]> git.llucax.com Git - z.facultad/75.10/miklolife.git/blob - carpeta/Documentacion/Modelo13/mo13 - Conceptos de seguridad.rtf
- le falta aunq no mucho :-P
[z.facultad/75.10/miklolife.git] / carpeta / Documentacion / Modelo13 / mo13 - Conceptos de seguridad.rtf
1 {\rtf1\ansi\deff1\adeflang1025
2 {\fonttbl{\f0\froman\fprq2\fcharset0 Times New Roman;}{\f1\froman\fprq2\fcharset0 Times New Roman;}{\f2\fswiss\fprq2\fcharset1 Arial;}{\f3\froman\fprq2\fcharset0 Times New Roman;}{\f4\fnil\fprq0\fcharset0 Arial;}{\f5\fswiss\fprq2\fcharset1 Arial;}{\f6\fswiss\fprq2\fcharset0 Arial;}{\f7\fnil\fprq0\fcharset0 Tahoma{\*\falt Lucidasans};}}
3 {\colortbl;\red0\green0\blue0;\red128\green128\blue128;}
4 {\stylesheet{\s1\rtlch\afs24\lang255\ltrch\dbch\afs24\langfe3082\loch\f2\fs24\lang3082\snext1 Predeterminado;}
5 {\s2\sb170\sa119\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f2\fs24\lang1033\sbasedon1\snext2 Cuerpo de texto;}
6 {\s3\cf0{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\rtlch\af7\afs24\lang255\ltrch\dbch\afs24\langfe2058\loch\f4\fs24\lang2058\sbasedon2\snext3 Lista;}
7 {\s4\sb120\sa120\cf0{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\rtlch\af1\afs20\lang255\ai\ltrch\dbch\afs20\langfe255\ai\loch\fs20\lang1033\i\sbasedon1\snext4 Etiqueta;}
8 {\s5\cf0{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\fs24\lang1033\sbasedon1\snext5 \'cdndice;}
9 {\s6\cf0{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\rtlch\af1\afs24\lang255\ltrch\dbch\af1\afs24\langfe2058\loch\f1\fs24\lang2058\sbasedon1\snext6 Normal;}
10 {\s7\cf0{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe2058\loch\fs24\lang2058\sbasedon2\snext7 List;}
11 {\s8\sb240\sa120\keepn\cf0{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\rtlch\af1\afs28\lang255\ltrch\dbch\afs28\langfe255\loch\fs28\lang1033\sbasedon1\snext2 header;}
12 {\s9\cf0\tqc\tx4818\tqr\tx9637{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\rtlch\af1\afs24\lang255\ltrch\dbch\af1\afs24\langfe255\loch\f1\fs24\lang1033\sbasedon1\snext9 footer;}
13 {\s10\cf0{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\rtlch\af1\afs24\lang255\ai\ab\ltrch\dbch\af1\afs24\langfe2058\ai\ab\loch\f1\fs24\lang2058\i\b\sbasedon8\snext2 Encabezado 2;}
14 {\s11\cf0{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\rtlch\af1\afs24\lang255\ab\ltrch\dbch\af1\afs24\langfe2058\ab\loch\f1\fs24\lang2058\b\sbasedon8\snext2 Encabezado 3;}
15 {\s12\li283\ri0\lin283\rin0\fi0\cf0{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\rtlch\af1\afs24\lang255\ltrch\dbch\af1\afs24\langfe2058\loch\f1\fs24\lang2058\sbasedon2\snext12 Cuerpo de texto con sangr\'eda;}
16 {\s13\cf0{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\rtlch\af1\afs24\lang255\ltrch\dbch\af1\afs24\langfe255\loch\f1\fs24\lang1033\sbasedon2\snext13 Contenido del marco;}
17 {\*\cs15\cf0\rtlch\af1\afs24\lang255\ltrch\dbch\af1\afs24\langfe255\loch\f1\fs24\lang1033\sbasedon16 Default Paragraph Font;}
18 {\*\cs16\rtlch\afs24\lang255\ltrch\dbch\afs24\langfe2058\loch\fs24\lang2058 Normal;}
19 {\*\cs17\cf0\rtlch\af1\afs24\lang255\ltrch\dbch\af1\afs24\langfe255\loch\f1\fs24\lang1033\sbasedon15 page number;}
20 }
21 {\info{\comment StarWriter}{\vern6450}}\deftab708
22 {\*\pgdsctbl
23 {\pgdsc0\pgdscuse195\pgwsxn12240\pghsxn15840\marglsxn1701\margrsxn1701\margtsxn1417\margbsxn708\pgdscnxt0 Predeterminado;}}
24 {\*\pgdscno0}\paperh15840\paperw12240\margl1701\margr1701\margt1417\margb708\sectd\sbknone\pgwsxn12240\pghsxn15840\marglsxn1701\margrsxn1701\margtsxn1417\margbsxn708\ftnbj\ftnstart1\ftnrstcont\ftnnar\aenddoc\aftnrstcont\aftnstart1\aftnnrlc
25 \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082{\loch\f5\fs24\lang3082\i0\b0{ El presente documento estipula a modo conceptual los requisitos necesarios para cumplir con el negocio y asegurar el correcto tratamiento de la informaci}}{\loch\f5\fs24\lang3082\'f3{n. El objetivo primario es garantizar la continuidad comercial, y defender la informaci}\'f3{n ante una amp
26 lia gama de amenazas, minimizando el da}\'f1{o a la misma y maximizando el retorno sobre inversiones y oportunidades.}}
27 \par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082{\loch\f5\fs24\lang3082\i0\b0{ El esquema presentado es un lineamiento acotado del esquema 1 de la normativa {\b ISO 17799:2002} el cual es el est}}{\loch\f5\fs24\lang3082\'e1{ndar internacional sobre seguridad en tecnolog}\'ed{a de la informaci}\'f3{n, adecuando el mismo al dominio de la presente aplicaci}\'f3{n y extendiendo a la in
28 fraestructura de la corporaci}\'f3{n Obra Social Asistencia M}\'e9{dica Miklolife. Adicionalmente se utilizar}\'e1{n otros est}\'e1{ndares, muchos de ellos obtenidos de RFCs de la {\b IETF}, los cuales, en el momento de ser utilizados, se har}\'e1{ referencia al n}\'fa{mero de los mismos.}}
29 \par \pard\plain \ltrpar\s10\cf0{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\rtlch\af1\afs24\lang255\ai\ab\ltrch\dbch\af1\afs24\langfe2058\ai\ab\loch\f5\fs24\lang2058\i\b {\loch\f5\fs24\lang2058\i\b Introducci\'f3n \endash  Conceptos B\'e1sicos}
30 \par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082{\loch\f5\fs24\lang3082\i0\b0{ El t}}{\loch\f5\fs24\lang3082\'e9{rmino de seguridad en este contexto se referir}\'e1{ a la preservaci}\'f3{n de las siguientes tres caracter}\'ed{sticas fundamentales:}}
31 \par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082{\loch\f5\fs24\lang3082\i0\b{{\b A-Confidencialidad}}}{\f6\f6{\loch\f5\fs24\lang3082: la informaci}}{\loch\f5\fs24\lang3082\'f3{n deber}\'e1{ ser accesible s}\'f3{lo a aquellas personas autorizadas a tener acceso a la misma.}}
32 \par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082{\loch\f5\fs24\lang3082\i0\b{{\b B-Integridad}}}{\f6\f6{\loch\f5\fs24\lang3082: se debe mantener la exactitud y totalidad de la informaci}}{\loch\f5\fs24\lang3082\'f3{n y los m}\'e9{todos de procesamiento.}}
33 \par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082{\loch\f5\fs24\lang3082\i0\b{{\b C-Disponibilidad}}}{\f6\f6{\loch\f5\fs24\lang3082: los usuarios autorizados al acceso a la informaci}}{\loch\f5\fs24\lang3082\'f3{n y sus recursos relacionados deben poder acceder a ellos en {\ul todo} momento en que sea requerido.}}
34 \par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082{\loch\f5\fs24\lang3082\i0\b0{ En cuanto a la operativa diara de los usuarios frente a sus tareas, se manejar}}{\loch\f5\fs24\lang3082\'e1{n dos t}\'e9{rminos clave:}}
35 \par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082{\loch\f5\fs24\lang3082\i0\b{\b{ A-Autenticaci}}}{\b\b\b{\loch\f5\fs24\lang3082\b\'f3{n}}}{\loch\f5\fs24\lang3082{\f6\f6: se refiere a la fase en que se valida la identidad del usuario.}}
36 \par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082{\loch\f5\fs24\lang3082\i0\b{\b{ B-Autorizaci}}}{\b\b\b{\loch\f5\fs24\lang3082\b\'f3{n}}}{\loch\f5\fs24\lang3082{\f6\f6: se refiere a las actividades permitidas para el usuario, una vez autenticado.}}
37 \par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang1033{\loch\f5\fs24\lang3082\i0\b0\lang3082{ La presente documentaci}}{\loch\f5\fs24\lang3082\lang3082\'f3{n es un delineamiento de c}\'f3{mo ser}\'e1{ implementada la infraestructura y la aplicaci}\'f3{n de gesti}\'f3{n para respetar estos conceptos y asegurarse de que sean cumplimentados de la manera acordada.}}
