GRUPO_302070_9

TRABAJO COLABORATIVO 3

REDES LOCALES AVANZADAS

NELLY EUTIMA BENITES

LIZETH XIMENA OCHOA

ELIANA PATRICIA LÓPEZ SALAS

DEISSY SALAS ROVIRA

YENNY LILIANA TORO HENAO

GRUPO 302070-9

ESCUELA DE CIENCIAS BÁSICAS, TECNOLOGÍA E INGENIERÍA

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA- UNAD

FACULTAD DE INGENIERÍA SISTEMAS

NOVIEMBRE 2012

GRUPO_302070_9

TRABAJO COLABORATIVO 3

REDES LOCALES AVANZADAS

PRESENTADO POR

NELLY BENITEZ PATIÑOCOD 25.29.0337

LIZETH XIMENA OCHOACOD

ELIANA PATRICIA LÓPEZ SALAS COD 31.486.484

DEISSY SALAS ROVIRACOD. 26.274.241

YENNY LILIANA TORO HENAOCOD. 31.429.616

GRUPO 302070-9

TRABAJO PRESENTADO A:

LUIS HERNANDO PRADA RODRÍGUEZ

TUTOR- DIRECTOR

ESCUELA DE CIENCIAS BÁSICAS, TECNOLOGÍA E INGENIERÍA

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA- UNAD

FACULTAD DE INGENIERÍA SISTEMAS

NOVIEMBRE 2012

GRUPO_302070_9

INTRODUCCION

El presente trabajo contiene el desarrollo de la guía correspondiente al trabajo colaborativo 3, con

el fin de tratar temas concernientes a la seguridad informantica tanto en las redes, seguridad a

nivel organizativo, seguridad en la información.

Para que un sistema se pueda definir como seguro debe tener estas cuatro características:

Integridad: La información sólo puede ser modificada por quien está autorizado y de manera

controlada.

Confidencialidad: La información sólo debe ser legible para los autorizados.

Disponibilidad: Debe estar disponible cuando se necesita.

Irrefutabilidad (No repudio): El uso y/o modificación de la información por parte de un usuario

debe ser irrefutable, es decir, que el usuario no puede negar dicha acción.

OBJETIVOS

OBJETIVO GENERAL

Aprender qué es un certificado digital, como funciona y los diferentes tipos de certificados que se emplean. Comprender el protocolo SSL y como se implementa para operaciones de comercio en Internet.

OBJETIVOS ESPECIFICOS

Identificar los Firewall y sus características de protección.

Identificar los protocolos más utilizados por las empresas que comercializan artículos en Internet.

Conocer las Entidades Certificadoras.

Determinar las situaciones donde es conveniente utilizar firmas digitales.

Determinar las políticas de las firmas digitales necesarias para las empresas.

GRUPO_302070_9

DESARROLLO DEL TRABAJO

1. Investigue que Firewall se encuentran disponibles en el mercado y que característi-cas de protección brindan.

Firewall

Imagen tomada de pág.: http://www.alegsa.com.ar/Diccionario/I/302

Un firewall sirve para impedir el acceso no autorizado a Internet (u otra red) por parte de progra-mas malignos que están instalados en nuestro equipo, o de programas o intrusos que intentan ata-car nuestra computadora desde el exterior. Un firewall es sencillamente un filtro capaz de controlar y examinar todas las comunicaciones, entrantes y salientes, que pasan de una red a otra permitiendo o denegando el paso. Existen tres tipos de firewalls:

Firewalls de software: Tienen un costo pequeño y son una buena elección cuando sólo se utiliza una PC. Su instalación y actualización es sencilla, pues se trata de una aplicación de seguridad, como lo sería un antivirus; de hecho, muchos antivirus e incluso el propio Windows poseen fi -rewalls para utilizar. Enrutadores de hardware: Su principal función es la de disfrazar la dirección y puertos de la PC a los intrusos. Suelen tener cuatro puertos de red para conexión mediante cableado.

Firewalls de hardware: Son más caros y complejos de manejar en el mante-nimiento y actualización. Los firewalls de hardware son más indicados en em-presas y grandes corporaciones que tienen múltiples computadoras conecta-das. También suelen utilizarse en aquellas empresas que prestan servicios de hosting y necesitan seguridad en los servidores.

