seguridad de las redes m3 – gesti³n de la seguridad de las
TRANSCRIPT
Seguridad de las redes
SEGURIDAD DE LAS REDES
M3 ndash Gestioacuten de la seguridad de las redes en empresa
e-mail ocannafarinaunenetco
Seguridad de las redes
Las bases teacutecnicas de las redes
Herramientas baacutesicas de la seguridad de las redes
Gestioacuten de la seguridad de lasredes en empresa
M1
M2
M3
Seguridad de las redes
M1
M2
M3Gestioacuten de la seguridad de las redes en empresa - 1
Las bases teacutecnicas de las redes
Impactos de la seguridad de las redes en empresabull Requisitos para acreditacionesbull Responsabilidades legales obligaciones juriacutedicasbull El impacto de la seguridad de las redes en el Plan de
Continuidad del Negocio de la empresa
Herramientas baacutesicas de la seguridad de las redes
Utilizacioacuten eficaz y sin riesgo de las tecnologiacuteas WEBbull Los modelos de arquitecturas clienteservidorbull Cliente pesado cliente ligerobull Las arquitecturas fiacutesicas de servidoresbull Ventajas de las arquitecturas en tecnologiacutea WEBbull Funcionamiento y configuracioacuten de los navegadoresbull Riesgos y buenas praacutecticas con los navegadores WEBbull Arquitectura baacutesica de los sitios WEBbull Principios de la seguridad WEB
Seguridad de las redes
IMPACTOS DE LA SEGURIDAD DE LAS REDES EN EMPRESA
Seguridad de las redes
Normas y metodologiacuteas con requisitos de seguridad sobrelas redesbullUna poliacutetica de seguridad controlada puede ser obligatoria por la ley seguacuten
el paiacutes y la actividad de la empresabullPuede ser exigida tambieacuten por organismos de seguros
bullCertificacioacuten - normas mundiales y generales- ISO 27000 27001 ndash Requisitos (incluye ISO 17799) 27002 ndash Guia de buenas practicas 27003 ndash Despliegue 27004 ndash Medida de la eficacia
- ITIL (Information technology Infrastructure Library)
bullCertificacioacuten - normas locales y especificas- Sarbanes Oxley (SOX ndash certificacioacuten para trabajar con los EEUU)- Bale II (Bancos Europeos)- JSOX (Japon SOX ndash certificacioacuten para trabajar con el Japoacuten)- Solvency II (Seguros Europeos) HIPAA (Seguros EEUU)- Cobit (Control Objectives for Information and related Technology ndash propuesta por ISACA)- CMMI (Capability Maturity Model Integration ndash EEUU) etc hellip
Seguridad de las redes
Taller
Norma ISO
Norma ITIL
Certificacioacuten CMMI
Certificacioacuten SOX
Seguridad de las redes
Responsabilidades y requisitos juriacutedicos
La responsabilidad de la empresa puede ser implicada en caso
bullDe destruccioacuten de datos con plazos de conservacioacuten legales (facturas justificativos de gastos contratos juriacutedicoshellip)
bullDe infeccioacuten de los sistemas de las empresas vinculadas (clientes o proveedores)
bullDe divulgacioacuten de informaciones confidenciales voluntarias o nobullDe no respecto de las leyes de la propiedad intelectual o vida privada
voluntario o nobullDe contratos clientes con claacuteusulas de plazos de respuesta miacutenimos
imposible a respectar por razoacuten de problemas internos (diferentes de casos de fuerza mayor)
De manera general probar que todos los recursos de seguridad posibles son aplicados en la empresa puede atenuar la responsabilidad juriacutedica
pero no eliminarla completamente
Seguridad de las redes
El trabajo juriacutedico para el caso particular del comercio enliacutenea
- Contrato en liacutenea para los visitantes- Contrato con el banco pago asegurado- Derechos vinculados a la publicidad en liacutenea- Derechos de los servicios especiacuteficos en liacutenea (avocado
periodista medicohellip)- Fiscalidad del comercio electroacutenico- Derecho Internacional- Derecho de la propiedad intelectual proteccioacuten de las
paginas (sistema IDDN httpwwwiddnorg)- Respeto de la vida privada- Derecho de los viacutenculos Hipertextos (frame)
Seguridad de las redes
Taller
Anaacutelisis de las menciones legales de sitios puacuteblicos
wwwbancafecomwwwmercadolibrecomcowwwelcolombianocom
wwweltiempocomwwwgibaudcomesportadahtml
wwwportaleycomwwwunenetco
Seguridad de las redes
PCN (Plan de Continuidad del Negocio) y redes
Un sinistro mayor o un periodo de indisponibilidad puede siempre ocurrir en caso
bull De fallo de los sistemas y procesos de seguridadbull De cataacutestrofe naturalbull De negligencia de un vecino o de accidente mayor a proximidadbull De fallo de la alimentacioacuten eleacutectrica general muchos diacuteasbull De fallo de alimentacioacuten en agua muchos diacuteasbull De fallo del aire condicionado muchos diacuteasbull De evacuacioacuten obligatoria del edificiobull De actos voluntarios de destruccioacutenbull De obras mayores en el lugar de la empresa
El objetivo del PCN es de asegurar las actividades vitales de la empresa el tiempo necesario para re establecer el servicio normal
Seguridad de las redes
bull PCN aplicado a las comunicaciones y las redes- Disponibilidad de las liacuteneas permanentes de datos y voz- Disponibilidad del acceso Internet- Disponibilidad de los equipos de comunicaciones puntuales (tel fax)- Disponibilidad de los sistemas de correos electroacutenicos- Disponibilidad de los sistemas de video conferencia- Disponibilidad de las comunicaciones non electroacutenicas (correo papel
transportes de colaboradores y paquetes entre sitios de la empresa)
- Soluciones Sistemas de socorro de backup (a precios y capacidades degradados) Garantiacuteas de plazo de restablecimiento por los proveedores Red de celulares de socorro Fax teleacutefono y accesos Internet publicos a proximidad (Wifi Wimax) Utilizacioacuten de los accesos Internet privados con VPN Buzones de correos electroacutenicos puacuteblicos (gmail yahoo hotmailhellip) Alianza con flotas de taxi y proveedores de servicios de mensajeros
Seguridad de las redes
Ejemplo de PCN en una empresa real
bull Presentacioacuten- 300 empleos en la casa matriz 200 en delegaciones en el mundo- 2 sitios de produccioacuten industrial 1 subcontratista para la logiacutestica- Desde 2004 cada fabrica es el sitio de backup de la otra- Objetivo 2006 PCN de la casa matriz- Objetivo 2007 PCN de las delegaciones- Un logo
Casa MatrizDelegaciones
Fabrica 1 Fabrica 2
VPN
2 Mbitss
2 Mbitss2 Mbitss
Logiacutestica (depoacutesitos)
Seguridad de las redes
bull PCN aplicado a las redes- Instalacioacuten de una sala informaacutetica de backup en la fabrica 1- Instalacioacuten de una liacutenea Internet en la fabrica 1 dedicada al VPN- Instalacioacuten de una sala de trabajo para 12 empleos en la fabrica 1
(con teleacutefonos fax impresora y computadores)- Inversiones totales 25 de los presupuestos informaacuteticos- Utilizacioacuten de un acceso VPN privado a la casa para los otros
empleados
Casa MatrizDelegaciones
Fabrica 1 Fabrica 2
VPN
2 Mbitss
2 Mbitss2 Mbitss
Logiacutestica (depoacutesitos)
5 servidores1 AS40012 portaacutetiles1 impresora1 switch de red1 firewall
Acesso Internet 1 Mbitss
Seguridad de las redes
Auditoria y indicadores de riesgos
bullMicrosoft Security Assessment ToolsbullIndicadores de Seguridad Excel
Seguridad de las redes
UTILIZACIOacuteN EFICAZ Y SIN RIESGO DE LAS TECNOLOGIacuteAS WEB
Seguridad de las redes
PRINCIPIOS DE LAS ARQUITECTURAS CLIENTESERVIDORModelos de tecnologiacuteas ClienteServidor (Gartner Group)
Presentacioacuten
Gestioacuten de Datos
Aplicacioacuten
Presentacioacuten
Gestioacuten de Datos
Aplicacioacuten
Presentacioacuten
Gestioacuten de Datos
Aplicacioacuten
Presentacioacuten
Gestioacuten de Datos
Aplicacioacuten
Aplicacioacuten
Presentacioacuten
Gestioacuten de Datos
Gestioacuten de Datos
Aplicacioacuten
Aplicacioacuten
Presentacioacuten
Gestioacuten de Datos
Aplicacioacuten
Presentacioacuten
Gestioacuten de Datos
Cliente
Servidor
Presentacioacutendistribuida
Presentacioacutendistante
Gestioacuten dedatos distante
Tratamientosdistribuidos
Gestioacuten dedatos distribuida
Tratamientos ydatos distribuidos
Seguridad de las redes
Gestioacuten de Datos
Aplicacioacuten
Aplicacioacuten
Presentacioacuten
Tratamientosdistribuidos
Cliente
Servidor
Modelo de las aplicaciones con clientes ligeros
Los tratamientos son repartidos seguacuten el poder de los computadores
- Base de datos y tratamientos pesados sobre el servidor
- Tratamientos ligeros sobre el cliente (como la parte GUI por ejemplo)
Ejemplos- Tecnologiacuteas WEB- Aplicaciones
Clienteservidor de los antildeos 2000
Seguridad de las redes
Modelo claacutesico de las tecnologiacuteas WEB
Gestioacuten de Datos
Aplicacioacuten
Aplicacioacuten
Presentacioacuten
Tratamientosdistribuidos
Cliente
Servidor
Sistemas de Gestioacuten de Base de Datos SGBDR (Oracle Sql Server MySql DB2hellip)
Servidor HTTP (Microsoft IIS Lotus Domino Apache Webspherehellip)+ programas dedicados
Tecnologiacuteas dinaacutemicas en el navegador(VBScript Javascript ActiveX Javahellip)
Navegador Internet (browser)(Internet Explorer Firefoxhellip)
Seguridad de las redes
Diferencias entre las generaciones de modelos clienteservidor
bull Cliente pesado - Muchos tratamientos sobre el cliente- Necesita la instalacioacuten fiacutesica de programas sobre el cliente- Carga deacutebil para la red arquitectura adaptada a las comunicaciones internacionales
bull Cliente ligeroliviano - Muy poco tratamientos sobre el cliente- Posibilidad de descargar automaacuteticamente los programas por la red- Carga importante para viacutenculos de red deacutebiles
Seguridad de las redes
Arquitecturas fiacutesicas de los modelos clienteservidor
Gestioacuten de Datos
Aplicacioacuten
Aplicacioacuten
Presentacioacuten
Tratamientosdistribuidos
Cliente
Servidor
ArquitecturaEn 2 niveles
ArquitecturaEn 3 niveles
Seguridad de las redes
Gestioacuten de Datos
Aplicacioacuten
Aplicacioacuten
Presentacioacuten
Tratamientosdistribuidos
Cliente
Servidor
ArquitecturaEn 4 niveles
Sgbd
Programasdedicados
Servidor http
Seguridad de las redes
Ventajas de los modelos ClienteServidor con tecnologiacuteas WEB
bull Apoyo de los sistemas heterogeacuteneos- Cliente Windows MacOs Unix (BSD Linux etchellip) celulares PDA- Servidor Programas disponibles sobre Unix Windows AS400hellip
bull Utilizacioacuten ideacutentica al dentro de la empresa y a traveacutes Internet
bull Utilizacioacuten simple a aprender para una persona quien tiene un acceso Internet
bull Posibilidad de crear un punto de acceso uacutenico para todas las aplicaciones de la empresa (poacutertico)
Seguridad de las redes
Arquitectura WEB - ejemplo practicoEthernet
Microsoft SQL
SERVER
Microsoft IIS +Aplicacioacuten WEB
dedicada desarrollada en Microsoft NET
Usuarios con Internet Explorer
Base de Datos
MiddlewareMicrosoftMDAC
ORACLE sgbd
Oracle
IBM Websphere +Aplicacioacuten WEB
dedicada desarrollada en
SUN Java
MiddlewareSUNJDBC
Seguridad de las redes
CLIENTES LIGEROSLIVIANOS NAVEGADORES WEB
sgbd
Programasdedicados
Servidor http
A
A
A
1 ndash Construccioacuten de la pagina
El servidor HTTP crea en su memoria una pagina WEB con los elementos enviados por los otros servidores La pagina puede contener componentes activos (activex applet java javascript vbscripthellip) y inertes (imagenes textoshellip)
Seguridad de las redes
Srv http
AA
2 ndash Recepcioacuten de la pagina
El servidor HTTP enviacutea la pagina elemento por elemento en la red El navegador recibe los componentes en el disco duro del cliente En el mismo tiempo la pagina es reconstruida en la memoria del navegador
A
cliente
A
A
Seguridad de las redes
3 ndash Interpretacioacuten de la pagina
El navegador presenta sobre la pantalla la pagina WEB y los elementos inertes Los componentes activos son enviados a las aplicaciones dedicadas a cada uno seguacuten el tipo
Navegador
A
A
A
Funcioacuten de presentacioacuten
Aplicaciones integradasA el navegador
Aplicacioacuten dedicadaa el navegador
descargada en opcioacuten
Funciones deejecucioacuten
Plug-in
Otras aplicaciones del computador cliente
Seguridad de las redes
bull Las informaciones son pegadas sobre el computador cliente- Mas raacutepido para recargar una pagina ya consultada- Falla de seguridad Una persona extranjera a la empresa puede consultar las informaciones Nunca olvidar vaciar la memoria permanente del navegador al fin del trabajo cuando se utiliza un computador publico
bull Todas las aplicaciones del cliente pueden ser utilizadas a traveacutes el navegador (Word Excel Adobe Acrobat Readerhellip)Por razoacuten de seguridad el navegador pregunta antes de ejecutar una aplicacioacuten no integrada cuando existe un riesgo (la totalidad de las funcionalidades siempre autorizadas es llamado ldquosandboxrdquo por analogia con el espacio protectado donde pueden jugar los nintildeos con arena)
bull Muchas aplicaciones ldquoPlug-Inrdquo disponiblesLas mas conocidas y utilizadas son FLASH PLAYER y JAVA Pero existen muchas otras (DIVX Player Google Tools Quicktime playerhellip)
Seguridad de las redes
Taller
Internet Explorer historia de un eacutexito
Firefox una alternativa
Seguridad de las redes
NAVEGADORES WEB Buenas practicasbull Respetar la configuracioacuten de seguridad- Nivel de seguridad por zona- Nivel de confidencialidad- Configuracioacuten de base de las opciones
bull Responder ldquoNordquo cada vez que el navigador pregunta una autorizacioacuten de ejecucioacuten de componentes activos no necesarios
bull Cerrar las ventanas de tipo ldquoPopuprdquo con la cruz Windows (o con ALT-F4) y no los botones propuestos cada vez que posible
bull No utilizar la gestioacuten automaacutetica de los formularios
bull Limpiar la memoria sobre el disco duro despueacutes utilizacioacuten sobre un computador publico
Seguridad de las redes
bull No descargar moacutedulos de aplicaciones no firmados por editores prestigiosos
bull Proteger el computador con un anti-virus- Programar un anaacutelisis perioacutedico (1 vez por semana)- Descargar las ultimas versiones (funcioacuten ldquoUpdaterdquo)- Activar la proteccioacuten ldquotiempo realrdquo
bull Proteger el computador con un anti-spyware- Programar un anaacutelisis perioacutedico (1 vez por semana)- Descargar las ultimas versiones (funcioacuten ldquoUpdaterdquo)- Activar la proteccioacuten ldquotiempo realrdquo de la base de ldquoregistryrdquo de Windows
bull No desactivar la funcionalidad ldquoanti-popuprdquo
bull No desactivar la funcionalidad ldquoanti-phishingrdquo (IE 7)
Seguridad de las redes
bull Actualizar perioacutedicamente Windows viacutea la funcionalidad ldquoWindows Updaterdquo
bull Limpiar perioacutedicamente los histoacutericos y la memoria sobre el disco duro (para la velocidad) Los cookies pueden permanecer activados (riesgo miacutenimo)
bull Por supuesto no consultar sitios conocidos para ser peligrosos (sitios de juegos ilegales de muacutesicas mp3 non autorizadas de venta de productos prohibidos)
bull En principio el navegador libro FIREFOX es conocido para ser menos sensible a los riesgos claacutesicos que Internet Explorer Pero en empresa y sobre Internet todas la aplicaciones WEB no son compatibles con FIREFOX
Seguridad de las redes
Taller
Consejos de configuracioacuten de Internet Explorer y Firefox
Utilizacioacuten de NetPrivacy
Anaacutelisis de comunicaciones non protegidas con Packetyser
(Busca Google)
Ficheros temporarios y histoacuterico (cdocuments and settingltusersgtlocal settings)
Seguridad de las redes
bullLa historia
- Creacioacuten de la nocioacuten de pagina Web en los antildeos 90 por Tim Berners Lee (responsable de la gestioacuten de las documentaciones del CERN en Ginebra)
- La idea ser capaz de integrar en una pagina de texto electroacutenico viacutenculos con otras paginas (importante para los artiacuteculos cientiacuteficos)
- La realizacioacuten creacioacuten del protocolo Hypertext y de la nocioacuten de URL (Uniform Ressource Locator)
- Marc Andreesseen (Universidad del Illinois) a evolucionado el protocolo insertando el grafico (MOSAIC)
SERVICIOS WEB - TECNOLOGIacuteAS DE BASE
Seguridad de las redes
bullLos principios HTTP
- Protocolo de intercambio entre el servidor y el navegador (HyperTextTransfert Protocol)
- Basado sobre los URL (httpIdPwdserverportpathpathfileparameters) utilizando uacutenicamente los 128 primeros coacutedigos US ascii
- ldquoStatelessrdquo El protocolo olvida todas las configuraciones del usuario cada vez que el navegador es cerrado =gt necesitad de otras tecnicas para guardar el contexto Re-escritura de los URL (ajuntando paraacutemetros id=xxxxxx) Paraacutemetros escondidos en la pagina Web (con el orden HTTP ldquopostrdquo) Cookies (un fichero de texto escrito sobre el computador cliente con
las informaciones de contexto)
Seguridad de las redes
bull Los principios contenido de un COOKIE
Nombre Nombre del cookie sobre el disco duro
Valor El valor de contexto necesario para el sitio Web consultado (uno por cookie)
Valididad Fecha de fin de vida Despueacutes esta fecha el navegador rechaza el acceso al cookie
Servidor(es) Lista de servidores autorizados a consultar el cookie
Pagina(s) Lista de paginas autorizadas a consultar el cookie
Asegurado True o False si True el cookie se puede consultar uacutenicamente con un acceso asegurado
Seguridad de las redes
bull Los principios HTML
- Lenguaje informaacutetico para escribir paginas Web (HyperTextMarkup Language)- El navegador es un interpretador de HTML- Siempre en evolucioacuten (norma actual = 40) publico
lthtmlgtltheadgtltTITLEgtUNEltTITLEgtltheadgtltFRAMESET COLS=0 FRAMEBORDER=NO
BORDER=0 FRAMESPACING=0gtltFRAME
SRC=seccionesUNEHOMEseccion_HTMLhtml NAME=menu FRAMEBORDER=NO MARGINWIDTH=0 MARGINHEIGHT=0 noresizeSCROLLING=AUTOgt
ltFRAME SRC=blankhtml NAME=____contenido FRAMEBORDER=NO noresize SCROLLING=AUTO MARGINWIDTH=0 MARGINHEIGHT=0gtltFRAMESETgtltNOFRAMESgt DescripcionltNOFRAMESgt
ltHTMLgt
Seguridad de las redes
bull Los principios limitaciones de HTML
- No interaccioacuten con el equipo cliente (histoacutericamente un lenguaje de presentacioacuten)pobre en funciones graficasPor eso creacioacuten de evoluciones a lado del lenguaje principal (para asegurar la compatibilidad) CSS XMLXSL DHTML
- Muy pobre en funcionalidades interactivas con el usuario (cliente inteligente) Utilizacioacuten de tecnologiacuteas complementarias Plug-In ActiveX JAVA Scripts y modelos de documentos
Seguridad de las redes
bull Los principios cliente inteligente
- 2 tecnologiacuteas compiladas Plug-ins ActiveX
- 2 tecnologiacuteas interpretadas Scripts Java
- La tecnologiacuteas compiladas son mas raacutepidas pero el programa descargado es especificado a el equipo
- Los plug-in y los componentes ActiveX son descargados y instalados una vez definitivamente con una programa de verificacioacuten automaacutetica de versioacuten
- Scripts y aplicaciones Java (applet) son descargadas cada vez que la memoria permanente del navegador es vaciada
Seguridad de las redes
bullLos principios PLUG-IN
- Especificaciones abiertas al puacuteblico- Desarrollado en C o C++- Un Plug-in para IE sobre Windows no puede funcionar en IE sobre
MacOS (compilado)- Los mas conocidos son los Plug-In multimedia
bullLos principios ActiveX
- Componentes Objetos (C++) proponiendo por Microsoft en su arquitectura COMDCOM
- Dedicados a Internet Explorer y Windows (existe una oferta para Unix Mac y sistemas IBM muy poco utilizada)
- Posibilidad de reutilizar los ActiveX integrados en programas Microsoft (MsOffice MsProjecthellip) y otros sobre el computador cliente
- Utilizados por numerosos proveedores de soluciones WEB
Seguridad de las redes
bullLos principios JAVA
- Especificaciones abiertas al puacuteblico una oferta de SUN- Interpretado (maquina virtual JAVA) por eso independiente de la
plataforma- Muy pesado en Kbits a descargar puede ser lento a la ejecucioacuten- Gestioacuten automaacutetica de versioacuten para las maquina virtual JAVA- Numerosos problemas de compatibilidad encontrados entre las
versiones- Posibilidad de crear componentes JAVA reutilizables (JAVA es un
lenguaje objeto) llamados JAVABEANS- Un lenguaje complejo a dominar para crear ldquoAppletsrdquo
httpjavasuncomdocsbookstutorial
Seguridad de las redes
bullLos principios servidor dinaacutemico
- Paginas estaacuteticas (guardadas sobre el disco duro del servidor) no pueden servir de apoyo para informaciones en tiempo real (horarios sitios de ventahellip)
- Necesitad de crear dinaacutemicamente paginas en la memoria del servidor
- 3 tecnologiacuteas estandartes script CGI propietarias de bajo nivel NSAPI ISAPI APACHE APIhellip propietarias de alto nivel ASP JAVA NET Coldfusion PHP JSPhellip
Seguridad de las redes
Taller
Demostraciones de Plug-In
Anaacutelisis de Cookies(cdocuments and settingltusersgtcookies)
Utilizacioacuten de un ldquoCookie Viewerrdquo
Seguridad de las redes
SERVICIOS WEB SEGURIDADbullLas necesidades- Identificar el usuario y sus autorizaciones- Asegurar los intercambios de informaciones- Prohibir la posibilidad de negar una transaccioacuten
bullLas soluciones- Utilizar un algoritmo de cifrado (PGP RSA DES TripleDES)- Integrar el cifrado en el protocolo HTTP (hecho por Netscape con su
oferta llamada Secure Socket Layer y integrada en la norma HTTPS)- Trabajar con claves de cifrado (certificado electroacutenico ndash norma X509) La
gestioacuten de las claves necesita la definicioacuten en la empresa de un PKI (Public Key Infrastructure)
- Utilizar sistemas transaccionales- Indicado al usuario en el navegador por siacutembolos
Seguridad de las redes
Cifrado y HTTPS
bullLos principios de los meacutetodos de cifrado
Clave simeacutetrica los paquetes son cifrados y descifrados con el mismo algoritmo y la misma clave numeacuterica (DES TripleDES)
- Clave asimeacutetrica los paquetes son cifrados con el mismo algoritmo pero la clave inicial no puede ser utilizada para invertir el proceso El descifrado necesita una clave uacutenica vinculada a la primera por relaciones matemaacuteticas (RSA PGP)
- La fuerza del coacutedigo depende de la complexidad de la(s) clave(s) (en numero de cifras)
Seguridad de las redes
bull Principio de intercambio de claves de cifrado para establecer una comunicacioacuten SSL
Generacioacuten de un juego de claves (1C1D)
Envioacute de la clave 1C (clave publica) sin cifrado
Generacioacuten de un juego de claves (2C2D)
1C
Cifrado de la clave 2C con 1C
Envioacute de la clave 2C cifrada (seguridad alta)2C (certificado electroacutenico)
Generacioacuten de una clave de cifrado para el Tuacutenel (CT)
Cifrado de la clave CT con 2C
Descifrado de la clave 2C con 1D (completamente secreta)
Envioacute de la clave CT (clave simeacutetrica) cifrada (seguridad alta) CT
Intercambio cifrado con CT Intercambio cifrado con CT
Descifrado de la clave CT con 2D (completamente secreta)
Seguridad de las redes
Taller
Historia de RSA firma digital y certificados X509
Anaacutelisis de comunicaciones cifradas en HTTPS con un banco
Anaacutelisis de certificados de seguridad
Seguridad de las redes
Seguridad y WEB 2
bullPropuesto en 2004 por OrsquoReilly Media (WEB 20)
bullUn nombre geneacuterico para los servicios nuevos de Internet de estos uacuteltimos antildeos
- Social Networking Sites- Folksonomy (como Wikipedia wikis blogs Youtubehellip)- Y otros sitios orientados relaciones humanas
bullEn general sitios con nivel de seguridad muy pobre sin control Riesgo de divulgacioacuten de datos confidenciales
Seguridad de las redes
Taller
Historia del concepto WEB2
Concepto y lista de ldquoRed Socialrdquo(Social Networking Sites)
Exploracioacuten de sitios WEB2wwwfinclucom delicious
wwwflickrcom wwwzooomrcomflofcomar
www43thingscom
Seguridad de las redes
Las bases teacutecnicas de las redes
Herramientas baacutesicas de la seguridad de las redes
Gestioacuten de la seguridad de lasredes en empresa
M1
M2
M3
Seguridad de las redes
M1
M2
M3Gestioacuten de la seguridad de las redes en empresa - 1
Las bases teacutecnicas de las redes
Impactos de la seguridad de las redes en empresabull Requisitos para acreditacionesbull Responsabilidades legales obligaciones juriacutedicasbull El impacto de la seguridad de las redes en el Plan de
Continuidad del Negocio de la empresa
Herramientas baacutesicas de la seguridad de las redes
Utilizacioacuten eficaz y sin riesgo de las tecnologiacuteas WEBbull Los modelos de arquitecturas clienteservidorbull Cliente pesado cliente ligerobull Las arquitecturas fiacutesicas de servidoresbull Ventajas de las arquitecturas en tecnologiacutea WEBbull Funcionamiento y configuracioacuten de los navegadoresbull Riesgos y buenas praacutecticas con los navegadores WEBbull Arquitectura baacutesica de los sitios WEBbull Principios de la seguridad WEB
Seguridad de las redes
IMPACTOS DE LA SEGURIDAD DE LAS REDES EN EMPRESA
Seguridad de las redes
Normas y metodologiacuteas con requisitos de seguridad sobrelas redesbullUna poliacutetica de seguridad controlada puede ser obligatoria por la ley seguacuten
el paiacutes y la actividad de la empresabullPuede ser exigida tambieacuten por organismos de seguros
bullCertificacioacuten - normas mundiales y generales- ISO 27000 27001 ndash Requisitos (incluye ISO 17799) 27002 ndash Guia de buenas practicas 27003 ndash Despliegue 27004 ndash Medida de la eficacia
- ITIL (Information technology Infrastructure Library)
bullCertificacioacuten - normas locales y especificas- Sarbanes Oxley (SOX ndash certificacioacuten para trabajar con los EEUU)- Bale II (Bancos Europeos)- JSOX (Japon SOX ndash certificacioacuten para trabajar con el Japoacuten)- Solvency II (Seguros Europeos) HIPAA (Seguros EEUU)- Cobit (Control Objectives for Information and related Technology ndash propuesta por ISACA)- CMMI (Capability Maturity Model Integration ndash EEUU) etc hellip
Seguridad de las redes
Taller
Norma ISO
Norma ITIL
Certificacioacuten CMMI
Certificacioacuten SOX
Seguridad de las redes
Responsabilidades y requisitos juriacutedicos
La responsabilidad de la empresa puede ser implicada en caso
bullDe destruccioacuten de datos con plazos de conservacioacuten legales (facturas justificativos de gastos contratos juriacutedicoshellip)
bullDe infeccioacuten de los sistemas de las empresas vinculadas (clientes o proveedores)
bullDe divulgacioacuten de informaciones confidenciales voluntarias o nobullDe no respecto de las leyes de la propiedad intelectual o vida privada
voluntario o nobullDe contratos clientes con claacuteusulas de plazos de respuesta miacutenimos
imposible a respectar por razoacuten de problemas internos (diferentes de casos de fuerza mayor)
De manera general probar que todos los recursos de seguridad posibles son aplicados en la empresa puede atenuar la responsabilidad juriacutedica
pero no eliminarla completamente
Seguridad de las redes
El trabajo juriacutedico para el caso particular del comercio enliacutenea
- Contrato en liacutenea para los visitantes- Contrato con el banco pago asegurado- Derechos vinculados a la publicidad en liacutenea- Derechos de los servicios especiacuteficos en liacutenea (avocado
periodista medicohellip)- Fiscalidad del comercio electroacutenico- Derecho Internacional- Derecho de la propiedad intelectual proteccioacuten de las
paginas (sistema IDDN httpwwwiddnorg)- Respeto de la vida privada- Derecho de los viacutenculos Hipertextos (frame)
Seguridad de las redes
Taller
Anaacutelisis de las menciones legales de sitios puacuteblicos
wwwbancafecomwwwmercadolibrecomcowwwelcolombianocom
wwweltiempocomwwwgibaudcomesportadahtml
wwwportaleycomwwwunenetco
Seguridad de las redes
PCN (Plan de Continuidad del Negocio) y redes
Un sinistro mayor o un periodo de indisponibilidad puede siempre ocurrir en caso
bull De fallo de los sistemas y procesos de seguridadbull De cataacutestrofe naturalbull De negligencia de un vecino o de accidente mayor a proximidadbull De fallo de la alimentacioacuten eleacutectrica general muchos diacuteasbull De fallo de alimentacioacuten en agua muchos diacuteasbull De fallo del aire condicionado muchos diacuteasbull De evacuacioacuten obligatoria del edificiobull De actos voluntarios de destruccioacutenbull De obras mayores en el lugar de la empresa
El objetivo del PCN es de asegurar las actividades vitales de la empresa el tiempo necesario para re establecer el servicio normal
Seguridad de las redes
bull PCN aplicado a las comunicaciones y las redes- Disponibilidad de las liacuteneas permanentes de datos y voz- Disponibilidad del acceso Internet- Disponibilidad de los equipos de comunicaciones puntuales (tel fax)- Disponibilidad de los sistemas de correos electroacutenicos- Disponibilidad de los sistemas de video conferencia- Disponibilidad de las comunicaciones non electroacutenicas (correo papel
transportes de colaboradores y paquetes entre sitios de la empresa)
- Soluciones Sistemas de socorro de backup (a precios y capacidades degradados) Garantiacuteas de plazo de restablecimiento por los proveedores Red de celulares de socorro Fax teleacutefono y accesos Internet publicos a proximidad (Wifi Wimax) Utilizacioacuten de los accesos Internet privados con VPN Buzones de correos electroacutenicos puacuteblicos (gmail yahoo hotmailhellip) Alianza con flotas de taxi y proveedores de servicios de mensajeros
Seguridad de las redes
Ejemplo de PCN en una empresa real
bull Presentacioacuten- 300 empleos en la casa matriz 200 en delegaciones en el mundo- 2 sitios de produccioacuten industrial 1 subcontratista para la logiacutestica- Desde 2004 cada fabrica es el sitio de backup de la otra- Objetivo 2006 PCN de la casa matriz- Objetivo 2007 PCN de las delegaciones- Un logo
Casa MatrizDelegaciones
Fabrica 1 Fabrica 2
VPN
2 Mbitss
2 Mbitss2 Mbitss
Logiacutestica (depoacutesitos)
Seguridad de las redes
bull PCN aplicado a las redes- Instalacioacuten de una sala informaacutetica de backup en la fabrica 1- Instalacioacuten de una liacutenea Internet en la fabrica 1 dedicada al VPN- Instalacioacuten de una sala de trabajo para 12 empleos en la fabrica 1
(con teleacutefonos fax impresora y computadores)- Inversiones totales 25 de los presupuestos informaacuteticos- Utilizacioacuten de un acceso VPN privado a la casa para los otros
empleados
Casa MatrizDelegaciones
Fabrica 1 Fabrica 2
VPN
2 Mbitss
2 Mbitss2 Mbitss
Logiacutestica (depoacutesitos)
5 servidores1 AS40012 portaacutetiles1 impresora1 switch de red1 firewall
Acesso Internet 1 Mbitss
Seguridad de las redes
Auditoria y indicadores de riesgos
bullMicrosoft Security Assessment ToolsbullIndicadores de Seguridad Excel
Seguridad de las redes
UTILIZACIOacuteN EFICAZ Y SIN RIESGO DE LAS TECNOLOGIacuteAS WEB
Seguridad de las redes
PRINCIPIOS DE LAS ARQUITECTURAS CLIENTESERVIDORModelos de tecnologiacuteas ClienteServidor (Gartner Group)
Presentacioacuten
Gestioacuten de Datos
Aplicacioacuten
Presentacioacuten
Gestioacuten de Datos
Aplicacioacuten
Presentacioacuten
Gestioacuten de Datos
Aplicacioacuten
Presentacioacuten
Gestioacuten de Datos
Aplicacioacuten
Aplicacioacuten
Presentacioacuten
Gestioacuten de Datos
Gestioacuten de Datos
Aplicacioacuten
Aplicacioacuten
Presentacioacuten
Gestioacuten de Datos
Aplicacioacuten
Presentacioacuten
Gestioacuten de Datos
Cliente
Servidor
Presentacioacutendistribuida
Presentacioacutendistante
Gestioacuten dedatos distante
Tratamientosdistribuidos
Gestioacuten dedatos distribuida
Tratamientos ydatos distribuidos
Seguridad de las redes
Gestioacuten de Datos
Aplicacioacuten
Aplicacioacuten
Presentacioacuten
Tratamientosdistribuidos
Cliente
Servidor
Modelo de las aplicaciones con clientes ligeros
Los tratamientos son repartidos seguacuten el poder de los computadores
- Base de datos y tratamientos pesados sobre el servidor
- Tratamientos ligeros sobre el cliente (como la parte GUI por ejemplo)
Ejemplos- Tecnologiacuteas WEB- Aplicaciones
Clienteservidor de los antildeos 2000
Seguridad de las redes
Modelo claacutesico de las tecnologiacuteas WEB
Gestioacuten de Datos
Aplicacioacuten
Aplicacioacuten
Presentacioacuten
Tratamientosdistribuidos
Cliente
Servidor
Sistemas de Gestioacuten de Base de Datos SGBDR (Oracle Sql Server MySql DB2hellip)
Servidor HTTP (Microsoft IIS Lotus Domino Apache Webspherehellip)+ programas dedicados
Tecnologiacuteas dinaacutemicas en el navegador(VBScript Javascript ActiveX Javahellip)
Navegador Internet (browser)(Internet Explorer Firefoxhellip)
Seguridad de las redes
Diferencias entre las generaciones de modelos clienteservidor
bull Cliente pesado - Muchos tratamientos sobre el cliente- Necesita la instalacioacuten fiacutesica de programas sobre el cliente- Carga deacutebil para la red arquitectura adaptada a las comunicaciones internacionales
bull Cliente ligeroliviano - Muy poco tratamientos sobre el cliente- Posibilidad de descargar automaacuteticamente los programas por la red- Carga importante para viacutenculos de red deacutebiles
Seguridad de las redes
Arquitecturas fiacutesicas de los modelos clienteservidor
Gestioacuten de Datos
Aplicacioacuten
Aplicacioacuten
Presentacioacuten
Tratamientosdistribuidos
Cliente
Servidor
ArquitecturaEn 2 niveles
ArquitecturaEn 3 niveles
Seguridad de las redes
Gestioacuten de Datos
Aplicacioacuten
Aplicacioacuten
Presentacioacuten
Tratamientosdistribuidos
Cliente
Servidor
ArquitecturaEn 4 niveles
Sgbd
Programasdedicados
Servidor http
Seguridad de las redes
Ventajas de los modelos ClienteServidor con tecnologiacuteas WEB
bull Apoyo de los sistemas heterogeacuteneos- Cliente Windows MacOs Unix (BSD Linux etchellip) celulares PDA- Servidor Programas disponibles sobre Unix Windows AS400hellip
bull Utilizacioacuten ideacutentica al dentro de la empresa y a traveacutes Internet
bull Utilizacioacuten simple a aprender para una persona quien tiene un acceso Internet
bull Posibilidad de crear un punto de acceso uacutenico para todas las aplicaciones de la empresa (poacutertico)
Seguridad de las redes
Arquitectura WEB - ejemplo practicoEthernet
Microsoft SQL
SERVER
Microsoft IIS +Aplicacioacuten WEB
dedicada desarrollada en Microsoft NET
Usuarios con Internet Explorer
Base de Datos
MiddlewareMicrosoftMDAC
ORACLE sgbd
Oracle
IBM Websphere +Aplicacioacuten WEB
dedicada desarrollada en
SUN Java
MiddlewareSUNJDBC
Seguridad de las redes
CLIENTES LIGEROSLIVIANOS NAVEGADORES WEB
sgbd
Programasdedicados
Servidor http
A
A
A
1 ndash Construccioacuten de la pagina
El servidor HTTP crea en su memoria una pagina WEB con los elementos enviados por los otros servidores La pagina puede contener componentes activos (activex applet java javascript vbscripthellip) y inertes (imagenes textoshellip)
Seguridad de las redes
Srv http
AA
2 ndash Recepcioacuten de la pagina
El servidor HTTP enviacutea la pagina elemento por elemento en la red El navegador recibe los componentes en el disco duro del cliente En el mismo tiempo la pagina es reconstruida en la memoria del navegador
A
cliente
A
A
Seguridad de las redes
3 ndash Interpretacioacuten de la pagina
El navegador presenta sobre la pantalla la pagina WEB y los elementos inertes Los componentes activos son enviados a las aplicaciones dedicadas a cada uno seguacuten el tipo
Navegador
A
A
A
Funcioacuten de presentacioacuten
Aplicaciones integradasA el navegador
Aplicacioacuten dedicadaa el navegador
descargada en opcioacuten
Funciones deejecucioacuten
Plug-in
Otras aplicaciones del computador cliente
Seguridad de las redes
bull Las informaciones son pegadas sobre el computador cliente- Mas raacutepido para recargar una pagina ya consultada- Falla de seguridad Una persona extranjera a la empresa puede consultar las informaciones Nunca olvidar vaciar la memoria permanente del navegador al fin del trabajo cuando se utiliza un computador publico
bull Todas las aplicaciones del cliente pueden ser utilizadas a traveacutes el navegador (Word Excel Adobe Acrobat Readerhellip)Por razoacuten de seguridad el navegador pregunta antes de ejecutar una aplicacioacuten no integrada cuando existe un riesgo (la totalidad de las funcionalidades siempre autorizadas es llamado ldquosandboxrdquo por analogia con el espacio protectado donde pueden jugar los nintildeos con arena)
bull Muchas aplicaciones ldquoPlug-Inrdquo disponiblesLas mas conocidas y utilizadas son FLASH PLAYER y JAVA Pero existen muchas otras (DIVX Player Google Tools Quicktime playerhellip)
Seguridad de las redes
Taller
Internet Explorer historia de un eacutexito
Firefox una alternativa
Seguridad de las redes
NAVEGADORES WEB Buenas practicasbull Respetar la configuracioacuten de seguridad- Nivel de seguridad por zona- Nivel de confidencialidad- Configuracioacuten de base de las opciones
bull Responder ldquoNordquo cada vez que el navigador pregunta una autorizacioacuten de ejecucioacuten de componentes activos no necesarios
bull Cerrar las ventanas de tipo ldquoPopuprdquo con la cruz Windows (o con ALT-F4) y no los botones propuestos cada vez que posible
bull No utilizar la gestioacuten automaacutetica de los formularios
bull Limpiar la memoria sobre el disco duro despueacutes utilizacioacuten sobre un computador publico
Seguridad de las redes
bull No descargar moacutedulos de aplicaciones no firmados por editores prestigiosos
bull Proteger el computador con un anti-virus- Programar un anaacutelisis perioacutedico (1 vez por semana)- Descargar las ultimas versiones (funcioacuten ldquoUpdaterdquo)- Activar la proteccioacuten ldquotiempo realrdquo
bull Proteger el computador con un anti-spyware- Programar un anaacutelisis perioacutedico (1 vez por semana)- Descargar las ultimas versiones (funcioacuten ldquoUpdaterdquo)- Activar la proteccioacuten ldquotiempo realrdquo de la base de ldquoregistryrdquo de Windows
bull No desactivar la funcionalidad ldquoanti-popuprdquo
bull No desactivar la funcionalidad ldquoanti-phishingrdquo (IE 7)
Seguridad de las redes
bull Actualizar perioacutedicamente Windows viacutea la funcionalidad ldquoWindows Updaterdquo
bull Limpiar perioacutedicamente los histoacutericos y la memoria sobre el disco duro (para la velocidad) Los cookies pueden permanecer activados (riesgo miacutenimo)
bull Por supuesto no consultar sitios conocidos para ser peligrosos (sitios de juegos ilegales de muacutesicas mp3 non autorizadas de venta de productos prohibidos)
bull En principio el navegador libro FIREFOX es conocido para ser menos sensible a los riesgos claacutesicos que Internet Explorer Pero en empresa y sobre Internet todas la aplicaciones WEB no son compatibles con FIREFOX
Seguridad de las redes
Taller
Consejos de configuracioacuten de Internet Explorer y Firefox
Utilizacioacuten de NetPrivacy
Anaacutelisis de comunicaciones non protegidas con Packetyser
(Busca Google)
Ficheros temporarios y histoacuterico (cdocuments and settingltusersgtlocal settings)
Seguridad de las redes
bullLa historia
- Creacioacuten de la nocioacuten de pagina Web en los antildeos 90 por Tim Berners Lee (responsable de la gestioacuten de las documentaciones del CERN en Ginebra)
- La idea ser capaz de integrar en una pagina de texto electroacutenico viacutenculos con otras paginas (importante para los artiacuteculos cientiacuteficos)
- La realizacioacuten creacioacuten del protocolo Hypertext y de la nocioacuten de URL (Uniform Ressource Locator)
- Marc Andreesseen (Universidad del Illinois) a evolucionado el protocolo insertando el grafico (MOSAIC)
SERVICIOS WEB - TECNOLOGIacuteAS DE BASE
Seguridad de las redes
bullLos principios HTTP
- Protocolo de intercambio entre el servidor y el navegador (HyperTextTransfert Protocol)
- Basado sobre los URL (httpIdPwdserverportpathpathfileparameters) utilizando uacutenicamente los 128 primeros coacutedigos US ascii
- ldquoStatelessrdquo El protocolo olvida todas las configuraciones del usuario cada vez que el navegador es cerrado =gt necesitad de otras tecnicas para guardar el contexto Re-escritura de los URL (ajuntando paraacutemetros id=xxxxxx) Paraacutemetros escondidos en la pagina Web (con el orden HTTP ldquopostrdquo) Cookies (un fichero de texto escrito sobre el computador cliente con
las informaciones de contexto)
Seguridad de las redes
bull Los principios contenido de un COOKIE
Nombre Nombre del cookie sobre el disco duro
Valor El valor de contexto necesario para el sitio Web consultado (uno por cookie)
Valididad Fecha de fin de vida Despueacutes esta fecha el navegador rechaza el acceso al cookie
Servidor(es) Lista de servidores autorizados a consultar el cookie
Pagina(s) Lista de paginas autorizadas a consultar el cookie
Asegurado True o False si True el cookie se puede consultar uacutenicamente con un acceso asegurado
Seguridad de las redes
bull Los principios HTML
- Lenguaje informaacutetico para escribir paginas Web (HyperTextMarkup Language)- El navegador es un interpretador de HTML- Siempre en evolucioacuten (norma actual = 40) publico
lthtmlgtltheadgtltTITLEgtUNEltTITLEgtltheadgtltFRAMESET COLS=0 FRAMEBORDER=NO
BORDER=0 FRAMESPACING=0gtltFRAME
SRC=seccionesUNEHOMEseccion_HTMLhtml NAME=menu FRAMEBORDER=NO MARGINWIDTH=0 MARGINHEIGHT=0 noresizeSCROLLING=AUTOgt
ltFRAME SRC=blankhtml NAME=____contenido FRAMEBORDER=NO noresize SCROLLING=AUTO MARGINWIDTH=0 MARGINHEIGHT=0gtltFRAMESETgtltNOFRAMESgt DescripcionltNOFRAMESgt
ltHTMLgt
Seguridad de las redes
bull Los principios limitaciones de HTML
- No interaccioacuten con el equipo cliente (histoacutericamente un lenguaje de presentacioacuten)pobre en funciones graficasPor eso creacioacuten de evoluciones a lado del lenguaje principal (para asegurar la compatibilidad) CSS XMLXSL DHTML
- Muy pobre en funcionalidades interactivas con el usuario (cliente inteligente) Utilizacioacuten de tecnologiacuteas complementarias Plug-In ActiveX JAVA Scripts y modelos de documentos
Seguridad de las redes
bull Los principios cliente inteligente
- 2 tecnologiacuteas compiladas Plug-ins ActiveX
- 2 tecnologiacuteas interpretadas Scripts Java
- La tecnologiacuteas compiladas son mas raacutepidas pero el programa descargado es especificado a el equipo
- Los plug-in y los componentes ActiveX son descargados y instalados una vez definitivamente con una programa de verificacioacuten automaacutetica de versioacuten
- Scripts y aplicaciones Java (applet) son descargadas cada vez que la memoria permanente del navegador es vaciada
Seguridad de las redes
bullLos principios PLUG-IN
- Especificaciones abiertas al puacuteblico- Desarrollado en C o C++- Un Plug-in para IE sobre Windows no puede funcionar en IE sobre
MacOS (compilado)- Los mas conocidos son los Plug-In multimedia
bullLos principios ActiveX
- Componentes Objetos (C++) proponiendo por Microsoft en su arquitectura COMDCOM
- Dedicados a Internet Explorer y Windows (existe una oferta para Unix Mac y sistemas IBM muy poco utilizada)
- Posibilidad de reutilizar los ActiveX integrados en programas Microsoft (MsOffice MsProjecthellip) y otros sobre el computador cliente
- Utilizados por numerosos proveedores de soluciones WEB
Seguridad de las redes
bullLos principios JAVA
- Especificaciones abiertas al puacuteblico una oferta de SUN- Interpretado (maquina virtual JAVA) por eso independiente de la
plataforma- Muy pesado en Kbits a descargar puede ser lento a la ejecucioacuten- Gestioacuten automaacutetica de versioacuten para las maquina virtual JAVA- Numerosos problemas de compatibilidad encontrados entre las
versiones- Posibilidad de crear componentes JAVA reutilizables (JAVA es un
lenguaje objeto) llamados JAVABEANS- Un lenguaje complejo a dominar para crear ldquoAppletsrdquo
httpjavasuncomdocsbookstutorial
Seguridad de las redes
bullLos principios servidor dinaacutemico
- Paginas estaacuteticas (guardadas sobre el disco duro del servidor) no pueden servir de apoyo para informaciones en tiempo real (horarios sitios de ventahellip)
- Necesitad de crear dinaacutemicamente paginas en la memoria del servidor
- 3 tecnologiacuteas estandartes script CGI propietarias de bajo nivel NSAPI ISAPI APACHE APIhellip propietarias de alto nivel ASP JAVA NET Coldfusion PHP JSPhellip
Seguridad de las redes
Taller
Demostraciones de Plug-In
Anaacutelisis de Cookies(cdocuments and settingltusersgtcookies)
Utilizacioacuten de un ldquoCookie Viewerrdquo
Seguridad de las redes
SERVICIOS WEB SEGURIDADbullLas necesidades- Identificar el usuario y sus autorizaciones- Asegurar los intercambios de informaciones- Prohibir la posibilidad de negar una transaccioacuten
bullLas soluciones- Utilizar un algoritmo de cifrado (PGP RSA DES TripleDES)- Integrar el cifrado en el protocolo HTTP (hecho por Netscape con su
oferta llamada Secure Socket Layer y integrada en la norma HTTPS)- Trabajar con claves de cifrado (certificado electroacutenico ndash norma X509) La
gestioacuten de las claves necesita la definicioacuten en la empresa de un PKI (Public Key Infrastructure)
- Utilizar sistemas transaccionales- Indicado al usuario en el navegador por siacutembolos
Seguridad de las redes
Cifrado y HTTPS
bullLos principios de los meacutetodos de cifrado
Clave simeacutetrica los paquetes son cifrados y descifrados con el mismo algoritmo y la misma clave numeacuterica (DES TripleDES)
- Clave asimeacutetrica los paquetes son cifrados con el mismo algoritmo pero la clave inicial no puede ser utilizada para invertir el proceso El descifrado necesita una clave uacutenica vinculada a la primera por relaciones matemaacuteticas (RSA PGP)
- La fuerza del coacutedigo depende de la complexidad de la(s) clave(s) (en numero de cifras)
Seguridad de las redes
bull Principio de intercambio de claves de cifrado para establecer una comunicacioacuten SSL
Generacioacuten de un juego de claves (1C1D)
Envioacute de la clave 1C (clave publica) sin cifrado
Generacioacuten de un juego de claves (2C2D)
1C
Cifrado de la clave 2C con 1C
Envioacute de la clave 2C cifrada (seguridad alta)2C (certificado electroacutenico)
Generacioacuten de una clave de cifrado para el Tuacutenel (CT)
Cifrado de la clave CT con 2C
Descifrado de la clave 2C con 1D (completamente secreta)
Envioacute de la clave CT (clave simeacutetrica) cifrada (seguridad alta) CT
Intercambio cifrado con CT Intercambio cifrado con CT
Descifrado de la clave CT con 2D (completamente secreta)
Seguridad de las redes
Taller
Historia de RSA firma digital y certificados X509
Anaacutelisis de comunicaciones cifradas en HTTPS con un banco
Anaacutelisis de certificados de seguridad
Seguridad de las redes
Seguridad y WEB 2
bullPropuesto en 2004 por OrsquoReilly Media (WEB 20)
bullUn nombre geneacuterico para los servicios nuevos de Internet de estos uacuteltimos antildeos
- Social Networking Sites- Folksonomy (como Wikipedia wikis blogs Youtubehellip)- Y otros sitios orientados relaciones humanas
bullEn general sitios con nivel de seguridad muy pobre sin control Riesgo de divulgacioacuten de datos confidenciales
Seguridad de las redes
Taller
Historia del concepto WEB2
Concepto y lista de ldquoRed Socialrdquo(Social Networking Sites)
Exploracioacuten de sitios WEB2wwwfinclucom delicious
wwwflickrcom wwwzooomrcomflofcomar
www43thingscom
Seguridad de las redes
M1
M2
M3Gestioacuten de la seguridad de las redes en empresa - 1
Las bases teacutecnicas de las redes
Impactos de la seguridad de las redes en empresabull Requisitos para acreditacionesbull Responsabilidades legales obligaciones juriacutedicasbull El impacto de la seguridad de las redes en el Plan de
Continuidad del Negocio de la empresa
Herramientas baacutesicas de la seguridad de las redes
Utilizacioacuten eficaz y sin riesgo de las tecnologiacuteas WEBbull Los modelos de arquitecturas clienteservidorbull Cliente pesado cliente ligerobull Las arquitecturas fiacutesicas de servidoresbull Ventajas de las arquitecturas en tecnologiacutea WEBbull Funcionamiento y configuracioacuten de los navegadoresbull Riesgos y buenas praacutecticas con los navegadores WEBbull Arquitectura baacutesica de los sitios WEBbull Principios de la seguridad WEB
Seguridad de las redes
IMPACTOS DE LA SEGURIDAD DE LAS REDES EN EMPRESA
Seguridad de las redes
Normas y metodologiacuteas con requisitos de seguridad sobrelas redesbullUna poliacutetica de seguridad controlada puede ser obligatoria por la ley seguacuten
el paiacutes y la actividad de la empresabullPuede ser exigida tambieacuten por organismos de seguros
bullCertificacioacuten - normas mundiales y generales- ISO 27000 27001 ndash Requisitos (incluye ISO 17799) 27002 ndash Guia de buenas practicas 27003 ndash Despliegue 27004 ndash Medida de la eficacia
- ITIL (Information technology Infrastructure Library)
bullCertificacioacuten - normas locales y especificas- Sarbanes Oxley (SOX ndash certificacioacuten para trabajar con los EEUU)- Bale II (Bancos Europeos)- JSOX (Japon SOX ndash certificacioacuten para trabajar con el Japoacuten)- Solvency II (Seguros Europeos) HIPAA (Seguros EEUU)- Cobit (Control Objectives for Information and related Technology ndash propuesta por ISACA)- CMMI (Capability Maturity Model Integration ndash EEUU) etc hellip
Seguridad de las redes
Taller
Norma ISO
Norma ITIL
Certificacioacuten CMMI
Certificacioacuten SOX
Seguridad de las redes
Responsabilidades y requisitos juriacutedicos
La responsabilidad de la empresa puede ser implicada en caso
bullDe destruccioacuten de datos con plazos de conservacioacuten legales (facturas justificativos de gastos contratos juriacutedicoshellip)
bullDe infeccioacuten de los sistemas de las empresas vinculadas (clientes o proveedores)
bullDe divulgacioacuten de informaciones confidenciales voluntarias o nobullDe no respecto de las leyes de la propiedad intelectual o vida privada
voluntario o nobullDe contratos clientes con claacuteusulas de plazos de respuesta miacutenimos
imposible a respectar por razoacuten de problemas internos (diferentes de casos de fuerza mayor)
De manera general probar que todos los recursos de seguridad posibles son aplicados en la empresa puede atenuar la responsabilidad juriacutedica
pero no eliminarla completamente
Seguridad de las redes
El trabajo juriacutedico para el caso particular del comercio enliacutenea
- Contrato en liacutenea para los visitantes- Contrato con el banco pago asegurado- Derechos vinculados a la publicidad en liacutenea- Derechos de los servicios especiacuteficos en liacutenea (avocado
periodista medicohellip)- Fiscalidad del comercio electroacutenico- Derecho Internacional- Derecho de la propiedad intelectual proteccioacuten de las
paginas (sistema IDDN httpwwwiddnorg)- Respeto de la vida privada- Derecho de los viacutenculos Hipertextos (frame)
Seguridad de las redes
Taller
Anaacutelisis de las menciones legales de sitios puacuteblicos
wwwbancafecomwwwmercadolibrecomcowwwelcolombianocom
wwweltiempocomwwwgibaudcomesportadahtml
wwwportaleycomwwwunenetco
Seguridad de las redes
PCN (Plan de Continuidad del Negocio) y redes
Un sinistro mayor o un periodo de indisponibilidad puede siempre ocurrir en caso
bull De fallo de los sistemas y procesos de seguridadbull De cataacutestrofe naturalbull De negligencia de un vecino o de accidente mayor a proximidadbull De fallo de la alimentacioacuten eleacutectrica general muchos diacuteasbull De fallo de alimentacioacuten en agua muchos diacuteasbull De fallo del aire condicionado muchos diacuteasbull De evacuacioacuten obligatoria del edificiobull De actos voluntarios de destruccioacutenbull De obras mayores en el lugar de la empresa
El objetivo del PCN es de asegurar las actividades vitales de la empresa el tiempo necesario para re establecer el servicio normal
Seguridad de las redes
bull PCN aplicado a las comunicaciones y las redes- Disponibilidad de las liacuteneas permanentes de datos y voz- Disponibilidad del acceso Internet- Disponibilidad de los equipos de comunicaciones puntuales (tel fax)- Disponibilidad de los sistemas de correos electroacutenicos- Disponibilidad de los sistemas de video conferencia- Disponibilidad de las comunicaciones non electroacutenicas (correo papel
transportes de colaboradores y paquetes entre sitios de la empresa)
- Soluciones Sistemas de socorro de backup (a precios y capacidades degradados) Garantiacuteas de plazo de restablecimiento por los proveedores Red de celulares de socorro Fax teleacutefono y accesos Internet publicos a proximidad (Wifi Wimax) Utilizacioacuten de los accesos Internet privados con VPN Buzones de correos electroacutenicos puacuteblicos (gmail yahoo hotmailhellip) Alianza con flotas de taxi y proveedores de servicios de mensajeros
Seguridad de las redes
Ejemplo de PCN en una empresa real
bull Presentacioacuten- 300 empleos en la casa matriz 200 en delegaciones en el mundo- 2 sitios de produccioacuten industrial 1 subcontratista para la logiacutestica- Desde 2004 cada fabrica es el sitio de backup de la otra- Objetivo 2006 PCN de la casa matriz- Objetivo 2007 PCN de las delegaciones- Un logo
Casa MatrizDelegaciones
Fabrica 1 Fabrica 2
VPN
2 Mbitss
2 Mbitss2 Mbitss
Logiacutestica (depoacutesitos)
Seguridad de las redes
bull PCN aplicado a las redes- Instalacioacuten de una sala informaacutetica de backup en la fabrica 1- Instalacioacuten de una liacutenea Internet en la fabrica 1 dedicada al VPN- Instalacioacuten de una sala de trabajo para 12 empleos en la fabrica 1
(con teleacutefonos fax impresora y computadores)- Inversiones totales 25 de los presupuestos informaacuteticos- Utilizacioacuten de un acceso VPN privado a la casa para los otros
empleados
Casa MatrizDelegaciones
Fabrica 1 Fabrica 2
VPN
2 Mbitss
2 Mbitss2 Mbitss
Logiacutestica (depoacutesitos)
5 servidores1 AS40012 portaacutetiles1 impresora1 switch de red1 firewall
Acesso Internet 1 Mbitss
Seguridad de las redes
Auditoria y indicadores de riesgos
bullMicrosoft Security Assessment ToolsbullIndicadores de Seguridad Excel
Seguridad de las redes
UTILIZACIOacuteN EFICAZ Y SIN RIESGO DE LAS TECNOLOGIacuteAS WEB
Seguridad de las redes
PRINCIPIOS DE LAS ARQUITECTURAS CLIENTESERVIDORModelos de tecnologiacuteas ClienteServidor (Gartner Group)
Presentacioacuten
Gestioacuten de Datos
Aplicacioacuten
Presentacioacuten
Gestioacuten de Datos
Aplicacioacuten
Presentacioacuten
Gestioacuten de Datos
Aplicacioacuten
Presentacioacuten
Gestioacuten de Datos
Aplicacioacuten
Aplicacioacuten
Presentacioacuten
Gestioacuten de Datos
Gestioacuten de Datos
Aplicacioacuten
Aplicacioacuten
Presentacioacuten
Gestioacuten de Datos
Aplicacioacuten
Presentacioacuten
Gestioacuten de Datos
Cliente
Servidor
Presentacioacutendistribuida
Presentacioacutendistante
Gestioacuten dedatos distante
Tratamientosdistribuidos
Gestioacuten dedatos distribuida
Tratamientos ydatos distribuidos
Seguridad de las redes
Gestioacuten de Datos
Aplicacioacuten
Aplicacioacuten
Presentacioacuten
Tratamientosdistribuidos
Cliente
Servidor
Modelo de las aplicaciones con clientes ligeros
Los tratamientos son repartidos seguacuten el poder de los computadores
- Base de datos y tratamientos pesados sobre el servidor
- Tratamientos ligeros sobre el cliente (como la parte GUI por ejemplo)
Ejemplos- Tecnologiacuteas WEB- Aplicaciones
Clienteservidor de los antildeos 2000
Seguridad de las redes
Modelo claacutesico de las tecnologiacuteas WEB
Gestioacuten de Datos
Aplicacioacuten
Aplicacioacuten
Presentacioacuten
Tratamientosdistribuidos
Cliente
Servidor
Sistemas de Gestioacuten de Base de Datos SGBDR (Oracle Sql Server MySql DB2hellip)
Servidor HTTP (Microsoft IIS Lotus Domino Apache Webspherehellip)+ programas dedicados
Tecnologiacuteas dinaacutemicas en el navegador(VBScript Javascript ActiveX Javahellip)
Navegador Internet (browser)(Internet Explorer Firefoxhellip)
Seguridad de las redes
Diferencias entre las generaciones de modelos clienteservidor
bull Cliente pesado - Muchos tratamientos sobre el cliente- Necesita la instalacioacuten fiacutesica de programas sobre el cliente- Carga deacutebil para la red arquitectura adaptada a las comunicaciones internacionales
bull Cliente ligeroliviano - Muy poco tratamientos sobre el cliente- Posibilidad de descargar automaacuteticamente los programas por la red- Carga importante para viacutenculos de red deacutebiles
Seguridad de las redes
Arquitecturas fiacutesicas de los modelos clienteservidor
Gestioacuten de Datos
Aplicacioacuten
Aplicacioacuten
Presentacioacuten
Tratamientosdistribuidos
Cliente
Servidor
ArquitecturaEn 2 niveles
ArquitecturaEn 3 niveles
Seguridad de las redes
Gestioacuten de Datos
Aplicacioacuten
Aplicacioacuten
Presentacioacuten
Tratamientosdistribuidos
Cliente
Servidor
ArquitecturaEn 4 niveles
Sgbd
Programasdedicados
Servidor http
Seguridad de las redes
Ventajas de los modelos ClienteServidor con tecnologiacuteas WEB
bull Apoyo de los sistemas heterogeacuteneos- Cliente Windows MacOs Unix (BSD Linux etchellip) celulares PDA- Servidor Programas disponibles sobre Unix Windows AS400hellip
bull Utilizacioacuten ideacutentica al dentro de la empresa y a traveacutes Internet
bull Utilizacioacuten simple a aprender para una persona quien tiene un acceso Internet
bull Posibilidad de crear un punto de acceso uacutenico para todas las aplicaciones de la empresa (poacutertico)
Seguridad de las redes
Arquitectura WEB - ejemplo practicoEthernet
Microsoft SQL
SERVER
Microsoft IIS +Aplicacioacuten WEB
dedicada desarrollada en Microsoft NET
Usuarios con Internet Explorer
Base de Datos
MiddlewareMicrosoftMDAC
ORACLE sgbd
Oracle
IBM Websphere +Aplicacioacuten WEB
dedicada desarrollada en
SUN Java
MiddlewareSUNJDBC
Seguridad de las redes
CLIENTES LIGEROSLIVIANOS NAVEGADORES WEB
sgbd
Programasdedicados
Servidor http
A
A
A
1 ndash Construccioacuten de la pagina
El servidor HTTP crea en su memoria una pagina WEB con los elementos enviados por los otros servidores La pagina puede contener componentes activos (activex applet java javascript vbscripthellip) y inertes (imagenes textoshellip)
Seguridad de las redes
Srv http
AA
2 ndash Recepcioacuten de la pagina
El servidor HTTP enviacutea la pagina elemento por elemento en la red El navegador recibe los componentes en el disco duro del cliente En el mismo tiempo la pagina es reconstruida en la memoria del navegador
A
cliente
A
A
Seguridad de las redes
3 ndash Interpretacioacuten de la pagina
El navegador presenta sobre la pantalla la pagina WEB y los elementos inertes Los componentes activos son enviados a las aplicaciones dedicadas a cada uno seguacuten el tipo
Navegador
A
A
A
Funcioacuten de presentacioacuten
Aplicaciones integradasA el navegador
Aplicacioacuten dedicadaa el navegador
descargada en opcioacuten
Funciones deejecucioacuten
Plug-in
Otras aplicaciones del computador cliente
Seguridad de las redes
bull Las informaciones son pegadas sobre el computador cliente- Mas raacutepido para recargar una pagina ya consultada- Falla de seguridad Una persona extranjera a la empresa puede consultar las informaciones Nunca olvidar vaciar la memoria permanente del navegador al fin del trabajo cuando se utiliza un computador publico
bull Todas las aplicaciones del cliente pueden ser utilizadas a traveacutes el navegador (Word Excel Adobe Acrobat Readerhellip)Por razoacuten de seguridad el navegador pregunta antes de ejecutar una aplicacioacuten no integrada cuando existe un riesgo (la totalidad de las funcionalidades siempre autorizadas es llamado ldquosandboxrdquo por analogia con el espacio protectado donde pueden jugar los nintildeos con arena)
bull Muchas aplicaciones ldquoPlug-Inrdquo disponiblesLas mas conocidas y utilizadas son FLASH PLAYER y JAVA Pero existen muchas otras (DIVX Player Google Tools Quicktime playerhellip)
Seguridad de las redes
Taller
Internet Explorer historia de un eacutexito
Firefox una alternativa
Seguridad de las redes
NAVEGADORES WEB Buenas practicasbull Respetar la configuracioacuten de seguridad- Nivel de seguridad por zona- Nivel de confidencialidad- Configuracioacuten de base de las opciones
bull Responder ldquoNordquo cada vez que el navigador pregunta una autorizacioacuten de ejecucioacuten de componentes activos no necesarios
bull Cerrar las ventanas de tipo ldquoPopuprdquo con la cruz Windows (o con ALT-F4) y no los botones propuestos cada vez que posible
bull No utilizar la gestioacuten automaacutetica de los formularios
bull Limpiar la memoria sobre el disco duro despueacutes utilizacioacuten sobre un computador publico
Seguridad de las redes
bull No descargar moacutedulos de aplicaciones no firmados por editores prestigiosos
bull Proteger el computador con un anti-virus- Programar un anaacutelisis perioacutedico (1 vez por semana)- Descargar las ultimas versiones (funcioacuten ldquoUpdaterdquo)- Activar la proteccioacuten ldquotiempo realrdquo
bull Proteger el computador con un anti-spyware- Programar un anaacutelisis perioacutedico (1 vez por semana)- Descargar las ultimas versiones (funcioacuten ldquoUpdaterdquo)- Activar la proteccioacuten ldquotiempo realrdquo de la base de ldquoregistryrdquo de Windows
bull No desactivar la funcionalidad ldquoanti-popuprdquo
bull No desactivar la funcionalidad ldquoanti-phishingrdquo (IE 7)
Seguridad de las redes
bull Actualizar perioacutedicamente Windows viacutea la funcionalidad ldquoWindows Updaterdquo
bull Limpiar perioacutedicamente los histoacutericos y la memoria sobre el disco duro (para la velocidad) Los cookies pueden permanecer activados (riesgo miacutenimo)
bull Por supuesto no consultar sitios conocidos para ser peligrosos (sitios de juegos ilegales de muacutesicas mp3 non autorizadas de venta de productos prohibidos)
bull En principio el navegador libro FIREFOX es conocido para ser menos sensible a los riesgos claacutesicos que Internet Explorer Pero en empresa y sobre Internet todas la aplicaciones WEB no son compatibles con FIREFOX
Seguridad de las redes
Taller
Consejos de configuracioacuten de Internet Explorer y Firefox
Utilizacioacuten de NetPrivacy
Anaacutelisis de comunicaciones non protegidas con Packetyser
(Busca Google)
Ficheros temporarios y histoacuterico (cdocuments and settingltusersgtlocal settings)
Seguridad de las redes
bullLa historia
- Creacioacuten de la nocioacuten de pagina Web en los antildeos 90 por Tim Berners Lee (responsable de la gestioacuten de las documentaciones del CERN en Ginebra)
- La idea ser capaz de integrar en una pagina de texto electroacutenico viacutenculos con otras paginas (importante para los artiacuteculos cientiacuteficos)
- La realizacioacuten creacioacuten del protocolo Hypertext y de la nocioacuten de URL (Uniform Ressource Locator)
- Marc Andreesseen (Universidad del Illinois) a evolucionado el protocolo insertando el grafico (MOSAIC)
SERVICIOS WEB - TECNOLOGIacuteAS DE BASE
Seguridad de las redes
bullLos principios HTTP
- Protocolo de intercambio entre el servidor y el navegador (HyperTextTransfert Protocol)
- Basado sobre los URL (httpIdPwdserverportpathpathfileparameters) utilizando uacutenicamente los 128 primeros coacutedigos US ascii
- ldquoStatelessrdquo El protocolo olvida todas las configuraciones del usuario cada vez que el navegador es cerrado =gt necesitad de otras tecnicas para guardar el contexto Re-escritura de los URL (ajuntando paraacutemetros id=xxxxxx) Paraacutemetros escondidos en la pagina Web (con el orden HTTP ldquopostrdquo) Cookies (un fichero de texto escrito sobre el computador cliente con
las informaciones de contexto)
Seguridad de las redes
bull Los principios contenido de un COOKIE
Nombre Nombre del cookie sobre el disco duro
Valor El valor de contexto necesario para el sitio Web consultado (uno por cookie)
Valididad Fecha de fin de vida Despueacutes esta fecha el navegador rechaza el acceso al cookie
Servidor(es) Lista de servidores autorizados a consultar el cookie
Pagina(s) Lista de paginas autorizadas a consultar el cookie
Asegurado True o False si True el cookie se puede consultar uacutenicamente con un acceso asegurado
Seguridad de las redes
bull Los principios HTML
- Lenguaje informaacutetico para escribir paginas Web (HyperTextMarkup Language)- El navegador es un interpretador de HTML- Siempre en evolucioacuten (norma actual = 40) publico
lthtmlgtltheadgtltTITLEgtUNEltTITLEgtltheadgtltFRAMESET COLS=0 FRAMEBORDER=NO
BORDER=0 FRAMESPACING=0gtltFRAME
SRC=seccionesUNEHOMEseccion_HTMLhtml NAME=menu FRAMEBORDER=NO MARGINWIDTH=0 MARGINHEIGHT=0 noresizeSCROLLING=AUTOgt
ltFRAME SRC=blankhtml NAME=____contenido FRAMEBORDER=NO noresize SCROLLING=AUTO MARGINWIDTH=0 MARGINHEIGHT=0gtltFRAMESETgtltNOFRAMESgt DescripcionltNOFRAMESgt
ltHTMLgt
Seguridad de las redes
bull Los principios limitaciones de HTML
- No interaccioacuten con el equipo cliente (histoacutericamente un lenguaje de presentacioacuten)pobre en funciones graficasPor eso creacioacuten de evoluciones a lado del lenguaje principal (para asegurar la compatibilidad) CSS XMLXSL DHTML
- Muy pobre en funcionalidades interactivas con el usuario (cliente inteligente) Utilizacioacuten de tecnologiacuteas complementarias Plug-In ActiveX JAVA Scripts y modelos de documentos
Seguridad de las redes
bull Los principios cliente inteligente
- 2 tecnologiacuteas compiladas Plug-ins ActiveX
- 2 tecnologiacuteas interpretadas Scripts Java
- La tecnologiacuteas compiladas son mas raacutepidas pero el programa descargado es especificado a el equipo
- Los plug-in y los componentes ActiveX son descargados y instalados una vez definitivamente con una programa de verificacioacuten automaacutetica de versioacuten
- Scripts y aplicaciones Java (applet) son descargadas cada vez que la memoria permanente del navegador es vaciada
Seguridad de las redes
bullLos principios PLUG-IN
- Especificaciones abiertas al puacuteblico- Desarrollado en C o C++- Un Plug-in para IE sobre Windows no puede funcionar en IE sobre
MacOS (compilado)- Los mas conocidos son los Plug-In multimedia
bullLos principios ActiveX
- Componentes Objetos (C++) proponiendo por Microsoft en su arquitectura COMDCOM
- Dedicados a Internet Explorer y Windows (existe una oferta para Unix Mac y sistemas IBM muy poco utilizada)
- Posibilidad de reutilizar los ActiveX integrados en programas Microsoft (MsOffice MsProjecthellip) y otros sobre el computador cliente
- Utilizados por numerosos proveedores de soluciones WEB
Seguridad de las redes
bullLos principios JAVA
- Especificaciones abiertas al puacuteblico una oferta de SUN- Interpretado (maquina virtual JAVA) por eso independiente de la
plataforma- Muy pesado en Kbits a descargar puede ser lento a la ejecucioacuten- Gestioacuten automaacutetica de versioacuten para las maquina virtual JAVA- Numerosos problemas de compatibilidad encontrados entre las
versiones- Posibilidad de crear componentes JAVA reutilizables (JAVA es un
lenguaje objeto) llamados JAVABEANS- Un lenguaje complejo a dominar para crear ldquoAppletsrdquo
httpjavasuncomdocsbookstutorial
Seguridad de las redes
bullLos principios servidor dinaacutemico
- Paginas estaacuteticas (guardadas sobre el disco duro del servidor) no pueden servir de apoyo para informaciones en tiempo real (horarios sitios de ventahellip)
- Necesitad de crear dinaacutemicamente paginas en la memoria del servidor
- 3 tecnologiacuteas estandartes script CGI propietarias de bajo nivel NSAPI ISAPI APACHE APIhellip propietarias de alto nivel ASP JAVA NET Coldfusion PHP JSPhellip
Seguridad de las redes
Taller
Demostraciones de Plug-In
Anaacutelisis de Cookies(cdocuments and settingltusersgtcookies)
Utilizacioacuten de un ldquoCookie Viewerrdquo
Seguridad de las redes
SERVICIOS WEB SEGURIDADbullLas necesidades- Identificar el usuario y sus autorizaciones- Asegurar los intercambios de informaciones- Prohibir la posibilidad de negar una transaccioacuten
bullLas soluciones- Utilizar un algoritmo de cifrado (PGP RSA DES TripleDES)- Integrar el cifrado en el protocolo HTTP (hecho por Netscape con su
oferta llamada Secure Socket Layer y integrada en la norma HTTPS)- Trabajar con claves de cifrado (certificado electroacutenico ndash norma X509) La
gestioacuten de las claves necesita la definicioacuten en la empresa de un PKI (Public Key Infrastructure)
- Utilizar sistemas transaccionales- Indicado al usuario en el navegador por siacutembolos
Seguridad de las redes
Cifrado y HTTPS
bullLos principios de los meacutetodos de cifrado
Clave simeacutetrica los paquetes son cifrados y descifrados con el mismo algoritmo y la misma clave numeacuterica (DES TripleDES)
- Clave asimeacutetrica los paquetes son cifrados con el mismo algoritmo pero la clave inicial no puede ser utilizada para invertir el proceso El descifrado necesita una clave uacutenica vinculada a la primera por relaciones matemaacuteticas (RSA PGP)
- La fuerza del coacutedigo depende de la complexidad de la(s) clave(s) (en numero de cifras)
Seguridad de las redes
bull Principio de intercambio de claves de cifrado para establecer una comunicacioacuten SSL
Generacioacuten de un juego de claves (1C1D)
Envioacute de la clave 1C (clave publica) sin cifrado
Generacioacuten de un juego de claves (2C2D)
1C
Cifrado de la clave 2C con 1C
Envioacute de la clave 2C cifrada (seguridad alta)2C (certificado electroacutenico)
Generacioacuten de una clave de cifrado para el Tuacutenel (CT)
Cifrado de la clave CT con 2C
Descifrado de la clave 2C con 1D (completamente secreta)
Envioacute de la clave CT (clave simeacutetrica) cifrada (seguridad alta) CT
Intercambio cifrado con CT Intercambio cifrado con CT
Descifrado de la clave CT con 2D (completamente secreta)
Seguridad de las redes
Taller
Historia de RSA firma digital y certificados X509
Anaacutelisis de comunicaciones cifradas en HTTPS con un banco
Anaacutelisis de certificados de seguridad
Seguridad de las redes
Seguridad y WEB 2
bullPropuesto en 2004 por OrsquoReilly Media (WEB 20)
bullUn nombre geneacuterico para los servicios nuevos de Internet de estos uacuteltimos antildeos
- Social Networking Sites- Folksonomy (como Wikipedia wikis blogs Youtubehellip)- Y otros sitios orientados relaciones humanas
bullEn general sitios con nivel de seguridad muy pobre sin control Riesgo de divulgacioacuten de datos confidenciales
Seguridad de las redes
Taller
Historia del concepto WEB2
Concepto y lista de ldquoRed Socialrdquo(Social Networking Sites)
Exploracioacuten de sitios WEB2wwwfinclucom delicious
wwwflickrcom wwwzooomrcomflofcomar
www43thingscom
Seguridad de las redes
IMPACTOS DE LA SEGURIDAD DE LAS REDES EN EMPRESA
Seguridad de las redes
Normas y metodologiacuteas con requisitos de seguridad sobrelas redesbullUna poliacutetica de seguridad controlada puede ser obligatoria por la ley seguacuten
el paiacutes y la actividad de la empresabullPuede ser exigida tambieacuten por organismos de seguros
bullCertificacioacuten - normas mundiales y generales- ISO 27000 27001 ndash Requisitos (incluye ISO 17799) 27002 ndash Guia de buenas practicas 27003 ndash Despliegue 27004 ndash Medida de la eficacia
- ITIL (Information technology Infrastructure Library)
bullCertificacioacuten - normas locales y especificas- Sarbanes Oxley (SOX ndash certificacioacuten para trabajar con los EEUU)- Bale II (Bancos Europeos)- JSOX (Japon SOX ndash certificacioacuten para trabajar con el Japoacuten)- Solvency II (Seguros Europeos) HIPAA (Seguros EEUU)- Cobit (Control Objectives for Information and related Technology ndash propuesta por ISACA)- CMMI (Capability Maturity Model Integration ndash EEUU) etc hellip
Seguridad de las redes
Taller
Norma ISO
Norma ITIL
Certificacioacuten CMMI
Certificacioacuten SOX
Seguridad de las redes
Responsabilidades y requisitos juriacutedicos
La responsabilidad de la empresa puede ser implicada en caso
bullDe destruccioacuten de datos con plazos de conservacioacuten legales (facturas justificativos de gastos contratos juriacutedicoshellip)
bullDe infeccioacuten de los sistemas de las empresas vinculadas (clientes o proveedores)
bullDe divulgacioacuten de informaciones confidenciales voluntarias o nobullDe no respecto de las leyes de la propiedad intelectual o vida privada
voluntario o nobullDe contratos clientes con claacuteusulas de plazos de respuesta miacutenimos
imposible a respectar por razoacuten de problemas internos (diferentes de casos de fuerza mayor)
De manera general probar que todos los recursos de seguridad posibles son aplicados en la empresa puede atenuar la responsabilidad juriacutedica
pero no eliminarla completamente
Seguridad de las redes
El trabajo juriacutedico para el caso particular del comercio enliacutenea
- Contrato en liacutenea para los visitantes- Contrato con el banco pago asegurado- Derechos vinculados a la publicidad en liacutenea- Derechos de los servicios especiacuteficos en liacutenea (avocado
periodista medicohellip)- Fiscalidad del comercio electroacutenico- Derecho Internacional- Derecho de la propiedad intelectual proteccioacuten de las
paginas (sistema IDDN httpwwwiddnorg)- Respeto de la vida privada- Derecho de los viacutenculos Hipertextos (frame)
Seguridad de las redes
Taller
