Unidad 3. Seguridad de Las Comunicaciones

Seguridad I

Unidad 3. Seguridad de las comunicaciones

Ciencias Exactas Ingeniería y Tecnología | Ingeniería en Telemática

Ingeniería en Telemática

6° cuatrimestre

Antología de estudio

Seguridad I


Universidad Abierta y a Distancia de México

Seguridad I


Ciencias Exactas Ingeniería y Tecnología | Ingeniería en Telemática 1


Presentación de la unidad

Los datos en la empresas es el activo más importante, la seguridad de los sistemas

permite que la información sea o no confiable, la actualización se da día a día, su gestión

ayuda a saber si se tiene que innovar la tecnología, modificarla o darle simplemente

mantenimiento; las TI es un término que comprende todas las formas de tecnología

empleadas para crear, almacenar, intercambiar y usar información en sus formas variadas

(datos de negocios, conversaciones de voz, imágenes fijas o en movimiento,

presentaciones multimedia y otras formas, incluyendo aquellas que aun no se han

concebido).

La presente unidad te mostrará pautas para la tomar de decisiones para la seleccionar un

software de seguridad según el tipo de organización donde te desempeñes. Para una

organización lo más importante es mantener sus datos a salvo, por lo cual es necesario

generar políticas de seguridad, las cuales se establecerán y se tienen que poner en

práctica y al mismo tiempo hay que hacerle un seguimiento y garantizar que estén

actualizadas y por supuesto suprimir aquellas que perdieron vigencia, hay que

concientizar a los usuarios de la importancia de las políticas y conseguir que las sigan,

además de divulgarlas.

Es necesario contar con un plan de contingencias o plan de desastres, el cual implica

realizar un análisis de los posibles riesgos a los cuales pueden estar expuestos los

equipos de cómputo y la información contenida en los diversos medios de

almacenamiento. Al mismo tiempo podrás generar procedimientos para el análisis para

determinar el grado de vulnerabilidad con base a diferentes herramientas, por lo cual

desarrollarás un grado esencial de observación e investigación para tomar las mejores

decisiones.

Todas estas acciones ayudarán a mantener un entorno seguro en cuanto a las

tecnologías de información, pero si no comprendemos que la importancia de la gente que

día a día hace uso de ellas, y se les demuestra que lo más importante es su apoyo,

ninguna de estas acciones logrará cumplir su fin, que es el de mantener segura la

información.

Propósitos

Al término de la unidad podrás:

Determinar la vulnerabilidad de una red en una organización.

En base a un análisis de vulnerabilidad, clasificar los elementos maliciosos.

Seguridad I

Unidad 1. Seguridad Informática


2

Analizar el riesgo dentro de las comunicaciones a partir de herramientas de

seguridad en las organizaciones.

Competencia específica(s)

Diagnosticar la seguridad en los medios y dispositivos para mantener o incrementar la

confiabilidad en la transmisión de la información mediante la identificación de los

elementos maliciosos y los elementos de seguridad

Temario de la unidad


3.1. Código malicioso

3.1.1. Virus, Gusanos, Troyanos, Puertas falsas

3.1.2. Bombas lógicas, Traps, Spyware

3.2. Seguridad en los componentes de redes e Internet

3.2.1. Vulnerabilidades de software, SQL, Cross Site Scripting, Buffer

Overflow

3.2.2. Sniffing, Scanning, Spoofing, Flooding, DOS, DDOS, Firewall y proxy

3.3. Herramientas de seguridad

3.3.1. Ataques

3.3.2. Defensa

3.3.3. Análisis de riesgos

Materiales de estudio

3.1. Código Malicioso

3.1.1. Virus, Gusanos, Troyanos, Puertas falsas

3.1.2. Bombas lógicas, Traps, Spyware

1. Virus y programas maliciosos

Instituto Nacional de Tecnología de la comunicación (s/d). Virus y programas maliciosos,

ITENCO, España; retomado de http://cert.inteco.es/Formacion/Amenazas/Virus/

Resumen:

Temas 3.1.1. y 3.1.2. Introducción a los programas maliciosos, cómo es que

alteran los sistemas operativos y por qué su creación. Menciona los tipos de virus

ya sea por su capacidad de programación o por las acciones que genera en el

equipo, data una lista de programas no recomendables y sus funciones

principales.

