GM Mc Graw hill- Seguridad Informatica

Page 1

.. ". ·\..0 . üo,dades ••• •

8 • • • • • .,. .

"

••• ,,,,0· ••• e competeoC

Certificados de profesionalidad

p.II.p'

r.

,

Seguridad informática César Seoane Ruano Ana Belén Saiz Herrero Emilio Fernández Álvarez Laura Fernández Aranda

J.Lc 'Yr-


l

Seguridad informática «La base de tu futuro» El proyecto editorial de McGraw-Hill poro lo formación profesional ha sido

~ Formativo Gro~o

Medio

~

desarrollado según tres principios básicos: • Una metodología basada en la práctico y en la adecuación de contenidos y procedimientos a la realidad profesional. • Unos materia les desarrollados para conseguir las destrezas, habilidades y resultados de aprendizaje que necesitarós pora conseguir tu título y desenvolverle en el mercado laboral. • Uno presentación de los conten idos doro y atractiva, con variedad de recursos gráficos y multimedia que facilitarán tu aprend izaje. El proyecto poro el módulo profesional Seguridad informático ha sido desorroliado considerando los unidades de competencia del Catálogo Nocional de Cualificaciones Profesionales:

Unidades de compelencia profesional Mantener y regular el subsistema físico en sistemas informáticos.

(UC0957_2)

Ejecutar procedimientos de administración software base y de aplicación del cliente.

y mantenimiento

en el

(UC0958_2)

Mantener la seguridad de los subsistemas físicos informáticas.

(UC0959_2)

y lógicos

en sistemas

I

Confiamos en que esta obro seo una herramienta útil y eficaz, y que contribuya a tu formación como profesional.


Seguridad informática César Seoane Ruano Ana Belén Saiz Herrero Emilio Fernández Álvarez Laura Fernández Aranda

Revisor técnico Alberto Sánchez Alonso

MADRID - BARCELONA - BUENOS AIRES - CARACAS - GUATEMALA - LISBOA - MÉXICO NUEVA YORK - PANAMÁ - SAN JUAN - BOGOTÁ - SANTIAGO - SAO PAULO

AUCI<LAND - HAMBURGO - LONDRES - MILÁN - MONTREAL - NUEVA DELHI - PAR ís SAN FRANCISCO - SI ONEY - SI NGAPUR - SToLOU IS - TOKIO - TQRQNTO


Seguridad iurormática . Ciclo Formativo Grado Medio No está permitida la reproducción total o parcial de este libro. ni su tratamiento informático, ni la transmisión de ninguna forma o por cualquier medio, ya sea electrónico, mecánico, por fotocopia, por registro u otros métodos, sin el permiso previo y por escrito de los titulares del Copyright. Si necesita fotocopiar o escanear algún fragmento de esta obra, diríjase a CEDRO (Centro Español de Derechos Reprográficos. www.cedro.org)

Nota: Este libro se atiene al artículo 32 del derecho de cita de la Ley de Propiedad Intelectual de 1996 (RDLeg 111996 de 12 de Abril) Derechos reservados © 2010, respecto a la tercera edición en español, por: McGraw-Hill/Interamericana de España, S.L. Edificio Valrealty, \." planta Basauri, 17 28023 Aravaca (Madrid) ISBN: 978-84-481-7137-7 Depósito legal: M-1 9725-20 I O © César Seoane Ruano, Ana Belén Saiz Herrero, Emilio Fern ández Álvarez, Laura Fernández Aranda Autores: César Seoane Ruano, Ana Belén Saiz Herrero, Emilio Fernández Álvarez, Laura Fernández Aranda Autores del material complementario: César Seoane Ruano, Ana Belén Saiz Herrero, Emilio Fernández Álva rez, Laura Fernández Aranda Equipo editorial: Ariadna Allés, Paloma Sánchez, Ma ría Justicia, Waldo Pérez Equipo de preimpresión: Meritxell Carceller, Daniel MontanyiI. Diseño de cubierta: neprotel.com Diseño interior: neprotel.com Fotograrías: Age, Aisa, Corbis, Getly, SanDisk, Quick Image, Google Oregón Ilustraciones: Mamen Fuente Canalda Composición: Ediciones Gráficas Arial, S.L. Impresión: Edigrafos, S. A.

