CLICK HERE FOR THOUSANDS OF FREE BLOGGER TEMPLATES »

jueves, 26 de febrero de 2009

SSLV2_WINDOWS_SERVER

la practica a realizar consistira en:
crear una peticion de certificado para que la firme una autoridad certificadora, luego importar esa peticion ya firmada en nuestro sitio web y asi obtener una conexion segura por http





ssl2win

lunes, 9 de febrero de 2009

PKI



La Criptografía de Llave Pública o Asímetrica


Tiene por objeto distribuir la llave simetrica de forma segura, está basada en el uso de un par de llaves, una pública y otra privada, por cada entidad.

La llave Privada debe permanecer en secreto y bajo el control del usuario,usarla para cifrar –descifrar es lo que demuestra que la posees y con ello queda garantizada la autenticidad confidencialidad.

La llave Pública puede y debe ser libremente distribuida, lo más extensamente, Dichas llaves se caracterizan por que:

• son diferentes
• están matematicamente asociadas
• no se puede obtener la llave privada a partir de la pública

Cada llave unicamente puede descifrar lo que la otra ha cifrado, por tanto con la llave pública del suscriptor, qualquiera puede cifrar un mensaje, que solo puede ser descifrado por la llave privada del suscriptor, logrando la confidencialidad.

Con la llave pública del suscriptor, cualquiera puede descifrar un mesaje, y así verificar la identidad del documento que ha sido cifrado por el suscriptor usando su llave privada.




Criptografía de Llave Simétrica o Secreta

Se basa en el uso de una única llave entre las parte simplicadas, suscriptor y verificador.
El proceso de cifrado con llave simetrica usa un algoritmo, la llave, el mensaje y el message digest ó hash.
Dicha llave sirve para cifrar como descifrar los datos, usa la firma digital, y el cifrado.



CLAVE PUBLICA PKI

(public key infraestructure- infraestructura de clave publica)

Es la combinacion de software, tecnologias de encriptacion y servicios que posibilitan la seguridad en sus comunicaciones por internet.

El proposito es proveer claves y manejo de certificados para lograr la eficiencia en el no repudio y la confidencialidad.



COMPONENTES DE PKI


* Autoridades certificadoras: Emiten y revocan los certificados
* Autoridades de registro:Hace relacion entre las claves públicas y las entidades propietarias de los certificados
* Poseedores de los certificados: Firman los documentos digitales
* Repositorios: Guardan y hacen disponible las certificaciones



INFRAESTRUCTURA DE PKI

* Criptografia de llave publica para la firma digital (Se forma aplicando una funcion
matematica a un documento electronico cuyo resultado es una cadena de bit llamado digesto
del mensaje)
* Criptografia de llave simetrica para cifrar
* Mensaje digest ó hash
* Gestion de las llaves publicas y privadas



ARQUITECTURA DE PKI

Se compone de:

* La infraestructura de pki
* Del modelo pkix ó entidades que gestionan la infraestructura de la llave designando
sus funciones o protocolos
* Politicas y practicas de certificaciones


Qué es un certificado

Los certificados son documentos digitales que aseguran que una clave pública corresponde a un usuario o entidad determinados, evitando así que alguien pueda utilizar una combinación de claves pretendiendo ser otra persona.

Simplificando, un certificado consiste en una clave pública, el nombre de su propietario, fecha de expedición del certificado y fecha de expiración de la clave.


Certificados digitales

Son documentos que confirman la identidad de una persona física o jurídica, vinculada con una llave pública asociada a la llave privada. Tienen dos aspectos por objeto:

* Que la llave pública del suscriptor pueda ser accesible por los verificadores o participes interesados en validar y verificar la firma digital del suscriptor, el certificado firmado digitalmente por la Autoridad de Certificación con forma la firma digital.2

*Que los participes puedan confiar en que la llave pública que recibe el verificador sea realmente la del suscriptor.



