guía docente 2017/2018 · 2017. 7. 31. · hola universidad católica san antonio de murcia –...

hola

Universidad Católica San Antonio de Murcia – Tlf: (+34) 968 278 160 [email protected] – www.ucam.edu

Guía Docente 2017/2018 Seguridad en la Información

Information Security

Grado en Ingeniería Informática

Presencial

Seguridad de la Información

Seguridad de la Información - Tlf: (+34) 968 27 88 21

ÍndiceSeguridad en la Información .............................................................................................. 3

Breve descripción de la asignatura ................................................................................... 3

Requisitos Previos .............................................................................................................. 4

Objetivos .............................................................................................................................. 4

Competencias y resultados de aprendizaje ...................................................................... 4

Metodología ......................................................................................................................... 6

Temario ................................................................................................................................. 6

Relación con otras asignaturas del plan de estudios .................................................... 10

Sistema de evaluación ...................................................................................................... 10

Bibliografía y fuentes de referencia ................................................................................. 11

Web relacionadas .............................................................................................................. 12

Recomendaciones para el estudio ................................................................................... 12

Material didáctico .............................................................................................................. 12

Tutorías .............................................................................................................................. 13



Seguridad en la Información Módulo: Tecnologías de la Información Materia: Seguridad y administración Carácter: Obligatorio Nº de créditos: 4,5 ECTS Unidad Temporal: 3º curso – 2º semestre Profesor de la asignatura: Francisco Arcas Túnez (web profesorado). Email: [email protected]

Horario de atención a los alumnos/as: Miércoles de 11:00 a 13:00. Fuera de este horario se pueden atender tutorías a petición del alumno. Preferiblemente se pedirán las citas por el campus virtual, pero se puede poner también por correo electrónico. Profesor coordinador de curso: José María Cecilia Canales Profesor coordinador de módulo: Francisco Arcas Túnez

Breve descripción de la asignatura En esta asignatura se estudian los fundamentos básicos de seguridad en redes. Se inicia realizando un repaso a nociones básicas sobre seguridad, terminología asociada y tipos de ataques más representativos. A continuación, se estudian las técnicas criptográficas más relevantes empleadas para la implementación de soluciones de seguridad en redes, cubriendo modelos de criptografía simétrica, asimétrica y firma digital. En este sentido, se hará especial hincapié en el funcionamiento de las infraestructuras de clave pública, por su relevancia y uso en los actuales sistemas de seguridad. Finalmente, el resto de la asignatura plantea el estudio y análisis de soluciones de seguridad concretas, abarcando tanto los protocolos seguros como su uso para el diseño de aplicaciones seguras.

Brief Description This subject covers basic security concepts in current computer networks. Initially, the most basic concepts related to security are reviewed, related terminology as well as relevant types of security attacks. Next, the subject studies well-known cryptographic techniques used nowadays for the development of security solutions for computer networks. In this part, the student will analyze not only symmetric and asymmetric models, but also digital signature. In this sense, the subject will emphasize in the operational issues associated to public key infrastructures, due to their relevance and wide use in current security systems. Finally, the remaining of the subject will focus on the study and analysis of concrete security solutions, including security protocols and their use for the design of security applications.

http://www.ucam.edu/estudios/grados/informatica-presencial/profesores-del-grado-de-prueba



Requisitos Previos Para que el alumno curse la asignatura de forma satisfactoria, es necesario que el alumno sea familiar con los conceptos y nociones básicas del funcionamiento de protocolos de redes de ordenadores. Así mismo, se requiere familiaridad con los comandos de administración y configuración de sistemas operativos. En este sentido, que el alumno esté familiarizado con el trabajo en un entorno tipo Linux, ya que gran parte de las herramientas de seguridad a emplear en la parte práctica de la asignatura están disponibles para esta plataforma. Por este motivo, sería aconsejable que el alumno haya cursado y superado con éxito las asignaturas de Redes de Computadores y Sistemas Operativos.

Por último, se requiere capacidad de programación del alumno en Java. Por ello, se requiere que el alumno haya cursado y aprobado las asignaturas Programación Orientada a Objetos y Desarrollo de Aplicaciones Distribuidas I.

