X-Git-Url: https://git.llucax.com/z.facultad/75.10/miklolife.git/blobdiff_plain/ce3321723465c35bee75e6f997d3dd11c38536a9..bb68ceeb26d49b333525e8592fe36228430ed426:/carpeta/Documentacion/Modelo13/mo13%20-%20Conceptos%20de%20seguridad.rtf diff --git a/carpeta/Documentacion/Modelo13/mo13 - Conceptos de seguridad.rtf b/carpeta/Documentacion/Modelo13/mo13 - Conceptos de seguridad.rtf index 3d95dc2..6d875ad 100644 --- a/carpeta/Documentacion/Modelo13/mo13 - Conceptos de seguridad.rtf +++ b/carpeta/Documentacion/Modelo13/mo13 - Conceptos de seguridad.rtf @@ -1,203 +1,228 @@ {\rtf1\ansi\deff1\adeflang1025 -{\fonttbl{\f0\froman\fprq2\fcharset0 Times New Roman;}{\f1\froman\fprq2\fcharset0 Times New Roman;}{\f2\fswiss\fprq2\fcharset0 Trebuchet MS{\*\falt Desyrel};}{\f3\fswiss\fprq2\fcharset0 Arial;}{\f4\fnil\fprq0\fcharset0 Arial;}{\f5\froman\fprq2\fcharset0 Times New Roman;}{\f6\fnil\fprq2\fcharset0 HG Mincho Light J{\*\falt MS Mincho};}{\f7\fnil\fprq0\fcharset0 Tahoma{\*\falt Lucidasans};}{\f8\fnil\fprq2\fcharset0 Tahoma{\*\falt Lucidasans};}} +{\fonttbl{\f0\froman\fprq2\fcharset0 Times New Roman;}{\f1\froman\fprq2\fcharset0 Times New Roman;}{\f2\fswiss\fprq2\fcharset1 Arial;}{\f3\froman\fprq2\fcharset0 Times New Roman;}{\f4\fnil\fprq0\fcharset0 Arial;}{\f5\fswiss\fprq2\fcharset1 Arial;}{\f6\fswiss\fprq2\fcharset0 Arial;}{\f7\fnil\fprq0\fcharset0 Tahoma{\*\falt Lucidasans};}} {\colortbl;\red0\green0\blue0;\red128\green128\blue128;} -{\stylesheet{\s1\cf0{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\rtlch\af1\afs24\lang255\ltrch\dbch\af1\afs24\langfe3082\loch\f1\fs24\lang3082\snext1 Predeterminado;} -{\s2\sb170\sa119\qj\rtlch\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f3\fs24\lang1033\sbasedon1\snext2 Cuerpo de texto;} -{\s3\cf0{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\rtlch\af7\afs24\lang255\ltrch\dbch\af1\afs24\langfe255\loch\f4\fs24\lang1033\sbasedon2\snext3 Lista;} -{\s4\sb120\sa120\rtlch\af7\afs20\lang255\ai\ltrch\dbch\afs20\langfe255\ai\loch\f4\fs20\lang1033\i\sbasedon1\snext4 Etiqueta;} -{\s5\rtlch\af7\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f4\fs24\lang1033\sbasedon1\snext5 \'cdndice;} -{\s6\aspalpha\rtlch\afs24\lang255\ltrch\dbch\afs24\langfe2058\loch\fs24\lang2058\sbasedon1\snext6 Normal;} -{\s7\cf0\tqc\tx4419\tqr\tx8838{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\rtlch\af1\afs24\lang255\ltrch\dbch\af1\afs24\langfe3082\loch\f1\fs24\lang3082\sbasedon6\snext7 header;} -{\s8\cf0\tqc\tx4419\tqr\tx8838{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\rtlch\af1\afs24\lang255\ltrch\dbch\af1\afs24\langfe3082\loch\f1\fs24\lang3082\sbasedon6\snext8 footer;} -{\s9\tqc\tx4818\tqr\tx9637\rtlch\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\fs24\lang1033\sbasedon1\snext9 Pie de p\'e1gina;} -{\s10\sb240\sa120\keepn\rtlch\af8\afs28\lang255\ltrch\dbch\af6\afs28\langfe255\loch\f3\fs28\lang1033\sbasedon1\snext2 Encabezado;} -{\s11\cf0{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\rtlch\afs24\lang255\ai\ab\ltrch\dbch\afs24\langfe255\ai\ab\loch\fs24\lang1033\i\b\sbasedon10\snext2{\*\soutlvl1} Encabezado 2;} -{\s12\cf0{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\rtlch\afs24\lang255\ab\ltrch\dbch\afs24\langfe255\ab\loch\fs24\lang1033\b\sbasedon10\snext2{\*\soutlvl2} Encabezado 3;} -{\s13\li283\ri0\lin283\rin0\fi0\cf0{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\rtlch\af1\afs24\lang255\ltrch\dbch\af1\afs24\langfe255\loch\fs24\lang1033\sbasedon2\snext13 Cuerpo de texto con sangr\'eda;} -{\*\cs15\rtlch\afs24\lang255\ltrch\dbch\afs24\langfe3082\loch\fs24\lang3082\sbasedon16 Default Paragraph Font;} -{\*\cs16\cf0\rtlch\af1\afs24\lang255\ltrch\dbch\af1\afs24\langfe2058\loch\f1\fs24\lang2058 Normal;} +{\stylesheet{\s1\rtlch\afs24\lang255\ltrch\dbch\afs24\langfe3082\loch\f2\fs24\lang3082\snext1 Predeterminado;} +{\s2\sb170\sa119\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f2\fs24\lang1033\sbasedon1\snext2 Cuerpo de texto;} +{\s3\cf0{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\rtlch\af7\afs24\lang255\ltrch\dbch\afs24\langfe2058\loch\f4\fs24\lang2058\sbasedon2\snext3 Lista;} +{\s4\sb120\sa120\cf0{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\rtlch\af1\afs20\lang255\ai\ltrch\dbch\afs20\langfe255\ai\loch\fs20\lang1033\i\sbasedon1\snext4 Etiqueta;} +{\s5\cf0{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\fs24\lang1033\sbasedon1\snext5 \'cdndice;} +{\s6\cf0{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\rtlch\af1\afs24\lang255\ltrch\dbch\af1\afs24\langfe2058\loch\f1\fs24\lang2058\sbasedon1\snext6 Normal;} +{\s7\cf0{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe2058\loch\fs24\lang2058\sbasedon2\snext7 List;} +{\s8\sb240\sa120\keepn\cf0{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\rtlch\af1\afs28\lang255\ltrch\dbch\afs28\langfe255\loch\fs28\lang1033\sbasedon1\snext2 header;} +{\s9\cf0\tqc\tx4818\tqr\tx9637{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\rtlch\af1\afs24\lang255\ltrch\dbch\af1\afs24\langfe255\loch\f1\fs24\lang1033\sbasedon1\snext9 footer;} +{\s10\cf0{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\rtlch\af1\afs24\lang255\ai\ab\ltrch\dbch\af1\afs24\langfe2058\ai\ab\loch\f1\fs24\lang2058\i\b\sbasedon8\snext2 Encabezado 2;} +{\s11\cf0{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\rtlch\af1\afs24\lang255\ab\ltrch\dbch\af1\afs24\langfe2058\ab\loch\f1\fs24\lang2058\b\sbasedon8\snext2 Encabezado 3;} +{\s12\li283\ri0\lin283\rin0\fi0\cf0{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\rtlch\af1\afs24\lang255\ltrch\dbch\af1\afs24\langfe2058\loch\f1\fs24\lang2058\sbasedon2\snext12 Cuerpo de texto con sangr\'eda;} +{\s13\cf0{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\rtlch\af1\afs24\lang255\ltrch\dbch\af1\afs24\langfe255\loch\f1\fs24\lang1033\sbasedon2\snext13 Contenido del marco;} +{\*\cs15\cf0\rtlch\af1\afs24\lang255\ltrch\dbch\af1\afs24\langfe255\loch\f1\fs24\lang1033\sbasedon16 Default Paragraph Font;} +{\*\cs16\rtlch\afs24\lang255\ltrch\dbch\afs24\langfe2058\loch\fs24\lang2058 Normal;} {\*\cs17\cf0\rtlch\af1\afs24\lang255\ltrch\dbch\af1\afs24\langfe255\loch\f1\fs24\lang1033\sbasedon15 page number;} } {\info{\comment StarWriter}{\vern6450}}\deftab708 {\*\pgdsctbl {\pgdsc0\pgdscuse195\pgwsxn12240\pghsxn15840\marglsxn1701\margrsxn1701\margtsxn1417\margbsxn708\pgdscnxt0 Predeterminado;}} {\*\pgdscno0}\paperh15840\paperw12240\margl1701\margr1701\margt1417\margb708\sectd\sbknone\pgwsxn12240\pghsxn15840\marglsxn1701\margrsxn1701\margtsxn1417\margbsxn708\ftnbj\ftnstart1\ftnrstcont\ftnnar\aenddoc\aftnrstcont\aftnstart1\aftnnrlc -\pard\plain \ltrpar\s2\qj\sb170\sa119\rtlch\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f3\fs24\lang3082 {\loch\f3\fs24\lang3082\i0\b0 El presente documento estipula a modo conceptual los requisitos necesarios para cumplir con el negocio y asegurar el correcto tratamiento de la informaci\'f3n. El objetivo primario es garantizar la continuidad comercial, y defender la informaci\'f3n ante una amp -lia gama de amenazas, minimizando el da\'f1o a la misma y maximizando el retorno sobre inversiones y oportunidades.} -\par \pard\plain \ltrpar\s2\qj\sb170\sa119\rtlch\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f3\fs24\lang3082 {\loch\f3\fs24\lang3082\i0\b0 El esquema presentado es un lineamiento acotado del esquema 1 de la normativa {\b ISO 17799:2002} el cual es el est\'e1ndar internacional sobre seguridad en tecnolog\'eda de la informaci\'f3n, adecuando el mismo al dominio de la presente aplicaci\'f3n y extendiendo a la in -fraestructura de la corporaci\'f3n Obra Social Asistencia M\'e9dica Miklolife. Adicionalmente se utilizar\'e1n otros est\'e1ndares, muchos de ellos obtenidos de RFCs de la {\b IETF}, los cuales, en el momento de ser utilizados, se har\'e1 referencia al n\'famero de los mismos.} -\par \pard\plain \sb240\sa120\keepn\f3\fs28\lang3082\i\b\f3\i\b\f3\i\b \ltrpar\s11\cf0{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb240\sa120\keepn\ql\rtlch\af3\afs24\lang255\ai\ab\ltrch\dbch\af3\afs24\langfe255\ai\ab\loch\f3\fs28\lang3082\i\b {\loch\f3\fs28\lang3082\i\b Introducci\'f3n \endash Conceptos B\'e1sicos} -\par \pard\plain \ltrpar\s2\qj\sb170\sa119\rtlch\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f3\fs24\lang3082 {\loch\f3\fs24\lang3082\i0\b0 El t\'e9rmino de seguridad en este contexto se referir\'e1 a la preservaci\'f3n de las siguientes tres caracter\'edsticas fundamentales:} -\par \pard\plain \ltrpar\s2\qj\sb170\sa119\rtlch\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f3\fs24\lang3082{\loch\f3\fs24\lang3082\i0\b{\b A-Confidencialidad}}{\loch\f3\fs24\lang3082: la informaci\'f3n deber\'e1 ser accesible s\'f3lo a aquellas personas autorizadas a tener acceso a la misma.} -\par \pard\plain \ltrpar\s2\qj\sb170\sa119\rtlch\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f3\fs24\lang3082{\loch\f3\fs24\lang3082\i0\b{\b B-Integridad}}{\loch\f3\fs24\lang3082: se debe mantener la exactitud y totalidad de la informaci\'f3n y los m\'e9todos de procesamiento.} -\par \pard\plain \ltrpar\s2\qj\sb170\sa119\rtlch\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f3\fs24\lang3082{\loch\f3\fs24\lang3082\i0\b{\b C-Disponibilidad}}{\loch\f3\fs24\lang3082: los usuarios autorizados al acceso a la informaci\'f3n y sus recursos relacionados deben poder acceder a ellos en {\ul todo} momento en que sea requerido.} -\par \pard\plain \ltrpar\s2\qj\sb170\sa119\rtlch\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f3\fs24\lang3082 {\loch\f3\fs24\lang3082\i0\b0 En cuanto a la operativa diara de los usuarios frente a sus tareas, se manejar\'e1n dos t\'e9rminos clave:} -\par \pard\plain \ltrpar\s2\qj\sb170\sa119\rtlch\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f3\fs24\lang3082{\loch\f3\fs24\lang3082\i0\b{\b A-Autenticaci\'f3n}}{\loch\f3\fs24\lang3082: se refiere a la fase en que se valida la identidad del usuario.} -\par \pard\plain \ltrpar\s2\qj\sb170\sa119\rtlch\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f3\fs24\lang3082{\loch\f3\fs24\lang3082\i0\b{\b B-Autorizaci\'f3n}}{\loch\f3\fs24\lang3082: se refiere a las actividades permitidas para el usuario, una vez autenticado.} -\par \pard\plain \ltrpar\s2\qj\sb170\sa119\rtlch\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f3\fs24\lang3082 {\loch\f3\fs24\lang3082\i0\b0 La presente documentaci\'f3n es un delineamiento de c\'f3mo ser\'e1 implementada la infraestructura y la aplicaci\'f3n de gesti\'f3n para respetar estos conceptos y asegurarse de que sean cumplimentados de la manera acordada.} -\par \pard\plain \ltrpar\s6\qj\aspalpha\rtlch\af2\afs20\lang255\ltrch\dbch\af2\afs20\langfe2058\loch\f2\fs20\lang2058 -\par \pard\plain \sb240\sa120\keepn\f3\fs28\lang3082\i\b\f3\i\b\f3\i\b \ltrpar\s11\cf0{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb240\sa120\keepn\ql\rtlch\af3\afs24\lang255\ai\ab\ltrch\dbch\af3\afs24\langfe255\ai\ab\loch\f3\fs28\lang3082\i\b {\loch\f3\fs28\lang3082\i\b Infraestructura F\'edsica} -\par \pard\plain \ltrpar\s2\qj\sb170\sa119\rtlch\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f3\fs24\lang3082 {\loch\f3\fs24\lang3082\i0\b0 Bajo este t\'f3pico se describir\'e1 como deber\'e1 establecerse la infraestructura f\'edsica de la corporaci\'f3n debido a la arquitectura remitida en el an\'e1lisis de la aplicaci\'f3n, haci\'e9ndola extensiva para el futuro anexo de nuevas aplicaciones complementarias a la ges -ti\'f3n de Afiliados, Coberturas, Planes, Autorizaciones, Prestadores y Prestaciones.} -\par \pard\plain \ltrpar\s2\qj\sb170\sa119\rtlch\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f3\fs24\lang3082 {\loch\f3\fs24\lang3082\i0\b0 La empresa cuenta con una sede central y numerosos CAP distribu\'eddos en todo el pa\'eds. Para implementar un esquema de infraestructura f\'edsica, el n\'facleo de procesamiento deber\'e1 incorporarse en la sede central de la obra social manteniendo la carga pesada del -procesamiento de la informaci\'f3n, rest\'e1ndole a los CAP la infraestructura m\'ednima para mantener cont\'ednuo el enlace hacia la sede central, y a su vez protegido contra intentos de intrusi\'f3n y violaci\'f3n de la informaci\'f3n.} -\par \pard\plain \ltrpar\s2\qj\sb170\sa119\rtlch\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f3\fs24\lang3082 {\loch\f3\fs24\lang3082\i0\b0 En sede central deber\'e1 implementarse un NOC donde ser\'e1n ubicadas todos los servidores y dispositivos de networking necesarios para distribuir la aplicaci\'f3n a trav\'e9s de los CAPs, y en cada uno de \'e9stos \'faltimos se deber\'e1n incorporar racks con el equipamiento - necesario para la accesibilidad al enlace y la protecci\'f3n del mismo ante amenazas a la seguridad.} -\par \pard\plain \ltrpar\s2\qj\sb170\sa119\rtlch\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f3\fs24\lang3082 {\loch\f3\fs24\lang3082\i0\b0 Para el primer caso, se dispondr\'e1 de una sala propia. La misma deber\'e1 mantener los equipos debidamente instalados sobre racks. Deber\'e1 tener techo, piso y paredes falsas por los que deber\'e1 pasar el cableado debidamente canalizado. Adicionalmente deber\'e1 mant -enerse la temperatura de la misma entre 10 y 15 grados Celsius con el objeto de mantener la temperatura de las m\'e1quinas. Las paredes, techo y piso reales deben estar preparadas para desastres f\'edsicos como fuego o inundaci\'f3n. El acceso debe estar bloqueado -con cerraduras electr\'f3nicas, y activadas mediante un c\'f3digo num\'e9rico o una placa magn\'e9tica, y toda persona ajena debe ser escoltado al mismo (recordar que es el centro neur\'e1lgico del negocio).