgía web (parte 5)

La clave pública funcina si La clave privada permanece secreta: Nunca abandna el rdenadr del prpietari. Nrmalmente encriptada y prtegida cn clave. Dificultad de adivinar la clave privada cnciend la clave pública: Necesidad de prbar tdas las cmbinacines psibles. La dificulta de "rmper" el códig se incrementa expnencialmente cn la lngitud de la clave. Claves de 1024 bits requieren más tiemp que la edad del univers para "rmperse". Intrducción a la tecnlgía web (parte 5)

Encriptar n es suficiente (Autentificar) Hacerse pasar pr tr (suplantar identidad) Es difícil cnectarse a una máquina sin la palabra clave per es fácil enviar infrmación cn el nmbre de tra persna (email). Crear distintas identidades en el prgrama de email. Intrducción a la tecnlgía web (parte 5)

Autentificar mediante Encriptación La clave pública y la clave privada se pueden aplicar en cualquier rden. Ana tiene que enviar un mensaje a Jesús Aplica su clave privada Envía el mensaje encriptad a Jesús Jesús desencripta el mensaje cn la clave pública de Ana Recupera el mensaje riginal. Infiere que Ana es el remitente riginal, puest que sól Ana cnce la clave privada que se crrespnde cn su clave pública. Encriptar el mensaje ( parte) cn la clave privada actúa cm autentificación del remitente. Intrducción a la tecnlgía web (parte 5)

Autentificación (2) Ana envía mensaje Encriptad cn su clave privada {mensaje} Jesús Jesús desencripta el mensaje cn la clave pública de Ana y está segur de que Ana es la remitente. Ana Intrducción a la tecnlgía web (parte 5)

Firma Digital La firma digital de un dcument se añade al dcument riginal e incluye infrmación sbre el cntenid del dcument, cdificada usand la clave privada del remitente. En realidad, la firma digital acredita la identidad del remitente y la integridad de ls dats. Al decdificar la firma digital cn la clave pública del remitente pdems estar segurs de la identidad del remitente y saber si el dcument recibid es idéntic al enviad. Act.1 Intrducción a la tecnlgía web (parte 5)

Gestión de la clave pública El sistema funcina si se btiene la clave pública de una fuente de cnfianza Organisms de certificación ficiales/recncids La clave pública se puede transmitir pr canales de cmunicación pc segurs. Servidres de claves públicas. http://www.rediris.es/keyserver/ Act.2 y 3 Intrducción a la tecnlgía web (parte 5)

Infraestructura de clave pública PKI, Public Key Infrastructure Cmbinación de hardware, sftware, plíticas y prcedimients de seguridad que permiten la ejecución cn garantías de peracines criptgráficas. Las Autridades Certificadras sn entidades cn la respnsabilidad de generar certificads fiables a ls individus que ls sliciten. Ls certificads incluyen la clave pública y están firmads pr AC. La AC verifica la identidad del slicitante antes de emitir el certificad. Act.4 Intrducción a la tecnlgía web (parte 5)

Certificads Utilizads para certificar la identidad de un usuari frente a tr. Nmbre del emisr del certificad. A quien certifica La clave pública Ls certificads están firmads digitalmente pr un emisr. El emisr debe de ser una entidad de cnfianza. Tds ls usuaris deben tener la clave pública del emisr para verificar la firma del certificad. Intrducción a la tecnlgía web (parte 5)

Certificads en ls navegadres Act.5 Intrducción a la tecnlgía web (parte 5)

Aplicacines: Cmerci Electrónic ecmmmerce: Necesidad de transmitir infrmación "sensible" a través de la web: Númers de tarjetas de crédit Ordenes de cmpra Requisits: Cliente y servidr (emisr y receptr) deben autentificarse antes de enviar dats. Ls dats deben transmitirse firmads Intrducción a la tecnlgía web (parte 5)

HTTPS El prtcl HTTPS es la versión segura del prtcl HTTP. Crea un canal cifrad (cuy nivel de cifrad depende del servidr remt y del navegadr utilizad pr el cliente) más aprpiad para el tráfic de infrmación sensible que el prtcl HTTP. Para que un servidr web acepte cnexines HTTPS el administradr debe crear un certificad para el servidr. Sól prteje ls dats en tránsit, una vez que llegan a su destin la seguridad depende del rdenadr receptr. Act.6 Intrducción a la tecnlgía web (parte 5)

Seguridad en el acces a recurss Autentificación Autrización Intrducción a la tecnlgía web (parte 5)

Cntrl de acces Primer autentificar y después autrizar: El sistema tiene registradas las autrizacines en función de la identidad. Prcedimients: Usuaris autrizads cn clave persnal Sistemas bimétrics Tarjetas inteligentes Intrducción a la tecnlgía web (parte 5)

Usuaris autrizads cn clave Prcedimient de acces al recurs (rdenadr, página web, etc) basad en una clave persnal. Debilidades del prcedimient: Palabras claves sencillas "adiviniables" Cncimient de la clave pr terceras persnas: De manera invluntaria Cmunicacines interceptadas Intrducción a la tecnlgía web (parte 5)