38 \par \pard\plain \ltrpar\s10\cf0{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\rtlch\af1\afs24\lang255\ai\ab\ltrch\dbch\af1\afs24\langfe2058\ai\ab\loch\f5\fs24\lang2058\i\b {\loch\f5\fs24\lang2058\i\b Infraestructura F\'edsica}
39 \par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082{\loch\f5\fs24\lang3082\i0\b0{ Bajo este t}}{\loch\f5\fs24\lang3082\'f3{pico se describir}\'e1{ como deber}\'e1{ establecerse la infraestructura f}\'ed{sica de la corporaci}\'f3{n debido a la arquitectura remitida en el an}\'e1{lisis de la aplicaci}\'f3{n, haci}\'e9{ndola extensiva para el futuro anexo de nuevas aplicaciones complementarias a la ges
40 ti}\'f3{n de Afiliados, Coberturas, Planes, Autorizaciones, Prestadores y Prestaciones.}}
41 \par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082{\loch\f5\fs24\lang3082\i0\b0{ La empresa cuenta con una sede central y numerosos CAP distribu}}{\loch\f5\fs24\lang3082\'ed{dos en todo el pa}\'ed{s. Para implementar un esquema de infraestructura f}\'ed{sica, el n}\'fa{cleo de procesamiento deber}\'e1{ incorporarse en la sede central de la obra social manteniendo la carga pesada del 
42 procesamiento de la informaci}\'f3{n, rest}\'e1{ndole a los CAP la infraestructura m}\'ed{nima para mantener cont}\'ed{nuo el enlace hacia la sede central, y a su vez protegido contra intentos de intrusi}\'f3{n y violaci}\'f3{n de la informaci}\'f3{n.}}
43 \par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082{\loch\f5\fs24\lang3082\i0\b0{ En sede central deber}}{\loch\f5\fs24\lang3082\'e1{ implementarse un NOC donde ser}\'e1{n ubicadas todos los servidores y dispositivos de networking necesarios para distribuir la aplicaci}\'f3{n a trav}\'e9{s de los CAPs, y en cada uno de }\'e9{stos }\'fa{ltimos se deber}\'e1{n incorporar racks con el equipamiento
44  necesario para la accesibilidad al enlace y la protecci}\'f3{n del mismo ante amenazas a la seguridad.}}
45 \par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082{\loch\f5\fs24\lang3082\i0\b0{ Para el primer caso, se dispondr}}{\loch\f5\fs24\lang3082\'e1{ de una sala propia. La misma deber}\'e1{ mantener los equipos debidamente instalados sobre racks. Deber}\'e1{ tener techo, piso y paredes falsas por los que deber}\'e1{ pasar el cableado debidamente canalizado. Adicionalmente deber}\'e1{ mant
46 enerse la temperatura de la misma entre 10 y 15 grados Celsius con el objeto de mantener la temperatura de las m}\'e1{quinas. Las paredes, techo y piso reales deben estar preparadas para desastres f}\'ed{sicos como fuego o inundaci}\'f3{n. El acceso debe estar bloqueado 
47 con cerraduras electr}\'f3{nicas, y activadas mediante un c}\'f3{digo num}\'e9{rico o una placa magn}\'e9{tica, y toda persona ajena debe ser escoltado al mismo (recordar que es el centro neur}\'e1{lgico del negocio).}}
48 \par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082{\loch\f5\fs24\lang3082\i0\b0{ En el caso de cada CAP, deber}}{\loch\f5\fs24\lang3082\'e1{ contar con un rack con los dispositivos de networking y servers necesarios para mantener el enlace, debidamente custodiados bajo llave, de donde saldr}\'e1{n las bocas hacia todos los puestos de trabajo.}}
49 \par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082{\loch\f5\fs24\lang3082\i0\b0{ Como en breve ser}}{\loch\f5\fs24\lang3082\'e1{ descripto, se necesitar}\'e1{ un servicio de directorio LDAP para el control de autenticaci}\'f3{n y autorizaci}\'f3{n de los usuarios, y el motor de base de datos para el uso propio de la aplicaci}\'f3{n y futuras aplicaciones que fuesen de necesidad. Para
50  garantizar la continuidad de la operativa diaria, se dispondr}\'e1{ de dos cluster separados, uno para guardar la base del directorio y otro para guardar la base relacional. Ambos clusters deben permanecer en el NOC de la sede central de modo de mantener centr
51 alizado el control de los mismos. Al estar clusterizados los dos servicios principales, se dispondr}\'e1{ de continuidad ya que ante la ca}\'ed{da de uno de los nodos, otro de ellos tomar}\'e1{ el servicio.}}
52 \par \pard\plain \ltrpar\s10\cf0{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\rtlch\af1\afs24\lang255\ai\ab\ltrch\dbch\af1\afs24\langfe2058\ai\ab\loch\f5\fs24\lang2058\i\b {\loch\f5\fs24\lang2058\i\b Infraestructura L\'f3gica}
53 \par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082{\loch\f5\fs24\lang3082\i0\b0{ En esta secci}}{\loch\f5\fs24\lang3082\'f3{n se describir}\'e1{ la infraestructura l}\'f3{gica a implementarse en la organizaci}\'f3{n y particularmente en la aplicaci}\'f3{n. Para comenzar, se tratar}\'e1{ la manera de organizar y estructurar a todos los usuarios desde el punto de vista de empleados de la fi
54 rma, y como vincularlos hacia la aplicaci}\'f3{n.}}
55 \par \pard\plain \ltrpar\s11\cf0{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\rtlch\af1\afs24\lang255\ab\ltrch\dbch\af1\afs24\langfe2058\ab\loch\f5\fs24\lang2058\b {\loch\f5\fs24\lang2058\i0\b Infraestructura de usuarios, y grupos y perfil en base a roles}
56 \par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082{\loch\f5\fs24\lang3082\i0\b0{ Los usuarios de la organizaci}}{\loch\f5\fs24\lang3082\'f3{n ser}\'e1{n almacenados en una base de datos jer}\'e1{rquica del tipo ISO X.500, con un servicio LDAP, en su versi}\'f3{n 3 del protocolo, full compliant con las {\b RFC 3377, 2251, 2252, 2253, 2254, 2256, 2829-2830} (las dos }\'fa{ltimas para la aut
57 enticaci}\'f3{n). El servicio debe estar clusterizado como anteriormente se mencion}\'f3{, y la conexi}\'f3{n al mismo debe ser v}\'ed{a SSL. No deber}\'e1{ permanecer abierto el puerto TCP est}\'e1{ndar 389 para comunicaciones por texto plano. El puerto abierto ser}\'e1{ el est}\'e1{ndar para c
58 omunicaci}\'f3{n LDAP sobre SSL que es el 636 y toda comunicaci}\'f3{n se utilizar}\'e1{ mediante querys LDAP. La base del directorio deber}\'e1{ bajarse a un archivo plano LDIF semanalmente e ir almacenando las copias de resguardo en cinta en modo progresivo con el motivo de
59  poder hacer una restauraci}\'f3{n ante una situaci}\'f3{n de desastre.}}
60 \par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082{\loch\f5\fs24\lang3082\i0\b0{ En el siguiente modelo se describir}}{\loch\f5\fs24\lang3082\'e1{ en exactitud la implementaci}\'f3{n del directorio y c}\'f3{mo almacenar a los usuarios y grupos. A modo de adelanto, los usuarios ser}\'e1{n entries de la clase {\b inetOrgPerson} descrita en la {\b RFC 2798} y para los grupos, entries del tip
61 o {\b groupOfUniqueNames}, descrita en el est}\'e1{ndar {\b X.500}.}}
62 \par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082{\loch\f5\fs24\lang3082\i0\b0{ El }}{\loch\f5\fs24\lang3082\'e1{rbol tendr}\'e1{ una estructura jer}\'e1{rquica, comenzando por una ra}\'ed{z representando a la organizaci}\'f3{n con clase {\b organization}, y luego contenedores de la clase {\b organizationalUnit}, cada uno representando un CAP, y debajo de cada uno de ellos los usuarios de ese
