GRUPO_302070_9

TRABAJO COLABORATIVO 3 REDES LOCALES AVANZADAS

ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA- UNAD FACULTAD DE INGENIERA SISTEMAS NOVIEMBRE 2012

TRABAJO COLABORATIVO 3 REDES LOCALES AVANZADAS

PRESENTADO POR

GRUPO_302070_9

NELLY BENITEZ PATIO COD 25.29.0337 LIZETH XIMENA OCHOA COD ELIANA PATRICIA LPEZ SALAS COD 31.486.484 DEISSY SALAS ROVIRA COD. 26.274.241 YENNY LILIANA TORO HENAO COD. 31.429.616

GRUPO 302070-9

TRABAJO PRESENTADO A: ING. LUIS HERNANDO PRADA RODRGUEZ TUTOR- DIRECTOR

ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA- UNAD FACULTAD DE INGENIERA SISTEMAS NOVIEMBRE 2012 INTRODUCCION

El presente trabajo contiene el desarrollo de la gua correspondiente al trabajo colaborativo 3, con el fin de tratar temas concernientes a la seguridad informantica tanto en las redes, seguridad a nivel organizativo, seguridad en la informacin.

GRUPO_302070_9

Para que un sistema se pueda definir como seguro debe tener estas cuatro caractersticas: Integridad: La informacin slo puede ser modificada por quien est autorizado y de manera controlada. Confidencialidad: La informacin slo debe ser legible para los autorizados. Disponibilidad: Debe estar disponible cuando se necesita. Irrefutabilidad (No repudio): El uso y/o modificacin de la informacin por parte de un usuario debe ser irrefutable, es decir, que el usuario no puede negar dicha accin.

OBJETIVOS

OBJETIVO GENERAL Aprender qu es un certificado digital, como funciona y los diferentes tipos de certificados que se emplean. Comprender el protocolo SSL y como se implementa para operaciones de comercio en Internet.

GRUPO_302070_9

OBJETIVOS ESPECIFICOS Identificar los Firewall y sus caractersticas de proteccin. Identificar los protocolos ms utilizados por las empresas que comercializan artculos en Internet. Conocer las Entidades Certificadoras. Determinar las situaciones donde es conveniente utilizar firmas digitales. Determinar las polticas de las firmas digitales necesarias para las empresas.

GRUPO_302070_9

DESARROLLO DEL TRABAJO 1. Investigue que Firewall se encuentran disponibles en el mercado y que caractersticas de proteccin brindan. Firewall

Imagen tomada de pg.: http://www.alegsa.com.ar/Diccionario/I/302 Un firewall sirve para impedir el acceso no autorizado a Internet (u otra red) por parte de programas malignos que estn instalados en nuestro equipo, o de programas o intrusos que intentan atacar nuestra computadora desde el exterior. Un firewall es sencillamente un filtro capaz de controlar y examinar todas las comunicaciones, entrantes y salientes, que pasan de una red a otra permitiendo o denegando el paso. Existen tres tipos de firewalls: Firewalls de software: Tienen un costo pequeo y son una buena eleccin cuando slo se utiliza una PC. Su instalacin y actualizacin es sencilla, pues se trata de una aplicacin de seguridad, como lo sera un antivirus; de hecho, muchos antivirus e incluso el propio Windows poseen firewalls para utilizar. Enrutadores de hardware: Su principal funcin es la de disfrazar la direccin y puertos de la PC a los intrusos. Suelen tener cuatro puertos de red para conexin mediante cableado. Firewalls de hardware: Son ms caros y complejos de manejar en el mantenimiento y actualizacin. Los firewalls de hardware son ms indicados en empresas y grandes corporaciones que tienen mltiples computadoras conectadas. Tambin suelen utilizarse en aquellas empresas que prestan servicios de hosting y necesitan seguridad en los servidores.

