SlideShare uma empresa Scribd logo

Riesgos de Seguridad

M
maheza3613

Riesgos de Seguridad

Educação
1 de 15
Baixar para ler offline
Redes de Computadoras Coordinación de Ciencias Computacionales Dra. Claudia Feregrino Jul-Dic. 2003 Seguridad en Redes 1. Riesgos de seguridad 2. Técnicas de ataque 3. Puntos para mejorar la seguridad 4. Políticas de seguridad en la red 5. Estrategias de seguridad 6. Firewalls 7. Virus 1
1. Riesgos Seguridad Intrusión.- alguien entra ilegalmente a un sistema y es capaz de utilizarlo y modificarlo como si fuera un usuario legítimo. Rechazo de Servicios.- alguien logra que no puedan prestarse los servicios a los usuarios legítimos, puede ser dañando al sistema o sobrecargando el sistema o la red. Robo de Información.- alguien tiene acceso a información confidencial, secreta, reservada o restringida. Es común en espionaje industrial, piratería, etc. 2. Técnicas de Ataque Ingeniería Social.- el objetivo es convencer a algún usuario para que revele informacion acerca del acceso (Login, passwords, claves, etc). Para esto se hacen pasar como administradores o usuarios. Bugs del Sistema.- se aprovechan diversos errores de los sistemas para poder accesarlos o dañarlos . • Algunos errores se conocen y explotan por largo tiempo, hasta que se corrigen. 2
Técnicas de Ataque (2) • Por ejemplo: • la forma en que se maneja el FTP anónimo. • Cuando una conexión por modem se corta y se reestablece, no se verifica la identidad del usuario. • Esto es equivalente a entrar en un sistema y dejar desatendida la terminal, de modo que cualquiera pueda usarla. Técnicas de Ataque (3) Back Door.- intencionalmente se programaban entradas alternativas al sistema para usarlas en caso de emergencia o para poder accesar sistemas que sean manejados por otras personas. • Estas “back door” llegan a ser conocidas y explotadas. • Otra variante es que cuando un intruso llegue a entrar a un sistema, lo modifique para crear su propia “back door”. Después de que se detecta una intrusión es recomendable reinstalar el sistema. 3
Técnicas de Ataque (4) Caballos de Troya.- Programas que aparentan ser una cosa, pero en realidad crean problemas de seguridad. • Es una forma común de introducción de virus. • Por ejemplo se podría crear una versión del Login que realice su función, pero que adicionalmente guarde o envíe los login y los password al atacante. Técnicas de Ataque (5) Señuelos.- programas diseñados para hacer caer en una trampa a los usuarios. • Un usuario puede sustituir el login por un programa que si intenta entrar el “root” le notifique el password. • Instalar un programa que registre las teclas presionadas para después analizar la información en busca de passwords. 4
Técnicas de Ataque (6) Método del Adivino.- probar todas las posibles combinaciones para el password hasta encontrarlo. • Las combinaciones son muchas, dependiendo del número de caracteres del password y el número de caracteres diferentes permitidos. • Existen conjuntos de passwords comunes que son los primeros que se prueban ( en el root es poco probable, pero los usuarios comunes no son muy cuidadosos al seleccionar el password). Técnicas de Ataque (7) • Los login de los usuarios pueden encontrase con finger, si el servicio está habilitado. • Las pruebas cada vez pueden hacerse más rápido, por lo cual se introdujo un retardo después de cada intento fallido. • Las pruebas usualmente no se hacen en línea, se obtiene el archivo de los passwords y se analiza fuera de línea. • El archivo de los passwords normalmente es fácil de obtener. 5
Técnicas de Ataque (8) • Del archivo de passwords no se pueden obtener los passwords por que el algoritmo de encriptamiento es unidireccional (es decir se puede encriptar pero no desencriptar). • Lo que se hace es encriptar las palabras y comparar el resultado contra el archivo. • Actualmente se oculta la ubicación y nombre del archivo de passwords. Técnicas de Ataque (9) Revisión de Basura.- Se revisa la basura en busca de información útil. • Mucha gente anota su password en un papel, lo memoriza y lo tira (alguien podría encontrarlo y utilizarlo). • Esto aplica en los envíos por la red. En muchas ocasiones uno escribe su passwod remotamente y viaja por la red sin encriptarse. • No sólo los passwords, sino también otra información relevante. 6
3. Puntos para mejorar la Seguridad Identificación y Autentificación • Los usuarios deben identificarse y después comprobar que son quien dicen ser. • Lo más común es usar login y password. • Más seguro sería usar login y alguna identificación física como huellas digitales o reconocedores de voz. No es común porque resulta más difícil de implementar y más caro. Puntos para mejorar la Seguridad(2) Control de Acceso • Los recursos del sistema son proporcionados o negados de acuerdo al tipo de usuario que los solicite, y dependiendo desde donde haga la solicitud. • Algunas veces sólo se permite uso parcial de los recursos, esto es común en sistemas de archivos, donde algunos usuarios solamente pueden leer, algunos otros leer y escribir, etc. 7
Puntos para mejorar la Seguridad(3) Integridad • Los sistemas se deben poder checar en cuanto a su integridad, esto con el fin de detectar modificaciones que puedan afectar la seguridad. • Si el sistema se corrompe o es modificado, sería deseable detectar el origen del problema (quien lo modificó) y restituir la integridad (en muchos casos hay que reinstalar el sistema). Puntos para mejorar la Seguridad(4) Confidencialidad • La información debe ser confidencial. • Se debe garantizar que si un usuario desea que su información no sea vista por alguien más pueda lograrlo. • Se debe poder decidir quienes tienen derecho a obtener la información. • Usualmente se manejan permisos de acceso individuales o grupales y encriptamiento para transmisión en la red y para almacenamiento de información crítica. 8
4. Políticas de Seguridad en la Red Diferentes políticas de seguridad, englobadas en 2 tipos. • Todo está prohibido a menos que se permita explícitamente. • Todo está permitido a menos que se prohíba explícitamente. En ocasiones se utilizan combinaciones de éstas, para diferentes partes del sistema. 5. Estrategias de Seguridad Mínimos privilegios • Consiste en asignar a cada usuario el mínimo de privilegios que necesite. • El objetivo es minimizar los daños en caso de que la cuenta de un usuario sea invadida. • En caso de que un usuario quiera realizar actividades diferentes tiene que solicitar que se le asignen los privilegios correspondientes. 9
Estrategias de Seguridad (2) Defensa en profundidad • Consiste en usar tantos mecanismos de seguridad como sea posible, colocándolos uno tras otro. • Puede hacer muy compleja la utilización del sistema. Check Point • Se hace pasar todo el tráfico de la red por un solo punto y se enfocan los esfuerzos de seguridad en ese punto. • Puede disminuir el rendimiento. Estrategias de Seguridad (3) Falla en posición segura • Los sistemas deben estar diseñados para que en caso de falla queden en un estado seguro. • Por ejemplo en redes, en caso de falla se debe suspender el acceso a Internet. Seguridad por Obscuridad • La estrategia es mantener un bajo perfil y tratar de pasar desapercibido, de modo que los atacantes no lo detecten. 10
Estrategias deSeguridad (4) Simplicidad • Los sistemas muy complejos tienden a tener fallas y huecos de seguridad. • La idea es mantener los sistemas tan simples como sea posible, eliminando funcionalidad innecesaria. • Sistemas simples que tienen mucho tiempo, han sido tan depurados que prácticamente no tienen huecos de seguridad. Estrategias de Seguridad (5) Seguridad basada en hosts • Los mecanismos de seguridad están en los hosts. • Puede ser diferente en cada host, lo cual hace difícil su instalación y mantenimiento. • Si un host es atacado con éxito, peligra la seguridad de la red (muchos usuarios tienen el mismo login y password en todos los hosts a los que tienen acceso). 11
Estrategias de Seguridad (6) Seguridad basada en la red • La seguridad se basa en controlar los accesos a los hosts desde la red. • El método más común es la implementación de firewalls. Firewalls • Es un mecanismo para proteger las redes, implementando un control de acceso hacia y desde Internet. • Es una colección de componentes puestos entre 2 redes, con las siguientes propiedades: • Todo el tráfico desde dentro hacia fuera y viceversa debe pasar por ella. • Sólo al tráfico autorizado, definido por las políticas de seguridad, se le permite el paso. • El sistema en sí mismo es inmune a ataques. 12
Firewalls (2) • En otras palabras un firewall es un mecanismo para proteger redes confiables cuando se conectan a redes no confiables (como Internet). Firewalls (3) ¿Qué puede hacer un firewall? • Restringir algunos servicios de Internet que se consideren inseguros. • Puede llevar una bitácora de la actividad de la red. • Puede limitar la exposición a redes inseguras. • Es el lugar donde deben enfocarse las decisiones de seguridad. 13
Firewalls (4) ¿Qué NO puede hacer un firewall? • No proveen casi ninguna protección contra protocolos de alto nivel. • No brinda protección contra virus contenidos en archivos transferidos con FTP. • No protege contra ataques desde el interior. • No protege contra back doors. • No protege contra nuevos tipos de ataques a menos que la política sea que todo está prohibido a menos que se permita explícitamente. Tipos de Firewalls De filtrado de paquetes • Ofrece un control básico basado en información contenida en los paquetes IP. Cuando éstos llegan al firewall se checa un conjunto de reglas de filtrado y se decide si se autoriza o niega el paso. De gateway • Trabaja en el nivel de aplicación. Todas las aplicaciones realizan la comunicación a través del firewall. 14
Virus Otro problema de seguridad son los virus. • Virus - programa o segmento de programa que al ejecutarse se copia a si mismo en otro programa, en otro host, etc. • Además de copiarse, los virus pueden contener código para hacer algo más, posiblemente dañino. • Algunos sólo se reproducen. • Otros muestran mensajes. • Algunos destruyen o dañan la información. Virus (2) • No todos son destructivos. • No todos los programas que destruyen son virus (no se reproducen). • Pueden estar en archivos ejecutables, incluyendo macros, scripts, etc. • Algunos tratan de copiarse a otras máquinas de la red, algunos directamente (si se puede), otros por email (con un caballo de Troya). • Un antivirus es un programa que se encarga de detectar y elimiar virus. Si es posible antes de que se activen. 15