Anaacutelisis de las menciones legales de sitios puacuteblicos
wwwbancafecomwwwmercadolibrecomcowwwelcolombianocom
wwweltiempocomwwwgibaudcomesportadahtml
wwwportaleycomwwwunenetco
Seguridad de las redes
PCN (Plan de Continuidad del Negocio) y redes
Un sinistro mayor o un periodo de indisponibilidad puede siempre ocurrir en caso
bull De fallo de los sistemas y procesos de seguridadbull De cataacutestrofe naturalbull De negligencia de un vecino o de accidente mayor a proximidadbull De fallo de la alimentacioacuten eleacutectrica general muchos diacuteasbull De fallo de alimentacioacuten en agua muchos diacuteasbull De fallo del aire condicionado muchos diacuteasbull De evacuacioacuten obligatoria del edificiobull De actos voluntarios de destruccioacutenbull De obras mayores en el lugar de la empresa
El objetivo del PCN es de asegurar las actividades vitales de la empresa el tiempo necesario para re establecer el servicio normal
Seguridad de las redes
bull PCN aplicado a las comunicaciones y las redes- Disponibilidad de las liacuteneas permanentes de datos y voz- Disponibilidad del acceso Internet- Disponibilidad de los equipos de comunicaciones puntuales (tel fax)- Disponibilidad de los sistemas de correos electroacutenicos- Disponibilidad de los sistemas de video conferencia- Disponibilidad de las comunicaciones non electroacutenicas (correo papel
transportes de colaboradores y paquetes entre sitios de la empresa)
- Soluciones Sistemas de socorro de backup (a precios y capacidades degradados) Garantiacuteas de plazo de restablecimiento por los proveedores Red de celulares de socorro Fax teleacutefono y accesos Internet publicos a proximidad (Wifi Wimax) Utilizacioacuten de los accesos Internet privados con VPN Buzones de correos electroacutenicos puacuteblicos (gmail yahoo hotmailhellip) Alianza con flotas de taxi y proveedores de servicios de mensajeros
Seguridad de las redes
Ejemplo de PCN en una empresa real
bull Presentacioacuten- 300 empleos en la casa matriz 200 en delegaciones en el mundo- 2 sitios de produccioacuten industrial 1 subcontratista para la logiacutestica- Desde 2004 cada fabrica es el sitio de backup de la otra- Objetivo 2006 PCN de la casa matriz- Objetivo 2007 PCN de las delegaciones- Un logo
Casa MatrizDelegaciones
Fabrica 1 Fabrica 2
VPN
2 Mbitss
2 Mbitss2 Mbitss
Logiacutestica (depoacutesitos)
Seguridad de las redes
bull PCN aplicado a las redes- Instalacioacuten de una sala informaacutetica de backup en la fabrica 1- Instalacioacuten de una liacutenea Internet en la fabrica 1 dedicada al VPN- Instalacioacuten de una sala de trabajo para 12 empleos en la fabrica 1
(con teleacutefonos fax impresora y computadores)- Inversiones totales 25 de los presupuestos informaacuteticos- Utilizacioacuten de un acceso VPN privado a la casa para los otros
empleados
Casa MatrizDelegaciones
Fabrica 1 Fabrica 2
VPN
2 Mbitss
2 Mbitss2 Mbitss
Logiacutestica (depoacutesitos)
5 servidores1 AS40012 portaacutetiles1 impresora1 switch de red1 firewall
Acesso Internet 1 Mbitss
Seguridad de las redes
Auditoria y indicadores de riesgos
bullMicrosoft Security Assessment ToolsbullIndicadores de Seguridad Excel
Seguridad de las redes
UTILIZACIOacuteN EFICAZ Y SIN RIESGO DE LAS TECNOLOGIacuteAS WEB
Seguridad de las redes
PRINCIPIOS DE LAS ARQUITECTURAS CLIENTESERVIDORModelos de tecnologiacuteas ClienteServidor (Gartner Group)
Presentacioacuten
Gestioacuten de Datos
Aplicacioacuten
Presentacioacuten
Gestioacuten de Datos
Aplicacioacuten
Presentacioacuten
Gestioacuten de Datos
Aplicacioacuten
Presentacioacuten
Gestioacuten de Datos
Aplicacioacuten
Aplicacioacuten
Presentacioacuten
Gestioacuten de Datos
Gestioacuten de Datos
Aplicacioacuten
Aplicacioacuten
Presentacioacuten
Gestioacuten de Datos
Aplicacioacuten
Presentacioacuten
Gestioacuten de Datos
Cliente
Servidor
Presentacioacutendistribuida
Presentacioacutendistante
Gestioacuten dedatos distante
Tratamientosdistribuidos
Gestioacuten dedatos distribuida
Tratamientos ydatos distribuidos
Seguridad de las redes
Gestioacuten de Datos
Aplicacioacuten
Aplicacioacuten
Presentacioacuten
Tratamientosdistribuidos
Cliente
Servidor
Modelo de las aplicaciones con clientes ligeros
Los tratamientos son repartidos seguacuten el poder de los computadores
- Base de datos y tratamientos pesados sobre el servidor
- Tratamientos ligeros sobre el cliente (como la parte GUI por ejemplo)
Ejemplos- Tecnologiacuteas WEB- Aplicaciones
Clienteservidor de los antildeos 2000
Seguridad de las redes
Modelo claacutesico de las tecnologiacuteas WEB
Gestioacuten de Datos
Aplicacioacuten
Aplicacioacuten
Presentacioacuten
Tratamientosdistribuidos
Cliente
Servidor
Sistemas de Gestioacuten de Base de Datos SGBDR (Oracle Sql Server MySql DB2hellip)
Servidor HTTP (Microsoft IIS Lotus Domino Apache Webspherehellip)+ programas dedicados
Tecnologiacuteas dinaacutemicas en el navegador(VBScript Javascript ActiveX Javahellip)
Navegador Internet (browser)(Internet Explorer Firefoxhellip)
Seguridad de las redes
Diferencias entre las generaciones de modelos clienteservidor
bull Cliente pesado - Muchos tratamientos sobre el cliente- Necesita la instalacioacuten fiacutesica de programas sobre el cliente- Carga deacutebil para la red arquitectura adaptada a las comunicaciones internacionales
bull Cliente ligeroliviano - Muy poco tratamientos sobre el cliente- Posibilidad de descargar automaacuteticamente los programas por la red- Carga importante para viacutenculos de red deacutebiles
Seguridad de las redes
Arquitecturas fiacutesicas de los modelos clienteservidor
Gestioacuten de Datos
Aplicacioacuten
Aplicacioacuten
Presentacioacuten
Tratamientosdistribuidos
Cliente
Servidor
ArquitecturaEn 2 niveles
ArquitecturaEn 3 niveles
Seguridad de las redes
Gestioacuten de Datos
Aplicacioacuten
Aplicacioacuten
Presentacioacuten
Tratamientosdistribuidos
Cliente
Servidor
ArquitecturaEn 4 niveles
Sgbd
Programasdedicados
Servidor http
Seguridad de las redes
Ventajas de los modelos ClienteServidor con tecnologiacuteas WEB
bull Apoyo de los sistemas heterogeacuteneos- Cliente Windows MacOs Unix (BSD Linux etchellip) celulares PDA- Servidor Programas disponibles sobre Unix Windows AS400hellip
bull Utilizacioacuten ideacutentica al dentro de la empresa y a traveacutes Internet
bull Utilizacioacuten simple a aprender para una persona quien tiene un acceso Internet
bull Posibilidad de crear un punto de acceso uacutenico para todas las aplicaciones de la empresa (poacutertico)
Seguridad de las redes
Arquitectura WEB - ejemplo practicoEthernet
Microsoft SQL
SERVER
Microsoft IIS +Aplicacioacuten WEB
dedicada desarrollada en Microsoft NET
Usuarios con Internet Explorer
Base de Datos
MiddlewareMicrosoftMDAC
ORACLE sgbd
Oracle
IBM Websphere +Aplicacioacuten WEB
dedicada desarrollada en
SUN Java
MiddlewareSUNJDBC
Seguridad de las redes
CLIENTES LIGEROSLIVIANOS NAVEGADORES WEB
sgbd
Programasdedicados
Servidor http
A
A
A
1 ndash Construccioacuten de la pagina
El servidor HTTP crea en su memoria una pagina WEB con los elementos enviados por los otros servidores La pagina puede contener componentes activos (activex applet java javascript vbscripthellip) y inertes (imagenes textoshellip)
Seguridad de las redes
Srv http
AA
2 ndash Recepcioacuten de la pagina
El servidor HTTP enviacutea la pagina elemento por elemento en la red El navegador recibe los componentes en el disco duro del cliente En el mismo tiempo la pagina es reconstruida en la memoria del navegador
A
cliente
A
A
Seguridad de las redes
3 ndash Interpretacioacuten de la pagina
El navegador presenta sobre la pantalla la pagina WEB y los elementos inertes Los componentes activos son enviados a las aplicaciones dedicadas a cada uno seguacuten el tipo
Navegador
A
A
A
Funcioacuten de presentacioacuten
Aplicaciones integradasA el navegador
Aplicacioacuten dedicadaa el navegador
descargada en opcioacuten
Funciones deejecucioacuten
Plug-in
Otras aplicaciones del computador cliente
Seguridad de las redes
bull Las informaciones son pegadas sobre el computador cliente- Mas raacutepido para recargar una pagina ya consultada- Falla de seguridad Una persona extranjera a la empresa puede consultar las informaciones Nunca olvidar vaciar la memoria permanente del navegador al fin del trabajo cuando se utiliza un computador publico
bull Todas las aplicaciones del cliente pueden ser utilizadas a traveacutes el navegador (Word Excel Adobe Acrobat Readerhellip)Por razoacuten de seguridad el navegador pregunta antes de ejecutar una aplicacioacuten no integrada cuando existe un riesgo (la totalidad de las funcionalidades siempre autorizadas es llamado ldquosandboxrdquo por analogia con el espacio protectado donde pueden jugar los nintildeos con arena)
bull Muchas aplicaciones ldquoPlug-Inrdquo disponiblesLas mas conocidas y utilizadas son FLASH PLAYER y JAVA Pero existen muchas otras (DIVX Player Google Tools Quicktime playerhellip)
Seguridad de las redes
Taller
Internet Explorer historia de un eacutexito
Firefox una alternativa
Seguridad de las redes
NAVEGADORES WEB Buenas practicasbull Respetar la configuracioacuten de seguridad- Nivel de seguridad por zona- Nivel de confidencialidad- Configuracioacuten de base de las opciones
bull Responder ldquoNordquo cada vez que el navigador pregunta una autorizacioacuten de ejecucioacuten de componentes activos no necesarios
bull Cerrar las ventanas de tipo ldquoPopuprdquo con la cruz Windows (o con ALT-F4) y no los botones propuestos cada vez que posible
bull No utilizar la gestioacuten automaacutetica de los formularios
bull Limpiar la memoria sobre el disco duro despueacutes utilizacioacuten sobre un computador publico
Seguridad de las redes
bull No descargar moacutedulos de aplicaciones no firmados por editores prestigiosos
bull Proteger el computador con un anti-virus- Programar un anaacutelisis perioacutedico (1 vez por semana)- Descargar las ultimas versiones (funcioacuten ldquoUpdaterdquo)- Activar la proteccioacuten ldquotiempo realrdquo
bull Proteger el computador con un anti-spyware- Programar un anaacutelisis perioacutedico (1 vez por semana)- Descargar las ultimas versiones (funcioacuten ldquoUpdaterdquo)- Activar la proteccioacuten ldquotiempo realrdquo de la base de ldquoregistryrdquo de Windows
bull No desactivar la funcionalidad ldquoanti-popuprdquo
bull No desactivar la funcionalidad ldquoanti-phishingrdquo (IE 7)
Seguridad de las redes
bull Actualizar perioacutedicamente Windows viacutea la funcionalidad ldquoWindows Updaterdquo
bull Limpiar perioacutedicamente los histoacutericos y la memoria sobre el disco duro (para la velocidad) Los cookies pueden permanecer activados (riesgo miacutenimo)
bull Por supuesto no consultar sitios conocidos para ser peligrosos (sitios de juegos ilegales de muacutesicas mp3 non autorizadas de venta de productos prohibidos)
bull En principio el navegador libro FIREFOX es conocido para ser menos sensible a los riesgos claacutesicos que Internet Explorer Pero en empresa y sobre Internet todas la aplicaciones WEB no son compatibles con FIREFOX
Seguridad de las redes
Taller
Consejos de configuracioacuten de Internet Explorer y Firefox
Utilizacioacuten de NetPrivacy
Anaacutelisis de comunicaciones non protegidas con Packetyser
(Busca Google)
Ficheros temporarios y histoacuterico (cdocuments and settingltusersgtlocal settings)
Seguridad de las redes
bullLa historia
- Creacioacuten de la nocioacuten de pagina Web en los antildeos 90 por Tim Berners Lee (responsable de la gestioacuten de las documentaciones del CERN en Ginebra)
- La idea ser capaz de integrar en una pagina de texto electroacutenico viacutenculos con otras paginas (importante para los artiacuteculos cientiacuteficos)
- La realizacioacuten creacioacuten del protocolo Hypertext y de la nocioacuten de URL (Uniform Ressource Locator)
- Marc Andreesseen (Universidad del Illinois) a evolucionado el protocolo insertando el grafico (MOSAIC)
SERVICIOS WEB - TECNOLOGIacuteAS DE BASE
Seguridad de las redes
bullLos principios HTTP
- Protocolo de intercambio entre el servidor y el navegador (HyperTextTransfert Protocol)
- Basado sobre los URL (httpIdPwdserverportpathpathfileparameters) utilizando uacutenicamente los 128 primeros coacutedigos US ascii
- ldquoStatelessrdquo El protocolo olvida todas las configuraciones del usuario cada vez que el navegador es cerrado =gt necesitad de otras tecnicas para guardar el contexto Re-escritura de los URL (ajuntando paraacutemetros id=xxxxxx) Paraacutemetros escondidos en la pagina Web (con el orden HTTP ldquopostrdquo) Cookies (un fichero de texto escrito sobre el computador cliente con
las informaciones de contexto)
Seguridad de las redes
bull Los principios contenido de un COOKIE
Nombre Nombre del cookie sobre el disco duro
Valor El valor de contexto necesario para el sitio Web consultado (uno por cookie)
Valididad Fecha de fin de vida Despueacutes esta fecha el navegador rechaza el acceso al cookie
Servidor(es) Lista de servidores autorizados a consultar el cookie
Pagina(s) Lista de paginas autorizadas a consultar el cookie
Asegurado True o False si True el cookie se puede consultar uacutenicamente con un acceso asegurado
Seguridad de las redes
bull Los principios HTML
- Lenguaje informaacutetico para escribir paginas Web (HyperTextMarkup Language)- El navegador es un interpretador de HTML- Siempre en evolucioacuten (norma actual = 40) publico
lthtmlgtltheadgtltTITLEgtUNEltTITLEgtltheadgtltFRAMESET COLS=0 FRAMEBORDER=NO
BORDER=0 FRAMESPACING=0gtltFRAME
SRC=seccionesUNEHOMEseccion_HTMLhtml NAME=menu FRAMEBORDER=NO MARGINWIDTH=0 MARGINHEIGHT=0 noresizeSCROLLING=AUTOgt
ltFRAME SRC=blankhtml NAME=____contenido FRAMEBORDER=NO noresize SCROLLING=AUTO MARGINWIDTH=0 MARGINHEIGHT=0gtltFRAMESETgtltNOFRAMESgt DescripcionltNOFRAMESgt
ltHTMLgt
Seguridad de las redes
bull Los principios limitaciones de HTML
- No interaccioacuten con el equipo cliente (histoacutericamente un lenguaje de presentacioacuten)pobre en funciones graficasPor eso creacioacuten de evoluciones a lado del lenguaje principal (para asegurar la compatibilidad) CSS XMLXSL DHTML
- Muy pobre en funcionalidades interactivas con el usuario (cliente inteligente) Utilizacioacuten de tecnologiacuteas complementarias Plug-In ActiveX JAVA Scripts y modelos de documentos
Seguridad de las redes
bull Los principios cliente inteligente
- 2 tecnologiacuteas compiladas Plug-ins ActiveX
- 2 tecnologiacuteas interpretadas Scripts Java
- La tecnologiacuteas compiladas son mas raacutepidas pero el programa descargado es especificado a el equipo
- Los plug-in y los componentes ActiveX son descargados y instalados una vez definitivamente con una programa de verificacioacuten automaacutetica de versioacuten
- Scripts y aplicaciones Java (applet) son descargadas cada vez que la memoria permanente del navegador es vaciada
Seguridad de las redes
bullLos principios PLUG-IN
- Especificaciones abiertas al puacuteblico- Desarrollado en C o C++- Un Plug-in para IE sobre Windows no puede funcionar en IE sobre
MacOS (compilado)- Los mas conocidos son los Plug-In multimedia
bullLos principios ActiveX
- Componentes Objetos (C++) proponiendo por Microsoft en su arquitectura COMDCOM
- Dedicados a Internet Explorer y Windows (existe una oferta para Unix Mac y sistemas IBM muy poco utilizada)
- Posibilidad de reutilizar los ActiveX integrados en programas Microsoft (MsOffice MsProjecthellip) y otros sobre el computador cliente
- Utilizados por numerosos proveedores de soluciones WEB
Seguridad de las redes
bullLos principios JAVA
- Especificaciones abiertas al puacuteblico una oferta de SUN- Interpretado (maquina virtual JAVA) por eso independiente de la
plataforma- Muy pesado en Kbits a descargar puede ser lento a la ejecucioacuten- Gestioacuten automaacutetica de versioacuten para las maquina virtual JAVA- Numerosos problemas de compatibilidad encontrados entre las
versiones- Posibilidad de crear componentes JAVA reutilizables (JAVA es un
lenguaje objeto) llamados JAVABEANS- Un lenguaje complejo a dominar para crear ldquoAppletsrdquo
httpjavasuncomdocsbookstutorial
Seguridad de las redes
bullLos principios servidor dinaacutemico
- Paginas estaacuteticas (guardadas sobre el disco duro del servidor) no pueden servir de apoyo para informaciones en tiempo real (horarios sitios de ventahellip)
- Necesitad de crear dinaacutemicamente paginas en la memoria del servidor
- 3 tecnologiacuteas estandartes script CGI propietarias de bajo nivel NSAPI ISAPI APACHE APIhellip propietarias de alto nivel ASP JAVA NET Coldfusion PHP JSPhellip
Seguridad de las redes
Taller
Demostraciones de Plug-In
Anaacutelisis de Cookies(cdocuments and settingltusersgtcookies)
Utilizacioacuten de un ldquoCookie Viewerrdquo
Seguridad de las redes
SERVICIOS WEB SEGURIDADbullLas necesidades- Identificar el usuario y sus autorizaciones- Asegurar los intercambios de informaciones- Prohibir la posibilidad de negar una transaccioacuten
bullLas soluciones- Utilizar un algoritmo de cifrado (PGP RSA DES TripleDES)- Integrar el cifrado en el protocolo HTTP (hecho por Netscape con su
oferta llamada Secure Socket Layer y integrada en la norma HTTPS)- Trabajar con claves de cifrado (certificado electroacutenico ndash norma X509) La
gestioacuten de las claves necesita la definicioacuten en la empresa de un PKI (Public Key Infrastructure)
- Utilizar sistemas transaccionales- Indicado al usuario en el navegador por siacutembolos
Seguridad de las redes
Cifrado y HTTPS
bullLos principios de los meacutetodos de cifrado
Clave simeacutetrica los paquetes son cifrados y descifrados con el mismo algoritmo y la misma clave numeacuterica (DES TripleDES)
- Clave asimeacutetrica los paquetes son cifrados con el mismo algoritmo pero la clave inicial no puede ser utilizada para invertir el proceso El descifrado necesita una clave uacutenica vinculada a la primera por relaciones matemaacuteticas (RSA PGP)
- La fuerza del coacutedigo depende de la complexidad de la(s) clave(s) (en numero de cifras)
Seguridad de las redes
bull Principio de intercambio de claves de cifrado para establecer una comunicacioacuten SSL
Generacioacuten de un juego de claves (1C1D)
Envioacute de la clave 1C (clave publica) sin cifrado
Generacioacuten de un juego de claves (2C2D)
1C
Cifrado de la clave 2C con 1C
Envioacute de la clave 2C cifrada (seguridad alta)2C (certificado electroacutenico)
Generacioacuten de una clave de cifrado para el Tuacutenel (CT)
Cifrado de la clave CT con 2C
Descifrado de la clave 2C con 1D (completamente secreta)
Envioacute de la clave CT (clave simeacutetrica) cifrada (seguridad alta) CT
Intercambio cifrado con CT Intercambio cifrado con CT
Descifrado de la clave CT con 2D (completamente secreta)
Seguridad de las redes
Taller
Historia de RSA firma digital y certificados X509
Anaacutelisis de comunicaciones cifradas en HTTPS con un banco
Anaacutelisis de certificados de seguridad
Seguridad de las redes
Seguridad y WEB 2
bullPropuesto en 2004 por OrsquoReilly Media (WEB 20)
bullUn nombre geneacuterico para los servicios nuevos de Internet de estos uacuteltimos antildeos
- Social Networking Sites- Folksonomy (como Wikipedia wikis blogs Youtubehellip)- Y otros sitios orientados relaciones humanas
bullEn general sitios con nivel de seguridad muy pobre sin control Riesgo de divulgacioacuten de datos confidenciales
Seguridad de las redes
Taller
Historia del concepto WEB2
Concepto y lista de ldquoRed Socialrdquo(Social Networking Sites)
Exploracioacuten de sitios WEB2wwwfinclucom delicious
wwwflickrcom wwwzooomrcomflofcomar
www43thingscom
Seguridad de las redes
Normas y metodologiacuteas con requisitos de seguridad sobrelas redesbullUna poliacutetica de seguridad controlada puede ser obligatoria por la ley seguacuten
el paiacutes y la actividad de la empresabullPuede ser exigida tambieacuten por organismos de seguros
bullCertificacioacuten - normas mundiales y generales- ISO 27000 27001 ndash Requisitos (incluye ISO 17799) 27002 ndash Guia de buenas practicas 27003 ndash Despliegue 27004 ndash Medida de la eficacia
- ITIL (Information technology Infrastructure Library)
bullCertificacioacuten - normas locales y especificas- Sarbanes Oxley (SOX ndash certificacioacuten para trabajar con los EEUU)- Bale II (Bancos Europeos)- JSOX (Japon SOX ndash certificacioacuten para trabajar con el Japoacuten)- Solvency II (Seguros Europeos) HIPAA (Seguros EEUU)- Cobit (Control Objectives for Information and related Technology ndash propuesta por ISACA)- CMMI (Capability Maturity Model Integration ndash EEUU) etc hellip
Seguridad de las redes
Taller
Norma ISO
Norma ITIL
Certificacioacuten CMMI
Certificacioacuten SOX
Seguridad de las redes
Responsabilidades y requisitos juriacutedicos
La responsabilidad de la empresa puede ser implicada en caso
bullDe destruccioacuten de datos con plazos de conservacioacuten legales (facturas justificativos de gastos contratos juriacutedicoshellip)
bullDe infeccioacuten de los sistemas de las empresas vinculadas (clientes o proveedores)
bullDe divulgacioacuten de informaciones confidenciales voluntarias o nobullDe no respecto de las leyes de la propiedad intelectual o vida privada
voluntario o nobullDe contratos clientes con claacuteusulas de plazos de respuesta miacutenimos
imposible a respectar por razoacuten de problemas internos (diferentes de casos de fuerza mayor)
De manera general probar que todos los recursos de seguridad posibles son aplicados en la empresa puede atenuar la responsabilidad juriacutedica
pero no eliminarla completamente
Seguridad de las redes
El trabajo juriacutedico para el caso particular del comercio enliacutenea
- Contrato en liacutenea para los visitantes- Contrato con el banco pago asegurado- Derechos vinculados a la publicidad en liacutenea- Derechos de los servicios especiacuteficos en liacutenea (avocado
periodista medicohellip)- Fiscalidad del comercio electroacutenico- Derecho Internacional- Derecho de la propiedad intelectual proteccioacuten de las
paginas (sistema IDDN httpwwwiddnorg)- Respeto de la vida privada- Derecho de los viacutenculos Hipertextos (frame)
Seguridad de las redes
Taller
Anaacutelisis de las menciones legales de sitios puacuteblicos
wwwbancafecomwwwmercadolibrecomcowwwelcolombianocom
wwweltiempocomwwwgibaudcomesportadahtml
wwwportaleycomwwwunenetco
Seguridad de las redes
PCN (Plan de Continuidad del Negocio) y redes
Un sinistro mayor o un periodo de indisponibilidad puede siempre ocurrir en caso
bull De fallo de los sistemas y procesos de seguridadbull De cataacutestrofe naturalbull De negligencia de un vecino o de accidente mayor a proximidadbull De fallo de la alimentacioacuten eleacutectrica general muchos diacuteasbull De fallo de alimentacioacuten en agua muchos diacuteasbull De fallo del aire condicionado muchos diacuteasbull De evacuacioacuten obligatoria del edificiobull De actos voluntarios de destruccioacutenbull De obras mayores en el lugar de la empresa
El objetivo del PCN es de asegurar las actividades vitales de la empresa el tiempo necesario para re establecer el servicio normal
Seguridad de las redes
bull PCN aplicado a las comunicaciones y las redes- Disponibilidad de las liacuteneas permanentes de datos y voz- Disponibilidad del acceso Internet- Disponibilidad de los equipos de comunicaciones puntuales (tel fax)- Disponibilidad de los sistemas de correos electroacutenicos- Disponibilidad de los sistemas de video conferencia- Disponibilidad de las comunicaciones non electroacutenicas (correo papel
transportes de colaboradores y paquetes entre sitios de la empresa)
- Soluciones Sistemas de socorro de backup (a precios y capacidades degradados) Garantiacuteas de plazo de restablecimiento por los proveedores Red de celulares de socorro Fax teleacutefono y accesos Internet publicos a proximidad (Wifi Wimax) Utilizacioacuten de los accesos Internet privados con VPN Buzones de correos electroacutenicos puacuteblicos (gmail yahoo hotmailhellip) Alianza con flotas de taxi y proveedores de servicios de mensajeros
Seguridad de las redes
Ejemplo de PCN en una empresa real
bull Presentacioacuten- 300 empleos en la casa matriz 200 en delegaciones en el mundo- 2 sitios de produccioacuten industrial 1 subcontratista para la logiacutestica- Desde 2004 cada fabrica es el sitio de backup de la otra- Objetivo 2006 PCN de la casa matriz- Objetivo 2007 PCN de las delegaciones- Un logo
Casa MatrizDelegaciones
Fabrica 1 Fabrica 2
VPN
2 Mbitss
2 Mbitss2 Mbitss
Logiacutestica (depoacutesitos)
Seguridad de las redes
bull PCN aplicado a las redes- Instalacioacuten de una sala informaacutetica de backup en la fabrica 1- Instalacioacuten de una liacutenea Internet en la fabrica 1 dedicada al VPN- Instalacioacuten de una sala de trabajo para 12 empleos en la fabrica 1
(con teleacutefonos fax impresora y computadores)- Inversiones totales 25 de los presupuestos informaacuteticos- Utilizacioacuten de un acceso VPN privado a la casa para los otros
empleados
Casa MatrizDelegaciones
Fabrica 1 Fabrica 2
VPN
2 Mbitss
2 Mbitss2 Mbitss
Logiacutestica (depoacutesitos)
5 servidores1 AS40012 portaacutetiles1 impresora1 switch de red1 firewall
Acesso Internet 1 Mbitss
Seguridad de las redes
Auditoria y indicadores de riesgos
bullMicrosoft Security Assessment ToolsbullIndicadores de Seguridad Excel
Seguridad de las redes
UTILIZACIOacuteN EFICAZ Y SIN RIESGO DE LAS TECNOLOGIacuteAS WEB
Seguridad de las redes
PRINCIPIOS DE LAS ARQUITECTURAS CLIENTESERVIDORModelos de tecnologiacuteas ClienteServidor (Gartner Group)
Presentacioacuten
Gestioacuten de Datos
Aplicacioacuten
Presentacioacuten
Gestioacuten de Datos
Aplicacioacuten
Presentacioacuten
Gestioacuten de Datos
Aplicacioacuten
Presentacioacuten
Gestioacuten de Datos
Aplicacioacuten
Aplicacioacuten
Presentacioacuten
Gestioacuten de Datos
Gestioacuten de Datos
Aplicacioacuten
Aplicacioacuten
Presentacioacuten
Gestioacuten de Datos
Aplicacioacuten
Presentacioacuten
Gestioacuten de Datos
Cliente
Servidor
Presentacioacutendistribuida
Presentacioacutendistante
Gestioacuten dedatos distante
Tratamientosdistribuidos
Gestioacuten dedatos distribuida
Tratamientos ydatos distribuidos
Seguridad de las redes
Gestioacuten de Datos
Aplicacioacuten
Aplicacioacuten
Presentacioacuten
Tratamientosdistribuidos
Cliente
Servidor
Modelo de las aplicaciones con clientes ligeros
Los tratamientos son repartidos seguacuten el poder de los computadores
- Base de datos y tratamientos pesados sobre el servidor
- Tratamientos ligeros sobre el cliente (como la parte GUI por ejemplo)
Ejemplos- Tecnologiacuteas WEB- Aplicaciones
Clienteservidor de los antildeos 2000
Seguridad de las redes
Modelo claacutesico de las tecnologiacuteas WEB
Gestioacuten de Datos
Aplicacioacuten
Aplicacioacuten
Presentacioacuten
Tratamientosdistribuidos
Cliente
Servidor
Sistemas de Gestioacuten de Base de Datos SGBDR (Oracle Sql Server MySql DB2hellip)
Servidor HTTP (Microsoft IIS Lotus Domino Apache Webspherehellip)+ programas dedicados
Tecnologiacuteas dinaacutemicas en el navegador(VBScript Javascript ActiveX Javahellip)
Navegador Internet (browser)(Internet Explorer Firefoxhellip)
Seguridad de las redes
Diferencias entre las generaciones de modelos clienteservidor
bull Cliente pesado - Muchos tratamientos sobre el cliente- Necesita la instalacioacuten fiacutesica de programas sobre el cliente- Carga deacutebil para la red arquitectura adaptada a las comunicaciones internacionales
bull Cliente ligeroliviano - Muy poco tratamientos sobre el cliente- Posibilidad de descargar automaacuteticamente los programas por la red- Carga importante para viacutenculos de red deacutebiles
Seguridad de las redes
Arquitecturas fiacutesicas de los modelos clienteservidor
Gestioacuten de Datos
Aplicacioacuten
Aplicacioacuten
Presentacioacuten
Tratamientosdistribuidos
Cliente
Servidor
ArquitecturaEn 2 niveles
ArquitecturaEn 3 niveles
Seguridad de las redes
Gestioacuten de Datos
Aplicacioacuten
Aplicacioacuten
Presentacioacuten
Tratamientosdistribuidos
Cliente
Servidor
ArquitecturaEn 4 niveles
Sgbd
Programasdedicados
Servidor http
Seguridad de las redes
Ventajas de los modelos ClienteServidor con tecnologiacuteas WEB
bull Apoyo de los sistemas heterogeacuteneos- Cliente Windows MacOs Unix (BSD Linux etchellip) celulares PDA- Servidor Programas disponibles sobre Unix Windows AS400hellip
bull Utilizacioacuten ideacutentica al dentro de la empresa y a traveacutes Internet
bull Utilizacioacuten simple a aprender para una persona quien tiene un acceso Internet
bull Posibilidad de crear un punto de acceso uacutenico para todas las aplicaciones de la empresa (poacutertico)
Seguridad de las redes
Arquitectura WEB - ejemplo practicoEthernet
Microsoft SQL
SERVER
Microsoft IIS +Aplicacioacuten WEB
dedicada desarrollada en Microsoft NET
Usuarios con Internet Explorer
Base de Datos
MiddlewareMicrosoftMDAC
ORACLE sgbd
Oracle
IBM Websphere +Aplicacioacuten WEB
dedicada desarrollada en
SUN Java
MiddlewareSUNJDBC
Seguridad de las redes
CLIENTES LIGEROSLIVIANOS NAVEGADORES WEB
sgbd
Programasdedicados
Servidor http
A
A
A
1 ndash Construccioacuten de la pagina
El servidor HTTP crea en su memoria una pagina WEB con los elementos enviados por los otros servidores La pagina puede contener componentes activos (activex applet java javascript vbscripthellip) y inertes (imagenes textoshellip)
Seguridad de las redes
Srv http
AA
2 ndash Recepcioacuten de la pagina
El servidor HTTP enviacutea la pagina elemento por elemento en la red El navegador recibe los componentes en el disco duro del cliente En el mismo tiempo la pagina es reconstruida en la memoria del navegador
A
cliente
A
A
Seguridad de las redes
3 ndash Interpretacioacuten de la pagina
El navegador presenta sobre la pantalla la pagina WEB y los elementos inertes Los componentes activos son enviados a las aplicaciones dedicadas a cada uno seguacuten el tipo
Navegador
A
A
A
Funcioacuten de presentacioacuten
Aplicaciones integradasA el navegador
Aplicacioacuten dedicadaa el navegador
descargada en opcioacuten
Funciones deejecucioacuten
Plug-in
Otras aplicaciones del computador cliente
Seguridad de las redes
bull Las informaciones son pegadas sobre el computador cliente- Mas raacutepido para recargar una pagina ya consultada- Falla de seguridad Una persona extranjera a la empresa puede consultar las informaciones Nunca olvidar vaciar la memoria permanente del navegador al fin del trabajo cuando se utiliza un computador publico
bull Todas las aplicaciones del cliente pueden ser utilizadas a traveacutes el navegador (Word Excel Adobe Acrobat Readerhellip)Por razoacuten de seguridad el navegador pregunta antes de ejecutar una aplicacioacuten no integrada cuando existe un riesgo (la totalidad de las funcionalidades siempre autorizadas es llamado ldquosandboxrdquo por analogia con el espacio protectado donde pueden jugar los nintildeos con arena)
bull Muchas aplicaciones ldquoPlug-Inrdquo disponiblesLas mas conocidas y utilizadas son FLASH PLAYER y JAVA Pero existen muchas otras (DIVX Player Google Tools Quicktime playerhellip)
Seguridad de las redes
Taller
Internet Explorer historia de un eacutexito
Firefox una alternativa
Seguridad de las redes
NAVEGADORES WEB Buenas practicasbull Respetar la configuracioacuten de seguridad- Nivel de seguridad por zona- Nivel de confidencialidad- Configuracioacuten de base de las opciones
bull Responder ldquoNordquo cada vez que el navigador pregunta una autorizacioacuten de ejecucioacuten de componentes activos no necesarios
bull Cerrar las ventanas de tipo ldquoPopuprdquo con la cruz Windows (o con ALT-F4) y no los botones propuestos cada vez que posible
bull No utilizar la gestioacuten automaacutetica de los formularios
bull Limpiar la memoria sobre el disco duro despueacutes utilizacioacuten sobre un computador publico
Seguridad de las redes
bull No descargar moacutedulos de aplicaciones no firmados por editores prestigiosos
bull Proteger el computador con un anti-virus- Programar un anaacutelisis perioacutedico (1 vez por semana)- Descargar las ultimas versiones (funcioacuten ldquoUpdaterdquo)- Activar la proteccioacuten ldquotiempo realrdquo
bull Proteger el computador con un anti-spyware- Programar un anaacutelisis perioacutedico (1 vez por semana)- Descargar las ultimas versiones (funcioacuten ldquoUpdaterdquo)- Activar la proteccioacuten ldquotiempo realrdquo de la base de ldquoregistryrdquo de Windows
bull No desactivar la funcionalidad ldquoanti-popuprdquo
bull No desactivar la funcionalidad ldquoanti-phishingrdquo (IE 7)
Seguridad de las redes
bull Actualizar perioacutedicamente Windows viacutea la funcionalidad ldquoWindows Updaterdquo
bull Limpiar perioacutedicamente los histoacutericos y la memoria sobre el disco duro (para la velocidad) Los cookies pueden permanecer activados (riesgo miacutenimo)
bull Por supuesto no consultar sitios conocidos para ser peligrosos (sitios de juegos ilegales de muacutesicas mp3 non autorizadas de venta de productos prohibidos)
bull En principio el navegador libro FIREFOX es conocido para ser menos sensible a los riesgos claacutesicos que Internet Explorer Pero en empresa y sobre Internet todas la aplicaciones WEB no son compatibles con FIREFOX
Seguridad de las redes
Taller
Consejos de configuracioacuten de Internet Explorer y Firefox
Utilizacioacuten de NetPrivacy
Anaacutelisis de comunicaciones non protegidas con Packetyser
(Busca Google)
Ficheros temporarios y histoacuterico (cdocuments and settingltusersgtlocal settings)
Seguridad de las redes
bullLa historia
- Creacioacuten de la nocioacuten de pagina Web en los antildeos 90 por Tim Berners Lee (responsable de la gestioacuten de las documentaciones del CERN en Ginebra)
- La idea ser capaz de integrar en una pagina de texto electroacutenico viacutenculos con otras paginas (importante para los artiacuteculos cientiacuteficos)
- La realizacioacuten creacioacuten del protocolo Hypertext y de la nocioacuten de URL (Uniform Ressource Locator)
- Marc Andreesseen (Universidad del Illinois) a evolucionado el protocolo insertando el grafico (MOSAIC)
SERVICIOS WEB - TECNOLOGIacuteAS DE BASE
Seguridad de las redes
bullLos principios HTTP
- Protocolo de intercambio entre el servidor y el navegador (HyperTextTransfert Protocol)
- Basado sobre los URL (httpIdPwdserverportpathpathfileparameters) utilizando uacutenicamente los 128 primeros coacutedigos US ascii
- ldquoStatelessrdquo El protocolo olvida todas las configuraciones del usuario cada vez que el navegador es cerrado =gt necesitad de otras tecnicas para guardar el contexto Re-escritura de los URL (ajuntando paraacutemetros id=xxxxxx) Paraacutemetros escondidos en la pagina Web (con el orden HTTP ldquopostrdquo) Cookies (un fichero de texto escrito sobre el computador cliente con
las informaciones de contexto)
Seguridad de las redes
bull Los principios contenido de un COOKIE
Nombre Nombre del cookie sobre el disco duro
Valor El valor de contexto necesario para el sitio Web consultado (uno por cookie)
Valididad Fecha de fin de vida Despueacutes esta fecha el navegador rechaza el acceso al cookie
Servidor(es) Lista de servidores autorizados a consultar el cookie
Pagina(s) Lista de paginas autorizadas a consultar el cookie
Asegurado True o False si True el cookie se puede consultar uacutenicamente con un acceso asegurado
Seguridad de las redes
bull Los principios HTML
- Lenguaje informaacutetico para escribir paginas Web (HyperTextMarkup Language)- El navegador es un interpretador de HTML- Siempre en evolucioacuten (norma actual = 40) publico
lthtmlgtltheadgtltTITLEgtUNEltTITLEgtltheadgtltFRAMESET COLS=0 FRAMEBORDER=NO
BORDER=0 FRAMESPACING=0gtltFRAME
SRC=seccionesUNEHOMEseccion_HTMLhtml NAME=menu FRAMEBORDER=NO MARGINWIDTH=0 MARGINHEIGHT=0 noresizeSCROLLING=AUTOgt
ltFRAME SRC=blankhtml NAME=____contenido FRAMEBORDER=NO noresize SCROLLING=AUTO MARGINWIDTH=0 MARGINHEIGHT=0gtltFRAMESETgtltNOFRAMESgt DescripcionltNOFRAMESgt
ltHTMLgt
Seguridad de las redes
bull Los principios limitaciones de HTML
- No interaccioacuten con el equipo cliente (histoacutericamente un lenguaje de presentacioacuten)pobre en funciones graficasPor eso creacioacuten de evoluciones a lado del lenguaje principal (para asegurar la compatibilidad) CSS XMLXSL DHTML
- Muy pobre en funcionalidades interactivas con el usuario (cliente inteligente) Utilizacioacuten de tecnologiacuteas complementarias Plug-In ActiveX JAVA Scripts y modelos de documentos
Seguridad de las redes
bull Los principios cliente inteligente
- 2 tecnologiacuteas compiladas Plug-ins ActiveX
- 2 tecnologiacuteas interpretadas Scripts Java
- La tecnologiacuteas compiladas son mas raacutepidas pero el programa descargado es especificado a el equipo
- Los plug-in y los componentes ActiveX son descargados y instalados una vez definitivamente con una programa de verificacioacuten automaacutetica de versioacuten
- Scripts y aplicaciones Java (applet) son descargadas cada vez que la memoria permanente del navegador es vaciada
Seguridad de las redes
bullLos principios PLUG-IN
- Especificaciones abiertas al puacuteblico- Desarrollado en C o C++- Un Plug-in para IE sobre Windows no puede funcionar en IE sobre
MacOS (compilado)- Los mas conocidos son los Plug-In multimedia
bullLos principios ActiveX
- Componentes Objetos (C++) proponiendo por Microsoft en su arquitectura COMDCOM
- Dedicados a Internet Explorer y Windows (existe una oferta para Unix Mac y sistemas IBM muy poco utilizada)
- Posibilidad de reutilizar los ActiveX integrados en programas Microsoft (MsOffice MsProjecthellip) y otros sobre el computador cliente
- Utilizados por numerosos proveedores de soluciones WEB
Seguridad de las redes
bullLos principios JAVA
- Especificaciones abiertas al puacuteblico una oferta de SUN- Interpretado (maquina virtual JAVA) por eso independiente de la
plataforma- Muy pesado en Kbits a descargar puede ser lento a la ejecucioacuten- Gestioacuten automaacutetica de versioacuten para las maquina virtual JAVA- Numerosos problemas de compatibilidad encontrados entre las
versiones- Posibilidad de crear componentes JAVA reutilizables (JAVA es un
lenguaje objeto) llamados JAVABEANS- Un lenguaje complejo a dominar para crear ldquoAppletsrdquo
httpjavasuncomdocsbookstutorial
Seguridad de las redes
bullLos principios servidor dinaacutemico
- Paginas estaacuteticas (guardadas sobre el disco duro del servidor) no pueden servir de apoyo para informaciones en tiempo real (horarios sitios de ventahellip)
- Necesitad de crear dinaacutemicamente paginas en la memoria del servidor
- 3 tecnologiacuteas estandartes script CGI propietarias de bajo nivel NSAPI ISAPI APACHE APIhellip propietarias de alto nivel ASP JAVA NET Coldfusion PHP JSPhellip
Seguridad de las redes
Taller
Demostraciones de Plug-In
Anaacutelisis de Cookies(cdocuments and settingltusersgtcookies)
Utilizacioacuten de un ldquoCookie Viewerrdquo
Seguridad de las redes
SERVICIOS WEB SEGURIDADbullLas necesidades- Identificar el usuario y sus autorizaciones- Asegurar los intercambios de informaciones- Prohibir la posibilidad de negar una transaccioacuten
bullLas soluciones- Utilizar un algoritmo de cifrado (PGP RSA DES TripleDES)- Integrar el cifrado en el protocolo HTTP (hecho por Netscape con su
oferta llamada Secure Socket Layer y integrada en la norma HTTPS)- Trabajar con claves de cifrado (certificado electroacutenico ndash norma X509) La
gestioacuten de las claves necesita la definicioacuten en la empresa de un PKI (Public Key Infrastructure)
- Utilizar sistemas transaccionales- Indicado al usuario en el navegador por siacutembolos
Seguridad de las redes
Cifrado y HTTPS
bullLos principios de los meacutetodos de cifrado
Clave simeacutetrica los paquetes son cifrados y descifrados con el mismo algoritmo y la misma clave numeacuterica (DES TripleDES)
- Clave asimeacutetrica los paquetes son cifrados con el mismo algoritmo pero la clave inicial no puede ser utilizada para invertir el proceso El descifrado necesita una clave uacutenica vinculada a la primera por relaciones matemaacuteticas (RSA PGP)
- La fuerza del coacutedigo depende de la complexidad de la(s) clave(s) (en numero de cifras)
Seguridad de las redes
bull Principio de intercambio de claves de cifrado para establecer una comunicacioacuten SSL
Generacioacuten de un juego de claves (1C1D)
Envioacute de la clave 1C (clave publica) sin cifrado
Generacioacuten de un juego de claves (2C2D)
1C
Cifrado de la clave 2C con 1C
Envioacute de la clave 2C cifrada (seguridad alta)2C (certificado electroacutenico)
Generacioacuten de una clave de cifrado para el Tuacutenel (CT)
Cifrado de la clave CT con 2C
Descifrado de la clave 2C con 1D (completamente secreta)
Envioacute de la clave CT (clave simeacutetrica) cifrada (seguridad alta) CT
Intercambio cifrado con CT Intercambio cifrado con CT
Descifrado de la clave CT con 2D (completamente secreta)
Seguridad de las redes
Taller
Historia de RSA firma digital y certificados X509
Anaacutelisis de comunicaciones cifradas en HTTPS con un banco
Anaacutelisis de certificados de seguridad
Seguridad de las redes
Seguridad y WEB 2
bullPropuesto en 2004 por OrsquoReilly Media (WEB 20)
bullUn nombre geneacuterico para los servicios nuevos de Internet de estos uacuteltimos antildeos
- Social Networking Sites- Folksonomy (como Wikipedia wikis blogs Youtubehellip)- Y otros sitios orientados relaciones humanas
bullEn general sitios con nivel de seguridad muy pobre sin control Riesgo de divulgacioacuten de datos confidenciales
Seguridad de las redes
Taller
Historia del concepto WEB2
Concepto y lista de ldquoRed Socialrdquo(Social Networking Sites)
Exploracioacuten de sitios WEB2wwwfinclucom delicious
wwwflickrcom wwwzooomrcomflofcomar
www43thingscom
Seguridad de las redes
Taller
Norma ISO
Norma ITIL
Certificacioacuten CMMI
Certificacioacuten SOX
Seguridad de las redes
Responsabilidades y requisitos juriacutedicos
La responsabilidad de la empresa puede ser implicada en caso
bullDe destruccioacuten de datos con plazos de conservacioacuten legales (facturas justificativos de gastos contratos juriacutedicoshellip)
bullDe infeccioacuten de los sistemas de las empresas vinculadas (clientes o proveedores)
bullDe divulgacioacuten de informaciones confidenciales voluntarias o nobullDe no respecto de las leyes de la propiedad intelectual o vida privada
voluntario o nobullDe contratos clientes con claacuteusulas de plazos de respuesta miacutenimos
imposible a respectar por razoacuten de problemas internos (diferentes de casos de fuerza mayor)
De manera general probar que todos los recursos de seguridad posibles son aplicados en la empresa puede atenuar la responsabilidad juriacutedica
pero no eliminarla completamente
Seguridad de las redes
El trabajo juriacutedico para el caso particular del comercio enliacutenea
- Contrato en liacutenea para los visitantes- Contrato con el banco pago asegurado- Derechos vinculados a la publicidad en liacutenea- Derechos de los servicios especiacuteficos en liacutenea (avocado
periodista medicohellip)- Fiscalidad del comercio electroacutenico- Derecho Internacional- Derecho de la propiedad intelectual proteccioacuten de las
paginas (sistema IDDN httpwwwiddnorg)- Respeto de la vida privada- Derecho de los viacutenculos Hipertextos (frame)
Seguridad de las redes
Taller
Anaacutelisis de las menciones legales de sitios puacuteblicos
wwwbancafecomwwwmercadolibrecomcowwwelcolombianocom
wwweltiempocomwwwgibaudcomesportadahtml
wwwportaleycomwwwunenetco
Seguridad de las redes
PCN (Plan de Continuidad del Negocio) y redes
Un sinistro mayor o un periodo de indisponibilidad puede siempre ocurrir en caso
bull De fallo de los sistemas y procesos de seguridadbull De cataacutestrofe naturalbull De negligencia de un vecino o de accidente mayor a proximidadbull De fallo de la alimentacioacuten eleacutectrica general muchos diacuteasbull De fallo de alimentacioacuten en agua muchos diacuteasbull De fallo del aire condicionado muchos diacuteasbull De evacuacioacuten obligatoria del edificiobull De actos voluntarios de destruccioacutenbull De obras mayores en el lugar de la empresa
El objetivo del PCN es de asegurar las actividades vitales de la empresa el tiempo necesario para re establecer el servicio normal
Seguridad de las redes
bull PCN aplicado a las comunicaciones y las redes- Disponibilidad de las liacuteneas permanentes de datos y voz- Disponibilidad del acceso Internet- Disponibilidad de los equipos de comunicaciones puntuales (tel fax)- Disponibilidad de los sistemas de correos electroacutenicos- Disponibilidad de los sistemas de video conferencia- Disponibilidad de las comunicaciones non electroacutenicas (correo papel
transportes de colaboradores y paquetes entre sitios de la empresa)
- Soluciones Sistemas de socorro de backup (a precios y capacidades degradados) Garantiacuteas de plazo de restablecimiento por los proveedores Red de celulares de socorro Fax teleacutefono y accesos Internet publicos a proximidad (Wifi Wimax) Utilizacioacuten de los accesos Internet privados con VPN Buzones de correos electroacutenicos puacuteblicos (gmail yahoo hotmailhellip) Alianza con flotas de taxi y proveedores de servicios de mensajeros
Seguridad de las redes
Ejemplo de PCN en una empresa real
bull Presentacioacuten- 300 empleos en la casa matriz 200 en delegaciones en el mundo- 2 sitios de produccioacuten industrial 1 subcontratista para la logiacutestica- Desde 2004 cada fabrica es el sitio de backup de la otra- Objetivo 2006 PCN de la casa matriz- Objetivo 2007 PCN de las delegaciones- Un logo
Casa MatrizDelegaciones
Fabrica 1 Fabrica 2
VPN
2 Mbitss
2 Mbitss2 Mbitss
Logiacutestica (depoacutesitos)
Seguridad de las redes
bull PCN aplicado a las redes- Instalacioacuten de una sala informaacutetica de backup en la fabrica 1- Instalacioacuten de una liacutenea Internet en la fabrica 1 dedicada al VPN- Instalacioacuten de una sala de trabajo para 12 empleos en la fabrica 1
(con teleacutefonos fax impresora y computadores)- Inversiones totales 25 de los presupuestos informaacuteticos- Utilizacioacuten de un acceso VPN privado a la casa para los otros
empleados
Casa MatrizDelegaciones
Fabrica 1 Fabrica 2
VPN
2 Mbitss
2 Mbitss2 Mbitss
Logiacutestica (depoacutesitos)
5 servidores1 AS40012 portaacutetiles1 impresora1 switch de red1 firewall
Acesso Internet 1 Mbitss
Seguridad de las redes
Auditoria y indicadores de riesgos
bullMicrosoft Security Assessment ToolsbullIndicadores de Seguridad Excel
Seguridad de las redes
UTILIZACIOacuteN EFICAZ Y SIN RIESGO DE LAS TECNOLOGIacuteAS WEB
Seguridad de las redes
PRINCIPIOS DE LAS ARQUITECTURAS CLIENTESERVIDORModelos de tecnologiacuteas ClienteServidor (Gartner Group)
Presentacioacuten
Gestioacuten de Datos
Aplicacioacuten
Presentacioacuten
Gestioacuten de Datos
Aplicacioacuten
Presentacioacuten
Gestioacuten de Datos
Aplicacioacuten
Presentacioacuten
Gestioacuten de Datos
Aplicacioacuten
Aplicacioacuten
Presentacioacuten
Gestioacuten de Datos
Gestioacuten de Datos
Aplicacioacuten
Aplicacioacuten
Presentacioacuten
Gestioacuten de Datos
Aplicacioacuten
Presentacioacuten
Gestioacuten de Datos
Cliente
Servidor
Presentacioacutendistribuida
Presentacioacutendistante
Gestioacuten dedatos distante
Tratamientosdistribuidos
Gestioacuten dedatos distribuida
Tratamientos ydatos distribuidos
Seguridad de las redes
Gestioacuten de Datos
Aplicacioacuten
Aplicacioacuten
Presentacioacuten
Tratamientosdistribuidos
Cliente
Servidor
Modelo de las aplicaciones con clientes ligeros
Los tratamientos son repartidos seguacuten el poder de los computadores
- Base de datos y tratamientos pesados sobre el servidor
- Tratamientos ligeros sobre el cliente (como la parte GUI por ejemplo)
Ejemplos- Tecnologiacuteas WEB- Aplicaciones
Clienteservidor de los antildeos 2000
Seguridad de las redes
Modelo claacutesico de las tecnologiacuteas WEB
Gestioacuten de Datos
Aplicacioacuten
Aplicacioacuten
Presentacioacuten
Tratamientosdistribuidos
Cliente
Servidor
Sistemas de Gestioacuten de Base de Datos SGBDR (Oracle Sql Server MySql DB2hellip)
Servidor HTTP (Microsoft IIS Lotus Domino Apache Webspherehellip)+ programas dedicados
Tecnologiacuteas dinaacutemicas en el navegador(VBScript Javascript ActiveX Javahellip)
Navegador Internet (browser)(Internet Explorer Firefoxhellip)
Seguridad de las redes
Diferencias entre las generaciones de modelos clienteservidor
bull Cliente pesado - Muchos tratamientos sobre el cliente- Necesita la instalacioacuten fiacutesica de programas sobre el cliente- Carga deacutebil para la red arquitectura adaptada a las comunicaciones internacionales
bull Cliente ligeroliviano - Muy poco tratamientos sobre el cliente- Posibilidad de descargar automaacuteticamente los programas por la red- Carga importante para viacutenculos de red deacutebiles
Seguridad de las redes
Arquitecturas fiacutesicas de los modelos clienteservidor
Gestioacuten de Datos
Aplicacioacuten
Aplicacioacuten
Presentacioacuten
Tratamientosdistribuidos
Cliente
Servidor
ArquitecturaEn 2 niveles
ArquitecturaEn 3 niveles
Seguridad de las redes
Gestioacuten de Datos
Aplicacioacuten
Aplicacioacuten
Presentacioacuten
Tratamientosdistribuidos
Cliente
Servidor
ArquitecturaEn 4 niveles
Sgbd
Programasdedicados
Servidor http
Seguridad de las redes
Ventajas de los modelos ClienteServidor con tecnologiacuteas WEB
bull Apoyo de los sistemas heterogeacuteneos- Cliente Windows MacOs Unix (BSD Linux etchellip) celulares PDA- Servidor Programas disponibles sobre Unix Windows AS400hellip
bull Utilizacioacuten ideacutentica al dentro de la empresa y a traveacutes Internet
bull Utilizacioacuten simple a aprender para una persona quien tiene un acceso Internet
bull Posibilidad de crear un punto de acceso uacutenico para todas las aplicaciones de la empresa (poacutertico)
Seguridad de las redes
Arquitectura WEB - ejemplo practicoEthernet
Microsoft SQL
SERVER
Microsoft IIS +Aplicacioacuten WEB
dedicada desarrollada en Microsoft NET
Usuarios con Internet Explorer
Base de Datos
MiddlewareMicrosoftMDAC
ORACLE sgbd
Oracle
IBM Websphere +Aplicacioacuten WEB
dedicada desarrollada en
SUN Java
MiddlewareSUNJDBC
Seguridad de las redes
CLIENTES LIGEROSLIVIANOS NAVEGADORES WEB
sgbd
Programasdedicados
Servidor http
A
A
A
1 ndash Construccioacuten de la pagina
El servidor HTTP crea en su memoria una pagina WEB con los elementos enviados por los otros servidores La pagina puede contener componentes activos (activex applet java javascript vbscripthellip) y inertes (imagenes textoshellip)
Seguridad de las redes
Srv http
AA
2 ndash Recepcioacuten de la pagina
El servidor HTTP enviacutea la pagina elemento por elemento en la red El navegador recibe los componentes en el disco duro del cliente En el mismo tiempo la pagina es reconstruida en la memoria del navegador
A
cliente
A
A
Seguridad de las redes
3 ndash Interpretacioacuten de la pagina
El navegador presenta sobre la pantalla la pagina WEB y los elementos inertes Los componentes activos son enviados a las aplicaciones dedicadas a cada uno seguacuten el tipo
Navegador
A
A
A
Funcioacuten de presentacioacuten
Aplicaciones integradasA el navegador
Aplicacioacuten dedicadaa el navegador
descargada en opcioacuten
Funciones deejecucioacuten
Plug-in
Otras aplicaciones del computador cliente
Seguridad de las redes
bull Las informaciones son pegadas sobre el computador cliente- Mas raacutepido para recargar una pagina ya consultada- Falla de seguridad Una persona extranjera a la empresa puede consultar las informaciones Nunca olvidar vaciar la memoria permanente del navegador al fin del trabajo cuando se utiliza un computador publico
bull Todas las aplicaciones del cliente pueden ser utilizadas a traveacutes el navegador (Word Excel Adobe Acrobat Readerhellip)Por razoacuten de seguridad el navegador pregunta antes de ejecutar una aplicacioacuten no integrada cuando existe un riesgo (la totalidad de las funcionalidades siempre autorizadas es llamado ldquosandboxrdquo por analogia con el espacio protectado donde pueden jugar los nintildeos con arena)
bull Muchas aplicaciones ldquoPlug-Inrdquo disponiblesLas mas conocidas y utilizadas son FLASH PLAYER y JAVA Pero existen muchas otras (DIVX Player Google Tools Quicktime playerhellip)
Seguridad de las redes
Taller
Internet Explorer historia de un eacutexito
Firefox una alternativa
Seguridad de las redes
NAVEGADORES WEB Buenas practicasbull Respetar la configuracioacuten de seguridad- Nivel de seguridad por zona- Nivel de confidencialidad- Configuracioacuten de base de las opciones
bull Responder ldquoNordquo cada vez que el navigador pregunta una autorizacioacuten de ejecucioacuten de componentes activos no necesarios
bull Cerrar las ventanas de tipo ldquoPopuprdquo con la cruz Windows (o con ALT-F4) y no los botones propuestos cada vez que posible
bull No utilizar la gestioacuten automaacutetica de los formularios
bull Limpiar la memoria sobre el disco duro despueacutes utilizacioacuten sobre un computador publico
Seguridad de las redes
bull No descargar moacutedulos de aplicaciones no firmados por editores prestigiosos
bull Proteger el computador con un anti-virus- Programar un anaacutelisis perioacutedico (1 vez por semana)- Descargar las ultimas versiones (funcioacuten ldquoUpdaterdquo)- Activar la proteccioacuten ldquotiempo realrdquo
bull Proteger el computador con un anti-spyware- Programar un anaacutelisis perioacutedico (1 vez por semana)- Descargar las ultimas versiones (funcioacuten ldquoUpdaterdquo)- Activar la proteccioacuten ldquotiempo realrdquo de la base de ldquoregistryrdquo de Windows
bull No desactivar la funcionalidad ldquoanti-popuprdquo
bull No desactivar la funcionalidad ldquoanti-phishingrdquo (IE 7)
Seguridad de las redes
bull Actualizar perioacutedicamente Windows viacutea la funcionalidad ldquoWindows Updaterdquo
bull Limpiar perioacutedicamente los histoacutericos y la memoria sobre el disco duro (para la velocidad) Los cookies pueden permanecer activados (riesgo miacutenimo)
bull Por supuesto no consultar sitios conocidos para ser peligrosos (sitios de juegos ilegales de muacutesicas mp3 non autorizadas de venta de productos prohibidos)
bull En principio el navegador libro FIREFOX es conocido para ser menos sensible a los riesgos claacutesicos que Internet Explorer Pero en empresa y sobre Internet todas la aplicaciones WEB no son compatibles con FIREFOX
Seguridad de las redes
Taller
Consejos de configuracioacuten de Internet Explorer y Firefox
Utilizacioacuten de NetPrivacy
Anaacutelisis de comunicaciones non protegidas con Packetyser
(Busca Google)
Ficheros temporarios y histoacuterico (cdocuments and settingltusersgtlocal settings)
Seguridad de las redes
bullLa historia
- Creacioacuten de la nocioacuten de pagina Web en los antildeos 90 por Tim Berners Lee (responsable de la gestioacuten de las documentaciones del CERN en Ginebra)
- La idea ser capaz de integrar en una pagina de texto electroacutenico viacutenculos con otras paginas (importante para los artiacuteculos cientiacuteficos)
- La realizacioacuten creacioacuten del protocolo Hypertext y de la nocioacuten de URL (Uniform Ressource Locator)
- Marc Andreesseen (Universidad del Illinois) a evolucionado el protocolo insertando el grafico (MOSAIC)
SERVICIOS WEB - TECNOLOGIacuteAS DE BASE
Seguridad de las redes
bullLos principios HTTP
- Protocolo de intercambio entre el servidor y el navegador (HyperTextTransfert Protocol)
- Basado sobre los URL (httpIdPwdserverportpathpathfileparameters) utilizando uacutenicamente los 128 primeros coacutedigos US ascii
- ldquoStatelessrdquo El protocolo olvida todas las configuraciones del usuario cada vez que el navegador es cerrado =gt necesitad de otras tecnicas para guardar el contexto Re-escritura de los URL (ajuntando paraacutemetros id=xxxxxx) Paraacutemetros escondidos en la pagina Web (con el orden HTTP ldquopostrdquo) Cookies (un fichero de texto escrito sobre el computador cliente con
las informaciones de contexto)
Seguridad de las redes
bull Los principios contenido de un COOKIE
Nombre Nombre del cookie sobre el disco duro
Valor El valor de contexto necesario para el sitio Web consultado (uno por cookie)
Valididad Fecha de fin de vida Despueacutes esta fecha el navegador rechaza el acceso al cookie
Servidor(es) Lista de servidores autorizados a consultar el cookie
Pagina(s) Lista de paginas autorizadas a consultar el cookie
Asegurado True o False si True el cookie se puede consultar uacutenicamente con un acceso asegurado
Seguridad de las redes
bull Los principios HTML
- Lenguaje informaacutetico para escribir paginas Web (HyperTextMarkup Language)- El navegador es un interpretador de HTML- Siempre en evolucioacuten (norma actual = 40) publico
lthtmlgtltheadgtltTITLEgtUNEltTITLEgtltheadgtltFRAMESET COLS=0 FRAMEBORDER=NO
BORDER=0 FRAMESPACING=0gtltFRAME
SRC=seccionesUNEHOMEseccion_HTMLhtml NAME=menu FRAMEBORDER=NO MARGINWIDTH=0 MARGINHEIGHT=0 noresizeSCROLLING=AUTOgt
ltFRAME SRC=blankhtml NAME=____contenido FRAMEBORDER=NO noresize SCROLLING=AUTO MARGINWIDTH=0 MARGINHEIGHT=0gtltFRAMESETgtltNOFRAMESgt DescripcionltNOFRAMESgt
ltHTMLgt
Seguridad de las redes
bull Los principios limitaciones de HTML
- No interaccioacuten con el equipo cliente (histoacutericamente un lenguaje de presentacioacuten)pobre en funciones graficasPor eso creacioacuten de evoluciones a lado del lenguaje principal (para asegurar la compatibilidad) CSS XMLXSL DHTML
- Muy pobre en funcionalidades interactivas con el usuario (cliente inteligente) Utilizacioacuten de tecnologiacuteas complementarias Plug-In ActiveX JAVA Scripts y modelos de documentos
Seguridad de las redes
bull Los principios cliente inteligente
- 2 tecnologiacuteas compiladas Plug-ins ActiveX
- 2 tecnologiacuteas interpretadas Scripts Java
- La tecnologiacuteas compiladas son mas raacutepidas pero el programa descargado es especificado a el equipo
- Los plug-in y los componentes ActiveX son descargados y instalados una vez definitivamente con una programa de verificacioacuten automaacutetica de versioacuten
- Scripts y aplicaciones Java (applet) son descargadas cada vez que la memoria permanente del navegador es vaciada
Seguridad de las redes
bullLos principios PLUG-IN
- Especificaciones abiertas al puacuteblico- Desarrollado en C o C++- Un Plug-in para IE sobre Windows no puede funcionar en IE sobre
MacOS (compilado)- Los mas conocidos son los Plug-In multimedia
bullLos principios ActiveX
- Componentes Objetos (C++) proponiendo por Microsoft en su arquitectura COMDCOM
- Dedicados a Internet Explorer y Windows (existe una oferta para Unix Mac y sistemas IBM muy poco utilizada)
- Posibilidad de reutilizar los ActiveX integrados en programas Microsoft (MsOffice MsProjecthellip) y otros sobre el computador cliente
- Utilizados por numerosos proveedores de soluciones WEB
Seguridad de las redes
bullLos principios JAVA
- Especificaciones abiertas al puacuteblico una oferta de SUN- Interpretado (maquina virtual JAVA) por eso independiente de la
plataforma- Muy pesado en Kbits a descargar puede ser lento a la ejecucioacuten- Gestioacuten automaacutetica de versioacuten para las maquina virtual JAVA- Numerosos problemas de compatibilidad encontrados entre las
versiones- Posibilidad de crear componentes JAVA reutilizables (JAVA es un
lenguaje objeto) llamados JAVABEANS- Un lenguaje complejo a dominar para crear ldquoAppletsrdquo
httpjavasuncomdocsbookstutorial
Seguridad de las redes
bullLos principios servidor dinaacutemico
- Paginas estaacuteticas (guardadas sobre el disco duro del servidor) no pueden servir de apoyo para informaciones en tiempo real (horarios sitios de ventahellip)
- Necesitad de crear dinaacutemicamente paginas en la memoria del servidor
- 3 tecnologiacuteas estandartes script CGI propietarias de bajo nivel NSAPI ISAPI APACHE APIhellip propietarias de alto nivel ASP JAVA NET Coldfusion PHP JSPhellip
Seguridad de las redes
Taller
Demostraciones de Plug-In
Anaacutelisis de Cookies(cdocuments and settingltusersgtcookies)
Utilizacioacuten de un ldquoCookie Viewerrdquo
Seguridad de las redes
SERVICIOS WEB SEGURIDADbullLas necesidades- Identificar el usuario y sus autorizaciones- Asegurar los intercambios de informaciones- Prohibir la posibilidad de negar una transaccioacuten
bullLas soluciones- Utilizar un algoritmo de cifrado (PGP RSA DES TripleDES)- Integrar el cifrado en el protocolo HTTP (hecho por Netscape con su
oferta llamada Secure Socket Layer y integrada en la norma HTTPS)- Trabajar con claves de cifrado (certificado electroacutenico ndash norma X509) La
gestioacuten de las claves necesita la definicioacuten en la empresa de un PKI (Public Key Infrastructure)
- Utilizar sistemas transaccionales- Indicado al usuario en el navegador por siacutembolos
Seguridad de las redes
Cifrado y HTTPS
bullLos principios de los meacutetodos de cifrado
Clave simeacutetrica los paquetes son cifrados y descifrados con el mismo algoritmo y la misma clave numeacuterica (DES TripleDES)
- Clave asimeacutetrica los paquetes son cifrados con el mismo algoritmo pero la clave inicial no puede ser utilizada para invertir el proceso El descifrado necesita una clave uacutenica vinculada a la primera por relaciones matemaacuteticas (RSA PGP)
- La fuerza del coacutedigo depende de la complexidad de la(s) clave(s) (en numero de cifras)
Seguridad de las redes
bull Principio de intercambio de claves de cifrado para establecer una comunicacioacuten SSL
Generacioacuten de un juego de claves (1C1D)
Envioacute de la clave 1C (clave publica) sin cifrado
Generacioacuten de un juego de claves (2C2D)
1C
Cifrado de la clave 2C con 1C
Envioacute de la clave 2C cifrada (seguridad alta)2C (certificado electroacutenico)
Generacioacuten de una clave de cifrado para el Tuacutenel (CT)
Cifrado de la clave CT con 2C
Descifrado de la clave 2C con 1D (completamente secreta)
Envioacute de la clave CT (clave simeacutetrica) cifrada (seguridad alta) CT
Intercambio cifrado con CT Intercambio cifrado con CT
Descifrado de la clave CT con 2D (completamente secreta)
Seguridad de las redes
Taller
Historia de RSA firma digital y certificados X509
Anaacutelisis de comunicaciones cifradas en HTTPS con un banco
Anaacutelisis de certificados de seguridad
Seguridad de las redes
Seguridad y WEB 2
bullPropuesto en 2004 por OrsquoReilly Media (WEB 20)
bullUn nombre geneacuterico para los servicios nuevos de Internet de estos uacuteltimos antildeos
- Social Networking Sites- Folksonomy (como Wikipedia wikis blogs Youtubehellip)- Y otros sitios orientados relaciones humanas
bullEn general sitios con nivel de seguridad muy pobre sin control Riesgo de divulgacioacuten de datos confidenciales
Seguridad de las redes
Taller
Historia del concepto WEB2
Concepto y lista de ldquoRed Socialrdquo(Social Networking Sites)
Exploracioacuten de sitios WEB2wwwfinclucom delicious
wwwflickrcom wwwzooomrcomflofcomar
www43thingscom
Seguridad de las redes
Responsabilidades y requisitos juriacutedicos
La responsabilidad de la empresa puede ser implicada en caso
bullDe destruccioacuten de datos con plazos de conservacioacuten legales (facturas justificativos de gastos contratos juriacutedicoshellip)
bullDe infeccioacuten de los sistemas de las empresas vinculadas (clientes o proveedores)
bullDe divulgacioacuten de informaciones confidenciales voluntarias o nobullDe no respecto de las leyes de la propiedad intelectual o vida privada
voluntario o nobullDe contratos clientes con claacuteusulas de plazos de respuesta miacutenimos
imposible a respectar por razoacuten de problemas internos (diferentes de casos de fuerza mayor)
De manera general probar que todos los recursos de seguridad posibles son aplicados en la empresa puede atenuar la responsabilidad juriacutedica
pero no eliminarla completamente
Seguridad de las redes
El trabajo juriacutedico para el caso particular del comercio enliacutenea
- Contrato en liacutenea para los visitantes- Contrato con el banco pago asegurado- Derechos vinculados a la publicidad en liacutenea- Derechos de los servicios especiacuteficos en liacutenea (avocado
periodista medicohellip)- Fiscalidad del comercio electroacutenico- Derecho Internacional- Derecho de la propiedad intelectual proteccioacuten de las
paginas (sistema IDDN httpwwwiddnorg)- Respeto de la vida privada- Derecho de los viacutenculos Hipertextos (frame)
Seguridad de las redes
Taller
Anaacutelisis de las menciones legales de sitios puacuteblicos
wwwbancafecomwwwmercadolibrecomcowwwelcolombianocom
wwweltiempocomwwwgibaudcomesportadahtml
wwwportaleycomwwwunenetco
Seguridad de las redes
PCN (Plan de Continuidad del Negocio) y redes
Un sinistro mayor o un periodo de indisponibilidad puede siempre ocurrir en caso
bull De fallo de los sistemas y procesos de seguridadbull De cataacutestrofe naturalbull De negligencia de un vecino o de accidente mayor a proximidadbull De fallo de la alimentacioacuten eleacutectrica general muchos diacuteasbull De fallo de alimentacioacuten en agua muchos diacuteasbull De fallo del aire condicionado muchos diacuteasbull De evacuacioacuten obligatoria del edificiobull De actos voluntarios de destruccioacutenbull De obras mayores en el lugar de la empresa
El objetivo del PCN es de asegurar las actividades vitales de la empresa el tiempo necesario para re establecer el servicio normal
Seguridad de las redes
bull PCN aplicado a las comunicaciones y las redes- Disponibilidad de las liacuteneas permanentes de datos y voz- Disponibilidad del acceso Internet- Disponibilidad de los equipos de comunicaciones puntuales (tel fax)- Disponibilidad de los sistemas de correos electroacutenicos- Disponibilidad de los sistemas de video conferencia- Disponibilidad de las comunicaciones non electroacutenicas (correo papel
transportes de colaboradores y paquetes entre sitios de la empresa)
- Soluciones Sistemas de socorro de backup (a precios y capacidades degradados) Garantiacuteas de plazo de restablecimiento por los proveedores Red de celulares de socorro Fax teleacutefono y accesos Internet publicos a proximidad (Wifi Wimax) Utilizacioacuten de los accesos Internet privados con VPN Buzones de correos electroacutenicos puacuteblicos (gmail yahoo hotmailhellip) Alianza con flotas de taxi y proveedores de servicios de mensajeros
Seguridad de las redes
Ejemplo de PCN en una empresa real
bull Presentacioacuten- 300 empleos en la casa matriz 200 en delegaciones en el mundo- 2 sitios de produccioacuten industrial 1 subcontratista para la logiacutestica- Desde 2004 cada fabrica es el sitio de backup de la otra- Objetivo 2006 PCN de la casa matriz- Objetivo 2007 PCN de las delegaciones- Un logo
Casa MatrizDelegaciones
Fabrica 1 Fabrica 2
VPN
2 Mbitss
2 Mbitss2 Mbitss
Logiacutestica (depoacutesitos)
Seguridad de las redes
bull PCN aplicado a las redes- Instalacioacuten de una sala informaacutetica de backup en la fabrica 1- Instalacioacuten de una liacutenea Internet en la fabrica 1 dedicada al VPN- Instalacioacuten de una sala de trabajo para 12 empleos en la fabrica 1
(con teleacutefonos fax impresora y computadores)- Inversiones totales 25 de los presupuestos informaacuteticos- Utilizacioacuten de un acceso VPN privado a la casa para los otros
empleados
Casa MatrizDelegaciones
Fabrica 1 Fabrica 2
VPN
2 Mbitss
2 Mbitss2 Mbitss
Logiacutestica (depoacutesitos)
5 servidores1 AS40012 portaacutetiles1 impresora1 switch de red1 firewall
Acesso Internet 1 Mbitss
Seguridad de las redes
Auditoria y indicadores de riesgos
bullMicrosoft Security Assessment ToolsbullIndicadores de Seguridad Excel
Seguridad de las redes
UTILIZACIOacuteN EFICAZ Y SIN RIESGO DE LAS TECNOLOGIacuteAS WEB
Seguridad de las redes
PRINCIPIOS DE LAS ARQUITECTURAS CLIENTESERVIDORModelos de tecnologiacuteas ClienteServidor (Gartner Group)
Presentacioacuten
Gestioacuten de Datos
Aplicacioacuten
Presentacioacuten
Gestioacuten de Datos
Aplicacioacuten
Presentacioacuten
Gestioacuten de Datos
Aplicacioacuten
Presentacioacuten
Gestioacuten de Datos
Aplicacioacuten
Aplicacioacuten
Presentacioacuten
Gestioacuten de Datos
Gestioacuten de Datos
Aplicacioacuten
Aplicacioacuten
Presentacioacuten
Gestioacuten de Datos
Aplicacioacuten
Presentacioacuten
Gestioacuten de Datos
Cliente
Servidor
Presentacioacutendistribuida
Presentacioacutendistante
Gestioacuten dedatos distante
Tratamientosdistribuidos
Gestioacuten dedatos distribuida
Tratamientos ydatos distribuidos
Seguridad de las redes
Gestioacuten de Datos
Aplicacioacuten
Aplicacioacuten
Presentacioacuten
Tratamientosdistribuidos
Cliente
Servidor
Modelo de las aplicaciones con clientes ligeros
Los tratamientos son repartidos seguacuten el poder de los computadores
- Base de datos y tratamientos pesados sobre el servidor
- Tratamientos ligeros sobre el cliente (como la parte GUI por ejemplo)
Ejemplos- Tecnologiacuteas WEB- Aplicaciones
Clienteservidor de los antildeos 2000
Seguridad de las redes
Modelo claacutesico de las tecnologiacuteas WEB
Gestioacuten de Datos
Aplicacioacuten
Aplicacioacuten
Presentacioacuten
Tratamientosdistribuidos
Cliente
Servidor
Sistemas de Gestioacuten de Base de Datos SGBDR (Oracle Sql Server MySql DB2hellip)
Servidor HTTP (Microsoft IIS Lotus Domino Apache Webspherehellip)+ programas dedicados
Tecnologiacuteas dinaacutemicas en el navegador(VBScript Javascript ActiveX Javahellip)
Navegador Internet (browser)(Internet Explorer Firefoxhellip)
Seguridad de las redes
Diferencias entre las generaciones de modelos clienteservidor
bull Cliente pesado - Muchos tratamientos sobre el cliente- Necesita la instalacioacuten fiacutesica de programas sobre el cliente- Carga deacutebil para la red arquitectura adaptada a las comunicaciones internacionales
bull Cliente ligeroliviano - Muy poco tratamientos sobre el cliente- Posibilidad de descargar automaacuteticamente los programas por la red- Carga importante para viacutenculos de red deacutebiles
Seguridad de las redes
Arquitecturas fiacutesicas de los modelos clienteservidor
Gestioacuten de Datos
Aplicacioacuten
Aplicacioacuten
Presentacioacuten
Tratamientosdistribuidos
Cliente
Servidor
ArquitecturaEn 2 niveles
ArquitecturaEn 3 niveles
Seguridad de las redes
Gestioacuten de Datos
Aplicacioacuten
Aplicacioacuten
Presentacioacuten
Tratamientosdistribuidos
Cliente
Servidor
ArquitecturaEn 4 niveles
Sgbd
Programasdedicados
Servidor http
Seguridad de las redes
Ventajas de los modelos ClienteServidor con tecnologiacuteas WEB
bull Apoyo de los sistemas heterogeacuteneos- Cliente Windows MacOs Unix (BSD Linux etchellip) celulares PDA- Servidor Programas disponibles sobre Unix Windows AS400hellip
bull Utilizacioacuten ideacutentica al dentro de la empresa y a traveacutes Internet
bull Utilizacioacuten simple a aprender para una persona quien tiene un acceso Internet
bull Posibilidad de crear un punto de acceso uacutenico para todas las aplicaciones de la empresa (poacutertico)
Seguridad de las redes
Arquitectura WEB - ejemplo practicoEthernet
Microsoft SQL
SERVER
Microsoft IIS +Aplicacioacuten WEB
dedicada desarrollada en Microsoft NET
Usuarios con Internet Explorer
Base de Datos
MiddlewareMicrosoftMDAC
ORACLE sgbd
Oracle
IBM Websphere +Aplicacioacuten WEB
dedicada desarrollada en
SUN Java
MiddlewareSUNJDBC
Seguridad de las redes
CLIENTES LIGEROSLIVIANOS NAVEGADORES WEB
sgbd
Programasdedicados
Servidor http
A
A
A
1 ndash Construccioacuten de la pagina
El servidor HTTP crea en su memoria una pagina WEB con los elementos enviados por los otros servidores La pagina puede contener componentes activos (activex applet java javascript vbscripthellip) y inertes (imagenes textoshellip)
Seguridad de las redes
Srv http
AA
2 ndash Recepcioacuten de la pagina
El servidor HTTP enviacutea la pagina elemento por elemento en la red El navegador recibe los componentes en el disco duro del cliente En el mismo tiempo la pagina es reconstruida en la memoria del navegador
A
cliente
A
A
Seguridad de las redes
3 ndash Interpretacioacuten de la pagina
El navegador presenta sobre la pantalla la pagina WEB y los elementos inertes Los componentes activos son enviados a las aplicaciones dedicadas a cada uno seguacuten el tipo
Navegador
A
A
A
Funcioacuten de presentacioacuten
Aplicaciones integradasA el navegador
Aplicacioacuten dedicadaa el navegador
descargada en opcioacuten
Funciones deejecucioacuten
Plug-in
Otras aplicaciones del computador cliente
Seguridad de las redes
bull Las informaciones son pegadas sobre el computador cliente- Mas raacutepido para recargar una pagina ya consultada- Falla de seguridad Una persona extranjera a la empresa puede consultar las informaciones Nunca olvidar vaciar la memoria permanente del navegador al fin del trabajo cuando se utiliza un computador publico
