Este documento presenta una introducción a la seguridad en entornos web de código abierto. Explica conceptos clave como arquitecturas web bicapa y multicapa, autenticación básica mediante servicios de directorio LDAP, autenticación con control de acceso utilizando servicios SSO como Sibboleth y CAS, y autenticación fuerte a través de infraestructuras PKI implementadas con soluciones de código abierto como OpenCA y EJBCA. Además, proporciona detalles técnicos sobre estas soluciones de autentic
Hardening de Servidores Linux Oscar GonzalezOscar Gonzalez
Se explicara, los criterios para crear diferentes tipos de políticas de seguridad, basada en la lógica del negocio de la empresa, y de acuerdo a eso todos los componentes que necesitamos securizar para proteger tanto el sistema operativo linux y su entorno , ya que por defecto no es seguro, de esta manera los sistemas informáticos junto con su información almacenada estén mucho mas protegidos.
Diapositivas de la Sesión de Seguridad en IIS 7 utilizadas por David Cervigón en el evento de Asegúr@IT II que se realizó en Barcelona en Abril de 2008.
Hardening de Servidores Linux Oscar GonzalezOscar Gonzalez
Se explicara, los criterios para crear diferentes tipos de políticas de seguridad, basada en la lógica del negocio de la empresa, y de acuerdo a eso todos los componentes que necesitamos securizar para proteger tanto el sistema operativo linux y su entorno , ya que por defecto no es seguro, de esta manera los sistemas informáticos junto con su información almacenada estén mucho mas protegidos.
Diapositivas de la Sesión de Seguridad en IIS 7 utilizadas por David Cervigón en el evento de Asegúr@IT II que se realizó en Barcelona en Abril de 2008.
La esteganografía es una parte de la criptología donde se estudia y se aplican las diferentes técnicas para el ocultamiento de mensajes u objetos dentro de otros mediante la inserción de la misma en mensajes aparentemente inofensivos
El OWASP TOP 10 es un poderoso documento de concientización para la seguridad en aplicaciones web. OWASP TOP 10 representa un amplio consenso sobre cuales son las fallas más críticas en la seguridad de las aplicaciones web. Entre los miembros del proyecto se incluyen una diversidad de expertos en seguridad alrededor del mundo, quienes han compartido su experiencia para producir esta lista.
Urge las compañías adopten este documento de concientización dentro de su organización, e inicien el proceso de asegurar sus aplicaciones web para no contener estas fallas. Adoptar el OWASP TOP 10 es quizá el primer paso más efectivo hacia el cambio de cultura sobre el desarrollo del software dentro de la organización, hacia una la cual produce código seguro.
Este curso completamente práctico desarrolla todos los objetivos del proyecto OWASP TOP 10; redirecciones y reenvíos no validados, utilización de componentes con vulnerabilidades conocidas, falsificación de peticiones en sitios cruzados (CSRF), ausencia de control de acceso a funciones, exposición de datos sensibles, configuración de seguridad incorrecta, referencia directa insegura a objetos, secuencia de comandos en sitios cruzados (XSS), pérdida de autenticación y gestión de sesión, e inyección. Se utilizan diversas herramientas y técnicas con el apoyo de aplicaciones web vulnerables dentro de un entorno de laboratorio controlado.
¿Qué es la esteganografía?
¿Qué NO es la esteganografía?
Esteganografía y criptografía
¿Por qué usarla?
Esteganografía física
Técnicas de esteganografía digital
Usos curiosos de la esteganografía digital
Ataques
Técnicas de ataque
Estegoanálisis
Marcas de agua
The Quantum computing has become a buzzword now a days, however it has not been the favorite of the researchers until recent times.
Let's follow about
What's Quantum Computing?
It's Evolution
Primary Focus
Future
"Se han enviado al servidor de internet ficheros web creados mediante program...Cristina Gallego Blanco
En este trabajo se habla de:
¿Qué es un fichero web?
¿Cómo se crean los ficheros web?
Protocolos y cuál es el más utilizado.
¿Qué es un servidor web?
¿Cómo se envían?
A lo largo de la presentación se exponen las características principales del servidor HTTP Apache: módulos, logs, etc. Además, se explica cómo instalar y configurar un servidor Apache en Ubuntu de manera rápida y sencilla.
Comparación entre Open stack vs open nebula, que es computación en la nube.
Ques es openstack. Ademas que es.
Que es Opennebula.