Seguridad I



3

2. Defensa en profundidad contra software malintencionado

Seguridad y tecnología de la Informática (s/d). Defensa en profundidad contra software

malintencionado. Hispasec España; retomado de

http://www.google.com.mx/url?sa=t&rct=j&q=&esrc=s&frm=1&source=web&cd=17&cad=rj

a&ved=0CFAQFjAGOAo&url=http%3A%2F%2Fdownload.microsoft.com%2Fdownload%2

Fc%2Ff%2F4%2Fcf47d3c5-79df-4f7d-8262-

cbcc55e03266%2FHispasec_DefensaVirus.ppt&ei=4-

xEUOG4J6eA2gXxxYCQCQ&usg=AFQjCNFWh9m5CfPHHWdNuXW1yJptKVnlbA

http://www.hispasec.com/

Resumen:

Temas 3.1.1 y 3.1.2. Esta presentación muestra los tipos y características del

software malicioso, nomenclatura, técnicas comunes empleadas por soluciones de

antivirus, limitaciones de los antivirus, elecciones de los antivirus, defensa de las

organizaciones y entornos corporativos contra el software malicioso.

3.2. Seguridad en los componentes de redes e Internet

3.2.1. Vulnerabilidades de software, SQL, Cross Site Scripting, Buffer Overflow

3.2.2. Sniffing, Scanning, Spoofing, Flooding, DOS, DDOS, Firewall y proxy

3. Ataque a aplicaciones a base de datos Martínez, Fallo Esteban (2007). Ataque a aplicaciones a base de datos, Argentina. Retomado de: http://www.argeniss.com/research/OracleSecurity.pdf

Resumen:

Tema 3.2.1 El documento muestra una introducción a la seguridad de las base de

datos la importancia de la seguridad de las aplicaciones web, cuales son las

vulnerabilidades de SQL Injection en las aplicaciones web, algunas herramientas

de demostración y como protegerse.

4. Inyección de código SQL en MS SQL Server 2005

Puerta Aka, MXchain, Fco. (2010). Inyección de código SQL en MS SQL Server 2005.

Hacktimees.com. Retomado de: http://www.hacktimes.com/files/Inyeccion-SQL-en-

MSSQL-HackTimes.com.pdf

Resumen:

Seguridad I



4

Tema 3.2.1 El contenido específico que se sugiere está en la primer página y se ha decidido dejar el contenido anexo pues muestra información que te puede ser de ayuda y que también está relacionada con el tema de estudio, pues presenta las vulnerabilidades de inyección de código de SQL, centrándose en motores de base de datos, presenta algunos ejemplos de utilizando algunas aplicaciones de HTTP y GET, su principal objetivo es concientizar a los desarrolladores de las vulnerabilidades y de la explotación de las mismas.

5. Cross Site Scripting Attack

Acunetix. (2012). Cross Site Scripting Attack (USA). Retomado de

http://www.acunetix.com/websitesecurity/cross-site-scripting.htm

Resumen:

Tema 3.2.1. El documento habla de los ataques a las aplicaciones web, y la

variedad de usuarios así como los códigos con los que se trabaja, te explica como

Cross Site Scripting permite que un atacante malicioso para incrustar JavaScript,

VBScript, ActiveX, HTML o Flash en una página dinámica vulnerable para engañar

al usuario, ejecutar la secuencia de comandos en su equipo con el fin de recopilar

datos.

6. Buffer overflows y vulnerabilidades de strings de formato

Buffer overflows y vulnerabilidades de strings de formato (2012). Traducción. Catalunya:

Departamento de arquitectura de computadoras. Universidad Politécnica de Catalunya

Retomado de http://docencia.ac.upc.es/FIB/CASO/seminaris/1q0304/M12.pdf

Resumen:

Tema 3.2.1. El documento habla de Buffer overflow y sus vulnerabilidades,

menciona la corrupción de la pila y que es lo que lo provoca y de los strings de

formato.

7. Buffer overflows

Material disponible sólo en hipervínculo

Navarro, Celemente, Álvaro. (2005). Buffer overflows. Mosteles: Universidad Rey Juan

Carlos. Retomado de http://gsyc.escet.urjc.es/~anavarro/papers/bufferoverflow.pdf

Resumen:

http://www.acunetix.com/websitesecurity/cross-site-scripting.htm

http://docencia.ac.upc.es/FIB/CASO/seminaris/1q0304/M12.pdf

http://gsyc.escet.urjc.es/~anavarro/papers/bufferoverflow.pdf

Seguridad I



5

Tema 3.2.1. Habla de de cómo los sistemas operativos asignan a cada programa

un fragmento de memoria y el cómo este puede ser corrompido, habla de los

diferentes ataques y sus comportamientos.