Nombre Firewall Características

GRUPO_302070_9

FIREWALLS SOHO

Sonic Wall Fuerte administración centralizada, registro centralizado y características de seguridad de valor agregado

Global Management Sys-tem (GMS) 2.0

Múltiples vistas que le permiten al administrador organizarCreación y administración de VPNs

Pro-VXEl tráfico de administración pasa a través del Pro-VX a los firewalls remotos usando las claves secretas compartidas de 1

LOOK N STOPPermite filtrar todo el tráfico de datos y bloquear fácilmen-te cualquier acción sospechosa de ser un intento de infiltra-se en tu PC

OUTPOST

Vigilando y bloqueando el acceso de datos a través de los distintos puertos de conexión y que normalmente no están vigilados y el usuario desconoce sus actividades. Interfaz sencilla de manejar

BLACK ICE

*La aplicación queda almacenada en la barra de tareas, aparentemente inactivo, sin embargo, se encuentra vigilan-do constantemente los puertos abiertos, de modo que en cuanto detecta una intrusión, permite mostrar una completa información sobre la naturaleza del presunto invasor, ade-más de emitir una alarma sonora.*Para facilitar la tarea de protección, incluye la posibilidad de diseñar dos listas diferentes, una con direcciones enemi-gas y otra con direcciones amigas, bloqueando de forma automática unas y permitiendo el acceso a las otras.

SYGATE PERSONAL FIREWALL

*Realiza controles periódicos en busca de posibles intrusos en tu ordenador, informándote en caso de detectar alguno y antes de tomar las medidas oportunas.*El programa es muy sencillo de usar y tiene multitud de opciones de configuración.

MONOWALL

Interfaz web de gestión y soporte de consola por puerto se-rie para recuperación.Soporte para redes wi-fi, incluyendo la implementación de un portal cautivo o de soporte para autenticación mediante servidor Radius.Soporte NAT / PAT (incluyendo NAT 1:1) y rutas estáti-casCliente DHCP y soporte PPPoE PPTP en el interfaz WANSoporte de túneles VPN con IPsecAgente de SNMP, lo que permite integrarlo en cualquier sistema de monitorización, como Cacti o Nagios.

IPCOP

Reenvío de PuertosServidor DHCPAcceso a Usuarios por TiempoRed Privada Virtual (VPN)Servidor de Horario (NTP)Acceso vía web y ssh (tanto de forma interna como exter-na)Servidor Proxy

OUTPOST Protección proactiva, Anti-Spyware, Control Web, el Vi-sor de sucesos

Nota: Casi todos los antivirus contiene por defecto el Firewalls: McAfee, Norton, kaspersky.

2. Investigue Cual es el protocolo más utilizado por las empresas que comercializan artículos en Internet y porque.

GRUPO_302070_9

Protocolos seguros importantes tantos por las preocupaciones relacionadas con la privacidad como para permitir el comercio electrónico.

SSL (Secure Socket Layer) y TLS(Transport Layer Secure)

Son protocolos criptográficos que proporcionan comunicaciones seguras por una red, comúnmente Internet.

Es un proceso que administra la seguridad de las transacciones que se realizan a través de Internet. El estándar SSL fue desarrollado por Netscape, junto con Mastercard, Bank of America, MCI y Silicon Graphics. Se basa en un proceso de cifrado de clave pública que garantiza la seguridad de los datos que se envían a través de Internet. Su principio consiste en el establecimiento de un canal de comunicación seguro (cifrado) entre dos equipos (el cliente y el servidor) después de una fase de autenticación.

La seguridad de las transacciones a través de SSL 2.0 se basa en el intercambio de claves entre un cliente y un servidor. Una transacción segura SSL se realiza de acuerdo al siguiente modelo:

Primero, el cliente se conecta al servidor comercial protegido por SSL y pide la autenticación. El cliente también envía la lista de los criptosistemas que soporta, clasificada en orden descendente por la longitud de la clave.

El servidor que recibe la solicitud envía un certificado al cliente que contiene la clave pública del servidor firmado por una entidad de certificación (CA), y también el nombre del criptosistema que está más alto en la lista de compatibilidades (la longitud de la clave de cifrado - 40 o 128 bits - será la del criptosistema compartido que tiene el tamaño de clave de mayor longitud).

El cliente verifica la validez del certificado (y por consiguiente, la autenticidad del vendedor), luego crea una clave secreta al azar (más precisamente un supuesto bloque aleatorio), cifra esta clave con la clave pública del servidor y envía el resultado del servidor (clave de sesión).

El servidor es capaz de descifrar la clave de sesión con su clave privada. De esta manera, hay dos entidades que comparten una clave que sólo ellos conocen. Las transacciones restantes pueden realizarse utilizando la clave de sesión, garantizando la integridad y la confidencialidad de los datos que se intercambian.1

Otros protocolos

SSH (Secure Shell)

Este protocolo fue diseñado para dar seguridad al acceso a computadores en forma remota.

Cumple la misma función que telnet o rlogin pero además, usando criptografía, logra seguridad con los datos.