Objetivos 1. Conocer la importancia que representa la seguridad de la información en las redes de

computadores. 2. Enumerar los servicios y elementos de seguridad más importantes. 3. Conocer los mecanismos criptográficos básicos. 4. Saber explicar los distintos tipos de ataques más representativos que pueden darse en una

red. 5. Conocer los mecanismos de criptografía clásica y su importancia para el desarrollo de las

técnicas criptográficas aplicadas en la actualidad. 6. Conocer el funcionamiento de las técnicas de criptografía simétrica. 7. Conocer el funcionamiento de las técnicas de criptografía asimétrica. 8. Conocer el funcionamiento de las técnicas de firma digital. 9. Enumerar los esquemas de cifrado más comunes empleados en la actualidad. 10. Conocer las técnicas de distribución de claves para sistemas criptográficos simétricos. 11. Conocer las técnicas de distribución de claves para sistemas de clave pública. 12. Explicar el formato de los certificados X.509 13. Explicar el funcionamiento de las infraestructuras de clave pública. 14. Conocer los distintos elementos que integran una infraestructura de clave pública. 15. Saber explicar los procesos asociados a la gestión de infraestructuras de clave pública. 16. Conocer los protocolos seguros existentes en cada nivel de la pila TCP/IP. 17. Saber explicar el funcionamiento de los protocolos seguros. 18. Conocer ejemplos de aplicaciones que refuerzan su seguridad en bases al uso de

protocolos seguros.

Competencias y resultados de aprendizaje



Competencias transversales T1 - Capacidad de análisis y síntesis.

T2 - Capacidad de organización y planificación.

T3 - Capacidad de gestión de la información.

T4 - Resolución de problemas.

T5 - Toma de decisiones.

T6 - Trabajo en equipo.

T11 - Razonamiento crítico.

T12 - Compromiso ético.

T14 - Aprendizaje autónomo.

T15 - Adaptación a nuevas situaciones.

T16 - Creatividad e innovación.

T18 - Iniciativa y espíritu emprendedor.

T19 - Motivación por la calidad.

T21 - Capacidad de reflexión.

T22 - Comprender los puntos principales de textos claros y en lengua estándar si tratan sobre cuestiones relacionadas con el ámbito de estudio.

Competencias específicas TI1 - Capacidad para comprender el entorno de una organización y sus necesidades en el ámbito de las tecnologías de la información y las comunicaciones.

TI2 - Capacidad para seleccionar, diseñar, desplegar, integrar, evaluar, construir, gestionar, explotar y mantener las tecnologías de hardware, software y redes, dentro de los parámetros de coste y calidad adecuados.

TI4 - Capacidad para seleccionar, diseñar, desplegar, integrar y gestionar redes e infraestructuras de comunicaciones en una organización.

TI7 - Capacidad para comprender, aplicar y gestionar la garantía y seguridad de los sistemas informáticos.

Resultados de aprendizaje RA 3.2.1. Describir diferentes procesos de desarrollo software.

RA 3.2.2. Explicar diferentes técnicas de modelado software, sus componentes y posibles usos.



RA 3.2.3. Aplicar diferentes técnicas de modelado a la resolución de supuestos prácticos mediante el uso de la notación y las herramientas adecuadas.

RA 3.2.4. Identificar los distintos patrones de diseño relacionándolos con los problemas que resuelven.

RA 3.2.5. Explicar las características principales de la reutilización y la reingeniería.

RA 3.2.6. Comprender las principales metodologías de gestión de proyectos.

Metodología

Metodología Horas Horas de trabajo

presencial

Horas de trabajo

no presencial

Exposición teórica 13,5

45 horas (40 %)

Grupos de discusión, seminarios 18,9

Evaluación 3,6

Tutoría 9,0

Estudio personal 26,0

67,5 horas (60 %)

Preparación de trabajo y exposición

21,9

Análisis de artículos científicos

10,9

Búsquedas bibliográficas

8,7

TOTAL 112,5 45 67,5

Temario Programa de la enseñanza teórica

Tema 1. Introducción.

1. Introducción al concepto de seguridad de la información.

2. Objetivos básicos de seguridad

3. Arquitectura X.800

4. Terminología



Tema 2. Amenazas de seguridad.

1. Ataques de red

2. Malware

Tema 3. Introducción a la criptografía. Criptografía clásica.

1. Introducción

2. Escítala

3. Polybios

4. Cifrado del César

5. Vignère

6. Playfair

7. Vernam

8. Sistemas de rotor.

Tema 4. Criptografía moderna.

