-
Interconectividad de redes
Unidad 3. Seguridad de redes
Ciencias Exactas, Ingeniera y Tecnologa | Desarrollo de Software
1
Ingeniera en Desarrollo de Software
9 Cuatrimestre
Programa de la asignatura:
Interconectividad de redes
Unidad 3. Seguridad de redes
Clave:
150930935
Universidad Abierta y a Distancia de Mxico
UnADM
-
Interconectividad de redes
Unidad 3. Seguridad de redes
Ciencias Exactas, Ingeniera y Tecnologa | Desarrollo de Software
2
ndice
Unidad 3 Seguridad de redes
............................................................................................
3
Presentacin de la unidad
.................................................................................................
3
Propsitos
..........................................................................................................................
3
Competencia especfica
.....................................................................................................
3
3. Seguridad de redes
........................................................................................................
4
3.1. Introduccin a la seguridad
.........................................................................................
5
3.1.1. Definicin
.................................................................................................................
6
3.1.2. Criptologa y esteganografa
....................................................................................
8
3.2. Mecanismos de seguridad
........................................................................................
11
Actividad 1. Tecnologas de encriptacin
.........................................................................
15
3.2.1. Firmas y certificados digitales
................................................................................
15
3.2.2 Criptografa
.............................................................................................................
17
Actividad 2. Tcnicas de seguridad
..................................................................................
22
3.2.3. Polticas de seguridad
............................................................................................
23
Autoevaluacin
................................................................................................................
27
Evidencia de aprendizaje. Esquemas de seguridad de red.
............................................. 28
Autorreflexiones
...............................................................................................................
28
Cierre de la unidad
..........................................................................................................
28
Para saber ms
...............................................................................................................
29
Fuentes de consulta
........................................................................................................
30
-
Interconectividad de redes
Unidad 3. Seguridad de redes
Ciencias Exactas, Ingeniera y Tecnologa | Desarrollo de Software
3
Unidad 3 Seguridad de redes
Presentacin de la unidad
En esta tercera unidad se abordarn temas de seguridad de redes
tales como
mecanismos y polticas de seguridad, ya que se considera muy
importante que conozcas
este tema mediante los cuales es posible mantener los sistemas
informticos y las redes
seguras.
Como recordars, mediante las redes se transmite informacin, y
dicha informacin puede
ser muy especial, o pudiera ser informacin confidencial, si no
se cuentan con las polticas
o la tecnologa necesarias, la red podra sufrir ataques, por
ataque entindase cualquier
intervencin ajena a los sistemas informticos o de comunicaciones
de una empresa, que
pueden resultar en corrupcin de la informacin y degradacin de
servicios; y dichos
ataques podran poner en riesgo la informacin ya sea de la
empresa donde se encuentre
instalada una red o la informacin personal de los usuarios de
una red.
Es por ello que en esta unidad se explicarn las prcticas de
seguridad ms comunes a
fin de que puedas apoyar en la toma de decisiones sobre la
implementacin de algunas
de ellas en tus desarrollos de software, por ejemplo, lo ms comn
en un sistema es
proteger su acceso mediante una contrasea, y esta contrasea debe
viajar de manera
segura a travs de una red, es decir, encriptada, encriptar es de
alguna manera esconder
la contrasea para que cuando viaje a travs de la red, sea difcil
de leer para alguien que
desee interceptar los mensajes y de esta forma garantizar la
seguridad en el acceso y la
transmisin de informacin mediante las redes.
Propsitos
La presente unidad tiene como propsitos que:
Identifiques las diferentes tecnologas de encriptacin.
Identifiques las tcnicas de seguridad de una red.
Relaciones los mecanismos de seguridad con los requerimientos
de
administracin de red.
Competencia especfica
Configurar una interconectividad de redes de rea extensa para
determinar los mtodos
de seguridad a partir de los requerimientos especficos
-
Interconectividad de redes
Unidad 3. Seguridad de redes
Ciencias Exactas, Ingeniera y Tecnologa | Desarrollo de Software
4
3. Seguridad de redes
Las redes informticas y entre ellas internet, son uno de los
mayores peligros que existen
en la seguridad de un sistema informtico, ya que actualmente la
mayora de amenazas y
ataques provienen del exterior a travs de la red (Garca y
Alegre, 2011, pg. 45).
La nica manera de tener segura la informacin de un equipo de
cmputo es no
conectndolo a ninguna red, pero esto no hara nada funcional a
ese equipo de cmputo,
los recursos a los cuales podra acceder y o compartir, seran muy
limitados. Las redes
informticas al dar interconectividad a diversidad de equipos se
vuelven inseguras, ya que
existen muchas personas accediendo a la red para intercambiar
informacin, como
muchas de estas personas tienen poco o nulo conocimiento de
informtica en general,
son un blanco fcil para atacar.
La seguridad de redes nace de la misma inseguridad que se genera
en las redes,
inseguridad que se crea a veces con el simple hecho de poner
contraseas simples, o no
configurar correctamente un equipo de cmputo, o que al instalar
un software no se
personalice adecuadamente, etctera. La seguridad de redes es
parte de algunas otras
reas de especializacin dentro de la seguridad de la informacin,
las cuales son segn
Areitio (2008):
Gestin de seguridad: Que se refiere al establecimiento de
polticas y
procedimientos informticos que establece la alta direccin de una
empresa.
Seguridad de las operaciones: Que establece controles de
identidad, audita y
monitoriza accesos a equipo de red y de cmputo.
Gestin de riesgos: Que da respuesta y recuperacin a la gestin de
riesgos,
identifica los riesgos, los prioriza y con base en ello
establece tiempos de
respuesta y de recuperacin en caso de desastre.
Seguridad en redes y telecomunicaciones: Que asegura la red
utilizando
equipos de red, por ejemplo firewalls o utilizando protocolos
seguros por ejemplo
https en vez de http, como recordars del curso de fundamentos de
redes, la
diferencia entre http y https es la palabra secure, ambos
protocolos tienen las
siglas http, Hypertext Transfer Protocol, que en espaol es
Protocolo de
Transferencia de Hipertexto, el hipertexto es lo que se conoce
como links de
internet. En el protocolo Hypertext Transfer Protocol Secure o
https, la palabra
secure, indica que este protocolo permitir que la transferencia
de hipertexto sea
segura, usando algoritmos de encripcin.
Criptologa: Es una tcnica mediante la cual se cifra, descifra,
se firma
digitalmente y se ocultan ficheros y mensajes mediante un
proceso llamado
esteganografa.
-
Interconectividad de redes
Unidad 3. Seguridad de redes
Ciencias Exactas, Ingeniera y Tecnologa | Desarrollo de Software
5
Esquema de un ataque (Secur-IT @C.R.S, 2011b)
En el esquema anterior se muestra un tpico ataque a la
informacin de un usuario que se
conecta a un servidor, y se observa que el atacante est en medio
del usuario y del
servidor, perpetrando el ataque. Es comn que en estos ataques,
el atacante, est
observando todo lo que el usuario enva al servidor, en algunos
casos el atacante puede
hacerse pasar por el usuario, en todos los casos, el atacante
obtiene informacin o se
hace pasar por otra persona a fin de sacar ms informacin o algn
provecho, para
mitigar esto, se puede hacer uso de una red privada virtual o
VPN (por sus siglas en
ingls de Virtual Private Network), una VPN no tiene que ser
forzosamente conectada con
una red empresarial, actualmente existen diversidad de servicios
de VPN que ofrecen
privacidad al enviar la informacin o recibirla, en el caso de
tener una VPN, podra haber
un atacante en el medio, que antes de atacar, deber de descifrar
toda la informacin
que recibe, ya que cifrada no le sirve de nada, y por tanto, no
podr perjudicar al usuario,
el tema de cifrado se ver ms adelante, slo se hizo la aclaracin
para que notes la
importancia de la seguridad en las redes y en los sistemas
informticos.
En la presente unidad se revisarn aspectos de seguridad como la
criptografa y
esteganografa, firmas y certificados digitales y polticas de
seguridad que permiten hacer
a las redes ms seguras y considerando el antecedente de la
asignatura Fundamentos de
redes donde se toc el tema de firewalls, y en la unidad 2 de
esta asignatura se revis
VPN, adems de que ya se ha hablado de protocolos seguros.
3.1. Introduccin a la seguridad
La seguridad de redes, forma parte de la seguridad en sistemas
de informacin pues es
informacin finalmente lo que se enva a travs de las redes.
El mbito de la aplicacin de seguridad de los sistemas de
informacin abarca el
desarrollo, la operacin, la administracin y el mantenimiento de
sistemas y aplicaciones
(Areitio, 2008).
-
Interconectividad de redes
Unidad 3. Seguridad de redes
Ciencias Exactas, Ingeniera y Tecnologa | Desarrollo de Software
6
De manera muy vertiginosa, las redes informticas han adquirido
mayor tamao y mayor
importancia. Si la seguridad de la red se ve afectada, tendra
consecuencias graves, como
la prdida de privacidad o el robo de informacin. Aunado a esto y
para hacer ms
compleja la situacin, las amenazas potenciales a la seguridad de
las redes informticas
se encuentran siempre en evolucin (Cisco, 2013b).
A medida que el comercio electrnico y las aplicaciones de
Internet siguen creciendo, es
muy difcil encontrar el equilibrio entre estar aislado y
abierto. Adems, el aumento del
comercio mvil y de las redes inalmbricas exige soluciones de
seguridad perfectamente
integradas, ms transparentes y ms flexibles (Cisco, 2013b).
