Fundamentos de la seguridad de aplicaciones

Slides:

Advertisements

Presentaciones similares

METODOS DE AUTENTICACIÓN

Advertisements

Implementación de seguridad en aplicaciones y datos

Procesos para un desarrollo seguro

Fundamentos de seguridad

Recomendaciones para la escritura de código seguro

Entender la Política de grupo Parte 2. Lo que vamos a cubrir Administración avanzada de la política de grupo Implementar software con la Política de grupo.

C OB I T Control Objectives for Information and Related Technology Information Systems and Control Foundation.

Jorge de Nova Segundo UD4: Instalación y administración de servicios Web Seguridad del protocolo HTTP.

SEGURIDAD EN INTERNET EQUIPO No. 1 TELECOMUNICACIONES II Seguridad de Redes Seguridad de Redes Protección al proceso mediante el cual la información es.

Seguridad en aplicaciones Web con Microsoft ASP.NET

Ing. Horacio Carlos Sagredo Tejerina

2.5 Seguridad e integridad.

Que es el protocolo “SSL”

Problemas asociados a DHCP. Seguridad.

INGENIERÍA DE SISTEMAS E INFORMÁTICA TEMA: ANÁLISIS DE LAS APLICACIONES WEB DE LA SUPERINTENDENCIA DE BANCOS Y SEGUROS, UTILIZANDO LAS RECOMENDACIONES.

Implementación de seguridad en aplicaciones y datos Nombre del presentador PuestoCompañía.

28 de junio, Primero – Aclaremos el Nombre FOPE – Forefront Online Protection for Exchange Previamente FOSE Forma parte de Exchange Hosted Services:

Implementación de seguridad en aplicaciones y datos

Implementación de la seguridad en el servidor en Windows 2000 y Windows Server 2003 Nivel Avanzado Orador: Elier Alfaro Alfonso Ingeniero Consultor (CISSP)

Auditoria Informática Unidad II

Tema 3 – Técnicas de Acceso Remoto y Seguridad Perimetral

Seguridad del protocolo HTTP

NetBios Auth Bypassing Undercon Objetivo inicial: Obtener acceso a un sistema remoto.

HOL – FOR06. ► Introducción. ► Configuración de Forefront. ► Amenazas web: Solución Antimalware ► Amenazas de correo electrónico. Malware y Spam ► Protección.

Auditoría de Sistemas y Software

MICROSOFT ISA SERVER PRESENTADO A: FABIO LASSO

Diego Pastor Ralde. Client-side Vulnerabilities  Web Browsers  Office Software  Clients  Media Players.

5. Sistemas de archivos avanzados1 Tema 5: Sistemas de Archivos Avanzados Resumen: –Sistema de archivos distribuido –File Replication Service.

Creación de un dominio Windows  Descripción general Introducción a la creación de un dominio de Windows 2000 Instalación de Active Directory Proceso.

Nuevos servicios on-line. Gestión a través de internet  El usuario que realiza una gestión a través de internet necesita un ordenador o bien un móvil.

Dos años para un golpe El Ordenador del director general Revisando el servidor web secundario, encontró el nombre de usuario y número de IP del director.

Norman SecureTide Potente solución de nube para detener el spam y las amenazas antes de que lleguen a su red.

UD 1: “Adopción de pautas de seguridad informática” Análisis de las principales vulnerabilidades de un sistema informático. Luis Alfonso Sánchez Brazales.

Programa 5 Estrellas Nombre Cargo Compañía. Introducción El programa Profesional 5 Estrellas tiene por objetivo: –Identificar el nivel de conocimiento.

Seguridad DNS. Javier Rodríguez Granados.

S EGURIDAD DNS - V ULNERABILIDADES, AMENAZAS Y ATAQUES. - M ECANISMOS DE SEGURIDAD. Luis Villalta Márquez.

Cuentas de usuarios y grupos en windows 2008 server

“condición que necesita el usuario para resolver un problema o conseguir un objetivo determinado”. Los requisitos de un sistema son los aspectos que el.

Tema 2 – Implantación de mecanismos de seguridad activa

Políticas de defensa en profundidad: - Defensa perimetral

FUNDAMENTOS TECNOLÓGICOS DE INFORMACIÓN Ing. Tanya Recalde Chiluiza.

Tiene dos partes: usuario e institución. El usuario que realiza una gestión a través de internet necesita: -Un ordenador, teléfono móvil o PDA. -Un navegador.

