Existen diferentes políticas de seguridad, englobadas en 2 tipos.
• Todo está prohibido a menos que se permita explícitamente.
• Todo está permitido a menos que se prohíba explícitamente.
En ocasiones se utilizan combinaciones de éstas, para diferentes partes del sistema.
"Articulo Interesante sobre politicas de seguridad" en esta direccion.
http://www.xbackup.net/spanish/Politicas-de-Seguridad-de-Red.html
sábado, 11 de octubre de 2008
Estrategias de Seguridad
Mínimos privilegios
• Consiste en asignar a cada usuario el mínimo de privilegios que necesite.
• El objetivo es minimizar los daños en caso de que la cuenta de un usuario sea invadida.
• En caso de que un usuario quiera realizar actividades diferentes tiene que solicitar que se le asignen los privilegios correspondientes.
Check Point
• Se hace pasar todo el tráfico de la red por un solo punto y se enfocan los esfuerzos de seguridad en ese punto.
• Puede disminuir el rendimiento.
Seguridad basada en hosts
• Los mecanismos de seguridad están en los hosts.
• Puede ser diferente en cada host, lo cual hace difícil su instalación y mantenimiento.
• Si un host es atacado con éxito, peligra la seguridad de la red (muchos usuarios tienen el mismo login y pass Word en todos los hosts a los que tienen acceso).
Seguridad basada en la red
• La seguridad se basa en controlar los accesos a los hosts desde la red.
• El método más común es la implementación de firewalls.
Firewalls
• Es un mecanismo para proteger las redes, implementando un control de acceso hacia y desde Internet.
• Es una colección de componentes puestos entre 2 redes, con las siguientes propiedades:
• Todo el tráfico desde dentro hacia fuera y viceversa debe pasar por ella.
• Sólo al tráfico autorizado, definido por las políticas de seguridad, se le permite el paso.
• El sistema en sí mismo es inmune a ataques.
• En otras palabras un firewall es un mecanismo para proteger redes confiables cuando se conectan a redes no confiables (como Internet).
• Consiste en asignar a cada usuario el mínimo de privilegios que necesite.
• El objetivo es minimizar los daños en caso de que la cuenta de un usuario sea invadida.
• En caso de que un usuario quiera realizar actividades diferentes tiene que solicitar que se le asignen los privilegios correspondientes.
Check Point
• Se hace pasar todo el tráfico de la red por un solo punto y se enfocan los esfuerzos de seguridad en ese punto.
• Puede disminuir el rendimiento.
Seguridad basada en hosts
• Los mecanismos de seguridad están en los hosts.
• Puede ser diferente en cada host, lo cual hace difícil su instalación y mantenimiento.
• Si un host es atacado con éxito, peligra la seguridad de la red (muchos usuarios tienen el mismo login y pass Word en todos los hosts a los que tienen acceso).
Seguridad basada en la red
• La seguridad se basa en controlar los accesos a los hosts desde la red.
• El método más común es la implementación de firewalls.
Firewalls
• Es un mecanismo para proteger las redes, implementando un control de acceso hacia y desde Internet.
• Es una colección de componentes puestos entre 2 redes, con las siguientes propiedades:
• Todo el tráfico desde dentro hacia fuera y viceversa debe pasar por ella.
• Sólo al tráfico autorizado, definido por las políticas de seguridad, se le permite el paso.
• El sistema en sí mismo es inmune a ataques.
• En otras palabras un firewall es un mecanismo para proteger redes confiables cuando se conectan a redes no confiables (como Internet).
Puntos para Mejorar la Seguridad
Identificación y Autentificación
• Los usuarios deben identificarse y después comprobar que son quien dicen ser.
• Lo más común es usar login y pass Word.
• Más seguro sería usar login y alguna identificación física como huellas digitales o reconocedores de voz. No es común porque resulta más difícil de implementar y más caro.
Control de Acceso
• Los recursos del sistema son proporcionados o negados de acuerdo al tipo de usuario que los solicite, y dependiendo desde donde haga la solicitud.
• Algunas veces sólo se permite uso parcial de los recursos, esto es común en sistemas de archivos, donde algunos usuarios solamente pueden leer, algunos otros leer y escribir, etc.
Integridad
• Los sistemas se deben poder checar en cuanto a su integridad, esto con el fin de detectar modificaciones que puedan afectar la seguridad.
