Trabajo Colaborativo 3
Click here to load reader
-
Upload
alexitamena -
Category
Documents
-
view
428 -
download
2
Transcript of Trabajo Colaborativo 3
GRUPO_302070_9
TRABAJO COLABORATIVO 3
REDES LOCALES AVANZADAS
NELLY EUTIMA BENITES
LIZETH XIMENA OCHOA
ELIANA PATRICIA LÓPEZ SALAS
DEISSY SALAS ROVIRA
YENNY LILIANA TORO HENAO
GRUPO 302070-9
ESCUELA DE CIENCIAS BÁSICAS, TECNOLOGÍA E INGENIERÍA
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA- UNAD
FACULTAD DE INGENIERÍA SISTEMAS
NOVIEMBRE 2012
GRUPO_302070_9
TRABAJO COLABORATIVO 3
REDES LOCALES AVANZADAS
PRESENTADO POR
NELLY BENITEZ PATIÑOCOD 25.29.0337
LIZETH XIMENA OCHOACOD
ELIANA PATRICIA LÓPEZ SALAS COD 31.486.484
DEISSY SALAS ROVIRACOD. 26.274.241
YENNY LILIANA TORO HENAOCOD. 31.429.616
GRUPO 302070-9
TRABAJO PRESENTADO A:
LUIS HERNANDO PRADA RODRÍGUEZ
TUTOR- DIRECTOR
ESCUELA DE CIENCIAS BÁSICAS, TECNOLOGÍA E INGENIERÍA
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA- UNAD
FACULTAD DE INGENIERÍA SISTEMAS
NOVIEMBRE 2012
GRUPO_302070_9
INTRODUCCION
El presente trabajo contiene el desarrollo de la guía correspondiente al trabajo colaborativo 3, con
el fin de tratar temas concernientes a la seguridad informantica tanto en las redes, seguridad a
nivel organizativo, seguridad en la información.
Para que un sistema se pueda definir como seguro debe tener estas cuatro características:
Integridad: La información sólo puede ser modificada por quien está autorizado y de manera
controlada.
Confidencialidad: La información sólo debe ser legible para los autorizados.
Disponibilidad: Debe estar disponible cuando se necesita.
Irrefutabilidad (No repudio): El uso y/o modificación de la información por parte de un usuario
debe ser irrefutable, es decir, que el usuario no puede negar dicha acción.
OBJETIVOS
OBJETIVO GENERAL
Aprender qué es un certificado digital, como funciona y los diferentes tipos de certificados que se emplean. Comprender el protocolo SSL y como se implementa para operaciones de comercio en Internet.
OBJETIVOS ESPECIFICOS
Identificar los Firewall y sus características de protección.
Identificar los protocolos más utilizados por las empresas que comercializan artículos en Internet.
Conocer las Entidades Certificadoras.
Determinar las situaciones donde es conveniente utilizar firmas digitales.
Determinar las políticas de las firmas digitales necesarias para las empresas.
GRUPO_302070_9
DESARROLLO DEL TRABAJO
1. Investigue que Firewall se encuentran disponibles en el mercado y que característi-cas de protección brindan.
Firewall
Imagen tomada de pág.: http://www.alegsa.com.ar/Diccionario/I/302
Un firewall sirve para impedir el acceso no autorizado a Internet (u otra red) por parte de progra-mas malignos que están instalados en nuestro equipo, o de programas o intrusos que intentan ata-car nuestra computadora desde el exterior. Un firewall es sencillamente un filtro capaz de controlar y examinar todas las comunicaciones, entrantes y salientes, que pasan de una red a otra permitiendo o denegando el paso. Existen tres tipos de firewalls:
Firewalls de software: Tienen un costo pequeño y son una buena elección cuando sólo se utiliza una PC. Su instalación y actualización es sencilla, pues se trata de una aplicación de seguridad, como lo sería un antivirus; de hecho, muchos antivirus e incluso el propio Windows poseen fi -rewalls para utilizar. Enrutadores de hardware: Su principal función es la de disfrazar la dirección y puertos de la PC a los intrusos. Suelen tener cuatro puertos de red para conexión mediante cableado.
Firewalls de hardware: Son más caros y complejos de manejar en el mante-nimiento y actualización. Los firewalls de hardware son más indicados en em-presas y grandes corporaciones que tienen múltiples computadoras conecta-das. También suelen utilizarse en aquellas empresas que prestan servicios de hosting y necesitan seguridad en los servidores.