IMPRESO EN ESPAÑA - PRINTED IN SPAIN


Presentación En la actualidad tanto las empresas coma los usuarios de a pie guardan gran cantidad de información en sus ordenadores. En el caso de los usuarios domésticos almacenamos gran cantidad de recuerdos en nuestros equipos. Hoy en día es prácticamente impensable realizar una fotografía con cámara analógica; todos, jóvenes y personas mayores, nos hemos actualizado y usamos cámaras digitales para inmortalizar esos grandes momentos de nuestra vids que terminan almacenados en el disco dura. Toda esa información debemos prategerla tanto de posibles pérdidas como de los posibles intrusos. Imaginaos que un desalmado entra en nuestra equipo y d;fund" por Internet esas fotografías que no queremos compartir con nad ie; o pensemos, por ejemplo, en la cantidad de famosos que intentan proteger la intimidad de sus hijos. Para poder seguir manteniendo la confidencialidad, la disponibilidad y la integridad de la información necesitamos tomar numerosas medidas de protección. En el caso de las empresas, toda la información es almacenada en los equipos/ sus comunicaciones son realizadas mediante videoconferencias sin necesidad de desplazarnos numerosos kilómetras para hablar durante una sesión de trabajo. . La mayoría de las actividades desarrolladas en las empresas se encuentran automatizadas mediante diversas aplicaciones informáticas, por lo que la caída de sus sistemas puede suponer grandes pérdidas económicas; la pérdida de información, a su vez, puede hacer parar la actividad de numerosas empresas (imaginad para una inmobiliaria lo que supondría perder la información). Eso sí, lo que en ambos casos sucede es que las empresas pierden fiabilidad frente al resto de las empresas. Además, en el caso de las comunicaciones debemos asegurar tanto la integridad como la confidencialidad y el no repudio. Gracias a todos estos avances tecnológicos hemos sustituido la máquina de escribir y los archivadores por equipos informáticos, o las largas esperas del correo por la inmediatez del correo electrónico y las videoconferencias. Todo este avance se ha desarrollado paralelamente al desarrallo de medidas de seguridad. En este libro estudiaremos las distintas maneras de protegernos sobre posibles ataques ci esa confidencialidad que, por una razón u otra, tanto interesa proteger; serán siempre estudiadas desde un punto de vista práctico. El libro se ha dividido en distintos bloques. En el primero de ellos, introductorio, intentamos justificar y motivar al lector al estudio de la seguridad informótica. El segundo bloque aborda conceptos y técnicas relativos a la seguridad pasiva en los sistemas informáticos, tratándose aspectos como las arquitecturas hardware y, por supuesto, las copias de seguridad, que resultan cruciales en cualquier equipo o sistema que se precie. Los sistemas criptográficos son utilizados constantemente en el día a día de casi cualquier persona, hasta el punto de


que en la actualidad el DNI incorpora un chip electrónica que permite realizar diversas gestiones seguras utilizando técnicas como las que se abordorón en el tercer bloque tratado en el libro.

El cuarto bloque se dedica a la seguridad activa en el sistema, tratando distintas técnicas de seguridad software, relacionadas con términos tan de moda como hacker o virus, de modo que podamos identificar los riesgos a los que se enfrenta cualquier equipo conectado a una red. Por último, no podíamos dejar de hablar de cortafuegos y praxy, considerados como técnicas de seguridad de alto nivel en redes, pero imprescindibles en cualquier sistema o red que quiera estar protegido, especialmente si se conecta a redes no seguras. Son varias las personas que nos han ayudado en este proyecto y que no queremos dejar de mencionar. Agradecemos la colaboración que nos han prestado Daniel Magaña, de la Universidad Antonio de Nebrija, facilitóndonos documentación y fotografías de la realización de las copias de seguridad; a Dominador Saiz, al que le hemos robado numerosas horas de su tiempo libre y a Gustavo Delgado, de Tiscar Instalaciones, por todas las horas que nos ha dedicado y sus explicaciones sobre los centros de procesamiento de datos. Otro mención importante es paro www.informationweek.com. su editor, John Foley, y su editor jefe, Rob Prestan, que nos han permitido utilizar sus imágenes del centro de dotas de Google en Oregón. Dedicamos este libro o nuestros parejos y familias, que han sufrido los sinsabores de esto experiencia y nuestro mol humor. Los a utores