} -\par \pard\plain \ltrpar\s2\qj\sb170\sa119\rtlch\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f3\fs24\lang3082 {\loch\f3\fs24\lang3082\i0\b0 En el caso de cada CAP, deber\'e1 contar con un rack con los dispositivos de networking y servers necesarios para mantener el enlace, debidamente custodiados bajo llave, de donde saldr\'e1n las bocas hacia todos los puestos de trabajo.} -\par \pard\plain \ltrpar\s2\qj\sb170\sa119\rtlch\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f3\fs24\lang3082 {\loch\f3\fs24\lang3082\i0\b0 Como en breve ser\'e1 descripto, se necesitar\'e1 un servicio de directorio LDAP para el control de autenticaci\'f3n y autorizaci\'f3n de los usuarios, y el motor de base de datos para el uso propio de la aplicaci\'f3n y futuras aplicaciones que fuesen de necesidad. Para - garantizar la continuidad de la operativa diaria, se dispondr\'e1 de dos cluster separados, uno para guardar la base del directorio y otro para guardar la base relacional. Ambos clusters deben permanecer en el NOC de la sede central de modo de mantener centr -alizado el control de los mismos. Al estar clusterizados los dos servicios principales, se dispondr\'e1 de continuidad ya que ante la ca\'edda de uno de los nodos, otro de ellos tomar\'e1 el servicio.} -\par \pard\plain \sb240\sa120\keepn\f3\fs28\lang3082\i\b\f3\i\b\f3\i\b \ltrpar\s11\cf0{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb240\sa120\keepn\ql\rtlch\af3\afs24\lang255\ai\ab\ltrch\dbch\af3\afs24\langfe255\ai\ab\loch\f3\fs28\lang3082\i\b {\loch\f3\fs28\lang3082\i\b Infraestructura L\'f3gica} -\par \pard\plain \ltrpar\s2\qj\sb170\sa119\rtlch\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f3\fs24\lang3082 {\loch\f3\fs24\lang3082\i0\b0 En esta secci\'f3n se describir\'e1 la infraestructura l\'f3gica a implementarse en la organizaci\'f3n y particularmente en la aplicaci\'f3n. Para comenzar, se tratar\'e1 la manera de organizar y estructurar a todos los usuarios desde el punto de vista de empleados de la fi -rma, y como vincularlos hacia la aplicaci\'f3n.} -\par \pard\plain \sb240\sa120\keepn\f3\fs28\lang3082\b\f3\b\f3\b \ltrpar\s12\cf0{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb240\sa120\keepn\ql\rtlch\af3\afs24\lang255\ab\ltrch\dbch\af3\afs24\langfe255\ab\loch\f3\fs28\lang3082\b {\loch\f3\fs28\lang3082\i0\b Infraestructura de usuarios, y grupos y perfil en base a roles} -\par \pard\plain \ltrpar\s2\qj\sb170\sa119\rtlch\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f3\fs24\lang3082 {\loch\f3\fs24\lang3082\i0\b0 Los usuarios de la organizaci\'f3n ser\'e1n almacenados en una base de datos jer\'e1rquica del tipo ISO X.500, con un servicio LDAP, en su versi\'f3n 3 del protocolo, full compliant con las {\b RFC 3377, 2251, 2252, 2253, 2254, 2256, 2829-2830} (las dos \'faltimas para la aut -enticaci\'f3n). El servicio debe estar clusterizado como anteriormente se mencion\'f3, y la conexi\'f3n al mismo debe ser v\'eda SSL. No deber\'e1 permanecer abierto el puerto TCP est\'e1ndar 389 para comunicaciones por texto plano. El puerto abierto ser\'e1 el est\'e1ndar para c -omunicaci\'f3n LDAP sobre SSL que es el 636 y toda comunicaci\'f3n se utilizar\'e1 mediante querys LDAP. La base del directorio deber\'e1 bajarse a un archivo plano LDIF semanalmente e ir almacenando las copias de resguardo en cinta en modo progresivo con el motivo de - poder hacer una restauraci\'f3n ante una situaci\'f3n de desastre.} -\par \pard\plain \ltrpar\s2\qj\sb170\sa119\rtlch\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f3\fs24\lang3082 {\loch\f3\fs24\lang3082\i0\b0 En el siguiente modelo se describir\'e1 en exactitud la implementaci\'f3n del directorio y c\'f3mo almacenar a los usuarios y grupos. A modo de adelanto, los usuarios ser\'e1n entries de la clase {\b inetOrgPerson} descrita en la {\b RFC 2798} y para los grupos, entries del tip -o {\b groupOfUniqueNames}, descrita en el est\'e1ndar {\b X.500}.} -\par \pard\plain \ltrpar\s2\qj\sb170\sa119\rtlch\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f3\fs24\lang3082 {\loch\f3\fs24\lang3082\i0\b0 El \'e1rbol tendr\'e1 una estructura jer\'e1rquica, comenzando por una ra\'edz representando a la organizaci\'f3n con clase {\b organization}, y luego contenedores de la clase {\b organizationalUnit}, cada uno representando un CAP, y debajo de cada uno de ellos los usuarios de ese - CAP. Lo mismo para la Sede Central. Luego deber\'e1 haber un contenedor especial para los grupos. Los mismos definiran los roles que tendr\'e1n los usuarios en la aplicaci\'f3n.} -\par \pard\plain \ltrpar\s2\qj\sb170\sa119\rtlch\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f3\fs24\lang3082 {\loch\f3\fs24\lang3082\i0\b0 El objetivo de usar un \'e1rbol LDAP es que es un servicio distribu\'eddo ideal para mantener la informaci\'f3n de infraestructura, incluyendo usuarios, grupos, servidores y todo tipo de datos de tal \'edndole. El usuario tendr\'e1 almacenados sus datos personales, sus c -redenciales y podr\'e1 ser vinculado a diversos grupos, pudiendo las aplicaciones utilizar estos agrupamientos para poder perfilar a los usuarios. El directorio adem\'e1s permite almacenar un password de diversos modos, inclusive extender la clase propuesta para - poder almacenar credenciales del tipo biom\'e9trica, como el iris de ojos o las huellas digitales de los usuarios. Este \'faltimo es muy recomendado debido a su gran avance en cuanto a tecnolog\'eda se refiere. Adicionalmente, el directorio cuenta con la ventaja d -e separar la aplicaci\'f3n y la administraci\'f3n de empleados de la organizaci\'f3n y sus roles dentro de la misma, manteniendo el usuario una sola identidad dentro de la empresa y conservando sus credenciales para entrar a las diversas aplicaciones con que cuente - la corporaci\'f3n.} -\par \pard\plain \ltrpar\s2\qj\sb170\sa119\rtlch\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f3\fs24\lang3082 {\loch\f3\fs24\lang3082\i0\b0 A modo conceptual, este esquema reci\'e9n descrito se representa en la siguiente figura:} +\pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082{\loch\f5\fs24\lang3082\i0\b0{ El presente documento estipula a modo conceptual los requisitos necesarios para cumplir con el negocio y asegurar el correcto tratamiento de la informaci}}{\loch\f5\fs24\lang3082\'f3{n. El objetivo primario es garantizar la continuidad comercial, y defender la informaci}\'f3{n ante una amp +lia gama de amenazas, minimizando el da}\'f1{o a la misma y maximizando el retorno sobre inversiones y oportunidades.}} +\par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082{\loch\f5\fs24\lang3082\i0\b0{ El esquema presentado es un lineamiento acotado del esquema 1 de la normativa {\b ISO 17799:2002} el cual es el est}}{\loch\f5\fs24\lang3082\'e1{ndar internacional sobre seguridad en tecnolog}\'ed{a de la informaci}\'f3{n, adecuando el mismo al dominio de la presente aplicaci}\'f3{n y extendiendo a la in +fraestructura de la corporaci}\'f3{n Obra Social Asistencia M}\'e9{dica Miklolife. Adicionalmente se utilizar}\'e1{n otros est}\'e1{ndares, muchos de ellos obtenidos de RFCs de la {\b IETF}, los cuales, en el momento de ser utilizados, se har}\'e1{ referencia al n}\'fa{mero de los mismos.}} +\par \pard\plain \ltrpar\s10\cf0{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\rtlch\af1\afs24\lang255\ai\ab\ltrch\dbch\af1\afs24\langfe2058\ai\ab\loch\f5\fs24\lang2058\i\b {\loch\f5\fs24\lang2058\i\b Introducci\'f3n \endash Conceptos B\'e1sicos} +\par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082{\loch\f5\fs24\lang3082\i0\b0{ El t}}{\loch\f5\fs24\lang3082\'e9{rmino de seguridad en este contexto se referir}\'e1{ a la preservaci}\'f3{n de las siguientes tres caracter}\'ed{sticas fundamentales:}} +\par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082{\loch\f5\fs24\lang3082\i0\b{{\b A-Confidencialidad}}}{\f6\f6{\loch\f5\fs24\lang3082: la informaci}}{\loch\f5\fs24\lang3082\'f3{n deber}\'e1{ ser accesible s}\'f3{lo a aquellas personas autorizadas a tener acceso a la misma.}} +\par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082{\loch\f5\fs24\lang3082\i0\b{{\b B-Integridad}}}{\f6\f6{\loch\f5\fs24\lang3082: se debe mantener la exactitud y totalidad de la informaci}}{\loch\f5\fs24\lang3082\'f3{n y los m}\'e9{todos de procesamiento.}} +\par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082{\loch\f5\fs24\lang3082\i0\b{{\b C-Disponibilidad}}}{\f6\f6{\loch\f5\fs24\lang3082: los usuarios autorizados al acceso a la informaci}}{\loch\f5\fs24\lang3082\'f3{n y sus recursos relacionados deben poder acceder a ellos en {\ul todo} momento en que sea requerido.}} +\par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082{\loch\f5\fs24\lang3082\i0\b0{ En cuanto a la operativa diara de los usuarios frente a sus tareas, se manejar}}{\loch\f5\fs24\lang3082\'e1{n dos t}\'e9{rminos clave:}} +\par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082{\loch\f5\fs24\lang3082\i0\b{\b{ A-Autenticaci}}}{\b\b\b{\loch\f5\fs24\lang3082\b\'f3{n}}}{\loch\f5\fs24\lang3082{\f6\f6: se refiere a la fase en que se valida la identidad del usuario.}} +\par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082{\loch\f5\fs24\lang3082\i0\b{\b{ B-Autorizaci}}}{\b\b\b{\loch\f5\fs24\lang3082\b\'f3{n}}}{\loch\f5\fs24\lang3082{\f6\f6: se refiere a las actividades permitidas para el usuario, una vez autenticado.}} +\par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang1033{\loch\f5\fs24\lang3082\i0\b0\lang3082{ La presente documentaci}}{\loch\f5\fs24\lang3082\lang3082\'f3{n es un delineamiento de c}\'f3{mo ser}\'e1{ implementada la infraestructura y la aplicaci}\'f3{n de gesti}\'f3{n para respetar estos conceptos y asegurarse de que sean cumplimentados de la manera acordada.}} +\par \pard\plain \ltrpar\s10\cf0{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\rtlch\af1\afs24\lang255\ai\ab\ltrch\dbch\af1\afs24\langfe2058\ai\ab\loch\f5\fs24\lang2058\i\b {\loch\f5\fs24\lang2058\i\b Infraestructura F\'edsica} +\par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082{\loch\f5\fs24\lang3082\i0\b0{ Bajo este t}}{\loch\f5\fs24\lang3082\'f3{pico se describir}\'e1{ como deber}\'e1{ establecerse la infraestructura f}\'ed{sica de la corporaci}\'f3{n debido a la arquitectura remitida en el an}\'e1{lisis de la aplicaci}\'f3{n, haci}\'e9{ndola extensiva para el futuro anexo de nuevas aplicaciones complementarias a la ges +ti}\'f3{n de Afiliados, Coberturas, Planes, Autorizaciones, Prestadores y Prestaciones.}} +\par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082{\loch\f5\fs24\lang3082\i0\b0{ La empresa cuenta con una sede central y numerosos CAP distribu}}{\loch\f5\fs24\lang3082\'ed{dos en todo el pa}\'ed{s. Para implementar un esquema de infraestructura f}\'ed{sica, el n}\'fa{cleo de procesamiento deber}\'e1{ incorporarse en la sede central de la obra social manteniendo la carga pesada del +procesamiento de la informaci}\'f3{n, rest}\'e1{ndole a los CAP la infraestructura m}\'ed{nima para mantener cont}\'ed{nuo el enlace hacia la sede central, y a su vez protegido contra intentos de intrusi}\'f3{n y violaci}\'f3{n de la informaci}\'f3{n.}} +\par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082{\loch\f5\fs24\lang3082\i0\b0{ En sede central deber}}{\loch\f5\fs24\lang3082\'e1{ implementarse un NOC donde ser}\'e1{n ubicadas todos los servidores y dispositivos de networking necesarios para distribuir la aplicaci}\'f3{n a trav}\'e9{s de los CAPs, y en cada uno de }\'e9{stos }\'fa{ltimos se deber}\'e1{n incorporar racks con el equipamiento + necesario para la accesibilidad al enlace y la protecci}\'f3{n del mismo ante amenazas a la seguridad.}} +\par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082{\loch\f5\fs24\lang3082\i0\b0{ Para el primer caso, se dispondr}}{\loch\f5\fs24\lang3082\'e1{ de una sala propia. La misma deber}\'e1{ mantener los equipos debidamente instalados sobre racks. Deber}\'e1{ tener techo, piso y paredes falsas por los que deber}\'e1{ pasar el cableado debidamente canalizado. Adicionalmente deber}\'e1{ mant +enerse la temperatura de la misma entre 10 y 15 grados Celsius con el objeto de mantener la temperatura de las m}\'e1{quinas. Las paredes, techo y piso reales deben estar preparadas para desastres f}\'ed{sicos como fuego o inundaci}\'f3{n. El acceso debe estar bloqueado +con cerraduras electr}\'f3{nicas, y activadas mediante un c}\'f3{digo num}\'e9{rico o una placa magn}\'e9{tica, y toda persona ajena debe ser escoltado al mismo (recordar que es el centro neur}\'e1{lgico del negocio).}} +\par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082{\loch\f5\fs24\lang3082\i0\b0{ En el caso de cada CAP, deber}}{\loch\f5\fs24\lang3082\'e1{ contar con un rack con los dispositivos de networking y servers necesarios para mantener el enlace, debidamente custodiados bajo llave, de donde saldr}\'e1{n las bocas hacia todos los puestos de trabajo.