Documentos de Académico
Documentos de Profesional
Documentos de Cultura
SeguridadGestionDocumental PDF
SeguridadGestionDocumental PDF
7. Seguridad en sistemas de
gestin documental
7.1. Control de acceso: autentificacin y
autorizacin.
7.2. Seguridad en servicios web.
7.3. Seguridad en servicio de ficheros.
7.4. Seguridad en el correo electrnico.
7.5. Seguridad en herramientas
colaborativas.
CONTROL DE ACCESO
Introduccin.
El
Introduccin
El
y autentificacin.
Autorizacin.
Auditora
de seguridad.
El servicio de directorio
Aplicaciones
Implementaciones
Network
LDAP
Protocolo
LDAP
Cada
Operaciones LDAP
Ligar (bind): conexin y autentificacin.
Iniciar TLS: usar conexin segura TLS (LDAPS).
Buscar: encontrar entradas en el directorio.
Comparar: comprobar si un atributo de una entrada
tiene un valor determinado.
Actualizar: aadir, borrar o modificar entrada.
Modificar DN: mover o renombrar una entrada.
Operacin extendida: operacin genrica que define
nuevas operaciones.
Abandonar: abortar una consulta.
Desligar (unbind): cerrar la conexin.
Esquemas LDAP
Consta
Herencia de esquemas
top
country
person
MUST c
MAY searchGuide,
description
MUST sn, cn
MAY userPassword,
telephoneNumber,
seeAlso, description
residentialPerson
MUST l
MAY postalAddress, postalCode,
street, st, l, telephoneNumber,
businessCategory, ...
LDIF
Cada
rbol LDAP
dc=com
dc=Empresa
ou=empleados
ou=grupos
dn: dc=com
dn: dc=Empresa,dc=com
(raz del rbol empresarial)
ou=mquinas
dn: ou=empleados,dc=Empresa,dc=com
dn: cn=Ramn Gmez,ou=empleados,dc=Empresa,dc=com
cn=Ramn Gmez
cn=Isabel lvarez
Atributos de un nodo
dn: cn=Ramn Gmez,ou=empleados,dc=Empresa,dc=com
objectClass: top
objectClass: person
objectClass: residentialPerson
cn: Ramn Gmez
sn: Gmez
postalAdress: C/Micalle 1, 41001-Sevilla (Spain)
street: Micalle
postalCode: 41001
l: Sevilla
st: Spain
telephoneNumber: 954123456
userPassword: ************
Estructura organizativa bsica de LDAP.
Atributos de la clase person.
Atributos de la clase residentialPerson.
Active Directory
Servicio
Active Directory
Incluye
OpenLDAP
Implementacin
OpenLDAP
Requiere
Estructura de un SSO
Clientes
Estructura de un SSO
Mecanismos
de autentificacin independientes de la
tecnologa de los clientes.
Independiente de plataforma y sistema operativo.
No debe reducir la fiabilidad de los servicios.
Slo debe ofrecer acceso a informacin del usuario
a recursos administrativos que la gestionan.
Debe auditar todos los eventos relevantes.
Debe proteger la informacin relevante.
Debe establecer mecanismos de seguridad en la
comunicacin entre el SSO y el resto de servicios.
The Open Group Security Forum: http://www.opengroup.org/security/
Esquema de PAPI
Servidor de
Autentificacin
1. Datos de
autentificacin
Repositorio de
LDAP autentificacin
2. Aserciones
de identidad
3. Peticin web +
claves temporales
Usuario
6. Pgina web +
nuevas claves
Punto de
Acceso
4. Peticin web
5. Pgina web
Servidor
web
The PAPI AA Fremework: http://papi.rediris.es/
BD de
claves
SEGURIDAD WEB
Seguridad
en clientes web.
Seguridad general en servidores web.
Creacin de pginas seguras.
Certificados digitales.
Seguridad en SOAP.
Seguridad en clientes
Mantener
Informacin privada
Configurar
Ejecucin en el navegador
Java
Anti-phising
Instalar
Estructura de servicio
Programa
Estructura de servicio
Servidor web
Aplicaciones
Otros
servicios
Servidor HTTP
Servidor de
aplicaciones
Gestor de
acceso (SSO)
Mdulo SSL
Gestor de
contenidos
Servicio de
directorio
Entorno de
ejecucin
Mdulos
SOAP, RSS,...
Otros mdulo
del servidor
Aplicacin
especfica
Pgina web
Gestor de
bases de datos
Servicio de
ficheros
Otro servicio
web
Mtodos HTTP
HEAD:
HTTPS
Se
Permisos
Todos
El registro de incidencias
Registrar
LAMP
Linux,
Configuracin segura
Mdulos:
Configuracin segura
Informes
Configuracin segura
Mensajes
Configuracin segura
Otros
Ejemplos de ataques
Ejemplos de ataques
Ejemplos de ataques
Ejemplos de ataques
Ejemplos de ataques
Certificados digitales
Es
de envo:
El emisor cifra la informacin con su clave
privada.
El receptor comprueba la firma usando la clave
pblica del certificado del emisor.
