Presentación del Tema 2. Identidad de la materia Seguridad en Redes impartida en la Facultad de Contaduría y Administración de la Universidad Nacional Autónoma de México.
Universidad Nacional Autónoma de México
Facultad de Contaduría y Administración
Diplomado Diseño, Construcción y Administración de Redes de Datos
Módulo 6. Seguridad de Bases de Datos
Universidad Nacional Autónoma de México
Facultad de Contaduría y Administración
Diplomado Diseño, Construcción y Administración de Redes de Datos
Módulo 6. Seguridad de Bases de Datos
Módulo 2. Protocolo TCP/IP
Diplomado Diseño, Construcción y Administración de Redes de Datos
Facultad de Contaduría y Administración
Universidad Nacional Autónoma de México
Universidad Nacional Autónoma de México
Facultad de Contaduría y Administración
Diplomado Diseño, Construcción y Administración de Redes de Datos
Módulo 4. Redes Inalámbricas
Universidad Nacional Autónoma de México
Facultad de Contaduría y Administración
Diplomado Diseño, Construcción y Administración de Redes de Datos
Módulo 2. Protocolo TCP/IP
“Seguridad en VoIP”
Pedro Valera
Estudiante de Ing. De las Telecomunicaciones PUCP
Conferencia por el día Mundial de las Telecomunicaciones.
-----------------------------------------------------
Semana Internacional de las Telecomunicaciones en la Pontificia Universidad Católica del Perú.
18 al 23 de mayo 2009
Organizado por: la Sección de Ingeniería de las Telecomunicaciones y la Asociación de Ingenieros y estudiantes de las telecomunicaciones.
-----------------------------------------------------
Presentación Módulo 3. Tecnología de conectividad en redes.Francisco Medina
Conocer los estándares para el diseño de sistemas de cableado estructurado, la tecnología detrás de la fibra óptica, sus componentes e instalación y los principales estándares de conectividad en redes.
Capítulo 5:Ethernet
En este capítulo, aprenderá a:
Describir el funcionamiento de las subcapas de Ethernet.
Identificar los campos principales de la trama de Ethernet.
Describir el propósito y las características de la dirección MAC de Ethernet.
Describir el propósito del protocolo ARP.
Explicar la forma en que las solicitudes ARP afectan el rendimiento de la red y del host.
Explicar conceptos básicos de conmutación.
Comparar switches de configuración fija y switches modulares.
Configurar un switch de capa 3.
Certified Information Security Professional (CISP)vjgarciaq
El curso para la certificación CISP tiene como objetivo enseñarnos como proteger a nuestra organización de ataques
externos o internos a nuestros sistemas. Mediante una metodología de estudio práctica, aprenderemos las técnicas y
herramientas de última generación que utilizan los hackers para vulnerar la seguridad de los sistemas de información,
comprenderemos el cómo y el por qué de los diferentes tipos de ataques y, lo más importante, como crear una estructura
de defensa eficiente y proactiva.
Actividad No. 6.3: Escaneo de vulnerabilidades con NessusFrancisco Medina
Universidad Nacional Autónoma de México
Facultad de Contaduría y Administración
Materia: Seguridad en Redes
Tema: Detección de vulnerabilidades e intrusiones
Instrucciones del procedimiento para la oferta y la gestión conjunta del proceso de admisión a los centros públicos de primer ciclo de educación infantil de Pamplona para el curso 2024-2025.
ROMPECABEZAS DE ECUACIONES DE PRIMER GRADO OLIMPIADA DE PARÍS 2024. Por JAVIE...JAVIER SOLIS NOYOLA
El Mtro. JAVIER SOLIS NOYOLA crea y desarrolla el “ROMPECABEZAS DE ECUACIONES DE 1ER. GRADO OLIMPIADA DE PARÍS 2024”. Esta actividad de aprendizaje propone retos de cálculo algebraico mediante ecuaciones de 1er. grado, y viso-espacialidad, lo cual dará la oportunidad de formar un rompecabezas. La intención didáctica de esta actividad de aprendizaje es, promover los pensamientos lógicos (convergente) y creativo (divergente o lateral), mediante modelos mentales de: atención, memoria, imaginación, percepción (Geométrica y conceptual), perspicacia, inferencia, viso-espacialidad. Esta actividad de aprendizaje es de enfoques lúdico y transversal, ya que integra diversas áreas del conocimiento, entre ellas: matemático, artístico, lenguaje, historia, y las neurociencias.
1. Seguridad en Redes
Seguridad en Redes
Tema 2. Identidad
Francisco Medina L´opez —
paco.medina@comunidad.unam.mx
http://aulavirtual.capacitacionentics.com
Facultad de Contadur´ıa y Administraci´on
Universidad Nacional Aut´onoma de M´exico
2017-2
4. Seguridad en Redes
Identidad
Introducci´on
Definiciones
Identidad
La identidad hace referencia a un conjunto de caracter´ısticas, datos
o informaciones que permiten individualizar a las personas1.