Como puedes observar la seguridad de las hoy llamadas tecnologas
de la informacin y
de la comunicacin (TIC), es muy importante, como futuro
Ingeniero en Desarrollo de
Software, es algo que no debes dejar pasar por alto a la hora de
desarrollar, probar y
echar a andar una aplicacin en un entorno ya sea intranet o
internet.
3.1.1. Definicin
La tendencia, cada vez ms dominante, hacia la interconectividad
e interoperabilidad de
redes, de los equipos de cmputo (PC, lap top, smartphones) y de
las aplicaciones que
utilizan las organizaciones ha situado a la seguridad de los
sistemas de informacin como
un elemento central en el desarrollo de la sociedad (Areitio,
2008).
Pero y qu es la seguridad informtica?, segn Cervign y Garca
(2011, pg. 2) "la
seguridad informtica se puede definir como un conjunto de
procedimientos, dispositivos y
herramientas encargadas de asegurar la integridad,
disponibilidad y privacidad de la
informacin en un sistema informtico e intentar reducir las
amenazas que pueden afectar
al mismo."
La seguridad informtica implica las polticas, estndares y
procedimientos usados
para mantener segura la informacin y para ello es necesario
considerar los objetivos
principales de la seguridad, los cuales, segn Areitio (2008, pg.
3) son:
1. Disponibilidad y accesibilidad de los sistemas y datos, slo
para su uso autorizado.
2. Integridad.
3. Confidencialidad de datos y de la informacin del sistema.
4. Responsabilidad a nivel individual (registros de
auditora).
5. Confiablidad.
A continuacin se explicar a detalle cada uno de los puntos
anteriores.
-
Interconectividad de redes
Unidad 3. Seguridad de redes
Ciencias Exactas, Ingeniera y Tecnologa | Desarrollo de Software
7
1. Disponibilidad y accesibilidad de los sistemas y datos, slo
para su uso
autorizado. Es decir, los sistemas informticos deben estar
disponibles y accesibles para
los usuarios con acceso autorizado. La disponibilidad y
accesibilidad a un sistema
informtico la proporciona el administrador de dichos recursos.
En la prctica es muy
difcil proporcionar una disponibilidad del 100% a los sistemas y
a los datos, ya que los
sistemas, por ejemplo, se encuentran en equipos fsicos que se
alimentan de energa
elctrica, y el suministro de energa elctrica escapa al control
de los administradores de
un sistema informtico, aunque el recibo de energa elctrica, se
pague mes con mes, no
es posible controlar que un da el suministro de energa elctrica
se vea interrumpido, tal
vez por una sobre carga a la planta. Otra razn por la que es
difcil garantizar una
disponibilidad del 100% de los sistemas y de los datos, es
porque es muy posible que una
red se interconecte con redes ajenas y que obviamente tampoco es
posible controlar,
pero aun cuando sea complicado ofrecer una disponibilidad del
100%, se deber trabajar
porque la disponibilidad sea muy cercana a este nmero. Los
accesos autorizados a un
sistema se refieren comnmente a los accesos de tipo controlado,
por ejemplo utilizando
un nombre de usuario y una contrasea o password.
2. Integridad. Esta garantiza que la informacin no haya sido
alterada por un tercero y
que llegue a su destino en forma ntegra, es decir, tal como el
usuario enva la
informacin la recibir el usuario receptor, la integridad debe
observarse en dos mbitos:
Integridad de datos. Es la propiedad de los datos que indica si
los datos no han sido
alterados de forma no autorizada, mientras se procesan,
almacenan o transmiten.
Segn Stallings (2004, pg. 10) la integridad de los datos se
refiere a "la seguridad de
que los datos recibidos son exactamente como los envi una
entidad autorizada (no
contiene modificacin, insercin, omisin, ni repeticin)."
Comnmente para verificar
esta propiedad existen herramientas que escanean la informacin y
generan, de
acuerdo al tamao y al tipo de archivo, un cdigo al que se le
denomina hash. Se
debe verificar que coincida con el otro hash que se crea cuando
se almacena o antes
de transmitir.
Integridad del sistema. Es la cualidad que posee un sistema
cuando realiza sus
funciones de manera normal, sin ser manipuladas sus funciones
por un tercero que no
est autorizado.
3. Confidencialidad de datos y de la informacin del sistema. Es
requisito
indispensable que los datos y la informacin de un sistema sean
privados y que no
puedan ser ledos para usuarios no autorizados. La diferencia
entre integridad y
confidencialidad, es que el primero se refiere a que no haya
sufrido cambios la
informacin y el segundo a que la informacin no sea visible para
quien no va dirigido el
mensaje.
-
Interconectividad de redes
Unidad 3. Seguridad de redes
Ciencias Exactas, Ingeniera y Tecnologa | Desarrollo de Software
8
4. Responsabilidad a nivel individual (registros de auditora).
Es la capacidad que
debe tener un sistema de guardar registros por cada usuario que
se conecte a un sistema,
esto con el fin de llevar bitcoras de uso para detectar anomalas
de uso en un sistema.
5. Confiabilidad. Es el aseguramiento de que existen las
polticas adecuadas para
proteger la informacin y los datos y en caso de desastre que
exista un plan de
recuperacin de este desastre.
De lo anterior es posible decir que para que exista
disponibilidad y acceso a los
sistemas y datos deben existir las condiciones de seguridad
(acceso a usuarios a los
sistemas) y de infraestructura (red y energa de los equipos que
proporcionan los
servicios) necesarias para que la disponibilidad y el acceso a
los sistemas sea muy
cercano al 100%. Para que exista integridad de datos, deben
existir mtodos o
procedimientos que permitan que no se corrompan los datos, por
ejemplo, para acceder a
los datos se puede restringir el acceso mediante algunos datos
confidenciales como el
nombre de usuario y la contrasea o password de manera tal que
slo los usuarios que
legtimamente dispongan del acceso puedan hacer uso de l. Para la
confidencialidad
de datos se pueden usar mtodos como encriptacin o esteganografa,
los cuales se
revisarn en el siguiente tema, para este momento basta con saber
que encriptar es
ocultar la informacin siguiendo un cdigo, y esteganografa es
ocultar la existencia de
un mensaje, ms no su contenido. Para los registros de auditora,
es altamente
recomendable habilitar el registro de logs, de los sistemas de
cmputo o de red que se
desean proteger. Los logs son las bitcoras de los sistemas en
donde se guarda la
informacin de determinados eventos, por ejemplo existen logs de
aplicaciones, de
sistema, de usuarios, etc. La confiabilidad existe cuando estas
u otras prcticas de
seguridad se han puesto en marcha y ayudan al administrador del
sistema informtico o
de comunicacin a contar con sistemas ms confiables.
3.1.2. Criptologa y esteganografa
La importancia de la criptologa se ilustra en el siguiente
ejemplo de aplicacin,
supongamos que dos pases en guerra envan mensajes entre sus
pases aliados con el
fin de transmitir un mensaje de ayuda, qu pasara si este mensaje
de ayuda fuera
interceptado por fuerzas enemigas? Y peor an que el mensaje
fuera fcilmente ledo por
el enemigo, bueno pues estos casos se observan en situaciones de
guerra, y por ello
muchos pases a quienes se interceptan los mensajes son vencidos,
porque el enemigo
tena informacin sobre l, informacin muy importante, o como se
dice actualmente,
informacin de seguridad. Este es uno de los mbitos de aplicacin
de la criptografa y la
esteganografa, ya que en este ejemplo, se hace necesario que los
mensajes que se
transmitan entre personas y/o pases, no sea leda por nadie ms,
slo por el legtimo
destinatario del mensaje.
-
Interconectividad de redes
Unidad 3. Seguridad de redes
Ciencias Exactas, Ingeniera y Tecnologa | Desarrollo de Software
9
La Criptologa es el estudio de los sistemas de comunicaciones
secretas, est constituida
por dos campos de estudio complementarias entre s (Sedgewick,
1992).
Criptografa. Es una tcnica utilizada para ocultar la informacin
de manera tal que un
usuario que no conozca las claves para desencriptarla no pueda
acceder a la informacin
(Garca y Alegre, 2011). Este tema se revisar ms adelante.
Criptoanlisis. Es el estudio de las formas de transgredir los
sistemas de comunicacin
secretas (Sedgewick, 1992).
Por su parte la esteganografa es la ciencia que estudia los
procedimientos encaminados
a ocultar la existencia de un mensaje, en lugar de ocultar su
contenido (MMC, 2007). La
palabra esteganografa significa escritura oculta (Ramos y
Ribagorda, 2004, pg.418).
Con base en las definiciones anteriores, es posible decir que
mientras la Criptologa a
travs de la criptografa se encarga de evitar que una persona
diferente al destinatario
original del mensaje pueda leer un mensaje, esto lo hace a travs
de algoritmos de
encriptacin o algoritmos de cifrado, los cuales se revisarn ms
adelante. Mientras que
la esteganografa, no pretende encriptar el mensaje, es decir
ocultar el contenido de la
informacin, sino ms bien oculta ms bien oculta el mensaje o la
informacin.
La esteganografa consiste en ocultar la existencia de informacin
en un canal de
transmisin, la criptografa, por su parte cifra o transforma un
mensaje en otro, se sabe
que hay un mensaje, de esta manera la esteganografa, jams
transforma el mensaje
original, solo lo mantiene oculto (Ramos y Ribagorda, 2004). Por
mensaje debe
entenderse en el mbito de la aplicacin de la Criptologa y
esteganografa, cualquier dato
que viaja a travs de las redes, por ejemplo un usuario y un
password tambin son
mensajes por que viajan a travs de una red.
