Your SlideShare is downloading. ×
0
Wednesday, September 15, 2010
Comprendiendo
                                  Seguridad
                                   Alejandro Panizza
           ...
Seguridad
               • Mecanismo que asegura algún buen
                 funcionamiento, precaviendo que este falle,
 ...
¿Para Qué?




Wednesday, September 15, 2010
¿Para Qué?

                     Permitir o Denegar

                         Acceso a Recursos

Wednesday, September 15, ...
Múltiples Capas
               • Seguridad Física (equipos)

               • Factor humano

               • Identidad y ...
Seguridad Física




Wednesday, September 15, 2010
Factor Humano




Wednesday, September 15, 2010
Identidad y
                                Autenticación



Wednesday, September 15, 2010
Probar Identidad




Wednesday, September 15, 2010
Probar Identidad




Wednesday, September 15, 2010
Probar Identidad




Wednesday, September 15, 2010
Identidad Moderna
        • Identificación Fotográfica

        • Emitida por una entidad
          central ( Gobierno,
    ...
Identidad




Wednesday, September 15, 2010
Identidad




Wednesday, September 15, 2010
Identidad




Wednesday, September 15, 2010
Identidad




Wednesday, September 15, 2010
Identidad




Wednesday, September 15, 2010
Identidad




Wednesday, September 15, 2010
Identidad
                                + Reputación



                                John Smith




Wednesday, Septem...
Wednesday, September 15, 2010
Wednesday, September 15, 2010
Wednesday, September 15, 2010
Datos Personales




Wednesday, September 15, 2010
Datos Personales


                                   Actividad




Wednesday, September 15, 2010
Datos Personales


                                   Actividad




                                   Contactos



Wednes...
Identidad Digital
               • Identificación

               • Prueba ( Trusted Provider )

               • Datos per...
Identificación + Prueba




Wednesday, September 15, 2010
¿Cómo se verifica?
                        • Algo que CONOZCO

                        • Algo que TENGO

                  ...
Contraseñas




Wednesday, September 15, 2010
Problemas

               • Manejo de Contraseña

               • Múltiples identidades
                 aisladas e incon...
Tokens o llaves




Wednesday, September 15, 2010
Problemas

               • Copia y Robo de Tokens

               • Perdida o rotura

               • Necesita acceso fí...
Biométrica




Wednesday, September 15, 2010
Problemas

               • Falsos Negativos

               • Falsos Positivos

               • Copia de mediciones

   ...
Protocolos de Seguridad:
                                Autenticación




Wednesday, September 15, 2010
Protocolos de Seguridad:
                                Autenticación

                                    Single Sign On...
Identidad Federada
                                 OpenID
    Parte confiada                         Proveedores




Wedne...
Wednesday, September 15, 2010
OpenID




                  Parte
                 Confiada                  Proveedor
                                Usu...
OpenID

                                registración previa




                  Parte
                 Confiada          ...
OpenID

                                            registración previa


                                Login via URI


...
OpenID

                                              registración previa


                                 Login via URI...
OpenID

                                              registración previa


                                 Login via URI...
OpenID

                                              registración previa


                                 Login via URI...
OpenID

                                              registración previa


                                 Login via URI...
OpenID
                 Desafíos:


                     • Conseguir mayor número de consumidores

                     • ...
Control de Acceso a
                              Recursos



Wednesday, September 15, 2010
Control de Acceso


               • Autorización

               • Roles y Permisos

               • Delegación



Wedne...
Delegación de Permisos
                                • OAuth: Autorización segura de acceso a
                          ...
Delegación de permisos


                                  OAuth
                 Aplicación X
                           ...
Delegación de permisos


                                  OAuth
                 Aplicación X
                           ...
Delegación de permisos

                                  Pedido                    App X ?
                              ...
Delegación de permisos

                                  Pedido                    App X ?
                              ...
Delegación de permisos

                                  Pedido                     App X ?
                             ...
Delegación de permisos

                                  Pedido                     App X ?
                             ...
Delegación de permisos




Wednesday, September 15, 2010
Desafíos

                                • Mayor estandarización

                                • Ratificación de OAuth ...
Comunicaciones
                                   Seguras




Wednesday, September 15, 2010
Certificados




Wednesday, September 15, 2010
Certificados
               • Vínculo entre una Identidad/Contraseña y
                 una clave criptográfica pública

   ...
Wednesday, September 15, 2010
Fisica

                                        Humana

                                    Id + Autenticación

          ...
Ningún protocolo es perfecto

              Pero hay algunos ...