}} +\par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082{\loch\f5\fs24\lang3082\i0\b0{ Como en breve ser}}{\loch\f5\fs24\lang3082\'e1{ descripto, se necesitar}\'e1{ un servicio de directorio LDAP para el control de autenticaci}\'f3{n y autorizaci}\'f3{n de los usuarios, y el motor de base de datos para el uso propio de la aplicaci}\'f3{n y futuras aplicaciones que fuesen de necesidad. Para + garantizar la continuidad de la operativa diaria, se dispondr}\'e1{ de dos cluster separados, uno para guardar la base del directorio y otro para guardar la base relacional. Ambos clusters deben permanecer en el NOC de la sede central de modo de mantener centr +alizado el control de los mismos. Al estar clusterizados los dos servicios principales, se dispondr}\'e1{ de continuidad ya que ante la ca}\'ed{da de uno de los nodos, otro de ellos tomar}\'e1{ el servicio.}} +\par \pard\plain \ltrpar\s10\cf0{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\rtlch\af1\afs24\lang255\ai\ab\ltrch\dbch\af1\afs24\langfe2058\ai\ab\loch\f5\fs24\lang2058\i\b {\loch\f5\fs24\lang2058\i\b Infraestructura L\'f3gica} +\par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082{\loch\f5\fs24\lang3082\i0\b0{ En esta secci}}{\loch\f5\fs24\lang3082\'f3{n se describir}\'e1{ la infraestructura l}\'f3{gica a implementarse en la organizaci}\'f3{n y particularmente en la aplicaci}\'f3{n. Para comenzar, se tratar}\'e1{ la manera de organizar y estructurar a todos los usuarios desde el punto de vista de empleados de la fi +rma, y como vincularlos hacia la aplicaci}\'f3{n.}} +\par \pard\plain \ltrpar\s11\cf0{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\rtlch\af1\afs24\lang255\ab\ltrch\dbch\af1\afs24\langfe2058\ab\loch\f5\fs24\lang2058\b {\loch\f5\fs24\lang2058\i0\b Infraestructura de usuarios, y grupos y perfil en base a roles} +\par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082{\loch\f5\fs24\lang3082\i0\b0{ Los usuarios de la organizaci}}{\loch\f5\fs24\lang3082\'f3{n ser}\'e1{n almacenados en una base de datos jer}\'e1{rquica del tipo ISO X.500, con un servicio LDAP, en su versi}\'f3{n 3 del protocolo, full compliant con las {\b RFC 3377, 2251, 2252, 2253, 2254, 2256, 2829-2830} (las dos }\'fa{ltimas para la aut +enticaci}\'f3{n). El servicio debe estar clusterizado como anteriormente se mencion}\'f3{, y la conexi}\'f3{n al mismo debe ser v}\'ed{a SSL. No deber}\'e1{ permanecer abierto el puerto TCP est}\'e1{ndar 389 para comunicaciones por texto plano. El puerto abierto ser}\'e1{ el est}\'e1{ndar para c +omunicaci}\'f3{n LDAP sobre SSL que es el 636 y toda comunicaci}\'f3{n se utilizar}\'e1{ mediante querys LDAP. La base del directorio deber}\'e1{ bajarse a un archivo plano LDIF semanalmente e ir almacenando las copias de resguardo en cinta en modo progresivo con el motivo de + poder hacer una restauraci}\'f3{n ante una situaci}\'f3{n de desastre.}} +\par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082{\loch\f5\fs24\lang3082\i0\b0{ En el siguiente modelo se describir}}{\loch\f5\fs24\lang3082\'e1{ en exactitud la implementaci}\'f3{n del directorio y c}\'f3{mo almacenar a los usuarios y grupos. A modo de adelanto, los usuarios ser}\'e1{n entries de la clase {\b inetOrgPerson} descrita en la {\b RFC 2798} y para los grupos, entries del tip +o {\b groupOfUniqueNames}, descrita en el est}\'e1{ndar {\b X.500}.}} +\par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082{\loch\f5\fs24\lang3082\i0\b0{ El }}{\loch\f5\fs24\lang3082\'e1{rbol tendr}\'e1{ una estructura jer}\'e1{rquica, comenzando por una ra}\'ed{z representando a la organizaci}\'f3{n con clase {\b organization}, y luego contenedores de la clase {\b organizationalUnit}, cada uno representando un CAP, y debajo de cada uno de ellos los usuarios de ese + CAP. Lo mismo para la Sede Central. Luego deber}\'e1{ haber un contenedor especial para los grupos. Los mismos definiran los roles que tendr}\'e1{n los usuarios en la aplicaci}\'f3{n.}} +\par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082{\loch\f5\fs24\lang3082\i0\b0{ El objetivo de usar un }}{\loch\f5\fs24\lang3082\'e1{rbol LDAP es que es un servicio distribu}\'ed{do ideal para mantener la informaci}\'f3{n de infraestructura, incluyendo usuarios, grupos, servidores y todo tipo de datos de tal }\'ed{ndole. El usuario tendr}\'e1{ almacenados sus datos personales, sus c +redenciales y podr}\'e1{ ser vinculado a diversos grupos, pudiendo las aplicaciones utilizar estos agrupamientos para poder perfilar a los usuarios. El directorio adem}\'e1{s permite almacenar un password de diversos modos, inclusive extender la clase propuesta para + poder almacenar credenciales del tipo biom}\'e9{trica, como el iris de ojos o las huellas digitales de los usuarios. Este }\'fa{ltimo es muy recomendado debido a su gran avance en cuanto a tecnolog}\'ed{a se refiere. Adicionalmente, el directorio cuenta con la ventaja d +e separar la aplicaci}\'f3{n y la administraci}\'f3{n de empleados de la organizaci}\'f3{n y sus roles dentro de la misma, manteniendo el usuario una sola identidad dentro de la empresa y conservando sus credenciales para entrar a las diversas aplicaciones con que cuente + la corporaci}\'f3{n.}} +\par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang2058{\loch\f5\fs24\lang2058\i0\b0{ En el mismo podemos ver varios usuarios en distintos contenedores de acuerdo a su ubicaci}}{\loch\f5\fs24\lang2058\'f3{n f}\'ed{sica de trabajo, y por cada una de ellas un contenedor {\b organizationalUnit} de modo de mantener reflejada la jerarqu}\'ed{a de la organizaci}\'f3{n. Vemos tambi}\'e9{n el contened +or {\b ou=Grupos_Gestion} debajo del cual estar}\'e1{n ubicados aquellos grupos que perfilan los usuarios de nuestra aplicaci}\'f3{n de acuerdo a sus roles. Por }\'fa{ltimo, el administrador general del directorio, colgando directamente de la ra}\'ed{z organizativa.}} +\par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082{\loch\f5\fs24\lang3082\i0\b0{ A modo conceptual, este esquema reci}}{\loch\f5\fs24\lang3082\'e9{n descrito se representa en la siguiente figura:}} \par -\pard\plain\absw7994\absh-4785\nowrap\pvpara\posy187\phcol\posx329{\*\flymaincnt0\flyvert55488\flyhorz0\flyanchor0\flycntnt}{{\field\fldpriv{\*\fldinst{\\import ./mo13 - Conceptos de seguridad_rtf_14d7a62e.png}}{\fldrslt }}} +\pard\plain\absw7995\absh-4786\dfrmtxty170\nowrap\pvpara\posyt\phcol\posxc{\*\flymaincnt0\flyvert55489\flyhorz39426\flyanchor0\flycntnt}{{\field\fldpriv{\*\fldinst{\\import 01.png}}{\fldrslt }}} \pard -\pard\plain \ltrpar\s1\cf0{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\ql\rtlch\af1\afs24\lang255\ltrch\dbch\af1\afs24\langfe3082\loch\f3\fs24\lang3082 {\loch\f3\fs24\lang3082\i0\b0 En el mismo podemos ver varios usuarios en distintos contenedores de acuerdo a su ubicaci\'f3n f\'edsica de trabajo, y por cada una de ellas un contenedor {\b organizationalUnit} de modo de mantener reflejada la jerarqu\'eda de la organizaci\'f3n. Vemos tambi\'e9n el contened -or {\b ou=Grupos_Gestion} debajo del cual estar\'e1n ubicados aquellos grupos que perfilan los usuarios de nuestra aplicaci\'f3n de acuerdo a sus roles. Por \'faltimo, el administrador general del directorio, colgando directamente de la ra\'edz organizativa.} -\par \pard\plain \sb240\sa120\keepn\f3\fs28\lang3082\b\f3\b\f3\b \ltrpar\s12\cf0{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb240\sa120\keepn\ql\rtlch\af3\afs24\lang255\ab\ltrch\dbch\af3\afs24\langfe255\ab\loch\f3\fs28\lang3082\b {\loch\f3\fs28\lang3082\i0\b V\'ednculo hacia la aplicaci\'f3n \endash Propagaci\'f3n de perfiles seg\'fan roles} -\par \pard\plain \ltrpar\s2\qj\sb170\sa119\rtlch\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f3\fs24\lang3082 {\loch\f3\fs24\lang3082\i0\b0 En cuanto a la seguridad netamente de la aplicaci\'f3n, la misma estar\'e1 montada en el mismo schema dentro del motor de base de datos (tambi\'e9n clusterizado), pero no tendr\'e1 relaci\'f3n con los datos propios de la aplicaci\'f3n. Habr\'e1 una tabla con usuarios (donde se - guardar\'e1n sus usernames, coincidentes con los RDN de sus entries LDAP), con el objeto de integrar un usuario a la aplicaci\'f3n. Adicionalmente esta tabla puede llegar a contener datos exclusivos del usuario dentro de la aplicaci\'f3n de ser necesario, pero es -recomendable que se extienda la clase usuario si estos datos son m\'e1s de infraestructura que de la aplicaci\'f3n en s\'ed. Luego deber\'e1 existir una tabla que mapee los grupos con las funcionalidades existentes en la aplicaci\'f3n, y m\'e1s en detalle, otra tabla que re -lacione las funcionalidades con \'edtems de men\'fa (que se describir\'e1 en el modelo acerca del concepto e implementaci\'f3n de menues).} -\par \pard\plain \ltrpar\s2\qj\sb170\sa119\rtlch\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f3\fs24\lang3082 {\loch\f3\fs24\lang3082\i0\b0 A modo conceptual, para aplicar este esquema, la aplicaci\'f3n debe en primer lugar realizar la autenticaci\'f3n del usuario, v\'eda LDAP. Este procedimiento ser\'e1 descrito luego en la implementaci\'f3n. Luego, una vez autenticado se obtendr\'e1 su membre\'eda trayendo v\'eda L -DAP los grupos a los cuales el usuario est\'e1 enlazado y una vez con estros grupos y armado el perfil del usuario, se mostrar\'e1n aquellas funcionalidades a las que el usuario est\'e1 autorizado a acceder.} -\par \pard\plain \ltrpar\s2\qj\sb170\sa119\rtlch\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f3\fs24\lang3082 {\loch\f3\fs24\lang3082\i0\b0 Lo anterior se puede visualizar en el siguiente esquema gr\'e1fico:} +\pard\plain \ltrpar\s11\cf0{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\rtlch\af1\afs24\lang255\ab\ltrch\dbch\af1\afs24\langfe2058\ab\loch\f5\fs24\lang2058\b {\loch\f5\fs24\lang2058\i0\b V\'ednculo hacia la aplicaci\'f3n \endash Propagaci\'f3n de perfiles seg\'fan roles} +\par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082{\loch\f5\fs24\lang3082\i0\b0{ En cuanto a la seguridad netamente de la aplicaci}}{\loch\f5\fs24\lang3082\'f3{n, la misma estar}\'e1{ montada en el mismo schema dentro del motor de base de datos (tambi}\'e9{n clusterizado), pero no tendr}\'e1{ relaci}\'f3{n con los datos propios de la aplicaci}\'f3{n. Habr}\'e1{ una tabla con usuarios (donde se + guardar}\'e1{n sus usernames, coincidentes con los RDN de sus entries LDAP), con el objeto de integrar un usuario a la aplicaci}\'f3{n. Adicionalmente esta tabla puede llegar a contener datos exclusivos del usuario dentro de la aplicaci}\'f3{n de ser necesario, pero es +recomendable que se extienda la clase usuario si estos datos son m}\'e1{s de infraestructura que de la aplicaci}\'f3{n en s}\'ed{. Luego deber}\'e1{ existir una tabla que mapee los grupos con las funcionalidades existentes en la aplicaci}\'f3{n, y m}\'e1{s en detalle, otra tabla que re +lacione las funcionalidades con }\'ed{tems de men}\'fa{ (que se describir}\'e1{ en el modelo acerca del concepto e implementaci}\'f3{n de menues).}} +\par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082{\loch\f5\fs24\lang3082\i0\b0{ A modo conceptual, para aplicar este esquema, la aplicaci}}{\loch\f5\fs24\lang3082\'f3{n debe en primer lugar realizar la autenticaci}\'f3{n del usuario, v}\'ed{a LDAP. Este procedimiento ser}\'e1{ descrito luego en la implementaci}\'f3{n. Luego, una vez autenticado se obtendr}\'e1{ su membre}\'ed{a trayendo v}\'ed{a L +DAP los grupos a los cuales el usuario est}\'e1{ enlazado y una vez con estros grupos y armado el perfil del usuario, se mostrar}\'e1{n aquellas funcionalidades a las que el usuario est}\'e1{ autorizado a acceder.}} +\par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082{\loch\f5\fs24\lang3082\i0\b0{ Lo anterior se puede visualizar en el siguiente esquema gr}}{\loch\f5\fs24\lang3082\'e1{fico:}} \par -\pard\plain\absw5056\absh-4366\dfrmtxty170\nowrap\pvpara\posyt\phcol\posxc{\*\flymaincnt0\flyvert55505\flyhorz20482\flyanchor0\flycntnt}{{\field\fldpriv{\*\fldinst{\\import ./mo13 - Conceptos de seguridad_rtf_m125ccb5e.png}}{\fldrslt }}} +\pard\plain\absw5055\absh-4365\dfrmtxty170\nowrap\pvpara\posyt\phcol\posxc{\*\flymaincnt0\flyvert55489\flyhorz27138\flyanchor0\flycntnt}{{\field\fldpriv{\*\fldinst{\\import 02.png}}{\fldrslt }}} \pard -\pard\plain \ltrpar\s1\cf0{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\ql\rtlch\af1\afs24\lang255\ltrch\dbch\af1\afs24\langfe3082\loch\f3\fs24\lang3082 {\loch\f3\fs24\lang3082\i0\b0 Como se puede ver, el manejo de la seguridad es sencillo y recae en el poder del directorio con servicio LDAP.} -\par \pard\plain \ltrpar\s1\cf0{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\ql\rtlch\af1\afs24\lang255\ltrch\dbch\af1\afs24\langfe3082\loch\f3\fs24\lang3082{\loch\f3\fs24\lang3082\i0\b{\b NOTA: }}{\loch\f3\fs24\lang3082En el siguiente modelo, modelo 14 \endash {\b implementaci\'f3n de seguridad} se detallar\'e1n todos los pasos desde la autenticaci\'f3n hasta llegar a las acciones propias del usuario, y se presentar\'e1 el DER en la base de datos relacional y reglas de integridad referen -cial para implementar este esquema. Este modelo es solamente a nivel descriptivo.} -\par \pard\plain \sb240\sa120\keepn\f3\fs28\lang3082\b\f3\b\f3\b \ltrpar\s12\cf0{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb240\sa120\keepn\ql\rtlch\af3\afs24\lang255\ab\ltrch\dbch\af3\afs24\langfe255\ab\loch\f3\fs28\lang3082\b {\loch\f3\fs28\lang3082\i0\b Ambiente interno} -\par \pard\plain \ltrpar\s2\qj\sb170\sa119\rtlch\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f3\fs24\lang3082 {\loch\f3\fs24\lang3082\i0\b0 Internamente, se utilizar\'e1 un dominio w2k, pero emulado a trav\'e9s de un SAMBA 3 utilizando el mismo directorio LDAP en reemplazo del Microsoft Active Directory, ya que este \'faltimo posee escasas prestaciones a nivel de directorio, aunque debemos destacar que - cumple con todas las especificaciones de las RFC (el tema de la exclusi\'f3n de AD es poder tener un dominio windows bajo la administraci\'f3n poderosa de Samba, utilizando adicionalmente un directorio que permita mantener un \'e1rbol corporativo).