Y ahora te preguntars y de qu manera se oculta un mensaje? Con
el auge de la
informtica el mecanismo estenogrfico ms extendido est basado en
imgenes digitales
esto dada su excelente capacidad para ocultar informacin, se
sustituye el bit menos
significativo de cada byte por los bits del mensaje que se desea
ocultar. Y dado que casi
todos los estndares grficos tienen una mayor graduacin de
colores de los que el ojo
humano puede apreciar, la imagen no cambiar de apariencia de
forma notable. Esta no
es la nica manera de esconder un mensaje, se puede esconder en
archivos de video, de
msica o hasta en el mismo formato de texto (Moliner, 2005).
De una manera muy sencilla se puede ocultar un mensaje, se
expondr un ejemplo a
continuacin:
-
Interconectividad de redes
Unidad 3. Seguridad de redes
Ciencias Exactas, Ingeniera y Tecnologa | Desarrollo de Software
10
Si se cuenta con un archivo de texto en una computadora y en l
se tiene, por ejemplo
una agenda telefnica, se puede decir de esto que el contenido
del archivo de texto es el
mensaje ahora bien, si se observa la extensin del archivo de
texto seguramente ser de
extensin .txt, con lo que se le indica al sistema operativo que
efectivamente se trata de
un archivo de texto y por lo tanto cuando se realice la accin
para abrir el archivo, el
sistema operativo intentar abrir este archivo con un editor de
texto. El sistema operativo
asocia cada extensin de archivo con un programa en especial, de
manera tal que cuando
el usuario haga doble clic sobre un archivo este se abre con el
visor predeterminado para
ello. Ahora reflexiona en qu pasara si un archivo con extensin
.txt se cambia a una
extensin .jpg (extensin muy usada en las fotos que se toman con
cmaras digitales)?,
pues al intentar abrir el archivo y ver el contenido, el
programa mostrar un mensaje de
que el archivo est corrupto, y realmente no es as, simplemente
que el programa visor de
fotos est intentando abrir un archivo de imagen, pero como se le
indica que se trata de
un archivo de texto, no puede abrir el archivo y enva ese
error.
De esta manera, muy sencilla, es como se puede observar que se
est ocultando un
archivo, ms no su contenido, porque aunque el archivo sea
visible como un archivo ms,
no se puede acceder a su informacin, y no es porque la
informacin se haya
transformado, de hecho la informacin no se toc, simplemente se
modific la extensin
del archivo, y al haberse modificado la extensin del archivo, el
sistema operativo no es
capaz de abrir el mensaje, de esta manera, queda invisible para
aquellos que no
conozcan la extensin o con qu programa deben abrir el archivo a
fin de leerlo.
Actualmente existen diversos software que permiten esconder
archivos dentro de otros,
por ejemplo, open puff, que permite esto mediante una serie de
pasos muy sencillos. Hay
que agregar un password para poder desocultar el archivo que se
pretende esconder,
incluso existen unos programas que piden dos tres passwords ms
para aadirle ms
seguridad, se selecciona el archivo que se desea esconder, que
podra ser un archivo de
extensin txt, o de texto, despus se debe de seleccionar el
archivo en donde se
esconder el archivo de texto, podra ser un archivo de mp3 o de
msica, de esta manera,
se podran ocultar datos confidenciales, por ejemplo del banco,
en un archivo de mp3, y
de esta manera nadie sospechara que en una cancin de mp3 que se
puede reproducir
con el celular, se encuentren datos de acceso del banco.
Como puedes observar este subtema est relacionado con el
objetivo tercero de la
seguridad: confidencialidad de datos. A travs de la encriptacin
u ocultacin del
contenido del mensaje, o a travs de la ocultacin del mensaje en
s; se pueden enviar
mensajes a travs de una red manteniendo la confidencialidad del
mismo. Como se
observ la esteganografa es el arte de ocultar un mensaje y la
encriptacin es el arte de
esconder el contenido del mensaje, es decir, mientras en la
esteganografa esconde el
mensaje por completo y no se percibe o no se sabe de la
existencia del mensaje, la
encriptacin permite ver el mensaje, pero no su contenido.
-
Interconectividad de redes
Unidad 3. Seguridad de redes
Ciencias Exactas, Ingeniera y Tecnologa | Desarrollo de Software
11
A continuacin se exponen ms mecanismos de seguridad que aportan
a lograr los
objetivos de la seguridad de la informacin.
3.2. Mecanismos de seguridad
Los mecanismos de seguridad, son una serie de recomendaciones
que hace la Unin
Internacional de Telecomunicaciones ITU (por sus siglas en ingls
de Internacional
Telecommunication Union) a travs de la recomendacin x800 (UIT,
2008). Estas
recomendaciones se dividen en dos partes, por un lado aquellas
recomendaciones que se
implementan en una capa especfica de acuerdo al modelo de
referencia OSI, y las otras
que no son especficas de ninguna capa, se puede decir que estas
ltimas son
mecanismos generales de seguridad (Stallings, 2004).
Los mecanismos especficos de seguridad, o mecanismos que se
implementan en una
capa especfica de acuerdo al modelo de referencia OSI, son
(Stallings, 2004):
Cifrado
Firma digital
Control de acceso
Integridad de los datos
Intercambio de autentificacin
Relleno del trafico
Control de enrutamiento
SSL
Y los mecanismos generales, es decir, aquellos que no dependen
de una capa especfica,
segn el modelo de referencia OSI, de esta manera los siguientes
mecanismos no
dependen de alguna de las 7 Capas del modelo OSI en especial,
sino que pueden
depender de dos o ms de las capas del mismo modelo:
Funcionalidad fiable
Etiquetas de seguridad
Deteccin de acciones
Informe para la auditora de seguridad
Recuperacin de la seguridad.
A continuacin se exponen los mecanismos de seguridad que se
implementan en las
capas del modelo OSI.
Cifrado o encriptacin. Se refiere al uso de algoritmos
matemticos para transformar
datos en una forma inteligible, la transformacin y su posterior
recuperacin de los datos
depende de un algoritmo (se ver a detalle ms adelante). El
cifrado lleva a cabo su
-
Interconectividad de redes
Unidad 3. Seguridad de redes
Ciencias Exactas, Ingeniera y Tecnologa | Desarrollo de Software
12
funcin en la capa de trasporte del modelo OSI, y lo hace en esta
capa, ya que la capa
que le sigue es la capa de aplicacin y es en esta capa en donde
el mensaje debe estar
listo para su uso. El cifrado o la encriptacin es cuando se
modifica el mensaje original
por otro que no pueda ser ledo fcilmente. Existe por ejemplo un
mtodo de encriptacin
muy comn para sitios web que en programacin de pginas web se usa
como una
funcin, se llama md5, no entraremos en detalle con la
funcionalidad de ste mtodo,
pero por ejemplo si se desea encriptar una palabra, por ejemplo
Hola, se escribira as:
f688ae26e9cfa3ba6235477831d5122e, existen conversores en
internet de textos planos o
sin cifrar a texto cifrado en md5, y como se puede observar el
texto en md5 de la palabra
Hola ya no tiene el mismo sentido que la palabra Hola, por ello
se dice que el cifrado
transforma los datos y en este caso el texto a una forma
ininteligible.
Firma digital. Son datos aadidos a los datos o a la
transformacin cifrada de estos
datos, que permite verificar al usuario la fuente y la
integridad de los datos (se ver a
detalle ms adelante). Al igual que el cifrado la firma digital
lleva a cabo sus funciones en
la capa de transporte. Podemos pensar en la firma digital como
una serie de datos que
aaden al mensaje original, de tal manera que esos datos que se
aaden deben de
corresponder con los que podamos tener almacenados, es lo mismo
que una firma que
usamos cotidianamente para expresar nuestro consentimiento a un
contrato, slo que
esta firma es totalmente digital.
Control de acceso. Es una serie de mecanismos que permiten dar o
quitar derechos de
acceso a recursos informticos, un ejemplo de estos son los roles
o tipos de permisos
para administrar ciertas aplicaciones, un ejemplo de estos
roles, son administracin y
usuario normal. Estos permisos se dan comnmente en la capa de
aplicacin, pues es en
la aplicacin en donde comnmente se definen los roles de
usuario.
El control de acceso son los permisos que se proporcionan a un
determinado usuario para
hacer o no hacer alguna actividad, por ejemplo, hablemos del
portal que utilizas para
realizar tus actividades acadmicas, en l t tienes permisos de
alumno, puedes leer el
contenido de las asignaturas, subir tus actividades, etctera. El
facilitador (a), tiene
permisos de editar tus calificaciones, de acuerdo a las rbricas
establecidas, existe
adems un usuario encargado de integrar los contenidos en el
sitio donde accedes a ellos
para que puedas leerlos como ahora ests leyendo este. El control
de acceso, permite
establecer y definir roles especficos a usuarios especficos.
Integridad de los datos. Es un mecanismo diseado para comprobar
la integridad de
los datos, la integridad de datos es lo opuesto a la corrupcin
de datos. En algunos casos
esta integridad de datos puede ser verificada mediante algn hash
de caracteres, es decir
una cadena de datos, cuando se realiza mediante software la
comprobacin de un hash,
se obtiene una cadena de datos y esta debe ser comparada con la
original, esta original
suele venir en la pgina en donde se descarg el recurso. La
integridad de los datos se
-
Interconectividad de redes
Unidad 3. Seguridad de redes
Ciencias Exactas, Ingeniera y Tecnologa | Desarrollo de Software
13
da en casi todas las capas del modelo OSI, como recordars de la
asignatura
Fundamentos de redes, en las capas dos a la siete exista un
control de errores que
permita que se checaran los PDU enviados entre capas a fin de
evitar la corrupcin de
errores.
