Professional Documents
Culture Documents
Objetivos
Conocer los objetivos de implementar IPSec.
Introduccin
75% de ataques son al Nivel de Aplicacin
Gartner. 95% de las vulnerabilidades son de Software NIST. 7 de cada 10 Sitios Web tienen vulnerabilidades White Hat Security 62% de las Organizaciones han tenido brechas de seguridad en los ltimos 12 meses.
Objetivos de IPSec
Verificar el origen de los paquetes IP.
paquetes.
IPSec
Insert
Orig IP Hdr ESP Hdr TCP Hdr
ESP Trailer
ESP Auth
SecParamIndex
Seq#
Keyed Hash
Padding
IPHdr
ESP Hdr
IP Hdr
TCP Hdr
Data
ESP Trailer
ESP Auth
Usually encrypted integrity hash coverage Nueva cabecera IP con la direccin origen y destino.
a ESP.
Next Hdr
Payload Len
Rsrv
SecParamIndex
Seq#
Keyed Hash
AH is IP protocol 51
24 bytes total
IP Hdr
AH Hdr
Orig IP Hdr
TCP Hdr
Data
Objetivos
Conocer la arquitectura de una Smart Card.
informacin sensible.
Sistema Operativo
Memoria de Aplicacin
Clasificacin
Contact smart card Son insertadas en un lector de amart card haciendo contacto fsico.
Plataforma
Procesadores pequeos
8 o 16 bits
Comunicacin
A travs del serial RS 232 y puertos USB
principalmente
Sistema de Archivos
Objetivos
Definir SSH.
SSH
Protocolo de Red.
Permite el intercambio de datos sobre un canal
Servidor SSH
Puerto 22 TCP
Componentes de SSH
Paquete SSH
Historia I
1995: Tatu Ylnen disea el protocolo SSH 1
Desarrollado debido a un ataque de password-
sniffing en la red universitaria. El objetivo era remplazar los portocolos rlogin, rsh y Telnet. Liberado como freeware en Julio de 1995.
1996: Se disea el protocolo SSH 2
Incompatible con SSH 1 Mejora la seguridad a travs del Intercambio de
Historia II
2005: OpenSSH es la implementacin ms
secsh.
Comparativa
SSH 1
Protocolo todo en uno. Chequeo de integridad con CRC 32.
SSH 2
Protocolos separados. Chequeo de integridad fuerte.
Public-key encryption
public key
(encodes)
Server
Client
private key
(decodes)
Client
Client
Client
Public-key encryption
server's public key
lock unlock
Server
symmetric key
Client
Symmetric-key encryption
Server
symmetric key
Client
Usos de SSH
Administracin remota X11.
Arquitectura
Definido en el RFC 4251
Capa de Transporte. Capa de Autenticacin de Usuario. Capa de Conexin.
Arquitectura
Funcionamiento SSH
SCP
Secure Copy
Transfiere archivos de computadora usando el
protocolo SSH.
SFTP
FTP seguro.
Objetivos
Definir SSH.
SSH
Protocolo de Red.
Permite el intercambio de datos sobre un canal
Servidor SSH
Puerto 22 TCP
Componentes de SSH
Paquete SSH
Historia I
1995: Tatu Ylnen disea el protocolo SSH 1
Desarrollado debido a un ataque de password-
sniffing en la red universitaria. El objetivo era remplazar los portocolos rlogin, rsh y Telnet. Liberado como freeware en Julio de 1995.
1996: Se disea el protocolo SSH 2
Incompatible con SSH 1 Mejora la seguridad a travs del Intercambio de
Historia II
2005: OpenSSH es la implementacin ms
secsh.
Comparativa
SSH 1
Protocolo todo en uno. Chequeo de integridad con CRC 32.
SSH 2
Protocolos separados. Chequeo de integridad fuerte.
Public-key encryption
public key
(encodes)
Server
Client
private key
(decodes)
Client
Client
Client
Public-key encryption
server's public key
lock unlock
Server
symmetric key
Client
Symmetric-key encryption
Server
symmetric key
Client
Usos de SSH
Administracin remota X11.
Arquitectura
Definido en el RFC 4251
Capa de Transporte. Capa de Autenticacin de Usuario. Capa de Conexin.
Arquitectura
Funcionamiento SSH
SCP
Secure Copy
Transfiere archivos de computadora usando el
protocolo SSH.
SFTP
FTP seguro.
Objetivos
Conocer la historia de las Redes Wireless.
Introduccin
AT&T Bell. 1958: Primera red wireless A-Netz (160 MHz). Alemania.
B-Netz (160 MHz). Recibia llamadas de un telfono
AT&T Bell. Abril 1973: Invencin del primer telfono mvil. Martin Cooper (Motorola). 1977: Construccin de un prototipo de red celular. Laboratorios AT&T Bell.
Evolucin Servicios
Tcnicas de Acceso
OFDM
Ventajas
Flexibilidad
Movilidad
Robustez Escalabilidad Fcil instalacin Menores costos
Desventajas
Calidad de Servicio
Bajo Ancho de Banda Bajo ratio de trasmisin de datos Altos ratios de error Interferencia
Mayor demora
Red GSM
Video
http://www.youtube.com/watch?v=rhJAJ1TdNyg
Objetivos
Conocer los Modelos de Administracin de
Seguridad de la Informacin. Implementar los elementos claves de la Seguridad de la Informacin, de acuerdo a la realidad de cada Empresa.
Introduccin
Para crear y mantener un entorno de Seguridad
Informtica se debe disear un Plan de Seguridad. Puede empezar con la creacin o validacin de un Modelo de Seguridad. Un estndar es una buena gua para iniciar el proceso de diseo, seleccin e implementacin de los controles de Seguridad.
