{\f478\fswiss\fcharset162\fprq2 Trebuchet MS Tur;}{\f481\fswiss\fcharset186\fprq2 Trebuchet MS Baltic;}}{\colortbl;\red0\green0\blue0;\red0\green0\blue255;\red0\green255\blue255;\red0\green255\blue0;\red255\green0\blue255;\red255\green0\blue0;\r
-\rsid14887586\rsid15092379\rsid15337653\rsid15409153\rsid15430475\rsid15753411\rsid16085235\rsid16147095\rsid16393822\rsid16399163\rsid16473238\rsid16542367\rsid16583651\rsid16606291\rsid16649806}{\*\generator Microsoft Word 10.0.2627;}{\info\r
-{\title Modelo conceptual de Seguridad}{\author certant}{\operator certant}{\creatim\yr2004\mo1\dy7\hr20\min53}{\revtim\yr2004\mo1\dy14\hr11\min19}{\version113}{\edmins474}{\nofpages8}{\nofwords2882}{\nofchars15857}{\*\company Certant S.A.}\r
+\rsid16583651\rsid16606291\rsid16649806}{\*\generator Microsoft Word 10.0.2627;}{\info{\title Modelo conceptual de Seguridad}{\author certant}{\operator certant}{\creatim\yr2004\mo1\dy7\hr20\min53}{\revtim\yr2004\mo1\dy14\hr12\min58}{\version160}\r
\par Como en breve ser\'e1 descripto, se necesitar\'e1 un servicio de directorio LDAP para el control de autenticaci\'f3n y autorizaci\'f3n }{\f36\fs20\insrsid12866779\charrsid1729289 de los usuarios, }{\f36\fs20\insrsid4207939\charrsid1729289 \r
y el motor de base de datos para el uso propio de la aplicaci\'f3n y futuras aplicaciones que fuesen de necesidad. Para garantizar la continuidad de la operativa diaria, se dispondr\'e1\r
- de dos cluster separados, uno para guardar la base del directorio y otro para guardar la base relacional. }{\f36\fs20\insrsid12866779\charrsid1729289 Ambos clusters deben permanecer \r
-en el NOC de la sede central de modo de mantener centralizado el control de los mismos.}{\f36\fs20\insrsid1861734\charrsid1729289 Al estar clusterizados los dos servicios principales, se dispondr\'e1 de continuidad ya que ante la ca\'ed\r
-da de uno de los nodos, otro de ellos tomar\'e1 el servicio.}{\f36\fs20\insrsid12866779\charrsid1729289 \r
+ de dos cluster separados, uno para guardar la base del directorio y otro para guardar la base relacional. }{\f36\fs20\insrsid12866779\charrsid1729289 Ambos clusters deben permanecer en el NOC de la sede central de modo de mantener centr\r
+alizado el control de los mismos.}{\f36\fs20\insrsid1861734\charrsid1729289 Al estar clusterizados los dos servicios principales, se dispondr\'e1 de continuidad ya que ante la ca\'edda de uno de los nodos, otro de ellos tomar\'e1 el servicio.}{\r
@@ -100,12+103,12 @@ mo almacenar a los usuarios y grupos. A modo de adelanto, los usuarios ser\'e1n
, descrita en el est}{\f36\fs20\insrsid16399163\charrsid1729289 \'e1ndar }{\b\f36\fs20\insrsid16399163\charrsid1729289 X.500}{\f36\fs20\insrsid16399163\charrsid1729289 .}{\f36\fs20\insrsid3891034\charrsid1729289 \r
\par El \'e1rbol tendr\'e1 una estructura jer\'e1rquica, comenzando por una ra\'edz representando a la organizaci\'f3n}{\f36\fs20\insrsid12746594\charrsid1729289 con clase }{\b\f36\fs20\insrsid12746594\charrsid1729289 organization}{\r
-\f36\fs20\insrsid16399163\charrsid1729289 , y luego contenedores de la clase }{\b\f36\fs20\insrsid16399163\charrsid1729289 organizationalUnit}{\f36\fs20\insrsid16399163\charrsid1729289 , cada uno representando un CAP, y \r
-debajo de cada uno de ellos los usuarios de ese CAP. Lo mismo para la Sede Central. }{\f36\fs20\insrsid5274261\charrsid1729289 Luego deber\'e1 haber un contenedor especial para los grupos. Los mismos definiran los roles que tendr\'e1\r
-n los usuarios en la aplicaci\'f3n.}{\f36\fs20\insrsid16399163\charrsid1729289 \r
+\f36\fs20\insrsid16399163\charrsid1729289 , y luego contenedores de la clase }{\b\f36\fs20\insrsid16399163\charrsid1729289 organizationalUnit}{\f36\fs20\insrsid16399163\charrsid1729289 \r
+, cada uno representando un CAP, y debajo de cada uno de ellos los usuarios de ese CAP. Lo mismo para la Sede Central. }{\f36\fs20\insrsid5274261\charrsid1729289 Luego deber\'e1\r
+ haber un contenedor especial para los grupos. Los mismos definiran los roles que tendr\'e1n los usuarios en la aplicaci\'f3n.}{\f36\fs20\insrsid16399163\charrsid1729289 \r
