Contenidos
Sistemas y tecnologías acceso seguro a datos
Criptografía
objetivos ... 1
Criptografía ... 2
introduCCión... 2
1. objetivos ...2
2. Historia ...2
3. Criptografía y legislación ...9
4. protección de la información ...10
5. amenazas a la información ...11
6. Mecanismos de seguridad ...13
7. Definiciones ...13
algoritMos... 15
1. Definiciones ...17
2. Claves ...19
3. principio de Kerckhoff ...20
4. tipos de algoritmo ...21
5. servicios del criptosistema ...26
6. algoritmos running y Concealment ...28
7. Métodos de cifrado ...28
8. Criptografía simétrica ...29
9. Criptografía asimétrica ...31
10. algoritmos simétricos ...34
11. algoritmos asimétricos ...37
12. ¿simétricos o asimétricos? ...39
Contenidos
Sistemas y tecnologías acceso seguro a datos
13. algoritmos híbridos ...41
14. Claves de sesión ...43
15. algoritmos rotos ...44
algoritMos siMétriCos ... 45
1. des (1976) ...45
2. electronic Code book Mode - eCb ...48
3. Cipher block Chaining - CbC ...49
4. Cipher feedback - Cfb ...51
5. output feedback - ofb ...52
6. Counter - Ctr ...53
7. 3des >1995 ...54
8. aes ...55
9. idea ...58
10. Blowfish y Twofish ...58
11. Mars ...59
12. Cast-256 ...59
13. rC4...60
14. rC5...60
15. rC6...61
16. debilidades ...61
algoritMos asiMétriCos ... 62
1. Algoritmo Diffie-Hellman (DH/DSS) ...62
2. Ataque “Man-in-the-Middle” a Diffie-Hellman ...64
3. rsa ...68
4. función “one-Way” ...73
Contenidos
Sistemas y tecnologías acceso seguro a datos
5. el gamal ...74
6. elliptic Curve Cryptosystem ...74
7. Knapsack o problema de la mochila ...76
8. Zero Knowledge proof ...76
9. otros planteamientos ...77
10. Criptografía e infraestructura de clave pública ...78
funCiones resuMen ... 78
1. integridad de los mensajes - Hash ...80
2. proceso de Hash por bloques ...81
3. one-way hash ...81
4. HMaC...82
5. CbC-MaC ...84
6. Hashes, HMaCs y CbC-MaCs ...85
7. algoritmos de Hashing ...86
8. ataque contra funciones one-way ...89
firMa digital ... 90
1. Proceso de firma electrónica ...91
2. Estándar de firma digital ...93
3. Validación de la firma ...94
4. Aplicaciones de la firma digital ...94
pgp ... 97
introduCCión... 97
1. Definiciones ...98
Contenidos
Sistemas y tecnologías acceso seguro a datos
Correo eleCtróniCo ... 100
otras funCiones de pgp ... 101
gestión de Claves ... 102
1. generación de claves ...102
2. distribución de claves ...103
3. revocación de claves ...104
gpg – gnu privaCy guard ... 105
openpgp ... 106
prÁCtiCa ... 108
introduCCión... 108
objetivos ... 108
Manejo de gnupg ... 108
1. generación del par de claves para un usuario ...109
2. otras operaciones ...117
3. importar y exportar ...125
openpgp Con tHunderbird ... 129
Contenidos
Sistemas y tecnologías acceso seguro a datos
CoMuniCaCiones seguras - vpns
presentaCión ... 136
objetivos ... 136
vpns ... 137
introduCCión... 137
objetivos ... 137
Modelos de CoMuniCaCiones ... 137
1. osi ...138
2. tCp-ip ...139
3. Historia ...142
4. funcionamiento básico ...144
5. redes ip ...145
6. seguridad ...147
7. garantías ...147
vpns ... 148
1. Definición ...149
2. necesidad ...149
3. red privada ...151
4. red virtual ...152
5. usos ...152
6. ventajas y desventajas ...153
7. vpns hoy día ...153
Contenidos
Sistemas y tecnologías acceso seguro a datos
8. tunelización ...154
9. securización ...156
10. posibilidades ...157
11. tipos ...158
12. software subyacente y protocolos ...165
seCuriZaCión ... 166
1. securización a nivel de red ...166
2. securización de aplicaciones con ssl a través de una aplicación proxy con cliente a usar en navegador ...167
protoColos de vpn ... 168
1. ipsec ...169
2. pptp ...177
3. tls y ssl ...178
4. ssH ...182
6. Comparativa y resumen ...183
