Símbolos |
|---|
| 3DES | | Norma de cifrado triple de datos. Algoritmo de cifrado de bloques de claves simétricas que cifra los datos tres veces, con una clave de 56 bits distinta cada vez (168 bits para claves). 3DES resulta adecuado para el cifrado masivo de datos.
|
|---|
A |
|---|
| ACL | | Sigla en inglés de Access Control List (Lista de control de acceso). Lista o base de datos que define los recursos a los que pueden tener acceso los usuarios u otros principales, así como el tipo de acceso permitido.
|
|---|
| AES | | Sigla en inglés de Advanced Encryption Standard (Norma de cifrado avanzado). Algoritmo de cifrado de bloques de claves simétricas. HP-UX IPSec admite AES con una clave de 128 bits. AES resulta adecuado para el cifrado masivo de datos.
|
|---|
| AH | | Sigla en inglés de Authentication Header (Encabezado de autenticación). AH ofrece la autenticación en el sistema con integridad de los datos y puede proporcionar protección contra reproducciones. AH forma parte de la serie de protocolos IPsec.
|
|---|
| ataque «man-in-the-middle» (hombre en el medio) | | Ver ataque de terceros.
|
|---|
| ataque de denegación de servicio | | Ataque que impide que un sistema responda a los paquetes de red, por lo que el sistema no puede atender las solicitudes. Los ataques de denegación de servicio pueden producirse inundando un sistema vulnerable de solicitudes falsas que consuman gran cantidad de recursos. Estos ataques se combinan a menudo con la simulación de host para impedir que el host que sufre el ataque (el host con la dirección IP que el simulador está asumiendo) participe en el intercambio entre el simulador y el sistema al que está intentando tener acceso el simulador.
|
|---|
| ataque de desbordamiento del búfer | | Método para atacar un sistema que consiste en provocar errores de proceso o en hacer que un proceso ejecute código malintencionado. El ataque suele conseguirse desbordando un búfer de entrada en la pila. Esto ocasiona una infracción de la memoria u otro tipo de error que provoca que el proceso se interrumpa o que ejecute código malintencionado. Ver también ataque de desbordamiento del búfer en la pila.
|
|---|
| ataque de desbordamiento del búfer en la pila | | Método de ataque a un sistema que causa que un proceso ejecute código malintencionado. El ataque suele conseguirse desbordando un búfer de entrada en la pila para insertar código malintencionado y modificando posteriormente el puntero de la pila para ejecutar dicho código. Ver también ataque de desbordamiento del búfer.
|
|---|
| ataque de terceros | | En un ataque de terceros, el agresor intercepta paquetes entre las dos partes agredidas, A y B. A y B creen que están intercambiando mensajes entre sí, pero en realidad están intercambiando mensajes con el tercero. El agresor asume la identidad de A para intercambiar mensajes con B y la identidad de B para intercambiar mensajes con A. También recibe el nombre de ataque «man-in-the-middle» (hombre en el medio).
|
|---|
| auditoría | | Registro selectivo de sucesos con el propósito de analizar y detectar infracciones de seguridad. El sistema de auditoría de HP-UX incluye un mecanismo para auditar usuarios y procesos.
|
|---|
| autenticación | | Proceso que comprueba la identidad de un sujeto (usuario, sistema host, dispositivo u otra entidad en una red de equipos). A menudo se trata de un requisito previo para permitir el acceso a los recursos de un sistema. También permite comprobar la integridad de los datos o la identidad de la parte que los envía.
|
|---|
| autenticación desafío-respuesta | | Forma de autenticación según la cual el autenticador envía un valor aleatorio (el desafío) al usuario o principal sometido a autenticación. El usuario devuelve una respuesta basada en el valor de desafío y un valor secreto compartido previamente establecido con el autenticador, por ejemplo, un valor hash MD5. A diferencia del intercambio normal de contraseñas, el diálogo desafío-respuesta varía, para que así un intruso no pueda reproducir la respuesta del usuario para obtener autenticación.
|
|---|
| autorización | | Proceso que evalúa la información de control del acceso y determina si un sujeto (usuario, sistema host, dispositivo u otra entidad en una red de equipos) está autorizado para realizar una operación en un determinado recurso u objeto. Se suele efectuar después de que se autentique la identidad de un sujeto. En el contexto de RBAC, la autorización se refiere específicamente a la unión de una operación y un objeto, y también se denomina permiso. Ver RBAC.
