UNIVERSIDAD TECNOLGICA

DE CIUDAD JUREZ








SEGURIDAD DE LA INFORMACIN



DOCUMENTO
QUE PRESENTA:

OSCAR MICHEL YEPEZ LARA
LORENZO MIGUEL CARLOS
EDGAR DAVID ORTEGA TORRES
ISAI CONTRERAS CASTILLO

ITIM42

TECNOLOGAS DE LA INFORMACIN Y
COMUNICACIN


CD. JUREZ, CHIH. SEPTIEMBRE DE 2014
2

NDICE

POLTICA DE SEGURIDAD .............................................................................. 3
Ventajas de una poltica de seguridad ........................................................ 3
Funciones de una poltica de seguridad ..................................................... 3
ESCENARIOS DE ATAQUE A REDES ............................................................. 4
CDIGO MALICIOSO ....................................................................................... 9
Ataques de cdigo malicioso ...................................................................... 9
CRIPTOGRAFA .............................................................................................. 10
PRINCIPIOS MATEMTICOS PARA CRIPTOGRAFA .................................. 10
NORMATIVIDAD ............................................................................................. 14
BIBLIOGRAFA ............................................................................................... 15





3

POLTICA DE SEGURIDAD

Una poltica de seguridad es un conjunto de pautas establecidas para proteger
a la red de los ataques, ya sean desde el interior o desde el exterior de una
empresa.

Tambin es el conjunto de normas y procedimientos establecidos por una
organizacin para regular el uso de la informacin y de los sistemas que la
tratan con el fin de mitigar el riesgo de prdida, deterioro o acceso no
autorizado a la misma.

Ventajas de una poltica de seguridad

Una poltica de seguridad favorece a una organizacin de las siguientes
maneras:

Proporciona un medio para auditar la seguridad actual de la red y
compara los requisitos con lo que se encuentra instalado.

Planifica mejoras de seguridad, incluidos equipos, software y
procedimientos.

Define las funciones y las responsabilidades de los ejecutivos,
administradores y usuarios de la empresa.

Define qu comportamientos estn permitidos y cules no.

Define un proceso para manejar los incidentes de seguridad de la red.

Permite la implementacin y el cumplimiento de la seguridad global al
funcionar como norma entre los sitios.

Crea una base para fundar acciones legales, en caso de ser necesario.

Funciones de una poltica de seguridad

Una poltica de seguridad integral cumple las siguientes funciones esenciales:

Protege a las personas y a la informacin

Establece las normas de comportamiento esperado de los usuarios, de
los administradores de sistemas, de la direccin y del personal de
seguridad

Autoriza al personal de seguridad a realizar controles, sondeos e
investigaciones
ESCENARIOS DE ATAQUE A REDES

Tcnica/Mtodo Escenario de ataque Ventajas Porque la implementacin
ACL Departamentos que
conforman a la
empresa.

La ACL controla si un router permite o
deniega paquetes segn el criterio
encontrado en el encabezado del paquete.

Las ACL se utilizan para seleccionar los
tipos de trfico por analizar, reenviar o
procesar de otras maneras.

Se implementa ACL para detener el
trfico o permitir slo el trfico
especfico y, al mismo tiempo, para
detener el resto del trfico en las redes.
Con la ACL podemos especificar el
paquete exacto que solo tiene que
llegar al destinatario.
VLAN Departamentos que
conforman a la
empresa.


Seguridad: los grupos que tienen datos
sensibles se separan del resto de la red,
disminuyendo las posibilidades de que
ocurran violaciones de informacin
confidencial.

Reduccin de costo: el ahorro en el costo
resulta de la poca necesidad de
actualizaciones de red caras y ms usos
eficientes de enlaces y ancho de banda
existente.

Mejor rendimiento: reduce el trfico
innecesario en la red y potencia el
rendimiento.

Una empresa a contar con varios
departamentos, es necesario proteger la
informacin de cada uno, por tal motivo
cada departamento debe de contar con
una VLAN, asi cada departamento se
encuentra en una LAN diferente pero
compartiendo la misma infraestructura.
5

STP Switch
Redes con
topologas
redundantes

STP proporciona redundancia a todos los
dispositivos en la red.
STP proporciona redundancia a todos
los dispositivos en la red. El trmino
redundancia significa que cada
conexin tiene varias copias de
seguridad que se pueden utilizar en el
caso de problemas con la conexin
primaria. Esto se logra en el STP al
garantizar que cada dispositivo tiene un
camino para varios conmutadores. Si
bien hay varias rutas de acceso para
cada dispositivo para enviar los datos,
slo un camino es activo a la vez. En el
caso de que la ruta activa experimenta
un error, se abri otra ruta. Esto permite
que el dispositivo tenga acceso
constante al resto de la red, incluso en
el caso de problemas de conectividad
de red a lo largo de una o ms lneas.