• Si el sistema se corrompe o es modificado, sería deseable detectar el origen del problema (quien lo modificó) y restituir la integridad (en muchos casos hay que reinstalar el sistema).
Confidencialidad
• La información debe ser confidencial.
• Se debe garantizar que si un usuario desea que su información no sea vista por alguien más pueda lograrlo.
• Se debe poder decidir quienes tienen derecho a obtener la información.
• Usualmente se manejan permisos de acceso individual o grupal y encriptamiento para transmisión en la red y para almacenamiento de información crítica.
• Los usuarios deben identificarse y después comprobar que son quien dicen ser.
• Lo más común es usar login y pass Word.
• Más seguro sería usar login y alguna identificación física como huellas digitales o reconocedores de voz. No es común porque resulta más difícil de implementar y más caro.
Control de Acceso
• Los recursos del sistema son proporcionados o negados de acuerdo al tipo de usuario que los solicite, y dependiendo desde donde haga la solicitud.
• Algunas veces sólo se permite uso parcial de los recursos, esto es común en sistemas de archivos, donde algunos usuarios solamente pueden leer, algunos otros leer y escribir, etc.
Integridad
• Los sistemas se deben poder checar en cuanto a su integridad, esto con el fin de detectar modificaciones que puedan afectar la seguridad.
• Si el sistema se corrompe o es modificado, sería deseable detectar el origen del problema (quien lo modificó) y restituir la integridad (en muchos casos hay que reinstalar el sistema).
Confidencialidad
• La información debe ser confidencial.
• Se debe garantizar que si un usuario desea que su información no sea vista por alguien más pueda lograrlo.
• Se debe poder decidir quienes tienen derecho a obtener la información.
• Usualmente se manejan permisos de acceso individual o grupal y encriptamiento para transmisión en la red y para almacenamiento de información crítica.
Riesgos de Seguridad
Algunos riesgos son:
Intrusión: alguien entra ilegalmente a un sistema y es capaz de utilizarlo y codificarlo como si fuera un usuario legítimo.
Rechazo de Servicios: alguien logra que no puedan prestarse los servicios a los usuarios legítimos, puede ser dañando al sistema o sobrecargando el sistema o la red.
Robo de Información: alguien tiene acceso a información confidencial, secreta, reservada o restringida. Es común en espionaje industrial, piratería, etc.
Intrusión: alguien entra ilegalmente a un sistema y es capaz de utilizarlo y codificarlo como si fuera un usuario legítimo.
Rechazo de Servicios: alguien logra que no puedan prestarse los servicios a los usuarios legítimos, puede ser dañando al sistema o sobrecargando el sistema o la red.
Robo de Información: alguien tiene acceso a información confidencial, secreta, reservada o restringida. Es común en espionaje industrial, piratería, etc.
sábado, 13 de septiembre de 2008
La Web 2.0
La Web 2.0 es la representación de la evolución de las aplicaciones tradicionales hacia aplicaciones Web enfocadas al usuario final. El Web 2.0 es una actitud y no precisamente una tecnología.
La Web 2.0 es la transición que se ha dado de aplicaciones tradicionales hacia aplicaciones que funcionan a través del Web enfocadas al usuario final. Se trata de aplicaciones que generen colaboración y de servicios que reemplacen las aplicaciones de escritorio. Es una etapa que ha definido nuevos proyectos en Internet y está preocupándose por brindar mejores soluciones para el usuario final.
Cuando el Web inició, se encontraban, con páginas en HTML que sufrían pocas actualizaciones y no tenían interacción con el usuario lo que se conocía como entorno estático.
- “Es decir con la aparición de la Web 2.0 empezó a mejorar la interacción que existía entre el usuario y la Web tradicional, dando así un mayor enfoque hacia la satisfacción de las necesidades del usuario final y además incrementado el uso de la Web por parte nuestra pues obteníamos mas resultados y con mas veracidad en la información obtenida, ayudando así a la solución y facilidad en las tareas cotidianas.” -
- “Actualmente cuando necesitamos el uso de la Web nos encontramos con un entorno dinámico es decir que realmente se esta interactuando con el servidor y se están obteniendo respuestas de fuentes confiables y actualizadas constantemente.” -
La Web 2.0 es la transición que se ha dado de aplicaciones tradicionales hacia aplicaciones que funcionan a través del Web enfocadas al usuario final. Se trata de aplicaciones que generen colaboración y de servicios que reemplacen las aplicaciones de escritorio. Es una etapa que ha definido nuevos proyectos en Internet y está preocupándose por brindar mejores soluciones para el usuario final.