Recomendados

Introduccion seguridad informatica - chakan
Introduccion seguridad informatica - chakanIntroduccion seguridad informatica - chakan
Introduccion seguridad informatica - chakanch4k4n
 
Lizeth gonzalez-campos
Lizeth gonzalez-camposLizeth gonzalez-campos
Lizeth gonzalez-camposMarcos de Jesus Alonso Hernandez
 
Hardening windows
Hardening windowsHardening windows
Hardening windowsJose Manuel Acosta
 
Seguridad y amenazas en la red.
Seguridad y amenazas en la red.Seguridad y amenazas en la red.
Seguridad y amenazas en la red.guestf3ba8a
 
Unidad 4 - Software antimalware
Unidad 4 - Software antimalwareUnidad 4 - Software antimalware
Unidad 4 - Software antimalwarevverdu
 
TIA BASTIONADO y ASUME LA BRECHA 2018 (PART 2)
TIA BASTIONADO y ASUME LA BRECHA 2018 (PART 2)TIA BASTIONADO y ASUME LA BRECHA 2018 (PART 2)
TIA BASTIONADO y ASUME LA BRECHA 2018 (PART 2)Jhonny D. Maracay
 
Seguridad en Redes
Seguridad en RedesSeguridad en Redes
Seguridad en Redesoligormar
 
Curso de práctica operativa en investigación. Módulo 5. Internet, Documentaci...
Curso de práctica operativa en investigación. Módulo 5. Internet, Documentaci...Curso de práctica operativa en investigación. Módulo 5. Internet, Documentaci...
Curso de práctica operativa en investigación. Módulo 5. Internet, Documentaci...Internet Security Auditors
 

Recomendados

Introduccion seguridad informatica - chakan
Introduccion seguridad informatica - chakanIntroduccion seguridad informatica - chakan
Introduccion seguridad informatica - chakanch4k4n
 
