TEMA 2

LOS SISTEMAS DE
COMUNICACIONES
II
AREA INSTRUMENTAL
VIGILANTES DE
SEGURIDAD
INTRODUCCION

 Información:
 Ideas o hechos transmitidos entre personas
 Vallas publicitarias, prensa, clases...
 Datos:
 Componentes básicos de la información: codificación
 Eslogan, titular,...
 Informática:
 Conjunto de ciencias, técnicas o actividades que se dedican al estudio,
tratamiento y almacenamiento de los datos por medios automáticos.
 Sistema binario:
 Representación de la información en base 2
 La información se codifica como una secuencia de símbolos binarios: 0 y 1.
TIPOS Y CODIFICACION DE LA
INFORMACION
 Codificación
 Proceso que consiste en representar la información mediante una
combinación de símbolos determinada: dos informaciones distintas
tienen dos combinaciones distintas.
 Información analógica
 La manera en que existe la información en el mundo real: carta,
fotos, una cinta de música.
 Información digital
 Si en vez de utilizar papel, lápiz, magnetófonos, etc. se utiliza un
ordenador, la información pasa a ser digital
 La información analógica se traduce a codificación binaria
 Ejemplo telégrafo y código Morse:
EJEMPLO CODIFICACION EN
MORSE
Alfabeto (código) Morse
A · H · ·· · Ñ · · · · U ··
B · · · I ·· O  V ···
C · · J ·  P · · W · 
D · · K ·  Q ·  X · · 
E · L · ·· R · · Y · 
F ·· · M  S ··· Z · ·
G · N · T ··

“Confirmo asistencia a boda. Llegaré Valencia sábado mañana temprano”

escribiré en código Morse la siguiente secuencia de símbolos:
“· ·  · ·· · · ·  
· · · · ·· ··· ·· · · · · ·· ·  “ etc...
CODIFICACION BINARIA
Código binario (ASCII)
A 01000001 H 01001000 Ñ 10100101 U 01010101
B 01000010 I 01001001 O 01001111 V 01010110
C 01000011 J 01001010 P 01010000 W 01010111
D 01000100 K 01001011 Q 01010001 X 01011000
E 01000101 L 01001100 R 01010010 Y 01011001
F 01000110 M 01001101 S 01010011 Z 01011010
G 01000111 N 01001110 T 01010100

“01000011 01001111 01000110 01001001 01010010 01001101 01001111

01000001 01010011 01001001 01010011 ...”

 Esta codificación es transparente para el usuario

 Del mismo modo que el texto se puede codificar imágenes y sonido,
e incluso animaciones.
UNIDADES DE MEDIDA DE LA
INFORMACION
 Información analógica
 libro en páginas, fotografía en cm, cinta en minutos
 Información digital
 Cada elemento de información (1,0) se llama bit (binary digit)
 Un conjunto de 8 bits es un byte (sería como una letra)
 Con un byte podemos conseguir 256 combinaciones distintas: 28
 1024 bits/bytes = 1 Kbit/Kbytes = 210 bits/bytes
 1024 Kbits/Kbytes = 1 Megabit/Megabyte = 220 bits/bytes
 1024 Mbits/Mbytes = 1 Gigabit/Gigabyte = 230 bits/bytes
 1024 Gigabit/Gigabyte = 1 Terabit/Terabytes
 OCUPACION APROXIMADA
Tipo de información Cantidad Tamaño
Texto simple Una página 3 kilobytes
Sonido de baja calidad Un minuto 1 megabyte
Sonido de alta calidad Un minuto 10 megabytes
Imagen en color Pantalla completa 500 kilobytes
Vídeo en movimiento Un minuto, ventana de 100x100 10 megabytes
puntos
Algunas cosas a tener en
cuenta

 Los sistemas informáticos tienden a ser cada vez más distribuidos,

basados en la red y usando dispositivos heterogéneos (móvil, PDA,
TV, ...).

 La seguridad informática es cada vez más importante debido a la

legislación (LOPD, LSSI, ...) y las propias necesidades de las
organizaciones.

 La gestión de contenidos y el aprendizaje basado en la red son

sectores con alto crecimiento.
Y además
 Cada vez más proyectos informáticos requieren la integración de múltiples
sistemas,
 Conocimientos de las diversas estrategias técnicas de integración de
componentes y sistemas distribuidos.
 Conocimientos de seguridad para evitar problemas al integrar múltiples
sistemas informáticos.
 Conocimientos de las tecnologías que permiten el desarrollo de sistemas
adaptables a múltiples dispositivos y fácilmente utilizables.
Las tendencias de futuro I
1. Internet (Banda Ancha)
2. Comunicaciones móviles (3G)
3. Computación ubicua
1. Informatización y conexión en red de todas las cosas
2. Disponer de capacidad de proceso de información en
cualquier lugar y en cualquier momento
3. Equipos móviles, PDA, integración TV-PC, domótica
Las tendencias de futuro II

4.Negocio electrónico (e-Business)

5.Aplicaciones y servicios (software)
6.Tecnologías asociadas a contenidos
ORDENADORES

 Ordenador: conjunto de sistemas mecánicos y

electrónicos diseñado para la gestión automática de
los datos y que puede ser programado
 Hardware: Parte física de un ordenador: pantalla,
teclado, impresora, discos, etc…
 Software: Parte lógica de un ordenador: sistema
operativo, entorno gráfico, datos, etc…
 Un ordenador tiene elementos de ambos grupos ya
que el hardware no sería operativo sin el software
ESTRUCTURA BASICA DE UN
ORDENADOR
 Hardware:
 Dispositivos de entrada: ratón, teclado, joystick, trackball, etc.
 Dispositivos para el proceso de la información: procesador, memoria
principal, electrónica de la placa base.
 Dispositivos de almacenamiento de la información: disco duro, diskette, cd-
rom, zip, jazz, etc.
 Dispositivos de salida: monitor, impresora, plotter.
 Software:
 Sistema operativo
 Programas de usuario
 Datos
 Existen diferentes clases de ordenadores, nosotros nos referiremos a
los personales
COMPONENTES DE UN
ORDENADOR