La identidad la constituyen datos personales como:
Nombre, tel´efono, domicilio, fotograf´ıas, huellas dactilares,
n´umeros de licencia y de seguridad social; n´umeros de tarjeta
de cr´edito y de cuentas bancarias; nombres de usuario y
contrase˜nas; incluyendo informaci´on financiera o m´edica, as´ı
como cualquier otro dato que permita identificar a una
persona2.
1
Discponible en https://archivos.juridicas.unam.mx/www/bjv/libros/6/2958/20.pdf consultada en
enero del 2017
2
Disponible en http://www.seguridad.unam.mx/documento/?id=16 consultada en enero del 2017
5. Seguridad en Redes
Identidad
Introducci´on
Identidad digital
En la actualidad Internet ha propiciado el surgimiento de la
identidad digital que fundamentalmente esta constituida por
datos personales sensibles que pueden incluir claves de acceso,
cuentas bancarias o cuentas de acceso a redes de datos.
La contrase˜na es el mecanismo m´as com´un utilizado para
comprobar nuestra identidad digital.
Una contrase˜na o clave es una forma de autenticaci´on que
utiliza informaci´on secreta para controlar el acceso hacia alg´un
recurso. La contrase˜na debe mantenerse en secreto ante
aquellos a quien no se les permite el acceso3.
3
Dispnible en https://es.wikipedia.org/wiki/Contrase~na consultada en enero del 2017
9. Seguridad en Redes
Identidad
Autenticaci´on
Autenticaci´on
Definici´on
Proceso de verificaci´on por el cual un sujeto prueba que es quien
dice ser.
La autenticaci´on requiere que el sujeto proporcione
informaci´on adicional que debe corresponder exactamente con
la identidad indicada.
El m´etodo m´as com´un, es el empleo de contrase˜nas.
10. Seguridad en Redes
Identidad
Autenticaci´on
Autenticaci´on (2)
Tipos de informaci´on m´as comunes que pueden ser empleados para
autenticar a un sujeto:
Tipo 1: Un factor de autenticaci´on por Tipo 1 es “Algo que
el usuario conoce”, como una contrase˜na, un PIN, . . .
Tipo 2: Un factor de autenticaci´on por Tipo 2 es “Algo que
el usuario tiene”, como una tarjeta inteligente, un token, . . .
Tipo 3: Un factor de autenticaci´on por Tipo 3 es “Algo que
el usuario es”, como su huella digital, an´alisis de voz, esc´aner
de retina o iris , . . .
11. Seguridad en Redes
Identidad
Autenticaci´on
Autorizaci´on
Definici´on
Pol´ıtica usada para permitir o negar el acceso a un recurso.
Esto puede ser un componente avanzado como una tarjeta
inteligente, un dispositivo biom´etrico o un dispositivo de
acceso a la red como un router, access point wireless o access
server.
Tambi´en puede ser un servidor de archivos o recursos que
asigne determinados permisos como los sistemas operativos de
red (Windows Server, GNU/Linux, etc.)
El hecho de que un sujeto haya sido identificado y
autenticado, no significa que haya sido autorizado.
13. Seguridad en Redes
Identidad
Autenticaci´on
Auditor´ıa (Accounting)
Definici´on
Proceso de registrar eventos, errores, accesos e intentos de
autenticaciones en un sistema
Justificaci´on:
Detecci´on de intrusiones
Reconstrucci´on de eventos y condiciones del sistema
Obtener evidencias para acciones legales
Generar reportes de problemas.
El conjunto de acciones a ser auditadas pueden ser:
1 Eventos de sistema
2 Eventos de aplicaciones
3 Eventos de usuario
14. Seguridad en Redes
Identidad
Autenticaci´on
Eventos de Sistema
Monitoreo de rendimiento
Intentos de logon (exitosos y no exitosos)
Logon ID
Fecha y hora de cada intento de logon
Bloqueos de cuenta de usuario
Uso de herramientas administrativas
Uso de derechos y funciones
Modificaci´on de archivos de configuraci´on
Modificaci´on o eliminaci´on de archivos cr´ıticos
18. Seguridad en Redes
Identidad
Autenticaci´on
¿Qu´e son las contrase˜nas?
Definici´on
Una contrase˜na o clave (password en ingles) es una cadena
alfanum´erica utilizada para autenticar una identidad. Esta cadena
debe permanecer en secreto4.
Es la t´ecnica de autenticaci´on m´as usada, pero tambi´en es
considerada la m´as d´ebil.
