Computación Segura. Gustavo De la Cruz Tovar Ing. Cibernetica. Grupo 912. Agosto-Diciembre 2003. Sala L. Lunes y Jueves de 7 a 8:30 am Objetivo: El alumno debe formarse en la filosofia de un hacker con el fin de entender las vulnerabilidades de software y proponer las defensas a utilizar; usando asi el conocimiento para ofrecer una apoyo a los requerimientos de computación segura que demande la sociedad. Requisitos. Es necesario teneer fundamentos de Redes y Protocolos Sistemas operativos (UNIX y NT) Bases de Datos Programación de sistemas Evaluación Asistenticia a clase (A) Dos exámenes (E1 y E2) Dos prácticas (P1 y P2) Proyecto Final (PF) Calificacion Final = 0.2*A + 0.3*(E1+E2)/2 + 0.25*(P1+P2)/2 + 0.25*PF Comportamiento en clase. + La asistencia a clase es primordial. A parte de ser aplicado el reglamento ULSA (80 % asistencia para derecho a calificación final y 60% para extraordinario); para esta materia, cada clase está orientada a tener experiencias prácticas y se incluye como parte de la evaluación la asistencia diaria. La asistencia implica estar en toda la clase y no solo pasar lista, se debe tener puntualidad y seriedad en llegada, estancia y salida en clase. No es pretexto el gozar de privelegio de inasistencia por estar en noveno semestre. + No es pretexto el hecho de tener trabajo para justificar faltas, tener presente que se deben combinar ambas responsabilidades + Las clases son de 7 am a 8:30 am + No asistencia a un examen parcial implica 0 puntos + La entrega de prácticas es de manera electrónica + Prohibido el uso de dispositivos de comunicación en clase, en caso de que se interrumpa la clase por este hecho, el castigo es entregar el dispositivo al profesor el cual sera devuelto una semana despues. + Es muy importante que en esta materia se tenga un comportamiento responsable sobre los recursos de cómputo otorgados por La Salle. Dado que el objetivo es enseñar a defender y no atacar se espera de los alumnos la mejor actitud hacia los conocimientos recibidos. El profesor espera una actitud madura. + Los conocimientos otorgados por el profesor son ejemplos básicos sobre vulnerabilidades y defensas. NUNCA APLICAR ESOS CONOCIMIENTOS EN SISTEMAS DE COMPUTO SIN UNA PREVIA DISCUSION CON LOS RESPONSABLES. + El profesor, como humano que es, puede cometer errores o a veces no ser del todo objetivo. Siempre tener la confianza de indicarle las sugerencias para mejora la clase. La mecánica de la clase no se basa en imponer conocimientos donde el alumno sea solo un receptor pasivo, sino al contrario y en especial en esta materia, que sea activo y comparta su conocimiento Temario: Parte 1. Fundamentos 1. Bases de Computación Segura. Definición de Computación Segura Participantes en la Computación Segura Hardware y Software Vulnerables Usuarios Crackers Hackers Introducción a las Vulnerabilidades Computacionales Introduccin a las Protecciones Computacionales Información Privada Fraudes y Abusos Estándares y criterios en computación segura Etica y seguridad Historia de la Computación Segura Disciplinas relacionadas 2. Políticas y modelos de computación segura Estrategias de computación segura Planeación de necesidades de seguridad Valuación de riesgos Análisis de costo beneficio Políticas Modelos de control de acceso Modelos de flujo de información Modelos de Integridad 3. Análisis de Seguridad Computacional Análisis de Riesgos Auditoría de sistemas de información Pruebas de vulnerabilidad Detección de intrusos 4. Diseño y construcción de sistemas computacionales seguros Principios de diseño para seguridad Filosofía de Arquitecturas de seguridad Criterios de Evaluación Proceso de desarrollo y seguridad 5. Administración de sistemas seguros Personas Operación Seguridad Física Planes de contingencia Respuesta a incidentes 6. Criptografía Fundamentos matemáticos Técnicas criptograficas Criptografía de Llave Pública Autenticación de la información Administración de llaves Protocolos Criptográficos Autoridades Certificadoras Parte 2. Vulnerabilidades y Defensas. 1. Seguridad en sistemas operativos. Identificación y Autenticación Control de Acceso Disponibilidad e Integridad Auditoría 2. Seguridad en sistemas de bases de datos. Requerimientos de Seguridad en base de datos Servicios de Seguridad para bases de datos 3. Seguridad en sistemas de red. Seguridad en la pila TCP/IP Seguridad en servicios de red Seguridad en servicios de Internet Corta Fuegos (Firewalls) Protocolos seguros Redes privadas virtuales Detectores de vulnerabilidades 4. Seguridad en aplicaciones distribuidas Técnicas de programación segura Seguridad en aplicaciones basadas en WWW Seguridad en aplicaciones basadas en código móvil Seguridad en aplicaciones basadas en servicios distribuidos Parte 3. Tópicos avanzados. 1. Seguridad Forense 2. Marco Legal y Etico 3. Herramientas de la Industria de Software 4. Guia Básica a la Certificación de Profesionales en Seguridad de Sistemas de Información (CISSP) Bibliografía Libros. Secure threats and safeguards computing. Rita Summers. Practical Unix and Internet Security.Simson Garfinkel & Gene Spafford. Ed. O'Reilly Building Internet Firewalls. Elizabeth Zwicky. Ed. O'Reilly Building Secure Software. John Viega. Ed. Addison Wesley. Network Intrusion Detection. Stephen Northcutt. Applied Criptography. Bruce Scheiner. Ed. John Wiley Hacking Exposed. Stuart McClure. Ed. McGrawHill Firewalls and Internet Security. William Cheswick. SSH. Daniel J. Barrett. Ed. O'Reilly Java Security.Scott. Oaks. Ed. O'Reilly PGP. Simson Garfinkel. Ed. O'Reilly Inside Network Perimet Security. Stephen Northcutt. Ed. News Riders The hacker Ethic. Pekka Himanen. Neuromancer - William Gibson The Cuckoo's Egg - Clifford Stoll Cryptonomicon - Neal Stephenson Sitios de WWW The Risk Digest. http://catless.ncl.ac.uk/Risks Enciclopedia seguridad. http://www.itsecurity.com Tutorial seguridad. http://www.itsecurity.com/tutor/tutor.htm 2600. http://www.2600.co.za/ nmap http://www.insecure.org/ Herramientas de seguridad, papers http://packetstormsecurity.nl Sitio para encontar ofensas digitales y worms http://www.digitaloffense.net/ Proyectos de seguridad, estudio de brechas http://www.team-teso.net/ Exploits, papers http://www.netric.org/, http://lsd-pl.net/ Honeyd, para redes virtuales en Linux. http://www.citi.umich.edu/u/provos/honeyd/ IDS Open Source. http://www.snort.org/ Para ataque a root, detector http://www.chkrootkit.org/ SSL. http://www.openssl.org/ OpenLDAP. http://www.openldap.org/ Autoridad certificadora. http://www.openca.org/ Apache con modSSL. http://www.modssl.org/ OpenPGP y GNUPG. http://openpgp.org/, http://www.gnupg.org/ Libro Cheswick sobre Firewalls. http://www.wilyhacker.com/1e/ Firewall Toolkit. http://www.fwtk.org/