bull Todas las aplicaciones del cliente pueden ser utilizadas a traveacutes el navegador (Word Excel Adobe Acrobat Readerhellip)Por razoacuten de seguridad el navegador pregunta antes de ejecutar una aplicacioacuten no integrada cuando existe un riesgo (la totalidad de las funcionalidades siempre autorizadas es llamado ldquosandboxrdquo por analogia con el espacio protectado donde pueden jugar los nintildeos con arena)
bull Muchas aplicaciones ldquoPlug-Inrdquo disponiblesLas mas conocidas y utilizadas son FLASH PLAYER y JAVA Pero existen muchas otras (DIVX Player Google Tools Quicktime playerhellip)
Seguridad de las redes
Taller
Internet Explorer historia de un eacutexito
Firefox una alternativa
Seguridad de las redes
NAVEGADORES WEB Buenas practicasbull Respetar la configuracioacuten de seguridad- Nivel de seguridad por zona- Nivel de confidencialidad- Configuracioacuten de base de las opciones
bull Responder ldquoNordquo cada vez que el navigador pregunta una autorizacioacuten de ejecucioacuten de componentes activos no necesarios
bull Cerrar las ventanas de tipo ldquoPopuprdquo con la cruz Windows (o con ALT-F4) y no los botones propuestos cada vez que posible
bull No utilizar la gestioacuten automaacutetica de los formularios
bull Limpiar la memoria sobre el disco duro despueacutes utilizacioacuten sobre un computador publico
Seguridad de las redes
bull No descargar moacutedulos de aplicaciones no firmados por editores prestigiosos
bull Proteger el computador con un anti-virus- Programar un anaacutelisis perioacutedico (1 vez por semana)- Descargar las ultimas versiones (funcioacuten ldquoUpdaterdquo)- Activar la proteccioacuten ldquotiempo realrdquo
bull Proteger el computador con un anti-spyware- Programar un anaacutelisis perioacutedico (1 vez por semana)- Descargar las ultimas versiones (funcioacuten ldquoUpdaterdquo)- Activar la proteccioacuten ldquotiempo realrdquo de la base de ldquoregistryrdquo de Windows
bull No desactivar la funcionalidad ldquoanti-popuprdquo
bull No desactivar la funcionalidad ldquoanti-phishingrdquo (IE 7)
Seguridad de las redes
bull Actualizar perioacutedicamente Windows viacutea la funcionalidad ldquoWindows Updaterdquo
bull Limpiar perioacutedicamente los histoacutericos y la memoria sobre el disco duro (para la velocidad) Los cookies pueden permanecer activados (riesgo miacutenimo)
bull Por supuesto no consultar sitios conocidos para ser peligrosos (sitios de juegos ilegales de muacutesicas mp3 non autorizadas de venta de productos prohibidos)
bull En principio el navegador libro FIREFOX es conocido para ser menos sensible a los riesgos claacutesicos que Internet Explorer Pero en empresa y sobre Internet todas la aplicaciones WEB no son compatibles con FIREFOX
Seguridad de las redes
Taller
Consejos de configuracioacuten de Internet Explorer y Firefox
Utilizacioacuten de NetPrivacy
Anaacutelisis de comunicaciones non protegidas con Packetyser
(Busca Google)
Ficheros temporarios y histoacuterico (cdocuments and settingltusersgtlocal settings)
Seguridad de las redes
bullLa historia
- Creacioacuten de la nocioacuten de pagina Web en los antildeos 90 por Tim Berners Lee (responsable de la gestioacuten de las documentaciones del CERN en Ginebra)
- La idea ser capaz de integrar en una pagina de texto electroacutenico viacutenculos con otras paginas (importante para los artiacuteculos cientiacuteficos)
- La realizacioacuten creacioacuten del protocolo Hypertext y de la nocioacuten de URL (Uniform Ressource Locator)
- Marc Andreesseen (Universidad del Illinois) a evolucionado el protocolo insertando el grafico (MOSAIC)
SERVICIOS WEB - TECNOLOGIacuteAS DE BASE
Seguridad de las redes
bullLos principios HTTP
- Protocolo de intercambio entre el servidor y el navegador (HyperTextTransfert Protocol)
- Basado sobre los URL (httpIdPwdserverportpathpathfileparameters) utilizando uacutenicamente los 128 primeros coacutedigos US ascii
- ldquoStatelessrdquo El protocolo olvida todas las configuraciones del usuario cada vez que el navegador es cerrado =gt necesitad de otras tecnicas para guardar el contexto Re-escritura de los URL (ajuntando paraacutemetros id=xxxxxx) Paraacutemetros escondidos en la pagina Web (con el orden HTTP ldquopostrdquo) Cookies (un fichero de texto escrito sobre el computador cliente con
las informaciones de contexto)
Seguridad de las redes
bull Los principios contenido de un COOKIE
Nombre Nombre del cookie sobre el disco duro
Valor El valor de contexto necesario para el sitio Web consultado (uno por cookie)
Valididad Fecha de fin de vida Despueacutes esta fecha el navegador rechaza el acceso al cookie
Servidor(es) Lista de servidores autorizados a consultar el cookie
Pagina(s) Lista de paginas autorizadas a consultar el cookie
Asegurado True o False si True el cookie se puede consultar uacutenicamente con un acceso asegurado
Seguridad de las redes
bull Los principios HTML
- Lenguaje informaacutetico para escribir paginas Web (HyperTextMarkup Language)- El navegador es un interpretador de HTML- Siempre en evolucioacuten (norma actual = 40) publico
lthtmlgtltheadgtltTITLEgtUNEltTITLEgtltheadgtltFRAMESET COLS=0 FRAMEBORDER=NO
BORDER=0 FRAMESPACING=0gtltFRAME
SRC=seccionesUNEHOMEseccion_HTMLhtml NAME=menu FRAMEBORDER=NO MARGINWIDTH=0 MARGINHEIGHT=0 noresizeSCROLLING=AUTOgt
ltFRAME SRC=blankhtml NAME=____contenido FRAMEBORDER=NO noresize SCROLLING=AUTO MARGINWIDTH=0 MARGINHEIGHT=0gtltFRAMESETgtltNOFRAMESgt DescripcionltNOFRAMESgt
ltHTMLgt
Seguridad de las redes
bull Los principios limitaciones de HTML
- No interaccioacuten con el equipo cliente (histoacutericamente un lenguaje de presentacioacuten)pobre en funciones graficasPor eso creacioacuten de evoluciones a lado del lenguaje principal (para asegurar la compatibilidad) CSS XMLXSL DHTML
- Muy pobre en funcionalidades interactivas con el usuario (cliente inteligente) Utilizacioacuten de tecnologiacuteas complementarias Plug-In ActiveX JAVA Scripts y modelos de documentos
Seguridad de las redes
bull Los principios cliente inteligente
- 2 tecnologiacuteas compiladas Plug-ins ActiveX
- 2 tecnologiacuteas interpretadas Scripts Java
- La tecnologiacuteas compiladas son mas raacutepidas pero el programa descargado es especificado a el equipo
- Los plug-in y los componentes ActiveX son descargados y instalados una vez definitivamente con una programa de verificacioacuten automaacutetica de versioacuten
- Scripts y aplicaciones Java (applet) son descargadas cada vez que la memoria permanente del navegador es vaciada
Seguridad de las redes
bullLos principios PLUG-IN
- Especificaciones abiertas al puacuteblico- Desarrollado en C o C++- Un Plug-in para IE sobre Windows no puede funcionar en IE sobre
MacOS (compilado)- Los mas conocidos son los Plug-In multimedia
bullLos principios ActiveX
- Componentes Objetos (C++) proponiendo por Microsoft en su arquitectura COMDCOM
- Dedicados a Internet Explorer y Windows (existe una oferta para Unix Mac y sistemas IBM muy poco utilizada)
- Posibilidad de reutilizar los ActiveX integrados en programas Microsoft (MsOffice MsProjecthellip) y otros sobre el computador cliente
- Utilizados por numerosos proveedores de soluciones WEB
Seguridad de las redes
bullLos principios JAVA
- Especificaciones abiertas al puacuteblico una oferta de SUN- Interpretado (maquina virtual JAVA) por eso independiente de la
plataforma- Muy pesado en Kbits a descargar puede ser lento a la ejecucioacuten- Gestioacuten automaacutetica de versioacuten para las maquina virtual JAVA- Numerosos problemas de compatibilidad encontrados entre las
versiones- Posibilidad de crear componentes JAVA reutilizables (JAVA es un
lenguaje objeto) llamados JAVABEANS- Un lenguaje complejo a dominar para crear ldquoAppletsrdquo
httpjavasuncomdocsbookstutorial
Seguridad de las redes
bullLos principios servidor dinaacutemico
- Paginas estaacuteticas (guardadas sobre el disco duro del servidor) no pueden servir de apoyo para informaciones en tiempo real (horarios sitios de ventahellip)
- Necesitad de crear dinaacutemicamente paginas en la memoria del servidor
- 3 tecnologiacuteas estandartes script CGI propietarias de bajo nivel NSAPI ISAPI APACHE APIhellip propietarias de alto nivel ASP JAVA NET Coldfusion PHP JSPhellip
Seguridad de las redes
Taller
Demostraciones de Plug-In
Anaacutelisis de Cookies(cdocuments and settingltusersgtcookies)
Utilizacioacuten de un ldquoCookie Viewerrdquo
Seguridad de las redes
SERVICIOS WEB SEGURIDADbullLas necesidades- Identificar el usuario y sus autorizaciones- Asegurar los intercambios de informaciones- Prohibir la posibilidad de negar una transaccioacuten
bullLas soluciones- Utilizar un algoritmo de cifrado (PGP RSA DES TripleDES)- Integrar el cifrado en el protocolo HTTP (hecho por Netscape con su
oferta llamada Secure Socket Layer y integrada en la norma HTTPS)- Trabajar con claves de cifrado (certificado electroacutenico ndash norma X509) La
gestioacuten de las claves necesita la definicioacuten en la empresa de un PKI (Public Key Infrastructure)
- Utilizar sistemas transaccionales- Indicado al usuario en el navegador por siacutembolos
Seguridad de las redes
Cifrado y HTTPS
bullLos principios de los meacutetodos de cifrado
Clave simeacutetrica los paquetes son cifrados y descifrados con el mismo algoritmo y la misma clave numeacuterica (DES TripleDES)
- Clave asimeacutetrica los paquetes son cifrados con el mismo algoritmo pero la clave inicial no puede ser utilizada para invertir el proceso El descifrado necesita una clave uacutenica vinculada a la primera por relaciones matemaacuteticas (RSA PGP)
- La fuerza del coacutedigo depende de la complexidad de la(s) clave(s) (en numero de cifras)
Seguridad de las redes
bull Principio de intercambio de claves de cifrado para establecer una comunicacioacuten SSL
Generacioacuten de un juego de claves (1C1D)
Envioacute de la clave 1C (clave publica) sin cifrado
Generacioacuten de un juego de claves (2C2D)
1C
Cifrado de la clave 2C con 1C
Envioacute de la clave 2C cifrada (seguridad alta)2C (certificado electroacutenico)
Generacioacuten de una clave de cifrado para el Tuacutenel (CT)
Cifrado de la clave CT con 2C
Descifrado de la clave 2C con 1D (completamente secreta)
Envioacute de la clave CT (clave simeacutetrica) cifrada (seguridad alta) CT
Intercambio cifrado con CT Intercambio cifrado con CT
Descifrado de la clave CT con 2D (completamente secreta)
Seguridad de las redes
Taller
Historia de RSA firma digital y certificados X509
Anaacutelisis de comunicaciones cifradas en HTTPS con un banco
Anaacutelisis de certificados de seguridad
Seguridad de las redes
Seguridad y WEB 2
bullPropuesto en 2004 por OrsquoReilly Media (WEB 20)
bullUn nombre geneacuterico para los servicios nuevos de Internet de estos uacuteltimos antildeos
- Social Networking Sites- Folksonomy (como Wikipedia wikis blogs Youtubehellip)- Y otros sitios orientados relaciones humanas
bullEn general sitios con nivel de seguridad muy pobre sin control Riesgo de divulgacioacuten de datos confidenciales
Seguridad de las redes
Taller
Historia del concepto WEB2
Concepto y lista de ldquoRed Socialrdquo(Social Networking Sites)
Exploracioacuten de sitios WEB2wwwfinclucom delicious
wwwflickrcom wwwzooomrcomflofcomar
www43thingscom
Seguridad de las redes
El trabajo juriacutedico para el caso particular del comercio enliacutenea
- Contrato en liacutenea para los visitantes- Contrato con el banco pago asegurado- Derechos vinculados a la publicidad en liacutenea- Derechos de los servicios especiacuteficos en liacutenea (avocado
periodista medicohellip)- Fiscalidad del comercio electroacutenico- Derecho Internacional- Derecho de la propiedad intelectual proteccioacuten de las
paginas (sistema IDDN httpwwwiddnorg)- Respeto de la vida privada- Derecho de los viacutenculos Hipertextos (frame)
Seguridad de las redes
Taller
Anaacutelisis de las menciones legales de sitios puacuteblicos
wwwbancafecomwwwmercadolibrecomcowwwelcolombianocom
wwweltiempocomwwwgibaudcomesportadahtml
wwwportaleycomwwwunenetco
Seguridad de las redes
PCN (Plan de Continuidad del Negocio) y redes
Un sinistro mayor o un periodo de indisponibilidad puede siempre ocurrir en caso
bull De fallo de los sistemas y procesos de seguridadbull De cataacutestrofe naturalbull De negligencia de un vecino o de accidente mayor a proximidadbull De fallo de la alimentacioacuten eleacutectrica general muchos diacuteasbull De fallo de alimentacioacuten en agua muchos diacuteasbull De fallo del aire condicionado muchos diacuteasbull De evacuacioacuten obligatoria del edificiobull De actos voluntarios de destruccioacutenbull De obras mayores en el lugar de la empresa
El objetivo del PCN es de asegurar las actividades vitales de la empresa el tiempo necesario para re establecer el servicio normal
Seguridad de las redes
bull PCN aplicado a las comunicaciones y las redes- Disponibilidad de las liacuteneas permanentes de datos y voz- Disponibilidad del acceso Internet- Disponibilidad de los equipos de comunicaciones puntuales (tel fax)- Disponibilidad de los sistemas de correos electroacutenicos- Disponibilidad de los sistemas de video conferencia- Disponibilidad de las comunicaciones non electroacutenicas (correo papel
transportes de colaboradores y paquetes entre sitios de la empresa)
- Soluciones Sistemas de socorro de backup (a precios y capacidades degradados) Garantiacuteas de plazo de restablecimiento por los proveedores Red de celulares de socorro Fax teleacutefono y accesos Internet publicos a proximidad (Wifi Wimax) Utilizacioacuten de los accesos Internet privados con VPN Buzones de correos electroacutenicos puacuteblicos (gmail yahoo hotmailhellip) Alianza con flotas de taxi y proveedores de servicios de mensajeros
Seguridad de las redes
Ejemplo de PCN en una empresa real
bull Presentacioacuten- 300 empleos en la casa matriz 200 en delegaciones en el mundo- 2 sitios de produccioacuten industrial 1 subcontratista para la logiacutestica- Desde 2004 cada fabrica es el sitio de backup de la otra- Objetivo 2006 PCN de la casa matriz- Objetivo 2007 PCN de las delegaciones- Un logo
Casa MatrizDelegaciones
Fabrica 1 Fabrica 2
VPN
2 Mbitss
2 Mbitss2 Mbitss
Logiacutestica (depoacutesitos)
Seguridad de las redes
bull PCN aplicado a las redes- Instalacioacuten de una sala informaacutetica de backup en la fabrica 1- Instalacioacuten de una liacutenea Internet en la fabrica 1 dedicada al VPN- Instalacioacuten de una sala de trabajo para 12 empleos en la fabrica 1
(con teleacutefonos fax impresora y computadores)- Inversiones totales 25 de los presupuestos informaacuteticos- Utilizacioacuten de un acceso VPN privado a la casa para los otros
empleados
Casa MatrizDelegaciones
Fabrica 1 Fabrica 2
VPN
2 Mbitss
2 Mbitss2 Mbitss
Logiacutestica (depoacutesitos)
5 servidores1 AS40012 portaacutetiles1 impresora1 switch de red1 firewall
Acesso Internet 1 Mbitss
Seguridad de las redes
Auditoria y indicadores de riesgos
bullMicrosoft Security Assessment ToolsbullIndicadores de Seguridad Excel
Seguridad de las redes
UTILIZACIOacuteN EFICAZ Y SIN RIESGO DE LAS TECNOLOGIacuteAS WEB
Seguridad de las redes
PRINCIPIOS DE LAS ARQUITECTURAS CLIENTESERVIDORModelos de tecnologiacuteas ClienteServidor (Gartner Group)
Presentacioacuten
Gestioacuten de Datos
Aplicacioacuten
Presentacioacuten
Gestioacuten de Datos
Aplicacioacuten
Presentacioacuten
Gestioacuten de Datos
Aplicacioacuten
Presentacioacuten
Gestioacuten de Datos
Aplicacioacuten
Aplicacioacuten
Presentacioacuten
Gestioacuten de Datos
Gestioacuten de Datos
Aplicacioacuten
Aplicacioacuten
Presentacioacuten
Gestioacuten de Datos
Aplicacioacuten
Presentacioacuten
Gestioacuten de Datos
Cliente
Servidor
Presentacioacutendistribuida
Presentacioacutendistante
Gestioacuten dedatos distante
Tratamientosdistribuidos
Gestioacuten dedatos distribuida
Tratamientos ydatos distribuidos
Seguridad de las redes
Gestioacuten de Datos
Aplicacioacuten
Aplicacioacuten
Presentacioacuten
Tratamientosdistribuidos
Cliente
Servidor
Modelo de las aplicaciones con clientes ligeros
Los tratamientos son repartidos seguacuten el poder de los computadores
- Base de datos y tratamientos pesados sobre el servidor
- Tratamientos ligeros sobre el cliente (como la parte GUI por ejemplo)
Ejemplos- Tecnologiacuteas WEB- Aplicaciones
Clienteservidor de los antildeos 2000
Seguridad de las redes
Modelo claacutesico de las tecnologiacuteas WEB
Gestioacuten de Datos
Aplicacioacuten
Aplicacioacuten
Presentacioacuten
Tratamientosdistribuidos
Cliente
Servidor
Sistemas de Gestioacuten de Base de Datos SGBDR (Oracle Sql Server MySql DB2hellip)
Servidor HTTP (Microsoft IIS Lotus Domino Apache Webspherehellip)+ programas dedicados
Tecnologiacuteas dinaacutemicas en el navegador(VBScript Javascript ActiveX Javahellip)
Navegador Internet (browser)(Internet Explorer Firefoxhellip)
Seguridad de las redes
Diferencias entre las generaciones de modelos clienteservidor
bull Cliente pesado - Muchos tratamientos sobre el cliente- Necesita la instalacioacuten fiacutesica de programas sobre el cliente- Carga deacutebil para la red arquitectura adaptada a las comunicaciones internacionales
bull Cliente ligeroliviano - Muy poco tratamientos sobre el cliente- Posibilidad de descargar automaacuteticamente los programas por la red- Carga importante para viacutenculos de red deacutebiles
Seguridad de las redes
Arquitecturas fiacutesicas de los modelos clienteservidor
Gestioacuten de Datos
Aplicacioacuten
Aplicacioacuten
Presentacioacuten
Tratamientosdistribuidos
Cliente
Servidor
ArquitecturaEn 2 niveles
ArquitecturaEn 3 niveles
Seguridad de las redes
Gestioacuten de Datos
Aplicacioacuten
Aplicacioacuten
Presentacioacuten
Tratamientosdistribuidos
Cliente
Servidor
ArquitecturaEn 4 niveles
Sgbd
Programasdedicados
Servidor http
Seguridad de las redes
Ventajas de los modelos ClienteServidor con tecnologiacuteas WEB
bull Apoyo de los sistemas heterogeacuteneos- Cliente Windows MacOs Unix (BSD Linux etchellip) celulares PDA- Servidor Programas disponibles sobre Unix Windows AS400hellip
bull Utilizacioacuten ideacutentica al dentro de la empresa y a traveacutes Internet
bull Utilizacioacuten simple a aprender para una persona quien tiene un acceso Internet
bull Posibilidad de crear un punto de acceso uacutenico para todas las aplicaciones de la empresa (poacutertico)
Seguridad de las redes
Arquitectura WEB - ejemplo practicoEthernet
Microsoft SQL
SERVER
Microsoft IIS +Aplicacioacuten WEB
dedicada desarrollada en Microsoft NET
Usuarios con Internet Explorer
Base de Datos
MiddlewareMicrosoftMDAC
ORACLE sgbd
Oracle
IBM Websphere +Aplicacioacuten WEB
dedicada desarrollada en
SUN Java
MiddlewareSUNJDBC
Seguridad de las redes
CLIENTES LIGEROSLIVIANOS NAVEGADORES WEB
sgbd
Programasdedicados
Servidor http
A
A
A
1 ndash Construccioacuten de la pagina
El servidor HTTP crea en su memoria una pagina WEB con los elementos enviados por los otros servidores La pagina puede contener componentes activos (activex applet java javascript vbscripthellip) y inertes (imagenes textoshellip)
Seguridad de las redes
Srv http
AA
2 ndash Recepcioacuten de la pagina
El servidor HTTP enviacutea la pagina elemento por elemento en la red El navegador recibe los componentes en el disco duro del cliente En el mismo tiempo la pagina es reconstruida en la memoria del navegador
A
cliente
A
A
Seguridad de las redes
3 ndash Interpretacioacuten de la pagina
El navegador presenta sobre la pantalla la pagina WEB y los elementos inertes Los componentes activos son enviados a las aplicaciones dedicadas a cada uno seguacuten el tipo
Navegador
A
A
A
Funcioacuten de presentacioacuten
Aplicaciones integradasA el navegador
Aplicacioacuten dedicadaa el navegador
descargada en opcioacuten
Funciones deejecucioacuten
Plug-in
Otras aplicaciones del computador cliente
Seguridad de las redes
bull Las informaciones son pegadas sobre el computador cliente- Mas raacutepido para recargar una pagina ya consultada- Falla de seguridad Una persona extranjera a la empresa puede consultar las informaciones Nunca olvidar vaciar la memoria permanente del navegador al fin del trabajo cuando se utiliza un computador publico
bull Todas las aplicaciones del cliente pueden ser utilizadas a traveacutes el navegador (Word Excel Adobe Acrobat Readerhellip)Por razoacuten de seguridad el navegador pregunta antes de ejecutar una aplicacioacuten no integrada cuando existe un riesgo (la totalidad de las funcionalidades siempre autorizadas es llamado ldquosandboxrdquo por analogia con el espacio protectado donde pueden jugar los nintildeos con arena)
bull Muchas aplicaciones ldquoPlug-Inrdquo disponiblesLas mas conocidas y utilizadas son FLASH PLAYER y JAVA Pero existen muchas otras (DIVX Player Google Tools Quicktime playerhellip)
Seguridad de las redes
Taller
Internet Explorer historia de un eacutexito
Firefox una alternativa
Seguridad de las redes
NAVEGADORES WEB Buenas practicasbull Respetar la configuracioacuten de seguridad- Nivel de seguridad por zona- Nivel de confidencialidad- Configuracioacuten de base de las opciones
bull Responder ldquoNordquo cada vez que el navigador pregunta una autorizacioacuten de ejecucioacuten de componentes activos no necesarios
bull Cerrar las ventanas de tipo ldquoPopuprdquo con la cruz Windows (o con ALT-F4) y no los botones propuestos cada vez que posible
bull No utilizar la gestioacuten automaacutetica de los formularios
bull Limpiar la memoria sobre el disco duro despueacutes utilizacioacuten sobre un computador publico
Seguridad de las redes
bull No descargar moacutedulos de aplicaciones no firmados por editores prestigiosos
bull Proteger el computador con un anti-virus- Programar un anaacutelisis perioacutedico (1 vez por semana)- Descargar las ultimas versiones (funcioacuten ldquoUpdaterdquo)- Activar la proteccioacuten ldquotiempo realrdquo
bull Proteger el computador con un anti-spyware- Programar un anaacutelisis perioacutedico (1 vez por semana)- Descargar las ultimas versiones (funcioacuten ldquoUpdaterdquo)- Activar la proteccioacuten ldquotiempo realrdquo de la base de ldquoregistryrdquo de Windows
bull No desactivar la funcionalidad ldquoanti-popuprdquo
bull No desactivar la funcionalidad ldquoanti-phishingrdquo (IE 7)
Seguridad de las redes
bull Actualizar perioacutedicamente Windows viacutea la funcionalidad ldquoWindows Updaterdquo
bull Limpiar perioacutedicamente los histoacutericos y la memoria sobre el disco duro (para la velocidad) Los cookies pueden permanecer activados (riesgo miacutenimo)
bull Por supuesto no consultar sitios conocidos para ser peligrosos (sitios de juegos ilegales de muacutesicas mp3 non autorizadas de venta de productos prohibidos)
bull En principio el navegador libro FIREFOX es conocido para ser menos sensible a los riesgos claacutesicos que Internet Explorer Pero en empresa y sobre Internet todas la aplicaciones WEB no son compatibles con FIREFOX
Seguridad de las redes
Taller
Consejos de configuracioacuten de Internet Explorer y Firefox
Utilizacioacuten de NetPrivacy
Anaacutelisis de comunicaciones non protegidas con Packetyser
(Busca Google)
Ficheros temporarios y histoacuterico (cdocuments and settingltusersgtlocal settings)
Seguridad de las redes
bullLa historia
- Creacioacuten de la nocioacuten de pagina Web en los antildeos 90 por Tim Berners Lee (responsable de la gestioacuten de las documentaciones del CERN en Ginebra)
- La idea ser capaz de integrar en una pagina de texto electroacutenico viacutenculos con otras paginas (importante para los artiacuteculos cientiacuteficos)
- La realizacioacuten creacioacuten del protocolo Hypertext y de la nocioacuten de URL (Uniform Ressource Locator)
- Marc Andreesseen (Universidad del Illinois) a evolucionado el protocolo insertando el grafico (MOSAIC)
SERVICIOS WEB - TECNOLOGIacuteAS DE BASE
Seguridad de las redes
bullLos principios HTTP
- Protocolo de intercambio entre el servidor y el navegador (HyperTextTransfert Protocol)
- Basado sobre los URL (httpIdPwdserverportpathpathfileparameters) utilizando uacutenicamente los 128 primeros coacutedigos US ascii
- ldquoStatelessrdquo El protocolo olvida todas las configuraciones del usuario cada vez que el navegador es cerrado =gt necesitad de otras tecnicas para guardar el contexto Re-escritura de los URL (ajuntando paraacutemetros id=xxxxxx) Paraacutemetros escondidos en la pagina Web (con el orden HTTP ldquopostrdquo) Cookies (un fichero de texto escrito sobre el computador cliente con
las informaciones de contexto)
Seguridad de las redes
bull Los principios contenido de un COOKIE
Nombre Nombre del cookie sobre el disco duro
Valor El valor de contexto necesario para el sitio Web consultado (uno por cookie)
Valididad Fecha de fin de vida Despueacutes esta fecha el navegador rechaza el acceso al cookie
Servidor(es) Lista de servidores autorizados a consultar el cookie
Pagina(s) Lista de paginas autorizadas a consultar el cookie
Asegurado True o False si True el cookie se puede consultar uacutenicamente con un acceso asegurado
Seguridad de las redes
bull Los principios HTML
- Lenguaje informaacutetico para escribir paginas Web (HyperTextMarkup Language)- El navegador es un interpretador de HTML- Siempre en evolucioacuten (norma actual = 40) publico
lthtmlgtltheadgtltTITLEgtUNEltTITLEgtltheadgtltFRAMESET COLS=0 FRAMEBORDER=NO
BORDER=0 FRAMESPACING=0gtltFRAME
SRC=seccionesUNEHOMEseccion_HTMLhtml NAME=menu FRAMEBORDER=NO MARGINWIDTH=0 MARGINHEIGHT=0 noresizeSCROLLING=AUTOgt
ltFRAME SRC=blankhtml NAME=____contenido FRAMEBORDER=NO noresize SCROLLING=AUTO MARGINWIDTH=0 MARGINHEIGHT=0gtltFRAMESETgtltNOFRAMESgt DescripcionltNOFRAMESgt
ltHTMLgt
Seguridad de las redes
bull Los principios limitaciones de HTML
- No interaccioacuten con el equipo cliente (histoacutericamente un lenguaje de presentacioacuten)pobre en funciones graficasPor eso creacioacuten de evoluciones a lado del lenguaje principal (para asegurar la compatibilidad) CSS XMLXSL DHTML
- Muy pobre en funcionalidades interactivas con el usuario (cliente inteligente) Utilizacioacuten de tecnologiacuteas complementarias Plug-In ActiveX JAVA Scripts y modelos de documentos
Seguridad de las redes
bull Los principios cliente inteligente
- 2 tecnologiacuteas compiladas Plug-ins ActiveX
- 2 tecnologiacuteas interpretadas Scripts Java
- La tecnologiacuteas compiladas son mas raacutepidas pero el programa descargado es especificado a el equipo
- Los plug-in y los componentes ActiveX son descargados y instalados una vez definitivamente con una programa de verificacioacuten automaacutetica de versioacuten
- Scripts y aplicaciones Java (applet) son descargadas cada vez que la memoria permanente del navegador es vaciada
Seguridad de las redes
bullLos principios PLUG-IN
- Especificaciones abiertas al puacuteblico- Desarrollado en C o C++- Un Plug-in para IE sobre Windows no puede funcionar en IE sobre
MacOS (compilado)- Los mas conocidos son los Plug-In multimedia
bullLos principios ActiveX
- Componentes Objetos (C++) proponiendo por Microsoft en su arquitectura COMDCOM
- Dedicados a Internet Explorer y Windows (existe una oferta para Unix Mac y sistemas IBM muy poco utilizada)
- Posibilidad de reutilizar los ActiveX integrados en programas Microsoft (MsOffice MsProjecthellip) y otros sobre el computador cliente
- Utilizados por numerosos proveedores de soluciones WEB
Seguridad de las redes
bullLos principios JAVA
- Especificaciones abiertas al puacuteblico una oferta de SUN- Interpretado (maquina virtual JAVA) por eso independiente de la
plataforma- Muy pesado en Kbits a descargar puede ser lento a la ejecucioacuten- Gestioacuten automaacutetica de versioacuten para las maquina virtual JAVA- Numerosos problemas de compatibilidad encontrados entre las
versiones- Posibilidad de crear componentes JAVA reutilizables (JAVA es un
lenguaje objeto) llamados JAVABEANS- Un lenguaje complejo a dominar para crear ldquoAppletsrdquo
httpjavasuncomdocsbookstutorial
Seguridad de las redes
bullLos principios servidor dinaacutemico
- Paginas estaacuteticas (guardadas sobre el disco duro del servidor) no pueden servir de apoyo para informaciones en tiempo real (horarios sitios de ventahellip)
- Necesitad de crear dinaacutemicamente paginas en la memoria del servidor
- 3 tecnologiacuteas estandartes script CGI propietarias de bajo nivel NSAPI ISAPI APACHE APIhellip propietarias de alto nivel ASP JAVA NET Coldfusion PHP JSPhellip
Seguridad de las redes
Taller
Demostraciones de Plug-In
Anaacutelisis de Cookies(cdocuments and settingltusersgtcookies)
Utilizacioacuten de un ldquoCookie Viewerrdquo
Seguridad de las redes
SERVICIOS WEB SEGURIDADbullLas necesidades- Identificar el usuario y sus autorizaciones- Asegurar los intercambios de informaciones- Prohibir la posibilidad de negar una transaccioacuten
bullLas soluciones- Utilizar un algoritmo de cifrado (PGP RSA DES TripleDES)- Integrar el cifrado en el protocolo HTTP (hecho por Netscape con su
oferta llamada Secure Socket Layer y integrada en la norma HTTPS)- Trabajar con claves de cifrado (certificado electroacutenico ndash norma X509) La
gestioacuten de las claves necesita la definicioacuten en la empresa de un PKI (Public Key Infrastructure)
- Utilizar sistemas transaccionales- Indicado al usuario en el navegador por siacutembolos
Seguridad de las redes
Cifrado y HTTPS
bullLos principios de los meacutetodos de cifrado
Clave simeacutetrica los paquetes son cifrados y descifrados con el mismo algoritmo y la misma clave numeacuterica (DES TripleDES)
- Clave asimeacutetrica los paquetes son cifrados con el mismo algoritmo pero la clave inicial no puede ser utilizada para invertir el proceso El descifrado necesita una clave uacutenica vinculada a la primera por relaciones matemaacuteticas (RSA PGP)
- La fuerza del coacutedigo depende de la complexidad de la(s) clave(s) (en numero de cifras)
Seguridad de las redes
bull Principio de intercambio de claves de cifrado para establecer una comunicacioacuten SSL
Generacioacuten de un juego de claves (1C1D)
Envioacute de la clave 1C (clave publica) sin cifrado
Generacioacuten de un juego de claves (2C2D)
1C
Cifrado de la clave 2C con 1C
Envioacute de la clave 2C cifrada (seguridad alta)2C (certificado electroacutenico)
Generacioacuten de una clave de cifrado para el Tuacutenel (CT)
Cifrado de la clave CT con 2C
Descifrado de la clave 2C con 1D (completamente secreta)
Envioacute de la clave CT (clave simeacutetrica) cifrada (seguridad alta) CT
Intercambio cifrado con CT Intercambio cifrado con CT
Descifrado de la clave CT con 2D (completamente secreta)
Seguridad de las redes
Taller
Historia de RSA firma digital y certificados X509
Anaacutelisis de comunicaciones cifradas en HTTPS con un banco
Anaacutelisis de certificados de seguridad
Seguridad de las redes
Seguridad y WEB 2
bullPropuesto en 2004 por OrsquoReilly Media (WEB 20)
bullUn nombre geneacuterico para los servicios nuevos de Internet de estos uacuteltimos antildeos
- Social Networking Sites- Folksonomy (como Wikipedia wikis blogs Youtubehellip)- Y otros sitios orientados relaciones humanas
bullEn general sitios con nivel de seguridad muy pobre sin control Riesgo de divulgacioacuten de datos confidenciales
Seguridad de las redes
Taller
Historia del concepto WEB2
Concepto y lista de ldquoRed Socialrdquo(Social Networking Sites)
Exploracioacuten de sitios WEB2wwwfinclucom delicious
wwwflickrcom wwwzooomrcomflofcomar
www43thingscom
Seguridad de las redes
Taller
Anaacutelisis de las menciones legales de sitios puacuteblicos
wwwbancafecomwwwmercadolibrecomcowwwelcolombianocom
wwweltiempocomwwwgibaudcomesportadahtml
wwwportaleycomwwwunenetco
Seguridad de las redes
PCN (Plan de Continuidad del Negocio) y redes
Un sinistro mayor o un periodo de indisponibilidad puede siempre ocurrir en caso
bull De fallo de los sistemas y procesos de seguridadbull De cataacutestrofe naturalbull De negligencia de un vecino o de accidente mayor a proximidadbull De fallo de la alimentacioacuten eleacutectrica general muchos diacuteasbull De fallo de alimentacioacuten en agua muchos diacuteasbull De fallo del aire condicionado muchos diacuteasbull De evacuacioacuten obligatoria del edificiobull De actos voluntarios de destruccioacutenbull De obras mayores en el lugar de la empresa
El objetivo del PCN es de asegurar las actividades vitales de la empresa el tiempo necesario para re establecer el servicio normal
Seguridad de las redes
bull PCN aplicado a las comunicaciones y las redes- Disponibilidad de las liacuteneas permanentes de datos y voz- Disponibilidad del acceso Internet- Disponibilidad de los equipos de comunicaciones puntuales (tel fax)- Disponibilidad de los sistemas de correos electroacutenicos- Disponibilidad de los sistemas de video conferencia- Disponibilidad de las comunicaciones non electroacutenicas (correo papel
transportes de colaboradores y paquetes entre sitios de la empresa)
- Soluciones Sistemas de socorro de backup (a precios y capacidades degradados) Garantiacuteas de plazo de restablecimiento por los proveedores Red de celulares de socorro Fax teleacutefono y accesos Internet publicos a proximidad (Wifi Wimax) Utilizacioacuten de los accesos Internet privados con VPN Buzones de correos electroacutenicos puacuteblicos (gmail yahoo hotmailhellip) Alianza con flotas de taxi y proveedores de servicios de mensajeros
Seguridad de las redes
Ejemplo de PCN en una empresa real
bull Presentacioacuten- 300 empleos en la casa matriz 200 en delegaciones en el mundo- 2 sitios de produccioacuten industrial 1 subcontratista para la logiacutestica- Desde 2004 cada fabrica es el sitio de backup de la otra- Objetivo 2006 PCN de la casa matriz- Objetivo 2007 PCN de las delegaciones- Un logo
Casa MatrizDelegaciones
Fabrica 1 Fabrica 2
VPN
2 Mbitss
2 Mbitss2 Mbitss
Logiacutestica (depoacutesitos)
Seguridad de las redes
bull PCN aplicado a las redes- Instalacioacuten de una sala informaacutetica de backup en la fabrica 1- Instalacioacuten de una liacutenea Internet en la fabrica 1 dedicada al VPN- Instalacioacuten de una sala de trabajo para 12 empleos en la fabrica 1
(con teleacutefonos fax impresora y computadores)- Inversiones totales 25 de los presupuestos informaacuteticos- Utilizacioacuten de un acceso VPN privado a la casa para los otros
empleados
Casa MatrizDelegaciones
Fabrica 1 Fabrica 2
VPN
2 Mbitss
2 Mbitss2 Mbitss
Logiacutestica (depoacutesitos)
5 servidores1 AS40012 portaacutetiles1 impresora1 switch de red1 firewall
Acesso Internet 1 Mbitss
Seguridad de las redes
Auditoria y indicadores de riesgos
bullMicrosoft Security Assessment ToolsbullIndicadores de Seguridad Excel
Seguridad de las redes
UTILIZACIOacuteN EFICAZ Y SIN RIESGO DE LAS TECNOLOGIacuteAS WEB
Seguridad de las redes
PRINCIPIOS DE LAS ARQUITECTURAS CLIENTESERVIDORModelos de tecnologiacuteas ClienteServidor (Gartner Group)
Presentacioacuten
Gestioacuten de Datos
Aplicacioacuten
Presentacioacuten
Gestioacuten de Datos
Aplicacioacuten
Presentacioacuten
Gestioacuten de Datos
Aplicacioacuten
Presentacioacuten
Gestioacuten de Datos
Aplicacioacuten
Aplicacioacuten
Presentacioacuten
Gestioacuten de Datos
Gestioacuten de Datos
Aplicacioacuten
Aplicacioacuten
Presentacioacuten
Gestioacuten de Datos
Aplicacioacuten
Presentacioacuten
Gestioacuten de Datos
Cliente
Servidor
Presentacioacutendistribuida
Presentacioacutendistante
Gestioacuten dedatos distante
Tratamientosdistribuidos
Gestioacuten dedatos distribuida
Tratamientos ydatos distribuidos
Seguridad de las redes
Gestioacuten de Datos
Aplicacioacuten
Aplicacioacuten
Presentacioacuten
Tratamientosdistribuidos
Cliente
Servidor
Modelo de las aplicaciones con clientes ligeros
Los tratamientos son repartidos seguacuten el poder de los computadores
- Base de datos y tratamientos pesados sobre el servidor
- Tratamientos ligeros sobre el cliente (como la parte GUI por ejemplo)
Ejemplos- Tecnologiacuteas WEB- Aplicaciones
Clienteservidor de los antildeos 2000
Seguridad de las redes
Modelo claacutesico de las tecnologiacuteas WEB
Gestioacuten de Datos
Aplicacioacuten
Aplicacioacuten
Presentacioacuten
Tratamientosdistribuidos
Cliente
Servidor
Sistemas de Gestioacuten de Base de Datos SGBDR (Oracle Sql Server MySql DB2hellip)
Servidor HTTP (Microsoft IIS Lotus Domino Apache Webspherehellip)+ programas dedicados
Tecnologiacuteas dinaacutemicas en el navegador(VBScript Javascript ActiveX Javahellip)
Navegador Internet (browser)(Internet Explorer Firefoxhellip)
Seguridad de las redes
Diferencias entre las generaciones de modelos clienteservidor
bull Cliente pesado - Muchos tratamientos sobre el cliente- Necesita la instalacioacuten fiacutesica de programas sobre el cliente- Carga deacutebil para la red arquitectura adaptada a las comunicaciones internacionales
bull Cliente ligeroliviano - Muy poco tratamientos sobre el cliente- Posibilidad de descargar automaacuteticamente los programas por la red- Carga importante para viacutenculos de red deacutebiles
Seguridad de las redes
Arquitecturas fiacutesicas de los modelos clienteservidor
Gestioacuten de Datos
Aplicacioacuten
Aplicacioacuten
Presentacioacuten
Tratamientosdistribuidos
Cliente
Servidor
ArquitecturaEn 2 niveles
ArquitecturaEn 3 niveles
Seguridad de las redes
Gestioacuten de Datos
Aplicacioacuten
Aplicacioacuten
Presentacioacuten
Tratamientosdistribuidos
Cliente
Servidor
ArquitecturaEn 4 niveles
Sgbd
Programasdedicados
Servidor http
Seguridad de las redes
Ventajas de los modelos ClienteServidor con tecnologiacuteas WEB
bull Apoyo de los sistemas heterogeacuteneos- Cliente Windows MacOs Unix (BSD Linux etchellip) celulares PDA- Servidor Programas disponibles sobre Unix Windows AS400hellip
bull Utilizacioacuten ideacutentica al dentro de la empresa y a traveacutes Internet
bull Utilizacioacuten simple a aprender para una persona quien tiene un acceso Internet
bull Posibilidad de crear un punto de acceso uacutenico para todas las aplicaciones de la empresa (poacutertico)
Seguridad de las redes
Arquitectura WEB - ejemplo practicoEthernet
Microsoft SQL
SERVER
Microsoft IIS +Aplicacioacuten WEB
dedicada desarrollada en Microsoft NET
Usuarios con Internet Explorer
Base de Datos
MiddlewareMicrosoftMDAC
ORACLE sgbd
Oracle
IBM Websphere +Aplicacioacuten WEB
dedicada desarrollada en
SUN Java
MiddlewareSUNJDBC
Seguridad de las redes
CLIENTES LIGEROSLIVIANOS NAVEGADORES WEB
sgbd
Programasdedicados
Servidor http
A
A
A
1 ndash Construccioacuten de la pagina
El servidor HTTP crea en su memoria una pagina WEB con los elementos enviados por los otros servidores La pagina puede contener componentes activos (activex applet java javascript vbscripthellip) y inertes (imagenes textoshellip)
Seguridad de las redes
Srv http
AA
2 ndash Recepcioacuten de la pagina
El servidor HTTP enviacutea la pagina elemento por elemento en la red El navegador recibe los componentes en el disco duro del cliente En el mismo tiempo la pagina es reconstruida en la memoria del navegador
A
cliente
A
A
Seguridad de las redes
3 ndash Interpretacioacuten de la pagina
El navegador presenta sobre la pantalla la pagina WEB y los elementos inertes Los componentes activos son enviados a las aplicaciones dedicadas a cada uno seguacuten el tipo
Navegador
A
A
A
Funcioacuten de presentacioacuten
Aplicaciones integradasA el navegador
Aplicacioacuten dedicadaa el navegador
descargada en opcioacuten
Funciones deejecucioacuten
Plug-in
Otras aplicaciones del computador cliente
Seguridad de las redes
bull Las informaciones son pegadas sobre el computador cliente- Mas raacutepido para recargar una pagina ya consultada- Falla de seguridad Una persona extranjera a la empresa puede consultar las informaciones Nunca olvidar vaciar la memoria permanente del navegador al fin del trabajo cuando se utiliza un computador publico
bull Todas las aplicaciones del cliente pueden ser utilizadas a traveacutes el navegador (Word Excel Adobe Acrobat Readerhellip)Por razoacuten de seguridad el navegador pregunta antes de ejecutar una aplicacioacuten no integrada cuando existe un riesgo (la totalidad de las funcionalidades siempre autorizadas es llamado ldquosandboxrdquo por analogia con el espacio protectado donde pueden jugar los nintildeos con arena)
bull Muchas aplicaciones ldquoPlug-Inrdquo disponiblesLas mas conocidas y utilizadas son FLASH PLAYER y JAVA Pero existen muchas otras (DIVX Player Google Tools Quicktime playerhellip)
Seguridad de las redes
Taller
Internet Explorer historia de un eacutexito
Firefox una alternativa
Seguridad de las redes
NAVEGADORES WEB Buenas practicasbull Respetar la configuracioacuten de seguridad- Nivel de seguridad por zona- Nivel de confidencialidad- Configuracioacuten de base de las opciones
bull Responder ldquoNordquo cada vez que el navigador pregunta una autorizacioacuten de ejecucioacuten de componentes activos no necesarios
bull Cerrar las ventanas de tipo ldquoPopuprdquo con la cruz Windows (o con ALT-F4) y no los botones propuestos cada vez que posible
bull No utilizar la gestioacuten automaacutetica de los formularios
bull Limpiar la memoria sobre el disco duro despueacutes utilizacioacuten sobre un computador publico
Seguridad de las redes
bull No descargar moacutedulos de aplicaciones no firmados por editores prestigiosos
bull Proteger el computador con un anti-virus- Programar un anaacutelisis perioacutedico (1 vez por semana)- Descargar las ultimas versiones (funcioacuten ldquoUpdaterdquo)- Activar la proteccioacuten ldquotiempo realrdquo
bull Proteger el computador con un anti-spyware- Programar un anaacutelisis perioacutedico (1 vez por semana)- Descargar las ultimas versiones (funcioacuten ldquoUpdaterdquo)- Activar la proteccioacuten ldquotiempo realrdquo de la base de ldquoregistryrdquo de Windows
bull No desactivar la funcionalidad ldquoanti-popuprdquo
bull No desactivar la funcionalidad ldquoanti-phishingrdquo (IE 7)
Seguridad de las redes
bull Actualizar perioacutedicamente Windows viacutea la funcionalidad ldquoWindows Updaterdquo
bull Limpiar perioacutedicamente los histoacutericos y la memoria sobre el disco duro (para la velocidad) Los cookies pueden permanecer activados (riesgo miacutenimo)
bull Por supuesto no consultar sitios conocidos para ser peligrosos (sitios de juegos ilegales de muacutesicas mp3 non autorizadas de venta de productos prohibidos)
bull En principio el navegador libro FIREFOX es conocido para ser menos sensible a los riesgos claacutesicos que Internet Explorer Pero en empresa y sobre Internet todas la aplicaciones WEB no son compatibles con FIREFOX
Seguridad de las redes
Taller
Consejos de configuracioacuten de Internet Explorer y Firefox
Utilizacioacuten de NetPrivacy
Anaacutelisis de comunicaciones non protegidas con Packetyser
(Busca Google)
Ficheros temporarios y histoacuterico (cdocuments and settingltusersgtlocal settings)
Seguridad de las redes
bullLa historia
- Creacioacuten de la nocioacuten de pagina Web en los antildeos 90 por Tim Berners Lee (responsable de la gestioacuten de las documentaciones del CERN en Ginebra)
- La idea ser capaz de integrar en una pagina de texto electroacutenico viacutenculos con otras paginas (importante para los artiacuteculos cientiacuteficos)
- La realizacioacuten creacioacuten del protocolo Hypertext y de la nocioacuten de URL (Uniform Ressource Locator)
- Marc Andreesseen (Universidad del Illinois) a evolucionado el protocolo insertando el grafico (MOSAIC)
SERVICIOS WEB - TECNOLOGIacuteAS DE BASE
Seguridad de las redes
bullLos principios HTTP
- Protocolo de intercambio entre el servidor y el navegador (HyperTextTransfert Protocol)
- Basado sobre los URL (httpIdPwdserverportpathpathfileparameters) utilizando uacutenicamente los 128 primeros coacutedigos US ascii
- ldquoStatelessrdquo El protocolo olvida todas las configuraciones del usuario cada vez que el navegador es cerrado =gt necesitad de otras tecnicas para guardar el contexto Re-escritura de los URL (ajuntando paraacutemetros id=xxxxxx) Paraacutemetros escondidos en la pagina Web (con el orden HTTP ldquopostrdquo) Cookies (un fichero de texto escrito sobre el computador cliente con
las informaciones de contexto)
Seguridad de las redes
bull Los principios contenido de un COOKIE
Nombre Nombre del cookie sobre el disco duro
Valor El valor de contexto necesario para el sitio Web consultado (uno por cookie)
Valididad Fecha de fin de vida Despueacutes esta fecha el navegador rechaza el acceso al cookie
Servidor(es) Lista de servidores autorizados a consultar el cookie
Pagina(s) Lista de paginas autorizadas a consultar el cookie
Asegurado True o False si True el cookie se puede consultar uacutenicamente con un acceso asegurado
Seguridad de las redes
bull Los principios HTML
- Lenguaje informaacutetico para escribir paginas Web (HyperTextMarkup Language)- El navegador es un interpretador de HTML- Siempre en evolucioacuten (norma actual = 40) publico
lthtmlgtltheadgtltTITLEgtUNEltTITLEgtltheadgtltFRAMESET COLS=0 FRAMEBORDER=NO
BORDER=0 FRAMESPACING=0gtltFRAME
SRC=seccionesUNEHOMEseccion_HTMLhtml NAME=menu FRAMEBORDER=NO MARGINWIDTH=0 MARGINHEIGHT=0 noresizeSCROLLING=AUTOgt
ltFRAME SRC=blankhtml NAME=____contenido FRAMEBORDER=NO noresize SCROLLING=AUTO MARGINWIDTH=0 MARGINHEIGHT=0gtltFRAMESETgtltNOFRAMESgt DescripcionltNOFRAMESgt
ltHTMLgt
Seguridad de las redes
bull Los principios limitaciones de HTML
- No interaccioacuten con el equipo cliente (histoacutericamente un lenguaje de presentacioacuten)pobre en funciones graficasPor eso creacioacuten de evoluciones a lado del lenguaje principal (para asegurar la compatibilidad) CSS XMLXSL DHTML
- Muy pobre en funcionalidades interactivas con el usuario (cliente inteligente) Utilizacioacuten de tecnologiacuteas complementarias Plug-In ActiveX JAVA Scripts y modelos de documentos
Seguridad de las redes
bull Los principios cliente inteligente
- 2 tecnologiacuteas compiladas Plug-ins ActiveX
- 2 tecnologiacuteas interpretadas Scripts Java
- La tecnologiacuteas compiladas son mas raacutepidas pero el programa descargado es especificado a el equipo
- Los plug-in y los componentes ActiveX son descargados y instalados una vez definitivamente con una programa de verificacioacuten automaacutetica de versioacuten
- Scripts y aplicaciones Java (applet) son descargadas cada vez que la memoria permanente del navegador es vaciada
Seguridad de las redes
bullLos principios PLUG-IN
- Especificaciones abiertas al puacuteblico- Desarrollado en C o C++- Un Plug-in para IE sobre Windows no puede funcionar en IE sobre
MacOS (compilado)- Los mas conocidos son los Plug-In multimedia
bullLos principios ActiveX
- Componentes Objetos (C++) proponiendo por Microsoft en su arquitectura COMDCOM
- Dedicados a Internet Explorer y Windows (existe una oferta para Unix Mac y sistemas IBM muy poco utilizada)
- Posibilidad de reutilizar los ActiveX integrados en programas Microsoft (MsOffice MsProjecthellip) y otros sobre el computador cliente
- Utilizados por numerosos proveedores de soluciones WEB
Seguridad de las redes
bullLos principios JAVA
- Especificaciones abiertas al puacuteblico una oferta de SUN- Interpretado (maquina virtual JAVA) por eso independiente de la
plataforma- Muy pesado en Kbits a descargar puede ser lento a la ejecucioacuten- Gestioacuten automaacutetica de versioacuten para las maquina virtual JAVA- Numerosos problemas de compatibilidad encontrados entre las
versiones- Posibilidad de crear componentes JAVA reutilizables (JAVA es un
lenguaje objeto) llamados JAVABEANS- Un lenguaje complejo a dominar para crear ldquoAppletsrdquo
httpjavasuncomdocsbookstutorial
Seguridad de las redes
bullLos principios servidor dinaacutemico
- Paginas estaacuteticas (guardadas sobre el disco duro del servidor) no pueden servir de apoyo para informaciones en tiempo real (horarios sitios de ventahellip)
- Necesitad de crear dinaacutemicamente paginas en la memoria del servidor
- 3 tecnologiacuteas estandartes script CGI propietarias de bajo nivel NSAPI ISAPI APACHE APIhellip propietarias de alto nivel ASP JAVA NET Coldfusion PHP JSPhellip
Seguridad de las redes
Taller
Demostraciones de Plug-In
Anaacutelisis de Cookies(cdocuments and settingltusersgtcookies)
Utilizacioacuten de un ldquoCookie Viewerrdquo
Seguridad de las redes
SERVICIOS WEB SEGURIDADbullLas necesidades- Identificar el usuario y sus autorizaciones- Asegurar los intercambios de informaciones- Prohibir la posibilidad de negar una transaccioacuten
bullLas soluciones- Utilizar un algoritmo de cifrado (PGP RSA DES TripleDES)- Integrar el cifrado en el protocolo HTTP (hecho por Netscape con su
oferta llamada Secure Socket Layer y integrada en la norma HTTPS)- Trabajar con claves de cifrado (certificado electroacutenico ndash norma X509) La
gestioacuten de las claves necesita la definicioacuten en la empresa de un PKI (Public Key Infrastructure)
- Utilizar sistemas transaccionales- Indicado al usuario en el navegador por siacutembolos
Seguridad de las redes
Cifrado y HTTPS
bullLos principios de los meacutetodos de cifrado
Clave simeacutetrica los paquetes son cifrados y descifrados con el mismo algoritmo y la misma clave numeacuterica (DES TripleDES)
- Clave asimeacutetrica los paquetes son cifrados con el mismo algoritmo pero la clave inicial no puede ser utilizada para invertir el proceso El descifrado necesita una clave uacutenica vinculada a la primera por relaciones matemaacuteticas (RSA PGP)
- La fuerza del coacutedigo depende de la complexidad de la(s) clave(s) (en numero de cifras)
Seguridad de las redes
bull Principio de intercambio de claves de cifrado para establecer una comunicacioacuten SSL
Generacioacuten de un juego de claves (1C1D)
Envioacute de la clave 1C (clave publica) sin cifrado
Generacioacuten de un juego de claves (2C2D)
1C
Cifrado de la clave 2C con 1C
Envioacute de la clave 2C cifrada (seguridad alta)2C (certificado electroacutenico)
Generacioacuten de una clave de cifrado para el Tuacutenel (CT)
Cifrado de la clave CT con 2C
Descifrado de la clave 2C con 1D (completamente secreta)
Envioacute de la clave CT (clave simeacutetrica) cifrada (seguridad alta) CT
Intercambio cifrado con CT Intercambio cifrado con CT
Descifrado de la clave CT con 2D (completamente secreta)
Seguridad de las redes
Taller
Historia de RSA firma digital y certificados X509
Anaacutelisis de comunicaciones cifradas en HTTPS con un banco
Anaacutelisis de certificados de seguridad
Seguridad de las redes
Seguridad y WEB 2
bullPropuesto en 2004 por OrsquoReilly Media (WEB 20)
bullUn nombre geneacuterico para los servicios nuevos de Internet de estos uacuteltimos antildeos
- Social Networking Sites- Folksonomy (como Wikipedia wikis blogs Youtubehellip)- Y otros sitios orientados relaciones humanas
bullEn general sitios con nivel de seguridad muy pobre sin control Riesgo de divulgacioacuten de datos confidenciales
Seguridad de las redes
Taller
Historia del concepto WEB2
Concepto y lista de ldquoRed Socialrdquo(Social Networking Sites)
Exploracioacuten de sitios WEB2wwwfinclucom delicious
wwwflickrcom wwwzooomrcomflofcomar
www43thingscom
Seguridad de las redes
PCN (Plan de Continuidad del Negocio) y redes
Un sinistro mayor o un periodo de indisponibilidad puede siempre ocurrir en caso
bull De fallo de los sistemas y procesos de seguridadbull De cataacutestrofe naturalbull De negligencia de un vecino o de accidente mayor a proximidadbull De fallo de la alimentacioacuten eleacutectrica general muchos diacuteasbull De fallo de alimentacioacuten en agua muchos diacuteasbull De fallo del aire condicionado muchos diacuteasbull De evacuacioacuten obligatoria del edificiobull De actos voluntarios de destruccioacutenbull De obras mayores en el lugar de la empresa
El objetivo del PCN es de asegurar las actividades vitales de la empresa el tiempo necesario para re establecer el servicio normal
Seguridad de las redes
bull PCN aplicado a las comunicaciones y las redes- Disponibilidad de las liacuteneas permanentes de datos y voz- Disponibilidad del acceso Internet- Disponibilidad de los equipos de comunicaciones puntuales (tel fax)- Disponibilidad de los sistemas de correos electroacutenicos- Disponibilidad de los sistemas de video conferencia- Disponibilidad de las comunicaciones non electroacutenicas (correo papel
transportes de colaboradores y paquetes entre sitios de la empresa)
- Soluciones Sistemas de socorro de backup (a precios y capacidades degradados) Garantiacuteas de plazo de restablecimiento por los proveedores Red de celulares de socorro Fax teleacutefono y accesos Internet publicos a proximidad (Wifi Wimax) Utilizacioacuten de los accesos Internet privados con VPN Buzones de correos electroacutenicos puacuteblicos (gmail yahoo hotmailhellip) Alianza con flotas de taxi y proveedores de servicios de mensajeros
Seguridad de las redes
Ejemplo de PCN en una empresa real
bull Presentacioacuten- 300 empleos en la casa matriz 200 en delegaciones en el mundo- 2 sitios de produccioacuten industrial 1 subcontratista para la logiacutestica- Desde 2004 cada fabrica es el sitio de backup de la otra- Objetivo 2006 PCN de la casa matriz- Objetivo 2007 PCN de las delegaciones- Un logo
Casa MatrizDelegaciones
Fabrica 1 Fabrica 2
VPN
2 Mbitss
2 Mbitss2 Mbitss
Logiacutestica (depoacutesitos)
Seguridad de las redes
bull PCN aplicado a las redes- Instalacioacuten de una sala informaacutetica de backup en la fabrica 1- Instalacioacuten de una liacutenea Internet en la fabrica 1 dedicada al VPN- Instalacioacuten de una sala de trabajo para 12 empleos en la fabrica 1
(con teleacutefonos fax impresora y computadores)- Inversiones totales 25 de los presupuestos informaacuteticos- Utilizacioacuten de un acceso VPN privado a la casa para los otros
empleados
Casa MatrizDelegaciones
Fabrica 1 Fabrica 2
VPN
2 Mbitss
2 Mbitss2 Mbitss
Logiacutestica (depoacutesitos)
5 servidores1 AS40012 portaacutetiles1 impresora1 switch de red1 firewall
Acesso Internet 1 Mbitss
Seguridad de las redes
Auditoria y indicadores de riesgos
bullMicrosoft Security Assessment ToolsbullIndicadores de Seguridad Excel
Seguridad de las redes
UTILIZACIOacuteN EFICAZ Y SIN RIESGO DE LAS TECNOLOGIacuteAS WEB
Seguridad de las redes
PRINCIPIOS DE LAS ARQUITECTURAS CLIENTESERVIDORModelos de tecnologiacuteas ClienteServidor (Gartner Group)
Presentacioacuten
Gestioacuten de Datos
Aplicacioacuten
Presentacioacuten
Gestioacuten de Datos
Aplicacioacuten
Presentacioacuten
Gestioacuten de Datos
Aplicacioacuten
Presentacioacuten
Gestioacuten de Datos
Aplicacioacuten
Aplicacioacuten
Presentacioacuten
Gestioacuten de Datos
Gestioacuten de Datos
Aplicacioacuten
Aplicacioacuten
Presentacioacuten
Gestioacuten de Datos
Aplicacioacuten
Presentacioacuten
Gestioacuten de Datos
Cliente
Servidor
Presentacioacutendistribuida
Presentacioacutendistante
Gestioacuten dedatos distante
Tratamientosdistribuidos
Gestioacuten dedatos distribuida
Tratamientos ydatos distribuidos
Seguridad de las redes
Gestioacuten de Datos
Aplicacioacuten
Aplicacioacuten
Presentacioacuten
Tratamientosdistribuidos
Cliente
Servidor
Modelo de las aplicaciones con clientes ligeros
Los tratamientos son repartidos seguacuten el poder de los computadores
- Base de datos y tratamientos pesados sobre el servidor
- Tratamientos ligeros sobre el cliente (como la parte GUI por ejemplo)
Ejemplos- Tecnologiacuteas WEB- Aplicaciones
Clienteservidor de los antildeos 2000
Seguridad de las redes
Modelo claacutesico de las tecnologiacuteas WEB
Gestioacuten de Datos
Aplicacioacuten
Aplicacioacuten
Presentacioacuten
Tratamientosdistribuidos
Cliente
Servidor
Sistemas de Gestioacuten de Base de Datos SGBDR (Oracle Sql Server MySql DB2hellip)
Servidor HTTP (Microsoft IIS Lotus Domino Apache Webspherehellip)+ programas dedicados
Tecnologiacuteas dinaacutemicas en el navegador(VBScript Javascript ActiveX Javahellip)
Navegador Internet (browser)(Internet Explorer Firefoxhellip)
Seguridad de las redes
Diferencias entre las generaciones de modelos clienteservidor
bull Cliente pesado - Muchos tratamientos sobre el cliente- Necesita la instalacioacuten fiacutesica de programas sobre el cliente- Carga deacutebil para la red arquitectura adaptada a las comunicaciones internacionales
bull Cliente ligeroliviano - Muy poco tratamientos sobre el cliente- Posibilidad de descargar automaacuteticamente los programas por la red- Carga importante para viacutenculos de red deacutebiles
Seguridad de las redes
Arquitecturas fiacutesicas de los modelos clienteservidor
Gestioacuten de Datos
Aplicacioacuten
Aplicacioacuten
Presentacioacuten
Tratamientosdistribuidos
Cliente
Servidor
ArquitecturaEn 2 niveles
ArquitecturaEn 3 niveles
Seguridad de las redes
Gestioacuten de Datos
Aplicacioacuten
Aplicacioacuten
Presentacioacuten
Tratamientosdistribuidos
Cliente
Servidor
ArquitecturaEn 4 niveles
Sgbd
Programasdedicados
Servidor http
Seguridad de las redes
Ventajas de los modelos ClienteServidor con tecnologiacuteas WEB
bull Apoyo de los sistemas heterogeacuteneos- Cliente Windows MacOs Unix (BSD Linux etchellip) celulares PDA- Servidor Programas disponibles sobre Unix Windows AS400hellip
bull Utilizacioacuten ideacutentica al dentro de la empresa y a traveacutes Internet
bull Utilizacioacuten simple a aprender para una persona quien tiene un acceso Internet
bull Posibilidad de crear un punto de acceso uacutenico para todas las aplicaciones de la empresa (poacutertico)
Seguridad de las redes
Arquitectura WEB - ejemplo practicoEthernet
Microsoft SQL
SERVER
Microsoft IIS +Aplicacioacuten WEB
dedicada desarrollada en Microsoft NET
Usuarios con Internet Explorer
Base de Datos
MiddlewareMicrosoftMDAC
ORACLE sgbd
Oracle
IBM Websphere +Aplicacioacuten WEB
dedicada desarrollada en
SUN Java
MiddlewareSUNJDBC
Seguridad de las redes
CLIENTES LIGEROSLIVIANOS NAVEGADORES WEB
sgbd
Programasdedicados
Servidor http
A
A
A
1 ndash Construccioacuten de la pagina
El servidor HTTP crea en su memoria una pagina WEB con los elementos enviados por los otros servidores La pagina puede contener componentes activos (activex applet java javascript vbscripthellip) y inertes (imagenes textoshellip)
Seguridad de las redes
Srv http
AA
2 ndash Recepcioacuten de la pagina
El servidor HTTP enviacutea la pagina elemento por elemento en la red El navegador recibe los componentes en el disco duro del cliente En el mismo tiempo la pagina es reconstruida en la memoria del navegador
A
cliente
A
A
Seguridad de las redes
3 ndash Interpretacioacuten de la pagina
El navegador presenta sobre la pantalla la pagina WEB y los elementos inertes Los componentes activos son enviados a las aplicaciones dedicadas a cada uno seguacuten el tipo
Navegador
A
A
A
Funcioacuten de presentacioacuten
Aplicaciones integradasA el navegador
Aplicacioacuten dedicadaa el navegador
descargada en opcioacuten
Funciones deejecucioacuten
Plug-in
Otras aplicaciones del computador cliente
Seguridad de las redes
bull Las informaciones son pegadas sobre el computador cliente- Mas raacutepido para recargar una pagina ya consultada- Falla de seguridad Una persona extranjera a la empresa puede consultar las informaciones Nunca olvidar vaciar la memoria permanente del navegador al fin del trabajo cuando se utiliza un computador publico
bull Todas las aplicaciones del cliente pueden ser utilizadas a traveacutes el navegador (Word Excel Adobe Acrobat Readerhellip)Por razoacuten de seguridad el navegador pregunta antes de ejecutar una aplicacioacuten no integrada cuando existe un riesgo (la totalidad de las funcionalidades siempre autorizadas es llamado ldquosandboxrdquo por analogia con el espacio protectado donde pueden jugar los nintildeos con arena)
bull Muchas aplicaciones ldquoPlug-Inrdquo disponiblesLas mas conocidas y utilizadas son FLASH PLAYER y JAVA Pero existen muchas otras (DIVX Player Google Tools Quicktime playerhellip)
Seguridad de las redes
Taller
Internet Explorer historia de un eacutexito
Firefox una alternativa
Seguridad de las redes
NAVEGADORES WEB Buenas practicasbull Respetar la configuracioacuten de seguridad- Nivel de seguridad por zona- Nivel de confidencialidad- Configuracioacuten de base de las opciones
bull Responder ldquoNordquo cada vez que el navigador pregunta una autorizacioacuten de ejecucioacuten de componentes activos no necesarios
bull Cerrar las ventanas de tipo ldquoPopuprdquo con la cruz Windows (o con ALT-F4) y no los botones propuestos cada vez que posible
bull No utilizar la gestioacuten automaacutetica de los formularios
bull Limpiar la memoria sobre el disco duro despueacutes utilizacioacuten sobre un computador publico
Seguridad de las redes
bull No descargar moacutedulos de aplicaciones no firmados por editores prestigiosos
bull Proteger el computador con un anti-virus- Programar un anaacutelisis perioacutedico (1 vez por semana)- Descargar las ultimas versiones (funcioacuten ldquoUpdaterdquo)- Activar la proteccioacuten ldquotiempo realrdquo
bull Proteger el computador con un anti-spyware- Programar un anaacutelisis perioacutedico (1 vez por semana)- Descargar las ultimas versiones (funcioacuten ldquoUpdaterdquo)- Activar la proteccioacuten ldquotiempo realrdquo de la base de ldquoregistryrdquo de Windows
bull No desactivar la funcionalidad ldquoanti-popuprdquo
bull No desactivar la funcionalidad ldquoanti-phishingrdquo (IE 7)
Seguridad de las redes
bull Actualizar perioacutedicamente Windows viacutea la funcionalidad ldquoWindows Updaterdquo
bull Limpiar perioacutedicamente los histoacutericos y la memoria sobre el disco duro (para la velocidad) Los cookies pueden permanecer activados (riesgo miacutenimo)
bull Por supuesto no consultar sitios conocidos para ser peligrosos (sitios de juegos ilegales de muacutesicas mp3 non autorizadas de venta de productos prohibidos)
bull En principio el navegador libro FIREFOX es conocido para ser menos sensible a los riesgos claacutesicos que Internet Explorer Pero en empresa y sobre Internet todas la aplicaciones WEB no son compatibles con FIREFOX
Seguridad de las redes
Taller
Consejos de configuracioacuten de Internet Explorer y Firefox
Utilizacioacuten de NetPrivacy
Anaacutelisis de comunicaciones non protegidas con Packetyser
(Busca Google)
Ficheros temporarios y histoacuterico (cdocuments and settingltusersgtlocal settings)
Seguridad de las redes
bullLa historia
- Creacioacuten de la nocioacuten de pagina Web en los antildeos 90 por Tim Berners Lee (responsable de la gestioacuten de las documentaciones del CERN en Ginebra)
- La idea ser capaz de integrar en una pagina de texto electroacutenico viacutenculos con otras paginas (importante para los artiacuteculos cientiacuteficos)
- La realizacioacuten creacioacuten del protocolo Hypertext y de la nocioacuten de URL (Uniform Ressource Locator)
- Marc Andreesseen (Universidad del Illinois) a evolucionado el protocolo insertando el grafico (MOSAIC)
SERVICIOS WEB - TECNOLOGIacuteAS DE BASE
Seguridad de las redes
bullLos principios HTTP
- Protocolo de intercambio entre el servidor y el navegador (HyperTextTransfert Protocol)
- Basado sobre los URL (httpIdPwdserverportpathpathfileparameters) utilizando uacutenicamente los 128 primeros coacutedigos US ascii
- ldquoStatelessrdquo El protocolo olvida todas las configuraciones del usuario cada vez que el navegador es cerrado =gt necesitad de otras tecnicas para guardar el contexto Re-escritura de los URL (ajuntando paraacutemetros id=xxxxxx) Paraacutemetros escondidos en la pagina Web (con el orden HTTP ldquopostrdquo) Cookies (un fichero de texto escrito sobre el computador cliente con
las informaciones de contexto)
Seguridad de las redes
bull Los principios contenido de un COOKIE
Nombre Nombre del cookie sobre el disco duro
Valor El valor de contexto necesario para el sitio Web consultado (uno por cookie)
Valididad Fecha de fin de vida Despueacutes esta fecha el navegador rechaza el acceso al cookie
Servidor(es) Lista de servidores autorizados a consultar el cookie
Pagina(s) Lista de paginas autorizadas a consultar el cookie
Asegurado True o False si True el cookie se puede consultar uacutenicamente con un acceso asegurado
Seguridad de las redes
bull Los principios HTML
- Lenguaje informaacutetico para escribir paginas Web (HyperTextMarkup Language)- El navegador es un interpretador de HTML- Siempre en evolucioacuten (norma actual = 40) publico
lthtmlgtltheadgtltTITLEgtUNEltTITLEgtltheadgtltFRAMESET COLS=0 FRAMEBORDER=NO
BORDER=0 FRAMESPACING=0gtltFRAME
SRC=seccionesUNEHOMEseccion_HTMLhtml NAME=menu FRAMEBORDER=NO MARGINWIDTH=0 MARGINHEIGHT=0 noresizeSCROLLING=AUTOgt
ltFRAME SRC=blankhtml NAME=____contenido FRAMEBORDER=NO noresize SCROLLING=AUTO MARGINWIDTH=0 MARGINHEIGHT=0gtltFRAMESETgtltNOFRAMESgt DescripcionltNOFRAMESgt
ltHTMLgt
Seguridad de las redes
bull Los principios limitaciones de HTML
- No interaccioacuten con el equipo cliente (histoacutericamente un lenguaje de presentacioacuten)pobre en funciones graficasPor eso creacioacuten de evoluciones a lado del lenguaje principal (para asegurar la compatibilidad) CSS XMLXSL DHTML
- Muy pobre en funcionalidades interactivas con el usuario (cliente inteligente) Utilizacioacuten de tecnologiacuteas complementarias Plug-In ActiveX JAVA Scripts y modelos de documentos
Seguridad de las redes
bull Los principios cliente inteligente
- 2 tecnologiacuteas compiladas Plug-ins ActiveX
- 2 tecnologiacuteas interpretadas Scripts Java
- La tecnologiacuteas compiladas son mas raacutepidas pero el programa descargado es especificado a el equipo
- Los plug-in y los componentes ActiveX son descargados y instalados una vez definitivamente con una programa de verificacioacuten automaacutetica de versioacuten
- Scripts y aplicaciones Java (applet) son descargadas cada vez que la memoria permanente del navegador es vaciada
Seguridad de las redes
bullLos principios PLUG-IN
- Especificaciones abiertas al puacuteblico- Desarrollado en C o C++- Un Plug-in para IE sobre Windows no puede funcionar en IE sobre
MacOS (compilado)- Los mas conocidos son los Plug-In multimedia
bullLos principios ActiveX
- Componentes Objetos (C++) proponiendo por Microsoft en su arquitectura COMDCOM
- Dedicados a Internet Explorer y Windows (existe una oferta para Unix Mac y sistemas IBM muy poco utilizada)
- Posibilidad de reutilizar los ActiveX integrados en programas Microsoft (MsOffice MsProjecthellip) y otros sobre el computador cliente
- Utilizados por numerosos proveedores de soluciones WEB
Seguridad de las redes
bullLos principios JAVA
- Especificaciones abiertas al puacuteblico una oferta de SUN- Interpretado (maquina virtual JAVA) por eso independiente de la
plataforma- Muy pesado en Kbits a descargar puede ser lento a la ejecucioacuten- Gestioacuten automaacutetica de versioacuten para las maquina virtual JAVA- Numerosos problemas de compatibilidad encontrados entre las
versiones- Posibilidad de crear componentes JAVA reutilizables (JAVA es un
lenguaje objeto) llamados JAVABEANS- Un lenguaje complejo a dominar para crear ldquoAppletsrdquo
httpjavasuncomdocsbookstutorial
Seguridad de las redes
bullLos principios servidor dinaacutemico
- Paginas estaacuteticas (guardadas sobre el disco duro del servidor) no pueden servir de apoyo para informaciones en tiempo real (horarios sitios de ventahellip)
- Necesitad de crear dinaacutemicamente paginas en la memoria del servidor
- 3 tecnologiacuteas estandartes script CGI propietarias de bajo nivel NSAPI ISAPI APACHE APIhellip propietarias de alto nivel ASP JAVA NET Coldfusion PHP JSPhellip
Seguridad de las redes
Taller
Demostraciones de Plug-In
Anaacutelisis de Cookies(cdocuments and settingltusersgtcookies)
Utilizacioacuten de un ldquoCookie Viewerrdquo
Seguridad de las redes
SERVICIOS WEB SEGURIDADbullLas necesidades- Identificar el usuario y sus autorizaciones- Asegurar los intercambios de informaciones- Prohibir la posibilidad de negar una transaccioacuten
bullLas soluciones- Utilizar un algoritmo de cifrado (PGP RSA DES TripleDES)- Integrar el cifrado en el protocolo HTTP (hecho por Netscape con su
oferta llamada Secure Socket Layer y integrada en la norma HTTPS)- Trabajar con claves de cifrado (certificado electroacutenico ndash norma X509) La
gestioacuten de las claves necesita la definicioacuten en la empresa de un PKI (Public Key Infrastructure)
- Utilizar sistemas transaccionales- Indicado al usuario en el navegador por siacutembolos
Seguridad de las redes
Cifrado y HTTPS
bullLos principios de los meacutetodos de cifrado
Clave simeacutetrica los paquetes son cifrados y descifrados con el mismo algoritmo y la misma clave numeacuterica (DES TripleDES)
- Clave asimeacutetrica los paquetes son cifrados con el mismo algoritmo pero la clave inicial no puede ser utilizada para invertir el proceso El descifrado necesita una clave uacutenica vinculada a la primera por relaciones matemaacuteticas (RSA PGP)
- La fuerza del coacutedigo depende de la complexidad de la(s) clave(s) (en numero de cifras)
Seguridad de las redes
bull Principio de intercambio de claves de cifrado para establecer una comunicacioacuten SSL
Generacioacuten de un juego de claves (1C1D)
Envioacute de la clave 1C (clave publica) sin cifrado
Generacioacuten de un juego de claves (2C2D)
1C
Cifrado de la clave 2C con 1C
Envioacute de la clave 2C cifrada (seguridad alta)2C (certificado electroacutenico)
Generacioacuten de una clave de cifrado para el Tuacutenel (CT)
Cifrado de la clave CT con 2C
Descifrado de la clave 2C con 1D (completamente secreta)
Envioacute de la clave CT (clave simeacutetrica) cifrada (seguridad alta) CT
Intercambio cifrado con CT Intercambio cifrado con CT
Descifrado de la clave CT con 2D (completamente secreta)
Seguridad de las redes
Taller
Historia de RSA firma digital y certificados X509
Anaacutelisis de comunicaciones cifradas en HTTPS con un banco
Anaacutelisis de certificados de seguridad
Seguridad de las redes
Seguridad y WEB 2
bullPropuesto en 2004 por OrsquoReilly Media (WEB 20)
bullUn nombre geneacuterico para los servicios nuevos de Internet de estos uacuteltimos antildeos
- Social Networking Sites- Folksonomy (como Wikipedia wikis blogs Youtubehellip)- Y otros sitios orientados relaciones humanas
bullEn general sitios con nivel de seguridad muy pobre sin control Riesgo de divulgacioacuten de datos confidenciales
Seguridad de las redes
Taller
Historia del concepto WEB2
Concepto y lista de ldquoRed Socialrdquo(Social Networking Sites)
Exploracioacuten de sitios WEB2wwwfinclucom delicious
wwwflickrcom wwwzooomrcomflofcomar
www43thingscom
Seguridad de las redes
bull PCN aplicado a las comunicaciones y las redes- Disponibilidad de las liacuteneas permanentes de datos y voz- Disponibilidad del acceso Internet- Disponibilidad de los equipos de comunicaciones puntuales (tel fax)- Disponibilidad de los sistemas de correos electroacutenicos- Disponibilidad de los sistemas de video conferencia- Disponibilidad de las comunicaciones non electroacutenicas (correo papel
transportes de colaboradores y paquetes entre sitios de la empresa)
- Soluciones Sistemas de socorro de backup (a precios y capacidades degradados) Garantiacuteas de plazo de restablecimiento por los proveedores Red de celulares de socorro Fax teleacutefono y accesos Internet publicos a proximidad (Wifi Wimax) Utilizacioacuten de los accesos Internet privados con VPN Buzones de correos electroacutenicos puacuteblicos (gmail yahoo hotmailhellip) Alianza con flotas de taxi y proveedores de servicios de mensajeros
Seguridad de las redes
Ejemplo de PCN en una empresa real
bull Presentacioacuten- 300 empleos en la casa matriz 200 en delegaciones en el mundo- 2 sitios de produccioacuten industrial 1 subcontratista para la logiacutestica- Desde 2004 cada fabrica es el sitio de backup de la otra- Objetivo 2006 PCN de la casa matriz- Objetivo 2007 PCN de las delegaciones- Un logo
Casa MatrizDelegaciones
Fabrica 1 Fabrica 2
VPN
2 Mbitss
2 Mbitss2 Mbitss
Logiacutestica (depoacutesitos)
Seguridad de las redes
bull PCN aplicado a las redes- Instalacioacuten de una sala informaacutetica de backup en la fabrica 1- Instalacioacuten de una liacutenea Internet en la fabrica 1 dedicada al VPN- Instalacioacuten de una sala de trabajo para 12 empleos en la fabrica 1
(con teleacutefonos fax impresora y computadores)- Inversiones totales 25 de los presupuestos informaacuteticos- Utilizacioacuten de un acceso VPN privado a la casa para los otros