1. Criptografía simétrica.

a. Introducción

b. Requisitos

c. Tipos: Stream Ciphers, Block Ciphers

d. Modos de operación de cifrado por bloques: ECB, CBC, CFC, OFB

e. Esquema de cifrado Feistel

f. Algoritmos de criptografía simétrica

i. DES

ii. 3DES

iii. AES

g. Distribución de claves

2. Criptografía asimétrica.

a. Introducción.

b. Aplicaciones



c. Características

d. Algoritmos de criptografía asimétrica

i. Diffie-Hellman

ii. RSA

3. Funciones Hash Criptográficas

a. Introducción.

b. Funciones hash:

i. SHA

ii. MD5

c. Aplicaciones

i. Autenticación de mensajes

ii. Firma digital

iii. Otras aplicaciones

Tema 5. Infraestructuras de clave pública.

1. Introducción.

2. Elementos de la PKI.

3. PKI basada en X.509

4. Esquemas de certificación.

5. Servicios básicos: emisión, renovación, revocación.

Tema 6. Protocolos de seguridad.

1. Introducción

2. Nivel de acceso:

a. IEEE 802.1X

b. IEEE 802.11i

3. Nivel de red:

a. IKEv2

b. IPsec.



4. Nivel de transporte

a. SSL

b. TLS

Tema 7. Aplicaciones seguras.

1. Kerberos

2. HTTPS

3. SSH

4. S/MIME

Programa de la enseñanza práctica Los alumnos realizarán una serie de trabajos de prácticas que integren los conceptos y las técnicas de seguridad abarcadas en el programa de enseñanza teórica de la asignatura. Concretamente, las prácticas a desarrollar versarán sobre los siguientes temas:

Práctica 1. Introducción a la seguridad. En este práctica pretende que el alumno adquiera consciencia de la situación actual de la problemática de la seguridad de los sistemas de información, centrándose en aspectos como la ciberseguridad y ciberdefensa. Para ello se revisarán noticias actuales públicas en prensa así como documentales.

Práctica 2. Sistemas criptográficos Se organiza en dos partes.

Sistemas criptográficos clásicos. Esta práctica está orientada al estudio de los sistemas de cifrado clásicos con el fin de familiarizarse con las técnicas tradicionales de sustitución y transposición. Apoyándose del uso de la herramienta CrypTool, el alumno estudiará las ventajas/inconvenientes de cada sistema de cifrado y conocerá aspectos como la entropía o resistencia a ataques de criptoanálisis.

Sistemas criptográficos modernos. Este práctica pretende que el alumno se familiarice con el uso de los algoritmos criptográficos modernos de tipo simétrico y asimétrico, así como las funciones de hash. Concretamente, el alumno experimentará con el uso de operaciones criptográficas en Java, el cuál es uno de los lenguajes de programación más usados en la actualidad para el desarrollo de aplicaciones

Práctica 3. Certificación. Esta práctica introduce al alumno con la manipulación de certificados. Esto incluye la generación y gestión de certificados de forma correcta. Así mismo se experimentará con el uso de certificados en una aplicación real para implementar una operación básica de firma digital y/o autentificación de mensajes.

Práctica 4. Seguridad a nivel de transporte. En esta práctica el alumno trabajará el desarrollo de comunicaciones seguras para aplicaciones distribuidas que se comunican de forma remota a través



de redes inseguras. Para ello, a modo de ejemplo, se estudiará sobre la plataforma Java las librerías que implementan un transporte seguro mediante el protocolo SSL/TLS.

Relación con otras asignaturas del plan de estudios Esta asignatura proporciona un complemento fundamental al resto de materias relacionadas con el desarrollo de aplicaciones así como con el estudio de las comunicaciones en redes. Por un lado, los contenidos vistos en esta asignatura complementan la formación adquirida por el alumno en materias como Desarrollo de Aplicaciones Distribuidas o Redes de Computadores. Por otro lado, esta asignatura proporciona al alumno las capacidades adecuadas para cursar la asignatura de Auditoría y Peritaje.

Sistema de evaluación - Prueba parcial: 30% del total de la nota.

Se evaluarán los conocimientos acerca de los principios básicos de seguridad (Tema 1) y criptografía (Tema 2).

- Prueba final: 30% del total de la nota.

Se evaluarán los conocimientos acerca de las infraestructuras de clave pública, protocolos y aplicaciones seguras (temas 3 a 5).

- Evaluación de prácticas y problemas: 40% del total de la nota.

Práctica 1 (10%) Práctica 2 (10%) Práctica 3 (10%) Práctica 4 (10%)

Para poder superar la asignatura será necesario obtener al menos una nota mayor o igual a 4.0 en cada uno de los ítems anteriores y que la media ponderada de todas las notas sea igual o superior a 5.0.