-\par }{\f36\fs20\insrsid13728141\charrsid1729289 El objetivo de usar un \'e1rbol LDAP es que es un servicio distribu\'eddo ideal para mantener }{\f36\fs20\insrsid16583651\charrsid1729289 la informaci\'f3\r
-n de infraestructura, incluyendo usuarios, grupos, servidores y todo tipo de datos de tal \'edndole. El usuario tendr\'e1 almacenados sus datos personales, }{\f36\fs20\insrsid4668982\charrsid1729289 sus credenciales y podr\'e1 ser vinculado a di\r
+\par }{\f36\fs20\insrsid13728141\charrsid1729289 El objetivo de usar un \'e1rbol LDAP es que es un servicio distribu\'eddo ideal para mantener }{\f36\fs20\insrsid16583651\charrsid1729289 la informaci\'f3n de infraestruct\r
+ura, incluyendo usuarios, grupos, servidores y todo tipo de datos de tal \'edndole. El usuario tendr\'e1 almacenados sus datos personales, }{\f36\fs20\insrsid4668982\charrsid1729289 sus credenciales y podr\'e1 ser vinculado a di\r
versos grupos, pudiendo las aplicaciones utilizar estos agrupamientos para poder perfilar a los usuarios. El directorio adem\'e1\r
s permite almacenar un password de diversos modos, inclusive extender la clase propuesta para poder almacenar credenciales del tipo biom\'e9trica, como el iris de ojos o las huellas digitales de los usuarios. Este \'fa\r
ltimo es muy recomendado debido a su gran avance}{\f36\fs20\insrsid2515417\charrsid1729289 en cuanto a tecnolog\'eda se refiere.}{\f36\fs20\insrsid4999623\charrsid1729289 Adicionalmente, el directorio cuenta con la ventaja de separar la aplicaci\'f3\r
@@ -113,7+116,7 @@ n y la administraci\'f3n de empleados de la organizaci\'f3n y sus roles dentro d
-\par }{\f36\fs20\insrsid414882\charrsid1729289 Como se puede ver, el manejo de la seguridad es sencillo y recae en el poder del directorio }{\f36\fs20\insrsid4465047\charrsid1729289 con servicio }{\f36\fs20\insrsid414882\charrsid1729289 LDAP.\r
+\par }{\f36\fs20\insrsid414882\charrsid1729289 Como se puede ver, el manejo de la seguridad es sencillo y recae en el poder del directorio }{\f36\fs20\insrsid4465047\charrsid1729289 con servicio }{\f36\fs20\insrsid414882\charrsid1729289 LDAP.}{\r
+\f36\fs20\insrsid4852736 \r
+\par \r
+\par }{\b\f36\fs20\insrsid4852736 NOTA: }{\f36\fs20\insrsid15610667 En el siguiente modelo, modelo 14 \endash }{\b\f36\fs20\insrsid15610667 implementaci\'f3n de seguridad}{\f36\fs20\insrsid15610667 se detallar\'e1n todos los pasos desde la autenticaci\'f3\r
+n hasta llegar a las acciones propias del usuario, y se presentar\'e1 el DER en l}{\f36\fs20\insrsid11209569 a base de datos relacional y reglas de integridad referencial para implementar este esquema. Este modelo es solamente a nivel descriptivo.}{\r
@@ -2364,7+2372,7 @@ posixAccount, shadowAccountn }{\f36\fs20\insrsid16085235\charrsid1729289 y }{\b\
\par \r
\par La siguiente figura }{\f36\fs20\insrsid12086585\charrsid1729289 esquematiza el dominio logrado y su v\'ednculo al directorio:}{\f36\fs20\insrsid9377159\charrsid1729289 \r
\par De esta manera, los usuarios se podr\'e1n loguear a sus terminales de trabajo y a la aplicaci\'f3n utilizando las mismas credenciales. Se recomienda analizar de incluir un logon script o una herramienta m\'e1\r
-s poderosa de control remoto de terminales para acotar las actividades del usuario dentro de su estaci\'f3n de trabajo.\r
+s poderosa de control remoto de terminales para acotar las actividades del usuario dentro de su estaci\'f3n de trabajo.}{\f36\fs20\insrsid5901293 \r
+\par Hay dos tipos de accesos internos con los que se deben llevar cuentas. Uno de ellos es el grueso y son los afiliados. Otro son los prestadores. Ambos estar\'e1n dentro de un contenedor \'fanico llamado }{\b\f36\fs20\insrsid1857356 externos}{\r
+\f36\fs20\insrsid1857356 al nivel siguiente de la organizaci\'f3n en el \'e1rbol de directorio, }{\f36\fs20\insrsid2756603 y la funcionalidad de los mismos se otorgar\'e1 bajo el mismo esquema que a los usuarios internos de la aplicaci\'f3n. }{\r
+\f36\fs20\insrsid9265807 Esto se explicar\'e1 en detalle en el modelo 14, }{\b\f36\fs20\insrsid9265807 implementaci\'f3n de la seguridad.}{\b\f36\fs20\insrsid1857356\charrsid9265807 \r
