Guía Docente 2017/2018 - UCAM Online · empleadas para implementación de soluciones de seguridad...

Universidad Católica San Antonio de Murcia – Tlf: (+34) 968 278 160 [email protected] – www.ucam.edu

Guía Docente 2017/2018 Seguridad en la Información

Information Security

Grado en Ingeniería Informática

A distancia

Seguridad de la Información

Seguridad de la Información - Tlf: (+34) 902 102 101

ÍndiceSeguridad en la Información .............................................................................................. 3

Breve descripción de la asignatura ................................................................................... 3

Requisitos Previos .............................................................................................................. 4

Objetivos .............................................................................................................................. 4

Competencias y resultados de aprendizaje ...................................................................... 4

Metodología ......................................................................................................................... 6

Temario ................................................................................................................................. 6

Relación con otras asignaturas del plan de estudios .................................................... 10

Sistema de evaluación ...................................................................................................... 10

Bibliografía y fuentes de referencia ................................................................................. 10

Web relacionadas .............................................................................................................. 12

Recomendaciones para el estudio ................................................................................... 12

Material didáctico .............................................................................................................. 13

Tutorías .............................................................................................................................. 14



Seguridad en la Información Módulo: Tecnologías de la Información Materia: Seguridad y administración Carácter: Obligatorio Nº de créditos: 4,5 ECTS Unidad Temporal: 3º curso – 2º semestre Profesor de la asignatura: Francisco Arcas Túnez (web profesorado). Email: [email protected]

Horario de atención a los alumnos/as: Miércoles de 9:00 a 11:00. Fuera de este horario se pueden atender tutorías a petición del alumno. Preferiblemente se pedirán las citas por el campus virtual, pero se puede poner también por correo electrónico. Profesor coordinador de curso: José María Cecilia Canales

Profesor coordinador de módulo: Francisco Arcas Túnez

Breve descripción de la asignatura En esta asignatura se estudian los fundamentos básicos de seguridad en redes. Se inicia realizando un repaso a nociones básicas sobre seguridad, terminología asociada y tipos de ataques más representativos. A continuación, se estudian las técnicas criptográficas más relevantes empleadas para la implementación de soluciones de seguridad en redes, cubriendo modelos de criptografía simétrica, asimétrica y firma digital. En este sentido, se hará especial hincapié en el funcionamiento de las infraestructuras de clave pública, por su relevancia y uso en los actuales sistemas de seguridad. Finalmente, el resto de la asignatura plantea el estudio y análisis de soluciones de seguridad concretas, abarcando tanto los protocolos seguros como su uso para el diseño de aplicaciones seguras.

Brief Description

This subject covers basic security concepts in current computer networks. Initially, the most basic concepts related to security are reviewed, related terminology as well as relevant types of security attacks. Next, the subject studies well-known cryptographic techniques used nowadays for the development of security solutions for computer networks. In this part, the student will analyze not only symmetric and asymmetric models, but also digital signature. In this sense, the subject will emphasize in the operational issues associated to public key infrastructures, due to their relevance and wide use in current security systems. Finally, the remaining of the subject will focus on the study and analysis of concrete security solutions, including security protocols and their use for the design of security applications.

http://www.ucam.edu/estudios/grados/informatica-presencial/profesores-del-grado-de-prueba



Requisitos Previos Para que el alumno curse la asignatura de forma satisfactoria, es necesario que el alumno sea familiar con los conceptos y nociones básicas del funcionamiento de protocolos de redes de ordenadores. Así mismo, se requiere familiaridad con los comandos de administración y configuración de sistemas operativos. En este sentido, que el alumno esté familiarizado con el trabajo en un entorno tipo Linux, ya que gran parte de las herramientas de seguridad a emplear en la parte práctica de la asignatura están disponibles para esta plataforma. Por este motivo, sería aconsejable que el alumno haya cursado y superado con éxito las asignaturas de Redes de Computadores y Sistemas Operativos.

Por último, se requiere capacidad de programación del alumno en Java. Por ello, se requiere que el alumno haya cursado y aprobado las asignaturas Programación Orientada a Objetos y Desarrollo de Aplicaciones Distribuidas I.