Comparaciones entre ambas
Docker: la revolución en virtualizaciónMarcelo Ochoa
Durante el último año la evolución de proyectos como LXC concluyo en el mundialmente reconocido proyecto Docker, un sistema de virtualización open source ultra delgado que permite optimizar por medio de la automatización vía scripts la provisión de ambientes para desarrollo, test y producción.
Entre las principales ventajas de este ambiente de virtualización podemos encontrar:
– Nativo en Linux, sin requerimientos de virtualización hardware, cero impacto en la performance
– Definición/Creación del entorno vía scripts
– Ultra liviano, se pueden correr hasta 2048 maquinas virtuales con un servidor Web en un simple micro-computador Raspberry PI
– Disponible en otras plataformas como Windows/Solaris
Similar a Seguridad en Entornos Web Open Source (20)
(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informáticavazquezgarciajesusma
En este proyecto de investigación nos adentraremos en el fascinante mundo de la intersección entre el arte y los medios de comunicación en el campo de la informática.
La rápida evolución de la tecnología ha llevado a una fusión cada vez más estrecha entre el arte y los medios digitales, generando nuevas formas de expresión y comunicación.
Continuando con el desarrollo de nuestro proyecto haremos uso del método inductivo porque organizamos nuestra investigación a la particular a lo general. El diseño metodológico del trabajo es no experimental y transversal ya que no existe manipulación deliberada de las variables ni de la situación, si no que se observa los fundamental y como se dan en su contestó natural para después analizarlos.
El diseño es transversal porque los datos se recolectan en un solo momento y su propósito es describir variables y analizar su interrelación, solo se desea saber la incidencia y el valor de uno o más variables, el diseño será descriptivo porque se requiere establecer relación entre dos o más de estás.
Mediante una encuesta recopilamos la información de este proyecto los alumnos tengan conocimiento de la evolución del arte y los medios de comunicación en la información y su importancia para la institución.
Es un diagrama para La asistencia técnica o apoyo técnico es brindada por las compañías para que sus clientes puedan hacer uso de sus productos o servicios de la manera en que fueron puestos a la venta.
(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informáticavazquezgarciajesusma
En este proyecto de investigación nos adentraremos en el fascinante mundo de la intersección entre el arte y los medios de comunicación en el campo de la informática.
La rápida evolución de la tecnología ha llevado a una fusión cada vez más estrecha entre el arte y los medios digitales, generando nuevas formas de expresión y comunicación.
Continuando con el desarrollo de nuestro proyecto haremos uso del método inductivo porque organizamos nuestra investigación a la particular a lo general. El diseño metodológico del trabajo es no experimental y transversal ya que no existe manipulación deliberada de las variables ni de la situación, si no que se observa los fundamental y como se dan en su contestó natural para después analizarlos.
El diseño es transversal porque los datos se recolectan en un solo momento y su propósito es describir variables y analizar su interrelación, solo se desea saber la incidencia y el valor de uno o más variables, el diseño será descriptivo porque se requiere establecer relación entre dos o más de estás.
Mediante una encuesta recopilamos la información de este proyecto los alumnos tengan conocimiento de la evolución del arte y los medios de comunicación en la información y su importancia para la institución.
Actualmente, y debido al desarrollo tecnológico de campos como la informática y la electrónica, la mayoría de las bases de datos están en formato digital, siendo este un componente electrónico, por tanto se ha desarrollado y se ofrece un amplio rango de soluciones al problema del almacenamiento de datos.
3Redu: Responsabilidad, Resiliencia y Respetocdraco
¡Hola! Somos 3Redu, conformados por Juan Camilo y Cristian. Entendemos las dificultades que enfrentan muchos estudiantes al tratar de comprender conceptos matemáticos. Nuestro objetivo es brindar una solución inclusiva y accesible para todos.
Inteligencia Artificial y Ciberseguridad.pdfEmilio Casbas
Recopilación de los puntos más interesantes de diversas presentaciones, desde los visionarios conceptos de Alan Turing, pasando por la paradoja de Hans Moravec y la descripcion de Singularidad de Max Tegmark, hasta los innovadores avances de ChatGPT, y de cómo la IA está transformando la seguridad digital y protegiendo nuestras vidas.
1. ISSA España Mayo/Madrid 2009 @Seguridad
Seguridad en Entornos Web de
Código Abierto
Víctor M. Fernández Gómez
http://vfernandezg.blogspot.com
vfernandezg@gmail.com
2. ISSA España Mayo/Madrid 2009 @Seguridad
Agenda
Arquitecturas Web
Bicapa / Multicapa
Autenticación Básica
Servicios de Directorio (LDAP)
Autenticación con Control de Acceso
Servicios de Single Sign On (SSO)
Autenticación Fuerte
Servicios de Infraestructura de Clave
Pública (PKI)
2
3. ISSA España Mayo/Madrid 2009 @Seguridad
Arquitecturas Web
Bicapa (Presentación + Datos)
Web Servers: Apache, Open Web Server...
