miércoles, 26 de noviembre de 2014

UNIDAD:5 TOPICOS AVANZADOS DE SEGURIDAD

UNIDAD 5

TÓPICOS AVANZADOS DE SEGURIDAD




5.1 Metodologías para la implementación de
Seguridad
La metodologia que presento el equipo expositor fue:

 MAGERIT

MAGERIT es la metodología de análisis y gestión de riesgos elaborada por el Consejo Superior de Administración Electrónica, como respuesta a la percepción de que la Administración, y, en general, toda la sociedad, dependen de forma creciente de las tecnologías de la información para el cumplimiento de su misión.

REFLEXIÓN...

Esta metodología analiza el impacto que puede tener la violación de la seguridad mediante la gestión y el análisis de los riesgos.
5.2 Legislación Mexicana e Internacional
Derecho Informático
Es la rama del derecho que se ocupa de estudiar las consecuencias jurídicas que pueden derivarse del uso de los sistemas (hardware) y aplicaciones (software) informáticas, así como de la interrelación de las diversas ramas del derecho con la informática y tecnologías de información.

Reforma Código Penal Federal en México
Artículo 205 Bis.
Para poder hacer efectiva la sanción contenida en este artículo, deberá reconocerse como prueba el uso y aceptación de medios informáticos o electrónicos para la difusión de pornografía en el Código Federal de Procedimientos Penales (CFPP), de lo contrario la reforma de este artículo podría verse seriamente limitada por la falta de una disposición expresa en la legislación procedimental penal federal que reconozca el uso y admisión de medios informáticos o electrónicos como medios de prueba en materia penal, se le impondrá de tres a ocho años de prisión y de cincuenta a doscientos días multa.
 Reforma Código de Comercio en México
Capítulo I.
Nos habla de los Mensajes de Datos; este nos dice que en los actos de comercio y en la formación de los mismos podrán emplearse los medios electrónicos, ópticos o cualquier otra tecnología. Y nos ofrece conceptos utilizados en este rubro: 
Certificado: Todo Mensaje de Datos u otro registro que confirme el vínculo entre un Firmante y los datos de creación de Firma Electrónica.

REFLEXIÓN...
Es muy importante conocer las legislaciones para poder hacer algo en internet sin tener problemas legales.
5.3 Hacker ético

Pero, ¿qué es el hacking ético?
El hacking ético es en sí una auditoría efectuada por profesionales de seguridad de la información, quienes reciben el nombre de “pentester”. A la actividad que realizan se le conoce como “hacking ético” o “pruebas de penetración”.
Las pruebas de penetración surgieron como respuesta a la presencia y realización de los primeros ataques informáticos a las organizaciones, los cuales trajeron graves consecuencias, como pérdidas monetarias y de reputación. Es aquí donde interviene el trabajo de un “hacker ético”, ya que su labor es buscar vulnerabilidades en los sistemas de la organización para, posteriormente, poder mitigarlos y evitar fugas de información sensible.

REFLEXIÓN...

Me gusto el ejemplo practico que mostraron los compañeros con el software llamado "FOCA" ademas de que pues un hacker no precisamente es malo ya que existe una clasificación de estos.

5.4 Estándares: ISO 27001, ISO 17799, COBIT,
El estándar de seguridad de la información ISO 17799, es descendiente del BS 7799 – Information Security Management Standard – de la BSI (British Standard Institute) que publicó su primera versión en Inglaterra en 1995, con actualizaciones realizadas en 1998 y 1999, consiste de dos partes:
Parte 1. Código de prácticas.

Parte 2. Especificaciones del sistema de administración de seguridad de la información.
Por la necesidad generalizada de contar con un estándar de carácter internacional que permitiera reconocer o validar el marco de referencia de seguridad aplicado por las organizaciones, se elaboró el estándar ISO17799:2000, basado principalmente en la primera parte del BS 7799 conocida como Código de Prácticas (BS 7799 Part 1: Code of Practice).
El ISO 17799, al definirse como una guía en la implementación del sistema de administración de la seguridad de la información, se orienta a preservar los siguientes principios de la seguridad informática:
Confidencialidad. Asegurar que únicamente personal autorizado tenga acceso a la información.

Integridad. Garantizar que la información no será alterada, eliminada o destruida por entidades no autorizadas.