GRUPO_302070_9

Nombre Firewall Sonic Wall Global Management System (GMS) 2.0 Pro-VX

FIREWALLS SOHO

LOOK N STOP

OUTPOST

BLACK ICE

SYGATE PERSONAL FIREWALL

MONOWALL

Caractersticas Fuerte administracin centralizada, registro centralizado y caractersticas de seguridad de valor agregado Mltiples vistas que le permiten al administrador organizar Creacin y administracin de VPNs El trfico de administracin pasa a travs del Pro-VX a los firewalls remotos usando las claves secretas compartidas de 1 Permite filtrar todo el trfico de datos y bloquear fcilmente cualquier accin sospechosa de ser un intento de infiltrase en tu PC Vigilando y bloqueando el acceso de datos a travs de los distintos puertos de conexin y que normalmente no estn vigilados y el usuario desconoce sus actividades. Interfaz sencilla de manejar La aplicacin queda almacenada en la barra de tareas, aparentemente inactivo, sin embargo, se encuentra vigilando constantemente los puertos abiertos, de modo que en cuanto detecta una intrusin, permite mostrar una completa informacin sobre la naturaleza del presunto invasor, adems de emitir una alarma sonora. *Para facilitar la tarea de proteccin, incluye la posibilidad de disear dos listas diferentes, una con direcciones enemigas y otra con direcciones amigas, bloqueando de forma automtica unas y permitiendo el acceso a las otras. *Realiza controles peridicos en busca de posibles intrusos en tu ordenador, informndote en caso de detectar alguno y antes de tomar las medidas oportunas. *El programa es muy sencillo de usar y tiene multitud de opciones de configuracin. Interfaz web de gestin y soporte de consola por puerto serie para recuperacin.

GRUPO_302070_9

Soporte para redes wi-fi, incluyendo la implementacin de un portal cautivo o de soporte para autenticacin mediante servidor Radius. Soporte NAT / PAT (incluyendo NAT 1:1) y rutas estticas Cliente DHCP y soporte PPPoE PPTP en el interfaz WAN Soporte de tneles VPN con IPsec Agente de SNMP, lo que permite integrarlo en cualquier sistema de monitorizacin, como Cacti o Nagios. Reenvo de Puertos Servidor DHCP Acceso a Usuarios por Tiempo Red Privada Virtual (VPN) IPCOP Servidor de Horario (NTP) Acceso va web y ssh (tanto de forma interna como externa) Servidor Proxy Proteccin proactiva, Anti-Spyware, Control OUTPOST Web, el Visor de sucesos Nota: Casi todos los antivirus contiene por defecto el Firewalls: McAfee, Norton, kaspersky. 2. Investigue Cual es el protocolo ms utilizado por las empresas que comercializan artculos en Internet y porque. Protocolos seguros importantes tantos por las preocupaciones relacionadas con la privacidad como para permitir el comercio electrnico. SSL (Secure Socket Layer) y TLS(Transport Layer Secure)

Son protocolos criptogrficos que proporcionan comunicaciones seguras por una red, comnmente Internet. Es un proceso que administra la seguridad de las transacciones que se realizan a travs de Internet. El estndar SSL fue desarrollado por Netscape, junto con Mastercard, Bank of America, MCI y Silicon Graphics. Se basa en un proceso de cifrado de clave pblica que garantiza la seguridad de los datos que se envan a travs de Internet. Su principio consiste en el establecimiento de un canal de comunicacin seguro (cifrado) entre dos equipos (el cliente y el servidor) despus de una fase de autenticacin.

GRUPO_302070_9

La seguridad de las transacciones a travs de SSL 2.0 se basa en el intercambio de claves entre un cliente y un servidor. Una transaccin segura SSL se realiza de acuerdo al siguiente modelo: Primero, el cliente se conecta al servidor comercial protegido por SSL y pide la autenticacin. El cliente tambin enva la lista de los criptosistemas que soporta, clasificada en orden descendente por la longitud de la clave. El servidor que recibe la solicitud enva un certificado al cliente que contiene la clave pblica del servidor firmado por una entidad de certificacin (CA), y tambin el nombre del criptosistema que est ms alto en la lista de compatibilidades (la longitud de la clave de cifrado - 40 o 128 bits - ser la del criptosistema compartido que tiene el tamao de clave de mayor longitud). El cliente verifica la validez del certificado (y por consiguiente, la autenticidad del vendedor), luego crea una clave secreta al azar (ms precisamente un supuesto bloque aleatorio), cifra esta clave con la clave pblica del servidor y enva el resultado del servidor (clave de sesin). El servidor es capaz de descifrar la clave de sesin con su clave privada. De esta manera, hay dos entidades que comparten una clave que slo ellos conocen. Las transacciones restantes pueden realizarse utilizando la clave de sesin, garantizando la integridad y la confidencialidad de los datos que se intercambian.1 Otros protocolos SSH (Secure Shell)

Este protocolo fue diseado para dar seguridad al acceso a computadores en forma remota. Cumple la misma funcin que telnet o rlogin pero adems, usando criptografa, logra seguridad con los datos. A diferencia de telnet u otro servicio similar, SSH utiliza el puerto 22 para la comunicacin y la forma de efectuar su trabajo es muy similar al efectuado por SSL. Para su uso se requiere que por parte del servidor exista un demonio que mantenga continuamente en el puerto 22 el servicio de comunicacin segura, el sshd.