La prueba parcial de la asignatura se realizará a mitad del cuatrimestre en horario de clase. La fecha de realización de la misma será anunciada por el profesor con suficiente antelación. En la fecha y hora fijada por la titulación para realizar el Examen Oficial de la Convocatoria de Febrero se realizará la prueba final y la recuperación de la prueba parcial previamente no superada (es decir, con nota inferior a 5.0) o no presentada.

Convocatoria de Septiembre:

En caso de no superar la asignatura en la convocatoria de ordinaria, la evaluación en la convocatoria de septiembre se realizará con los mismos ítems, criterios y porcentajes de ponderación. Si el alumno ha cumplido con el porcentaje de asistencia exigido por la normativa de la universidad para evaluación continua, se le guardarán para septiembre las notas de aquellos ítems en los que en la convocatoria ordinaria hubiera obtenido una nota de, al menos, 5.0.



Bibliografía y fuentes de referencia

Bibliografía básica • W. Stallings. Cryptography and Network Security. Prentice Hall. 1999. ISBN: 0133354695. • W. Stallings. Fundamentos de Seguridad en Redes. Prentice Hall. 2003. ISBN:

9788420540023. • P. Caballero. Introducción a la Criptografía. 2ª Edición. Editorial Ra-Ma. 2002. ISBN: 978-84-

7897-520-4 • J. Ramió. Libro Electrónico de Seguridad Informática y Criptografía. Versión 4.1. 2006. • M.A. Huth. Secure Communicating Systems. Design, Analysis and Implementation.

Cambridge University Press. 2001. ISBN: 9780521807319 • B. Schneier. Secrets & Lies. Digital Security in a Networked World. Jon Wiley & Sons. 2004.

ISBN: 978-0-471-45380-2 • R. Atkinson. Security Architecture for the Internet Protocol. Internet RFC 2401. 1998. • F. Warwick; S. Chokhani. Certificate Policy and Certification Practices Framework. Internet

RFC 2527. • C. Scott; P. Wolfe. Virtual Private Networks. 2nd Edition. O’Reilly. 1998. ISBN: 978-

1565925298

Bibliografía complementaria • J. Ramió. Aplicaciones criptográficas. Departamento de Publicaciones EUI. UPM. • W. Cheswick; S. Bellovin. Firewalls and Internet Security: Repelling the Wily Hacker,

Addison-Wesley. 1994. ISBN: 0-201-63466-X. • B. Schneier. Secure Communicating Systems. Design, Analysis and Implementation.

Cambridge University Press. ISBN: 9780521807319 • J.Seberry; J. Pieprzyk. Cryptography: An Introduction to Computer Security. Prentice Hall.

ISBN: 0724807246 • R. Smith. Internet Cryptography. Addison Wesley. 1997. ISBN: 078-5342924800 • D. Welsh. Codes and Cryptography. Oxford Science Publications. 1990. ISBN: 978-

0198532873 • E. Kaufman, A. Newman. Implementing IPsec. John Wiley & Sons. 1999. ISBN: 0471344672 • M. Murhammer; T. Bourne; T. Gaidosch; C. Kunzinger; L. Rademacher; A. Weinfurter. A

Comprehensive Guide to Virtual Private Networks, Volume I. IBM Redbooks. 1998. ISBN: 0738400076

• A. O. Alan; P. Freier; P.C. Kocher. The SSL Protocol Version 3.0. Internet RFC. 1996. • W. Ford; M. Baum. Secure Electonic Commerce: Building the Infraestructure for Digital

Signatures and Encryption. Prentice Hall. 1997. ISBN: 0130272760

http://www.iberlibro.com/products/isbn/9780471344674?cm_sp=bdp-_-9780471344674-_-isbn10



Web relacionadas Internet Engineering Task Force: http://www.ietf.org/

Institute of Electrical and Electronics Engineers: http://www.ieee.org/portal/site.