\par En relaci\'f3n a esto, tambi\'e9n se deber\'e1n establecer canales SSL para las comunicaciones provenientes desde el exterior. Todos los archivos recibidos por los prestadores deber\'e1n viajar bajo SSL. En este caso se deber\'e1\r
comprar certificados de un CA correspondiente disponible en Inte}{\f36\fs20\insrsid16542367\charrsid1729289 r}{\f36\fs20\insrsid14024822\charrsid1729289 net para garantizar la identidad de los participantes de la transacci\'f3n.}{\r
-\f36\fs20\insrsid541785\charrsid1729289 Los mismos deber\'e1n ser enviados por SFTP o SCP. En el caso de los archivos subidos desde los prestadores y la cl\'ednica, el formato de los documentos depender\'e1n de la operativa necesitada por la aplicaci\'f3\r
-n, pero independientemente de esto, el documento trasmitido deber\'e1 estar concatenado con la firma digital del origen de manera que garantice el no repudiation de la informaci\'f3n enviada, y adicionalmente, todo este paquete deber\'e1\r
- finalizarse con el hash MD5 del conjunto, certificando as\'ed que la inf}{\f36\fs20\insrsid3213315\charrsid1729289 ormaci\'f3n recibida es la que fue enviada desde el origen}{\f36\fs20\insrsid541785\charrsid1729289 .}{\r
-\f36\fs20\insrsid14024822\charrsid1729289 \r
+\f36\fs20\insrsid541785\charrsid1729289 Los mismos deber}{\f36\fs20\insrsid12211601 \'e1n ser enviados por SFTP o SCP.\r
+\par \r
+\par }{\f36\fs20\insrsid541785\charrsid1729289 En el caso de los archivos subidos desde los prestadores y la cl\'ednica, el formato de los documentos depender\'e1n de la operativa necesitada por la aplicaci\'f3n}{\f36\fs20\insrsid12211601 . En es\r
+ta fase inicial los documentos transaccionados son emitidos v\'eda un web service utilizando el est\'e1ndar XML}{\f36\fs20\insrsid9006151 y v\'eda FTP}{\f36\fs20\insrsid15550917 , seg\'fan las interfaces ya pactadas por ambas partes.}{\r
+\f36\fs20\insrsid12211601 \r
+\par \r
+\par En relaci\'f3n al \'faltimo p\'e1rrafo, es importante tener en cuenta que estas transacciones implican un alto impacto entre las partes negociantes, con lo cual se }{\b\f36\fs20\insrsid12211601\charrsid9006151 recomienda}{\f36\fs20\insrsid12211601 que }{\r
+\f36\fs20\insrsid9006151 en el }{\b\f36\fs20\insrsid9006151\charrsid9006151 futuro}{\f36\fs20\insrsid9006151 , se reconsidere que }{\f36\fs20\insrsid541785\charrsid12211601 el}{\f36\fs20\insrsid541785\charrsid1729289 documento trasmitido }{\r
+\f36\fs20\insrsid12211601 sea}{\f36\fs20\insrsid541785\charrsid1729289 concatenado con la firma digital del origen de manera que garantice el }{\b\f36\fs20\insrsid541785\charrsid12211601 no repudiation}{\f36\fs20\insrsid541785\charrsid1729289 \r
+ de la informaci\'f3n enviada, y adicionalmente, todo este paquete deber\'e1 finalizarse con el hash MD5 del conjunto, certificando as\'ed que la inf}{\f36\fs20\insrsid3213315\charrsid1729289 ormaci\'f3n recibida es la que fue enviada desde el origen}{\r
+\f36\fs20\insrsid541785\charrsid1729289 .}{\f36\fs20\insrsid12211601 Esto es s\'f3lo una recomendaci\'f3n a futuro y deber\'e1 ser evaluada por ambas partes como un proyecto aparte.}{\f36\fs20\insrsid14024822\charrsid1729289 \r
-\par }{\f36\fs20\insrsid5915161\charrsid1729289 Para cada CAP deber\'e1 implementarse un firewall de modo que s\'f3lo est\'e9n abiertos los puertos que se utilicen para la aplicaci\'f3n, mail y mensajer\'eda.}{\f36\fs20\insrsid4004064\charrsid1729289 \r
- Visto y considerando el desempe\'f1o y papel que tienen los CAPs, deber\'e1n bloquearse todos los paquetes ICMP ya que no tienen sentido a nivel interno. Deber\'e1n est\'e1\r
+\par }{\f36\fs20\insrsid5915161\charrsid1729289 Para cada CAP deber\'e1 implementarse un firewall de modo que s\'f3lo est\'e9n abiertos los puertos que se utilicen para la aplicaci\'f3n, mail y mensajer\'eda.}{\f36\fs20\insrsid4004064\charrsid1729289 Vist\r
+o y considerando el desempe\'f1o y papel que tienen los CAPs, deber\'e1n bloquearse todos los paquetes ICMP ya que no tienen sentido a nivel interno. Deber\'e1n est\'e1\r