Prueban nuestra identidad a trav´es de un proceso de
autenticaci´on ante sistemas inform´aticos.
Aseguran nuestra privacidad.
Garantizan el no-repudio
4
The 2011 SNIA Dictionary
19. Seguridad en Redes
Identidad
Autenticaci´on
Fallas habituales de seguridad en contrase˜nas
Usuarios que eligen frecuentemente contrase˜nas que son
f´aciles de recordar y, en consecuencia, f´aciles de romper.
Las contrase˜nas aleatorias son dif´ıciles de recordar.
Las contrase˜nas son f´aciles de compartir, olvidar y escribir.
Pueden ser robadas f´acilmente, por observaci´on,
grabaci´on,etc.
Algunas contrase˜nas se transmiten en texto claro o protegidas
por t´ecnicas f´aciles de romper.
Contrase˜nas cortas pueden ser descubiertas r´apidamente por
ataques de fuerza bruta, etc.
20. Seguridad en Redes
Identidad
Autenticaci´on
Fallas habituales de seguridad en contrase˜nas (2)
El problema del uso de la contrase˜na es que en un esfuerzo
por reducir la cantidad de contrase˜nas dif´ıciles de recordar,
muchos usuarios las reutilizan para varios sitios. 61 % de ellos
escriben f´ısicamente las contrase˜nas, y un tercio las ha
compartido con otros.
Las 25 contrase˜nas m´as utilizadas en el 2016 fueron5: 123456,
123456789, qwerty, 12345678, 111111, 1234567890, 1234567,
password, 123123, 987654321, qwertyuiop, mynoob, 123321,
666666, 18atcskd2w, 7777777, 1q2w3e4r, 654321, 555555 ,
3rjs1la7qe , google , 1g2w3e4r5t ,123qwe , zxcvbnm , 1q2w3e
5
Disponible en http://www.seguridad.unam.mx/noticia/?noti=3132
consultada en enero del 2017
21. Seguridad en Redes
Identidad
Autenticaci´on
Tipos de contrase˜nas
Existen dos tipos de contrase˜nas:
1 Est´aticas
2 Din´amicas
Las contrase˜nas Est´aticas siempre permanecen iguales y solo
cambian cuando expiare su tiempo de vida.
Las contrase˜nas Din´amicas cambian despu´es de un periodo
de tiempo de uso.
22. Seguridad en Redes
Identidad
Autenticaci´on
Pol´ıticas de definici´on de contrase˜nas
Muchas organizaciones poseen pol´ıticas de definici´on de
contrase˜nas, las cuales comprenden una serie de restricciones:
Longitud m´ınima
Duraci´on m´ınima y m´axima
No reutilizar el nombre de usuario o parte del mismo
Guardar hist´orico de contrase˜na
Utilizar may´usculas, min´usculas, n´umeros, caracteres especiales
Prevenir reuso
23. Seguridad en Redes
Identidad
Autenticaci´on
Sistemas Biom´etricos
Los sistemas biom´etricos se basan en caracter´ısticas f´ısicas del
usuario a identificar o en patrones de conducta.
El proceso general de autenticaci´on sigue unos pasos comunes
a todos los modelos de autenticaci´on biom´etrica:
Extracci´on de ciertas caracter´ısticas de la muestra (por
ejemplo, el detalle de una huella dactilar).
Comparaci´on de tales caracter´ısticas con las almacenadas en
una base de datos.
Finalmente la decisi´on de si el usuario es v´alido o no.
24. Seguridad en Redes
Identidad
Autenticaci´on
Sistemas biom´etricos m´as utilizados
Huellas digitales
Reconocimiento de retina
Reconocimiento de iris
Reconocimietno facial
Geometr´ıa de la mano
Reconocimiento de la palma
Verificaci´on de voz
Fuente: Eric Conrad, Eleventh Hour CISSP,Syngress,
2010.
25. Seguridad en Redes
Identidad
Autenticaci´on
Ventajas de los Sistemas Biom´etricos
No pueden ser prestados, como una llave o token y no se
pueden olvidar como una contrase˜na.
Buena relaci´on entre facilidad de uso, costo y precisi´on.
Permiten la identificaci´on ´unica de un individuo, a´un en casos
de bases de datos de gran tama˜no.
Duran para siempre. . .
Logran que los procesos de login y autenticaci´on no requieran
esfuerzo alguno.
27. Seguridad en Redes
Identidad
Autenticaci´on
Sistemas Biom´etricos y Privacidad
Seguimiento y Vigilancia: Permiten seguir y vigilar los
movimientos de una persona.
Anonimicidad: Si la identificaci´on est´a asociada a una base
de datos, se pierde el anonimato al acceder a servicios a trav´es
de sistemas biom´etricos.