 Información de entrada: Cualquier información que se

introduce en el ordenador para ser procesada:
conocida, invariable y estática.
 Información de salida: Cualquier información
generada en un ordenador por medios automáticos:
desconocida, variable y dinámica
 Proceso: Mecanismo automático, conocido y bien
definido por el cual un ordenador es capaz de obtener
unos resultados a partir de la información de entrada
proporcionada
EJEMPLO PROCESO DE SUMAR
DOS NUMEROS

 Información de entrada: los dos números a sumar (5 y 12)

 Proceso: Sumar los dos números (5+12)
 Información de salida: la suma de ambos (17)

 Procesador: componente principal del ordenador capaz de

procesar la información
CAMINO DE LA INFORMACION

 Introducir la información en el ordenador mediante los

dispositivos de entrada
 Almacenar la información en los dispositivos de
almacenamiento
 Procesar la información para obtener resultados
mediante los dispositivos de proceso
 Visualizar los resultados en los dispositivos de salida
y/o almacenarlos
DISPOSITIVOS I

Dispositivos de entrada
 Ratón: se utiliza como puntero
 Teclado: dispositivo de entrada por
excelencia
 Se divide en: alfanumérico, numérico,
desplazamiento, teclas grises, teclas de función,
teclas especiales.
DISPOSITIVOS II
Dispositivos para el proceso de la información
 Procesador: se conoce también como CPU (unidad
central de proceso), es el cerebro del ordenador.
 Memoria: la memoria principal RAM almacena la
información cuando esta es procesada
 Electrónica de la placa base: circuito electrónico
principal en el que se interconectan el procesador, la
memoria y otros dispositivos
DISPOSITIVOS III

 Dispositivos de almacenamiento
 Disco duro: unidades de almacenamiento de gran
capacidad
 Disquete: Son discos de pequeño tamaño y
capacidad
 CD-Rom: Son como los cds de música
 Pendrives :unidad de almacenamiento extraíble
 Disco Duro externo
DISPOSITIVOS IV

 Dispositivos de salida
 Pantalla: permite visualizar imágenes y texto: tamaño,
resolución y frecuencia de refresco
 Impresora: permite presentar los resultados en un soporte
definitivo (papel)
 Componentes: sistema de alimentación del papel, cabeza de
impresión, placa de control, botones y luces de control, conectores
y cables.
 Tipos: matriciales, de inyección y láser.
 Sistema operativo
 Es el componente software más importante ya que entre otras
funciones se ocupa de que el Hw funcione bien
DISPOSITIVOS V

 Los SO más conocidos son: ms-dos, unix, linux, windows 3.1 95 98, NT,
XP y 2003, OS/2, MacOS
 Funciones de un Sistema Operativo :
 Gestión de procesos: gestionar los recursos que soliciten
 Gestión de la memoria: la memoria RAM es limitada
 Gestión del almacenamiento secundario: guardar y recuperar información
 Gestión de E/S: la información llegue a los dispositivos y sea tratada
correctamente
 Gestión de archivos: la información se almacena en archivos y se estructura
en directorios
 Programas de usuario
 Se compone de todo el software que no es el SO: Procesador de texto,
hojas de cálculo, agendas, juegos, aplicaciones gráficas, etc.
FUNCIONAMIENTO DE UN
PROGRAMA

 Entrada de datos: el programa solicita los

datos necesarios para resolver el programa:
los scanf
 Proceso de la información: el programa opera
con los datos para obtener el resultado: una
suma
 Salida de resultados: presentación en pantalla
del resultado: los printf
TIPOS DE PROGRAMAS

 Programas de uso universal

 Numéricos
 Procesadores de texto
 Gráficos
 Gestión
 De información remota
 Programas de uso particular
 Informática
 Ingeniería
 Seguridad
RED DE ORDENADORES I

 Una red es un sistema que permite conectar

varios ordenadores entre sí.
 Para que un ordenador se pueda conectar a
una red necesita una tarjeta de red.
 Los ordenadores de una red se comunican
mediante el envío de mensajes.
 Cada ordenador de una red tiene una dirección
única.
RED DE ORDENADORES II

Ordenador 7

Ordenador 10
REDES LOCALES I

 Las redes locales también se denominan LAN

(Local Area Network - Red de Área Local)
 Se trata de redes donde los ordenadores están
relativamente próximos:
 En la misma sala.
 En el mismo edificio.
REDES LOCALES II

 Las redes locales son útiles porque...

 Facilita el acceso de los usuarios a los recursos.
 Permite compartir:
 Información.
 Programas.

 Dispositivos (impresoras, discos, etc.)

 Facilita la comunicación entre los usuarios.

 Acceder a otras redes.
REDES LOCALES III
 Redes de Área Metropolitana (MAN)
 Son una versión mayor de la LAN y
utilizan una tecnología muy similar.
Actualmente esta clasificación ha caído en
desuso, normalmente sólo distinguiremos
entre redes LAN y WAN.
REDES EXTENSAS I

 Las redes extensas también se denominan WAN

(Wide Area Network - Red de Área Extensa).
 Las redes extensas abarcan áreas geográficas muy
amplias y los ordenadores que las forman están a
muchos kilómetros.
 Las redes extensas utilizan redes de
telecomunicaciones públicas o privadas, satélites,
etc.
REDES EXTENSAS II

 Dos ordenadores de redes locales distintas y muy

alejadas pueden conectarse a través de una red
extensa.
 Una red local precisa de un ordenador específico
para poder conectarse con el exterior.
 Tal ordenador se denomina encaminador o
pasarela puesto que los mensajes para el exterior
son encaminados o reenviados.
REDES EXTENSAS III

Red
Extensa
INTERNET

 Internet es una red de ámbito mundial formada por la

agregación de redes más pequeñas...
 Redes nacionales que funcionan según las
especificaciones de Internet y que están formadas por
redes más pequeñas...
 Redes de compañías privadas, organismos públicos y
académicos que funcionan según las mismas
especificaciones y que están formadas por redes más
pequeñas : las redes locales.
CONCEPTOS BASICOS DE INTERNET I