r disponibles a la altura del GateWay para que el administrador local de infraestructura pueda hacer debuggings y }{\f36\fs20\insrsid13179560\charrsid1729289 correcciones en casos de contingencia.}{\f36\fs20\insrsid5915161\charrsid1729289 \r
\par Tambi\'e9n debe est\'e1r debidamente configurado un firewall desde la Sede Central hacia la salida al exterior, permitiendo el paso \'fanico de puertos sobre de nivel aplicativo.}{\f36\fs20\insrsid7540356\charrsid1729289 Se deber\'e1\r
- habilitar exclusivamente la salida a Inteneret para servicios como SMTP y aquellos que necesariamente requieran de la red externa. Asimismo se negociar\'e1 con la parte gerenci\r
-al, ya que por lo general son los que demandan tener conectividad con Internet, y servicios de mensajer\'eda externos.}{\f36\fs20\insrsid8392606\charrsid1729289 \r
+ habilitar exclusivamente la salida a Inteneret para servicios como SMTP y aquellos que necesariamente requieran de la red externa. Asimismo se negociar\'e1\r
+ con la parte gerencial, ya que por lo general son los que demandan tener conectividad con Internet, y servicios de mensajer\'eda externos.}{\f36\fs20\insrsid8392606\charrsid1729289 \r
\par Los WebServers deben est\'e1r detr\'e1s del firewall dentro del NOC de la Sede Central. El mismo est\'e1ra habilitado hacia el exterior para cumplimentar con las transacciones online del cliente. En casos futuros de pasar a un Application Server se deber\r
\'e1 respetar las mismas reglas, reconfigurando el FireWall para que habilitar la entrada y salida hacia el mismo.\r
-\par Dado a que se prevee un alto volumen de tr\'e1fico diario con la base de datos, se establecer\'e1 un backupeo de la base de datos, diariamente y en forma progresiva, los cuales ser\'e1\r
-n pasados a cinta y almacenados en lugares debidamente custodiados, preferentemente bajo llave electr\'f3nica o mediante autenticaci\'f3n biom\'e9trica.\r
+\par Dado a que se prevee un alto volumen de tr\'e1fico diario con la base de datos, se establecer\'e1 un backupeo de la base de datos, diariamente y en forma progresiva, los cuales ser\'e1n pasados a cinta y almacenados en lugares debidamente custod\r
+iados, preferentemente bajo llave electr\'f3nica o mediante autenticaci\'f3n biom\'e9trica.\r
-\par Para el servicio de directorio se bajar\'e1 a un LDIF semanalmente, debido a que el mismo no sufrir\'e1 cambios en el corto plazo.\r
+\par Para el servicio de directorio se bajar\'e1 a un LDIF semanalmente, debido a que el mismo no sufrir\'e1 cambios en el corto plazo.}{\f36\fs20\insrsid12016325 \r
+\par }{\f36\fs20\insrsid6116989 \r
+\par }{\b\f36\fs20\insrsid6116989 NOTA: }{\f36\fs20\insrsid6116989 estos backups son a nivel servidores y no lo referente a la informaci\'f3n que por lo general maneja la base de datos, contemplado en el modelo 05, }{\b\f36\fs20\insrsid6116989 \r
+Modelo de Procesamiento}{\f36\fs20\insrsid6116989 . Estos backups se hacen en forma progresiva y se almacenan en cinta y es el respaldo ante incontingencias y desastre. Solamente en el caso del directorio adicionalmente se guardar\'e1\r
+ el LDIF como se nombr\'f3 recientemente.}{\f36\fs20\insrsid6116989\charrsid6116989 \r
\par }{\b\f36\fs20\insrsid13448394\charrsid1729289 Servers y software de base}{\f36\fs20\insrsid13448394\charrsid1729289 \r
\par \r
\par Se deben activar todos los logs de los servers y software de base utilizado, con un grado moderado de informaci\'f3n adem\'e1s del timestamp de cada evento detectado}{\f36\fs20\insrsid8151511\charrsid1729289 \r
-, e incluyendo de ser posible un owner que haya disparado el evento}{\f36\fs20\insrsid13448394\charrsid1729289 .}{\f36\fs20\insrsid8151511\charrsid1729289 Los mismos deber\'e1n ser backupeados regularmente a i\r
-ntervalos diarios y bajados a cinta, para auditar a futuro en caso de contingencias.}{\f36\fs20\insrsid13502073\charrsid1729289 Es fundamental e indispensable que entre los servicios que logueen se encuentren la base de datos de la aplicaci\'f3\r
-n (para detectar eventos a nivel transacci\'f3n) y el directorio, para detectar intentos de intrusi\'f3n.}{\f36\fs20\insrsid13448394\charrsid1729289 \r