Intercambio de autentificacin. Es un mecanismo diseado para
comprobar la
identidad de algo o alguien, mediante el intercambio de
informacin, esto es por ejemplo
un caso avanzado de login, es decir que adems de pedir un
sistema un
usuario/password, podra requerir de algn dato adicional, una
pregunta extra, el uso de
alguna tecnologa biomtrica, etc. Esta autentificacin se lleva a
cabo en la capa de
aplicacin.
El relleno de trfico. Se refiere a la insercin de bits en
espacios en un flujo de envo de
datos, por ejemplo, en cada espacio entre dato y dato que se
enva en un flujo de datos
(algo similar a los espacios que utilizamos en la escritura
humana), se adicionan bits, a fin
de dificultar su lectura por personas ajenas al mensaje, un
ejemplo que ilustra este
mecanismo es cuando se escriben entre cada palabra letras de
relleno, de manera tal que
el mensaje original no podr ser ledo. Este relleno de trfico se
lleva a cabo en la capa
fsica, ya que se envan bits de ms a fin de que parezcan
datos.
El control de enrutamiento, se refiere a tomar el control de las
rutas por las que
deberan pasar los paquetes, recordemos que los routers son los
dispositivos capaces de
enrutar la informacin, es decir, ellos decidirn qu camino debe
tomar un paquete de
datos de acuerdo al destino, el control de enrutamiento se
refiere a la capacidad de poder
cambiar esa ruta destino, a esto se le conoce en el mundo de las
redes, como ruteo
esttico, ya que el usuario puede definir qu rutas debe tomar el
paquete y no dejar que el
ruteador decida por l. Este tipo de ruteo se lleva a cabo desde
la capa 3, red.
Capa de conexin de puerta segura SSL (por sus siglas en ingls de
Secure Socket
Layer). Son una serie de herramientas criptogrficas que permiten
comunicaciones
seguras, un ejemplo de SSL son las conexiones de red VPN que
trabajan con SSL, de
manera tal que permiten encriptar el envo y la recepcin de
informacin, SSL trabaja en
dos capas del modelo OSI, una es a nivel de aplicacin como por
ejemplo con el
protocolo HTTP, y con la capa de transporte (protocolo TCP). Un
ejemplo del SSL
aplicado, es el protocolo HTTPS que es la implementacin segura
de HTTP, segura por
que usa SSL y de esta manera el contenido de HTTP viaja
encriptado a travs de una red.
En cuanto a los mecanismos generales, es decir, los que no
dependen de una capa en
especfica, se explican a continuacin:
Funcionalidad fiable. Se refiere a la correcta aplicacin de
polticas de seguridad,
estas siempre dependern de la empresa o de la organizacin, por
ejemplo puede ser
-
Interconectividad de redes
Unidad 3. Seguridad de redes
Ciencias Exactas, Ingeniera y Tecnologa | Desarrollo de Software
14
parte de una poltica de seguridad la aplicacin de parches de
sistema operativo (en
sistemas operativos Windows se les conoce como actualizaciones),
y estos parches
debern ser instalados solo en horarios nocturnos para evitar una
interrupcin en el
servicio (que presta el equipo al que se le aplicarn los parches
de seguridad).
Etiquetas de seguridad. Son marcas que designan atributos a un
recurso, podra ser,
por ejemplo que mediante estas etiquetas se puedan distinguir
rpidamente equipos cuyo
funcionamiento es ms crtico (importante) que otros.
Deteccin de acciones. Se refiere a la capacidad de una
organizacin de monitorear las
acciones de lo que pasa en los sistemas pero a nivel de red, en
estos casos, por ejemplo
es comn el uso de equipos que controlan o vigilan lo que sucede
en una red, es decir, se
coloca un equipo que recoja las bitcoras de ciertas acciones de
los dems equipos en
una red.
Informe para la auditora de seguridad. Se refiere a la
recopilacin de datos de una
revisin y exmenes de sistema, que se llevan a cabo de manera
local, comnmente, es
como una bitcora de aplicacin o de sistema operativo.
Recuperacin de seguridad. Se refiere a las peticiones o
mecanismos, automatizados
o no de las acciones que logran recuperar un sistema, por
ejemplo un respaldo de una
base de datos.
Como puedes observar, todos estos mecanismos de seguridad,
permitirn a una
organizacin estar segura frente al trfico de red que circula en
torno a una organizacin,
ya que la correcta aplicacin de los mecanismos de seguridad
vistos anteriormente
permitir que toda la informacin que entre o salga de la
organizacin no est
comprometida con fallas de seguridad, este aseguramiento permite
tener un control de la
informacin que entra y que sale de una organizacin y permite
saber con certeza a quin
se le envi y quin la recibi. Un mecanismo que permite tener
certeza de quin enva la
informacin son las firmas y los certificados digitales, tema que
se desarrollar a
continuacin.
-
Interconectividad de redes
Unidad 3. Seguridad de redes
Ciencias Exactas, Ingeniera y Tecnologa | Desarrollo de Software
15
Actividad 1. Tecnologas de encriptacin
El propsito de la actividad es que distingas las diferentes
maneras de ocultar la informacin, ello te ayudar a identificar si
se trata de esteganografa o de encriptacin de informacin. Para ello
debers seguir estos pasos:
1. Identifica casos que impliquen el ocultamiento de informacin
mediante
mtodos criptogrficos o estenogrficos.
2. Observa las diferencias de cada caso.
3. Organiza la informacin en un organizador que te permita
escribir exponer diferencias y similitudes entre los ejemplos
identificados.
4. Guarda la actividad con el nombre DIRE_U3_A1_XXYZ. Sustituye
las XX por
las dos primeras letras de tu primer nombre, la Y por tu primer
apellido y la Z por tu segundo apellido.
5. Enva el archivo a tu Facilitador(a) para recibir
retroalimentacin mediante la
herramienta Base de datos.
6. Comenta la actividad de mnimo, uno de tus compaeros, respecto
a su ejemplo, identificando semejanzas y diferencias entre tu
ejemplo y el suyo. Recuerda que tus comentarios no deben ser
agresivos sino constructivos.
*No olvides consultar los Criterios de evaluacin de actividades
de la unidad 3 para que los consideres en el desarrollo de tu
actividad.
3.2.1. Firmas y certificados digitales
Las firmas y los certificados digitales permiten garantizar que
el software es genuino, o
que una comunicacin entre computadoras que se da entre las
computadoras es genuino,
es decir, si por ejemplo visitamos el portal de un banco,
debemos revisar con el
navegador de internet que estemos utilizando que su certificado
sea vlido, ya que de no
serlo, estaramos en el portal de alguien ms, pero no de nuestro
banco, es decir,
podramos ser vctimas de algn tipo de fraude. Para el caso de una
firma, esta se aade
en el mensaje que se enva, o en el software que se tiene, a
veces es posible revisar esta
firma mediante una revisin a la firma que se puede encontrar
publicada en algn sitio.
Para el caso de un certificado digital, existen asociaciones
encargadas de emitir
certificados vlidos a las diferentes empresas de internet
(Diccionarios Oxford-
Complutense, 2002) este certificado se almacena en un equipo de
cmputo de manera tal
que cada que se ingrese desde este equipo de cmputo a un portal
web de una empresa
con este certificado, ste validar que sea genuino y en caso de
no serlo puede enviar
-
Interconectividad de redes
Unidad 3. Seguridad de redes
Ciencias Exactas, Ingeniera y Tecnologa | Desarrollo de Software
16
una notificacin en pantalla de que no lo es, en el mbito de las
redes ambos casos
ayudan en asegurar que la interconectividad que realiza entre el
equipo de cmputo con
el certificado y el sitio web al que se accesa sea el sitio web
que dice ser y de esta
manera se evita caer en fraudes.
Como se observ la firma digital forma parte de los mecanismos de
seguridad revisados
en el tema anterior, pero qu es una firma digital y para qu
sirve?
Se conoce como firma electrnica a un conjunto de datos que se
adjuntan a un mensaje
electrnico, permite al receptor de un mensaje verificar la
autenticidad del emisor de la
informacin as como verificar que dicha informacin no ha sido
modificada desde su
generacin. As, la firma electrnica ofrece el soporte para la
autenticacin e integridad de
los datos (Biblioteca Nacional de Espaa, 2012).
Se ilustra como ejemplo un uso de la firma digital en Mxico como
las que expide el
Servicio de Administracin Tributaria SAT, para la declaracin de
impuestos, con esta
herramienta el (SAT) revisa que la declaracin lleve la firma, y
ello garantiza al SAT que el
contribuyente est enviando sus datos correspondientes a la
declaracin de impuestos,
adems, esta firma garantiza al SAT que los datos que enve el
contribuyente, sean
verificados y que realmente se trata del contribuyente que los
enva, adems de que
garantiza que los datos no han sido alterados, es decir, que el
archivo resultante de una
declaracin de impuestos no haya sido modificado en el camino
porque puede suceder
que el archivo resultante de la declaracin de impuestos enviado
por correo tradicional,
sea interceptado y cambie la declaracin por otra que no
corresponde. La firma
electrnica como tal, es la versin electrnica de una rbrica que
comnmente se hace a
mano, dicha rbrica permite conocer que los firmantes estn de
acuerdo con algo, por
ejemplo un contrato, en este caso la firma electrnica es el
medio electrnico que permite
identificarse como personas fsicas o morales ante cualquier
instancia, por ejemplo un
banco, una aseguradora, etc.