Objetivos 1. Conocer la importancia que representa la seguridad de la información en las redes de

computadores. 2. Enumerar los servicios y elementos de seguridad más importantes. 3. Conocer los mecanismos criptográficos básicos. 4. Saber explicar los distintos tipos de ataques más representativos que pueden darse en una

red. 5. Conocer los mecanismos de criptografía clásica y su importancia para el desarrollo de las

técnicas criptográficas aplicadas en la actualidad. 6. Conocer el funcionamiento de las técnicas de criptografía simétrica. 7. Conocer el funcionamiento de las técnicas de criptografía asimétrica. 8. Conocer el funcionamiento de las técnicas de firma digital. 9. Enumerar los esquemas de cifrado más comunes empleados en la actualidad. 10. Conocer las técnicas de distribución de claves para sistemas criptográficos simétricos. 11. Conocer las técnicas de distribución de claves para sistemas de clave pública. 12. Explicar el formato de los certificados X.509 13. Explicar el funcionamiento de las infraestructuras de clave pública. 14. Conocer los distintos elementos que integran una infraestructura de clave pública. 15. Saber explicar los procesos asociados a la gestión de infraestructuras de clave pública. 16. Conocer los protocolos seguros existentes en cada nivel de la pila TCP/IP. 17. Saber explicar el funcionamiento de los protocolos seguros. 18. Conocer ejemplos de aplicaciones que refuerzan su seguridad en bases al uso de

protocolos seguros.

Competencias y resultados de aprendizaje



Competencias transversales T1 - Capacidad de análisis y síntesis.

T2 - Capacidad de organización y planificación.

T3 - Capacidad de gestión de la información.

T4 - Resolución de problemas.

T5 - Toma de decisiones.

T6 - Trabajo en equipo.

T11 - Razonamiento crítico.

T12 - Compromiso ético.

T14 - Aprendizaje autónomo.

T15 - Adaptación a nuevas situaciones.

T16 - Creatividad e innovación.

T18 - Iniciativa y espíritu emprendedor.

T19 - Motivación por la calidad.

T21 - Capacidad de reflexión.

T22 - Comprender los puntos principales de textos claros y en lengua estándar si tratan sobre cuestiones relacionadas con el ámbito de estudio.

Competencias específicas

TI1 - Capacidad para comprender el entorno de una organización y sus necesidades en el ámbito de las tecnologías de la información y las comunicaciones.

TI2 - Capacidad para seleccionar, diseñar, desplegar, integrar, evaluar, construir, gestionar, explotar y mantener las tecnologías de hardware, software y redes, dentro de los parámetros de coste y calidad adecuados.

TI4 - Capacidad para seleccionar, diseñar, desplegar, integrar y gestionar redes e infraestructuras de comunicaciones en una organización.

TI7 - Capacidad para comprender, aplicar y gestionar la garantía y seguridad de los sistemas informáticos.

Resultados de aprendizaje RA 3.2.1. Describir diferentes procesos de desarrollo software.



RA 3.2.2. Explicar diferentes técnicas de modelado software, sus componentes y posibles usos.

RA 3.2.3. Aplicar diferentes técnicas de modelado a la resolución de supuestos prácticos mediante el uso de la notación y las herramientas adecuadas.

RA 3.2.4. Identificar los distintos patrones de diseño relacionándolos con los problemas que resuelven.

RA 3.2.5. Explicar las características principales de la reutilización y la reingeniería.

RA 3.2.6. Comprender las principales metodologías de gestión de proyectos.

Metodología

Metodología Horas Horas de trabajo presencial

Horas de trabajo no presencial

Evaluación 4,5 4,5 horas (4%)

Tutoría 24,8

108 horas (96%) Estudio personal 36

Búsquedas bibliográficas

6,7

Realización de trabajos 40,5

TOTAL 112,5 4,5 108

Temario Programa de la enseñanza teórica

Tema 1. Introducción.

1. Introducción al concepto de seguridad de la información.

2. Objetivos básicos de seguridad

3. Arquitectura X.800

4. Terminología

Tema 2. Amenazas de seguridad.

1. Ataques de red

2. Malware

Tema 3. Introducción a la criptografía. Criptografía clásica.



1. Introducción

2. Escítala

3. Polybios

4. Cifrado del César

5. Vignère

6. Playfair

7. Vernam

8. Sistemas de rotor.

Tema 4. Criptografía moderna.