63  CAP. Lo mismo para la Sede Central. Luego deber}\'e1{ haber un contenedor especial para los grupos. Los mismos definiran los roles que tendr}\'e1{n los usuarios en la aplicaci}\'f3{n.}}
64 \par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082{\loch\f5\fs24\lang3082\i0\b0{ El objetivo de usar un }}{\loch\f5\fs24\lang3082\'e1{rbol LDAP es que es un servicio distribu}\'ed{do ideal para mantener la informaci}\'f3{n de infraestructura, incluyendo usuarios, grupos, servidores y todo tipo de datos de tal }\'ed{ndole. El usuario tendr}\'e1{ almacenados sus datos personales, sus c
65 redenciales y podr}\'e1{ ser vinculado a diversos grupos, pudiendo las aplicaciones utilizar estos agrupamientos para poder perfilar a los usuarios. El directorio adem}\'e1{s permite almacenar un password de diversos modos, inclusive extender la clase propuesta para
66  poder almacenar credenciales del tipo biom}\'e9{trica, como el iris de ojos o las huellas digitales de los usuarios. Este }\'fa{ltimo es muy recomendado debido a su gran avance en cuanto a tecnolog}\'ed{a se refiere. Adicionalmente, el directorio cuenta con la ventaja d
67 e separar la aplicaci}\'f3{n y la administraci}\'f3{n de empleados de la organizaci}\'f3{n y sus roles dentro de la misma, manteniendo el usuario una sola identidad dentro de la empresa y conservando sus credenciales para entrar a las diversas aplicaciones con que cuente
68  la corporaci}\'f3{n.}}
69 \par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang2058{\loch\f5\fs24\lang2058\i0\b0{ En el mismo podemos ver varios usuarios en distintos contenedores de acuerdo a su ubicaci}}{\loch\f5\fs24\lang2058\'f3{n f}\'ed{sica de trabajo, y por cada una de ellas un contenedor {\b organizationalUnit} de modo de mantener reflejada la jerarqu}\'ed{a de la organizaci}\'f3{n. Vemos tambi}\'e9{n el contened
70 or {\b ou=Grupos_Gestion} debajo del cual estar}\'e1{n ubicados aquellos grupos que perfilan los usuarios de nuestra aplicaci}\'f3{n de acuerdo a sus roles. Por }\'fa{ltimo, el administrador general del directorio, colgando directamente de la ra}\'ed{z organizativa.}}
71 \par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082{\loch\f5\fs24\lang3082\i0\b0{ A modo conceptual, este esquema reci}}{\loch\f5\fs24\lang3082\'e9{n descrito se representa en la siguiente figura:}}
72 \par 
73 \pard\plain\absw7995\absh-4786\dfrmtxty170\nowrap\pvpara\posyt\phcol\posxc{\*\flymaincnt0\flyvert55489\flyhorz39426\flyanchor0\flycntnt}{{\field\fldpriv{\*\fldinst{\\import 01.png}}{\fldrslt }}}
74 \pard
75 \pard\plain \ltrpar\s11\cf0{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\rtlch\af1\afs24\lang255\ab\ltrch\dbch\af1\afs24\langfe2058\ab\loch\f5\fs24\lang2058\b {\loch\f5\fs24\lang2058\i0\b V\'ednculo hacia la aplicaci\'f3n \endash  Propagaci\'f3n de perfiles seg\'fan roles}
76 \par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082{\loch\f5\fs24\lang3082\i0\b0{ En cuanto a la seguridad netamente de la aplicaci}}{\loch\f5\fs24\lang3082\'f3{n, la misma estar}\'e1{ montada en el mismo schema dentro del motor de base de datos (tambi}\'e9{n clusterizado), pero no tendr}\'e1{ relaci}\'f3{n con los datos propios de la aplicaci}\'f3{n. Habr}\'e1{ una tabla con usuarios (donde se
77  guardar}\'e1{n sus usernames, coincidentes con los RDN de sus entries LDAP), con el objeto de integrar un usuario a la aplicaci}\'f3{n. Adicionalmente esta tabla puede llegar a contener datos exclusivos del usuario dentro de la aplicaci}\'f3{n de ser necesario, pero es 
78 recomendable que se extienda la clase usuario si estos datos son m}\'e1{s de infraestructura que de la aplicaci}\'f3{n en s}\'ed{. Luego deber}\'e1{ existir una tabla que mapee los grupos con las funcionalidades existentes en la aplicaci}\'f3{n, y m}\'e1{s en detalle, otra tabla que re
79 lacione las funcionalidades con }\'ed{tems de men}\'fa{ (que se describir}\'e1{ en el modelo acerca del concepto e implementaci}\'f3{n de menues).}}
80 \par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082{\loch\f5\fs24\lang3082\i0\b0{ A modo conceptual, para aplicar este esquema, la aplicaci}}{\loch\f5\fs24\lang3082\'f3{n debe en primer lugar realizar la autenticaci}\'f3{n del usuario, v}\'ed{a LDAP. Este procedimiento ser}\'e1{ descrito luego en la implementaci}\'f3{n. Luego, una vez autenticado se obtendr}\'e1{ su membre}\'ed{a trayendo v}\'ed{a L
81 DAP los grupos a los cuales el usuario est}\'e1{ enlazado y una vez con estros grupos y armado el perfil del usuario, se mostrar}\'e1{n aquellas funcionalidades a las que el usuario est}\'e1{ autorizado a acceder.}}
82 \par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082{\loch\f5\fs24\lang3082\i0\b0{ Lo anterior se puede visualizar en el siguiente esquema gr}}{\loch\f5\fs24\lang3082\'e1{fico:}}
83 \par 
84 \pard\plain\absw5055\absh-4365\dfrmtxty170\nowrap\pvpara\posyt\phcol\posxc{\*\flymaincnt0\flyvert55489\flyhorz27138\flyanchor0\flycntnt}{{\field\fldpriv{\*\fldinst{\\import 02.png}}{\fldrslt }}}
85 \pard
86 \pard\plain \ltrpar\s2\cf0\qc{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang1033 
87 \par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang2058 {\loch\f5\fs24\lang2058\i0\b0 Como se puede ver, el manejo de la seguridad es sencillo y recae en el poder del directorio con servicio LDAP.}
88 \par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang2058{\loch\f5\fs24\lang2058\i0\b{{\b NOTA: }}}{\f6\f6{\loch\f5\fs24\lang2058En el siguiente modelo, modelo 14 }}{\loch\f5\fs24\lang2058\endash { {\b implementaci}}{\b\b\b\'f3{n de seguridad}}{\f6\f6se detallar}\'e1{n todos los pasos desde la autenticaci}\'f3{n hasta llegar a las acciones propias del usuario, y se presentar}\'e1{ el DER en la base de datos relacional y reglas de integridad referenc
89 ial para implementar este esquema. Este modelo es solamente a nivel descriptivo.}}
90 \par \pard\plain \ltrpar\s11\cf0{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\rtlch\af1\afs24\lang255\ab\ltrch\dbch\af1\afs24\langfe2058\ab\loch\f5\fs24\lang2058\b {\loch\f5\fs24\lang2058\i0\b Ambiente interno}
91 \par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082{\loch\f5\fs24\lang3082\i0\b0{ Internamente, se utilizar}}{\loch\f5\fs24\lang3082\'e1{ un dominio w2k, pero emulado a trav}\'e9{s de un SAMBA 3 utilizando el mismo directorio LDAP en reemplazo del Microsoft Active Directory, ya que este }\'fa{ltimo posee escasas prestaciones a nivel de directorio, aunque debemos destacar que
92  cumple con todas las especificaciones de las RFC (el tema de la exclusi}\'f3{n de AD es poder tener un dominio windows bajo la administraci}\'f3{n poderosa de Samba, utilizando adicionalmente un directorio que permita mantener un }\'e1{rbol corporativo).}}
93 \par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082{\loch\f5\fs24\lang3082\i0\b0{ En las estaciones de trabajo de los usuarios se contar}}{\loch\f5\fs24\lang3082\'e1{ con clientes Windows 2000 Professional debidamente licenciados. Toda la administraci}\'f3{n del dominio deber}\'e1{ implementarse bajo Novell Suse Linux 9, mediante un PDC Samba 3 como reci}\'e9{n se nombr}\'f3{, y adici
94 onalmente manteniendo un servicio BDC Samba 3 a modo de resguardo, y para restaurar el dominio en caso de una ca}\'ed{da del PDC.}}
