Apuntes sobre seguridad de comunicaciones en entornos industriales
Unidad 3. Seguridad de Las Comunicaciones
Click here to load reader
-
Upload
shaft-fierroni-brione -
Category
Documents
-
view
29 -
download
1
Transcript of Unidad 3. Seguridad de Las Comunicaciones
Seguridad I
Unidad 3. Seguridad de las comunicaciones
Ciencias Exactas Ingeniería y Tecnología | Ingeniería en Telemática
Ingeniería en Telemática
6° cuatrimestre
Antología de estudio
Seguridad I
Unidad 3. Seguridad de las comunicaciones
Universidad Abierta y a Distancia de México
Seguridad I
Unidad 3. Seguridad de las comunicaciones
Ciencias Exactas Ingeniería y Tecnología | Ingeniería en Telemática 1
Unidad 3. Seguridad de las comunicaciones
Presentación de la unidad
Los datos en la empresas es el activo más importante, la seguridad de los sistemas
permite que la información sea o no confiable, la actualización se da día a día, su gestión
ayuda a saber si se tiene que innovar la tecnología, modificarla o darle simplemente
mantenimiento; las TI es un término que comprende todas las formas de tecnología
empleadas para crear, almacenar, intercambiar y usar información en sus formas variadas
(datos de negocios, conversaciones de voz, imágenes fijas o en movimiento,
presentaciones multimedia y otras formas, incluyendo aquellas que aun no se han
concebido).
La presente unidad te mostrará pautas para la tomar de decisiones para la seleccionar un
software de seguridad según el tipo de organización donde te desempeñes. Para una
organización lo más importante es mantener sus datos a salvo, por lo cual es necesario
generar políticas de seguridad, las cuales se establecerán y se tienen que poner en
práctica y al mismo tiempo hay que hacerle un seguimiento y garantizar que estén
actualizadas y por supuesto suprimir aquellas que perdieron vigencia, hay que
concientizar a los usuarios de la importancia de las políticas y conseguir que las sigan,
además de divulgarlas.
Es necesario contar con un plan de contingencias o plan de desastres, el cual implica
realizar un análisis de los posibles riesgos a los cuales pueden estar expuestos los
equipos de cómputo y la información contenida en los diversos medios de
almacenamiento. Al mismo tiempo podrás generar procedimientos para el análisis para
determinar el grado de vulnerabilidad con base a diferentes herramientas, por lo cual
desarrollarás un grado esencial de observación e investigación para tomar las mejores
decisiones.
Todas estas acciones ayudarán a mantener un entorno seguro en cuanto a las
tecnologías de información, pero si no comprendemos que la importancia de la gente que
día a día hace uso de ellas, y se les demuestra que lo más importante es su apoyo,
ninguna de estas acciones logrará cumplir su fin, que es el de mantener segura la
información.
Propósitos
Al término de la unidad podrás:
Determinar la vulnerabilidad de una red en una organización.
En base a un análisis de vulnerabilidad, clasificar los elementos maliciosos.
Seguridad I
Unidad 1. Seguridad Informática
Ciencias Exactas Ingeniería y Tecnología | Ingeniería en Telemática
2
Analizar el riesgo dentro de las comunicaciones a partir de herramientas de
seguridad en las organizaciones.
Competencia específica(s)
Diagnosticar la seguridad en los medios y dispositivos para mantener o incrementar la
confiabilidad en la transmisión de la información mediante la identificación de los
elementos maliciosos y los elementos de seguridad
Temario de la unidad
Unidad 3. Seguridad Informática
3.1. Código malicioso
3.1.1. Virus, Gusanos, Troyanos, Puertas falsas
3.1.2. Bombas lógicas, Traps, Spyware
3.2. Seguridad en los componentes de redes e Internet
3.2.1. Vulnerabilidades de software, SQL, Cross Site Scripting, Buffer
Overflow
3.2.2. Sniffing, Scanning, Spoofing, Flooding, DOS, DDOS, Firewall y proxy
3.3. Herramientas de seguridad
3.3.1. Ataques
3.3.2. Defensa
3.3.3. Análisis de riesgos
Materiales de estudio
3.1. Código Malicioso
3.1.1. Virus, Gusanos, Troyanos, Puertas falsas
3.1.2. Bombas lógicas, Traps, Spyware
1. Virus y programas maliciosos
Instituto Nacional de Tecnología de la comunicación (s/d). Virus y programas maliciosos,
ITENCO, España; retomado de http://cert.inteco.es/Formacion/Amenazas/Virus/
Resumen:
Temas 3.1.1. y 3.1.2. Introducción a los programas maliciosos, cómo es que
alteran los sistemas operativos y por qué su creación. Menciona los tipos de virus
ya sea por su capacidad de programación o por las acciones que genera en el
equipo, data una lista de programas no recomendables y sus funciones
principales.