} -\par \pard\plain \ltrpar\s2\qj\sb170\sa119\rtlch\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f3\fs24\lang3082 {\loch\f3\fs24\lang3082\i0\b0 En las estaciones de trabajo de los usuarios se contar\'e1 con clientes Windows 2000 Professional debidamente licenciados. Toda la administraci\'f3n del dominio deber\'e1 implementarse bajo Novell Suse Linux 9, mediante un PDC Samba 3 como reci\'e9n se nombr\'f3, y adici -onalmente manteniendo un servicio BDC Samba 3 a modo de resguardo, y para restaurar el dominio en caso de una ca\'edda del PDC.} -\par \pard\plain \ltrpar\s2\qj\sb170\sa119\rtlch\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f3\fs24\lang3082 {\loch\f3\fs24\lang3082\i0\b0 Antes de proseguir, cabe destacar que deber\'e1 extenderse el {\b schema} del directorio con las clases auxiliares {\b posixAccount, shadowAccountn }y {\b posixGroup}, descritas en su totalidad en la RFC {\b 2307} junto con las clases que vienen incorporadas en la instalaci\'f3n de - Samba ({\b sambaSamAccount} para las cuentas de usuarios de dominio Windows).} -\par \pard\plain \ltrpar\s2\qj\sb170\sa119\rtlch\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f3\fs24\lang3082 {\loch\f3\fs24\lang3082\i0\b0 La siguiente figura esquematiza el dominio logrado y su v\'ednculo al directorio:} +\pard\plain \ltrpar\s2\cf0\qc{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang1033 +\par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang2058 {\loch\f5\fs24\lang2058\i0\b0 Como se puede ver, el manejo de la seguridad es sencillo y recae en el poder del directorio con servicio LDAP.} +\par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang2058{\loch\f5\fs24\lang2058\i0\b{{\b NOTA: }}}{\f6\f6{\loch\f5\fs24\lang2058En el siguiente modelo, modelo 14 }}{\loch\f5\fs24\lang2058\endash { {\b implementaci}}{\b\b\b\'f3{n de seguridad}}{\f6\f6se detallar}\'e1{n todos los pasos desde la autenticaci}\'f3{n hasta llegar a las acciones propias del usuario, y se presentar}\'e1{ el DER en la base de datos relacional y reglas de integridad referenc +ial para implementar este esquema. Este modelo es solamente a nivel descriptivo.}} +\par \pard\plain \ltrpar\s11\cf0{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\rtlch\af1\afs24\lang255\ab\ltrch\dbch\af1\afs24\langfe2058\ab\loch\f5\fs24\lang2058\b {\loch\f5\fs24\lang2058\i0\b Ambiente interno} +\par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082{\loch\f5\fs24\lang3082\i0\b0{ Internamente, se utilizar}}{\loch\f5\fs24\lang3082\'e1{ un dominio w2k, pero emulado a trav}\'e9{s de un SAMBA 3 utilizando el mismo directorio LDAP en reemplazo del Microsoft Active Directory, ya que este }\'fa{ltimo posee escasas prestaciones a nivel de directorio, aunque debemos destacar que + cumple con todas las especificaciones de las RFC (el tema de la exclusi}\'f3{n de AD es poder tener un dominio windows bajo la administraci}\'f3{n poderosa de Samba, utilizando adicionalmente un directorio que permita mantener un }\'e1{rbol corporativo).}} +\par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082{\loch\f5\fs24\lang3082\i0\b0{ En las estaciones de trabajo de los usuarios se contar}}{\loch\f5\fs24\lang3082\'e1{ con clientes Windows 2000 Professional debidamente licenciados. Toda la administraci}\'f3{n del dominio deber}\'e1{ implementarse bajo Novell Suse Linux 9, mediante un PDC Samba 3 como reci}\'e9{n se nombr}\'f3{, y adici +onalmente manteniendo un servicio BDC Samba 3 a modo de resguardo, y para restaurar el dominio en caso de una ca}\'ed{da del PDC.}} +\par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082{\loch\f5\fs24\lang3082\i0\b0{ Antes de proseguir, cabe destacar que deber}}{\loch\f5\fs24\lang3082\'e1{ extenderse el {\b schema} del directorio con las clases auxiliares {\b posixAccount, shadowAccountn }y {\b posixGroup}, descritas en su totalidad en la RFC {\b 2307} junto con las clases que vienen incorporadas en la instalaci}\'f3{n de + Samba ({\b sambaSamAccount} para las cuentas de usuarios de dominio Windows).}} +\par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082{\loch\f5\fs24\lang3082\i0\b0{ La siguiente figura esquematiza el dominio logrado y su v}}{\loch\f5\fs24\lang3082\'ed{nculo al directorio:}} \par -\pard\plain\absw5356\absh-5386\dfrmtxty170\nowrap\pvpara\posyt\phcol\posxc{\*\flymaincnt0\flyvert55505\flyhorz13314\flyanchor0\flycntnt}{{\field\fldpriv{\*\fldinst{\\import ./mo13 - Conceptos de seguridad_rtf_m44a37559.png}}{\fldrslt }}} +\pard\plain\absw5355\absh-5385\dfrmtxty170\nowrap\pvpara\posyt\phcol\posxc{\*\flymaincnt0\flyvert55489\flyhorz39938\flyanchor0\flycntnt}{{\field\fldpriv{\*\fldinst{\\import 03.png}}{\fldrslt }}} \pard -\pard\plain \ltrpar\s1\cf0{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\ql\rtlch\af1\afs24\lang255\ltrch\dbch\af1\afs24\langfe3082\loch\f3\fs24\lang3082 {\loch\f3\fs24\lang3082\i0\b0 De esta manera, los usuarios se podr\'e1n loguear a sus terminales de trabajo y a la aplicaci\'f3n utilizando las mismas credenciales. Se recomienda analizar de incluir un logon script o una herramienta m\'e1s poderosa de control remoto de terminales para acotar la -s actividades del usuario dentro de su estaci\'f3n de trabajo.} -\par \pard\plain \sb240\sa120\keepn\f3\fs28\lang3082\b\f3\b\f3\b \ltrpar\s12\cf0{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb240\sa120\keepn\ql\rtlch\af3\afs24\lang255\ab\ltrch\dbch\af3\afs24\langfe255\ab\loch\f3\fs28\lang3082\b {\loch\f3\fs28\lang3082\i0\b Ambiente externo} -\par \pard\plain \ltrpar\s2\qj\sb170\sa119\rtlch\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f3\fs24\lang3082 {\loch\f3\fs24\lang3082\i0\b0 Hay dos tipos de accesos internos con los que se deben llevar cuentas. Uno de ellos es el grueso y son los afiliados. Otro son los prestadores. Ambos estar\'e1n dentro de un contenedor \'fanico llamado {\b externos} al nivel siguiente de la organizaci\'f3n en el \'e1rbol d -e directorio, y la funcionalidad de los mismos se otorgar\'e1 bajo el mismo esquema que a los usuarios internos de la aplicaci\'f3n. Esto se explicar\'e1 en detalle en el modelo 14, {\b implementaci\'f3n de la seguridad.}} -\par \pard\plain \sb240\sa120\keepn\f3\fs28\lang3082\b\f3\b\f3\b \ltrpar\s12\cf0{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb240\sa120\keepn\ql\rtlch\af3\afs24\lang255\ab\ltrch\dbch\af3\afs24\langfe255\ab\loch\f3\fs28\lang3082\b {\loch\f3\fs28\lang3082\i0\b Conclusi\'f3n} -\par \pard\plain \ltrpar\s2\qj\sb170\sa119\rtlch\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f3\fs24\lang3082 {\loch\f3\fs24\lang3082\i0\b0 Bajo este esquema de infraestructura l\'f3gica, el usuario contar\'e1 con el beneficio de mantener una \'fanica identidad dentro de la organizaci\'f3n, pudiendo tener un set de credenciales \'fanico para todos los entornos operativos en donde se movilice y extendiendo es -te esquema a futuras implementaciones Single Sign On.} -\par \pard\plain \sb240\sa120\keepn\f3\fs28\lang3082\i\b\f3\i\b\f3\i\b \ltrpar\s11\cf0{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb240\sa120\keepn\ql\rtlch\af3\afs24\lang255\ai\ab\ltrch\dbch\af3\afs24\langfe255\ai\ab\loch\f3\fs28\lang3082\i\b {\loch\f3\fs28\lang3082\i\b Enlace} -\par \pard\plain \ltrpar\s2\qj\sb170\sa119\rtlch\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f3\fs24\lang3082 {\loch\f3\fs24\lang3082\i0\b0 Se deber\'e1 contratar un ISP para proveer un enlace dedicado que interconecte la Sede Central de la Obra Social con todos sus CAPs. Toda la organizaci\'f3n dispondr\'e1 de una \'fanica red privada, y ser\'e1 en la Sede Central el \'fanico punto con salida a Internet, a tra -v\'e9s de otro enlace provisto por el ISP, centralizando de esta manera todos los controles de seguridad frente a amenazas externas. Los usuarios rasos no tendr\'e1n salida a intenet, utilizando mensajer\'eda interna para comunicarse. El servidor SMTP para los mail -s deber\'e1 permanecer en el NOC central para controlar el flujo hacia la red exterior.} -\par \pard\plain \ltrpar\s2\qj\sb170\sa119\rtlch\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f3\fs24\lang3082 {\loch\f3\fs24\lang3082\i0\b0 A nivel conceptual, se refleja en el siguiente diagrama:} +\pard\plain \ltrpar\s1\qc\rtlch\afs24\lang255\ltrch\dbch\afs24\langfe3082\loch\f5\fs24\lang3082 +\par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang1033{\loch\f5\fs24\lang1033\i0\b0{ De esta manera, los usuarios se podr}}{\loch\f5\fs24\lang1033\'e1{n loguear a sus terminales de trabajo y a la aplicaci}\'f3{n utilizando las mismas credenciales. Se recomienda analizar de incluir un logon script o una herramienta m}\'e1{s poderosa de control remoto de terminales para acotar la +s actividades del usuario dentro de su estaci}\'f3{n de trabajo.}} +\par \pard\plain \ltrpar\s11\cf0{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\rtlch\af1\afs24\lang255\ab\ltrch\dbch\af1\afs24\langfe2058\ab\loch\f5\fs24\lang2058\b {\loch\f5\fs24\lang2058\i0\b Ambiente externo} +\par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082{\loch\f5\fs24\lang3082\i0\b0{ Hay dos tipos de accesos internos con los que se deben llevar cuentas. Uno de ellos es el grueso y son los afiliados. Otro son los prestadores. Ambos estar}}{\loch\f5\fs24\lang3082\'e1{n dentro de un contenedor }\'fa{nico llamado {\b externos} al nivel siguiente de la organizaci}\'f3{n en el }\'e1{rbol d +e directorio, y la funcionalidad de los mismos se otorgar}\'e1{ bajo el mismo esquema que a los usuarios internos de la aplicaci}\'f3{n. Esto se explicar}\'e1{ en detalle en el modelo 14, {\b implementaci}}{\b\b\b\'f3{n de la seguridad.}}} +\par \pard\plain \ltrpar\s11\cf0{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\rtlch\af1\afs24\lang255\ab\ltrch\dbch\af1\afs24\langfe2058\ab\loch\f5\fs24\lang2058\b {\loch\f5\fs24\lang2058\i0\b Conclusi\'f3n} +\par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082{\loch\f5\fs24\lang3082\i0\b0{ Bajo este esquema de infraestructura l}}{\loch\f5\fs24\lang3082\'f3{gica, el usuario contar}\'e1{ con el beneficio de mantener una }\'fa{nica identidad dentro de la organizaci}\'f3{n, pudiendo tener un set de credenciales }\'fa{nico para todos los entornos operativos en donde se movilice y extendiendo es +te esquema a futuras implementaciones Single Sign On.}} +\par \pard\plain \ltrpar\s10\cf0{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\rtlch\af1\afs24\lang255\ai\ab\ltrch\dbch\af1\afs24\langfe2058\ai\ab\loch\f5\fs24\lang2058\i\b {\loch\f5\fs24\lang2058\i\b Enlace} +\par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082{\loch\f5\fs24\lang3082\i0\b0{ Se deber}}{\loch\f5\fs24\lang3082\'e1{ contratar un ISP para proveer un enlace dedicado que interconecte la Sede Central de la Obra Social con todos sus CAPs. Toda la organizaci}\'f3{n dispondr}\'e1{ de una }\'fa{nica red privada, y ser}\'e1{ en la Sede Central el }\'fa{nico punto con salida a Internet, a tra +v}\'e9{s de otro enlace provisto por el ISP, centralizando de esta manera todos los controles de seguridad frente a amenazas externas. Los usuarios rasos no tendr}\'e1{n salida a intenet, utilizando mensajer}\'ed{a interna para comunicarse. El servidor SMTP para los mail +s deber}\'e1{ permanecer en el NOC central para controlar el flujo hacia la red exterior.}} +\par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082 {\loch\f5\fs24\lang3082\i0\b0 A nivel conceptual, se refleja en el siguiente diagrama:} \par -\pard\plain\absw6121\absh-5131\dfrmtxty170\nowrap\pvpara\posy0\phcol\posx1359{\*\flymaincnt0\flyvert55488\flyhorz60928\flyanchor0\flycntnt}{{\field\fldpriv{\*\fldinst{\\import ./mo13 - Conceptos de seguridad_rtf_m550f4393.png}}{\fldrslt }}} +\pard\plain\absw6121\absh-5131\dfrmtxty170\nowrap\pvpara\posyt\phcol\posxc{\*\flymaincnt0\flyvert55489\flyhorz38402\flyanchor0\flycntnt}{{\field\fldpriv{\*\fldinst{\\import 04.png}}{\fldrslt }}} \pard -\pard\plain \sb240\sa120\keepn\f3\fs28\lang3082\i\b\f3\i\b\f3\i\b \ltrpar\s11\cf0{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb240\sa120\keepn\ql\rtlch\af3\afs24\lang255\ai\ab\ltrch\dbch\af3\afs24\langfe255\ai\ab\loch\f3\fs28\lang3082\i\b {\loch\f3\fs28\lang3082\i\b Seguridad frente a accesos externos e internos} -\par \pard\plain \ltrpar\s2\qj\sb170\sa119\rtlch\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f3\fs24\lang3082 {\loch\f3\fs24\lang3082\i0\b0 Las transacciones que se realicen por las aplicaciones deben realizarse a trav\'e9s de un canal SSL, debiendo implementarse internamente un CA que emita certificados, los cuales deber\'e1n ser incorporados por todas las instancias clientes de la aplicaci\'f3n para -poder establecer comunicaciones con las respectivas fuentes de datos. Bajo ning\'fan punto de vista se permitir\'e1 informaci\'f3n viajando v\'eda texto plano.