Campos para un certificado

* Versión: Formato del certificado
* # de serie: numero unico
* Identificador de algoritmo:Identifica el algoritmo usado para firmar el certificado junto
con los parametros necesarios
* Autoridad de certificacion: Nombra la autoridad
* Periodo de validez: Fecha de inicio y el termino de la validez del certificado
* Usuario:Nombre
* Clave pública de usuario: Nombre del algoritmo y parametros necesarios
* Firma: de la autoridad



martes, 27 de enero de 2009

ENTIDADES

ENTIDADES CERTIFICADORAS



Entidad certificadora colombiana

CERT
Es un centro de coordinacion de atencion a incidentes de seguridad informatica Colombiano, el cual esta en contacto directo con los centros de seguridad de sus empresas afiliadas y está en capacidad de coordinar el tratamiento y solucion de las solicitudes y denuncias sobre problemas de seguridad

El CERT Colombia, tambien mantiene comunicacion constante con organizaciones internacionales que trabajan en el sector de la seguridad informatica y hace uso de informacion especializada entregada por estas, para advertir a los integrantes del CERT Colombia, sobre cualquier tipo de contenido malicioso que pueda tener alojado dentro de sus redes, que afecte directamente su operacion, o que amenace la seguridad de sus clientes.

El objetivo principal es el gestionar una eficiente atencion a los incidentes de seguridad informatica que involucren redes y/o servicios Colombianos.


INTEGRANTES DE CERT























































CISSP: (Certified Information Systems Security Professional) es una certificación de alto nivel profesional, con el objetivo de ayudar a las empresas a reconocer a los profesionales con formación en el área de seguridad de la información.



CISSP es considerada como una de las credenciales de mayor representatividad en el ámbito de la seguridad informática a nivel mundial.

La Certificación CISSP es entregada por (ISC)2, una organización sin fines de lucro dedicada a aspectos de seguridad de la información y que ha provisto Certificaciones Internacionales a profesionales desde 1992.(ISC)2 fue formada en 1998 por la unión de organizaciones de seguridad en IT.

En caso de CISSP esta orientado a un CISO (con un perfil más técnico que funcional)



SANS

(SysAdmin Audit, Networking and Security Institute) es una institución con ánimo de lucro fundada en 1989, que agrupa a 165.000 profesionales de la seguridad informática



sus principales objetivos son:

*Reunir información sobre todo lo referente a seguridad informática (sistemas operativos, routers, firewalls, aplicaciones, IDS, etc.)
*Ofrecer capacitación y certificación en el ámbito de la seguridad informática e igualmente, el SANS Institute es una universidad formativa en el ámbito de las tecnologías de seguridad


*Se centra en aspectos más técnicos y prácticos



Se trata del Instituto SANS que a su vez fundó GIAC (Global Information Assurance
Certification), que responde a la necesidad de validar las habilidades y capacidades de los profesionales en seguridad.




SANS proporciona un conjunto de cursos destinado a ayudarle a dominar los pasos prácticos necesarios para defender sus sistemas y sus redes contra las amenazas más peligrosas, aquellas que están siendo activamente explotadas. Los cursos, desarrollados con el consenso de cientos de administradores, responsables de seguridad y otros profesionales del ramo, tratan tanto los fundamentos como los detalles técnicos de las áreas más críticas de la Seguridad de la Información.



































































































































































































































lunes, 26 de enero de 2009

NORMAS

NORMAS DE SEGURIDAD




Que es una norma?

Las normas son un modelo, un patrón, un ejemplo o criterio a seguir, es una fórmula que tiene valor de regla y tiene como finalidad definir las carecterísticas que debe poseer un objeto y los productos que han de tener una compatibilidad para ser usados a nivel internacional.

Que son las normas iso?

International Organization for Standardization

(Organización Internacional para la Estandarización)

Las normas ISO surgen para armonizar la gran cantidad de normas sobre
gestión de calidad que estaban apareciendo en distintos países del mundo.

Los organismos de normalización de cada país producen normas que resultan del
consenso entre representantes del estado y de la industria. De la misma
manera las normas ISO surgen del consenso entre representantes de los
distintos países integrados a la I.S.O.




Norma iso 17799

Es proprocional, una base para desarrollar norma de seguridad dentro de las organizaciones y
ser una practica eficaz de las gestion de las seguridad.
No es certificable ya que es la pauta para las demas.

Ha sido redactada de forma flexible e independiente de cualquier solucion de seguridad especifica

Proporciona buenas practicas neutrales con respecto a la tecnologia y a las soluciones disponibles en el mercado.