95 \par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082{\loch\f5\fs24\lang3082\i0\b0{ Antes de proseguir, cabe destacar que deber}}{\loch\f5\fs24\lang3082\'e1{ extenderse el {\b schema} del directorio con las clases auxiliares {\b posixAccount, shadowAccountn }y {\b posixGroup}, descritas en su totalidad en la RFC {\b 2307} junto con las clases que vienen incorporadas en la instalaci}\'f3{n de
96  Samba ({\b sambaSamAccount} para las cuentas de usuarios de dominio Windows).}}
97 \par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082{\loch\f5\fs24\lang3082\i0\b0{ La siguiente figura esquematiza el dominio logrado y su v}}{\loch\f5\fs24\lang3082\'ed{nculo al directorio:}}
98 \par 
99 \pard\plain\absw5355\absh-5385\dfrmtxty170\nowrap\pvpara\posyt\phcol\posxc{\*\flymaincnt0\flyvert55489\flyhorz39938\flyanchor0\flycntnt}{{\field\fldpriv{\*\fldinst{\\import 03.png}}{\fldrslt }}}
100 \pard
101 \pard\plain \ltrpar\s1\qc\rtlch\afs24\lang255\ltrch\dbch\afs24\langfe3082\loch\f5\fs24\lang3082 
102 \par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang1033{\loch\f5\fs24\lang1033\i0\b0{ De esta manera, los usuarios se podr}}{\loch\f5\fs24\lang1033\'e1{n loguear a sus terminales de trabajo y a la aplicaci}\'f3{n utilizando las mismas credenciales. Se recomienda analizar de incluir un logon script o una herramienta m}\'e1{s poderosa de control remoto de terminales para acotar la
103 s actividades del usuario dentro de su estaci}\'f3{n de trabajo.}}
104 \par \pard\plain \ltrpar\s11\cf0{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\rtlch\af1\afs24\lang255\ab\ltrch\dbch\af1\afs24\langfe2058\ab\loch\f5\fs24\lang2058\b {\loch\f5\fs24\lang2058\i0\b Ambiente externo}
105 \par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082{\loch\f5\fs24\lang3082\i0\b0{ Hay dos tipos de accesos internos con los que se deben llevar cuentas. Uno de ellos es el grueso y son los afiliados. Otro son los prestadores. Ambos estar}}{\loch\f5\fs24\lang3082\'e1{n dentro de un contenedor }\'fa{nico llamado {\b externos} al nivel siguiente de la organizaci}\'f3{n en el }\'e1{rbol d
106 e directorio, y la funcionalidad de los mismos se otorgar}\'e1{ bajo el mismo esquema que a los usuarios internos de la aplicaci}\'f3{n. Esto se explicar}\'e1{ en detalle en el modelo 14, {\b implementaci}}{\b\b\b\'f3{n de la seguridad.}}}
107 \par \pard\plain \ltrpar\s11\cf0{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\rtlch\af1\afs24\lang255\ab\ltrch\dbch\af1\afs24\langfe2058\ab\loch\f5\fs24\lang2058\b {\loch\f5\fs24\lang2058\i0\b Conclusi\'f3n}
108 \par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082{\loch\f5\fs24\lang3082\i0\b0{ Bajo este esquema de infraestructura l}}{\loch\f5\fs24\lang3082\'f3{gica, el usuario contar}\'e1{ con el beneficio de mantener una }\'fa{nica identidad dentro de la organizaci}\'f3{n, pudiendo tener un set de credenciales }\'fa{nico para todos los entornos operativos en donde se movilice y extendiendo es
109 te esquema a futuras implementaciones Single Sign On.}}
110 \par \pard\plain \ltrpar\s10\cf0{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\rtlch\af1\afs24\lang255\ai\ab\ltrch\dbch\af1\afs24\langfe2058\ai\ab\loch\f5\fs24\lang2058\i\b {\loch\f5\fs24\lang2058\i\b Enlace}
111 \par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082{\loch\f5\fs24\lang3082\i0\b0{ Se deber}}{\loch\f5\fs24\lang3082\'e1{ contratar un ISP para proveer un enlace dedicado que interconecte la Sede Central de la Obra Social con todos sus CAPs. Toda la organizaci}\'f3{n dispondr}\'e1{ de una }\'fa{nica red privada, y ser}\'e1{ en la Sede Central el }\'fa{nico punto con salida a Internet, a tra
112 v}\'e9{s de otro enlace provisto por el ISP, centralizando de esta manera todos los controles de seguridad frente a amenazas externas. Los usuarios rasos no tendr}\'e1{n salida a intenet, utilizando mensajer}\'ed{a interna para comunicarse. El servidor SMTP para los mail
113 s deber}\'e1{ permanecer en el NOC central para controlar el flujo hacia la red exterior.}}
114 \par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082 {\loch\f5\fs24\lang3082\i0\b0 A nivel conceptual, se refleja en el siguiente diagrama:}
115 \par 
116 \pard\plain\absw6121\absh-5131\dfrmtxty170\nowrap\pvpara\posyt\phcol\posxc{\*\flymaincnt0\flyvert55489\flyhorz38402\flyanchor0\flycntnt}{{\field\fldpriv{\*\fldinst{\\import 04.png}}{\fldrslt }}}
117 \pard
118 \pard\plain \ltrpar\s10\cf0\qc{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb240\sa120\keepn\rtlch\af1\afs24\lang255\ai\ab\ltrch\dbch\af1\afs24\langfe2058\ai\ab\loch\f5\fs24\lang2058\i\b 
119 \par \pard\plain \ltrpar\s10\cf0{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\rtlch\af1\afs24\lang255\ai\ab\ltrch\dbch\af1\afs24\langfe2058\ai\ab\loch\f5\fs24\lang2058\i\b {\loch\f5\fs24\lang2058\i\b Seguridad frente a accesos externos e internos}
120 \par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082{\loch\f5\fs24\lang3082\i0\b0{ Las transacciones que se realicen por las aplicaciones deben realizarse a trav}}{\loch\f5\fs24\lang3082\'e9{s de un canal SSL, debiendo implementarse internamente un CA que emita certificados, los cuales deber}\'e1{n ser incorporados por todas las instancias clientes de la aplicaci}\'f3{n para 
121 poder establecer comunicaciones con las respectivas fuentes de datos. Bajo ning}\'fa{n punto de vista se permitir}\'e1{ informaci}\'f3{n viajando v}\'ed{a texto plano.}}
122 \par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082{\loch\f5\fs24\lang3082\i0\b0{ En relaci}}{\loch\f5\fs24\lang3082\'f3{n a esto, tambi}\'e9{n se deber}\'e1{n establecer canales SSL para las comunicaciones provenientes desde el exterior. Todos los archivos recibidos por los prestadores deber}\'e1{n viajar bajo SSL. En este caso se deber}\'e1{ comprar certificados de un CA correspondi
123 ente disponible en Internet para garantizar la identidad de los participantes de la transacci}\'f3{n. Los mismos deber}\'e1{n ser enviados por SFTP o SCP.}}
124 \par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082{\loch\f5\fs24\lang3082\i0\b0{ En el caso de los archivos subidos desde los prestadores y la cl}}{\loch\f5\fs24\lang3082\'ed{nica, el formato de los documentos depender}\'e1{n de la operativa necesitada por la aplicaci}\'f3{n. En esta fase inicial los documentos transaccionados son emitidos v}\'ed{a un web service utilizando el e
125 st}\'e1{ndar XML y v}\'ed{a FTP, seg}\'fa{n las interfaces ya pactadas por ambas partes.}}
126 \par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082{\loch\f5\fs24\lang3082\i0\b0{ En relaci}}{\loch\f5\fs24\lang3082\'f3{n al }\'fa{ltimo p}\'e1{rrafo, es importante tener en cuenta que estas transacciones implican un alto impacto entre las partes negociantes, con lo cual se {\b recomienda} que en el {\b futuro}, se reconsidere que el documento trasmitido sea concatenado con la firma 
127 digital del origen de manera que garantice el {\b no repudiation} de la informaci}\'f3{n enviada, y adicionalmente, todo este paquete deber}\'e1{ finalizarse con el hash MD5 del conjunto, certificando as}\'ed{ que la informaci}\'f3{n recibida es la que fue enviada desde el origen.