} -\par \pard\plain \ltrpar\s2\qj\sb170\sa119\rtlch\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f3\fs24\lang3082 {\loch\f3\fs24\lang3082\i0\b0 En relaci\'f3n a esto, tambi\'e9n se deber\'e1n establecer canales SSL para las comunicaciones provenientes desde el exterior. Todos los archivos recibidos por los prestadores deber\'e1n viajar bajo SSL. En este caso se deber\'e1 comprar certificados de un CA correspondi -ente disponible en Internet para garantizar la identidad de los participantes de la transacci\'f3n. Los mismos deber\'e1n ser enviados por SFTP o SCP.} -\par \pard\plain \ltrpar\s2\qj\sb170\sa119\rtlch\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f3\fs24\lang3082 {\loch\f3\fs24\lang3082\i0\b0 En el caso de los archivos subidos desde los prestadores y la cl\'ednica, el formato de los documentos depender\'e1n de la operativa necesitada por la aplicaci\'f3n. En esta fase inicial los documentos transaccionados son emitidos v\'eda un web service utilizando el e -st\'e1ndar XML y v\'eda FTP, seg\'fan las interfaces ya pactadas por ambas partes.} -\par \pard\plain \ltrpar\s2\qj\sb170\sa119\rtlch\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f3\fs24\lang3082 {\loch\f3\fs24\lang3082\i0\b0 En relaci\'f3n al \'faltimo p\'e1rrafo, es importante tener en cuenta que estas transacciones implican un alto impacto entre las partes negociantes, con lo cual se {\b recomienda} que en el {\b futuro}, se reconsidere que el documento trasmitido sea concatenado con la firma -digital del origen de manera que garantice el {\b no repudiation} de la informaci\'f3n enviada, y adicionalmente, todo este paquete deber\'e1 finalizarse con el hash MD5 del conjunto, certificando as\'ed que la informaci\'f3n recibida es la que fue enviada desde el origen. - Esto es s\'f3lo una recomendaci\'f3n a futuro y deber\'e1 ser evaluada por ambas partes como un proyecto aparte.} -\par \pard\plain \ltrpar\s2\qj\sb170\sa119\rtlch\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f3\fs24\lang3082 {\loch\f3\fs24\lang3082\i0\b0 Para cada CAP deber\'e1 implementarse un firewall de modo que s\'f3lo est\'e9n abiertos los puertos que se utilicen para la aplicaci\'f3n, mail y mensajer\'eda. Visto y considerando el desempe\'f1o y papel que tienen los CAPs, deber\'e1n bloquearse todos los paquetes ICMP ya q -ue no tienen sentido a nivel interno. Deber\'e1n est\'e1r disponibles a la altura del GateWay para que el administrador local de infraestructura pueda hacer debuggings y correcciones en casos de contingencia.} -\par \pard\plain \ltrpar\s2\qj\sb170\sa119\rtlch\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f3\fs24\lang3082 {\loch\f3\fs24\lang3082\i0\b0 Tambi\'e9n debe est\'e1r debidamente configurado un firewall desde la Sede Central hacia la salida al exterior, permitiendo el paso \'fanico de puertos sobre de nivel aplicativo. Se deber\'e1 habilitar exclusivamente la salida a Inteneret para servicios como SMTP y aq -uellos que necesariamente requieran de la red externa. Asimismo se negociar\'e1 con la parte gerencial, ya que por lo general son los que demandan tener conectividad con Internet, y servicios de mensajer\'eda externos.} -\par \pard\plain \ltrpar\s2\qj\sb170\sa119\rtlch\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f3\fs24\lang3082 {\loch\f3\fs24\lang3082\i0\b0 Los WebServers deben est\'e1r detr\'e1s del firewall dentro del NOC de la Sede Central. El mismo est\'e1ra habilitado hacia el exterior para cumplimentar con las transacciones online del cliente. En casos futuros de pasar a un Application Server se deber\'e1 respetar -las mismas reglas, reconfigurando el FireWall para que habilitar la entrada y salida hacia el mismo.} -\par \pard\plain \sb240\sa120\keepn\f3\fs28\lang3082\i\b\f3\i\b\f3\i\b \ltrpar\s11\cf0{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb240\sa120\keepn\ql\rtlch\af3\afs24\lang255\ai\ab\ltrch\dbch\af3\afs24\langfe255\ai\ab\loch\f3\fs28\lang3082\i\b {\loch\f3\fs28\lang3082\i\b Backups} -\par \pard\plain \ltrpar\s2\qj\sb170\sa119\rtlch\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f3\fs24\lang3082 {\loch\f3\fs24\lang3082\i0\b0 Dado a que se prevee un alto volumen de tr\'e1fico diario con la base de datos, se establecer\'e1 un backupeo de la base de datos, diariamente y en forma progresiva, los cuales ser\'e1n pasados a cinta y almacenados en lugares debidamente custodiados, preferentemen -te bajo llave electr\'f3nica o mediante autenticaci\'f3n biom\'e9trica.} -\par \pard\plain \ltrpar\s2\qj\sb170\sa119\rtlch\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f3\fs24\lang3082 {\loch\f3\fs24\lang3082\i0\b0 Para el servicio de directorio se bajar\'e1 a un LDIF semanalmente, debido a que el mismo no sufrir\'e1 cambios en el corto plazo.} -\par \pard\plain \ltrpar\s2\qj\sb170\sa119\rtlch\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f3\fs24\lang3082{\loch\f3\fs24\lang3082\i0\b{\b NOTA: }}{\loch\f3\fs24\lang3082estos backups son a nivel servidores y no lo referente a la informaci\'f3n que por lo general maneja la base de datos, contemplado en el modelo 06, {\b Modelo de Procesamiento}. Estos backups se hacen en forma progresiva y se almacenan en cinta y es el respa -ldo ante incontingencias y desastre. Solamente en el caso del directorio adicionalmente se guardar\'e1 el LDIF como se nombr\'f3 recientemente.} -\par \pard\plain \sb240\sa120\keepn\f3\fs28\lang3082\i\b\f3\i\b\f3\i\b \ltrpar\s11\cf0{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb240\sa120\keepn\ql\rtlch\af3\afs24\lang255\ai\ab\ltrch\dbch\af3\afs24\langfe255\ai\ab\loch\f3\fs28\lang3082\i\b {\loch\f3\fs28\lang3082\i\b Auditor\'eda} -\par \pard\plain \sb240\sa120\keepn\f3\fs28\lang3082\b\f3\b\f3\b \ltrpar\s12\cf0{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb240\sa120\keepn\ql\rtlch\af3\afs24\lang255\ab\ltrch\dbch\af3\afs24\langfe255\ab\loch\f3\fs28\lang3082\b {\loch\f3\fs28\lang3082\i0\b Servers y software de base} -\par \pard\plain \ltrpar\s2\qj\sb170\sa119\rtlch\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f3\fs24\lang3082 {\loch\f3\fs24\lang3082\i0\b0 Se deben activar todos los logs de los servers y software de base utilizado, con un grado moderado de informaci\'f3n adem\'e1s del timestamp de cada evento detectado, e incluyendo de ser posible un owner que haya disparado el evento. Los mismos deber\'e1n ser backu -peados regularmente a intervalos diarios y bajados a cinta, para auditar a futuro en caso de contingencias. Es fundamental e indispensable que entre los servicios que logueen se encuentren la base de datos de la aplicaci\'f3n (para detectar eventos a nivel tr -ansacci\'f3n) y el directorio, para detectar intentos de intrusi\'f3n.} -\par \pard\plain \sb240\sa120\keepn\f3\fs28\lang3082\b\f3\b\f3\b \ltrpar\s12\cf0{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb240\sa120\keepn\ql\rtlch\af3\afs24\lang255\ab\ltrch\dbch\af3\afs24\langfe255\ab\loch\f3\fs28\lang3082\b {\loch\f3\fs28\lang3082\i0\b Aplicaci\'f3n} -\par \pard\plain \ltrpar\s2\qj\sb170\sa119\rtlch\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f3\fs24\lang3082 {\loch\f3\fs24\lang3082\i0\b0 La aplicaci\'f3n deber\'e1 emitir un archivo de log por cada evento ocurrido. Principalmente deber\'e1 auditarse la pantalla de login y el logout del usuario, para detectar quien entr\'f3 a la aplicaci\'f3n, quien sali\'f3 y a que hora, as\'ed como intentos de intrusi\'f3n o adiv -inaci\'f3n de passwords.} -\par \pard\plain \ltrpar\s2\qj\sb170\sa119\rtlch\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f3\fs24\lang3082 {\loch\f3\fs24\lang3082\i0\b0 Dentro de la aplicaci\'f3n se deber\'e1 loguear cada transacci\'f3n cr\'edtica con la base (como inserts o updates, no es necesario autidar selects a este nivel, para ello est\'e1ra el log de la base de dato propia). Tambi\'e9n deber\'e1n auditarse aquellas operaciones a nivel - de negocio, como por ejemplo la anexi\'f3n de un Afiliado y por quien fue realizada, con su respectivo timestamp.} -\par \pard\plain \sb240\sa120\keepn\f3\fs28\lang3082\i\b\f3\i\b\f3\i\b \ltrpar\s11\cf0{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb240\sa120\keepn\ql\rtlch\af3\afs24\lang255\ai\ab\ltrch\dbch\af3\afs24\langfe255\ai\ab\loch\f3\fs28\lang3082\i\b {\loch\f3\fs28\lang3082\i\b Seguridad dentro de la aplicaci\'f3n} -\par \pard\plain \ltrpar\s2\qj\sb170\sa119\rtlch\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f3\fs24\lang3082 {\loch\f3\fs24\lang3082\i0\b0 Desde el momento del desarrollo se deber\'e1n tener las precauciones necesarias para evitar ataques comunes. Es obligatorio que en ning\'fan momento valores introducidos por el usuario sean llevados directamente a la base de datos. Las transacciones con la misma - deben estar en una capa superior evitando ataques indirectos a la base de datos, como {\b sql injection}. En el caso de ser absolutamente necesario llevar el contenido de una entrada del usuario a una sentencia sql, la misma deber\'e1 obligatoriamente parsearse c -on expresiones regulares a fin de detectar que venga sql embebido en la misma, el cual pudiera ocasionar inclusive hasta el borrado de las tablas si se tuvieran los permisos necesarios.} -\par \pard\plain \ltrpar\s2\qj\sb170\sa119\rtlch\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f3\fs24\lang3082 {\loch\f3\fs24\lang3082\i0\b0 Referido a esto \'faltimo, se deber\'e1 prearmar un usuario para el acceso a la base de datos, el cual deba tener restringido el acceso a la misma para hacer operaciones sobre el esquema de la misma. El usuario en el cual se impersonificar\'e1 la apliaci\'f3n deber\'e1 t -ener permiso de lectura sobre las tablas y escritura y update de las mismas, de ning\'fan modo podr\'e1 hacer alteraciones al esquema f\'edsico que compone la base de datos de la aplicaci\'f3n.} -\par \pard\plain \sb240\sa120\keepn\f3\fs28\lang3082\i\b\f3\i\b\f3\i\b \ltrpar\s11\cf0{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb240\sa120\keepn\ql\rtlch\af3\afs24\lang255\ai\ab\ltrch\dbch\af3\afs24\langfe255\ai\ab\loch\f3\fs28\lang3082\i\b {\loch\f3\fs28\lang3082\i\b Detecci\'f3n de intrusiones} -\par \pard\plain \ltrpar\s2\qj\sb170\sa119\rtlch\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f3\fs24\lang3082 {\loch\f3\fs24\lang3082\i0\b0 Para respaldar la seguridad de los usuarios, se establece como m\'e1ximo un n\'famero de 3 intentos seguidos de login. Si el cuarto intento es fallido, la aplicaci\'f3n debe lockear la cuenta del usuario v\'eda LDAP e inhabilitar al mismo. S\'f3lo el administrador LDAP d -eber\'e1 ser capaz de rehabilitar y poner online al usuario, y en caso de p\'e9rdida de password, el administrador LDAP deber\'e1 pisar el password y se requerir\'e1 al usuario que cambie el password en el dominio al reingresar a la estaci\'f3n de trabajo. Todo esto se h -ar\'e1 desde la clase {\b inetOrgPerson }explicada en el modelo 14 \endash {\b implementaci\'f3n de seguridad}.} -\par \pard\plain \ltrpar\s2\qj\sb170\sa119\rtlch\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f3\fs24\lang3082{\loch\f3\fs24\lang3082\i0\b{\b NOTA: }}{\loch\f3\fs24\lang3082el administrador pisar\'e1 el password del usuario y habilitar\'e1 los flags necesarios para que el dominio exija un ingreso de password para entrar por parte del usuario. Este paso es instant\'e1neo y debe ser instru\'eddo el empleado a realizarlo autom\'e1ticamen -te al confirmarle el administrador que su password est\'e1 listo para ser llenado. De la misma manera al ingresar un nuevo usuario se proceder\'e1 de la misma manera. El acceso a una terminal f\'edsica por agentes externos se deber\'eda contemplar en una documentaci\'f3n - aparte acerca de seguridad a nivel organizacional, pero de todas formas debe estar garantizado que un extra\'f1o realice un acceso a una terminal propia de la empresa justo en el momento en que su password est\'e1 vulnerable.} -\par \pard\plain \sb240\sa120\keepn\f3\fs28\lang3082\i\b\f3\i\b\f3\i\b \ltrpar\s11\cf0{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb240\sa120\keepn\ql\rtlch\af3\afs24\lang255\ai\ab\ltrch\dbch\af3\afs24\langfe255\ai\ab\loch\f3\fs28\lang3082\i\b {\loch\f3\fs28\lang3082\i\b Glosario de t\'e9rminos para los estandares utilzados} -\par \pard\plain \ltrpar\s2\qj\sb170\sa119\rtlch\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f3\fs24\lang3082 {\loch\f3\fs24\lang3082\i0\b0 Si bien todo lo usado en este documento son est\'e1ndares internacionales altamente utilizados a nivel mundial, esta \'faltima secci\'f3n provee un mini glosario con aquellos t\'e9rminos que puedan resultar de dif\'edcil comprensi\'f3n para el lector.} -\par \pard\plain \ltrpar\s2\qj\sb170\sa119\rtlch\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f3\fs24\lang3082{\loch\f3\fs24\lang3082\i0\b{\b ISO (Internacional Organization for Standarization):}}{\loch\f3\fs24\lang3082organizaci\'f3n mundial cuyo objetivo es la normalizaci\'f3n de un gran n\'famero de actividades y procedimientos a nivel corporativo, cient\'edfico o de procedimiento.} -\par \pard\plain \ltrpar\s2\qj\sb170\sa119\rtlch\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f3\fs24\lang3082{\loch\f3\fs24\lang3082\i0\b{\b IETF (Internet Engineer Task Force):}}{\loch\f3\fs24\lang3082organizaci\'f3n mundial dedicada a la estandarizaci\'f3n de protocolos de red disponibles p\'fablicamente en internet en RFCs.} -\par \pard\plain \ltrpar\s2\qj\sb170\sa119\rtlch\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f3\fs24\lang3082{\loch\f3\fs24\lang3082\i0\b{\b RFC (Request for Comments):}}{\loch\f3\fs24\lang3082cada RFC es la definici\'f3n de un protocolo de la IETF donde se incluyen todos los detalles e interfaces de los mismos, los cuales deben ser respetados estrictamente para mantener compatibilidad en las comunicaciones.