Seguridad Y Privacidad - Conceptos[Aporte Teórico]

Buenas tardes a todos, la verdad que utilizo el foro mas que nada a modo de consulta sobre algunos temas, pero no eh dedicado tiempo a comentar. Verán. No hace mucho rendí una materia en la universidad sobre Seguridad y Privacidad, lo que me "obligó" en cierta forma a ponerme a leer y estudiar. Quería compartirles el resumen que diseñé, son todos conceptos teóricos que puede que a alguien mas le sirva. Pueden también corregir o sumar mas información a la agregada en este post. Antes de seguir leyendo, aclararles que es algo extenso, y que es todo teoría, pero creo que esta bueno formar las bases en estos conocimientos.

Lo primero es aprender el Modelo OSI (Si bien es para la parte de redes, ayuda mucho a la hora de buscar donde se origina un problema)

---

---

¿Que es el PDU?: Es la Unidad de Datos de Protocolos
Contiene
✓   El UDP del usuario principal
✓   Sirve para gobernar el comportamiento del protocolo
✓   Contiene el PDU del nivel inmediatamente superior

Definición de cada Capa del Modelo Osi:

CAPA 7 Aplicación: Es la cual  actúa entre nexo del usuario y los procesos de aplicación para tener acceso a los servicios de red.
CAPA 6 Presentación: Define el formato de los datos a intercambiar
CAPA 5 Sesión: Proporciona los mecanismos para controlar la conexión entre las aplicaciones de los sistemas finales (Conexión entre los dispositivos emisores y los receptores)
CAPA 4 Transporte: Provee transporte a los datos de un proceso de PC Origen a PC Destino, garantizando la entrega sin errores ni pérdidas o duplicados.
CAPA 3 Red: Se encarga de transportar los paquetes  de extremo a extremo, eligiendo así la ruta más rápida. – Direccionamiento "Lógico"  - Paquete IP
CAPA 2 Enlace de Datos: Establece comunicaciones confiables y eficientes entre  los dispositivos. Los Bits se entregan en el destino en el mismo orden que fueron enviados. – Direccionamiento Físico – Problema posible: duplicación de Mac para realizar sniffing en la red. – Mac Addres
CAPA 1 Físico: Define las interfaces de transmisión mediante las cuales se envían los bits como señales a través de los canales del medio (ondas, radiofrecuencia, cable, etc.)

Ahora veremos unos conceptos sencillos de lo que es Redes:

Dominio de Colisión: Segmento físico donde todos los dispositivos se encuentran conectados entre sí.
Dominio de Broadcast: Segmento lógico donde los dispositivos se encuentran conectados entre sí, siempre que estén en el mismo rango de red.
Colisión: Al estar los dispositivos de una red conectados entre sí por el mismo medio, y quieren emitir un mensaje al mismo tiempo, se producen las colisiones, generando ruido en el medio y con ello los dispositivos no pueden comunicarse correctamente. Los dispositivos compiten por el medio, cada dispositivo tiene un tiempo de espera aleatorio.
Broadcast: Ocurre cuando un dispositivo transmite de forma simultánea a distintos receptores.

Hub – Trabaja a nivel de CAPA 1(FÍSICA) – Repetidor, envía el mensaje a todos los dispositivos conectados. Dominio de Colisión = 1
Switch – Trabaja a nivel de CAPA 2 (ENLACE DE DATOS) – Segmenta los nodos, interconecta dos o más segmentos de red. Dominio de Colisión = # de bocas  del switch conectadas. – DIVIDEN DOMINIO DE COLISIONES
Router – Trabaja a nivel de CAPA 3 (Red) – Encamina paquetes de datos e interconecta redes – DIVIDEN DOMINIOS DE BROADCAST

Clasificación de los routers:
✓   Área 
Local= Interconecta redes por el medio físico de forma directa en una pequeña área
Áreas Extensas= Enlace de redes distintas en grandes distancias.
✓   Por actualización de tablas de enrutamiento
Estático = El cual permite la actualización de las tablas de enrutamiento de forma manual.
Dinámico = El propio router se encarga de actualizar las tablas de enrutamiento automáticamente.
✓   Por Protocolos soportado
TCP/IP – APPTALK – XNS, etc.