|
|---|
C |
|---|
| CA | | Sigla en inglés de Certificate Authority (Entidad emisora de certificados). Tercero de confianza que autentica usuarios y emite certificados. Además de establecer una relación de confianza en la vinculación entre la clave pública de un usuario y otro tipo de información relativa a la seguridad contenida en un certificado, la entidad emisora de certificados firma digitalmente la información del certificado con su clave privada.
|
|---|
| cárcel chroot | | Método que restringe los archivos y directorios a los que tiene acceso un proceso y los usuarios de dicho proceso. El proceso se inicia en un directorio base especificado (la raíz) y no puede tener acceso a ningún directorio o archivo que esté por encima del directorio raíz.
|
|---|
| carga de seguridad encapsuladora | | Ver ESP.
|
|---|
| certificado | | Un certificado de seguridad asocia (o vincula) una clave pública a un principal (persona concreta, sistema, dispositivo u otra entidad). Este tipo de certificados son emitidos por una entidad, en la que confían los usuarios y que recibe el nombre de entidad emisora de certificados (CA), la cual garantiza o confirma la identidad del titular (persona, dispositivo u otra entidad) de la clave privada correspondiente. La entidad emisora de certificados firma digitalmente el certificado con su clave privada, de manera que el certificado se pueda comprobar utilizando su clave pública. El formato más habitual de certificados con claves públicas es la norma X.509, versión 3, de la Organización Internacional de Normalización (ISO).
|
|---|
| certificado de seguridad | | Ver certificado.
|
|---|
| cifrado | | Proceso que convierte los datos de un formato legible a un formato no legible para su confidencialidad. Las funciones de cifrado normalmente utilizan los datos y una clave de cifrado (secuencia de valores o bits) como entrada.
|
|---|
| clave previamente compartida | | Clave de cifrado acordada previamente por dos sistemas para el cifrado o la autenticación. La clave se intercambia antes de la comunicación de los datos informáticos, normalmente mediante un intercambio de claves fuera de banda (como el intercambio verbal o presencial). Ver también criptografía de claves compartidas.
|
|---|
| claves manuales | | Claves de cifrado configuradas manualmente para IPSec. Consisten en una alternativa al uso del protocolo de intercambio de claves de Internet (IKE) para generar claves de cifrado y otra información para las asociaciones de seguridad (SA) de IPSec.
|
|---|
| compartimentos | | Método que permite aislar entre sí diversos componentes del sistema. Si están configurados correctamente, los componentes constituyen un método eficaz para proteger el sistema HP-UX y los datos que éste contiene.
|
|---|
| confidencialidad directa perfecta (PFS - Perfect Forward Secrecy) | | Con la confidencialidad directa perfecta, la exposición de una clave permite únicamente el acceso a los datos protegidos por dicha clave.
|
|---|
| contención | | Mecanismo o conjunto de mecanismos para restringir los derechos de acceso de los procesos. En el contexto de RBAC, la contención combina el control de acceso obligatorio y los privilegios expresos. Ver RBAC.
|
|---|
| contraseña oculta | | Estructura que proporciona seguridad adicional a las contraseñas de los usuarios. La estructura de la contraseña oculta (spwd) contiene contraseñas de usuario cifradas y otra información utilizada con esta estructura. La estructura de la contraseña oculta se almacena en un archivo que normalmente sólo es legible para los usuarios con privilegios.
|
|---|
| criptografía | | Proceso de codificación de datos normales (o texto no cifrado) para que sólo puedan descodificarlos los propietarios de información específica.
|
|---|
| criptografía de claves asimétricas | | Ver criptografía de claves públicas.
|
|---|
| criptografía de claves compartidas | | Método de cifrado en el que las dos partes utilizan la misma clave (las dos partes comparten la misma clave) para cifrar o autenticar datos. Para proporcionar la confidencialidad o autenticación de los datos, sólo las dos partes pueden conocer el valor de la clave (la clave debe ser privada). La criptografía de claves compartidas resulta más eficaz que la criptografía de claves públicas-privadas para cifrar los datos, por lo que se utiliza a menudo para el cifrado masivo de datos. No obstante, para distribuir o establecer la clave compartida se requiere un intercambio de claves fuera de banda (como el intercambio verbal o presencial), el intercambio Diffie-Hellman u otro mecanismo. También recibe el nombre de criptografía de claves privadas o criptografía de claves simétricas.