} -\par \pard\plain \ltrpar\s2\qj\sb170\sa119\rtlch\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f3\fs24\lang3082{\loch\f3\fs24\lang3082\i0\b{\b ISO 17799:2002 esquema-1: }}{\loch\f3\fs24\lang3082est\'e1ndar a nivel internacional desarrollado por ISO para tratar la seguridad en tecnolog\'eda de la informaci\'f3n. Este estandar es requerido a nivel megacorporativo y normaliza todo el desenvolvimiento relacionado a la informaci\'f3n tan -to electr\'f3nica como no electr\'f3nica. Este documento es una versi\'f3n acotada de los pasos a seguir propuestos por este esquema.} -\par \pard\plain \ltrpar\s2\qj\sb170\sa119\rtlch\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f3\fs24\lang3082{\loch\f3\fs24\lang3082\i0\b{\b Directorio X.500:}}{\loch\f3\fs24\lang3082se cita la definici\'f3n provista por la {\b Universidad de Murcia, Espa\'f1a} acerca de este est\'e1ndar \ldblquote {\i\cf1 X.500 como normativa nace como un intento de impulsar la construcci\'f3n de un servicio de {\b Directorio a nivel mundial}, {\b totalmente distribuido} para pr -oporcionar servicio tanto a personas como a m\'e1quinas. La normativa ha sido desarrollada conjuntamente por ISO y el CCITT, dando lugar en 1988 a la primera serie de recomendaciones}\rdblquote . En resumen, es una base de datos jer\'e1rquica con interfaces de acceso bien -definidas y estrictas.} -\par \pard\plain \ltrpar\s2\qj\sb170\sa119\rtlch\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f3\fs24\lang3082{\loch\f3\fs24\lang3082\i0\b{\b DAP (Directory Access Protocol)}}{\loch\f3\fs24\lang3082: es parte del est\'e1ndar X.500 y define una de las interfaces con el directorio.} -\par \pard\plain \ltrpar\s2\qj\sb170\sa119\rtlch\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f3\fs24\lang3082{\loch\f3\fs24\lang3082\i0\b{\b LDAP (Lightway Directory Access Protocol):}}{\loch\f3\fs24\lang3082es el est\'e1ndar usado hoy en d\'eda para el acceso a directorios X.500. En un primer momento se utilizaba DAP pero se realiz\'f3 un acotamiento del mismo protocolo rest\'e1ndole complejidad poco o nunca utilizada, resultando - este protocolo que se define en las RFC de la IETF citadas al comienzo del documento.} -\par \pard\plain \ltrpar\s2\qj\sb170\sa119\rtlch\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f3\fs24\lang3082{\loch\f3\fs24\lang3082\i0\b{\b LDAP URI: }}{\loch\f3\fs24\lang3082protocolo de acceso a directorio v\'eda una URL, descrita en una RFC de la IETF.} -\par \pard\plain \ltrpar\s2\qj\sb170\sa119\rtlch\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f3\fs24\lang3082{\loch\f3\fs24\lang3082\i0\b{\b LDIF:}}{\loch\f3\fs24\lang3082est\'e1ndar de serializaci\'f3n de los objetos del directorio, tambipen descrito en una RFC de la IETF. Mediante este protocolo se pueden tener objetos serializados. Adicionalmente, establece una interfaz con el directorio tanto para exportar como para impo -rtar archivos de este tipo, facilitando backups de la base, y generaci\'f3n de multiples objetos.} -\par \pard\plain \ltrpar\s2\qj\sb170\sa119\rtlch\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f3\fs24\lang3082{\loch\f3\fs24\lang3082\i0\b{\b TCP:}}{\loch\f3\fs24\lang3082protocolo de transporte. Es parte de la pila TCP/IP y se ubica en la capa de transporte. Su objetivo es garantizar la transmisi\'f3n de la informaci\'f3n y garantizar que la misma llegue a las capas superiores en el orden en que fue mandada.} -\par \pard\plain \ltrpar\s2\qj\sb170\sa119\rtlch\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f3\fs24\lang3082{\loch\f3\fs24\lang3082\i0\b{\b Puerto TCP:}}{\loch\f3\fs24\lang3082es el punto de acceso al servicio (SAP) de las capas superiores (aplicaci\'f3n, presentaci\'f3n y sesi\'f3n). Las aplicaciones que se comunican a trav\'e9s de la red deber\'e1n establecer un n\'famero llamado puerto tanto de origen como destino, de modo de que el - protocolo TCP pueda trabajar para m\'faltiples aplicaciones simult\'e1neamente.} -\par \pard\plain \ltrpar\s2\qj\sb170\sa119\rtlch\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f3\fs24\lang3082{\loch\f3\fs24\lang3082\i0\b{\b SSL (Secure Socket Layer):}}{\loch\f3\fs24\lang3082protocolo para trasmisi\'f3n de informci\'f3n en modo seguro a trav\'e9s de una red, desarrollado por Netscape. El mismo descansa sobre TCP, y utiliza certificados clave p\'fablica/privada para realizar una transmisi\'f3n encriptada sobre un can -al.} -\par \pard\plain \ltrpar\s2\qj\sb170\sa119\rtlch\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f3\fs24\lang3082{\loch\f3\fs24\lang3082\i0\b{\b SFTP (Secure File Transfer Protocol):}}{\loch\f3\fs24\lang3082protocolo utilizado principalmente para hacer subida y bajada de archivos entre m\'e1quinas remotas. Es FTP resposando sobre una capa SSL.} -\par \pard\plain \ltrpar\s2\qj\sb170\sa119\rtlch\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f3\fs24\lang3082{\loch\f3\fs24\lang3082\i0\b{\b SSH (Secure Shell):}}{\loch\f3\fs24\lang3082protocolo reemplazante del RLogin el cual reposa sobre una transmisi\'f3n encriptada mediante certificados correspondientes.} -\par \pard\plain \ltrpar\s2\qj\sb170\sa119\rtlch\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f3\fs24\lang3082{\loch\f3\fs24\lang3082\i0\b{\b SCP (Secure Copy):}}{\loch\f3\fs24\lang3082protocolo que reposa sobre SSH para realizar subida y bajada de archivos entre terminales remotas, encriptando la informaci\'f3n que viaja por la red.} -\par \pard\plain \ltrpar\s2\qj\sb170\sa119\rtlch\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f3\fs24\lang3082{\loch\f3\fs24\lang3082\i0\b{\b NOC (Networt Operation Center):}}{\loch\f3\fs24\lang3082lugar f\'edsico donde residen servidores y dispositivos de networking de capa 1 a la 3, enfocados primordialmente en mantener la infraestructura de red de una o varias organizaciones, y en menor grado el funcionamiento de servi -cios. Si priman servers de informaci\'f3n sobre los dispositivos de networking suele llamarse DataCenter.} -\par \pard\plain \ltrpar\s2\qj\sb170\sa119\rtlch\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f3\fs24\lang3082{\loch\f3\fs24\lang3082\i0\b{\b RACK:}}{\loch\f3\fs24\lang3082proveniente del ingl\'e9s, d\'edcese del armario donde residen diversos dispositivos de networking como servers, switches, hubs y routers. Los mismos vienen constru\'eddos para tales fines y los dispositivos proveen soportes estandarizados para poder ser apila -dos en los mismos.} -\par \pard\plain \ltrpar\s2\qj\sb170\sa119\rtlch\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f3\fs24\lang3082{\loch\f3\fs24\lang3082\i0\b{\b SMB/CIFS:}}{\loch\f3\fs24\lang3082protocolo utilizado para el compartimiento de recursos para grupos de trabajo, proveyendo reglas como autenticaci\'f3n y autorizaci\'f3n a recursos.} -\par \pard\plain \ltrpar\s2\qj\sb170\sa119\rtlch\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f3\fs24\lang3082{\loch\f3\fs24\lang3082\i0\b{\b PDC:}}{\loch\f3\fs24\lang3082siglas de Primary Domain Controler. Es el server que se encarga de realizar la autenticaci\'f3n y autenticaci\'f3n en un dominio SMB.} -\par \pard\plain \ltrpar\s2\qj\sb170\sa119\rtlch\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f3\fs24\lang3082{\loch\f3\fs24\lang3082\i0\b{\b BDC: }}{\loch\f3\fs24\lang3082realiza el mismo trabajo que el server PDC, pero a nivel secundario, es decir, retoma su actividad en caso de detectar que sa crasheado el PDC.} -\par \pard\plain \ltrpar\s2\qj\sb170\sa119\rtlch\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f3\fs24\lang3082{\loch\f3\fs24\lang3082\i0\b{\b Encriptaci\'f3n LanManager: }}{\loch\f3\fs24\lang3082se toma el password del usuario y se lo trunca a 14 bytes (o se lo rellena si no llega a esta cantidad). Con estos 14 bytes se encripta 3 veces un string predefinido de 8 bytes utilizando el algoritmo DES.} -\par \pard\plain \ltrpar\s2\qj\sb170\sa119\rtlch\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f3\fs24\lang3082{\loch\f3\fs24\lang3082\i0\b{\b Encriptaci\'f3n NT:}}{\loch\f3\fs24\lang3082se toma el password del usuario, se lo convierte a unicode y se le aplica un hash MD4. Muy f\'e1cil de romper.} -\par \pard\plain \ltrpar\s2\qj\sb170\sa119\rtlch\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f3\fs24\lang3082{\loch\f3\fs24\lang3082\i0\b{\b ISP (Internet Service Provider):}}{\loch\f3\fs24\lang3082compa\'f1\'eda proveedora de enlaces corporativos y/o hogare\'f1os para conectividad a internet o propia.} -\par \pard\plain \ltrpar\s2\qj\sb170\sa119\rtlch\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f3\fs24\lang3082{\loch\f3\fs24\lang3082\i0\b{\b SMTP (Simple Mail Transfer Protocol):}}{\loch\f3\fs24\lang3082protocolo para el env\'edo de mensajer\'eda (llamado t\'edpicamente \lquote e-mail\rquote ) a trav\'e9s de una red. Es RFC en la IETF.} -\par \pard\plain \ltrpar\s2\qj\sb170\sa119\rtlch\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f3\fs24\lang3082{\loch\f3\fs24\lang3082\i0\b{\b No repudiation:}}{\loch\f3\fs24\lang3082metodolog\'eda a nivel electr\'f3nico que garantiza que una actividad o documento ejecutada por una entidad (individuo, corporaci\'f3n, etc), no puede ser refutada por la misma.} -\par \pard\plain \ltrpar\s2\qj\sb170\sa119\rtlch\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f3\fs24\lang3082{\loch\f3\fs24\lang3082\i0\b{\b SQL (Structured Query Language):}}{\loch\f3\fs24\lang3082desarrollado originalmente por IBM, es un est\'e1ndar para comunicaci\'f3n con una base de datos relacional. Hoy en d\'eda existe un ANSI base del que parten todos los motores, y customizado seg\'fan el motor en particular, lo que lo ha -ce un lenguaje d\'e9bil y poco portable, a diferencia de LDAP.} -\par \pard\plain \ltrpar\s2\qj\sb170\sa119\rtlch\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f3\fs24\lang3082{\loch\f3\fs24\lang3082\i0\b{\b Application Server:}}{\loch\f3\fs24\lang3082Servidor de aplicaciones Java tales como JSP o Servlets (o los m\'e1s recientes Portlets). Proveen servicios a nivel portal para aplicaciones tanto de intrnet como extranet.} -\par \pard\plain \ltrpar\s2\qj\sb170\sa119\rtlch\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f3\fs24\lang3082{\loch\f3\fs24\lang3082\i0\b{\b JAVA:}}{\loch\f3\fs24\lang3082lenguaje originalmente llamado OAK desarrollado por Sun Microsystems, totalmente orientado a objetos. El mismo es interpretado por una JVM (m\'e1quina virtual), la cual posee la desvirtud de consumir muchos recursos de la m\'e1quina, y a su vez no permite r -ealizar tareas de bajo nivel, sin utilizar la interfaz de lenguaje nativo.} +\pard\plain \ltrpar\s10\cf0\qc{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb240\sa120\keepn\rtlch\af1\afs24\lang255\ai\ab\ltrch\dbch\af1\afs24\langfe2058\ai\ab\loch\f5\fs24\lang2058\i\b +\par \pard\plain \ltrpar\s10\cf0{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\rtlch\af1\afs24\lang255\ai\ab\ltrch\dbch\af1\afs24\langfe2058\ai\ab\loch\f5\fs24\lang2058\i\b {\loch\f5\fs24\lang2058\i\b Seguridad frente a accesos externos e internos} +\par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082{\loch\f5\fs24\lang3082\i0\b0{ Las transacciones que se realicen por las aplicaciones deben realizarse a trav}}{\loch\f5\fs24\lang3082\'e9{s de un canal SSL, debiendo implementarse internamente un CA que emita certificados, los cuales deber}\'e1{n ser incorporados por todas las instancias clientes de la aplicaci}\'f3{n para +poder establecer comunicaciones con las respectivas fuentes de datos. Bajo ning}\'fa{n punto de vista se permitir}\'e1{ informaci}\'f3{n viajando v}\'ed{a texto plano.}} +\par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082{\loch\f5\fs24\lang3082\i0\b0{ En relaci}}{\loch\f5\fs24\lang3082\'f3{n a esto, tambi}\'e9{n se deber}\'e1{n establecer canales SSL para las comunicaciones provenientes desde el exterior. Todos los archivos recibidos por los prestadores deber}\'e1{n viajar bajo SSL. En este caso se deber}\'e1{ comprar certificados de un CA correspondi +ente disponible en Internet para garantizar la identidad de los participantes de la transacci}\'f3{n. Los mismos deber}\'e1{n ser enviados por SFTP o SCP.}} +\par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082{\loch\f5\fs24\lang3082\i0\b0{ En el caso de los archivos subidos desde los prestadores y la cl}}{\loch\f5\fs24\lang3082\'ed{nica, el formato de los documentos depender}\'e1{n de la operativa necesitada por la aplicaci}\'f3{n. En esta fase inicial los documentos transaccionados son emitidos v}\'ed{a un web service utilizando el e +st}\'e1{ndar XML y v}\'ed{a FTP, seg}\'fa{n las interfaces ya pactadas por ambas partes.}} +\par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082{\loch\f5\fs24\lang3082\i0\b0{ En relaci}}{\loch\f5\fs24\lang3082\'f3{n al }\'fa{ltimo p}\'e1{rrafo, es importante tener en cuenta que estas transacciones implican un alto impacto entre las partes negociantes, con lo cual se {\b recomienda} que en el {\b futuro}, se reconsidere que el documento trasmitido sea concatenado con la firma +digital del origen de manera que garantice el {\b no repudiation} de la informaci}\'f3{n enviada, y adicionalmente, todo este paquete deber}\'e1{ finalizarse con el hash MD5 del conjunto, certificando as}\'ed{ que la informaci}\'f3{n recibida es la que fue enviada desde el origen. + Esto es s}\'f3{lo una recomendaci}\'f3{n a futuro y deber}\'e1{ ser evaluada por ambas partes como un proyecto aparte.