+, e incluyendo de ser posible un owner que haya disparado el evento}{\f36\fs20\insrsid13448394\charrsid1729289 .}{\f36\fs20\insrsid8151511\charrsid1729289 Los mismos deber\'e1n ser backupea\r
+dos regularmente a intervalos diarios y bajados a cinta, para auditar a futuro en caso de contingencias.}{\f36\fs20\insrsid13502073\charrsid1729289 \r
+ Es fundamental e indispensable que entre los servicios que logueen se encuentren la base de datos de la aplicaci\'f3n (para detectar eventos a nivel transacci\'f3n) y el directorio, para detectar intentos de intrusi\'f3n.}{\r
@@ -5799,8+5825,9 @@ n auditarse aquellas operaciones a nivel de negocio, como por ejemplo la anexi\'
\par \r
\par Desde el momento del desarrollo se deber\'e1n tener las precauciones necesarias para evitar ataques comunes. Es obligatorio que en ning\'fa\r
n momento valores introducidos por el usuario sean llevados directamente a la base de datos. Las transacciones con la misma deben estar en una capa superior evitando ataques indirectos a la base de datos, como }{\b\f36\fs20\insrsid3936840\charrsid1729289 \r
-sql injection}{\f36\fs20\insrsid3936840\charrsid1729289 . En el caso de ser absolutamente necesario llevar el contenido de una entrada del usuario a una sentencia sql, la misma deber\'e1 obligatoriamente parsearse con expresiones regulares a\r
- fin de detectar que venga sql embebido en la misma, el cual pudiera ocasionar inclusive hasta el}{\f36\fs20\insrsid1532427\charrsid1729289 borrado de las tablas si se tuvieran los permisos necesarios.}{\f36\fs20\insrsid3936840\charrsid1729289 \r
+sql injection}{\f36\fs20\insrsid3936840\charrsid1729289 . En el caso de ser absolutamente necesario llevar el contenido de una entrada del usuario a una sentencia sql, la misma deber\'e1 obligatoriamente parsearse \r
+con expresiones regulares a fin de detectar que venga sql embebido en la misma, el cual pudiera ocasionar inclusive hasta el}{\f36\fs20\insrsid1532427\charrsid1729289 borrado de las tablas si se tuvieran los permisos necesarios.}{\r
\par Referido a esto \'faltimo, se deber\'e1 prearmar un usuario para el acceso a la base de datos, el cual deba tener restringido el acceso a la misma para hacer operaciones sobre el esquema de la misma. }{\f36\fs20\insrsid5839235\charrsid1729289 \r
El usuario en el cual se impersonificar\'e1 la apliaci\'f3n deber\'e1 tener permiso de lectura sobre las tablas y escritura y update de las mismas, de ning\'fan modo podr\'e1 hacer alteraciones al esquema f\'ed\r
@@ -5809,6+5836,103 @@ sico que compone la base de datos de la aplicaci\'f3n.}{\f36\fs20\insrsid1532427
\par }{\b\f36\fs20\insrsid15409153\charrsid1729289 8 \endash Detecci\'f3n de intrusiones}{\f36\fs20\insrsid15409153\charrsid1729289 \r
\par \r
\par Para respaldar la seguridad de los usuarios, se establece como m\'e1ximo un n\'famero de 3 intentos seguidos de login. Si el cuarto intento es fallido, la aplicaci\'f3n debe lockear la cuenta del usuario v\'eda LDAP e inhabilitar al mismo}{\r
-\f36\fs20\insrsid16649806\charrsid1729289 . S\'f3lo el administrador LDAP deber\'e1 ser capaz de }{\f36\fs20\insrsid5794809\charrsid1729289 rehabilitar y poner online al usuario, y en caso de p\'e9rdida de password, el administrador LDAP deber\'e1\r
- setear un password gen\'e9rico \'93password123\'94 y se requerir\'e1 al usuario que cambie el password en el dominio al reingresar a la estaci\'f3n de trabajo.}{\f36\fs20\insrsid15409153\charrsid1729289 \r
+\f36\fs20\insrsid16649806\charrsid1729289 . S\'f3lo el administrador LDAP deber\'e1 ser capaz de }{\f36\fs20\insrsid5794809\charrsid1729289 rehabilitar y poner online al usuario, y en caso de p\'e9rdida de password, el administrador LDAP deber\'e1 }{\r
+\f36\fs20\insrsid15610667 pisar el password}{\f36\fs20\insrsid5794809\charrsid1729289 y se requerir\'e1 al usuario que cambie el password en el dominio al reingresar a la estaci\'f3n de trabajo.}{\f36\fs20\insrsid15610667 Todo esto se har\'e1\r
+ desde la clase }{\b\f36\fs20\insrsid15610667 inetOrgPerson }{\f36\fs20\insrsid15610667 explicada en el modelo 14 \endash }{\b\f36\fs20\insrsid15610667 implementaci\'f3n de seguridad}{\f36\fs20\insrsid15610667 .}{\f36\fs20\insrsid15409153 \r