Técnicas de cifrado. Clave pública y clave privada:

Proveedores de servicios externos

¿QUE SON LAS ACTUALIZACIONES?  Las actualizaciones son adiciones al software que pueden evitar problemas o corregirlos, mejorar el funcionamiento del.

La administración de dominios

Seguridad del protocolo HTTP:

Gabriel Montañés León.  El sistema de nombres de dominio (DNS, Domain Name System) se diseñó originalmente como un protocolo. Antes de considerar qué.

Problemas asociados a DHCP - Seguridad

Punto 6 – Seguridad en el protocolo HTTP Juan Luis Cano.

Análisis de las principales vulnerabilidades de un sistema informático. Gabriel Montañés León.

UD 2: “Instalación y administración de servicios de configuración automática de red” Problemas asociados a DHCP. Seguridad Luis Alfonso Sánchez Brazales.

Técnicas de cifrado. Clave pública y clave privada:

Formación a distancia : Actualmente existen en internet infinidad de recursos que permiten obtener formación.  Universidades Oberta de Cataluña: Que.

VIRUS Características principales

Unidad 4. Servicios de acceso remoto

Ciclo de Vida del Software

Implementación de seguridad en aplicaciones y datos Mónica Fernández ConsultorMicrosoft.

ANGIE PAOLA SOLANO CASTIBLANCO DAR SOPORTE A LOS PROCESOS NORMAS ISO DOC. JOHANA LÓPEZ CHAVEZ SENA 2010.

Sustentante: Francis Ariel Jiménez Zapata Matricula: Grupo: 2 Profesora: Jose Doñe Asignatura: Sistema Operativo 2.

SEGURIDAD EN LA CONEXIÓN CON REDES PÚBLICAS. Técnicas de Cifrado: El cifrado es un método que permite aumentar la seguridad de un mensaje o de un archivo.

APLICACIONES EN LINEA.

YUBER ANDRÉS LOAIZA OROZCO SERVIDOR PROXY GESTIÓN DE REDES DE DATOS.

Problemas DHCP: DHCP es un protocolo no autenticado. Cuando un usuario se conecta a una red no necesita proporcionar credenciales para obtener una concesión.

Módulo 7: Resolución de nombres NetBIOS mediante el Servicio de nombres Internet de Windows (WINS)

UNIVERSIDAD LATINA SEGURIDAD INFORMATICA II E.I. L.E. Prof. Ramón Castro Liceaga XI. SEGURIDAD EN SERVIDORES DE NOMBRE (DNS).

Transcripción de la presentación:

Fundamentos de la seguridad de aplicaciones MGB 2003 Fundamentos de la seguridad de aplicaciones © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Contenido La importancia de la seguridad de las aplicaciones MGB 2003 Contenido La importancia de la seguridad de las aplicaciones Recomendaciones para el desarrollo de aplicaciones seguras Tecnologías de seguridad Directrices para el desarrollo seguro © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Requisitos previos para la sesión MGB 2003 Requisitos previos para la sesión Experiencia en desarrollo con Microsoft Visual Basic® , Microsoft Visual C++® o C# Nivel 200 © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Agenda La importancia de la seguridad de las aplicaciones MGB 2003 Agenda La importancia de la seguridad de las aplicaciones Recomendaciones para el desarrollo de aplicaciones seguras Tecnologías de seguridad Directrices para el desarrollo seguro © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Informática digna de confianza MGB 2003 Informática digna de confianza “Informática digna de confianza se basa en cuatro pilares: Confiabilidad significa que un sistema informático es seguro, está disponible cuando se necesita, y funciona de la manera esperada y con los niveles apropiados. Seguridad significa que un sistema es resistente a los ataques, y que la confidencialidad, la integridad y la disponibilidad tanto del sistema como de sus datos están protegidas. Privacidad significa que los usuarios pueden controlar su información personal y que las organizaciones que utilizan la información la protegen fielmente. Integridad del negocio se refiere a que las compañías de nuestra industria son responsables ante los clientes y les ayudan a encontrar soluciones adecuadas a sus problemas empresariales, resuelven sus problemas con productos o servicios y están abiertos a interacciones con los clientes.” - Bill Gates 18 de julio de 2002 © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Escenarios de conexión y preocupaciones por la seguridad MGB 2003 Escenarios de conexión y preocupaciones por la seguridad Escenarios de conexión: Redes por cable tradicionales Empleados que viajan con frecuencia Redes inalámbricas públicas Problemas de seguridad: Dependencia de las aplicaciones de Internet Dependencia de las empresas de Internet Ataques internos a la seguridad © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Tipos comunes de ataques MGB 2003 Tipos comunes de ataques Errores de conexión Ataques organizativos Datos restringidos Infracciones accidentales de la seguridad automatizados Atacantes Virus, caballos de Troya y gusanos Denegación de servicio (DoS) DoS © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Ejemplos de intrusiones en la seguridad MGB 2003 Ejemplos de intrusiones en la seguridad CodeRed ILoveYou Nimda Virus Atacante © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Consecuencias de una seguridad insuficiente MGB 2003 Consecuencias de una seguridad insuficiente Robo de propiedad intelectual Tiempo de inactividad del sistema Pérdida de productividad Daño a la reputación de la empresa Pérdida de confianza de los clientes Graves pérdidas financieras por pérdida de ingresos © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Desafíos al implementar la seguridad MGB 2003 Desafíos al implementar la seguridad Un atacante sólo necesita entender una vulnerabilidad El defensor debe proteger todos los puntos de entrada Los atacantes tienen un tiempo ilimitado El defensor trabaja con limitaciones de tiempo y de dinero Atacantes frente a defensores Los sistemas seguros son más difíciles de utilizar Las contraseñas complejas y seguras son difíciles de recordar Los usuarios prefieren emplear contraseñas sencillas Seguridad frente a facilidad de uso Necesito seguridad La seguridad como idea tardía Los desarrolladores y la dirección creen que la seguridad no aporta ningún valor a la empresa Resolver vulnerabilidades justo antes del lanzamiento de un producto es muy costoso © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