empleados
Casa MatrizDelegaciones
Fabrica 1 Fabrica 2
VPN
2 Mbitss
2 Mbitss2 Mbitss
Logiacutestica (depoacutesitos)
5 servidores1 AS40012 portaacutetiles1 impresora1 switch de red1 firewall
Acesso Internet 1 Mbitss
Seguridad de las redes
Auditoria y indicadores de riesgos
bullMicrosoft Security Assessment ToolsbullIndicadores de Seguridad Excel
Seguridad de las redes
UTILIZACIOacuteN EFICAZ Y SIN RIESGO DE LAS TECNOLOGIacuteAS WEB
Seguridad de las redes
PRINCIPIOS DE LAS ARQUITECTURAS CLIENTESERVIDORModelos de tecnologiacuteas ClienteServidor (Gartner Group)
Presentacioacuten
Gestioacuten de Datos
Aplicacioacuten
Presentacioacuten
Gestioacuten de Datos
Aplicacioacuten
Presentacioacuten
Gestioacuten de Datos
Aplicacioacuten
Presentacioacuten
Gestioacuten de Datos
Aplicacioacuten
Aplicacioacuten
Presentacioacuten
Gestioacuten de Datos
Gestioacuten de Datos
Aplicacioacuten
Aplicacioacuten
Presentacioacuten
Gestioacuten de Datos
Aplicacioacuten
Presentacioacuten
Gestioacuten de Datos
Cliente
Servidor
Presentacioacutendistribuida
Presentacioacutendistante
Gestioacuten dedatos distante
Tratamientosdistribuidos
Gestioacuten dedatos distribuida
Tratamientos ydatos distribuidos
Seguridad de las redes
Gestioacuten de Datos
Aplicacioacuten
Aplicacioacuten
Presentacioacuten
Tratamientosdistribuidos
Cliente
Servidor
Modelo de las aplicaciones con clientes ligeros
Los tratamientos son repartidos seguacuten el poder de los computadores
- Base de datos y tratamientos pesados sobre el servidor
- Tratamientos ligeros sobre el cliente (como la parte GUI por ejemplo)
Ejemplos- Tecnologiacuteas WEB- Aplicaciones
Clienteservidor de los antildeos 2000
Seguridad de las redes
Modelo claacutesico de las tecnologiacuteas WEB
Gestioacuten de Datos
Aplicacioacuten
Aplicacioacuten
Presentacioacuten
Tratamientosdistribuidos
Cliente
Servidor
Sistemas de Gestioacuten de Base de Datos SGBDR (Oracle Sql Server MySql DB2hellip)
Servidor HTTP (Microsoft IIS Lotus Domino Apache Webspherehellip)+ programas dedicados
Tecnologiacuteas dinaacutemicas en el navegador(VBScript Javascript ActiveX Javahellip)
Navegador Internet (browser)(Internet Explorer Firefoxhellip)
Seguridad de las redes
Diferencias entre las generaciones de modelos clienteservidor
bull Cliente pesado - Muchos tratamientos sobre el cliente- Necesita la instalacioacuten fiacutesica de programas sobre el cliente- Carga deacutebil para la red arquitectura adaptada a las comunicaciones internacionales
bull Cliente ligeroliviano - Muy poco tratamientos sobre el cliente- Posibilidad de descargar automaacuteticamente los programas por la red- Carga importante para viacutenculos de red deacutebiles
Seguridad de las redes
Arquitecturas fiacutesicas de los modelos clienteservidor
Gestioacuten de Datos
Aplicacioacuten
Aplicacioacuten
Presentacioacuten
Tratamientosdistribuidos
Cliente
Servidor
ArquitecturaEn 2 niveles
ArquitecturaEn 3 niveles
Seguridad de las redes
Gestioacuten de Datos
Aplicacioacuten
Aplicacioacuten
Presentacioacuten
Tratamientosdistribuidos
Cliente
Servidor
ArquitecturaEn 4 niveles
Sgbd
Programasdedicados
Servidor http
Seguridad de las redes
Ventajas de los modelos ClienteServidor con tecnologiacuteas WEB
bull Apoyo de los sistemas heterogeacuteneos- Cliente Windows MacOs Unix (BSD Linux etchellip) celulares PDA- Servidor Programas disponibles sobre Unix Windows AS400hellip
bull Utilizacioacuten ideacutentica al dentro de la empresa y a traveacutes Internet
bull Utilizacioacuten simple a aprender para una persona quien tiene un acceso Internet
bull Posibilidad de crear un punto de acceso uacutenico para todas las aplicaciones de la empresa (poacutertico)
Seguridad de las redes
Arquitectura WEB - ejemplo practicoEthernet
Microsoft SQL
SERVER
Microsoft IIS +Aplicacioacuten WEB
dedicada desarrollada en Microsoft NET
Usuarios con Internet Explorer
Base de Datos
MiddlewareMicrosoftMDAC
ORACLE sgbd
Oracle
IBM Websphere +Aplicacioacuten WEB
dedicada desarrollada en
SUN Java
MiddlewareSUNJDBC
Seguridad de las redes
CLIENTES LIGEROSLIVIANOS NAVEGADORES WEB
sgbd
Programasdedicados
Servidor http
A
A
A
1 ndash Construccioacuten de la pagina
El servidor HTTP crea en su memoria una pagina WEB con los elementos enviados por los otros servidores La pagina puede contener componentes activos (activex applet java javascript vbscripthellip) y inertes (imagenes textoshellip)
Seguridad de las redes
Srv http
AA
2 ndash Recepcioacuten de la pagina
El servidor HTTP enviacutea la pagina elemento por elemento en la red El navegador recibe los componentes en el disco duro del cliente En el mismo tiempo la pagina es reconstruida en la memoria del navegador
A
cliente
A
A
Seguridad de las redes
3 ndash Interpretacioacuten de la pagina
El navegador presenta sobre la pantalla la pagina WEB y los elementos inertes Los componentes activos son enviados a las aplicaciones dedicadas a cada uno seguacuten el tipo
Navegador
A
A
A
Funcioacuten de presentacioacuten
Aplicaciones integradasA el navegador
Aplicacioacuten dedicadaa el navegador
descargada en opcioacuten
Funciones deejecucioacuten
Plug-in
Otras aplicaciones del computador cliente
Seguridad de las redes
bull Las informaciones son pegadas sobre el computador cliente- Mas raacutepido para recargar una pagina ya consultada- Falla de seguridad Una persona extranjera a la empresa puede consultar las informaciones Nunca olvidar vaciar la memoria permanente del navegador al fin del trabajo cuando se utiliza un computador publico
bull Todas las aplicaciones del cliente pueden ser utilizadas a traveacutes el navegador (Word Excel Adobe Acrobat Readerhellip)Por razoacuten de seguridad el navegador pregunta antes de ejecutar una aplicacioacuten no integrada cuando existe un riesgo (la totalidad de las funcionalidades siempre autorizadas es llamado ldquosandboxrdquo por analogia con el espacio protectado donde pueden jugar los nintildeos con arena)
bull Muchas aplicaciones ldquoPlug-Inrdquo disponiblesLas mas conocidas y utilizadas son FLASH PLAYER y JAVA Pero existen muchas otras (DIVX Player Google Tools Quicktime playerhellip)
Seguridad de las redes
Taller
Internet Explorer historia de un eacutexito
Firefox una alternativa
Seguridad de las redes
NAVEGADORES WEB Buenas practicasbull Respetar la configuracioacuten de seguridad- Nivel de seguridad por zona- Nivel de confidencialidad- Configuracioacuten de base de las opciones
bull Responder ldquoNordquo cada vez que el navigador pregunta una autorizacioacuten de ejecucioacuten de componentes activos no necesarios
bull Cerrar las ventanas de tipo ldquoPopuprdquo con la cruz Windows (o con ALT-F4) y no los botones propuestos cada vez que posible
bull No utilizar la gestioacuten automaacutetica de los formularios
bull Limpiar la memoria sobre el disco duro despueacutes utilizacioacuten sobre un computador publico
Seguridad de las redes
bull No descargar moacutedulos de aplicaciones no firmados por editores prestigiosos
bull Proteger el computador con un anti-virus- Programar un anaacutelisis perioacutedico (1 vez por semana)- Descargar las ultimas versiones (funcioacuten ldquoUpdaterdquo)- Activar la proteccioacuten ldquotiempo realrdquo
bull Proteger el computador con un anti-spyware- Programar un anaacutelisis perioacutedico (1 vez por semana)- Descargar las ultimas versiones (funcioacuten ldquoUpdaterdquo)- Activar la proteccioacuten ldquotiempo realrdquo de la base de ldquoregistryrdquo de Windows
bull No desactivar la funcionalidad ldquoanti-popuprdquo
bull No desactivar la funcionalidad ldquoanti-phishingrdquo (IE 7)
Seguridad de las redes
bull Actualizar perioacutedicamente Windows viacutea la funcionalidad ldquoWindows Updaterdquo
bull Limpiar perioacutedicamente los histoacutericos y la memoria sobre el disco duro (para la velocidad) Los cookies pueden permanecer activados (riesgo miacutenimo)
bull Por supuesto no consultar sitios conocidos para ser peligrosos (sitios de juegos ilegales de muacutesicas mp3 non autorizadas de venta de productos prohibidos)
bull En principio el navegador libro FIREFOX es conocido para ser menos sensible a los riesgos claacutesicos que Internet Explorer Pero en empresa y sobre Internet todas la aplicaciones WEB no son compatibles con FIREFOX
Seguridad de las redes
Taller
Consejos de configuracioacuten de Internet Explorer y Firefox
Utilizacioacuten de NetPrivacy
Anaacutelisis de comunicaciones non protegidas con Packetyser
(Busca Google)
Ficheros temporarios y histoacuterico (cdocuments and settingltusersgtlocal settings)
Seguridad de las redes
bullLa historia
- Creacioacuten de la nocioacuten de pagina Web en los antildeos 90 por Tim Berners Lee (responsable de la gestioacuten de las documentaciones del CERN en Ginebra)
- La idea ser capaz de integrar en una pagina de texto electroacutenico viacutenculos con otras paginas (importante para los artiacuteculos cientiacuteficos)
- La realizacioacuten creacioacuten del protocolo Hypertext y de la nocioacuten de URL (Uniform Ressource Locator)
- Marc Andreesseen (Universidad del Illinois) a evolucionado el protocolo insertando el grafico (MOSAIC)
SERVICIOS WEB - TECNOLOGIacuteAS DE BASE
Seguridad de las redes
bullLos principios HTTP
- Protocolo de intercambio entre el servidor y el navegador (HyperTextTransfert Protocol)
- Basado sobre los URL (httpIdPwdserverportpathpathfileparameters) utilizando uacutenicamente los 128 primeros coacutedigos US ascii
- ldquoStatelessrdquo El protocolo olvida todas las configuraciones del usuario cada vez que el navegador es cerrado =gt necesitad de otras tecnicas para guardar el contexto Re-escritura de los URL (ajuntando paraacutemetros id=xxxxxx) Paraacutemetros escondidos en la pagina Web (con el orden HTTP ldquopostrdquo) Cookies (un fichero de texto escrito sobre el computador cliente con
las informaciones de contexto)
Seguridad de las redes
bull Los principios contenido de un COOKIE
Nombre Nombre del cookie sobre el disco duro
Valor El valor de contexto necesario para el sitio Web consultado (uno por cookie)
Valididad Fecha de fin de vida Despueacutes esta fecha el navegador rechaza el acceso al cookie
Servidor(es) Lista de servidores autorizados a consultar el cookie
Pagina(s) Lista de paginas autorizadas a consultar el cookie
Asegurado True o False si True el cookie se puede consultar uacutenicamente con un acceso asegurado
Seguridad de las redes
bull Los principios HTML
- Lenguaje informaacutetico para escribir paginas Web (HyperTextMarkup Language)- El navegador es un interpretador de HTML- Siempre en evolucioacuten (norma actual = 40) publico
lthtmlgtltheadgtltTITLEgtUNEltTITLEgtltheadgtltFRAMESET COLS=0 FRAMEBORDER=NO
BORDER=0 FRAMESPACING=0gtltFRAME
SRC=seccionesUNEHOMEseccion_HTMLhtml NAME=menu FRAMEBORDER=NO MARGINWIDTH=0 MARGINHEIGHT=0 noresizeSCROLLING=AUTOgt
ltFRAME SRC=blankhtml NAME=____contenido FRAMEBORDER=NO noresize SCROLLING=AUTO MARGINWIDTH=0 MARGINHEIGHT=0gtltFRAMESETgtltNOFRAMESgt DescripcionltNOFRAMESgt
ltHTMLgt
Seguridad de las redes
bull Los principios limitaciones de HTML
- No interaccioacuten con el equipo cliente (histoacutericamente un lenguaje de presentacioacuten)pobre en funciones graficasPor eso creacioacuten de evoluciones a lado del lenguaje principal (para asegurar la compatibilidad) CSS XMLXSL DHTML
- Muy pobre en funcionalidades interactivas con el usuario (cliente inteligente) Utilizacioacuten de tecnologiacuteas complementarias Plug-In ActiveX JAVA Scripts y modelos de documentos
Seguridad de las redes
bull Los principios cliente inteligente
- 2 tecnologiacuteas compiladas Plug-ins ActiveX
- 2 tecnologiacuteas interpretadas Scripts Java
- La tecnologiacuteas compiladas son mas raacutepidas pero el programa descargado es especificado a el equipo
- Los plug-in y los componentes ActiveX son descargados y instalados una vez definitivamente con una programa de verificacioacuten automaacutetica de versioacuten
- Scripts y aplicaciones Java (applet) son descargadas cada vez que la memoria permanente del navegador es vaciada
Seguridad de las redes
bullLos principios PLUG-IN
- Especificaciones abiertas al puacuteblico- Desarrollado en C o C++- Un Plug-in para IE sobre Windows no puede funcionar en IE sobre
MacOS (compilado)- Los mas conocidos son los Plug-In multimedia
bullLos principios ActiveX
- Componentes Objetos (C++) proponiendo por Microsoft en su arquitectura COMDCOM
- Dedicados a Internet Explorer y Windows (existe una oferta para Unix Mac y sistemas IBM muy poco utilizada)
- Posibilidad de reutilizar los ActiveX integrados en programas Microsoft (MsOffice MsProjecthellip) y otros sobre el computador cliente
- Utilizados por numerosos proveedores de soluciones WEB
Seguridad de las redes
bullLos principios JAVA
- Especificaciones abiertas al puacuteblico una oferta de SUN- Interpretado (maquina virtual JAVA) por eso independiente de la
plataforma- Muy pesado en Kbits a descargar puede ser lento a la ejecucioacuten- Gestioacuten automaacutetica de versioacuten para las maquina virtual JAVA- Numerosos problemas de compatibilidad encontrados entre las
versiones- Posibilidad de crear componentes JAVA reutilizables (JAVA es un
lenguaje objeto) llamados JAVABEANS- Un lenguaje complejo a dominar para crear ldquoAppletsrdquo
httpjavasuncomdocsbookstutorial
Seguridad de las redes
bullLos principios servidor dinaacutemico
- Paginas estaacuteticas (guardadas sobre el disco duro del servidor) no pueden servir de apoyo para informaciones en tiempo real (horarios sitios de ventahellip)
- Necesitad de crear dinaacutemicamente paginas en la memoria del servidor
- 3 tecnologiacuteas estandartes script CGI propietarias de bajo nivel NSAPI ISAPI APACHE APIhellip propietarias de alto nivel ASP JAVA NET Coldfusion PHP JSPhellip
Seguridad de las redes
Taller
Demostraciones de Plug-In
Anaacutelisis de Cookies(cdocuments and settingltusersgtcookies)
Utilizacioacuten de un ldquoCookie Viewerrdquo
Seguridad de las redes
SERVICIOS WEB SEGURIDADbullLas necesidades- Identificar el usuario y sus autorizaciones- Asegurar los intercambios de informaciones- Prohibir la posibilidad de negar una transaccioacuten
bullLas soluciones- Utilizar un algoritmo de cifrado (PGP RSA DES TripleDES)- Integrar el cifrado en el protocolo HTTP (hecho por Netscape con su
oferta llamada Secure Socket Layer y integrada en la norma HTTPS)- Trabajar con claves de cifrado (certificado electroacutenico ndash norma X509) La
gestioacuten de las claves necesita la definicioacuten en la empresa de un PKI (Public Key Infrastructure)
- Utilizar sistemas transaccionales- Indicado al usuario en el navegador por siacutembolos
Seguridad de las redes
Cifrado y HTTPS
bullLos principios de los meacutetodos de cifrado
Clave simeacutetrica los paquetes son cifrados y descifrados con el mismo algoritmo y la misma clave numeacuterica (DES TripleDES)
- Clave asimeacutetrica los paquetes son cifrados con el mismo algoritmo pero la clave inicial no puede ser utilizada para invertir el proceso El descifrado necesita una clave uacutenica vinculada a la primera por relaciones matemaacuteticas (RSA PGP)
- La fuerza del coacutedigo depende de la complexidad de la(s) clave(s) (en numero de cifras)
Seguridad de las redes
bull Principio de intercambio de claves de cifrado para establecer una comunicacioacuten SSL
Generacioacuten de un juego de claves (1C1D)
Envioacute de la clave 1C (clave publica) sin cifrado
Generacioacuten de un juego de claves (2C2D)
1C
Cifrado de la clave 2C con 1C
Envioacute de la clave 2C cifrada (seguridad alta)2C (certificado electroacutenico)
Generacioacuten de una clave de cifrado para el Tuacutenel (CT)
Cifrado de la clave CT con 2C
Descifrado de la clave 2C con 1D (completamente secreta)
Envioacute de la clave CT (clave simeacutetrica) cifrada (seguridad alta) CT
Intercambio cifrado con CT Intercambio cifrado con CT
Descifrado de la clave CT con 2D (completamente secreta)
Seguridad de las redes
Taller
Historia de RSA firma digital y certificados X509
Anaacutelisis de comunicaciones cifradas en HTTPS con un banco
Anaacutelisis de certificados de seguridad
Seguridad de las redes
Seguridad y WEB 2
bullPropuesto en 2004 por OrsquoReilly Media (WEB 20)
bullUn nombre geneacuterico para los servicios nuevos de Internet de estos uacuteltimos antildeos
- Social Networking Sites- Folksonomy (como Wikipedia wikis blogs Youtubehellip)- Y otros sitios orientados relaciones humanas
bullEn general sitios con nivel de seguridad muy pobre sin control Riesgo de divulgacioacuten de datos confidenciales
Seguridad de las redes
Taller
Historia del concepto WEB2
Concepto y lista de ldquoRed Socialrdquo(Social Networking Sites)
Exploracioacuten de sitios WEB2wwwfinclucom delicious
wwwflickrcom wwwzooomrcomflofcomar
www43thingscom
Seguridad de las redes
Ejemplo de PCN en una empresa real
bull Presentacioacuten- 300 empleos en la casa matriz 200 en delegaciones en el mundo- 2 sitios de produccioacuten industrial 1 subcontratista para la logiacutestica- Desde 2004 cada fabrica es el sitio de backup de la otra- Objetivo 2006 PCN de la casa matriz- Objetivo 2007 PCN de las delegaciones- Un logo
Casa MatrizDelegaciones
Fabrica 1 Fabrica 2
VPN
2 Mbitss
2 Mbitss2 Mbitss
Logiacutestica (depoacutesitos)
Seguridad de las redes
bull PCN aplicado a las redes- Instalacioacuten de una sala informaacutetica de backup en la fabrica 1- Instalacioacuten de una liacutenea Internet en la fabrica 1 dedicada al VPN- Instalacioacuten de una sala de trabajo para 12 empleos en la fabrica 1
(con teleacutefonos fax impresora y computadores)- Inversiones totales 25 de los presupuestos informaacuteticos- Utilizacioacuten de un acceso VPN privado a la casa para los otros
empleados
Casa MatrizDelegaciones
Fabrica 1 Fabrica 2
VPN
2 Mbitss
2 Mbitss2 Mbitss
Logiacutestica (depoacutesitos)
5 servidores1 AS40012 portaacutetiles1 impresora1 switch de red1 firewall
Acesso Internet 1 Mbitss
Seguridad de las redes
Auditoria y indicadores de riesgos
bullMicrosoft Security Assessment ToolsbullIndicadores de Seguridad Excel
Seguridad de las redes
UTILIZACIOacuteN EFICAZ Y SIN RIESGO DE LAS TECNOLOGIacuteAS WEB
Seguridad de las redes
PRINCIPIOS DE LAS ARQUITECTURAS CLIENTESERVIDORModelos de tecnologiacuteas ClienteServidor (Gartner Group)
Presentacioacuten
Gestioacuten de Datos
Aplicacioacuten
Presentacioacuten
Gestioacuten de Datos
Aplicacioacuten
Presentacioacuten
Gestioacuten de Datos
Aplicacioacuten
Presentacioacuten
Gestioacuten de Datos
Aplicacioacuten
Aplicacioacuten
Presentacioacuten
Gestioacuten de Datos
Gestioacuten de Datos
Aplicacioacuten
Aplicacioacuten
Presentacioacuten
Gestioacuten de Datos
Aplicacioacuten
Presentacioacuten
Gestioacuten de Datos
Cliente
Servidor
Presentacioacutendistribuida
Presentacioacutendistante
Gestioacuten dedatos distante
Tratamientosdistribuidos
Gestioacuten dedatos distribuida
Tratamientos ydatos distribuidos
Seguridad de las redes
Gestioacuten de Datos
Aplicacioacuten
Aplicacioacuten
Presentacioacuten
Tratamientosdistribuidos
Cliente
Servidor
Modelo de las aplicaciones con clientes ligeros
Los tratamientos son repartidos seguacuten el poder de los computadores
- Base de datos y tratamientos pesados sobre el servidor
- Tratamientos ligeros sobre el cliente (como la parte GUI por ejemplo)
Ejemplos- Tecnologiacuteas WEB- Aplicaciones
Clienteservidor de los antildeos 2000
Seguridad de las redes
Modelo claacutesico de las tecnologiacuteas WEB
Gestioacuten de Datos
Aplicacioacuten
Aplicacioacuten
Presentacioacuten
Tratamientosdistribuidos
Cliente
Servidor
Sistemas de Gestioacuten de Base de Datos SGBDR (Oracle Sql Server MySql DB2hellip)
Servidor HTTP (Microsoft IIS Lotus Domino Apache Webspherehellip)+ programas dedicados
Tecnologiacuteas dinaacutemicas en el navegador(VBScript Javascript ActiveX Javahellip)
Navegador Internet (browser)(Internet Explorer Firefoxhellip)
Seguridad de las redes
Diferencias entre las generaciones de modelos clienteservidor
bull Cliente pesado - Muchos tratamientos sobre el cliente- Necesita la instalacioacuten fiacutesica de programas sobre el cliente- Carga deacutebil para la red arquitectura adaptada a las comunicaciones internacionales
bull Cliente ligeroliviano - Muy poco tratamientos sobre el cliente- Posibilidad de descargar automaacuteticamente los programas por la red- Carga importante para viacutenculos de red deacutebiles
Seguridad de las redes
Arquitecturas fiacutesicas de los modelos clienteservidor
Gestioacuten de Datos
Aplicacioacuten
Aplicacioacuten
Presentacioacuten
Tratamientosdistribuidos
Cliente
Servidor
ArquitecturaEn 2 niveles
ArquitecturaEn 3 niveles
Seguridad de las redes
Gestioacuten de Datos
Aplicacioacuten
Aplicacioacuten
Presentacioacuten
Tratamientosdistribuidos
Cliente
Servidor
ArquitecturaEn 4 niveles
Sgbd
Programasdedicados
Servidor http
Seguridad de las redes
Ventajas de los modelos ClienteServidor con tecnologiacuteas WEB
bull Apoyo de los sistemas heterogeacuteneos- Cliente Windows MacOs Unix (BSD Linux etchellip) celulares PDA- Servidor Programas disponibles sobre Unix Windows AS400hellip
bull Utilizacioacuten ideacutentica al dentro de la empresa y a traveacutes Internet
bull Utilizacioacuten simple a aprender para una persona quien tiene un acceso Internet
bull Posibilidad de crear un punto de acceso uacutenico para todas las aplicaciones de la empresa (poacutertico)
Seguridad de las redes
Arquitectura WEB - ejemplo practicoEthernet
Microsoft SQL
SERVER
Microsoft IIS +Aplicacioacuten WEB
dedicada desarrollada en Microsoft NET
Usuarios con Internet Explorer
Base de Datos
MiddlewareMicrosoftMDAC
ORACLE sgbd
Oracle
IBM Websphere +Aplicacioacuten WEB
dedicada desarrollada en
SUN Java
MiddlewareSUNJDBC
Seguridad de las redes
CLIENTES LIGEROSLIVIANOS NAVEGADORES WEB
sgbd
Programasdedicados
Servidor http
A
A
A
1 ndash Construccioacuten de la pagina
El servidor HTTP crea en su memoria una pagina WEB con los elementos enviados por los otros servidores La pagina puede contener componentes activos (activex applet java javascript vbscripthellip) y inertes (imagenes textoshellip)
Seguridad de las redes
Srv http
AA
2 ndash Recepcioacuten de la pagina
El servidor HTTP enviacutea la pagina elemento por elemento en la red El navegador recibe los componentes en el disco duro del cliente En el mismo tiempo la pagina es reconstruida en la memoria del navegador
A
cliente
A
A
Seguridad de las redes
3 ndash Interpretacioacuten de la pagina
El navegador presenta sobre la pantalla la pagina WEB y los elementos inertes Los componentes activos son enviados a las aplicaciones dedicadas a cada uno seguacuten el tipo
Navegador
A
A
A
Funcioacuten de presentacioacuten
Aplicaciones integradasA el navegador
Aplicacioacuten dedicadaa el navegador
descargada en opcioacuten
Funciones deejecucioacuten
Plug-in
Otras aplicaciones del computador cliente
Seguridad de las redes
bull Las informaciones son pegadas sobre el computador cliente- Mas raacutepido para recargar una pagina ya consultada- Falla de seguridad Una persona extranjera a la empresa puede consultar las informaciones Nunca olvidar vaciar la memoria permanente del navegador al fin del trabajo cuando se utiliza un computador publico
bull Todas las aplicaciones del cliente pueden ser utilizadas a traveacutes el navegador (Word Excel Adobe Acrobat Readerhellip)Por razoacuten de seguridad el navegador pregunta antes de ejecutar una aplicacioacuten no integrada cuando existe un riesgo (la totalidad de las funcionalidades siempre autorizadas es llamado ldquosandboxrdquo por analogia con el espacio protectado donde pueden jugar los nintildeos con arena)
bull Muchas aplicaciones ldquoPlug-Inrdquo disponiblesLas mas conocidas y utilizadas son FLASH PLAYER y JAVA Pero existen muchas otras (DIVX Player Google Tools Quicktime playerhellip)
Seguridad de las redes
Taller
Internet Explorer historia de un eacutexito
Firefox una alternativa
Seguridad de las redes
NAVEGADORES WEB Buenas practicasbull Respetar la configuracioacuten de seguridad- Nivel de seguridad por zona- Nivel de confidencialidad- Configuracioacuten de base de las opciones
bull Responder ldquoNordquo cada vez que el navigador pregunta una autorizacioacuten de ejecucioacuten de componentes activos no necesarios
bull Cerrar las ventanas de tipo ldquoPopuprdquo con la cruz Windows (o con ALT-F4) y no los botones propuestos cada vez que posible
bull No utilizar la gestioacuten automaacutetica de los formularios
bull Limpiar la memoria sobre el disco duro despueacutes utilizacioacuten sobre un computador publico
Seguridad de las redes
bull No descargar moacutedulos de aplicaciones no firmados por editores prestigiosos
bull Proteger el computador con un anti-virus- Programar un anaacutelisis perioacutedico (1 vez por semana)- Descargar las ultimas versiones (funcioacuten ldquoUpdaterdquo)- Activar la proteccioacuten ldquotiempo realrdquo
bull Proteger el computador con un anti-spyware- Programar un anaacutelisis perioacutedico (1 vez por semana)- Descargar las ultimas versiones (funcioacuten ldquoUpdaterdquo)- Activar la proteccioacuten ldquotiempo realrdquo de la base de ldquoregistryrdquo de Windows
bull No desactivar la funcionalidad ldquoanti-popuprdquo
bull No desactivar la funcionalidad ldquoanti-phishingrdquo (IE 7)
Seguridad de las redes
bull Actualizar perioacutedicamente Windows viacutea la funcionalidad ldquoWindows Updaterdquo
bull Limpiar perioacutedicamente los histoacutericos y la memoria sobre el disco duro (para la velocidad) Los cookies pueden permanecer activados (riesgo miacutenimo)
bull Por supuesto no consultar sitios conocidos para ser peligrosos (sitios de juegos ilegales de muacutesicas mp3 non autorizadas de venta de productos prohibidos)
bull En principio el navegador libro FIREFOX es conocido para ser menos sensible a los riesgos claacutesicos que Internet Explorer Pero en empresa y sobre Internet todas la aplicaciones WEB no son compatibles con FIREFOX
Seguridad de las redes
Taller
Consejos de configuracioacuten de Internet Explorer y Firefox
Utilizacioacuten de NetPrivacy
Anaacutelisis de comunicaciones non protegidas con Packetyser
(Busca Google)
Ficheros temporarios y histoacuterico (cdocuments and settingltusersgtlocal settings)
Seguridad de las redes
bullLa historia
- Creacioacuten de la nocioacuten de pagina Web en los antildeos 90 por Tim Berners Lee (responsable de la gestioacuten de las documentaciones del CERN en Ginebra)
- La idea ser capaz de integrar en una pagina de texto electroacutenico viacutenculos con otras paginas (importante para los artiacuteculos cientiacuteficos)
- La realizacioacuten creacioacuten del protocolo Hypertext y de la nocioacuten de URL (Uniform Ressource Locator)
- Marc Andreesseen (Universidad del Illinois) a evolucionado el protocolo insertando el grafico (MOSAIC)
SERVICIOS WEB - TECNOLOGIacuteAS DE BASE
Seguridad de las redes
bullLos principios HTTP
- Protocolo de intercambio entre el servidor y el navegador (HyperTextTransfert Protocol)
- Basado sobre los URL (httpIdPwdserverportpathpathfileparameters) utilizando uacutenicamente los 128 primeros coacutedigos US ascii
- ldquoStatelessrdquo El protocolo olvida todas las configuraciones del usuario cada vez que el navegador es cerrado =gt necesitad de otras tecnicas para guardar el contexto Re-escritura de los URL (ajuntando paraacutemetros id=xxxxxx) Paraacutemetros escondidos en la pagina Web (con el orden HTTP ldquopostrdquo) Cookies (un fichero de texto escrito sobre el computador cliente con
las informaciones de contexto)
Seguridad de las redes
bull Los principios contenido de un COOKIE
Nombre Nombre del cookie sobre el disco duro
Valor El valor de contexto necesario para el sitio Web consultado (uno por cookie)
Valididad Fecha de fin de vida Despueacutes esta fecha el navegador rechaza el acceso al cookie
Servidor(es) Lista de servidores autorizados a consultar el cookie
Pagina(s) Lista de paginas autorizadas a consultar el cookie
Asegurado True o False si True el cookie se puede consultar uacutenicamente con un acceso asegurado
Seguridad de las redes
bull Los principios HTML
- Lenguaje informaacutetico para escribir paginas Web (HyperTextMarkup Language)- El navegador es un interpretador de HTML- Siempre en evolucioacuten (norma actual = 40) publico
lthtmlgtltheadgtltTITLEgtUNEltTITLEgtltheadgtltFRAMESET COLS=0 FRAMEBORDER=NO
BORDER=0 FRAMESPACING=0gtltFRAME
SRC=seccionesUNEHOMEseccion_HTMLhtml NAME=menu FRAMEBORDER=NO MARGINWIDTH=0 MARGINHEIGHT=0 noresizeSCROLLING=AUTOgt
ltFRAME SRC=blankhtml NAME=____contenido FRAMEBORDER=NO noresize SCROLLING=AUTO MARGINWIDTH=0 MARGINHEIGHT=0gtltFRAMESETgtltNOFRAMESgt DescripcionltNOFRAMESgt
ltHTMLgt
Seguridad de las redes
bull Los principios limitaciones de HTML
- No interaccioacuten con el equipo cliente (histoacutericamente un lenguaje de presentacioacuten)pobre en funciones graficasPor eso creacioacuten de evoluciones a lado del lenguaje principal (para asegurar la compatibilidad) CSS XMLXSL DHTML
- Muy pobre en funcionalidades interactivas con el usuario (cliente inteligente) Utilizacioacuten de tecnologiacuteas complementarias Plug-In ActiveX JAVA Scripts y modelos de documentos
Seguridad de las redes
bull Los principios cliente inteligente
- 2 tecnologiacuteas compiladas Plug-ins ActiveX
- 2 tecnologiacuteas interpretadas Scripts Java
- La tecnologiacuteas compiladas son mas raacutepidas pero el programa descargado es especificado a el equipo
- Los plug-in y los componentes ActiveX son descargados y instalados una vez definitivamente con una programa de verificacioacuten automaacutetica de versioacuten
- Scripts y aplicaciones Java (applet) son descargadas cada vez que la memoria permanente del navegador es vaciada
Seguridad de las redes
bullLos principios PLUG-IN
- Especificaciones abiertas al puacuteblico- Desarrollado en C o C++- Un Plug-in para IE sobre Windows no puede funcionar en IE sobre
MacOS (compilado)- Los mas conocidos son los Plug-In multimedia
bullLos principios ActiveX
- Componentes Objetos (C++) proponiendo por Microsoft en su arquitectura COMDCOM
- Dedicados a Internet Explorer y Windows (existe una oferta para Unix Mac y sistemas IBM muy poco utilizada)
- Posibilidad de reutilizar los ActiveX integrados en programas Microsoft (MsOffice MsProjecthellip) y otros sobre el computador cliente
- Utilizados por numerosos proveedores de soluciones WEB
Seguridad de las redes
bullLos principios JAVA
- Especificaciones abiertas al puacuteblico una oferta de SUN- Interpretado (maquina virtual JAVA) por eso independiente de la
plataforma- Muy pesado en Kbits a descargar puede ser lento a la ejecucioacuten- Gestioacuten automaacutetica de versioacuten para las maquina virtual JAVA- Numerosos problemas de compatibilidad encontrados entre las
versiones- Posibilidad de crear componentes JAVA reutilizables (JAVA es un
lenguaje objeto) llamados JAVABEANS- Un lenguaje complejo a dominar para crear ldquoAppletsrdquo
httpjavasuncomdocsbookstutorial
Seguridad de las redes
bullLos principios servidor dinaacutemico
- Paginas estaacuteticas (guardadas sobre el disco duro del servidor) no pueden servir de apoyo para informaciones en tiempo real (horarios sitios de ventahellip)
- Necesitad de crear dinaacutemicamente paginas en la memoria del servidor
- 3 tecnologiacuteas estandartes script CGI propietarias de bajo nivel NSAPI ISAPI APACHE APIhellip propietarias de alto nivel ASP JAVA NET Coldfusion PHP JSPhellip
Seguridad de las redes
Taller
Demostraciones de Plug-In
Anaacutelisis de Cookies(cdocuments and settingltusersgtcookies)
Utilizacioacuten de un ldquoCookie Viewerrdquo
Seguridad de las redes
SERVICIOS WEB SEGURIDADbullLas necesidades- Identificar el usuario y sus autorizaciones- Asegurar los intercambios de informaciones- Prohibir la posibilidad de negar una transaccioacuten
bullLas soluciones- Utilizar un algoritmo de cifrado (PGP RSA DES TripleDES)- Integrar el cifrado en el protocolo HTTP (hecho por Netscape con su
oferta llamada Secure Socket Layer y integrada en la norma HTTPS)- Trabajar con claves de cifrado (certificado electroacutenico ndash norma X509) La
gestioacuten de las claves necesita la definicioacuten en la empresa de un PKI (Public Key Infrastructure)
- Utilizar sistemas transaccionales- Indicado al usuario en el navegador por siacutembolos
Seguridad de las redes
Cifrado y HTTPS
bullLos principios de los meacutetodos de cifrado
Clave simeacutetrica los paquetes son cifrados y descifrados con el mismo algoritmo y la misma clave numeacuterica (DES TripleDES)
- Clave asimeacutetrica los paquetes son cifrados con el mismo algoritmo pero la clave inicial no puede ser utilizada para invertir el proceso El descifrado necesita una clave uacutenica vinculada a la primera por relaciones matemaacuteticas (RSA PGP)
- La fuerza del coacutedigo depende de la complexidad de la(s) clave(s) (en numero de cifras)
Seguridad de las redes
bull Principio de intercambio de claves de cifrado para establecer una comunicacioacuten SSL
Generacioacuten de un juego de claves (1C1D)
Envioacute de la clave 1C (clave publica) sin cifrado
Generacioacuten de un juego de claves (2C2D)
1C
Cifrado de la clave 2C con 1C
Envioacute de la clave 2C cifrada (seguridad alta)2C (certificado electroacutenico)
Generacioacuten de una clave de cifrado para el Tuacutenel (CT)
Cifrado de la clave CT con 2C
Descifrado de la clave 2C con 1D (completamente secreta)
Envioacute de la clave CT (clave simeacutetrica) cifrada (seguridad alta) CT
Intercambio cifrado con CT Intercambio cifrado con CT
Descifrado de la clave CT con 2D (completamente secreta)
Seguridad de las redes
Taller
Historia de RSA firma digital y certificados X509
Anaacutelisis de comunicaciones cifradas en HTTPS con un banco
Anaacutelisis de certificados de seguridad
Seguridad de las redes
Seguridad y WEB 2
bullPropuesto en 2004 por OrsquoReilly Media (WEB 20)
bullUn nombre geneacuterico para los servicios nuevos de Internet de estos uacuteltimos antildeos
- Social Networking Sites- Folksonomy (como Wikipedia wikis blogs Youtubehellip)- Y otros sitios orientados relaciones humanas
bullEn general sitios con nivel de seguridad muy pobre sin control Riesgo de divulgacioacuten de datos confidenciales
Seguridad de las redes
Taller
Historia del concepto WEB2
Concepto y lista de ldquoRed Socialrdquo(Social Networking Sites)
Exploracioacuten de sitios WEB2wwwfinclucom delicious
wwwflickrcom wwwzooomrcomflofcomar
www43thingscom
Seguridad de las redes
bull PCN aplicado a las redes- Instalacioacuten de una sala informaacutetica de backup en la fabrica 1- Instalacioacuten de una liacutenea Internet en la fabrica 1 dedicada al VPN- Instalacioacuten de una sala de trabajo para 12 empleos en la fabrica 1
(con teleacutefonos fax impresora y computadores)- Inversiones totales 25 de los presupuestos informaacuteticos- Utilizacioacuten de un acceso VPN privado a la casa para los otros
empleados
Casa MatrizDelegaciones
Fabrica 1 Fabrica 2
VPN
2 Mbitss
2 Mbitss2 Mbitss
Logiacutestica (depoacutesitos)
5 servidores1 AS40012 portaacutetiles1 impresora1 switch de red1 firewall
Acesso Internet 1 Mbitss
Seguridad de las redes
Auditoria y indicadores de riesgos
bullMicrosoft Security Assessment ToolsbullIndicadores de Seguridad Excel
Seguridad de las redes
UTILIZACIOacuteN EFICAZ Y SIN RIESGO DE LAS TECNOLOGIacuteAS WEB
Seguridad de las redes
PRINCIPIOS DE LAS ARQUITECTURAS CLIENTESERVIDORModelos de tecnologiacuteas ClienteServidor (Gartner Group)
Presentacioacuten
Gestioacuten de Datos
Aplicacioacuten
Presentacioacuten
Gestioacuten de Datos
Aplicacioacuten
Presentacioacuten
Gestioacuten de Datos
Aplicacioacuten
Presentacioacuten
Gestioacuten de Datos
Aplicacioacuten
Aplicacioacuten
Presentacioacuten
Gestioacuten de Datos
Gestioacuten de Datos
Aplicacioacuten
Aplicacioacuten
Presentacioacuten
Gestioacuten de Datos
Aplicacioacuten
Presentacioacuten
Gestioacuten de Datos
Cliente
Servidor
Presentacioacutendistribuida
Presentacioacutendistante
Gestioacuten dedatos distante
Tratamientosdistribuidos
Gestioacuten dedatos distribuida
Tratamientos ydatos distribuidos
Seguridad de las redes
Gestioacuten de Datos
Aplicacioacuten
Aplicacioacuten
Presentacioacuten
Tratamientosdistribuidos
Cliente
Servidor
Modelo de las aplicaciones con clientes ligeros
Los tratamientos son repartidos seguacuten el poder de los computadores
- Base de datos y tratamientos pesados sobre el servidor
- Tratamientos ligeros sobre el cliente (como la parte GUI por ejemplo)
Ejemplos- Tecnologiacuteas WEB- Aplicaciones
Clienteservidor de los antildeos 2000
Seguridad de las redes
Modelo claacutesico de las tecnologiacuteas WEB
Gestioacuten de Datos
Aplicacioacuten
Aplicacioacuten
Presentacioacuten
Tratamientosdistribuidos
Cliente
Servidor
Sistemas de Gestioacuten de Base de Datos SGBDR (Oracle Sql Server MySql DB2hellip)
Servidor HTTP (Microsoft IIS Lotus Domino Apache Webspherehellip)+ programas dedicados
Tecnologiacuteas dinaacutemicas en el navegador(VBScript Javascript ActiveX Javahellip)
Navegador Internet (browser)(Internet Explorer Firefoxhellip)
Seguridad de las redes
Diferencias entre las generaciones de modelos clienteservidor
bull Cliente pesado - Muchos tratamientos sobre el cliente- Necesita la instalacioacuten fiacutesica de programas sobre el cliente- Carga deacutebil para la red arquitectura adaptada a las comunicaciones internacionales
bull Cliente ligeroliviano - Muy poco tratamientos sobre el cliente- Posibilidad de descargar automaacuteticamente los programas por la red- Carga importante para viacutenculos de red deacutebiles
Seguridad de las redes
Arquitecturas fiacutesicas de los modelos clienteservidor
Gestioacuten de Datos
Aplicacioacuten
Aplicacioacuten
Presentacioacuten
Tratamientosdistribuidos
Cliente
Servidor
ArquitecturaEn 2 niveles
ArquitecturaEn 3 niveles
Seguridad de las redes
Gestioacuten de Datos
Aplicacioacuten
Aplicacioacuten
Presentacioacuten
Tratamientosdistribuidos
Cliente
Servidor
ArquitecturaEn 4 niveles
Sgbd
Programasdedicados
Servidor http
Seguridad de las redes
Ventajas de los modelos ClienteServidor con tecnologiacuteas WEB
bull Apoyo de los sistemas heterogeacuteneos- Cliente Windows MacOs Unix (BSD Linux etchellip) celulares PDA- Servidor Programas disponibles sobre Unix Windows AS400hellip
bull Utilizacioacuten ideacutentica al dentro de la empresa y a traveacutes Internet
bull Utilizacioacuten simple a aprender para una persona quien tiene un acceso Internet
bull Posibilidad de crear un punto de acceso uacutenico para todas las aplicaciones de la empresa (poacutertico)
Seguridad de las redes
Arquitectura WEB - ejemplo practicoEthernet
Microsoft SQL
SERVER
Microsoft IIS +Aplicacioacuten WEB
dedicada desarrollada en Microsoft NET
Usuarios con Internet Explorer
Base de Datos
MiddlewareMicrosoftMDAC
ORACLE sgbd
Oracle
IBM Websphere +Aplicacioacuten WEB
dedicada desarrollada en
SUN Java
MiddlewareSUNJDBC
Seguridad de las redes
CLIENTES LIGEROSLIVIANOS NAVEGADORES WEB
sgbd
Programasdedicados
Servidor http
A
A
A
1 ndash Construccioacuten de la pagina
El servidor HTTP crea en su memoria una pagina WEB con los elementos enviados por los otros servidores La pagina puede contener componentes activos (activex applet java javascript vbscripthellip) y inertes (imagenes textoshellip)
Seguridad de las redes
Srv http
AA
2 ndash Recepcioacuten de la pagina
El servidor HTTP enviacutea la pagina elemento por elemento en la red El navegador recibe los componentes en el disco duro del cliente En el mismo tiempo la pagina es reconstruida en la memoria del navegador
A
cliente
A
A
Seguridad de las redes
3 ndash Interpretacioacuten de la pagina
El navegador presenta sobre la pantalla la pagina WEB y los elementos inertes Los componentes activos son enviados a las aplicaciones dedicadas a cada uno seguacuten el tipo
Navegador
A
A
A
Funcioacuten de presentacioacuten
Aplicaciones integradasA el navegador
Aplicacioacuten dedicadaa el navegador
descargada en opcioacuten
Funciones deejecucioacuten
Plug-in
Otras aplicaciones del computador cliente
Seguridad de las redes
bull Las informaciones son pegadas sobre el computador cliente- Mas raacutepido para recargar una pagina ya consultada- Falla de seguridad Una persona extranjera a la empresa puede consultar las informaciones Nunca olvidar vaciar la memoria permanente del navegador al fin del trabajo cuando se utiliza un computador publico
bull Todas las aplicaciones del cliente pueden ser utilizadas a traveacutes el navegador (Word Excel Adobe Acrobat Readerhellip)Por razoacuten de seguridad el navegador pregunta antes de ejecutar una aplicacioacuten no integrada cuando existe un riesgo (la totalidad de las funcionalidades siempre autorizadas es llamado ldquosandboxrdquo por analogia con el espacio protectado donde pueden jugar los nintildeos con arena)
bull Muchas aplicaciones ldquoPlug-Inrdquo disponiblesLas mas conocidas y utilizadas son FLASH PLAYER y JAVA Pero existen muchas otras (DIVX Player Google Tools Quicktime playerhellip)
Seguridad de las redes
Taller
Internet Explorer historia de un eacutexito
Firefox una alternativa
Seguridad de las redes
NAVEGADORES WEB Buenas practicasbull Respetar la configuracioacuten de seguridad- Nivel de seguridad por zona- Nivel de confidencialidad- Configuracioacuten de base de las opciones
bull Responder ldquoNordquo cada vez que el navigador pregunta una autorizacioacuten de ejecucioacuten de componentes activos no necesarios
bull Cerrar las ventanas de tipo ldquoPopuprdquo con la cruz Windows (o con ALT-F4) y no los botones propuestos cada vez que posible
bull No utilizar la gestioacuten automaacutetica de los formularios
bull Limpiar la memoria sobre el disco duro despueacutes utilizacioacuten sobre un computador publico
Seguridad de las redes
bull No descargar moacutedulos de aplicaciones no firmados por editores prestigiosos
bull Proteger el computador con un anti-virus- Programar un anaacutelisis perioacutedico (1 vez por semana)- Descargar las ultimas versiones (funcioacuten ldquoUpdaterdquo)- Activar la proteccioacuten ldquotiempo realrdquo
bull Proteger el computador con un anti-spyware- Programar un anaacutelisis perioacutedico (1 vez por semana)- Descargar las ultimas versiones (funcioacuten ldquoUpdaterdquo)- Activar la proteccioacuten ldquotiempo realrdquo de la base de ldquoregistryrdquo de Windows
bull No desactivar la funcionalidad ldquoanti-popuprdquo
bull No desactivar la funcionalidad ldquoanti-phishingrdquo (IE 7)
Seguridad de las redes
bull Actualizar perioacutedicamente Windows viacutea la funcionalidad ldquoWindows Updaterdquo
bull Limpiar perioacutedicamente los histoacutericos y la memoria sobre el disco duro (para la velocidad) Los cookies pueden permanecer activados (riesgo miacutenimo)
bull Por supuesto no consultar sitios conocidos para ser peligrosos (sitios de juegos ilegales de muacutesicas mp3 non autorizadas de venta de productos prohibidos)
bull En principio el navegador libro FIREFOX es conocido para ser menos sensible a los riesgos claacutesicos que Internet Explorer Pero en empresa y sobre Internet todas la aplicaciones WEB no son compatibles con FIREFOX
Seguridad de las redes
Taller
Consejos de configuracioacuten de Internet Explorer y Firefox
Utilizacioacuten de NetPrivacy
Anaacutelisis de comunicaciones non protegidas con Packetyser
(Busca Google)
Ficheros temporarios y histoacuterico (cdocuments and settingltusersgtlocal settings)
Seguridad de las redes
bullLa historia
- Creacioacuten de la nocioacuten de pagina Web en los antildeos 90 por Tim Berners Lee (responsable de la gestioacuten de las documentaciones del CERN en Ginebra)
- La idea ser capaz de integrar en una pagina de texto electroacutenico viacutenculos con otras paginas (importante para los artiacuteculos cientiacuteficos)
- La realizacioacuten creacioacuten del protocolo Hypertext y de la nocioacuten de URL (Uniform Ressource Locator)
- Marc Andreesseen (Universidad del Illinois) a evolucionado el protocolo insertando el grafico (MOSAIC)
SERVICIOS WEB - TECNOLOGIacuteAS DE BASE
Seguridad de las redes
bullLos principios HTTP
- Protocolo de intercambio entre el servidor y el navegador (HyperTextTransfert Protocol)
- Basado sobre los URL (httpIdPwdserverportpathpathfileparameters) utilizando uacutenicamente los 128 primeros coacutedigos US ascii
- ldquoStatelessrdquo El protocolo olvida todas las configuraciones del usuario cada vez que el navegador es cerrado =gt necesitad de otras tecnicas para guardar el contexto Re-escritura de los URL (ajuntando paraacutemetros id=xxxxxx) Paraacutemetros escondidos en la pagina Web (con el orden HTTP ldquopostrdquo) Cookies (un fichero de texto escrito sobre el computador cliente con
las informaciones de contexto)
Seguridad de las redes
bull Los principios contenido de un COOKIE
Nombre Nombre del cookie sobre el disco duro
Valor El valor de contexto necesario para el sitio Web consultado (uno por cookie)
Valididad Fecha de fin de vida Despueacutes esta fecha el navegador rechaza el acceso al cookie
Servidor(es) Lista de servidores autorizados a consultar el cookie
Pagina(s) Lista de paginas autorizadas a consultar el cookie
Asegurado True o False si True el cookie se puede consultar uacutenicamente con un acceso asegurado
Seguridad de las redes
bull Los principios HTML
- Lenguaje informaacutetico para escribir paginas Web (HyperTextMarkup Language)- El navegador es un interpretador de HTML- Siempre en evolucioacuten (norma actual = 40) publico
lthtmlgtltheadgtltTITLEgtUNEltTITLEgtltheadgtltFRAMESET COLS=0 FRAMEBORDER=NO
BORDER=0 FRAMESPACING=0gtltFRAME
SRC=seccionesUNEHOMEseccion_HTMLhtml NAME=menu FRAMEBORDER=NO MARGINWIDTH=0 MARGINHEIGHT=0 noresizeSCROLLING=AUTOgt
ltFRAME SRC=blankhtml NAME=____contenido FRAMEBORDER=NO noresize SCROLLING=AUTO MARGINWIDTH=0 MARGINHEIGHT=0gtltFRAMESETgtltNOFRAMESgt DescripcionltNOFRAMESgt
ltHTMLgt
Seguridad de las redes
bull Los principios limitaciones de HTML
- No interaccioacuten con el equipo cliente (histoacutericamente un lenguaje de presentacioacuten)pobre en funciones graficasPor eso creacioacuten de evoluciones a lado del lenguaje principal (para asegurar la compatibilidad) CSS XMLXSL DHTML
- Muy pobre en funcionalidades interactivas con el usuario (cliente inteligente) Utilizacioacuten de tecnologiacuteas complementarias Plug-In ActiveX JAVA Scripts y modelos de documentos
Seguridad de las redes
bull Los principios cliente inteligente
- 2 tecnologiacuteas compiladas Plug-ins ActiveX
- 2 tecnologiacuteas interpretadas Scripts Java
- La tecnologiacuteas compiladas son mas raacutepidas pero el programa descargado es especificado a el equipo
- Los plug-in y los componentes ActiveX son descargados y instalados una vez definitivamente con una programa de verificacioacuten automaacutetica de versioacuten
- Scripts y aplicaciones Java (applet) son descargadas cada vez que la memoria permanente del navegador es vaciada
Seguridad de las redes
bullLos principios PLUG-IN
- Especificaciones abiertas al puacuteblico- Desarrollado en C o C++- Un Plug-in para IE sobre Windows no puede funcionar en IE sobre
MacOS (compilado)- Los mas conocidos son los Plug-In multimedia
bullLos principios ActiveX
- Componentes Objetos (C++) proponiendo por Microsoft en su arquitectura COMDCOM
- Dedicados a Internet Explorer y Windows (existe una oferta para Unix Mac y sistemas IBM muy poco utilizada)
- Posibilidad de reutilizar los ActiveX integrados en programas Microsoft (MsOffice MsProjecthellip) y otros sobre el computador cliente
- Utilizados por numerosos proveedores de soluciones WEB
Seguridad de las redes
bullLos principios JAVA
- Especificaciones abiertas al puacuteblico una oferta de SUN- Interpretado (maquina virtual JAVA) por eso independiente de la
plataforma- Muy pesado en Kbits a descargar puede ser lento a la ejecucioacuten- Gestioacuten automaacutetica de versioacuten para las maquina virtual JAVA- Numerosos problemas de compatibilidad encontrados entre las
versiones- Posibilidad de crear componentes JAVA reutilizables (JAVA es un
lenguaje objeto) llamados JAVABEANS- Un lenguaje complejo a dominar para crear ldquoAppletsrdquo
httpjavasuncomdocsbookstutorial
Seguridad de las redes
bullLos principios servidor dinaacutemico
- Paginas estaacuteticas (guardadas sobre el disco duro del servidor) no pueden servir de apoyo para informaciones en tiempo real (horarios sitios de ventahellip)
- Necesitad de crear dinaacutemicamente paginas en la memoria del servidor
- 3 tecnologiacuteas estandartes script CGI propietarias de bajo nivel NSAPI ISAPI APACHE APIhellip propietarias de alto nivel ASP JAVA NET Coldfusion PHP JSPhellip
Seguridad de las redes
Taller
Demostraciones de Plug-In
Anaacutelisis de Cookies(cdocuments and settingltusersgtcookies)
Utilizacioacuten de un ldquoCookie Viewerrdquo
Seguridad de las redes
SERVICIOS WEB SEGURIDADbullLas necesidades- Identificar el usuario y sus autorizaciones- Asegurar los intercambios de informaciones- Prohibir la posibilidad de negar una transaccioacuten
bullLas soluciones- Utilizar un algoritmo de cifrado (PGP RSA DES TripleDES)- Integrar el cifrado en el protocolo HTTP (hecho por Netscape con su
oferta llamada Secure Socket Layer y integrada en la norma HTTPS)- Trabajar con claves de cifrado (certificado electroacutenico ndash norma X509) La
gestioacuten de las claves necesita la definicioacuten en la empresa de un PKI (Public Key Infrastructure)
- Utilizar sistemas transaccionales- Indicado al usuario en el navegador por siacutembolos
Seguridad de las redes
Cifrado y HTTPS
bullLos principios de los meacutetodos de cifrado
Clave simeacutetrica los paquetes son cifrados y descifrados con el mismo algoritmo y la misma clave numeacuterica (DES TripleDES)
- Clave asimeacutetrica los paquetes son cifrados con el mismo algoritmo pero la clave inicial no puede ser utilizada para invertir el proceso El descifrado necesita una clave uacutenica vinculada a la primera por relaciones matemaacuteticas (RSA PGP)
- La fuerza del coacutedigo depende de la complexidad de la(s) clave(s) (en numero de cifras)
Seguridad de las redes
bull Principio de intercambio de claves de cifrado para establecer una comunicacioacuten SSL
Generacioacuten de un juego de claves (1C1D)
Envioacute de la clave 1C (clave publica) sin cifrado
Generacioacuten de un juego de claves (2C2D)
1C
Cifrado de la clave 2C con 1C
Envioacute de la clave 2C cifrada (seguridad alta)2C (certificado electroacutenico)
Generacioacuten de una clave de cifrado para el Tuacutenel (CT)
Cifrado de la clave CT con 2C
Descifrado de la clave 2C con 1D (completamente secreta)
Envioacute de la clave CT (clave simeacutetrica) cifrada (seguridad alta) CT
Intercambio cifrado con CT Intercambio cifrado con CT
Descifrado de la clave CT con 2D (completamente secreta)
Seguridad de las redes
Taller
Historia de RSA firma digital y certificados X509
Anaacutelisis de comunicaciones cifradas en HTTPS con un banco
Anaacutelisis de certificados de seguridad
Seguridad de las redes
Seguridad y WEB 2
bullPropuesto en 2004 por OrsquoReilly Media (WEB 20)
bullUn nombre geneacuterico para los servicios nuevos de Internet de estos uacuteltimos antildeos
- Social Networking Sites- Folksonomy (como Wikipedia wikis blogs Youtubehellip)- Y otros sitios orientados relaciones humanas
bullEn general sitios con nivel de seguridad muy pobre sin control Riesgo de divulgacioacuten de datos confidenciales
Seguridad de las redes
Taller
Historia del concepto WEB2
Concepto y lista de ldquoRed Socialrdquo(Social Networking Sites)
Exploracioacuten de sitios WEB2wwwfinclucom delicious
wwwflickrcom wwwzooomrcomflofcomar
www43thingscom
Seguridad de las redes
Auditoria y indicadores de riesgos
bullMicrosoft Security Assessment ToolsbullIndicadores de Seguridad Excel
Seguridad de las redes
UTILIZACIOacuteN EFICAZ Y SIN RIESGO DE LAS TECNOLOGIacuteAS WEB
Seguridad de las redes
PRINCIPIOS DE LAS ARQUITECTURAS CLIENTESERVIDORModelos de tecnologiacuteas ClienteServidor (Gartner Group)
Presentacioacuten
Gestioacuten de Datos
Aplicacioacuten
Presentacioacuten
Gestioacuten de Datos
Aplicacioacuten
Presentacioacuten
Gestioacuten de Datos
Aplicacioacuten
Presentacioacuten
Gestioacuten de Datos
Aplicacioacuten
Aplicacioacuten
Presentacioacuten
Gestioacuten de Datos
Gestioacuten de Datos
Aplicacioacuten
Aplicacioacuten
Presentacioacuten
Gestioacuten de Datos
Aplicacioacuten
Presentacioacuten
Gestioacuten de Datos
Cliente
Servidor
Presentacioacutendistribuida
Presentacioacutendistante
Gestioacuten dedatos distante
Tratamientosdistribuidos
Gestioacuten dedatos distribuida
Tratamientos ydatos distribuidos
Seguridad de las redes
Gestioacuten de Datos
Aplicacioacuten
Aplicacioacuten
Presentacioacuten
Tratamientosdistribuidos
Cliente
Servidor
Modelo de las aplicaciones con clientes ligeros
Los tratamientos son repartidos seguacuten el poder de los computadores
- Base de datos y tratamientos pesados sobre el servidor
- Tratamientos ligeros sobre el cliente (como la parte GUI por ejemplo)
Ejemplos- Tecnologiacuteas WEB- Aplicaciones
Clienteservidor de los antildeos 2000
Seguridad de las redes
Modelo claacutesico de las tecnologiacuteas WEB
Gestioacuten de Datos
Aplicacioacuten
Aplicacioacuten
Presentacioacuten
Tratamientosdistribuidos
Cliente
Servidor
Sistemas de Gestioacuten de Base de Datos SGBDR (Oracle Sql Server MySql DB2hellip)
Servidor HTTP (Microsoft IIS Lotus Domino Apache Webspherehellip)+ programas dedicados
Tecnologiacuteas dinaacutemicas en el navegador(VBScript Javascript ActiveX Javahellip)
Navegador Internet (browser)(Internet Explorer Firefoxhellip)
Seguridad de las redes
Diferencias entre las generaciones de modelos clienteservidor
bull Cliente pesado - Muchos tratamientos sobre el cliente- Necesita la instalacioacuten fiacutesica de programas sobre el cliente- Carga deacutebil para la red arquitectura adaptada a las comunicaciones internacionales
bull Cliente ligeroliviano - Muy poco tratamientos sobre el cliente- Posibilidad de descargar automaacuteticamente los programas por la red- Carga importante para viacutenculos de red deacutebiles
Seguridad de las redes
Arquitecturas fiacutesicas de los modelos clienteservidor
Gestioacuten de Datos
Aplicacioacuten
Aplicacioacuten
Presentacioacuten
Tratamientosdistribuidos
Cliente
Servidor
ArquitecturaEn 2 niveles
ArquitecturaEn 3 niveles
Seguridad de las redes
Gestioacuten de Datos
Aplicacioacuten
Aplicacioacuten
Presentacioacuten
Tratamientosdistribuidos
Cliente
Servidor
ArquitecturaEn 4 niveles
Sgbd
Programasdedicados
Servidor http
Seguridad de las redes
Ventajas de los modelos ClienteServidor con tecnologiacuteas WEB
bull Apoyo de los sistemas heterogeacuteneos- Cliente Windows MacOs Unix (BSD Linux etchellip) celulares PDA- Servidor Programas disponibles sobre Unix Windows AS400hellip
bull Utilizacioacuten ideacutentica al dentro de la empresa y a traveacutes Internet
bull Utilizacioacuten simple a aprender para una persona quien tiene un acceso Internet
bull Posibilidad de crear un punto de acceso uacutenico para todas las aplicaciones de la empresa (poacutertico)
Seguridad de las redes
Arquitectura WEB - ejemplo practicoEthernet
Microsoft SQL
SERVER
Microsoft IIS +Aplicacioacuten WEB
dedicada desarrollada en Microsoft NET
Usuarios con Internet Explorer
Base de Datos
MiddlewareMicrosoftMDAC
ORACLE sgbd
Oracle
IBM Websphere +Aplicacioacuten WEB
dedicada desarrollada en
SUN Java
MiddlewareSUNJDBC
Seguridad de las redes
CLIENTES LIGEROSLIVIANOS NAVEGADORES WEB
sgbd
Programasdedicados
Servidor http
A
A
A
1 ndash Construccioacuten de la pagina
El servidor HTTP crea en su memoria una pagina WEB con los elementos enviados por los otros servidores La pagina puede contener componentes activos (activex applet java javascript vbscripthellip) y inertes (imagenes textoshellip)
Seguridad de las redes
Srv http
AA
2 ndash Recepcioacuten de la pagina
El servidor HTTP enviacutea la pagina elemento por elemento en la red El navegador recibe los componentes en el disco duro del cliente En el mismo tiempo la pagina es reconstruida en la memoria del navegador
A
cliente
A
A
Seguridad de las redes
3 ndash Interpretacioacuten de la pagina
El navegador presenta sobre la pantalla la pagina WEB y los elementos inertes Los componentes activos son enviados a las aplicaciones dedicadas a cada uno seguacuten el tipo
Navegador
A
A
A
Funcioacuten de presentacioacuten
Aplicaciones integradasA el navegador
Aplicacioacuten dedicadaa el navegador
descargada en opcioacuten
Funciones deejecucioacuten
Plug-in
Otras aplicaciones del computador cliente
Seguridad de las redes
bull Las informaciones son pegadas sobre el computador cliente- Mas raacutepido para recargar una pagina ya consultada- Falla de seguridad Una persona extranjera a la empresa puede consultar las informaciones Nunca olvidar vaciar la memoria permanente del navegador al fin del trabajo cuando se utiliza un computador publico
bull Todas las aplicaciones del cliente pueden ser utilizadas a traveacutes el navegador (Word Excel Adobe Acrobat Readerhellip)Por razoacuten de seguridad el navegador pregunta antes de ejecutar una aplicacioacuten no integrada cuando existe un riesgo (la totalidad de las funcionalidades siempre autorizadas es llamado ldquosandboxrdquo por analogia con el espacio protectado donde pueden jugar los nintildeos con arena)
bull Muchas aplicaciones ldquoPlug-Inrdquo disponiblesLas mas conocidas y utilizadas son FLASH PLAYER y JAVA Pero existen muchas otras (DIVX Player Google Tools Quicktime playerhellip)
Seguridad de las redes
Taller
Internet Explorer historia de un eacutexito
Firefox una alternativa
Seguridad de las redes
NAVEGADORES WEB Buenas practicasbull Respetar la configuracioacuten de seguridad- Nivel de seguridad por zona- Nivel de confidencialidad- Configuracioacuten de base de las opciones
bull Responder ldquoNordquo cada vez que el navigador pregunta una autorizacioacuten de ejecucioacuten de componentes activos no necesarios
bull Cerrar las ventanas de tipo ldquoPopuprdquo con la cruz Windows (o con ALT-F4) y no los botones propuestos cada vez que posible
bull No utilizar la gestioacuten automaacutetica de los formularios
bull Limpiar la memoria sobre el disco duro despueacutes utilizacioacuten sobre un computador publico
Seguridad de las redes
bull No descargar moacutedulos de aplicaciones no firmados por editores prestigiosos
bull Proteger el computador con un anti-virus- Programar un anaacutelisis perioacutedico (1 vez por semana)- Descargar las ultimas versiones (funcioacuten ldquoUpdaterdquo)- Activar la proteccioacuten ldquotiempo realrdquo
bull Proteger el computador con un anti-spyware- Programar un anaacutelisis perioacutedico (1 vez por semana)- Descargar las ultimas versiones (funcioacuten ldquoUpdaterdquo)- Activar la proteccioacuten ldquotiempo realrdquo de la base de ldquoregistryrdquo de Windows
bull No desactivar la funcionalidad ldquoanti-popuprdquo
bull No desactivar la funcionalidad ldquoanti-phishingrdquo (IE 7)
Seguridad de las redes
bull Actualizar perioacutedicamente Windows viacutea la funcionalidad ldquoWindows Updaterdquo
bull Limpiar perioacutedicamente los histoacutericos y la memoria sobre el disco duro (para la velocidad) Los cookies pueden permanecer activados (riesgo miacutenimo)
bull Por supuesto no consultar sitios conocidos para ser peligrosos (sitios de juegos ilegales de muacutesicas mp3 non autorizadas de venta de productos prohibidos)
bull En principio el navegador libro FIREFOX es conocido para ser menos sensible a los riesgos claacutesicos que Internet Explorer Pero en empresa y sobre Internet todas la aplicaciones WEB no son compatibles con FIREFOX
Seguridad de las redes
Taller
Consejos de configuracioacuten de Internet Explorer y Firefox
Utilizacioacuten de NetPrivacy
Anaacutelisis de comunicaciones non protegidas con Packetyser
(Busca Google)
Ficheros temporarios y histoacuterico (cdocuments and settingltusersgtlocal settings)
Seguridad de las redes
bullLa historia
- Creacioacuten de la nocioacuten de pagina Web en los antildeos 90 por Tim Berners Lee (responsable de la gestioacuten de las documentaciones del CERN en Ginebra)
- La idea ser capaz de integrar en una pagina de texto electroacutenico viacutenculos con otras paginas (importante para los artiacuteculos cientiacuteficos)
- La realizacioacuten creacioacuten del protocolo Hypertext y de la nocioacuten de URL (Uniform Ressource Locator)
- Marc Andreesseen (Universidad del Illinois) a evolucionado el protocolo insertando el grafico (MOSAIC)
SERVICIOS WEB - TECNOLOGIacuteAS DE BASE
Seguridad de las redes
bullLos principios HTTP
- Protocolo de intercambio entre el servidor y el navegador (HyperTextTransfert Protocol)
- Basado sobre los URL (httpIdPwdserverportpathpathfileparameters) utilizando uacutenicamente los 128 primeros coacutedigos US ascii
- ldquoStatelessrdquo El protocolo olvida todas las configuraciones del usuario cada vez que el navegador es cerrado =gt necesitad de otras tecnicas para guardar el contexto Re-escritura de los URL (ajuntando paraacutemetros id=xxxxxx) Paraacutemetros escondidos en la pagina Web (con el orden HTTP ldquopostrdquo) Cookies (un fichero de texto escrito sobre el computador cliente con
las informaciones de contexto)
Seguridad de las redes
bull Los principios contenido de un COOKIE
Nombre Nombre del cookie sobre el disco duro
Valor El valor de contexto necesario para el sitio Web consultado (uno por cookie)
Valididad Fecha de fin de vida Despueacutes esta fecha el navegador rechaza el acceso al cookie
Servidor(es) Lista de servidores autorizados a consultar el cookie
Pagina(s) Lista de paginas autorizadas a consultar el cookie
Asegurado True o False si True el cookie se puede consultar uacutenicamente con un acceso asegurado
Seguridad de las redes
bull Los principios HTML
- Lenguaje informaacutetico para escribir paginas Web (HyperTextMarkup Language)- El navegador es un interpretador de HTML- Siempre en evolucioacuten (norma actual = 40) publico
lthtmlgtltheadgtltTITLEgtUNEltTITLEgtltheadgtltFRAMESET COLS=0 FRAMEBORDER=NO
BORDER=0 FRAMESPACING=0gtltFRAME
SRC=seccionesUNEHOMEseccion_HTMLhtml NAME=menu FRAMEBORDER=NO MARGINWIDTH=0 MARGINHEIGHT=0 noresizeSCROLLING=AUTOgt
ltFRAME SRC=blankhtml NAME=____contenido FRAMEBORDER=NO noresize SCROLLING=AUTO MARGINWIDTH=0 MARGINHEIGHT=0gtltFRAMESETgtltNOFRAMESgt DescripcionltNOFRAMESgt
ltHTMLgt
Seguridad de las redes
bull Los principios limitaciones de HTML
- No interaccioacuten con el equipo cliente (histoacutericamente un lenguaje de presentacioacuten)pobre en funciones graficasPor eso creacioacuten de evoluciones a lado del lenguaje principal (para asegurar la compatibilidad) CSS XMLXSL DHTML
- Muy pobre en funcionalidades interactivas con el usuario (cliente inteligente) Utilizacioacuten de tecnologiacuteas complementarias Plug-In ActiveX JAVA Scripts y modelos de documentos
Seguridad de las redes
bull Los principios cliente inteligente
- 2 tecnologiacuteas compiladas Plug-ins ActiveX
- 2 tecnologiacuteas interpretadas Scripts Java
- La tecnologiacuteas compiladas son mas raacutepidas pero el programa descargado es especificado a el equipo
- Los plug-in y los componentes ActiveX son descargados y instalados una vez definitivamente con una programa de verificacioacuten automaacutetica de versioacuten
- Scripts y aplicaciones Java (applet) son descargadas cada vez que la memoria permanente del navegador es vaciada
Seguridad de las redes
bullLos principios PLUG-IN
- Especificaciones abiertas al puacuteblico- Desarrollado en C o C++- Un Plug-in para IE sobre Windows no puede funcionar en IE sobre
MacOS (compilado)- Los mas conocidos son los Plug-In multimedia
bullLos principios ActiveX
- Componentes Objetos (C++) proponiendo por Microsoft en su arquitectura COMDCOM
- Dedicados a Internet Explorer y Windows (existe una oferta para Unix Mac y sistemas IBM muy poco utilizada)
- Posibilidad de reutilizar los ActiveX integrados en programas Microsoft (MsOffice MsProjecthellip) y otros sobre el computador cliente
- Utilizados por numerosos proveedores de soluciones WEB
Seguridad de las redes
bullLos principios JAVA
- Especificaciones abiertas al puacuteblico una oferta de SUN- Interpretado (maquina virtual JAVA) por eso independiente de la
plataforma- Muy pesado en Kbits a descargar puede ser lento a la ejecucioacuten- Gestioacuten automaacutetica de versioacuten para las maquina virtual JAVA- Numerosos problemas de compatibilidad encontrados entre las
versiones- Posibilidad de crear componentes JAVA reutilizables (JAVA es un
lenguaje objeto) llamados JAVABEANS- Un lenguaje complejo a dominar para crear ldquoAppletsrdquo
httpjavasuncomdocsbookstutorial
Seguridad de las redes
bullLos principios servidor dinaacutemico
- Paginas estaacuteticas (guardadas sobre el disco duro del servidor) no pueden servir de apoyo para informaciones en tiempo real (horarios sitios de ventahellip)
- Necesitad de crear dinaacutemicamente paginas en la memoria del servidor
- 3 tecnologiacuteas estandartes script CGI propietarias de bajo nivel NSAPI ISAPI APACHE APIhellip propietarias de alto nivel ASP JAVA NET Coldfusion PHP JSPhellip
Seguridad de las redes
Taller
Demostraciones de Plug-In
Anaacutelisis de Cookies(cdocuments and settingltusersgtcookies)
Utilizacioacuten de un ldquoCookie Viewerrdquo
Seguridad de las redes
SERVICIOS WEB SEGURIDADbullLas necesidades- Identificar el usuario y sus autorizaciones- Asegurar los intercambios de informaciones- Prohibir la posibilidad de negar una transaccioacuten
bullLas soluciones- Utilizar un algoritmo de cifrado (PGP RSA DES TripleDES)- Integrar el cifrado en el protocolo HTTP (hecho por Netscape con su
oferta llamada Secure Socket Layer y integrada en la norma HTTPS)- Trabajar con claves de cifrado (certificado electroacutenico ndash norma X509) La
gestioacuten de las claves necesita la definicioacuten en la empresa de un PKI (Public Key Infrastructure)
- Utilizar sistemas transaccionales- Indicado al usuario en el navegador por siacutembolos
Seguridad de las redes
Cifrado y HTTPS
bullLos principios de los meacutetodos de cifrado
Clave simeacutetrica los paquetes son cifrados y descifrados con el mismo algoritmo y la misma clave numeacuterica (DES TripleDES)
- Clave asimeacutetrica los paquetes son cifrados con el mismo algoritmo pero la clave inicial no puede ser utilizada para invertir el proceso El descifrado necesita una clave uacutenica vinculada a la primera por relaciones matemaacuteticas (RSA PGP)
- La fuerza del coacutedigo depende de la complexidad de la(s) clave(s) (en numero de cifras)
Seguridad de las redes
bull Principio de intercambio de claves de cifrado para establecer una comunicacioacuten SSL
Generacioacuten de un juego de claves (1C1D)
Envioacute de la clave 1C (clave publica) sin cifrado
Generacioacuten de un juego de claves (2C2D)
1C
Cifrado de la clave 2C con 1C
Envioacute de la clave 2C cifrada (seguridad alta)2C (certificado electroacutenico)
Generacioacuten de una clave de cifrado para el Tuacutenel (CT)
Cifrado de la clave CT con 2C
Descifrado de la clave 2C con 1D (completamente secreta)
Envioacute de la clave CT (clave simeacutetrica) cifrada (seguridad alta) CT
Intercambio cifrado con CT Intercambio cifrado con CT
Descifrado de la clave CT con 2D (completamente secreta)
Seguridad de las redes
Taller
Historia de RSA firma digital y certificados X509
Anaacutelisis de comunicaciones cifradas en HTTPS con un banco
Anaacutelisis de certificados de seguridad
Seguridad de las redes
Seguridad y WEB 2
bullPropuesto en 2004 por OrsquoReilly Media (WEB 20)
bullUn nombre geneacuterico para los servicios nuevos de Internet de estos uacuteltimos antildeos
- Social Networking Sites- Folksonomy (como Wikipedia wikis blogs Youtubehellip)- Y otros sitios orientados relaciones humanas
bullEn general sitios con nivel de seguridad muy pobre sin control Riesgo de divulgacioacuten de datos confidenciales
Seguridad de las redes
Taller
Historia del concepto WEB2
Concepto y lista de ldquoRed Socialrdquo(Social Networking Sites)
Exploracioacuten de sitios WEB2wwwfinclucom delicious
wwwflickrcom wwwzooomrcomflofcomar
www43thingscom
Seguridad de las redes
UTILIZACIOacuteN EFICAZ Y SIN RIESGO DE LAS TECNOLOGIacuteAS WEB
Seguridad de las redes
PRINCIPIOS DE LAS ARQUITECTURAS CLIENTESERVIDORModelos de tecnologiacuteas ClienteServidor (Gartner Group)
Presentacioacuten
Gestioacuten de Datos
Aplicacioacuten
Presentacioacuten
Gestioacuten de Datos
Aplicacioacuten
Presentacioacuten
Gestioacuten de Datos
Aplicacioacuten
Presentacioacuten
Gestioacuten de Datos
Aplicacioacuten
Aplicacioacuten
Presentacioacuten
Gestioacuten de Datos
Gestioacuten de Datos
Aplicacioacuten
Aplicacioacuten
Presentacioacuten
Gestioacuten de Datos
Aplicacioacuten
Presentacioacuten
Gestioacuten de Datos
Cliente
Servidor
Presentacioacutendistribuida
Presentacioacutendistante
Gestioacuten dedatos distante
Tratamientosdistribuidos
Gestioacuten dedatos distribuida
Tratamientos ydatos distribuidos
Seguridad de las redes
Gestioacuten de Datos
Aplicacioacuten
Aplicacioacuten
Presentacioacuten
Tratamientosdistribuidos
Cliente
Servidor
Modelo de las aplicaciones con clientes ligeros
Los tratamientos son repartidos seguacuten el poder de los computadores
- Base de datos y tratamientos pesados sobre el servidor
- Tratamientos ligeros sobre el cliente (como la parte GUI por ejemplo)
Ejemplos- Tecnologiacuteas WEB- Aplicaciones
Clienteservidor de los antildeos 2000
Seguridad de las redes
Modelo claacutesico de las tecnologiacuteas WEB
Gestioacuten de Datos
Aplicacioacuten
Aplicacioacuten
Presentacioacuten
Tratamientosdistribuidos
Cliente
Servidor
Sistemas de Gestioacuten de Base de Datos SGBDR (Oracle Sql Server MySql DB2hellip)
Servidor HTTP (Microsoft IIS Lotus Domino Apache Webspherehellip)+ programas dedicados
Tecnologiacuteas dinaacutemicas en el navegador(VBScript Javascript ActiveX Javahellip)
Navegador Internet (browser)(Internet Explorer Firefoxhellip)
Seguridad de las redes
Diferencias entre las generaciones de modelos clienteservidor
bull Cliente pesado - Muchos tratamientos sobre el cliente- Necesita la instalacioacuten fiacutesica de programas sobre el cliente- Carga deacutebil para la red arquitectura adaptada a las comunicaciones internacionales
bull Cliente ligeroliviano - Muy poco tratamientos sobre el cliente- Posibilidad de descargar automaacuteticamente los programas por la red- Carga importante para viacutenculos de red deacutebiles
Seguridad de las redes
Arquitecturas fiacutesicas de los modelos clienteservidor
Gestioacuten de Datos
Aplicacioacuten
Aplicacioacuten
Presentacioacuten
Tratamientosdistribuidos
Cliente
Servidor
ArquitecturaEn 2 niveles
ArquitecturaEn 3 niveles
Seguridad de las redes
Gestioacuten de Datos
Aplicacioacuten
Aplicacioacuten
Presentacioacuten
Tratamientosdistribuidos
Cliente
Servidor
ArquitecturaEn 4 niveles
Sgbd
Programasdedicados
Servidor http
Seguridad de las redes
Ventajas de los modelos ClienteServidor con tecnologiacuteas WEB
bull Apoyo de los sistemas heterogeacuteneos- Cliente Windows MacOs Unix (BSD Linux etchellip) celulares PDA- Servidor Programas disponibles sobre Unix Windows AS400hellip
bull Utilizacioacuten ideacutentica al dentro de la empresa y a traveacutes Internet
bull Utilizacioacuten simple a aprender para una persona quien tiene un acceso Internet
bull Posibilidad de crear un punto de acceso uacutenico para todas las aplicaciones de la empresa (poacutertico)
Seguridad de las redes
Arquitectura WEB - ejemplo practicoEthernet
Microsoft SQL
SERVER
Microsoft IIS +Aplicacioacuten WEB
dedicada desarrollada en Microsoft NET
Usuarios con Internet Explorer
Base de Datos
MiddlewareMicrosoftMDAC
ORACLE sgbd
Oracle
IBM Websphere +Aplicacioacuten WEB
dedicada desarrollada en
SUN Java
MiddlewareSUNJDBC
Seguridad de las redes
CLIENTES LIGEROSLIVIANOS NAVEGADORES WEB
sgbd
Programasdedicados
Servidor http
A
A
A
1 ndash Construccioacuten de la pagina
El servidor HTTP crea en su memoria una pagina WEB con los elementos enviados por los otros servidores La pagina puede contener componentes activos (activex applet java javascript vbscripthellip) y inertes (imagenes textoshellip)
Seguridad de las redes
Srv http
AA
2 ndash Recepcioacuten de la pagina
El servidor HTTP enviacutea la pagina elemento por elemento en la red El navegador recibe los componentes en el disco duro del cliente En el mismo tiempo la pagina es reconstruida en la memoria del navegador