Toma de la pg.: http://es.kioskea.net/contents/crypto/ssl.php3

GRUPO_302070_9

El cliente debe ser un software tipo TeraTerm o Putty que permita la hacer pedidos a este puerto 22 de forma cifrada. La forma en que se entabla una comunicacin es en base la misma para todos los protocolos seguros: El cliente enva una seal al servidor pidindole comunicacin por el puerto 22. El servidor acepta la comunicacin en el caso de poder mantenerla bajo encriptacin mediante un algoritmo definido y le enva la llave pblica al cliente para que pueda descifrar los mensajes. El cliente recibe la llave teniendo la posibilidad de guardar la llave para futuras comunicaciones o destruirla despus de la sesin actual El Protocolo SET (Secure Electronic Transaction)

El protocolo SET, que en espaol quiere decir Transaccin Electrnica Segura, es una especificacin diseada con el propsito de asegurar y otorgar autenticidad a la identidad de los participantes en las compras abonadas con tarjetas de crdito en cualquier tipo de red en lnea. SET ha sido desarrollada por Visa y MasterCard, con la participacin de Microsoft, IBM, Netscape, SAIC, GTE, RSA, Terisa Systems, VeriSign y otras empresas lderes en tecnologa. Los objetivos que cumple SET son: Confidencialidad de la informacin transmitida. Autenticacin de los titulares y comercios. Integridad de la informacin transmitida. No repudio de las operaciones realizadas. Interoperabilidad entre las distintas plataformas de hardware y software que utilizan los diferentes participantes en las transacciones electrnicas.

3. Investigue el nombre de las ms importantes Entidades Certificadoras a nivel de Amrica y a que pases pertenecen Nombre Empresa Certicmara Descripcin Pas

Andes SCD

Otorgar certificados digitales de Colombia servidor seguro, de representacin legal de empresas y de pertenencia a una empresa. certificacin digital y gestionar el ciclo Colombia

GRUPO_302070_9

de vida de los certificados Certificados Digitales PKI, soluciones Argentina de Aceleracin para eCommerce y Seguridad de Infraestructura que incluyen Autenticacin de Acceso para Usuarios (de dos factores y mltiples factores), Escaneo de Vulnerabilidades en Redes y servicios de cumplimiento con el estndar PCI. GSE S.A. Certificado de Representacin de Colombia Empresa. Certificado de Pertenencia a Empresa. Certificado de Profesional Titulado. Certificado de Funcin Pblica. Certificado de Persona Natural. Cmara de Comercio de certificados digitales Guatemala Guatemala BvQi Es considerada una de las mayores y Colombia ms importantes organizaciones de certificacin en el mundo, la cual est presente en ms de 44 pases en los 5 cinco continentes. En Colombia esta entidad de orden internacional se encuentra en la ciudad de Bogot. Si quieres averiguar qu dice la legislacin de firma electrnica de tu pas, ests en el lugar adecuado. Bienvenido al Tractis Worldwide eSignature Status Report. https://www.tractis.com/help/?p=3670 MacroSeguridad.org 4. Elabore una lista de situaciones donde es conveniente utilizar firmas digitales, justifique su respuesta. Porque utilizar Firmas Digitales? Es un procedimiento basado en tcnicas criptogrficas que posibilita la formalizacin vlida y segura del trfico comercial y administrativo online. El desarrollo de las redes telemticas y de Internet ha facilitado el intercambio de mensajes de todo tipo, incluidos aquellos de contenido contractual y administrativo, entre personas distantes geogrficamente. La firma digital o electrnica viene a solventar el problema de autentificacin de los mismos, ya que equivale, a todos los efectos, a la firma autgrafa, puesto que identifica fehacientemente la autora del mensaje.