,

Indice o

Unidad l. ~ancep!~s básicos de la seguridad mformallca ....................................... .. l. Seguridad informática ¿por qué? ................. . 2. Objetivos de la seguridad informática ......... .. 3. Clasificación de seguridad .......................... . 3.1. Seguridad física y lógica ........ .. .. .. ....... . 3.2. Seguridad activa y pasiva .............. ..... . 4. Amenazas y fraudes en los sistemas de la información ...................................... .. 4.1. Actuaciones para mejoror lo seguridad .. 4.2. Vulnerabilidades ................................. . 4.3. Tipos de amenazas ............................ .. 4.4. Pautas de protección para nuestro sistema ........................... ................... .

o

8 10 13 13 16 17 18 20 21 22

4. Modos de recuperación frente a pérdidas en el sistema operativo .. .. ............................. 5. Creación de imágenes del sistema .......... .. .... 6. Copia de seguridad del registro .......... .. ........ 7. Políticas de copias de seguridad .......... .. .......

63 69

72 73

O Unidad 4. Sistemas de identificación. Criptografía ........................................

79

1. ¿Cómo aseguramos la privacidad de la información? ....................................... 2. Un poco de historia de la criptografía ............ 3. Criptografía simétrica y asimétrica ............ .. .. 3.1. Criptografía simétrica .. .................. ....... 3.2. Criptografía asimétrica ..... .. .. .. .......... ... . 3.3. Criptografía híbrida ..................... .. ...... 4. Algoritmos ........................................... .. ..... 5. Función Resumen ................... .. .......... .......... 6. Firma digital ...... .. .. .... ...... ... .. .. .. .. .. .. .. .......... 7. Certificados digitales ........ ... .. .. .. .. ..... ..... ... .. . 8. PKI .............. ........................................ ... ....

80 80 84 84 86 90 90 91 92 94 95

5. Leyes relacionadas con la seguridad de la información ...................................... .. 5.1. Normativa que protege los datos personales ......................................... . 5.2. Normativa de los sistemas de información y comercio electrónico ........................ .

26

Unidad 2. Seguridad pasiva. Hardware y almacenamiento ............................ ..

29

O Unidad 5. Seguridad activa en el sistema .............

105

30 30 32

1. Introducción a la seguridad del sistema .. ........ 2. Seguridad en el acceso al ordenador ............ 2.1. ¿Cómo evitamos que personas ajenas . modifiquen la BIOS? ............................ 2.2. ¿Cómo proteger el GRUB con contraseña? .............................. ..... .. ... 2.3. Cifrado de particiones .......................... 2.4. Cuotas de disco ................................... Activación y uso de cuotas de disco en Windows ....................................... Cuotas de usuario en UBUNTU .......... ... 3. Autenticación de los usuarios .................... .. .. 3.1. Políticas de contraseñas ................... .. ... 3.2 . Sistemas biométricos ................... .. .. .. ... 3.3. Listas de control de acceso .................... 4. Vulnerabilidades del sistema ......................... 4 . 1. Evitar vulnerabilidades en Windows ...... 5. Monitorización del sistema .. .......... .. .......... .. . 5.1. Monitorización en Windows ............. .. .. 5.2. Monitorización en Linux ................ ... .... 6. Software que vulnera la seguridad del sistema ......................................... .. ...... 6.1. Clasificación de los atacantes ............... 6.2. Tipos de ataques .................................

106 106

133 133 134

O Unidad 6. Seguridad activa en redes ...................