 Todos los ordenadores que se conectan a Internet tienen una dirección y un

nombre únicos.
 Para conseguir esto se sigue un sistema jerárquico basado en dominios.
 Se establecen dominios nacionales y administrativos (p.e. es para España y
com para empresas).
 Cada dominio es responsable de repartir nombres de subdominio únicos
(p.e. uniovi para la Universidad de Oviedo)
 Cada subdominio es responsable de repartir nombres de subdominios de
menor nivel (p.e. euitio para la Escuela de Informática de Oviedo)
 El responsable del último subdominio da nombres a cada ordenador (p.e.
petra para uno de los ordenadores de la Escuela de Informática)
 El nombre completo se compondría de todos esos nombres parciales:
petra.euitio.uniovi.es
CONCEPTOS BASICOS DE INTERNET II

 Los ordenadores, sin embargo, no manejan directamente

los nombres sino direcciones numéricas equivalentes.
156.35.94.1 = es.uniovi.euitio.petra
 Para comunicar un ordenador con otro se precisa la
dirección aunque los usuarios proporcionen un nombre.
 Para solucionar esto existen ordenadores denominados
servidores de nombres que traducen el nombre en la
dirección numérica equivalente.
CONCEPTOS BASICOS DE INTERNET III

 En muchas ocasiones los nombres de los ordenadores son de la

forma:
www.uniovi.es
www.yahoo.com
www.elcorteingles.es
 Tales nombres son alias, existe un ordenador dentro de cada
dominio (uniovi, yahoo o elcorteingles) que traduce el alias a su
nombre verdadero.
 Por ejemplo www.euitio.uniovi.es es un alias de
petronila.euitio.uniovi.es.
SERVICIOS DE INTERNET I

 Internet sólo es un medio para conectar dos ordenadores

independientemente de su localización geográfica para
permitir una transmisión de mensajes entre ellos.
 Internet, por sí sola, no ofrece nada; lo fundamental son
los servicios que funcionan sobre Internet.
 Por ejemplo, el servicio de correos sólo permite enviar
cartas y paquetes; sin embargo, es posible utilizarlo para
comprar contra reembolso, votar o realizar chantaje.
SERVICIOS DE INTERNET II

 Los servicios más interesantes son:

 Correo electrónico.
 Tablones de noticias.

 Y, por supuesto, el web.

 Hoyen día, la mayor parte de los servicios

pueden hacerse mediante un navegador web.
CONEXIÓN A INTERNET

Puede hacerse :
 Utilizandouna red local de una organización
con conexión a Internet.
 Desde el domicilio :
 Utilizando un módem tradicional y el teléfono.
 Mediante una conexión de fibra óptica (cable)

 Mediante un módem más sofisticado y la línea

telefónica (ADSL).
Desarrollo de Internet y servicios
de banda ancha
 Equipos y redes
informáticas.
 Aplicaciones sobre la red.
 Seguridad de las
aplicaciones en la red.
 Desarrollo de aplicaciones distribuidas
 Diseño y evaluación de sistemas
hipermedia
 Seguridad en comercio electrónico
 Servidores de información
 Sistemas de tiempo real
 Sistemas distribuidos
 Seguridad en sistemas distribuidos
 Enseñanza asistida por ordenador
 Recuperación y acceso a la
información
 Programación avanzada
Tecnologías para comunicaciones
basadas en dispositivos móviles
 Equipos y redes móviles.
 Aplicaciones sobre
dispositivos móviles.
 Seguridad en dispositivos
móviles.
 Computación ubicua: La
informática en todas partes

 Microelectrónica.
 Dispositivos móviles.
 Seguridad en
dispositivos móviles.
Tecnologías para el comercio
electrónico
 Software para el
comercio electrónico.
 Medios de pago
electrónico.
 Tecnologías de comercio
electrónico seguro.
 Software para logística y
distribución.
Tecnologías para la construcción
de nuevas aplicaciones y servicios
 Software básico (Sistema
Operativo).
 Desarrollo de nuevas
aplicaciones.
 Integración de
aplicaciones.
 Integración de servicios.
Tecnologías asociadas a los
contenidos
 Sistemas para la gestión
y protección de la
propiedad intelectual.
 Sistema de pago por uso
de contenidos.
 Dispositivos de acceso a
los contenidos.
 Informática educativa.
SEGURIDAD
INFORMATICA
El Hacker: La Vieja Guardia
 Origen del término a finales de los 60.
 Programador con alto dominio de su profesión,
capaz de solucionar problemas a través de
hacks (segmentos de código muy ingenioso).
 Verdaderos conocedores de la tecnología de
ordenador y telecomunicaciones (85-93).
 La búsqueda del conocimiento siempre fue su
fuerza impulsora.

12/08/21 Adolfo Grego, M.S. 46

El cracker
 Aquella persona que en forma persistente
realiza intentos hasta obtener acceso a
sistemas computacionales. Una vez
logrado el acceso produce daños a los
recursos del sistema atacado.
 No necesariamente tiene el mismo nivel
de conocimientos que el hacker
 La nueva generación o los
¨Scripters¨
 Gente con la capacidad de buscar un
programa en la red y ejecutarlo.
 No hay una meta fija.
 Necesidad de pertenencia, aunque sea
marginal.
 No hay preocupación por las
consecuencias reales de sus actos.
 Se sienten muy frio.

12/08/21 Adolfo Grego, M.S. 48

El Hacker: La Visión del Resto
de los Usuarios
 ¿Qué es eso?
 Eso pasa solo en las películas.
 Yo soy hacker.
 Yo apenas sé como se usa una
computadora.
 Bill Gates se va a encargar de ellos.

12/08/21 Adolfo Grego, M.S. 49

Anatomía de un Ataque
 Blanco conocido.
 ¿Quién quiero ser hoy?
 ¿Dónde está la puerta?
 ¿Cómo entro?
 ¿Quién me vigila?
 Estoy en control. Me perteneces.
 ¿A dónde mas puedo ir?