}} +\par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082{\loch\f5\fs24\lang3082\i0\b0{ Para cada CAP deber}}{\loch\f5\fs24\lang3082\'e1{ implementarse un firewall de modo que s}\'f3{lo est}\'e9{n abiertos los puertos que se utilicen para la aplicaci}\'f3{n, mail y mensajer}\'ed{a. Visto y considerando el desempe}\'f1{o y papel que tienen los CAPs, deber}\'e1{n bloquearse todos los paquetes ICMP ya q +ue no tienen sentido a nivel interno. Deber}\'e1{n est}\'e1{r disponibles a la altura del GateWay para que el administrador local de infraestructura pueda hacer debuggings y correcciones en casos de contingencia.}} +\par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082{\loch\f5\fs24\lang3082\i0\b0{ Tambi}}{\loch\f5\fs24\lang3082\'e9{n debe est}\'e1{r debidamente configurado un firewall desde la Sede Central hacia la salida al exterior, permitiendo el paso }\'fa{nico de puertos sobre de nivel aplicativo. Se deber}\'e1{ habilitar exclusivamente la salida a Inteneret para servicios como SMTP y aq +uellos que necesariamente requieran de la red externa. Asimismo se negociar}\'e1{ con la parte gerencial, ya que por lo general son los que demandan tener conectividad con Internet, y servicios de mensajer}\'ed{a externos.}} +\par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082{\loch\f5\fs24\lang3082\i0\b0{ Los WebServers deben estar detr}}{\loch\f5\fs24\lang3082\'e1{s del firewall dentro del NOC de la Sede Central. El mismo estar}\'e1{ habilitado hacia el exterior para cumplimentar con las transacciones online del cliente. En casos futuros de pasar a un Application Server se deber}\'e1{ respetar +las mismas reglas, reconfigurando el FireWall para que habilitar la entrada y salida hacia el mismo.}} +\par \pard\plain \ltrpar\s10\cf0{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\rtlch\af1\afs24\lang255\ai\ab\ltrch\dbch\af1\afs24\langfe2058\ai\ab\loch\f5\fs24\lang2058\i\b {\loch\f5\fs24\lang2058\i\b Backups} +\par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082{\loch\f5\fs24\lang3082\i0\b0{ Dado a que se prev}}{\loch\f5\fs24\lang3082\'e9{e un alto volumen de tr}\'e1{fico diario con la base de datos, se establecer}\'e1{ un backupeo de la base de datos, diariamente y en forma progresiva, los cuales ser}\'e1{n pasados a cinta y almacenados en lugares debidamente custodiados, preferentemen +te bajo llave electr}\'f3{nica o mediante autenticaci}\'f3{n biom}\'e9{trica.}} +\par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082{\loch\f5\fs24\lang3082\i0\b0{ Para el servicio de directorio se bajar}}{\loch\f5\fs24\lang3082\'e1{ a un LDIF semanalmente, debido a que el mismo no sufrir}\'e1{ cambios en el corto plazo.}} +\par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082{\loch\f5\fs24\lang3082\i0\b{{\b NOTA: }}}{\f6\f6{\loch\f5\fs24\lang3082estos backups son a nivel servidores y no lo referente a la informaci}}{\loch\f5\fs24\lang3082\'f3{n que por lo general maneja la base de datos, contemplado en el modelo 06, {\b Modelo de Procesamiento}. Estos backups se hacen en forma progresiva y se almacenan en cinta y es el respa +ldo ante incontingencias y desastre. Solamente en el caso del directorio adicionalmente se guardar}\'e1{ el LDIF como se nombr}\'f3{ recientemente.}} +\par \pard\plain \ltrpar\s10\cf0{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\rtlch\af1\afs24\lang255\ai\ab\ltrch\dbch\af1\afs24\langfe2058\ai\ab\loch\f5\fs24\lang2058\i\b {\loch\f5\fs24\lang2058\i\b Auditor\'eda} +\par \pard\plain \ltrpar\s11\cf0{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\rtlch\af1\afs24\lang255\ab\ltrch\dbch\af1\afs24\langfe2058\ab\loch\f5\fs24\lang2058\b {\loch\f5\fs24\lang2058\i0\b Servers y software de base} +\par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082{\loch\f5\fs24\lang3082\i0\b0{ Se deben activar todos los logs de los servers y software de base utilizado, con un grado moderado de informaci}}{\loch\f5\fs24\lang3082\'f3{n adem}\'e1{s del timestamp de cada evento detectado, e incluyendo de ser posible un owner que haya disparado el evento. Los mismos deber}\'e1{n ser backu +peados regularmente a intervalos diarios y bajados a cinta, para auditar a futuro en caso de contingencias. Es fundamental e indispensable que entre los servicios que logueen se encuentren la base de datos de la aplicaci}\'f3{n (para detectar eventos a nivel tr +ansacci}\'f3{n) y el directorio, para detectar intentos de intrusi}\'f3{n.}} +\par \pard\plain \ltrpar\s11\cf0{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\rtlch\af1\afs24\lang255\ab\ltrch\dbch\af1\afs24\langfe2058\ab\loch\f5\fs24\lang2058\b {\loch\f5\fs24\lang2058\i0\b Aplicaci\'f3n} +\par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082{\loch\f5\fs24\lang3082\i0\b0{ La aplicaci}}{\loch\f5\fs24\lang3082\'f3{n deber}\'e1{ emitir un archivo de log por cada evento ocurrido. Principalmente deber}\'e1{ auditarse la pantalla de login y el logout del usuario, para detectar quien entr}\'f3{ a la aplicaci}\'f3{n, quien sali}\'f3{ y a que hora, as}\'ed{ como intentos de intrusi}\'f3{n o adiv +inaci}\'f3{n de passwords.}} +\par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082{\loch\f5\fs24\lang3082\i0\b0{ Dentro de la aplicaci}}{\loch\f5\fs24\lang3082\'f3{n se deber}\'e1{ loguear cada transacci}\'f3{n cr}\'ed{tica con la base (como inserts o updates, no es necesario autidar selects a este nivel, para ello est}\'e1{ra el log de la base de dato propia). Tambi}\'e9{n deber}\'e1{n auditarse aquellas operaciones a nivel + de negocio, como por ejemplo la anexi}\'f3{n de un Afiliado y por quien fue realizada, con su respectivo timestamp.}} +\par \pard\plain \ltrpar\s10\cf0{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\rtlch\af1\afs24\lang255\ai\ab\ltrch\dbch\af1\afs24\langfe2058\ai\ab\loch\f5\fs24\lang2058\i\b {\loch\f5\fs24\lang2058\i\b Seguridad dentro de la aplicaci\'f3n} +\par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082{\loch\f5\fs24\lang3082\i0\b0{ Desde el momento del desarrollo se deber}}{\loch\f5\fs24\lang3082\'e1{n tener las precauciones necesarias para evitar ataques comunes. Es obligatorio que en ning}\'fa{n momento valores introducidos por el usuario sean llevados directamente a la base de datos. Las transacciones con la misma + deben estar en una capa superior evitando ataques indirectos a la base de datos, como {\b sql injection}. En el caso de ser absolutamente necesario llevar el contenido de una entrada del usuario a una sentencia sql, la misma deber}\'e1{ obligatoriamente parsearse c +on expresiones regulares a fin de detectar que venga sql embebido en la misma, el cual pudiera ocasionar inclusive hasta el borrado de las tablas si se tuvieran los permisos necesarios.}} +\par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082{\loch\f5\fs24\lang3082\i0\b0{ Referido a esto }}{\loch\f5\fs24\lang3082\'fa{ltimo, se deber}\'e1{ prearmar un usuario para el acceso a la base de datos, el cual deba tener restringido el acceso a la misma para hacer operaciones sobre el esquema de la misma. El usuario en el cual se impersonificar}\'e1{ la apliaci}\'f3{n deber}\'e1{ t +ener permiso de lectura sobre las tablas y escritura y update de las mismas, de ning}\'fa{n modo podr}\'e1{ hacer alteraciones al esquema f}\'ed{sico que compone la base de datos de la aplicaci}\'f3{n.}} +\par \pard\plain \ltrpar\s10\cf0{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\rtlch\af1\afs24\lang255\ai\ab\ltrch\dbch\af1\afs24\langfe2058\ai\ab\loch\f5\fs24\lang2058\i\b {\loch\f5\fs24\lang2058\i\b Detecci\'f3n de intrusiones} +\par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082{\loch\f5\fs24\lang3082\i0\b0{ Para respaldar la seguridad de los usuarios, se establece como m}}{\loch\f5\fs24\lang3082\'e1{ximo un n}\'fa{mero de 3 intentos seguidos de login. Si el cuarto intento es fallido, la aplicaci}\'f3{n debe lockear la cuenta del usuario v}\'ed{a LDAP e inhabilitar al mismo. S}\'f3{lo el administrador LDAP d +eber}\'e1{ ser capaz de rehabilitar y poner online al usuario, y en caso de p}\'e9{rdida de password, el administrador LDAP deber}\'e1{ pisar el password y se requerir}\'e1{ al usuario que cambie el password en el dominio al reingresar a la estaci}\'f3{n de trabajo. Todo esto se h +ar}\'e1{ desde la clase {\b inetOrgPerson }explicada en el modelo 14 }\endash { {\b implementaci}}{\b\b\b\'f3{n de seguridad}}{\f6\f6.}} +\par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082{\loch\f5\fs24\lang3082\i0\b{{\b NOTA: }}}{\f6\f6{\loch\f5\fs24\lang3082el administrador pisar}}{\loch\f5\fs24\lang3082\'e1{ el password del usuario y habilitar}\'e1{ los flags necesarios para que el dominio exija un ingreso de password para entrar por parte del usuario. Este paso es instant}\'e1{neo y debe ser instru}\'ed{do el empleado a realizarlo autom}\'e1{ticamen +te al confirmarle el administrador que su password est}\'e1{ listo para ser llenado. De la misma manera al ingresar un nuevo usuario se proceder}\'e1{ de la misma manera. El acceso a una terminal f}\'ed{sica por agentes externos se deber}\'ed{a contemplar en una documentaci}\'f3{n + aparte acerca de seguridad a nivel organizacional, pero de todas formas debe estar garantizado que un extra}\'f1{o realice un acceso a una terminal propia de la empresa justo en el momento en que su password est}\'e1{ vulnerable.}} +\par \pard\plain \ltrpar\s10\cf0{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\rtlch\af1\afs24\lang255\ai\ab\ltrch\dbch\af1\afs24\langfe2058\ai\ab\loch\f5\fs24\lang2058\i\b {\loch\f5\fs24\lang2058\i\b Glosario de t\'e9rminos para los estandares utilzados} +\par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082{\loch\f5\fs24\lang3082\i0\b0{ Si bien todo lo usado en este documento son est}}{\loch\f5\fs24\lang3082\'e1{ndares internacionales altamente utilizados a nivel mundial, esta }\'fa{ltima secci}\'f3{n provee un mini glosario con aquellos t}\'e9{rminos que puedan resultar de dif}\'ed{cil comprensi}\'f3{n para el lector.}} +\par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082{\loch\f5\fs24\lang3082\i0\b{{\b ISO (Internacional Organization for Standarization):}}}{\f6\f6{\loch\f5\fs24\lang3082organizaci}}{\loch\f5\fs24\lang3082\'f3{n mundial cuyo objetivo es la normalizaci}\'f3{n de un gran n}\'fa{mero de actividades y procedimientos a nivel corporativo, cient}\'ed{fico o de procedimiento.}} +\par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082{\loch\f5\fs24\lang3082\i0\b{{\b IETF (Internet Engineer Task Force):}}}{\f6\f6{\loch\f5\fs24\lang3082organizaci}}{\loch\f5\fs24\lang3082\'f3{n mundial dedicada a la estandarizaci}\'f3{n de protocolos de red disponibles p}\'fa{blicamente en internet en RFCs.}} +\par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082{\loch\f5\fs24\lang3082\i0\b{{\b RFC (Request for Comments):}}}{\f6\f6{\loch\f5\fs24\lang3082cada RFC es la definici}}{\loch\f5\fs24\lang3082\'f3{n de un protocolo de la IETF donde se incluyen todos los detalles e interfaces de los mismos, los cuales deben ser respetados estrictamente para mantener compatibilidad en las comunicaciones.}} +\par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082{\loch\f5\fs24\lang3082\i0\b{{\b ISO 17799:2002 esquema-1: }}}{\f6\f6{\loch\f5\fs24\lang3082est}}{\loch\f5\fs24\lang3082\'e1{ndar a nivel internacional desarrollado por ISO para tratar la seguridad en tecnolog}\'ed{a de la informaci}\'f3{n. Este estandar es requerido a nivel megacorporativo y normaliza todo el desenvolvimiento relacionado a la informaci}\'f3{n tan +to electr}\'f3{nica como no electr}\'f3{nica. Este documento es una versi}\'f3{n acotada de los pasos a seguir propuestos por este esquema.}} +\par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082{\loch\f5\fs24\lang3082\i0\b{{\b Directorio X.500:}}}{\f6\f6{\loch\f5\fs24\lang3082se cita la definici}}{\loch\f5\fs24\lang3082\'f3{n provista por la {\b Universidad de Murcia, Espa}}{\b\b\b\'f1{a}}{\f6\f6acerca de este est}\'e1{ndar }\ldblquote {\i\cf1{ X.500 como normativa nace como un intento de impulsar la construcci}}{\i\i\i\cf1\'f3{n de un servicio de {\b Directorio a nivel mundial}, {\b totalmente distribuido} para pro +porcionar servicio tanto a personas como a m}\'e1{quinas. La normativa ha sido desarrollada conjuntamente por ISO y el CCITT, dando lugar en 1988 a la primera serie de recomendaciones}}\rdblquote {. En resumen, es una base de datos jer}\'e1{rquica con interfaces de acceso bien d +efinidas y estrictas.}} +\par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082{\loch\f5\fs24\lang3082\i0\b{{\b DAP (Directory Access Protocol)}}}{\f6\f6{\loch\f5\fs24\lang3082: es parte del est}}{\loch\f5\fs24\lang3082\'e1{ndar X.500 y define una de las interfaces con el directorio.}} +\par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082{\loch\f5\fs24\lang3082\i0\b{{\b LDAP (Lightway Directory Access Protocol):}}}{\f6\f6{\loch\f5\fs24\lang3082es el est}}{\loch\f5\fs24\lang3082\'e1{ndar usado hoy en d}\'ed{a para el acceso a directorios X.500. En un primer momento se utilizaba DAP pero se realiz}\'f3{ un acotamiento del mismo protocolo rest}\'e1{ndole complejidad poco o nunca utilizada, resultando + este protocolo que se define en las RFC de la IETF citadas al comienzo del documento.