145

1. Seguridad en la conexión a redes no fiables .. 1.1. Spyware en tu ordenador ................ .... . 2. Protocolos seguros ... .. ................... .. ....... ...... 2.1. Protocolo HTIPS .... .. ........ ............. .. ..... 2.2. Protocolo SSH .................. .. ...... .. .. .. .....

146 147 149 149 150

1. Ubicación y protección física ...................... ..

2.

3. 4.

5.

6.

o

7

1.1. Factores para elegir la ubicación .......... . 1 .2. Control de acceso .............................. .. 1.3. Sistemas de climatización y protección en el CPD .......................................... . 1.4. Recuperación en caso de desastre ...... .. . Sistemas de alimentación ininterrumpida ...... .. 2.1. Definición de SAl ...................... ...... .... . 2.2. Tipos de SAl ............................ .. .. .. .... . 2.3. Modo de funcionamiento .............. .. .. .. .. Almacenamiento de la información .............. .. Almocenomiento redundante y distribuido .... .. 4.1. RAID en Windows .............................. . 4.2. RAID en Windows Vista .................. .... . 4.3. RAID en Windows 2008 Server ...... ..... . Clusters de servidores .................... .... ....... .. . 5.1. Clasificación de los clusters .................. . 5.2. Componentes de los clusters ...... .. ........ . Almacenamiento externo ............................ .. 6.1. Network Attached Storage .............. .. .. .. 6.2. Storage Area Network ............ ....... .. .. ..

Unidad 3. Seguridad Pasiva. Recuperación de datos ............................................ . l. Introducción .................................. .. ...... .. .. .. 2. Tipos de copias de seguridad .................. .. .. . 3. Copias de seguridad de los datos ................ . 3.1. Copia de seguridad de datos en Windows .......... ................................. . 3.2. Copia de seguridad de datos en Linux .. .

23 23

33 35 35 35 36 36 37 38 40 40 43 44 44 45 46 46 46

49 50 51 52 54 61

106 108 112 117 117 1 19 123 123 125 126 129 129 131 131 131

5


,

Indice

o

3. Seguridad en redes cableadas..... ......... .... .. .. 3.1. Red privada virtual (VPN) ......... .... ........ ¿Qué es una VPN? ... ......... .... ............. ¿Cómo funciona una VPN? . ..... ..... ........ Instalación y configuración de una VPN . 3.2. Detección de intrusos ............. .............. 3.3. Arranque de servicios .. ................. .... ... Servicios en Windows Vista ....... .... ....... Servicios en Ubuntu ............ ............. ....

152 152 152 152 152 159 159 159 161

4. Seguridad en redes inalómbricas ....... ........... 4.1. Tecnologías Wi-fi.. ................... ....... ..... 4.2. Conceptos de redes Wi-fi ..................... 4.3. Seguridad Wi-fi.................... .... .... .......

162 163 164 165

5. Seguridad WEP .............. ..... ............ .... .......

166

6. Seguridad WPA ................................... .... ... 6.1. Seguridad WPA personal........... ... ....... 6.2. Seguridad WPA empresarial.................

170 170 172

Unidad 7. Seguridad de alto nivel en redes: cortafuegos ........................................

179

l. Seguridad de alto nivel............................. .. .

180

2. Cortafuegos: qué son y para qué sirven .........

181

3. Tipos de cortafuegos.................................... 3.1. Según su ubicación..... .... ...... .... .. .. ....... Cortafuegos personales.......... ... .... ....... Cortafuegos de subredes ........... .... ....... 3.2. Según su tecnología.................. .... .. .. ...

184 184 184 1 86 186

4. Filtrado de paquetes........... ......................... 4.1. Parámetros utilizados para filtrar paquetes ............... .......................... ... 4.2. Reglas de filtrado.......... .... .... .... .... .......

1 87

o

1 87 188

5. Uso de cortafuegos...................................... 5.1. Criterios para elegir un cortafuegos ....... 5.2. Instalación y configuración de un cortafuegos comercial....................... ...

192 192

6. Arquitecturas de red con cortafuegos ...... .. ..... 6.1. Dual-Homed Has!................................. 6.2. Screened Host ..................................... 6.3. Screened subnet .......... .. ......................

