SlideShare ist ein Scribd-Unternehmen logo

Seguridad de usuario en el acceso a internet 1

Cein
Cein
1 von 24
Downloaden Sie, um offline zu lesen
Curso: Seguridad de usuario en el acceso a Internet Juan Carlos Rodríguez jcrodriguez@s21sec.com Acceso Internet •Cada día mayor número de conexiones a Internet permanentes. •Escaso conocimiento de los usuarios de las aplicaciones que utilizan •Mínimos conocimientos de las implicaciones de seguridad en el uso de las nuevas tecnologías. •Interés creciente en la utilización de programas para la descarga de audio y video. •Mayor número de servicios “Online” •Banca Electrónica •Reservar de viajes •Compras y subastas
Comercio electrónico en Internet Tecnologías de seguridad ¿Cuántos usuarios conocen las tecnologías empleadas en la seguridad informática y telemática? FIREWALL CERTIFICADOS DIGITALES ANTISPAM FIRMA DIGITAL ANTIVIRUS ALGORITMOS DE CIFRADO SPYWARE SERVICE PACKS, HOTFIX JAVASCRIPT ACTIVEX
Riesgos en la autenticación El acceso a determinados servicios requiere la acreditación del visitante. ¿Es siempre seguro introducir el usuario/password? Estamos ante una página “segura” (conexión SSL), pero: ¿Estamos seguros que la página presentada es la autentica? ¿Estamos seguros que nada ni nadie está registrando los datos que introducimos en el ordenador local (keylogger..)? Identificación Digital Autenticación por Usuario/password Es el método más utilizado, incluido en todas las opciones de autenticación de S.O. y/o aplicaciones. (Telnet, FTP, HTTP, Email, ...) Su fiabilidad se basa en la “robustez” de la política de contraseñas a seguir definiendo aspectos como: •Longitud mínima de la contraseña •Complejidad de la contraseña (caracteres utilizados) •Vigencia de la contraseña
Identificación Digital Claves de acceso Ejemplo de configuración de la politica de contraseñas en la Plataforma Windows 2000/XP Identificación Digital Complejidad de la contraseña -Debe de contener una combinación de letras, números y caracteres especiales -No debe ser nunca una posible palabra de diccionario -Debe de cambiarse de contraseña periódicamente y no es conveniente admitir contraseñas anteriormente utilizadas En general resulta difícil su implementación ya que para la mayoría de los usuarios seleccionar una contraseña “robusta” no es tarea sencilla.
Identificación Digital Complejidad de la contraseña Combinación de letras, números y caracteres especiales Como ejemplo, si utilizaramos el alfabeto (a..z) y los numeros naturales para construir la contraseña, las diferentes combinaciones de una palabra de 6 letras son: 366=2.176.782.336 Un ordenador actual puede realizar todas estas combinaciones ! en menos de 2 minutos! Identificación Digital Ejemplo de descubrimiento por fuerza bruta.
Identificación Digital En la actualidad existen “diccionarios” en Internet de numerosos lenguajes (inglés, francés, danés, ...) así como materias diversas (literatura, música, cine,...) Por ello, seleccionar una contraseña de “diccionario” implica su descubrimiento ! en segundos !. Identificación Digital El mayor problema surge en la actitud de muchos usuarios y su incapacidad de generar un password adecuado y ! recordarlo ! Así, es frecuente que los usuarios: •Anoten y tengan “ a mano” las contraseñas que deben utilizar. •Traten de “evadir” la “complejidad” de la contraseña: (Ej: mínimo 7 caracteres, obligatorio letras, números y caracteres.) Contraseña para Enero: pepe01! Contraseña para Febrero: pepe02!
Identificación Digital captura de las contraseñas Numerosos servicios como Telnet, FTP, POP3, ... Solicitan el par Usuario/password como control de acceso. Estos servicios “no utilizan cifrado en la comunicación” por lo que Son facilmente interceptados mediante un sniffer (incluso utilizando Switchs en lugar de hubs). Identificación Digital Recordar contraseñas Utilizar la opción de “recordar” contraseñas en el equipo local puede permitir extraer sin dificultad todas las contraseñas. (ej SnadBoy’s Revelation)
Identificación Digital Claves de acceso: Keyloggers Existen también numerosas aplicaciones software/hardware que registran las pulsaciones efectuadas en el teclado Identificación Digital Ejemplo de captura por “software” la sesión de un usuario:
Mecanismos de seguridad más utilizados ! " Certificados Digitales Los certificados digitales han sido diseñados para garantizar la Identidad en las operaciones por el ciberespacio (Internet) Un certificado en un documento emitido y firmado por una Autoridad de Certificación que identifica una clave pública con su propietario. Su efectividad se basa en la combinación de: * Criptografía de llaves públicas * Infraestructura de llaves digitales (PKI) * El sistema legal
Autoridades Certificadoras ¿En que consiste una Autoridad de Certificación (AC)? # " $% & '( '% " % ') " '# '# * '# * Certificados Digitales Confianza en la AC '+ , - " $ '( " $ '+ " " " . ¿Estamos seguros que la lista que incluye nuestro navegador es de absoluta confianza? ¿Podemos confiar en el lugar desde el que nos ofrecen la descarga del certificado raiz ?
Certificados Raiz de confianza %/ Como se realiza una conexión HTTPS Llave Llave Pública sesión Servidor Web 1 HTTPS Llave Privada 1 2 3 4
Certificados Digitales Seguridad en las conexiones HTTPS ') 0 )( ) , - 1 2 1 ! "2 $ + $$ $$ ¿Estamos conectados al servidor esperado? El certificado que incluye la llave pública con la que se cifrará la posterior llave de sesión. ¿Es de nuestra confianza? Certificados Digitales Ejemplo certificado Servidor Web