– Balanceo de Carga / Alta Disponibilidad (Producto, Sistema)
Base de Datos: MySQL, PostgreSQL...
– Alta Disponibilidad (Producto, Sistema) / Replicación
Multicapa (Presentación + Lógica + Datos)
Web Servers: Apache, Open Web Server...
Application Servers: GlassFish, JBoss, Tomcat...
– Alta Disponibilidad (Producto)
Base de Datos: MySQL, PostgreSQL...
4. ISSA España Mayo/Madrid 2009 @Seguridad
Seguridad Lógica
Autenticación Básica (user/password)
Posible y Compatible mediante:
– Listas de Control de Acceso (ACLs)
» Web Servers: Apache, Open Web Server...
– Definición de Realms
» Application Servers: GlassFish, Jboss, Tomcat...
» Desarrollo de proyectos con NetBeans / Eclipse
Servicios de Directorio:
– Protocolo TCP a nivel de aplicación
– Lightweight Directory Access Protocol (LDAP)
» LDAP Servers: OpenLDAP, FedoraDS, OpenDS...
5. ISSA España Mayo/Madrid 2009 @Seguridad
OpenLDAP
Licencia propia (OpenLDAP Public License)
Versión actual 2.4.16 (multiplataforma)
Demonios dedicados para gestión del arbol y replicación
Permisos personalizables mediante aci’s
Funcionalidad de Proxy transparente LDAP
Permite configuraciones MultiMaster a partir de v2.4+
Customización del Schema (objectclass y attributes)
Compatible con Backends de tipo MySql
(Cluster Producto, Cluster Sistema, Replicación,
Federación de Tablas…)
6. ISSA España Mayo/Madrid 2009 @Seguridad
FedoraDS
Liberado tras la adquisición de Netscape Enterprise
por parte de RedHat (Fedora, RHEL y CentOS)
Licencia definitiva GPLv2
Versión actual 1.2.0
Permite configuraciones MultiMaster
Soporta grandes volumenes de datos
GUI propia de administración
Permisos personalizables mediante aci’s
Customización del Schema (objectclass y attributes)
Sincronización de usuarios y grupos con MS Active
Directory
7. ISSA España Mayo/Madrid 2009 @Seguridad
OpenDS
Licencia CDDL
Versión actual 1.3.0
Soportado por Sun Microsystems (multiplataforma)
Permite configuraciones MultiMaster
Soporta grandes volumenes de datos
GUI propia de administración
Permisos personalizables mediante aci’s
Customización del Schema (objectclass y attributes)
Compatible con Backends de tipo MySql
(Cluster Producto, Cluster Sistema, Replicación,
Federación de Tablas…)
8. ISSA España Mayo/Madrid 2009 @Seguridad
Seguridad Lógica
Autenticación con Control de Acceso y SSO
Posible y Compatible mediante:
– Instalación de Agentes (Service Provider): SP
» Web Servers: Apache, Open Web Server...
» Application Servers: GlassFish, Jboss, Tomcat...
– Instalación de Servidor (Identity Provider): IdP
» Desplegable bajo arquitectura J2EE
• Application Servers: GlassFish, Jboss, Tomcat...
