Programa

Seguridad en redes

Ataques contra las redes TCP/IP

• Seguridad en redes TCP/IP
• Actividades previas a la realización de un ataque
• Escuchadores de red
• Ataques de denegación de servicio
• Deficiencias de programación

Mecanismos de prevención

• Sistemas cortafuegos
• Construcción de sistemas cortafuegos
• Zonas desmilitarizadas
• Características adicionales de los sistemas cortafuegos

Mecanismos de protección

• Sistemas de autoidentificación
• Protección del nivel de red: IPsec
• Protección del nivel de transporte: SSL/TLS
• Redes privadas virtuale

Aplicaciones seguras

• El protocolo SSH
• Correo electrónico seguro

Sistemas para la detección de intrusiones

• Necesidad de mecanismos adicionales
• Sistemas de detección de intrusos
• Escáneres de vulnerabilidad
• Sistemas de detección
• Prevención de intrusiones
• Detección de ataques distribuidos

Seguridad en sistemas operativos

Introducción a la seguridad

• La seguridad en la empresa
• Modelos y políticas de seguridad

Administración de servidores

• Análisis de requisitos

1. Configuraciones hardware recomendadas
2. Listas de compatibilidad de hardware
3. Consideraciones software

• Planificación de la instalación

1. Sistemas de archivos
2. Administración de discos

• Instalación del servidor

1. Activación de servicios y protocolos de red
2. Protocolos y sistemas de autenticación de usuarios

• Administración y mantenimiento del servidor

1. Altas/bajas/modificaciones de usuarios
2. Cuotas de disco
3. Herramientas básicas

La seguridad pasiva

• Política de backups
• Planes de contingencia
• Sistemas de recuperación

La seguridad activa

• Certificados y sistemas de claves públicas y privadas
• IPSEC
• Redes privadas virtuales
• Monitorización de la red
• Herramientas de comprobación

Configuración de servicios

• Servidores de ficheros e impresoras

1. Configuración
2. Análisis de riesgos
3. Prevención

• Servidor de correo

1. Configuración
2. Análisis de riesgos
3. Prevención

• Servidores web y Ftp

1. Configuración
2. Análisis de riesgos
3. Prevención

Mantenimiento

• Actualizaciones
• Monitorización de evento
• Automatización de tareas

Aspectos legales

LOPD

• Generalidades
• Principios fundamentales
• Las bases de la protección de datos
• Ficheros de titularidad pública y privada
• Derechos de los interesados
• Infracciones y sanciones
• APD Agencia de Protección de Datos
• Reglamento de medidas de seguridad (¿Qué hay que hacer?)

LSSI

• Principios y definiciones
• Obligaciones impuestas
• Resolución de conflictos
• Infracciones y sanciones

Sistemas de gestión de la seguridad de la información

Gestión de la seguridad informática

• Seguridad de la información
• Principios de seguridad
• Normativas de seguridad
• Grado de implantación de estas normativas

Análisis de riesgos

• Ciclo de vida de la seguridad
• Análisis de riesgos
• Metodologías: MARGERIT, NIST, CRAMM, OCTAVE

Sistemas de gestión de la seguridad de la informática

• Normativas de seguridad de la información
• Sistemas de gestión de la seguridad de la información
• Medidas de seguridad: ISO
• Implantación de un SGSI

Planes de continuidad de negocio

• La gestión de la continuidad de negocio
• El BIA, el análisis de riesgos y las estrategias
• Desarrollo de un plan de continuidad
• La gestión operativa del plan de continuidad

Auditoría técnica y de certificación

 Introducción

Tipos de auditorías

Auditorías de certificación (SGSI)

 

• Introducción
• Objetivos
• Fases: documental/presencial/documentación
• Certificación

Auditoría técnica de sistemas de información

• Objetivos de las auditorías técnicas de seguridad
• Metodologías de auditoría
• Ejecución de auditorías de seguridad
• Herramientas

Análisis forense y evidencia digital

Introducción

Recuperación de información

Análisis forense

Metodología

• Adquisición de datos
• Análisis e investigación de datos
• Documentación del proceso