Disponibilidad. Asegurar que los usuarios autorizados tendrán acceso a la información cuando la requieran.
Estos principios en la protección de los activos de información constituyen las normas básicas deseables en cualquier organización, sean instituciones de gobierno, educativas e investigación; no obstante, dependiendo de la naturaleza y metas de las organizaciones, éstas mostrarán especial énfasis en algún dominio o área del estándar ISO 17799.
ISO 27000.
ISO/IEC 27000 es un conjunto de estándares desarrollados -o en fase de desarrollo- por ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission), que proporcionan un marco de gestión de la seguridad de la información utilizable por cualquier tipo de organización, pública o privada, grande o pequeña.
El ISO-27000 se basa en la segunda parte del estándar británico BS7799 (BS7799:2). Está compuesta a grandes rasgos por:
ISMS(Information Security Management System).
Valoración de Riesgo.
Controles.
A semejanza de otras normas ISO, la 27000 es realmente una serie de estándares.

ISO 27000: En fase de desarrollo. Contendrá términos y definiciones que se emplean en toda la serie 27000. La aplicación de cualquier estándar necesita de un vocabulario claramente definido, que evite distintas interpretaciones de conceptos técnicos y de gestión. Esta norma será gratuita, a diferencia de las demás de la serie, que tendrán un coste.
ISO 27001: Es la norma principal de requisitos del sistema de gestión de seguridad de la información. Tiene su origen en la BS 7799-2:2002 y es la norma con arreglo a la cual se certifican por auditores externos los SGSI de las organizaciones. Fue publicada el 15 de Octubre de 2005 y sustituye a la BS 7799-2, habiéndose establecido unas condiciones de transición para aquellas empresas certificadas en esta última.
Un servicio de seguridad es aquel que mejora la seguridad de un sistema de información y el flujo de información de una organización. Los servicios están dirigidos a evitar los ataques de seguridad y utilizan uno o más mecanismos de seguridad para proveer el servicio.

Clasificación.

Una clasificación muy utilizada de los servicios de seguridad es la siguiente:
Confidencialidad

Autenticación

Integridad

No repudio

Control de acceso

Disponibilidad

REFLEXIÓN...

En esta exposición nos hablaron de los diferentes estándares que existen para la seguridad informática

5.5 Dispositivos de seguridad

Introduccion.
Al combinar las ventajas de varios productos de protección informática, los dispositivos de seguridad son poderosas herramientas que se interponen entre un sistema informático y una cantidad de gusanos, virus y otros intrusos maliciosos. Aunque dichos dispositivos pueden reparar el daño que infligen las brechas de seguridad, su valor real proviene sobre todo de la prevención de ataques.

El delito informático saca una gran tajada de la productividad empresarial. Los equipos - que en realidad son dispositivos con un diseño tipo servidor - pueden atender asuntos de seguridad mucho más eficazmente que distintos componentes independientes de hardware y software.
También hay problemas ocasionados por tiempos de inactividad. Todo virus, gusano o ataque cibernético que logra penetrar su empresa puede paralizar las operaciones durante horas - e incluso por días - mientras que el personal de informática y consultores logra restaurar las cosas.
La seguridad informática, es el área de la informática que se enfoca en la protección de la infraestructura computacional y todo lo relacionado con ésta (incluyendo la información contenida). Para ello existen una serie de estándares, protocolos, métodos, reglas, herramientas y leyes concebidas para minimizar los posibles riesgos a la infraestructura o a la información. La seguridad informática comprende software, bases de datos, metadatos, archivos y todo lo que la organización valore (activo) y signifique un riesgo si ésta llega a manos de otras personas. Este tipo de información se conoce como información privilegiada o confidencial.
El concepto de seguridad de la información no debe ser confundido con el de seguridad informática, ya que este último sólo se encarga de la seguridad en el medio informático, pero la información puede encontrarse en diferentes medios o formas, y no solo en medios informáticos.
La seguridad informática es la disciplina que se ocupa de diseñar las normas, procedimientos, métodos y técnicas destinados a conseguir un sistema de información seguro y confiable.

REFLEXIÓN...

Nos hablaron de los diferentes dispositivos que permiten que tengamos una mejor seguridad para la protección en nuestra información 
5.6 Diseño de una arquitectura de seguridad
La infraestructura informática de las compañías requiere que el desempeño cada vez más sea óptimo, de acuerdo con las necesidades planteadas del negocio. Esto normalmente conlleva a un descuido en el establecimiento de las medidas de seguridad que la protegen, violando el equilibrio entre funcionalidad y seguridad. Con el fin de equiparar estas características, se hace necesaria la definición de una arquitectura de seguridad que cumpla las siguientes premisas:
Definición del esquema de identificación, autenticación y acceso (AAA)
Definición de seguridad perimetral
Definición de conectividad segura
Definición de monitoreo

Definición de administración Centralizada
REFLEXIÓN...