Nombre Firewall Características
GRUPO_302070_9
FIREWALLS SOHO
Sonic Wall Fuerte administración centralizada, registro centralizado y características de seguridad de valor agregado
Global Management Sys-tem (GMS) 2.0
Múltiples vistas que le permiten al administrador organizarCreación y administración de VPNs
Pro-VXEl tráfico de administración pasa a través del Pro-VX a los firewalls remotos usando las claves secretas compartidas de 1
LOOK N STOPPermite filtrar todo el tráfico de datos y bloquear fácilmen-te cualquier acción sospechosa de ser un intento de infiltra-se en tu PC
OUTPOST
Vigilando y bloqueando el acceso de datos a través de los distintos puertos de conexión y que normalmente no están vigilados y el usuario desconoce sus actividades. Interfaz sencilla de manejar
BLACK ICE
*La aplicación queda almacenada en la barra de tareas, aparentemente inactivo, sin embargo, se encuentra vigilan-do constantemente los puertos abiertos, de modo que en cuanto detecta una intrusión, permite mostrar una completa información sobre la naturaleza del presunto invasor, ade-más de emitir una alarma sonora.*Para facilitar la tarea de protección, incluye la posibilidad de diseñar dos listas diferentes, una con direcciones enemi-gas y otra con direcciones amigas, bloqueando de forma automática unas y permitiendo el acceso a las otras.
SYGATE PERSONAL FIREWALL
*Realiza controles periódicos en busca de posibles intrusos en tu ordenador, informándote en caso de detectar alguno y antes de tomar las medidas oportunas.*El programa es muy sencillo de usar y tiene multitud de opciones de configuración.
MONOWALL
Interfaz web de gestión y soporte de consola por puerto se-rie para recuperación.Soporte para redes wi-fi, incluyendo la implementación de un portal cautivo o de soporte para autenticación mediante servidor Radius.Soporte NAT / PAT (incluyendo NAT 1:1) y rutas estáti-casCliente DHCP y soporte PPPoE PPTP en el interfaz WANSoporte de túneles VPN con IPsecAgente de SNMP, lo que permite integrarlo en cualquier sistema de monitorización, como Cacti o Nagios.
IPCOP
Reenvío de PuertosServidor DHCPAcceso a Usuarios por TiempoRed Privada Virtual (VPN)Servidor de Horario (NTP)Acceso vía web y ssh (tanto de forma interna como exter-na)Servidor Proxy
OUTPOST Protección proactiva, Anti-Spyware, Control Web, el Vi-sor de sucesos
Nota: Casi todos los antivirus contiene por defecto el Firewalls: McAfee, Norton, kaspersky.
2. Investigue Cual es el protocolo más utilizado por las empresas que comercializan artículos en Internet y porque.
GRUPO_302070_9
Protocolos seguros importantes tantos por las preocupaciones relacionadas con la privacidad como para permitir el comercio electrónico.
SSL (Secure Socket Layer) y TLS(Transport Layer Secure)
Son protocolos criptográficos que proporcionan comunicaciones seguras por una red, comúnmente Internet.
Es un proceso que administra la seguridad de las transacciones que se realizan a través de Internet. El estándar SSL fue desarrollado por Netscape, junto con Mastercard, Bank of America, MCI y Silicon Graphics. Se basa en un proceso de cifrado de clave pública que garantiza la seguridad de los datos que se envían a través de Internet. Su principio consiste en el establecimiento de un canal de comunicación seguro (cifrado) entre dos equipos (el cliente y el servidor) después de una fase de autenticación.
La seguridad de las transacciones a través de SSL 2.0 se basa en el intercambio de claves entre un cliente y un servidor. Una transacción segura SSL se realiza de acuerdo al siguiente modelo:
Primero, el cliente se conecta al servidor comercial protegido por SSL y pide la autenticación. El cliente también envía la lista de los criptosistemas que soporta, clasificada en orden descendente por la longitud de la clave.
El servidor que recibe la solicitud envía un certificado al cliente que contiene la clave pública del servidor firmado por una entidad de certificación (CA), y también el nombre del criptosistema que está más alto en la lista de compatibilidades (la longitud de la clave de cifrado - 40 o 128 bits - será la del criptosistema compartido que tiene el tamaño de clave de mayor longitud).
El cliente verifica la validez del certificado (y por consiguiente, la autenticidad del vendedor), luego crea una clave secreta al azar (más precisamente un supuesto bloque aleatorio), cifra esta clave con la clave pública del servidor y envía el resultado del servidor (clave de sesión).
El servidor es capaz de descifrar la clave de sesión con su clave privada. De esta manera, hay dos entidades que comparten una clave que sólo ellos conocen. Las transacciones restantes pueden realizarse utilizando la clave de sesión, garantizando la integridad y la confidencialidad de los datos que se intercambian.1
Otros protocolos
SSH (Secure Shell)
Este protocolo fue diseñado para dar seguridad al acceso a computadores en forma remota.
Cumple la misma función que telnet o rlogin pero además, usando criptografía, logra seguridad con los datos.