1. Criptografía simétrica.

a. Introducción

b. Requisitos

c. Tipos: Stream Ciphers, Block Ciphers

d. Modos de operación de cifrado por bloques: ECB, CBC, CFC, OFB

e. Esquema de cifrado Feistel

f. Algoritmos de criptografía simétrica

i. DES

ii. 3DES

iii. AES

g. Distribución de claves

2. Criptografía asimétrica.

a. Introducción.

b. Aplicaciones

c. Características

d. Algoritmos de criptografía asimétrica

i. Diffie-Hellman

ii. RSA



3. Funciones Hash Criptográficas

a. Introducción.

b. Funciones hash:

i. SHA

ii. MD5

c. Aplicaciones

i. Autenticación de mensajes

ii. Firma digital

iii. Otras aplicaciones

Tema 5. Infraestructuras de clave pública.

1. Introducción.

2. Elementos de la PKI.

3. PKI basada en X.509

4. Esquemas de certificación.

5. Servicios básicos: emisión, renovación, revocación.

Tema 6. Protocolos de seguridad.

1. Introducción

2. Nivel de acceso:

a. IEEE 802.1X

b. IEEE 802.11i

3. Nivel de red:

a. IKEv2

b. IPsec.

4. Nivel de transporte

a. SSL

b. TLS

Tema 7. Aplicaciones seguras.



1. Kerberos

2. HTTPS

3. SSH

4. S/MIME

Programa de la enseñanza práctica Los alumnos realizarán una serie de trabajos de prácticas que integren los conceptos y las técnicas de seguridad abarcadas en el programa de enseñanza teórica de la asignatura. Concretamente, las prácticas a desarrollar versarán sobre los siguientes temas:

Práctica 1. Introducción a la seguridad. En este práctica pretende que el alumno adquiera consciencia de la situación actual de la problemática de la seguridad de los sistemas de información, centrándose en aspectos como la ciberseguridad y ciberdefensa. Para ello se revisarán noticias actuales públicas en prensa así como documentales.

Práctica 2. Sistemas criptográficos Se organiza en dos partes.

Sistemas criptográficos clásicos. Esta práctica está orientada al estudio de los sistemas de cifrado clásicos con el fin de familiarizarse con las técnicas tradicionales de sustitución y transposición. Apoyándose del uso de la herramienta CrypTool, el alumno estudiará las ventajas/inconvenientes de cada sistema de cifrado y conocerá aspectos como la entropía o resistencia a ataques de criptoanálisis.

Sistemas criptográficos modernos. Este práctica pretende que el alumno se familiarice con el uso de los algoritmos criptográficos modernos de tipo simétrico y asimétrico, así como las funciones de hash. Concretamente, el alumno experimentará con el uso de operaciones criptográficas en Java, el cuál es uno de los lenguajes de programación más usados en la actualidad para el desarrollo de aplicaciones

Práctica 3. Certificación. Esta práctica introduce al alumno con la manipulación de certificados. Esto incluye la generación y gestión de certificados de forma correcta. Así mismo se experimentará con el uso de certificados en una aplicación real para implementar una operación básica de firma digital y/o autentificación de mensajes.

Práctica 4. Seguridad a nivel de transporte. En esta práctica el alumno trabajará el desarrollo de comunicaciones seguras para aplicaciones distribuidas que se comunican de forma remota a través de redes inseguras. Para ello, a modo de ejemplo, se estudiará sobre la plataforma Java las librerías que implementan un transporte seguro mediante el protocolo SSL/TLS.



Relación con otras asignaturas del plan de estudios Esta asignatura proporciona un complemento fundamental al resto de materias relacionadas con el desarrollo de aplicaciones así como con el estudio de las comunicaciones en redes. Por un lado, los contenidos vistos en esta asignatura complementan la formación adquirida por el alumno en materias como Desarrollo de Aplicaciones Distribuidas o Redes de Computadores. Por otro lado, esta asignatura proporciona al alumno las capacidades adecuadas para cursar la asignatura de Auditoría y Peritaje.

Sistema de evaluación - Primera prueba parcial: 30% del total de la nota.

Se evaluarán los conocimientos acerca de los principios básicos de seguridad (Tema 1) y criptografía (Tema 2).

- Prueba final: 30% del total de la nota.

Se evaluarán los conocimientos acerca de las infraestructuras de clave pública, protocolos y aplicaciones seguras (temas 3 a 5).

- Evaluación de prácticas y problemas: 30% del total de la nota. Se reparte entre 4 prácticas distintas, donde cada uno tiene el mismo peso.

- Participación: 10% del total de la nota.

Se evaluará mediante la realización de tareas optativas así como la participación en actividades voluntarias que se planteen. Del mismo modo, se tendrá en cuenta la actividad del alumno en la asignatura mediante el uso de herramientas como foros y videoconferencias.