Certificados Digitales Ejemplo certificado Servidor Web Resolución de nombres ' + " #( . ! " 3 , - " +$ ' + " !%4 " ' " +
Resolución de nombres Consejos para evitar el Pharming • Si utilizamos un ordenador que no es de nuestra confianza, eliminar antes las entradas en caché de resolución DNS • Comprobar el fichero “hosts” (c:windowssystem32driversetchosts) Resolución de nombres Podemos instalar herramientas que monitorizen si se realizan cambios en el fichero HOSTS, la dirección Url de inicio del navegador, ...
Contraseñas + 3 " 5 $ Contraseñas Mejorar la seguridad en la identificación de usuario La selección de una contraseña “compleja” (longitud mínima de 8 caracteres, formada por combinación de letras, números, caracteres especiales) es la mayor garantía de la seguridad del proceso. Sin embargo es frecuente que los usuarios: • Empleen palabras simples y fáciles de asociar o de obtener mediante un diccionario. • En el caso de utilizar contraseñas complejas, escriban y guarden la contraseña por la dificultad de recordarla. • Utilicen la misma contraseña para acceder a múltiples sitios. ¿Podemos gestionar las contraseñas de una forma más eficiente?
Contraseñas • Los navegadores incorporan la posibilidad de “guardar” las contraseñas utilizadas en los accesos Web. Contraseñas • Podemos utilizar programas de “gestión de identidades” que nos permiten registrar contraseñas complejas para acceder a diferentes servicios sin tener que recordar todas ellas. • Tan sólo es necesario recordar una contraseña “maestra” utilizada para cifrar el acceso al resto de contraseñas.
Contraseñas Recomendaciones generales en la gestión de claves ' 6 7 $8 " 3 $ ' " $ ' # 7 " 1 9 *3 * 3 $2 $$ ' 8 :"$ ' 8 / " 3 ! " * $ ' % " 3 " 3 3 ; / $ ¿En que consiste el “Phising”? '% 3 5 " / " $
PHISING ¿Como se realiza el “Phising”? Mensajes enviados para engañar al usuario, utilizando todo tipo de ingeniosos argumentos relacionados con la seguridad para justificar la necesidad de introducir sus datos de acceso. Un ejemplo de los más comunes pueden ser los siguientes: •Problemas de carácter técnico. •Recientes detecciones de fraude y urge un cambio del nivel de seguridad. •Nuevas recomendaciones de seguridad para prevención del fraude. PHISING Ejemplo de intento de Phising
PHISING • También podrán intentarlo mediante mensajes relacionados con: • – Promoción de nuevos productos de la entidad, – Premios o regalos. • En ocasiones se intenta forzar al usuario a tomar una decisión casi de forma inmediata con amenazas de que si no realiza los cambios solicitados, en pocas horas o días su acceso quedará deshabilitado. • Configuración Seguridad de Internet Explorer.
Seguridad del navegador Podemos configurar nuestro navegador con medidas de seguridad que reduzcan la posibilidad de ser “atacados”, pero a cambio se limitará la “versatilidad” de su uso. Internet Explorer define “4 zonas de seguridad” •Intranet (páginas Web que se encuentran en nuestra misma red) •Sitios de Confianza (confiamos en su contenido) •Sitios Restringidos (no confiamos en su contenido) •Internet (cualquier sitio Web no definido en los 3 anteriores) Cada una de estas zonas tiene configuradas las opciones de seguridad que pueden ser modificadas por el usuario. Zonas de Seguridad de IE
Agregar un sitio de confianza (IE) Podemos “saltar” las restricciones de la zona de Internet indicando que sitios Web son de nuestra confianza. Seguridad DNS La resolución DNS permite acceder a un sitio conociendo su nombre (URL) realizando este servicio la traducción de nombre a dirección IP. ¿Es seguro el servicio DNS? Cada “dominio” en Internet tiene su propio servidor DNS “autoridad” de su zona. Si preguntamos a un servidor DNS por la dirección de un equipo “propio” la respuesta es inmediata y ofrecida por el mismo servidor. A este se le conoce como “Respuesta Autoritativa” Si preguntamos por una máquina de un dominio diferente, el servidor no conoce la respuesta (esta fuera de su “zona”) y debe preguntar a otro servidor DNS en Internet de nivel superior. ¿Podemos estar seguros que la respuesta que recibe es verdadera?
Resolución DNS Consulta sobre un equipo del Consulta sobre un equipo de mismo (Servidor DNS SOA diferente dominio. de s21edu.com) La respuesta no es autoritativa ¿Cómo sabemos que la dirección IP entregada a nuestro servidor DNS Es autentica? Resolución DNS Las consultas DNS (udp 53) no se envian cifradas por lo que pueden ser interceptadas. En udp, no hay control de la conexión y por ello da por “fiable” solamente por incluir la pregunta en la respuesta
Resolución DNS Además de utilizar un servidor DNS para la resolución de nombres, es posible utilizar el fichero HOSTS para incluir pares de valores directamente. Si este fichero es manipulado malintencionadamente... Introducimos la dirección IP de “google” en la referencia a “altavista” XP Centro de Control de Seguridad: •Gestión de Firewall de Seguridad •Actualizaciones automáticas •Gestión de Antivirus
Establecer Excepciones Las excepciones de tráfico pueden ser configuradas para puertos y aplicaciones determinados •El Firewall monitoriza los puertos que la aplicación escucha y los añade automáticamente a la lista de trafico entrante permitido. •Incluye excepciones preconfiguradas para las aplicaciones más comunes: Compartir archivos e impresoras. Escritorio Remoto ... Establecer excepciones en el FW de XP