1995: BS 7799 es un codigo de buenas practicas para la gestion de la seguridad de la informacion


1998: BS 7799-2 tras una revision de ambas partes de BS7799 en (1999) la primera es adoptada como norma iso en el año (2000) y denominada iso/IEC 17799


2002: la norma iso se adopta como (UNE 17799)


2004: se establece la norma UNE (71502) basada en BS7799-2









Esta norma establece diez dominios de control que cubren por completo la gestion de seguridad de la informacion

1. Politica de seguridad
2. Aspectos organizativos para la seguridad
3. Clasificacion y control de activos
4. Seguridad ligada al personal
5. Seguridad fisica y del entorno
6. Gestion de comunicacion y operaciones
7. Control de acceso
8. Desarrollo y mantenimiento de sistemas
9. Gestion de continuidad del negocio
10. Conformidad con la legislacion


De estos diez dominos se derivan 36 objetivos de control y 127 controles (practicas, proced



ISO 27001

Esta norma muestra como aplicar los controles propuestos en la iso 17799 estableciendo los requisitos para construir "SGSI" auditable y certificable.

Es una norma adecuada para cualquier organización, grande o pequeña, de cualquier sector o parte del mundo. La norma es particularmente interesante si la protección de la información es crítica, como en finanzas, sanidad, sector público y tecnología de la información (TI).
COMPARACION



*17799 Es un conjunto de buenas practicas en seguridad de la informacion, contiene 133
controles aplicables
*La iso 17799 no es certificable ni fue diseñada para tal fin
*La norma que si es certificable es iso 27001 como tambien lo fue su antecesora BS7799-2
*iso 27001 contiene un anexo que considera los controles de la norma iso 17799 para su posible aplicacion en el SGSI que implanta cada organizacion
*iso 17799 es para 27001 por tanto una relacion de controles necesarios para garantizar la seguridad de la informacion
*iso 27001 especifica los requisitos para implatar, operar, vigilar, mantener, evaluar un sistema de seguridad informatica explicitamente



SEGURIDAD EN REDES

SEGURIDAD INFORMATICA
Entendemos como seguridad un estado de cualquier tipo de información (informático o no) que nos indica que ese sistema está libre de peligro, daño o riesgo. Se entiende como peligro o daño todo aquello que pueda afectar su funcionamiento directo o los resultados que se obtienen del mismo.
Entérminos generales, la seguridad puede entenderse como aquellas reglas técnicas ó actividades destinadas a prevenir, proteger y resguardar lo que es considerado como susceptible de robo, pérdida o daño, ya sea de manera personal, grupal o empresarial.
La seguridad informática consiste en asegurar que los recursos del sistema de informacion de una organización sean utilizados de la manera que se decidió y que el acceso a la información allí contenida, así como su modificación sólo sea posible a las personas que se encuentren acreditadas y dentro de los límites de su autorización.
Por esto la existencia de personas ajenas a la información, también conocidas como piratas informáticos o hackers, que buscan tener acceso a la red empresarial para modificar, sustraer o borrar datos.
Tales personajes pueden, incluso, formar parte del personal administrativo de cualquier compañía; ya que las violaciones e intrusiones a los recursos informáticos se realiza por el personal interno, debido a que éste conoce los procesos, metodologías y tiene acceso a la información sensible de su empresa, es decir, a todos aquellos datos cuya pérdida puede afectar el buen funcionamiento de la organización.
Para que un sistema se pueda definir como seguro debe tener estas cuatro características:
Confidencialidad: La información sólo debe ser vista por usuarios autorizados
Integridad:La información sólo puede ser modificada por quien está autorizado y de manera controlada.
Disponibilidad: Debe estar disponible la informacion cuando sea cuando necesaria
No repudio: no tener la posibilidad de negar que se accedio a la informacion del sistema
Terminologia de la seguridad informatica
Activo:Recurso del sistema de información o relacionado con éste, necesario para que la organización funcione correctamente y alcance los objetivos propuestos.
Amenaza: Es un evento que pueden desencadenar un incidente en sus activos.
Riesgo: posibilidad de que se produzca un impacto determinado en un Activo.
Vulnerabilidad: posibilidad de ocurrencia de la materialización de una amenaza sobre un Activo.
Ataque: evento que atenta sobre el buen funcionamiento del sistema.