12/08/21 Adolfo Grego, M.S. 50

Seguridad Informatica

El conjunto de políticas y mecanismos

que nos permiten garantizar la
confidencialidad, la integridad y la
disponibilidad de los recursos de un
sistema.

En la actualidad, el activo más importante

en una organización es la información.
 Confidencialidad

Un sistema posee la propiedad de

confidencialidad si, la información
manipulada por éste no es disponible ni
puesta en descubierto para usuarios,
entidades o procesos no autorizados.
 Integridad

Un sistema posee la propiedad de

integridad si, los datos manipulados
por éste no son alterados o
destruidos por usuarios, entidades o
procesos no autorizados.
 Disponibilidad

Un sistema posee la propiedad

de disponibilidad si, la
información es accesible (está
disponible) en el momento en
que así lo deseen los usuarios,
entidades o procesos
autorizados.
Estrategia de Seguridad
 Análisis de Riesgos : vulnerabilidades /
amenazas
 Definición de la Política de Seguridad
 Selección de los mecanismos que
permiten implantar la Política de
Seguridad.
 Evaluación de las medidas tomadas.
Política de Seguridad
 Definición del conjunto de reglas que
deben respetarse para mantener la
seguridad de la información.
 Depende de los objetivos y metas de la
organización.
Paradigmas :
Existen varios paradigmas:
1) Paranoico: Nada está permitido.
2) Prudente: Lo que no está expresamente
permitido, está prohibido.
3) Permisivo: Lo que no está
expresamente prohibido, está permitido.
4) Promiscuo: Todo está permitido.
Ejemplo de Política
(en lenguaje natural)

 Sólo se permitirá el intercambio de correo

electrónico con redes de confianza.
 Toda adquisición de software a través de
la red debe ser autorizada por el
administrador de seguridad.
 Debe impedirse la iniciacion de los
equipos mediante disco.
 Las reglas de la política de
seguridad

 Sobre los usuarios.

 Sobre la información.
 Sobre los sistemas y equipos.
 Plan de contingencia.
 Cultura de Seguridad Informatica.
Reglas para usuarios
8 Nivel 1y 2 Nivel 3
9

Documento Documento
electrónico electrónico

firma firma
Huella

Encriptación Opcional
Servicios propuestos por la OSI
( oficina de seguridad informatica )

 Autentificación.
 Control de Acceso.
 Confidencialidad.
 Integridad de Datos.
 No Repudiación.
Autentificación
 La autentificación se refiere a demostrar la
identidad de las entidades involucradas en
la transacción. Evita que alguien tome la
identidad de otro. Generalmente toma dos
formas:
 Autentificación del proveedor de bienes o
servicios.
 Autentificación del cliente.
Autentificación.

 Algunos ejemplos de los mecanismos que

permiten implementar este servicio son:

 login, password.
 Kerberos.
 S/Key.
Control de accesos I
 Permite definir quién puede tener acceso a ciertos
recursos, dependiendo de los privilegios o atributos
que posea.
 Permite proteger los recursos del sistema contra el
uso no autorizado.
 Se basa en credenciales o atributos .
 Se aplica a los usuarios y procesos que ya han sido
autentificados.
Control de accesos II
 Como ejemplos de mecanismos para este
servicio podemos mencionar:

 Los permisos en los archivos de Unix.

 Los tickets en Kerberos.
 Los niveles de autorización en un sistema militar.
Confidencialidad I
 Servicio que garantiza la privacidad de los
datos:
 En local.
 En conexiones.
 En modo no conectado.
 En campos selectos.
 En flujo de datos.
Confidencialidad II
 Entre los mecanismos que implementan
este servicio están:
 PGP.
 IPng.
 SSL
 RSA
 DES
Integridad de Datos.
 Permite proteger los datos contra ataques
activos.
 Con recuperación de datos.
 Sin recuperación de datos.
 En campos selectos.
 Los mecanismos principales son: CRCs y
huellas digitales.
 No Repudiación I
 Permite comprobar las acciones
realizadas por el origen o destino de los
datos.
 Con prueba de origen.
 Con prueba de entrega.

 Los mecanismos principales son los

certificados, la notarización y las firmas
digitales.
No repudiación II
 Es necesario garantizar que alguien que
haya recibido un pago no pueda negar este
hecho.
 Es necesario garantizar que alguien que
haya efectuado un pago no pueda negar
haberlo hecho.
 Se requiere de “Notarios”.
Tareas de Seguridad y
Componentes de un
Sistema Operativo
Interfaz de Usuario
Autenticación
Sistema Operativo
Control de Acceso
Asignación
Utilidades Servicios
de Recursos

Sincronización
Sincronización
Concurrencia
Concurrencia
Bibliotecasyy
Bibliotecas Comunicación
CPU MemoriayyE/S
Memoria E/S Comunicación
datosdel
datos delsistema
sistema CPU Interbloqueos
Interbloqueos
......
Tipos de amenazas I
 Interrupción:
 Se destruye un elemento del sistema o se hace
inasequible o inútil.
 Ataque a la disponibilidad.
 Destrucción del hardware.
 Corte de una línea de comunicaciones.
 Inutilización del sistema de gestión de archivos.
Tipos de amenazas II
 Interceptación:
 Una parte no autorizada consigue
acceder a un elemento.
 Ataque al secreto.
 Intervención de las conexiones
telefónicas para conseguir datos de
una red.
 Copia ilícita de archivos o programas.
Tipos de amenazas III
 Modificación:
 Una parte no autorizada no sólo consigue
acceder, sino que falsifica un elemento.
 Ataque a la integridad.
 Cambio de valores en un archivo de datos.
 Alteración de un programa para que se
comporte de manera diferente.
 Modificación del contenido de los
mensajes transmitidos en una red.
Tipos de amenazas IV
 Invención:
 Una parte no autorizada inserta objetos falsos
en el sistema.
 Ataque a la autenticidad.
 Inserción de mensajes falsos en una red.
 Adición de registros a un archivo.
Amenazas sobre los
componentes del sistema I
 Hardware:
 Daños accidentales y deliberados.
 Software:
 Ser eliminado, alterado o dañado.
 Las copias de reserva de las versiones más
recientes pueden mantener una alta
disponibilidad.
Amenazas sobre los
componentes del sistema II
 Datos:
 Implica a los archivos.
 La seguridad abarca la disponibilidad, el
secreto y la integridad.
 El análisis estadístico puede conducir a la
determinación de la información personal que
amenaza la privacidad.
Amenazas sobre los
componentes del sistemaIII
 Redes y líneas de comunicaciones
 Revelar el contenido de mensajes, a
través de un mensaje por correo
electrónico o mediante un archivo
transferido está sujeta a estas
amenazas.
 El cifrado es una forma de enmascarar
el contenido de un mensaje de forma
que si alguien capturara el mensaje
sería incapaz de extraer su información.
Amenazas sobre los
componentes del sistemaIV
 Redes y líneas de comunicaciones
 Una entidad finge ser una entidad
diferente.
 captura pasiva de un dato único y la
subsiguiente retransmisión para producir un
efecto no autorizado.
 modificación de mensajes
 se modifica una porción de un mensaje legítimo
o los mensajes se retrasan o se reordenan para
conseguir un efecto no autorizado.
 Servicios de Seguridad
 Servicios de Autenticación:
 Identificación de usuarios