Empfohlen

Curso autenticacion robusta
Curso autenticacion robustaCurso autenticacion robusta
Curso autenticacion robusta
Cein
 
Retos adm electr_y_voto_electronico
Retos adm electr_y_voto_electronicoRetos adm electr_y_voto_electronico
Retos adm electr_y_voto_electronico
domingosuarez
 
Seguridad de usuario en el acceso a internet 2
Seguridad de usuario en el acceso a internet 2Seguridad de usuario en el acceso a internet 2
Seguridad de usuario en el acceso a internet 2
Cein
 
¿El fin de las contraseñas? La autenticación simple cada vez más amenazada
¿El fin de las contraseñas? La autenticación simple cada vez más amenazada¿El fin de las contraseñas? La autenticación simple cada vez más amenazada
¿El fin de las contraseñas? La autenticación simple cada vez más amenazada
ESET Latinoamérica
 
Firma Digital - Certificados SSL (Diego Laborero - MacroSeguridad)
Firma Digital - Certificados SSL (Diego Laborero - MacroSeguridad)Firma Digital - Certificados SSL (Diego Laborero - MacroSeguridad)
Firma Digital - Certificados SSL (Diego Laborero - MacroSeguridad)
Logicalis Latam
 
Apuntesdministracion Electronica
Apuntesdministracion ElectronicaApuntesdministracion Electronica
Apuntesdministracion Electronica
guadalinfolacalahorra
 
Administracion electronica andalucia_practico
Administracion electronica andalucia_practicoAdministracion electronica andalucia_practico
Administracion electronica andalucia_practico
domingosuarez
 
3. certificados y pki
3. certificados y pki3. certificados y pki
3. certificados y pki
1 2d
 

Empfohlen

Curso autenticacion robusta
Curso autenticacion robustaCurso autenticacion robusta
Curso autenticacion robusta
Cein
 
Retos adm electr_y_voto_electronico
Retos adm electr_y_voto_electronicoRetos adm electr_y_voto_electronico
Retos adm electr_y_voto_electronico
domingosuarez
 
Seguridad de usuario en el acceso a internet 2
Seguridad de usuario en el acceso a internet 2Seguridad de usuario en el acceso a internet 2
Seguridad de usuario en el acceso a internet 2
Cein
 
¿El fin de las contraseñas? La autenticación simple cada vez más amenazada
¿El fin de las contraseñas? La autenticación simple cada vez más amenazada¿El fin de las contraseñas? La autenticación simple cada vez más amenazada
¿El fin de las contraseñas? La autenticación simple cada vez más amenazada
ESET Latinoamérica
 
Firma Digital - Certificados SSL (Diego Laborero - MacroSeguridad)
Firma Digital - Certificados SSL (Diego Laborero - MacroSeguridad)Firma Digital - Certificados SSL (Diego Laborero - MacroSeguridad)
Firma Digital - Certificados SSL (Diego Laborero - MacroSeguridad)
Logicalis Latam
 
Apuntesdministracion Electronica
Apuntesdministracion ElectronicaApuntesdministracion Electronica
Apuntesdministracion Electronica
guadalinfolacalahorra
 
Administracion electronica andalucia_practico
Administracion electronica andalucia_practicoAdministracion electronica andalucia_practico
Administracion electronica andalucia_practico
domingosuarez
 
3. certificados y pki
3. certificados y pki3. certificados y pki
3. certificados y pki
1 2d
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad Informatica
guesta86b3c
 
Web 2.0 El usuario, el nuevo rey de Internet
Web 2.0 El usuario, el nuevo rey de InternetWeb 2.0 El usuario, el nuevo rey de Internet
Web 2.0 El usuario, el nuevo rey de Internet
sidasa
 
SEGURIDAD EN INTERNET
SEGURIDAD EN INTERNETSEGURIDAD EN INTERNET
SEGURIDAD EN INTERNET
Rulo Martinez
 
ITsencial Corporativo
ITsencial CorporativoITsencial Corporativo
ITsencial Corporativo
ITsencial
 
Cyber seguridad
Cyber seguridadCyber seguridad
Cyber seguridad
ismeida1710
 
Seguridad en internet
Seguridad en internetSeguridad en internet
Seguridad en internet
Andrés Londoño
 
200810 Seguridad En La Red
200810 Seguridad En La Red200810 Seguridad En La Red
200810 Seguridad En La Red
Javier Teran
 
Taller de seguridad
Taller de seguridadTaller de seguridad
Taller de seguridad
Antonio Lite
 
Usuario Internet Latam 2009
Usuario Internet Latam 2009Usuario Internet Latam 2009
Usuario Internet Latam 2009
Javier Ruiz
 
La Privacidad en Internet y la Seguridad Frente la Virus Informáticos
La Privacidad en Internet y la Seguridad Frente la Virus InformáticosLa Privacidad en Internet y la Seguridad Frente la Virus Informáticos
La Privacidad en Internet y la Seguridad Frente la Virus Informáticos
Rikcy Valle
 
Terror y delitos informaticos
Terror y delitos informaticosTerror y delitos informaticos
Terror y delitos informaticos
miguelmartinezz
 