– SSO vía cookies por dominio DNS de autenticación
– Modelo RBAC (Role Based Access Control)
(Grupos estáticos / dinámicos, Perfiles, Roles…)
9. ISSA España Mayo/Madrid 2009 @Seguridad
Sibboleth
Licencia Apache 2.0
Versión actual 2.1
Instalación de agente en base a fuentes y paquetes (rpm)
Instalación de servidor como desplegable *.war
Soporte multiplataforma
(Linux, UNIX y Windows)
Permite LDAP como repositorios de usuarios
(incluido Failover entre diferentes instancias)
Permite Alta Disponibilidad en cuanto al despliegue del
servidor de autenticación
Soporta Federación mediante SAMLv2
10. ISSA España Mayo/Madrid 2009 @Seguridad
CAS (Central Authentication Service)
Licencia Apache 2.0
Versión actual 3.3.2
Instalación de agentes en base a fuentes (Apache)
Instalación de servidor como desplegable *.war
Soporte multiplataforma
(Linux, UNIX y Windows)
Permite LDAP como repositorios de usuarios
(incluido Failover entre diferentes instancias)
Permite MySQL como repositorio de usuarios
Soporta Federación frente a cuentas de Google Apps
mediante SAMLv2
11. ISSA España Mayo/Madrid 2009 @Seguridad
JOSSO (Java Open Single Sing On)
Licencia LGPL
Versión actual 1.8
Instalación de agentes en base a plugins
Instalación de servidor como gateway *.war
Permite LDAP como repositorio de usuarios
Permite MySQL como repositorio de usuarios
12. ISSA España Mayo/Madrid 2009 @Seguridad
OpenSSO
Licencia CDDL
Versión actual 8.0
Soportado por Sun Microsystems (multiplataforma)
Instalación de agentes en base a plugins
Web Servers y Application Servers
Instalación de servidor como desplegable *.war
Permite Alta Disponibilidad J2EE en el servidor
Permite Failover de session (ssoSessionTools.zip)
Permite LDAP externo como repositorio de usuarios
Soporta Federación mediante SAMLv2
Prevención contra secuestro de cookie (hijacking)
13. ISSA España Mayo/Madrid 2009 @Seguridad
Seguridad Lógica
Autenticación Fuerte
Posible y Compatible mediante sistemas para gestión de
certificados digitales:
– Es el marco que permite la implantación de la
infraestructura de clave pública (PKI)
– Una PKI sólo es válida si se cumplen las siguientes
condiciones:
» Las claves privadas estén protegidas
» Las claves públicas estén inequívocamente asociadas a una
entidad (certificadora: CA)
Las claves privadas deben protegerse con contraseña
14. ISSA España Mayo/Madrid 2009 @Seguridad
OpenCA
Licencia BSD
Versión actual 1.0.2
Componentes de la arquitectura:
Interface web creado en Perl sobre Apache
Openssl para operaciones criptográficas
Una base de datos MySQL ó PostgreSQL
Un directorio tipo OpenLDAP
Compatible con servidor OSCP => Backend LDAP
(Online Certificate Status Protocol)
El cliente OSCP solicita estado al OSCP responder
(hasta obtener respuesta, suspende la aceptación del
certificado)
15. ISSA España Mayo/Madrid 2009 @Seguridad
OpenXPKI
Licencia Apache 2.0
Versión actual 0.9.1
Fork de OpenCA, con varios componentes reescritos
Arquitectura similar a OpenCA:
Interface web creado en Perl sobre Apache (mod_ssl)
Openssl para operaciones criptográficas
Una base de datos MySQL ó PostgreSQL)
Un directorio tipo OpenLDAP
Permite Múltiples instancias de CA
Soporta nCipher y nShield para comunicación con
hardware criptográfico (HSM)
16. ISSA España Mayo/Madrid 2009 @Seguridad
EJBCA
Licencia LGPL
Versión actual 3.8.1
100% Realizada en JAVA
Componentes de la arquitectura:
Java JDK
Application Server: GlassFish , JBoss...
Ant del proyecto Apache
Permite Múltiples instancias de CA
Compatible con OSCP
(Permite OSCP responder/s externo/s)
Soporta hardware criptográfico (HSM)
17. ISSA España Mayo/Madrid 2009 @Seguridad
PHPKi
Licencia GPLv2
Versión actual 0.82
100% Realizada en PHP
Componentes de la arquitectura:
Web Server: Apache (mod_ssl)
OpenSSL
Librerias Criptográficas (php)
Muy sencilla de implementar
Muy sencilla de utilizar
Compatible con CRLs
(Certificate Revocation List)
18. ISSA España Mayo/Madrid 2009 @Seguridad
GnoMint
Licencia GPLv2
Versión actual 0.9.9
Entorno Desktop Gnome
Linux (paquetes: rpm, deb)
UNIX (fuente)
Frontend gráfico de OpenSSL
Muy sencilla de implementar
Muy sencilla de utilizar
Compatible con CRLs
(Certificate Revocation List)
19. ISSA España Mayo/Madrid 2009 @Seguridad
Agradecimientos:
Antonio de la Fuente Díaz - http://blyx.com/
Gonzalo Álvarez Marañón - Univ. Oviedo.
Pedro Pablo Pérez García - Univ. Oviedo.
José María Sierra - Univ. Comillas.
20. ISSA España Mayo/Madrid 2009 @Seguridad
¡ Muchas Gracias !
Víctor M. Fernández Gómez
http://vfernandezg.blogspot.com
vfernandezg@gmail.com