 Servicios de Privacidad/Confidencialidad:
 Privilegiosde acceso
 Niveles de ejecución/lectura/escritura

Soportados por medio de mecanismos

criptográficos.
Servicios de Seguridad:
Autenticación
 Autenticación (¿quién?)
 Claves (paswords)
 Identificación física
 Tarjetas inteligentes
 Reconocimiento de voz

 Autenticación delegada: entornos distribuidos

 Hora permitidas de acceso.
Servicios de Seguridad:
Privacidad/Confidencialidad I

Derechos de acceso (¿qué?)

 Objeto => qué usuarios y qué derechos
 Usuario => qué objetos y qué derechos
 Formato de definición de dicha relación: por
objeto / por usuario.
Servicios de Seguridad:
Privacidad/Confidencialidad II
Dominios de Protección:
 Conjunto de pares (objeto, derechos)
 Ejemplo: D1=[(datos,RW),(/dev/lp,W)]
 Simplificación en UNIX:
 Lectura(R), Escritura(W), Ejecución(X)
 Dominios: Propietario, Grupo, Otros
 Control de acceso orientado al
usuario
 Conexión:
 Requiere un identificador de usuario (ID) y una
contraseña.
 El sistema permitirá a un usuario conectarse sólo si el
ID es conocido por el sistema y si la contraseña
asocidad a dicho ID es correcta.
 Los usuarios pueden revelar sus contraseñas
accidental o deliberadamente.
 Los piratas informáticos (hackers) son muy
habilidosos en adivinar contraseñas.
 El esquema ID/contraseña está sujeto a intentos de
penetración.
Control de acceso orientado a
los datos
 Asociado con cada usuario, puede haber un perfil
de usuario que especifique las operaciones y los
accesos a archivos permisibles.
 El sistema operativo puede hacer valer estas
reglas.
 El sistema gestor de la base de datos controla el
acceso a registros específicos o, incluso, partes
de un registro.
Servicios de Seguridad:
Privacidad/Confidencialidad
Matrices de Protección:
 Define la relación entre dominios y objetos del
sistema.
 Problemática:
 Puede ser muy grande y dispersa
 Estructura estática (dominios y objetos fijos)
 Soluciones:
 Recorrerla por columnas: listas de control de acceso
(ACL)
 Recorrerla por filas: capacidades
Matriz de acceso
 Sujeto:
 Una entidad capaz de acceder a los objetos.
 Objeto:
 Cualquier cosa cuyo acceso debe controlarse.
 Derecho de acceso:
 La manera en que un sujeto accede a un objeto.
Matriz de acceso
Archivo 1 Archivo 2 Archivo 3 Archivo 4 Cuenta 1 Cuenta 2
Propietario Propietario
Usuario A Solicitar
R R
crédito
W W
Propietario
Solicitar Solicitar
Usuario B R R W R débito crédito
W
R Propietario
Solicitar
W R R
Usuario C débito
W

(a) Matriz de acceso

Figura 15.4. Estructuras de control de acceso.

Listas de control de acceso
 La matriz se puede descomponer en
columnas.
 Para cada objeto, una lista de control de
acceso enumera los usarios y sus
derechos de acceso permitidos.
Listas de control de acceso
Archivo 1 B B C
Prop. R
R R
W W

Archivo 2
B C
Prop.
R R
W

Archivo 3 A B
Prop.
R W
W

Archivo 4 B C
Prop.
R R
W

(b) Lista de control de acceso para archivos de parte (a)

Figura 15.4. Estructuras de control de acceso.

Etiquetas de capacidades de
acceso
 Descomposición por filas de la matriz de
acceso.
 Especifica los objetos y las operaciones
autorizadas para un usuario.
Etiquetas de capacidades de
acceso Usuario A Arc. 1 Arc. 3

Prop. Prop.
R R
W W

Usuario B Arc. 1 Arc. 2 Arc. 3 Arc. 4

Prop.
R R W R
W

Usuario C Arc. 1 Arc. 2 Arc. 4

Prop.
R R R
W W

( c) Lista de capacidades de acceso para usuarios de parte (a )

Figura 15.4. Estructuras de control de acceso.