197 197 197 198

7. Monitorización y logs .................................. 7.1. Registra de actividad de los sistemas operativos........................................... 7.2. Registras de actividad del cortafuegos....

199

192

199 200

o

Unidad 8. Seguridad de alto nivel en redes: proxy.................................................

203

l. Intraducción ................................................

204

2. Características del praxy....... .. .. .. ...... .. .. ... .... 3. Funcionamiento del praxy............................. 4. WinGate.............. ........... .... .. ..... ... .. .. ......... 4.1. Instalación ................ ...... .............. .. .... 4 .2. Configuración inicial............... .... .. .. ..... 4.3. Servicios de WinGate .......................... Parada y orranque de los servicios........ Configuración de los servicios.......... ..... 4.4. Tipos de praxy .............................. .. .... 4.5. Creación de usuarios........ .. .. .. ....... ...... 5. PureSight.............................................. .. .... 6. Control de lag en WinGate ........ .. .. .. ...... .. ....

205 206 208 208 209 211 211 212 212 214 217 218

7. Squid ........................................................ 7.1. Instalación de Squid....... .. .. .. ... ............. 7.2. Configuración inicial...................... .. .... http_port....................................... ... ... cache_dir ........ .. .. .. ...... .. ..................... cache_mem......................................... cache_mgr................................. ......... accessJog, cacheJog y cache_store_ lag..................................................... cache_effective_user y cache_effective_ group................................................. ftp_user ........................ ...... ...... .. ........ error_directory .............. ...... ................ 7 .3 . Control de acceso en Squid ........ .. ........ acl............ ...... .......... .. ...... .. ...... .. ....... acl src ...................... .. .. .. .. .. ... .. ........... http_access .............. ...................... ..... AcI ds!.................. .. .. .. .. .. .. .. .. .. ... .. .. .. ... AcI dstdomain ....... .. ...... .. .. .. ........... .. ... urLregex .............. .. ...... .. ...... .. ....... ..... time .............................................. .. ... 7.4. Autenticación ...... .... ............................ 7.5. Clasificación de sitios en Squid ............. 7.6. Gestión del proxy con Webmin. Control de lag.... ................................. Instalar y configurar Webmin para Squid Utilización de Webmin......................... Análisis del lag de Squid con Webmin...

219 219 220 220 220 221 221

Anexo: índice de términos ..................................

221 221 221 221 222 222 222 222 224 224 224 225 226 229 230 230 231 231 235


ijj) n'il od©l d

Conceptos básicos de la seguridad informática

En esta unidad aprenderemos a:

• Valorar la importancia de mantener la información segura. • Describir las diferencias entre seguridad física y lógica y entre seguridad activa y pasiva. • Valorar la importancia de establecer una política de contraseñas. • Contrastar la incidencia del software malicioso y las técnicas de ingeniería social en los fraudes informáticos y robos de información. • Determinar la necesidad de controlar el acceso a la información personal almacenada. • Describir la legislación sobre protección de datos de carácter personal y sobre los servicios de la sociedad de la información y

y estudiaremos: • los servicios de seguridod. • las clasificaciones de seguridad. • las amenazas y fraudes. • legislación: protección de datos y servicios de la sociedad de la información y correo electrónico.

comercio electrónico.


~1

Conceptos básicos de la segu ridad informá tica

• Gene Spafford, experto en seguridad informática, afirma: «El único

sistema verdaderamente

seguro es aquel que se encuentra apagado, encerrado en una caja fuerte de titanio, enterra-

do en un bloque de hormigón, rodeado

de gas nervioso

y

vigilado por guardias armados y muy bien pagados. Incluso entonces, yo no apostaría mi

vida por ello».

l. Seguridad informática ¿por qué?