A
cliente
A
A
Seguridad de las redes
3 ndash Interpretacioacuten de la pagina
El navegador presenta sobre la pantalla la pagina WEB y los elementos inertes Los componentes activos son enviados a las aplicaciones dedicadas a cada uno seguacuten el tipo
Navegador
A
A
A
Funcioacuten de presentacioacuten
Aplicaciones integradasA el navegador
Aplicacioacuten dedicadaa el navegador
descargada en opcioacuten
Funciones deejecucioacuten
Plug-in
Otras aplicaciones del computador cliente
Seguridad de las redes
bull Las informaciones son pegadas sobre el computador cliente- Mas raacutepido para recargar una pagina ya consultada- Falla de seguridad Una persona extranjera a la empresa puede consultar las informaciones Nunca olvidar vaciar la memoria permanente del navegador al fin del trabajo cuando se utiliza un computador publico
bull Todas las aplicaciones del cliente pueden ser utilizadas a traveacutes el navegador (Word Excel Adobe Acrobat Readerhellip)Por razoacuten de seguridad el navegador pregunta antes de ejecutar una aplicacioacuten no integrada cuando existe un riesgo (la totalidad de las funcionalidades siempre autorizadas es llamado ldquosandboxrdquo por analogia con el espacio protectado donde pueden jugar los nintildeos con arena)
bull Muchas aplicaciones ldquoPlug-Inrdquo disponiblesLas mas conocidas y utilizadas son FLASH PLAYER y JAVA Pero existen muchas otras (DIVX Player Google Tools Quicktime playerhellip)
Seguridad de las redes
Taller
Internet Explorer historia de un eacutexito
Firefox una alternativa
Seguridad de las redes
NAVEGADORES WEB Buenas practicasbull Respetar la configuracioacuten de seguridad- Nivel de seguridad por zona- Nivel de confidencialidad- Configuracioacuten de base de las opciones
bull Responder ldquoNordquo cada vez que el navigador pregunta una autorizacioacuten de ejecucioacuten de componentes activos no necesarios
bull Cerrar las ventanas de tipo ldquoPopuprdquo con la cruz Windows (o con ALT-F4) y no los botones propuestos cada vez que posible
bull No utilizar la gestioacuten automaacutetica de los formularios
bull Limpiar la memoria sobre el disco duro despueacutes utilizacioacuten sobre un computador publico
Seguridad de las redes
bull No descargar moacutedulos de aplicaciones no firmados por editores prestigiosos
bull Proteger el computador con un anti-virus- Programar un anaacutelisis perioacutedico (1 vez por semana)- Descargar las ultimas versiones (funcioacuten ldquoUpdaterdquo)- Activar la proteccioacuten ldquotiempo realrdquo
bull Proteger el computador con un anti-spyware- Programar un anaacutelisis perioacutedico (1 vez por semana)- Descargar las ultimas versiones (funcioacuten ldquoUpdaterdquo)- Activar la proteccioacuten ldquotiempo realrdquo de la base de ldquoregistryrdquo de Windows
bull No desactivar la funcionalidad ldquoanti-popuprdquo
bull No desactivar la funcionalidad ldquoanti-phishingrdquo (IE 7)
Seguridad de las redes
bull Actualizar perioacutedicamente Windows viacutea la funcionalidad ldquoWindows Updaterdquo
bull Limpiar perioacutedicamente los histoacutericos y la memoria sobre el disco duro (para la velocidad) Los cookies pueden permanecer activados (riesgo miacutenimo)
bull Por supuesto no consultar sitios conocidos para ser peligrosos (sitios de juegos ilegales de muacutesicas mp3 non autorizadas de venta de productos prohibidos)
bull En principio el navegador libro FIREFOX es conocido para ser menos sensible a los riesgos claacutesicos que Internet Explorer Pero en empresa y sobre Internet todas la aplicaciones WEB no son compatibles con FIREFOX
Seguridad de las redes
Taller
Consejos de configuracioacuten de Internet Explorer y Firefox
Utilizacioacuten de NetPrivacy
Anaacutelisis de comunicaciones non protegidas con Packetyser
(Busca Google)
Ficheros temporarios y histoacuterico (cdocuments and settingltusersgtlocal settings)
Seguridad de las redes
bullLa historia
- Creacioacuten de la nocioacuten de pagina Web en los antildeos 90 por Tim Berners Lee (responsable de la gestioacuten de las documentaciones del CERN en Ginebra)
- La idea ser capaz de integrar en una pagina de texto electroacutenico viacutenculos con otras paginas (importante para los artiacuteculos cientiacuteficos)
- La realizacioacuten creacioacuten del protocolo Hypertext y de la nocioacuten de URL (Uniform Ressource Locator)
- Marc Andreesseen (Universidad del Illinois) a evolucionado el protocolo insertando el grafico (MOSAIC)
SERVICIOS WEB - TECNOLOGIacuteAS DE BASE
Seguridad de las redes
bullLos principios HTTP
- Protocolo de intercambio entre el servidor y el navegador (HyperTextTransfert Protocol)
- Basado sobre los URL (httpIdPwdserverportpathpathfileparameters) utilizando uacutenicamente los 128 primeros coacutedigos US ascii
- ldquoStatelessrdquo El protocolo olvida todas las configuraciones del usuario cada vez que el navegador es cerrado =gt necesitad de otras tecnicas para guardar el contexto Re-escritura de los URL (ajuntando paraacutemetros id=xxxxxx) Paraacutemetros escondidos en la pagina Web (con el orden HTTP ldquopostrdquo) Cookies (un fichero de texto escrito sobre el computador cliente con
las informaciones de contexto)
Seguridad de las redes
bull Los principios contenido de un COOKIE
Nombre Nombre del cookie sobre el disco duro
Valor El valor de contexto necesario para el sitio Web consultado (uno por cookie)
Valididad Fecha de fin de vida Despueacutes esta fecha el navegador rechaza el acceso al cookie
Servidor(es) Lista de servidores autorizados a consultar el cookie
Pagina(s) Lista de paginas autorizadas a consultar el cookie
Asegurado True o False si True el cookie se puede consultar uacutenicamente con un acceso asegurado
Seguridad de las redes
bull Los principios HTML
- Lenguaje informaacutetico para escribir paginas Web (HyperTextMarkup Language)- El navegador es un interpretador de HTML- Siempre en evolucioacuten (norma actual = 40) publico
lthtmlgtltheadgtltTITLEgtUNEltTITLEgtltheadgtltFRAMESET COLS=0 FRAMEBORDER=NO
BORDER=0 FRAMESPACING=0gtltFRAME
SRC=seccionesUNEHOMEseccion_HTMLhtml NAME=menu FRAMEBORDER=NO MARGINWIDTH=0 MARGINHEIGHT=0 noresizeSCROLLING=AUTOgt
ltFRAME SRC=blankhtml NAME=____contenido FRAMEBORDER=NO noresize SCROLLING=AUTO MARGINWIDTH=0 MARGINHEIGHT=0gtltFRAMESETgtltNOFRAMESgt DescripcionltNOFRAMESgt
ltHTMLgt
Seguridad de las redes
bull Los principios limitaciones de HTML
- No interaccioacuten con el equipo cliente (histoacutericamente un lenguaje de presentacioacuten)pobre en funciones graficasPor eso creacioacuten de evoluciones a lado del lenguaje principal (para asegurar la compatibilidad) CSS XMLXSL DHTML
- Muy pobre en funcionalidades interactivas con el usuario (cliente inteligente) Utilizacioacuten de tecnologiacuteas complementarias Plug-In ActiveX JAVA Scripts y modelos de documentos
Seguridad de las redes
bull Los principios cliente inteligente
- 2 tecnologiacuteas compiladas Plug-ins ActiveX
- 2 tecnologiacuteas interpretadas Scripts Java
- La tecnologiacuteas compiladas son mas raacutepidas pero el programa descargado es especificado a el equipo
- Los plug-in y los componentes ActiveX son descargados y instalados una vez definitivamente con una programa de verificacioacuten automaacutetica de versioacuten
- Scripts y aplicaciones Java (applet) son descargadas cada vez que la memoria permanente del navegador es vaciada
Seguridad de las redes
bullLos principios PLUG-IN
- Especificaciones abiertas al puacuteblico- Desarrollado en C o C++- Un Plug-in para IE sobre Windows no puede funcionar en IE sobre
MacOS (compilado)- Los mas conocidos son los Plug-In multimedia
bullLos principios ActiveX
- Componentes Objetos (C++) proponiendo por Microsoft en su arquitectura COMDCOM
- Dedicados a Internet Explorer y Windows (existe una oferta para Unix Mac y sistemas IBM muy poco utilizada)
- Posibilidad de reutilizar los ActiveX integrados en programas Microsoft (MsOffice MsProjecthellip) y otros sobre el computador cliente
- Utilizados por numerosos proveedores de soluciones WEB
Seguridad de las redes
bullLos principios JAVA
- Especificaciones abiertas al puacuteblico una oferta de SUN- Interpretado (maquina virtual JAVA) por eso independiente de la
plataforma- Muy pesado en Kbits a descargar puede ser lento a la ejecucioacuten- Gestioacuten automaacutetica de versioacuten para las maquina virtual JAVA- Numerosos problemas de compatibilidad encontrados entre las
versiones- Posibilidad de crear componentes JAVA reutilizables (JAVA es un
lenguaje objeto) llamados JAVABEANS- Un lenguaje complejo a dominar para crear ldquoAppletsrdquo
httpjavasuncomdocsbookstutorial
Seguridad de las redes
bullLos principios servidor dinaacutemico
- Paginas estaacuteticas (guardadas sobre el disco duro del servidor) no pueden servir de apoyo para informaciones en tiempo real (horarios sitios de ventahellip)
- Necesitad de crear dinaacutemicamente paginas en la memoria del servidor
- 3 tecnologiacuteas estandartes script CGI propietarias de bajo nivel NSAPI ISAPI APACHE APIhellip propietarias de alto nivel ASP JAVA NET Coldfusion PHP JSPhellip
Seguridad de las redes
Taller
Demostraciones de Plug-In
Anaacutelisis de Cookies(cdocuments and settingltusersgtcookies)
Utilizacioacuten de un ldquoCookie Viewerrdquo
Seguridad de las redes
SERVICIOS WEB SEGURIDADbullLas necesidades- Identificar el usuario y sus autorizaciones- Asegurar los intercambios de informaciones- Prohibir la posibilidad de negar una transaccioacuten
bullLas soluciones- Utilizar un algoritmo de cifrado (PGP RSA DES TripleDES)- Integrar el cifrado en el protocolo HTTP (hecho por Netscape con su
oferta llamada Secure Socket Layer y integrada en la norma HTTPS)- Trabajar con claves de cifrado (certificado electroacutenico ndash norma X509) La
gestioacuten de las claves necesita la definicioacuten en la empresa de un PKI (Public Key Infrastructure)
- Utilizar sistemas transaccionales- Indicado al usuario en el navegador por siacutembolos
Seguridad de las redes
Cifrado y HTTPS
bullLos principios de los meacutetodos de cifrado
Clave simeacutetrica los paquetes son cifrados y descifrados con el mismo algoritmo y la misma clave numeacuterica (DES TripleDES)
- Clave asimeacutetrica los paquetes son cifrados con el mismo algoritmo pero la clave inicial no puede ser utilizada para invertir el proceso El descifrado necesita una clave uacutenica vinculada a la primera por relaciones matemaacuteticas (RSA PGP)
- La fuerza del coacutedigo depende de la complexidad de la(s) clave(s) (en numero de cifras)
Seguridad de las redes
bull Principio de intercambio de claves de cifrado para establecer una comunicacioacuten SSL
Generacioacuten de un juego de claves (1C1D)
Envioacute de la clave 1C (clave publica) sin cifrado
Generacioacuten de un juego de claves (2C2D)
1C
Cifrado de la clave 2C con 1C
Envioacute de la clave 2C cifrada (seguridad alta)2C (certificado electroacutenico)
Generacioacuten de una clave de cifrado para el Tuacutenel (CT)
Cifrado de la clave CT con 2C
Descifrado de la clave 2C con 1D (completamente secreta)
Envioacute de la clave CT (clave simeacutetrica) cifrada (seguridad alta) CT
Intercambio cifrado con CT Intercambio cifrado con CT
Descifrado de la clave CT con 2D (completamente secreta)
Seguridad de las redes
Taller
Historia de RSA firma digital y certificados X509
Anaacutelisis de comunicaciones cifradas en HTTPS con un banco
Anaacutelisis de certificados de seguridad
Seguridad de las redes
Seguridad y WEB 2
bullPropuesto en 2004 por OrsquoReilly Media (WEB 20)
bullUn nombre geneacuterico para los servicios nuevos de Internet de estos uacuteltimos antildeos
- Social Networking Sites- Folksonomy (como Wikipedia wikis blogs Youtubehellip)- Y otros sitios orientados relaciones humanas
bullEn general sitios con nivel de seguridad muy pobre sin control Riesgo de divulgacioacuten de datos confidenciales
Seguridad de las redes
Taller
Historia del concepto WEB2
Concepto y lista de ldquoRed Socialrdquo(Social Networking Sites)
Exploracioacuten de sitios WEB2wwwfinclucom delicious
wwwflickrcom wwwzooomrcomflofcomar
www43thingscom
Seguridad de las redes
PRINCIPIOS DE LAS ARQUITECTURAS CLIENTESERVIDORModelos de tecnologiacuteas ClienteServidor (Gartner Group)
Presentacioacuten
Gestioacuten de Datos
Aplicacioacuten
Presentacioacuten
Gestioacuten de Datos
Aplicacioacuten
Presentacioacuten
Gestioacuten de Datos
Aplicacioacuten
Presentacioacuten
Gestioacuten de Datos
Aplicacioacuten
Aplicacioacuten
Presentacioacuten
Gestioacuten de Datos
Gestioacuten de Datos
Aplicacioacuten
Aplicacioacuten
Presentacioacuten
Gestioacuten de Datos
Aplicacioacuten
Presentacioacuten
Gestioacuten de Datos
Cliente
Servidor
Presentacioacutendistribuida
Presentacioacutendistante
Gestioacuten dedatos distante
Tratamientosdistribuidos
Gestioacuten dedatos distribuida
Tratamientos ydatos distribuidos
Seguridad de las redes
Gestioacuten de Datos
Aplicacioacuten
Aplicacioacuten
Presentacioacuten
Tratamientosdistribuidos
Cliente
Servidor
Modelo de las aplicaciones con clientes ligeros
Los tratamientos son repartidos seguacuten el poder de los computadores
- Base de datos y tratamientos pesados sobre el servidor
- Tratamientos ligeros sobre el cliente (como la parte GUI por ejemplo)
Ejemplos- Tecnologiacuteas WEB- Aplicaciones
Clienteservidor de los antildeos 2000
Seguridad de las redes
Modelo claacutesico de las tecnologiacuteas WEB
Gestioacuten de Datos
Aplicacioacuten
Aplicacioacuten
Presentacioacuten
Tratamientosdistribuidos
Cliente
Servidor
Sistemas de Gestioacuten de Base de Datos SGBDR (Oracle Sql Server MySql DB2hellip)
Servidor HTTP (Microsoft IIS Lotus Domino Apache Webspherehellip)+ programas dedicados
Tecnologiacuteas dinaacutemicas en el navegador(VBScript Javascript ActiveX Javahellip)
Navegador Internet (browser)(Internet Explorer Firefoxhellip)
Seguridad de las redes
Diferencias entre las generaciones de modelos clienteservidor
bull Cliente pesado - Muchos tratamientos sobre el cliente- Necesita la instalacioacuten fiacutesica de programas sobre el cliente- Carga deacutebil para la red arquitectura adaptada a las comunicaciones internacionales
bull Cliente ligeroliviano - Muy poco tratamientos sobre el cliente- Posibilidad de descargar automaacuteticamente los programas por la red- Carga importante para viacutenculos de red deacutebiles
Seguridad de las redes
Arquitecturas fiacutesicas de los modelos clienteservidor
Gestioacuten de Datos
Aplicacioacuten
Aplicacioacuten
Presentacioacuten
Tratamientosdistribuidos
Cliente
Servidor
ArquitecturaEn 2 niveles
ArquitecturaEn 3 niveles
Seguridad de las redes
Gestioacuten de Datos
Aplicacioacuten
Aplicacioacuten
Presentacioacuten
Tratamientosdistribuidos
Cliente
Servidor
ArquitecturaEn 4 niveles
Sgbd
Programasdedicados
Servidor http
Seguridad de las redes
Ventajas de los modelos ClienteServidor con tecnologiacuteas WEB
bull Apoyo de los sistemas heterogeacuteneos- Cliente Windows MacOs Unix (BSD Linux etchellip) celulares PDA- Servidor Programas disponibles sobre Unix Windows AS400hellip
bull Utilizacioacuten ideacutentica al dentro de la empresa y a traveacutes Internet
bull Utilizacioacuten simple a aprender para una persona quien tiene un acceso Internet
bull Posibilidad de crear un punto de acceso uacutenico para todas las aplicaciones de la empresa (poacutertico)
Seguridad de las redes
Arquitectura WEB - ejemplo practicoEthernet
Microsoft SQL
SERVER
Microsoft IIS +Aplicacioacuten WEB
dedicada desarrollada en Microsoft NET
Usuarios con Internet Explorer
Base de Datos
MiddlewareMicrosoftMDAC
ORACLE sgbd
Oracle
IBM Websphere +Aplicacioacuten WEB
dedicada desarrollada en
SUN Java
MiddlewareSUNJDBC
Seguridad de las redes
CLIENTES LIGEROSLIVIANOS NAVEGADORES WEB
sgbd
Programasdedicados
Servidor http
A
A
A
1 ndash Construccioacuten de la pagina
El servidor HTTP crea en su memoria una pagina WEB con los elementos enviados por los otros servidores La pagina puede contener componentes activos (activex applet java javascript vbscripthellip) y inertes (imagenes textoshellip)
Seguridad de las redes
Srv http
AA
2 ndash Recepcioacuten de la pagina
El servidor HTTP enviacutea la pagina elemento por elemento en la red El navegador recibe los componentes en el disco duro del cliente En el mismo tiempo la pagina es reconstruida en la memoria del navegador
A
cliente
A
A
Seguridad de las redes
3 ndash Interpretacioacuten de la pagina
El navegador presenta sobre la pantalla la pagina WEB y los elementos inertes Los componentes activos son enviados a las aplicaciones dedicadas a cada uno seguacuten el tipo
Navegador
A
A
A
Funcioacuten de presentacioacuten
Aplicaciones integradasA el navegador
Aplicacioacuten dedicadaa el navegador
descargada en opcioacuten
Funciones deejecucioacuten
Plug-in
Otras aplicaciones del computador cliente
Seguridad de las redes
bull Las informaciones son pegadas sobre el computador cliente- Mas raacutepido para recargar una pagina ya consultada- Falla de seguridad Una persona extranjera a la empresa puede consultar las informaciones Nunca olvidar vaciar la memoria permanente del navegador al fin del trabajo cuando se utiliza un computador publico
bull Todas las aplicaciones del cliente pueden ser utilizadas a traveacutes el navegador (Word Excel Adobe Acrobat Readerhellip)Por razoacuten de seguridad el navegador pregunta antes de ejecutar una aplicacioacuten no integrada cuando existe un riesgo (la totalidad de las funcionalidades siempre autorizadas es llamado ldquosandboxrdquo por analogia con el espacio protectado donde pueden jugar los nintildeos con arena)
bull Muchas aplicaciones ldquoPlug-Inrdquo disponiblesLas mas conocidas y utilizadas son FLASH PLAYER y JAVA Pero existen muchas otras (DIVX Player Google Tools Quicktime playerhellip)
Seguridad de las redes
Taller
Internet Explorer historia de un eacutexito
Firefox una alternativa
Seguridad de las redes
NAVEGADORES WEB Buenas practicasbull Respetar la configuracioacuten de seguridad- Nivel de seguridad por zona- Nivel de confidencialidad- Configuracioacuten de base de las opciones
bull Responder ldquoNordquo cada vez que el navigador pregunta una autorizacioacuten de ejecucioacuten de componentes activos no necesarios
bull Cerrar las ventanas de tipo ldquoPopuprdquo con la cruz Windows (o con ALT-F4) y no los botones propuestos cada vez que posible
bull No utilizar la gestioacuten automaacutetica de los formularios
bull Limpiar la memoria sobre el disco duro despueacutes utilizacioacuten sobre un computador publico
Seguridad de las redes
bull No descargar moacutedulos de aplicaciones no firmados por editores prestigiosos
bull Proteger el computador con un anti-virus- Programar un anaacutelisis perioacutedico (1 vez por semana)- Descargar las ultimas versiones (funcioacuten ldquoUpdaterdquo)- Activar la proteccioacuten ldquotiempo realrdquo
bull Proteger el computador con un anti-spyware- Programar un anaacutelisis perioacutedico (1 vez por semana)- Descargar las ultimas versiones (funcioacuten ldquoUpdaterdquo)- Activar la proteccioacuten ldquotiempo realrdquo de la base de ldquoregistryrdquo de Windows
bull No desactivar la funcionalidad ldquoanti-popuprdquo
bull No desactivar la funcionalidad ldquoanti-phishingrdquo (IE 7)
Seguridad de las redes
bull Actualizar perioacutedicamente Windows viacutea la funcionalidad ldquoWindows Updaterdquo
bull Limpiar perioacutedicamente los histoacutericos y la memoria sobre el disco duro (para la velocidad) Los cookies pueden permanecer activados (riesgo miacutenimo)
bull Por supuesto no consultar sitios conocidos para ser peligrosos (sitios de juegos ilegales de muacutesicas mp3 non autorizadas de venta de productos prohibidos)
bull En principio el navegador libro FIREFOX es conocido para ser menos sensible a los riesgos claacutesicos que Internet Explorer Pero en empresa y sobre Internet todas la aplicaciones WEB no son compatibles con FIREFOX
Seguridad de las redes
Taller
Consejos de configuracioacuten de Internet Explorer y Firefox
Utilizacioacuten de NetPrivacy
Anaacutelisis de comunicaciones non protegidas con Packetyser
(Busca Google)
Ficheros temporarios y histoacuterico (cdocuments and settingltusersgtlocal settings)
Seguridad de las redes
bullLa historia
- Creacioacuten de la nocioacuten de pagina Web en los antildeos 90 por Tim Berners Lee (responsable de la gestioacuten de las documentaciones del CERN en Ginebra)
- La idea ser capaz de integrar en una pagina de texto electroacutenico viacutenculos con otras paginas (importante para los artiacuteculos cientiacuteficos)
- La realizacioacuten creacioacuten del protocolo Hypertext y de la nocioacuten de URL (Uniform Ressource Locator)
- Marc Andreesseen (Universidad del Illinois) a evolucionado el protocolo insertando el grafico (MOSAIC)
SERVICIOS WEB - TECNOLOGIacuteAS DE BASE
Seguridad de las redes
bullLos principios HTTP
- Protocolo de intercambio entre el servidor y el navegador (HyperTextTransfert Protocol)
- Basado sobre los URL (httpIdPwdserverportpathpathfileparameters) utilizando uacutenicamente los 128 primeros coacutedigos US ascii
- ldquoStatelessrdquo El protocolo olvida todas las configuraciones del usuario cada vez que el navegador es cerrado =gt necesitad de otras tecnicas para guardar el contexto Re-escritura de los URL (ajuntando paraacutemetros id=xxxxxx) Paraacutemetros escondidos en la pagina Web (con el orden HTTP ldquopostrdquo) Cookies (un fichero de texto escrito sobre el computador cliente con
las informaciones de contexto)
Seguridad de las redes
bull Los principios contenido de un COOKIE
Nombre Nombre del cookie sobre el disco duro
Valor El valor de contexto necesario para el sitio Web consultado (uno por cookie)
Valididad Fecha de fin de vida Despueacutes esta fecha el navegador rechaza el acceso al cookie
Servidor(es) Lista de servidores autorizados a consultar el cookie
Pagina(s) Lista de paginas autorizadas a consultar el cookie
Asegurado True o False si True el cookie se puede consultar uacutenicamente con un acceso asegurado
Seguridad de las redes
bull Los principios HTML
- Lenguaje informaacutetico para escribir paginas Web (HyperTextMarkup Language)- El navegador es un interpretador de HTML- Siempre en evolucioacuten (norma actual = 40) publico
lthtmlgtltheadgtltTITLEgtUNEltTITLEgtltheadgtltFRAMESET COLS=0 FRAMEBORDER=NO
BORDER=0 FRAMESPACING=0gtltFRAME
SRC=seccionesUNEHOMEseccion_HTMLhtml NAME=menu FRAMEBORDER=NO MARGINWIDTH=0 MARGINHEIGHT=0 noresizeSCROLLING=AUTOgt
ltFRAME SRC=blankhtml NAME=____contenido FRAMEBORDER=NO noresize SCROLLING=AUTO MARGINWIDTH=0 MARGINHEIGHT=0gtltFRAMESETgtltNOFRAMESgt DescripcionltNOFRAMESgt
ltHTMLgt
Seguridad de las redes
bull Los principios limitaciones de HTML
- No interaccioacuten con el equipo cliente (histoacutericamente un lenguaje de presentacioacuten)pobre en funciones graficasPor eso creacioacuten de evoluciones a lado del lenguaje principal (para asegurar la compatibilidad) CSS XMLXSL DHTML
- Muy pobre en funcionalidades interactivas con el usuario (cliente inteligente) Utilizacioacuten de tecnologiacuteas complementarias Plug-In ActiveX JAVA Scripts y modelos de documentos
Seguridad de las redes
bull Los principios cliente inteligente
- 2 tecnologiacuteas compiladas Plug-ins ActiveX
- 2 tecnologiacuteas interpretadas Scripts Java
- La tecnologiacuteas compiladas son mas raacutepidas pero el programa descargado es especificado a el equipo
- Los plug-in y los componentes ActiveX son descargados y instalados una vez definitivamente con una programa de verificacioacuten automaacutetica de versioacuten
- Scripts y aplicaciones Java (applet) son descargadas cada vez que la memoria permanente del navegador es vaciada
Seguridad de las redes
bullLos principios PLUG-IN
- Especificaciones abiertas al puacuteblico- Desarrollado en C o C++- Un Plug-in para IE sobre Windows no puede funcionar en IE sobre
MacOS (compilado)- Los mas conocidos son los Plug-In multimedia
bullLos principios ActiveX
- Componentes Objetos (C++) proponiendo por Microsoft en su arquitectura COMDCOM
- Dedicados a Internet Explorer y Windows (existe una oferta para Unix Mac y sistemas IBM muy poco utilizada)
- Posibilidad de reutilizar los ActiveX integrados en programas Microsoft (MsOffice MsProjecthellip) y otros sobre el computador cliente
- Utilizados por numerosos proveedores de soluciones WEB
Seguridad de las redes
bullLos principios JAVA
- Especificaciones abiertas al puacuteblico una oferta de SUN- Interpretado (maquina virtual JAVA) por eso independiente de la
plataforma- Muy pesado en Kbits a descargar puede ser lento a la ejecucioacuten- Gestioacuten automaacutetica de versioacuten para las maquina virtual JAVA- Numerosos problemas de compatibilidad encontrados entre las
versiones- Posibilidad de crear componentes JAVA reutilizables (JAVA es un
lenguaje objeto) llamados JAVABEANS- Un lenguaje complejo a dominar para crear ldquoAppletsrdquo
httpjavasuncomdocsbookstutorial
Seguridad de las redes
bullLos principios servidor dinaacutemico
- Paginas estaacuteticas (guardadas sobre el disco duro del servidor) no pueden servir de apoyo para informaciones en tiempo real (horarios sitios de ventahellip)
- Necesitad de crear dinaacutemicamente paginas en la memoria del servidor
- 3 tecnologiacuteas estandartes script CGI propietarias de bajo nivel NSAPI ISAPI APACHE APIhellip propietarias de alto nivel ASP JAVA NET Coldfusion PHP JSPhellip
Seguridad de las redes
Taller
Demostraciones de Plug-In
Anaacutelisis de Cookies(cdocuments and settingltusersgtcookies)
Utilizacioacuten de un ldquoCookie Viewerrdquo
Seguridad de las redes
SERVICIOS WEB SEGURIDADbullLas necesidades- Identificar el usuario y sus autorizaciones- Asegurar los intercambios de informaciones- Prohibir la posibilidad de negar una transaccioacuten
bullLas soluciones- Utilizar un algoritmo de cifrado (PGP RSA DES TripleDES)- Integrar el cifrado en el protocolo HTTP (hecho por Netscape con su
oferta llamada Secure Socket Layer y integrada en la norma HTTPS)- Trabajar con claves de cifrado (certificado electroacutenico ndash norma X509) La
gestioacuten de las claves necesita la definicioacuten en la empresa de un PKI (Public Key Infrastructure)
- Utilizar sistemas transaccionales- Indicado al usuario en el navegador por siacutembolos
Seguridad de las redes
Cifrado y HTTPS
bullLos principios de los meacutetodos de cifrado
Clave simeacutetrica los paquetes son cifrados y descifrados con el mismo algoritmo y la misma clave numeacuterica (DES TripleDES)
- Clave asimeacutetrica los paquetes son cifrados con el mismo algoritmo pero la clave inicial no puede ser utilizada para invertir el proceso El descifrado necesita una clave uacutenica vinculada a la primera por relaciones matemaacuteticas (RSA PGP)
- La fuerza del coacutedigo depende de la complexidad de la(s) clave(s) (en numero de cifras)
Seguridad de las redes
bull Principio de intercambio de claves de cifrado para establecer una comunicacioacuten SSL
Generacioacuten de un juego de claves (1C1D)
Envioacute de la clave 1C (clave publica) sin cifrado
Generacioacuten de un juego de claves (2C2D)
1C
Cifrado de la clave 2C con 1C
Envioacute de la clave 2C cifrada (seguridad alta)2C (certificado electroacutenico)
Generacioacuten de una clave de cifrado para el Tuacutenel (CT)
Cifrado de la clave CT con 2C
Descifrado de la clave 2C con 1D (completamente secreta)
Envioacute de la clave CT (clave simeacutetrica) cifrada (seguridad alta) CT
Intercambio cifrado con CT Intercambio cifrado con CT
Descifrado de la clave CT con 2D (completamente secreta)
Seguridad de las redes
Taller
Historia de RSA firma digital y certificados X509
Anaacutelisis de comunicaciones cifradas en HTTPS con un banco
Anaacutelisis de certificados de seguridad
Seguridad de las redes
Seguridad y WEB 2
bullPropuesto en 2004 por OrsquoReilly Media (WEB 20)
bullUn nombre geneacuterico para los servicios nuevos de Internet de estos uacuteltimos antildeos
- Social Networking Sites- Folksonomy (como Wikipedia wikis blogs Youtubehellip)- Y otros sitios orientados relaciones humanas
bullEn general sitios con nivel de seguridad muy pobre sin control Riesgo de divulgacioacuten de datos confidenciales
Seguridad de las redes
Taller
Historia del concepto WEB2
Concepto y lista de ldquoRed Socialrdquo(Social Networking Sites)
Exploracioacuten de sitios WEB2wwwfinclucom delicious
wwwflickrcom wwwzooomrcomflofcomar
www43thingscom
Seguridad de las redes
Gestioacuten de Datos
Aplicacioacuten
Aplicacioacuten
Presentacioacuten
Tratamientosdistribuidos
Cliente
Servidor
Modelo de las aplicaciones con clientes ligeros
Los tratamientos son repartidos seguacuten el poder de los computadores
- Base de datos y tratamientos pesados sobre el servidor
- Tratamientos ligeros sobre el cliente (como la parte GUI por ejemplo)
Ejemplos- Tecnologiacuteas WEB- Aplicaciones
Clienteservidor de los antildeos 2000
Seguridad de las redes
Modelo claacutesico de las tecnologiacuteas WEB
Gestioacuten de Datos
Aplicacioacuten
Aplicacioacuten
Presentacioacuten
Tratamientosdistribuidos
Cliente
Servidor
Sistemas de Gestioacuten de Base de Datos SGBDR (Oracle Sql Server MySql DB2hellip)
Servidor HTTP (Microsoft IIS Lotus Domino Apache Webspherehellip)+ programas dedicados
Tecnologiacuteas dinaacutemicas en el navegador(VBScript Javascript ActiveX Javahellip)
Navegador Internet (browser)(Internet Explorer Firefoxhellip)
Seguridad de las redes
Diferencias entre las generaciones de modelos clienteservidor
bull Cliente pesado - Muchos tratamientos sobre el cliente- Necesita la instalacioacuten fiacutesica de programas sobre el cliente- Carga deacutebil para la red arquitectura adaptada a las comunicaciones internacionales
bull Cliente ligeroliviano - Muy poco tratamientos sobre el cliente- Posibilidad de descargar automaacuteticamente los programas por la red- Carga importante para viacutenculos de red deacutebiles
Seguridad de las redes
Arquitecturas fiacutesicas de los modelos clienteservidor
Gestioacuten de Datos
Aplicacioacuten
Aplicacioacuten
Presentacioacuten
Tratamientosdistribuidos
Cliente
Servidor
ArquitecturaEn 2 niveles
ArquitecturaEn 3 niveles
Seguridad de las redes
Gestioacuten de Datos
Aplicacioacuten
Aplicacioacuten
Presentacioacuten
Tratamientosdistribuidos
Cliente
Servidor
ArquitecturaEn 4 niveles
Sgbd
Programasdedicados
Servidor http
Seguridad de las redes
Ventajas de los modelos ClienteServidor con tecnologiacuteas WEB
bull Apoyo de los sistemas heterogeacuteneos- Cliente Windows MacOs Unix (BSD Linux etchellip) celulares PDA- Servidor Programas disponibles sobre Unix Windows AS400hellip
bull Utilizacioacuten ideacutentica al dentro de la empresa y a traveacutes Internet
bull Utilizacioacuten simple a aprender para una persona quien tiene un acceso Internet
bull Posibilidad de crear un punto de acceso uacutenico para todas las aplicaciones de la empresa (poacutertico)
Seguridad de las redes
Arquitectura WEB - ejemplo practicoEthernet
Microsoft SQL
SERVER
Microsoft IIS +Aplicacioacuten WEB
dedicada desarrollada en Microsoft NET
Usuarios con Internet Explorer
Base de Datos
MiddlewareMicrosoftMDAC
ORACLE sgbd
Oracle
IBM Websphere +Aplicacioacuten WEB
dedicada desarrollada en
SUN Java
MiddlewareSUNJDBC
Seguridad de las redes
CLIENTES LIGEROSLIVIANOS NAVEGADORES WEB
sgbd
Programasdedicados
Servidor http
A
A
A
1 ndash Construccioacuten de la pagina
El servidor HTTP crea en su memoria una pagina WEB con los elementos enviados por los otros servidores La pagina puede contener componentes activos (activex applet java javascript vbscripthellip) y inertes (imagenes textoshellip)
Seguridad de las redes
Srv http
AA
2 ndash Recepcioacuten de la pagina
El servidor HTTP enviacutea la pagina elemento por elemento en la red El navegador recibe los componentes en el disco duro del cliente En el mismo tiempo la pagina es reconstruida en la memoria del navegador
A
cliente
A
A
Seguridad de las redes
3 ndash Interpretacioacuten de la pagina
El navegador presenta sobre la pantalla la pagina WEB y los elementos inertes Los componentes activos son enviados a las aplicaciones dedicadas a cada uno seguacuten el tipo
Navegador
A
A
A
Funcioacuten de presentacioacuten
Aplicaciones integradasA el navegador
Aplicacioacuten dedicadaa el navegador
descargada en opcioacuten
Funciones deejecucioacuten
Plug-in
Otras aplicaciones del computador cliente
Seguridad de las redes
bull Las informaciones son pegadas sobre el computador cliente- Mas raacutepido para recargar una pagina ya consultada- Falla de seguridad Una persona extranjera a la empresa puede consultar las informaciones Nunca olvidar vaciar la memoria permanente del navegador al fin del trabajo cuando se utiliza un computador publico
bull Todas las aplicaciones del cliente pueden ser utilizadas a traveacutes el navegador (Word Excel Adobe Acrobat Readerhellip)Por razoacuten de seguridad el navegador pregunta antes de ejecutar una aplicacioacuten no integrada cuando existe un riesgo (la totalidad de las funcionalidades siempre autorizadas es llamado ldquosandboxrdquo por analogia con el espacio protectado donde pueden jugar los nintildeos con arena)
bull Muchas aplicaciones ldquoPlug-Inrdquo disponiblesLas mas conocidas y utilizadas son FLASH PLAYER y JAVA Pero existen muchas otras (DIVX Player Google Tools Quicktime playerhellip)
Seguridad de las redes
Taller
Internet Explorer historia de un eacutexito
Firefox una alternativa
Seguridad de las redes
NAVEGADORES WEB Buenas practicasbull Respetar la configuracioacuten de seguridad- Nivel de seguridad por zona- Nivel de confidencialidad- Configuracioacuten de base de las opciones
bull Responder ldquoNordquo cada vez que el navigador pregunta una autorizacioacuten de ejecucioacuten de componentes activos no necesarios
bull Cerrar las ventanas de tipo ldquoPopuprdquo con la cruz Windows (o con ALT-F4) y no los botones propuestos cada vez que posible
bull No utilizar la gestioacuten automaacutetica de los formularios
bull Limpiar la memoria sobre el disco duro despueacutes utilizacioacuten sobre un computador publico
Seguridad de las redes
bull No descargar moacutedulos de aplicaciones no firmados por editores prestigiosos
bull Proteger el computador con un anti-virus- Programar un anaacutelisis perioacutedico (1 vez por semana)- Descargar las ultimas versiones (funcioacuten ldquoUpdaterdquo)- Activar la proteccioacuten ldquotiempo realrdquo
bull Proteger el computador con un anti-spyware- Programar un anaacutelisis perioacutedico (1 vez por semana)- Descargar las ultimas versiones (funcioacuten ldquoUpdaterdquo)- Activar la proteccioacuten ldquotiempo realrdquo de la base de ldquoregistryrdquo de Windows
bull No desactivar la funcionalidad ldquoanti-popuprdquo
bull No desactivar la funcionalidad ldquoanti-phishingrdquo (IE 7)
Seguridad de las redes
bull Actualizar perioacutedicamente Windows viacutea la funcionalidad ldquoWindows Updaterdquo
bull Limpiar perioacutedicamente los histoacutericos y la memoria sobre el disco duro (para la velocidad) Los cookies pueden permanecer activados (riesgo miacutenimo)
bull Por supuesto no consultar sitios conocidos para ser peligrosos (sitios de juegos ilegales de muacutesicas mp3 non autorizadas de venta de productos prohibidos)
bull En principio el navegador libro FIREFOX es conocido para ser menos sensible a los riesgos claacutesicos que Internet Explorer Pero en empresa y sobre Internet todas la aplicaciones WEB no son compatibles con FIREFOX
Seguridad de las redes
Taller
Consejos de configuracioacuten de Internet Explorer y Firefox
Utilizacioacuten de NetPrivacy
Anaacutelisis de comunicaciones non protegidas con Packetyser
(Busca Google)
Ficheros temporarios y histoacuterico (cdocuments and settingltusersgtlocal settings)
Seguridad de las redes
bullLa historia
- Creacioacuten de la nocioacuten de pagina Web en los antildeos 90 por Tim Berners Lee (responsable de la gestioacuten de las documentaciones del CERN en Ginebra)
- La idea ser capaz de integrar en una pagina de texto electroacutenico viacutenculos con otras paginas (importante para los artiacuteculos cientiacuteficos)
- La realizacioacuten creacioacuten del protocolo Hypertext y de la nocioacuten de URL (Uniform Ressource Locator)
- Marc Andreesseen (Universidad del Illinois) a evolucionado el protocolo insertando el grafico (MOSAIC)
SERVICIOS WEB - TECNOLOGIacuteAS DE BASE
Seguridad de las redes
bullLos principios HTTP
- Protocolo de intercambio entre el servidor y el navegador (HyperTextTransfert Protocol)
- Basado sobre los URL (httpIdPwdserverportpathpathfileparameters) utilizando uacutenicamente los 128 primeros coacutedigos US ascii
- ldquoStatelessrdquo El protocolo olvida todas las configuraciones del usuario cada vez que el navegador es cerrado =gt necesitad de otras tecnicas para guardar el contexto Re-escritura de los URL (ajuntando paraacutemetros id=xxxxxx) Paraacutemetros escondidos en la pagina Web (con el orden HTTP ldquopostrdquo) Cookies (un fichero de texto escrito sobre el computador cliente con
las informaciones de contexto)
Seguridad de las redes
bull Los principios contenido de un COOKIE
Nombre Nombre del cookie sobre el disco duro
Valor El valor de contexto necesario para el sitio Web consultado (uno por cookie)
Valididad Fecha de fin de vida Despueacutes esta fecha el navegador rechaza el acceso al cookie
Servidor(es) Lista de servidores autorizados a consultar el cookie
Pagina(s) Lista de paginas autorizadas a consultar el cookie
Asegurado True o False si True el cookie se puede consultar uacutenicamente con un acceso asegurado
Seguridad de las redes
bull Los principios HTML
- Lenguaje informaacutetico para escribir paginas Web (HyperTextMarkup Language)- El navegador es un interpretador de HTML- Siempre en evolucioacuten (norma actual = 40) publico
lthtmlgtltheadgtltTITLEgtUNEltTITLEgtltheadgtltFRAMESET COLS=0 FRAMEBORDER=NO
BORDER=0 FRAMESPACING=0gtltFRAME
SRC=seccionesUNEHOMEseccion_HTMLhtml NAME=menu FRAMEBORDER=NO MARGINWIDTH=0 MARGINHEIGHT=0 noresizeSCROLLING=AUTOgt
ltFRAME SRC=blankhtml NAME=____contenido FRAMEBORDER=NO noresize SCROLLING=AUTO MARGINWIDTH=0 MARGINHEIGHT=0gtltFRAMESETgtltNOFRAMESgt DescripcionltNOFRAMESgt
ltHTMLgt
Seguridad de las redes
bull Los principios limitaciones de HTML
- No interaccioacuten con el equipo cliente (histoacutericamente un lenguaje de presentacioacuten)pobre en funciones graficasPor eso creacioacuten de evoluciones a lado del lenguaje principal (para asegurar la compatibilidad) CSS XMLXSL DHTML
- Muy pobre en funcionalidades interactivas con el usuario (cliente inteligente) Utilizacioacuten de tecnologiacuteas complementarias Plug-In ActiveX JAVA Scripts y modelos de documentos
Seguridad de las redes
bull Los principios cliente inteligente
- 2 tecnologiacuteas compiladas Plug-ins ActiveX
- 2 tecnologiacuteas interpretadas Scripts Java
- La tecnologiacuteas compiladas son mas raacutepidas pero el programa descargado es especificado a el equipo
- Los plug-in y los componentes ActiveX son descargados y instalados una vez definitivamente con una programa de verificacioacuten automaacutetica de versioacuten
- Scripts y aplicaciones Java (applet) son descargadas cada vez que la memoria permanente del navegador es vaciada
Seguridad de las redes
bullLos principios PLUG-IN
- Especificaciones abiertas al puacuteblico- Desarrollado en C o C++- Un Plug-in para IE sobre Windows no puede funcionar en IE sobre
MacOS (compilado)- Los mas conocidos son los Plug-In multimedia
bullLos principios ActiveX
- Componentes Objetos (C++) proponiendo por Microsoft en su arquitectura COMDCOM
- Dedicados a Internet Explorer y Windows (existe una oferta para Unix Mac y sistemas IBM muy poco utilizada)
- Posibilidad de reutilizar los ActiveX integrados en programas Microsoft (MsOffice MsProjecthellip) y otros sobre el computador cliente
- Utilizados por numerosos proveedores de soluciones WEB
Seguridad de las redes
bullLos principios JAVA
- Especificaciones abiertas al puacuteblico una oferta de SUN- Interpretado (maquina virtual JAVA) por eso independiente de la
plataforma- Muy pesado en Kbits a descargar puede ser lento a la ejecucioacuten- Gestioacuten automaacutetica de versioacuten para las maquina virtual JAVA- Numerosos problemas de compatibilidad encontrados entre las
versiones- Posibilidad de crear componentes JAVA reutilizables (JAVA es un
lenguaje objeto) llamados JAVABEANS- Un lenguaje complejo a dominar para crear ldquoAppletsrdquo
httpjavasuncomdocsbookstutorial
Seguridad de las redes
bullLos principios servidor dinaacutemico
- Paginas estaacuteticas (guardadas sobre el disco duro del servidor) no pueden servir de apoyo para informaciones en tiempo real (horarios sitios de ventahellip)
- Necesitad de crear dinaacutemicamente paginas en la memoria del servidor
- 3 tecnologiacuteas estandartes script CGI propietarias de bajo nivel NSAPI ISAPI APACHE APIhellip propietarias de alto nivel ASP JAVA NET Coldfusion PHP JSPhellip
Seguridad de las redes
Taller
Demostraciones de Plug-In
Anaacutelisis de Cookies(cdocuments and settingltusersgtcookies)
Utilizacioacuten de un ldquoCookie Viewerrdquo
Seguridad de las redes
SERVICIOS WEB SEGURIDADbullLas necesidades- Identificar el usuario y sus autorizaciones- Asegurar los intercambios de informaciones- Prohibir la posibilidad de negar una transaccioacuten
bullLas soluciones- Utilizar un algoritmo de cifrado (PGP RSA DES TripleDES)- Integrar el cifrado en el protocolo HTTP (hecho por Netscape con su
oferta llamada Secure Socket Layer y integrada en la norma HTTPS)- Trabajar con claves de cifrado (certificado electroacutenico ndash norma X509) La
gestioacuten de las claves necesita la definicioacuten en la empresa de un PKI (Public Key Infrastructure)
- Utilizar sistemas transaccionales- Indicado al usuario en el navegador por siacutembolos
Seguridad de las redes
Cifrado y HTTPS
bullLos principios de los meacutetodos de cifrado
Clave simeacutetrica los paquetes son cifrados y descifrados con el mismo algoritmo y la misma clave numeacuterica (DES TripleDES)
- Clave asimeacutetrica los paquetes son cifrados con el mismo algoritmo pero la clave inicial no puede ser utilizada para invertir el proceso El descifrado necesita una clave uacutenica vinculada a la primera por relaciones matemaacuteticas (RSA PGP)
- La fuerza del coacutedigo depende de la complexidad de la(s) clave(s) (en numero de cifras)
Seguridad de las redes
bull Principio de intercambio de claves de cifrado para establecer una comunicacioacuten SSL
Generacioacuten de un juego de claves (1C1D)
Envioacute de la clave 1C (clave publica) sin cifrado
Generacioacuten de un juego de claves (2C2D)
1C
Cifrado de la clave 2C con 1C
Envioacute de la clave 2C cifrada (seguridad alta)2C (certificado electroacutenico)
Generacioacuten de una clave de cifrado para el Tuacutenel (CT)
Cifrado de la clave CT con 2C
Descifrado de la clave 2C con 1D (completamente secreta)
Envioacute de la clave CT (clave simeacutetrica) cifrada (seguridad alta) CT
Intercambio cifrado con CT Intercambio cifrado con CT
Descifrado de la clave CT con 2D (completamente secreta)
Seguridad de las redes
Taller
Historia de RSA firma digital y certificados X509
Anaacutelisis de comunicaciones cifradas en HTTPS con un banco
Anaacutelisis de certificados de seguridad
Seguridad de las redes
Seguridad y WEB 2
bullPropuesto en 2004 por OrsquoReilly Media (WEB 20)
bullUn nombre geneacuterico para los servicios nuevos de Internet de estos uacuteltimos antildeos
- Social Networking Sites- Folksonomy (como Wikipedia wikis blogs Youtubehellip)- Y otros sitios orientados relaciones humanas
bullEn general sitios con nivel de seguridad muy pobre sin control Riesgo de divulgacioacuten de datos confidenciales
Seguridad de las redes
Taller
Historia del concepto WEB2
Concepto y lista de ldquoRed Socialrdquo(Social Networking Sites)
Exploracioacuten de sitios WEB2wwwfinclucom delicious
wwwflickrcom wwwzooomrcomflofcomar
www43thingscom
Seguridad de las redes
Modelo claacutesico de las tecnologiacuteas WEB
Gestioacuten de Datos
Aplicacioacuten
Aplicacioacuten
Presentacioacuten
Tratamientosdistribuidos
Cliente
Servidor
Sistemas de Gestioacuten de Base de Datos SGBDR (Oracle Sql Server MySql DB2hellip)
Servidor HTTP (Microsoft IIS Lotus Domino Apache Webspherehellip)+ programas dedicados
Tecnologiacuteas dinaacutemicas en el navegador(VBScript Javascript ActiveX Javahellip)
Navegador Internet (browser)(Internet Explorer Firefoxhellip)
Seguridad de las redes
Diferencias entre las generaciones de modelos clienteservidor
bull Cliente pesado - Muchos tratamientos sobre el cliente- Necesita la instalacioacuten fiacutesica de programas sobre el cliente- Carga deacutebil para la red arquitectura adaptada a las comunicaciones internacionales
bull Cliente ligeroliviano - Muy poco tratamientos sobre el cliente- Posibilidad de descargar automaacuteticamente los programas por la red- Carga importante para viacutenculos de red deacutebiles
Seguridad de las redes
Arquitecturas fiacutesicas de los modelos clienteservidor
Gestioacuten de Datos
Aplicacioacuten
Aplicacioacuten
Presentacioacuten
Tratamientosdistribuidos
Cliente
Servidor
ArquitecturaEn 2 niveles
ArquitecturaEn 3 niveles
Seguridad de las redes
Gestioacuten de Datos
Aplicacioacuten
Aplicacioacuten
Presentacioacuten
Tratamientosdistribuidos
Cliente
Servidor
ArquitecturaEn 4 niveles
Sgbd
Programasdedicados
Servidor http
Seguridad de las redes
Ventajas de los modelos ClienteServidor con tecnologiacuteas WEB
bull Apoyo de los sistemas heterogeacuteneos- Cliente Windows MacOs Unix (BSD Linux etchellip) celulares PDA- Servidor Programas disponibles sobre Unix Windows AS400hellip
bull Utilizacioacuten ideacutentica al dentro de la empresa y a traveacutes Internet
bull Utilizacioacuten simple a aprender para una persona quien tiene un acceso Internet
bull Posibilidad de crear un punto de acceso uacutenico para todas las aplicaciones de la empresa (poacutertico)
Seguridad de las redes
Arquitectura WEB - ejemplo practicoEthernet
Microsoft SQL
SERVER
Microsoft IIS +Aplicacioacuten WEB
dedicada desarrollada en Microsoft NET
Usuarios con Internet Explorer
Base de Datos
MiddlewareMicrosoftMDAC
ORACLE sgbd
Oracle
IBM Websphere +Aplicacioacuten WEB
dedicada desarrollada en
SUN Java
MiddlewareSUNJDBC
Seguridad de las redes
CLIENTES LIGEROSLIVIANOS NAVEGADORES WEB
sgbd
Programasdedicados
Servidor http
A
A
A
1 ndash Construccioacuten de la pagina
El servidor HTTP crea en su memoria una pagina WEB con los elementos enviados por los otros servidores La pagina puede contener componentes activos (activex applet java javascript vbscripthellip) y inertes (imagenes textoshellip)
Seguridad de las redes
Srv http
AA
2 ndash Recepcioacuten de la pagina
El servidor HTTP enviacutea la pagina elemento por elemento en la red El navegador recibe los componentes en el disco duro del cliente En el mismo tiempo la pagina es reconstruida en la memoria del navegador
A
cliente
A
A
Seguridad de las redes
3 ndash Interpretacioacuten de la pagina
El navegador presenta sobre la pantalla la pagina WEB y los elementos inertes Los componentes activos son enviados a las aplicaciones dedicadas a cada uno seguacuten el tipo
Navegador
A
A
A
Funcioacuten de presentacioacuten
Aplicaciones integradasA el navegador
Aplicacioacuten dedicadaa el navegador
descargada en opcioacuten
Funciones deejecucioacuten
Plug-in
Otras aplicaciones del computador cliente
Seguridad de las redes
bull Las informaciones son pegadas sobre el computador cliente- Mas raacutepido para recargar una pagina ya consultada- Falla de seguridad Una persona extranjera a la empresa puede consultar las informaciones Nunca olvidar vaciar la memoria permanente del navegador al fin del trabajo cuando se utiliza un computador publico
bull Todas las aplicaciones del cliente pueden ser utilizadas a traveacutes el navegador (Word Excel Adobe Acrobat Readerhellip)Por razoacuten de seguridad el navegador pregunta antes de ejecutar una aplicacioacuten no integrada cuando existe un riesgo (la totalidad de las funcionalidades siempre autorizadas es llamado ldquosandboxrdquo por analogia con el espacio protectado donde pueden jugar los nintildeos con arena)
bull Muchas aplicaciones ldquoPlug-Inrdquo disponiblesLas mas conocidas y utilizadas son FLASH PLAYER y JAVA Pero existen muchas otras (DIVX Player Google Tools Quicktime playerhellip)
Seguridad de las redes
Taller
Internet Explorer historia de un eacutexito
Firefox una alternativa
Seguridad de las redes
NAVEGADORES WEB Buenas practicasbull Respetar la configuracioacuten de seguridad- Nivel de seguridad por zona- Nivel de confidencialidad- Configuracioacuten de base de las opciones
bull Responder ldquoNordquo cada vez que el navigador pregunta una autorizacioacuten de ejecucioacuten de componentes activos no necesarios
bull Cerrar las ventanas de tipo ldquoPopuprdquo con la cruz Windows (o con ALT-F4) y no los botones propuestos cada vez que posible
bull No utilizar la gestioacuten automaacutetica de los formularios
bull Limpiar la memoria sobre el disco duro despueacutes utilizacioacuten sobre un computador publico
Seguridad de las redes
bull No descargar moacutedulos de aplicaciones no firmados por editores prestigiosos
bull Proteger el computador con un anti-virus- Programar un anaacutelisis perioacutedico (1 vez por semana)- Descargar las ultimas versiones (funcioacuten ldquoUpdaterdquo)- Activar la proteccioacuten ldquotiempo realrdquo
bull Proteger el computador con un anti-spyware- Programar un anaacutelisis perioacutedico (1 vez por semana)- Descargar las ultimas versiones (funcioacuten ldquoUpdaterdquo)- Activar la proteccioacuten ldquotiempo realrdquo de la base de ldquoregistryrdquo de Windows
bull No desactivar la funcionalidad ldquoanti-popuprdquo
bull No desactivar la funcionalidad ldquoanti-phishingrdquo (IE 7)
Seguridad de las redes
bull Actualizar perioacutedicamente Windows viacutea la funcionalidad ldquoWindows Updaterdquo
bull Limpiar perioacutedicamente los histoacutericos y la memoria sobre el disco duro (para la velocidad) Los cookies pueden permanecer activados (riesgo miacutenimo)
bull Por supuesto no consultar sitios conocidos para ser peligrosos (sitios de juegos ilegales de muacutesicas mp3 non autorizadas de venta de productos prohibidos)
bull En principio el navegador libro FIREFOX es conocido para ser menos sensible a los riesgos claacutesicos que Internet Explorer Pero en empresa y sobre Internet todas la aplicaciones WEB no son compatibles con FIREFOX
Seguridad de las redes
Taller
Consejos de configuracioacuten de Internet Explorer y Firefox
Utilizacioacuten de NetPrivacy
Anaacutelisis de comunicaciones non protegidas con Packetyser
(Busca Google)
Ficheros temporarios y histoacuterico (cdocuments and settingltusersgtlocal settings)
Seguridad de las redes
bullLa historia
- Creacioacuten de la nocioacuten de pagina Web en los antildeos 90 por Tim Berners Lee (responsable de la gestioacuten de las documentaciones del CERN en Ginebra)
- La idea ser capaz de integrar en una pagina de texto electroacutenico viacutenculos con otras paginas (importante para los artiacuteculos cientiacuteficos)
- La realizacioacuten creacioacuten del protocolo Hypertext y de la nocioacuten de URL (Uniform Ressource Locator)
- Marc Andreesseen (Universidad del Illinois) a evolucionado el protocolo insertando el grafico (MOSAIC)
SERVICIOS WEB - TECNOLOGIacuteAS DE BASE
Seguridad de las redes
bullLos principios HTTP
- Protocolo de intercambio entre el servidor y el navegador (HyperTextTransfert Protocol)
- Basado sobre los URL (httpIdPwdserverportpathpathfileparameters) utilizando uacutenicamente los 128 primeros coacutedigos US ascii
- ldquoStatelessrdquo El protocolo olvida todas las configuraciones del usuario cada vez que el navegador es cerrado =gt necesitad de otras tecnicas para guardar el contexto Re-escritura de los URL (ajuntando paraacutemetros id=xxxxxx) Paraacutemetros escondidos en la pagina Web (con el orden HTTP ldquopostrdquo) Cookies (un fichero de texto escrito sobre el computador cliente con
las informaciones de contexto)
Seguridad de las redes
bull Los principios contenido de un COOKIE
Nombre Nombre del cookie sobre el disco duro
Valor El valor de contexto necesario para el sitio Web consultado (uno por cookie)
Valididad Fecha de fin de vida Despueacutes esta fecha el navegador rechaza el acceso al cookie
Servidor(es) Lista de servidores autorizados a consultar el cookie
Pagina(s) Lista de paginas autorizadas a consultar el cookie
Asegurado True o False si True el cookie se puede consultar uacutenicamente con un acceso asegurado
Seguridad de las redes
bull Los principios HTML
- Lenguaje informaacutetico para escribir paginas Web (HyperTextMarkup Language)- El navegador es un interpretador de HTML- Siempre en evolucioacuten (norma actual = 40) publico
lthtmlgtltheadgtltTITLEgtUNEltTITLEgtltheadgtltFRAMESET COLS=0 FRAMEBORDER=NO
BORDER=0 FRAMESPACING=0gtltFRAME
SRC=seccionesUNEHOMEseccion_HTMLhtml NAME=menu FRAMEBORDER=NO MARGINWIDTH=0 MARGINHEIGHT=0 noresizeSCROLLING=AUTOgt
ltFRAME SRC=blankhtml NAME=____contenido FRAMEBORDER=NO noresize SCROLLING=AUTO MARGINWIDTH=0 MARGINHEIGHT=0gtltFRAMESETgtltNOFRAMESgt DescripcionltNOFRAMESgt
ltHTMLgt
Seguridad de las redes
bull Los principios limitaciones de HTML
- No interaccioacuten con el equipo cliente (histoacutericamente un lenguaje de presentacioacuten)pobre en funciones graficasPor eso creacioacuten de evoluciones a lado del lenguaje principal (para asegurar la compatibilidad) CSS XMLXSL DHTML
- Muy pobre en funcionalidades interactivas con el usuario (cliente inteligente) Utilizacioacuten de tecnologiacuteas complementarias Plug-In ActiveX JAVA Scripts y modelos de documentos
Seguridad de las redes
bull Los principios cliente inteligente
- 2 tecnologiacuteas compiladas Plug-ins ActiveX
- 2 tecnologiacuteas interpretadas Scripts Java
- La tecnologiacuteas compiladas son mas raacutepidas pero el programa descargado es especificado a el equipo
- Los plug-in y los componentes ActiveX son descargados y instalados una vez definitivamente con una programa de verificacioacuten automaacutetica de versioacuten
- Scripts y aplicaciones Java (applet) son descargadas cada vez que la memoria permanente del navegador es vaciada
Seguridad de las redes
bullLos principios PLUG-IN
- Especificaciones abiertas al puacuteblico- Desarrollado en C o C++- Un Plug-in para IE sobre Windows no puede funcionar en IE sobre
MacOS (compilado)- Los mas conocidos son los Plug-In multimedia
bullLos principios ActiveX
- Componentes Objetos (C++) proponiendo por Microsoft en su arquitectura COMDCOM
- Dedicados a Internet Explorer y Windows (existe una oferta para Unix Mac y sistemas IBM muy poco utilizada)
- Posibilidad de reutilizar los ActiveX integrados en programas Microsoft (MsOffice MsProjecthellip) y otros sobre el computador cliente
- Utilizados por numerosos proveedores de soluciones WEB
Seguridad de las redes
bullLos principios JAVA
- Especificaciones abiertas al puacuteblico una oferta de SUN- Interpretado (maquina virtual JAVA) por eso independiente de la
plataforma- Muy pesado en Kbits a descargar puede ser lento a la ejecucioacuten- Gestioacuten automaacutetica de versioacuten para las maquina virtual JAVA- Numerosos problemas de compatibilidad encontrados entre las
versiones- Posibilidad de crear componentes JAVA reutilizables (JAVA es un
lenguaje objeto) llamados JAVABEANS- Un lenguaje complejo a dominar para crear ldquoAppletsrdquo
httpjavasuncomdocsbookstutorial
Seguridad de las redes
bullLos principios servidor dinaacutemico
- Paginas estaacuteticas (guardadas sobre el disco duro del servidor) no pueden servir de apoyo para informaciones en tiempo real (horarios sitios de ventahellip)
- Necesitad de crear dinaacutemicamente paginas en la memoria del servidor
- 3 tecnologiacuteas estandartes script CGI propietarias de bajo nivel NSAPI ISAPI APACHE APIhellip propietarias de alto nivel ASP JAVA NET Coldfusion PHP JSPhellip
Seguridad de las redes
Taller
Demostraciones de Plug-In
Anaacutelisis de Cookies(cdocuments and settingltusersgtcookies)
Utilizacioacuten de un ldquoCookie Viewerrdquo
Seguridad de las redes
SERVICIOS WEB SEGURIDADbullLas necesidades- Identificar el usuario y sus autorizaciones- Asegurar los intercambios de informaciones- Prohibir la posibilidad de negar una transaccioacuten
bullLas soluciones- Utilizar un algoritmo de cifrado (PGP RSA DES TripleDES)- Integrar el cifrado en el protocolo HTTP (hecho por Netscape con su
oferta llamada Secure Socket Layer y integrada en la norma HTTPS)- Trabajar con claves de cifrado (certificado electroacutenico ndash norma X509) La
gestioacuten de las claves necesita la definicioacuten en la empresa de un PKI (Public Key Infrastructure)
- Utilizar sistemas transaccionales- Indicado al usuario en el navegador por siacutembolos
Seguridad de las redes
Cifrado y HTTPS
bullLos principios de los meacutetodos de cifrado
Clave simeacutetrica los paquetes son cifrados y descifrados con el mismo algoritmo y la misma clave numeacuterica (DES TripleDES)
- Clave asimeacutetrica los paquetes son cifrados con el mismo algoritmo pero la clave inicial no puede ser utilizada para invertir el proceso El descifrado necesita una clave uacutenica vinculada a la primera por relaciones matemaacuteticas (RSA PGP)
- La fuerza del coacutedigo depende de la complexidad de la(s) clave(s) (en numero de cifras)
Seguridad de las redes
bull Principio de intercambio de claves de cifrado para establecer una comunicacioacuten SSL
Generacioacuten de un juego de claves (1C1D)
Envioacute de la clave 1C (clave publica) sin cifrado
Generacioacuten de un juego de claves (2C2D)
1C
Cifrado de la clave 2C con 1C
Envioacute de la clave 2C cifrada (seguridad alta)2C (certificado electroacutenico)
Generacioacuten de una clave de cifrado para el Tuacutenel (CT)
Cifrado de la clave CT con 2C
Descifrado de la clave 2C con 1D (completamente secreta)
Envioacute de la clave CT (clave simeacutetrica) cifrada (seguridad alta) CT
Intercambio cifrado con CT Intercambio cifrado con CT
Descifrado de la clave CT con 2D (completamente secreta)
Seguridad de las redes
Taller
Historia de RSA firma digital y certificados X509
Anaacutelisis de comunicaciones cifradas en HTTPS con un banco
Anaacutelisis de certificados de seguridad
Seguridad de las redes
Seguridad y WEB 2
bullPropuesto en 2004 por OrsquoReilly Media (WEB 20)
bullUn nombre geneacuterico para los servicios nuevos de Internet de estos uacuteltimos antildeos
- Social Networking Sites- Folksonomy (como Wikipedia wikis blogs Youtubehellip)- Y otros sitios orientados relaciones humanas
bullEn general sitios con nivel de seguridad muy pobre sin control Riesgo de divulgacioacuten de datos confidenciales
Seguridad de las redes
Taller
Historia del concepto WEB2
Concepto y lista de ldquoRed Socialrdquo(Social Networking Sites)
Exploracioacuten de sitios WEB2wwwfinclucom delicious
wwwflickrcom wwwzooomrcomflofcomar
www43thingscom
Seguridad de las redes
Diferencias entre las generaciones de modelos clienteservidor
bull Cliente pesado - Muchos tratamientos sobre el cliente- Necesita la instalacioacuten fiacutesica de programas sobre el cliente- Carga deacutebil para la red arquitectura adaptada a las comunicaciones internacionales
bull Cliente ligeroliviano - Muy poco tratamientos sobre el cliente- Posibilidad de descargar automaacuteticamente los programas por la red- Carga importante para viacutenculos de red deacutebiles
Seguridad de las redes
Arquitecturas fiacutesicas de los modelos clienteservidor
Gestioacuten de Datos
Aplicacioacuten
Aplicacioacuten
Presentacioacuten
Tratamientosdistribuidos
Cliente
Servidor
ArquitecturaEn 2 niveles
ArquitecturaEn 3 niveles
Seguridad de las redes
Gestioacuten de Datos
Aplicacioacuten
Aplicacioacuten
Presentacioacuten
Tratamientosdistribuidos
Cliente
Servidor
ArquitecturaEn 4 niveles
Sgbd
Programasdedicados
Servidor http
Seguridad de las redes
Ventajas de los modelos ClienteServidor con tecnologiacuteas WEB
bull Apoyo de los sistemas heterogeacuteneos- Cliente Windows MacOs Unix (BSD Linux etchellip) celulares PDA- Servidor Programas disponibles sobre Unix Windows AS400hellip
bull Utilizacioacuten ideacutentica al dentro de la empresa y a traveacutes Internet
bull Utilizacioacuten simple a aprender para una persona quien tiene un acceso Internet
bull Posibilidad de crear un punto de acceso uacutenico para todas las aplicaciones de la empresa (poacutertico)
Seguridad de las redes
Arquitectura WEB - ejemplo practicoEthernet
Microsoft SQL
SERVER
Microsoft IIS +Aplicacioacuten WEB
dedicada desarrollada en Microsoft NET
Usuarios con Internet Explorer
Base de Datos
MiddlewareMicrosoftMDAC
ORACLE sgbd
Oracle
IBM Websphere +Aplicacioacuten WEB
dedicada desarrollada en
SUN Java
MiddlewareSUNJDBC
Seguridad de las redes
CLIENTES LIGEROSLIVIANOS NAVEGADORES WEB
sgbd
Programasdedicados
Servidor http
A
A
A
1 ndash Construccioacuten de la pagina
El servidor HTTP crea en su memoria una pagina WEB con los elementos enviados por los otros servidores La pagina puede contener componentes activos (activex applet java javascript vbscripthellip) y inertes (imagenes textoshellip)
Seguridad de las redes
Srv http
AA
2 ndash Recepcioacuten de la pagina
El servidor HTTP enviacutea la pagina elemento por elemento en la red El navegador recibe los componentes en el disco duro del cliente En el mismo tiempo la pagina es reconstruida en la memoria del navegador
A
cliente
A
A
Seguridad de las redes
3 ndash Interpretacioacuten de la pagina
El navegador presenta sobre la pantalla la pagina WEB y los elementos inertes Los componentes activos son enviados a las aplicaciones dedicadas a cada uno seguacuten el tipo
Navegador
A
A
A
Funcioacuten de presentacioacuten
Aplicaciones integradasA el navegador
Aplicacioacuten dedicadaa el navegador
descargada en opcioacuten
Funciones deejecucioacuten
Plug-in
Otras aplicaciones del computador cliente
Seguridad de las redes
bull Las informaciones son pegadas sobre el computador cliente- Mas raacutepido para recargar una pagina ya consultada- Falla de seguridad Una persona extranjera a la empresa puede consultar las informaciones Nunca olvidar vaciar la memoria permanente del navegador al fin del trabajo cuando se utiliza un computador publico
bull Todas las aplicaciones del cliente pueden ser utilizadas a traveacutes el navegador (Word Excel Adobe Acrobat Readerhellip)Por razoacuten de seguridad el navegador pregunta antes de ejecutar una aplicacioacuten no integrada cuando existe un riesgo (la totalidad de las funcionalidades siempre autorizadas es llamado ldquosandboxrdquo por analogia con el espacio protectado donde pueden jugar los nintildeos con arena)
bull Muchas aplicaciones ldquoPlug-Inrdquo disponiblesLas mas conocidas y utilizadas son FLASH PLAYER y JAVA Pero existen muchas otras (DIVX Player Google Tools Quicktime playerhellip)
Seguridad de las redes
Taller
Internet Explorer historia de un eacutexito
Firefox una alternativa
Seguridad de las redes
NAVEGADORES WEB Buenas practicasbull Respetar la configuracioacuten de seguridad- Nivel de seguridad por zona- Nivel de confidencialidad- Configuracioacuten de base de las opciones
bull Responder ldquoNordquo cada vez que el navigador pregunta una autorizacioacuten de ejecucioacuten de componentes activos no necesarios
bull Cerrar las ventanas de tipo ldquoPopuprdquo con la cruz Windows (o con ALT-F4) y no los botones propuestos cada vez que posible
bull No utilizar la gestioacuten automaacutetica de los formularios
bull Limpiar la memoria sobre el disco duro despueacutes utilizacioacuten sobre un computador publico
Seguridad de las redes
bull No descargar moacutedulos de aplicaciones no firmados por editores prestigiosos
bull Proteger el computador con un anti-virus- Programar un anaacutelisis perioacutedico (1 vez por semana)- Descargar las ultimas versiones (funcioacuten ldquoUpdaterdquo)- Activar la proteccioacuten ldquotiempo realrdquo
bull Proteger el computador con un anti-spyware- Programar un anaacutelisis perioacutedico (1 vez por semana)- Descargar las ultimas versiones (funcioacuten ldquoUpdaterdquo)- Activar la proteccioacuten ldquotiempo realrdquo de la base de ldquoregistryrdquo de Windows
bull No desactivar la funcionalidad ldquoanti-popuprdquo
bull No desactivar la funcionalidad ldquoanti-phishingrdquo (IE 7)
Seguridad de las redes
bull Actualizar perioacutedicamente Windows viacutea la funcionalidad ldquoWindows Updaterdquo
bull Limpiar perioacutedicamente los histoacutericos y la memoria sobre el disco duro (para la velocidad) Los cookies pueden permanecer activados (riesgo miacutenimo)
bull Por supuesto no consultar sitios conocidos para ser peligrosos (sitios de juegos ilegales de muacutesicas mp3 non autorizadas de venta de productos prohibidos)
bull En principio el navegador libro FIREFOX es conocido para ser menos sensible a los riesgos claacutesicos que Internet Explorer Pero en empresa y sobre Internet todas la aplicaciones WEB no son compatibles con FIREFOX
Seguridad de las redes
Taller
Consejos de configuracioacuten de Internet Explorer y Firefox
Utilizacioacuten de NetPrivacy
Anaacutelisis de comunicaciones non protegidas con Packetyser
(Busca Google)
Ficheros temporarios y histoacuterico (cdocuments and settingltusersgtlocal settings)
Seguridad de las redes
bullLa historia
- Creacioacuten de la nocioacuten de pagina Web en los antildeos 90 por Tim Berners Lee (responsable de la gestioacuten de las documentaciones del CERN en Ginebra)
- La idea ser capaz de integrar en una pagina de texto electroacutenico viacutenculos con otras paginas (importante para los artiacuteculos cientiacuteficos)
- La realizacioacuten creacioacuten del protocolo Hypertext y de la nocioacuten de URL (Uniform Ressource Locator)
- Marc Andreesseen (Universidad del Illinois) a evolucionado el protocolo insertando el grafico (MOSAIC)
SERVICIOS WEB - TECNOLOGIacuteAS DE BASE
Seguridad de las redes
bullLos principios HTTP
- Protocolo de intercambio entre el servidor y el navegador (HyperTextTransfert Protocol)
- Basado sobre los URL (httpIdPwdserverportpathpathfileparameters) utilizando uacutenicamente los 128 primeros coacutedigos US ascii
- ldquoStatelessrdquo El protocolo olvida todas las configuraciones del usuario cada vez que el navegador es cerrado =gt necesitad de otras tecnicas para guardar el contexto Re-escritura de los URL (ajuntando paraacutemetros id=xxxxxx) Paraacutemetros escondidos en la pagina Web (con el orden HTTP ldquopostrdquo) Cookies (un fichero de texto escrito sobre el computador cliente con
las informaciones de contexto)
Seguridad de las redes
bull Los principios contenido de un COOKIE
Nombre Nombre del cookie sobre el disco duro
Valor El valor de contexto necesario para el sitio Web consultado (uno por cookie)
Valididad Fecha de fin de vida Despueacutes esta fecha el navegador rechaza el acceso al cookie
Servidor(es) Lista de servidores autorizados a consultar el cookie
Pagina(s) Lista de paginas autorizadas a consultar el cookie
Asegurado True o False si True el cookie se puede consultar uacutenicamente con un acceso asegurado
Seguridad de las redes
bull Los principios HTML
- Lenguaje informaacutetico para escribir paginas Web (HyperTextMarkup Language)- El navegador es un interpretador de HTML- Siempre en evolucioacuten (norma actual = 40) publico
lthtmlgtltheadgtltTITLEgtUNEltTITLEgtltheadgtltFRAMESET COLS=0 FRAMEBORDER=NO
BORDER=0 FRAMESPACING=0gtltFRAME
SRC=seccionesUNEHOMEseccion_HTMLhtml NAME=menu FRAMEBORDER=NO MARGINWIDTH=0 MARGINHEIGHT=0 noresizeSCROLLING=AUTOgt
ltFRAME SRC=blankhtml NAME=____contenido FRAMEBORDER=NO noresize SCROLLING=AUTO MARGINWIDTH=0 MARGINHEIGHT=0gtltFRAMESETgtltNOFRAMESgt DescripcionltNOFRAMESgt
ltHTMLgt
Seguridad de las redes
bull Los principios limitaciones de HTML
- No interaccioacuten con el equipo cliente (histoacutericamente un lenguaje de presentacioacuten)pobre en funciones graficasPor eso creacioacuten de evoluciones a lado del lenguaje principal (para asegurar la compatibilidad) CSS XMLXSL DHTML
- Muy pobre en funcionalidades interactivas con el usuario (cliente inteligente) Utilizacioacuten de tecnologiacuteas complementarias Plug-In ActiveX JAVA Scripts y modelos de documentos
Seguridad de las redes
bull Los principios cliente inteligente
- 2 tecnologiacuteas compiladas Plug-ins ActiveX
- 2 tecnologiacuteas interpretadas Scripts Java
- La tecnologiacuteas compiladas son mas raacutepidas pero el programa descargado es especificado a el equipo
- Los plug-in y los componentes ActiveX son descargados y instalados una vez definitivamente con una programa de verificacioacuten automaacutetica de versioacuten
- Scripts y aplicaciones Java (applet) son descargadas cada vez que la memoria permanente del navegador es vaciada
Seguridad de las redes
bullLos principios PLUG-IN
- Especificaciones abiertas al puacuteblico- Desarrollado en C o C++- Un Plug-in para IE sobre Windows no puede funcionar en IE sobre
MacOS (compilado)- Los mas conocidos son los Plug-In multimedia
bullLos principios ActiveX
- Componentes Objetos (C++) proponiendo por Microsoft en su arquitectura COMDCOM
- Dedicados a Internet Explorer y Windows (existe una oferta para Unix Mac y sistemas IBM muy poco utilizada)
- Posibilidad de reutilizar los ActiveX integrados en programas Microsoft (MsOffice MsProjecthellip) y otros sobre el computador cliente
- Utilizados por numerosos proveedores de soluciones WEB
Seguridad de las redes
bullLos principios JAVA
- Especificaciones abiertas al puacuteblico una oferta de SUN- Interpretado (maquina virtual JAVA) por eso independiente de la
plataforma- Muy pesado en Kbits a descargar puede ser lento a la ejecucioacuten- Gestioacuten automaacutetica de versioacuten para las maquina virtual JAVA- Numerosos problemas de compatibilidad encontrados entre las
versiones- Posibilidad de crear componentes JAVA reutilizables (JAVA es un
lenguaje objeto) llamados JAVABEANS- Un lenguaje complejo a dominar para crear ldquoAppletsrdquo
httpjavasuncomdocsbookstutorial
Seguridad de las redes
bullLos principios servidor dinaacutemico
- Paginas estaacuteticas (guardadas sobre el disco duro del servidor) no pueden servir de apoyo para informaciones en tiempo real (horarios sitios de ventahellip)
- Necesitad de crear dinaacutemicamente paginas en la memoria del servidor
- 3 tecnologiacuteas estandartes script CGI propietarias de bajo nivel NSAPI ISAPI APACHE APIhellip propietarias de alto nivel ASP JAVA NET Coldfusion PHP JSPhellip
Seguridad de las redes
Taller
Demostraciones de Plug-In
Anaacutelisis de Cookies(cdocuments and settingltusersgtcookies)
Utilizacioacuten de un ldquoCookie Viewerrdquo
Seguridad de las redes
SERVICIOS WEB SEGURIDADbullLas necesidades- Identificar el usuario y sus autorizaciones- Asegurar los intercambios de informaciones- Prohibir la posibilidad de negar una transaccioacuten
bullLas soluciones- Utilizar un algoritmo de cifrado (PGP RSA DES TripleDES)- Integrar el cifrado en el protocolo HTTP (hecho por Netscape con su
oferta llamada Secure Socket Layer y integrada en la norma HTTPS)- Trabajar con claves de cifrado (certificado electroacutenico ndash norma X509) La
gestioacuten de las claves necesita la definicioacuten en la empresa de un PKI (Public Key Infrastructure)
- Utilizar sistemas transaccionales- Indicado al usuario en el navegador por siacutembolos
Seguridad de las redes
Cifrado y HTTPS
bullLos principios de los meacutetodos de cifrado
Clave simeacutetrica los paquetes son cifrados y descifrados con el mismo algoritmo y la misma clave numeacuterica (DES TripleDES)
- Clave asimeacutetrica los paquetes son cifrados con el mismo algoritmo pero la clave inicial no puede ser utilizada para invertir el proceso El descifrado necesita una clave uacutenica vinculada a la primera por relaciones matemaacuteticas (RSA PGP)
- La fuerza del coacutedigo depende de la complexidad de la(s) clave(s) (en numero de cifras)
Seguridad de las redes
bull Principio de intercambio de claves de cifrado para establecer una comunicacioacuten SSL
Generacioacuten de un juego de claves (1C1D)
Envioacute de la clave 1C (clave publica) sin cifrado
Generacioacuten de un juego de claves (2C2D)
1C
Cifrado de la clave 2C con 1C