El papel de los desarrolladores en la seguridad de las aplicaciones MGB 2003 El papel de los desarrolladores en la seguridad de las aplicaciones Los desarrolladores deben: Trabajar con los arquitectos de soluciones y los administradores de sistemas para garantizar la seguridad de las aplicaciones Contribuir a la seguridad: Adoptando buenas prácticas de desarrollo para lograr aplicaciones seguras Conociendo dónde se producen las vulnerabilidades de seguridad y cómo evitarlas Utilizando técnicas de programación seguras © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Agenda La importancia de la seguridad de las aplicaciones MGB 2003 Agenda La importancia de la seguridad de las aplicaciones Recomendaciones para el desarrollo de aplicaciones seguras Tecnologías de seguridad Directrices para el desarrollo seguro © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Enfoque holístico de la seguridad MGB 2003 Enfoque holístico de la seguridad La seguridad debe tenerse en cuenta en: Todas las etapas de un proyecto Diseño Desarrollo Implementación Todas las capas Red Host Aplicación “La seguridad es tan buena como el eslabón más débil” © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Seguridad a lo largo del ciclo de vida del proyecto MGB 2003 Seguridad a lo largo del ciclo de vida del proyecto Analizar amenazas Aprender y refinar Revisión externa Preguntas durante las entrevistas Determinar los criterios de validación de la seguridad Empuje de la seguridad Concepto Entrega Después de la entrega Diseños completados Planes de pruebas completados Código completado Entrenar a los miembros del equipo Revisar defectos anteriores, comprobar registros directrices de programación segura, usar herramientas Revisión del equipo de seguridad Pruebas de mutación de datos y mínimos privilegios =continuo © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

El marco de seguridad SD3 MGB 2003 El marco de seguridad SD3 SD3 Seguro por diseño Arquitectura y código seguros Análisis de amenazas Reducción de vulnerabilidades Seguro de forma predeterminada Se reduce el área de ataques Características no utilizadas desactivadas de forma predeterminada Uso de privilegios mínimos Protección: detección, defensa, recuperación, administración Proceso: guías de procedimientos, guías de arquitecturas Personas: entrenamiento Seguro en la implementación © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Modelado de amenazas El modelado de amenazas es: Modelado de amenazas: MGB 2003 Modelado de amenazas El modelado de amenazas es: Un análisis de una aplicación basado en la seguridad Una parte crucial del proceso de diseño Modelado de amenazas: Reduce el costo de proteger una aplicación Ofrece un proceso lógico y eficiente Ayuda al equipo de desarrollo: Identificar dónde es más vulnerable la aplicación Determinar qué amenazas requieren mitigación y cómo tratar dichas amenazas © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Educación continua Ofrezca información acerca de: MGB 2003 Educación continua Ofrezca información acerca de: Cómo funcionan las características de seguridad Cómo utilizar las características de seguridad para crear sistemas seguros Qué apariencia tienen las vulnerabilidades de seguridad para poder identificar código defectuoso Cómo evitar vulnerabilidades de seguridad frecuentes Cómo evitar la repetición de errores © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Validación de los datos de entrada MGB 2003 Validación de los datos de entrada Desbordamientos de búfer Inyección de SQL Secuencias de comandos entre sitios “Todos los datos de entrada son perversos mientras no se demuestre lo contrario” © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