Proporciona conjunto de reglas para intercambiar datos entre los sistemas.
Protocolos de enrutamiento → Hace que los protocolos enrutados lleguen a destino, utilizando la mejor ruta posible o la más rápida.
Ejemplos de protocolos de enrutamiento:RIP y OSPF

Protocolos enrutados → Comunica entre redes distintas y usa los Routers para salir del dominio de broadcast.
Ejemplo de protocolos enrutados:IP y    IPX
Protocolos NO Enrutados  → Logra comunicación con los dispositivos que estén dentro del mismo dominio de Broadcast

Protocolo DNS (Domain Name System – Sistema de Nombres de Domino): Asociación de los nombres en internet (reemplaza la dirección ip con algo más sencillo de recordar. Ejemplo: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta y la ip 64.233.190.103. Además, suponiendo que muden el servidor, cambiaría la IP y sería engorroso avisar a todos los clientes la nueva ip – CAPA 7 Aplicación -
Protocolo FTP (File Transfer Protocol – Protocolo de transferencia de Archivos) Sistema con arquitectura Cliente-Servidor el cual permite compartir archivos. ) Este es un protocolo diseñado exclusivamente para la transferencia de archivos que asegura que los archivos se transferirán sin errores alguno – CAPA 7 Aplicación -
Protocolo DHCP  (Dinamic Host Configuration Protocol – Protocolo de configuración Dinámica de Host) En un servidor se utiliza este tipo de protocolos para generar una lista de direcciones IP dinámica y se las asigna a los clientes que se conectan a dicho servidor. – CAPA 7 Aplicación –
Protocol SAP (Session Announcement Protocol -  Protocolo de aviso de Sesión) – Multicast – Se encarga de distribuir en la red deseada la información requerida. – CAPA 6 Presentación –
Protocolo SCP (Simple Communication Protocol – Protocolo de Comunicación Simple)  - Medio de transferencia segura, mediante cifrado, entre hosts remotos – CAPA 5 Sesión –
Protocolo TCP (Transmission Control Protocol - Protocolo de control de transmisión) -  para crear "conexiones" entre sí a través de las cuales puede enviarse un flujo de datos. El protocolo garantiza que los datos serán entregados en su destino sin errores y en el mismo orden en que se transmitieron -- CAPA 4 --

Protocolo UDP (User Datagram Protocol - Protocolo de datagramas de usuario ) -  Intercambia datagramas  través de la red sin que se haya establecido previamente una conexión -- CAPA 4 --

Protocolo ICMP (Internet Control Message Protocol - Protocolo de Mensajes de Control de Internet) se usa para enviar mensajes de error, indicando por ejemplo que un router o host no puede ser localizado --CAPA 3--
Protocolo ARP (Address Resolution Protocol - Protocolo de resolución de direcciones)Su tarea es, mediante un envío de mensaje por broadcast en primera instancia "encontrar" la dirección Mac Destino - Las Tablas ARP son propias de cada dispositivo. Los SWITCHS no poseen tablas arp. Resuelven direcciones Ipv4 a MAC --CAPA 2--  Un problema muy común en esta capa y con este protocolo es el ARP Poisony (Envenenamiento de tablas ARP)
Protocolo STP: (Spanning Tree Protocol) Detecta conexiones redundantes en la topología de red - Puede desactivar el enlace de conexión  -- CAPA 2 -- Esto es útil porque evita Tormenta de Broadcast
Protocolo Ethernet: Define las características de cableado y señalización de nivel físico y los formatos de tramas de datos del nivel de enlace de datos del modelo OSI. --CAPA1 y CAPA 2--

Broadcast Storm (Tormenta de Broadcast)
Evento no deseado en el cual inunda la red con tramas hasta el colapso de la red.
Arp Spoofing (Envenenamiento tablas ARP)
Un host atacante intenta suplantar otra terminal para ver,modificar o interceptar tráfico en la red. Se completan las tablas ARP con la terminal  atacante hasta que logra "convencer" a las demás terminales. Esto hace que le envíen paquetes que este host no es el destino real
Gateway: Proporciona acceso a una red del exterior (Generalmente realiza NAT) Une distintas redes. Uno de los problemas que eh visto en algunos lugares y que causa un verdadero dolor de cabeza es que hay personas que dan a su pc la IP  del Gateway, dando como resultado el colapso de toda la red y haciendo dificil para un administrador de redes encontrar el problema.