Envioacute de la clave 2C cifrada (seguridad alta)2C (certificado electroacutenico)
Generacioacuten de una clave de cifrado para el Tuacutenel (CT)
Cifrado de la clave CT con 2C
Descifrado de la clave 2C con 1D (completamente secreta)
Envioacute de la clave CT (clave simeacutetrica) cifrada (seguridad alta) CT
Intercambio cifrado con CT Intercambio cifrado con CT
Descifrado de la clave CT con 2D (completamente secreta)
Seguridad de las redes
Taller
Historia de RSA firma digital y certificados X509
Anaacutelisis de comunicaciones cifradas en HTTPS con un banco
Anaacutelisis de certificados de seguridad
Seguridad de las redes
Seguridad y WEB 2
bullPropuesto en 2004 por OrsquoReilly Media (WEB 20)
bullUn nombre geneacuterico para los servicios nuevos de Internet de estos uacuteltimos antildeos
- Social Networking Sites- Folksonomy (como Wikipedia wikis blogs Youtubehellip)- Y otros sitios orientados relaciones humanas
bullEn general sitios con nivel de seguridad muy pobre sin control Riesgo de divulgacioacuten de datos confidenciales
Seguridad de las redes
Taller
Historia del concepto WEB2
Concepto y lista de ldquoRed Socialrdquo(Social Networking Sites)
Exploracioacuten de sitios WEB2wwwfinclucom delicious
wwwflickrcom wwwzooomrcomflofcomar
www43thingscom
Seguridad de las redes
Arquitecturas fiacutesicas de los modelos clienteservidor
Gestioacuten de Datos
Aplicacioacuten
Aplicacioacuten
Presentacioacuten
Tratamientosdistribuidos
Cliente
Servidor
ArquitecturaEn 2 niveles
ArquitecturaEn 3 niveles
Seguridad de las redes
Gestioacuten de Datos
Aplicacioacuten
Aplicacioacuten
Presentacioacuten
Tratamientosdistribuidos
Cliente
Servidor
ArquitecturaEn 4 niveles
Sgbd
Programasdedicados
Servidor http
Seguridad de las redes
Ventajas de los modelos ClienteServidor con tecnologiacuteas WEB
bull Apoyo de los sistemas heterogeacuteneos- Cliente Windows MacOs Unix (BSD Linux etchellip) celulares PDA- Servidor Programas disponibles sobre Unix Windows AS400hellip
bull Utilizacioacuten ideacutentica al dentro de la empresa y a traveacutes Internet
bull Utilizacioacuten simple a aprender para una persona quien tiene un acceso Internet
bull Posibilidad de crear un punto de acceso uacutenico para todas las aplicaciones de la empresa (poacutertico)
Seguridad de las redes
Arquitectura WEB - ejemplo practicoEthernet
Microsoft SQL
SERVER
Microsoft IIS +Aplicacioacuten WEB
dedicada desarrollada en Microsoft NET
Usuarios con Internet Explorer
Base de Datos
MiddlewareMicrosoftMDAC
ORACLE sgbd
Oracle
IBM Websphere +Aplicacioacuten WEB
dedicada desarrollada en
SUN Java
MiddlewareSUNJDBC
Seguridad de las redes
CLIENTES LIGEROSLIVIANOS NAVEGADORES WEB
sgbd
Programasdedicados
Servidor http
A
A
A
1 ndash Construccioacuten de la pagina
El servidor HTTP crea en su memoria una pagina WEB con los elementos enviados por los otros servidores La pagina puede contener componentes activos (activex applet java javascript vbscripthellip) y inertes (imagenes textoshellip)
Seguridad de las redes
Srv http
AA
2 ndash Recepcioacuten de la pagina
El servidor HTTP enviacutea la pagina elemento por elemento en la red El navegador recibe los componentes en el disco duro del cliente En el mismo tiempo la pagina es reconstruida en la memoria del navegador
A
cliente
A
A
Seguridad de las redes
3 ndash Interpretacioacuten de la pagina
El navegador presenta sobre la pantalla la pagina WEB y los elementos inertes Los componentes activos son enviados a las aplicaciones dedicadas a cada uno seguacuten el tipo
Navegador
A
A
A
Funcioacuten de presentacioacuten
Aplicaciones integradasA el navegador
Aplicacioacuten dedicadaa el navegador
descargada en opcioacuten
Funciones deejecucioacuten
Plug-in
Otras aplicaciones del computador cliente
Seguridad de las redes
bull Las informaciones son pegadas sobre el computador cliente- Mas raacutepido para recargar una pagina ya consultada- Falla de seguridad Una persona extranjera a la empresa puede consultar las informaciones Nunca olvidar vaciar la memoria permanente del navegador al fin del trabajo cuando se utiliza un computador publico
bull Todas las aplicaciones del cliente pueden ser utilizadas a traveacutes el navegador (Word Excel Adobe Acrobat Readerhellip)Por razoacuten de seguridad el navegador pregunta antes de ejecutar una aplicacioacuten no integrada cuando existe un riesgo (la totalidad de las funcionalidades siempre autorizadas es llamado ldquosandboxrdquo por analogia con el espacio protectado donde pueden jugar los nintildeos con arena)
bull Muchas aplicaciones ldquoPlug-Inrdquo disponiblesLas mas conocidas y utilizadas son FLASH PLAYER y JAVA Pero existen muchas otras (DIVX Player Google Tools Quicktime playerhellip)
Seguridad de las redes
Taller
Internet Explorer historia de un eacutexito
Firefox una alternativa
Seguridad de las redes
NAVEGADORES WEB Buenas practicasbull Respetar la configuracioacuten de seguridad- Nivel de seguridad por zona- Nivel de confidencialidad- Configuracioacuten de base de las opciones
bull Responder ldquoNordquo cada vez que el navigador pregunta una autorizacioacuten de ejecucioacuten de componentes activos no necesarios
bull Cerrar las ventanas de tipo ldquoPopuprdquo con la cruz Windows (o con ALT-F4) y no los botones propuestos cada vez que posible
bull No utilizar la gestioacuten automaacutetica de los formularios
bull Limpiar la memoria sobre el disco duro despueacutes utilizacioacuten sobre un computador publico
Seguridad de las redes
bull No descargar moacutedulos de aplicaciones no firmados por editores prestigiosos
bull Proteger el computador con un anti-virus- Programar un anaacutelisis perioacutedico (1 vez por semana)- Descargar las ultimas versiones (funcioacuten ldquoUpdaterdquo)- Activar la proteccioacuten ldquotiempo realrdquo
bull Proteger el computador con un anti-spyware- Programar un anaacutelisis perioacutedico (1 vez por semana)- Descargar las ultimas versiones (funcioacuten ldquoUpdaterdquo)- Activar la proteccioacuten ldquotiempo realrdquo de la base de ldquoregistryrdquo de Windows
bull No desactivar la funcionalidad ldquoanti-popuprdquo
bull No desactivar la funcionalidad ldquoanti-phishingrdquo (IE 7)
Seguridad de las redes
bull Actualizar perioacutedicamente Windows viacutea la funcionalidad ldquoWindows Updaterdquo
bull Limpiar perioacutedicamente los histoacutericos y la memoria sobre el disco duro (para la velocidad) Los cookies pueden permanecer activados (riesgo miacutenimo)
bull Por supuesto no consultar sitios conocidos para ser peligrosos (sitios de juegos ilegales de muacutesicas mp3 non autorizadas de venta de productos prohibidos)
bull En principio el navegador libro FIREFOX es conocido para ser menos sensible a los riesgos claacutesicos que Internet Explorer Pero en empresa y sobre Internet todas la aplicaciones WEB no son compatibles con FIREFOX
Seguridad de las redes
Taller
Consejos de configuracioacuten de Internet Explorer y Firefox
Utilizacioacuten de NetPrivacy
Anaacutelisis de comunicaciones non protegidas con Packetyser
(Busca Google)
Ficheros temporarios y histoacuterico (cdocuments and settingltusersgtlocal settings)
Seguridad de las redes
bullLa historia
- Creacioacuten de la nocioacuten de pagina Web en los antildeos 90 por Tim Berners Lee (responsable de la gestioacuten de las documentaciones del CERN en Ginebra)
- La idea ser capaz de integrar en una pagina de texto electroacutenico viacutenculos con otras paginas (importante para los artiacuteculos cientiacuteficos)
- La realizacioacuten creacioacuten del protocolo Hypertext y de la nocioacuten de URL (Uniform Ressource Locator)
- Marc Andreesseen (Universidad del Illinois) a evolucionado el protocolo insertando el grafico (MOSAIC)
SERVICIOS WEB - TECNOLOGIacuteAS DE BASE
Seguridad de las redes
bullLos principios HTTP
- Protocolo de intercambio entre el servidor y el navegador (HyperTextTransfert Protocol)
- Basado sobre los URL (httpIdPwdserverportpathpathfileparameters) utilizando uacutenicamente los 128 primeros coacutedigos US ascii
- ldquoStatelessrdquo El protocolo olvida todas las configuraciones del usuario cada vez que el navegador es cerrado =gt necesitad de otras tecnicas para guardar el contexto Re-escritura de los URL (ajuntando paraacutemetros id=xxxxxx) Paraacutemetros escondidos en la pagina Web (con el orden HTTP ldquopostrdquo) Cookies (un fichero de texto escrito sobre el computador cliente con
las informaciones de contexto)
Seguridad de las redes
bull Los principios contenido de un COOKIE
Nombre Nombre del cookie sobre el disco duro
Valor El valor de contexto necesario para el sitio Web consultado (uno por cookie)
Valididad Fecha de fin de vida Despueacutes esta fecha el navegador rechaza el acceso al cookie
Servidor(es) Lista de servidores autorizados a consultar el cookie
Pagina(s) Lista de paginas autorizadas a consultar el cookie
Asegurado True o False si True el cookie se puede consultar uacutenicamente con un acceso asegurado
Seguridad de las redes
bull Los principios HTML
- Lenguaje informaacutetico para escribir paginas Web (HyperTextMarkup Language)- El navegador es un interpretador de HTML- Siempre en evolucioacuten (norma actual = 40) publico
lthtmlgtltheadgtltTITLEgtUNEltTITLEgtltheadgtltFRAMESET COLS=0 FRAMEBORDER=NO
BORDER=0 FRAMESPACING=0gtltFRAME
SRC=seccionesUNEHOMEseccion_HTMLhtml NAME=menu FRAMEBORDER=NO MARGINWIDTH=0 MARGINHEIGHT=0 noresizeSCROLLING=AUTOgt
ltFRAME SRC=blankhtml NAME=____contenido FRAMEBORDER=NO noresize SCROLLING=AUTO MARGINWIDTH=0 MARGINHEIGHT=0gtltFRAMESETgtltNOFRAMESgt DescripcionltNOFRAMESgt
ltHTMLgt
Seguridad de las redes
bull Los principios limitaciones de HTML
- No interaccioacuten con el equipo cliente (histoacutericamente un lenguaje de presentacioacuten)pobre en funciones graficasPor eso creacioacuten de evoluciones a lado del lenguaje principal (para asegurar la compatibilidad) CSS XMLXSL DHTML
- Muy pobre en funcionalidades interactivas con el usuario (cliente inteligente) Utilizacioacuten de tecnologiacuteas complementarias Plug-In ActiveX JAVA Scripts y modelos de documentos
Seguridad de las redes
bull Los principios cliente inteligente
- 2 tecnologiacuteas compiladas Plug-ins ActiveX
- 2 tecnologiacuteas interpretadas Scripts Java
- La tecnologiacuteas compiladas son mas raacutepidas pero el programa descargado es especificado a el equipo
- Los plug-in y los componentes ActiveX son descargados y instalados una vez definitivamente con una programa de verificacioacuten automaacutetica de versioacuten
- Scripts y aplicaciones Java (applet) son descargadas cada vez que la memoria permanente del navegador es vaciada
Seguridad de las redes
bullLos principios PLUG-IN
- Especificaciones abiertas al puacuteblico- Desarrollado en C o C++- Un Plug-in para IE sobre Windows no puede funcionar en IE sobre
MacOS (compilado)- Los mas conocidos son los Plug-In multimedia
bullLos principios ActiveX
- Componentes Objetos (C++) proponiendo por Microsoft en su arquitectura COMDCOM
- Dedicados a Internet Explorer y Windows (existe una oferta para Unix Mac y sistemas IBM muy poco utilizada)
- Posibilidad de reutilizar los ActiveX integrados en programas Microsoft (MsOffice MsProjecthellip) y otros sobre el computador cliente
- Utilizados por numerosos proveedores de soluciones WEB
Seguridad de las redes
bullLos principios JAVA
- Especificaciones abiertas al puacuteblico una oferta de SUN- Interpretado (maquina virtual JAVA) por eso independiente de la
plataforma- Muy pesado en Kbits a descargar puede ser lento a la ejecucioacuten- Gestioacuten automaacutetica de versioacuten para las maquina virtual JAVA- Numerosos problemas de compatibilidad encontrados entre las
versiones- Posibilidad de crear componentes JAVA reutilizables (JAVA es un
lenguaje objeto) llamados JAVABEANS- Un lenguaje complejo a dominar para crear ldquoAppletsrdquo
httpjavasuncomdocsbookstutorial
Seguridad de las redes
bullLos principios servidor dinaacutemico
- Paginas estaacuteticas (guardadas sobre el disco duro del servidor) no pueden servir de apoyo para informaciones en tiempo real (horarios sitios de ventahellip)
- Necesitad de crear dinaacutemicamente paginas en la memoria del servidor
- 3 tecnologiacuteas estandartes script CGI propietarias de bajo nivel NSAPI ISAPI APACHE APIhellip propietarias de alto nivel ASP JAVA NET Coldfusion PHP JSPhellip
Seguridad de las redes
Taller
Demostraciones de Plug-In
Anaacutelisis de Cookies(cdocuments and settingltusersgtcookies)
Utilizacioacuten de un ldquoCookie Viewerrdquo
Seguridad de las redes
SERVICIOS WEB SEGURIDADbullLas necesidades- Identificar el usuario y sus autorizaciones- Asegurar los intercambios de informaciones- Prohibir la posibilidad de negar una transaccioacuten
bullLas soluciones- Utilizar un algoritmo de cifrado (PGP RSA DES TripleDES)- Integrar el cifrado en el protocolo HTTP (hecho por Netscape con su
oferta llamada Secure Socket Layer y integrada en la norma HTTPS)- Trabajar con claves de cifrado (certificado electroacutenico ndash norma X509) La
gestioacuten de las claves necesita la definicioacuten en la empresa de un PKI (Public Key Infrastructure)
- Utilizar sistemas transaccionales- Indicado al usuario en el navegador por siacutembolos
Seguridad de las redes
Cifrado y HTTPS
bullLos principios de los meacutetodos de cifrado
Clave simeacutetrica los paquetes son cifrados y descifrados con el mismo algoritmo y la misma clave numeacuterica (DES TripleDES)
- Clave asimeacutetrica los paquetes son cifrados con el mismo algoritmo pero la clave inicial no puede ser utilizada para invertir el proceso El descifrado necesita una clave uacutenica vinculada a la primera por relaciones matemaacuteticas (RSA PGP)
- La fuerza del coacutedigo depende de la complexidad de la(s) clave(s) (en numero de cifras)
Seguridad de las redes
bull Principio de intercambio de claves de cifrado para establecer una comunicacioacuten SSL
Generacioacuten de un juego de claves (1C1D)
Envioacute de la clave 1C (clave publica) sin cifrado
Generacioacuten de un juego de claves (2C2D)
1C
Cifrado de la clave 2C con 1C
Envioacute de la clave 2C cifrada (seguridad alta)2C (certificado electroacutenico)
Generacioacuten de una clave de cifrado para el Tuacutenel (CT)
Cifrado de la clave CT con 2C
Descifrado de la clave 2C con 1D (completamente secreta)
Envioacute de la clave CT (clave simeacutetrica) cifrada (seguridad alta) CT
Intercambio cifrado con CT Intercambio cifrado con CT
Descifrado de la clave CT con 2D (completamente secreta)
Seguridad de las redes
Taller
Historia de RSA firma digital y certificados X509
Anaacutelisis de comunicaciones cifradas en HTTPS con un banco
Anaacutelisis de certificados de seguridad
Seguridad de las redes
Seguridad y WEB 2
bullPropuesto en 2004 por OrsquoReilly Media (WEB 20)
bullUn nombre geneacuterico para los servicios nuevos de Internet de estos uacuteltimos antildeos
- Social Networking Sites- Folksonomy (como Wikipedia wikis blogs Youtubehellip)- Y otros sitios orientados relaciones humanas
bullEn general sitios con nivel de seguridad muy pobre sin control Riesgo de divulgacioacuten de datos confidenciales
Seguridad de las redes
Taller
Historia del concepto WEB2
Concepto y lista de ldquoRed Socialrdquo(Social Networking Sites)
Exploracioacuten de sitios WEB2wwwfinclucom delicious
wwwflickrcom wwwzooomrcomflofcomar
www43thingscom
Seguridad de las redes
Gestioacuten de Datos
Aplicacioacuten
Aplicacioacuten
Presentacioacuten
Tratamientosdistribuidos
Cliente
Servidor
ArquitecturaEn 4 niveles
Sgbd
Programasdedicados
Servidor http
Seguridad de las redes
Ventajas de los modelos ClienteServidor con tecnologiacuteas WEB
bull Apoyo de los sistemas heterogeacuteneos- Cliente Windows MacOs Unix (BSD Linux etchellip) celulares PDA- Servidor Programas disponibles sobre Unix Windows AS400hellip
bull Utilizacioacuten ideacutentica al dentro de la empresa y a traveacutes Internet
bull Utilizacioacuten simple a aprender para una persona quien tiene un acceso Internet
bull Posibilidad de crear un punto de acceso uacutenico para todas las aplicaciones de la empresa (poacutertico)
Seguridad de las redes
Arquitectura WEB - ejemplo practicoEthernet
Microsoft SQL
SERVER
Microsoft IIS +Aplicacioacuten WEB
dedicada desarrollada en Microsoft NET
Usuarios con Internet Explorer
Base de Datos
MiddlewareMicrosoftMDAC
ORACLE sgbd
Oracle
IBM Websphere +Aplicacioacuten WEB
dedicada desarrollada en
SUN Java
MiddlewareSUNJDBC
Seguridad de las redes
CLIENTES LIGEROSLIVIANOS NAVEGADORES WEB
sgbd
Programasdedicados
Servidor http
A
A
A
1 ndash Construccioacuten de la pagina
El servidor HTTP crea en su memoria una pagina WEB con los elementos enviados por los otros servidores La pagina puede contener componentes activos (activex applet java javascript vbscripthellip) y inertes (imagenes textoshellip)
Seguridad de las redes
Srv http
AA
2 ndash Recepcioacuten de la pagina
El servidor HTTP enviacutea la pagina elemento por elemento en la red El navegador recibe los componentes en el disco duro del cliente En el mismo tiempo la pagina es reconstruida en la memoria del navegador
A
cliente
A
A
Seguridad de las redes
3 ndash Interpretacioacuten de la pagina
El navegador presenta sobre la pantalla la pagina WEB y los elementos inertes Los componentes activos son enviados a las aplicaciones dedicadas a cada uno seguacuten el tipo
Navegador
A
A
A
Funcioacuten de presentacioacuten
Aplicaciones integradasA el navegador
Aplicacioacuten dedicadaa el navegador
descargada en opcioacuten
Funciones deejecucioacuten
Plug-in
Otras aplicaciones del computador cliente
Seguridad de las redes
bull Las informaciones son pegadas sobre el computador cliente- Mas raacutepido para recargar una pagina ya consultada- Falla de seguridad Una persona extranjera a la empresa puede consultar las informaciones Nunca olvidar vaciar la memoria permanente del navegador al fin del trabajo cuando se utiliza un computador publico
bull Todas las aplicaciones del cliente pueden ser utilizadas a traveacutes el navegador (Word Excel Adobe Acrobat Readerhellip)Por razoacuten de seguridad el navegador pregunta antes de ejecutar una aplicacioacuten no integrada cuando existe un riesgo (la totalidad de las funcionalidades siempre autorizadas es llamado ldquosandboxrdquo por analogia con el espacio protectado donde pueden jugar los nintildeos con arena)
bull Muchas aplicaciones ldquoPlug-Inrdquo disponiblesLas mas conocidas y utilizadas son FLASH PLAYER y JAVA Pero existen muchas otras (DIVX Player Google Tools Quicktime playerhellip)
Seguridad de las redes
Taller
Internet Explorer historia de un eacutexito
Firefox una alternativa
Seguridad de las redes
NAVEGADORES WEB Buenas practicasbull Respetar la configuracioacuten de seguridad- Nivel de seguridad por zona- Nivel de confidencialidad- Configuracioacuten de base de las opciones
bull Responder ldquoNordquo cada vez que el navigador pregunta una autorizacioacuten de ejecucioacuten de componentes activos no necesarios
bull Cerrar las ventanas de tipo ldquoPopuprdquo con la cruz Windows (o con ALT-F4) y no los botones propuestos cada vez que posible
bull No utilizar la gestioacuten automaacutetica de los formularios
bull Limpiar la memoria sobre el disco duro despueacutes utilizacioacuten sobre un computador publico
Seguridad de las redes
bull No descargar moacutedulos de aplicaciones no firmados por editores prestigiosos
bull Proteger el computador con un anti-virus- Programar un anaacutelisis perioacutedico (1 vez por semana)- Descargar las ultimas versiones (funcioacuten ldquoUpdaterdquo)- Activar la proteccioacuten ldquotiempo realrdquo
bull Proteger el computador con un anti-spyware- Programar un anaacutelisis perioacutedico (1 vez por semana)- Descargar las ultimas versiones (funcioacuten ldquoUpdaterdquo)- Activar la proteccioacuten ldquotiempo realrdquo de la base de ldquoregistryrdquo de Windows
bull No desactivar la funcionalidad ldquoanti-popuprdquo
bull No desactivar la funcionalidad ldquoanti-phishingrdquo (IE 7)
Seguridad de las redes
bull Actualizar perioacutedicamente Windows viacutea la funcionalidad ldquoWindows Updaterdquo
bull Limpiar perioacutedicamente los histoacutericos y la memoria sobre el disco duro (para la velocidad) Los cookies pueden permanecer activados (riesgo miacutenimo)
bull Por supuesto no consultar sitios conocidos para ser peligrosos (sitios de juegos ilegales de muacutesicas mp3 non autorizadas de venta de productos prohibidos)
bull En principio el navegador libro FIREFOX es conocido para ser menos sensible a los riesgos claacutesicos que Internet Explorer Pero en empresa y sobre Internet todas la aplicaciones WEB no son compatibles con FIREFOX
Seguridad de las redes
Taller
Consejos de configuracioacuten de Internet Explorer y Firefox
Utilizacioacuten de NetPrivacy
Anaacutelisis de comunicaciones non protegidas con Packetyser
(Busca Google)
Ficheros temporarios y histoacuterico (cdocuments and settingltusersgtlocal settings)
Seguridad de las redes
bullLa historia
- Creacioacuten de la nocioacuten de pagina Web en los antildeos 90 por Tim Berners Lee (responsable de la gestioacuten de las documentaciones del CERN en Ginebra)
- La idea ser capaz de integrar en una pagina de texto electroacutenico viacutenculos con otras paginas (importante para los artiacuteculos cientiacuteficos)
- La realizacioacuten creacioacuten del protocolo Hypertext y de la nocioacuten de URL (Uniform Ressource Locator)
- Marc Andreesseen (Universidad del Illinois) a evolucionado el protocolo insertando el grafico (MOSAIC)
SERVICIOS WEB - TECNOLOGIacuteAS DE BASE
Seguridad de las redes
bullLos principios HTTP
- Protocolo de intercambio entre el servidor y el navegador (HyperTextTransfert Protocol)
- Basado sobre los URL (httpIdPwdserverportpathpathfileparameters) utilizando uacutenicamente los 128 primeros coacutedigos US ascii
- ldquoStatelessrdquo El protocolo olvida todas las configuraciones del usuario cada vez que el navegador es cerrado =gt necesitad de otras tecnicas para guardar el contexto Re-escritura de los URL (ajuntando paraacutemetros id=xxxxxx) Paraacutemetros escondidos en la pagina Web (con el orden HTTP ldquopostrdquo) Cookies (un fichero de texto escrito sobre el computador cliente con
las informaciones de contexto)
Seguridad de las redes
bull Los principios contenido de un COOKIE
Nombre Nombre del cookie sobre el disco duro
Valor El valor de contexto necesario para el sitio Web consultado (uno por cookie)
Valididad Fecha de fin de vida Despueacutes esta fecha el navegador rechaza el acceso al cookie
Servidor(es) Lista de servidores autorizados a consultar el cookie
Pagina(s) Lista de paginas autorizadas a consultar el cookie
Asegurado True o False si True el cookie se puede consultar uacutenicamente con un acceso asegurado
Seguridad de las redes
bull Los principios HTML
- Lenguaje informaacutetico para escribir paginas Web (HyperTextMarkup Language)- El navegador es un interpretador de HTML- Siempre en evolucioacuten (norma actual = 40) publico
lthtmlgtltheadgtltTITLEgtUNEltTITLEgtltheadgtltFRAMESET COLS=0 FRAMEBORDER=NO
BORDER=0 FRAMESPACING=0gtltFRAME
SRC=seccionesUNEHOMEseccion_HTMLhtml NAME=menu FRAMEBORDER=NO MARGINWIDTH=0 MARGINHEIGHT=0 noresizeSCROLLING=AUTOgt
ltFRAME SRC=blankhtml NAME=____contenido FRAMEBORDER=NO noresize SCROLLING=AUTO MARGINWIDTH=0 MARGINHEIGHT=0gtltFRAMESETgtltNOFRAMESgt DescripcionltNOFRAMESgt
ltHTMLgt
Seguridad de las redes
bull Los principios limitaciones de HTML
- No interaccioacuten con el equipo cliente (histoacutericamente un lenguaje de presentacioacuten)pobre en funciones graficasPor eso creacioacuten de evoluciones a lado del lenguaje principal (para asegurar la compatibilidad) CSS XMLXSL DHTML
- Muy pobre en funcionalidades interactivas con el usuario (cliente inteligente) Utilizacioacuten de tecnologiacuteas complementarias Plug-In ActiveX JAVA Scripts y modelos de documentos
Seguridad de las redes
bull Los principios cliente inteligente
- 2 tecnologiacuteas compiladas Plug-ins ActiveX
- 2 tecnologiacuteas interpretadas Scripts Java
- La tecnologiacuteas compiladas son mas raacutepidas pero el programa descargado es especificado a el equipo
- Los plug-in y los componentes ActiveX son descargados y instalados una vez definitivamente con una programa de verificacioacuten automaacutetica de versioacuten
- Scripts y aplicaciones Java (applet) son descargadas cada vez que la memoria permanente del navegador es vaciada
Seguridad de las redes
bullLos principios PLUG-IN
- Especificaciones abiertas al puacuteblico- Desarrollado en C o C++- Un Plug-in para IE sobre Windows no puede funcionar en IE sobre
MacOS (compilado)- Los mas conocidos son los Plug-In multimedia
bullLos principios ActiveX
- Componentes Objetos (C++) proponiendo por Microsoft en su arquitectura COMDCOM
- Dedicados a Internet Explorer y Windows (existe una oferta para Unix Mac y sistemas IBM muy poco utilizada)
- Posibilidad de reutilizar los ActiveX integrados en programas Microsoft (MsOffice MsProjecthellip) y otros sobre el computador cliente
- Utilizados por numerosos proveedores de soluciones WEB
Seguridad de las redes
bullLos principios JAVA
- Especificaciones abiertas al puacuteblico una oferta de SUN- Interpretado (maquina virtual JAVA) por eso independiente de la
plataforma- Muy pesado en Kbits a descargar puede ser lento a la ejecucioacuten- Gestioacuten automaacutetica de versioacuten para las maquina virtual JAVA- Numerosos problemas de compatibilidad encontrados entre las
versiones- Posibilidad de crear componentes JAVA reutilizables (JAVA es un
lenguaje objeto) llamados JAVABEANS- Un lenguaje complejo a dominar para crear ldquoAppletsrdquo
httpjavasuncomdocsbookstutorial
Seguridad de las redes
bullLos principios servidor dinaacutemico
- Paginas estaacuteticas (guardadas sobre el disco duro del servidor) no pueden servir de apoyo para informaciones en tiempo real (horarios sitios de ventahellip)
- Necesitad de crear dinaacutemicamente paginas en la memoria del servidor
- 3 tecnologiacuteas estandartes script CGI propietarias de bajo nivel NSAPI ISAPI APACHE APIhellip propietarias de alto nivel ASP JAVA NET Coldfusion PHP JSPhellip
Seguridad de las redes
Taller
Demostraciones de Plug-In
Anaacutelisis de Cookies(cdocuments and settingltusersgtcookies)
Utilizacioacuten de un ldquoCookie Viewerrdquo
Seguridad de las redes
SERVICIOS WEB SEGURIDADbullLas necesidades- Identificar el usuario y sus autorizaciones- Asegurar los intercambios de informaciones- Prohibir la posibilidad de negar una transaccioacuten
bullLas soluciones- Utilizar un algoritmo de cifrado (PGP RSA DES TripleDES)- Integrar el cifrado en el protocolo HTTP (hecho por Netscape con su
oferta llamada Secure Socket Layer y integrada en la norma HTTPS)- Trabajar con claves de cifrado (certificado electroacutenico ndash norma X509) La
gestioacuten de las claves necesita la definicioacuten en la empresa de un PKI (Public Key Infrastructure)
- Utilizar sistemas transaccionales- Indicado al usuario en el navegador por siacutembolos
Seguridad de las redes
Cifrado y HTTPS
bullLos principios de los meacutetodos de cifrado
Clave simeacutetrica los paquetes son cifrados y descifrados con el mismo algoritmo y la misma clave numeacuterica (DES TripleDES)
- Clave asimeacutetrica los paquetes son cifrados con el mismo algoritmo pero la clave inicial no puede ser utilizada para invertir el proceso El descifrado necesita una clave uacutenica vinculada a la primera por relaciones matemaacuteticas (RSA PGP)
- La fuerza del coacutedigo depende de la complexidad de la(s) clave(s) (en numero de cifras)
Seguridad de las redes
bull Principio de intercambio de claves de cifrado para establecer una comunicacioacuten SSL
Generacioacuten de un juego de claves (1C1D)
Envioacute de la clave 1C (clave publica) sin cifrado
Generacioacuten de un juego de claves (2C2D)
1C
Cifrado de la clave 2C con 1C
Envioacute de la clave 2C cifrada (seguridad alta)2C (certificado electroacutenico)
Generacioacuten de una clave de cifrado para el Tuacutenel (CT)
Cifrado de la clave CT con 2C
Descifrado de la clave 2C con 1D (completamente secreta)
Envioacute de la clave CT (clave simeacutetrica) cifrada (seguridad alta) CT
Intercambio cifrado con CT Intercambio cifrado con CT
Descifrado de la clave CT con 2D (completamente secreta)
Seguridad de las redes
Taller
Historia de RSA firma digital y certificados X509
Anaacutelisis de comunicaciones cifradas en HTTPS con un banco
Anaacutelisis de certificados de seguridad
Seguridad de las redes
Seguridad y WEB 2
bullPropuesto en 2004 por OrsquoReilly Media (WEB 20)
bullUn nombre geneacuterico para los servicios nuevos de Internet de estos uacuteltimos antildeos
- Social Networking Sites- Folksonomy (como Wikipedia wikis blogs Youtubehellip)- Y otros sitios orientados relaciones humanas
bullEn general sitios con nivel de seguridad muy pobre sin control Riesgo de divulgacioacuten de datos confidenciales
Seguridad de las redes
Taller
Historia del concepto WEB2
Concepto y lista de ldquoRed Socialrdquo(Social Networking Sites)
Exploracioacuten de sitios WEB2wwwfinclucom delicious
wwwflickrcom wwwzooomrcomflofcomar
www43thingscom
Seguridad de las redes
Ventajas de los modelos ClienteServidor con tecnologiacuteas WEB
bull Apoyo de los sistemas heterogeacuteneos- Cliente Windows MacOs Unix (BSD Linux etchellip) celulares PDA- Servidor Programas disponibles sobre Unix Windows AS400hellip
bull Utilizacioacuten ideacutentica al dentro de la empresa y a traveacutes Internet
bull Utilizacioacuten simple a aprender para una persona quien tiene un acceso Internet
bull Posibilidad de crear un punto de acceso uacutenico para todas las aplicaciones de la empresa (poacutertico)
Seguridad de las redes
Arquitectura WEB - ejemplo practicoEthernet
Microsoft SQL
SERVER
Microsoft IIS +Aplicacioacuten WEB
dedicada desarrollada en Microsoft NET
Usuarios con Internet Explorer
Base de Datos
MiddlewareMicrosoftMDAC
ORACLE sgbd
Oracle
IBM Websphere +Aplicacioacuten WEB
dedicada desarrollada en
SUN Java
MiddlewareSUNJDBC
Seguridad de las redes
CLIENTES LIGEROSLIVIANOS NAVEGADORES WEB
sgbd
Programasdedicados
Servidor http
A
A
A
1 ndash Construccioacuten de la pagina
El servidor HTTP crea en su memoria una pagina WEB con los elementos enviados por los otros servidores La pagina puede contener componentes activos (activex applet java javascript vbscripthellip) y inertes (imagenes textoshellip)
Seguridad de las redes
Srv http
AA
2 ndash Recepcioacuten de la pagina
El servidor HTTP enviacutea la pagina elemento por elemento en la red El navegador recibe los componentes en el disco duro del cliente En el mismo tiempo la pagina es reconstruida en la memoria del navegador
A
cliente
A
A
Seguridad de las redes
3 ndash Interpretacioacuten de la pagina
El navegador presenta sobre la pantalla la pagina WEB y los elementos inertes Los componentes activos son enviados a las aplicaciones dedicadas a cada uno seguacuten el tipo
Navegador
A
A
A
Funcioacuten de presentacioacuten
Aplicaciones integradasA el navegador
Aplicacioacuten dedicadaa el navegador
descargada en opcioacuten
Funciones deejecucioacuten
Plug-in
Otras aplicaciones del computador cliente
Seguridad de las redes
bull Las informaciones son pegadas sobre el computador cliente- Mas raacutepido para recargar una pagina ya consultada- Falla de seguridad Una persona extranjera a la empresa puede consultar las informaciones Nunca olvidar vaciar la memoria permanente del navegador al fin del trabajo cuando se utiliza un computador publico
bull Todas las aplicaciones del cliente pueden ser utilizadas a traveacutes el navegador (Word Excel Adobe Acrobat Readerhellip)Por razoacuten de seguridad el navegador pregunta antes de ejecutar una aplicacioacuten no integrada cuando existe un riesgo (la totalidad de las funcionalidades siempre autorizadas es llamado ldquosandboxrdquo por analogia con el espacio protectado donde pueden jugar los nintildeos con arena)
bull Muchas aplicaciones ldquoPlug-Inrdquo disponiblesLas mas conocidas y utilizadas son FLASH PLAYER y JAVA Pero existen muchas otras (DIVX Player Google Tools Quicktime playerhellip)
Seguridad de las redes
Taller
Internet Explorer historia de un eacutexito
Firefox una alternativa
Seguridad de las redes
NAVEGADORES WEB Buenas practicasbull Respetar la configuracioacuten de seguridad- Nivel de seguridad por zona- Nivel de confidencialidad- Configuracioacuten de base de las opciones
bull Responder ldquoNordquo cada vez que el navigador pregunta una autorizacioacuten de ejecucioacuten de componentes activos no necesarios
bull Cerrar las ventanas de tipo ldquoPopuprdquo con la cruz Windows (o con ALT-F4) y no los botones propuestos cada vez que posible
bull No utilizar la gestioacuten automaacutetica de los formularios
bull Limpiar la memoria sobre el disco duro despueacutes utilizacioacuten sobre un computador publico
Seguridad de las redes
bull No descargar moacutedulos de aplicaciones no firmados por editores prestigiosos
bull Proteger el computador con un anti-virus- Programar un anaacutelisis perioacutedico (1 vez por semana)- Descargar las ultimas versiones (funcioacuten ldquoUpdaterdquo)- Activar la proteccioacuten ldquotiempo realrdquo
bull Proteger el computador con un anti-spyware- Programar un anaacutelisis perioacutedico (1 vez por semana)- Descargar las ultimas versiones (funcioacuten ldquoUpdaterdquo)- Activar la proteccioacuten ldquotiempo realrdquo de la base de ldquoregistryrdquo de Windows
bull No desactivar la funcionalidad ldquoanti-popuprdquo
bull No desactivar la funcionalidad ldquoanti-phishingrdquo (IE 7)
Seguridad de las redes
bull Actualizar perioacutedicamente Windows viacutea la funcionalidad ldquoWindows Updaterdquo
bull Limpiar perioacutedicamente los histoacutericos y la memoria sobre el disco duro (para la velocidad) Los cookies pueden permanecer activados (riesgo miacutenimo)
bull Por supuesto no consultar sitios conocidos para ser peligrosos (sitios de juegos ilegales de muacutesicas mp3 non autorizadas de venta de productos prohibidos)
bull En principio el navegador libro FIREFOX es conocido para ser menos sensible a los riesgos claacutesicos que Internet Explorer Pero en empresa y sobre Internet todas la aplicaciones WEB no son compatibles con FIREFOX
Seguridad de las redes
Taller
Consejos de configuracioacuten de Internet Explorer y Firefox
Utilizacioacuten de NetPrivacy
Anaacutelisis de comunicaciones non protegidas con Packetyser
(Busca Google)
Ficheros temporarios y histoacuterico (cdocuments and settingltusersgtlocal settings)
Seguridad de las redes
bullLa historia
- Creacioacuten de la nocioacuten de pagina Web en los antildeos 90 por Tim Berners Lee (responsable de la gestioacuten de las documentaciones del CERN en Ginebra)
- La idea ser capaz de integrar en una pagina de texto electroacutenico viacutenculos con otras paginas (importante para los artiacuteculos cientiacuteficos)
- La realizacioacuten creacioacuten del protocolo Hypertext y de la nocioacuten de URL (Uniform Ressource Locator)
- Marc Andreesseen (Universidad del Illinois) a evolucionado el protocolo insertando el grafico (MOSAIC)
SERVICIOS WEB - TECNOLOGIacuteAS DE BASE
Seguridad de las redes
bullLos principios HTTP
- Protocolo de intercambio entre el servidor y el navegador (HyperTextTransfert Protocol)
- Basado sobre los URL (httpIdPwdserverportpathpathfileparameters) utilizando uacutenicamente los 128 primeros coacutedigos US ascii
- ldquoStatelessrdquo El protocolo olvida todas las configuraciones del usuario cada vez que el navegador es cerrado =gt necesitad de otras tecnicas para guardar el contexto Re-escritura de los URL (ajuntando paraacutemetros id=xxxxxx) Paraacutemetros escondidos en la pagina Web (con el orden HTTP ldquopostrdquo) Cookies (un fichero de texto escrito sobre el computador cliente con
las informaciones de contexto)
Seguridad de las redes
bull Los principios contenido de un COOKIE
Nombre Nombre del cookie sobre el disco duro
Valor El valor de contexto necesario para el sitio Web consultado (uno por cookie)
Valididad Fecha de fin de vida Despueacutes esta fecha el navegador rechaza el acceso al cookie
Servidor(es) Lista de servidores autorizados a consultar el cookie
Pagina(s) Lista de paginas autorizadas a consultar el cookie
Asegurado True o False si True el cookie se puede consultar uacutenicamente con un acceso asegurado
Seguridad de las redes
bull Los principios HTML
- Lenguaje informaacutetico para escribir paginas Web (HyperTextMarkup Language)- El navegador es un interpretador de HTML- Siempre en evolucioacuten (norma actual = 40) publico
lthtmlgtltheadgtltTITLEgtUNEltTITLEgtltheadgtltFRAMESET COLS=0 FRAMEBORDER=NO
BORDER=0 FRAMESPACING=0gtltFRAME
SRC=seccionesUNEHOMEseccion_HTMLhtml NAME=menu FRAMEBORDER=NO MARGINWIDTH=0 MARGINHEIGHT=0 noresizeSCROLLING=AUTOgt
ltFRAME SRC=blankhtml NAME=____contenido FRAMEBORDER=NO noresize SCROLLING=AUTO MARGINWIDTH=0 MARGINHEIGHT=0gtltFRAMESETgtltNOFRAMESgt DescripcionltNOFRAMESgt
ltHTMLgt
Seguridad de las redes
bull Los principios limitaciones de HTML
- No interaccioacuten con el equipo cliente (histoacutericamente un lenguaje de presentacioacuten)pobre en funciones graficasPor eso creacioacuten de evoluciones a lado del lenguaje principal (para asegurar la compatibilidad) CSS XMLXSL DHTML
- Muy pobre en funcionalidades interactivas con el usuario (cliente inteligente) Utilizacioacuten de tecnologiacuteas complementarias Plug-In ActiveX JAVA Scripts y modelos de documentos
Seguridad de las redes
bull Los principios cliente inteligente
- 2 tecnologiacuteas compiladas Plug-ins ActiveX
- 2 tecnologiacuteas interpretadas Scripts Java
- La tecnologiacuteas compiladas son mas raacutepidas pero el programa descargado es especificado a el equipo
- Los plug-in y los componentes ActiveX son descargados y instalados una vez definitivamente con una programa de verificacioacuten automaacutetica de versioacuten
- Scripts y aplicaciones Java (applet) son descargadas cada vez que la memoria permanente del navegador es vaciada
Seguridad de las redes
bullLos principios PLUG-IN
- Especificaciones abiertas al puacuteblico- Desarrollado en C o C++- Un Plug-in para IE sobre Windows no puede funcionar en IE sobre
MacOS (compilado)- Los mas conocidos son los Plug-In multimedia
bullLos principios ActiveX
- Componentes Objetos (C++) proponiendo por Microsoft en su arquitectura COMDCOM
- Dedicados a Internet Explorer y Windows (existe una oferta para Unix Mac y sistemas IBM muy poco utilizada)
- Posibilidad de reutilizar los ActiveX integrados en programas Microsoft (MsOffice MsProjecthellip) y otros sobre el computador cliente
- Utilizados por numerosos proveedores de soluciones WEB
Seguridad de las redes
bullLos principios JAVA
- Especificaciones abiertas al puacuteblico una oferta de SUN- Interpretado (maquina virtual JAVA) por eso independiente de la
plataforma- Muy pesado en Kbits a descargar puede ser lento a la ejecucioacuten- Gestioacuten automaacutetica de versioacuten para las maquina virtual JAVA- Numerosos problemas de compatibilidad encontrados entre las
versiones- Posibilidad de crear componentes JAVA reutilizables (JAVA es un
lenguaje objeto) llamados JAVABEANS- Un lenguaje complejo a dominar para crear ldquoAppletsrdquo
httpjavasuncomdocsbookstutorial
Seguridad de las redes
bullLos principios servidor dinaacutemico
- Paginas estaacuteticas (guardadas sobre el disco duro del servidor) no pueden servir de apoyo para informaciones en tiempo real (horarios sitios de ventahellip)
- Necesitad de crear dinaacutemicamente paginas en la memoria del servidor
- 3 tecnologiacuteas estandartes script CGI propietarias de bajo nivel NSAPI ISAPI APACHE APIhellip propietarias de alto nivel ASP JAVA NET Coldfusion PHP JSPhellip
Seguridad de las redes
Taller
Demostraciones de Plug-In
Anaacutelisis de Cookies(cdocuments and settingltusersgtcookies)
Utilizacioacuten de un ldquoCookie Viewerrdquo
Seguridad de las redes
SERVICIOS WEB SEGURIDADbullLas necesidades- Identificar el usuario y sus autorizaciones- Asegurar los intercambios de informaciones- Prohibir la posibilidad de negar una transaccioacuten
bullLas soluciones- Utilizar un algoritmo de cifrado (PGP RSA DES TripleDES)- Integrar el cifrado en el protocolo HTTP (hecho por Netscape con su
oferta llamada Secure Socket Layer y integrada en la norma HTTPS)- Trabajar con claves de cifrado (certificado electroacutenico ndash norma X509) La
gestioacuten de las claves necesita la definicioacuten en la empresa de un PKI (Public Key Infrastructure)
- Utilizar sistemas transaccionales- Indicado al usuario en el navegador por siacutembolos
Seguridad de las redes
Cifrado y HTTPS
bullLos principios de los meacutetodos de cifrado
Clave simeacutetrica los paquetes son cifrados y descifrados con el mismo algoritmo y la misma clave numeacuterica (DES TripleDES)
- Clave asimeacutetrica los paquetes son cifrados con el mismo algoritmo pero la clave inicial no puede ser utilizada para invertir el proceso El descifrado necesita una clave uacutenica vinculada a la primera por relaciones matemaacuteticas (RSA PGP)
- La fuerza del coacutedigo depende de la complexidad de la(s) clave(s) (en numero de cifras)
Seguridad de las redes
bull Principio de intercambio de claves de cifrado para establecer una comunicacioacuten SSL
Generacioacuten de un juego de claves (1C1D)
Envioacute de la clave 1C (clave publica) sin cifrado
Generacioacuten de un juego de claves (2C2D)
1C
Cifrado de la clave 2C con 1C
Envioacute de la clave 2C cifrada (seguridad alta)2C (certificado electroacutenico)
Generacioacuten de una clave de cifrado para el Tuacutenel (CT)
Cifrado de la clave CT con 2C
Descifrado de la clave 2C con 1D (completamente secreta)
Envioacute de la clave CT (clave simeacutetrica) cifrada (seguridad alta) CT
Intercambio cifrado con CT Intercambio cifrado con CT
Descifrado de la clave CT con 2D (completamente secreta)
Seguridad de las redes
Taller
Historia de RSA firma digital y certificados X509
Anaacutelisis de comunicaciones cifradas en HTTPS con un banco
Anaacutelisis de certificados de seguridad
Seguridad de las redes
Seguridad y WEB 2
bullPropuesto en 2004 por OrsquoReilly Media (WEB 20)
bullUn nombre geneacuterico para los servicios nuevos de Internet de estos uacuteltimos antildeos
- Social Networking Sites- Folksonomy (como Wikipedia wikis blogs Youtubehellip)- Y otros sitios orientados relaciones humanas
bullEn general sitios con nivel de seguridad muy pobre sin control Riesgo de divulgacioacuten de datos confidenciales
Seguridad de las redes
Taller
Historia del concepto WEB2
Concepto y lista de ldquoRed Socialrdquo(Social Networking Sites)
Exploracioacuten de sitios WEB2wwwfinclucom delicious
wwwflickrcom wwwzooomrcomflofcomar
www43thingscom
Seguridad de las redes
Arquitectura WEB - ejemplo practicoEthernet
Microsoft SQL
SERVER
Microsoft IIS +Aplicacioacuten WEB
dedicada desarrollada en Microsoft NET
Usuarios con Internet Explorer
Base de Datos
MiddlewareMicrosoftMDAC
ORACLE sgbd
Oracle
IBM Websphere +Aplicacioacuten WEB
dedicada desarrollada en
SUN Java
MiddlewareSUNJDBC
Seguridad de las redes
CLIENTES LIGEROSLIVIANOS NAVEGADORES WEB
sgbd
Programasdedicados
Servidor http
A
A
A
1 ndash Construccioacuten de la pagina
El servidor HTTP crea en su memoria una pagina WEB con los elementos enviados por los otros servidores La pagina puede contener componentes activos (activex applet java javascript vbscripthellip) y inertes (imagenes textoshellip)
Seguridad de las redes
Srv http
AA
2 ndash Recepcioacuten de la pagina
El servidor HTTP enviacutea la pagina elemento por elemento en la red El navegador recibe los componentes en el disco duro del cliente En el mismo tiempo la pagina es reconstruida en la memoria del navegador
A
cliente
A
A
Seguridad de las redes
3 ndash Interpretacioacuten de la pagina
El navegador presenta sobre la pantalla la pagina WEB y los elementos inertes Los componentes activos son enviados a las aplicaciones dedicadas a cada uno seguacuten el tipo
Navegador
A
A
A
Funcioacuten de presentacioacuten
Aplicaciones integradasA el navegador
Aplicacioacuten dedicadaa el navegador
descargada en opcioacuten
Funciones deejecucioacuten
Plug-in
Otras aplicaciones del computador cliente
Seguridad de las redes
bull Las informaciones son pegadas sobre el computador cliente- Mas raacutepido para recargar una pagina ya consultada- Falla de seguridad Una persona extranjera a la empresa puede consultar las informaciones Nunca olvidar vaciar la memoria permanente del navegador al fin del trabajo cuando se utiliza un computador publico
bull Todas las aplicaciones del cliente pueden ser utilizadas a traveacutes el navegador (Word Excel Adobe Acrobat Readerhellip)Por razoacuten de seguridad el navegador pregunta antes de ejecutar una aplicacioacuten no integrada cuando existe un riesgo (la totalidad de las funcionalidades siempre autorizadas es llamado ldquosandboxrdquo por analogia con el espacio protectado donde pueden jugar los nintildeos con arena)
bull Muchas aplicaciones ldquoPlug-Inrdquo disponiblesLas mas conocidas y utilizadas son FLASH PLAYER y JAVA Pero existen muchas otras (DIVX Player Google Tools Quicktime playerhellip)
Seguridad de las redes
Taller
Internet Explorer historia de un eacutexito
Firefox una alternativa
Seguridad de las redes
NAVEGADORES WEB Buenas practicasbull Respetar la configuracioacuten de seguridad- Nivel de seguridad por zona- Nivel de confidencialidad- Configuracioacuten de base de las opciones
bull Responder ldquoNordquo cada vez que el navigador pregunta una autorizacioacuten de ejecucioacuten de componentes activos no necesarios
bull Cerrar las ventanas de tipo ldquoPopuprdquo con la cruz Windows (o con ALT-F4) y no los botones propuestos cada vez que posible
bull No utilizar la gestioacuten automaacutetica de los formularios
bull Limpiar la memoria sobre el disco duro despueacutes utilizacioacuten sobre un computador publico
Seguridad de las redes
bull No descargar moacutedulos de aplicaciones no firmados por editores prestigiosos
bull Proteger el computador con un anti-virus- Programar un anaacutelisis perioacutedico (1 vez por semana)- Descargar las ultimas versiones (funcioacuten ldquoUpdaterdquo)- Activar la proteccioacuten ldquotiempo realrdquo
bull Proteger el computador con un anti-spyware- Programar un anaacutelisis perioacutedico (1 vez por semana)- Descargar las ultimas versiones (funcioacuten ldquoUpdaterdquo)- Activar la proteccioacuten ldquotiempo realrdquo de la base de ldquoregistryrdquo de Windows
bull No desactivar la funcionalidad ldquoanti-popuprdquo
bull No desactivar la funcionalidad ldquoanti-phishingrdquo (IE 7)
Seguridad de las redes
bull Actualizar perioacutedicamente Windows viacutea la funcionalidad ldquoWindows Updaterdquo
bull Limpiar perioacutedicamente los histoacutericos y la memoria sobre el disco duro (para la velocidad) Los cookies pueden permanecer activados (riesgo miacutenimo)
bull Por supuesto no consultar sitios conocidos para ser peligrosos (sitios de juegos ilegales de muacutesicas mp3 non autorizadas de venta de productos prohibidos)
bull En principio el navegador libro FIREFOX es conocido para ser menos sensible a los riesgos claacutesicos que Internet Explorer Pero en empresa y sobre Internet todas la aplicaciones WEB no son compatibles con FIREFOX
Seguridad de las redes
Taller
Consejos de configuracioacuten de Internet Explorer y Firefox
Utilizacioacuten de NetPrivacy
Anaacutelisis de comunicaciones non protegidas con Packetyser
(Busca Google)
Ficheros temporarios y histoacuterico (cdocuments and settingltusersgtlocal settings)
Seguridad de las redes
bullLa historia
- Creacioacuten de la nocioacuten de pagina Web en los antildeos 90 por Tim Berners Lee (responsable de la gestioacuten de las documentaciones del CERN en Ginebra)
- La idea ser capaz de integrar en una pagina de texto electroacutenico viacutenculos con otras paginas (importante para los artiacuteculos cientiacuteficos)
- La realizacioacuten creacioacuten del protocolo Hypertext y de la nocioacuten de URL (Uniform Ressource Locator)
- Marc Andreesseen (Universidad del Illinois) a evolucionado el protocolo insertando el grafico (MOSAIC)
SERVICIOS WEB - TECNOLOGIacuteAS DE BASE
Seguridad de las redes
bullLos principios HTTP
- Protocolo de intercambio entre el servidor y el navegador (HyperTextTransfert Protocol)
- Basado sobre los URL (httpIdPwdserverportpathpathfileparameters) utilizando uacutenicamente los 128 primeros coacutedigos US ascii
- ldquoStatelessrdquo El protocolo olvida todas las configuraciones del usuario cada vez que el navegador es cerrado =gt necesitad de otras tecnicas para guardar el contexto Re-escritura de los URL (ajuntando paraacutemetros id=xxxxxx) Paraacutemetros escondidos en la pagina Web (con el orden HTTP ldquopostrdquo) Cookies (un fichero de texto escrito sobre el computador cliente con
las informaciones de contexto)
Seguridad de las redes
bull Los principios contenido de un COOKIE
Nombre Nombre del cookie sobre el disco duro
Valor El valor de contexto necesario para el sitio Web consultado (uno por cookie)
Valididad Fecha de fin de vida Despueacutes esta fecha el navegador rechaza el acceso al cookie
Servidor(es) Lista de servidores autorizados a consultar el cookie
Pagina(s) Lista de paginas autorizadas a consultar el cookie
Asegurado True o False si True el cookie se puede consultar uacutenicamente con un acceso asegurado
Seguridad de las redes
bull Los principios HTML
- Lenguaje informaacutetico para escribir paginas Web (HyperTextMarkup Language)- El navegador es un interpretador de HTML- Siempre en evolucioacuten (norma actual = 40) publico
lthtmlgtltheadgtltTITLEgtUNEltTITLEgtltheadgtltFRAMESET COLS=0 FRAMEBORDER=NO
BORDER=0 FRAMESPACING=0gtltFRAME
SRC=seccionesUNEHOMEseccion_HTMLhtml NAME=menu FRAMEBORDER=NO MARGINWIDTH=0 MARGINHEIGHT=0 noresizeSCROLLING=AUTOgt
ltFRAME SRC=blankhtml NAME=____contenido FRAMEBORDER=NO noresize SCROLLING=AUTO MARGINWIDTH=0 MARGINHEIGHT=0gtltFRAMESETgtltNOFRAMESgt DescripcionltNOFRAMESgt
ltHTMLgt
Seguridad de las redes
bull Los principios limitaciones de HTML
- No interaccioacuten con el equipo cliente (histoacutericamente un lenguaje de presentacioacuten)pobre en funciones graficasPor eso creacioacuten de evoluciones a lado del lenguaje principal (para asegurar la compatibilidad) CSS XMLXSL DHTML
- Muy pobre en funcionalidades interactivas con el usuario (cliente inteligente) Utilizacioacuten de tecnologiacuteas complementarias Plug-In ActiveX JAVA Scripts y modelos de documentos
Seguridad de las redes
bull Los principios cliente inteligente
- 2 tecnologiacuteas compiladas Plug-ins ActiveX
- 2 tecnologiacuteas interpretadas Scripts Java
- La tecnologiacuteas compiladas son mas raacutepidas pero el programa descargado es especificado a el equipo
- Los plug-in y los componentes ActiveX son descargados y instalados una vez definitivamente con una programa de verificacioacuten automaacutetica de versioacuten
- Scripts y aplicaciones Java (applet) son descargadas cada vez que la memoria permanente del navegador es vaciada
Seguridad de las redes
bullLos principios PLUG-IN
- Especificaciones abiertas al puacuteblico- Desarrollado en C o C++- Un Plug-in para IE sobre Windows no puede funcionar en IE sobre
MacOS (compilado)- Los mas conocidos son los Plug-In multimedia
bullLos principios ActiveX
- Componentes Objetos (C++) proponiendo por Microsoft en su arquitectura COMDCOM
- Dedicados a Internet Explorer y Windows (existe una oferta para Unix Mac y sistemas IBM muy poco utilizada)
- Posibilidad de reutilizar los ActiveX integrados en programas Microsoft (MsOffice MsProjecthellip) y otros sobre el computador cliente
- Utilizados por numerosos proveedores de soluciones WEB
Seguridad de las redes
bullLos principios JAVA
- Especificaciones abiertas al puacuteblico una oferta de SUN- Interpretado (maquina virtual JAVA) por eso independiente de la
plataforma- Muy pesado en Kbits a descargar puede ser lento a la ejecucioacuten- Gestioacuten automaacutetica de versioacuten para las maquina virtual JAVA- Numerosos problemas de compatibilidad encontrados entre las
versiones- Posibilidad de crear componentes JAVA reutilizables (JAVA es un
lenguaje objeto) llamados JAVABEANS- Un lenguaje complejo a dominar para crear ldquoAppletsrdquo
httpjavasuncomdocsbookstutorial
Seguridad de las redes
bullLos principios servidor dinaacutemico
- Paginas estaacuteticas (guardadas sobre el disco duro del servidor) no pueden servir de apoyo para informaciones en tiempo real (horarios sitios de ventahellip)
- Necesitad de crear dinaacutemicamente paginas en la memoria del servidor
- 3 tecnologiacuteas estandartes script CGI propietarias de bajo nivel NSAPI ISAPI APACHE APIhellip propietarias de alto nivel ASP JAVA NET Coldfusion PHP JSPhellip
Seguridad de las redes
Taller
Demostraciones de Plug-In
Anaacutelisis de Cookies(cdocuments and settingltusersgtcookies)
Utilizacioacuten de un ldquoCookie Viewerrdquo
Seguridad de las redes
SERVICIOS WEB SEGURIDADbullLas necesidades- Identificar el usuario y sus autorizaciones- Asegurar los intercambios de informaciones- Prohibir la posibilidad de negar una transaccioacuten
bullLas soluciones- Utilizar un algoritmo de cifrado (PGP RSA DES TripleDES)- Integrar el cifrado en el protocolo HTTP (hecho por Netscape con su
oferta llamada Secure Socket Layer y integrada en la norma HTTPS)- Trabajar con claves de cifrado (certificado electroacutenico ndash norma X509) La
gestioacuten de las claves necesita la definicioacuten en la empresa de un PKI (Public Key Infrastructure)
- Utilizar sistemas transaccionales- Indicado al usuario en el navegador por siacutembolos
Seguridad de las redes
Cifrado y HTTPS
bullLos principios de los meacutetodos de cifrado
Clave simeacutetrica los paquetes son cifrados y descifrados con el mismo algoritmo y la misma clave numeacuterica (DES TripleDES)
- Clave asimeacutetrica los paquetes son cifrados con el mismo algoritmo pero la clave inicial no puede ser utilizada para invertir el proceso El descifrado necesita una clave uacutenica vinculada a la primera por relaciones matemaacuteticas (RSA PGP)
- La fuerza del coacutedigo depende de la complexidad de la(s) clave(s) (en numero de cifras)
Seguridad de las redes
bull Principio de intercambio de claves de cifrado para establecer una comunicacioacuten SSL
Generacioacuten de un juego de claves (1C1D)
Envioacute de la clave 1C (clave publica) sin cifrado
Generacioacuten de un juego de claves (2C2D)
1C
Cifrado de la clave 2C con 1C
Envioacute de la clave 2C cifrada (seguridad alta)2C (certificado electroacutenico)
Generacioacuten de una clave de cifrado para el Tuacutenel (CT)
Cifrado de la clave CT con 2C
Descifrado de la clave 2C con 1D (completamente secreta)
Envioacute de la clave CT (clave simeacutetrica) cifrada (seguridad alta) CT
Intercambio cifrado con CT Intercambio cifrado con CT
Descifrado de la clave CT con 2D (completamente secreta)
Seguridad de las redes
Taller
Historia de RSA firma digital y certificados X509
Anaacutelisis de comunicaciones cifradas en HTTPS con un banco
Anaacutelisis de certificados de seguridad
Seguridad de las redes
Seguridad y WEB 2
bullPropuesto en 2004 por OrsquoReilly Media (WEB 20)
bullUn nombre geneacuterico para los servicios nuevos de Internet de estos uacuteltimos antildeos
- Social Networking Sites- Folksonomy (como Wikipedia wikis blogs Youtubehellip)- Y otros sitios orientados relaciones humanas
bullEn general sitios con nivel de seguridad muy pobre sin control Riesgo de divulgacioacuten de datos confidenciales
Seguridad de las redes
Taller
Historia del concepto WEB2
Concepto y lista de ldquoRed Socialrdquo(Social Networking Sites)
Exploracioacuten de sitios WEB2wwwfinclucom delicious
wwwflickrcom wwwzooomrcomflofcomar
www43thingscom
Seguridad de las redes
CLIENTES LIGEROSLIVIANOS NAVEGADORES WEB
sgbd
Programasdedicados
Servidor http
A
A
A
1 ndash Construccioacuten de la pagina
El servidor HTTP crea en su memoria una pagina WEB con los elementos enviados por los otros servidores La pagina puede contener componentes activos (activex applet java javascript vbscripthellip) y inertes (imagenes textoshellip)
Seguridad de las redes
Srv http
AA
2 ndash Recepcioacuten de la pagina
El servidor HTTP enviacutea la pagina elemento por elemento en la red El navegador recibe los componentes en el disco duro del cliente En el mismo tiempo la pagina es reconstruida en la memoria del navegador
A
cliente
A
A
Seguridad de las redes
3 ndash Interpretacioacuten de la pagina
El navegador presenta sobre la pantalla la pagina WEB y los elementos inertes Los componentes activos son enviados a las aplicaciones dedicadas a cada uno seguacuten el tipo
Navegador
A
A
A
Funcioacuten de presentacioacuten
Aplicaciones integradasA el navegador
Aplicacioacuten dedicadaa el navegador
descargada en opcioacuten
Funciones deejecucioacuten
Plug-in
Otras aplicaciones del computador cliente
Seguridad de las redes
bull Las informaciones son pegadas sobre el computador cliente- Mas raacutepido para recargar una pagina ya consultada- Falla de seguridad Una persona extranjera a la empresa puede consultar las informaciones Nunca olvidar vaciar la memoria permanente del navegador al fin del trabajo cuando se utiliza un computador publico
bull Todas las aplicaciones del cliente pueden ser utilizadas a traveacutes el navegador (Word Excel Adobe Acrobat Readerhellip)Por razoacuten de seguridad el navegador pregunta antes de ejecutar una aplicacioacuten no integrada cuando existe un riesgo (la totalidad de las funcionalidades siempre autorizadas es llamado ldquosandboxrdquo por analogia con el espacio protectado donde pueden jugar los nintildeos con arena)
bull Muchas aplicaciones ldquoPlug-Inrdquo disponiblesLas mas conocidas y utilizadas son FLASH PLAYER y JAVA Pero existen muchas otras (DIVX Player Google Tools Quicktime playerhellip)
Seguridad de las redes
Taller
Internet Explorer historia de un eacutexito
Firefox una alternativa
Seguridad de las redes
NAVEGADORES WEB Buenas practicasbull Respetar la configuracioacuten de seguridad- Nivel de seguridad por zona- Nivel de confidencialidad- Configuracioacuten de base de las opciones
bull Responder ldquoNordquo cada vez que el navigador pregunta una autorizacioacuten de ejecucioacuten de componentes activos no necesarios
bull Cerrar las ventanas de tipo ldquoPopuprdquo con la cruz Windows (o con ALT-F4) y no los botones propuestos cada vez que posible
bull No utilizar la gestioacuten automaacutetica de los formularios
bull Limpiar la memoria sobre el disco duro despueacutes utilizacioacuten sobre un computador publico
Seguridad de las redes
bull No descargar moacutedulos de aplicaciones no firmados por editores prestigiosos
bull Proteger el computador con un anti-virus- Programar un anaacutelisis perioacutedico (1 vez por semana)- Descargar las ultimas versiones (funcioacuten ldquoUpdaterdquo)- Activar la proteccioacuten ldquotiempo realrdquo
bull Proteger el computador con un anti-spyware- Programar un anaacutelisis perioacutedico (1 vez por semana)- Descargar las ultimas versiones (funcioacuten ldquoUpdaterdquo)- Activar la proteccioacuten ldquotiempo realrdquo de la base de ldquoregistryrdquo de Windows
bull No desactivar la funcionalidad ldquoanti-popuprdquo
bull No desactivar la funcionalidad ldquoanti-phishingrdquo (IE 7)
Seguridad de las redes
bull Actualizar perioacutedicamente Windows viacutea la funcionalidad ldquoWindows Updaterdquo
bull Limpiar perioacutedicamente los histoacutericos y la memoria sobre el disco duro (para la velocidad) Los cookies pueden permanecer activados (riesgo miacutenimo)
bull Por supuesto no consultar sitios conocidos para ser peligrosos (sitios de juegos ilegales de muacutesicas mp3 non autorizadas de venta de productos prohibidos)
bull En principio el navegador libro FIREFOX es conocido para ser menos sensible a los riesgos claacutesicos que Internet Explorer Pero en empresa y sobre Internet todas la aplicaciones WEB no son compatibles con FIREFOX
Seguridad de las redes
Taller
Consejos de configuracioacuten de Internet Explorer y Firefox
Utilizacioacuten de NetPrivacy
Anaacutelisis de comunicaciones non protegidas con Packetyser
(Busca Google)
Ficheros temporarios y histoacuterico (cdocuments and settingltusersgtlocal settings)
Seguridad de las redes
bullLa historia
- Creacioacuten de la nocioacuten de pagina Web en los antildeos 90 por Tim Berners Lee (responsable de la gestioacuten de las documentaciones del CERN en Ginebra)
- La idea ser capaz de integrar en una pagina de texto electroacutenico viacutenculos con otras paginas (importante para los artiacuteculos cientiacuteficos)
- La realizacioacuten creacioacuten del protocolo Hypertext y de la nocioacuten de URL (Uniform Ressource Locator)
- Marc Andreesseen (Universidad del Illinois) a evolucionado el protocolo insertando el grafico (MOSAIC)
SERVICIOS WEB - TECNOLOGIacuteAS DE BASE
Seguridad de las redes
bullLos principios HTTP
- Protocolo de intercambio entre el servidor y el navegador (HyperTextTransfert Protocol)
- Basado sobre los URL (httpIdPwdserverportpathpathfileparameters) utilizando uacutenicamente los 128 primeros coacutedigos US ascii
- ldquoStatelessrdquo El protocolo olvida todas las configuraciones del usuario cada vez que el navegador es cerrado =gt necesitad de otras tecnicas para guardar el contexto Re-escritura de los URL (ajuntando paraacutemetros id=xxxxxx) Paraacutemetros escondidos en la pagina Web (con el orden HTTP ldquopostrdquo) Cookies (un fichero de texto escrito sobre el computador cliente con
las informaciones de contexto)
Seguridad de las redes
bull Los principios contenido de un COOKIE
Nombre Nombre del cookie sobre el disco duro
Valor El valor de contexto necesario para el sitio Web consultado (uno por cookie)
Valididad Fecha de fin de vida Despueacutes esta fecha el navegador rechaza el acceso al cookie
Servidor(es) Lista de servidores autorizados a consultar el cookie
Pagina(s) Lista de paginas autorizadas a consultar el cookie
Asegurado True o False si True el cookie se puede consultar uacutenicamente con un acceso asegurado
Seguridad de las redes
bull Los principios HTML
- Lenguaje informaacutetico para escribir paginas Web (HyperTextMarkup Language)- El navegador es un interpretador de HTML- Siempre en evolucioacuten (norma actual = 40) publico
lthtmlgtltheadgtltTITLEgtUNEltTITLEgtltheadgtltFRAMESET COLS=0 FRAMEBORDER=NO
BORDER=0 FRAMESPACING=0gtltFRAME
SRC=seccionesUNEHOMEseccion_HTMLhtml NAME=menu FRAMEBORDER=NO MARGINWIDTH=0 MARGINHEIGHT=0 noresizeSCROLLING=AUTOgt
ltFRAME SRC=blankhtml NAME=____contenido FRAMEBORDER=NO noresize SCROLLING=AUTO MARGINWIDTH=0 MARGINHEIGHT=0gtltFRAMESETgtltNOFRAMESgt DescripcionltNOFRAMESgt
ltHTMLgt
Seguridad de las redes
bull Los principios limitaciones de HTML
- No interaccioacuten con el equipo cliente (histoacutericamente un lenguaje de presentacioacuten)pobre en funciones graficasPor eso creacioacuten de evoluciones a lado del lenguaje principal (para asegurar la compatibilidad) CSS XMLXSL DHTML
- Muy pobre en funcionalidades interactivas con el usuario (cliente inteligente) Utilizacioacuten de tecnologiacuteas complementarias Plug-In ActiveX JAVA Scripts y modelos de documentos
Seguridad de las redes
bull Los principios cliente inteligente
- 2 tecnologiacuteas compiladas Plug-ins ActiveX
- 2 tecnologiacuteas interpretadas Scripts Java
- La tecnologiacuteas compiladas son mas raacutepidas pero el programa descargado es especificado a el equipo
- Los plug-in y los componentes ActiveX son descargados y instalados una vez definitivamente con una programa de verificacioacuten automaacutetica de versioacuten
- Scripts y aplicaciones Java (applet) son descargadas cada vez que la memoria permanente del navegador es vaciada
Seguridad de las redes
bullLos principios PLUG-IN
- Especificaciones abiertas al puacuteblico- Desarrollado en C o C++- Un Plug-in para IE sobre Windows no puede funcionar en IE sobre
MacOS (compilado)- Los mas conocidos son los Plug-In multimedia
bullLos principios ActiveX
- Componentes Objetos (C++) proponiendo por Microsoft en su arquitectura COMDCOM
- Dedicados a Internet Explorer y Windows (existe una oferta para Unix Mac y sistemas IBM muy poco utilizada)
- Posibilidad de reutilizar los ActiveX integrados en programas Microsoft (MsOffice MsProjecthellip) y otros sobre el computador cliente
- Utilizados por numerosos proveedores de soluciones WEB
Seguridad de las redes
bullLos principios JAVA
- Especificaciones abiertas al puacuteblico una oferta de SUN- Interpretado (maquina virtual JAVA) por eso independiente de la
plataforma- Muy pesado en Kbits a descargar puede ser lento a la ejecucioacuten- Gestioacuten automaacutetica de versioacuten para las maquina virtual JAVA- Numerosos problemas de compatibilidad encontrados entre las
versiones- Posibilidad de crear componentes JAVA reutilizables (JAVA es un
lenguaje objeto) llamados JAVABEANS- Un lenguaje complejo a dominar para crear ldquoAppletsrdquo
httpjavasuncomdocsbookstutorial
Seguridad de las redes
bullLos principios servidor dinaacutemico
- Paginas estaacuteticas (guardadas sobre el disco duro del servidor) no pueden servir de apoyo para informaciones en tiempo real (horarios sitios de ventahellip)
- Necesitad de crear dinaacutemicamente paginas en la memoria del servidor
- 3 tecnologiacuteas estandartes script CGI propietarias de bajo nivel NSAPI ISAPI APACHE APIhellip propietarias de alto nivel ASP JAVA NET Coldfusion PHP JSPhellip
Seguridad de las redes
Taller
Demostraciones de Plug-In
Anaacutelisis de Cookies(cdocuments and settingltusersgtcookies)
Utilizacioacuten de un ldquoCookie Viewerrdquo
Seguridad de las redes
SERVICIOS WEB SEGURIDADbullLas necesidades- Identificar el usuario y sus autorizaciones- Asegurar los intercambios de informaciones- Prohibir la posibilidad de negar una transaccioacuten
bullLas soluciones- Utilizar un algoritmo de cifrado (PGP RSA DES TripleDES)- Integrar el cifrado en el protocolo HTTP (hecho por Netscape con su
oferta llamada Secure Socket Layer y integrada en la norma HTTPS)- Trabajar con claves de cifrado (certificado electroacutenico ndash norma X509) La
gestioacuten de las claves necesita la definicioacuten en la empresa de un PKI (Public Key Infrastructure)
- Utilizar sistemas transaccionales- Indicado al usuario en el navegador por siacutembolos
Seguridad de las redes
Cifrado y HTTPS
bullLos principios de los meacutetodos de cifrado
Clave simeacutetrica los paquetes son cifrados y descifrados con el mismo algoritmo y la misma clave numeacuterica (DES TripleDES)
- Clave asimeacutetrica los paquetes son cifrados con el mismo algoritmo pero la clave inicial no puede ser utilizada para invertir el proceso El descifrado necesita una clave uacutenica vinculada a la primera por relaciones matemaacuteticas (RSA PGP)
- La fuerza del coacutedigo depende de la complexidad de la(s) clave(s) (en numero de cifras)
Seguridad de las redes
bull Principio de intercambio de claves de cifrado para establecer una comunicacioacuten SSL
Generacioacuten de un juego de claves (1C1D)
Envioacute de la clave 1C (clave publica) sin cifrado
Generacioacuten de un juego de claves (2C2D)
1C
Cifrado de la clave 2C con 1C
Envioacute de la clave 2C cifrada (seguridad alta)2C (certificado electroacutenico)
Generacioacuten de una clave de cifrado para el Tuacutenel (CT)
Cifrado de la clave CT con 2C
Descifrado de la clave 2C con 1D (completamente secreta)
Envioacute de la clave CT (clave simeacutetrica) cifrada (seguridad alta) CT
Intercambio cifrado con CT Intercambio cifrado con CT
Descifrado de la clave CT con 2D (completamente secreta)
Seguridad de las redes
Taller
Historia de RSA firma digital y certificados X509
Anaacutelisis de comunicaciones cifradas en HTTPS con un banco
Anaacutelisis de certificados de seguridad
Seguridad de las redes
Seguridad y WEB 2
bullPropuesto en 2004 por OrsquoReilly Media (WEB 20)
bullUn nombre geneacuterico para los servicios nuevos de Internet de estos uacuteltimos antildeos
- Social Networking Sites- Folksonomy (como Wikipedia wikis blogs Youtubehellip)- Y otros sitios orientados relaciones humanas
bullEn general sitios con nivel de seguridad muy pobre sin control Riesgo de divulgacioacuten de datos confidenciales
Seguridad de las redes
Taller
Historia del concepto WEB2
Concepto y lista de ldquoRed Socialrdquo(Social Networking Sites)
Exploracioacuten de sitios WEB2wwwfinclucom delicious
wwwflickrcom wwwzooomrcomflofcomar
www43thingscom
Seguridad de las redes
Srv http
AA
2 ndash Recepcioacuten de la pagina
El servidor HTTP enviacutea la pagina elemento por elemento en la red El navegador recibe los componentes en el disco duro del cliente En el mismo tiempo la pagina es reconstruida en la memoria del navegador
A
cliente
A
A
Seguridad de las redes
3 ndash Interpretacioacuten de la pagina
El navegador presenta sobre la pantalla la pagina WEB y los elementos inertes Los componentes activos son enviados a las aplicaciones dedicadas a cada uno seguacuten el tipo
Navegador
A
A
A
Funcioacuten de presentacioacuten
Aplicaciones integradasA el navegador
Aplicacioacuten dedicadaa el navegador
descargada en opcioacuten
Funciones deejecucioacuten
Plug-in
Otras aplicaciones del computador cliente
Seguridad de las redes
bull Las informaciones son pegadas sobre el computador cliente- Mas raacutepido para recargar una pagina ya consultada- Falla de seguridad Una persona extranjera a la empresa puede consultar las informaciones Nunca olvidar vaciar la memoria permanente del navegador al fin del trabajo cuando se utiliza un computador publico
bull Todas las aplicaciones del cliente pueden ser utilizadas a traveacutes el navegador (Word Excel Adobe Acrobat Readerhellip)Por razoacuten de seguridad el navegador pregunta antes de ejecutar una aplicacioacuten no integrada cuando existe un riesgo (la totalidad de las funcionalidades siempre autorizadas es llamado ldquosandboxrdquo por analogia con el espacio protectado donde pueden jugar los nintildeos con arena)
bull Muchas aplicaciones ldquoPlug-Inrdquo disponiblesLas mas conocidas y utilizadas son FLASH PLAYER y JAVA Pero existen muchas otras (DIVX Player Google Tools Quicktime playerhellip)
Seguridad de las redes
Taller
Internet Explorer historia de un eacutexito
Firefox una alternativa
Seguridad de las redes
NAVEGADORES WEB Buenas practicasbull Respetar la configuracioacuten de seguridad- Nivel de seguridad por zona- Nivel de confidencialidad- Configuracioacuten de base de las opciones
bull Responder ldquoNordquo cada vez que el navigador pregunta una autorizacioacuten de ejecucioacuten de componentes activos no necesarios
bull Cerrar las ventanas de tipo ldquoPopuprdquo con la cruz Windows (o con ALT-F4) y no los botones propuestos cada vez que posible
bull No utilizar la gestioacuten automaacutetica de los formularios
bull Limpiar la memoria sobre el disco duro despueacutes utilizacioacuten sobre un computador publico
Seguridad de las redes
bull No descargar moacutedulos de aplicaciones no firmados por editores prestigiosos
bull Proteger el computador con un anti-virus- Programar un anaacutelisis perioacutedico (1 vez por semana)- Descargar las ultimas versiones (funcioacuten ldquoUpdaterdquo)- Activar la proteccioacuten ldquotiempo realrdquo
bull Proteger el computador con un anti-spyware- Programar un anaacutelisis perioacutedico (1 vez por semana)- Descargar las ultimas versiones (funcioacuten ldquoUpdaterdquo)- Activar la proteccioacuten ldquotiempo realrdquo de la base de ldquoregistryrdquo de Windows
bull No desactivar la funcionalidad ldquoanti-popuprdquo
bull No desactivar la funcionalidad ldquoanti-phishingrdquo (IE 7)
Seguridad de las redes
bull Actualizar perioacutedicamente Windows viacutea la funcionalidad ldquoWindows Updaterdquo
bull Limpiar perioacutedicamente los histoacutericos y la memoria sobre el disco duro (para la velocidad) Los cookies pueden permanecer activados (riesgo miacutenimo)
bull Por supuesto no consultar sitios conocidos para ser peligrosos (sitios de juegos ilegales de muacutesicas mp3 non autorizadas de venta de productos prohibidos)
bull En principio el navegador libro FIREFOX es conocido para ser menos sensible a los riesgos claacutesicos que Internet Explorer Pero en empresa y sobre Internet todas la aplicaciones WEB no son compatibles con FIREFOX