Seguridad I
Unidad 1. Seguridad Informática
Ciencias Exactas Ingeniería y Tecnología | Ingeniería en Telemática
3
2. Defensa en profundidad contra software malintencionado
Seguridad y tecnología de la Informática (s/d). Defensa en profundidad contra software
malintencionado. Hispasec España; retomado de
http://www.google.com.mx/url?sa=t&rct=j&q=&esrc=s&frm=1&source=web&cd=17&cad=rj
a&ved=0CFAQFjAGOAo&url=http%3A%2F%2Fdownload.microsoft.com%2Fdownload%2
Fc%2Ff%2F4%2Fcf47d3c5-79df-4f7d-8262-
cbcc55e03266%2FHispasec_DefensaVirus.ppt&ei=4-
xEUOG4J6eA2gXxxYCQCQ&usg=AFQjCNFWh9m5CfPHHWdNuXW1yJptKVnlbA
http://www.hispasec.com/
Resumen:
Temas 3.1.1 y 3.1.2. Esta presentación muestra los tipos y características del
software malicioso, nomenclatura, técnicas comunes empleadas por soluciones de
antivirus, limitaciones de los antivirus, elecciones de los antivirus, defensa de las
organizaciones y entornos corporativos contra el software malicioso.
3.2. Seguridad en los componentes de redes e Internet
3.2.1. Vulnerabilidades de software, SQL, Cross Site Scripting, Buffer Overflow
3.2.2. Sniffing, Scanning, Spoofing, Flooding, DOS, DDOS, Firewall y proxy
3. Ataque a aplicaciones a base de datos Martínez, Fallo Esteban (2007). Ataque a aplicaciones a base de datos, Argentina. Retomado de: http://www.argeniss.com/research/OracleSecurity.pdf
Resumen:
Tema 3.2.1 El documento muestra una introducción a la seguridad de las base de
datos la importancia de la seguridad de las aplicaciones web, cuales son las
vulnerabilidades de SQL Injection en las aplicaciones web, algunas herramientas
de demostración y como protegerse.
4. Inyección de código SQL en MS SQL Server 2005
Puerta Aka, MXchain, Fco. (2010). Inyección de código SQL en MS SQL Server 2005.
Hacktimees.com. Retomado de: http://www.hacktimes.com/files/Inyeccion-SQL-en-
MSSQL-HackTimes.com.pdf
Resumen:
Seguridad I
Unidad 1. Seguridad Informática
Ciencias Exactas Ingeniería y Tecnología | Ingeniería en Telemática
4
Tema 3.2.1 El contenido específico que se sugiere está en la primer página y se ha decidido dejar el contenido anexo pues muestra información que te puede ser de ayuda y que también está relacionada con el tema de estudio, pues presenta las vulnerabilidades de inyección de código de SQL, centrándose en motores de base de datos, presenta algunos ejemplos de utilizando algunas aplicaciones de HTTP y GET, su principal objetivo es concientizar a los desarrolladores de las vulnerabilidades y de la explotación de las mismas.
5. Cross Site Scripting Attack
Acunetix. (2012). Cross Site Scripting Attack (USA). Retomado de
http://www.acunetix.com/websitesecurity/cross-site-scripting.htm
Resumen:
Tema 3.2.1. El documento habla de los ataques a las aplicaciones web, y la
variedad de usuarios así como los códigos con los que se trabaja, te explica como
Cross Site Scripting permite que un atacante malicioso para incrustar JavaScript,
VBScript, ActiveX, HTML o Flash en una página dinámica vulnerable para engañar
al usuario, ejecutar la secuencia de comandos en su equipo con el fin de recopilar
datos.
6. Buffer overflows y vulnerabilidades de strings de formato
Buffer overflows y vulnerabilidades de strings de formato (2012). Traducción. Catalunya:
Departamento de arquitectura de computadoras. Universidad Politécnica de Catalunya
Retomado de http://docencia.ac.upc.es/FIB/CASO/seminaris/1q0304/M12.pdf
Resumen:
Tema 3.2.1. El documento habla de Buffer overflow y sus vulnerabilidades,
menciona la corrupción de la pila y que es lo que lo provoca y de los strings de
formato.