Cuando el Web inició, se encontraban, con páginas en HTML que sufrían pocas actualizaciones y no tenían interacción con el usuario lo que se conocía como entorno estático.
- “Es decir con la aparición de la Web 2.0 empezó a mejorar la interacción que existía entre el usuario y la Web tradicional, dando así un mayor enfoque hacia la satisfacción de las necesidades del usuario final y además incrementado el uso de la Web por parte nuestra pues obteníamos mas resultados y con mas veracidad en la información obtenida, ayudando así a la solución y facilidad en las tareas cotidianas.” -
- “Actualmente cuando necesitamos el uso de la Web nos encontramos con un entorno dinámico es decir que realmente se esta interactuando con el servidor y se están obteniendo respuestas de fuentes confiables y actualizadas constantemente.” -
Principios de las aplicaciones Web 2.0:
* La Web es la plataforma
* La información es lo que mueve al Internet
* Efectos de la red movidos por una arquitectura de participación.
* La innovación surge de características distribuidas por desarrolladores independientes.
* El fin del círculo de adopción de software pues tenemos servicios en beta perpetuo.
La Web 2.0 con ejemplos
Entender la evolución que ha llegado con la Web 2.0 puede realizarse con ejemplos, con proyectos. Podemos comparar servicios Web que marcan claramente la evolución hacia el Web 2.0 con una nueva forma de hacer las cosas:
Web 1.0 > Web 2.0
* Doubleclick –> Google AdSense (Servicios Publicidad)
* Ofoto –> Flickr (Comunidades fotográficas)
* Akamai –> BitTorrent (Distribución de contenidos)
* mp3.com –> Napster (Descargas de música)
* Britannica Online –> Wikipedia (Enciclopedias)
* Sitios personales –> Blogs (Páginas personales)
¿Qué tecnologías apoyan a la Web 2.0?
El Web 2.0 no significa precisamente que existe una receta para que todas las aplicaciones Web entren en este esquema. Sin embargo, existen varias tecnologías que están utilizándose actualmente y que se deberían examinar con más cuidado en busca de seguir evolucionando junto al Web.
Tecnologías que dan vida a un proyecto Web 2.0:
* Transformar software de escritorio hacia la plataforma del Web.
* Respeto a los estándares como el XHTML.
* Separación de contenido del diseño con uso de hojas de estilo.
*Sindicación de contenidos.
* Ajax (javascript ascincrónico y xml).
* Uso de Flash, Flex o Lazlo.
* Uso de Ruby on Rails para programar páginas dinámicas.
* Utilización de redes sociales al manejar usuarios y comunidades.
* Dar control total a los usuarios en el manejo de su información.
* Proveer APis o XML para que las aplicaciones puedan ser manipuladas por otros.
* Facilitar el posicionamiento con URL sencillos.
¿En qué nos sirve la Web 2.0?
El uso del término de Web 2.0 está de moda, dándole mucho peso a una tendencia que ha estado presente desde hace algún tiempo. En Internet las especulaciones han sido causantes de grandes burbujas tecnológicas y han hecho fracasar a muchos proyectos.
Además, los proyectos tienen que renovarse y evolucionar. El Web 2.0 no es precisamente una tecnología, sino es la actitud con la se debe trabajar para desarrollar en Internet. Tal vez allí está la reflexión más importante del Web 2.0.
- “Nosotros como usuarios finales no debemos esperar que el Web 2.0 nos solucione todo si no tenemos la actitud y disposición para trabajar en conjunto con la Web, cada proyecto que se suba a la web debe estar en una continua revisión y actualización pero estas dos partes van por cuenta nuestra, ahí está el éxito de la información y del manejo de la Web.” -
Mas informacion siga este link:
http: www.maestrosdelweb.com/editorial/web2///
La Web como plataforma
Como muchos conceptos importantes, Web 2.0 no tiene una clara frontera, sino más bien, un núcleo gravitacional. Se puede visualizar Web 2.0 como un sistema de principios y prácticas que conforman un verdadero sistema solar de sitios que muestran algunos de esos principios, a una distancia variable de ese núcleo.