Se hablo sobre la protección de datos frente a modificaciones no autorizada, frente a perdidas y repeticiones.

5.7 Controles administrativos
El objetivo preliminar de la revisión del marco de control de la administración de las instalaciones computacionales es ver si la administración realiza bien su trabajo. La calidad de la administración tiene una influencia sobre la calidad del control a nivel detallado y en la medida en que los datos son salvaguardados, conservados íntegros y en que el sistema funcione eficiente y efectivamente.
Examinar evaluar el marco de control es importante por dos razones:


El auditor puede usar la evaluación como una base para determinar la naturaleza y extensión de las pruebas detalladas para ser utilizadas por los sistemas de aplicación. La calidad del marco de control administrativo afecta la calidad del procesamiento de datos en el futuro. El auditor puede formase una idea de si los sistemas de aplicación son candidatos para degradarse en el futuro.
REFLEXIÓN...

Se expusieron las politicas de seguridad los documentos PSI los planes de contingencias aunque estos temas ya se habian visto anteriormente.

Publicadas por a la/s No hay comentarios.:

miércoles, 12 de noviembre de 2014

UNIDAD 4: SEGURIDAD EN LOS SERVICIOS


SEGURIDAD EN LOS SERVICIOS





Actividad 1 Recomendaciones que contribuyen a la seguridad de los S.O.       28-10-2014

En esta actividad se investigaron algunas recomendaciones sobre como proteger los sistemas operativos, algunos de ellos fueron:

  •  Antivirus
  • Contraseñas 
  • Respaldos
  • Sniffing


REFLEXIÓN

Es muy importante implementar una medida de seguridad en los sistemas operativos para que los recursos informáticos (datos) no se pierdan.
La implementacion de estas medidas nos proporciona mejor seguridad en la información mayor tranquilidad a la empresa y menos perdidas.

Actividad 2 Estrategia de Seguridad para los Sistemas Operativos      30-10-2014



REFLEXIÓN

En esta actividad se debía crear una estrategia de seguridad para los sistemas operativos sobre como se deberían de proteger los datos y que herramientas se usaran para esto.


Actividad 3 Evaluación sobre Vulnerabilidades de Una Aplicación      30-10-2014

En esta actividad se iba a evaluar una aplicación o sistema operativo cuya finalidad fue verificar cuales eran las vulnerabilidades que esta tenia y por las cuales podría ser atacado.




REFLEXIÓN

Yo investigue sobre twitter algunas de las vulnerabilidades que tiene esta son:
  • Permisos para leer/escribir tweets.
  • Se tiene acceso a mensajes privados.
Actividad 4 Vulnerabilidades en la Base de Datos     31-10-2014

Se indago sobre algunos problemas de seguridad que tiene las bases de datos por ejemplo:
  • nombre de usuario/password en blanco
  • inyecciones SQL
  • desbordamiento de Buffer
  • Datos sensibles sin cifrar
  • Privilegios de Grupo.




REFLEXIÓN

En esta actividad me percate que es muy necesario el poner nombre y usuario a las bases de datos así como  también el estarla actualizando constantemente y la creación de privilegios de grupo es mas eficiente que si se crean privilegios individuales.


Actividad 5: Aplicaciones WEB  con Esquemas de Seguridad de Internet   06-11-2014

Se investigaron algunos ejemplos de las aplicaciones que existen en Internet y el tipo de seguridad que estas manejan como: 
  • Servidor de base de datos
  • Java script
  • Lenguajes de servidor



REFLEXIÓN

Algunas de los métodos de seguridad en Internet son sobre el  uso de las bases de datos protegidos para evitar cualquier robo de información, protección de código fuente e interacción de los usuarios con los servicios de navegación.

 Practica               IPSec                  31|-10-2014

Para la realización de esta practica se proporciono un pdf para seguir los pasos del diseño de la topologia de red y las direcciones de cada dispositivo, así como los comandos que se necesitarían para cada uno de los escenarios ademas de la ayuda por parte del docente.