TRABAJO DE LA SEGURIDAD EN INTERNET
TRABAJO DE LA SEGURIDAD EN INTERNETTRABAJO DE LA SEGURIDAD EN INTERNET
TRABAJO DE LA SEGURIDAD EN INTERNET
irenery
 
Seguridad Informática
Seguridad InformáticaSeguridad Informática
Seguridad Informática
Juan Antonio Ramos
 
Seguridad En Internet
Seguridad En InternetSeguridad En Internet
Seguridad En Internet
Diza
 
Seguridad de los sistemas de informacion
Seguridad de los sistemas de informacionSeguridad de los sistemas de informacion
Seguridad de los sistemas de informacion
Cristian Bailey
 
Don’t Rain on my Service Management Parade
Don’t Rain on my Service Management ParadeDon’t Rain on my Service Management Parade
Don’t Rain on my Service Management Parade
Earl Begley
 
Nicholas Hills Final Paper - HWCA
Nicholas Hills Final Paper - HWCANicholas Hills Final Paper - HWCA
Nicholas Hills Final Paper - HWCA
Nicholas Hills
 
Fabrica velas decoragloba
Fabrica velas decoraglobaFabrica velas decoragloba
Fabrica velas decoragloba
DECORAGLOBA
 
Praezise C-Nut-Zylindersensoren
Praezise C-Nut-ZylindersensorenPraezise C-Nut-Zylindersensoren
Praezise C-Nut-Zylindersensoren
ifm electronic gmbh
 
Bernadette Maguire: Balancing the Skills - The vital nature of Speaking
Bernadette Maguire: Balancing the Skills - The vital nature of SpeakingBernadette Maguire: Balancing the Skills - The vital nature of Speaking
Bernadette Maguire: Balancing the Skills - The vital nature of Speaking
eaquals
 
Presentación David Kummers - eCommerce Day Bogotá 2015
Presentación David Kummers - eCommerce Day Bogotá 2015 Presentación David Kummers - eCommerce Day Bogotá 2015
Presentación David Kummers - eCommerce Day Bogotá 2015
eCommerce Institute
 
Infraestructura PKI
Infraestructura PKIInfraestructura PKI
Infraestructura PKI
dsantosc
 

Weitere ähnliche Inhalte

Andere mochten auch

SEGURIDAD EN INTERNET
SEGURIDAD EN INTERNETSEGURIDAD EN INTERNET
SEGURIDAD EN INTERNET
Rulo Martinez
 
TRABAJO DE LA SEGURIDAD EN INTERNET
TRABAJO DE LA SEGURIDAD EN INTERNETTRABAJO DE LA SEGURIDAD EN INTERNET
TRABAJO DE LA SEGURIDAD EN INTERNET
irenery
 
Seguridad En Internet
Seguridad En InternetSeguridad En Internet
Seguridad En Internet
Diza
 
Don’t Rain on my Service Management Parade
Don’t Rain on my Service Management ParadeDon’t Rain on my Service Management Parade
Don’t Rain on my Service Management Parade
Earl Begley
 
Nicholas Hills Final Paper - HWCA
Nicholas Hills Final Paper - HWCANicholas Hills Final Paper - HWCA
Nicholas Hills Final Paper - HWCA
Nicholas Hills
 
Bernadette Maguire: Balancing the Skills - The vital nature of Speaking
Bernadette Maguire: Balancing the Skills - The vital nature of SpeakingBernadette Maguire: Balancing the Skills - The vital nature of Speaking
Bernadette Maguire: Balancing the Skills - The vital nature of Speaking
eaquals
 

Andere mochten auch (20)

Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad Informatica
 
Web 2.0 El usuario, el nuevo rey de Internet
Web 2.0 El usuario, el nuevo rey de InternetWeb 2.0 El usuario, el nuevo rey de Internet
Web 2.0 El usuario, el nuevo rey de Internet
 
SEGURIDAD EN INTERNET
SEGURIDAD EN INTERNETSEGURIDAD EN INTERNET
SEGURIDAD EN INTERNET
 
ITsencial Corporativo
ITsencial CorporativoITsencial Corporativo
ITsencial Corporativo
 
Cyber seguridad
Cyber seguridadCyber seguridad
Cyber seguridad
 
Seguridad en internet
Seguridad en internetSeguridad en internet
Seguridad en internet
 
200810 Seguridad En La Red
200810 Seguridad En La Red200810 Seguridad En La Red
200810 Seguridad En La Red
 
Taller de seguridad
Taller de seguridadTaller de seguridad
Taller de seguridad
 
Usuario Internet Latam 2009
Usuario Internet Latam 2009Usuario Internet Latam 2009
Usuario Internet Latam 2009
 
La Privacidad en Internet y la Seguridad Frente la Virus Informáticos
La Privacidad en Internet y la Seguridad Frente la Virus InformáticosLa Privacidad en Internet y la Seguridad Frente la Virus Informáticos
La Privacidad en Internet y la Seguridad Frente la Virus Informáticos
 
Terror y delitos informaticos
Terror y delitos informaticosTerror y delitos informaticos
Terror y delitos informaticos
 
TRABAJO DE LA SEGURIDAD EN INTERNET
TRABAJO DE LA SEGURIDAD EN INTERNETTRABAJO DE LA SEGURIDAD EN INTERNET
TRABAJO DE LA SEGURIDAD EN INTERNET
 
Seguridad Informática
Seguridad InformáticaSeguridad Informática
Seguridad Informática
 
Seguridad En Internet
Seguridad En InternetSeguridad En Internet
Seguridad En Internet
 
Seguridad de los sistemas de informacion
Seguridad de los sistemas de informacionSeguridad de los sistemas de informacion
Seguridad de los sistemas de informacion
 