- “La Web 2.0 es para nosotros como estudiantes el núcleo de una gran búsqueda de conocimiento e información en la cual nosotros somos las orbitas y nos movemos a su alrededor con ciertos principios que facilitan tanto su uso como su interacción.” -
Netscape frente a Google
Si Netscape era el abanderado de la Web 1.0, Google es ciertamente el abanderado de la Web 2.0, aunque sólo sea porque sus respectivas salidas a bolsa fueron acontecimientos determinantes para cada era.
Netscape ideó el concepto de 'la Web como plataforma' en términos del viejo paradigma del software: su buque insignia era el navegador Web, una aplicación de escritorio, y su estrategia era utilizar su dominio en el mercado de los navegadores para crear un mercado de productos de servidor de gama alta. El control sobre los estándares para visualizar el contenido y las aplicaciones en el navegador, en teoría, dio a Netscape la clase de poder de mercado del que disfrutó Microsoft en el mercado de los PCs. Al igual que el 'carro sin caballos' posicionó al automóvil como extensión de lo conocido, Netscape promovió un 'webtop' para sustituir al escritorio (el 'desktop'), y planeó poblar ese webtop con las actualizaciones de información y applets insertados en el webtop por los proveedores de información que comprarían los servidores de Netscape.
Sin embargo, al final, los navegadores Web y los servidores Web resultaron ser commodities, y el valor se desplazó hacia los servicios ofrecidos sobre la plataforma Web.
Google, por el contrario, comenzó su vida como una aplicación Web nativa, nunca vendida o empaquetada, sino siempre entregada como un servicio, con clientes pagando, directamente o indirectamente, por el uso de ese servicio. Ninguna de las rémoras de la vieja industria del software está presente. No hay programación de las actualizaciones de las versiones del software, sencillamente mejora continua. Ninguna licencia o venta, sencillamente uso. Ningún tipo de portabilidad a diferentes plataformas de forma que los clientes puedan ejecutar el software en su propio equipo, sencillamente, una colección masiva de PCs escalables en los que corren sistemas operativos de software abierto junto con aplicaciones y utilidades de su propia cosecha que nunca nadie de fuera de la compañía consigue ver.
En el fondo, Google requiere una capacidad que Netscape nunca necesitó: gestión de la base de datos. Google no es sencillamente una colección de herramientas software, es una base de datos especializada. Sin los datos, las herramientas son inútiles; sin el software, los datos son inmanejables, el valor del software es proporcional a la escala y al dinamismo de los datos que ayuda a gestionar.
- “Como ya sabemos Google es uno de los buscadores mas conocidos de esta época y una de las herramientas mas importantes en la consecución de información, ya que la presenta en una forma rápida y fácil de entender y se adapta a lo que uno necesita, como se menciona Google es una base de datos que contiene millones de registros listos para acceder de una manera ágil a su información, la forma como interactúa esta información con nosotros es la que le da el valor agregado al buscador y la que hace que coja mas fuerza e impacte más en el mercado.” -
El servicio de Google no es un servidor (aunque es ofrecido por una colección masiva de servidores de Internet) ni un navegador (aunque es experimentado por el usuario a través del navegador). Ni siquiera su servicio insignia, el de búsqueda, almacena el contenido que permite encontrar a los usuarios. Como una llamada telefónica, que no tiene lugar en los teléfonos de los extremos de la llamada sino en la red que hay entre medias, Google tiene lugar en el espacio que se encuentra entre el navegador y el motor de búsqueda y el servidor de contenido destino, como un habilitador o intermediario entre el usuario y su experiencia online.
Aunque Netscape y Google se podrían describir como compañías de software, está claro que Netscape perteneció al mismo mundo del software que Lotus, Microsoft, Oracle, SAP, y otras compañías que surgieron durante la revolución del software de los años 80, mientras que los amigos de Google son aplicaciones de Internet como eBay, Amazon, Napster, y sí, DoubleClick y Akamai.