Técnicas de intrusión
 El objetivo de los intrusos es obtener
acceso al sistema o aumentar el conjunto
de privilegios accesibles en un sistema.
 La información protegida que el intruso
obtiene es una contraseña.
Técnicas de obtención de
contraseñas I
 Probar las contraseñas empleadas en las cuentas
estándares que se suministran junto al computador.
 Probar exhaustivamente todas las contraseñas
cortas.
 Probar palabras del diccionario o de una lista de
contraseñas probables.
 Reunir información sobre los usuarios y utilizarlo
como contraseña.
Técnicas de obtención de
contraseñasII
 Probar los números de teléfono de los
usuarios, sus números de cedula y números
de habitación.
 Probar todos los números legales de
matrículas del estado.
 Emplear un caballo de Troya para saltarse
las restricciones de acceso.
 Intervenir la línea situada entre un usuario
remoto y el sistema anfitrión.
El ID proporciona seguridad
 Determina si el usuario está autorizado para obtener
acceso al sistema.
 Determina los privilegios que corresponden al
usuario:
 Lascuentas anónimas y sus usuarios tienen privilegios
más restringidos que los demás.
 El ID se emplea en el control de acceso discrecional:
 Un usuario les puede conceder permisos para leer
archivos proporcionando los ID.
Estrategias de elección de
contraseñas
 Contraseñas generadas por computador:
 Los usuarios pueden encontrar dificultades a
la hora de recordarlas.
 Necesidad de escribirlas.
 Tienen antecedentes de escasa aceptación.
Estrategias de elección de
contraseñas I
 Inspección reactiva de contraseñas:
 El sistema ejecuta periódicamente su propio
averiguador de contraseñas para encontrar
contraseñas adivinables.
 El sistema cancela todas las contraseñas que se
adivinen y se lo notifica al usuario.
 Se consumen recursos para realizarlo.
 Un pirata informático puede utilizarla en su propia
CPU con una copia del archivo de las contraseñas.
Estrategias de elección de
contraseñas II
 Inspección proactiva de contraseñas:
 En el momento de la selección, el sistema
comprueba si la contraseña es permisible.
 Con las directrices del sistema, los usuarios
pueden elegir contraseñas recordables que
son difíciles de adivinar.
Detección de intrusiones I
 Supone que el comportamiento del intruso
se diferencia del comportamiento del usuario
legítimo.
 Detección de anomalías estadísticas:
 Recolección de datos del comportamiento de los
usuarios legítimos durante un periodo de tiempo.
 Las pruebas estadísticas determinan si el
comportamiento no es legítimo.
Detección de intrusiones II
 Detección basada en reglas:
 Se construyen reglas para detectar
desviaciones con respecto a pautas de uso
anteriores.
 Un sistema experto persigue
comportamientos sospechosos.
Detección de intrusiones III
 Registros de auditoría:
 Registros de auditoría nativos:
 Todos los sistemas operativos incluyen un software de
contabilidad que reúne información sobre la actividad de
los usuarios.
 Registros de auditoría específicos para la detección:
 Se puede implantar un servicio de recopilación que genere
registros de auditoría que contengan sólo aquella
información que sea necesaria para el sistema de
detección de intrusiones.
Programas malignos
 Aquellos que necesitan un programa anfitrión:
 Fragmentos de programas que no tienen
existencia independiente de un programa de
aplicación, de utilidad o del sistema.
 Independientes:
 Programas que por sí mismos pueden ser
planificados y ejecutados por el sistema operativo.
 Programas
malignos

Necesitan programa
anfitrión Independientes

Bombas lógicas Caballos de Virus Gusano Zombie

Trampillas
Troya

Reproducibles

Figura 15.7. Taxonomía de programas malignos.

Donde Ocurren los virus
 Grandes redes de
comunicaciones
 Gran cantidad de programas
 Interacción entre múltiples
usuarios
 Redes mal gestionadas o
insuficientemente protegidas
 Múltiples servicios de red
accesibles desde cualquier PC
 Personas dispuestas a
introducirse en otros equipos
¿Qué es un virus?
 Es un programa
 Semeja la forma de actuar de un virus
humano
 Características
 Es dañino
 Es autoreproductor
 Es subrepticio
 Módulos de un virus
 Modulo reproductor
 Modulo de ataque (opcional)
 Modulo de defensa (opcional)
¿Cómo surgen los virus?
 El ciclo de vida de un virus es:
 Programación y desarrollo
 Expansión
 Actuación
 Extinción o mutación

 Sus creadores suelen ser personan con muchos

conocimientos en informática y con ‘diversas’
intenciones
¿Por qué se hace un virus?
 Interés científico
 Hobby
 Propaganda o difusión de quejas
 Orgullo y afán de superación
 Factores psicológicos
 Descubrir falta de protección
Tipos de virus
 Según se alojen y reproduzcan
 Virus de sector de arranque
 Virus de archivo
 De acción directa
 De sobreescritura

 De compañía

 Virus de macro
 Virus BAT
 Virus del MIRC
Tipos de virus
 Según sus acciones o modo de activación
 Bombas lógicas
 Camaleones (caballos de troya)
 Reproductores
 Gusanos (worms)
 Backdoors
Funcionamiento de los virus
 Proceso de infección
 Por archivos
 Por sector de arranque o FAT