8. Material disponible sólo en hipervínculo

Glosario. (s/d). Herramientas de seguridad informática. Control de acceso. Extracto de

Tutorial de seguridad informática, UNAM. México: UNAM. Retomado de

http://redyseguridad.fi-p.unam.mx:8080/Segu/contenido/index.jsp

Resumen:

Tema 3.2.1. Presenta un glosario de las herramientas existentes para informática,

control de acceso, confidencialidad, autentificación, disponibilidad e integridad.

9. Estudio de una plataforma de detección de intrusos Open Source

La seguridad vista tras los ojos del hacker. (s/d) ttp://houdini-

hck.netai.net/Lecciones/La%20Seguridad%20Vista%20tras%20los%20Ojos%20del%20H

acker.pdf

3.2. Herramientas de Seguridad

3.3.1. Ataques

3.3.2. Defensa

3.3.3. Análisis de riesgos

10. Ataques informáticos

Mieres, Jorge (2009). Ataques informáticos. Debilidades de seguridad comúnmente

explotadas. (pp. 7-15). Retomado de https://www.evilfingers.com/

Resumen:

Tema 3.3.1. 3.3.2 .y 3.3.3. El documento trata de los ataque informáticos más

suscitado por las vulnerabilidades informáticas. Muestra las fases de seguridad,

códigos maliciosos, así como el tipo de contraseñas que son comúnmente

atacadas y las desventajas de la configuración predeterminada.

11. Protección

Borghello, Cristian. (2009) Protección. Argentina. Retomado de: http://www.segu-

info.com.ar/proteccion/proteccion.htm

http://redyseguridad.fi-p.unam.mx:8080/Segu/contenido/index.jsp

Seguridad I



6

Resumen:

Tema 3.3.1. 3.3.2 .y 3.3.3. Presenta herramientas, con las cuales puedes

mantener seguros los sistemas como: Firewalls, Control de accesos, Wrappers,

detección de intrusos en tiempo real, Sistemas Anti-Sniffers, Gestión de claves,

Seguridad en protocolos y servicios.

Seguridad I



7

Cierre de la unidad

Para evitar incidentes asociados a la seguridad informática resulta vital el conocimiento de las vulnerabilidades a las que se está expuesto, así como emprender acciones y estrategias para minimizar los riesgos. Con el uso masivo de las tecnologías de la información y las comunicaciones, al terminar esta unidad aprenderás a reconocer la problemática de Seguridad de sistemas que afecta a las organizaciones; podrás realizar propuestas de mejora políticas de seguridad y/o aplicar normatividades. Como responsable de seguridad tendrás la oportunidad de:

Identificar las amenazas, vulnerabilidades y riesgos en las organizaciones.

Identificar las situaciones de una red o un equipo que facilitan la penetración de intrusos y los métodos de ataque que emplean los hackers.

Analizar las condiciones de seguridad que imponen a las organizaciones los nuevos entornos de trabajo, tales como Internet, acceso remoto y

Implantar las medidas de seguridad para defenderse

Fuentes de consulta complementaria

Corpocesar (2006). Políticas de seguridad informática Colombia:, Retomado de:

http://www.corpocesar.gov.co/files/POLITICA%20DE%20SEGURIDAD.pdf

Enguita González José María (2006). Tema8 Seguridad en las comunicaciones

(España), Retomado de: http://isa.uniovi.es/docencia/redes/Apuntes/tema8.pdf

ONTI (2003). Modelo de Política de Seguridad de la Información para Organismos

de la Administración Pública Nacional. Retomado de:

http://www.sgp.gov.ar/sitio/PSI_Modelo-v1_200507.pdf

Universidad Nacional de Colombia (2003). Guía de elaboración de políticas de

seguridad. Colombia: Universidad Nacional de Colombia. Vicerrectoría General

Dirección Nacional de Informática y comunicaciones. Retomado de:

http://api.ning.com/files/u2gdYg06meFYaRrQcaCxfptLmTGcy2B8wrTgigBnj7JnOK

qK3ya3pQkNHSxKqyYB-

dFWd0WaYHhFvTBKv9bkG8b921Boq3f*/guia_para_elaborar_politicas_v1_0.pdf

Unidad 3. Seguridad de Las Comunicaciones

Documents

Transcript of Unidad 3. Seguridad de Las Comunicaciones