A diferencia de telnet u otro servicio similar, SSH utiliza el puerto 22 para la comunicación y la forma de efectuar su trabajo es muy similar al efectuado por SSL.

1 Toma de la pág.: http://es.kioskea.net/contents/crypto/ssl.php3

GRUPO_302070_9

Para su uso se requiere que por parte del servidor exista un demonio que mantenga continuamente en el puerto 22 el servicio de comunicación segura, el sshd.

El cliente debe ser un software tipo TeraTerm o Putty que permita la hacer pedidos a este puerto 22 de forma cifrada.

La forma en que se entabla una comunicación es en base la misma para todos los protocolos seguros:

El cliente envía una señal al servidor pidiéndole comunicación por el puerto 22.

El servidor acepta la comunicación en el caso de poder mantenerla bajo encriptación mediante un algoritmo definido y le envía la llave pública al cliente para que pueda descifrar los mensajes.

El cliente recibe la llave teniendo la posibilidad de guardar la llave para futuras comunicaciones o destruirla después de la sesión actual

El Protocolo SET (Secure Electronic Transaction)

El protocolo SET, que en español quiere decir Transacción Electrónica Segura, es una especificación diseñada con el propósito de asegurar y otorgar autenticidad a la identidad de los participantes en las compras abonadas con tarjetas de crédito en cualquier tipo de red en línea.

SET ha sido desarrollada por Visa y MasterCard, con la participación de Microsoft, IBM, Netscape, SAIC, GTE, RSA, Terisa Systems, VeriSign y otras empresas líderes en tecnología.

Los objetivos que cumple SET son:

Confidencialidad de la información transmitida. Autenticación de los titulares y comercios. Integridad de la información transmitida. No repudio de las operaciones realizadas. Interoperabilidad entre las distintas plataformas de hardware y software que utilizan los

diferentes participantes en las transacciones electrónicas.

3. Investigue el nombre de las más importantes Entidades Certificadoras a nivel de América y a que países pertenecen

Nombre Empresa Descripción País

Certicámara Otorgar certificados digitales Colombia

GRUPO_302070_9

de servidor seguro, de repre-sentación legal de empresas y de pertenencia a una empresa.

Andes SCD certificación digital y gestionar el ciclo de vida de los certifica-dos

Colombia

MacroSeguridad.org Certificados Digitales PKI, so-luciones de Aceleración para eCommerce y Seguridad de In-fraestructura que incluyen Au-tenticación de Acceso para Usuarios (de dos factores y múltiples factores), Escaneo de Vulnerabilidades en Redes y servicios de cumplimiento con el estándar PCI.

Argentina

GSE S.A. Certificado de Representación de Empresa.Certificado de Pertenencia a Empresa.Certificado de Profesional Ti-tulado.Certificado de Función Públi-ca.Certificado de Persona Natural.

Colombia

Cámara de Comercio de Guatemala

certificados digitales Guatemala

BvQi Es considerada una de las ma-yores y más importantes orga-nizaciones de certificación en el mundo, la cual está presente en más de 44 países en los 5 cinco continentes. En Colom-bia esta entidad de orden inter-nacional se encuentra en la ciu-dad de Bogotá.

Colombia

Si quieres averiguar qué dice la legislación de firma electrónica de tu país, estás en el lugar adecuado. Bienvenido al “Tractis Worldwide eSignature Status Report“. https://www.tractis.com/help/?p=3670

4. Elabore una lista de situaciones donde es conveniente utilizar firmas digitales, justi-fique su respuesta.

¿Porque utilizar Firmas Digitales?

Es un procedimiento basado en técnicas criptográficas que posibilita la formalización válida y se-gura del tráfico comercial y administrativo online.

GRUPO_302070_9

El desarrollo de las redes telemáticas y de Internet ha facilitado el intercambio de mensajes de todo tipo, incluidos aquellos de contenido contractual y administrativo, entre personas distantes geográficamente. La firma digital o electrónica viene a solventar el problema de autentificación de los mismos, ya que equivale, a todos los efectos, a la firma autógrafa, puesto que identifica fe-hacientemente la autoría del mensaje.Físicamente, la firma digital se basa en la criptografía y puede ser definida como una secuencia de datos electrónicos (bits) que se obtienen mediante la aplicación de un algoritmo (fórmula ma-temática) de cifrado asimétricos o de clave pública.Estos sistemas cifran los mensajes mediante la utilización de dos claves diferentes, una privada y otra pública. La privada es conocida únicamente por la persona a quien pertenece el par de cla-ves. La pública, por su parte, puede ser conocida por cualquiera pero no sirve para hallar matemá-ticamente la clave privada.La utilización de la firma digital asegura que el emisor y el receptor del mensaje (ya sean dos em-presarios, un empresario y un consumidor o un ciudadano y la Administración) puedan realizar una transacción fiable.Lista donde es conveniente utilizar la firma digital

1. Transacciones Legales como pasados judiciales, se deben identificar a los usuarios para constatar que sea correspondiente al solicitante.