MGB 2003 Demostración 1 Desbordamientos de búfer Eludir las comprobaciones de seguridad © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Recomendaciones para mejorar la seguridad MGB 2003 Recomendaciones para mejorar la seguridad Recomendación Ventaja Adoptar el modelado de amenazas Identifica las vulnerabilidades de seguridad Aumenta el conocimiento de la arquitectura de las aplicaciones Entrenar al equipo de desarrollo Evita defectos comunes de seguridad Correcta aplicación de las tecnologías de seguridad Revisión de código Protege el código que Tiene acceso a la red Se ejecuta de forma predeterminada Utiliza protocolos no autenticados Se ejecuta con privilegios elevados Usar herramientas Pruebas más coherentes para detectar vulnerabilidades Usar soluciones de infraestructura Más seguro con SSL/TLS e IPSec Usar soluciones de componentes Más robusto con CAPICOM y el espacio de nombres .NET Cryptography Migrar código administrado Evita vulnerabilidades comunes © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Agenda La importancia de la seguridad de las aplicaciones MGB 2003 Agenda La importancia de la seguridad de las aplicaciones Recomendaciones para el desarrollo de aplicaciones seguras Tecnologías de seguridad Directrices para el desarrollo seguro © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Introducción a las tecnologías de seguridad MGB 2003 Introducción a las tecnologías de seguridad Los desarrolladores necesitan utilizar y aplicar: Cifrado Hashing Firmas digitales Certificados digitales Comunicación segura Autenticación Autorización Servidores de seguridad Auditoría Service Pack y actualizaciones © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Cifrado El cifrado es el proceso de codificación de datos MGB 2003 Cifrado El cifrado es el proceso de codificación de datos Para proteger la identidad de un usuario o impedir que se lean los datos Para impedir que se modifiquen los datos Para comprobar que los datos proceden de un usuario en particular El cifrado puede ser: Asimétrico Simétrico © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Cifrado simétrico frente a cifrado asimétrico MGB 2003 Cifrado simétrico frente a cifrado asimétrico Tipo de algoritmo Descripción Simétrico Utiliza una clave para: Cifrar los datos Descifrar los datos Es rápido y eficiente Asimétrico Utiliza dos claves relacionadas matemáticamente: Clave pública para cifrar los datos Clave privada para descifrar los datos Es más seguro que el cifrado simétrico Es más lento que el cifrado simétrico © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Comprobación de la integridad de los datos mediante valores de hash MGB 2003 Comprobación de la integridad de los datos mediante valores de hash Usuario A Usuario B Datos Algoritmo de hash Valor de hash Si los valores de hash coinciden, los datos son válidos Algoritmo de hash Datos Datos Valor de hash Valor de hash El usuario A envía datos y el valor de hash al usuario B © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Clave pública del usuario A Clave privada del usuario A MGB 2003 Firmas digitales Usuario A Usuario B Datos Algoritmo de hash Datos Algoritmo de hash Clave pública del usuario A Valor de hash Valor de hash Clave privada del usuario A Si los valores de hash coinciden, los datos proceden del propietario de la clave privada y son válidos Valor de hash © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Funcionamiento de los certificados digitales MGB 2003 Funcionamiento de los certificados digitales Clave privada Usuario Par de claves privada y pública Equipo Clave pública Servicio Aplicación Entidad emisora de certificados Administrador certificado © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Comunicación segura Tecnologías MGB 2003 Comunicación segura Tecnologías Entre las tecnologías se incluyen: IPSec SSL TLS Cifrado RPC SSL/TLS IPSec Cifrado RPC © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Comunicación segura Funcionamiento de IPSec MGB 2003 Comunicación segura Funcionamiento de IPSec Directiva IPSec Directiva IPSec Negociación de la asociación de seguridad Capa TCP Capa TCP Controlador IPSec Controlador IPSec Paquetes IP cifrados © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Comunicación segura Funcionamiento de SSL MGB 2003 Comunicación segura Funcionamiento de SSL 2 Certificado raíz del servidor Web Mensaje Explorador seguro Servidor Web seguro 3 4 HTTPS 1 1 El usuario explora un servidor Web seguro mediante HTTPS El explorador crea una clave de sesión única y la cifra mediante la clave pública del servidor Web, que se genera a partir del certificado raíz El servidor Web recibe la clave de sesión y la descifra mediante su clave privada Una vez establecida la conexión, toda la comunicación que tiene lugar entre el explorador y el servidor Web es segura 2 3 4 © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