+\par }{\f36\fs20\insrsid2509470 \r
+\par }{\b\f36\fs20\insrsid2509470 NOTA: }{\f36\fs20\insrsid2509470 el administrador pisar\'e1 el password del usuario y habilitar\'e1 los flags necesarios para que el dominio exija un ingreso de password para entrar por parte del usuario}{\r
+\f36\fs20\insrsid399688 .}{\f36\fs20\insrsid2234164 Este paso es instant\'e1neo y debe ser instru\'eddo el empleado a realizarlo autom\'e1ticamente al confirmarle el administrador que su password est\'e1 listo para ser llenado. \r
+De la misma manera al ingresar un nuevo usuario se}{\f36\fs20\insrsid6898572 proceder\'e1 de la misma manera.}{\f36\fs20\insrsid159779 El acceso a una terminal f\'edsica por agentes externos se deber\'eda contemplar en una documentaci\'f3\r
+n aparte acerca de seguridad a nivel organizacional}{\f36\fs20\insrsid11882501 , pero de todas formas debe estar garantizado que un extra\'f1o realice un acceso a una terminal propia de la empresa justo en el momento en que su password est\'e1\r
+\par }{\b\f36\fs20\insrsid1713233 9 \endash Glosario de t\'e9rminos para los estandares utilzados\r
+\par }{\b\f36\fs20\insrsid3487533 \r
+\par }{\f36\fs20\insrsid3487533 Si bien todo lo usado}{\f36\fs20\insrsid15990797 en este documento}{\f36\fs20\insrsid3487533 son est\'e1ndares internacionales altamente utilizados a nivel }{\f36\fs20\insrsid14034786 mundial}{\f36\fs20\insrsid3487533 , esta \r
+\'faltima secci\'f3n provee un mini glosario con aquellos t\'e9rminos que puedan resultar de dif\'edcil comprensi\'f3n para el lector.\r
+\par \r
+\par }{\b\f36\fs20\insrsid15291736\charrsid15291736 ISO (Internacional Organization for Standarization):}{\f36\fs20\insrsid15291736\charrsid15291736 organizaci\'f3n mundial cuyo objetivo es la normalizaci}{\f36\fs20\insrsid15291736 \'f3n de un gran n}{\r
+\f36\fs20\insrsid13634640 \'famero de actividades y proced}{\f36\fs20\insrsid15291736 imientos a nivel corporativo, cient\'edfico o de procedimiento.}{\f36\fs20\insrsid3487533 \r
+\par }{\f36\fs20\insrsid9569615 \r
+\par }{\b\f36\fs20\insrsid9569615\charrsid9569615 IETF (Internet Engineer Task Force):}{\f36\fs20\insrsid9569615\charrsid9569615 organizaci\'f3n mundial dedicada a la estandarizaci}{\f36\fs20\insrsid9569615 \'f3n de protocolos de red disponibles p\'fa\r
+blicamente en internet en RFCs.\r
+\par \r
+\par }{\b\f36\fs20\insrsid9569615 RFC (Request for Comments):}{\f36\fs20\insrsid9569615 cada RFC es la definici\'f3n de un protocolo de la IETF donde se incluyen todos los detalles e interfaces de los mismos, los cuales deben ser respetados e\r
+strictamente para mantener compatibilidad en las comunicaciones.}{\insrsid9569615\charrsid9569615 \r
+\par }{\b\f36\fs20\insrsid14888318 ISO 17799:2002 esquema-}{\b\f36\fs20\insrsid13634640 1:}{\b\f36\fs20\insrsid14888318 }{\f36\fs20\insrsid14888318 est\'e1ndar a nivel internacional desarrollado por ISO para tratar la seguridad en tecnolog\'ed\r
+a de la informaci\'f3n. Este estandar es requerido a nivel megacorporativo y normaliza todo el desenvolvimiento relacionado a la informaci\'f3n tanto electr\'f3nica como no electr\'f3nica. Este documento es una versi\'f3\r
+n acotada de los pasos a seguir propuestos por este esquema.}{\f36\fs20\insrsid13634640 \r
+\par }{\f36\fs20\insrsid9569615 \r
+\par }{\b\f36\fs20\insrsid6972927 Directorio }{\b\f36\fs20\insrsid14888318 X.500:}{\f36\fs20\insrsid6972927 se cita la definici\'f3n provista por la }{\b\f36\fs20\insrsid6972927\charrsid13321135 Universidad de Murcia}{\b\f36\fs20\insrsid13321135 , Espa\'f1a}{\r
+\f36\fs20\insrsid6972927 acerca de este est\'e1ndar \'93}{\i\f36\fs20\cf1\insrsid6972927\charrsid6972927 X.500 como normativa nace como un intento de impulsar la construcci\'f3n de un servicio de }{\b\i\f36\fs20\cf1\insrsid6972927\charrsid6972927 \r
+Directorio a nivel mundial}{\i\f36\fs20\cf1\insrsid6972927\charrsid6972927 , }{\b\i\f36\fs20\cf1\insrsid6972927\charrsid6972927 totalmente distribuido}{\i\f36\fs20\cf1\insrsid6972927\charrsid6972927 para proporcionar servicio tanto a personas como a m\r