Usos tpicos de PKI:
Firma de mensajes de correo (PGP, S/MIME).
Firma de documentos (XML).
Autentificacin en aplicaciones (tarjetas).
Protocolos seguros (SSL).
Wikipedia, the free enciclopedia: http://en.wikipedia.org/
SOAP
El
SOAP
SOAP
SEGURIDAD EN EL SERVICIO
DE FICHEROS
Infraestructura
del servicio.
Herramientas de proteccin.
Control de versiones (DAV).
Bsqueda de informacin.
Interfaz
web
SGBD
Servidor de
directorio
Herramientas de proteccin
Usar
conexiones seguras.
Definir polticas de control de acceso a los
documentos.
Usar medidas de tolerancia a fallos (RAID,
servicio replicado, distribucin de datos, etc.).
Mantener una infraestructura con aplicaciones
complementarias de seguridad:
Cortafuegos para control local.
Antivirus, antiespas.
Deteccin y prevencin de intrusos.
Herramientas de proteccin
Definir
Control de versiones
Repositorio
Bsqueda de informacin
Implantar
SEGURIDAD EN EL CORREO
ELECTRNICO
Revisin
Medidas anti-spam
Imponer
filtros
actualizados en el
servidor para indicar al
usuario que un
mensaje PUEDE SER
spam.
Instalar mtodos antispam en los clientes
de correo y entrenar a
los usuarios en un
comportamiento
responsable.
Medidas anti-spam
No
responder a
mensajes
sospechosos
(quedara recogida la
direccin como vlida).
Eliminarlo sin
descargar adjuntos ni
pinchar en enlaces.
La ingeniera social es Contenido de mensajes basura:
un reclamo para
Responder o pinchar en darse
de baja es un reclamo.
recoger direcciones.
Ofertas, sexo, juego, bancos,
solidaridad, otros idiomas, etc.
El fraude bancario
Combina
tcnicas de
spam y de phishing.
Un banco NUNCA pide
datos personales por
e-mail o telfono.
Eliminarlo sin
responder ni pinchar
en enlaces.
Suelen recibirse varios
mensajes juntos con
alertas ficticias.
Internet
Cortafuegos
Estafeta
principal
MTA
UA UA
UA UA
MTA
UA UA
limitaciones de uso.
Verificar las direcciones de emisor y receptor
(medidas anti-relay).
Resolucin de direcciones basada en DNS.
Rechazar mensajes de emisores externo con
direcciones o dominios no incluidos en listas
negras de servidores inseguros.
El modelo centralizado impone un nico punto
informativo con ayuda para los usuarios.
Mantener directrices de coordinacin con las
estafetas secundarias
Acceso al correo
Habilitar
Listas de distribucin
Servicio que distribuye mensajes recibidos a la
direccin de la lista a los buzones de todos los
suscriptores.
La forma de suscribirse puede ser abierta o cerrada
(con aprobacin).
La empresa puede crear listas con suscripcin
automtica para sus empleados, segn su poltica
informativa.
Tambin puede ser necesaria la aprobacin del
mensaje por el administrador de la lista.
No se recomienda permitir el envo de ficheros
adjuntos en mensaje a una lista.
Listas de distribucin
El
Recomendaciones a
suscriptores
Escribir mensajes breves con firmas breves.
No repetir el contenido del mensaje al que se
responde.
No enviar informacin privada.
No hacer respuestas personales (usar la direccin
del remitente).
No contestar un mensaje varias veces y no repetir
respuestas ya realizadas.
No enviar publicidad (salvo que la lista sea
publicitaria).
No enviar spam ni mensajes maliciosos.
Esquema empresarial
SEGURIDAD EN
HERRAMIENTAS WEB
Gestores
de contenido.
Web 2.0: La web como servicio.
Redifusin web (RSS, Atom).
Wiki.
Weblog (blog).
Motores de bsqueda.
Widgets (gadgets de escritorio)
Gestores de contenido
Aplicacin web o cliente/servidor usada para
organizar la creacin colaborativa de documentacin
empresarial.
Caractersticas de gestin de contenido de un CMS:
Captura, edicin y eliminacin de documentos.
Almacenamiento de datos.
Seguridad y accesos a la informacin.
Control de versiones.
Distribucin y presentacin de documentacin.
Herramientas adicionales (agenda, sindicacin,
wiki, gestor de procesos, SOAP, etc.).
Gestores de contenido
Gestin
Web 2.0
Basada
Redifusin web
Formatos
Wiki
Servicio web donde los usuarios pueden colaborar
para crear, editar, modificar y borrar contenido de
forma interactiva.
El wiki presenta una interfaz fcil y suele ofrecer
libertad a los usuarios participantes.
La pgina wiki se edita con el navegador usando un
lenguaje reducido de marcado.
Puede definirse una poltica restrictiva para accesos
a pginas wiki de grupos de trabajo.
Incluye control de versiones para corregir errores y
recuperar datos borrados por vandalismo.
Blog o weblog
Servicio
Motores de bsqueda
Indexan
Widgets o gadgets
Pequea