|
|---|
| criptografía de claves privadas | | Ver criptografía de claves compartidas.
|
|---|
| criptografía de claves públicas | | Método de cifrado que utiliza dos claves relacionadas matemáticamente (por ejemplo, k1 y k2) de manera que los datos cifrados con k1 se pueden descifrar sólo con k2. Además, la mayoría de los algoritmos garantizan que sólo el propietario de k1 puede cifrar correctamente los datos que se pueden descifrar con k2. Una de las claves debe ser privada (sólo la conoce el propietario), pero la segunda puede ser muy conocida (pública), lo que permite administrar fácilmente la distribución de claves. El cifrado de claves públicas es costoso desde el punto de vista computacional, por lo que no resulta práctico para el cifrado masivo de datos. En su lugar, se suele utilizar la criptografía de claves públicas para autenticar los datos. También recibe el nombre de criptografía de claves asimétricas (las dos claves son distintas) o criptografía de claves públicas-privadas.
|
|---|
| criptografía de claves públicas-privadas | | Ver criptografía de claves privadas.
|
|---|
| criptografía de claves simétricas | | Ver criptografía de claves compartidas.
|
|---|
| CRL | | Sigla en inglés de Certificate Revocation List (Lista de revocación de certificados). Los certificados se emiten con una duración determinada, definida por una fecha/hora de inicio y una fecha/hora de caducidad. No obstante, pueden darse situaciones, como un valor de clave comprometido, en las que sea necesario revocar el certificado. En este caso, la entidad emisora de certificados puede revocar el certificado. Para ello, se incluye el número de serie del certificado en una lista de revocación de certificados actualizada y publicada periódicamente por la entidad emisora de certificados y facilitada para certificar usuarios. Ver CA.
|
|---|
D |
|---|
| DES | | Sigla en inglés de Data Encryption Standard (Norma de cifrado de datos). Utiliza una clave de 56 bits para el cifrado de bloques de claves simétricas. La norma de cifrado de datos resulta adecuada para el cifrado masivo de datos. La norma de cifrado de datos ha sido convertida (un tercero ha descodificado los datos codificados con esta norma).
|
|---|
| DIAMETER Base | | Protocolo que ofrece servicios de autenticación, autorización y contabilidad (AAA - Authentication, Authorization, Accounting) basándose en el protocolo RADIUS. El protocolo DIAMETER proporciona la misma funcionalidad que RADIUS, pero con mejoras en confiabilidad, seguridad e infraestructura. Ver también RADIUS.
|
|---|
| Diffie-Hellman | | Método de clave pública para generar una clave simétrica según el cual dos partes pueden intercambiar públicamente valores y generar la misma clave simétrica. Se comienza con el primo p y el generador g, que pueden ser conocidos por el público (normalmente, estos números proceden de un grupo Diffie-Hellman muy conocido). Cada parte selecciona un valor privado (a y b) y genera un valor público (g**a mod p) y (g**b mod p). Ambas partes intercambian los valores públicos. Posteriormente, cada parte utiliza su valor privado y el valor público de la otra parte para generar la misma clave simétrica, (g**a)**b mod p y (g**b)**a mod p, que ambas evalúan como g**(a*b) mod p para la comunicación en el futuro. El método Diffie-Hellman debe combinarse con la autenticación para evitar ataques «man-in-the-middle» (hombre en el medio) o de terceros (simulación). Por ejemplo, se puede utilizar el método Diffie-Hellman con la autenticación mediante certificados o claves previamente compartidas.
|
|---|
| directiva IPSec | | Las directivas IPSec especifican las reglas para la transferencia segura de los datos. Estas directivas contienen generalmente información del filtro de paquetes y una acción. El filtro de paquetes se utiliza para seleccionar una directiva para un paquete y la acción se aplica a los paquetes que utilizan esa directiva.