Lizeth gonzalez-campos
Lizeth gonzalez-camposLizeth gonzalez-campos
Lizeth gonzalez-camposMarcos de Jesus Alonso Hernandez
 
Hardening windows
Hardening windowsHardening windows
Hardening windowsJose Manuel Acosta
 
Seguridad y amenazas en la red.
Seguridad y amenazas en la red.Seguridad y amenazas en la red.
Seguridad y amenazas en la red.guestf3ba8a
 
Unidad 4 - Software antimalware
Unidad 4 - Software antimalwareUnidad 4 - Software antimalware
Unidad 4 - Software antimalwarevverdu
 
TIA BASTIONADO y ASUME LA BRECHA 2018 (PART 2)
TIA BASTIONADO y ASUME LA BRECHA 2018 (PART 2)TIA BASTIONADO y ASUME LA BRECHA 2018 (PART 2)
TIA BASTIONADO y ASUME LA BRECHA 2018 (PART 2)Jhonny D. Maracay
 
Seguridad en Redes
Seguridad en RedesSeguridad en Redes
Seguridad en Redesoligormar
 
Curso de práctica operativa en investigación. Módulo 5. Internet, Documentaci...
Curso de práctica operativa en investigación. Módulo 5. Internet, Documentaci...Curso de práctica operativa en investigación. Módulo 5. Internet, Documentaci...
Curso de práctica operativa en investigación. Módulo 5. Internet, Documentaci...Internet Security Auditors
 
Unidad 6 Seguridad en redes corporativas
Unidad 6 Seguridad en redes corporativasUnidad 6 Seguridad en redes corporativas
Unidad 6 Seguridad en redes corporativasvverdu
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informáticacarloseider
 
Ejercicio seguridad en redes
Ejercicio seguridad en redesEjercicio seguridad en redes
Ejercicio seguridad en redesvverdu
 
Unidad 3 - Seguridad Lógica
Unidad 3 - Seguridad LógicaUnidad 3 - Seguridad Lógica
Unidad 3 - Seguridad Lógicavverdu
 
Seguridad Informática
Seguridad InformáticaSeguridad Informática
Seguridad Informáticatorresysaro
 
Seguridad de redes informaticas
Seguridad de redes informaticasSeguridad de redes informaticas
Seguridad de redes informaticasJosé Efraín Alava Cruzatty
 
Seguridad En Sistemas Operativos
Seguridad En Sistemas OperativosSeguridad En Sistemas Operativos
Seguridad En Sistemas OperativosSebastián Bortnik
 
Seguridad En Sistemas Operativos (segunda parte)
Seguridad En Sistemas Operativos (segunda parte)Seguridad En Sistemas Operativos (segunda parte)
Seguridad En Sistemas Operativos (segunda parte)Sebastián Bortnik
 
SEGURIDAD JURIDICA UAP
SEGURIDAD JURIDICA UAPSEGURIDAD JURIDICA UAP
SEGURIDAD JURIDICA UAPRosenya Yuliana Tamo Achire
 
Principios de Seguridad
Principios de SeguridadPrincipios de Seguridad
Principios de SeguridadPUIK900
 
Seguridad internet
Seguridad internetSeguridad internet
Seguridad internetDarkSoul613
 
Seguridad de los Sistemas Operativos
Seguridad de los Sistemas OperativosSeguridad de los Sistemas Operativos
Seguridad de los Sistemas Operativossteevenjose
 
Webinar Gratuito "Hacking Ético"
Webinar Gratuito "Hacking Ético"Webinar Gratuito "Hacking Ético"
Webinar Gratuito "Hacking Ético"Alonso Caballero
 
Manual seguridad-basico
Manual seguridad-basicoManual seguridad-basico
Manual seguridad-basicoUniversidad Tecnológica del Perú
 
2.3 Recoleccion de Información
2.3 Recoleccion de Información2.3 Recoleccion de Información
2.3 Recoleccion de InformaciónMeztli Valeriano Orozco
 
Seguridad en redes de computadores
Seguridad en redes de computadoresSeguridad en redes de computadores
Seguridad en redes de computadoresRicardoo Rodriguez Suarez
 
Unidad 6 Protección y seguridad.
Unidad 6 Protección y seguridad.Unidad 6 Protección y seguridad.
Unidad 6 Protección y seguridad.Juan Anaya
 
Práctica 3 omar
Práctica 3 omarPráctica 3 omar
Práctica 3 omarSENA
 
Seguridad informática 2[1]
Seguridad informática 2[1]Seguridad informática 2[1]
Seguridad informática 2[1]vaniganss501
 
Seguridad base de datos
Seguridad base de datosSeguridad base de datos
Seguridad base de datosJuandTs
 
Seguridad Base Datos
Seguridad Base DatosSeguridad Base Datos
Seguridad Base DatosJuandTs
 
Curso de Práctica Operativa en Investigación. Módulo 5. Internet Security Aud...
Curso de Práctica Operativa en Investigación. Módulo 5. Internet Security Aud...Curso de Práctica Operativa en Investigación. Módulo 5. Internet Security Aud...
Curso de Práctica Operativa en Investigación. Módulo 5. Internet Security Aud...Internet Security Auditors
 

Mais conteúdo relacionado

Mais procurados

Unidad 6 Seguridad en redes corporativas
Unidad 6 Seguridad en redes corporativasUnidad 6 Seguridad en redes corporativas
Unidad 6 Seguridad en redes corporativasvverdu
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informáticacarloseider
 
Ejercicio seguridad en redes
Ejercicio seguridad en redesEjercicio seguridad en redes
Ejercicio seguridad en redesvverdu
 
Unidad 3 - Seguridad Lógica
Unidad 3 - Seguridad LógicaUnidad 3 - Seguridad Lógica
Unidad 3 - Seguridad Lógicavverdu
 
Seguridad Informática
Seguridad InformáticaSeguridad Informática
Seguridad Informáticatorresysaro
 