Bibliografía y fuentes de referencia Bibliografía básica

• W. Stallings. Cryptography and Network Security. Prentice Hall. 1999. ISBN: 0133354695. • W. Stallings. Fundamentos de Seguridad en Redes. Prentice Hall. 2003. ISBN:

9788420540023. • P. Caballero. Introducción a la Criptografía. 2ª Edición. Editorial Ra-Ma. 2002. ISBN: 978-84-

7897-520-4 • J. Ramió. Libro Electrónico de Seguridad Informática y Criptografía. Versión 4.1. 2006. • M.A. Huth. Secure Communicating Systems. Design, Analysis and Implementation.

Cambridge University Press. 2001. ISBN: 9780521807319



• B. Schneier. Secrets & Lies. Digital Security in a Networked World. Jon Wiley & Sons. 2004. ISBN: 978-0-471-45380-2

• R. Atkinson. Security Architecture for the Internet Protocol. Internet RFC 2401. 1998. • F. Warwick; S. Chokhani. Certificate Policy and Certification Practices Framework. Internet

RFC 2527. • C. Scott; P. Wolfe. Virtual Private Networks. 2nd Edition. O’Reilly. 1998. ISBN: 978-

1565925298



Bibliografía complementaria • J. Ramió. Aplicaciones criptográficas. Departamento de Publicaciones EUI. UPM. • W. Cheswick; S. Bellovin. Firewalls and Internet Security: Repelling the Wily Hacker,

Addison-Wesley. 1994. ISBN: 0-201-63466-X. • B. Schneier. Secure Communicating Systems. Design, Analysis and Implementation.

Cambridge University Press. ISBN: 9780521807319 • J.Seberry; J. Pieprzyk. Cryptography: An Introduction to Computer Security. Prentice Hall.

ISBN: 0724807246 • R. Smith. Internet Cryptography. Addison Wesley. 1997. ISBN: 078-5342924800 • D. Welsh. Codes and Cryptography. Oxford Science Publications. 1990. ISBN: 978-

0198532873 • E. Kaufman, A. Newman. Implementing IPsec. John Wiley & Sons. 1999. ISBN: 0471344672 • M. Murhammer; T. Bourne; T. Gaidosch; C. Kunzinger; L. Rademacher; A. Weinfurter. A

Comprehensive Guide to Virtual Private Networks, Volume I. IBM Redbooks. 1998. ISBN: 0738400076

• A. O. Alan; P. Freier; P.C. Kocher. The SSL Protocol Version 3.0. Internet RFC. 1996. • W. Ford; M. Baum. Secure Electonic Commerce: Building the Infraestructure for Digital

Signatures and Encryption. Prentice Hall. 1997. ISBN: 0130272760

Web relacionadas Internet Engineering Task Force: http://www.ietf.org/

Institute of Electrical and Electronics Engineers: http://www.ieee.org/portal/site.

National Institute of Standards and Technology. http://www.nist.gov/

Open SSL: Cryptography and SSL/TLS Toolkit. http://www.openssl.org/

StrongSwan: the OpenSource IPsec –based VPN solution http://www.strongswan.org/

IPsec-Tools. http://ipsec-tools.sourceforge.net/

Java Secure Socket Extension. http://www.oracle.com/technetwork/java/javase/tech/index-jsp-136007.html

Kerberos MIT implementation. http://web.mit.edu/kerberos/

Recomendaciones para el estudio La asignatura está estructurada en dos partes. En primer lugar, se abordan fundamentos básicos de la criptografía, principalmente los distintos esquemas de cifrado así como las infraestructuras de clave pública. En segundo lugar, se abordan los protocolos seguros que existen a día de hoy más relevantes, así como ejemplo de aplicación mediante el diseño de aplicaciones seguras. En este sentido, es fundamental que el alumno adquiera una correcta comprensión de la primera parte de la asignatura pues, de lo contrario, será imposible adquirir una correcta comprensión de los contenidos tratados en la segunda parte.

http://www.iberlibro.com/products/isbn/9780471344674?cm_sp=bdp-_-9780471344674-_-isbn10

http://www.ietf.org/

http://www.ieee.org/portal/site

http://www.nist.gov/

http://www.openssl.org/

http://www.strongswan.org/

http://ipsec-tools.sourceforge.net/

http://www.oracle.com/technetwork/java/javase/tech/index-jsp-136007.html

http://www.oracle.com/technetwork/java/javase/tech/index-jsp-136007.html

http://web.mit.edu/kerberos/



La misma problemática se presenta con las prácticas de la asignatura. Sólo mediante un correcto estudio de los protocolos y aplicaciones seguras se conseguirá realizar una correcta solución de seguridad para el problema planteado.