Seguridad de las redes
Taller
Consejos de configuracioacuten de Internet Explorer y Firefox
Utilizacioacuten de NetPrivacy
Anaacutelisis de comunicaciones non protegidas con Packetyser
(Busca Google)
Ficheros temporarios y histoacuterico (cdocuments and settingltusersgtlocal settings)
Seguridad de las redes
bullLa historia
- Creacioacuten de la nocioacuten de pagina Web en los antildeos 90 por Tim Berners Lee (responsable de la gestioacuten de las documentaciones del CERN en Ginebra)
- La idea ser capaz de integrar en una pagina de texto electroacutenico viacutenculos con otras paginas (importante para los artiacuteculos cientiacuteficos)
- La realizacioacuten creacioacuten del protocolo Hypertext y de la nocioacuten de URL (Uniform Ressource Locator)
- Marc Andreesseen (Universidad del Illinois) a evolucionado el protocolo insertando el grafico (MOSAIC)
SERVICIOS WEB - TECNOLOGIacuteAS DE BASE
Seguridad de las redes
bullLos principios HTTP
- Protocolo de intercambio entre el servidor y el navegador (HyperTextTransfert Protocol)
- Basado sobre los URL (httpIdPwdserverportpathpathfileparameters) utilizando uacutenicamente los 128 primeros coacutedigos US ascii
- ldquoStatelessrdquo El protocolo olvida todas las configuraciones del usuario cada vez que el navegador es cerrado =gt necesitad de otras tecnicas para guardar el contexto Re-escritura de los URL (ajuntando paraacutemetros id=xxxxxx) Paraacutemetros escondidos en la pagina Web (con el orden HTTP ldquopostrdquo) Cookies (un fichero de texto escrito sobre el computador cliente con
las informaciones de contexto)
Seguridad de las redes
bull Los principios contenido de un COOKIE
Nombre Nombre del cookie sobre el disco duro
Valor El valor de contexto necesario para el sitio Web consultado (uno por cookie)
Valididad Fecha de fin de vida Despueacutes esta fecha el navegador rechaza el acceso al cookie
Servidor(es) Lista de servidores autorizados a consultar el cookie
Pagina(s) Lista de paginas autorizadas a consultar el cookie
Asegurado True o False si True el cookie se puede consultar uacutenicamente con un acceso asegurado
Seguridad de las redes
bull Los principios HTML
- Lenguaje informaacutetico para escribir paginas Web (HyperTextMarkup Language)- El navegador es un interpretador de HTML- Siempre en evolucioacuten (norma actual = 40) publico
lthtmlgtltheadgtltTITLEgtUNEltTITLEgtltheadgtltFRAMESET COLS=0 FRAMEBORDER=NO
BORDER=0 FRAMESPACING=0gtltFRAME
SRC=seccionesUNEHOMEseccion_HTMLhtml NAME=menu FRAMEBORDER=NO MARGINWIDTH=0 MARGINHEIGHT=0 noresizeSCROLLING=AUTOgt
ltFRAME SRC=blankhtml NAME=____contenido FRAMEBORDER=NO noresize SCROLLING=AUTO MARGINWIDTH=0 MARGINHEIGHT=0gtltFRAMESETgtltNOFRAMESgt DescripcionltNOFRAMESgt
ltHTMLgt
Seguridad de las redes
bull Los principios limitaciones de HTML
- No interaccioacuten con el equipo cliente (histoacutericamente un lenguaje de presentacioacuten)pobre en funciones graficasPor eso creacioacuten de evoluciones a lado del lenguaje principal (para asegurar la compatibilidad) CSS XMLXSL DHTML
- Muy pobre en funcionalidades interactivas con el usuario (cliente inteligente) Utilizacioacuten de tecnologiacuteas complementarias Plug-In ActiveX JAVA Scripts y modelos de documentos
Seguridad de las redes
bull Los principios cliente inteligente
- 2 tecnologiacuteas compiladas Plug-ins ActiveX
- 2 tecnologiacuteas interpretadas Scripts Java
- La tecnologiacuteas compiladas son mas raacutepidas pero el programa descargado es especificado a el equipo
- Los plug-in y los componentes ActiveX son descargados y instalados una vez definitivamente con una programa de verificacioacuten automaacutetica de versioacuten
- Scripts y aplicaciones Java (applet) son descargadas cada vez que la memoria permanente del navegador es vaciada
Seguridad de las redes
bullLos principios PLUG-IN
- Especificaciones abiertas al puacuteblico- Desarrollado en C o C++- Un Plug-in para IE sobre Windows no puede funcionar en IE sobre
MacOS (compilado)- Los mas conocidos son los Plug-In multimedia
bullLos principios ActiveX
- Componentes Objetos (C++) proponiendo por Microsoft en su arquitectura COMDCOM
- Dedicados a Internet Explorer y Windows (existe una oferta para Unix Mac y sistemas IBM muy poco utilizada)
- Posibilidad de reutilizar los ActiveX integrados en programas Microsoft (MsOffice MsProjecthellip) y otros sobre el computador cliente
- Utilizados por numerosos proveedores de soluciones WEB
Seguridad de las redes
bullLos principios JAVA
- Especificaciones abiertas al puacuteblico una oferta de SUN- Interpretado (maquina virtual JAVA) por eso independiente de la
plataforma- Muy pesado en Kbits a descargar puede ser lento a la ejecucioacuten- Gestioacuten automaacutetica de versioacuten para las maquina virtual JAVA- Numerosos problemas de compatibilidad encontrados entre las
versiones- Posibilidad de crear componentes JAVA reutilizables (JAVA es un
lenguaje objeto) llamados JAVABEANS- Un lenguaje complejo a dominar para crear ldquoAppletsrdquo
httpjavasuncomdocsbookstutorial
Seguridad de las redes
bullLos principios servidor dinaacutemico
- Paginas estaacuteticas (guardadas sobre el disco duro del servidor) no pueden servir de apoyo para informaciones en tiempo real (horarios sitios de ventahellip)
- Necesitad de crear dinaacutemicamente paginas en la memoria del servidor
- 3 tecnologiacuteas estandartes script CGI propietarias de bajo nivel NSAPI ISAPI APACHE APIhellip propietarias de alto nivel ASP JAVA NET Coldfusion PHP JSPhellip
Seguridad de las redes
Taller
Demostraciones de Plug-In
Anaacutelisis de Cookies(cdocuments and settingltusersgtcookies)
Utilizacioacuten de un ldquoCookie Viewerrdquo
Seguridad de las redes
SERVICIOS WEB SEGURIDADbullLas necesidades- Identificar el usuario y sus autorizaciones- Asegurar los intercambios de informaciones- Prohibir la posibilidad de negar una transaccioacuten
bullLas soluciones- Utilizar un algoritmo de cifrado (PGP RSA DES TripleDES)- Integrar el cifrado en el protocolo HTTP (hecho por Netscape con su
oferta llamada Secure Socket Layer y integrada en la norma HTTPS)- Trabajar con claves de cifrado (certificado electroacutenico ndash norma X509) La
gestioacuten de las claves necesita la definicioacuten en la empresa de un PKI (Public Key Infrastructure)
- Utilizar sistemas transaccionales- Indicado al usuario en el navegador por siacutembolos
Seguridad de las redes
Cifrado y HTTPS
bullLos principios de los meacutetodos de cifrado
Clave simeacutetrica los paquetes son cifrados y descifrados con el mismo algoritmo y la misma clave numeacuterica (DES TripleDES)
- Clave asimeacutetrica los paquetes son cifrados con el mismo algoritmo pero la clave inicial no puede ser utilizada para invertir el proceso El descifrado necesita una clave uacutenica vinculada a la primera por relaciones matemaacuteticas (RSA PGP)
- La fuerza del coacutedigo depende de la complexidad de la(s) clave(s) (en numero de cifras)
Seguridad de las redes
bull Principio de intercambio de claves de cifrado para establecer una comunicacioacuten SSL
Generacioacuten de un juego de claves (1C1D)
Envioacute de la clave 1C (clave publica) sin cifrado
Generacioacuten de un juego de claves (2C2D)
1C
Cifrado de la clave 2C con 1C
Envioacute de la clave 2C cifrada (seguridad alta)2C (certificado electroacutenico)
Generacioacuten de una clave de cifrado para el Tuacutenel (CT)
Cifrado de la clave CT con 2C
Descifrado de la clave 2C con 1D (completamente secreta)
Envioacute de la clave CT (clave simeacutetrica) cifrada (seguridad alta) CT
Intercambio cifrado con CT Intercambio cifrado con CT
Descifrado de la clave CT con 2D (completamente secreta)
Seguridad de las redes
Taller
Historia de RSA firma digital y certificados X509
Anaacutelisis de comunicaciones cifradas en HTTPS con un banco
Anaacutelisis de certificados de seguridad
Seguridad de las redes
Seguridad y WEB 2
bullPropuesto en 2004 por OrsquoReilly Media (WEB 20)
bullUn nombre geneacuterico para los servicios nuevos de Internet de estos uacuteltimos antildeos
- Social Networking Sites- Folksonomy (como Wikipedia wikis blogs Youtubehellip)- Y otros sitios orientados relaciones humanas
bullEn general sitios con nivel de seguridad muy pobre sin control Riesgo de divulgacioacuten de datos confidenciales
Seguridad de las redes
Taller
Historia del concepto WEB2
Concepto y lista de ldquoRed Socialrdquo(Social Networking Sites)
Exploracioacuten de sitios WEB2wwwfinclucom delicious
wwwflickrcom wwwzooomrcomflofcomar
www43thingscom
Seguridad de las redes
3 ndash Interpretacioacuten de la pagina
El navegador presenta sobre la pantalla la pagina WEB y los elementos inertes Los componentes activos son enviados a las aplicaciones dedicadas a cada uno seguacuten el tipo
Navegador
A
A
A
Funcioacuten de presentacioacuten
Aplicaciones integradasA el navegador
Aplicacioacuten dedicadaa el navegador
descargada en opcioacuten
Funciones deejecucioacuten
Plug-in
Otras aplicaciones del computador cliente
Seguridad de las redes
bull Las informaciones son pegadas sobre el computador cliente- Mas raacutepido para recargar una pagina ya consultada- Falla de seguridad Una persona extranjera a la empresa puede consultar las informaciones Nunca olvidar vaciar la memoria permanente del navegador al fin del trabajo cuando se utiliza un computador publico
bull Todas las aplicaciones del cliente pueden ser utilizadas a traveacutes el navegador (Word Excel Adobe Acrobat Readerhellip)Por razoacuten de seguridad el navegador pregunta antes de ejecutar una aplicacioacuten no integrada cuando existe un riesgo (la totalidad de las funcionalidades siempre autorizadas es llamado ldquosandboxrdquo por analogia con el espacio protectado donde pueden jugar los nintildeos con arena)
bull Muchas aplicaciones ldquoPlug-Inrdquo disponiblesLas mas conocidas y utilizadas son FLASH PLAYER y JAVA Pero existen muchas otras (DIVX Player Google Tools Quicktime playerhellip)
Seguridad de las redes
Taller
Internet Explorer historia de un eacutexito
Firefox una alternativa
Seguridad de las redes
NAVEGADORES WEB Buenas practicasbull Respetar la configuracioacuten de seguridad- Nivel de seguridad por zona- Nivel de confidencialidad- Configuracioacuten de base de las opciones
bull Responder ldquoNordquo cada vez que el navigador pregunta una autorizacioacuten de ejecucioacuten de componentes activos no necesarios
bull Cerrar las ventanas de tipo ldquoPopuprdquo con la cruz Windows (o con ALT-F4) y no los botones propuestos cada vez que posible
bull No utilizar la gestioacuten automaacutetica de los formularios
bull Limpiar la memoria sobre el disco duro despueacutes utilizacioacuten sobre un computador publico
Seguridad de las redes
bull No descargar moacutedulos de aplicaciones no firmados por editores prestigiosos
bull Proteger el computador con un anti-virus- Programar un anaacutelisis perioacutedico (1 vez por semana)- Descargar las ultimas versiones (funcioacuten ldquoUpdaterdquo)- Activar la proteccioacuten ldquotiempo realrdquo
bull Proteger el computador con un anti-spyware- Programar un anaacutelisis perioacutedico (1 vez por semana)- Descargar las ultimas versiones (funcioacuten ldquoUpdaterdquo)- Activar la proteccioacuten ldquotiempo realrdquo de la base de ldquoregistryrdquo de Windows
bull No desactivar la funcionalidad ldquoanti-popuprdquo
bull No desactivar la funcionalidad ldquoanti-phishingrdquo (IE 7)
Seguridad de las redes
bull Actualizar perioacutedicamente Windows viacutea la funcionalidad ldquoWindows Updaterdquo
bull Limpiar perioacutedicamente los histoacutericos y la memoria sobre el disco duro (para la velocidad) Los cookies pueden permanecer activados (riesgo miacutenimo)
bull Por supuesto no consultar sitios conocidos para ser peligrosos (sitios de juegos ilegales de muacutesicas mp3 non autorizadas de venta de productos prohibidos)
bull En principio el navegador libro FIREFOX es conocido para ser menos sensible a los riesgos claacutesicos que Internet Explorer Pero en empresa y sobre Internet todas la aplicaciones WEB no son compatibles con FIREFOX
Seguridad de las redes
Taller
Consejos de configuracioacuten de Internet Explorer y Firefox
Utilizacioacuten de NetPrivacy
Anaacutelisis de comunicaciones non protegidas con Packetyser
(Busca Google)
Ficheros temporarios y histoacuterico (cdocuments and settingltusersgtlocal settings)
Seguridad de las redes
bullLa historia
- Creacioacuten de la nocioacuten de pagina Web en los antildeos 90 por Tim Berners Lee (responsable de la gestioacuten de las documentaciones del CERN en Ginebra)
- La idea ser capaz de integrar en una pagina de texto electroacutenico viacutenculos con otras paginas (importante para los artiacuteculos cientiacuteficos)
- La realizacioacuten creacioacuten del protocolo Hypertext y de la nocioacuten de URL (Uniform Ressource Locator)
- Marc Andreesseen (Universidad del Illinois) a evolucionado el protocolo insertando el grafico (MOSAIC)
SERVICIOS WEB - TECNOLOGIacuteAS DE BASE
Seguridad de las redes
bullLos principios HTTP
- Protocolo de intercambio entre el servidor y el navegador (HyperTextTransfert Protocol)
- Basado sobre los URL (httpIdPwdserverportpathpathfileparameters) utilizando uacutenicamente los 128 primeros coacutedigos US ascii
- ldquoStatelessrdquo El protocolo olvida todas las configuraciones del usuario cada vez que el navegador es cerrado =gt necesitad de otras tecnicas para guardar el contexto Re-escritura de los URL (ajuntando paraacutemetros id=xxxxxx) Paraacutemetros escondidos en la pagina Web (con el orden HTTP ldquopostrdquo) Cookies (un fichero de texto escrito sobre el computador cliente con
las informaciones de contexto)
Seguridad de las redes
bull Los principios contenido de un COOKIE
Nombre Nombre del cookie sobre el disco duro
Valor El valor de contexto necesario para el sitio Web consultado (uno por cookie)
Valididad Fecha de fin de vida Despueacutes esta fecha el navegador rechaza el acceso al cookie
Servidor(es) Lista de servidores autorizados a consultar el cookie
Pagina(s) Lista de paginas autorizadas a consultar el cookie
Asegurado True o False si True el cookie se puede consultar uacutenicamente con un acceso asegurado
Seguridad de las redes
bull Los principios HTML
- Lenguaje informaacutetico para escribir paginas Web (HyperTextMarkup Language)- El navegador es un interpretador de HTML- Siempre en evolucioacuten (norma actual = 40) publico
lthtmlgtltheadgtltTITLEgtUNEltTITLEgtltheadgtltFRAMESET COLS=0 FRAMEBORDER=NO
BORDER=0 FRAMESPACING=0gtltFRAME
SRC=seccionesUNEHOMEseccion_HTMLhtml NAME=menu FRAMEBORDER=NO MARGINWIDTH=0 MARGINHEIGHT=0 noresizeSCROLLING=AUTOgt
ltFRAME SRC=blankhtml NAME=____contenido FRAMEBORDER=NO noresize SCROLLING=AUTO MARGINWIDTH=0 MARGINHEIGHT=0gtltFRAMESETgtltNOFRAMESgt DescripcionltNOFRAMESgt
ltHTMLgt
Seguridad de las redes
bull Los principios limitaciones de HTML
- No interaccioacuten con el equipo cliente (histoacutericamente un lenguaje de presentacioacuten)pobre en funciones graficasPor eso creacioacuten de evoluciones a lado del lenguaje principal (para asegurar la compatibilidad) CSS XMLXSL DHTML
- Muy pobre en funcionalidades interactivas con el usuario (cliente inteligente) Utilizacioacuten de tecnologiacuteas complementarias Plug-In ActiveX JAVA Scripts y modelos de documentos
Seguridad de las redes
bull Los principios cliente inteligente
- 2 tecnologiacuteas compiladas Plug-ins ActiveX
- 2 tecnologiacuteas interpretadas Scripts Java
- La tecnologiacuteas compiladas son mas raacutepidas pero el programa descargado es especificado a el equipo
- Los plug-in y los componentes ActiveX son descargados y instalados una vez definitivamente con una programa de verificacioacuten automaacutetica de versioacuten
- Scripts y aplicaciones Java (applet) son descargadas cada vez que la memoria permanente del navegador es vaciada
Seguridad de las redes
bullLos principios PLUG-IN
- Especificaciones abiertas al puacuteblico- Desarrollado en C o C++- Un Plug-in para IE sobre Windows no puede funcionar en IE sobre
MacOS (compilado)- Los mas conocidos son los Plug-In multimedia
bullLos principios ActiveX
- Componentes Objetos (C++) proponiendo por Microsoft en su arquitectura COMDCOM
- Dedicados a Internet Explorer y Windows (existe una oferta para Unix Mac y sistemas IBM muy poco utilizada)
- Posibilidad de reutilizar los ActiveX integrados en programas Microsoft (MsOffice MsProjecthellip) y otros sobre el computador cliente
- Utilizados por numerosos proveedores de soluciones WEB
Seguridad de las redes
bullLos principios JAVA
- Especificaciones abiertas al puacuteblico una oferta de SUN- Interpretado (maquina virtual JAVA) por eso independiente de la
plataforma- Muy pesado en Kbits a descargar puede ser lento a la ejecucioacuten- Gestioacuten automaacutetica de versioacuten para las maquina virtual JAVA- Numerosos problemas de compatibilidad encontrados entre las
versiones- Posibilidad de crear componentes JAVA reutilizables (JAVA es un
lenguaje objeto) llamados JAVABEANS- Un lenguaje complejo a dominar para crear ldquoAppletsrdquo
httpjavasuncomdocsbookstutorial
Seguridad de las redes
bullLos principios servidor dinaacutemico
- Paginas estaacuteticas (guardadas sobre el disco duro del servidor) no pueden servir de apoyo para informaciones en tiempo real (horarios sitios de ventahellip)
- Necesitad de crear dinaacutemicamente paginas en la memoria del servidor
- 3 tecnologiacuteas estandartes script CGI propietarias de bajo nivel NSAPI ISAPI APACHE APIhellip propietarias de alto nivel ASP JAVA NET Coldfusion PHP JSPhellip
Seguridad de las redes
Taller
Demostraciones de Plug-In
Anaacutelisis de Cookies(cdocuments and settingltusersgtcookies)
Utilizacioacuten de un ldquoCookie Viewerrdquo
Seguridad de las redes
SERVICIOS WEB SEGURIDADbullLas necesidades- Identificar el usuario y sus autorizaciones- Asegurar los intercambios de informaciones- Prohibir la posibilidad de negar una transaccioacuten
bullLas soluciones- Utilizar un algoritmo de cifrado (PGP RSA DES TripleDES)- Integrar el cifrado en el protocolo HTTP (hecho por Netscape con su
oferta llamada Secure Socket Layer y integrada en la norma HTTPS)- Trabajar con claves de cifrado (certificado electroacutenico ndash norma X509) La
gestioacuten de las claves necesita la definicioacuten en la empresa de un PKI (Public Key Infrastructure)
- Utilizar sistemas transaccionales- Indicado al usuario en el navegador por siacutembolos
Seguridad de las redes
Cifrado y HTTPS
bullLos principios de los meacutetodos de cifrado
Clave simeacutetrica los paquetes son cifrados y descifrados con el mismo algoritmo y la misma clave numeacuterica (DES TripleDES)
- Clave asimeacutetrica los paquetes son cifrados con el mismo algoritmo pero la clave inicial no puede ser utilizada para invertir el proceso El descifrado necesita una clave uacutenica vinculada a la primera por relaciones matemaacuteticas (RSA PGP)
- La fuerza del coacutedigo depende de la complexidad de la(s) clave(s) (en numero de cifras)
Seguridad de las redes
bull Principio de intercambio de claves de cifrado para establecer una comunicacioacuten SSL
Generacioacuten de un juego de claves (1C1D)
Envioacute de la clave 1C (clave publica) sin cifrado
Generacioacuten de un juego de claves (2C2D)
1C
Cifrado de la clave 2C con 1C
Envioacute de la clave 2C cifrada (seguridad alta)2C (certificado electroacutenico)
Generacioacuten de una clave de cifrado para el Tuacutenel (CT)
Cifrado de la clave CT con 2C
Descifrado de la clave 2C con 1D (completamente secreta)
Envioacute de la clave CT (clave simeacutetrica) cifrada (seguridad alta) CT
Intercambio cifrado con CT Intercambio cifrado con CT
Descifrado de la clave CT con 2D (completamente secreta)
Seguridad de las redes
Taller
Historia de RSA firma digital y certificados X509
Anaacutelisis de comunicaciones cifradas en HTTPS con un banco
Anaacutelisis de certificados de seguridad
Seguridad de las redes
Seguridad y WEB 2
bullPropuesto en 2004 por OrsquoReilly Media (WEB 20)
bullUn nombre geneacuterico para los servicios nuevos de Internet de estos uacuteltimos antildeos
- Social Networking Sites- Folksonomy (como Wikipedia wikis blogs Youtubehellip)- Y otros sitios orientados relaciones humanas
bullEn general sitios con nivel de seguridad muy pobre sin control Riesgo de divulgacioacuten de datos confidenciales
Seguridad de las redes
Taller
Historia del concepto WEB2
Concepto y lista de ldquoRed Socialrdquo(Social Networking Sites)
Exploracioacuten de sitios WEB2wwwfinclucom delicious
wwwflickrcom wwwzooomrcomflofcomar
www43thingscom
Seguridad de las redes
bull Las informaciones son pegadas sobre el computador cliente- Mas raacutepido para recargar una pagina ya consultada- Falla de seguridad Una persona extranjera a la empresa puede consultar las informaciones Nunca olvidar vaciar la memoria permanente del navegador al fin del trabajo cuando se utiliza un computador publico
bull Todas las aplicaciones del cliente pueden ser utilizadas a traveacutes el navegador (Word Excel Adobe Acrobat Readerhellip)Por razoacuten de seguridad el navegador pregunta antes de ejecutar una aplicacioacuten no integrada cuando existe un riesgo (la totalidad de las funcionalidades siempre autorizadas es llamado ldquosandboxrdquo por analogia con el espacio protectado donde pueden jugar los nintildeos con arena)
bull Muchas aplicaciones ldquoPlug-Inrdquo disponiblesLas mas conocidas y utilizadas son FLASH PLAYER y JAVA Pero existen muchas otras (DIVX Player Google Tools Quicktime playerhellip)
Seguridad de las redes
Taller
Internet Explorer historia de un eacutexito
Firefox una alternativa
Seguridad de las redes
NAVEGADORES WEB Buenas practicasbull Respetar la configuracioacuten de seguridad- Nivel de seguridad por zona- Nivel de confidencialidad- Configuracioacuten de base de las opciones
bull Responder ldquoNordquo cada vez que el navigador pregunta una autorizacioacuten de ejecucioacuten de componentes activos no necesarios
bull Cerrar las ventanas de tipo ldquoPopuprdquo con la cruz Windows (o con ALT-F4) y no los botones propuestos cada vez que posible
bull No utilizar la gestioacuten automaacutetica de los formularios
bull Limpiar la memoria sobre el disco duro despueacutes utilizacioacuten sobre un computador publico
Seguridad de las redes
bull No descargar moacutedulos de aplicaciones no firmados por editores prestigiosos
bull Proteger el computador con un anti-virus- Programar un anaacutelisis perioacutedico (1 vez por semana)- Descargar las ultimas versiones (funcioacuten ldquoUpdaterdquo)- Activar la proteccioacuten ldquotiempo realrdquo
bull Proteger el computador con un anti-spyware- Programar un anaacutelisis perioacutedico (1 vez por semana)- Descargar las ultimas versiones (funcioacuten ldquoUpdaterdquo)- Activar la proteccioacuten ldquotiempo realrdquo de la base de ldquoregistryrdquo de Windows
bull No desactivar la funcionalidad ldquoanti-popuprdquo
bull No desactivar la funcionalidad ldquoanti-phishingrdquo (IE 7)
Seguridad de las redes
bull Actualizar perioacutedicamente Windows viacutea la funcionalidad ldquoWindows Updaterdquo
bull Limpiar perioacutedicamente los histoacutericos y la memoria sobre el disco duro (para la velocidad) Los cookies pueden permanecer activados (riesgo miacutenimo)
bull Por supuesto no consultar sitios conocidos para ser peligrosos (sitios de juegos ilegales de muacutesicas mp3 non autorizadas de venta de productos prohibidos)
bull En principio el navegador libro FIREFOX es conocido para ser menos sensible a los riesgos claacutesicos que Internet Explorer Pero en empresa y sobre Internet todas la aplicaciones WEB no son compatibles con FIREFOX
Seguridad de las redes
Taller
Consejos de configuracioacuten de Internet Explorer y Firefox
Utilizacioacuten de NetPrivacy
Anaacutelisis de comunicaciones non protegidas con Packetyser
(Busca Google)
Ficheros temporarios y histoacuterico (cdocuments and settingltusersgtlocal settings)
Seguridad de las redes
bullLa historia
- Creacioacuten de la nocioacuten de pagina Web en los antildeos 90 por Tim Berners Lee (responsable de la gestioacuten de las documentaciones del CERN en Ginebra)
- La idea ser capaz de integrar en una pagina de texto electroacutenico viacutenculos con otras paginas (importante para los artiacuteculos cientiacuteficos)
- La realizacioacuten creacioacuten del protocolo Hypertext y de la nocioacuten de URL (Uniform Ressource Locator)
- Marc Andreesseen (Universidad del Illinois) a evolucionado el protocolo insertando el grafico (MOSAIC)
SERVICIOS WEB - TECNOLOGIacuteAS DE BASE
Seguridad de las redes
bullLos principios HTTP
- Protocolo de intercambio entre el servidor y el navegador (HyperTextTransfert Protocol)
- Basado sobre los URL (httpIdPwdserverportpathpathfileparameters) utilizando uacutenicamente los 128 primeros coacutedigos US ascii
- ldquoStatelessrdquo El protocolo olvida todas las configuraciones del usuario cada vez que el navegador es cerrado =gt necesitad de otras tecnicas para guardar el contexto Re-escritura de los URL (ajuntando paraacutemetros id=xxxxxx) Paraacutemetros escondidos en la pagina Web (con el orden HTTP ldquopostrdquo) Cookies (un fichero de texto escrito sobre el computador cliente con
las informaciones de contexto)
Seguridad de las redes
bull Los principios contenido de un COOKIE
Nombre Nombre del cookie sobre el disco duro
Valor El valor de contexto necesario para el sitio Web consultado (uno por cookie)
Valididad Fecha de fin de vida Despueacutes esta fecha el navegador rechaza el acceso al cookie
Servidor(es) Lista de servidores autorizados a consultar el cookie
Pagina(s) Lista de paginas autorizadas a consultar el cookie
Asegurado True o False si True el cookie se puede consultar uacutenicamente con un acceso asegurado
Seguridad de las redes
bull Los principios HTML
- Lenguaje informaacutetico para escribir paginas Web (HyperTextMarkup Language)- El navegador es un interpretador de HTML- Siempre en evolucioacuten (norma actual = 40) publico
lthtmlgtltheadgtltTITLEgtUNEltTITLEgtltheadgtltFRAMESET COLS=0 FRAMEBORDER=NO
BORDER=0 FRAMESPACING=0gtltFRAME
SRC=seccionesUNEHOMEseccion_HTMLhtml NAME=menu FRAMEBORDER=NO MARGINWIDTH=0 MARGINHEIGHT=0 noresizeSCROLLING=AUTOgt
ltFRAME SRC=blankhtml NAME=____contenido FRAMEBORDER=NO noresize SCROLLING=AUTO MARGINWIDTH=0 MARGINHEIGHT=0gtltFRAMESETgtltNOFRAMESgt DescripcionltNOFRAMESgt
ltHTMLgt
Seguridad de las redes
bull Los principios limitaciones de HTML
- No interaccioacuten con el equipo cliente (histoacutericamente un lenguaje de presentacioacuten)pobre en funciones graficasPor eso creacioacuten de evoluciones a lado del lenguaje principal (para asegurar la compatibilidad) CSS XMLXSL DHTML
- Muy pobre en funcionalidades interactivas con el usuario (cliente inteligente) Utilizacioacuten de tecnologiacuteas complementarias Plug-In ActiveX JAVA Scripts y modelos de documentos
Seguridad de las redes
bull Los principios cliente inteligente
- 2 tecnologiacuteas compiladas Plug-ins ActiveX
- 2 tecnologiacuteas interpretadas Scripts Java
- La tecnologiacuteas compiladas son mas raacutepidas pero el programa descargado es especificado a el equipo
- Los plug-in y los componentes ActiveX son descargados y instalados una vez definitivamente con una programa de verificacioacuten automaacutetica de versioacuten
- Scripts y aplicaciones Java (applet) son descargadas cada vez que la memoria permanente del navegador es vaciada
Seguridad de las redes
bullLos principios PLUG-IN
- Especificaciones abiertas al puacuteblico- Desarrollado en C o C++- Un Plug-in para IE sobre Windows no puede funcionar en IE sobre
MacOS (compilado)- Los mas conocidos son los Plug-In multimedia
bullLos principios ActiveX
- Componentes Objetos (C++) proponiendo por Microsoft en su arquitectura COMDCOM
- Dedicados a Internet Explorer y Windows (existe una oferta para Unix Mac y sistemas IBM muy poco utilizada)
- Posibilidad de reutilizar los ActiveX integrados en programas Microsoft (MsOffice MsProjecthellip) y otros sobre el computador cliente
- Utilizados por numerosos proveedores de soluciones WEB
Seguridad de las redes
bullLos principios JAVA
- Especificaciones abiertas al puacuteblico una oferta de SUN- Interpretado (maquina virtual JAVA) por eso independiente de la
plataforma- Muy pesado en Kbits a descargar puede ser lento a la ejecucioacuten- Gestioacuten automaacutetica de versioacuten para las maquina virtual JAVA- Numerosos problemas de compatibilidad encontrados entre las
versiones- Posibilidad de crear componentes JAVA reutilizables (JAVA es un
lenguaje objeto) llamados JAVABEANS- Un lenguaje complejo a dominar para crear ldquoAppletsrdquo
httpjavasuncomdocsbookstutorial
Seguridad de las redes
bullLos principios servidor dinaacutemico
- Paginas estaacuteticas (guardadas sobre el disco duro del servidor) no pueden servir de apoyo para informaciones en tiempo real (horarios sitios de ventahellip)
- Necesitad de crear dinaacutemicamente paginas en la memoria del servidor
- 3 tecnologiacuteas estandartes script CGI propietarias de bajo nivel NSAPI ISAPI APACHE APIhellip propietarias de alto nivel ASP JAVA NET Coldfusion PHP JSPhellip
Seguridad de las redes
Taller
Demostraciones de Plug-In
Anaacutelisis de Cookies(cdocuments and settingltusersgtcookies)
Utilizacioacuten de un ldquoCookie Viewerrdquo
Seguridad de las redes
SERVICIOS WEB SEGURIDADbullLas necesidades- Identificar el usuario y sus autorizaciones- Asegurar los intercambios de informaciones- Prohibir la posibilidad de negar una transaccioacuten
bullLas soluciones- Utilizar un algoritmo de cifrado (PGP RSA DES TripleDES)- Integrar el cifrado en el protocolo HTTP (hecho por Netscape con su
oferta llamada Secure Socket Layer y integrada en la norma HTTPS)- Trabajar con claves de cifrado (certificado electroacutenico ndash norma X509) La
gestioacuten de las claves necesita la definicioacuten en la empresa de un PKI (Public Key Infrastructure)
- Utilizar sistemas transaccionales- Indicado al usuario en el navegador por siacutembolos
Seguridad de las redes
Cifrado y HTTPS
bullLos principios de los meacutetodos de cifrado
Clave simeacutetrica los paquetes son cifrados y descifrados con el mismo algoritmo y la misma clave numeacuterica (DES TripleDES)
- Clave asimeacutetrica los paquetes son cifrados con el mismo algoritmo pero la clave inicial no puede ser utilizada para invertir el proceso El descifrado necesita una clave uacutenica vinculada a la primera por relaciones matemaacuteticas (RSA PGP)
- La fuerza del coacutedigo depende de la complexidad de la(s) clave(s) (en numero de cifras)
Seguridad de las redes
bull Principio de intercambio de claves de cifrado para establecer una comunicacioacuten SSL
Generacioacuten de un juego de claves (1C1D)
Envioacute de la clave 1C (clave publica) sin cifrado
Generacioacuten de un juego de claves (2C2D)
1C
Cifrado de la clave 2C con 1C
Envioacute de la clave 2C cifrada (seguridad alta)2C (certificado electroacutenico)
Generacioacuten de una clave de cifrado para el Tuacutenel (CT)
Cifrado de la clave CT con 2C
Descifrado de la clave 2C con 1D (completamente secreta)
Envioacute de la clave CT (clave simeacutetrica) cifrada (seguridad alta) CT
Intercambio cifrado con CT Intercambio cifrado con CT
Descifrado de la clave CT con 2D (completamente secreta)
Seguridad de las redes
Taller
Historia de RSA firma digital y certificados X509
Anaacutelisis de comunicaciones cifradas en HTTPS con un banco
Anaacutelisis de certificados de seguridad
Seguridad de las redes
Seguridad y WEB 2
bullPropuesto en 2004 por OrsquoReilly Media (WEB 20)
bullUn nombre geneacuterico para los servicios nuevos de Internet de estos uacuteltimos antildeos
- Social Networking Sites- Folksonomy (como Wikipedia wikis blogs Youtubehellip)- Y otros sitios orientados relaciones humanas
bullEn general sitios con nivel de seguridad muy pobre sin control Riesgo de divulgacioacuten de datos confidenciales
Seguridad de las redes
Taller
Historia del concepto WEB2
Concepto y lista de ldquoRed Socialrdquo(Social Networking Sites)
Exploracioacuten de sitios WEB2wwwfinclucom delicious
wwwflickrcom wwwzooomrcomflofcomar
www43thingscom
Seguridad de las redes
Taller
Internet Explorer historia de un eacutexito
Firefox una alternativa
Seguridad de las redes
NAVEGADORES WEB Buenas practicasbull Respetar la configuracioacuten de seguridad- Nivel de seguridad por zona- Nivel de confidencialidad- Configuracioacuten de base de las opciones
bull Responder ldquoNordquo cada vez que el navigador pregunta una autorizacioacuten de ejecucioacuten de componentes activos no necesarios
bull Cerrar las ventanas de tipo ldquoPopuprdquo con la cruz Windows (o con ALT-F4) y no los botones propuestos cada vez que posible
bull No utilizar la gestioacuten automaacutetica de los formularios
bull Limpiar la memoria sobre el disco duro despueacutes utilizacioacuten sobre un computador publico
Seguridad de las redes
bull No descargar moacutedulos de aplicaciones no firmados por editores prestigiosos
bull Proteger el computador con un anti-virus- Programar un anaacutelisis perioacutedico (1 vez por semana)- Descargar las ultimas versiones (funcioacuten ldquoUpdaterdquo)- Activar la proteccioacuten ldquotiempo realrdquo
bull Proteger el computador con un anti-spyware- Programar un anaacutelisis perioacutedico (1 vez por semana)- Descargar las ultimas versiones (funcioacuten ldquoUpdaterdquo)- Activar la proteccioacuten ldquotiempo realrdquo de la base de ldquoregistryrdquo de Windows
bull No desactivar la funcionalidad ldquoanti-popuprdquo
bull No desactivar la funcionalidad ldquoanti-phishingrdquo (IE 7)
Seguridad de las redes
bull Actualizar perioacutedicamente Windows viacutea la funcionalidad ldquoWindows Updaterdquo
bull Limpiar perioacutedicamente los histoacutericos y la memoria sobre el disco duro (para la velocidad) Los cookies pueden permanecer activados (riesgo miacutenimo)
bull Por supuesto no consultar sitios conocidos para ser peligrosos (sitios de juegos ilegales de muacutesicas mp3 non autorizadas de venta de productos prohibidos)
bull En principio el navegador libro FIREFOX es conocido para ser menos sensible a los riesgos claacutesicos que Internet Explorer Pero en empresa y sobre Internet todas la aplicaciones WEB no son compatibles con FIREFOX
Seguridad de las redes
Taller
Consejos de configuracioacuten de Internet Explorer y Firefox
Utilizacioacuten de NetPrivacy
Anaacutelisis de comunicaciones non protegidas con Packetyser
(Busca Google)
Ficheros temporarios y histoacuterico (cdocuments and settingltusersgtlocal settings)
Seguridad de las redes
bullLa historia
- Creacioacuten de la nocioacuten de pagina Web en los antildeos 90 por Tim Berners Lee (responsable de la gestioacuten de las documentaciones del CERN en Ginebra)
- La idea ser capaz de integrar en una pagina de texto electroacutenico viacutenculos con otras paginas (importante para los artiacuteculos cientiacuteficos)
- La realizacioacuten creacioacuten del protocolo Hypertext y de la nocioacuten de URL (Uniform Ressource Locator)
- Marc Andreesseen (Universidad del Illinois) a evolucionado el protocolo insertando el grafico (MOSAIC)
SERVICIOS WEB - TECNOLOGIacuteAS DE BASE
Seguridad de las redes
bullLos principios HTTP
- Protocolo de intercambio entre el servidor y el navegador (HyperTextTransfert Protocol)
- Basado sobre los URL (httpIdPwdserverportpathpathfileparameters) utilizando uacutenicamente los 128 primeros coacutedigos US ascii
- ldquoStatelessrdquo El protocolo olvida todas las configuraciones del usuario cada vez que el navegador es cerrado =gt necesitad de otras tecnicas para guardar el contexto Re-escritura de los URL (ajuntando paraacutemetros id=xxxxxx) Paraacutemetros escondidos en la pagina Web (con el orden HTTP ldquopostrdquo) Cookies (un fichero de texto escrito sobre el computador cliente con
las informaciones de contexto)
Seguridad de las redes
bull Los principios contenido de un COOKIE
Nombre Nombre del cookie sobre el disco duro
Valor El valor de contexto necesario para el sitio Web consultado (uno por cookie)
Valididad Fecha de fin de vida Despueacutes esta fecha el navegador rechaza el acceso al cookie
Servidor(es) Lista de servidores autorizados a consultar el cookie
Pagina(s) Lista de paginas autorizadas a consultar el cookie
Asegurado True o False si True el cookie se puede consultar uacutenicamente con un acceso asegurado
Seguridad de las redes
bull Los principios HTML
- Lenguaje informaacutetico para escribir paginas Web (HyperTextMarkup Language)- El navegador es un interpretador de HTML- Siempre en evolucioacuten (norma actual = 40) publico
lthtmlgtltheadgtltTITLEgtUNEltTITLEgtltheadgtltFRAMESET COLS=0 FRAMEBORDER=NO
BORDER=0 FRAMESPACING=0gtltFRAME
SRC=seccionesUNEHOMEseccion_HTMLhtml NAME=menu FRAMEBORDER=NO MARGINWIDTH=0 MARGINHEIGHT=0 noresizeSCROLLING=AUTOgt
ltFRAME SRC=blankhtml NAME=____contenido FRAMEBORDER=NO noresize SCROLLING=AUTO MARGINWIDTH=0 MARGINHEIGHT=0gtltFRAMESETgtltNOFRAMESgt DescripcionltNOFRAMESgt
ltHTMLgt
Seguridad de las redes
bull Los principios limitaciones de HTML
- No interaccioacuten con el equipo cliente (histoacutericamente un lenguaje de presentacioacuten)pobre en funciones graficasPor eso creacioacuten de evoluciones a lado del lenguaje principal (para asegurar la compatibilidad) CSS XMLXSL DHTML
- Muy pobre en funcionalidades interactivas con el usuario (cliente inteligente) Utilizacioacuten de tecnologiacuteas complementarias Plug-In ActiveX JAVA Scripts y modelos de documentos
Seguridad de las redes
bull Los principios cliente inteligente
- 2 tecnologiacuteas compiladas Plug-ins ActiveX
- 2 tecnologiacuteas interpretadas Scripts Java
- La tecnologiacuteas compiladas son mas raacutepidas pero el programa descargado es especificado a el equipo
- Los plug-in y los componentes ActiveX son descargados y instalados una vez definitivamente con una programa de verificacioacuten automaacutetica de versioacuten
- Scripts y aplicaciones Java (applet) son descargadas cada vez que la memoria permanente del navegador es vaciada
Seguridad de las redes
bullLos principios PLUG-IN
- Especificaciones abiertas al puacuteblico- Desarrollado en C o C++- Un Plug-in para IE sobre Windows no puede funcionar en IE sobre
MacOS (compilado)- Los mas conocidos son los Plug-In multimedia
bullLos principios ActiveX
- Componentes Objetos (C++) proponiendo por Microsoft en su arquitectura COMDCOM
- Dedicados a Internet Explorer y Windows (existe una oferta para Unix Mac y sistemas IBM muy poco utilizada)
- Posibilidad de reutilizar los ActiveX integrados en programas Microsoft (MsOffice MsProjecthellip) y otros sobre el computador cliente
- Utilizados por numerosos proveedores de soluciones WEB
Seguridad de las redes
bullLos principios JAVA
- Especificaciones abiertas al puacuteblico una oferta de SUN- Interpretado (maquina virtual JAVA) por eso independiente de la
plataforma- Muy pesado en Kbits a descargar puede ser lento a la ejecucioacuten- Gestioacuten automaacutetica de versioacuten para las maquina virtual JAVA- Numerosos problemas de compatibilidad encontrados entre las
versiones- Posibilidad de crear componentes JAVA reutilizables (JAVA es un
lenguaje objeto) llamados JAVABEANS- Un lenguaje complejo a dominar para crear ldquoAppletsrdquo
httpjavasuncomdocsbookstutorial
Seguridad de las redes
bullLos principios servidor dinaacutemico
- Paginas estaacuteticas (guardadas sobre el disco duro del servidor) no pueden servir de apoyo para informaciones en tiempo real (horarios sitios de ventahellip)
- Necesitad de crear dinaacutemicamente paginas en la memoria del servidor
- 3 tecnologiacuteas estandartes script CGI propietarias de bajo nivel NSAPI ISAPI APACHE APIhellip propietarias de alto nivel ASP JAVA NET Coldfusion PHP JSPhellip
Seguridad de las redes
Taller
Demostraciones de Plug-In
Anaacutelisis de Cookies(cdocuments and settingltusersgtcookies)
Utilizacioacuten de un ldquoCookie Viewerrdquo
Seguridad de las redes
SERVICIOS WEB SEGURIDADbullLas necesidades- Identificar el usuario y sus autorizaciones- Asegurar los intercambios de informaciones- Prohibir la posibilidad de negar una transaccioacuten
bullLas soluciones- Utilizar un algoritmo de cifrado (PGP RSA DES TripleDES)- Integrar el cifrado en el protocolo HTTP (hecho por Netscape con su
oferta llamada Secure Socket Layer y integrada en la norma HTTPS)- Trabajar con claves de cifrado (certificado electroacutenico ndash norma X509) La
gestioacuten de las claves necesita la definicioacuten en la empresa de un PKI (Public Key Infrastructure)
- Utilizar sistemas transaccionales- Indicado al usuario en el navegador por siacutembolos
Seguridad de las redes
Cifrado y HTTPS
bullLos principios de los meacutetodos de cifrado
Clave simeacutetrica los paquetes son cifrados y descifrados con el mismo algoritmo y la misma clave numeacuterica (DES TripleDES)
- Clave asimeacutetrica los paquetes son cifrados con el mismo algoritmo pero la clave inicial no puede ser utilizada para invertir el proceso El descifrado necesita una clave uacutenica vinculada a la primera por relaciones matemaacuteticas (RSA PGP)
- La fuerza del coacutedigo depende de la complexidad de la(s) clave(s) (en numero de cifras)
Seguridad de las redes
bull Principio de intercambio de claves de cifrado para establecer una comunicacioacuten SSL
Generacioacuten de un juego de claves (1C1D)
Envioacute de la clave 1C (clave publica) sin cifrado
Generacioacuten de un juego de claves (2C2D)
1C
Cifrado de la clave 2C con 1C
Envioacute de la clave 2C cifrada (seguridad alta)2C (certificado electroacutenico)
Generacioacuten de una clave de cifrado para el Tuacutenel (CT)
Cifrado de la clave CT con 2C
Descifrado de la clave 2C con 1D (completamente secreta)
Envioacute de la clave CT (clave simeacutetrica) cifrada (seguridad alta) CT
Intercambio cifrado con CT Intercambio cifrado con CT
Descifrado de la clave CT con 2D (completamente secreta)
Seguridad de las redes
Taller
Historia de RSA firma digital y certificados X509
Anaacutelisis de comunicaciones cifradas en HTTPS con un banco
Anaacutelisis de certificados de seguridad
Seguridad de las redes
Seguridad y WEB 2
bullPropuesto en 2004 por OrsquoReilly Media (WEB 20)
bullUn nombre geneacuterico para los servicios nuevos de Internet de estos uacuteltimos antildeos
- Social Networking Sites- Folksonomy (como Wikipedia wikis blogs Youtubehellip)- Y otros sitios orientados relaciones humanas
bullEn general sitios con nivel de seguridad muy pobre sin control Riesgo de divulgacioacuten de datos confidenciales
Seguridad de las redes
Taller
Historia del concepto WEB2
Concepto y lista de ldquoRed Socialrdquo(Social Networking Sites)
Exploracioacuten de sitios WEB2wwwfinclucom delicious
wwwflickrcom wwwzooomrcomflofcomar
www43thingscom
Seguridad de las redes
NAVEGADORES WEB Buenas practicasbull Respetar la configuracioacuten de seguridad- Nivel de seguridad por zona- Nivel de confidencialidad- Configuracioacuten de base de las opciones
bull Responder ldquoNordquo cada vez que el navigador pregunta una autorizacioacuten de ejecucioacuten de componentes activos no necesarios
bull Cerrar las ventanas de tipo ldquoPopuprdquo con la cruz Windows (o con ALT-F4) y no los botones propuestos cada vez que posible
bull No utilizar la gestioacuten automaacutetica de los formularios
bull Limpiar la memoria sobre el disco duro despueacutes utilizacioacuten sobre un computador publico
Seguridad de las redes
bull No descargar moacutedulos de aplicaciones no firmados por editores prestigiosos
bull Proteger el computador con un anti-virus- Programar un anaacutelisis perioacutedico (1 vez por semana)- Descargar las ultimas versiones (funcioacuten ldquoUpdaterdquo)- Activar la proteccioacuten ldquotiempo realrdquo
bull Proteger el computador con un anti-spyware- Programar un anaacutelisis perioacutedico (1 vez por semana)- Descargar las ultimas versiones (funcioacuten ldquoUpdaterdquo)- Activar la proteccioacuten ldquotiempo realrdquo de la base de ldquoregistryrdquo de Windows
bull No desactivar la funcionalidad ldquoanti-popuprdquo
bull No desactivar la funcionalidad ldquoanti-phishingrdquo (IE 7)
Seguridad de las redes
bull Actualizar perioacutedicamente Windows viacutea la funcionalidad ldquoWindows Updaterdquo
bull Limpiar perioacutedicamente los histoacutericos y la memoria sobre el disco duro (para la velocidad) Los cookies pueden permanecer activados (riesgo miacutenimo)
bull Por supuesto no consultar sitios conocidos para ser peligrosos (sitios de juegos ilegales de muacutesicas mp3 non autorizadas de venta de productos prohibidos)
bull En principio el navegador libro FIREFOX es conocido para ser menos sensible a los riesgos claacutesicos que Internet Explorer Pero en empresa y sobre Internet todas la aplicaciones WEB no son compatibles con FIREFOX
Seguridad de las redes
Taller
Consejos de configuracioacuten de Internet Explorer y Firefox
Utilizacioacuten de NetPrivacy
Anaacutelisis de comunicaciones non protegidas con Packetyser
(Busca Google)
Ficheros temporarios y histoacuterico (cdocuments and settingltusersgtlocal settings)
Seguridad de las redes
bullLa historia
- Creacioacuten de la nocioacuten de pagina Web en los antildeos 90 por Tim Berners Lee (responsable de la gestioacuten de las documentaciones del CERN en Ginebra)
- La idea ser capaz de integrar en una pagina de texto electroacutenico viacutenculos con otras paginas (importante para los artiacuteculos cientiacuteficos)
- La realizacioacuten creacioacuten del protocolo Hypertext y de la nocioacuten de URL (Uniform Ressource Locator)
- Marc Andreesseen (Universidad del Illinois) a evolucionado el protocolo insertando el grafico (MOSAIC)
SERVICIOS WEB - TECNOLOGIacuteAS DE BASE
Seguridad de las redes
bullLos principios HTTP
- Protocolo de intercambio entre el servidor y el navegador (HyperTextTransfert Protocol)
- Basado sobre los URL (httpIdPwdserverportpathpathfileparameters) utilizando uacutenicamente los 128 primeros coacutedigos US ascii
- ldquoStatelessrdquo El protocolo olvida todas las configuraciones del usuario cada vez que el navegador es cerrado =gt necesitad de otras tecnicas para guardar el contexto Re-escritura de los URL (ajuntando paraacutemetros id=xxxxxx) Paraacutemetros escondidos en la pagina Web (con el orden HTTP ldquopostrdquo) Cookies (un fichero de texto escrito sobre el computador cliente con
las informaciones de contexto)
Seguridad de las redes
bull Los principios contenido de un COOKIE
Nombre Nombre del cookie sobre el disco duro
Valor El valor de contexto necesario para el sitio Web consultado (uno por cookie)
Valididad Fecha de fin de vida Despueacutes esta fecha el navegador rechaza el acceso al cookie
Servidor(es) Lista de servidores autorizados a consultar el cookie
Pagina(s) Lista de paginas autorizadas a consultar el cookie
Asegurado True o False si True el cookie se puede consultar uacutenicamente con un acceso asegurado
Seguridad de las redes
bull Los principios HTML
- Lenguaje informaacutetico para escribir paginas Web (HyperTextMarkup Language)- El navegador es un interpretador de HTML- Siempre en evolucioacuten (norma actual = 40) publico
lthtmlgtltheadgtltTITLEgtUNEltTITLEgtltheadgtltFRAMESET COLS=0 FRAMEBORDER=NO
BORDER=0 FRAMESPACING=0gtltFRAME
SRC=seccionesUNEHOMEseccion_HTMLhtml NAME=menu FRAMEBORDER=NO MARGINWIDTH=0 MARGINHEIGHT=0 noresizeSCROLLING=AUTOgt
ltFRAME SRC=blankhtml NAME=____contenido FRAMEBORDER=NO noresize SCROLLING=AUTO MARGINWIDTH=0 MARGINHEIGHT=0gtltFRAMESETgtltNOFRAMESgt DescripcionltNOFRAMESgt
ltHTMLgt
Seguridad de las redes
bull Los principios limitaciones de HTML
- No interaccioacuten con el equipo cliente (histoacutericamente un lenguaje de presentacioacuten)pobre en funciones graficasPor eso creacioacuten de evoluciones a lado del lenguaje principal (para asegurar la compatibilidad) CSS XMLXSL DHTML
- Muy pobre en funcionalidades interactivas con el usuario (cliente inteligente) Utilizacioacuten de tecnologiacuteas complementarias Plug-In ActiveX JAVA Scripts y modelos de documentos
Seguridad de las redes
bull Los principios cliente inteligente
- 2 tecnologiacuteas compiladas Plug-ins ActiveX
- 2 tecnologiacuteas interpretadas Scripts Java
- La tecnologiacuteas compiladas son mas raacutepidas pero el programa descargado es especificado a el equipo
- Los plug-in y los componentes ActiveX son descargados y instalados una vez definitivamente con una programa de verificacioacuten automaacutetica de versioacuten
- Scripts y aplicaciones Java (applet) son descargadas cada vez que la memoria permanente del navegador es vaciada
Seguridad de las redes
bullLos principios PLUG-IN
- Especificaciones abiertas al puacuteblico- Desarrollado en C o C++- Un Plug-in para IE sobre Windows no puede funcionar en IE sobre
MacOS (compilado)- Los mas conocidos son los Plug-In multimedia
bullLos principios ActiveX
- Componentes Objetos (C++) proponiendo por Microsoft en su arquitectura COMDCOM
- Dedicados a Internet Explorer y Windows (existe una oferta para Unix Mac y sistemas IBM muy poco utilizada)
- Posibilidad de reutilizar los ActiveX integrados en programas Microsoft (MsOffice MsProjecthellip) y otros sobre el computador cliente
- Utilizados por numerosos proveedores de soluciones WEB
Seguridad de las redes
bullLos principios JAVA
- Especificaciones abiertas al puacuteblico una oferta de SUN- Interpretado (maquina virtual JAVA) por eso independiente de la
plataforma- Muy pesado en Kbits a descargar puede ser lento a la ejecucioacuten- Gestioacuten automaacutetica de versioacuten para las maquina virtual JAVA- Numerosos problemas de compatibilidad encontrados entre las
versiones- Posibilidad de crear componentes JAVA reutilizables (JAVA es un
lenguaje objeto) llamados JAVABEANS- Un lenguaje complejo a dominar para crear ldquoAppletsrdquo
httpjavasuncomdocsbookstutorial
Seguridad de las redes
bullLos principios servidor dinaacutemico
- Paginas estaacuteticas (guardadas sobre el disco duro del servidor) no pueden servir de apoyo para informaciones en tiempo real (horarios sitios de ventahellip)
- Necesitad de crear dinaacutemicamente paginas en la memoria del servidor
- 3 tecnologiacuteas estandartes script CGI propietarias de bajo nivel NSAPI ISAPI APACHE APIhellip propietarias de alto nivel ASP JAVA NET Coldfusion PHP JSPhellip
Seguridad de las redes
Taller
Demostraciones de Plug-In
Anaacutelisis de Cookies(cdocuments and settingltusersgtcookies)
Utilizacioacuten de un ldquoCookie Viewerrdquo
Seguridad de las redes
SERVICIOS WEB SEGURIDADbullLas necesidades- Identificar el usuario y sus autorizaciones- Asegurar los intercambios de informaciones- Prohibir la posibilidad de negar una transaccioacuten
bullLas soluciones- Utilizar un algoritmo de cifrado (PGP RSA DES TripleDES)- Integrar el cifrado en el protocolo HTTP (hecho por Netscape con su
oferta llamada Secure Socket Layer y integrada en la norma HTTPS)- Trabajar con claves de cifrado (certificado electroacutenico ndash norma X509) La
gestioacuten de las claves necesita la definicioacuten en la empresa de un PKI (Public Key Infrastructure)
- Utilizar sistemas transaccionales- Indicado al usuario en el navegador por siacutembolos
Seguridad de las redes
Cifrado y HTTPS
bullLos principios de los meacutetodos de cifrado
Clave simeacutetrica los paquetes son cifrados y descifrados con el mismo algoritmo y la misma clave numeacuterica (DES TripleDES)
- Clave asimeacutetrica los paquetes son cifrados con el mismo algoritmo pero la clave inicial no puede ser utilizada para invertir el proceso El descifrado necesita una clave uacutenica vinculada a la primera por relaciones matemaacuteticas (RSA PGP)
- La fuerza del coacutedigo depende de la complexidad de la(s) clave(s) (en numero de cifras)
Seguridad de las redes
bull Principio de intercambio de claves de cifrado para establecer una comunicacioacuten SSL
Generacioacuten de un juego de claves (1C1D)
Envioacute de la clave 1C (clave publica) sin cifrado
Generacioacuten de un juego de claves (2C2D)
1C
Cifrado de la clave 2C con 1C
Envioacute de la clave 2C cifrada (seguridad alta)2C (certificado electroacutenico)
Generacioacuten de una clave de cifrado para el Tuacutenel (CT)
Cifrado de la clave CT con 2C
Descifrado de la clave 2C con 1D (completamente secreta)
Envioacute de la clave CT (clave simeacutetrica) cifrada (seguridad alta) CT
Intercambio cifrado con CT Intercambio cifrado con CT
Descifrado de la clave CT con 2D (completamente secreta)
Seguridad de las redes
Taller
Historia de RSA firma digital y certificados X509
Anaacutelisis de comunicaciones cifradas en HTTPS con un banco
Anaacutelisis de certificados de seguridad
Seguridad de las redes
Seguridad y WEB 2
bullPropuesto en 2004 por OrsquoReilly Media (WEB 20)
bullUn nombre geneacuterico para los servicios nuevos de Internet de estos uacuteltimos antildeos
- Social Networking Sites- Folksonomy (como Wikipedia wikis blogs Youtubehellip)- Y otros sitios orientados relaciones humanas
bullEn general sitios con nivel de seguridad muy pobre sin control Riesgo de divulgacioacuten de datos confidenciales
Seguridad de las redes
Taller
Historia del concepto WEB2
Concepto y lista de ldquoRed Socialrdquo(Social Networking Sites)
Exploracioacuten de sitios WEB2wwwfinclucom delicious
wwwflickrcom wwwzooomrcomflofcomar
www43thingscom
Seguridad de las redes
bull No descargar moacutedulos de aplicaciones no firmados por editores prestigiosos
bull Proteger el computador con un anti-virus- Programar un anaacutelisis perioacutedico (1 vez por semana)- Descargar las ultimas versiones (funcioacuten ldquoUpdaterdquo)- Activar la proteccioacuten ldquotiempo realrdquo
bull Proteger el computador con un anti-spyware- Programar un anaacutelisis perioacutedico (1 vez por semana)- Descargar las ultimas versiones (funcioacuten ldquoUpdaterdquo)- Activar la proteccioacuten ldquotiempo realrdquo de la base de ldquoregistryrdquo de Windows
bull No desactivar la funcionalidad ldquoanti-popuprdquo
bull No desactivar la funcionalidad ldquoanti-phishingrdquo (IE 7)
Seguridad de las redes
bull Actualizar perioacutedicamente Windows viacutea la funcionalidad ldquoWindows Updaterdquo
bull Limpiar perioacutedicamente los histoacutericos y la memoria sobre el disco duro (para la velocidad) Los cookies pueden permanecer activados (riesgo miacutenimo)
bull Por supuesto no consultar sitios conocidos para ser peligrosos (sitios de juegos ilegales de muacutesicas mp3 non autorizadas de venta de productos prohibidos)
bull En principio el navegador libro FIREFOX es conocido para ser menos sensible a los riesgos claacutesicos que Internet Explorer Pero en empresa y sobre Internet todas la aplicaciones WEB no son compatibles con FIREFOX
Seguridad de las redes
Taller
Consejos de configuracioacuten de Internet Explorer y Firefox
Utilizacioacuten de NetPrivacy
Anaacutelisis de comunicaciones non protegidas con Packetyser
(Busca Google)
Ficheros temporarios y histoacuterico (cdocuments and settingltusersgtlocal settings)
Seguridad de las redes
bullLa historia
- Creacioacuten de la nocioacuten de pagina Web en los antildeos 90 por Tim Berners Lee (responsable de la gestioacuten de las documentaciones del CERN en Ginebra)
- La idea ser capaz de integrar en una pagina de texto electroacutenico viacutenculos con otras paginas (importante para los artiacuteculos cientiacuteficos)
- La realizacioacuten creacioacuten del protocolo Hypertext y de la nocioacuten de URL (Uniform Ressource Locator)
- Marc Andreesseen (Universidad del Illinois) a evolucionado el protocolo insertando el grafico (MOSAIC)
SERVICIOS WEB - TECNOLOGIacuteAS DE BASE
Seguridad de las redes
bullLos principios HTTP
- Protocolo de intercambio entre el servidor y el navegador (HyperTextTransfert Protocol)
- Basado sobre los URL (httpIdPwdserverportpathpathfileparameters) utilizando uacutenicamente los 128 primeros coacutedigos US ascii
- ldquoStatelessrdquo El protocolo olvida todas las configuraciones del usuario cada vez que el navegador es cerrado =gt necesitad de otras tecnicas para guardar el contexto Re-escritura de los URL (ajuntando paraacutemetros id=xxxxxx) Paraacutemetros escondidos en la pagina Web (con el orden HTTP ldquopostrdquo) Cookies (un fichero de texto escrito sobre el computador cliente con
las informaciones de contexto)
Seguridad de las redes
bull Los principios contenido de un COOKIE
Nombre Nombre del cookie sobre el disco duro
Valor El valor de contexto necesario para el sitio Web consultado (uno por cookie)
Valididad Fecha de fin de vida Despueacutes esta fecha el navegador rechaza el acceso al cookie
Servidor(es) Lista de servidores autorizados a consultar el cookie
Pagina(s) Lista de paginas autorizadas a consultar el cookie
Asegurado True o False si True el cookie se puede consultar uacutenicamente con un acceso asegurado
Seguridad de las redes
bull Los principios HTML
- Lenguaje informaacutetico para escribir paginas Web (HyperTextMarkup Language)- El navegador es un interpretador de HTML- Siempre en evolucioacuten (norma actual = 40) publico
lthtmlgtltheadgtltTITLEgtUNEltTITLEgtltheadgtltFRAMESET COLS=0 FRAMEBORDER=NO
BORDER=0 FRAMESPACING=0gtltFRAME
SRC=seccionesUNEHOMEseccion_HTMLhtml NAME=menu FRAMEBORDER=NO MARGINWIDTH=0 MARGINHEIGHT=0 noresizeSCROLLING=AUTOgt
ltFRAME SRC=blankhtml NAME=____contenido FRAMEBORDER=NO noresize SCROLLING=AUTO MARGINWIDTH=0 MARGINHEIGHT=0gtltFRAMESETgtltNOFRAMESgt DescripcionltNOFRAMESgt
ltHTMLgt
Seguridad de las redes
bull Los principios limitaciones de HTML
- No interaccioacuten con el equipo cliente (histoacutericamente un lenguaje de presentacioacuten)pobre en funciones graficasPor eso creacioacuten de evoluciones a lado del lenguaje principal (para asegurar la compatibilidad) CSS XMLXSL DHTML
- Muy pobre en funcionalidades interactivas con el usuario (cliente inteligente) Utilizacioacuten de tecnologiacuteas complementarias Plug-In ActiveX JAVA Scripts y modelos de documentos
Seguridad de las redes
bull Los principios cliente inteligente
- 2 tecnologiacuteas compiladas Plug-ins ActiveX
- 2 tecnologiacuteas interpretadas Scripts Java
- La tecnologiacuteas compiladas son mas raacutepidas pero el programa descargado es especificado a el equipo
- Los plug-in y los componentes ActiveX son descargados y instalados una vez definitivamente con una programa de verificacioacuten automaacutetica de versioacuten
- Scripts y aplicaciones Java (applet) son descargadas cada vez que la memoria permanente del navegador es vaciada
Seguridad de las redes
bullLos principios PLUG-IN
- Especificaciones abiertas al puacuteblico- Desarrollado en C o C++- Un Plug-in para IE sobre Windows no puede funcionar en IE sobre
MacOS (compilado)- Los mas conocidos son los Plug-In multimedia
bullLos principios ActiveX
- Componentes Objetos (C++) proponiendo por Microsoft en su arquitectura COMDCOM
- Dedicados a Internet Explorer y Windows (existe una oferta para Unix Mac y sistemas IBM muy poco utilizada)
- Posibilidad de reutilizar los ActiveX integrados en programas Microsoft (MsOffice MsProjecthellip) y otros sobre el computador cliente
- Utilizados por numerosos proveedores de soluciones WEB
Seguridad de las redes
bullLos principios JAVA
- Especificaciones abiertas al puacuteblico una oferta de SUN- Interpretado (maquina virtual JAVA) por eso independiente de la
plataforma- Muy pesado en Kbits a descargar puede ser lento a la ejecucioacuten- Gestioacuten automaacutetica de versioacuten para las maquina virtual JAVA- Numerosos problemas de compatibilidad encontrados entre las
versiones- Posibilidad de crear componentes JAVA reutilizables (JAVA es un
lenguaje objeto) llamados JAVABEANS- Un lenguaje complejo a dominar para crear ldquoAppletsrdquo
httpjavasuncomdocsbookstutorial
Seguridad de las redes
bullLos principios servidor dinaacutemico
- Paginas estaacuteticas (guardadas sobre el disco duro del servidor) no pueden servir de apoyo para informaciones en tiempo real (horarios sitios de ventahellip)
- Necesitad de crear dinaacutemicamente paginas en la memoria del servidor
- 3 tecnologiacuteas estandartes script CGI propietarias de bajo nivel NSAPI ISAPI APACHE APIhellip propietarias de alto nivel ASP JAVA NET Coldfusion PHP JSPhellip
Seguridad de las redes
Taller
Demostraciones de Plug-In
Anaacutelisis de Cookies(cdocuments and settingltusersgtcookies)
Utilizacioacuten de un ldquoCookie Viewerrdquo
Seguridad de las redes
SERVICIOS WEB SEGURIDADbullLas necesidades- Identificar el usuario y sus autorizaciones- Asegurar los intercambios de informaciones- Prohibir la posibilidad de negar una transaccioacuten
bullLas soluciones- Utilizar un algoritmo de cifrado (PGP RSA DES TripleDES)- Integrar el cifrado en el protocolo HTTP (hecho por Netscape con su
oferta llamada Secure Socket Layer y integrada en la norma HTTPS)- Trabajar con claves de cifrado (certificado electroacutenico ndash norma X509) La
gestioacuten de las claves necesita la definicioacuten en la empresa de un PKI (Public Key Infrastructure)
- Utilizar sistemas transaccionales- Indicado al usuario en el navegador por siacutembolos
Seguridad de las redes
Cifrado y HTTPS
bullLos principios de los meacutetodos de cifrado
Clave simeacutetrica los paquetes son cifrados y descifrados con el mismo algoritmo y la misma clave numeacuterica (DES TripleDES)
- Clave asimeacutetrica los paquetes son cifrados con el mismo algoritmo pero la clave inicial no puede ser utilizada para invertir el proceso El descifrado necesita una clave uacutenica vinculada a la primera por relaciones matemaacuteticas (RSA PGP)
- La fuerza del coacutedigo depende de la complexidad de la(s) clave(s) (en numero de cifras)
Seguridad de las redes
bull Principio de intercambio de claves de cifrado para establecer una comunicacioacuten SSL
Generacioacuten de un juego de claves (1C1D)
Envioacute de la clave 1C (clave publica) sin cifrado
Generacioacuten de un juego de claves (2C2D)
1C
Cifrado de la clave 2C con 1C
Envioacute de la clave 2C cifrada (seguridad alta)2C (certificado electroacutenico)
Generacioacuten de una clave de cifrado para el Tuacutenel (CT)
Cifrado de la clave CT con 2C
Descifrado de la clave 2C con 1D (completamente secreta)
Envioacute de la clave CT (clave simeacutetrica) cifrada (seguridad alta) CT
Intercambio cifrado con CT Intercambio cifrado con CT
Descifrado de la clave CT con 2D (completamente secreta)
Seguridad de las redes
Taller
Historia de RSA firma digital y certificados X509
Anaacutelisis de comunicaciones cifradas en HTTPS con un banco
Anaacutelisis de certificados de seguridad
Seguridad de las redes
Seguridad y WEB 2
bullPropuesto en 2004 por OrsquoReilly Media (WEB 20)
bullUn nombre geneacuterico para los servicios nuevos de Internet de estos uacuteltimos antildeos
- Social Networking Sites- Folksonomy (como Wikipedia wikis blogs Youtubehellip)- Y otros sitios orientados relaciones humanas
bullEn general sitios con nivel de seguridad muy pobre sin control Riesgo de divulgacioacuten de datos confidenciales
Seguridad de las redes
Taller
Historia del concepto WEB2
Concepto y lista de ldquoRed Socialrdquo(Social Networking Sites)
Exploracioacuten de sitios WEB2wwwfinclucom delicious
wwwflickrcom wwwzooomrcomflofcomar
www43thingscom
Seguridad de las redes
bull Actualizar perioacutedicamente Windows viacutea la funcionalidad ldquoWindows Updaterdquo
bull Limpiar perioacutedicamente los histoacutericos y la memoria sobre el disco duro (para la velocidad) Los cookies pueden permanecer activados (riesgo miacutenimo)
bull Por supuesto no consultar sitios conocidos para ser peligrosos (sitios de juegos ilegales de muacutesicas mp3 non autorizadas de venta de productos prohibidos)
bull En principio el navegador libro FIREFOX es conocido para ser menos sensible a los riesgos claacutesicos que Internet Explorer Pero en empresa y sobre Internet todas la aplicaciones WEB no son compatibles con FIREFOX
Seguridad de las redes
Taller
Consejos de configuracioacuten de Internet Explorer y Firefox
Utilizacioacuten de NetPrivacy
Anaacutelisis de comunicaciones non protegidas con Packetyser
(Busca Google)
Ficheros temporarios y histoacuterico (cdocuments and settingltusersgtlocal settings)
Seguridad de las redes
bullLa historia
- Creacioacuten de la nocioacuten de pagina Web en los antildeos 90 por Tim Berners Lee (responsable de la gestioacuten de las documentaciones del CERN en Ginebra)
- La idea ser capaz de integrar en una pagina de texto electroacutenico viacutenculos con otras paginas (importante para los artiacuteculos cientiacuteficos)
- La realizacioacuten creacioacuten del protocolo Hypertext y de la nocioacuten de URL (Uniform Ressource Locator)
- Marc Andreesseen (Universidad del Illinois) a evolucionado el protocolo insertando el grafico (MOSAIC)
SERVICIOS WEB - TECNOLOGIacuteAS DE BASE
Seguridad de las redes
bullLos principios HTTP
- Protocolo de intercambio entre el servidor y el navegador (HyperTextTransfert Protocol)
- Basado sobre los URL (httpIdPwdserverportpathpathfileparameters) utilizando uacutenicamente los 128 primeros coacutedigos US ascii
- ldquoStatelessrdquo El protocolo olvida todas las configuraciones del usuario cada vez que el navegador es cerrado =gt necesitad de otras tecnicas para guardar el contexto Re-escritura de los URL (ajuntando paraacutemetros id=xxxxxx) Paraacutemetros escondidos en la pagina Web (con el orden HTTP ldquopostrdquo) Cookies (un fichero de texto escrito sobre el computador cliente con
las informaciones de contexto)
Seguridad de las redes
bull Los principios contenido de un COOKIE
Nombre Nombre del cookie sobre el disco duro
Valor El valor de contexto necesario para el sitio Web consultado (uno por cookie)
Valididad Fecha de fin de vida Despueacutes esta fecha el navegador rechaza el acceso al cookie
Servidor(es) Lista de servidores autorizados a consultar el cookie
Pagina(s) Lista de paginas autorizadas a consultar el cookie
Asegurado True o False si True el cookie se puede consultar uacutenicamente con un acceso asegurado
Seguridad de las redes
bull Los principios HTML
- Lenguaje informaacutetico para escribir paginas Web (HyperTextMarkup Language)- El navegador es un interpretador de HTML- Siempre en evolucioacuten (norma actual = 40) publico
lthtmlgtltheadgtltTITLEgtUNEltTITLEgtltheadgtltFRAMESET COLS=0 FRAMEBORDER=NO
BORDER=0 FRAMESPACING=0gtltFRAME
SRC=seccionesUNEHOMEseccion_HTMLhtml NAME=menu FRAMEBORDER=NO MARGINWIDTH=0 MARGINHEIGHT=0 noresizeSCROLLING=AUTOgt
ltFRAME SRC=blankhtml NAME=____contenido FRAMEBORDER=NO noresize SCROLLING=AUTO MARGINWIDTH=0 MARGINHEIGHT=0gtltFRAMESETgtltNOFRAMESgt DescripcionltNOFRAMESgt
ltHTMLgt
Seguridad de las redes
bull Los principios limitaciones de HTML
- No interaccioacuten con el equipo cliente (histoacutericamente un lenguaje de presentacioacuten)pobre en funciones graficasPor eso creacioacuten de evoluciones a lado del lenguaje principal (para asegurar la compatibilidad) CSS XMLXSL DHTML
- Muy pobre en funcionalidades interactivas con el usuario (cliente inteligente) Utilizacioacuten de tecnologiacuteas complementarias Plug-In ActiveX JAVA Scripts y modelos de documentos
Seguridad de las redes
bull Los principios cliente inteligente
- 2 tecnologiacuteas compiladas Plug-ins ActiveX
- 2 tecnologiacuteas interpretadas Scripts Java
- La tecnologiacuteas compiladas son mas raacutepidas pero el programa descargado es especificado a el equipo
- Los plug-in y los componentes ActiveX son descargados y instalados una vez definitivamente con una programa de verificacioacuten automaacutetica de versioacuten
- Scripts y aplicaciones Java (applet) son descargadas cada vez que la memoria permanente del navegador es vaciada
Seguridad de las redes
bullLos principios PLUG-IN
- Especificaciones abiertas al puacuteblico- Desarrollado en C o C++- Un Plug-in para IE sobre Windows no puede funcionar en IE sobre
MacOS (compilado)- Los mas conocidos son los Plug-In multimedia
bullLos principios ActiveX
- Componentes Objetos (C++) proponiendo por Microsoft en su arquitectura COMDCOM
- Dedicados a Internet Explorer y Windows (existe una oferta para Unix Mac y sistemas IBM muy poco utilizada)
- Posibilidad de reutilizar los ActiveX integrados en programas Microsoft (MsOffice MsProjecthellip) y otros sobre el computador cliente
- Utilizados por numerosos proveedores de soluciones WEB
Seguridad de las redes
bullLos principios JAVA
- Especificaciones abiertas al puacuteblico una oferta de SUN- Interpretado (maquina virtual JAVA) por eso independiente de la
plataforma- Muy pesado en Kbits a descargar puede ser lento a la ejecucioacuten- Gestioacuten automaacutetica de versioacuten para las maquina virtual JAVA- Numerosos problemas de compatibilidad encontrados entre las
versiones- Posibilidad de crear componentes JAVA reutilizables (JAVA es un
lenguaje objeto) llamados JAVABEANS- Un lenguaje complejo a dominar para crear ldquoAppletsrdquo
httpjavasuncomdocsbookstutorial
Seguridad de las redes
bullLos principios servidor dinaacutemico
- Paginas estaacuteticas (guardadas sobre el disco duro del servidor) no pueden servir de apoyo para informaciones en tiempo real (horarios sitios de ventahellip)
- Necesitad de crear dinaacutemicamente paginas en la memoria del servidor
- 3 tecnologiacuteas estandartes script CGI propietarias de bajo nivel NSAPI ISAPI APACHE APIhellip propietarias de alto nivel ASP JAVA NET Coldfusion PHP JSPhellip
Seguridad de las redes
Taller
Demostraciones de Plug-In
Anaacutelisis de Cookies(cdocuments and settingltusersgtcookies)
Utilizacioacuten de un ldquoCookie Viewerrdquo
Seguridad de las redes
SERVICIOS WEB SEGURIDADbullLas necesidades- Identificar el usuario y sus autorizaciones- Asegurar los intercambios de informaciones- Prohibir la posibilidad de negar una transaccioacuten
bullLas soluciones- Utilizar un algoritmo de cifrado (PGP RSA DES TripleDES)- Integrar el cifrado en el protocolo HTTP (hecho por Netscape con su
oferta llamada Secure Socket Layer y integrada en la norma HTTPS)- Trabajar con claves de cifrado (certificado electroacutenico ndash norma X509) La
gestioacuten de las claves necesita la definicioacuten en la empresa de un PKI (Public Key Infrastructure)
- Utilizar sistemas transaccionales- Indicado al usuario en el navegador por siacutembolos
Seguridad de las redes
Cifrado y HTTPS
bullLos principios de los meacutetodos de cifrado
Clave simeacutetrica los paquetes son cifrados y descifrados con el mismo algoritmo y la misma clave numeacuterica (DES TripleDES)
- Clave asimeacutetrica los paquetes son cifrados con el mismo algoritmo pero la clave inicial no puede ser utilizada para invertir el proceso El descifrado necesita una clave uacutenica vinculada a la primera por relaciones matemaacuteticas (RSA PGP)
- La fuerza del coacutedigo depende de la complexidad de la(s) clave(s) (en numero de cifras)
Seguridad de las redes
bull Principio de intercambio de claves de cifrado para establecer una comunicacioacuten SSL
Generacioacuten de un juego de claves (1C1D)
Envioacute de la clave 1C (clave publica) sin cifrado
Generacioacuten de un juego de claves (2C2D)
1C
Cifrado de la clave 2C con 1C
Envioacute de la clave 2C cifrada (seguridad alta)2C (certificado electroacutenico)
Generacioacuten de una clave de cifrado para el Tuacutenel (CT)
Cifrado de la clave CT con 2C
Descifrado de la clave 2C con 1D (completamente secreta)
Envioacute de la clave CT (clave simeacutetrica) cifrada (seguridad alta) CT
Intercambio cifrado con CT Intercambio cifrado con CT
Descifrado de la clave CT con 2D (completamente secreta)
Seguridad de las redes
Taller
Historia de RSA firma digital y certificados X509
Anaacutelisis de comunicaciones cifradas en HTTPS con un banco
Anaacutelisis de certificados de seguridad
Seguridad de las redes
Seguridad y WEB 2
bullPropuesto en 2004 por OrsquoReilly Media (WEB 20)
bullUn nombre geneacuterico para los servicios nuevos de Internet de estos uacuteltimos antildeos
- Social Networking Sites- Folksonomy (como Wikipedia wikis blogs Youtubehellip)- Y otros sitios orientados relaciones humanas
bullEn general sitios con nivel de seguridad muy pobre sin control Riesgo de divulgacioacuten de datos confidenciales
Seguridad de las redes
Taller
Historia del concepto WEB2
