Seguridad centrada en el nodo
Páginas: 21 (5227 palabras)
Publicado: 14 de agosto de 2015
Seguridad en Sistemas Informáticos
(SSI)
Seguridad centrada en el nodo
Carlos Pérez Conde
Departament d'Informàtica
Escola Técnica Superior d'Enginyeria
Universitat de València
28/02/08
Carlos Pérez, Dpto. de Informática, ETSE, UVEG
1
Guión
●
Seguridad física
●
Autentificación y control de acceso
●
Implicaciones de seguridad de los servicios
●
Control de acceso mediante envolventes(wrappers)
●
Auditoría y registros
●
Integridad del sistema
●
Detección de intrusos
28/02/08
Carlos Pérez, Dpto. de Informática, ETSE, UVEG
2
Seguridad física (I)
Seguridad física = barreras que protegen la consola
●
●
no debe ser el punto más débil de la cadena de seguridad
●
Mantener un plan de seguridad física
●
Protección de los componentes físicos
●
Mantener un entornoadecuado (monitorización continua)
fuego, humo, polvo, terremotos, explosiones, temperaturas extremas, insectos, ruido
eléctrico, rayos, vibraciones, humedad, agua...
●
Prevenir accidentes
comida y bebida, golpes casuales, caídas de equipos, enganchones con cables...
●
Cuidado con el acceso físico
suelos elevados y falsos techos, conducciones de aire, paredes transparentes...
●
●
VandalismoPrevenir robos y limitar los daños que pueden causar
anclar los sistemas, encriptación, ojo con portátiles y PDAs, equipos de repuesto...
28/02/08
Carlos Pérez, Dpto. de Informática, ETSE, UVEG
3
Seguridad física (II)
Protección de los datos
●
●
●
●
●
28/02/08
Escuchas a escondidas (eavesdropping)
directamente, de la red, de las emisiones electromagnéticas, puertos
auxiliares en terminalesProtección de las copias de seguridad
verificación, protección física, destruir el medio antes de desecharlo,
encriptación
Protección del almacenamiento local
impresoras y buffers de impresión, particiones de intercambio
Terminales desatendidas
auto-desconexión, salva-pantallas con contraseña
Carlos Pérez, Dpto. de Informática, ETSE, UVEG
4
Guión
●
Seguridad física
●
Autentificación ycontrol de acceso
●
Implicaciones de seguridad de los servicios
●
Control de acceso mediante envolventes (wrappers)
●
Auditoría y registros
●
Integridad del sistema
●
Detección de intrusos
28/02/08
Carlos Pérez, Dpto. de Informática, ETSE, UVEG
5
Gestión de cuentas
Altas
●
●
●
Bajas
●
●
●
Desactivar inmediatamente las cuentas que dejen de usarse
Cambiar todas las contraseñas que elque se va sabía
(idealmente: cambiar todas las cuentas)
Evitar las cuentas compartidas (mejor usar grupos)
●
●
●
28/02/08
No activar cuentas sin contraseña (o con contraseña trivial)
Mejor utilizar grupos que utilizar cuentas compartidas
difuminan la responsabilidad
difíciles de controlar
Carlos Pérez, Dpto. de Informática, ETSE, UVEG
6
Riesgos de las contraseñas
Fáciles de adivinar porpersonas
●
●
●
●
Fáciles de adivinar por ordenadores
●
●
●
●
Cualquier palabra que pueda aparecer en un diccionario
Cualquier modificación de éstas: reordenación, sustitución de caracteres,
desplazamientos en orden alfabético
Contraseñas cortas y/o con caracteres poco variados
Ej: 4 minúsculas -> 264 (menos de 0'5 millones de posibilidades)
Observables
●
●
●
28/02/08
Triviales: nombre deusuario, password, passwd...
Datos personales que otras personas pueden conocer/averiguar:
amigos, familiares, personajes, libros, películas favoritas...
Contraseñas por defecto, ejemplos (de este curso, de un libro...)
Mirando por encima del hombro, cámaras...
Observando el tráfico de red (seleccionable)
Carlos Pérez, Dpto. de Informática, ETSE, UVEG
7
Buenas contraseñas
Difíciles de adivinar●
●
●
Fáciles de recordar
●
●
Se evita tener que escribirlas
Fáciles de teclear
●
●
●
28/02/08
Contienen mayúsculas, minúsculas, números y/o caracteres de puntuación
Contienen más de 7 caracteres
Evitar miradas por encima del hombro
Fácil detectar pruebas en la cuenta
Carlos Pérez, Dpto. de Informática, ETSE, UVEG
8
Sugerencias y ejemplos
Juntar 2 ó más palabras con caracteres...