Seguridad En Sistemas Operativos
Seguridad En Sistemas OperativosSeguridad En Sistemas Operativos
Seguridad En Sistemas OperativosSebastián Bortnik
 
Seguridad En Sistemas Operativos (segunda parte)
Seguridad En Sistemas Operativos (segunda parte)Seguridad En Sistemas Operativos (segunda parte)
Seguridad En Sistemas Operativos (segunda parte)Sebastián Bortnik
 
Principios de Seguridad
Principios de SeguridadPrincipios de Seguridad
Principios de SeguridadPUIK900
 
Seguridad internet
Seguridad internetSeguridad internet
Seguridad internetDarkSoul613
 
Seguridad de los Sistemas Operativos
Seguridad de los Sistemas OperativosSeguridad de los Sistemas Operativos
Seguridad de los Sistemas Operativossteevenjose
 
Webinar Gratuito "Hacking Ético"
Webinar Gratuito "Hacking Ético"Webinar Gratuito "Hacking Ético"
Webinar Gratuito "Hacking Ético"Alonso Caballero
 
Unidad 6 Protección y seguridad.
Unidad 6 Protección y seguridad.Unidad 6 Protección y seguridad.
Unidad 6 Protección y seguridad.Juan Anaya
 
Práctica 3 omar
Práctica 3 omarPráctica 3 omar
Práctica 3 omarSENA
 

Mais procurados (18)

Unidad 6 Seguridad en redes corporativas
Unidad 6 Seguridad en redes corporativasUnidad 6 Seguridad en redes corporativas
Unidad 6 Seguridad en redes corporativas
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
 
Ejercicio seguridad en redes
Ejercicio seguridad en redesEjercicio seguridad en redes
Ejercicio seguridad en redes
 
Unidad 3 - Seguridad Lógica
Unidad 3 - Seguridad LógicaUnidad 3 - Seguridad Lógica
Unidad 3 - Seguridad Lógica
 
Seguridad Informática
Seguridad InformáticaSeguridad Informática
Seguridad Informática
 
Seguridad de redes informaticas
Seguridad de redes informaticasSeguridad de redes informaticas
Seguridad de redes informaticas
 
Seguridad En Sistemas Operativos
Seguridad En Sistemas OperativosSeguridad En Sistemas Operativos
Seguridad En Sistemas Operativos
 
Seguridad En Sistemas Operativos (segunda parte)
Seguridad En Sistemas Operativos (segunda parte)Seguridad En Sistemas Operativos (segunda parte)
Seguridad En Sistemas Operativos (segunda parte)
 
SEGURIDAD JURIDICA UAP
SEGURIDAD JURIDICA UAPSEGURIDAD JURIDICA UAP
SEGURIDAD JURIDICA UAP
 
Principios de Seguridad
Principios de SeguridadPrincipios de Seguridad
Principios de Seguridad
 
Seguridad internet
Seguridad internetSeguridad internet
Seguridad internet
 
Seguridad de los Sistemas Operativos
Seguridad de los Sistemas OperativosSeguridad de los Sistemas Operativos
Seguridad de los Sistemas Operativos
 
Webinar Gratuito "Hacking Ético"
Webinar Gratuito "Hacking Ético"Webinar Gratuito "Hacking Ético"
Webinar Gratuito "Hacking Ético"
 
Manual seguridad-basico
Manual seguridad-basicoManual seguridad-basico
Manual seguridad-basico
 
2.3 Recoleccion de Información
2.3 Recoleccion de Información2.3 Recoleccion de Información
2.3 Recoleccion de Información
 
Seguridad en redes de computadores
Seguridad en redes de computadoresSeguridad en redes de computadores
Seguridad en redes de computadores
 
Unidad 6 Protección y seguridad.
Unidad 6 Protección y seguridad.Unidad 6 Protección y seguridad.
Unidad 6 Protección y seguridad.
 
Práctica 3 omar
Práctica 3 omarPráctica 3 omar
Práctica 3 omar
 

Semelhante a Riesgos de Seguridad

Seguridad informática 2[1]
Seguridad informática 2[1]Seguridad informática 2[1]
Seguridad informática 2[1]vaniganss501
 
Seguridad base de datos
Seguridad base de datosSeguridad base de datos
Seguridad base de datosJuandTs
 
Seguridad Base Datos
Seguridad Base DatosSeguridad Base Datos
Seguridad Base DatosJuandTs
 
Curso de Práctica Operativa en Investigación. Módulo 5. Internet Security Aud...
Curso de Práctica Operativa en Investigación. Módulo 5. Internet Security Aud...Curso de Práctica Operativa en Investigación. Módulo 5. Internet Security Aud...
Curso de Práctica Operativa en Investigación. Módulo 5. Internet Security Aud...Internet Security Auditors
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informáticaNadia Gonzalez
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informaticaLorena Arroyo
 
Seguridades informaticas
Seguridades informaticasSeguridades informaticas
Seguridades informaticasJuantxo78
 
Reporte de seguridad
Reporte de seguridadReporte de seguridad
Reporte de seguridadChariito Roc
 
Seguridad de-la-informacion 2
Seguridad de-la-informacion 2Seguridad de-la-informacion 2
Seguridad de-la-informacion 2colohh
 
SANTIAGO MORENO - SEGURIDAD EN LAS REDES
SANTIAGO MORENO - SEGURIDAD EN LAS REDESSANTIAGO MORENO - SEGURIDAD EN LAS REDES
SANTIAGO MORENO - SEGURIDAD EN LAS REDESsantymorenu
 
UCV CEAP Seguridad de la Informacion
UCV CEAP Seguridad de la InformacionUCV CEAP Seguridad de la Informacion
UCV CEAP Seguridad de la Informacionmargretk
 
Servidores web de altas prestaciones. Tema 6
Servidores web de altas prestaciones. Tema 6Servidores web de altas prestaciones. Tema 6
Servidores web de altas prestaciones. Tema 6pacvslideshare
 
Seguridad en bases de datos
Seguridad en bases de datosSeguridad en bases de datos
Seguridad en bases de datosCesar Martin
 
Presentacion seguridad informatica
Presentacion seguridad informaticaPresentacion seguridad informatica
Presentacion seguridad informaticaVictir
 