7. Buffer overflows
Material disponible sólo en hipervínculo
Navarro, Celemente, Álvaro. (2005). Buffer overflows. Mosteles: Universidad Rey Juan
Carlos. Retomado de http://gsyc.escet.urjc.es/~anavarro/papers/bufferoverflow.pdf
Resumen:
Seguridad I
Unidad 1. Seguridad Informática
Ciencias Exactas Ingeniería y Tecnología | Ingeniería en Telemática
5
Tema 3.2.1. Habla de de cómo los sistemas operativos asignan a cada programa
un fragmento de memoria y el cómo este puede ser corrompido, habla de los
diferentes ataques y sus comportamientos.
8. Material disponible sólo en hipervínculo
Glosario. (s/d). Herramientas de seguridad informática. Control de acceso. Extracto de
Tutorial de seguridad informática, UNAM. México: UNAM. Retomado de
http://redyseguridad.fi-p.unam.mx:8080/Segu/contenido/index.jsp
Resumen:
Tema 3.2.1. Presenta un glosario de las herramientas existentes para informática,
control de acceso, confidencialidad, autentificación, disponibilidad e integridad.
9. Estudio de una plataforma de detección de intrusos Open Source
La seguridad vista tras los ojos del hacker. (s/d) ttp://houdini-
hck.netai.net/Lecciones/La%20Seguridad%20Vista%20tras%20los%20Ojos%20del%20H
acker.pdf
3.2. Herramientas de Seguridad
3.3.1. Ataques
3.3.2. Defensa
3.3.3. Análisis de riesgos
10. Ataques informáticos
Mieres, Jorge (2009). Ataques informáticos. Debilidades de seguridad comúnmente
explotadas. (pp. 7-15). Retomado de https://www.evilfingers.com/
Resumen:
Tema 3.3.1. 3.3.2 .y 3.3.3. El documento trata de los ataque informáticos más
suscitado por las vulnerabilidades informáticas. Muestra las fases de seguridad,
códigos maliciosos, así como el tipo de contraseñas que son comúnmente
atacadas y las desventajas de la configuración predeterminada.
11. Protección
Borghello, Cristian. (2009) Protección. Argentina. Retomado de: http://www.segu-
info.com.ar/proteccion/proteccion.htm
Seguridad I
Unidad 1. Seguridad Informática
Ciencias Exactas Ingeniería y Tecnología | Ingeniería en Telemática
6
Resumen:
Tema 3.3.1. 3.3.2 .y 3.3.3. Presenta herramientas, con las cuales puedes
mantener seguros los sistemas como: Firewalls, Control de accesos, Wrappers,
detección de intrusos en tiempo real, Sistemas Anti-Sniffers, Gestión de claves,
Seguridad en protocolos y servicios.
Seguridad I
Unidad 1. Seguridad Informática
Ciencias Exactas Ingeniería y Tecnología | Ingeniería en Telemática
7
Cierre de la unidad
Para evitar incidentes asociados a la seguridad informática resulta vital el conocimiento de las vulnerabilidades a las que se está expuesto, así como emprender acciones y estrategias para minimizar los riesgos. Con el uso masivo de las tecnologías de la información y las comunicaciones, al terminar esta unidad aprenderás a reconocer la problemática de Seguridad de sistemas que afecta a las organizaciones; podrás realizar propuestas de mejora políticas de seguridad y/o aplicar normatividades. Como responsable de seguridad tendrás la oportunidad de:
Identificar las amenazas, vulnerabilidades y riesgos en las organizaciones.
Identificar las situaciones de una red o un equipo que facilitan la penetración de intrusos y los métodos de ataque que emplean los hackers.
Analizar las condiciones de seguridad que imponen a las organizaciones los nuevos entornos de trabajo, tales como Internet, acceso remoto y
Implantar las medidas de seguridad para defenderse
Fuentes de consulta complementaria
Corpocesar (2006). Políticas de seguridad informática Colombia:, Retomado de:
http://www.corpocesar.gov.co/files/POLITICA%20DE%20SEGURIDAD.pdf
Enguita González José María (2006). Tema8 Seguridad en las comunicaciones
(España), Retomado de: http://isa.uniovi.es/docencia/redes/Apuntes/tema8.pdf
ONTI (2003). Modelo de Política de Seguridad de la Información para Organismos
de la Administración Pública Nacional. Retomado de:
http://www.sgp.gov.ar/sitio/PSI_Modelo-v1_200507.pdf
Universidad Nacional de Colombia (2003). Guía de elaboración de políticas de
seguridad. Colombia: Universidad Nacional de Colombia. Vicerrectoría General
Dirección Nacional de Informática y comunicaciones. Retomado de:
http://api.ning.com/files/u2gdYg06meFYaRrQcaCxfptLmTGcy2B8wrTgigBnj7JnOK
qK3ya3pQkNHSxKqyYB-
dFWd0WaYHhFvTBKv9bkG8b921Boq3f*/guia_para_elaborar_politicas_v1_0.pdf