A diferencia de telnet u otro servicio similar, SSH utiliza el puerto 22 para la comunicación y la forma de efectuar su trabajo es muy similar al efectuado por SSL.
1 Toma de la pág.: http://es.kioskea.net/contents/crypto/ssl.php3
GRUPO_302070_9
Para su uso se requiere que por parte del servidor exista un demonio que mantenga continuamente en el puerto 22 el servicio de comunicación segura, el sshd.
El cliente debe ser un software tipo TeraTerm o Putty que permita la hacer pedidos a este puerto 22 de forma cifrada.
La forma en que se entabla una comunicación es en base la misma para todos los protocolos seguros:
El cliente envía una señal al servidor pidiéndole comunicación por el puerto 22.
El servidor acepta la comunicación en el caso de poder mantenerla bajo encriptación mediante un algoritmo definido y le envía la llave pública al cliente para que pueda descifrar los mensajes.
El cliente recibe la llave teniendo la posibilidad de guardar la llave para futuras comunicaciones o destruirla después de la sesión actual
El Protocolo SET (Secure Electronic Transaction)
El protocolo SET, que en español quiere decir Transacción Electrónica Segura, es una especificación diseñada con el propósito de asegurar y otorgar autenticidad a la identidad de los participantes en las compras abonadas con tarjetas de crédito en cualquier tipo de red en línea.
SET ha sido desarrollada por Visa y MasterCard, con la participación de Microsoft, IBM, Netscape, SAIC, GTE, RSA, Terisa Systems, VeriSign y otras empresas líderes en tecnología.
Los objetivos que cumple SET son:
Confidencialidad de la información transmitida. Autenticación de los titulares y comercios. Integridad de la información transmitida. No repudio de las operaciones realizadas. Interoperabilidad entre las distintas plataformas de hardware y software que utilizan los
diferentes participantes en las transacciones electrónicas.
3. Investigue el nombre de las más importantes Entidades Certificadoras a nivel de América y a que países pertenecen
Nombre Empresa Descripción País
Certicámara Otorgar certificados digitales Colombia
GRUPO_302070_9
de servidor seguro, de repre-sentación legal de empresas y de pertenencia a una empresa.
Andes SCD certificación digital y gestionar el ciclo de vida de los certifica-dos
Colombia
MacroSeguridad.org Certificados Digitales PKI, so-luciones de Aceleración para eCommerce y Seguridad de In-fraestructura que incluyen Au-tenticación de Acceso para Usuarios (de dos factores y múltiples factores), Escaneo de Vulnerabilidades en Redes y servicios de cumplimiento con el estándar PCI.
Argentina
GSE S.A. Certificado de Representación de Empresa.Certificado de Pertenencia a Empresa.Certificado de Profesional Ti-tulado.Certificado de Función Públi-ca.Certificado de Persona Natural.
Colombia
Cámara de Comercio de Guatemala
certificados digitales Guatemala
BvQi Es considerada una de las ma-yores y más importantes orga-nizaciones de certificación en el mundo, la cual está presente en más de 44 países en los 5 cinco continentes. En Colom-bia esta entidad de orden inter-nacional se encuentra en la ciu-dad de Bogotá.
Colombia
Si quieres averiguar qué dice la legislación de firma electrónica de tu país, estás en el lugar adecuado. Bienvenido al “Tractis Worldwide eSignature Status Report“. https://www.tractis.com/help/?p=3670
4. Elabore una lista de situaciones donde es conveniente utilizar firmas digitales, justi-fique su respuesta.
¿Porque utilizar Firmas Digitales?
Es un procedimiento basado en técnicas criptográficas que posibilita la formalización válida y se-gura del tráfico comercial y administrativo online.
GRUPO_302070_9
El desarrollo de las redes telemáticas y de Internet ha facilitado el intercambio de mensajes de todo tipo, incluidos aquellos de contenido contractual y administrativo, entre personas distantes geográficamente. La firma digital o electrónica viene a solventar el problema de autentificación de los mismos, ya que equivale, a todos los efectos, a la firma autógrafa, puesto que identifica fe-hacientemente la autoría del mensaje.Físicamente, la firma digital se basa en la criptografía y puede ser definida como una secuencia de datos electrónicos (bits) que se obtienen mediante la aplicación de un algoritmo (fórmula ma-temática) de cifrado asimétricos o de clave pública.Estos sistemas cifran los mensajes mediante la utilización de dos claves diferentes, una privada y otra pública. La privada es conocida únicamente por la persona a quien pertenece el par de cla-ves. La pública, por su parte, puede ser conocida por cualquiera pero no sirve para hallar matemá-ticamente la clave privada.La utilización de la firma digital asegura que el emisor y el receptor del mensaje (ya sean dos em-presarios, un empresario y un consumidor o un ciudadano y la Administración) puedan realizar una transacción fiable.Lista donde es conveniente utilizar la firma digital
1. Transacciones Legales como pasados judiciales, se deben identificar a los usuarios para constatar que sea correspondiente al solicitante.