National Institute of Standards and Technology. http://www.nist.gov/

Open SSL: Cryptography and SSL/TLS Toolkit. http://www.openssl.org/

StrongSwan: the OpenSource IPsec –based VPN solution http://www.strongswan.org/

IPsec-Tools. http://ipsec-tools.sourceforge.net/

Java Secure Socket Extension. http://www.oracle.com/technetwork/java/javase/tech/index-jsp-136007.html

Kerberos MIT implementation. http://web.mit.edu/kerberos/

Recomendaciones para el estudio La asignatura está estructurada en dos partes. En primer lugar, se abordan fundamentos básicos de la criptografía, principalmente los distintos esquemas de cifrado así como las infraestructuras de clave pública. En segundo lugar, se abordan los protocolos seguros que existen a día de hoy más relevantes, así como ejemplo de aplicación mediante el diseño de aplicaciones seguras. En este sentido, es fundamental que el alumno adquiera una correcta comprensión de la primera parte de la asignatura pues, de lo contrario, será imposible adquirir una correcta comprensión de los contenidos tratados en la segunda parte.

La misma problemática se presenta con las prácticas de la asignatura. Sólo mediante un correcto estudio de los protocolos y aplicaciones seguras se conseguirá realizar una correcta solución de seguridad para el problema planteado.

Material didáctico Aplicaciones

Para el desarrollo de la práctica 1 de la asignatura, el alumno tendrá a su disposición diversas herramientas de software libre que implementan los protocolos seguros más relevantes tratados en la asignatura. En este sentido, se dispone de un amplio abanico de herramientas que permiten implementar soluciones de seguridad a distintos niveles como, por ejemplo:

• Niveles inferiores TCP/IP:

o StrongSwan: the OpenSource IPsec –based VPN solution

o IPsec-Tools.

• Niveles superiores TCP/IP:

http://www.ietf.org/http://www.ieee.org/portal/sitehttp://www.nist.gov/http://www.openssl.org/http://www.strongswan.org/http://ipsec-tools.sourceforge.net/http://www.oracle.com/technetwork/java/javase/tech/index-jsp-136007.htmlhttp://www.oracle.com/technetwork/java/javase/tech/index-jsp-136007.htmlhttp://web.mit.edu/kerberos/



o Open SSL: Cryptography and SSL/TLS Tookit.

o Java Secure Socket Extension.

o Kerberos MIT implementation

Material didáctico Además de la bibliografía recomendada en esta guía docente (básica y complementaria), en el apartado de Recursos del Campus Virtual, el estudiante dispondrá de recursos adicionales que le servirán de apoyo al proceso de aprendizaje. Dicho material se ofrecerá organizado por temas, de acuerdo con la organización de contenidos detallada anteriormente. Concretamente se pondrán a disposición del alumno los siguientes recursos:

• Apuntes sobre cada tema, indicando conceptos relevantes y ejemplos de uso.

• Enlaces de interés que permitan la ampliación de información sobre los temas.

• Presentaciones con explicación oral del profesor de los temas más dificultosos.

Tutorías En la asignatura se establecen los siguientes mecanismos de tutorización:

• Sesiones de tutorías: en el horario de atención de los alumnos semanal indicado anteriormente, el profesor atenderá dudas de los alumnos de forma presencial o por vía telefónica. En la medida de lo posible, dada la naturaleza de los contenidos impartidos, se recomienda que los alumnos opten por la tutorización presencial pues facilita la atención y resolución de dudas planteadas sobre los modelos software planteados.

• Correo electrónico y/o mensajes privados: se atenderán dudas puntuales planteadas a través de medios telemáticos como el correo electrónico y la herramienta del Campus Virtual “Mensajes privados”. Preferiblemente, se recomienda el uso del Campus Virtual. Este tipo de tutorización se realizará diariamente, con un compromiso de respuesta en menos de 48 horas lectivas desde la recepción del mismo.

• Foros: los foros sirven para fomentar la resolución de dudas en la asignatura de forma colaborativa entre los alumnos. Se crearán diversos temas en el foro donde discutir distintos aspectos de interés, tales como unidades temáticas, prácticas, ejercicios propuestos, etc. Este mecanismo de tutorización permite a los estudiantes generar debates sobre los distintos planteamientos e intervenciones que se realicen. El profesor moderará las discusiones surgidas a través de los foros, reorientando las discusiones hacia el propósito formativo.

Seguridad en la InformaciónBreve descripción de la asignaturaRequisitos PreviosObjetivosCompetencias y resultados de aprendizajeMetodologíaTemarioRelación con otras asignaturas del plan de estudiosSistema de evaluaciónBibliografía y fuentes de referenciaWeb relacionadasRecomendaciones para el estudioMaterial didácticoTutorías

guía docente 2017/2018 · 2017. 7. 31. · hola universidad católica san antonio de murcia –...

Documents