}} +\par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082{\loch\f5\fs24\lang3082\i0\b{{\b LDAP URI: }}}{\f6\f6{\loch\f5\fs24\lang3082protocolo de acceso a directorio v}}{\loch\f5\fs24\lang3082\'ed{a una URL, descrita en una RFC de la IETF.}} +\par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082{\loch\f5\fs24\lang3082\i0\b{{\b LDIF:}}}{\f6\f6{\loch\f5\fs24\lang3082est}}{\loch\f5\fs24\lang3082\'e1{ndar de serializaci}\'f3{n de los objetos del directorio, tambipen descrito en una RFC de la IETF. Mediante este protocolo se pueden tener objetos serializados. Adicionalmente, establece una interfaz con el directorio tanto para exportar como para impo +rtar archivos de este tipo, facilitando backups de la base, y generaci}\'f3{n de multiples objetos.}} +\par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082{\loch\f5\fs24\lang3082\i0\b{{\b TCP:}}}{\f6\f6{\loch\f5\fs24\lang3082protocolo de transporte. Es parte de la pila TCP/IP y se ubica en la capa de transporte. Su objetivo es garantizar la transmisi}}{\loch\f5\fs24\lang3082\'f3{n de la informaci}\'f3{n y garantizar que la misma llegue a las capas superiores en el orden en que fue mandada.}} +\par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082{\loch\f5\fs24\lang3082\i0\b{{\b Puerto TCP:}}}{\f6\f6{\loch\f5\fs24\lang3082es el punto de acceso al servicio (SAP) de las capas superiores (aplicaci}}{\loch\f5\fs24\lang3082\'f3{n, presentaci}\'f3{n y sesi}\'f3{n). Las aplicaciones que se comunican a trav}\'e9{s de la red deber}\'e1{n establecer un n}\'fa{mero llamado puerto tanto de origen como destino, de modo de que el + protocolo TCP pueda trabajar para m}\'fa{ltiples aplicaciones simult}\'e1{neamente.}} +\par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082{\loch\f5\fs24\lang3082\i0\b{{\b SSL (Secure Socket Layer):}}}{\f6\f6{\loch\f5\fs24\lang3082protocolo para trasmisi}}{\loch\f5\fs24\lang3082\'f3{n de informci}\'f3{n en modo seguro a trav}\'e9{s de una red, desarrollado por Netscape. El mismo descansa sobre TCP, y utiliza certificados clave p}\'fa{blica/privada para realizar una transmisi}\'f3{n encriptada sobre un can +al.}} +\par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082{\loch\f5\fs24\lang3082\i0\b{{\b SFTP (Secure File Transfer Protocol):}}}{\f6\f6{\loch\f5\fs24\lang3082protocolo utilizado principalmente para hacer subida y bajada de archivos entre m}}{\loch\f5\fs24\lang3082\'e1{quinas remotas. Es FTP resposando sobre una capa SSL.}} +\par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082{\loch\f5\fs24\lang3082\i0\b{{\b SSH (Secure Shell):}}}{\f6\f6{\loch\f5\fs24\lang3082protocolo reemplazante del RLogin el cual reposa sobre una transmisi}}{\loch\f5\fs24\lang3082\'f3{n encriptada mediante certificados correspondientes.}} +\par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082{\loch\f5\fs24\lang3082\i0\b{{\b SCP (Secure Copy):}}}{\f6\f6{\loch\f5\fs24\lang3082protocolo que reposa sobre SSH para realizar subida y bajada de archivos entre terminales remotas, encriptando la informaci}}{\loch\f5\fs24\lang3082\'f3{n que viaja por la red.}} +\par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082{\loch\f5\fs24\lang3082\i0\b{{\b NOC (Networt Operation Center):}}}{\f6\f6{\loch\f5\fs24\lang3082lugar f}}{\loch\f5\fs24\lang3082\'ed{sico donde residen servidores y dispositivos de networking de capa 1 a la 3, enfocados primordialmente en mantener la infraestructura de red de una o varias organizaciones, y en menor grado el funcionamiento de servi +cios. Si priman servers de informaci}\'f3{n sobre los dispositivos de networking suele llamarse DataCenter.}} +\par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082{\loch\f5\fs24\lang3082\i0\b{{\b RACK: }}}{\f6\f6{\loch\f5\fs24\lang3082proveniente del ingl}}{\loch\f5\fs24\lang3082\'e9{s, d}\'ed{cese del armario donde residen diversos dispositivos de networking como servers, switches, hubs y routers. Los mismos vienen constru}\'ed{dos para tales fines y los dispositivos proveen soportes estandarizados para poder ser apil +ados en los mismos.}} +\par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082{\loch\f5\fs24\lang3082\i0\b{{\b SMB/CIFS: }}}{\f6\f6{\loch\f5\fs24\lang3082protocolo utilizado para el compartimiento de recursos para grupos de trabajo, proveyendo reglas como autenticaci}}{\loch\f5\fs24\lang3082\'f3{n y autorizaci}\'f3{n a recursos.}} +\par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082{\loch\f5\fs24\lang3082\i0\b{{\b SAMBA: }}}{\f6\f6{\loch\f5\fs24\lang3082servicio OpenSource que implementa un servidor SMB. Uno de sus usos es emular un Controlador de Dominio Windows, haciendo que las terminales Windows no noten que no es Windows quien est}}{\loch\f5\fs24\lang3082\'e1{ del otro lado.}} +\par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082{\loch\f5\fs24\lang3082\i0\b{{\b PDC: }}}{\f6\f6{\loch\f5\fs24\lang3082siglas de Primary Domain Controler. Es el server que se encarga de realizar la autenticaci}}{\loch\f5\fs24\lang3082\'f3{n y autenticaci}\'f3{n en un dominio SMB.}} +\par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082{\loch\f5\fs24\lang3082\i0\b{\b BDC: }}{\loch\f5\fs24\lang3082realiza el mismo trabajo que el server PDC, pero a nivel secundario, es decir, retoma su actividad en caso de detectar que sa crasheado el PDC.} +\par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082{\loch\f5\fs24\lang3082\i0\b{\b{ Encriptaci}}}{\b\b\b{\loch\f5\fs24\lang3082\b\'f3{n LanManager: }}}{\loch\f5\fs24\lang3082{\f6\f6se toma el password del usuario y se lo trunca a 14 bytes (o se lo rellena si no llega a esta cantidad). Con estos 14 bytes se encripta 3 veces un string predefinido de 8 bytes utilizando el algoritmo DES.}} +\par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082{\loch\f5\fs24\lang3082\i0\b{\b{ Encriptaci}}}{\b\b\b{\loch\f5\fs24\lang3082\b\'f3{n NT:}}}{\loch\f5\fs24\lang3082{\f6\f6se toma el password del usuario, se lo convierte a unicode y se le aplica un hash MD4. Muy f\'e1cil de romper.}} +\par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082{\loch\f5\fs24\lang3082\i0\b{{\b ISP (Internet Service Provider): }}}{\f6\f6{\loch\f5\fs24\lang3082compa}}{\loch\f5\fs24\lang3082\'f1\'ed{a proveedora de enlaces corporativos y/o hogare}\'f1{os para conectividad a internet o propia.}} +\par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082{\loch\f5\fs24\lang3082\i0\b{{\b SMTP (Simple Mail Transfer Protocol): }}}{\f6\f6{\loch\f5\fs24\lang3082protocolo para el env}}{\loch\f5\fs24\lang3082\'ed{o de mensajer}\'ed{a (llamado t}\'ed{picamente }\lquote {e-mail}\rquote {) a trav}\'e9{s de una red. Es RFC en la IETF.}} +\par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082{\loch\f5\fs24\lang3082\i0\b{{\b No repudiation: }}}{\f6\f6{\loch\f5\fs24\lang3082metodolog}}{\loch\f5\fs24\lang3082\'ed{a a nivel electr}\'f3{nico que garantiza que una actividad o documento ejecutada por una entidad (individuo, corporaci}\'f3{n, etc), no puede ser refutada por la misma.}} +\par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082{\loch\f5\fs24\lang3082\i0\b{{\b SQL (Structured Query Language): }}}{\f6\f6{\loch\f5\fs24\lang3082desarrollado originalmente por IBM, es un est}}{\loch\f5\fs24\lang3082\'e1{ndar para comunicaci}\'f3{n con una base de datos relacional. Hoy en d}\'ed{a existe un ANSI base del que parten todos los motores, y customizado seg}\'fa{n el motor en particular, lo que lo h +ace un lenguaje d}\'e9{bil y poco portable, a diferencia de LDAP.}} +\par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082{\loch\f5\fs24\lang3082\i0\b{{\b Application Server:}}}{\f6\f6{\loch\f5\fs24\lang3082Servidor de aplicaciones Java tales como JSP o Servlets (o los m}}{\loch\f5\fs24\lang3082\'e1{s recientes Portlets). Proveen servicios a nivel portal para aplicaciones tanto de intranet como extranet.}} +\par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082{\loch\f5\fs24\lang3082\i0\b{{\b JAVA: }}}{\f6\f6{\loch\f5\fs24\lang3082lenguaje originalmente llamado OAK desarrollado por Sun Microsystems, totalmente orientado a objetos. El mismo es interpretado por una JVM (m}}{\loch\f5\fs24\lang3082\'e1{quina virtual), la cual posee la desvirtud de consumir muchos recursos de la m}\'e1{quina, y a su vez no permite +realizar tareas de bajo nivel, sin utilizar la interfaz de lenguaje nativo.}} +\par \pard\plain \ltrpar\s10\cf0{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\rtlch\af1\afs24\lang255\ai\ab\ltrch\dbch\af1\afs24\langfe2058\ai\ab\loch\f5\fs24\lang2058\i\b{\loch\f5\fs24\lang2058\i\b{ Anexo - Detalle de la terminolog}}{\loch\f5\fs24\lang2058\i\b\'ed{a LDAP}} +\par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082 {\loch\f5\fs24\lang3082\i0\b0 Este pretende ser un mini resumen acerca de las funcionalidades previstas por el protocolo y algunas definiciones.} +\par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082 {\loch\f5\fs24\lang3082\i0\b0 En primer lugar, un directorio es un conjunto de objetos, llamados entries. Cada uno de ellos posee atributos, algunos de ellos mandatorios y otros optativos. Los primeros son necesarios prellenarlos para crear el objeto, los otros puden ser cargados luego +s.} +\par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082 {\loch\f5\fs24\lang3082\i0\b0 Un atributo puede ser monovaluado (es decir, tener un solo valor) o multivaluado (poseer mucho, primera diferencia con una instancia en una base relacional).} +\par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082{\loch\f5\fs24\lang3082\i0\b0{ Cada entry pertenece a una o m}}{\loch\f5\fs24\lang3082\'e1{s clases. Una clase es un conjunto predefinido de atributos, donde se definen adem}\'e1{s si van a ser mandatorios }\'fa{ opcionales. Una clase puede ser estructural o auxiliar. Una clase auxiliar puede ser utilizada por cualquier obje +to para incorporar sus atributos. Una clase estructural define al objeto en si.}} +\par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082{\loch\f5\fs24\lang3082\i0\b0{ Los objetos est}}{\loch\f5\fs24\lang3082\'e1{n relacionados jer}\'e1{rquicamente entre ellos, y se los accede seg}\'fa{n su jerarqu}\'ed{a en el }\'e1{rbol. Hay muchas formas de definirlos, la m}\'e1{s comun es desde el objeto hacia la ra}\'ed{z. Cada objeto se encuentra dentro de un contexto, y un objeto dentro d +el contexto es determinado por un nombre }\'fa{nico dentro del mismo, llamado RDN (Relative Distinguished Name). El RDN junto al contexto del objeto, forman el DN (Distinguished Name), el cual es el nombre distintivo del objeto, no hay manera de que hayan dos o +bjetos con DN iguales (los RDN pueden estar repetidos en contextos diferentes).}} +\par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082{\loch\f5\fs24\lang3082\i0\b0{ Las operaciones comunes en un directorio, v}}{\loch\f5\fs24\lang3082\'ed{a LDAP son las siguientes:}} +\par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082{\loch\f5\fs24\lang3082\i0\b0{ Conexi}}{\loch\f5\fs24\lang3082\'f3{n / Desconexi}\'f3{n: se abre y cierra una conexi}\'f3{n contra el directorio en el puerto donde el mismo est}\'e9{ escuchando.}} +\par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082{\loch\f5\fs24\lang3082\i0\b0{ Bind: se toma la conexi}}{\loch\f5\fs24\lang3082\'f3{n impersonificado en uno de los objetos usuario del directorio, present}\'e1{ndole al directorio el DN del mismo y el password. A partir de ese momento, las operaciones que se realicen en el directorio estar}\'e1{n bajo responsabilidad del us +uario que ha hecho el bind y por lo tanto bajo los permisos otorgados para dicho usuario.}} +\par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082{\loch\f5\fs24\lang3082\i0\b0{ Search: b}}{\loch\f5\fs24\lang3082\'fa{squeda de objetos. Para la misma se debe definir un objeto base (puede ser una hoja o un nodo dentro del }\'e1{rbol), un scope de b}\'fa{squeda (el protocolo establece tres tipos posibles; base }\endash {en el mismo objeto-, un nivel }\endash {el nivel inmediatamente inferi +or- y sub}\'e1{rbol }\endash {el sub}\'e1{rbol completo a partir del objeto base-). Finalmente, se permite especificar criterios de b}\'fa{squeda, en notaci}\'f3{n prefija, y los atributos que se desea recuperar de los objetos resultantes. La b}\'fa{squeda puede estar acotada desde el lado + del server o del cliente. Si est}\'e1{ acotada en ambos, prevalecer}\'e1{ el n}\'fa{mero seteado en el server.}} +\par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082{\loch\f5\fs24\lang3082\i0\b0{ Add: se refiere a la creaci}}{\loch\f5\fs24\lang3082\'f3{n de un nuevo objeto.}} +\par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082{\loch\f5\fs24\lang3082\i0\b0{ Modify: se refiere a la modificaci}}{\loch\f5\fs24\lang3082\'f3{n de atributos dentro de un objeto.}} +\par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082 {\loch\f5\fs24\lang3082\i0\b0 Rename: se refiere al cambio de RDN del objeto.} +\par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082 {\loch\f5\fs24\lang3082\i0\b0 Delete: se refiere al borrado del objeto.} +\par \pard\plain \ltrpar\s2\cf0\qj{\*\hyphen2\hyphlead2\hyphtrail2\hyphmax0}\sb170\sa119\rtlch\af1\afs24\lang255\ltrch\dbch\afs24\langfe255\loch\f5\fs24\lang3082{\loch\f5\fs24\lang3082\i0\b0{ Compare: se refiere a la comparaci}}{\loch\f5\fs24\lang3082\'f3{n de un atributo contra un valor espec}\'ed{fico.}} \par } \ No newline at end of file