Situación legal

Ejemplos de aplicación

Herramientas

Programación segura

Programación segura de aplicaciones web

• Seguridad en el navegador
• Cómo programar aplicaciones inmunes a SQL injection
• Cómo programar aplicaciones inmunes a Cross Site Scripting
• Prevención de vulnerabilidades LFI y RFI
• Almacenamiento seguro de recursos en servidor
• Autenticación y autorización en aplicaciones multiusuario

Programación segura de aplicaciones locales

• Prevención de desbordamientos de Stack y Heap
• Prevención de vulnerabilidades de tipo format strings
• Prevención de vulnerabilidades off-by-one
• Prevención de condiciones de carrera
• Programación con mínimos privilegios

Programación segura de aplicaciones en red

• Criptografía en las comunicaciones
• Almacenamiento de logs remoto
• Programación inmune a denegaciones de servicio

Otros aspectos de la programación

• Manejo seguro de codificación de caracteres internacionales
• Problemas de programación específicos de algunos lenguajes
• Criptografía general

Seguridad en BB. DD.

 

Introducción

• Importancia de las bases de datos
• Evolución del mercado
• Evolución de los ataques
• Perspectivas

Principales arquitecturas

• Introducción
• Oracle
• Microsoft SQL
• MySQL
• DB2
• Otros sistemas de bases de datos

Vulnerabilidades

• Introducción
• Inyección SQL
• Inyección SQL ciega
• Inyección de código
• Denegación de servicio
• Desbordamiento de buffer/ejecución de código
• Backdoors y rootkits
• Otros ataques
• Historial de las principales vulnerabilidades

Fortificación

• Introducción
• Servicios
• Permisos, usuarios y contraseñas
• Tablas Principales
• Procedimientos almacenados
• Criptografía
• Prevención de desastres
• Otros aspectos
• Análisis forense
• Uso de herramientas para la securización

Intrusión

• Introducción
• Detección e identificación de objetivos
• Inyección SQL
• Denegación de servicio y desbordamiento de buffer
• Ataques de fuerza sucia
• Ataques internos

Desarrollo seguro

• Introducción
• Arquitecturas seguras
• Técnicas básicas de desarrollo seguro
• Busca de problemas al código fuente
• Otras consideraciones

Seguridad en aplicaciones web

Arquitectura de aplicaciones web

• Arquitectura en capas

1. La capa de presentación
2. La capa de negocios
3. La capa de datos

• Estándares

Ataques a aplicaciones web

• Ataques de inyección de scripts

1. Cross-Site Scripting
2. Hijacking
3. Cross-Site Request Forgery
4. Clickjacking

• Ataques de inyección de código

1. SQL Injection

• Manipulación de recordset

• Serialized SQL Injection

• Basado en errores ODBC

• Blind SQL Injection

• Time-based Blind SQL Injection

• Arithmetic Blind SQL Injection

• RFD (Remote File Downloading)

1. LDAP Injection

• AND LDAP Injection

• OR LDAP Injection

• Blind LDAP Injection

1. Xpath Injection

• Xpath, Xquery

• Blind Xpath Injection

• Ataques de Path Transversal

1. Descarga de ficheros

• Ataques de inyección de ficheros

1. Local File Inclusion
2. Remote File Inclusion
3. WebShells & Webtrojans

• Otros ataques a aplicaciones web

1. Decompiladores Flash, Java y .NET
2. Ruptura de sesión
3. Fuzzing de aplicaciones web

Auditoría y desarrollo seguro

• OWASP (Open Web Application Security Project)
• Code Analysis Tools
• Scanners de vulnerabilidad de caja negra

 

1. Acunetix
2. W3af

• WAF (Web Applicaton Firewalls)

1. ModSecurity

Introducción a la explotación de vulnerabilidades

Gestión de memoria

• Segmentos
• Utilización de la pila

Ejecución de procesos

• Espacio de usuario/sistema
• Llamadas a funciones

Conceptos básicos de lenguaje máquina

Herramientas

• Debuggers

1. Syser (Reemplazo SoftICE - Windows)
2. OllyDbg (Windows)
3. RR0D (Debugger multiplataforma)
4. Fenris (Linux)

• Compiladoras/Lenguajes

• C

• Ensamblador

Exploits

• Locales/Remotos

• Alteraciones básicas

1. Integer overflow
2. Static data overflow

• Heap overflow

• Buffer overflow

• Shellcodes

• Escalada de privilegios

• Detección y/o protección de ataques

• Dependencias con sistemas operativos