¿Que es NAT? (Network Address Translation - Traducción de Dirección de Red)
Mecanismo que permite múltiples peticiones a través de una misma ip (No es un protocolo) Entre otros datos, contiene IPOrigen, PuertoOrigen // IPDestino, PuertoDestino - Cuando un paquete sale del router, este cambia su mac origen e ip origen. Intercambia paquetes en redes distintas.
Las peticiones se devuelven en el mismo puerto en la cual fue realizada la conexión

Tipos de NAT
NAT 1 a 1: es un tipo de NAT en el que una dirección IP privada se traduce a una dirección IP pública, y donde esa dirección pública es siempre la misma. Esto le permite a un host, como un servidor Web, el tener una dirección IP de red privada pero aun así ser visible en Internet. Permite ver desde internet a un host dentro de una red
NAT Dinámico: una dirección IP privada se mapea a una IP pública basándose en una tabla de direcciones de IP registradas (públicas). A favor - enmascara la configuración interna de una red privada, lo que dificulta a los hosts externos de la red el poder ingresar a ésta.

DNS
Opera con el protocolo UDP (por lo tanto no espera respuesta) Trabaja en el puerto 53[En routers] - La tarea de los DNS es traducir direcciones IP a URL por que son más sencillos de recordar.


Seguridad: Mediante medidas y controles debemos preservar la Integridad, la confidencialidad y la disponibilidad de los Activos de Información.
Activo de Información: Son todos los recursos de información o que estén relacionados a éste. Necesarios para que la Organización funcione correctamente y pueda alcanzar sus objetivos de negocio. Ejemplo: En un banco el activo es el Capital pero el Activo de información son los clientes.


Ademas debemos agregar
Autorización es distinto de Autenticación
●   La autorización es lo que puede y lo que no puede hacer (Perfiles)
●   La Autenticación es darnos cuenta realmente que el usuario es quien dice ser

Defensa en Profundidad - En capas "cebolla"
Diseño e implantación de varios niveles de seguridad dentro del ambiente informático de la organización.
No me detendre a explicar cada una de las capas de este modelo, pero en si, trata de que en una empresa por ejemplo, tengamos una seguridad perimetral que pueda prevenir o detener ataques del exterior, luego viene las otras dos capas que una trata de resguardar la parte logica y la otra la parte fisica, luego le sigue la capa de Gestion de Uusarios donde se daran los permisos apropiados a cada persona dependiendo de que cargo ocupe en la organizacion y por ultimo y como es un modelo en "cebolla" lo que deberia estar mas protegido son los datos sencibles de la empresa.

Los Objetivos de la seguridad informática:
●   Minimizar y gestionar los riesgos y detectar los posibles problemas y amenazas a la seguridad.
●   Garantizar la adecuada utilización de los recursos y de las aplicaciones del sistema.
●   Limitar las pérdidas y conseguir la adecuada recuperación del sistema en caso de un incidente de seguridad
●   Cumplir con el marco legal y con los requisitos impuestos por los clientes (internos o externos) en sus contratos.

A su vez, se divide en cuatro planos
Plano Humano:
●   Sensibilización y formación (Cuesta menos capacitar usuarios que arreglar)
●   Funciones, obligaciones y responsabilidades del personal
●   Control y supervisión del personal
Plano Técnico:
●   Selección, instalación, configuración y actualización de hardware y software.
●   Criptografía
●   Desarrollo seguro de aplicaciones
Plano Organizativo:
●   Políticas, normas y procedimientos.
●   Planes de contingencias y de respuesta ante un incidente.
●   Relaciones con terceros
Plano Legal:
●   Cumplimiento y adaptación de la legalización vigente.


●   Confidencialidad: cada mensaje  transmitido o almacenado, podrá ser leído por su legítimo destinatario.
●   Integridad: Garantiza que un mensaje o archivo no ha sido modificado desde su creación o transmisión por una red.
●   Disponibilidad: Mecanismos que garanticen que la información se encuentre disponible para el usuario
●   Autenticación: Garantiza que la creación de un documento o mensaje del creador es legítima.
●   Autorización: Mecanismo que garantiza el acceso a usuarios a información o servicios.
●   Reclamación de Origen: Permite probar quien ha sido el autor del mensaje o documento.
●   Reclamación de propiedad: Permite probar si un determinado documento se encuentra protegido por derechos de autor.
●   Auditabilidad: Permite registrar y monitorizar la utilización de los distintos recursos de los sistemas por parte de los usuarios


Políticas de seguridad -> Intenciones de alto nivel que cubre la seguridad de los sistemas informáticos y proporciona bases para definir y delimitar responsabilidades
Plan de seguridad -> Conjunto de decisiones que define cursos de acción y los medios para conseguirlo.
Procedimientos de seguridad -> "pasos a ejecutar" permite alcanzar los planes de seguridad.