6



Servidores [Software]

Tipo de Ataque Efecto/Consecuencia Como prevenir el ataque
ataques de denegacin de
servicio (DDoS)
Interrupcin de servicios tales
como: Ancho de banda, Memoria
del HD, Bases de datos enviando
mltiples paquetes de
informacin.
Utilizar Honeypot para desviar los ataques DDoS del servidor
principal.
Bonet Robots o computadoras zombies
que son usadas para enviar
ataques DDoS, Spam y robo de
informacin.
Igual que en el caso anterior, utilizar honeypot para desviar los
ataques.
Vulnerabilidad de los
sistemas
Detecta fallas en el sistema para
crear herramientas xploit
Actualizar los sistemas y colocar parches para reparar posibles
vulnerabilidades.
Ataques sniffer Rastrea y descifra todo mensaje
que se trafica en una red.
Encriptar mensajes que son enviados dentro de una red.
keylogger Programa que captura lo
tecleado en una computadora
Utilizar teclados virtuales los cuales no pueden ser capturados
por los keylogger.
Conexiones no
autorizadas a equipos
Filtracin de informacin, robo de
identidad, robo de informacin.
Evitar el acceso remoto a los dispositivos de la empresa y
Malware Dao a redes o equipo Prevenir la descarga de correos electrnicos no confiables
dentro de la empresa.
Reconocimiento Es el descubrimiento y la
asignacin no autorizados de
sistemas, servicios o
vulnerabilidades. Tambin se
conoce como recopilacin de
informacin y, en la mayora de
En este tipo de caso, se debe de estar actualizando el software
o instalar parches que eviten bug xploit, vulnerabilidades dentro
del sistema.
7

los casos, precede a otro tipo de
ataque.
Virus, gusanos y caballos
de Troya
El software malicioso puede ser
insertado en un host para
perjudicar o daar un sistema,
puede replicarse a s mismo, o
denegar el acceso a las redes,
los sistemas o los servicios.
Para mitigar los Virus, gusanos y caballos de Troya es
necesario contar un antivirus el cual tenga su base de datos
actualizada a cada momento y que el antivirus escanee el
equipo en caso de contar con estos tipos de software.

En el caso de los caballos de troya, lo ms recomendable es
evitar que los empleados utilicen, lean, reenven cadenas u
mensaje los cuales puedan tener archivos descargables tales
como documentos, imgenes, video, etc.

Servidores [Fisico]

Amenazas de personal Que un personal/ex personal
ingrese a la fuerza al sitio para
alterar los datos.
Implementar equipo y personal de seguridad para las reas con
informacin importante o/y confidencial.
Amenazas al hardware dao fsico a los servidores,
routers, switches, planta de
cableado y estaciones de trabajo
Bloquear el equipo y evita el acceso no autorizado desde
las puertas, el piso, ventanas y conductos.

Monitorear y controlar las entradas de los armarios con
registros electrnicos

Utilizar cmaras de seguridad.
[Vase imagen 1.0]
Amenazas ambientales temperaturas extremas (calor o
fro extremos) o condiciones
Alarma ambiental remota y grabacin y vigilancia.

8

extremas de humedad (humedad
o sequedad extremas)
Control de temperatura y humedad.
Amenazas elctricas picos de voltaje, voltaje
suministrado insuficiente
(apagones), alimentacin
ilimitada (ruido) y prdida total de
alimentacin
instalar UPS
Instalar generadores
tener un plan de mantenimiento preventivo
Amenazas al
mantenimiento
manejo deficiente de los
componentes elctricos clave
(descarga electrosttica), falta de
repuestos fundamentales,
cableado insuficiente y rotulado
incorrecto
Usar tendido de cableado prolijos
Etiquetado de cable
CDIGO MALICIOSO

Cdigo malicioso es cdigo informtico que provoca infracciones de seguridad
para daar un sistema informtico. Se trata de un tipo de amenaza que no
siempre puede bloquearse con un software antivirus por s solo.

El cdigo permite que el cibercriminal tenga acceso remoto no autorizado al
sistema atacado, lo que se denomina una aplicacin de puerta trasera, que
luego expone los datos sensibles de la compaa. Al liberarlo, los
cibercriminales incluso pueden eliminar los datos de una computadora o
instalar spyware.

Los scripts, gusanos y virus pueden daar las computadoras al encontrar
puntos de entrada que los llevan a informacin importante. Visitar sitios web
infectados o hacer clic en un vnculo de correo electrnico o adjunto malicioso
constituyen las principales puertas de enlace para que el cdigo malicioso se
infiltre en el sistema.

Ataques de cdigo malicioso

Las principales vulnerabilidades de las estaciones de trabajo de los usuarios
finales son los ataques de gusanos, virus y caballos de Troya.