 Técnicas de programación
 Stealth(ocultación)
 Tunneling
 Antidebuggers
 Polimórficos o automutación
 Residentes en memoria (TSR)
Características de los virus
 Son programas pequeños y ‘eficientes’
 Su principal objetivo es la infección
 Se camuflan en el computador infectado
 Reorientando la escritura
 Modificando el tamaño de los ficheros
 Encriptándose
 Mutando
 Son transportados por la red o el
intercambio de programas
 Daños que puede hacer un
virus
 Daños triviales
 Daños menores
 Daños moderados
 Daños mayores
 Daños severos
¿Qué no es un virus?
 HOAX (avisos falsos)
 BUGS (errores de programa)
 Falsas alarmas de virus
 Programas corruptos
¿Qué es un antivirus?
 Un antivirus es un programa, y
como todo programa sólo
funcionará bien si es adecuado y
está bien configurado.
 Su función principal es detectar la
presencia de virus en un
computador, y en su caso, poder
eliminarlo.
 Es deseable que sean eficientes y
que no entorpezcan el normal
funcionamiento de las tareas
comunes.
Técnicas antivirus
 Escaneo (presentan una solución a
posteriori, y necesitan que el virus sea
conocido)
 Algoritmos heurísticos (pueden detectar
virus nuevos, pero ‘sospechan’ de
demasiadas cosas)
 Chequeadores de integridad (comprueban
la validez de la información y controlan los
cambios críticos)
 La mayoría de los antivirus actuales
combinan todas las técnicas.
Síntomas de una infección
 El sistema operativo se vuelve ‘lento’
 El tamaño de los programas cambia
 Se ocupa espacio sin razón aparente en
memoria o disco
 Aparecen archivos ‘extraños’
 Aparecen mensajes extraños o absurdos
 Hay accesos no controlados al disco duro
o las disqueteras
 Los programas tardan mucho en cargarse
 Características específicas de infección
por un determinado virus
¿Cómo prevenir la
infección?
 Tener un sistema antivirus y usarlo
correctamente
 Revisar cuidadosamente la información que nos
llega y desconfiar de ‘fuentes’ no seguras
 Variar la secuencia de arranque para no
arrancar por error desde el disquete
 Actualizar con frecuencia la base de datos de
escaneo del antivirus
 Usar los chequeadores de integridad
proporcionados por los antivirus
Resumen I
 No todo lo que afecte el normal funcionamiento
de una computadora es un virus.
 TODO virus es un programa y, como tal, debe
ser ejecutado para activarse.
 Es imprescindible contar con herramientas de
detección y desinfección.
 NINGÚN sistema de seguridad es 100%
seguro. Por eso todo usuario de computadoras
debería tratar de implementar estrategias de
seguridad antivirus, no sólo para proteger su
propia información sino para no convertirse en
un agente de dispersión de algo que puede
producir daños graves e indiscriminados.
Resumen II
 Deberíamos revisar:
 Todos los discos nuevos antes de utilizarlos
 Todos los discos que se hayan prestado
 Todos los programas que se obtengan por
módem o redes
 Revisar periódicamente el computador (se
puede considerar que una buena frecuencia de
análisis es, por lo menos, mensual)
 Una lista de lugares dónde acudir
 Un sistema de protección residente
RESUMEN
Función de densidad de
probabilidad
Perfil del comportamiento de
Perfil del comportamiento
un usuario autorizado
de un intruso

Coincidencia en el
comportamiento
observado o esperado

Comportamiento Comportamiento medio Parámetro de medida del

medio de un intruso de un usuario autorizado comportamiento

Figura 15.6. Perfiles de comportamiento de intrusos y usuarios autorizados.

Protección I
 Ninguna protección:
 Los procedimientos delicados se ejecutan en
distintos instantes.
 Aislamiento:
 Cadaproceso opera separadamente de los
demás, sin compartimiento ni comunicación.
Protección II
 Compartir todo o nada:
 Elpropietario de un objeto lo declara como
público o privado.
 Compartir por limitación del acceso:
 El sistema operativo comprueba la licencia de
cada acceso de un usuario específico a un
objeto específico.
 El sistema operativo actúa como un guarda.
 Protección III
 Compartir por capacidades dinámicas:
 Creación dinámica de derechos de compartimento para los
objetos.
 Uso limitado de un objeto:
 Limitano sólo el acceso a un objeto, sino también el uso a
que se puede dedicar dicho objeto.
 Ejemplo: se puede permitir a un usuario acceder a una base
de datos para sacar resúmenes estadísticos, pero no
determinar valores de datos específicos.
Protección de la memoria
 Seguridad.
 Asegurar el funcionamiento correcto de
los diversos procesos que estén activos.
Trampillas
 Punto de entrada a un programa que permite a
alguien que la conoce conseguir el acceso.
 Utilizadas por los programadores para depurar y
probar los programas:
 Evitatoda la configuración y autenticación necesarias.
 Hay un método para activar el programa en el caso
de que algo vaya mal en el procedimiento de
autenticación.
Bomba lógica
 Código incrustado en un programa
legítimo que “explota” cuando se cumplen
ciertas condiciones:
 Presencia o ausencia de ciertos archivos.
 Día concreto de la semana.
 Un usuario en particular ejecuta la aplicación.
Caballos de Troya
 Programa útil que contiene un código oculto
que, cuando se invoca, lleva a cabo alguna
función dañina o no deseada.
 Se pueden utilizar para efectuar funciones
indirectamente que un usuario no autorizado
no podría efectuar directamente.
 El
usuario puede conceder permiso de acceso a
sus archivos para que puedan ser leídos por
cualquier usuario.
Virus
 Programa que puede “infectar” a otros
programas, alterándolos.
 La alteración incluye una copia del programa
de virus.
 El programa infectado puede seguir
infectando a otros programas.
 Gusanos
 Emplean conexiones de la red para extenderse de un
sistema a otro.
 Servicio de correo electrónico:
 El gusano divulga una copia de sí mismo a otros sistemas.
 Capacidad de ejecución remota:
 El gusano ejecuta una copia de sí mismo en otro sistema.
 Capacidad de conexión remota:
 Elgusano se conecta a un sistema remoto como un usuario y después
emplea órdenes para copiarse a sí mismo de un sistema a otro.
Zombies
 Programa que secretamente toma
posesión de otro computador conectado a
Internet.
 Utiliza ese computador para lanzar
ataques que hacen difícil detectar a su
creador.
Etapas de un virus I
 Fase latente:
 El virus está inactivo.
 Fase de propagación:
 El virus hace copias idénticas a él en otros
programas o en ciertas áreas del sistema del
disco.
Etapas de un virus II
 Fase de activación:
 El virus se activa para llevar a cabo la función
para la que está pensado.
 Puede producirse por múltiples sucesos del
sistema.
 Fase de ejecución:
 Se lleva a cabo la función.
Tipos de virus I
 Parásitos:
 Se enganchan a archivos ejecutables y se
reproducen.
 Al ejecutar el programa infectado, busca otros
archivos ejecutables que infectar.
 Residentes en la memoria:
 Se alojan en la memoria principal como parte de un
programa del sistema residente.
 Una vez en la memoria, infecta todos los programas
que se ejecutan.
Tipos de virus II
 Del sector de arranque:
 Infectael sector de arranque (boot record).
 Se propaga cuando el sistema arranca desde el
disco que contiene el virus.
 Clandestino:
 Diseñado para esconderse de la detección
mediante un software antivirus.
 Puede utilizar compresión.
Tipos de virus III
 Polimorfo:
 Muta con cada infección, haciendo imposible
la detección por la “firma” del virus.
 El motor de mutación crea una clave de
cifrado aleatoria para cifrar el resto del virus.
 Dicha clave se almacena junto con el virus.
Virus de macros I
 Independiente de la plataforma:
 Lamayoría infecta documentos de Microsoft
Word.
 Infectan documentos, no trozos de código
ejecutable.
 Se extienden fácilmente.
Virus de macros II
 Una macro es un programa ejecutable incrustado en un
documento de procesador de texto u otro tipo de
archivo.
 Macros autoejecutables en Word:
 Autoejecutable:
 Se ejecuta cuando arranca Word.
 Automacro:
 Se ejecuta cuando se produce un suceso definido, como la apertura o
cierre de un documento.
 Macro de orden:
 Se ejecuta cuando el usuario invoca esta orden (por ejemplo: Guardar).
Métodos antivirus
 Detección.
 Identificación.
 Eliminación.
Descifrado genérico
 Emulador de CPU:
 Las instrucciones de un archivo ejecutable las
interpreta un emulador en vez de hacerlo el
procesador.
 Exploración de la firma del virus:
 Explora el código objetivo buscando virus conocidos.
 Módulo de control de emulación:
 Control de ejecución del código objetivo.
Sistema de inmunización digital
 Desarrolado por IBM.
 La razón de este desarrollo fue el
aumento de la amenaza de virus
difundidos a través de Internet.
 Sistemas de correo integrados.
 Sistemas de programas móviles.
 Máquina
cliente
infectada de
Máquinas de Máquina Máquina
virus
Analizar el análisis de cliente
comportamiento y administrativa
virus
estructura del virus