Don’t Rain on my Service Management Parade
Don’t Rain on my Service Management ParadeDon’t Rain on my Service Management Parade
Don’t Rain on my Service Management Parade
 
Nicholas Hills Final Paper - HWCA
Nicholas Hills Final Paper - HWCANicholas Hills Final Paper - HWCA
Nicholas Hills Final Paper - HWCA
 
Fabrica velas decoragloba
Fabrica velas decoraglobaFabrica velas decoragloba
Fabrica velas decoragloba
 
Praezise C-Nut-Zylindersensoren
Praezise C-Nut-ZylindersensorenPraezise C-Nut-Zylindersensoren
Praezise C-Nut-Zylindersensoren
 
Bernadette Maguire: Balancing the Skills - The vital nature of Speaking
Bernadette Maguire: Balancing the Skills - The vital nature of SpeakingBernadette Maguire: Balancing the Skills - The vital nature of Speaking
Bernadette Maguire: Balancing the Skills - The vital nature of Speaking
 

Ähnlich wie Seguridad de usuario en el acceso a internet 1

Infraestructura PKI
Infraestructura PKIInfraestructura PKI
Infraestructura PKI
dsantosc
 
Proteccion de transacciones en linea
Proteccion de transacciones en lineaProteccion de transacciones en linea
Proteccion de transacciones en linea
Fernanda Loyola
 

Ähnlich wie Seguridad de usuario en el acceso a internet 1 (20)

Presentación David Kummers - eCommerce Day Bogotá 2015
Presentación David Kummers - eCommerce Day Bogotá 2015 Presentación David Kummers - eCommerce Day Bogotá 2015
Presentación David Kummers - eCommerce Day Bogotá 2015
 
Infraestructura PKI
Infraestructura PKIInfraestructura PKI
Infraestructura PKI
 
6.owasp day costa_rica_didier
6.owasp day costa_rica_didier6.owasp day costa_rica_didier
6.owasp day costa_rica_didier
 
Gestión de Certificados Digitales con OpenSSL
Gestión de Certificados Digitales con OpenSSLGestión de Certificados Digitales con OpenSSL
Gestión de Certificados Digitales con OpenSSL
 
Certificados ssl loidy, katherine
Certificados ssl loidy, katherineCertificados ssl loidy, katherine
Certificados ssl loidy, katherine
 
Tecnologia d’integració per l’autenticació amb DNIe
Tecnologia d’integració per l’autenticació amb DNIeTecnologia d’integració per l’autenticació amb DNIe
Tecnologia d’integració per l’autenticació amb DNIe
 
Introducción a La Seguridad Desde La Perspectiva Del Desarrollador V2
Introducción a La Seguridad Desde La Perspectiva Del Desarrollador V2Introducción a La Seguridad Desde La Perspectiva Del Desarrollador V2
Introducción a La Seguridad Desde La Perspectiva Del Desarrollador V2
 
Encriptacion Autenticacion y Autorizacion.ppt
Encriptacion Autenticacion y Autorizacion.pptEncriptacion Autenticacion y Autorizacion.ppt
Encriptacion Autenticacion y Autorizacion.ppt
 
Unidad 7 - Seguridad en Transacciones Comerciales
Unidad 7 - Seguridad en Transacciones ComercialesUnidad 7 - Seguridad en Transacciones Comerciales
Unidad 7 - Seguridad en Transacciones Comerciales
 
Manejo De ContraseñAs Seguras
Manejo De ContraseñAs SegurasManejo De ContraseñAs Seguras
Manejo De ContraseñAs Seguras
 
cifrado y certificado dijital
cifrado y certificado dijitalcifrado y certificado dijital
cifrado y certificado dijital
 
Defensas contra ataques informaticos
Defensas contra ataques informaticosDefensas contra ataques informaticos
Defensas contra ataques informaticos
 
Seguridad en Aplicaciones Web y Comercio Electrónico
Seguridad en Aplicaciones Web y Comercio ElectrónicoSeguridad en Aplicaciones Web y Comercio Electrónico
Seguridad en Aplicaciones Web y Comercio Electrónico
 
Respuestas
RespuestasRespuestas
Respuestas
 
Proteccion de transacciones en linea
Proteccion de transacciones en lineaProteccion de transacciones en linea
Proteccion de transacciones en linea
 
Seguridad en Aplicaciones Web
Seguridad en Aplicaciones WebSeguridad en Aplicaciones Web
Seguridad en Aplicaciones Web
 
Instalacion certificados-ssl
Instalacion certificados-sslInstalacion certificados-ssl
Instalacion certificados-ssl
 
by: Nely Cardona, Alison Hernandez.
by: Nely Cardona, Alison Hernandez.by: Nely Cardona, Alison Hernandez.
by: Nely Cardona, Alison Hernandez.
 