2. En documentos del gobierno en donde se generan actos administrativos y que son necesa-rios para demostrar que se esta cumpliendo con el proceso en su debida forma y tiempo.

3. Movimientos financieros En los bancos donde existen algunos documentos que se pueden imprimir desde la página con la firma del debido funcionario a cargo.

4. En la cédula o carnet, se utiliza para constatar de que es la persona quien dice ser.5. Comercio Electrónico para que las compras online tenga validez y no se generen engaños.6. Acceso a Bases de Datos Confidenciales cuando se consultan bases de datos online como

las EPS, FOSYGA, etc.7. Contratos, cuando se realizan contratos vía web entre empresas o ciudadanos

5. Explique 5 razones por las cuales es necesario que las empresas adopten políticas se-rias en lo que se refiere al uso de firmas digitales.

Las firmas digitales utilizan una potente tecnología de cifrado y una infraestructura de clave pú-blica para proporcionar una mayor seguridad sobre la autenticidad, integridad y no rechazo de los documentos. El proceso es tan seguro que algunos gobiernos han implementado la legislación ne-cesaria para que las firmas digitales sean vinculantes desde el punto de vista legal.En colaboración con los principales proveedores de seguridad, como Entrust y VeriSign, permite que cualquier empresa pueda incorporar su firma digital en archivos como PDF de Adobe®. Es por eso que las empresas deben de adoptar políticas que les permita.Las razones más importantes son:

1. Integrar las firmas digitales en flujos de trabajo continuos.2. Entregar documentos firmados de forma segura, tanto dentro como fuera de un cortafuego

empresarial.3. Validar la identidad digital de cualquier firmante.4. Autentificación de las personas que participan en la transacción.5. Verificar que los documentos no se han alterado de forma fraudulenta.

GRUPO_302070_9

Reducir los costes y acelerar los procesos de aprobación.

CONCLUSIONES

La realización de este trabajo nos ha permitido tener una visión más clara y completa sobre los

temas de seguridad informática ya que como profesionales debemos tener la capacidad de dar

solución a las distintas formas de fraude que se encuentran en la red y proteger a las

organizaciones de intrusos que puede perjudicar los sistemas de información.

GRUPO_302070_9

En esta sociedad moderna las empresas deben estar atentas a los adelantos tecnológicos para

proteger su información y contar con unas buenas herramientas permite estar en la vanguardia de

la seguridad informático.

Al concluir este trabajo quedamos con conocimientos muy importantes para nuestro desarrollo

profesional en cuanto a seguridad se trate.

GRUPO_302070_9

BIBLIOGRAFÍA

SCD es una Autoridad Certificadora Abierta. (s.f.). Recuperado el 20 de NOVIEMBRE de 2012, de https://www.andesscd.com.co/compania.html

¿La firma electrónica es válida en mi país?, ¿Cual es la legislacion de firma electrónica de mi país? (s.f.). Recuperado el 20 de NOVIEMBRE de 2012, de tractis: https://www.tractis.com/help/?p=3670

Asociación Colombiana de Ingenieros. (s.f.). Recuperado el 20 de NOVIEMBRE de 2012, de ACEIM: www.aciem.org

Asociación Colombiana de Ingenieros de Sistemas. (s.f.). Recuperado el 20 de NOVIEMBRE de 2012, de ACIS: www.acis.org.co

CERTIFICADO Y FIRMA DIGITAL. (s.f.). Recuperado el 20 de NOVIEMBRE de 2012, de slideshare: http://www.slideshare.net/paolaolarter/certificado-y-firma-electrnica

FIRMA DIGITAL. (s.f.). Recuperado el 20 de NOVIEMBRE de 2012, de CAMARA DE COMERCION: http://www.empresario.com.co/recursos/instructivo_firmas/

INVESTIGACIÓN EN INTERNET FORO DE COMERCIO ELECTRÓNICO. (s.f.). Recuperado el 20 de NOVIEMBRE de 2012, de Protocolos seguros para permitir el Comercio Electrónico.: http://www.oocities.org/es/emmareales/hwct/ii.htm

Seguridad en la transmisión. (s.f.). Recuperado el 12 de NOVIEMBRE de 2012, de webtaller: http://www.webtaller.com/maletin/articulos/protocolos-seguros-web.php

Seguridad Informática Colombiana. (s.f.). Recuperado el 20 de NOVIEMBRE de 2012, de www.sinfocol.org