128  Esto es s}\'f3{lo una recomendaci}\'f3{n a futuro y deber}\'e1{ ser evaluada por ambas partes como un proyecto aparte.}}
129 \par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082{\loch\f5\fs24\lang3082\i0\b0{ Para cada CAP deber}}{\loch\f5\fs24\lang3082\'e1{ implementarse un firewall de modo que s}\'f3{lo est}\'e9{n abiertos los puertos que se utilicen para la aplicaci}\'f3{n, mail y mensajer}\'ed{a. Visto y considerando el desempe}\'f1{o y papel que tienen los CAPs, deber}\'e1{n bloquearse todos los paquetes ICMP ya q
130 ue no tienen sentido a nivel interno. Deber}\'e1{n est}\'e1{r disponibles a la altura del GateWay para que el administrador local de infraestructura pueda hacer debuggings y correcciones en casos de contingencia.}}
131 \par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082{\loch\f5\fs24\lang3082\i0\b0{ Tambi}}{\loch\f5\fs24\lang3082\'e9{n debe est}\'e1{r debidamente configurado un firewall desde la Sede Central hacia la salida al exterior, permitiendo el paso }\'fa{nico de puertos sobre de nivel aplicativo. Se deber}\'e1{ habilitar exclusivamente la salida a Inteneret para servicios como SMTP y aq
132 uellos que necesariamente requieran de la red externa. Asimismo se negociar}\'e1{ con la parte gerencial, ya que por lo general son los que demandan tener conectividad con Internet, y servicios de mensajer}\'ed{a externos.}}
133 \par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082{\loch\f5\fs24\lang3082\i0\b0{ Los WebServers deben estar detr}}{\loch\f5\fs24\lang3082\'e1{s del firewall dentro del NOC de la Sede Central. El mismo estar}\'e1{ habilitado hacia el exterior para cumplimentar con las transacciones online del cliente. En casos futuros de pasar a un Application Server se deber}\'e1{ respetar 
134 las mismas reglas, reconfigurando el FireWall para que habilitar la entrada y salida hacia el mismo.}}
135 \par \pard\plain \ltrpar\s10\cf0{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\rtlch\af1\afs24\lang255\ai\ab\ltrch\dbch\af1\afs24\langfe2058\ai\ab\loch\f5\fs24\lang2058\i\b {\loch\f5\fs24\lang2058\i\b Backups}
136 \par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082{\loch\f5\fs24\lang3082\i0\b0{ Dado a que se prev}}{\loch\f5\fs24\lang3082\'e9{e un alto volumen de tr}\'e1{fico diario con la base de datos, se establecer}\'e1{ un backupeo de la base de datos, diariamente y en forma progresiva, los cuales ser}\'e1{n pasados a cinta y almacenados en lugares debidamente custodiados, preferentemen
137 te bajo llave electr}\'f3{nica o mediante autenticaci}\'f3{n biom}\'e9{trica.}}
138 \par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082{\loch\f5\fs24\lang3082\i0\b0{ Para el servicio de directorio se bajar}}{\loch\f5\fs24\lang3082\'e1{ a un LDIF semanalmente, debido a que el mismo no sufrir}\'e1{ cambios en el corto plazo.}}
139 \par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082{\loch\f5\fs24\lang3082\i0\b{{\b NOTA: }}}{\f6\f6{\loch\f5\fs24\lang3082estos backups son a nivel servidores y no lo referente a la informaci}}{\loch\f5\fs24\lang3082\'f3{n que por lo general maneja la base de datos, contemplado en el modelo 06, {\b Modelo de Procesamiento}. Estos backups se hacen en forma progresiva y se almacenan en cinta y es el respa
140 ldo ante incontingencias y desastre. Solamente en el caso del directorio adicionalmente se guardar}\'e1{ el LDIF como se nombr}\'f3{ recientemente.}}
141 \par \pard\plain \ltrpar\s10\cf0{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\rtlch\af1\afs24\lang255\ai\ab\ltrch\dbch\af1\afs24\langfe2058\ai\ab\loch\f5\fs24\lang2058\i\b {\loch\f5\fs24\lang2058\i\b Auditor\'eda}
142 \par \pard\plain \ltrpar\s11\cf0{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\rtlch\af1\afs24\lang255\ab\ltrch\dbch\af1\afs24\langfe2058\ab\loch\f5\fs24\lang2058\b {\loch\f5\fs24\lang2058\i0\b Servers y software de base}
143 \par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082{\loch\f5\fs24\lang3082\i0\b0{ Se deben activar todos los logs de los servers y software de base utilizado, con un grado moderado de informaci}}{\loch\f5\fs24\lang3082\'f3{n adem}\'e1{s del timestamp de cada evento detectado, e incluyendo de ser posible un owner que haya disparado el evento. Los mismos deber}\'e1{n ser backu
144 peados regularmente a intervalos diarios y bajados a cinta, para auditar a futuro en caso de contingencias. Es fundamental e indispensable que entre los servicios que logueen se encuentren la base de datos de la aplicaci}\'f3{n (para detectar eventos a nivel tr
145 ansacci}\'f3{n) y el directorio, para detectar intentos de intrusi}\'f3{n.}}
146 \par \pard\plain \ltrpar\s11\cf0{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\rtlch\af1\afs24\lang255\ab\ltrch\dbch\af1\afs24\langfe2058\ab\loch\f5\fs24\lang2058\b {\loch\f5\fs24\lang2058\i0\b Aplicaci\'f3n}
147 \par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082{\loch\f5\fs24\lang3082\i0\b0{ La aplicaci}}{\loch\f5\fs24\lang3082\'f3{n deber}\'e1{ emitir un archivo de log por cada evento ocurrido. Principalmente deber}\'e1{ auditarse la pantalla de login y el logout del usuario, para detectar quien entr}\'f3{ a la aplicaci}\'f3{n, quien sali}\'f3{ y a que hora, as}\'ed{ como intentos de intrusi}\'f3{n o adiv
148 inaci}\'f3{n de passwords.}}
149 \par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082{\loch\f5\fs24\lang3082\i0\b0{ Dentro de la aplicaci}}{\loch\f5\fs24\lang3082\'f3{n se deber}\'e1{ loguear cada transacci}\'f3{n cr}\'ed{tica con la base (como inserts o updates, no es necesario autidar selects a este nivel, para ello est}\'e1{ra el log de la base de dato propia). Tambi}\'e9{n deber}\'e1{n auditarse aquellas operaciones a nivel
150  de negocio, como por ejemplo la anexi}\'f3{n de un Afiliado y por quien fue realizada, con su respectivo timestamp.}}
151 \par \pard\plain \ltrpar\s10\cf0{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\rtlch\af1\afs24\lang255\ai\ab\ltrch\dbch\af1\afs24\langfe2058\ai\ab\loch\f5\fs24\lang2058\i\b {\loch\f5\fs24\lang2058\i\b Seguridad dentro de la aplicaci\'f3n}
152 \par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082{\loch\f5\fs24\lang3082\i0\b0{ Desde el momento del desarrollo se deber}}{\loch\f5\fs24\lang3082\'e1{n tener las precauciones necesarias para evitar ataques comunes. Es obligatorio que en ning}\'fa{n momento valores introducidos por el usuario sean llevados directamente a la base de datos. Las transacciones con la misma
153  deben estar en una capa superior evitando ataques indirectos a la base de datos, como {\b sql injection}. En el caso de ser absolutamente necesario llevar el contenido de una entrada del usuario a una sentencia sql, la misma deber}\'e1{ obligatoriamente parsearse c