|
|---|
E |
|---|
| EAP | | Sigla en inglés de Extensible Authentication Protocol (Protocolo de autenticación extensible). Protocolo que proporciona un marco para utilizar varios protocolos y métodos de autenticación, entre ellos, las contraseñas, Kerberos y protocolos de desafío-respuesta.
|
|---|
| encabezado de autenticación | | Ver AH.
|
|---|
| entidad emisora de certificados | | Ver CA.
|
|---|
| ESP | | Sigla en inglés de Encapsulating Security Payload (Carga de seguridad encapsuladora). Forma parte de la serie de protocolos IPsec. ESP proporciona confidencialidad (cifrado) y un servicio contra reproducciones. Debe utilizarse con la autenticación, ya sea con el campo de autenticación ESP opcional (ESP autenticado) o anidado en un mensaje con encabezado de autenticación. ESP autenticado también proporciona la autenticación del origen de los datos, así como la integridad sin conexión. Cuando se utiliza en el modo de túnel, ESP también proporciona confidencialidad con límite del flujo de tráfico.
|
|---|
F |
|---|
| filtro | | Mecanismo que permite filtrar los objetos no deseados o los parámetros que especifican los objetos a los que se permite o se deniega el acceso. Normalmente se utiliza un filtro para filtrar los paquetes de red no deseados (un filtro de paquetes).
|
|---|
| filtro de paquetes | | Filtro utilizado para seleccionar o restringir los paquetes de red. Los filtros de paquetes especifican las características de los paquetes de red. Estos filtros normalmente especifican las direcciones IP de origen y destino, los protocolos de capas superiores (como TCP o UDP) y los números de puertos TCP o UDP. Asimismo, estos filtros pueden definir otros campos de paquetes, como los tipos de encabezados IPv6, los tipos de mensajes de capas superiores (por ejemplo, los tipos de mensajes ICMP) y los estados de conexión TCP.
|
|---|
| filtro de paquetes con estado | | Tipo de filtrado de paquetes que utiliza campos de protocolos de capas superiores e información de estado, como los estados de conexión TCP.
|
|---|
| firma digital | | Las firmas digitales constituyen una variante de los algoritmos hash que utilizan pares de claves pública/privada. El remitente utiliza su clave privada y los datos como entrada para crear un valor de firma digital.
|
|---|
| función | | Función del trabajo, dentro del contexto de una empresa, con semántica asociada respecto a la autoridad y la responsabilidad dada a los usuarios que tienen asignada la función.
|
|---|
H |
|---|
| HMAC | | Sigla en inglés de Hashed Message Authentication Code (Código de autenticación de mensajes indexados por tabla de dispersión (hashed)). Ver también MAC.
|
|---|
| host bastión | | Sistema computacional que protege una red interna contra los intrusos. Ver también servidor de seguridad y sistema fortalecido.
|
|---|
I |
|---|
| IKE | | El protocolo de intercambio de claves de Internet (IKE - Internet Key Exchange) forma parte de la serie de protocolos IPsec. IKE se utiliza antes de los intercambios del protocolo ESP o AH de IPsec para determinar los servicios de cifrado y/o autenticación que se van a utilizar. IKE también administra la distribución y actualización de las claves de cifrado simétricas (compartidas) que utilizan los protocolos ESP y AH. Ver también ESP y AH.
|
|---|
| intercambio de claves fuera de banda | | Intercambio de claves mediante un canal de comunicación seguro que no pertenece a los canales de comunicación habituales de los equipos, como una reunión presencial o una llamada telefónica.
|
|---|
K |
|---|
| Kerberos | | Protocolo de autenticación de red diseñado para proporcionar una autenticación severa para aplicaciones cliente o servidor. Kerberos permite a los usuarios autoautenticarse sin transmitir contraseñas no cifradas a través de la red.
|
|---|
L |
|---|
| LDAP | | El protocolo LDAP (Lightweight Directory Access Protocol - Protocolo ligero de acceso a directorios) proporciona acceso a los directorios de la red. LDAP utiliza una estructura de directorios parecida al servicio de directorios OSI X.500, pero almacena los datos como cadenas y usa la pila de red TCP/IP en lugar de la pila de red OSI.
|
|---|
| lista de revocación de certificados | | Ver CRL.