+\'e1quinas. La normativa ha sido desarrollada conjuntamente por ISO y el CCITT, dando lugar en 1988 a la primera serie de recomendaciones}{\f36\fs20\insrsid6972927 \'94. En resumen, es una base de datos jer\'e1\r
+rquica con interfaces de acceso bien definidas y estrictas.}{\f36\fs20\insrsid14888318 \r
+\par }{\b\f36\fs20\insrsid7110522 \r
+\par }{\b\f36\fs20\insrsid9569615 DAP (Directory Access Protocol)}{\f36\fs20\insrsid9569615 : es parte del est\'e1ndar X.500 y define una de las interfaces con el directorio.\r
+\par \r
+\par }{\b\f36\fs20\insrsid7110522\charrsid7110522 LDAP (Lightway Directory Access Protocol):}{\f36\fs20\insrsid7110522\charrsid7110522 es el est\'e1ndar usado hoy en d}{\f36\fs20\insrsid7110522 \'eda para el acceso a directorios X.500. \r
+En un primer momento se utilizaba DAP pero se realiz\'f3 un acotamiento del mismo protocolo rest\'e1ndole complejidad poco o nunca utilizada, resultando este protocolo que se define en las RFC de la IETF citadas al comienzo del documento.}{\r
+\f36\fs20\insrsid9569615 \r
+\par }{\f36\fs20\insrsid7110522 \r
+\par }{\b\f36\fs20\insrsid7110522 LDAP URI: }{\f36\fs20\insrsid7110522 protocolo de acceso a directorio v\'eda una URL, descrita en una RFC de la IETF.\r
+\par \r
+\par }{\b\f36\fs20\insrsid7110522 LDIF:}{\f36\fs20\insrsid7110522 est\'e1ndar de serializaci\'f3n de los objetos del directorio, tambipen descrito en una RFC de la IETF. \r
+Mediante este protocolo se pueden tener objetos serializados. Adicionalmente, establece una interfaz con el directorio tanto para exportar como para importar archivos de este tipo, facilitando backups de la base, y generaci\'f3n de multiples objetos.\r
+\r
+\par }{\f36\fs20\insrsid13832870 \r
+\par }{\b\f36\fs20\insrsid13832870 TCP:}{\f36\fs20\insrsid13832870 protocolo de transporte. Es parte de la pila TCP/IP y se ubica en la capa de transporte. Su objetivo es garantizar la transmisi\'f3n de la informaci\'f3n y garantizar que la mis\r
+ma llegue a las capas superiores en el orden en que fue mandada.\r
+\par }{\f36\fs20\insrsid4129201 \r
+\par }{\b\f36\fs20\insrsid4129201 Puerto TCP:}{\f36\fs20\insrsid4129201 es el punto de acceso al servicio (SAP) de las capas superiores (aplicaci\'f3n, presentaci\'f3n y sesi\'f3n)}{\f36\fs20\insrsid134355 . Las aplicaciones que se comunican a trav\'e9\r
+s de la red deber\'e1n establecer un n\'famero llamado puerto tanto de origen como destino, de modo de que el protocolo TCP pueda trabajar para m\'faltiples aplicaciones simult\'e1neamente.}{\f36\fs20\insrsid4129201 \r
+\par }{\f36\fs20\insrsid4331610 \r
+\par }{\b\f36\fs20\insrsid4331610 SSL (Secure Socket Layer):}{\f36\fs20\insrsid4331610 protocolo para trasmisi\'f3n de informci\'f3n en modo seguro a trav\'e9s de una red, desarrollado por Netscape. El mismo descansa sobre TCP, y utiliza certificados clave p\r
+\'fablica/privada para realizar una transmisi\'f3n encriptada sobre un canal.\r
+\par }{\f36\fs20\insrsid5843346 \r
+\par }{\b\f36\fs20\insrsid5843346\charrsid5843346 SFTP (Secure File Transfer Protocol):}{\f36\fs20\insrsid5843346\charrsid5843346 protocolo utilizado principalmente para hacer subida y bajada de archivos entre m}{\f36\fs20\insrsid5843346 \'e1quinas remotas. \r
+Es FTP resposando sobre una capa SSL.\r
+\par \r
+\par }{\b\f36\fs20\insrsid2427553 SSH (Secure Shell):}{\f36\fs20\insrsid2427553 protocolo reemplazante del RLogin el cual reposa sobre una transmisi\'f3n encriptada mediante certificados correspondientes.\r
+\par }{\b\f36\fs20\insrsid5843346 SCP (Secure Copy):}{\f36\fs20\insrsid5843346 }{\f36\fs20\insrsid2427553 protocolo que reposa sobre SSH para realizar subida y bajada de archivos entre terminales remotas, encriptando la informaci\'f3n que viaja por la red.}{\r
+\f36\fs20\insrsid5843346 \r
+\par }{\f36\fs20\insrsid7028339 \r
+\par }{\b\f36\fs20\insrsid7028339\charrsid7028339 NOC (Networt Operat}{\b\f36\fs20\insrsid7028339 ion}{\b\f36\fs20\insrsid7028339\charrsid7028339 Center):}{\f36\fs20\insrsid7028339\charrsid7028339 lugar f\'ed\r
+sico donde residen servidores y dispositivos de networking de capa 1 a la 3, enfocados primordialmente en mantener la infraestructura de red de una o varias organizaciones, y en menor grado el funcionamiento de servicios. }{\f36\fs20\insrsid7028339 \r