GRUPO_302070_9

Fsicamente, la firma digital se basa en la criptografa y puede ser definida como una secuencia de datos electrnicos (bits) que se obtienen mediante la aplicacin de un algoritmo (frmula matemtica) de cifrado asimtricos o de clave pblica. Estos sistemas cifran los mensajes mediante la utilizacin de dos claves diferentes, una privada y otra pblica. La privada es conocida nicamente por la persona a quien pertenece el par de claves. La pblica, por su parte, puede ser conocida por cualquiera pero no sirve para hallar matemticamente la clave privada. La utilizacin de la firma digital asegura que el emisor y el receptor del mensaje (ya sean dos empresarios, un empresario y un consumidor o un ciudadano y la Administracin) puedan realizar una transaccin fiable. Lista donde es conveniente utilizar la firma digital 1. Transacciones Legales como pasados judiciales, se deben identificar a los usuarios para constatar que sea correspondiente al solicitante. 2. En documentos del gobierno en donde se generan actos administrativos y que son necesarios para demostrar que se esta cumpliendo con el proceso en su debida forma y tiempo. 3. Movimientos financieros En los bancos donde existen algunos documentos que se pueden imprimir desde la pgina con la firma del debido funcionario a cargo. 4. En la cdula o carnet, se utiliza para constatar de que es la persona quien dice ser. 5. Comercio Electrnico para que las compras online tenga validez y no se generen engaos. 6. Acceso a Bases de Datos Confidenciales cuando se consultan bases de datos online como las EPS, FOSYGA, etc. 7. Contratos, cuando se realizan contratos va web entre empresas o ciudadanos 5. Explique 5 razones por las cuales es necesario que las empresas adopten polticas serias en lo que se refiere al uso de firmas digitales. Las firmas digitales utilizan una potente tecnologa de cifrado y una infraestructura de clave pblica para proporcionar una mayor seguridad sobre la autenticidad, integridad y no rechazo de los documentos. El proceso es tan seguro que algunos gobiernos han implementado la legislacin necesaria para que las firmas digitales sean vinculantes desde el punto de vista legal. En colaboracin con los principales proveedores de seguridad, como Entrust y VeriSign, permite que cualquier empresa pueda incorporar su firma digital en archivos como PDF de Adobe. Es por eso que las empresas deben de adoptar polticas que les permita.

GRUPO_302070_9

Las razones ms importantes son: 1. Integrar las firmas digitales en flujos de trabajo continuos. 2. Entregar documentos firmados de forma segura, tanto dentro como fuera de un cortafuego empresarial. 3. Validar la identidad digital de cualquier firmante. 4. Autentificacin de las personas que participan en la transaccin. 5. Verificar que los documentos no se han alterado de forma fraudulenta. Reducir los costes y acelerar los procesos de aprobacin.

GRUPO_302070_9

CONCLUSIONES La realizacin de este trabajo nos ha permitido tener una visin ms clara y completa sobre los temas de seguridad informtica ya que como profesionales debemos tener la capacidad de dar solucin a las distintas formas de fraude que se encuentran en la red y proteger a las organizaciones de intrusos que puede perjudicar los sistemas de informacin. En esta sociedad moderna las empresas deben estar atentas a los adelantos tecnolgicos para proteger su informacin y contar con unas buenas herramientas permite estar en la vanguardia de la seguridad informtico. Al concluir este trabajo quedamos con conocimientos muy importantes para nuestro desarrollo profesional en cuanto a seguridad se trate.

GRUPO_302070_9

BIBLIOGRAFA

SCD es una Autoridad Certificadora Abierta. (s.f.). Recuperado el 20 de NOVIEMBRE de 2012, de https://www.andesscd.com.co/compania.html La firma electrnica es vlida en mi pas?, Cual es la legislacion de firma electrnica de mi pas? (s.f.). Recuperado el 20 de NOVIEMBRE de 2012, de tractis: https://www.tractis.com/help/?p=3670 Asociacin Colombiana de Ingenieros. (s.f.). Recuperado el 20 de NOVIEMBRE de 2012, de ACEIM: www.aciem.org Asociacin Colombiana de Ingenieros de Sistemas. (s.f.). Recuperado el 20 de NOVIEMBRE de 2012, de ACIS: www.acis.org.co CERTIFICADO Y FIRMA DIGITAL. (s.f.). Recuperado el 20 de NOVIEMBRE de 2012, de slideshare: http://www.slideshare.net/paolaolarter/certificado-yfirma-electrnica FIRMA DIGITAL. (s.f.). Recuperado el 20 de NOVIEMBRE de 2012, de CAMARA DE COMERCION: http://www.empresario.com.co/recursos/instructivo_firmas/ INVESTIGACIN EN INTERNET FORO DE COMERCIO ELECTRNICO. (s.f.). Recuperado el 20 de NOVIEMBRE de 2012, de Protocolos seguros para permitir el Comercio Electrnico.: http://www.oocities.org/es/emmareales/hwct/ii.htm Seguridad en la transmisin. (s.f.). Recuperado el 12 de NOVIEMBRE de 2012, de webtaller: http://www.webtaller.com/maletin/articulos/protocolos-segurosweb.php Seguridad Informtica Colombiana. (s.f.). Recuperado el 20 de NOVIEMBRE de 2012, de www.sinfocol.org