2. En documentos del gobierno en donde se generan actos administrativos y que son necesa-rios para demostrar que se esta cumpliendo con el proceso en su debida forma y tiempo.
3. Movimientos financieros En los bancos donde existen algunos documentos que se pueden imprimir desde la página con la firma del debido funcionario a cargo.
4. En la cédula o carnet, se utiliza para constatar de que es la persona quien dice ser.5. Comercio Electrónico para que las compras online tenga validez y no se generen engaños.6. Acceso a Bases de Datos Confidenciales cuando se consultan bases de datos online como
las EPS, FOSYGA, etc.7. Contratos, cuando se realizan contratos vía web entre empresas o ciudadanos
5. Explique 5 razones por las cuales es necesario que las empresas adopten políticas se-rias en lo que se refiere al uso de firmas digitales.
Las firmas digitales utilizan una potente tecnología de cifrado y una infraestructura de clave pú-blica para proporcionar una mayor seguridad sobre la autenticidad, integridad y no rechazo de los documentos. El proceso es tan seguro que algunos gobiernos han implementado la legislación ne-cesaria para que las firmas digitales sean vinculantes desde el punto de vista legal.En colaboración con los principales proveedores de seguridad, como Entrust y VeriSign, permite que cualquier empresa pueda incorporar su firma digital en archivos como PDF de Adobe®. Es por eso que las empresas deben de adoptar políticas que les permita.Las razones más importantes son:
1. Integrar las firmas digitales en flujos de trabajo continuos.2. Entregar documentos firmados de forma segura, tanto dentro como fuera de un cortafuego
empresarial.3. Validar la identidad digital de cualquier firmante.4. Autentificación de las personas que participan en la transacción.5. Verificar que los documentos no se han alterado de forma fraudulenta.
GRUPO_302070_9
Reducir los costes y acelerar los procesos de aprobación.
CONCLUSIONES
La realización de este trabajo nos ha permitido tener una visión más clara y completa sobre los
temas de seguridad informática ya que como profesionales debemos tener la capacidad de dar
solución a las distintas formas de fraude que se encuentran en la red y proteger a las
organizaciones de intrusos que puede perjudicar los sistemas de información.
GRUPO_302070_9
En esta sociedad moderna las empresas deben estar atentas a los adelantos tecnológicos para
proteger su información y contar con unas buenas herramientas permite estar en la vanguardia de
la seguridad informático.
Al concluir este trabajo quedamos con conocimientos muy importantes para nuestro desarrollo
profesional en cuanto a seguridad se trate.
GRUPO_302070_9
BIBLIOGRAFÍA
SCD es una Autoridad Certificadora Abierta. (s.f.). Recuperado el 20 de NOVIEMBRE de 2012, de https://www.andesscd.com.co/compania.html
¿La firma electrónica es válida en mi país?, ¿Cual es la legislacion de firma electrónica de mi país? (s.f.). Recuperado el 20 de NOVIEMBRE de 2012, de tractis: https://www.tractis.com/help/?p=3670
Asociación Colombiana de Ingenieros. (s.f.). Recuperado el 20 de NOVIEMBRE de 2012, de ACEIM: www.aciem.org
Asociación Colombiana de Ingenieros de Sistemas. (s.f.). Recuperado el 20 de NOVIEMBRE de 2012, de ACIS: www.acis.org.co
CERTIFICADO Y FIRMA DIGITAL. (s.f.). Recuperado el 20 de NOVIEMBRE de 2012, de slideshare: http://www.slideshare.net/paolaolarter/certificado-y-firma-electrnica
FIRMA DIGITAL. (s.f.). Recuperado el 20 de NOVIEMBRE de 2012, de CAMARA DE COMERCION: http://www.empresario.com.co/recursos/instructivo_firmas/
INVESTIGACIÓN EN INTERNET FORO DE COMERCIO ELECTRÓNICO. (s.f.). Recuperado el 20 de NOVIEMBRE de 2012, de Protocolos seguros para permitir el Comercio Electrónico.: http://www.oocities.org/es/emmareales/hwct/ii.htm
Seguridad en la transmisión. (s.f.). Recuperado el 12 de NOVIEMBRE de 2012, de webtaller: http://www.webtaller.com/maletin/articulos/protocolos-seguros-web.php
Seguridad Informática Colombiana. (s.f.). Recuperado el 20 de NOVIEMBRE de 2012, de www.sinfocol.org