+Si priman servers de informaci\'f3n sobre los dispositivos de networking suele llamarse DataCenter.\r
+\par \r
+\par }{\b\f36\fs20\insrsid7028339 RACK:}{\f36\fs20\insrsid7028339 proveniente del ingl\'e9s, d\'edcese del armario donde residen diversos dispositivos de networking como servers, switches, hubs y routers.}{\f36\fs20\insrsid6835280 Los mismos vienen constru\r
+\'eddos para tales fines y los dispositivos proveen soportes estandarizados para poder ser apilados en los mismos.}{\f36\fs20\insrsid7028339 \r
+\par }{\f36\fs20\insrsid6835280 \r
+\par }{\b\f36\fs20\insrsid5141986 SMB/CIFS:}{\f36\fs20\insrsid5141986 protocolo utilizado para el compartimiento de recursos para grupos de trabajo, proveyendo reglas como autenticaci\'f3n y autorizaci\'f3n a recursos.}{\r
+\f36\fs20\insrsid5141986\charrsid5141986 \r
+\par }{\f36\fs20\insrsid5141986 \r
+\par }{\b\f36\fs20\insrsid5141986 PDC:}{\f36\fs20\insrsid5141986 siglas de Primary Domain Controler. Es el server que se encarga de realizar la autenticaci\'f3n y autenticaci\'f3n en un dominio SMB.\r
+\par }{\b\f36\fs20\insrsid5141986 \r
+\par BDC: }{\f36\fs20\insrsid5141986 realiza el mismo trabajo que el server PDC, pero a nivel secundario, es decir, retoma su actividad en caso de detectar que sa crasheado el PDC.\r
+\par }{\f36\fs20\insrsid11952951 \r
+\par }{\b\f36\fs20\insrsid11952951 Encriptaci\'f3n LanManager: }{\f36\fs20\insrsid11952951 se toma el password del usuario y se lo trunca a 14 bytes (o se lo rellena si no llega a esta cantidad). \r
+Con estos 14 bytes se encripta 3 veces un string predefinido de 8 bytes utilizando el algoritmo DES.\r
+\par \r
+\par }{\b\f36\fs20\insrsid11952951 Encriptaci\'f3n NT:}{\f36\fs20\insrsid11952951 se toma el password del usuario, se lo convierte a unicode y se le aplica un hash MD4. Muy f\'e1cil de romper.\r
+\par \r
+\par }{\b\f36\fs20\insrsid4142855 ISP (Internet Service Provider):}{\f36\fs20\insrsid4142855 compa\'f1\'eda proveedora de enlaces corporativos y/o hogare\'f1os para conectividad a internet o propia.\r
+\par }{\f36\fs20\insrsid12609816 \r
+\par }{\b\f36\fs20\insrsid12609816\charrsid12609816 SMTP (Simple Mail Transfer Protocol):}{\f36\fs20\insrsid12609816\charrsid12609816 protocolo para el env}{\f36\fs20\insrsid12609816 \'edo de mensajer\'eda (llamado t\'edpicamente \lquote e-mail\rquote \r
+) a trav\'e9s de una red. Es RFC en la IETF.\r
+\par \r
+\par }{\b\f36\fs20\insrsid12609816 No repudiation:}{\f36\fs20\insrsid12609816 metodolog\'eda a nivel electr\'f3nico que garantiza que una actividad o documento ejecutada por una entidad (individuo, corporaci\'f3n, etc), no puede ser refutada por la misma.\r
+\r
+\par }{\f36\fs20\insrsid15676277 \r
+\par }{\b\f36\fs20\insrsid15676277 SQL (Structured Query Language):}{\f36\fs20\insrsid15676277 desarrollado originalmente por IBM, es un est\'e1ndar para comunicaci\'f3n con una base de datos relacional. Hoy en d\'ed\r
+a existe un ANSI base del que parten todos los motores, y customizado seg\'fan el motor en particular, lo que lo hace un lenguaje d\'e9bil y poco portable}{\f36\fs20\insrsid10317879 , a diferencia de LDAP.}{\f36\fs20\insrsid15676277 \r
+\par }{\f36\fs20\insrsid4788410 \r
+\par }{\b\f36\fs20\insrsid4788410 Application Server:}{\f36\fs20\insrsid4788410 Servidor de aplicaciones Java tales como JSP o Servlets (o los m\'e1s recientes Portlets). Proveen servicios a nivel portal para aplicaciones tanto de intrnet como extranet.\r
+\r
+\par \r
+\par }{\b\f36\fs20\insrsid4788410 JAVA:}{\f36\fs20\insrsid4788410 lenguaje originalmente llamado OAK desarrollado por Sun}{\f36\fs20\insrsid11357291 Microsystems, }{\f36\fs20\insrsid4669306 totalmente orientado a objetos. \r
+El mismo es interpretado por una JVM (m\'e1quina virtual), la cual posee la desvirtud de consumir muchos recursos de la m\'e1quina, y a su vez no permite realizar tareas de bajo nivel}{\f36\fs20\insrsid12782548 \r
+, sin utilizar la interfaz de lenguaje nativo.}{\insrsid4788410\charrsid4788410 \r