Guía docente de Servidores Seguros (M51/56/3/4)
Máster
Módulo
Rama
Centro Responsable del título
Semestre
Créditos
Tipo
Tipo de enseñanza
Profesorado
- Alberto Guillén Perales
- Gustavo Romero López
Tutorías
Alberto Guillén Perales
Email- Martes 16:30 a 17:30 (Etsiit)
- Martes 9:00 a 11:30 (Etsiit)
- Jueves 10:00 a 13:00 (Etsiit)
Gustavo Romero López
Email- Primer semestre
- Lunes 10:30 a 11:00 (Etsiit)
- Miércoles 9:00 a 11:00 (Etsiit)
- Jueves 9:00 a 11:00 (Etsiit)
- Segundo semestre
- Martes 10:00 a 11:30 (Etsiit)
- Miércoles 10:00 a 11:30 (Etsiit)
- Jueves 10:00 a 11:30 (Etsiit)
Breve descripción de contenidos (Según memoria de verificación del Máster)
Es esta asignatura se estudian aspectos relacionados con la seguridad de sistemas informáticos, principalmente orientado a servidores y cluster de computadores. Desde la comunicación con dicho servidor mediante protocolos seguros, la seguridad en las aplicaciones así como el control de acceso a los recursos.
Prerrequisitos y/o Recomendaciones
Se recomienda haber cursado Introducción a la programación en Ingeniería de Computadores aunque no es imprescindible.
Competencias
Competencias Básicas
- CB6. Poseer y comprender conocimientos que aporten una base u oportunidad de ser originales en desarrollo y/o aplicación de ideas, a menudo en un contexto de investigación.
- CB7. Que los estudiantes sepan aplicar los conocimientos adquiridos y su capacidad de resolución de problemas en entornos nuevos o poco conocidos dentro de contextos más amplios (o multidisciplinares) relacionados con su área de estudio.
- CB8. Que los estudiantes sean capaces de integrar conocimientos y enfrentarse a la complejidad de formular juicios a partir de una información que, siendo incompleta o limitada, incluya reflexiones sobre las responsabilidades sociales y éticas vinculadas a la aplicación de sus conocimientos y juicios.
- CB9. Que los estudiantes sepan comunicar sus conclusiones y los conocimientos y razones últimas que las sustentan a públicos especializados y no especializados de un modo claro y sin ambigüedades.
- CB10. Que los estudiantes posean las habilidades de aprendizaje que les permitan continuar estudiando de un modo que habrá de ser en gran medida autodirigido o autónomo.
Resultados de aprendizaje (Objetivos)
Capacidad para evaluar los riesgos de seguridad en un sistema informático, principalmente orientado a servidores y clusters de computadores donde las posibilidades de un ataque pueden ser mayores debido a los servicios que deben ofrecer al exterior. Proteger a un computador de posibles ataques externos basándose tanto en cortafuegos como en mecanismos de seguridad propios.
- (AP0) Resultados relacionados con las competencias generales: habilidades de resolución de problemas, de discusión, de comunicación oral y escrita.
- (AP1) Configuración de cortafuegos y subredes, intranet.
- (AP2) Evaluación de riesgos en la seguridad y respuesta.
- (AP3) Conocimiento de mecanismos de seguridad utilizados por aplicaciones informáticas.
- (AP4) Estudio de los modelos de seguridad basados en llave pública.
- (AP5) Establecer canales seguros de comunicación.
- (AP6) Distinguir entre túneles y redes privadas virtuales, así como saber cuál es más adecuado utilizar en función de los requerimientos exigidos.
- (AP7) Estudio de las redes inalámbricas utilizadas en la actualidad como sistemas de comunicación entre ordenadores, análisis de vulnerabilidades y establecimiento de modelos seguros.
- (AP8) Capacidad de establecimiento de auditorías de seguridad y análisis forense.
Programa de contenidos Teóricos y Prácticos
Teórico
- Introducción a la seguridad informática.
- Contexto y Peligros reales.
- Elementos básicos de criptografía.
- Almacenamiento en nube y protección de datos.
- Seguridad en sistemas operativos.
- Autenticación.
- Seguridad local y perimetral.
- Detección de intrusos. Ataques.
- Seguridad en aplicaciones.
- Análisis de vulnerabilidades y detección de ataques.
- Infraestructura de llave pública (PKI).
- Seguridad en aplicaciones y servicios.
- Seguridad en aplicaciones distribuidas.
- Seguridad en comunicaciones.
- Túneles. Seguridad en protocolos de transporte y recursos en la nube.
- Redes Privadas Virtuales.
- Seguridad en redes inalámbricas.
Práctico
- Ejercicio de análisis de LOPD.
- Actividades de implementación de buffer overflow.
- Ejercicios en plataforma hackthebox y ataque con metasploit de una máquina virtual.
- Crear VPN entre máquinas usando OpenVPN y ofrecer servicio oculto a través de TOR.
Bibliografía
Bibliografía fundamental
- Modern Operating Systems. 4th Edition. Andrew S. Tanenbaum and Herbert Bos. Pearson. 2014.
- Andrew Tanembaum Computer Networks 5a Edición Cáp 8.
- Informe anual del CNI: https://www.ccn-cert.cni.es/informes.html
- Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales. https://www.boe.es/buscar/doc.php?id=BOE-A-2018-16673
- https://www.boe.es/buscar/doc.php?id=BOE-A-2018-16673.
