introduccion seguridad redes
DESCRIPTION
Introduccion - Seguridad de Redes ITRANSCRIPT
UNIDAD 01
Elementos de Seguridad y
Administración de Riesgos
TEMA 01 : Conceptos Básicos sobre Seguridad (I)
El equipo Docente del curso
Parámetros del Curso
CICLO Cuarto
SEMESTRE 2014 – I
CRÉDITOS 3
CARRERA REDES Y COMUNICACIONES
REQUISITOS Administración de Base de Datos
EVALUACIÓN 20%(EP1) + 40%(EF1) + 30%PROM(CE) + 10%(NA)
EVALUACIONES
CONTINUASSemana 03; Semana 05; Semana 11; Semana 14
Logros del Curso
• Al término de la asignatura, el alumno elabora diferentes propuestas de
seguridad de una red LAN, orientadas a proteger la información, utilizando las
técnicas pertinentes de acuerdo a un contexto específico.
Temario
• Conceptos básicos sobre Seguridad en Redes
• Criptografía y algoritmos criptográficos
• Tipos de criptografía (DES, AES, IDEA, etc.)
• Técnicas de encriptación de datos
• Arquitectura de seguridad en redes
• Protocolos de seguridad en redes
Logros de la Sesión de Aprendizaje
• Al término de Unidad de aprendizaje, el alumno explica la naturaleza de los tres
pilares de seguridad y establece criterios para la defensa y protección de una red
dentro de un esquema de seguridad de red basado en multicapas, empleando el
análisis de vulnerabilidades y el análisis de riesgos subyacente en cada capa y la
identificación amenazas.
Red de Contenidos en Seguridad
1.Seguridad de las Aplicaciones
2.Seguridad de la red
3.Seguridad del Host
Seguridad en las Aplicaciones
Validación de usuarios
Autenticación
Autorización
Confidencialidad Auditoria
Criptografía
Administración
Servidor de aplicaciones
¿Cómo?
Seguridad en la Red
Firewall
IPS
IDS
Enrutadores
Conmutador o Switch
Seguridad en el Host
Recursos compartidos
Cuentas de
UsuariosProtocolos
PuertosServicios
¿Qué es lo más importante en una red?
¿?
La Información
“La información es un activo, que tal como otros importantes
activos del negocio, tiene valor para la compañía y
consecuentemente requiere ser protegida adecuadamente.”
ISO/IEC 17799:2005
Dónde encontramos las información
Unidades de Almacenamiento
Conocimiento de las personas
Recursos tecnológicos de información
Documentación
Seguridad en la información
• Es un proceso sistemático y continuo.
• Orientado a la protección de los activos críticos y sensibles.
• Requiere un plan estratégico acordes con los objetivos del negocio
• Requiere análisis constante y control de riesgos.
• Este mecanismo está conformado por: procesos,
tecnología, metodologías y PERSONAS.
Peligros de la información
• Un Agente externo o interno no autorizado podría:
Filtrar.
Modificar.
Borrar.
Usurpar.
Mirar y clasificar.
Deducir.
Vender.
Información
Hackers y Crackers
• Hacker es una persona que modifica el software o hardware de su sistema
computacional o una red para construir, reconstruir, modificar y crear software o
hardware, para mejorar su sistema haciéndolo
más rápido y eficiente o logrando ejecutar
funciones que quizás nunca se habían
pensado realizar con el sistema original.
Hackers y Crackers
• Cracker es la persona que mediante ingeniería inversa viola la seguridad de un
sistema informático de forma similar a como lo haría un hacker, sólo que a
diferencia de este último, el cracker realiza la intrusión con fines de beneficio
personal o para hacer daño. También se dice que es la persona que realiza
seriales, keygens y cracks, los cuales sirven para modificar el comportamiento o
ampliar la funcionalidad de un software o hardware original, sin que en absoluto
pretenda ser dañino para el usuario del mismo.
Habilidades de los Hackers
Complejidad
de las
herramientas
Packet Forging/
Spoofing
Password
Guessing
Self Replicating
Code
Password
Cracking
Exploiting Known
Vulnerabilities
Disabling
Audits
Back
Doors
Hijacking
Sessions
Sweepers
Sniffers
Stealth Diagnostics
Complejidad
de uso
Alto
Bajo Tiempo
DDOS
Ataques a la seguridad de la red
Captura de PC desde el exterior
Violación de e-mailsViolación de contraseñas
Interrupción de los servicios
Intercepción y modificación de e-mails
VirusFraudes informáticos
Incumplimiento de leyes y regulaciones
Robo o extravío de notebooks
empleados deshonestos
Robo de información
Destrucción de soportes documentales
Acceso clandestino a redes
Intercepción de comunicaciones
Destrucción de equipamiento
Programas “bomba”
Acceso indebido a documentos impresos Software ilegal
Agujeros de seguridad de redes conectadasFalsificación de información para terceros
Indisponibilidad de información clave
Spamming
Violación de la privacidad de los empleados
Ingeniería socialPropiedad de la Información
Mails “anónimos” con información crítica o con agresiones
Objetivos de los Ataques
Password cracking Vandalismo
Ganancias financieras
Extorsión
Espionaje corporativoChantaje
Destrucción de equipamiento
Ideologías
Venganza
Destrucción de capacidades
Sabotaje
¿Porqué no se implementa la seguridad?
¿Qué hacemos?
Dónde interviene la seguridad?
Procesos
Organización
Tecnología
Infraestructura
Seg
uri
dad
de la
in
form
ació
n
Pasos para implementar la seguridad
Compromiso y participación de la Alta Dirección
Organizar una estructura de Seguridad Integral.
Definir los alcance y los objetivos de la Seguridad.
Identificar y clasificar los activos críticos y sensibles de la organización.
Implementar un sistema efectivo de Gestión del Riesgo
Desarrollar y difundir las Políticas de Seguridad de la Organización.
Concienciación y Capacitación en temas de Seguridad
Gestión de la seguridad