               CONFIGURACIÓN DE LOS SEGMENTOS DE RED 

REFLEXIÓN

En la primera parte de la realización de esta practica se hizo la configuración de los dispositivos de la red los datos de las interfaces y el diseño de la topologia fueron proporcionados por el docente.
al termino de la configuracion los dispositivos tiene que existir comunicacion entre ellos.
              ESCENARIO A: CONFIGURACIÓN DE UNA VPN
Una VPN es un enlace cifrado a traves de un canal inseguro. El tunel cifrado entre redes provadas se establecera entre los routers  router0 y router2.
Esto se lograra mediante los siguientes comandos en el router0:

Router(config)# crypto isakmp enable
Router(config)# crypto isakmp policy 1
Router(config-isakmp)# authentication pre-share
Router(config-isakmp)# encryption aes
Router(config-isakmp)#group 2
Router(config-isakmp)#exit 

 Una de establecida la politica se realizan transformaciones en ambos routers para comunicar el canal

Router(config)# crypto isakmp key VPNPASS address PEER 0.0.0.0
Router(config)# crypto ipsec tranform-set VPNTS esp-aes-esp-sha-hmac
Router(config-crypto-map)#exit
Router(config)# interface fa0/0
Router(config-if)# crypto map VNMAP

Se verifica la autenticacion con los siguietes comandos la VPN esta configurada correctamente.

Router# show crypto isakmp policy
Router# show crypto isakmp sa
Router# show crypto map
Router# show crypto ipsec transform-set

REFLEXIÓN

En este escenario de la red  se establecio un tunel en la red para el filtrado de paquetes del router0 al router2 para que solo se puedan enviar paquetes a parte de la red no a toda. 

               ESCENARIO B: CONFIGURACIÓN DE UNA DMZ MEDIANTE NAT

En este scenario se dispondra una DMZ a partir de NAT Y ACL's para ello se identificaran las interfaces seran las externas e internas el router sabra esta caracteristica en cada interface a partir de los siguientes comandos:

 Router(config)# interface fa0/0
Router(config-if)# ip nat LADO
Router(config-if)# exit
Donde LADO es inside si la interface es interna o outside si es externa.
se creara una lista de acceso a la red privada 1:

Router(config)# access-lis 1 permit 192.168.1.0 0.0.0.3

Ahora se implementara NAT en el router.

Router(config)# ip nat  inside source list 1 interface fa0/1 overload

Se verifico la conectividad desde la PC1
ahora se configirara NAt estatica para que el servidor de la DMZ responda a traves de una IP publuca y no de su IP privada.

Router(config)# ip nat inside source static 192.128.1.1 132.248.1.1

 Se verifico la conectividad desde la PC2
se crea una ACL extendida para el gtrafico externo se dirija a DMZ, dejando innaccesible la red interna en comunicaciones iniciadas desde el exterior.

Router(config)# access-list 101 permit ip any host 132.248.1.1

Esta lista se aplicara a la interface fa0/1

Router(config)# interface fa1/0
Router(config-if)# ip access-group 101 in 
Router(config-if)#exit

REFLEXIÓN

En este escenario se establecieron las ACL´s para denegar el acceso a el servidor y a la red interna uno permitiendo a este solo enviar para la red externa.
Esta practica me permitió aprender nuevos comandos y ademas se puede implementar para restringir los accesos a la red de mi casa o de alguna empresa.
Publicadas por a la/s No hay comentarios.:

lunes, 3 de noviembre de 2014

UNIDAD 3: SEGURIDAD EN TELECOMUNICACIONES

UNIDAD 3: SEGURIDAD EN TELECOMUNICACIONES

ACTIVIDADES


ACTIVIDAD 1: RESPONSABILIDADES DE ENCARGADO EN SEGURIDAD INFORMÁTICA                    07-10-2014



REFLEXIÓN...
En esta actividad identificamos las posibles responsabilidades de un encargado o jefe del departamento de seguridad informática en cualquier empresa.
algunas de estas son tener el control total de la red, restringir accesos mantener actualizados los antivirus, etc.
Otra parte muy importante es la ética profesional ya que si como encargado voy a tener una gran responsabilidad moral para poder proteger la información de la empresa.
ACTIVIDAD 2: METODOLOGÍA PARA ANÁLISIS DE RIESGO                   08-10-2014


REFLEXIÓN...
Esta actividad se realizo en equipos y nosotros indagamos sobre las metodologías existentes para la gestión de riesgos en este caso fue la MAGERIT esta metodología se basa en dos principios el análisis de riesgos y la gestión de estos.
lo primero que hace es identificar si los riesgos don lógicos o físicos para poder darles una solución.
También aplicamos esta metodología a la administración del site del Instituto Tecnológico de San Juan Del Rio
como ejemplo tenemos en analisis de riesgos el robo de informacion es de tipo logico y como solucion a este problema debemos tener un sistema de seguridad robusto.  


