Evidencia de aprendizaje. Polticas de seguridad Para realizar tu evidencia de aprendizaje, analizars el siguiente caso relacionado con la puesta en prctica de las polticas informticas. Caso para anlisis. La microempresa atencin personal, est desarrollando un proyecto que mejorar la forma de atencin en restaurantes de Mxico, por ello ha dado telfonos inteligentes a sus empleados, que se encuentran en diferentes partes del mismo pas, con la intencin de mejorar la comunicacin en materia de trabajo entre ellos, sin embargo, quiere evitar que las ideas y avances del proyecto sean escuchadas y ledas por personas ajenas a la empresa. Por ello se requiere instalar aplicaciones en los mviles que permita un encriptacin de sus comunicaciones ya sea de voz o por escrito, que le den la confianza de trabajar con estos dispositivos. APPSs mtodos de

encriptacin su algoritmo protocolo de seguridad

RedPhone comunicacin VoIP cifrada punto a punto (end-to-end)

SRTP para cifrar la conversacin ZRTP para negociar la clave privada

ChatSecure soporta encriptacin OTR sobre XMPP

encriptacin, autenticacin, negacin y Adelante Secrecy

utiliza el protocolo Jabber o XMPP

TextSecure

Cifrado local de todos los mensajes de texto enviados y recibidos Cifrado del mensaje previa comparticin de la clave pblica de los dos extremos de la comunicacin.

Este proceso se consigue al establecer un valor secreto que tanto emisor como receptor puedan calcular fcilmente, pero que sea muy complicado de derivar para una tercera persona. El intercambio de informacin adicional al mensaje cifrado en s, supone que cada vez que se enva un mensaje de texto, el primer trozo del mismo slo podr contener 60 caracteres cifrados y, a partir de ah, 115 por mensaje o trozo adicional.

Criptografa asimtrica o de clave pblica mediante tcnicas de criptografa de curva elptica, permitan autenticar ambos extremos de la comunicacin. Mediante el protocolo de cifrado Off The Record (OTR). OTR est diseado especficamente para la mensajera de chat, que proporciona cifrado y autenticacin basada en sesin.

4. Listar al menos 5 polticas de seguridad para este caso Polticas y Procedimientos

Contraseas dbiles. Ej: Contrasea del VoiceMail Mala poltica de privilegios Accesos permisivos a datos comprometidos.

Seguridad Fsica

Acceso fsico a dispositivos sensibles. Ej: Acceso fsico al un gatekeeper. Reinicio de mquinas.

Denegaciones de servicio. Seguridad de Red

DDoS ICMP unreacheable SYN floods Gran variedad de floods

Seguridad en los Servicios

SQL injections Denegacin en DHCP DoS

Seguridad en el S.O.

Buffer overflows Gusanos y virus Malas configuraciones.

Seguridad en las Aplicaciones y protocolos de VoIP

Fraudes SPIT (SPAM) Vishing (Phising) Fuzzing Floods (INVITE,REGISTER,etc..) Secuestro de sesiones (Hijacking) Interceptacin (Eavesdroping) Redireccin de llamadas (CALL redirection) Reproduccin de llamadas (CALL replay)

Con toda esa informacin realiza un documento donde quede plasmada tu experiencia en el uso de estas dos aplicaciones RedPhone es una aplicacin mvil para Android que permite a los usuarios hacer llamadas de voz cifradas a travs de una conexin Wi-Fi o conexin de datos utilizando su nmero de telfono normal. RedPhone slo cifra las llamadas que se encuentran entre dos usuarios RedPhone, o entre usuarios de RedPhone y Signal. Se puede optar por hacer llamadas a otros usuarios RedPhone desde la aplicacin, o se puede llamar a alguien usando el marcador por defecto del telefono y RedPhone mostrar automticamente la opcin de actualizar a una llamada cifrada. Una vez que hemos instalado la aplicacin, al abrirla nos pedir que registres automticamente el nmero de telfono mvil. Una vez registrado el nmero de telfono RedPhone enva un cdigo por SMS para verificar que el nmero nos pertenece. Escribimos el cdigo cuando lo solicite la aplicacin. Y ahora esta listo para hacer llamadas cifradas Para utilizar RedPhone, la persona a la que ests llamando debe tener tambin instalado RedPhone (o Signal). Si intentamos llamar a alguien usando la aplicacin y esta persona no tiene la aplicacin instalada, Esta nos preguntar si deseas invitarla a utilizarla a travs de un SMS, pero no permitir que completemos la llamada desde la aplicacin. Cuando se hace una llamada a otro usuario, nos proporciona un par de palabras al azar. Estas nos permitirn verificar identidad y claves con el otro usuario - tambin llamada verificacin de claves.

La manera ms digna de confianza para verificar la identidad de la persona que llama es utilizar autenticacin fuera de banda para verificar el par de palabras. Tambin puedes leer las palabras en voz alta si reconoces la voz de la persona que llama, aunque agresores muy sofisticados podran ser capaces de saltar este obstculo de ser necesario. El par de palabras debe ser idntico. TextSecure es una herramienta de Cdigo Abierto FOSS para enviar y recibir SMS de forma segura en los telfonos Android. Funciona tanto para mensajes cifrados y no cifrados, as que puedes utilizarla por defecto como una aplicacin SMS. Para intercambiar mensajes cifrados esta herramienta debe estar instalado tanto por parte del emisor como del receptor del mensaje, por lo tanto debers promover su uso constante entre las personas con las que te comunicas. TextSecure automticamente detecta los mensajes cifrados recibidos desde otro usuario de TextSecure. Tambin te permite cifrar mensajes a ms de una persona. Los mensajes son firmados automticamente haciendo casi imposible que los contenidos del mensaje sean alterados. En nuestras gua sobre TextSecure explicamos en detalle las caractersticas de esta herramienta y cmo utilizarla.