Concepto y lista de ldquoRed Socialrdquo(Social Networking Sites)
Exploracioacuten de sitios WEB2wwwfinclucom delicious
wwwflickrcom wwwzooomrcomflofcomar
www43thingscom
Seguridad de las redes
Taller
Consejos de configuracioacuten de Internet Explorer y Firefox
Utilizacioacuten de NetPrivacy
Anaacutelisis de comunicaciones non protegidas con Packetyser
(Busca Google)
Ficheros temporarios y histoacuterico (cdocuments and settingltusersgtlocal settings)
Seguridad de las redes
bullLa historia
- Creacioacuten de la nocioacuten de pagina Web en los antildeos 90 por Tim Berners Lee (responsable de la gestioacuten de las documentaciones del CERN en Ginebra)
- La idea ser capaz de integrar en una pagina de texto electroacutenico viacutenculos con otras paginas (importante para los artiacuteculos cientiacuteficos)
- La realizacioacuten creacioacuten del protocolo Hypertext y de la nocioacuten de URL (Uniform Ressource Locator)
- Marc Andreesseen (Universidad del Illinois) a evolucionado el protocolo insertando el grafico (MOSAIC)
SERVICIOS WEB - TECNOLOGIacuteAS DE BASE
Seguridad de las redes
bullLos principios HTTP
- Protocolo de intercambio entre el servidor y el navegador (HyperTextTransfert Protocol)
- Basado sobre los URL (httpIdPwdserverportpathpathfileparameters) utilizando uacutenicamente los 128 primeros coacutedigos US ascii
- ldquoStatelessrdquo El protocolo olvida todas las configuraciones del usuario cada vez que el navegador es cerrado =gt necesitad de otras tecnicas para guardar el contexto Re-escritura de los URL (ajuntando paraacutemetros id=xxxxxx) Paraacutemetros escondidos en la pagina Web (con el orden HTTP ldquopostrdquo) Cookies (un fichero de texto escrito sobre el computador cliente con
las informaciones de contexto)
Seguridad de las redes
bull Los principios contenido de un COOKIE
Nombre Nombre del cookie sobre el disco duro
Valor El valor de contexto necesario para el sitio Web consultado (uno por cookie)
Valididad Fecha de fin de vida Despueacutes esta fecha el navegador rechaza el acceso al cookie
Servidor(es) Lista de servidores autorizados a consultar el cookie
Pagina(s) Lista de paginas autorizadas a consultar el cookie
Asegurado True o False si True el cookie se puede consultar uacutenicamente con un acceso asegurado
Seguridad de las redes
bull Los principios HTML
- Lenguaje informaacutetico para escribir paginas Web (HyperTextMarkup Language)- El navegador es un interpretador de HTML- Siempre en evolucioacuten (norma actual = 40) publico
lthtmlgtltheadgtltTITLEgtUNEltTITLEgtltheadgtltFRAMESET COLS=0 FRAMEBORDER=NO
BORDER=0 FRAMESPACING=0gtltFRAME
SRC=seccionesUNEHOMEseccion_HTMLhtml NAME=menu FRAMEBORDER=NO MARGINWIDTH=0 MARGINHEIGHT=0 noresizeSCROLLING=AUTOgt
ltFRAME SRC=blankhtml NAME=____contenido FRAMEBORDER=NO noresize SCROLLING=AUTO MARGINWIDTH=0 MARGINHEIGHT=0gtltFRAMESETgtltNOFRAMESgt DescripcionltNOFRAMESgt
ltHTMLgt
Seguridad de las redes
bull Los principios limitaciones de HTML
- No interaccioacuten con el equipo cliente (histoacutericamente un lenguaje de presentacioacuten)pobre en funciones graficasPor eso creacioacuten de evoluciones a lado del lenguaje principal (para asegurar la compatibilidad) CSS XMLXSL DHTML
- Muy pobre en funcionalidades interactivas con el usuario (cliente inteligente) Utilizacioacuten de tecnologiacuteas complementarias Plug-In ActiveX JAVA Scripts y modelos de documentos
Seguridad de las redes
bull Los principios cliente inteligente
- 2 tecnologiacuteas compiladas Plug-ins ActiveX
- 2 tecnologiacuteas interpretadas Scripts Java
- La tecnologiacuteas compiladas son mas raacutepidas pero el programa descargado es especificado a el equipo
- Los plug-in y los componentes ActiveX son descargados y instalados una vez definitivamente con una programa de verificacioacuten automaacutetica de versioacuten
- Scripts y aplicaciones Java (applet) son descargadas cada vez que la memoria permanente del navegador es vaciada
Seguridad de las redes
bullLos principios PLUG-IN
- Especificaciones abiertas al puacuteblico- Desarrollado en C o C++- Un Plug-in para IE sobre Windows no puede funcionar en IE sobre
MacOS (compilado)- Los mas conocidos son los Plug-In multimedia
bullLos principios ActiveX
- Componentes Objetos (C++) proponiendo por Microsoft en su arquitectura COMDCOM
- Dedicados a Internet Explorer y Windows (existe una oferta para Unix Mac y sistemas IBM muy poco utilizada)
- Posibilidad de reutilizar los ActiveX integrados en programas Microsoft (MsOffice MsProjecthellip) y otros sobre el computador cliente
- Utilizados por numerosos proveedores de soluciones WEB
Seguridad de las redes
bullLos principios JAVA
- Especificaciones abiertas al puacuteblico una oferta de SUN- Interpretado (maquina virtual JAVA) por eso independiente de la
plataforma- Muy pesado en Kbits a descargar puede ser lento a la ejecucioacuten- Gestioacuten automaacutetica de versioacuten para las maquina virtual JAVA- Numerosos problemas de compatibilidad encontrados entre las
versiones- Posibilidad de crear componentes JAVA reutilizables (JAVA es un
lenguaje objeto) llamados JAVABEANS- Un lenguaje complejo a dominar para crear ldquoAppletsrdquo
httpjavasuncomdocsbookstutorial
Seguridad de las redes
bullLos principios servidor dinaacutemico
- Paginas estaacuteticas (guardadas sobre el disco duro del servidor) no pueden servir de apoyo para informaciones en tiempo real (horarios sitios de ventahellip)
- Necesitad de crear dinaacutemicamente paginas en la memoria del servidor
- 3 tecnologiacuteas estandartes script CGI propietarias de bajo nivel NSAPI ISAPI APACHE APIhellip propietarias de alto nivel ASP JAVA NET Coldfusion PHP JSPhellip
Seguridad de las redes
Taller
Demostraciones de Plug-In
Anaacutelisis de Cookies(cdocuments and settingltusersgtcookies)
Utilizacioacuten de un ldquoCookie Viewerrdquo
Seguridad de las redes
SERVICIOS WEB SEGURIDADbullLas necesidades- Identificar el usuario y sus autorizaciones- Asegurar los intercambios de informaciones- Prohibir la posibilidad de negar una transaccioacuten
bullLas soluciones- Utilizar un algoritmo de cifrado (PGP RSA DES TripleDES)- Integrar el cifrado en el protocolo HTTP (hecho por Netscape con su
oferta llamada Secure Socket Layer y integrada en la norma HTTPS)- Trabajar con claves de cifrado (certificado electroacutenico ndash norma X509) La
gestioacuten de las claves necesita la definicioacuten en la empresa de un PKI (Public Key Infrastructure)
- Utilizar sistemas transaccionales- Indicado al usuario en el navegador por siacutembolos
Seguridad de las redes
Cifrado y HTTPS
bullLos principios de los meacutetodos de cifrado
Clave simeacutetrica los paquetes son cifrados y descifrados con el mismo algoritmo y la misma clave numeacuterica (DES TripleDES)
- Clave asimeacutetrica los paquetes son cifrados con el mismo algoritmo pero la clave inicial no puede ser utilizada para invertir el proceso El descifrado necesita una clave uacutenica vinculada a la primera por relaciones matemaacuteticas (RSA PGP)
- La fuerza del coacutedigo depende de la complexidad de la(s) clave(s) (en numero de cifras)
Seguridad de las redes
bull Principio de intercambio de claves de cifrado para establecer una comunicacioacuten SSL
Generacioacuten de un juego de claves (1C1D)
Envioacute de la clave 1C (clave publica) sin cifrado
Generacioacuten de un juego de claves (2C2D)
1C
Cifrado de la clave 2C con 1C
Envioacute de la clave 2C cifrada (seguridad alta)2C (certificado electroacutenico)
Generacioacuten de una clave de cifrado para el Tuacutenel (CT)
Cifrado de la clave CT con 2C
Descifrado de la clave 2C con 1D (completamente secreta)
Envioacute de la clave CT (clave simeacutetrica) cifrada (seguridad alta) CT
Intercambio cifrado con CT Intercambio cifrado con CT
Descifrado de la clave CT con 2D (completamente secreta)
Seguridad de las redes
Taller
Historia de RSA firma digital y certificados X509
Anaacutelisis de comunicaciones cifradas en HTTPS con un banco
Anaacutelisis de certificados de seguridad
Seguridad de las redes
Seguridad y WEB 2
bullPropuesto en 2004 por OrsquoReilly Media (WEB 20)
bullUn nombre geneacuterico para los servicios nuevos de Internet de estos uacuteltimos antildeos
- Social Networking Sites- Folksonomy (como Wikipedia wikis blogs Youtubehellip)- Y otros sitios orientados relaciones humanas
bullEn general sitios con nivel de seguridad muy pobre sin control Riesgo de divulgacioacuten de datos confidenciales
Seguridad de las redes
Taller
Historia del concepto WEB2
Concepto y lista de ldquoRed Socialrdquo(Social Networking Sites)
Exploracioacuten de sitios WEB2wwwfinclucom delicious
wwwflickrcom wwwzooomrcomflofcomar
www43thingscom
Seguridad de las redes
bullLa historia
- Creacioacuten de la nocioacuten de pagina Web en los antildeos 90 por Tim Berners Lee (responsable de la gestioacuten de las documentaciones del CERN en Ginebra)
- La idea ser capaz de integrar en una pagina de texto electroacutenico viacutenculos con otras paginas (importante para los artiacuteculos cientiacuteficos)
- La realizacioacuten creacioacuten del protocolo Hypertext y de la nocioacuten de URL (Uniform Ressource Locator)
- Marc Andreesseen (Universidad del Illinois) a evolucionado el protocolo insertando el grafico (MOSAIC)
SERVICIOS WEB - TECNOLOGIacuteAS DE BASE
Seguridad de las redes
bullLos principios HTTP
- Protocolo de intercambio entre el servidor y el navegador (HyperTextTransfert Protocol)
- Basado sobre los URL (httpIdPwdserverportpathpathfileparameters) utilizando uacutenicamente los 128 primeros coacutedigos US ascii
- ldquoStatelessrdquo El protocolo olvida todas las configuraciones del usuario cada vez que el navegador es cerrado =gt necesitad de otras tecnicas para guardar el contexto Re-escritura de los URL (ajuntando paraacutemetros id=xxxxxx) Paraacutemetros escondidos en la pagina Web (con el orden HTTP ldquopostrdquo) Cookies (un fichero de texto escrito sobre el computador cliente con
las informaciones de contexto)
Seguridad de las redes
bull Los principios contenido de un COOKIE
Nombre Nombre del cookie sobre el disco duro
Valor El valor de contexto necesario para el sitio Web consultado (uno por cookie)
Valididad Fecha de fin de vida Despueacutes esta fecha el navegador rechaza el acceso al cookie
Servidor(es) Lista de servidores autorizados a consultar el cookie
Pagina(s) Lista de paginas autorizadas a consultar el cookie
Asegurado True o False si True el cookie se puede consultar uacutenicamente con un acceso asegurado
Seguridad de las redes
bull Los principios HTML
- Lenguaje informaacutetico para escribir paginas Web (HyperTextMarkup Language)- El navegador es un interpretador de HTML- Siempre en evolucioacuten (norma actual = 40) publico
lthtmlgtltheadgtltTITLEgtUNEltTITLEgtltheadgtltFRAMESET COLS=0 FRAMEBORDER=NO
BORDER=0 FRAMESPACING=0gtltFRAME
SRC=seccionesUNEHOMEseccion_HTMLhtml NAME=menu FRAMEBORDER=NO MARGINWIDTH=0 MARGINHEIGHT=0 noresizeSCROLLING=AUTOgt
ltFRAME SRC=blankhtml NAME=____contenido FRAMEBORDER=NO noresize SCROLLING=AUTO MARGINWIDTH=0 MARGINHEIGHT=0gtltFRAMESETgtltNOFRAMESgt DescripcionltNOFRAMESgt
ltHTMLgt
Seguridad de las redes
bull Los principios limitaciones de HTML
- No interaccioacuten con el equipo cliente (histoacutericamente un lenguaje de presentacioacuten)pobre en funciones graficasPor eso creacioacuten de evoluciones a lado del lenguaje principal (para asegurar la compatibilidad) CSS XMLXSL DHTML
- Muy pobre en funcionalidades interactivas con el usuario (cliente inteligente) Utilizacioacuten de tecnologiacuteas complementarias Plug-In ActiveX JAVA Scripts y modelos de documentos
Seguridad de las redes
bull Los principios cliente inteligente
- 2 tecnologiacuteas compiladas Plug-ins ActiveX
- 2 tecnologiacuteas interpretadas Scripts Java
- La tecnologiacuteas compiladas son mas raacutepidas pero el programa descargado es especificado a el equipo
- Los plug-in y los componentes ActiveX son descargados y instalados una vez definitivamente con una programa de verificacioacuten automaacutetica de versioacuten
- Scripts y aplicaciones Java (applet) son descargadas cada vez que la memoria permanente del navegador es vaciada
Seguridad de las redes
bullLos principios PLUG-IN
- Especificaciones abiertas al puacuteblico- Desarrollado en C o C++- Un Plug-in para IE sobre Windows no puede funcionar en IE sobre
MacOS (compilado)- Los mas conocidos son los Plug-In multimedia
bullLos principios ActiveX
- Componentes Objetos (C++) proponiendo por Microsoft en su arquitectura COMDCOM
- Dedicados a Internet Explorer y Windows (existe una oferta para Unix Mac y sistemas IBM muy poco utilizada)
- Posibilidad de reutilizar los ActiveX integrados en programas Microsoft (MsOffice MsProjecthellip) y otros sobre el computador cliente
- Utilizados por numerosos proveedores de soluciones WEB
Seguridad de las redes
bullLos principios JAVA
- Especificaciones abiertas al puacuteblico una oferta de SUN- Interpretado (maquina virtual JAVA) por eso independiente de la
plataforma- Muy pesado en Kbits a descargar puede ser lento a la ejecucioacuten- Gestioacuten automaacutetica de versioacuten para las maquina virtual JAVA- Numerosos problemas de compatibilidad encontrados entre las
versiones- Posibilidad de crear componentes JAVA reutilizables (JAVA es un
lenguaje objeto) llamados JAVABEANS- Un lenguaje complejo a dominar para crear ldquoAppletsrdquo
httpjavasuncomdocsbookstutorial
Seguridad de las redes
bullLos principios servidor dinaacutemico
- Paginas estaacuteticas (guardadas sobre el disco duro del servidor) no pueden servir de apoyo para informaciones en tiempo real (horarios sitios de ventahellip)
- Necesitad de crear dinaacutemicamente paginas en la memoria del servidor
- 3 tecnologiacuteas estandartes script CGI propietarias de bajo nivel NSAPI ISAPI APACHE APIhellip propietarias de alto nivel ASP JAVA NET Coldfusion PHP JSPhellip
Seguridad de las redes
Taller
Demostraciones de Plug-In
Anaacutelisis de Cookies(cdocuments and settingltusersgtcookies)
Utilizacioacuten de un ldquoCookie Viewerrdquo
Seguridad de las redes
SERVICIOS WEB SEGURIDADbullLas necesidades- Identificar el usuario y sus autorizaciones- Asegurar los intercambios de informaciones- Prohibir la posibilidad de negar una transaccioacuten
bullLas soluciones- Utilizar un algoritmo de cifrado (PGP RSA DES TripleDES)- Integrar el cifrado en el protocolo HTTP (hecho por Netscape con su
oferta llamada Secure Socket Layer y integrada en la norma HTTPS)- Trabajar con claves de cifrado (certificado electroacutenico ndash norma X509) La
gestioacuten de las claves necesita la definicioacuten en la empresa de un PKI (Public Key Infrastructure)
- Utilizar sistemas transaccionales- Indicado al usuario en el navegador por siacutembolos
Seguridad de las redes
Cifrado y HTTPS
bullLos principios de los meacutetodos de cifrado
Clave simeacutetrica los paquetes son cifrados y descifrados con el mismo algoritmo y la misma clave numeacuterica (DES TripleDES)
- Clave asimeacutetrica los paquetes son cifrados con el mismo algoritmo pero la clave inicial no puede ser utilizada para invertir el proceso El descifrado necesita una clave uacutenica vinculada a la primera por relaciones matemaacuteticas (RSA PGP)
- La fuerza del coacutedigo depende de la complexidad de la(s) clave(s) (en numero de cifras)
Seguridad de las redes
bull Principio de intercambio de claves de cifrado para establecer una comunicacioacuten SSL
Generacioacuten de un juego de claves (1C1D)
Envioacute de la clave 1C (clave publica) sin cifrado
Generacioacuten de un juego de claves (2C2D)
1C
Cifrado de la clave 2C con 1C
Envioacute de la clave 2C cifrada (seguridad alta)2C (certificado electroacutenico)
Generacioacuten de una clave de cifrado para el Tuacutenel (CT)
Cifrado de la clave CT con 2C
Descifrado de la clave 2C con 1D (completamente secreta)
Envioacute de la clave CT (clave simeacutetrica) cifrada (seguridad alta) CT
Intercambio cifrado con CT Intercambio cifrado con CT
Descifrado de la clave CT con 2D (completamente secreta)
Seguridad de las redes
Taller
Historia de RSA firma digital y certificados X509
Anaacutelisis de comunicaciones cifradas en HTTPS con un banco
Anaacutelisis de certificados de seguridad
Seguridad de las redes
Seguridad y WEB 2
bullPropuesto en 2004 por OrsquoReilly Media (WEB 20)
bullUn nombre geneacuterico para los servicios nuevos de Internet de estos uacuteltimos antildeos
- Social Networking Sites- Folksonomy (como Wikipedia wikis blogs Youtubehellip)- Y otros sitios orientados relaciones humanas
bullEn general sitios con nivel de seguridad muy pobre sin control Riesgo de divulgacioacuten de datos confidenciales
Seguridad de las redes
Taller
Historia del concepto WEB2
Concepto y lista de ldquoRed Socialrdquo(Social Networking Sites)
Exploracioacuten de sitios WEB2wwwfinclucom delicious
wwwflickrcom wwwzooomrcomflofcomar
www43thingscom
Seguridad de las redes
bullLos principios HTTP
- Protocolo de intercambio entre el servidor y el navegador (HyperTextTransfert Protocol)
- Basado sobre los URL (httpIdPwdserverportpathpathfileparameters) utilizando uacutenicamente los 128 primeros coacutedigos US ascii
- ldquoStatelessrdquo El protocolo olvida todas las configuraciones del usuario cada vez que el navegador es cerrado =gt necesitad de otras tecnicas para guardar el contexto Re-escritura de los URL (ajuntando paraacutemetros id=xxxxxx) Paraacutemetros escondidos en la pagina Web (con el orden HTTP ldquopostrdquo) Cookies (un fichero de texto escrito sobre el computador cliente con
las informaciones de contexto)
Seguridad de las redes
bull Los principios contenido de un COOKIE
Nombre Nombre del cookie sobre el disco duro
Valor El valor de contexto necesario para el sitio Web consultado (uno por cookie)
Valididad Fecha de fin de vida Despueacutes esta fecha el navegador rechaza el acceso al cookie
Servidor(es) Lista de servidores autorizados a consultar el cookie
Pagina(s) Lista de paginas autorizadas a consultar el cookie
Asegurado True o False si True el cookie se puede consultar uacutenicamente con un acceso asegurado
Seguridad de las redes
bull Los principios HTML
- Lenguaje informaacutetico para escribir paginas Web (HyperTextMarkup Language)- El navegador es un interpretador de HTML- Siempre en evolucioacuten (norma actual = 40) publico
lthtmlgtltheadgtltTITLEgtUNEltTITLEgtltheadgtltFRAMESET COLS=0 FRAMEBORDER=NO
BORDER=0 FRAMESPACING=0gtltFRAME
SRC=seccionesUNEHOMEseccion_HTMLhtml NAME=menu FRAMEBORDER=NO MARGINWIDTH=0 MARGINHEIGHT=0 noresizeSCROLLING=AUTOgt
ltFRAME SRC=blankhtml NAME=____contenido FRAMEBORDER=NO noresize SCROLLING=AUTO MARGINWIDTH=0 MARGINHEIGHT=0gtltFRAMESETgtltNOFRAMESgt DescripcionltNOFRAMESgt
ltHTMLgt
Seguridad de las redes
bull Los principios limitaciones de HTML
- No interaccioacuten con el equipo cliente (histoacutericamente un lenguaje de presentacioacuten)pobre en funciones graficasPor eso creacioacuten de evoluciones a lado del lenguaje principal (para asegurar la compatibilidad) CSS XMLXSL DHTML
- Muy pobre en funcionalidades interactivas con el usuario (cliente inteligente) Utilizacioacuten de tecnologiacuteas complementarias Plug-In ActiveX JAVA Scripts y modelos de documentos
Seguridad de las redes
bull Los principios cliente inteligente
- 2 tecnologiacuteas compiladas Plug-ins ActiveX
- 2 tecnologiacuteas interpretadas Scripts Java
- La tecnologiacuteas compiladas son mas raacutepidas pero el programa descargado es especificado a el equipo
- Los plug-in y los componentes ActiveX son descargados y instalados una vez definitivamente con una programa de verificacioacuten automaacutetica de versioacuten
- Scripts y aplicaciones Java (applet) son descargadas cada vez que la memoria permanente del navegador es vaciada
Seguridad de las redes
bullLos principios PLUG-IN
- Especificaciones abiertas al puacuteblico- Desarrollado en C o C++- Un Plug-in para IE sobre Windows no puede funcionar en IE sobre
MacOS (compilado)- Los mas conocidos son los Plug-In multimedia
bullLos principios ActiveX
- Componentes Objetos (C++) proponiendo por Microsoft en su arquitectura COMDCOM
- Dedicados a Internet Explorer y Windows (existe una oferta para Unix Mac y sistemas IBM muy poco utilizada)
- Posibilidad de reutilizar los ActiveX integrados en programas Microsoft (MsOffice MsProjecthellip) y otros sobre el computador cliente
- Utilizados por numerosos proveedores de soluciones WEB
Seguridad de las redes
bullLos principios JAVA
- Especificaciones abiertas al puacuteblico una oferta de SUN- Interpretado (maquina virtual JAVA) por eso independiente de la
plataforma- Muy pesado en Kbits a descargar puede ser lento a la ejecucioacuten- Gestioacuten automaacutetica de versioacuten para las maquina virtual JAVA- Numerosos problemas de compatibilidad encontrados entre las
versiones- Posibilidad de crear componentes JAVA reutilizables (JAVA es un
lenguaje objeto) llamados JAVABEANS- Un lenguaje complejo a dominar para crear ldquoAppletsrdquo
httpjavasuncomdocsbookstutorial
Seguridad de las redes
bullLos principios servidor dinaacutemico
- Paginas estaacuteticas (guardadas sobre el disco duro del servidor) no pueden servir de apoyo para informaciones en tiempo real (horarios sitios de ventahellip)
- Necesitad de crear dinaacutemicamente paginas en la memoria del servidor
- 3 tecnologiacuteas estandartes script CGI propietarias de bajo nivel NSAPI ISAPI APACHE APIhellip propietarias de alto nivel ASP JAVA NET Coldfusion PHP JSPhellip
Seguridad de las redes
Taller
Demostraciones de Plug-In
Anaacutelisis de Cookies(cdocuments and settingltusersgtcookies)
Utilizacioacuten de un ldquoCookie Viewerrdquo
Seguridad de las redes
SERVICIOS WEB SEGURIDADbullLas necesidades- Identificar el usuario y sus autorizaciones- Asegurar los intercambios de informaciones- Prohibir la posibilidad de negar una transaccioacuten
bullLas soluciones- Utilizar un algoritmo de cifrado (PGP RSA DES TripleDES)- Integrar el cifrado en el protocolo HTTP (hecho por Netscape con su
oferta llamada Secure Socket Layer y integrada en la norma HTTPS)- Trabajar con claves de cifrado (certificado electroacutenico ndash norma X509) La
gestioacuten de las claves necesita la definicioacuten en la empresa de un PKI (Public Key Infrastructure)
- Utilizar sistemas transaccionales- Indicado al usuario en el navegador por siacutembolos
Seguridad de las redes
Cifrado y HTTPS
bullLos principios de los meacutetodos de cifrado
Clave simeacutetrica los paquetes son cifrados y descifrados con el mismo algoritmo y la misma clave numeacuterica (DES TripleDES)
- Clave asimeacutetrica los paquetes son cifrados con el mismo algoritmo pero la clave inicial no puede ser utilizada para invertir el proceso El descifrado necesita una clave uacutenica vinculada a la primera por relaciones matemaacuteticas (RSA PGP)
- La fuerza del coacutedigo depende de la complexidad de la(s) clave(s) (en numero de cifras)
Seguridad de las redes
bull Principio de intercambio de claves de cifrado para establecer una comunicacioacuten SSL
Generacioacuten de un juego de claves (1C1D)
Envioacute de la clave 1C (clave publica) sin cifrado
Generacioacuten de un juego de claves (2C2D)
1C
Cifrado de la clave 2C con 1C
Envioacute de la clave 2C cifrada (seguridad alta)2C (certificado electroacutenico)
Generacioacuten de una clave de cifrado para el Tuacutenel (CT)
Cifrado de la clave CT con 2C
Descifrado de la clave 2C con 1D (completamente secreta)
Envioacute de la clave CT (clave simeacutetrica) cifrada (seguridad alta) CT
Intercambio cifrado con CT Intercambio cifrado con CT
Descifrado de la clave CT con 2D (completamente secreta)
Seguridad de las redes
Taller
Historia de RSA firma digital y certificados X509
Anaacutelisis de comunicaciones cifradas en HTTPS con un banco
Anaacutelisis de certificados de seguridad
Seguridad de las redes
Seguridad y WEB 2
bullPropuesto en 2004 por OrsquoReilly Media (WEB 20)
bullUn nombre geneacuterico para los servicios nuevos de Internet de estos uacuteltimos antildeos
- Social Networking Sites- Folksonomy (como Wikipedia wikis blogs Youtubehellip)- Y otros sitios orientados relaciones humanas
bullEn general sitios con nivel de seguridad muy pobre sin control Riesgo de divulgacioacuten de datos confidenciales
Seguridad de las redes
Taller
Historia del concepto WEB2
Concepto y lista de ldquoRed Socialrdquo(Social Networking Sites)
Exploracioacuten de sitios WEB2wwwfinclucom delicious
wwwflickrcom wwwzooomrcomflofcomar
www43thingscom
Seguridad de las redes
bull Los principios contenido de un COOKIE
Nombre Nombre del cookie sobre el disco duro
Valor El valor de contexto necesario para el sitio Web consultado (uno por cookie)
Valididad Fecha de fin de vida Despueacutes esta fecha el navegador rechaza el acceso al cookie
Servidor(es) Lista de servidores autorizados a consultar el cookie
Pagina(s) Lista de paginas autorizadas a consultar el cookie
Asegurado True o False si True el cookie se puede consultar uacutenicamente con un acceso asegurado
Seguridad de las redes
bull Los principios HTML
- Lenguaje informaacutetico para escribir paginas Web (HyperTextMarkup Language)- El navegador es un interpretador de HTML- Siempre en evolucioacuten (norma actual = 40) publico
lthtmlgtltheadgtltTITLEgtUNEltTITLEgtltheadgtltFRAMESET COLS=0 FRAMEBORDER=NO
BORDER=0 FRAMESPACING=0gtltFRAME
SRC=seccionesUNEHOMEseccion_HTMLhtml NAME=menu FRAMEBORDER=NO MARGINWIDTH=0 MARGINHEIGHT=0 noresizeSCROLLING=AUTOgt
ltFRAME SRC=blankhtml NAME=____contenido FRAMEBORDER=NO noresize SCROLLING=AUTO MARGINWIDTH=0 MARGINHEIGHT=0gtltFRAMESETgtltNOFRAMESgt DescripcionltNOFRAMESgt
ltHTMLgt
Seguridad de las redes
bull Los principios limitaciones de HTML
- No interaccioacuten con el equipo cliente (histoacutericamente un lenguaje de presentacioacuten)pobre en funciones graficasPor eso creacioacuten de evoluciones a lado del lenguaje principal (para asegurar la compatibilidad) CSS XMLXSL DHTML
- Muy pobre en funcionalidades interactivas con el usuario (cliente inteligente) Utilizacioacuten de tecnologiacuteas complementarias Plug-In ActiveX JAVA Scripts y modelos de documentos
Seguridad de las redes
bull Los principios cliente inteligente
- 2 tecnologiacuteas compiladas Plug-ins ActiveX
- 2 tecnologiacuteas interpretadas Scripts Java
- La tecnologiacuteas compiladas son mas raacutepidas pero el programa descargado es especificado a el equipo
- Los plug-in y los componentes ActiveX son descargados y instalados una vez definitivamente con una programa de verificacioacuten automaacutetica de versioacuten
- Scripts y aplicaciones Java (applet) son descargadas cada vez que la memoria permanente del navegador es vaciada
Seguridad de las redes
bullLos principios PLUG-IN
- Especificaciones abiertas al puacuteblico- Desarrollado en C o C++- Un Plug-in para IE sobre Windows no puede funcionar en IE sobre
MacOS (compilado)- Los mas conocidos son los Plug-In multimedia
bullLos principios ActiveX
- Componentes Objetos (C++) proponiendo por Microsoft en su arquitectura COMDCOM
- Dedicados a Internet Explorer y Windows (existe una oferta para Unix Mac y sistemas IBM muy poco utilizada)
- Posibilidad de reutilizar los ActiveX integrados en programas Microsoft (MsOffice MsProjecthellip) y otros sobre el computador cliente
- Utilizados por numerosos proveedores de soluciones WEB
Seguridad de las redes
bullLos principios JAVA
- Especificaciones abiertas al puacuteblico una oferta de SUN- Interpretado (maquina virtual JAVA) por eso independiente de la
plataforma- Muy pesado en Kbits a descargar puede ser lento a la ejecucioacuten- Gestioacuten automaacutetica de versioacuten para las maquina virtual JAVA- Numerosos problemas de compatibilidad encontrados entre las
versiones- Posibilidad de crear componentes JAVA reutilizables (JAVA es un
lenguaje objeto) llamados JAVABEANS- Un lenguaje complejo a dominar para crear ldquoAppletsrdquo
httpjavasuncomdocsbookstutorial
Seguridad de las redes
bullLos principios servidor dinaacutemico
- Paginas estaacuteticas (guardadas sobre el disco duro del servidor) no pueden servir de apoyo para informaciones en tiempo real (horarios sitios de ventahellip)
- Necesitad de crear dinaacutemicamente paginas en la memoria del servidor
- 3 tecnologiacuteas estandartes script CGI propietarias de bajo nivel NSAPI ISAPI APACHE APIhellip propietarias de alto nivel ASP JAVA NET Coldfusion PHP JSPhellip
Seguridad de las redes
Taller
Demostraciones de Plug-In
Anaacutelisis de Cookies(cdocuments and settingltusersgtcookies)
Utilizacioacuten de un ldquoCookie Viewerrdquo
Seguridad de las redes
SERVICIOS WEB SEGURIDADbullLas necesidades- Identificar el usuario y sus autorizaciones- Asegurar los intercambios de informaciones- Prohibir la posibilidad de negar una transaccioacuten
bullLas soluciones- Utilizar un algoritmo de cifrado (PGP RSA DES TripleDES)- Integrar el cifrado en el protocolo HTTP (hecho por Netscape con su
oferta llamada Secure Socket Layer y integrada en la norma HTTPS)- Trabajar con claves de cifrado (certificado electroacutenico ndash norma X509) La
gestioacuten de las claves necesita la definicioacuten en la empresa de un PKI (Public Key Infrastructure)
- Utilizar sistemas transaccionales- Indicado al usuario en el navegador por siacutembolos
Seguridad de las redes
Cifrado y HTTPS
bullLos principios de los meacutetodos de cifrado
Clave simeacutetrica los paquetes son cifrados y descifrados con el mismo algoritmo y la misma clave numeacuterica (DES TripleDES)
- Clave asimeacutetrica los paquetes son cifrados con el mismo algoritmo pero la clave inicial no puede ser utilizada para invertir el proceso El descifrado necesita una clave uacutenica vinculada a la primera por relaciones matemaacuteticas (RSA PGP)
- La fuerza del coacutedigo depende de la complexidad de la(s) clave(s) (en numero de cifras)
Seguridad de las redes
bull Principio de intercambio de claves de cifrado para establecer una comunicacioacuten SSL
Generacioacuten de un juego de claves (1C1D)
Envioacute de la clave 1C (clave publica) sin cifrado
Generacioacuten de un juego de claves (2C2D)
1C
Cifrado de la clave 2C con 1C
Envioacute de la clave 2C cifrada (seguridad alta)2C (certificado electroacutenico)
Generacioacuten de una clave de cifrado para el Tuacutenel (CT)
Cifrado de la clave CT con 2C
Descifrado de la clave 2C con 1D (completamente secreta)
Envioacute de la clave CT (clave simeacutetrica) cifrada (seguridad alta) CT
Intercambio cifrado con CT Intercambio cifrado con CT
Descifrado de la clave CT con 2D (completamente secreta)
Seguridad de las redes
Taller
Historia de RSA firma digital y certificados X509
Anaacutelisis de comunicaciones cifradas en HTTPS con un banco
Anaacutelisis de certificados de seguridad
Seguridad de las redes
Seguridad y WEB 2
bullPropuesto en 2004 por OrsquoReilly Media (WEB 20)
bullUn nombre geneacuterico para los servicios nuevos de Internet de estos uacuteltimos antildeos
- Social Networking Sites- Folksonomy (como Wikipedia wikis blogs Youtubehellip)- Y otros sitios orientados relaciones humanas
bullEn general sitios con nivel de seguridad muy pobre sin control Riesgo de divulgacioacuten de datos confidenciales
Seguridad de las redes
Taller
Historia del concepto WEB2
Concepto y lista de ldquoRed Socialrdquo(Social Networking Sites)
Exploracioacuten de sitios WEB2wwwfinclucom delicious
wwwflickrcom wwwzooomrcomflofcomar
www43thingscom
Seguridad de las redes
bull Los principios HTML
- Lenguaje informaacutetico para escribir paginas Web (HyperTextMarkup Language)- El navegador es un interpretador de HTML- Siempre en evolucioacuten (norma actual = 40) publico
lthtmlgtltheadgtltTITLEgtUNEltTITLEgtltheadgtltFRAMESET COLS=0 FRAMEBORDER=NO
BORDER=0 FRAMESPACING=0gtltFRAME
SRC=seccionesUNEHOMEseccion_HTMLhtml NAME=menu FRAMEBORDER=NO MARGINWIDTH=0 MARGINHEIGHT=0 noresizeSCROLLING=AUTOgt
ltFRAME SRC=blankhtml NAME=____contenido FRAMEBORDER=NO noresize SCROLLING=AUTO MARGINWIDTH=0 MARGINHEIGHT=0gtltFRAMESETgtltNOFRAMESgt DescripcionltNOFRAMESgt
ltHTMLgt
Seguridad de las redes
bull Los principios limitaciones de HTML
- No interaccioacuten con el equipo cliente (histoacutericamente un lenguaje de presentacioacuten)pobre en funciones graficasPor eso creacioacuten de evoluciones a lado del lenguaje principal (para asegurar la compatibilidad) CSS XMLXSL DHTML
- Muy pobre en funcionalidades interactivas con el usuario (cliente inteligente) Utilizacioacuten de tecnologiacuteas complementarias Plug-In ActiveX JAVA Scripts y modelos de documentos
Seguridad de las redes
bull Los principios cliente inteligente
- 2 tecnologiacuteas compiladas Plug-ins ActiveX
- 2 tecnologiacuteas interpretadas Scripts Java
- La tecnologiacuteas compiladas son mas raacutepidas pero el programa descargado es especificado a el equipo
- Los plug-in y los componentes ActiveX son descargados y instalados una vez definitivamente con una programa de verificacioacuten automaacutetica de versioacuten
- Scripts y aplicaciones Java (applet) son descargadas cada vez que la memoria permanente del navegador es vaciada
Seguridad de las redes
bullLos principios PLUG-IN
- Especificaciones abiertas al puacuteblico- Desarrollado en C o C++- Un Plug-in para IE sobre Windows no puede funcionar en IE sobre
MacOS (compilado)- Los mas conocidos son los Plug-In multimedia
bullLos principios ActiveX
- Componentes Objetos (C++) proponiendo por Microsoft en su arquitectura COMDCOM
- Dedicados a Internet Explorer y Windows (existe una oferta para Unix Mac y sistemas IBM muy poco utilizada)
- Posibilidad de reutilizar los ActiveX integrados en programas Microsoft (MsOffice MsProjecthellip) y otros sobre el computador cliente
- Utilizados por numerosos proveedores de soluciones WEB
Seguridad de las redes
bullLos principios JAVA
- Especificaciones abiertas al puacuteblico una oferta de SUN- Interpretado (maquina virtual JAVA) por eso independiente de la
plataforma- Muy pesado en Kbits a descargar puede ser lento a la ejecucioacuten- Gestioacuten automaacutetica de versioacuten para las maquina virtual JAVA- Numerosos problemas de compatibilidad encontrados entre las
versiones- Posibilidad de crear componentes JAVA reutilizables (JAVA es un
lenguaje objeto) llamados JAVABEANS- Un lenguaje complejo a dominar para crear ldquoAppletsrdquo
httpjavasuncomdocsbookstutorial
Seguridad de las redes
bullLos principios servidor dinaacutemico
- Paginas estaacuteticas (guardadas sobre el disco duro del servidor) no pueden servir de apoyo para informaciones en tiempo real (horarios sitios de ventahellip)
- Necesitad de crear dinaacutemicamente paginas en la memoria del servidor
- 3 tecnologiacuteas estandartes script CGI propietarias de bajo nivel NSAPI ISAPI APACHE APIhellip propietarias de alto nivel ASP JAVA NET Coldfusion PHP JSPhellip
Seguridad de las redes
Taller
Demostraciones de Plug-In
Anaacutelisis de Cookies(cdocuments and settingltusersgtcookies)
Utilizacioacuten de un ldquoCookie Viewerrdquo
Seguridad de las redes
SERVICIOS WEB SEGURIDADbullLas necesidades- Identificar el usuario y sus autorizaciones- Asegurar los intercambios de informaciones- Prohibir la posibilidad de negar una transaccioacuten
bullLas soluciones- Utilizar un algoritmo de cifrado (PGP RSA DES TripleDES)- Integrar el cifrado en el protocolo HTTP (hecho por Netscape con su
oferta llamada Secure Socket Layer y integrada en la norma HTTPS)- Trabajar con claves de cifrado (certificado electroacutenico ndash norma X509) La
gestioacuten de las claves necesita la definicioacuten en la empresa de un PKI (Public Key Infrastructure)
- Utilizar sistemas transaccionales- Indicado al usuario en el navegador por siacutembolos
Seguridad de las redes
Cifrado y HTTPS
bullLos principios de los meacutetodos de cifrado
Clave simeacutetrica los paquetes son cifrados y descifrados con el mismo algoritmo y la misma clave numeacuterica (DES TripleDES)
- Clave asimeacutetrica los paquetes son cifrados con el mismo algoritmo pero la clave inicial no puede ser utilizada para invertir el proceso El descifrado necesita una clave uacutenica vinculada a la primera por relaciones matemaacuteticas (RSA PGP)
- La fuerza del coacutedigo depende de la complexidad de la(s) clave(s) (en numero de cifras)
Seguridad de las redes
bull Principio de intercambio de claves de cifrado para establecer una comunicacioacuten SSL
Generacioacuten de un juego de claves (1C1D)
Envioacute de la clave 1C (clave publica) sin cifrado
Generacioacuten de un juego de claves (2C2D)
1C
Cifrado de la clave 2C con 1C
Envioacute de la clave 2C cifrada (seguridad alta)2C (certificado electroacutenico)
Generacioacuten de una clave de cifrado para el Tuacutenel (CT)
Cifrado de la clave CT con 2C
Descifrado de la clave 2C con 1D (completamente secreta)
Envioacute de la clave CT (clave simeacutetrica) cifrada (seguridad alta) CT
Intercambio cifrado con CT Intercambio cifrado con CT
Descifrado de la clave CT con 2D (completamente secreta)
Seguridad de las redes
Taller
Historia de RSA firma digital y certificados X509
Anaacutelisis de comunicaciones cifradas en HTTPS con un banco
Anaacutelisis de certificados de seguridad
Seguridad de las redes
Seguridad y WEB 2
bullPropuesto en 2004 por OrsquoReilly Media (WEB 20)
bullUn nombre geneacuterico para los servicios nuevos de Internet de estos uacuteltimos antildeos
- Social Networking Sites- Folksonomy (como Wikipedia wikis blogs Youtubehellip)- Y otros sitios orientados relaciones humanas
bullEn general sitios con nivel de seguridad muy pobre sin control Riesgo de divulgacioacuten de datos confidenciales
Seguridad de las redes
Taller
Historia del concepto WEB2
Concepto y lista de ldquoRed Socialrdquo(Social Networking Sites)
Exploracioacuten de sitios WEB2wwwfinclucom delicious
wwwflickrcom wwwzooomrcomflofcomar
www43thingscom
Seguridad de las redes
bull Los principios limitaciones de HTML
- No interaccioacuten con el equipo cliente (histoacutericamente un lenguaje de presentacioacuten)pobre en funciones graficasPor eso creacioacuten de evoluciones a lado del lenguaje principal (para asegurar la compatibilidad) CSS XMLXSL DHTML
- Muy pobre en funcionalidades interactivas con el usuario (cliente inteligente) Utilizacioacuten de tecnologiacuteas complementarias Plug-In ActiveX JAVA Scripts y modelos de documentos
Seguridad de las redes
bull Los principios cliente inteligente
- 2 tecnologiacuteas compiladas Plug-ins ActiveX
- 2 tecnologiacuteas interpretadas Scripts Java
- La tecnologiacuteas compiladas son mas raacutepidas pero el programa descargado es especificado a el equipo
- Los plug-in y los componentes ActiveX son descargados y instalados una vez definitivamente con una programa de verificacioacuten automaacutetica de versioacuten
- Scripts y aplicaciones Java (applet) son descargadas cada vez que la memoria permanente del navegador es vaciada
Seguridad de las redes
bullLos principios PLUG-IN
- Especificaciones abiertas al puacuteblico- Desarrollado en C o C++- Un Plug-in para IE sobre Windows no puede funcionar en IE sobre
MacOS (compilado)- Los mas conocidos son los Plug-In multimedia
bullLos principios ActiveX
- Componentes Objetos (C++) proponiendo por Microsoft en su arquitectura COMDCOM
- Dedicados a Internet Explorer y Windows (existe una oferta para Unix Mac y sistemas IBM muy poco utilizada)
- Posibilidad de reutilizar los ActiveX integrados en programas Microsoft (MsOffice MsProjecthellip) y otros sobre el computador cliente
- Utilizados por numerosos proveedores de soluciones WEB
Seguridad de las redes
bullLos principios JAVA
- Especificaciones abiertas al puacuteblico una oferta de SUN- Interpretado (maquina virtual JAVA) por eso independiente de la
plataforma- Muy pesado en Kbits a descargar puede ser lento a la ejecucioacuten- Gestioacuten automaacutetica de versioacuten para las maquina virtual JAVA- Numerosos problemas de compatibilidad encontrados entre las
versiones- Posibilidad de crear componentes JAVA reutilizables (JAVA es un
lenguaje objeto) llamados JAVABEANS- Un lenguaje complejo a dominar para crear ldquoAppletsrdquo
httpjavasuncomdocsbookstutorial
Seguridad de las redes
bullLos principios servidor dinaacutemico
- Paginas estaacuteticas (guardadas sobre el disco duro del servidor) no pueden servir de apoyo para informaciones en tiempo real (horarios sitios de ventahellip)
- Necesitad de crear dinaacutemicamente paginas en la memoria del servidor
- 3 tecnologiacuteas estandartes script CGI propietarias de bajo nivel NSAPI ISAPI APACHE APIhellip propietarias de alto nivel ASP JAVA NET Coldfusion PHP JSPhellip
Seguridad de las redes
Taller
Demostraciones de Plug-In
Anaacutelisis de Cookies(cdocuments and settingltusersgtcookies)
Utilizacioacuten de un ldquoCookie Viewerrdquo
Seguridad de las redes
SERVICIOS WEB SEGURIDADbullLas necesidades- Identificar el usuario y sus autorizaciones- Asegurar los intercambios de informaciones- Prohibir la posibilidad de negar una transaccioacuten
bullLas soluciones- Utilizar un algoritmo de cifrado (PGP RSA DES TripleDES)- Integrar el cifrado en el protocolo HTTP (hecho por Netscape con su
oferta llamada Secure Socket Layer y integrada en la norma HTTPS)- Trabajar con claves de cifrado (certificado electroacutenico ndash norma X509) La
gestioacuten de las claves necesita la definicioacuten en la empresa de un PKI (Public Key Infrastructure)
- Utilizar sistemas transaccionales- Indicado al usuario en el navegador por siacutembolos
Seguridad de las redes
Cifrado y HTTPS
bullLos principios de los meacutetodos de cifrado
Clave simeacutetrica los paquetes son cifrados y descifrados con el mismo algoritmo y la misma clave numeacuterica (DES TripleDES)
- Clave asimeacutetrica los paquetes son cifrados con el mismo algoritmo pero la clave inicial no puede ser utilizada para invertir el proceso El descifrado necesita una clave uacutenica vinculada a la primera por relaciones matemaacuteticas (RSA PGP)
- La fuerza del coacutedigo depende de la complexidad de la(s) clave(s) (en numero de cifras)
Seguridad de las redes
bull Principio de intercambio de claves de cifrado para establecer una comunicacioacuten SSL
Generacioacuten de un juego de claves (1C1D)
Envioacute de la clave 1C (clave publica) sin cifrado
Generacioacuten de un juego de claves (2C2D)
1C
Cifrado de la clave 2C con 1C
Envioacute de la clave 2C cifrada (seguridad alta)2C (certificado electroacutenico)
Generacioacuten de una clave de cifrado para el Tuacutenel (CT)
Cifrado de la clave CT con 2C
Descifrado de la clave 2C con 1D (completamente secreta)
Envioacute de la clave CT (clave simeacutetrica) cifrada (seguridad alta) CT
Intercambio cifrado con CT Intercambio cifrado con CT
Descifrado de la clave CT con 2D (completamente secreta)
Seguridad de las redes
Taller
Historia de RSA firma digital y certificados X509
Anaacutelisis de comunicaciones cifradas en HTTPS con un banco
Anaacutelisis de certificados de seguridad
Seguridad de las redes
Seguridad y WEB 2
bullPropuesto en 2004 por OrsquoReilly Media (WEB 20)
bullUn nombre geneacuterico para los servicios nuevos de Internet de estos uacuteltimos antildeos
- Social Networking Sites- Folksonomy (como Wikipedia wikis blogs Youtubehellip)- Y otros sitios orientados relaciones humanas
bullEn general sitios con nivel de seguridad muy pobre sin control Riesgo de divulgacioacuten de datos confidenciales
Seguridad de las redes
Taller
Historia del concepto WEB2
Concepto y lista de ldquoRed Socialrdquo(Social Networking Sites)
Exploracioacuten de sitios WEB2wwwfinclucom delicious
wwwflickrcom wwwzooomrcomflofcomar
www43thingscom
Seguridad de las redes
bull Los principios cliente inteligente
- 2 tecnologiacuteas compiladas Plug-ins ActiveX
- 2 tecnologiacuteas interpretadas Scripts Java
- La tecnologiacuteas compiladas son mas raacutepidas pero el programa descargado es especificado a el equipo
- Los plug-in y los componentes ActiveX son descargados y instalados una vez definitivamente con una programa de verificacioacuten automaacutetica de versioacuten
- Scripts y aplicaciones Java (applet) son descargadas cada vez que la memoria permanente del navegador es vaciada
Seguridad de las redes
bullLos principios PLUG-IN
- Especificaciones abiertas al puacuteblico- Desarrollado en C o C++- Un Plug-in para IE sobre Windows no puede funcionar en IE sobre
MacOS (compilado)- Los mas conocidos son los Plug-In multimedia
bullLos principios ActiveX
- Componentes Objetos (C++) proponiendo por Microsoft en su arquitectura COMDCOM
- Dedicados a Internet Explorer y Windows (existe una oferta para Unix Mac y sistemas IBM muy poco utilizada)
- Posibilidad de reutilizar los ActiveX integrados en programas Microsoft (MsOffice MsProjecthellip) y otros sobre el computador cliente
- Utilizados por numerosos proveedores de soluciones WEB
Seguridad de las redes
bullLos principios JAVA
- Especificaciones abiertas al puacuteblico una oferta de SUN- Interpretado (maquina virtual JAVA) por eso independiente de la
plataforma- Muy pesado en Kbits a descargar puede ser lento a la ejecucioacuten- Gestioacuten automaacutetica de versioacuten para las maquina virtual JAVA- Numerosos problemas de compatibilidad encontrados entre las
versiones- Posibilidad de crear componentes JAVA reutilizables (JAVA es un
lenguaje objeto) llamados JAVABEANS- Un lenguaje complejo a dominar para crear ldquoAppletsrdquo
httpjavasuncomdocsbookstutorial
Seguridad de las redes
bullLos principios servidor dinaacutemico
- Paginas estaacuteticas (guardadas sobre el disco duro del servidor) no pueden servir de apoyo para informaciones en tiempo real (horarios sitios de ventahellip)
- Necesitad de crear dinaacutemicamente paginas en la memoria del servidor
- 3 tecnologiacuteas estandartes script CGI propietarias de bajo nivel NSAPI ISAPI APACHE APIhellip propietarias de alto nivel ASP JAVA NET Coldfusion PHP JSPhellip
Seguridad de las redes
Taller
Demostraciones de Plug-In
Anaacutelisis de Cookies(cdocuments and settingltusersgtcookies)
Utilizacioacuten de un ldquoCookie Viewerrdquo
Seguridad de las redes
SERVICIOS WEB SEGURIDADbullLas necesidades- Identificar el usuario y sus autorizaciones- Asegurar los intercambios de informaciones- Prohibir la posibilidad de negar una transaccioacuten
bullLas soluciones- Utilizar un algoritmo de cifrado (PGP RSA DES TripleDES)- Integrar el cifrado en el protocolo HTTP (hecho por Netscape con su
oferta llamada Secure Socket Layer y integrada en la norma HTTPS)- Trabajar con claves de cifrado (certificado electroacutenico ndash norma X509) La
gestioacuten de las claves necesita la definicioacuten en la empresa de un PKI (Public Key Infrastructure)
- Utilizar sistemas transaccionales- Indicado al usuario en el navegador por siacutembolos
Seguridad de las redes
Cifrado y HTTPS
bullLos principios de los meacutetodos de cifrado
Clave simeacutetrica los paquetes son cifrados y descifrados con el mismo algoritmo y la misma clave numeacuterica (DES TripleDES)
- Clave asimeacutetrica los paquetes son cifrados con el mismo algoritmo pero la clave inicial no puede ser utilizada para invertir el proceso El descifrado necesita una clave uacutenica vinculada a la primera por relaciones matemaacuteticas (RSA PGP)
- La fuerza del coacutedigo depende de la complexidad de la(s) clave(s) (en numero de cifras)
Seguridad de las redes
bull Principio de intercambio de claves de cifrado para establecer una comunicacioacuten SSL
Generacioacuten de un juego de claves (1C1D)
Envioacute de la clave 1C (clave publica) sin cifrado
Generacioacuten de un juego de claves (2C2D)
1C
Cifrado de la clave 2C con 1C
Envioacute de la clave 2C cifrada (seguridad alta)2C (certificado electroacutenico)
Generacioacuten de una clave de cifrado para el Tuacutenel (CT)
Cifrado de la clave CT con 2C
Descifrado de la clave 2C con 1D (completamente secreta)
Envioacute de la clave CT (clave simeacutetrica) cifrada (seguridad alta) CT
Intercambio cifrado con CT Intercambio cifrado con CT
Descifrado de la clave CT con 2D (completamente secreta)
Seguridad de las redes
Taller
Historia de RSA firma digital y certificados X509
Anaacutelisis de comunicaciones cifradas en HTTPS con un banco
Anaacutelisis de certificados de seguridad
Seguridad de las redes
Seguridad y WEB 2
bullPropuesto en 2004 por OrsquoReilly Media (WEB 20)
bullUn nombre geneacuterico para los servicios nuevos de Internet de estos uacuteltimos antildeos
- Social Networking Sites- Folksonomy (como Wikipedia wikis blogs Youtubehellip)- Y otros sitios orientados relaciones humanas
bullEn general sitios con nivel de seguridad muy pobre sin control Riesgo de divulgacioacuten de datos confidenciales
Seguridad de las redes
Taller
Historia del concepto WEB2
Concepto y lista de ldquoRed Socialrdquo(Social Networking Sites)
Exploracioacuten de sitios WEB2wwwfinclucom delicious
wwwflickrcom wwwzooomrcomflofcomar
www43thingscom
Seguridad de las redes
bullLos principios PLUG-IN
- Especificaciones abiertas al puacuteblico- Desarrollado en C o C++- Un Plug-in para IE sobre Windows no puede funcionar en IE sobre
MacOS (compilado)- Los mas conocidos son los Plug-In multimedia
bullLos principios ActiveX
- Componentes Objetos (C++) proponiendo por Microsoft en su arquitectura COMDCOM
- Dedicados a Internet Explorer y Windows (existe una oferta para Unix Mac y sistemas IBM muy poco utilizada)
- Posibilidad de reutilizar los ActiveX integrados en programas Microsoft (MsOffice MsProjecthellip) y otros sobre el computador cliente
- Utilizados por numerosos proveedores de soluciones WEB
Seguridad de las redes
bullLos principios JAVA
- Especificaciones abiertas al puacuteblico una oferta de SUN- Interpretado (maquina virtual JAVA) por eso independiente de la
plataforma- Muy pesado en Kbits a descargar puede ser lento a la ejecucioacuten- Gestioacuten automaacutetica de versioacuten para las maquina virtual JAVA- Numerosos problemas de compatibilidad encontrados entre las
versiones- Posibilidad de crear componentes JAVA reutilizables (JAVA es un
lenguaje objeto) llamados JAVABEANS- Un lenguaje complejo a dominar para crear ldquoAppletsrdquo
httpjavasuncomdocsbookstutorial
Seguridad de las redes
bullLos principios servidor dinaacutemico
- Paginas estaacuteticas (guardadas sobre el disco duro del servidor) no pueden servir de apoyo para informaciones en tiempo real (horarios sitios de ventahellip)
- Necesitad de crear dinaacutemicamente paginas en la memoria del servidor
- 3 tecnologiacuteas estandartes script CGI propietarias de bajo nivel NSAPI ISAPI APACHE APIhellip propietarias de alto nivel ASP JAVA NET Coldfusion PHP JSPhellip
Seguridad de las redes
Taller
Demostraciones de Plug-In
Anaacutelisis de Cookies(cdocuments and settingltusersgtcookies)
Utilizacioacuten de un ldquoCookie Viewerrdquo
Seguridad de las redes
SERVICIOS WEB SEGURIDADbullLas necesidades- Identificar el usuario y sus autorizaciones- Asegurar los intercambios de informaciones- Prohibir la posibilidad de negar una transaccioacuten
bullLas soluciones- Utilizar un algoritmo de cifrado (PGP RSA DES TripleDES)- Integrar el cifrado en el protocolo HTTP (hecho por Netscape con su
oferta llamada Secure Socket Layer y integrada en la norma HTTPS)- Trabajar con claves de cifrado (certificado electroacutenico ndash norma X509) La
gestioacuten de las claves necesita la definicioacuten en la empresa de un PKI (Public Key Infrastructure)
- Utilizar sistemas transaccionales- Indicado al usuario en el navegador por siacutembolos
Seguridad de las redes
Cifrado y HTTPS
bullLos principios de los meacutetodos de cifrado
Clave simeacutetrica los paquetes son cifrados y descifrados con el mismo algoritmo y la misma clave numeacuterica (DES TripleDES)
- Clave asimeacutetrica los paquetes son cifrados con el mismo algoritmo pero la clave inicial no puede ser utilizada para invertir el proceso El descifrado necesita una clave uacutenica vinculada a la primera por relaciones matemaacuteticas (RSA PGP)
- La fuerza del coacutedigo depende de la complexidad de la(s) clave(s) (en numero de cifras)
Seguridad de las redes
bull Principio de intercambio de claves de cifrado para establecer una comunicacioacuten SSL
Generacioacuten de un juego de claves (1C1D)
Envioacute de la clave 1C (clave publica) sin cifrado
Generacioacuten de un juego de claves (2C2D)
1C
Cifrado de la clave 2C con 1C
Envioacute de la clave 2C cifrada (seguridad alta)2C (certificado electroacutenico)
Generacioacuten de una clave de cifrado para el Tuacutenel (CT)
Cifrado de la clave CT con 2C
Descifrado de la clave 2C con 1D (completamente secreta)
Envioacute de la clave CT (clave simeacutetrica) cifrada (seguridad alta) CT
Intercambio cifrado con CT Intercambio cifrado con CT
Descifrado de la clave CT con 2D (completamente secreta)
Seguridad de las redes
Taller
Historia de RSA firma digital y certificados X509
Anaacutelisis de comunicaciones cifradas en HTTPS con un banco
Anaacutelisis de certificados de seguridad
Seguridad de las redes
Seguridad y WEB 2
bullPropuesto en 2004 por OrsquoReilly Media (WEB 20)
bullUn nombre geneacuterico para los servicios nuevos de Internet de estos uacuteltimos antildeos
- Social Networking Sites- Folksonomy (como Wikipedia wikis blogs Youtubehellip)- Y otros sitios orientados relaciones humanas
bullEn general sitios con nivel de seguridad muy pobre sin control Riesgo de divulgacioacuten de datos confidenciales
Seguridad de las redes
Taller
Historia del concepto WEB2
Concepto y lista de ldquoRed Socialrdquo(Social Networking Sites)
Exploracioacuten de sitios WEB2wwwfinclucom delicious
wwwflickrcom wwwzooomrcomflofcomar
www43thingscom
Seguridad de las redes
bullLos principios JAVA
- Especificaciones abiertas al puacuteblico una oferta de SUN- Interpretado (maquina virtual JAVA) por eso independiente de la
plataforma- Muy pesado en Kbits a descargar puede ser lento a la ejecucioacuten- Gestioacuten automaacutetica de versioacuten para las maquina virtual JAVA- Numerosos problemas de compatibilidad encontrados entre las
versiones- Posibilidad de crear componentes JAVA reutilizables (JAVA es un
lenguaje objeto) llamados JAVABEANS- Un lenguaje complejo a dominar para crear ldquoAppletsrdquo
httpjavasuncomdocsbookstutorial
Seguridad de las redes
bullLos principios servidor dinaacutemico
- Paginas estaacuteticas (guardadas sobre el disco duro del servidor) no pueden servir de apoyo para informaciones en tiempo real (horarios sitios de ventahellip)
- Necesitad de crear dinaacutemicamente paginas en la memoria del servidor
- 3 tecnologiacuteas estandartes script CGI propietarias de bajo nivel NSAPI ISAPI APACHE APIhellip propietarias de alto nivel ASP JAVA NET Coldfusion PHP JSPhellip
Seguridad de las redes
Taller
Demostraciones de Plug-In
Anaacutelisis de Cookies(cdocuments and settingltusersgtcookies)
Utilizacioacuten de un ldquoCookie Viewerrdquo
Seguridad de las redes
SERVICIOS WEB SEGURIDADbullLas necesidades- Identificar el usuario y sus autorizaciones- Asegurar los intercambios de informaciones- Prohibir la posibilidad de negar una transaccioacuten
bullLas soluciones- Utilizar un algoritmo de cifrado (PGP RSA DES TripleDES)- Integrar el cifrado en el protocolo HTTP (hecho por Netscape con su
oferta llamada Secure Socket Layer y integrada en la norma HTTPS)- Trabajar con claves de cifrado (certificado electroacutenico ndash norma X509) La
gestioacuten de las claves necesita la definicioacuten en la empresa de un PKI (Public Key Infrastructure)
- Utilizar sistemas transaccionales- Indicado al usuario en el navegador por siacutembolos
Seguridad de las redes
Cifrado y HTTPS
bullLos principios de los meacutetodos de cifrado
Clave simeacutetrica los paquetes son cifrados y descifrados con el mismo algoritmo y la misma clave numeacuterica (DES TripleDES)
- Clave asimeacutetrica los paquetes son cifrados con el mismo algoritmo pero la clave inicial no puede ser utilizada para invertir el proceso El descifrado necesita una clave uacutenica vinculada a la primera por relaciones matemaacuteticas (RSA PGP)
- La fuerza del coacutedigo depende de la complexidad de la(s) clave(s) (en numero de cifras)
Seguridad de las redes
bull Principio de intercambio de claves de cifrado para establecer una comunicacioacuten SSL
Generacioacuten de un juego de claves (1C1D)
Envioacute de la clave 1C (clave publica) sin cifrado
Generacioacuten de un juego de claves (2C2D)
1C
Cifrado de la clave 2C con 1C
Envioacute de la clave 2C cifrada (seguridad alta)2C (certificado electroacutenico)
Generacioacuten de una clave de cifrado para el Tuacutenel (CT)
Cifrado de la clave CT con 2C
Descifrado de la clave 2C con 1D (completamente secreta)
Envioacute de la clave CT (clave simeacutetrica) cifrada (seguridad alta) CT
Intercambio cifrado con CT Intercambio cifrado con CT
Descifrado de la clave CT con 2D (completamente secreta)
Seguridad de las redes
Taller
Historia de RSA firma digital y certificados X509
Anaacutelisis de comunicaciones cifradas en HTTPS con un banco
Anaacutelisis de certificados de seguridad
Seguridad de las redes
Seguridad y WEB 2
bullPropuesto en 2004 por OrsquoReilly Media (WEB 20)
bullUn nombre geneacuterico para los servicios nuevos de Internet de estos uacuteltimos antildeos
- Social Networking Sites- Folksonomy (como Wikipedia wikis blogs Youtubehellip)- Y otros sitios orientados relaciones humanas
bullEn general sitios con nivel de seguridad muy pobre sin control Riesgo de divulgacioacuten de datos confidenciales
Seguridad de las redes
Taller
Historia del concepto WEB2
Concepto y lista de ldquoRed Socialrdquo(Social Networking Sites)
Exploracioacuten de sitios WEB2wwwfinclucom delicious
wwwflickrcom wwwzooomrcomflofcomar
www43thingscom
Seguridad de las redes
bullLos principios servidor dinaacutemico
- Paginas estaacuteticas (guardadas sobre el disco duro del servidor) no pueden servir de apoyo para informaciones en tiempo real (horarios sitios de ventahellip)
- Necesitad de crear dinaacutemicamente paginas en la memoria del servidor
- 3 tecnologiacuteas estandartes script CGI propietarias de bajo nivel NSAPI ISAPI APACHE APIhellip propietarias de alto nivel ASP JAVA NET Coldfusion PHP JSPhellip
Seguridad de las redes
Taller
Demostraciones de Plug-In
Anaacutelisis de Cookies(cdocuments and settingltusersgtcookies)
Utilizacioacuten de un ldquoCookie Viewerrdquo
Seguridad de las redes
SERVICIOS WEB SEGURIDADbullLas necesidades- Identificar el usuario y sus autorizaciones- Asegurar los intercambios de informaciones- Prohibir la posibilidad de negar una transaccioacuten
bullLas soluciones- Utilizar un algoritmo de cifrado (PGP RSA DES TripleDES)- Integrar el cifrado en el protocolo HTTP (hecho por Netscape con su
oferta llamada Secure Socket Layer y integrada en la norma HTTPS)- Trabajar con claves de cifrado (certificado electroacutenico ndash norma X509) La
gestioacuten de las claves necesita la definicioacuten en la empresa de un PKI (Public Key Infrastructure)
- Utilizar sistemas transaccionales- Indicado al usuario en el navegador por siacutembolos
Seguridad de las redes
Cifrado y HTTPS
bullLos principios de los meacutetodos de cifrado
Clave simeacutetrica los paquetes son cifrados y descifrados con el mismo algoritmo y la misma clave numeacuterica (DES TripleDES)
- Clave asimeacutetrica los paquetes son cifrados con el mismo algoritmo pero la clave inicial no puede ser utilizada para invertir el proceso El descifrado necesita una clave uacutenica vinculada a la primera por relaciones matemaacuteticas (RSA PGP)
- La fuerza del coacutedigo depende de la complexidad de la(s) clave(s) (en numero de cifras)
Seguridad de las redes
bull Principio de intercambio de claves de cifrado para establecer una comunicacioacuten SSL
Generacioacuten de un juego de claves (1C1D)
Envioacute de la clave 1C (clave publica) sin cifrado
Generacioacuten de un juego de claves (2C2D)
1C
Cifrado de la clave 2C con 1C
Envioacute de la clave 2C cifrada (seguridad alta)2C (certificado electroacutenico)
Generacioacuten de una clave de cifrado para el Tuacutenel (CT)
Cifrado de la clave CT con 2C
Descifrado de la clave 2C con 1D (completamente secreta)
Envioacute de la clave CT (clave simeacutetrica) cifrada (seguridad alta) CT
Intercambio cifrado con CT Intercambio cifrado con CT
Descifrado de la clave CT con 2D (completamente secreta)
Seguridad de las redes
Taller
Historia de RSA firma digital y certificados X509
Anaacutelisis de comunicaciones cifradas en HTTPS con un banco
Anaacutelisis de certificados de seguridad
Seguridad de las redes
Seguridad y WEB 2
bullPropuesto en 2004 por OrsquoReilly Media (WEB 20)
bullUn nombre geneacuterico para los servicios nuevos de Internet de estos uacuteltimos antildeos
- Social Networking Sites- Folksonomy (como Wikipedia wikis blogs Youtubehellip)- Y otros sitios orientados relaciones humanas
bullEn general sitios con nivel de seguridad muy pobre sin control Riesgo de divulgacioacuten de datos confidenciales
Seguridad de las redes
Taller
Historia del concepto WEB2
Concepto y lista de ldquoRed Socialrdquo(Social Networking Sites)
Exploracioacuten de sitios WEB2wwwfinclucom delicious
wwwflickrcom wwwzooomrcomflofcomar
www43thingscom
Seguridad de las redes
Taller
Demostraciones de Plug-In
Anaacutelisis de Cookies(cdocuments and settingltusersgtcookies)
Utilizacioacuten de un ldquoCookie Viewerrdquo
Seguridad de las redes
SERVICIOS WEB SEGURIDADbullLas necesidades- Identificar el usuario y sus autorizaciones- Asegurar los intercambios de informaciones- Prohibir la posibilidad de negar una transaccioacuten
bullLas soluciones- Utilizar un algoritmo de cifrado (PGP RSA DES TripleDES)- Integrar el cifrado en el protocolo HTTP (hecho por Netscape con su
oferta llamada Secure Socket Layer y integrada en la norma HTTPS)- Trabajar con claves de cifrado (certificado electroacutenico ndash norma X509) La
gestioacuten de las claves necesita la definicioacuten en la empresa de un PKI (Public Key Infrastructure)
- Utilizar sistemas transaccionales- Indicado al usuario en el navegador por siacutembolos
Seguridad de las redes
Cifrado y HTTPS
bullLos principios de los meacutetodos de cifrado
Clave simeacutetrica los paquetes son cifrados y descifrados con el mismo algoritmo y la misma clave numeacuterica (DES TripleDES)
- Clave asimeacutetrica los paquetes son cifrados con el mismo algoritmo pero la clave inicial no puede ser utilizada para invertir el proceso El descifrado necesita una clave uacutenica vinculada a la primera por relaciones matemaacuteticas (RSA PGP)
- La fuerza del coacutedigo depende de la complexidad de la(s) clave(s) (en numero de cifras)
Seguridad de las redes
bull Principio de intercambio de claves de cifrado para establecer una comunicacioacuten SSL
Generacioacuten de un juego de claves (1C1D)
Envioacute de la clave 1C (clave publica) sin cifrado
Generacioacuten de un juego de claves (2C2D)
1C
Cifrado de la clave 2C con 1C
Envioacute de la clave 2C cifrada (seguridad alta)2C (certificado electroacutenico)
Generacioacuten de una clave de cifrado para el Tuacutenel (CT)
Cifrado de la clave CT con 2C
Descifrado de la clave 2C con 1D (completamente secreta)
Envioacute de la clave CT (clave simeacutetrica) cifrada (seguridad alta) CT
Intercambio cifrado con CT Intercambio cifrado con CT
Descifrado de la clave CT con 2D (completamente secreta)
Seguridad de las redes
Taller
Historia de RSA firma digital y certificados X509
Anaacutelisis de comunicaciones cifradas en HTTPS con un banco
Anaacutelisis de certificados de seguridad
Seguridad de las redes
Seguridad y WEB 2
bullPropuesto en 2004 por OrsquoReilly Media (WEB 20)
bullUn nombre geneacuterico para los servicios nuevos de Internet de estos uacuteltimos antildeos
- Social Networking Sites- Folksonomy (como Wikipedia wikis blogs Youtubehellip)- Y otros sitios orientados relaciones humanas
bullEn general sitios con nivel de seguridad muy pobre sin control Riesgo de divulgacioacuten de datos confidenciales
Seguridad de las redes
Taller
Historia del concepto WEB2
Concepto y lista de ldquoRed Socialrdquo(Social Networking Sites)
Exploracioacuten de sitios WEB2wwwfinclucom delicious
wwwflickrcom wwwzooomrcomflofcomar
www43thingscom
Seguridad de las redes
SERVICIOS WEB SEGURIDADbullLas necesidades- Identificar el usuario y sus autorizaciones- Asegurar los intercambios de informaciones- Prohibir la posibilidad de negar una transaccioacuten
bullLas soluciones- Utilizar un algoritmo de cifrado (PGP RSA DES TripleDES)- Integrar el cifrado en el protocolo HTTP (hecho por Netscape con su
oferta llamada Secure Socket Layer y integrada en la norma HTTPS)- Trabajar con claves de cifrado (certificado electroacutenico ndash norma X509) La
gestioacuten de las claves necesita la definicioacuten en la empresa de un PKI (Public Key Infrastructure)
- Utilizar sistemas transaccionales- Indicado al usuario en el navegador por siacutembolos
Seguridad de las redes
Cifrado y HTTPS
bullLos principios de los meacutetodos de cifrado
Clave simeacutetrica los paquetes son cifrados y descifrados con el mismo algoritmo y la misma clave numeacuterica (DES TripleDES)
- Clave asimeacutetrica los paquetes son cifrados con el mismo algoritmo pero la clave inicial no puede ser utilizada para invertir el proceso El descifrado necesita una clave uacutenica vinculada a la primera por relaciones matemaacuteticas (RSA PGP)
- La fuerza del coacutedigo depende de la complexidad de la(s) clave(s) (en numero de cifras)
Seguridad de las redes
bull Principio de intercambio de claves de cifrado para establecer una comunicacioacuten SSL
Generacioacuten de un juego de claves (1C1D)
Envioacute de la clave 1C (clave publica) sin cifrado
Generacioacuten de un juego de claves (2C2D)
1C
Cifrado de la clave 2C con 1C
Envioacute de la clave 2C cifrada (seguridad alta)2C (certificado electroacutenico)
Generacioacuten de una clave de cifrado para el Tuacutenel (CT)
Cifrado de la clave CT con 2C
Descifrado de la clave 2C con 1D (completamente secreta)
Envioacute de la clave CT (clave simeacutetrica) cifrada (seguridad alta) CT
Intercambio cifrado con CT Intercambio cifrado con CT
Descifrado de la clave CT con 2D (completamente secreta)
Seguridad de las redes
Taller
Historia de RSA firma digital y certificados X509
Anaacutelisis de comunicaciones cifradas en HTTPS con un banco
Anaacutelisis de certificados de seguridad
Seguridad de las redes
Seguridad y WEB 2
bullPropuesto en 2004 por OrsquoReilly Media (WEB 20)
bullUn nombre geneacuterico para los servicios nuevos de Internet de estos uacuteltimos antildeos
- Social Networking Sites- Folksonomy (como Wikipedia wikis blogs Youtubehellip)- Y otros sitios orientados relaciones humanas
bullEn general sitios con nivel de seguridad muy pobre sin control Riesgo de divulgacioacuten de datos confidenciales
Seguridad de las redes
Taller
Historia del concepto WEB2
Concepto y lista de ldquoRed Socialrdquo(Social Networking Sites)
Exploracioacuten de sitios WEB2wwwfinclucom delicious
wwwflickrcom wwwzooomrcomflofcomar
www43thingscom
Seguridad de las redes
Cifrado y HTTPS
bullLos principios de los meacutetodos de cifrado
Clave simeacutetrica los paquetes son cifrados y descifrados con el mismo algoritmo y la misma clave numeacuterica (DES TripleDES)
- Clave asimeacutetrica los paquetes son cifrados con el mismo algoritmo pero la clave inicial no puede ser utilizada para invertir el proceso El descifrado necesita una clave uacutenica vinculada a la primera por relaciones matemaacuteticas (RSA PGP)
- La fuerza del coacutedigo depende de la complexidad de la(s) clave(s) (en numero de cifras)
Seguridad de las redes
bull Principio de intercambio de claves de cifrado para establecer una comunicacioacuten SSL
Generacioacuten de un juego de claves (1C1D)
Envioacute de la clave 1C (clave publica) sin cifrado
Generacioacuten de un juego de claves (2C2D)
1C
Cifrado de la clave 2C con 1C
Envioacute de la clave 2C cifrada (seguridad alta)2C (certificado electroacutenico)
Generacioacuten de una clave de cifrado para el Tuacutenel (CT)
Cifrado de la clave CT con 2C
Descifrado de la clave 2C con 1D (completamente secreta)
Envioacute de la clave CT (clave simeacutetrica) cifrada (seguridad alta) CT
Intercambio cifrado con CT Intercambio cifrado con CT
Descifrado de la clave CT con 2D (completamente secreta)
Seguridad de las redes
Taller
Historia de RSA firma digital y certificados X509
Anaacutelisis de comunicaciones cifradas en HTTPS con un banco
Anaacutelisis de certificados de seguridad
Seguridad de las redes
Seguridad y WEB 2
bullPropuesto en 2004 por OrsquoReilly Media (WEB 20)
bullUn nombre geneacuterico para los servicios nuevos de Internet de estos uacuteltimos antildeos
- Social Networking Sites- Folksonomy (como Wikipedia wikis blogs Youtubehellip)- Y otros sitios orientados relaciones humanas
bullEn general sitios con nivel de seguridad muy pobre sin control Riesgo de divulgacioacuten de datos confidenciales
Seguridad de las redes
Taller
Historia del concepto WEB2
Concepto y lista de ldquoRed Socialrdquo(Social Networking Sites)
Exploracioacuten de sitios WEB2wwwfinclucom delicious
wwwflickrcom wwwzooomrcomflofcomar
www43thingscom
Seguridad de las redes
bull Principio de intercambio de claves de cifrado para establecer una comunicacioacuten SSL
Generacioacuten de un juego de claves (1C1D)
Envioacute de la clave 1C (clave publica) sin cifrado
Generacioacuten de un juego de claves (2C2D)
1C
Cifrado de la clave 2C con 1C
Envioacute de la clave 2C cifrada (seguridad alta)2C (certificado electroacutenico)
Generacioacuten de una clave de cifrado para el Tuacutenel (CT)
Cifrado de la clave CT con 2C
Descifrado de la clave 2C con 1D (completamente secreta)
Envioacute de la clave CT (clave simeacutetrica) cifrada (seguridad alta) CT
Intercambio cifrado con CT Intercambio cifrado con CT
Descifrado de la clave CT con 2D (completamente secreta)
Seguridad de las redes
Taller
Historia de RSA firma digital y certificados X509
Anaacutelisis de comunicaciones cifradas en HTTPS con un banco
Anaacutelisis de certificados de seguridad
Seguridad de las redes
Seguridad y WEB 2
bullPropuesto en 2004 por OrsquoReilly Media (WEB 20)
bullUn nombre geneacuterico para los servicios nuevos de Internet de estos uacuteltimos antildeos
- Social Networking Sites- Folksonomy (como Wikipedia wikis blogs Youtubehellip)- Y otros sitios orientados relaciones humanas
bullEn general sitios con nivel de seguridad muy pobre sin control Riesgo de divulgacioacuten de datos confidenciales
Seguridad de las redes
Taller
Historia del concepto WEB2
Concepto y lista de ldquoRed Socialrdquo(Social Networking Sites)
Exploracioacuten de sitios WEB2wwwfinclucom delicious
wwwflickrcom wwwzooomrcomflofcomar
www43thingscom
Seguridad de las redes
Taller
Historia de RSA firma digital y certificados X509
Anaacutelisis de comunicaciones cifradas en HTTPS con un banco
Anaacutelisis de certificados de seguridad
Seguridad de las redes
Seguridad y WEB 2
bullPropuesto en 2004 por OrsquoReilly Media (WEB 20)
bullUn nombre geneacuterico para los servicios nuevos de Internet de estos uacuteltimos antildeos
- Social Networking Sites- Folksonomy (como Wikipedia wikis blogs Youtubehellip)- Y otros sitios orientados relaciones humanas
bullEn general sitios con nivel de seguridad muy pobre sin control Riesgo de divulgacioacuten de datos confidenciales
Seguridad de las redes
Taller
Historia del concepto WEB2
Concepto y lista de ldquoRed Socialrdquo(Social Networking Sites)
Exploracioacuten de sitios WEB2wwwfinclucom delicious
wwwflickrcom wwwzooomrcomflofcomar
www43thingscom
Seguridad de las redes
Seguridad y WEB 2
bullPropuesto en 2004 por OrsquoReilly Media (WEB 20)
bullUn nombre geneacuterico para los servicios nuevos de Internet de estos uacuteltimos antildeos
- Social Networking Sites- Folksonomy (como Wikipedia wikis blogs Youtubehellip)- Y otros sitios orientados relaciones humanas
bullEn general sitios con nivel de seguridad muy pobre sin control Riesgo de divulgacioacuten de datos confidenciales
Seguridad de las redes
Taller
Historia del concepto WEB2
Concepto y lista de ldquoRed Socialrdquo(Social Networking Sites)
Exploracioacuten de sitios WEB2wwwfinclucom delicious
wwwflickrcom wwwzooomrcomflofcomar
www43thingscom
Seguridad de las redes
Taller
Historia del concepto WEB2
Concepto y lista de ldquoRed Socialrdquo(Social Networking Sites)
Exploracioacuten de sitios WEB2wwwfinclucom delicious
wwwflickrcom wwwzooomrcomflofcomar
www43thingscom