Los certificados digitales son documentos electrnicos que
proporciona una autoridad de
confianza o de certificacin. Las partes principales de los
certificados digitales son el
propietario del certificado o nombre distinguido del sujeto, su
clave pblica, la presencia
de la institucin que lo expide a travs de una firma digital y la
fecha de validez (CERT,
2012). Un certificado digital sirve tambin para identificar a un
titular.
Y hasta este punto te preguntars y cul es la diferencia entre un
certificado digital y la
firma electrnica? Pues la diferencia radica en que el
certificado electrnico es el
documento electrnico que identifica a una persona. El
certificado digital o electrnico
es el equivalente electrnico a una cdula de identificacin, en el
caso de Mxico, es la
credencial de elector. Cuando decimos que es equivalente nos
referimos a que no es la
cdula de identificacin fsica que tenemos en s, podra ser ms bien
un archivo de texto
-
Interconectividad de redes
Unidad 3. Seguridad de redes
Ciencias Exactas, Ingeniera y Tecnologa | Desarrollo de Software
17
encriptado con nuestros datos personales.
La firma electrnica es un dato que es muy parecido a la firma
autgrafa, al igual que la
firma autgrafa la firma digital sirve para dar fe de que estamos
de acuerdo con algo. La
firma electrnica depende del certificado digital, y depende
porque en el certificado digital
se encuentran las credenciales que identifican a los ciudadanos
como entidad o como
persona, es de manera anloga similar al caso de la credencial de
elector, cuando se
requiere realizar un trmite, por ejemplo, un trmite bancario o
cuando se solicita empleo
generalmente uno de los requisitos es mostrar, la credencial de
elector como
identificacin oficial ante alguna institucin, y para demostrar
que se est de acuerdo con
un contrato, en ocasiones solicitan firmar de manera autgrafa
algunos documentos, y
para que tenga validez esta firma, debe ser exactamente igual o
muy parecida a la que se
encuentra en la credencial de elector.
Los certificados y las firmas digitales ayudan a dar la
confiabilidad y la seguridad de que
una entidad o una persona es quien dice ser. Esta seguridad y
confiabilidad radica en la
fortaleza que tienen estos elementos de identificacin
electrnicos, la fortaleza de estos
elementos se dan por tcnicas criptogrficas que permiten cifrar
la informacin y adems
ayudan a verificar que el contenido del certificado no haya sido
adulterado, por lo cual, se
puede intuir que este tipo de identificacin electrnico es mucho
ms confiable que los
mtodos tradicionales. Y que son las tcnicas criptogrficas? Esto
se expondr en el
tema que sigue a continuacin.
3.2.2 Criptografa
En el tema 3.2.1 Criptologa y esteganografa se mencion que la
criptografa es parte de
la criptologa, y que la criptologa es el estudio de las
comunicaciones secretas, y que esta
se divide en dos campos de estudio que se complementan entre
s:
La criptografa: es una tcnica que se usa para ocultar la
informacin, es decir
encriptarla (Rajsbaum's, 2005).
Criptoanlisis: es el estudio que analiza los mecanismos que
permiten violar los
sistemas de comunicacin secretas, o desencriptar la informacin,
sin conocer el
password o contrasea para acceder a ella (Rajsbaum's, 2005).
La raz etimolgica de criptografa proviene del griego kryptos,
ocultar, y de grafos,
escribir, que significa escritura oculta. Son las tcnicas
utilizadas para cifrar y descifrar
informacin utilizando tcnicas matemticas que hacen posible el
intercambio de
mensajes de manera que slo puedan ser ledos por las personas a
quienes van dirigidos
(Rajsbaum's, 2005).
-
Interconectividad de redes
Unidad 3. Seguridad de redes
Ciencias Exactas, Ingeniera y Tecnologa | Desarrollo de Software
18
Existen dos grandes tipos de cifrado, por un lado se tiene el
cifrado por bloques y por el
otro el cifrado por flujo (Pacheco y Jara, 2012).
Tipos de cifrado moderno (Pacheco y Jara, 2012)
En la imagen anterior se observan los dos grandes tipos de
cifrado, se observa que el
cifrado de flujo es usado por la telefona mvil o el WiFi, este
cifrado en Wifi, corresponde
a la clave de un Access point de internet, por ejemplo en el
caso de los Infinitum, se sabe
que para poder acceder a internet usa una clave o password, esta
clave es el cifrado de
flujo que permite encriptar los datos que se envan y reciben por
el Access point. En el
caso del cifrado por bloques, se observan dos tipos de cifrado
los cuales son:
a) Cifrado simtrico o de clave secreta.
b) Cifrado asimtrico o de clave pblica.
El cifrado simtrico o de clave secreta, como su nombre lo indica
es aquel que tiene
una clave secreta y una vez que se conoce dicha clave se podr
acceder al mensaje
(Rajsbaum's, 2005). Se le dice que es de cifrado local y de
sesiones, ya que este tipo de
encriptacin es muy usado para de manera local compartir archivos
que estn
encriptados, por ejemplo, existen programas que permiten guardar
informacin de texto
en un archivo y que para poder abrir ese archivo se necesita el
password de ese mismo
-
Interconectividad de redes
Unidad 3. Seguridad de redes
Ciencias Exactas, Ingeniera y Tecnologa | Desarrollo de Software
19
archivo, un ejemplo de estos programas es KeePass, este permite
generar un archivo en
donde podemos guardar muchas contraseas de diversas ndoles, como
por ejemplo de
acceso a sitios web, de correo electrnico, bancarias, etc, y
permite recuperar las
contraseas haciendo uso slo de una contrasea, con la cual una
vez ingresada de
manera correcta permite ver el contenido del archivo, es decir,
las contraseas guardadas
en el archivo.
Ejemplo de cifrado simtrico (Rajsbaum's, 2005, pg. 4)
En la imagen se puede observar cmo el texto claro indicado como
Entrada de texto
claro (texto sin encriptar) entra o pasa por un algoritmo de
cifrado, un algoritmo de cifrado
es un conjunto de pasos o instrucciones que cifrar o encriptar
el texto, por ejemplo el
algoritmo AES, o el algoritmo DES, etctera (no entraremos en
detalle de lo que hace
cada algoritmo, slo se pretende dar una idea en general de qu es
lo que pasa con estos
algoritmos). La diferencia bsica entre AES y DES, es que DES
(Data Encryption
Standard o Estndar de Encriptacin de Datos por sus siglas en
ingls usa una llave de
encriptacin de 56 bits, la llave de encriptacin es el password
que se usa para
desencriptar la informacin. AES (Advanced Encryption Standard o
Estndar de
Encriptacin Estndard) por su parte puede usar llaves de
encriptacin de 128 bits, 192
bits 256 bits. Te preguntars de qu sirve la llave de
encriptacin? Pues mientras ms
grande sea, ms difcil es de descubrir mediante un ataque de
fuerza bruta. Un ataque de
fuerza bruta es aquel en el que se intenta descubrir un
password, para ello existen
mecanismos en los que a travs de diferentes combinaciones de
letras y nmeros se
pretende adivinar el password. De esta manera, el password ser
ms difcil de adivinar,
cuando este sea de mayor longitud.
Una vez cifrado el mensaje se transmite hacia el destino, en
donde el destinatario, para
leer el mensaje debe conocer la clave secreta o datos de acceso,
y una vez que ingresa
esta clave en el mensaje cifrado, el mensaje ser descifrado y
podr ser ledo. Para que
quede esto ms claro, considrese el siguiente ejemplo:
-
Interconectividad de redes
Unidad 3. Seguridad de redes
Ciencias Exactas, Ingeniera y Tecnologa | Desarrollo de Software
20
Se utilizar un sistema que se denomina sustitucin monoalfabtica,
que se expone a
continuacin:
Texto simple: ABCDEFGHIJKLMNOPQRSTUVWXYZ
Texto cifrado: QWERTYUIOPASDFGHJKLZXCVBNM
Si se desea cifrar el texto HOLA, se obtendra el texto cifrado
IHSQ, cmo se realiza el
procedimiento?, se explica a continuacin:
La H es la letra 8 del alfabeto Entonces se toma la letra 8 del
texto cifrado I
La O es la letra 16 del alfabeto Entonces se toma la letra 16
del texto cifrado H
La L es la letra 12 del alfabeto Entonces se toma la letra 12
del texto cifrado S
La A es la letra 1 del alfabeto Entonces se toma la letra 1 del
texto cifrado Q
En el caso de este cifrado simtrico, es muy importante que tanto
emisor como receptor
conozcan la clave, esto supone un problema, ya que podra ser
necesario hacer que se
renan o se llamen va telefnica emisor y receptor, para resolver
este problema, se usa
el cifrado asimtrico.
El cifrado asimtrico o de clave pblica, es aquel en el que no se
usa una sola clave
para encriptar o desencriptar (cifrar o descifrar) un mensaje,
sino que se usan ms de una
clave. Este cifrado tiene la caracterstica de que usa una clave
para cifrar y otra para
descifrar, y en este caso, comnmente, la clave de cifrado es
pblica y la de descifrado es
privada. La clave de cifrado se dice que es pblica, porque es la
que se debe de
compartir con quienes se desee o se requiera compartir
informacin, y la clave privada,
es aquella que solo el receptor conoce.