Presentacion seguridad informatica
Presentacion seguridad informaticaPresentacion seguridad informatica
Presentacion seguridad informaticaGarik Hakobyan
 
Seguridad Informática
Seguridad InformáticaSeguridad Informática
Seguridad InformáticaDavidPimpum
 
Presentacion seguridad informatica
Presentacion seguridad informaticaPresentacion seguridad informatica
Presentacion seguridad informaticajaviersogaina10
 
Presentacion seguridad informatica
Presentacion seguridad informaticaPresentacion seguridad informatica
Presentacion seguridad informaticapajarron
 

Semelhante a Riesgos de Seguridad (20)

Seguridad informática 2[1]
Seguridad informática 2[1]Seguridad informática 2[1]
Seguridad informática 2[1]
 
Seguridad base de datos
Seguridad base de datosSeguridad base de datos
Seguridad base de datos
 
Seguridad Base Datos
Seguridad Base DatosSeguridad Base Datos
Seguridad Base Datos
 
Curso de Práctica Operativa en Investigación. Módulo 5. Internet Security Aud...
Curso de Práctica Operativa en Investigación. Módulo 5. Internet Security Aud...Curso de Práctica Operativa en Investigación. Módulo 5. Internet Security Aud...
Curso de Práctica Operativa en Investigación. Módulo 5. Internet Security Aud...
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
 
Definiciones seguridad informatica
Definiciones seguridad informaticaDefiniciones seguridad informatica
Definiciones seguridad informatica
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
Seguridades informaticas
Seguridades informaticasSeguridades informaticas
Seguridades informaticas
 
Reporte de seguridad
Reporte de seguridadReporte de seguridad
Reporte de seguridad
 
Seguridad de-la-informacion 2
Seguridad de-la-informacion 2Seguridad de-la-informacion 2
Seguridad de-la-informacion 2
 
SANTIAGO MORENO - SEGURIDAD EN LAS REDES
SANTIAGO MORENO - SEGURIDAD EN LAS REDESSANTIAGO MORENO - SEGURIDAD EN LAS REDES
SANTIAGO MORENO - SEGURIDAD EN LAS REDES
 
UCV CEAP Seguridad de la Informacion
UCV CEAP Seguridad de la InformacionUCV CEAP Seguridad de la Informacion
UCV CEAP Seguridad de la Informacion
 
Servidores web de altas prestaciones. Tema 6
Servidores web de altas prestaciones. Tema 6Servidores web de altas prestaciones. Tema 6
Servidores web de altas prestaciones. Tema 6
 
Seguridad en bases de datos
Seguridad en bases de datosSeguridad en bases de datos
Seguridad en bases de datos
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
 
Presentacion seguridad informatica
Presentacion seguridad informaticaPresentacion seguridad informatica
Presentacion seguridad informatica
 
Presentacion seguridad informatica
Presentacion seguridad informaticaPresentacion seguridad informatica
Presentacion seguridad informatica
 
Seguridad Informática
Seguridad InformáticaSeguridad Informática
Seguridad Informática
 
Presentacion seguridad informatica
Presentacion seguridad informaticaPresentacion seguridad informatica
Presentacion seguridad informatica
 
Presentacion seguridad informatica
Presentacion seguridad informaticaPresentacion seguridad informatica
Presentacion seguridad informatica
 

Último

Ejercicios de PROBLEMAS PAEV 6 GRADO 2024.pdf
Ejercicios de PROBLEMAS PAEV 6 GRADO 2024.pdfEjercicios de PROBLEMAS PAEV 6 GRADO 2024.pdf
Ejercicios de PROBLEMAS PAEV 6 GRADO 2024.pdfMaritzaRetamozoVera
 
RETO MES DE ABRIL .............................docx
RETO MES DE ABRIL .............................docxRETO MES DE ABRIL .............................docx
RETO MES DE ABRIL .............................docxAna Fernandez
 
MAYO 1 PROYECTO día de la madre el amor más grande
MAYO 1 PROYECTO día de la madre el amor más grandeMAYO 1 PROYECTO día de la madre el amor más grande
MAYO 1 PROYECTO día de la madre el amor más grandeMarjorie Burga
 
30-de-abril-plebiscito-1902_240420_104511.pdf
30-de-abril-plebiscito-1902_240420_104511.pdf30-de-abril-plebiscito-1902_240420_104511.pdf
30-de-abril-plebiscito-1902_240420_104511.pdfgimenanahuel
 
La triple Naturaleza del Hombre estudio.
La triple Naturaleza del Hombre estudio.La triple Naturaleza del Hombre estudio.
La triple Naturaleza del Hombre estudio.amayarogel
 
Historia y técnica del collage en el arte
Historia y técnica del collage en el arteHistoria y técnica del collage en el arte
Historia y técnica del collage en el arteRaquel Martín Contreras
 
2024 - Expo Visibles - Visibilidad Lesbica.pdf
2024 - Expo Visibles - Visibilidad Lesbica.pdf2024 - Expo Visibles - Visibilidad Lesbica.pdf
2024 - Expo Visibles - Visibilidad Lesbica.pdfBaker Publishing Company
 
CALENDARIZACION DE MAYO / RESPONSABILIDAD
CALENDARIZACION DE MAYO / RESPONSABILIDADCALENDARIZACION DE MAYO / RESPONSABILIDAD
CALENDARIZACION DE MAYO / RESPONSABILIDADauxsoporte
 
SELECCIÓN DE LA MUESTRA Y MUESTREO EN INVESTIGACIÓN CUALITATIVA.pdf
SELECCIÓN DE LA MUESTRA Y MUESTREO EN INVESTIGACIÓN CUALITATIVA.pdfSELECCIÓN DE LA MUESTRA Y MUESTREO EN INVESTIGACIÓN CUALITATIVA.pdf
SELECCIÓN DE LA MUESTRA Y MUESTREO EN INVESTIGACIÓN CUALITATIVA.pdfAngélica Soledad Vega Ramírez
 
la unidad de s sesion edussssssssssssssscacio fisca
la unidad de s sesion edussssssssssssssscacio fiscala unidad de s sesion edussssssssssssssscacio fisca
la unidad de s sesion edussssssssssssssscacio fiscaeliseo91
 