- https://www.owasp.org.
- Red Hat Certificate of Expertise in Server Hardening - Exam EX413 Training. William Rothwell, Oreilly.
- Linux Hardening in Hostile Networks: Server Security from TLS to Tor by Kyle Rankin Published by Addison-Wesley Professional, 2017.
- Documentación oficial del S.O. Red Hat, Fedora y CentOS: https://access.redhat.com/products
- ENISA Securing Machine Learning Algorithms, 2021: https://www.enisa.europa.eu/publications/securing-machine-learning-algorithms
- Plataforma de recursos: Try Hack Me https://tryhackme.com/
- Plataforma de recursos: Hack the box https://www.hackthebox.com/
Bibliografía complementaria
- Adams, Carlisle; Lloyd, Steve: ”Understanding PKI : concepts, standards, and deployment considerations” Boston [etc.] : Addison-Wesley, 2003.
- Barrett, Daniel; Silverman, Richard E.: ”SSH, the secure shell : the definitive guide” Beijing [etc.]: O'Reilly, 2005.
- Caballé, Santi; Xhafa, Fatos:”Aplicaciones distribuidas en Java con tecnología RMI” Madrid : Delta, 2008.
- Iptables: http://www.linuxsecurity.com/resource_files/firewalls/IPTables-Tutorial/iptables-tutorial.html, 2011.
- Lee, ByeongGi; Sunghyun Choi: “Broadband wireless access and local networks : mobile WiMax and WiFi”. Boston : ArtechHouse, 2011.
- Mason, Andrew.:”Cisco firewall technology” Indianapolis, Ind. : Cisco Press, 2007.
- OlegKolesnilov; Brian Hatch: “Guía avanzada : redes privadas virtuales con Linux” Madrid [etc.]: Prentice Hall, 2003.
- OpenVPN: http://openvpn.source-forge.net, 2011.
- Rescorla, Eric: “SSL and TLS : designing and building secure systems” Boston : Addison-Wesley, 2001.
- TrueCrypt: http://www.truecrypt.org/, 2011.
- VPNC: http://www.vpnc.org, 2011.
Enlaces recomendados
Enlaces proporcionados en el material de clase:
- http://www.stunnel.org.
- http://www.vpnc.org.
- http://openvpn.net/.
- http://cve.mitre.org.
- http://www.uscert.gov/.
- http://web.nvd.nist.gov/view/vuln/search.
- http://cert.inteco.es.
- https://www.owasp.org.
- http://www.openssl.org.
- http://www.snort.org/.
- http://www.sleuthkit.org.
- Tratado 108: https://rm.coe.int/convention-108-convention-for-the-protection-of-individuals-with-regar/16808b36f1.
- Tratado 185: https://rm.coe.int/CoERMPublicCommonSearchServices/DisplayDCTMContent?documentId=09000016802fa41c.
- RGPD: https://www.boe.es/doue/2016/119/L00001-00088.pdf.
- Agencia Española de Protección de Datos: https://www.aepd.es/normativa/index.html.
Metodología docente
Evaluación (instrumentos de evaluación, criterios de evaluación y porcentaje sobre la calificación final.)
Evaluación Ordinaria
El artículo 17 de la Normativa de Evaluación y Calificación de los Estudiantes de la Universidad de Granada establece que la convocatoria ordinaria estará basada preferentemente en la evaluación continua del estudiante, excepto para quienes se les haya reconocido el derecho a la evaluación única final.
- El 50% de la nota procederá de la realización de pruebas diarias acerca de lo aprendido en las clases anteriores tanto de teoría como de prácticas. Todas las pruebas tienen el mismo valor.
- El otro 50% se basará en dos exámenes y en dos entregables (P1 y P2) donde se desarrollará trabajo de tipo práctico sobre temas relacionados con la materia de la asignatura (exploits, uso de frameworks, segurización de serividores y de sus comunicaciones,...).
Evaluación Extraordinaria
El artículo 19 de la Normativa de Evaluación y Calificación de los Estudiantes de la Universidad de Granada establece que los estudiantes que no hayan superado la asignatura en la convocatoria ordinaria dispondrán de una convocatoria extraordinaria. A ella podrán concurrir todos los estudiantes, con independencia de haber seguido o no un proceso de evaluación continua. De esta forma, el estudiante que no haya realizado la evaluación continua tendrá la posibilidad de obtener el 100% de la calificación mediante la realización de una prueba.
- Realización de una única prueba de evaluación de la asignatura completa.
Evaluación única final
El artículo 8 de la Normativa de Evaluación y Calificación de los Estudiantes de la Universidad de Granada establece que podrán acogerse a la evaluación única final, el estudiante que no pueda cumplir con el método de evaluación continua por causas justificadas. Para acogerse a la evaluación única final, el estudiante, en las dos primeras semanas de impartición de la asignatura o en las dos semanas siguientes a su matriculación si ésta se ha producido con posterioridad al inicio de las clases o por causa sobrevenidas. Lo solicitará, a través del procedimiento electrónico, a la Coordinación del Máster, quien dará traslado al profesorado correspondiente, alegando y acreditando las razones que le asisten para no poder seguir el sistema de evaluación continua. La evaluación en tal caso consistirá en:
- Realización de una única prueba de evaluación de la asignatura completa.