(SSI)
Seguridad centrada en el nodo
Carlos Pérez Conde
Departament d'Informàtica
Escola Técnica Superior d'Enginyeria
Universitat de València
28/02/08
Carlos Pérez, Dpto. de Informática, ETSE, UVEG
1
Guión
●
Seguridad física
●
Autentificación y control de acceso
●
Implicaciones de seguridad de los servicios
●
Control de acceso mediante envolventes(wrappers)
●
Auditoría y registros
●
Integridad del sistema
●
Detección de intrusos
28/02/08
Carlos Pérez, Dpto. de Informática, ETSE, UVEG
2
Seguridad física (I)
Seguridad física = barreras que protegen la consola
●
●
no debe ser el punto más débil de la cadena de seguridad
●
Mantener un plan de seguridad física
●
Protección de los componentes físicos
●
Mantener un entornoadecuado (monitorización continua)
fuego, humo, polvo, terremotos, explosiones, temperaturas extremas, insectos, ruido
eléctrico, rayos, vibraciones, humedad, agua...
●
Prevenir accidentes
comida y bebida, golpes casuales, caídas de equipos, enganchones con cables...
●
Cuidado con el acceso físico
suelos elevados y falsos techos, conducciones de aire, paredes transparentes...
●
●
VandalismoPrevenir robos y limitar los daños que pueden causar
anclar los sistemas, encriptación, ojo con portátiles y PDAs, equipos de repuesto...
28/02/08
Carlos Pérez, Dpto. de Informática, ETSE, UVEG
3
Seguridad física (II)
Protección de los datos
●
●
●
●
●
28/02/08
Escuchas a escondidas (eavesdropping)
directamente, de la red, de las emisiones electromagnéticas, puertos
auxiliares en terminalesProtección de las copias de seguridad
verificación, protección física, destruir el medio antes de desecharlo,
encriptación
Protección del almacenamiento local
impresoras y buffers de impresión, particiones de intercambio
Terminales desatendidas
auto-desconexión, salva-pantallas con contraseña
Carlos Pérez, Dpto. de Informática, ETSE, UVEG
4
Guión
●
Seguridad física
●
Autentificación ycontrol de acceso
●
Implicaciones de seguridad de los servicios
●
Control de acceso mediante envolventes (wrappers)
●
Auditoría y registros
●
Integridad del sistema
●
Detección de intrusos
28/02/08
Carlos Pérez, Dpto. de Informática, ETSE, UVEG
5
Gestión de cuentas
Altas
●
●
●
Bajas
●
●
●
Desactivar inmediatamente las cuentas que dejen de usarse
Cambiar todas las contraseñas que elque se va sabía
(idealmente: cambiar todas las cuentas)
Evitar las cuentas compartidas (mejor usar grupos)
●
●
●
28/02/08
No activar cuentas sin contraseña (o con contraseña trivial)
Mejor utilizar grupos que utilizar cuentas compartidas
difuminan la responsabilidad
difíciles de controlar
Carlos Pérez, Dpto. de Informática, ETSE, UVEG
6
Riesgos de las contraseñas
Fáciles de adivinar porpersonas
●
●
●
●
Fáciles de adivinar por ordenadores
●
●
●
●
Cualquier palabra que pueda aparecer en un diccionario
Cualquier modificación de éstas: reordenación, sustitución de caracteres,
desplazamientos en orden alfabético
Contraseñas cortas y/o con caracteres poco variados
Ej: 4 minúsculas -> 264 (menos de 0'5 millones de posibilidades)
Observables
●
●
●
28/02/08
Triviales: nombre deusuario, password, passwd...
Datos personales que otras personas pueden conocer/averiguar:
amigos, familiares, personajes, libros, películas favoritas...
Contraseñas por defecto, ejemplos (de este curso, de un libro...)
Mirando por encima del hombro, cámaras...
Observando el tráfico de red (seleccionable)
Carlos Pérez, Dpto. de Informática, ETSE, UVEG
7
Buenas contraseñas
Difíciles de adivinar●
●
●
Fáciles de recordar
●
●
Se evita tener que escribirlas
Fáciles de teclear
●
●
●
28/02/08
Contienen mayúsculas, minúsculas, números y/o caracteres de puntuación
Contienen más de 7 caracteres
Evitar miradas por encima del hombro
Fácil detectar pruebas en la cuenta
Carlos Pérez, Dpto. de Informática, ETSE, UVEG
8
Sugerencias y ejemplos
Juntar 2 ó más palabras con caracteres...
Leer documento completo
Regístrate para leer el documento completo.