154 on expresiones regulares a fin de detectar que venga sql embebido en la misma, el cual pudiera ocasionar inclusive hasta el borrado de las tablas si se tuvieran los permisos necesarios.}}
155 \par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082{\loch\f5\fs24\lang3082\i0\b0{ Referido a esto }}{\loch\f5\fs24\lang3082\'fa{ltimo, se deber}\'e1{ prearmar un usuario para el acceso a la base de datos, el cual deba tener restringido el acceso a la misma para hacer operaciones sobre el esquema de la misma. El usuario en el cual se impersonificar}\'e1{ la apliaci}\'f3{n deber}\'e1{ t
156 ener permiso de lectura sobre las tablas y escritura y update de las mismas, de ning}\'fa{n modo podr}\'e1{ hacer alteraciones al esquema f}\'ed{sico que compone la base de datos de la aplicaci}\'f3{n.}}
157 \par \pard\plain \ltrpar\s10\cf0{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\rtlch\af1\afs24\lang255\ai\ab\ltrch\dbch\af1\afs24\langfe2058\ai\ab\loch\f5\fs24\lang2058\i\b {\loch\f5\fs24\lang2058\i\b Detecci\'f3n de intrusiones}
158 \par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082{\loch\f5\fs24\lang3082\i0\b0{ Para respaldar la seguridad de los usuarios, se establece como m}}{\loch\f5\fs24\lang3082\'e1{ximo un n}\'fa{mero de 3 intentos seguidos de login. Si el cuarto intento es fallido, la aplicaci}\'f3{n debe lockear la cuenta del usuario v}\'ed{a LDAP e inhabilitar al mismo. S}\'f3{lo el administrador LDAP d
159 eber}\'e1{ ser capaz de rehabilitar y poner online al usuario, y en caso de p}\'e9{rdida de password, el administrador LDAP deber}\'e1{ pisar el password y se requerir}\'e1{ al usuario que cambie el password en el dominio al reingresar a la estaci}\'f3{n de trabajo. Todo esto se h
160 ar}\'e1{ desde la clase {\b inetOrgPerson }explicada en el modelo 14 }\endash { {\b implementaci}}{\b\b\b\'f3{n de seguridad}}{\f6\f6.}}
161 \par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082{\loch\f5\fs24\lang3082\i0\b{{\b NOTA: }}}{\f6\f6{\loch\f5\fs24\lang3082el administrador pisar}}{\loch\f5\fs24\lang3082\'e1{ el password del usuario y habilitar}\'e1{ los flags necesarios para que el dominio exija un ingreso de password para entrar por parte del usuario. Este paso es instant}\'e1{neo y debe ser instru}\'ed{do el empleado a realizarlo autom}\'e1{ticamen
162 te al confirmarle el administrador que su password est}\'e1{ listo para ser llenado. De la misma manera al ingresar un nuevo usuario se proceder}\'e1{ de la misma manera. El acceso a una terminal f}\'ed{sica por agentes externos se deber}\'ed{a contemplar en una documentaci}\'f3{n
163  aparte acerca de seguridad a nivel organizacional, pero de todas formas debe estar garantizado que un extra}\'f1{o realice un acceso a una terminal propia de la empresa justo en el momento en que su password est}\'e1{ vulnerable.}}
164 \par \pard\plain \ltrpar\s10\cf0{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\rtlch\af1\afs24\lang255\ai\ab\ltrch\dbch\af1\afs24\langfe2058\ai\ab\loch\f5\fs24\lang2058\i\b {\loch\f5\fs24\lang2058\i\b Glosario de t\'e9rminos para los estandares utilzados}
165 \par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082{\loch\f5\fs24\lang3082\i0\b0{ Si bien todo lo usado en este documento son est}}{\loch\f5\fs24\lang3082\'e1{ndares internacionales altamente utilizados a nivel mundial, esta }\'fa{ltima secci}\'f3{n provee un mini glosario con aquellos t}\'e9{rminos que puedan resultar de dif}\'ed{cil comprensi}\'f3{n para el lector.}}
166 \par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082{\loch\f5\fs24\lang3082\i0\b{{\b ISO (Internacional Organization for Standarization):}}}{\f6\f6{\loch\f5\fs24\lang3082organizaci}}{\loch\f5\fs24\lang3082\'f3{n mundial cuyo objetivo es la normalizaci}\'f3{n de un gran n}\'fa{mero de actividades y procedimientos a nivel corporativo, cient}\'ed{fico o de procedimiento.}}
167 \par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082{\loch\f5\fs24\lang3082\i0\b{{\b IETF (Internet Engineer Task Force):}}}{\f6\f6{\loch\f5\fs24\lang3082organizaci}}{\loch\f5\fs24\lang3082\'f3{n mundial dedicada a la estandarizaci}\'f3{n de protocolos de red disponibles p}\'fa{blicamente en internet en RFCs.}}
168 \par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082{\loch\f5\fs24\lang3082\i0\b{{\b RFC (Request for Comments):}}}{\f6\f6{\loch\f5\fs24\lang3082cada RFC es la definici}}{\loch\f5\fs24\lang3082\'f3{n de un protocolo de la IETF donde se incluyen todos los detalles e interfaces de los mismos, los cuales deben ser respetados estrictamente para mantener compatibilidad en las comunicaciones.}}
169 \par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082{\loch\f5\fs24\lang3082\i0\b{{\b ISO 17799:2002 esquema-1: }}}{\f6\f6{\loch\f5\fs24\lang3082est}}{\loch\f5\fs24\lang3082\'e1{ndar a nivel internacional desarrollado por ISO para tratar la seguridad en tecnolog}\'ed{a de la informaci}\'f3{n. Este estandar es requerido a nivel megacorporativo y normaliza todo el desenvolvimiento relacionado a la informaci}\'f3{n tan
170 to electr}\'f3{nica como no electr}\'f3{nica. Este documento es una versi}\'f3{n acotada de los pasos a seguir propuestos por este esquema.}}
171 \par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082{\loch\f5\fs24\lang3082\i0\b{{\b Directorio X.500:}}}{\f6\f6{\loch\f5\fs24\lang3082se cita la definici}}{\loch\f5\fs24\lang3082\'f3{n provista por la {\b Universidad de Murcia, Espa}}{\b\b\b\'f1{a}}{\f6\f6acerca de este est}\'e1{ndar }\ldblquote {\i\cf1{ X.500 como normativa nace como un intento de impulsar la construcci}}{\i\i\i\cf1\'f3{n de un servicio de {\b Directorio a nivel mundial}, {\b totalmente distribuido} para pro
172 porcionar servicio tanto a personas como a m}\'e1{quinas. La normativa ha sido desarrollada conjuntamente por ISO y el CCITT, dando lugar en 1988 a la primera serie de recomendaciones}}\rdblquote {. En resumen, es una base de datos jer}\'e1{rquica con interfaces de acceso bien d
173 efinidas y estrictas.}}
174 \par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082{\loch\f5\fs24\lang3082\i0\b{{\b DAP (Directory Access Protocol)}}}{\f6\f6{\loch\f5\fs24\lang3082: es parte del est}}{\loch\f5\fs24\lang3082\'e1{ndar X.500 y define una de las interfaces con el directorio.}}
175 \par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082{\loch\f5\fs24\lang3082\i0\b{{\b LDAP (Lightway Directory Access Protocol):}}}{\f6\f6{\loch\f5\fs24\lang3082es el est}}{\loch\f5\fs24\lang3082\'e1{ndar usado hoy en d}\'ed{a para el acceso a directorios X.500. En un primer momento se utilizaba DAP pero se realiz}\'f3{ un acotamiento del mismo protocolo rest}\'e1{ndole complejidad poco o nunca utilizada, resultando
176  este protocolo que se define en las RFC de la IETF citadas al comienzo del documento.}}