DoubleClick frente a Overture y AdSense
Como Google, DoubleClick es un verdadero hijo de la era del Internet. Ofrece software como un servicio, tiene una competencia básica de gestión de datos, y, según lo mencionado anteriormente, era un pionero en web services mucho antes de que los web services tuvieran un nombre. Sin embargo, finalmente DoubleClick se vio limitado por su modelo de negocio. Apoyó en los años 90 el concepto de que la web trataba de publicación, no participación; que los publicistas, no los consumidores, deben ser los que deciden; que el tamaño importaba, y que Internet cada vez estaba más dominada por los sitios web situados en la cima según las estadísticas de MediaMetrix y otras compañías que valoraban los anuncios de la web.
Como consecuencia, DoubleClick cita orgulloso en su web 'más de 2000 implementaciones exitosas' de su software. ¡Yahoo! Search Marketing (antes Overture) y Google AdSense, por el contrario, ya dan cada uno servicio a centenares de millares de publicistas.
El éxito de Overture y de Google fue fruto de la comprensión de lo que Chris Anderson cita como ' the long tail ' (literalmente 'la larga cola'), el poder colectivo de los sitios web pequeños que conforman la gran mayoría del contenido de la web. Las ofertas de DoubleClick requieren un contrato formal de venta, limitando su mercado a unos pocos miles de sitios web grandes.
Overture y Google se las ingeniaron para permitir la colocación del anuncio prácticamente en cualquier página web. Lo que es más, evitaron los formatos de publicidad preferidos por los publicistas y las agencias de publicidad como banners y popups (ventanas emergentes), en favor de los anuncios de texto, mínimamente intrusivos, sensibles al contexto y amigables para el consumidor.
La lección de la Web 2.0: hacer uso del autoservicio del cliente y de la gestión de datos algorítmica para llegar a toda la web, a los extremos y no sólo al centro, a 'la larga cola' ('the long tail ') y no sólo a la cabeza.
Como es de esperar, otras historias de éxito de la Web 2.0 demuestran este mismo comportamiento. EBay permite las transacciones ocasionales de tan solo algunos dólares entre simples individuos, actuando como un intermediario automatizado. Napster (aunque cerrado por razones legales) construyó su red no mediante la construcción de una base de datos centralizada de canciones, sino arquitecturando un sistema en el que cada individuo que descargaba algo también se convertía en un servidor (esto es, alguien del que otros se descargaban algo), y así creció la red
Akamai frente a BitTorrent
Como DoubleClick, Akamai está optimizado para hacer negocios con la cabeza, no con la cola, con el centro, no con los extremos. Mientras que sirve a las necesidades de los individuos en el extremo de la web facilitando su acceso a los sitios web de mucha demanda en el centro, obtiene sus ganancias de esos sitios centrales.
BitTorrent, como otros pioneros en el movimiento del P2P, adopta el enfoque radical de la descentralización del Internet. Cada cliente es también un servidor; los archivos están subdivididos en fragmentos que se pueden servir desde múltiples localizaciones, aprovechando de forma transparente la red de los individuos que están descargando archivos para proporcionar tanto ancho de banda como datos a otros usuarios. De hecho, cuanto más popular es el archivo, más rápidamente se descarga, puesto que hay más usuarios que proporcionan ancho de banda y fragmentos del archivo completo.
- “Es decir el mismo archivo lo pueden descargar personas que estén conectadas a la red aunque estén en sitios totalmente distintos, a través de la red de un usuario se puede descargar el archivo utilizando su conexión, esto lo vemos cuando se descarga música, si hay pocos usuarios descargando esa canción se demora mucho tiempo, pero si hay muchos usuarios no se demora tanto pues el ancho de banda es mas grande y facilita la trasmisión de la información a través de la red.” -
BitTorrent demuestra así un principio dominante de la Web 2.0: el servicio mejora automáticamente cuanta más gente lo use. Mientras que Akamai debe agregar servidores para mejorar el servicio, cada consumidor de BitTorrent aporta sus propios recursos al grupo. Hay una 'arquitectura implícita de participación', una ética de cooperación inherente, en la que el servicio actúa sobre todo como intermediario inteligente, conectando los extremos entre sí y aprovechando las posibilidades que ofrecen los propios usuarios.
-"comentarios personales"-
Mas informacion siga este link:
http://sociedaddelainformacion.telefonica.es/jsp/articulos/detalle.jsp?elem=2146
viernes, 29 de agosto de 2008
Suscribirse a:
Comentarios (Atom)