|
|---|
M |
|---|
| MAC | | Un código de autenticación de mensajes (MAC - Message Authentication Code) consiste en una etiqueta de autenticación (también llamada suma de comprobación) obtenida de aplicar un algoritmo de autenticación, junto con una clave secreta, a un mensaje. Los MAC se computan y comprueban con la misma clave de manera que sólo puedan ser comprobados por el destinatario específico, a diferencia de las firmas digitales. Los MAC basados en una función hash (HMACS) utilizan una o varias claves junto con una función hash para generar una suma de comprobación que se adjunta al mensaje. Un ejemplo es el método MD5 con claves para la autenticación de mensajes. Los MAC también pueden obtenerse de codificadores de bloques. Los datos se cifran en bloques de mensajes con DES CBC y el bloque final en el texto cifrado se utiliza como la suma de comprobación. El MAC DES-CBC es una norma de uso generalizado en EE. UU. y en el ámbito internacional.
|
|---|
| MD5 | | Message Digest-5. Algoritmo de autenticación desarrollado por RSA. MD5 genera una síntesis del mensaje de 128 bits con una clave de 128 bits. IPSec trunca la síntesis del mensaje a 96 bits.
|
|---|
| módulo de autenticación enchufable | | Ver PAM.
|
|---|
N |
|---|
| NAT | | Sigla en inglés de Network Address Translation (Conversión de direcciones de red). Método que permite que varios sistemas de una red privada interna compartan una dirección IP de Internet pública. Una puerta de enlace NAT reemplaza (convierte) los puertos y las direcciones IP internas por su dirección IP pública al reenviar paquetes desde la red interna a la red Internet pública, y realiza la traducción inversa para la ruta de retorno.
|
|---|
| norma de cifrado de datos | | Ver DES.
|
|---|
O |
|---|
| objeto | | Recurso de la red o el sistema, por ejemplo, un sistema, un archivo, una impresora, un terminal o un registro de base de datos. En lo que respecta a la autorización, ésta se concede para la operación de un sujeto sobre un objeto.
|
|---|
| operación | | Modo específico de acceso a uno o varios objetos. Por ejemplo, escribir en un archivo. En lo que respecta a la autorización, ésta se concede para la operación de un sujeto sobre un objeto.
|
|---|
P |
|---|
| PAM | | Sigla en inglés de Pluggable Authentication Module (Módulo de autenticación enchufable). Consiste en un marco de autenticación que permite a los administradores de sistemas configurar servicios de autenticación y administración de cuentas, sesiones y contraseñas para las utilidades de HP-UX, como la utilidad de inicio de sesión en el sistema.
|
|---|
| principal | | Persona, sistema, dispositivo u otra entidad.
|
|---|
| privilegio | | Permiso para realizar una acción en un sistema computacional.
|
|---|
| privilegio expreso | | Permiso para realizar una operación específica de nivel inferior (por ejemplo, permiso para ejecutar una determinada llamada del sistema).
|
|---|
| protocolo de autenticación extensible | | Ver EAP.
|
|---|
R |
|---|
| RADIUS | | El protocolo de servicio de usuario de acceso telefónico de autenticación remota (RADIUS - Remote Authentication Dial-In User Service) es ampliamente utilizado y se implementa para administrar el acceso a los servicios de red. Este protocolo define una norma para el intercambio de información entre un dispositivo de acceso a la red y un servidor de autenticación, autorización y contabilidad (AAA) para realizar operaciones de autenticación, autorización y contabilidad. Un servidor AAA RADIUS puede administrar los perfiles de usuario para la autenticación (comprobar el nombre de usuario y la contraseña), información de configuración que especifica el tipo de servicio que se va a proporcionar y las directivas que se van a aplicar que pueden restringir el acceso de los usuarios. El protocolo RADIUS proporciona únicamente el marco para el intercambio de autenticación y se puede utilizar con numerosos métodos de autenticación.
|
|---|
| RBAC | | Sigla en inglés de Role-Based Access Control (Control del acceso según la función). Mecanismo de HP-UX para aportar acceso expreso a los recursos del sistema, los comandos y las llamadas de sistema. Se asignan funciones a los usuarios y éstos obtienen privilegios de acceso según dichas funciones.