-
Interconectividad de redes
Unidad 3. Seguridad de redes
Ciencias Exactas, Ingeniera y Tecnologa | Desarrollo de Software
21
Ejemplo de cifrado asimtrico (Rajsbaum's, 2005, pg 27)
En este esquema se puede apreciar que el texto claro o sin
cifrar entra al algoritmo de
cifrado, y se encripta con la clave pblica de Benito y enva el
texto cifrado a Alicia, Alicia
toma el mensaje y lo desencripta con su clave privada y una vez
que lo hace podr ver el
mensaje que le envi Benito. Para que esto sea posible existe un
concepto llamado
llavero, en el llavero de Benito, que es pblico, se encuentra la
clave privada de Alicia, de
manera cifrada, y como se puede ver en el esquema, cuenta con ms
llaves, pero como el
mensaje es de Benito para Alicia, el cifrado se hace exclusivo
para la llave de Alicia, por lo
que Alicia es la nica que puede abrir y leer el mensaje. La
desventaja de este tipo de
cifrado es que utiliza ms poder de cmputo, es decir recursos de
memoria RAM y CPU
en una computadora, que el cifrado simtrico, esto por lo
complejo que se vuelve un
mensaje encriptado, la complejidad radica en su algoritmo RSA,
que es de los ms
seguros hasta el momento, pero que por cuestiones de enfocarnos
al tema de
criptografa, no tocaremos, slo se hablar explicar brevemente en
que consiste. La
seguridad del algoritmo RSA (llamado as en honor a sus
diseadores: Rivest, Shamir y
Adleman) radica en la dificultad de la factorizacin de nmeros
grandes, del orden de 100
dgitos. Recordando un nmero primo es aquel nmero que slo es
divisible entre uno y l
mismo. Y factorizarlo es decomponerlo en los nmeros que
multiplicados entre s nos den
como resultado el nmero original (Moliner, 2005).
Pudiste darte cuenta de un concepto llamado, llavero, que es un
archivo que sirve como
almacn de llaves pblicas de las personas con las cuales queremos
intercambiar
mensajes (Rohaut, 2012).
-
Interconectividad de redes
Unidad 3. Seguridad de redes
Ciencias Exactas, Ingeniera y Tecnologa | Desarrollo de Software
22
Existen algunas instrucciones que ayudan a la hora de programar
para usar los mtodos
aqu descritos, todo depender del lenguaje de programacin que se
est usando, as por
ejemplo en el lenguaje de programacin PHP (en la asignatura
Programacin Web 1, se
explicar a detalle en qu consiste este lenguaje), existen las
extensiones criptogrficas
con las cuales se pueden encriptar y desencriptar mensajes y
hacer verificaciones de
certificados digitales.
Como se puede observar cada tipo de cifrado de los que se
revisaron tiene sus ventajas y
sus desventajas, as pues, la ventaja del cifrado simtrico es que
es sencillo de descifrar,
por lo que usa muy poco poder de cmputo, pero no muy seguro en
comparacin con el
cifrado asimtrico, el cual, ser muy seguro, pero gasta mucho
poder de cmputo, es
importante que consideres las formas de cifrado para que como
futuro ingeniero de
software puedas decidir qu tipo de encripcin se puede adecuar a
tus desarrollos,
aunque tambin es importante mencionar que dependiendo del
mensaje, datos o
informacin a enviar puedes evaluar qu tipo de encripcin
utilizar, ya que, depender de
qu tanto te conviene mantener oculto un mensaje, podra suceder
que enves un
mensaje cuyo contenido tiene relevancia para un periodo
determinado de tiempo, por
ejemplo: una invitacin a algn evento cuyo mensaje una hora
despus de enviarlo, ya no
sea relevante, para ello se podran utilizar cifrados simples que
si bien se pueden romper
o deducir con cierta facilidad, para cuando un intruso descifre
el mensaje este ya no ser
relevante. El tipo de encriptacin a utilizar depender de la
relevancia y la importancia del
mensaje, por ejemplo, mientras ms relevancia e importancia
tenga, ms fuerte deber
ser el nivel de encriptacin, ahora la pregunta es, cmo saber si
un mensaje es o no
relevante e importante? esto es, entre otras cosas, el campo de
estudio de algo que se le
denomina polticas de seguridad y que se revisar a
continuacin.
Actividad 2. Tcnicas de seguridad
El propsito de la actividad es que identifiques las tcnicas
criptogrficas que te permitan ofrecer seguridad a los datos que
viajan en una red. Para ello:
1. Identifica la aplicacin de tcnicas criptogrficas en una red.
Explica cul le funciona mejor y por qu?
2. Identifica en esa misma red qu mejoras propondras para
ofrecer una seguridad mayor a esa red, qu tcnicas criptogrficas
utilizaras?
3. Organiza la informacin en una tabla en donde expongas el
antes y el despus de las propuestas que ests haciendo.
4. Redacta y relaciona cada rubro o mejora con cada uno de los
objetivos
principales de la seguridad.
-
Interconectividad de redes
Unidad 3. Seguridad de redes
Ciencias Exactas, Ingeniera y Tecnologa | Desarrollo de Software
23
5. Guarda la actividad con el nombre DIRE_U3_A2_XXYZ. Sustituye
las XX por
las dos primeras letras de tu primer nombre, la Y por tu primer
apellido y la Z por tu segundo apellido.
6. Enva el archivo a tu Facilitador(a) para recibir
retroalimentacin mediante la herramienta Tareas.
*No olvides consultar los Criterios de evaluacin de actividades
de la unidad 3 para que los consideres en el desarrollo de tu
actividad
3.2.3. Polticas de seguridad
Las polticas de seguridad son normas y procedimientos que crea y
que rige a una
organizacin, las polticas de seguridad de una empresa siempre
sern diferentes a las de
otras empresas, esto dada la heterogeneidad de cada organizacin,
o sea, cada empresa
tendr diferentes sistemas informticos, diferentes protocolos de
uso, diferente
interconectividad de sus equipos a la red, diferentes
administradores de sistemas,
diferentes sistemas operativos en sus equipos de red y/o en sus
equipos de cmputo, por
ello las polticas de seguridad siempre sern propias de cada
empresa, aqu revisaremos
un concepto en general que nos dar una idea de cmo se hacen
estas polticas y para
qu sirven.
T como desarrollador de software debers tambin saber cmo se
hacen y se tratan las
polticas de seguridad, ya que seguramente algn desarrollo que te
soliciten en el mbito
laboral deber cumplir con alguna normativa, por ejemplo alguna
normativa puede ser el
uso de encriptacin de password bajo algn mtodo; otra normativa
podr ser que el
cdigo cumpla con ciertos estndares que pueden o no ser parte de
alguna ISO,
simplemente puede ser el estndar que usa en una organizacin, por
ejemplo el uso de
notas y comentarios en el software que vas desarrollando.
Las polticas de seguridad, recogen las directrices u objetivos
de una organizacin con
respecto a la seguridad de la informacin, estas forman parten de
su poltica general y
deben ser aprobadas por la direccin. Por ello las polticas de
seguridad pueden ser
diferentes entre diversas organizaciones o pueden poner ms
nfasis en unas polticas o
en otras, aunque tambin existen algunos estndares de polticas de
seguridad para
pases o para reas (gobierno, medicina, militar, etctera) y
algunos ms internacionales
son definidos por la ISO (Organizacin Internacional para la
estandarizacin) (Aguilera,
2010).
Una poltica de seguridad, segn Aguilera (2010), contendr todos
los elementos en
materia de seguridad de la informacin, generalmente englobados
en cinco grupos:
-
Interconectividad de redes
Unidad 3. Seguridad de redes
Ciencias Exactas, Ingeniera y Tecnologa | Desarrollo de Software
24
Identificar las necesidades de seguridad y los riesgos que
amenazan al sistema de
informacin, as como evaluar los impactos sobre un eventual
ataque.
Relacionar todas las medidas de seguridad que deben de
implementarse para
afrontar los riesgos de cada activo o grupo de activos.
Proporcionar una perspectiva general de las reglas y los
procedimientos que
deben aplicarse para afrontar los riesgos identificados en cada
uno de los
departamentos de la organizacin.
Detectar todas las vulnerabilidades del sistema de informacin y
controlar fallos
que se producen en los activos, incluidas las aplicaciones
instaladas.
Definir un plan de contingencias.
Para poder detectar vulnerabilidades en los sistemas de
informacin es necesario llevar a
cabo auditoras de sistemas, y por auditora de sistemas se
entiende que es un anlisis a
detalle de un sistema que permita conocer, descubrir,
identificar y corregir
vulnerabilidades en el o los sistemas de informacin. Un anlisis
de vulnerabilidades
deber tener, segn Aguilera (2010), como mnimo:
Descripcin y caractersticas de los activos (equipo de cmputo o
de red) y los
procesos analizados.
Anlisis de las relaciones y dependencias entre activos y/o
procesos de
informacin.
Relacin y evaluacin de las vulnerabilidades detectadas en cada
activo y/o
proceso de informacin.
Verificacin del cumplimiento de la normatividad de la seguridad
de la informacin
Propuesta de medidas preventivas o correctivas.
Para llevar a cabo la auditora es necesario que se cuente con
algunas herramientas para
llevar a cabo el anlisis, como manuales de los activos y
software para auditoras. Por
ejemplo, para el caso de las redes Inalmbricas, se puede hacer
uso de herramientas
como WiFi Slax, el cual nos ayuda a probar las vulnerabilidades
de las redes WiFi.
En caso de que sea vulnerada la seguridad de la organizacin, y
de hecho, antes de que
suceda, es muy importante que la organizacin cuente con un plan
de contingencias, en
cual se plasme que hacer, de esta manera la organizacin ser
capaz de responder y de
continuar con sus operaciones habituales. Un plan de
contingencias para que sea
exitoso, deber estar focalizado en los siguientes tres ejes,
segn Aguilera (2010):
Plan de respaldo. Es una medida preventiva en la cual se pide se
hagan respaldos
peridicos de la informacin y de la configuracin de los equipos
sean de cmputo o de
red, y que deber ser conservada en lugares seguros.