ACUERDO MINISTERIAL 078-ORGANISMOS ESCOLARES..pptx
ACUERDO MINISTERIAL 078-ORGANISMOS ESCOLARES..pptxACUERDO MINISTERIAL 078-ORGANISMOS ESCOLARES..pptx
ACUERDO MINISTERIAL 078-ORGANISMOS ESCOLARES..pptxzulyvero07
 
SEXTO SEGUNDO PERIODO EMPRENDIMIENTO.pptx
SEXTO SEGUNDO PERIODO EMPRENDIMIENTO.pptxSEXTO SEGUNDO PERIODO EMPRENDIMIENTO.pptx
SEXTO SEGUNDO PERIODO EMPRENDIMIENTO.pptxYadi Campos
 
cortes de luz abril 2024 en la provincia de tungurahua
cortes de luz abril 2024 en la provincia de tungurahuacortes de luz abril 2024 en la provincia de tungurahua
cortes de luz abril 2024 en la provincia de tungurahuaDANNYISAACCARVAJALGA
 
Clasificaciones, modalidades y tendencias de investigación educativa.
Clasificaciones, modalidades y tendencias de investigación educativa.Clasificaciones, modalidades y tendencias de investigación educativa.
Clasificaciones, modalidades y tendencias de investigación educativa.José Luis Palma
 
TEMA 13 ESPAÑA EN DEMOCRACIA:DISTINTOS GOBIERNOS
TEMA 13 ESPAÑA EN DEMOCRACIA:DISTINTOS GOBIERNOSTEMA 13 ESPAÑA EN DEMOCRACIA:DISTINTOS GOBIERNOS
TEMA 13 ESPAÑA EN DEMOCRACIA:DISTINTOS GOBIERNOSjlorentemartos
 
OLIMPIADA DEL CONOCIMIENTO INFANTIL 2024.pptx
OLIMPIADA DEL CONOCIMIENTO INFANTIL 2024.pptxOLIMPIADA DEL CONOCIMIENTO INFANTIL 2024.pptx
OLIMPIADA DEL CONOCIMIENTO INFANTIL 2024.pptxjosetrinidadchavez
 
FORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURA
FORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURAFORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURA
FORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURAEl Fortí
 

Último (20)

Ejercicios de PROBLEMAS PAEV 6 GRADO 2024.pdf
Ejercicios de PROBLEMAS PAEV 6 GRADO 2024.pdfEjercicios de PROBLEMAS PAEV 6 GRADO 2024.pdf
Ejercicios de PROBLEMAS PAEV 6 GRADO 2024.pdf
 
Sesión de clase: Fe contra todo pronóstico
Sesión de clase: Fe contra todo pronósticoSesión de clase: Fe contra todo pronóstico
Sesión de clase: Fe contra todo pronóstico
 
RETO MES DE ABRIL .............................docx
RETO MES DE ABRIL .............................docxRETO MES DE ABRIL .............................docx
RETO MES DE ABRIL .............................docx
 
MAYO 1 PROYECTO día de la madre el amor más grande
MAYO 1 PROYECTO día de la madre el amor más grandeMAYO 1 PROYECTO día de la madre el amor más grande
MAYO 1 PROYECTO día de la madre el amor más grande
 
30-de-abril-plebiscito-1902_240420_104511.pdf
30-de-abril-plebiscito-1902_240420_104511.pdf30-de-abril-plebiscito-1902_240420_104511.pdf
30-de-abril-plebiscito-1902_240420_104511.pdf
 
La triple Naturaleza del Hombre estudio.
La triple Naturaleza del Hombre estudio.La triple Naturaleza del Hombre estudio.
La triple Naturaleza del Hombre estudio.
 
Historia y técnica del collage en el arte
Historia y técnica del collage en el arteHistoria y técnica del collage en el arte
Historia y técnica del collage en el arte
 
2024 - Expo Visibles - Visibilidad Lesbica.pdf
2024 - Expo Visibles - Visibilidad Lesbica.pdf2024 - Expo Visibles - Visibilidad Lesbica.pdf
2024 - Expo Visibles - Visibilidad Lesbica.pdf
 
Sesión de clase: Defendamos la verdad.pdf
Sesión de clase: Defendamos la verdad.pdfSesión de clase: Defendamos la verdad.pdf
Sesión de clase: Defendamos la verdad.pdf
 
CALENDARIZACION DE MAYO / RESPONSABILIDAD
CALENDARIZACION DE MAYO / RESPONSABILIDADCALENDARIZACION DE MAYO / RESPONSABILIDAD
CALENDARIZACION DE MAYO / RESPONSABILIDAD
 
SELECCIÓN DE LA MUESTRA Y MUESTREO EN INVESTIGACIÓN CUALITATIVA.pdf
SELECCIÓN DE LA MUESTRA Y MUESTREO EN INVESTIGACIÓN CUALITATIVA.pdfSELECCIÓN DE LA MUESTRA Y MUESTREO EN INVESTIGACIÓN CUALITATIVA.pdf
SELECCIÓN DE LA MUESTRA Y MUESTREO EN INVESTIGACIÓN CUALITATIVA.pdf
 
la unidad de s sesion edussssssssssssssscacio fisca
la unidad de s sesion edussssssssssssssscacio fiscala unidad de s sesion edussssssssssssssscacio fisca
la unidad de s sesion edussssssssssssssscacio fisca
 
ACUERDO MINISTERIAL 078-ORGANISMOS ESCOLARES..pptx
ACUERDO MINISTERIAL 078-ORGANISMOS ESCOLARES..pptxACUERDO MINISTERIAL 078-ORGANISMOS ESCOLARES..pptx
ACUERDO MINISTERIAL 078-ORGANISMOS ESCOLARES..pptx
 
Unidad 3 | Metodología de la Investigación
Unidad 3 | Metodología de la InvestigaciónUnidad 3 | Metodología de la Investigación
Unidad 3 | Metodología de la Investigación
 
SEXTO SEGUNDO PERIODO EMPRENDIMIENTO.pptx
SEXTO SEGUNDO PERIODO EMPRENDIMIENTO.pptxSEXTO SEGUNDO PERIODO EMPRENDIMIENTO.pptx
SEXTO SEGUNDO PERIODO EMPRENDIMIENTO.pptx
 
cortes de luz abril 2024 en la provincia de tungurahua
cortes de luz abril 2024 en la provincia de tungurahuacortes de luz abril 2024 en la provincia de tungurahua
cortes de luz abril 2024 en la provincia de tungurahua
 
Clasificaciones, modalidades y tendencias de investigación educativa.
Clasificaciones, modalidades y tendencias de investigación educativa.Clasificaciones, modalidades y tendencias de investigación educativa.
Clasificaciones, modalidades y tendencias de investigación educativa.
 