[SOS 2009] Smart Access: Tu DNIe en tu AD
[SOS 2009] Smart Access: Tu DNIe en tu AD[SOS 2009] Smart Access: Tu DNIe en tu AD
[SOS 2009] Smart Access: Tu DNIe en tu AD
 
Infraestructura PKI
Infraestructura PKIInfraestructura PKI
Infraestructura PKI
 

Mehr von Cein

Mehr von Cein (20)

Directorio Viveros CEIN 2022 Septiembre.pptx
Directorio Viveros CEIN 2022 Septiembre.pptxDirectorio Viveros CEIN 2022 Septiembre.pptx
Directorio Viveros CEIN 2022 Septiembre.pptx
 
II Feria del Trabajo Autónomo de Navarra 2019
II Feria del Trabajo Autónomo de Navarra 2019II Feria del Trabajo Autónomo de Navarra 2019
II Feria del Trabajo Autónomo de Navarra 2019
 
Jornada Energy Trends-ciudades inteligentes-Zabala
Jornada Energy Trends-ciudades inteligentes-ZabalaJornada Energy Trends-ciudades inteligentes-Zabala
Jornada Energy Trends-ciudades inteligentes-Zabala
 
Jornada Energy Trends-Retos tecnológicos
Jornada Energy Trends-Retos tecnológicosJornada Energy Trends-Retos tecnológicos
Jornada Energy Trends-Retos tecnológicos
 
Showroom energy trends
Showroom energy trends Showroom energy trends
Showroom energy trends
 
Completa showroom new industry
Completa showroom new industryCompleta showroom new industry
Completa showroom new industry
 
Tecnalia modelos oppsnegocioeradigitalindustrial_cein_151028
Tecnalia modelos oppsnegocioeradigitalindustrial_cein_151028Tecnalia modelos oppsnegocioeradigitalindustrial_cein_151028
Tecnalia modelos oppsnegocioeradigitalindustrial_cein_151028
 
Workshop completo.Jornada Biomed XXI
Workshop completo.Jornada Biomed XXIWorkshop completo.Jornada Biomed XXI
Workshop completo.Jornada Biomed XXI
 
Luis gabilondo gobierno de navarra-Jornada Biomed XXI
Luis gabilondo gobierno de navarra-Jornada Biomed XXILuis gabilondo gobierno de navarra-Jornada Biomed XXI
Luis gabilondo gobierno de navarra-Jornada Biomed XXI
 
Juan ramón de la torre aditech-Jornada Biomed XXI
Juan ramón de la torre aditech-Jornada Biomed XXIJuan ramón de la torre aditech-Jornada Biomed XXI
Juan ramón de la torre aditech-Jornada Biomed XXI
 
María rosario luquin idisna-Jornada Biomed XXI
María rosario luquin idisna-Jornada Biomed XXIMaría rosario luquin idisna-Jornada Biomed XXI
María rosario luquin idisna-Jornada Biomed XXI
 
Julio maset cinfa-Jornada Biomed XXI
Julio maset cinfa-Jornada Biomed XXIJulio maset cinfa-Jornada Biomed XXI
Julio maset cinfa-Jornada Biomed XXI
 
Presentaciones Showroom Jornada "Agrofuture&Ventures"
Presentaciones Showroom Jornada "Agrofuture&Ventures"Presentaciones Showroom Jornada "Agrofuture&Ventures"
Presentaciones Showroom Jornada "Agrofuture&Ventures"
 
Sodena y CEIN. ORIZONT. Construye una propuesta ganadora
Sodena y CEIN. ORIZONT. Construye una propuesta ganadoraSodena y CEIN. ORIZONT. Construye una propuesta ganadora
Sodena y CEIN. ORIZONT. Construye una propuesta ganadora
 
Luis Goñi (Fundación MODERNA). Financiación de la innovación en agroalimentación
Luis Goñi (Fundación MODERNA). Financiación de la innovación en agroalimentaciónLuis Goñi (Fundación MODERNA). Financiación de la innovación en agroalimentación
Luis Goñi (Fundación MODERNA). Financiación de la innovación en agroalimentación
 
Carlos Franco (CDTI). Financiación de la innovación en agroalimentación
Carlos Franco (CDTI). Financiación de la innovación en agroalimentaciónCarlos Franco (CDTI). Financiación de la innovación en agroalimentación
Carlos Franco (CDTI). Financiación de la innovación en agroalimentación
 
Alberto Moratial (ENISA). Financiación de la innovación en agroalimentación
Alberto Moratial (ENISA). Financiación de la innovación en agroalimentaciónAlberto Moratial (ENISA). Financiación de la innovación en agroalimentación
Alberto Moratial (ENISA). Financiación de la innovación en agroalimentación
 
Victoria Iriarte (Sodena). Financiación de la innovación en agroalimentación
Victoria Iriarte (Sodena). Financiación de la innovación en agroalimentaciónVictoria Iriarte (Sodena). Financiación de la innovación en agroalimentación
Victoria Iriarte (Sodena). Financiación de la innovación en agroalimentación
 
María Arbeloa (Gobierno de Navarra). Financiación de la innovación en agroali...
María Arbeloa (Gobierno de Navarra). Financiación de la innovación en agroali...María Arbeloa (Gobierno de Navarra). Financiación de la innovación en agroali...
María Arbeloa (Gobierno de Navarra). Financiación de la innovación en agroali...
 
Jorge Fernández (Planasa). INSPIRING SESSION. La anticipación y la I+D+i en l...
Jorge Fernández (Planasa). INSPIRING SESSION. La anticipación y la I+D+i en l...Jorge Fernández (Planasa). INSPIRING SESSION. La anticipación y la I+D+i en l...
Jorge Fernández (Planasa). INSPIRING SESSION. La anticipación y la I+D+i en l...
 