Plan de emergencia. Esta contempla qu medidas se deben de tomar
cuando se est
llevando a cabo una amenaza, por ejemplo, en el caso de un
ataque de denegacin de
servicio (DoS, Denial of Service, por sus siglas en ingls),
cerrar los puertos por los
-
Interconectividad de redes
Unidad 3. Seguridad de redes
Ciencias Exactas, Ingeniera y Tecnologa | Desarrollo de Software
25
que se est llevando a cabo un ataque o bien apagar el equipo que
sufre el ataque. Un
ataque de DoS, es aquel en el que se emiten muchas peticiones a
un servidor, por
ejemplo, se puede llenar un servidor web de peticiones a fin de
hacer que el equipo
sea incapaz de responder las peticiones web.
Plan de recuperacin. Esto tiene que ver con las medidas que se
van a aplicar
despus de un desastre, con ello se evala el dao y se hace lo
posible para regresar
a la operacin normal el equipo que fue atacado.
Hasta este punto te preguntars, y cmo puedo hacer una red
segura? Pues bien, lo
primero es saber cules son los elementos que conforman a la red
que se pretende
asegurar, es decir, considerar los siguientes
planteamientos:
Con qu dispositivos de red se cuenta? Es importante conocer qu
dispositivos de
red hay para saber cmo se conforma la red de manera topolgica.
Conocer la
topologa de la red permite conocer la manera en la que se
conectan fsicamente
todos los equipos en la red. Y as se podra evaluar si la
distribucin fsica de la red es
ptima o si se propone otra distribucin, as como tambin saber en
qu lugar o
lugares de la red se pueden colocar equipos de seguridad de la
red.
Con qu tipos de servidores se cuenta y cules son sus sistemas
operativos?
Saber qu servidores se tienen en la organizacin, permitir por un
lado saber los
servicios que se brindan en esa organizacin mediante los
servidores, y saber el
sistema operativo de esos servidores permitir definir una
poltica de seguridad
adecuada al equipo que se trate, por ejemplo, para el caso de
contar con equipos con
cierto sistema operativo, se deber crear un dominio en la red,
de manera tal que ese
dominio se encargue de administrar las actualizaciones de
seguridad de cada uno de
los servidores, cuando se estn conociendo los servidores de la
organizacin es muy
importante conocer qu puertos usan para poder brindar los
servicios para los
cuales estn destinados, por ejemplo para un servidor de pginas
web, el puerto que
comnmente est asociado a este servicio es el 80, si se tratase
de un servidor de
base de datos MySql el puerto por default que est asociado a
este es el 3306. Se
puede buscar la informacin de puertos asociados a cada servicio
en internet, aunque
es importante mencionar que a veces estos puertos pueden ser
fijados por la persona
que instala el servicio en un servidor, de esta manera se podra
tener un servidor de
pginas web que no use el puerto 80, sino el 90, este cambio no
obedece a nada ms
que un cambio en la configuracin original de la instalacin de un
servicio.
Revisar si la red de la organizacin est segmentada (es decir,
que existan
subredes) y si est segmentada saber cuntos segmentos de red
conforman a la
red? Saber si en la organizacin existe ms de un segmento de red,
permite tener una
visin ms general de toda la red de la organizacin, y de esta
manera conocer las
-
Interconectividad de redes
Unidad 3. Seguridad de redes
Ciencias Exactas, Ingeniera y Tecnologa | Desarrollo de Software
26
dimensiones reales de la red. Tambin permite conocer las causas
por las que la red
est segmentada, podra tratarse de una segmentacin por tipo de
departamento, o
por importancia de equipo de cmputo, por ejemplo: servidores y
usuarios.
Es necesario investigar si existe algn tipo de infraestructura
de red que permita
asegurar la red. Saber si existe una infraestructura de red que
permita asegurar la
red, se refiere a saber si en la red existen dispositivos de red
como un firewall, esto
permitir saber el nivel de seguridad actual que se tiene en la
red. Es importante que
si existe uno o ms firewalls en la organizacin se deban conocer
las polticas
establecidas dentro de los firewalls detectados, las polticas de
firewall son el conjunto
de limitaciones o permisos que tiene configurados el equipo,
estas limitaciones o
permisos definen que servicios pueden entrar o salir de la
organizacin a internet
(Andreu, 2010). Recuerda que cuando se mencionan servicios son
por ejemplo,
servicio web, servicio de correo electrnico, etctera.
Identificar cules son los equipos ms importantes para la
organizacin. Esto
permite identificar los equipos ms sensibles para la
organizacin, es decir, qu
servidores son los ms importantes y de los cuales la organizacin
no puede prescindir.
As se les dar mayor importancia a estos equipos.
Considerar si existen polticas de seguridad. Saber si existen
polticas de seguridad
permitir conocer las medidas se han tomado en la organizacin
para hacer frente a las
amenazas de su red y de sus aplicaciones, as como evaluar o
reevaluar las polticas de
seguridad, recuerda que las polticas de seguridad deben, a
grandes rasgos considerar
los siguientes aspectos:
Identificar los riesgos.
Detectar vulnerabilidades en los sistemas y mitigarlos.
Evaluar el impacto en caso de un ataque.
Definir un plan de contingencias
Por identificar los riesgos, entindase buscar y tener en cuenta
todos los riesgos de los
sistemas, es decir, localizar los equipos que de fallar, tendra
un impacto grande en la
organizacin, por ejemplo que se descomponga el servidor de
correo electrnico, que se
descomponga el servidor de pginas web, que la organizacin se
quede sin internet,
etctera.
Por detectar las vulnerabilidades entindase por ejemplo,
sistemas que se han dejado con
la configuracin por default, passwords que son sencillos de
adivinar. La configuracin por
default de un programa es un problema de vulnerabilidad por lo
siguiente, la instalacin
estndar es una instalacin que como muchos instalan y que no
configuran o
personalizan a su gusto, tiene configuraciones iguales en muchos
dispositivos, lo ms
-
Interconectividad de redes
Unidad 3. Seguridad de redes
Ciencias Exactas, Ingeniera y Tecnologa | Desarrollo de Software
27
peligroso de estas configuraciones es tener la misma combinacin
de usuario password, y
se hace ms peligrosa, cuando al usuario tiene privilegios
administrativos.
Por evaluar el impacto en caso de un ataque, se entiende como la
necesidad de tener una
visin a futuro y definir qu pasara en caso de un ataque, en el
mejor y en el peor de
casos. Por ejemplo, si atacan un servidor de correo electrnico,
en el mejor de los casos
se deja sin servicio de correo electrnico por un rato, y en el
peor de los casos, se
perdera el servidor de correo por completo con todo su
historial.
Una vez definidos los impactos ante algn ataque es necesario
definir un plan de
contingencias que permita recuperarse despus de un ataque lo
antes posible. Un plan de
contingencias permite que se acte en forma ms cautelosa en
relacin con la tecnologa,
de informacin, equipo de cmputo, equipo de red, etctera; y de
esa manera reaccionar
cuanto antes a un ataque y evitar desastres. Te imaginas perder
toda la informacin de
tu disco duro? El tener un plan de contingencias, permite que no
pierdas tu informacin o
la menor informacin posible.
Como se ha podido observar la Seguridad en los Sistemas de la
informacin juega un
papel muy importante en cualquier organizacin a cualquier nivel,
ya que estn en juego
datos o informacin que es muy importante para la empresa o el
negocio. La seguridad en
las Sistemas de la informacin abarca a la seguridad en
aplicaciones y desarrollos y la
seguridad en las redes que es lo que trat esta materia,
intentamos no dejar de lado el
panorama amplio de la seguridad en los Sistemas de informacin,
para que tu como
desarrollador de software tengas una vista ms general de tu rol
y la importancia de tu rol
y los dems roles del rea de tecnologas.
Es importante mencionarte que tu como desarrollador de software
puedes ayudar a
mitigar las amenazas o los ataques a tus desarrollos, la mejor
manera es apegndote a
las normas o polticas de seguridad de tu empresa, apegndote
adems a las mejores
prcticas de uso del software que desarrolles, adems evita usar
combinaciones de
usuario/password que se usan por default como o que son
sencillos de adivinar:
admin/admin, o admin/123, entre otros, para poder tener
passwords ms seguros intenta
usar combinaciones de nmeros, letras maysculas, minsculas y
caracteres especiales,
de esta manera tu password ser ms seguro, ya que es ms difcil de
rastrear.
Autoevaluacin
El propsito de esta actividad es realizar un anlisis del avance
que has tenido para
detectar las reas de oportunidad respecto al estudio de la
tercera unidad.
-
Interconectividad de redes
Unidad 3. Seguridad de redes
Ciencias Exactas, Ingeniera y Tecnologa | Desarrollo de Software
28
Evidencia de aprendizaje. Esquemas de seguridad de red.
El propsito de esta actividad es que elabores un esquema del
diseo de seguridad de una red relacionando las firmas y
certificados digitales, la criptografa y las polticas de seguridad,
para ello, retoma el proyecto planteado y el diagrama que
realizaste como evidencia de aprendizaje de la unidad 2
Interconectividad de rea extensa (WAN). Una vez recuperado tu
proyecto, realiza los siguientes pasos:
1. Identifica en la red la necesidad del uso de firmas y
certificados digitales, indica dnde las utilizars y justifica tu
seleccin.