Red Máquina
cliente
Extraer privada Máquina
firma cliente

Deducir
prescripción
Máquina Cliente
administrativa

Otra red
Cliente
Cliente privada
Usuario
individual

Figura 15.8. Sistema de inmunización digital.

Virus de correo electrónico
 Se activa cuando el destinatario abre un
archivo adjunto a un correo electrónico.
 Se activa abriendo el correo que contiene el
virus.
 Utiliza el lenguaje de guiones Visual Basic.
 Se propagan a todas las direcciones de correo
electrónico conocidas en la máquina infectada.
Sistemas de confianza
 Seguridad multinivel:
 Información organizada en categorías.
 No leer arriba:
 Sólo puede leer objetos de un nivel de seguridad
menor o igual.
 No escribir abajo:
 Sólo escribe objetos de un nivel de seguridad
mayor o igual.
 Archivo de
auditoría

Monitor de
referencia
Sujetos (política) Objetos

Bases de datos de
seguridad del núcleo

Sujeto: credencial de
seguridad
Objeto: clasificación
de seguridad

Figura 15.9. Concepto de monitor de referencia.

Defensa contra caballos de
Troya I
Roberto
“CPE Roberto: LE
170KS”
Archivo de
Program datos
a

Alicia: LE

Alicia Roberto:E

Archivo
Programa “bolsillo trasero”

(a)

Figura 15.10. Caballo de Troya y Sistema Operativo Seguro.

Defensa contra caballos de
Troya II
Roberto
“CPE Roberto: LE
170KS”
Archivo de
Programa datos

Alicia: LE
Alicia Roberto:E

Archivo
Programa “bolsillo trasero”

(b)

Figura 15.10. Caballo de Troya y Sistema Operativo Seguro.

Defensa contra caballos de
Troya III Monitor de
Roberto referencia
“CPE Roberto: LE
170KS”
Archivo de
Programa datos

Alicia: LE
Alicia Roberto:E

Archivo
Programa “bolsillotrasero”

(c)

Figura 15.10. Caballo de Troya y Sistema Operativo Seguro.

Defensa contra caballos de
Troya IV Monitor de
Roberto referencia
“CPE Roberto: LE
170KS”
Programa Archivo de
datos

Alicia: LE
Alicia Roberto:E

Archivo
Programa “bolsillotrasero”

(d)

Figura 15.10. Caballo de Troya y Sistema Operativo Seguro.

Seguridad en Windows 2000
 Esquema de control de accesos:
 Nombre/contraseña.
 La señal de acceso se asocia al objeto que
representa al proceso, indicando los
privilegios que un usuario puede tener
asociados.
Señal de acceso I
 ID de seguridad:
 Identifica
unívocamente al usuario en todas las
máquinas de la red (nombre de conexión).
 SID de grupo:
 Lista de los grupos a los que pertenece el usuario.
 Privilegios:
 Listade servicios del sistema sensibles a la
seguridad que el usuario puede pedir.
Señal de acceso II
 Propietario por omisión:
 Siun proceso crea otro objeto, este campo
especifica quién es el propietario.
 ACL por omisión:
 Listainicial de protecciones que se aplican a
los objetos que crea el usuario.
Descriptores de seguridad
 Indicadores:
 Definen el tipo y el contenido de un descriptor de
seguridad.
 Propietario:
 Elpropietario del objeto puede realizar en general
cualquier acción sobre el descriptor de seguridad.
 Lista de Control de Acceso del Sistema (SACL):
 Especifica
los tipos de operación sobre el objeto que
deben generar mensajes de auditoría.
 Lista de Control de Acceso Discrecional (DACL):
 Determina qué usuario y grupos pueden acceder al
objeto y para qué operaciones.
 Eliminar
Leer control
Escribir DAC
Tipos de acceso Escribir propietario
genéricos Sincronizar

Tipos de acceso Tipos de acceso

estándar específicos

Seguridad del sistema de acceso

Máximo permitido

Todo
genéricogenérica
Ejecución
Escritura genérica
Lectura genérica

Figura 15.12. Máscara de acceso.

FIN DE LA
PRESENTACION
¿ ALGUNA PREGUNTA ?