Seguridad de usuario en el acceso a internet 1

  • 1. Curso: Seguridad de usuario en el acceso a Internet Juan Carlos Rodríguez jcrodriguez@s21sec.com Acceso Internet •Cada día mayor número de conexiones a Internet permanentes. •Escaso conocimiento de los usuarios de las aplicaciones que utilizan •Mínimos conocimientos de las implicaciones de seguridad en el uso de las nuevas tecnologías. •Interés creciente en la utilización de programas para la descarga de audio y video. •Mayor número de servicios “Online” •Banca Electrónica •Reservar de viajes •Compras y subastas
  • 2. Comercio electrónico en Internet Tecnologías de seguridad ¿Cuántos usuarios conocen las tecnologías empleadas en la seguridad informática y telemática? FIREWALL CERTIFICADOS DIGITALES ANTISPAM FIRMA DIGITAL ANTIVIRUS ALGORITMOS DE CIFRADO SPYWARE SERVICE PACKS, HOTFIX JAVASCRIPT ACTIVEX
  • 3. Riesgos en la autenticación El acceso a determinados servicios requiere la acreditación del visitante. ¿Es siempre seguro introducir el usuario/password? Estamos ante una página “segura” (conexión SSL), pero: ¿Estamos seguros que la página presentada es la autentica? ¿Estamos seguros que nada ni nadie está registrando los datos que introducimos en el ordenador local (keylogger..)? Identificación Digital Autenticación por Usuario/password Es el método más utilizado, incluido en todas las opciones de autenticación de S.O. y/o aplicaciones. (Telnet, FTP, HTTP, Email, ...) Su fiabilidad se basa en la “robustez” de la política de contraseñas a seguir definiendo aspectos como: •Longitud mínima de la contraseña •Complejidad de la contraseña (caracteres utilizados) •Vigencia de la contraseña
  • 4. Identificación Digital Claves de acceso Ejemplo de configuración de la politica de contraseñas en la Plataforma Windows 2000/XP Identificación Digital Complejidad de la contraseña -Debe de contener una combinación de letras, números y caracteres especiales -No debe ser nunca una posible palabra de diccionario -Debe de cambiarse de contraseña periódicamente y no es conveniente admitir contraseñas anteriormente utilizadas En general resulta difícil su implementación ya que para la mayoría de los usuarios seleccionar una contraseña “robusta” no es tarea sencilla.
  • 5. Identificación Digital Complejidad de la contraseña Combinación de letras, números y caracteres especiales Como ejemplo, si utilizaramos el alfabeto (a..z) y los numeros naturales para construir la contraseña, las diferentes combinaciones de una palabra de 6 letras son: 366=2.176.782.336 Un ordenador actual puede realizar todas estas combinaciones ! en menos de 2 minutos! Identificación Digital Ejemplo de descubrimiento por fuerza bruta.
  • 6. Identificación Digital En la actualidad existen “diccionarios” en Internet de numerosos lenguajes (inglés, francés, danés, ...) así como materias diversas (literatura, música, cine,...) Por ello, seleccionar una contraseña de “diccionario” implica su descubrimiento ! en segundos !. Identificación Digital El mayor problema surge en la actitud de muchos usuarios y su incapacidad de generar un password adecuado y ! recordarlo ! Así, es frecuente que los usuarios: •Anoten y tengan “ a mano” las contraseñas que deben utilizar. •Traten de “evadir” la “complejidad” de la contraseña: (Ej: mínimo 7 caracteres, obligatorio letras, números y caracteres.) Contraseña para Enero: pepe01! Contraseña para Febrero: pepe02!
  • 7. Identificación Digital captura de las contraseñas Numerosos servicios como Telnet, FTP, POP3, ... Solicitan el par Usuario/password como control de acceso. Estos servicios “no utilizan cifrado en la comunicación” por lo que Son facilmente interceptados mediante un sniffer (incluso utilizando Switchs en lugar de hubs). Identificación Digital Recordar contraseñas Utilizar la opción de “recordar” contraseñas en el equipo local puede permitir extraer sin dificultad todas las contraseñas. (ej SnadBoy’s Revelation)
  • 8. Identificación Digital Claves de acceso: Keyloggers Existen también numerosas aplicaciones software/hardware que registran las pulsaciones efectuadas en el teclado Identificación Digital Ejemplo de captura por “software” la sesión de un usuario:
  • 9. Mecanismos de seguridad más utilizados ! " Certificados Digitales Los certificados digitales han sido diseñados para garantizar la Identidad en las operaciones por el ciberespacio (Internet) Un certificado en un documento emitido y firmado por una Autoridad de Certificación que identifica una clave pública con su propietario. Su efectividad se basa en la combinación de: * Criptografía de llaves públicas * Infraestructura de llaves digitales (PKI) * El sistema legal
  • 10. Autoridades Certificadoras ¿En que consiste una Autoridad de Certificación (AC)? # " $% & '( '% " % ') " '# '# * '# * Certificados Digitales Confianza en la AC '+ , - " $ '( " $ '+ " " " . ¿Estamos seguros que la lista que incluye nuestro navegador es de absoluta confianza? ¿Podemos confiar en el lugar desde el que nos ofrecen la descarga del certificado raiz ?
  • 11. Certificados Raiz de confianza %/ Como se realiza una conexión HTTPS Llave Llave Pública sesión Servidor Web 1 HTTPS Llave Privada 1 2 3 4
  • 12. Certificados Digitales Seguridad en las conexiones HTTPS ') 0 )( ) , - 1 2 1 ! "2 $ + $$ $$ ¿Estamos conectados al servidor esperado? El certificado que incluye la llave pública con la que se cifrará la posterior llave de sesión. ¿Es de nuestra confianza? Certificados Digitales Ejemplo certificado Servidor Web