Un gusano ejecuta un cdigo e instala copias de s mismo en la memoria de la
computadora infectada, lo que, a su vez, puede infectar a otros hosts.

Un virus es software malicioso asociado a otro programa, con el propsito de
ejecutar una funcin particular no deseada en una estacin de trabajo.

Un caballo de Troya es distinto de un gusano o de un virus slo en el sentido
de que toda la aplicacin fue escrita para que tenga la apariencia de otra cosa,
cuando en realidad es una herramienta de ataque.













10

CRIPTOGRAFA

La Criptografa es una rama de las Matemticas, cuyo principio bsico es
mantener la privacidad de la comunicacin entre dos personas alterando el
mensaje original de modo que sea incomprensible a toda persona distinta del
destinatario. Se complementa con el Criptoanlisis, que es la tcnica de
descifrar textos cifrados sin tener autorizacin para ellos, es decir, realizar una
especie de Criptografa inversa.
PRINCIPIOS MATEMTICOS PARA CRIPTOGRAFA

La criptografa se basa en la aritmtica: En el caso de un texto, consiste en
transformar las letras que conforman el mensaje en una serie de nmeros (en
forma de bits ya que los equipos informticos usan el sistema binario) y luego
realizar clculos con estos nmeros para:

- modificarlos y hacerlos incomprensibles.
- Asegurarse de que el receptor pueda descifrarlos.

Las dos tcnicas ms sencillas de cifrado, en la criptografa clsica, son la
sustitucin (que supone el cambio de significado de los elementos bsicos del
mensaje -las letras, los dgitos o los smbolos-) y la trasposicin (que supone
una reordenacin de los mismos); la gran mayora de las cifras clsicas son
combinaciones de estas dos operaciones bsicas.

Existen dos grandes grupos de cifras: los algoritmos que usan una nica clave
tanto en el proceso de cifrado como en el de descifrado, y los que emplean una
clave para cifrar mensajes y una clave distinta para descifrarlos. Los primeros
se denominan cifras simtricas, de clave simtrica o de clave privada, y son la
base de los algoritmos de cifrado clsico. Los segundos se denominan cifras
asimtricas, de clave asimtrica o de clave pblica y forman el ncleo de las
tcnicas de cifrado modernas.


11


El cifrado simtrico

El cifrado simtrico (tambin conocido como cifrado de clave privada o cifrado
de clave secreta) consiste en utilizar la misma clave para el cifrado y el
descifrado.

El cifrado consiste en aplicar una operacin (un algoritmo) a los datos que se
desea cifrar utilizando la clave privada para hacerlos ininteligibles. El algoritmo
ms simple (como un OR exclusivo) puede lograr que un sistema
prcticamente a prueba de falsificaciones (asumiendo que la seguridad
absoluta no existe).


Cifrado simtrico


Cifrado asimtrico

El principio del cifrado asimtrico apareci en 1976, con la publicacin de un
trabajo sobre criptografa por Whitfield Diffie y Martin Hellman.


En un criptosistema asimtrico (o criptosistema de clave pblica), las claves se
dan en pares:

* Una clave pblica para el cifrado;
* Una clave secreta para el descifrado.

12

En un sistema de cifrado con clave pblica, los usuarios eligen una clave
aleatoria que slo ellos conocen (sta es la clave privada). A partir de esta
clave, automticamente se deduce un algoritmo (la clave pblica). Los usuarios
intercambian esta clave pblica mediante un canal no seguro.


Cifrado asimtrico

ALGORITMO DE CRIPTOGRAFA

Cifrado AES

AES, siglas de Advanced Encryption Standard (estndar de cifrado avanzado),
es el algoritmo de ms amplia difusin y ms comn en uso. De hecho, los
nuevos procesadores de Intel estn siendo liberados con instrucciones
especficamente para el cifrado de hardware AES. AES, junto con otros
esquemas de cifrado actuales, nunca se han quebrado directamente. Hay
algunos ataques a los que todos los sistemas de cifrado son susceptibles, en
busca del ataque que finalmente sea eficaz. AES est siendo utilizado por la
mayora de las agencias gubernamentales de Estados Unidos y es considerado
como uno de los cifrados ms rpidos y ms seguros disponibles hasta el
momento.
Twofish

Twofish es un cifrado de clave simtrica que fue clasificado entre los mejores
cinco sistemas de cifrado, junto a AES. A pesar de que no fue elegido ganador,
Twofish proporciona capacidades de cifrado fuerte y su algoritmo es de dominio
pblico. Twofish tiende a tener ms poder de procesamiento para su algoritmo
de cifrado, pero no es un problema en las computadoras modernas con un
disco duro estndar.