Material didáctico Aplicaciones

Para el desarrollo de la práctica 1 de la asignatura, el alumno tendrá a su disposición diversas herramientas de software libre que implementan los protocolos seguros más relevantes tratados en la asignatura. En este sentido, se dispone de un amplio abanico de herramientas que permiten implementar soluciones de seguridad a distintos niveles como, por ejemplo:

• Niveles inferiores TCP/IP:

o StrongSwan: the OpenSource IPsec –based VPN solution

o IPsec-Tools.

• Niveles superiores TCP/IP:

o Open SSL: Cryptography and SSL/TLS Tookit.

o Java Secure Socket Extension.

o Kerberos MIT implementation

Material Además de la bibliografía recomendada en esta guía docente (básica y complementaria), en el apartado de Recursos del Campus Virtual, el estudiante dispondrá de recursos adicionales que le servirán de apoyo al proceso de aprendizaje. Dicho material se ofrecerá organizado por temas, de acuerdo con la organización de contenidos detallada anteriormente. Concretamente se pondrán a disposición del alumno los siguientes recursos:

• Apuntes sobre cada tema, indicando conceptos relevantes y ejemplos de uso.

• Enlaces de interés que permitan la ampliación de información sobre los temas.

• Presentaciones con explicación oral del profesor de los temas más dificultosos.



Tutorías La tutorías constituyen un pilar fundamental para el aprendizaje del alumno que le ayuda a resolver sus dudas. Al tratarse de una asignatura en modalidad online, las tutorías se realizarán de forma conveniente a través de los medios que se indican a continuación:

• Sesiones de tutorías: en el horario de atención a los alumnos semanal indicado anteriormente, el profesor atenderá dudas de los alumnos por vía telefónica, chat o videoconferencia individual (bajo demanda). Estas sesiones de tutorización serán individuales y permitirán una interacción directa y fluida con el profesor para la resolución de dudas relacionadas con los contenidos teórico-prácticos tratados a los largo del cuatrimestre.

• Correo electrónico y/o mensajes privados: se atenderán dudas puntuales planteadas a través de medios telemáticos como el correo electrónico y la herramienta del Campus Virtual “Mensajes privados”. Preferiblemente, se recomienda el uso del Campus Virtual. Este tipo de tutorización se realizará diariamente, con un compromiso de respuesta en menos de 48 horas lectivas desde la recepción del mismo.

• Foros: los foros sirven para fomentar la resolución de dudas en la asignatura de forma colaborativa entre los alumnos. El interés de este mecanismo de tutorización reside en su carácter asíncrono, de modo que los alumnos interaccionan sin necesidad de correspondencia temporal. El profesor creará diversos temas en el foro donde discutir distintos aspectos de interés, tales como unidades temáticas, prácticas, ejercicios, etc. Este mecanismo de tutorización permite a los estudiantes generar debates sobre los distintos planteamientos e intervenciones que se realicen. El profesor moderará las discusiones surgidas a través de los foros, reorientando las discusiones hacia el propósito formativo.

• Videoconferencia colectiva: periódicamente, el profesor planificará la realización de videoconferencias colectivas abiertas a la participación de todos los alumnos de la asignatura. Estas videoconferencias servirán al profesor como punto de control para verificar el proceso de aprendizaje. Del mismo modo, es una plataforma que permite a los alumnos exponer dudas, inquietudes o realizar sugerencias acerca del desarrollo de la asignatura. El profesor propondrá al menos cuatro videoconferencias: presentación, seguimiento de las prácticas y aclaración de dudas previas a cada uno de los exámenes parciales. Además de las propuestas por el profesor, los alumnos podrán solicitar la realización de videoconferencias adicionales.

De forma excepcional, el alumno podrá realizar tutorías presenciales con el profesor de la asignatura. No obstante, este método de tutorización será excepcional y siempre bajo demanda del alumno.

Guía Docente 2017/2018 - UCAM Online · empleadas para implementación de soluciones de seguridad...

Documents

Transcript of Guía Docente 2017/2018 - UCAM Online · empleadas para implementación de soluciones de seguridad...