MGB 2003 Demostración 2 Certificados de servidor SSL Ver un sitio Web en un servidor que no es seguro Generar una solicitud de certificado Solicitar un certificado de prueba Instalar el certificado SSL Probar el certificado SSL © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Autenticación Propósito de la autenticación MGB 2003 Autenticación Propósito de la autenticación Comprueba la identidad de un principal: Aceptando credenciales Validando dichas credenciales Protege las comunicaciones al asegurarse de que su aplicación sabe quién está llamando No basta con cifrar los datos © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Autenticación Métodos de autenticación MGB 2003 Autenticación Métodos de autenticación Básica De texto implícita Firmas digitales y certificados digitales Integrada El protocolo Kerberos versión 5 NTLM Microsoft Passport Biométrica © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Autenticación Autenticación básica MGB 2003 Autenticación Autenticación básica Es simple pero efectiva La aceptan los principales exploradores y servidores Es fácil de programar y de configurar Administra las credenciales de usuario Requiere SSL/TLS © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Autenticación Funcionamiento de la Autenticación de texto implícita MGB 2003 Autenticación Funcionamiento de la Autenticación de texto implícita Cliente 1 Solicitud Servidor Desafío 2 3 Algoritmo de compendio Contraseña X$!87ghy5 4 Active Directory 5 6 © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Autenticación Certificados digitales de cliente MGB 2003 Autenticación Certificados digitales de cliente Se utilizan en aplicaciones Web El servidor protege las comunicaciones utilizando SSL/TLS con un certificado de servidor X.509 El servidor autentica a los clientes utilizando datos contenidos en el certificado X.509 del cliente, si es necesario La entidad emisora de certificados emite un certificado para el cual el servidor contiene un certificado raíz Se utilizan en aplicaciones distribuidas La aplicación utiliza un canal de comunicaciones SSL/TLS Las aplicaciones del cliente y del servidor se autentican mediante certificados Pueden implementarse en tarjetas inteligentes © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Autenticación Cuándo usar la Autenticación integrada MGB 2003 Autenticación Cuándo usar la Autenticación integrada Servidor de seguridad ¿Intranet? Cliente No No puede utilizar Autenticación integrada Sí ¿Windows 2000 o posterior? No NTLM Autenticación del servidor Integrada de Windows Sí ¿Dominio de Active Directory? No Kerberos Autenticación de cliente y servidor Sí © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Autenticación Cómo utilizar Kerberos versión 5 MGB 2003 Autenticación Cómo utilizar Kerberos versión 5 Inicio de sesión inicial Solicitud de servicio Cliente KDC Servidor de destino Vale de servicio ST KDC 2 TGT 2 ST 1 1 TGT 3 ST Cliente Se establece sesión 4 TGT en caché local 3 TGT Vale de concesión de vales © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

MGB 2003 Demostración 3 Técnicas de autenticación de IIS Uso de Autenticación anónima Uso de Autenticación básica Uso de Autenticación de Windows integrada © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Autorización Qué es la autorización MGB 2003 Autorización Qué es la autorización Autorización: Ocurre una vez autenticada la solicitud del cliente Es el proceso de confirmar que un principal autenticado tiene permitido el acceso a determinados recursos Comprueba los derechos asignados para archivos, carpetas, valores del Registro, aplicaciones, etc. Puede estar basada en funciones Puede estar basada en código © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Autorización Técnicas frecuentes de autorización MGB 2003 Autorización Técnicas frecuentes de autorización Permisos Web (y restricciones IP/DNS) de IIS Seguridad basada en funciones de .NET Seguridad de acceso a código de .NET Listas de control de acceso (ACL) de NTFS Inicios de sesión de SQL Server Permisos de SQL Server © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Autorización Modelo de suplantación/delegación MGB 2003 Autorización Modelo de suplantación/delegación La identidad del cliente se utiliza para tener acceso a recursos inferiores Servidor Web o de aplicaciones Servidor de base de datos o de otros recursos A B C © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Autorización Modelo de subsistema de confianza MGB 2003 Autorización Modelo de subsistema de confianza A los clientes se les asignan funciones Se utilizan cuentas de servicio de Windows dedicadas para cada función al tener acceso a recursos inferiores Servidor Web o de aplicaciones Servidor de base de datos o de otros recursos A Función 1 1 B Función 2 C 2 © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