                                     ... mejores que ...
Mas información
                     http://www.schneier.com/crypto-gram.html
                                   http://op...
Mas sobre Seguridad:

   11:00 Autenticación y permisos en mi aplicación
          GeneXus Alejandro Zeballos - Artech

  ...
¡Gracias!



Wednesday, September 15, 2010
Upcoming SlideShare
Loading in...5
×

0156 comprendiendo seguridad

299

Published on

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
299
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
1
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Transcript of "0156 comprendiendo seguridad"

  1. 1. Wednesday, September 15, 2010
  2. 2. Comprendiendo Seguridad Alejandro Panizza @apanizza Wednesday, September 15, 2010
  3. 3. Seguridad • Mecanismo que asegura algún buen funcionamiento, precaviendo que este falle, se frustre o se violente. • Grado de Protección contra peligro, daño, perdida y/o crímenes • Estructuras y procesos que proveen o mejoran la seguridad como condición Wednesday, September 15, 2010
  4. 4. ¿Para Qué? Wednesday, September 15, 2010
  5. 5. ¿Para Qué? Permitir o Denegar Acceso a Recursos Wednesday, September 15, 2010
  6. 6. Múltiples Capas • Seguridad Física (equipos) • Factor humano • Identidad y Autenticación • Control acceso a recursos • Comunicaciones seguras Wednesday, September 15, 2010
  7. 7. Seguridad Física Wednesday, September 15, 2010
  8. 8. Factor Humano Wednesday, September 15, 2010
  9. 9. Identidad y Autenticación Wednesday, September 15, 2010
  10. 10. Probar Identidad Wednesday, September 15, 2010
  11. 11. Probar Identidad Wednesday, September 15, 2010
  12. 12. Probar Identidad Wednesday, September 15, 2010
  13. 13. Identidad Moderna • Identificación Fotográfica • Emitida por una entidad central ( Gobierno, Institución o Empresa) • Medidas anti-falsificación • Escala Local y/o Global Wednesday, September 15, 2010
  14. 14. Identidad Wednesday, September 15, 2010
  15. 15. Identidad Wednesday, September 15, 2010
  16. 16. Identidad Wednesday, September 15, 2010
  17. 17. Identidad Wednesday, September 15, 2010
  18. 18. Identidad Wednesday, September 15, 2010
  19. 19. Identidad Wednesday, September 15, 2010
  20. 20. Identidad + Reputación John Smith Wednesday, September 15, 2010
  21. 21. Wednesday, September 15, 2010
  22. 22. Wednesday, September 15, 2010
  23. 23. Wednesday, September 15, 2010
  24. 24. Datos Personales Wednesday, September 15, 2010
  25. 25. Datos Personales Actividad Wednesday, September 15, 2010
  26. 26. Datos Personales Actividad Contactos Wednesday, September 15, 2010
  27. 27. Identidad Digital • Identificación • Prueba ( Trusted Provider ) • Datos personales • Redes Sociales: Contactos y Preferencias: “grafica social” Wednesday, September 15, 2010
  28. 28. Identificación + Prueba Wednesday, September 15, 2010
  29. 29. ¿Cómo se verifica? • Algo que CONOZCO • Algo que TENGO • Algo que SOY Wednesday, September 15, 2010
  30. 30. Contraseñas Wednesday, September 15, 2010
  31. 31. Problemas • Manejo de Contraseña • Múltiples identidades aisladas e inconsistentes • Autenticación y Permisos específicos Wednesday, September 15, 2010
  32. 32. Tokens o llaves Wednesday, September 15, 2010
  33. 33. Problemas • Copia y Robo de Tokens • Perdida o rotura • Necesita acceso físico al lector Wednesday, September 15, 2010
  34. 34. Biométrica Wednesday, September 15, 2010
  35. 35. Problemas • Falsos Negativos • Falsos Positivos • Copia de mediciones • Tecnología alto costo Wednesday, September 15, 2010
  36. 36. Protocolos de Seguridad: Autenticación Wednesday, September 15, 2010
  37. 37. Protocolos de Seguridad: Autenticación Single Sign On Wednesday, September 15, 2010
  38. 38. Identidad Federada OpenID Parte confiada Proveedores Wednesday, September 15, 2010
  39. 39. Wednesday, September 15, 2010