ACTIVIDAD 3:  TIPOS DE VIRUS                  10-10-2014


REFLEXIÓN...

 identificamos los tipos de virus existentes hoy en dia algunos ejemplos son:

  • Caballos de Troya
  • Camaleones
  • Virus lentos
  • Virus sigilosos
  • virus polimorfos o mutantes 

ACTIVIDAD 4: IDENTIFICAR 5 ANTIVIRUS                   14-10-2014


REFLEXIÓN...
identificamos 5 actividades que nos permitieran proteger una red

  • antivirus
  • programas antispam
  • limpieza de ficheros del sistema
  • denegar accesos

ACTIVIDAD 5:PLANES DE CONTINGENCIA                   15-10-2014



REFLEXIÓN...

Investigamos planes de contingencia para el area de Tecnologias de la Informacion esta actividad fue realizada en equipo.
PLAN DE CONTINGENCIA: ANUIES
identificamos :

  • objetivos: proporcionar una herramienta a las Instituciones de Educacion Superior garantizar el funcinamiento  de la tecnologia informatica y la recuperacion en el menor tiempo posible
  • apartados del plan: introduccion, plan de contingencia, proposito,alcanse, objetivos, organizacion, fase de contingencia y amenazas
  • metodologia: no tiene una metodologia establecida pero tiene ciertas fases para llevarlo acabo: Fase de Respuesta, Fase de Reasuncion, Fase de Recuperacion y fase de Restauracion.
  • periodo de vida: aproximadamente de un año pero va mejorando conforme pase algun peligro.
  • personal involucrado: guardias permanentes y personal encargado de cada departamento.


ACTIVIDAD 6: SOFTWARES PARA MONITOREO                   17-10-2014



REFLEXIÓN...
investigamos 5 software de monitoreo 

  • OpManager Libre
  • Nagios Libre
  • Zabrix Libre 
  • netcrum comercial
  • solarwin comercial

ACTIVIDAD 7:  ANALIZADOR DE RED WIRESHARCK                  17-10-2014

 Wireshark es un analizador de protocolos utilizado para realizar análisis y solucionar problemas en redes de comunicaciones, para desarrollo de software y protocolos, y como una herramienta didáctica. Cuenta con todas las características estándar de un analizador de protocolos de forma únicamente hueca.


REFLEXIÓN...
fue una practica con snnifer, donde listamos los paquetes capturados esta practica me parecido muy interesante porque al estar monitoreando la red nos damos cuenta que esta pasando y si ahi algo anormal lo podemos corregir o bloquear inmediatamente. ademas se verifica la velocidad a la que se estan enviando los paquetes.


ACTIVIDAD 8 PRACTICA 2:   ANALISIS DE UN SITIO WEB                 21-10-2014


REFLEXIÓN...
En esta practicas se monitoreo la red e identificamos una serie de vulenrabilidades y se eligio una para describirla esta actividad fue en equipo elegimos la vulneravilidasd OSUDB-756 estya permite a los atacantes remotos utiliazar un desbordamiento de buffer para ejecutar codigo arbitrario a traves de un certificado.
Por lo que se pudo observar la pagina del tecnologico es muy vulnerable.


ACTIVIDAD 9:  CODIGO MALICIOSO                      21-10-2014

REFLEXIÓN...
investigamos 5 ejemplos de codigo malicioso que podria causar daños a la empresa 


ACTIVIDAD 10: SIGNIFICADO DE SNORT                    28-10-2014

REFLEXIÓN...
Se investigo sobre el concepto de la herramienta snort.

ACTIVIDAD 11: PRACTICA 3 NMAP                    28-10-2014



REFLEXIÓN...
En esta practica utilizamos la herramienta Nmap y se escaneo la red del Tecnologico para ver que puertos estaban abiertos posteriormente se analizaron 5 puertos y se verifico el sistema operativo que tenian esos puertos




ACTIVIDAD 12: PRACTICA SNORT                   23-10-2014

REFLEXIÓN...

Se trabajo con la herramienta SNORT se realizo la monitorizacion y escaneo la red del tec se verificaron algunas de sus vulnerabilidades.



ACTIVIDAD 13: PRACTICA MONITOREO DE UNA SEMANA


REFLEXIÓN...
Esta practica se llevo a cabo en una semana se estuvo escaneando la red de nuestro hogar en mi caso elegi Axence netTools para el monitoreo esta herramienta me parecio muy interesante ya que muestra los dispositivos que estan conectados a la red asi como el envio de paquetes en el ancho de banda, la informacion local y el sistema del equipo.
Esta practica se le entrego al docente en electronico para su revision.
Publicadas por a la/s No hay comentarios.:
Suscribirse a: Entradas (Atom)