2. Integra el uso de un mtodo de criptografa basndote en la
configuracin de tu red y los recursos con los que se cuenta.
3. Menciona y enumera las polticas que vas a definir en tu red,
para hacerla ms segura. Contempla el plan de contingencias y de
desastres.
4. Integra tus conclusiones acerca de la necesidad de contar con
redes seguras.
Consulta el documento EA. Escala de evaluacin de la unidad 3
donde podrs conocer los parmetros de evaluacin de esta
actividad.
Autorreflexiones
Adems de enviar tu trabajo de la Evidencia de aprendizaje,
ingresa al foro Preguntas de
Autorreflexin y consulta las preguntas que tu Facilitador(a)
presente, a partir de ellas
elabora tu Autorreflexin en un archivo de texto llamado
DIRE_U3_ATR_XXYZ.
Posteriormente enva tu archivo mediante la herramienta
Autorreflexiones.
Cierre de la unidad
En esta unidad se revis a grandes rasgos una visin general de
seguridad de la
informacin, y en este papel la redes juegan un papel muy
importante desde cmo se
configura una red, hasta qu accesos se estn proporcionando a los
usuarios.
Se puede intuir a lo largo de esta unidad que el usuario juega
un papel muy importante
para la seguridad, y es en este papel en donde aplican las
polticas de seguridad, las
redes y los sistemas de informacin por s solos siempre tendrn
huecos de seguridad,
pero es tarea de los administradores de los sistemas de
informacin arreglarlos o
mitigarlos. Como futuro ingeniero de software tambin tendrs tus
responsabilidades para
evitar que los sistemas de informacin no presenten fallas de
seguridad y si las hay saber
-
Interconectividad de redes
Unidad 3. Seguridad de redes
Ciencias Exactas, Ingeniera y Tecnologa | Desarrollo de Software
29
que existen mecanismos de seguridad que pueden ser
implementados.
La interconectividad de redes es algo que se utiliza todos los
das, y un ejemplo de ello es
tu carrera que est cursando en lnea, desde una computadora con
acceso a internet para
acceder a los tus asignaturas, hasta el servidor en donde se
encuentran hospedado todos
y cada uno de los contenidos que revisas a diario, aqu tambin la
seguridad de la
informacin juega un papel importante, ya que la plataforma debe
ser capaz de albergar a
todos los estudiantes que se conectan a diario para leer,
consultar o para entregar sus
tareas, y esta plataforma tambin obedece a ciertas polticas de
seguridad a fin de que
todos los estudiantes puedan acceder a sus asignaturas y que los
datos importantes
como tus calificaciones, mensajes, etctera, puedan estar
seguros.
Para saber ms
Para saber ms acerca de cmo implementar una red segura y su
importancia se
recomienda consultar el siguiente sitio:
Search Data Center (2013). Cmo planificar una red segura
mediante la prctica de la
defensa en profundidad. [En lnea]
http://searchdatacenter.techtarget.com/es/consejo/Como-planificar-una-red-segura-
mediante-la-practica-de-la-defensa-en-profundidad
Para saber cmo desarrollar e implementar una red segura puedes
consultar el siguiente
documento:
Ardita, J.C., (2001) Cmo desarrollar una arquitectura de red
segura? Buenos Aires,
Argentina: CYBSEC S.A. Security Systems.
Para reforzar la importancia de la seguridad en las redes,
consulta algunas razones por
las que una red inalmbrica debe estar asegurada en el siguiente
sitio:
Cisco (2013a). Aunque no pueda ver su red inalmbrica, protegerla
debera ser una de
sus principales prioridades. [En lnea]
http://www.cisco.com/web/LA/soluciones/comercial/proteccion_wireless.html
Puedes consultar algunos consejos de implementacin de una red
segura en el siguiente
sitio:
Lorenzana, Diego (2012). Consejos para implementar una segura
red informtica en
nuestra empresa. Madrid: Pymes y autnomos [En lnea]
http://www.pymesyautonomos.com/consejos-practicos/consejos-para-implementar-una-
segura-red-informatica-en-nuestra-empresa
-
Interconectividad de redes
Unidad 3. Seguridad de redes
Ciencias Exactas, Ingeniera y Tecnologa | Desarrollo de Software
30
Fuentes de consulta
Aguilera Lpez, P. (2010). Seguridad informtica. Madrid: Ed.
Editex. ISBN 849-
77-176-19.
Andreu Gmez, J. (2010). Servicios en red. Madrid: Editex.
Ardita, J.C., (2001) Cmo desarrollar una arquitectura de red
segura? Buenos
Aires, Argentina: CYBSEC S.A. Security Systems.
Areitio, J., (2008). Seguridad de la informacin: redes,
informticas y sistemas de
informacin. Madrid: Ed. Paraninfo. ISBN: 978-84-9732-502-8
Biblioteca Nacional de Espaa (2012). Qu son la firma y los
certificados
electrnicos? Madrid: BNE. [En lnea]
https://sede.bne.gob.es/SedeElectronica/es/LegislacionYSeguridad/Seguridad/Fir
maElectronica/
Cert Superior (2012). Certificados Digitales. En lnea
http://www.certsuperior.com/CertificadosDigitales.aspx. Mxico:
SSL Symantec
Cisco (2013a). Aunque no pueda ver su red inalmbrica, protegerla
debera ser
una de sus principales prioridades. [En lnea]
http://www.cisco.com/web/LA/soluciones/comercial/proteccion_wireless.html
Cisco (2013b). Tecnologa inalmbrica. Proteccin de las redes
inalmbricas.[En
lnea]
http://www.cisco.com/web/LA/soluciones/comercial/proteccion_wireless.html
Diccionarios Oxford-Complutense (2002). Diccionario de internet.
Madrid : Editorial
Complutense.
Garca Cervign Hurtado, A., y Alegre Ramos, M., (2011). Seguridad
Informtica.
1 edicin. Madrid: Ed Paraninfo. ISBN 978-84-9732-812-8
Lorenzana, Diego (2012). Consejos para implementar una segura
red informtica
en nuestra empresa. Madrid: Pymes y autnomos [En lnea]
http://www.pymesyautonomos.com/consejos-practicos/consejos-para-implementar-
una-segura-red-informatica-en-nuestra-empresa
-
Interconectividad de redes
Unidad 3. Seguridad de redes
Ciencias Exactas, Ingeniera y Tecnologa | Desarrollo de Software
31
MMC Modelacin Matemtica y Computacional (2003). Esteganografa.
Mxico:
Grupo de Geofsica Computacional UNAM. [En lnea]
http://mmc.geofisica.unam.mx/LuCAS/Manuales-LuCAS/doc-unixsec/unixsec-
html/node320.html
Moliner Lpez, F. J., (2005). Grupos A y B de informtica. Bloque
especfico.
Valencia: Ed MAD S.L. ISBN 84-665-2078-3
Pacheco, F., y Jara, H., (2012). Users: Ethical Hacking 2.0.
Buenos Aires: Ed.
Dalaga, S.A. ISBN 978-987-1857-63-0
Rajsbaum's, S., (2005). Criptografa. Mxico: Instituto de
Matemticas, Universidad
Nacional Autnoma de Mxico UNAM. [En lnea]
http://www.matem.unam.mx/~rajsbaum/cursos/web/presentacion_seguridad_1.pdf
Ramos lvarez, B.; Ribagorda Garnacho, A., (2004). Avances en
Criptologa y
Seguridad de la Informacin. Madrid: Ed. Daz de Santos. ISBN:
84-7978-650-7.
Rohaut, S. (2012). Preparacin para la certificacin LPIC-1. 2
edicin. Barcelona:
ENI. ISBN 978-2-7460-7320-3.
Search Data Center (2013). Cmo planificar una red segura
mediante la prctica
de la defensa en profundidad. [En lnea]
http://searchdatacenter.techtarget.com/es/consejo/Como-planificar-una-red-
segura-mediante-la-practica-de-la-defensa-en-profundidad
Sedgewick, R., (1992). Algoritmos en C++. Delaware: Ed.
Addison-Wesley / Diaz
de santos. ISBN 0-201-62574-1
Stallings, W. (2004). Fundamentos de seguridad en redes:
Aplicaciones y
estndares. 2 Edicin. Madrid: Ed Pearson Educacin. ISBN
84-205-4002-1
UIT Internacional Telecommunication Union (2008). X.800 Layer
Two Security
Service and Mechanisms for LANs. [En Lnea]
http://www.itu.int/rec/T-REC-X.800-
199610-I!Amd1
Fuentes de imgenes:
Pacheco, F., y Jara, H., (2012). Users: Ethical Hacking 2.0.
Buenos Aires: Ed.
Dalaga, S.A. ISBN 978-987-1857-63-0
-
Interconectividad de redes
Unidad 3. Seguridad de redes
Ciencias Exactas, Ingeniera y Tecnologa | Desarrollo de Software
32
Rajsbaum's, S., (2005). Instituto de Matemticas, Universidad
Nacional Autnoma
de Mexico (UNAM). [En lnea]
http://www.matem.unam.mx/~rajsbaum/cursos/web/presentacion_seguridad_1.pdf
S Secur-IT @C.R.S (2011a). Informacin previa a System Hacking.
[En lnea]
http://securitcrs.files.wordpress.com/2011/10/system-hacking.png
Secur-IT @C.R.S (2011b). Ataques online pasivos System Hackyng.
[En lnea]
http://securitcrs.files.wordpress.com/2011/10/man-in-the-middle1.png
Stallings, W., (2003). Fundamentos de seguridad en redes.
Aplicaciones y
estndares. Madrid: Pearson Prentice Hall