MGB 2003 Demostración 4 Técnicas de autorización del modelo Subsistema de confianza Revisar la aplicación Establecer la autenticación en el servidor Web Crear cuentas de servicio en el servidor Web Establecer la autorización en el servidor de base de datos © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Servidores de seguridad MGB 2003 Servidores de seguridad Los servidores de seguridad pueden ofrecer: Puerta de enlace segura hacia Internet para los clientes internos Filtrado de paquetes Filtrado en el nivel de circuito Filtrado de aplicaciones Auditoría Los servidores de seguridad no pueden ofrecer: Protección contra ataques en el nivel de aplicación sobre HTTP o HTTPS © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

MGB 2003 Auditoría Entre las acciones de auditoría se incluye el seguimiento de: Acceso a recursos y uso de los mismos Intentos correctos y fallidos de inicio de sesión Errores de aplicaciones Entre las ventajas de la auditoría cabe citar: Ayuda a los administradores a detectar intrusiones y actividades sospechosas Seguimiento en caso de disputas legales por no incumplimiento Diagnóstico de brechas en la seguridad © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Service Pack y actualizaciones MGB 2003 Service Pack y actualizaciones Actualización de seguridad Descripción Revisión Resuelve un único problema o un número reducido de problemas Puede combinarse mediante QChain Paquete de seguridad Varias revisiones empaquetadas para facilitar su instalación Service Pack Ofrece actualizaciones importantes Conjunto acumulativo de actualizaciones anteriores Puede contener revisiones no anunciadas previamente Puede contener cambios en características © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Agenda La importancia de la seguridad de las aplicaciones MGB 2003 Agenda La importancia de la seguridad de las aplicaciones Recomendaciones para el desarrollo de aplicaciones seguras Tecnologías de seguridad Directrices para el desarrollo seguro © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Desarrollo proactivo de la seguridad MGB 2003 Desarrollo proactivo de la seguridad Integrar mejoras a la seguridad en todo el proceso de desarrollo Al centrarse en la seguridad y proteger el código puede resistir nuevos ataques Fomentar el papel clave que desempeña la educación Aumentar la concienciación dentro de su equipo Aprender de sus errores y de los errores de otros © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Adopción del marco de seguridad SD3 MGB 2003 Adopción del marco de seguridad SD3 Seguro por diseño Cree modelos de amenazas Realice revisiones de código, pruebas de penetración Ejecute código con privilegios mínimos Seguro de forma predeterminada Minimice la superficie de ataque Habilite los servicios de manera segura Aproveche las recomendaciones de seguridad Cree consejos sobre seguridad Cree herramientas para evaluar la seguridad de las aplicaciones Seguro en la implementación © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

MGB 2003 Resumen de la sesión La importancia de la seguridad de las aplicaciones Recomendaciones para el desarrollo de aplicaciones seguras Tecnologías de seguridad Directrices para el desarrollo seguro © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Pasos siguientes Mantenerse informado sobre la seguridad MGB 2003 Pasos siguientes Mantenerse informado sobre la seguridad Suscribirse a boletines de seguridad: http://www.microsoft.com/security/security_bulletins/alerts2.asp (este sitio está en inglés) Obtener las directrices de seguridad de Microsoft más recientes: http://www.microsoft.com/security/guidance/ (este sitio está en inglés) Obtener información de seguridad adicional Buscar seminarios de aprendizaje en línea y presenciales: http://www.microsoft.com/seminar/events/security.mspx (este sitio está en inglés) Buscar un CTEC local que ofrezca cursos prácticos: http://www.microsoft.com/learning/ (este sitio está en inglés) © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Para obtener más información MGB 2003 Para obtener más información Sitio de seguridad de Microsoft (todos los usuarios) http://www.microsoft.com/security (este sitio está en inglés) Sitio de seguridad de MSDN (desarrolladores) http://msdn.microsoft.com/security (este sitio está en inglés) Sitio de seguridad de TechNet (profesionales de IT) http://www.microsoft.com/technet/security (este sitio está en inglés) © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Preguntas y respuestas MGB 2003 Preguntas y respuestas © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

MGB 2003 © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.