Cmo instalar TextSecure?

Lo primero ser descargar la aplicacin desde la tienda Google play, e instalar la aplicacin (haciendo clic en el bton de instalar). Creamos una contrasea o frase para encriptar los datos guardados en tu telfono.

Al iniciar TextSecure nos pedir que ingresemos la contrasea. La aplicacin preguntar si deseas copiar la base de datos de mensajes de texto existente a tu dispositivo. Es recomendable copiar los mensajes para que sean encriptados, y borrarlos de su anterior ubicacin.

En este momento ya estamos listo para usar TextSecure como la aplicacin para mensajera.

Nota: Si no deseamos intercambiar mensajes de texto encriptados, tambin se puede usar TextSecure para almacenar de forma segura los mensajes que se envian y reciben, por lo que si perdemos el dispositivo los mensajes sern ilegibles a las personas que lo encuentran.

Estableciendo comunicaciones seguras

Es un requisito realizar por nica vez una conexin segura para cada nmero de telfono con la que quieres usar TextSecure. Para hacer esto debemos de:

- Ingresa a Men, y haz clic en sesin segura / Opciones del Men - Ingresa o selecciona el contacto deseado para Iniciar Intercambio de Llaves - Presiona enviar.

La aplicacin le enviar un mensaje al receptor, y la aplicacin de ste responder automticamente con un mensaje de estableciendo la conexin segura. Este proceso deber realizarse una nica vez para cada nmero de telfono o contacto.

Cuando se haya realizado la conexin segura con el contacto, un cono en forma de candado aparecer en la esquina superior izquierda. Puedes cambiar la configuracin para prevenir que TextSecure conteste automticamente escogiendo Men, y luego Configuracin

Para Completar el Intercambio de Llaves debemos desplazarnos hacia abajo. Esta opcin automticamente completar el intercambio de llaves para nuevas sesiones seguras o para sesiones existentes con una misma llave de identidad.

Para verificar que efectivamente la conexin que se estableci es con la persona correcta, debemos seguir estos pasos:

- Selecciona el mensaje de texto que fue enviado automticamente por TextSecure para establecer la conexin segura.

- Selecciona Men y luego pulsa Opciones de Sesin Segura - Pulsa Verificar la Identidad del Receptor. Esto desplegar una serie de caracteres para t y

para la persona del otro lado. - Contactamos a la otra persona (va telefnica o por otros medios) y confirma que ellos/as

ven la misma serie de caracteres.

Para el Intercambiando mensajes encriptados

Pulsa el cono de TextSecure / Redacta un nuevo mensaje / Pantalla principal / Selecciona el contacto deseado / Verificar que aparezca el candado en el botn de enviar lo que indica que tu mensaje estar seguro / Escriba el mensaje / Haz clic en Enviar.

Importante: Si no aparece el candado a la par del botn de enviar mientras ests redactando el mensaje, significa que el mensaje que enviars viajar en texto plano, y puede ser interceptado y grabado en el camino.

Evidencia de aprendizaje. A lo largo de las unidades, hemos analizado diferentes herramientas que ayudan o en su ausencia perjudican a los activos informticos de las empresas e instituciones, es hora de ser crticos y mencionar algunas aplicaciones, mtodos de encriptacin, modelos, normas internacionales, entre otros, que ayudaran a mejorar la seguridad de dichos activos, para ser plasmado en un informe, por lo tanto te pido:

1. Analizar una empresa o institucin con uso de tecnologa, (de preferencia si trabajas en una de ellas).

Universidad Autnoma Chapingo

niveles de seguridad polticas de seguridad Firewalls Wrappers Deteccin de Intrusos en Tiempo Real

antivirus

Servidor web Ejecutar aplicaciones con privilegios mnimos

Cuando la aplicacin se ejecuta, lo hace en un contexto que tiene privilegios especficos en el equipo local y posiblemente en equipos remotos.

Reglamento de computo

Configurado en Sistemas LINUX

TCP Wrapper

G DATA ENDPOINT PROTECTION BUSINESS

PacketShaper

Sistemas LINUX

G DATA

Red universitaria 1.Conceptos bsicos de TCP/IP -Esquema de direccionamiento IPv4 -Fragmentacin 2. Anlisis de protocolos -Introduciendo filtros -Anlisis de la salud de la Red 3. Tcnicas de Intrusin y ataques -Escaneo del sistema -Explotando el sistema -Manteniendo el acceso al sistema 4. Seguridad y auditoria en ruteadores -Amenazas y vulnerabilidades -Control de acceso -Confidencialidad y autenticacin -Buenas prcticas 5. Auditoria de red y permetro.

Reglamento de computo

Asignacin del ancho de banda, el control del trfico y la aceleracin de ste mediante polticas por aplicacin, usuario o cliente

Supervisin de trfico

TCP Wrapper

PacketShaper G DATA ENDPOINT PROTECTION BUSINESS G Data ClientSecurity ofrece la mejor proteccin para todo tipo de datos de cualquier compaa contra las amenazas de virus, troyanos, spam y hackers. Tambin proporciona una barrera segura contra las epidemias de virus, sabotaje o robo.

6. Auditoria en Sistemas Windows y Unix 7. Polticas y planes de contingencia.

Terminales (PC) -Versin y actualizacin de Sistema Operativo -Usuarios y Grupos -Antivirus Antispyware

Reglamento de computo

Firewall de Windows Y antivirus

TCP Wrapper

G Data ClientSecurity

Telefonia IP -Fragmentacin -Anlisis de protocolos -Introduciendo filtros -Anlisis de la salud de la Red

-Supervisin de trfico -Asignacin de privilegios de salida

EA_U2_arrmU3_EA_ARRM