TEMA 13 ESPAÑA EN DEMOCRACIA:DISTINTOS GOBIERNOS
TEMA 13 ESPAÑA EN DEMOCRACIA:DISTINTOS GOBIERNOSTEMA 13 ESPAÑA EN DEMOCRACIA:DISTINTOS GOBIERNOS
TEMA 13 ESPAÑA EN DEMOCRACIA:DISTINTOS GOBIERNOS
 
OLIMPIADA DEL CONOCIMIENTO INFANTIL 2024.pptx
OLIMPIADA DEL CONOCIMIENTO INFANTIL 2024.pptxOLIMPIADA DEL CONOCIMIENTO INFANTIL 2024.pptx
OLIMPIADA DEL CONOCIMIENTO INFANTIL 2024.pptx
 
FORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURA
FORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURAFORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURA
FORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURA
 

Riesgos de Seguridad

  • 1. Redes de Computadoras Coordinación de Ciencias Computacionales Dra. Claudia Feregrino Jul-Dic. 2003 Seguridad en Redes 1. Riesgos de seguridad 2. Técnicas de ataque 3. Puntos para mejorar la seguridad 4. Políticas de seguridad en la red 5. Estrategias de seguridad 6. Firewalls 7. Virus 1
  • 2. 1. Riesgos Seguridad Intrusión.- alguien entra ilegalmente a un sistema y es capaz de utilizarlo y modificarlo como si fuera un usuario legítimo. Rechazo de Servicios.- alguien logra que no puedan prestarse los servicios a los usuarios legítimos, puede ser dañando al sistema o sobrecargando el sistema o la red. Robo de Información.- alguien tiene acceso a información confidencial, secreta, reservada o restringida. Es común en espionaje industrial, piratería, etc. 2. Técnicas de Ataque Ingeniería Social.- el objetivo es convencer a algún usuario para que revele informacion acerca del acceso (Login, passwords, claves, etc). Para esto se hacen pasar como administradores o usuarios. Bugs del Sistema.- se aprovechan diversos errores de los sistemas para poder accesarlos o dañarlos . • Algunos errores se conocen y explotan por largo tiempo, hasta que se corrigen. 2
  • 3. Técnicas de Ataque (2) • Por ejemplo: • la forma en que se maneja el FTP anónimo. • Cuando una conexión por modem se corta y se reestablece, no se verifica la identidad del usuario. • Esto es equivalente a entrar en un sistema y dejar desatendida la terminal, de modo que cualquiera pueda usarla. Técnicas de Ataque (3) Back Door.- intencionalmente se programaban entradas alternativas al sistema para usarlas en caso de emergencia o para poder accesar sistemas que sean manejados por otras personas. • Estas “back door” llegan a ser conocidas y explotadas. • Otra variante es que cuando un intruso llegue a entrar a un sistema, lo modifique para crear su propia “back door”. Después de que se detecta una intrusión es recomendable reinstalar el sistema. 3
  • 4. Técnicas de Ataque (4) Caballos de Troya.- Programas que aparentan ser una cosa, pero en realidad crean problemas de seguridad. • Es una forma común de introducción de virus. • Por ejemplo se podría crear una versión del Login que realice su función, pero que adicionalmente guarde o envíe los login y los password al atacante. Técnicas de Ataque (5) Señuelos.- programas diseñados para hacer caer en una trampa a los usuarios. • Un usuario puede sustituir el login por un programa que si intenta entrar el “root” le notifique el password. • Instalar un programa que registre las teclas presionadas para después analizar la información en busca de passwords. 4
  • 5. Técnicas de Ataque (6) Método del Adivino.- probar todas las posibles combinaciones para el password hasta encontrarlo. • Las combinaciones son muchas, dependiendo del número de caracteres del password y el número de caracteres diferentes permitidos. • Existen conjuntos de passwords comunes que son los primeros que se prueban ( en el root es poco probable, pero los usuarios comunes no son muy cuidadosos al seleccionar el password). Técnicas de Ataque (7) • Los login de los usuarios pueden encontrase con finger, si el servicio está habilitado. • Las pruebas cada vez pueden hacerse más rápido, por lo cual se introdujo un retardo después de cada intento fallido. • Las pruebas usualmente no se hacen en línea, se obtiene el archivo de los passwords y se analiza fuera de línea. • El archivo de los passwords normalmente es fácil de obtener. 5
  • 6. Técnicas de Ataque (8) • Del archivo de passwords no se pueden obtener los passwords por que el algoritmo de encriptamiento es unidireccional (es decir se puede encriptar pero no desencriptar). • Lo que se hace es encriptar las palabras y comparar el resultado contra el archivo. • Actualmente se oculta la ubicación y nombre del archivo de passwords. Técnicas de Ataque (9) Revisión de Basura.- Se revisa la basura en busca de información útil. • Mucha gente anota su password en un papel, lo memoriza y lo tira (alguien podría encontrarlo y utilizarlo). • Esto aplica en los envíos por la red. En muchas ocasiones uno escribe su passwod remotamente y viaja por la red sin encriptarse. • No sólo los passwords, sino también otra información relevante. 6
  • 7. 3. Puntos para mejorar la Seguridad Identificación y Autentificación • Los usuarios deben identificarse y después comprobar que son quien dicen ser. • Lo más común es usar login y password. • Más seguro sería usar login y alguna identificación física como huellas digitales o reconocedores de voz. No es común porque resulta más difícil de implementar y más caro. Puntos para mejorar la Seguridad(2) Control de Acceso • Los recursos del sistema son proporcionados o negados de acuerdo al tipo de usuario que los solicite, y dependiendo desde donde haga la solicitud. • Algunas veces sólo se permite uso parcial de los recursos, esto es común en sistemas de archivos, donde algunos usuarios solamente pueden leer, algunos otros leer y escribir, etc. 7
