0156 comprendiendo seguridad

473 views

Published on

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
473
On SlideShare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
1
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

0156 comprendiendo seguridad

  1. 1. Wednesday, September 15, 2010
  2. 2. Comprendiendo Seguridad Alejandro Panizza @apanizza Wednesday, September 15, 2010
  3. 3. Seguridad • Mecanismo que asegura algún buen funcionamiento, precaviendo que este falle, se frustre o se violente. • Grado de Protección contra peligro, daño, perdida y/o crímenes • Estructuras y procesos que proveen o mejoran la seguridad como condición Wednesday, September 15, 2010
  4. 4. ¿Para Qué? Wednesday, September 15, 2010
  5. 5. ¿Para Qué? Permitir o Denegar Acceso a Recursos Wednesday, September 15, 2010
  6. 6. Múltiples Capas • Seguridad Física (equipos) • Factor humano • Identidad y Autenticación • Control acceso a recursos • Comunicaciones seguras Wednesday, September 15, 2010
  7. 7. Seguridad Física Wednesday, September 15, 2010
  8. 8. Factor Humano Wednesday, September 15, 2010
  9. 9. Identidad y Autenticación Wednesday, September 15, 2010
  10. 10. Probar Identidad Wednesday, September 15, 2010
  11. 11. Probar Identidad Wednesday, September 15, 2010
  12. 12. Probar Identidad Wednesday, September 15, 2010
  13. 13. Identidad Moderna • Identificación Fotográfica • Emitida por una entidad central ( Gobierno, Institución o Empresa) • Medidas anti-falsificación • Escala Local y/o Global Wednesday, September 15, 2010
  14. 14. Identidad Wednesday, September 15, 2010
  15. 15. Identidad Wednesday, September 15, 2010
  16. 16. Identidad Wednesday, September 15, 2010
  17. 17. Identidad Wednesday, September 15, 2010
  18. 18. Identidad Wednesday, September 15, 2010
  19. 19. Identidad Wednesday, September 15, 2010
  20. 20. Identidad + Reputación John Smith Wednesday, September 15, 2010
  21. 21. Wednesday, September 15, 2010
  22. 22. Wednesday, September 15, 2010
  23. 23. Wednesday, September 15, 2010
  24. 24. Datos Personales Wednesday, September 15, 2010
  25. 25. Datos Personales Actividad Wednesday, September 15, 2010
  26. 26. Datos Personales Actividad Contactos Wednesday, September 15, 2010
  27. 27. Identidad Digital • Identificación • Prueba ( Trusted Provider ) • Datos personales • Redes Sociales: Contactos y Preferencias: “grafica social” Wednesday, September 15, 2010
  28. 28. Identificación + Prueba Wednesday, September 15, 2010
  29. 29. ¿Cómo se verifica? • Algo que CONOZCO • Algo que TENGO • Algo que SOY Wednesday, September 15, 2010
  30. 30. Contraseñas Wednesday, September 15, 2010
  31. 31. Problemas • Manejo de Contraseña • Múltiples identidades aisladas e inconsistentes • Autenticación y Permisos específicos Wednesday, September 15, 2010
  32. 32. Tokens o llaves Wednesday, September 15, 2010
  33. 33. Problemas • Copia y Robo de Tokens • Perdida o rotura • Necesita acceso físico al lector Wednesday, September 15, 2010
  34. 34. Biométrica Wednesday, September 15, 2010
  35. 35. Problemas • Falsos Negativos • Falsos Positivos • Copia de mediciones • Tecnología alto costo Wednesday, September 15, 2010
  36. 36. Protocolos de Seguridad: Autenticación Wednesday, September 15, 2010
  37. 37. Protocolos de Seguridad: Autenticación Single Sign On Wednesday, September 15, 2010
  38. 38. Identidad Federada OpenID Parte confiada Proveedores Wednesday, September 15, 2010
  39. 39. Wednesday, September 15, 2010
  40. 40. OpenID Parte Confiada Proveedor Usuario (Relying OpenID Party) Wednesday, September 15, 2010