Sistemas bimétrics Intrducción a la tecnlgía web (parte 5)

Tarjetas inteligentes Diversas categrías y tecnlgías. Tarjetas criptgráficas: Almacenan el certificad digital del usuari y su clave privada. La clave privada n reside en el rdenadr y, pr tant, n se puede btener fraudulentamente de él. Emitidas pr entidades certificadras. Sn preciss lectres de tarjetas. DNI electrónic. Intrducción a la tecnlgía web (parte 5)

L que puede ir mal Intrducción a la tecnlgía web (parte 5)

Tips de vulnerabilidades Tecnlógicas: Debilidades (errres de diseñ) en ls prtcls de red, sistema perativ, dispsitivs de red, etc. Cnfiguración: Errres de cnfiguración de ls dispsitivs de red, servicis de Internet, sistemas de acces, etc. Plíticas de seguridad: Mala planificación glbal de la seguridad de la red crprativa. Intrducción a la tecnlgía web (parte 5)

Las puertas traseras Se trata de "agujers" (falls) en aplicacines del sistema que permiten saltar el cntrl de acces: Virus Ataques pr desbrdamient de memria Intrducción a la tecnlgía web (parte 5)

Virus y gusans (wrms) Sn prgramas que se ejecutan en el rdenadr sin el cncimient y/ el cnsentimient del prpietari/adminitradr y cuy bjetiv suele ser causar algún tip de perjuici a ls usuaris. Se transmiten a través de ls canales de E/S. Para evitar que entren en nuestr rdenadr y/ eliminarls: Antivirus Firewall Intrducción a la tecnlgía web (parte 5)

Spyware, Adware, Malware Prgramas incrprads a nuestr rdenadr sin nuestr cncimient y que hacen csas n deseadas cm: Abrir cntenids n deseads en pp-ups Enviar infrmación sbre el rdenadr sus usuaris a trs sistemas. Mdificar barras de herramientas, página web de inici, etc. Se transmiten a través de: Páginas web Otrs prgramas Intrducción a la tecnlgía web (parte 5)

Ataque pr denegación de servici Inundar de peticines de acces a la máquina utilizand direccines IP falsas. El ataque se suele prducir desde diversas máquinas dnde el generadr del ataque ha entrad fraudulentamente. Ejempls: ebay Yah Amazn Intrducción a la tecnlgía web (parte 5)

Medidas de defensa Antivirus Firewall Sistemas de detección de intruss Intrducción a la tecnlgía web (parte 5)

Antivirus Prgramas que analizan el cntenid de ls archivs almacenads en el disc, buscand virus (prgramas) cncids. Muy imprtante: actualizar la infrmación sbre virus cncids. El antivirus n puede actuar sbre virus que n cnce. Intrducción a la tecnlgía web (parte 5)

Qué hace un Firewall? Ls crtafuegs dtan de seguridad "permitral" a la red crprativa. Cntrla el acces a ls servicis de red y a ls dats. Sól usuaris e infrmación autrizada puede cruzar nuestra red. Oculta la estructura de la red dand la sensación de que tdas las transmisines tienen su rigen en el crtafuegs (firewall). Blquea tds ls dats que n hayan sid explícitamente legitimads pr un usuari de la red. Sól admite dats de sitis de cnfianza. Recnce y blquea paquetes crrespndientes a ataques típics. Intrducción a la tecnlgía web (parte 5)

Tips de Firewall Filtr de paquetes: revisa ls paquetes que entran y salen de la red y acepta rechaza en función de las reglas definidas pr el usuari. Un prgrama un ruter. Servidr prxy: intercepta tds ls mensajes que entran salen de la red. Oculta de manera efectiva las direccines de red. Es un intermediari que aisla la red crprativa del exterir. El servidr ve el prxy cm si fuera el cliente y el cliente l ve cm si fuera el servidr. Intrducción a la tecnlgía web (parte 5)

Filtr de paquetes Menr seguridad Mayr rapidez Prxy Mayr seguridad Menr rapidez Intrducción a la tecnlgía web (parte 5)

Mnitrización La seguridad perimetral debe ir acmpañada de una mnitrización cntinua del tráfic de red. Las barreras establecidas permiten ganar tiemp, per es precis detectar ls ataques para evitar que lleguen al núcle del sistema crprativ. Ejempl: Sistema de seguridad de un castill. Intrducción a la tecnlgía web (parte 5)

Otras medidas preventivas Ls IDS (sistemas de detección de intruss) utilizan técnicas de minería de dats para descubrir e infrmar sbre actividades sspechsas. Cnviene estar al día en la instalación de "parches" del sistema perativ que tengams instalad. Intrducción a la tecnlgía web (parte 5)

A pesar de tdas las prevencines Ls incidentes de seguridad siguen creciend. Cada vez hacen falta mens cncimients técnics para generar ataques sfisticads: Herramientas Infrmación pública Intrducción a la tecnlgía web (parte 5)

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback