AP4-AA4-Ev1-Mecanismos de control y

seguridad
ADSI

JUAN SEBASTIAN OCAMPO GIRALDO

APRENDIZ

SERVICIO NACIONAL DE APRENDIZAJE SENA

ANÁLISIS Y DESARROLLO DE SISTEMAS DE

INFORMACIÓN (1412920)

2018
El "Sistema de Gestión para la Población vulnerable" tendrá en cuenta los
siguientes factores para lograr un mejor avance en cada una de las dependencias
que se tendrán, con el fin de que el usuario logre acceder fácilmente a nuestros
servicios, y estos al nosotros ofrecerlos, tengan excelente calidad tanto de su
estructura interna como de su apariencia en la interfaz.

1. SEGMENTACIÓN DE PROCESOS, PERFILES Y ROLES:

Roles
Procesos
Administrador Beneficiario
RF001 - Registro de Datos Personales en Base de
x x
Datos
RF002 - Creación de pasword o contraseña a cada
x x
Usuario.

RF003 - Consultar datos de usuario en el sistema. x

RF004 - Edicion de datos introducidos al sistema. x x
RF005 - Responder cuestionarios mostrados por el
x
sistema.

RF006 - Administrar usuarios (Editar, eliminar) x

Para iniciar se debe tener claro cuál es el fin de la segmentación de los procesos
perfiles y roles del sistema. Segmentar una red o un sistema consiste en dividirla
en subredes con el fin de poder aumentar el número de ordenadores o usuarios
los cuales se conectan a él, para que se pueda aumentar el rendimiento.
Las características de una segmentación son:
-Cuando se tiene una red grande se divide en trozos llamados segmentos.
-Al dividir una red en segmentos, aumenta su rendimiento.
-A cada segmento y a las estaciones conectadas a él se le llama subred.

La segmentación es necesaria siempre y cuando una red tienda a sobrepasar los

nodos que su topología lo permite, mejorando así el tráfico de la misma.
Al tratar de introducir segmentación de la red hay que tener en cuenta
algunos requisitos clave:
-Obtener visibilidad del tráfico, los usuarios y los activos
-Proteger las comunicaciones y recursos en ambas solicitudes, entrantes y
salientes
-Implementar controles granulares de tráfico, los usuarios y los activos
-Establecer una política de denegación predeterminada en todas las conexiones
entre segmentos
De ahí que la gestión adecuada de los accesos a los sistemas y recursos de
información en general es parte fundamental para asegurar la confidencialidad de
la información.
Nuestra metodología va a ser refinada y constantemente actualizada para guiar en
la construcción de procedimientos claros que abarquen completamente el ciclo
de vida de los perfiles, usuarios y privilegios de acceso a los activos de
Información.

Sin esta segmentación, las redes más grandes que un pequeño equipo de trabajo
podría atacarse rápidamente con el flujo de tráfico y las colisiones entre ellas. la
versión 4 del protocolo IP, debido a su implementación a gran escala, su
crecimiento se desbordo al que inicialmente se esperaba en su diseño, cuyo límite
en el número de direcciones de red admisibles está empezando a restringir el
crecimiento de Internet y su uso, debido a este auge y dado que el requerimiento
de grandes velocidades en internet en mayor dado el contenido que se maneja
actualmente (multimedia, video sobre ip, telefonía por ip etc.), es que hoy en día le
está dando paso a una versión mejorada que distribuye y maneja mejor el número
de direcciones para el mejor uso de la Internet, el llamado IPV6, que no es más el
reemplazo mejorado de su antecesor IPV4.
IPV4 que es la usada actualmente en la mayoría de las redes mundiales,
especialmente en redes LAN, esto hace que se requiera un buen diseño estructural
de las redes, que permitan definir grupos, acceso y por ende controlar el ancho de
banda para cada nodo de la red, esto se hace por medio de la segmentación, la
cual como hemos mencionado hace que esto sea posible.

Autenticación clásica
El mecanismo de seguridad el cual se va a ejecutar en el proyecto será el de
usuario y contraseña, este y los requisitos del mismo son los que son descritos a
continuación. En este, los usuarios deberán registrarse con anterioridad y el
sistema les otorgara una contraseña a su nombre de usuario. De esta manera es
que se intentaran evitar cyber ataques y se tomara como medidas de control de
seguridad para los usuarios:
En el sistema cada usuario poseerá un nombre de entrada al sistema o “Login” y
una clave o “Password”; ambos datos se almacenan generalmente en un fichero
“passwd”. Este archivo contiene una línea en la base de datos por usuario donde
se indica la información necesaria para que los usuarios puedan autenticarse a sí
mismos y de esta manera conectar a nuestro sistema y trabajar en él.
-Un método el cual se utilizara para proteger las contraseñas de los usuarios es el
denominado Shadow Password u oscurecimiento de contraseñas. La idea básica
de este mecanismo es impedir que los usuarios sin privilegios puedan leer el
fichero donde se almacenan las claves cifradas.
-Otro método el cual será utilizado en el sistema es el de Envejecimiento de
contraseñas. En casi todas las implementaciones de Shadow Password actuales se
suele incluir la implementación para otro mecanismo de protección de las claves
denominado envejecimiento de contraseñas o Password Aging. La idea básica de
este mecanismo es proteger los passwords de los usuarios dándoles un
determinado periodo de vida: una contraseña sólo va a ser válida durante un cierto
tiempo, pasado el cual expirará y el usuario deberá cambiarla.
Este último pretende prevenir más que problemas con las claves problemas con la
transmisión de éstas por la red: cuando conectamos mediante mecanismos
comunes como lo es “rlogin” a un sistema, cualquier equipo entre el nuestro y el
servidor puede leer los paquetes que enviamos por la red, incluyendo aquellos que
contienen nuestro nombre de usuario y nuestra contraseña.

2. CIFRADO DE DATOS: TIPO DE ALGORITMOS A IMPLEMENTAR.

Un algoritmo de cifrado simétrico es una fórmula matemática que convierte el texto

plano en un forma ininteligible, cifrada, y conocida como texto cifrado. La variable,
o clave de cifrado, que se utiliza para conducir un algoritmo de cifrado simétrico es
derivado de la contraseña dada cuando los datos están cifrados, y una clave única
compartida es utilizada para cifrar y descifrar los datos. Existen varios tipos
diferentes de algoritmos de cifrado simétricos y su fuerza depende, en gran parte,
de la longitud, en bits (0 y 1), de su clave de cifrado.
El algoritmo escogido para el cifrado de los datos de nuestro sistema es el de:
-Blowfish
Blowfish es un algoritmo de cifrado simétrico de dominio público, es decir, que no
tiene licencia y está disponible para todo el mundo de forma gratuita, introducido por
primera vez en 1993 por uno de los criptógrafos más importantes del mundo, Bruce
Schneier. Blowfish utiliza una clave de codificación de longitud variable, que va de
32 bits hasta 448 bits, con un valor predeterminado de 128 bits. En su forma más
simple, texto plano se divide en bloques de 64 bits y se introduce en el algoritmo
para crear bloques de texto cifrado.
Este algoritmo de cifrado se escogió pensando principalmente en su fácil
implementación para el proyecto, además de ser gratis y muy completo para las
intenciones que se desean usar dentro del proyecto.
PROCEDIMIENTOS ADICIONALES DE SEGURIDAD A IMPLEMENTAR

El tema de la creación de sistema seguro es muy amplio ya que requiere realizar

un estudio para comprender los puntos vulnerables de la seguridad.

Protegerse contra entradas malintencionadas

Como regla general, nunca se debe dar por sentado que la entrada proveniente de
los usuarios es segura. A los usuarios malintencionados les resulta fácil enviar
información potencialmente peligrosa desde el cliente a la aplicación. Para
proteger el sistema de estos posibles cyber ataques, se seguirán los siguientes
procedimientos:
-Realizar copias de seguridad constantes.
-Ejecutar un programa antivirus que supervise el tráfico entrante y saliente
-Establecer y hacer respetar una política que prohíba a los usuarios tener sus
contraseñas escritas en una ubicación fácil de localizar (aviso preventivo a los
usuarios).
-Usar firewall para proteger las maquinas que contiene el sistema.
-No almacenar información proporcionada por el usuario sin filtrar en una base de
datos
-No escribir mensajes de error que presenten información que pudiera resultar útil
a los usuarios malintencionados, como podría ser un nombre de usuario.
-No almacenar información vital en cookies. Por ejemplo, no almacenar, ni siquiera
temporalmente, la contraseña de un usuario en una cookie. Como norma, no
guardar nada en una cookie que, si se produce una suplantación, pueda
comprometer el funcionamiento de la aplicación.
-Establecer el período de tiempo mínimo posible para la fecha de expiración de las
cookies. Si es posible, evitar las cookies permanentes.
Estas recomendaciones están certificadas por los propios ingenieros de Microsoft,
para brindar seguridad a un sistema, subsistema o servidor el cual este para usar
a un usuario público.
Sistema de gestión para la población vulnerable

6
 Sistema de gestión para la población vulnerable

(Álvarez, 2015) (Murillo, 2015) (Wikipedia, s.f.) (Martes, s.f.) (Antonio, 16) (Caicedo, 2008)

Bibliografía
Álvarez, B. (22 de 01 de 2015). Instituto Nacional de Ciberseguridad de Espana. Obtenido de
https://www.certsi.es/blog/autenticacion-passwords

Antonio, N. (2016 de 06 de 16). SCRIBD. Obtenido de

https://es.scribd.com/doc/78439010/Segmentacion-de-Redes

Caicedo. (12 de 11 de 2008). Red Academica y de Investigacion Nacional. Obtenido de

https://www.rediris.es/cert/doc/unixsec/node14.html

Martes, A. (s.f.). Curriculum Vitae. Obtenido de http://www.que-es-modelos-de-curriculum-

vitae.info/algoritmos/

Murillo, O. A. (25 de 05 de 2015). Prezi. Obtenido de

https://prezi.com/c1tpeqb2quds/segmentacion-de-red/

Wikipedia. (s.f.). Wikipedia La enciclopedia libre. Obtenido de

https://es.wikipedia.org/wiki/Familia_de_protocolos_de_internet