  40. 40. OpenID Parte Confiada Proveedor Usuario (Relying OpenID Party) Wednesday, September 15, 2010
  41. 41. OpenID registración previa Parte Confiada Proveedor Usuario (Relying OpenID Party) Wednesday, September 15, 2010
  42. 42. OpenID registración previa Login via URI Parte Confiada Proveedor Usuario (Relying OpenID Party) Wednesday, September 15, 2010
  43. 43. OpenID registración previa Login via URI Redirección ? Parte Confiada Proveedor Usuario (Relying OpenID Party) Wednesday, September 15, 2010
  44. 44. OpenID registración previa Login via URI Redirección ? Parte Confiada [ Login ] Proveedor Usuario (Relying OpenID Party) Wednesday, September 15, 2010
  45. 45. OpenID registración previa Login via URI Redirección ? Parte Confiada [ Login ] Proveedor Usuario (Relying OpenID Party) Redirección Wednesday, September 15, 2010
  46. 46. OpenID registración previa Login via URI Redirección ? Parte Confiada [ Login ] Proveedor Usuario (Relying OpenID Token Party) Redirección Credenciales Wednesday, September 15, 2010
  47. 47. OpenID Desafíos: • Conseguir mayor número de consumidores • Mantener privacidad de datos Vs. Lograr que los grandes jugadores acepten OpenId • ¿ Infocards ? Wednesday, September 15, 2010
  48. 48. Control de Acceso a Recursos Wednesday, September 15, 2010
  49. 49. Control de Acceso • Autorización • Roles y Permisos • Delegación Wednesday, September 15, 2010
  50. 50. Delegación de Permisos • OAuth: Autorización segura de acceso a Recursos protegidos a través de APIs • OAuth 1.0a • Cabezales HTTP , Firmado digital • OAuth 2.0 (draft) • Mensajes HTTPS , renovación de permisos Wednesday, September 15, 2010
  51. 51. Delegación de permisos OAuth Aplicación X Provider “Consumer” (Recursos) Wednesday, September 15, 2010
  52. 52. Delegación de permisos OAuth Aplicación X Provider “Consumer” (Recursos) Wednesday, September 15, 2010
  53. 53. Delegación de permisos Pedido App X ? Autorizacion OAuth Aplicación X Provider “Consumer” (Recursos) Wednesday, September 15, 2010
  54. 54. Delegación de permisos Pedido App X ? Autorizacion OAuth Aplicación X Provider “Consumer” (Recursos) Wednesday, September 15, 2010
  55. 55. Delegación de permisos Pedido App X ? Autorizacion OAuth [ Login ] Aplicación X Provider “Consumer” (Recursos) Wednesday, September 15, 2010
  56. 56. Delegación de permisos Pedido App X ? Autorizacion OAuth [ Login ] Aplicación X Provider “Consumer” (Recursos) Acceso (API Key) OK ! Wednesday, September 15, 2010
  57. 57. Delegación de permisos Wednesday, September 15, 2010
  58. 58. Desafíos • Mayor estandarización • Ratificación de OAuth 2.0 • Limitado con extensiones propietarias. • Integración con Open Social, etc Wednesday, September 15, 2010
  59. 59. Comunicaciones Seguras Wednesday, September 15, 2010
  60. 60. Certificados Wednesday, September 15, 2010
  61. 61. Certificados • Vínculo entre una Identidad/Contraseña y una clave criptográfica pública • Emitido por una autoridad confiable (firmado) • Unilateral ( SSL/TLS ) • Bilateral ( VPN, Corporate Mail ) Wednesday, September 15, 2010
  62. 62. Wednesday, September 15, 2010
  63. 63. Fisica Humana Id + Autenticación Autorización Seguridad en Comunicación Wednesday, September 15, 2010
  64. 64. Ningún protocolo es perfecto Pero hay algunos ... ... mejores que otros. Wednesday, September 15, 2010
  65. 65. Mas información http://www.schneier.com/crypto-gram.html http://openid.net http://hueuniverse.com http://oauth.net/2 Wednesday, September 15, 2010
  66. 66. Mas sobre Seguridad: 11:00 Autenticación y permisos en mi aplicación GeneXus Alejandro Zeballos - Artech 12:15 Ataques avanzados a aplicaciones Mauro Flores - Deloitte 2C Wednesday, September 15, 2010
  67. 67. ¡Gracias! Wednesday, September 15, 2010
  1. A particular slide catching your eye?

    Clipping is a handy way to collect important slides you want to go back to later.

×