HerraMientas ... 186
introduCCión... 186
objetivos ... 186
FrEES/WAN ... 186
open vpn ... 188
ataques ... 191
1. ataques contra ipsec ...192
Contenidos
Sistemas y tecnologías acceso seguro a datos
2. ataques dos ...194
3. ataques contra ssl ...195
Caso prÁCtiCo ... 196
introduCCión... 196
objetivos ... 196
CaraCterístiCas de la vpn ... 197
ConCentrador debian ... 201
1. instalación ...202
2. escalabilidad ...202
3. Configuración ...203
4. Parámetros de los ficheros de configuración ...205
gW debian de la delegaCión ... 211
openvpn en Clientes Móviles ... 214
Contenidos
Sistemas y tecnologías acceso seguro a datos
autoridades de CertifiCaCión
presentaCión ... 218
objetivos ... 218
sgsi ... 219
introduCCión... 219
objetivos ... 219
¿qué es un sgsi? ... 219
1. Conceptos básicos ...220
2. amenazas ...221
3. vulnerabilidades ...222
organisMos internaCionales ... 223
1. ISO/IC ...223
2. Cei - ieC ...224
3. bsi ...225
4. isf ...227
5. iseCoM ...228
6. isaCa ...228
estÁndares de sgsi ... 229
1. ISO/IEC 27000 ...229
2. sogp ...230
3. isM3 ...231
Contenidos
Sistemas y tecnologías acceso seguro a datos
otros MarCos ... 232
1. Cobit ...233
2. itil ...235
3. prinCe2 ...237
iso ieC 27000 ... 239
introduCCión... 239
objetivos ... 239
ISO/IEC 27000 ... 240
ISO/IEC 27001 ... 242
1. implantación ...243
2. Certificación ...243
3. Metodología ...244
iso 27002 ... 249
CiClo de deMing – pdCa ... 250
1. Planificación ...251
2. implantación ...252
3. revisión ...253
4. actuación ...254
faCtores de éxito ... 254
iMpleMentaCión sgsi ... 256
introduCCión... 256
Contenidos
Sistemas y tecnologías acceso seguro a datos
objetivos ... 256
doMinios en la iMpleMentaCión de sgsi ... 257
1. política de seguridad ...257
2. organización de los sistemas de información ...258
3. gestión de activos ...259
4. seguridad de los recursos humanos ...260
5. seguridad física y medio ambiental ...262
6. gestión de las comunicaciones y operaciones ...263
7. Control de acceso ...268
8. adquisición, desarrollo y mantenimiento de los sistemas de información ...271
9. gestión de un incidente en la seguridad de la información . 274 10. gestión de la continuidad del negocio ...275
11. Cumplimiento ...276
apliCaCión de Controles ... 278
1. derechos de la propiedad intelectual ...279
2. protección de datos y privacidad de la información personal ...280
3. documento de política de seguridad ...280
4. asignación de responsabilidades en la seguridad de la información ...281
5. Conocimiento, educación y capacitación en seguridad de la información ...282
6. vulnerabilidad técnica ...283
7. Continuidad del negocio y evaluación del riesgo ...284
8. responsabilidades y procedimientos ...285
Contenidos
Sistemas y tecnologías acceso seguro a datos
norMativa legal
presentaCión ... 286
objetivos ... 286
norMativa legal ... 287
introduCCión... 287
objetivos ... 287
ConCeptos bÁsiCos ... 287
norMativa europea ... 289
1. Directiva 95/46/CE ...290
norMativa estatal i ... 294
1. lopd ...295
1.12. test de cumplimiento lopd ...317
2. lortad ...319
norMativa estatal ii ... 319
1. lssiCe...319
2. laeCsp ...323
3. lisi ...328
4. Modificaciones legislativas ...332
Caso prÁCtiCo ... 334
introduCCión... 334
Contenidos
Sistemas y tecnologías acceso seguro a datos
objetivos ... 334
situaCión de partida ... 335
1. Modelo de negocio ...335
2. personal ...336
3. Oficinas ...336
fases en el iMplantaCión ... 338
1. Identificación de ficheros ...338
2. Clasificación de ficheros ...340
3. Notificación a la AEPD ...342
4. aplicación de las medidas de seguridad...348
5. Copias de respaldo y recuperación de datos ...351
6. redacción del documento de seguridad ...351
7. recogida de datos ...352