  • 13. Certificados Digitales Ejemplo certificado Servidor Web Resolución de nombres ' + " #( . ! " 3 , - " +$ ' + " !%4 " ' " +
  • 14. Resolución de nombres Consejos para evitar el Pharming • Si utilizamos un ordenador que no es de nuestra confianza, eliminar antes las entradas en caché de resolución DNS • Comprobar el fichero “hosts” (c:windowssystem32driversetchosts) Resolución de nombres Podemos instalar herramientas que monitorizen si se realizan cambios en el fichero HOSTS, la dirección Url de inicio del navegador, ...
  • 15. Contraseñas + 3 " 5 $ Contraseñas Mejorar la seguridad en la identificación de usuario La selección de una contraseña “compleja” (longitud mínima de 8 caracteres, formada por combinación de letras, números, caracteres especiales) es la mayor garantía de la seguridad del proceso. Sin embargo es frecuente que los usuarios: • Empleen palabras simples y fáciles de asociar o de obtener mediante un diccionario. • En el caso de utilizar contraseñas complejas, escriban y guarden la contraseña por la dificultad de recordarla. • Utilicen la misma contraseña para acceder a múltiples sitios. ¿Podemos gestionar las contraseñas de una forma más eficiente?
  • 16. Contraseñas • Los navegadores incorporan la posibilidad de “guardar” las contraseñas utilizadas en los accesos Web. Contraseñas • Podemos utilizar programas de “gestión de identidades” que nos permiten registrar contraseñas complejas para acceder a diferentes servicios sin tener que recordar todas ellas. • Tan sólo es necesario recordar una contraseña “maestra” utilizada para cifrar el acceso al resto de contraseñas.
  • 17. Contraseñas Recomendaciones generales en la gestión de claves ' 6 7 $8 " 3 $ ' " $ ' # 7 " 1 9 *3 * 3 $2 $$ ' 8 :"$ ' 8 / " 3 ! " * $ ' % " 3 " 3 3 ; / $ ¿En que consiste el “Phising”? '% 3 5 " / " $
  • 18. PHISING ¿Como se realiza el “Phising”? Mensajes enviados para engañar al usuario, utilizando todo tipo de ingeniosos argumentos relacionados con la seguridad para justificar la necesidad de introducir sus datos de acceso. Un ejemplo de los más comunes pueden ser los siguientes: •Problemas de carácter técnico. •Recientes detecciones de fraude y urge un cambio del nivel de seguridad. •Nuevas recomendaciones de seguridad para prevención del fraude. PHISING Ejemplo de intento de Phising
  • 19. PHISING • También podrán intentarlo mediante mensajes relacionados con: • – Promoción de nuevos productos de la entidad, – Premios o regalos. • En ocasiones se intenta forzar al usuario a tomar una decisión casi de forma inmediata con amenazas de que si no realiza los cambios solicitados, en pocas horas o días su acceso quedará deshabilitado. • Configuración Seguridad de Internet Explorer.
  • 20. Seguridad del navegador Podemos configurar nuestro navegador con medidas de seguridad que reduzcan la posibilidad de ser “atacados”, pero a cambio se limitará la “versatilidad” de su uso. Internet Explorer define “4 zonas de seguridad” •Intranet (páginas Web que se encuentran en nuestra misma red) •Sitios de Confianza (confiamos en su contenido) •Sitios Restringidos (no confiamos en su contenido) •Internet (cualquier sitio Web no definido en los 3 anteriores) Cada una de estas zonas tiene configuradas las opciones de seguridad que pueden ser modificadas por el usuario. Zonas de Seguridad de IE
  • 21. Agregar un sitio de confianza (IE) Podemos “saltar” las restricciones de la zona de Internet indicando que sitios Web son de nuestra confianza. Seguridad DNS La resolución DNS permite acceder a un sitio conociendo su nombre (URL) realizando este servicio la traducción de nombre a dirección IP. ¿Es seguro el servicio DNS? Cada “dominio” en Internet tiene su propio servidor DNS “autoridad” de su zona. Si preguntamos a un servidor DNS por la dirección de un equipo “propio” la respuesta es inmediata y ofrecida por el mismo servidor. A este se le conoce como “Respuesta Autoritativa” Si preguntamos por una máquina de un dominio diferente, el servidor no conoce la respuesta (esta fuera de su “zona”) y debe preguntar a otro servidor DNS en Internet de nivel superior. ¿Podemos estar seguros que la respuesta que recibe es verdadera?
  • 22. Resolución DNS Consulta sobre un equipo del Consulta sobre un equipo de mismo (Servidor DNS SOA diferente dominio. de s21edu.com) La respuesta no es autoritativa ¿Cómo sabemos que la dirección IP entregada a nuestro servidor DNS Es autentica? Resolución DNS Las consultas DNS (udp 53) no se envian cifradas por lo que pueden ser interceptadas. En udp, no hay control de la conexión y por ello da por “fiable” solamente por incluir la pregunta en la respuesta
  • 23. Resolución DNS Además de utilizar un servidor DNS para la resolución de nombres, es posible utilizar el fichero HOSTS para incluir pares de valores directamente. Si este fichero es manipulado malintencionadamente... Introducimos la dirección IP de “google” en la referencia a “altavista” XP Centro de Control de Seguridad: •Gestión de Firewall de Seguridad •Actualizaciones automáticas •Gestión de Antivirus
  • 24. Establecer Excepciones Las excepciones de tráfico pueden ser configuradas para puertos y aplicaciones determinados •El Firewall monitoriza los puertos que la aplicación escucha y los añade automáticamente a la lista de trafico entrante permitido. •Incluye excepciones preconfiguradas para las aplicaciones más comunes: Compartir archivos e impresoras. Escritorio Remoto ... Establecer excepciones en el FW de XP