|
|---|
| relación de confianza transitiva | | Ampliación de una relación de confianza a través de otras entidades de confianza. Si A y B confían en C, A y B pueden tener confianza mutua mediante una relación de confianza transitiva a través de C. En una estructura jerárquica, A y B pueden entablar una relación de confianza transitiva si pueden establecer una cadena de confianza con una raíz común.
|
|---|
| Role-Based Access Control | | Ver RBAC.
|
|---|
| RSA | | Rivest, Shamir y Adelman. Sistema de cifrado de claves públicas-privadas que se puede utilizar para la confidencialidad (cifrado) y la autenticación (firmas). En lo que respecta al cifrado, el sistema A puede enviar datos cifrados con la clave pública del sistema B. Sólo la clave privada del sistema B puede descifrar los datos. En lo que respecta a la autenticación, el sistema A envía los datos con una firma digital, una síntesis o un hash cifrados con la clave privada del sistema A. Para comprobar la firma, el sistema B utiliza la clave pública del sistema A para descifrar la firma y comparar la síntesis o el hash descifrados con la síntesis o el hash que computa para el mensaje.
|
|---|
S |
|---|
| SASL | | Sigla en inglés de Simple Authentication and Security Layer (Nivel de autenticación y seguridad simples). Protocolo utilizado para agregar servicios de autenticación a aplicaciones de red basadas en conexiones. La interface API de SASL proporciona un marco flexible que permite a los programadores utilizar una interface común para el acceso a varios servicios de autenticación.
|
|---|
| secure shell | | Ver SSH.
|
|---|
| Secure Sockets Layer | | Ver SSL.
|
|---|
| servidor AAA | | Servidor de autenticación, autorización y contabilidad (AAA: Authentication, Authorization, Accounting). Un servidor AAA ofrece servicios de autenticación, autorización y contabilidad del acceso de los usuarios a la red en los puntos de entrada a una red. HP-UX proporciona servidores AAA basados en los protocolos RADIUS y DIAMETER base.
|
|---|
| servidor de seguridad | | Uno o varios dispositivos o sistemas computacionales utilizados a modo de barrera para proteger una red contra usuarios no autorizados o aplicaciones intrusas perjudiciales. Ver también host bastión y sistema fortalecido.
|
|---|
| SHA1 | | Sigla en inglés de Secure Hash Algorithm-1 (Algoritmo hash seguro-1). Algoritmo de autenticación que genera una síntesis del mensaje de 160 bits con una clave de 160 bits.
|
|---|
| sistema fortalecido | | Sistema computacional con el número mínimo de características del sistema operativo, usuarios y aplicaciones que se utiliza a modo de barrera para proteger una red contra usuarios no autorizados o aplicaciones intrusas perjudiciales. También recibe el nombre de host bastión.
|
|---|
| SSH | | Sigla en inglés de Secure Shell. Conjunto de servicios de red que proporciona sustituciones seguras para el inicio de sesión remoto, la transferencia de archivos y la ejecución remota de comandos. SSH también incluye características para la creación de túneles seguros, el reenvío a través de puertos y un agente SSH para mantener las claves privadas en el cliente.
|
|---|
| SSL | | Sigla en inglés de Secure Sockets Layer. Protocolo que se utiliza para cifrar datos de red. El protocolo SSL está por encima de TCP en la pila de datos. SSL utiliza claves públicas/privadas para la autenticación de principales y el intercambio de claves privadas (compartidas). Posteriormente, SSL utiliza la clave privada para cifrar los datos.
|
|---|
| suceso | | Acción que consiste en, por ejemplo, crear un archivo, abrir un archivo o iniciar una sesión en el sistema.
|
|---|
| sujeto | | Usuario, sistema host, dispositivo u otra entidad en una red computacional. En lo que respecta a la autorización, se refiere al iniciador de una operación sobre un objeto que requiere una decisión sobre la autorización.
|
|---|
V |
|---|
| VPN | | Sigla en inglés de Virtual Private Network (Red privada virtual). Red privada incluida en una red pública, como Internet. Una red VPN es virtual porque utiliza túneles para crear de forma eficaz una red lógica independiente dentro de una red física. Una red VPN es privada porque los usuarios externos no pueden ver ni modificar los datos que se transmiten. Las redes VPN que utilizan la autenticación de la identidad de sistemas host también proporcionan protección contra la simulación de direcciones IP.
|
|---|
Versión para imprimir