  41. 41. OpenID registración previa Parte Confiada Proveedor Usuario (Relying OpenID Party) Wednesday, September 15, 2010
  42. 42. OpenID registración previa Login via URI Parte Confiada Proveedor Usuario (Relying OpenID Party) Wednesday, September 15, 2010
  43. 43. OpenID registración previa Login via URI Redirección ? Parte Confiada Proveedor Usuario (Relying OpenID Party) Wednesday, September 15, 2010
  44. 44. OpenID registración previa Login via URI Redirección ? Parte Confiada [ Login ] Proveedor Usuario (Relying OpenID Party) Wednesday, September 15, 2010
  45. 45. OpenID registración previa Login via URI Redirección ? Parte Confiada [ Login ] Proveedor Usuario (Relying OpenID Party) Redirección Wednesday, September 15, 2010
  46. 46. OpenID registración previa Login via URI Redirección ? Parte Confiada [ Login ] Proveedor Usuario (Relying OpenID Token Party) Redirección Credenciales Wednesday, September 15, 2010
  47. 47. OpenID Desafíos: • Conseguir mayor número de consumidores • Mantener privacidad de datos Vs. Lograr que los grandes jugadores acepten OpenId • ¿ Infocards ? Wednesday, September 15, 2010
  48. 48. Control de Acceso a Recursos Wednesday, September 15, 2010
  49. 49. Control de Acceso • Autorización • Roles y Permisos • Delegación Wednesday, September 15, 2010
  50. 50. Delegación de Permisos • OAuth: Autorización segura de acceso a Recursos protegidos a través de APIs • OAuth 1.0a • Cabezales HTTP , Firmado digital • OAuth 2.0 (draft) • Mensajes HTTPS , renovación de permisos Wednesday, September 15, 2010
  51. 51. Delegación de permisos OAuth Aplicación X Provider “Consumer” (Recursos) Wednesday, September 15, 2010
  52. 52. Delegación de permisos OAuth Aplicación X Provider “Consumer” (Recursos) Wednesday, September 15, 2010
  53. 53. Delegación de permisos Pedido App X ? Autorizacion OAuth Aplicación X Provider “Consumer” (Recursos) Wednesday, September 15, 2010
  54. 54. Delegación de permisos Pedido App X ? Autorizacion OAuth Aplicación X Provider “Consumer” (Recursos) Wednesday, September 15, 2010
  55. 55. Delegación de permisos Pedido App X ? Autorizacion OAuth [ Login ] Aplicación X Provider “Consumer” (Recursos) Wednesday, September 15, 2010
  56. 56. Delegación de permisos Pedido App X ? Autorizacion OAuth [ Login ] Aplicación X Provider “Consumer” (Recursos) Acceso (API Key) OK ! Wednesday, September 15, 2010
  57. 57. Delegación de permisos Wednesday, September 15, 2010
  58. 58. Desafíos • Mayor estandarización • Ratificación de OAuth 2.0 • Limitado con extensiones propietarias. • Integración con Open Social, etc Wednesday, September 15, 2010
  59. 59. Comunicaciones Seguras Wednesday, September 15, 2010
  60. 60. Certificados Wednesday, September 15, 2010
  61. 61. Certificados • Vínculo entre una Identidad/Contraseña y una clave criptográfica pública • Emitido por una autoridad confiable (firmado) • Unilateral ( SSL/TLS ) • Bilateral ( VPN, Corporate Mail ) Wednesday, September 15, 2010
  62. 62. Wednesday, September 15, 2010
  63. 63. Fisica Humana Id + Autenticación Autorización Seguridad en Comunicación Wednesday, September 15, 2010
  64. 64. Ningún protocolo es perfecto Pero hay algunos ... ... mejores que otros. Wednesday, September 15, 2010
  65. 65. Mas información http://www.schneier.com/crypto-gram.html http://openid.net http://hueuniverse.com http://oauth.net/2 Wednesday, September 15, 2010
  66. 66. Mas sobre Seguridad: 11:00 Autenticación y permisos en mi aplicación GeneXus Alejandro Zeballos - Artech 12:15 Ataques avanzados a aplicaciones Mauro Flores - Deloitte 2C Wednesday, September 15, 2010
  67. 67. ¡Gracias! Wednesday, September 15, 2010

×