177 \par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082{\loch\f5\fs24\lang3082\i0\b{{\b LDAP URI: }}}{\f6\f6{\loch\f5\fs24\lang3082protocolo de acceso a directorio v}}{\loch\f5\fs24\lang3082\'ed{a una URL, descrita en una RFC de la IETF.}}
178 \par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082{\loch\f5\fs24\lang3082\i0\b{{\b LDIF:}}}{\f6\f6{\loch\f5\fs24\lang3082est}}{\loch\f5\fs24\lang3082\'e1{ndar de serializaci}\'f3{n de los objetos del directorio, tambipen descrito en una RFC de la IETF. Mediante este protocolo se pueden tener objetos serializados. Adicionalmente, establece una interfaz con el directorio tanto para exportar como para impo
179 rtar archivos de este tipo, facilitando backups de la base, y generaci}\'f3{n de multiples objetos.}}
180 \par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082{\loch\f5\fs24\lang3082\i0\b{{\b TCP:}}}{\f6\f6{\loch\f5\fs24\lang3082protocolo de transporte. Es parte de la pila TCP/IP y se ubica en la capa de transporte. Su objetivo es garantizar la transmisi}}{\loch\f5\fs24\lang3082\'f3{n de la informaci}\'f3{n y garantizar que la misma llegue a las capas superiores en el orden en que fue mandada.}}
181 \par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082{\loch\f5\fs24\lang3082\i0\b{{\b Puerto TCP:}}}{\f6\f6{\loch\f5\fs24\lang3082es el punto de acceso al servicio (SAP) de las capas superiores (aplicaci}}{\loch\f5\fs24\lang3082\'f3{n, presentaci}\'f3{n y sesi}\'f3{n). Las aplicaciones que se comunican a trav}\'e9{s de la red deber}\'e1{n establecer un n}\'fa{mero llamado puerto tanto de origen como destino, de modo de que el
182  protocolo TCP pueda trabajar para m}\'fa{ltiples aplicaciones simult}\'e1{neamente.}}
183 \par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082{\loch\f5\fs24\lang3082\i0\b{{\b SSL (Secure Socket Layer):}}}{\f6\f6{\loch\f5\fs24\lang3082protocolo para trasmisi}}{\loch\f5\fs24\lang3082\'f3{n de informci}\'f3{n en modo seguro a trav}\'e9{s de una red, desarrollado por Netscape. El mismo descansa sobre TCP, y utiliza certificados clave p}\'fa{blica/privada para realizar una transmisi}\'f3{n encriptada sobre un can
184 al.}}
185 \par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082{\loch\f5\fs24\lang3082\i0\b{{\b SFTP (Secure File Transfer Protocol):}}}{\f6\f6{\loch\f5\fs24\lang3082protocolo utilizado principalmente para hacer subida y bajada de archivos entre m}}{\loch\f5\fs24\lang3082\'e1{quinas remotas. Es FTP resposando sobre una capa SSL.}}
186 \par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082{\loch\f5\fs24\lang3082\i0\b{{\b SSH (Secure Shell):}}}{\f6\f6{\loch\f5\fs24\lang3082protocolo reemplazante del RLogin el cual reposa sobre una transmisi}}{\loch\f5\fs24\lang3082\'f3{n encriptada mediante certificados correspondientes.}}
187 \par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082{\loch\f5\fs24\lang3082\i0\b{{\b SCP (Secure Copy):}}}{\f6\f6{\loch\f5\fs24\lang3082protocolo que reposa sobre SSH para realizar subida y bajada de archivos entre terminales remotas, encriptando la informaci}}{\loch\f5\fs24\lang3082\'f3{n que viaja por la red.}}
188 \par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082{\loch\f5\fs24\lang3082\i0\b{{\b NOC (Networt  Operation Center):}}}{\f6\f6{\loch\f5\fs24\lang3082lugar f}}{\loch\f5\fs24\lang3082\'ed{sico donde residen servidores y dispositivos de networking de capa 1 a la 3, enfocados primordialmente en mantener la infraestructura de red de una o varias organizaciones, y en menor grado el funcionamiento de servi
189 cios. Si priman servers de informaci}\'f3{n sobre los dispositivos de networking suele llamarse DataCenter.}}
190 \par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082{\loch\f5\fs24\lang3082\i0\b{{\b RACK: }}}{\f6\f6{\loch\f5\fs24\lang3082proveniente del ingl}}{\loch\f5\fs24\lang3082\'e9{s, d}\'ed{cese del armario donde residen diversos dispositivos de networking como servers, switches, hubs y routers. Los mismos vienen constru}\'ed{dos para tales fines y los dispositivos proveen soportes estandarizados para poder ser apil
191 ados en los mismos.}}
192 \par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082{\loch\f5\fs24\lang3082\i0\b{{\b SMB/CIFS: }}}{\f6\f6{\loch\f5\fs24\lang3082protocolo utilizado para el compartimiento de recursos para grupos de trabajo, proveyendo reglas como autenticaci}}{\loch\f5\fs24\lang3082\'f3{n y autorizaci}\'f3{n a recursos.}}
193 \par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082{\loch\f5\fs24\lang3082\i0\b{{\b SAMBA: }}}{\f6\f6{\loch\f5\fs24\lang3082servicio OpenSource que implementa un servidor SMB. Uno de sus usos es emular un Controlador de Dominio Windows, haciendo que las terminales Windows no noten que no es Windows quien est}}{\loch\f5\fs24\lang3082\'e1{ del otro lado.}}
194 \par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082{\loch\f5\fs24\lang3082\i0\b{{\b PDC: }}}{\f6\f6{\loch\f5\fs24\lang3082siglas de Primary Domain Controler. Es el server que se encarga de realizar la autenticaci}}{\loch\f5\fs24\lang3082\'f3{n y autenticaci}\'f3{n en un dominio SMB.}}
195 \par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082{\loch\f5\fs24\lang3082\i0\b{\b BDC: }}{\loch\f5\fs24\lang3082realiza el mismo trabajo que el server PDC, pero a nivel secundario, es decir, retoma su actividad en caso de detectar que sa crasheado el PDC.}
196 \par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082{\loch\f5\fs24\lang3082\i0\b{\b{ Encriptaci}}}{\b\b\b{\loch\f5\fs24\lang3082\b\'f3{n LanManager: }}}{\loch\f5\fs24\lang3082{\f6\f6se toma el password del usuario y se lo trunca a 14 bytes (o se lo rellena si no llega a esta cantidad). Con estos 14 bytes se encripta 3 veces un string predefinido de 8 bytes utilizando el algoritmo DES.}}
197 \par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082{\loch\f5\fs24\lang3082\i0\b{\b{ Encriptaci}}}{\b\b\b{\loch\f5\fs24\lang3082\b\'f3{n NT:}}}{\loch\f5\fs24\lang3082{\f6\f6se toma el password del usuario, se lo convierte a unicode y se le aplica un hash MD4. Muy f\'e1cil de romper.}}
198 \par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082{\loch\f5\fs24\lang3082\i0\b{{\b ISP (Internet Service Provider): }}}{\f6\f6{\loch\f5\fs24\lang3082compa}}{\loch\f5\fs24\lang3082\'f1\'ed{a proveedora de enlaces corporativos y/o hogare}\'f1{os para conectividad a internet o propia.}}
199 \par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082{\loch\f5\fs24\lang3082\i0\b{{\b SMTP (Simple Mail Transfer Protocol): }}}{\f6\f6{\loch\f5\fs24\lang3082protocolo para el env}}{\loch\f5\fs24\lang3082\'ed{o de mensajer}\'ed{a (llamado t}\'ed{picamente }\lquote {e-mail}\rquote {) a trav}\'e9{s de una red. Es RFC en la IETF.}}