●   Deberían poder ser implementadas a través de procedimientos o instalaciones y/o configuraciones de dispositivos de HW/SW.
●   Deben definir claramente las responsabilidades exigidas.
●   Deben cumplir con las exigencias del entorno legal. 
●   Deben ser revisadas en forma periódica para su adaptación.
●   Deben aplicar el principio de defensa en profundidad
●   Deben aplicar el principio de asignación de mínimos privilegios. 
●   Deben estar adaptadas a las necesidades del negocio de la organización y alineadas con sus objetivos.


Amenaza: "Una amenaza es la indicación de un potencial evento no deseado"
Vulnerabilidad: "Es una debilidad en el sistema, aplicación o infraestructura, control o diseño de flujo que puede ser explotada para violar la integridad del sistema" - Existencia de una situación concreta en los sistemas que puede facilitar a un usuario no autorizado a la realización de ataques a la red de la organización
Riesgo: Probabilidad de ocurrencia de un tipo de ataque hacia la red de la organización en consecuencia de su grado de exposición o vulnerabilidades existentes.


Tipos de ataques informáticos

Ataques Pasivos: Se limitan a registrar el uso de los recursos y/o acceder a la información guardada o transmitida por el sistema.
Ataques Activos: Producen cambios en la información y en la situación de los recursos del sistema.

Malware: es un software que tiene como objetivo infiltrarse en o dañar un equipo informático sin el conocimiento de su dueño y con finalidades muy diversas.

Tipos de Malware:
Adware Backdoor Bugs Bots Exploit, CRYPTOVIRUS, troyanos, gusanos. Etc.


La Seguridad en Aplicaciones WEB:
Es el mecanismo dedicado a determinar y combatir las causas que hacen que una
Aplicación web sea insegura.

• Porque hoy en día las tendencias tecnológicas hacen que cada vez más hayan sistemas basados en web.
• Porque las técnicas de intrusión en este campo son relativamente sencillas, lo que las hace altamente peligrosas.
• Porque el concepto de "hackear" suena divertido. Atravesar barreras de seguridad se transforma en un juego para unos y un dolor de cabeza para otros.
• Porque hoy en día el puerto 80 es utilizado para casi todo
• Porque "cerrar" una aplicación Web es cerrar un negocio
• Porque el presente y parte del futuro de la seguridad informática se encuentra
relacionada con las aplicaciones web y los almacenes de datos.
• Porque mi privacidad al igual que la de ustedes probablemente dependa en
algún punto de la seguridad de alguna aplicación web.
Lo que DEBERÍA vs lo que ES en un proyecto
• La seguridad es considerada un punto inicial desde el comienzo del mismo
La seguridad no es parte de la aplicación sino que luego es integrada
• El diseño y desarrollo de las aplicaciones web deben cumplir con las normas existentes de la organización y un conjunto de normas de seguridad según la plataforma de la aplicación
Las aplicaciones son inseguras
• Los desarrolladores deben estar capacitados en los aspectos de seguridad y utilizar prácticas de programación segura
Las vulnerabilidades triviales se transforman en un gran riesgo
• Se realizan evaluaciones y revisiones del código de la aplicación en forma periódica
Nunca se realiza una revisión a menos que algo falle

• Un atacante solo necesita conocer una vulnerabilidad, nosotros debemos defender todas.
• El defensor debe jugar con reglas. El atacante puede jugar sucio.
• Los atacantes tienen tiempo ilimitado, nosotros tiempo y recursos limitados.
• Los sistemas seguros son más difíciles de utilizar.
• El equipo de desarrollo y sus responsables no creen que la seguridad tenga valor.
• Resolver vulnerabilidades antes del lanzamiento es un proceso muy costoso.
• El equipo de desarrollo, los responsables del proyecto y los usuarios finales creen que la seguridad no aporta ningún valor.
• Una vulnerabilidad en la red, permitiría a un usuario malicioso tener control de un host o de
una aplicación
• Una vulnerabilidad en un host, permitiría a un usuario malicioso tener control de una
aplicación
• Una vulnerabilidad en una aplicación, permitiría a un usuario malicioso tener control de la red
y del host
• Las debilidades de los desarrollos propios nunca estarán en ninguna lista de debilidades
frecuentes.
• El parche para tal vulnerabilidad no vendrá incorporada en ningún service pack de
Windows o kernel de linux
• Y lo peor, que la única forma de darse cuenta de tal vulnerabilidad es el propio testeo de la
aplicación o luego de haber sido víctimas de alguna intrusión

Bueno esto es todo, espero que les haya servido la informacion. Saludos