  • 8. Puntos para mejorar la Seguridad(3) Integridad • Los sistemas se deben poder checar en cuanto a su integridad, esto con el fin de detectar modificaciones que puedan afectar la seguridad. • Si el sistema se corrompe o es modificado, sería deseable detectar el origen del problema (quien lo modificó) y restituir la integridad (en muchos casos hay que reinstalar el sistema). Puntos para mejorar la Seguridad(4) Confidencialidad • La información debe ser confidencial. • Se debe garantizar que si un usuario desea que su información no sea vista por alguien más pueda lograrlo. • Se debe poder decidir quienes tienen derecho a obtener la información. • Usualmente se manejan permisos de acceso individuales o grupales y encriptamiento para transmisión en la red y para almacenamiento de información crítica. 8
  • 9. 4. Políticas de Seguridad en la Red Diferentes políticas de seguridad, englobadas en 2 tipos. • Todo está prohibido a menos que se permita explícitamente. • Todo está permitido a menos que se prohíba explícitamente. En ocasiones se utilizan combinaciones de éstas, para diferentes partes del sistema. 5. Estrategias de Seguridad Mínimos privilegios • Consiste en asignar a cada usuario el mínimo de privilegios que necesite. • El objetivo es minimizar los daños en caso de que la cuenta de un usuario sea invadida. • En caso de que un usuario quiera realizar actividades diferentes tiene que solicitar que se le asignen los privilegios correspondientes. 9
  • 10. Estrategias de Seguridad (2) Defensa en profundidad • Consiste en usar tantos mecanismos de seguridad como sea posible, colocándolos uno tras otro. • Puede hacer muy compleja la utilización del sistema. Check Point • Se hace pasar todo el tráfico de la red por un solo punto y se enfocan los esfuerzos de seguridad en ese punto. • Puede disminuir el rendimiento. Estrategias de Seguridad (3) Falla en posición segura • Los sistemas deben estar diseñados para que en caso de falla queden en un estado seguro. • Por ejemplo en redes, en caso de falla se debe suspender el acceso a Internet. Seguridad por Obscuridad • La estrategia es mantener un bajo perfil y tratar de pasar desapercibido, de modo que los atacantes no lo detecten. 10
  • 11. Estrategias deSeguridad (4) Simplicidad • Los sistemas muy complejos tienden a tener fallas y huecos de seguridad. • La idea es mantener los sistemas tan simples como sea posible, eliminando funcionalidad innecesaria. • Sistemas simples que tienen mucho tiempo, han sido tan depurados que prácticamente no tienen huecos de seguridad. Estrategias de Seguridad (5) Seguridad basada en hosts • Los mecanismos de seguridad están en los hosts. • Puede ser diferente en cada host, lo cual hace difícil su instalación y mantenimiento. • Si un host es atacado con éxito, peligra la seguridad de la red (muchos usuarios tienen el mismo login y password en todos los hosts a los que tienen acceso). 11
  • 12. Estrategias de Seguridad (6) Seguridad basada en la red • La seguridad se basa en controlar los accesos a los hosts desde la red. • El método más común es la implementación de firewalls. Firewalls • Es un mecanismo para proteger las redes, implementando un control de acceso hacia y desde Internet. • Es una colección de componentes puestos entre 2 redes, con las siguientes propiedades: • Todo el tráfico desde dentro hacia fuera y viceversa debe pasar por ella. • Sólo al tráfico autorizado, definido por las políticas de seguridad, se le permite el paso. • El sistema en sí mismo es inmune a ataques. 12
  • 13. Firewalls (2) • En otras palabras un firewall es un mecanismo para proteger redes confiables cuando se conectan a redes no confiables (como Internet). Firewalls (3) ¿Qué puede hacer un firewall? • Restringir algunos servicios de Internet que se consideren inseguros. • Puede llevar una bitácora de la actividad de la red. • Puede limitar la exposición a redes inseguras. • Es el lugar donde deben enfocarse las decisiones de seguridad. 13
  • 14. Firewalls (4) ¿Qué NO puede hacer un firewall? • No proveen casi ninguna protección contra protocolos de alto nivel. • No brinda protección contra virus contenidos en archivos transferidos con FTP. • No protege contra ataques desde el interior. • No protege contra back doors. • No protege contra nuevos tipos de ataques a menos que la política sea que todo está prohibido a menos que se permita explícitamente. Tipos de Firewalls De filtrado de paquetes • Ofrece un control básico basado en información contenida en los paquetes IP. Cuando éstos llegan al firewall se checa un conjunto de reglas de filtrado y se decide si se autoriza o niega el paso. De gateway • Trabaja en el nivel de aplicación. Todas las aplicaciones realizan la comunicación a través del firewall. 14
  • 15. Virus Otro problema de seguridad son los virus. • Virus - programa o segmento de programa que al ejecutarse se copia a si mismo en otro programa, en otro host, etc. • Además de copiarse, los virus pueden contener código para hacer algo más, posiblemente dañino. • Algunos sólo se reproducen. • Otros muestran mensajes. • Algunos destruyen o dañan la información. Virus (2) • No todos son destructivos. • No todos los programas que destruyen son virus (no se reproducen). • Pueden estar en archivos ejecutables, incluyendo macros, scripts, etc. • Algunos tratan de copiarse a otras máquinas de la red, algunos directamente (si se puede), otros por email (con un caballo de Troya). • Un antivirus es un programa que se encarga de detectar y elimiar virus. Si es posible antes de que se activen. 15