13

RSA [Rivest Shamir Adelman]

Fue desarrollado en el MIT en 1977, es el algoritmo de clave pblica ms
popular en la actualidad utiliza tanto para cifrar texto como para generar firmas
digitales.
Multiplicando dos nmeros primos, genera un nmero llamado mdulo pblico
el cual es utilizado para conseguir las claves pblica y privada, la idea es que
los nmeros primos escogidos sean muy grandes ya que factorizar el resultado
de multiplicar dos nmeros primos es un problema computacionalmente
imposible.
DSA [Digital Signature Algorithm]

En 1991 el NIST propuso un estndar para firma digital (Digital Signature
Standard, DSS), siendo su algoritmo el DSA, en 1994 este algoritmo fue
anunciado formalmente como estndar y debe ser utilizado nicamente para
generar firmas digitales. El algoritmo se apoya en el uso de funciones hash y
est documentado en el FIPS 186.
Hash

Son funciones que convierten un texto de cualquier tamao en un valor de
tamao fijo (ms pequeo), dicho valor es conocido como valor de dispersin.
Estas funciones proporcionan gran seguridad en la informacin ya que es muy
difcil que dos textos tengan el mismo valor de dispersin, por ello son
comnmente utilizadas en grandes cantidades de datos.

SHA1 [Secure Hash Algorithm]

SHA1 es un algoritmo criptogrfico perteneciente a la familia de SHA (Secure
Hash Algorithm o Algoritmo de Hash Seguro) de la Agencia Nacional de
Seguridad de Estados Unidos y desarrollada por el NIST (National Institude of
Standards and Technology). [Vase imagen 1.1]

MD5 [Message Digest Algorithm]

El algoritmo MD5 fue desarrollado por Ron Rivest en 1992 en el MIT. La
finalidad de MD5 es robustecer el MD4 y a la fecha se trata del algoritmo hash
ms seguro y de mayor uso en el mundo.







14

NORMATIVIDAD

ISO 177799

Es una norma internacional que ofrece recomendacin para la gestin de la
seguridad de la informacin enfocada en el inicio, implantacin o
mantenimiento de la seguridad en una organizacin. La seguridad de la
informacin se define con la preservacin de:

Confidencialidad: aseguracin de la privacidad de la informacin de la
organizacin.
Integridad: garanta del estado original de los datos.
Disponibilidad: Acceso cuando sea requerido por los usuarios.
No repudio: Estadsticas de la acciones realizadas por el personal autorizado.

El objetivo de la norma ISO 17799 es proporcionar una base para desarrollar
normas de seguridad dentro de las organizaciones y ser una prctica eficaz de
la gestin de la seguridad.

ISO 27001

ISO 27001 es una norma internacional emitida por la Organizacin
Internacional de Normalizacin (ISO) y describe cmo gestionar la seguridad
de la informacin en una empresa. La revisin ms reciente de esta norma fue
publicada en 2013 y ahora su nombre completo es ISO/IEC 27001:2013. La
primera revisin se public en 2005 y fue desarrollada en base a la norma
britnica BS 7799-2.
ISO 27001 puede ser implementada en cualquier tipo de organizacin, con o
sin fines de lucro, privada o pblica, pequea o grande. Est redactada por los
mejores especialistas del mundo en el tema y proporciona una metodologa
para implementar la gestin de la seguridad de la informacin en una
organizacin. Tambin permite que una empresa sea certificada; esto significa
que una entidad de certificacin independiente confirma que la seguridad de la
informacin ha sido implementada en esa organizacin en cumplimiento con la
norma ISO 27001.
15

WebTrust [AICPA]
WebTrust es un sello de confianza, calidad y seguridad que se concede a las
entidades prestadoras de servicios de certificacin que obtienen un Informe
Favorable de Auditora Independiente, por una Firma de Auditora Habilitada
para la Prestacin de Servicios WebTrust al cumplir, durante un cierto periodo
de tiempo, los Criterios y Principios WebTrust, establecidos por las entidades
promotoras y licenciatarias del sello: el Instituto Americano de Auditores
Pblicos de Cuentas (AICPA), el Instituto Canadiense de Auditores de
Cuentas (CICA) y el Instituto de Auditores Censores Jurados de Cuentas de
Espaa (IACJCE).

El sello WebTrust est mundialmente reconocido y aceptado por la comunidad
internacional y se ha convertido en el mtodo ms efectivo de transmitir
confianza para los usuarios de Internet.

BIBLIOGRAFA

http://www.iso27001standard.com/es/que-es-iso-27001/

http://www.accv.es/webtrust/

http://es.slideshare.net/mamuga/tipos-de-ataques-y-vulnerabilidades-en-una-
red

http://www.genbetadev.com/seguridad-informatica/tipos-de-criptografia-
simetrica-asimetrica-e-hibrida