200 \par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082{\loch\f5\fs24\lang3082\i0\b{{\b No repudiation: }}}{\f6\f6{\loch\f5\fs24\lang3082metodolog}}{\loch\f5\fs24\lang3082\'ed{a a nivel electr}\'f3{nico que garantiza que una actividad o documento ejecutada por una entidad (individuo, corporaci}\'f3{n, etc), no puede ser refutada por la misma.}}
201 \par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082{\loch\f5\fs24\lang3082\i0\b{{\b SQL (Structured Query Language): }}}{\f6\f6{\loch\f5\fs24\lang3082desarrollado originalmente por IBM, es un est}}{\loch\f5\fs24\lang3082\'e1{ndar para comunicaci}\'f3{n con una base de datos relacional. Hoy en d}\'ed{a existe un ANSI base del que parten todos los motores, y customizado seg}\'fa{n el motor en particular, lo que lo h
202 ace un lenguaje d}\'e9{bil y poco portable, a diferencia de LDAP.}}
203 \par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082{\loch\f5\fs24\lang3082\i0\b{{\b Application Server:}}}{\f6\f6{\loch\f5\fs24\lang3082Servidor de aplicaciones Java tales como JSP o Servlets (o los m}}{\loch\f5\fs24\lang3082\'e1{s recientes Portlets). Proveen servicios a nivel portal para aplicaciones tanto de intranet como extranet.}}
204 \par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082{\loch\f5\fs24\lang3082\i0\b{{\b JAVA: }}}{\f6\f6{\loch\f5\fs24\lang3082lenguaje originalmente llamado OAK desarrollado por Sun Microsystems, totalmente orientado a objetos. El mismo es interpretado por una JVM (m}}{\loch\f5\fs24\lang3082\'e1{quina virtual), la cual posee la desvirtud de consumir muchos recursos de la m}\'e1{quina, y a su vez no permite 
205 realizar tareas de bajo nivel, sin utilizar la interfaz de lenguaje nativo.}}
206 \par \pard\plain \ltrpar\s10\cf0{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\rtlch\af1\afs24\lang255\ai\ab\ltrch\dbch\af1\afs24\langfe2058\ai\ab\loch\f5\fs24\lang2058\i\b{\loch\f5\fs24\lang2058\i\b{ Anexo - Detalle de la terminolog}}{\loch\f5\fs24\lang2058\i\b\'ed{a LDAP}}
207 \par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082 {\loch\f5\fs24\lang3082\i0\b0 Este pretende ser un mini resumen acerca de las funcionalidades previstas por el protocolo y algunas definiciones.}
208 \par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082 {\loch\f5\fs24\lang3082\i0\b0 En primer lugar, un directorio es un conjunto de objetos, llamados entries. Cada uno de ellos posee atributos, algunos de ellos mandatorios y otros optativos. Los primeros son necesarios prellenarlos para crear el objeto, los otros puden ser cargados luego
209 s.}
210 \par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082 {\loch\f5\fs24\lang3082\i0\b0 Un atributo puede ser monovaluado (es decir, tener un solo valor) o multivaluado (poseer mucho, primera diferencia con una instancia en una base relacional).}
211 \par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082{\loch\f5\fs24\lang3082\i0\b0{ Cada entry pertenece a una o m}}{\loch\f5\fs24\lang3082\'e1{s clases. Una clase es un conjunto predefinido de atributos, donde se definen adem}\'e1{s si van a ser mandatorios }\'fa{ opcionales. Una clase puede ser estructural o auxiliar. Una clase auxiliar puede ser utilizada por cualquier obje
212 to para incorporar sus atributos. Una clase estructural define al objeto en si.}}
213 \par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082{\loch\f5\fs24\lang3082\i0\b0{ Los objetos est}}{\loch\f5\fs24\lang3082\'e1{n relacionados jer}\'e1{rquicamente entre ellos, y se los accede seg}\'fa{n su jerarqu}\'ed{a en el }\'e1{rbol. Hay muchas formas de definirlos, la m}\'e1{s comun es desde el objeto hacia la ra}\'ed{z. Cada objeto se encuentra dentro de un contexto, y un objeto dentro d
214 el contexto es determinado por un nombre }\'fa{nico dentro del mismo, llamado RDN (Relative Distinguished Name). El RDN junto al contexto del objeto, forman el DN (Distinguished Name), el cual es el nombre distintivo del objeto, no hay manera de que hayan dos o
215 bjetos con DN iguales (los RDN pueden estar repetidos en contextos diferentes).}}
216 \par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082{\loch\f5\fs24\lang3082\i0\b0{ Las operaciones comunes en un directorio, v}}{\loch\f5\fs24\lang3082\'ed{a LDAP son las siguientes:}}
217 \par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082{\loch\f5\fs24\lang3082\i0\b0{ Conexi}}{\loch\f5\fs24\lang3082\'f3{n / Desconexi}\'f3{n: se abre y cierra una conexi}\'f3{n contra el directorio en el puerto donde el mismo est}\'e9{ escuchando.}}
218 \par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082{\loch\f5\fs24\lang3082\i0\b0{ Bind: se toma la conexi}}{\loch\f5\fs24\lang3082\'f3{n impersonificado en uno de los objetos usuario del directorio, present}\'e1{ndole al directorio el DN del mismo y el password. A partir de ese momento, las operaciones que se realicen en el directorio estar}\'e1{n bajo responsabilidad del us
219 uario que ha hecho el bind y por lo tanto bajo los permisos otorgados para dicho usuario.}}
220 \par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082{\loch\f5\fs24\lang3082\i0\b0{ Search: b}}{\loch\f5\fs24\lang3082\'fa{squeda de objetos. Para la misma se debe definir un objeto base (puede ser una hoja o un nodo dentro del }\'e1{rbol), un scope de b}\'fa{squeda (el protocolo establece tres tipos posibles; base }\endash {en el mismo objeto-, un nivel }\endash {el nivel inmediatamente inferi
221 or- y sub}\'e1{rbol }\endash {el sub}\'e1{rbol completo a partir del objeto base-). Finalmente, se permite especificar criterios de b}\'fa{squeda, en notaci}\'f3{n prefija, y los atributos que se desea recuperar de los objetos resultantes. La b}\'fa{squeda puede estar acotada desde el lado
222  del server o del cliente. Si est}\'e1{ acotada en ambos, prevalecer}\'e1{ el n}\'fa{mero seteado en el server.}}
223 \par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082{\loch\f5\fs24\lang3082\i0\b0{ Add: se refiere a la creaci}}{\loch\f5\fs24\lang3082\'f3{n de un nuevo objeto.}}
224 \par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082{\loch\f5\fs24\lang3082\i0\b0{ Modify: se refiere a la modificaci}}{\loch\f5\fs24\lang3082\'f3{n de atributos dentro de un objeto.}}
225 \par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082 {\loch\f5\fs24\lang3082\i0\b0 Rename: se refiere al cambio de RDN del objeto.}
226 \par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082 {\loch\f5\fs24\lang3082\i0\b0 Delete: se refiere al borrado del objeto.}
227 \par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082{\loch\f5\fs24\lang3082\i0\b0{ Compare: se refiere a la comparaci}}{\loch\f5\fs24\lang3082\'f3{n de un atributo contra un valor espec}\'ed{fico.}}
228 \par }