ISO/IEC 17799:2005
Originalmente publicado como el British Standard
BS 7799. Tiene como propsito establecer guas y principios generales para iniciar, implementar, mantener y fortalecer la administracin de la Seguridad de la Informacin en una Organizacin. Tiene 133 posibles controles. Cada seccin incluye 4 categoras de informacin:
1. Uno o ms objetivos 2. Controles relevantes para alcanzar los objetivos
Poltica de Seguridad Organizacin Administracin de Activos Seguridad de Recursos Humanos Seguridad del Entorno y Fsica Administracin de Operaciones y Comunicaciones Control de Acceso Adquisicin, Desarrollo y Mantenimiento de los Sistemas de Informacin Administracin de Incidentes Administracin de la Continuidad de Negocios Cumplimiento
BS7799:2
4.
5. 6. 7. 8.
Riesgos Identificar Riesgos Evaluar Riesgos Identificar y Evaluar opciones para el tratamiento de riesgos Seleccionar objetivos de control Preparar el Statement of Applicability
concientizacin 13. Administrar operaciones 14. Administrar recursos 15. Implementar procedimientos para detectar y responder ante Incidentes de Seguridad
19.
20. 21.
ISMS Revisar el nivel de riesgo aceptable y residual Realizar auditora interna del ISMS Efectuar revisiones regulares del ISMS Registrar acciones y eventos que impacten en el ISMS
NIST
Publicaciones gratuitas
SP 800-12, Computer Security Handbook SP 800-14, Generally Accepted Security Principles
& Practices SP 800-18, Guide for Developing Security Plans SP 800-26, Security Self-Assessment Guide-IT Systems SP 800-30, Risk Management for Information Technology Systems
2. Controles Operativos
3. Controles Tcnicos
NIST Special Publication 800-14 Generally Accepted Principles and Practices for Securing Information Technology Systems
Describe las mejores prcticas usadas en el
desarrollo de un estndar de seguridad. Describe principios que pueden ser integrados en los procesos de Seguridad de la Informacin. Posee 8 puntos y 33 principios.
NIST Special Publication 800-18 A Guide for Developing Security Plans for Information Technology Systems
Provee mtodos detallados para evaluar, disear
y evaluar controles y planes para diversas aplicaciones. Incluye plantillas para la aplicarlos en los Planes de Seguridad.
NIST Special Publication 800-26 17 Areas Defining the core of the NIST Security Management Structure
Management Controls Technical Controls
15.Identification and Authentication 16.Logical Access Controls 17.Audit Trails
Risk Management Review of Security Controls Life Cycle Maintenance Authorization of Processing (Certification and Accreditation) 5. System Security Plan
1. 2. 3. 4.
Operational Controls
6. Personnel Security 7. Physical Security 8. Production, Input/Output Controls 9. Contingency Planning 10.Hardware and Systems Software 11.Data Integrity 12.Documentation 13.Security Awareness, Training, and
NIST Special Publication 800-30 Risk Management Guide for Information Technology Systems
Provee fundamentos para el desarrollo de un
programa efectivo de administracin de riesgos. Contiene una Gua Prctica para evaluar y mitigar riesgos identificados en los sistemas de TI. Habilita a las Organizaciones a tener una mejor administracin de riesgos.
seguridad a travs de casos detallados. Cubre polticas de seguridad, arquitectura de seguridad, servicios de seguridad y manejo de incidentes de seguridad.
Control Association (ISACA) and the IT Governance Institute (ITGI) en 1992. Contiene 34 objetivos de alto nivel que cubre 215 objetivos de control, organizados en 4 dominios:
1. Planificacin y Organizacin 10 objetivos de alto
nivel 2. Adquisicin e Implementacin 7 objetivos de alto nivel 3. Entrega y Soporte 13 objetivos de alto nivel 4. Monitoreo y Evaluacin 4 objetivos de alto nivel
factores que causan fraudes financieros y realiza recomendaciones para reducir incidentes. Est construido en base a 5 componentes interrelacionados:
1. Ambiente de control
2. Evaluacin de riesgos 3. Actividades de control 4. Informacin y comunicacin 5. Monitoreo
Biometra
Ing. Luis Prez
Objetivos
Conocer el concepto de Biometra.
Definicin
Es una caracterstica fisiolgica o de
comportamiento del Ser Humano que puede distinguir una persona de otra y que tericamente puede ser usada para identificacin o verificacin de identidad.
Tringulo de la Autenticacin
Qu tienes?
Qu sabes?
Quin eres?
Categora
Fisiolgica
Iris Huella Digital Mano Reconocimiento de la Retina
Reconocimiento de la Cara
Comportamiento
Voz
Patrn de escritura
Firma
Mtricas
FTE Failure To Enroll
Parmetros
Prueba de vitalidad
Resistencia al sabotaje
Comunicacin segura Nivel de seguridad Nodo de retroalimentacin
espirales.
Geometra de la mano
Ms confiable que el reconocimiento de huella
Escner de Retina
Se usa luz de baja intensidad
Muy eficiente
Escner de Iris
Escanea el patrn nico del Iris No se requiere el contacto
Reconocimiento de Cara
Se requiere una expresin neutral.
Tabla Comparativa
Iris Retina Huella Dactilares Alta Alta Alta Geometra de la Mano Alta Alta Alta Escritura y firma Alta Alta Media Voz Cara Fiabilidad Facilidad de Uso Prevencin de Ataques Aceptacin Estabilidad Muy Alta Media Muy Alta Media Alta Muy Alta Baja Muy Alta Media Alta Alta Alta Media Alta Alta Media
Media Alta
Alta Media
Alta Media
Video
http://www.youtube.com/watch?v=_OOlTs3hUU4