Profiling: La recopilaci´on de datos acerca de de transacciones
realizadas por un individuo en particular, permite definir un
perfil de las preferencias, afiliaciones y creencias de ese
individuo.
28. Seguridad en Redes
Identidad
Autenticaci´on
Tokens
Son dispositivos generadores de contrase˜nas que un sujeto
lleva con ´el.
Los dispositivos tokens pertenecen a la clase “Algo que el
usuario tiene” (Tipo 2).
Existen cuatro tipos de tokens:
Est´aticos
S´ıncronos basados en tiempo.
S´ıncronos basados en eventos.
As´ıncronos basados en desaf´ıo / respuesta.
29. Seguridad en Redes
Identidad
Autenticaci´on
Tokens Est´aticos
Requieren de un factor adicional para brindas autenticaci´on,
como una contrase˜na o una caracter´ısticas biom´etrica
La mayor´ıa de estos dispositivos almacenan una clave
criptogr´afica.
Son utilizados principalmente como t´ecnica de identificaci´on
en lugar de autenticaci´on.
Algunos ejemplos son:
Smart card
Dispositivos USB
30. Seguridad en Redes
Identidad
Autenticaci´on
Tokens S´ıncronos Basados en Tiempo
Las tarjetas y el servidor tienen relojes que miden el tiempo
transcurrido desde la inicializaci´on.
Cada cierto tiempo el n´umero resultante se cifra y se muestra
en la pantalla de la tarjeta; el usuario ingresa su PIN en el
servidor junto con el n´umero que se visualiza en su tarjeta.
Como el servidor conoce el momento de inicializaci´on de la
tarjeta tambi´en puede calcular el tiempo transcurrido, dicho
valor cifrado deber´a coincidir con el introducido por el usuario
para que ´este sea aceptado.
31. Seguridad en Redes
Identidad
Autenticaci´on
Tokens S´ıncronos Basados en Eventos
Las contrase˜nas se generan debido a la ocurrencia de un
evento, por ejemplo se requiere que el sujeto presione una
tecla en la tarjeta.
Esto causa que la tarjeta y el servidor avancen al pr´oximo
valor de autenticaci´on.
El usuario debe ingresar su PIN en la tarjeta.
A partir del conjunto formado por el PIN y el nuevo valor de
autenticaci´on, se genera una nueva contrase˜na aplicando una
funci´on criptogr´afica (Ej: DES, Hash, etc.) a dicho conjunto,
la que ser´a enviada al servidor para su verificaci´on.
33. Seguridad en Redes
Identidad
Robo de identidad
Definici´on
Robo de identidad
Se produce cuando una persona adquiere, transfiere, posee o utiliza
informaci´on personal de una persona f´ısica o jur´ıdica de forma no
autorizada, con la intenci´on de efectuar o vincularlo con alg´un
fraude u otro delito6.
El robo de identidad es el delito por excelencia del siglo XXI y
la piedra fundacional del cibercrimen, por el impacto que tiene
en las personas, las organizaciones, los sistemas y los
servicios7.
Se trata de un fen´omeno que explota las debilidades en el
cuidado de la informaci´on que tienen los usuarios.
6
Disponible en http://www.seguridad.unam.mx/documento/?id=16 consultada en enero del 2017
7
Disponible en
http://www.gaceta.unam.mx/20160929/robo-de-identidad-el-delito-por-excelencia-del-cibercrimen/
consultada en enero del 2017
34. Seguridad en Redes
Identidad
Robo de identidad
Nombre de usuario
El primer dato que un atacante necesita para robar la
identidad de una persona es le nombre de usuario de alg´un
servicio, por ejemplo el correo electr´onico.
Una herramienta que permite obtener posibles cuentas de
correo electr´onico de un domino en particular es “The
Harvester”8.
8
http://tools.kali.org/information-gathering/theharvester
36. Seguridad en Redes
Identidad
Robo de identidad
Maltego
En combinaci´on con la herramienta Maltego9 el atacante puede
validar la existencia de la cuenta de correo.
9
https://www.paterva.com/web7/
37. Seguridad en Redes
Identidad
Robo de identidad
Ataques a contrase˜nas
Cuando un atacante busca obtener las contrase˜nas, puede
utilizar diferentes m´etodos:
1 An´alisis de tr´afico de red
2 Acceso al archivo de contrase˜nas
3 Ataques por fuera bruta
4 Ataques por diccionario
5 Ingenier´ıa social
38. Seguridad en Redes
Referencias bibliogr´aficas
Referencias bibliogr´aficas I
Steve Purser.
A Practical Guide to Managing Information Security, Artech
House.
Erik Banks
Practical Risk Management, Wiley.
Shon. Harris.
CISSP All-In-One Exam Guide, McGraw-Hill Professional.