El espectacular auge de Internet y de [as servicias telemáticos ha hecho que [os ordenadores y [as redes se conviertan en un elemento cotidiano en nuestras casas y en un instrumenta imprescindible en [as tareas de [as empresas. Ya no tenemos necesidad de ir a[ banco para conocer [os movimientos realizados en nuestra cuenta bancaria, ni para realizar transferencias ... directamente podemos rea[izar dichas operaciones desde e[ ordenador de casa. Lo mismo ocurre con [as empresas; sea cual sea su tamaño, disponen de equipos conectadas a Internet que [es ayudan en sus pracesas productivos. Cualquier fallo en [os mismos puede suponer una gran pérdida económica ocasionada por e[ parón producido, bien por [a pérdida de infarmación o por e[ mal funcionamiento de [as equipos infarmáticos, de modo que es muy importante asegurar un correcto funcionamiento de [os sistemas y redes informáticas. Uno de [os principales problemas a [os que se enfrenta [a seguridad infarmática es [a creencia de muchos usuarios de que a ellos nunca [es va a pasar [o que a otros. Es impensable que nas vayamos de casa y nos dejemos [a puerta abierta. Lo mismo ocurre con [a seguridad de [a infarmación. Con unas buenas políticas de seguridad, tanto físicas como lógicas, conseguiremos que nuestros sistemas sean menos vulnerables a [as distintas amenazas. Sí, menos vu[nerabies: nadie puede asegurar que su sistema sea cien par cien segura, hasta [a seguridad de [a NASA y del Pentágono han sido violadas por hackers. Hay una lucha permanente entre [os técnicos protectores del sistema y [os que buscan rendimientos económicos fáciles, o simplemente su minuto de gloria a[ superar e[ reto de asomarse a[ otro [oda de [a barrera de protección. Tenemos que intentar [agror un nivel de seguridad razonable y estar preparados para que, cuando se produzcan [os ataques, [os daños puedan ser evitados en unos porcentajes que se aproximen a[ ciento por cien o en caso contrario haber sido [o suficientemente precavidos para realizar [as copias de seguridad y de esta manera volver a poner en funcionamiento [os sistemas en e[ menor tiempo posible.

~]t¡

..

..

.

~

Detienen en Málaga a un hacker por introducirse en un ordenador del Pentágono MÁLAGA, 16 DE ENERO DE 2006 (EUROPA PRESS) La Guardia Civil ha detenido a un hacker, en una operación desarrollada en Málaga, como presunto autor de un acceso ilegal a través

de Internet a un ordenador del Departamento de Defensa de Estados Unidos. El ordenador al que accedió el hacker estaba ubicudo en la base naval de Painl Loma. en San Diego, California, según indicó la Benemérita a través de un comunicado. La operación, denominada Navy, se inició cuando efectivos de segu ~ fidad informática de la Armada de Estados Unidos detectaron un acceso ilegal a dicho ordenador, por lo que comunicaron este hecho a su Servicio de Investigación Criminal Naval (NCIS). Este servi~ cio detectó que el ataque se había procedido desde un ordenador de España, motivo por el cual lo puso en conocimiento de la Unidad de Ciberterrorismo de la Guardia Civil. La denuncia, interpuesta a través de la Emb~jada de Estados Unidos en España, ponía de manifiesto que «el ataque comprometía gravemente

tanto el correcto funcionamiento como la seguridad de un dique seco de mantenimiento de submarinos nucleares}}. A raíz de la operación realizada por la Guardia Civil, se detectó la existencia de un grupo dedicado a vulnerar la seguridad de sistemas informáticos conectados a través de Internet, con el fin de utilizar la información para fines ilegítimos. Una vez descubierto este grupo, las investigaciones se centraron en una persona residente en Málaga, que resultó ser el autor del mencio~ nado ataque, según la Guardia Civil. Dentro de la misma operación, se identificó y se tomó declaración a otras cuatro personas en distintas provincias de España en calidad de testigos y por su presuma relación con los hechos. Las acciones realizadas por este grupo causaron daños valorados en más de 500000 dólares y habrían comprometido la seguridad de más de un centenar de sistemas informáticos, informaron desde el Instituto Annado.


Conceptos básicos de la segurid ad informática

1

- ---

Caso práctico 1

9

Análisis de contraseñas Vamos a analizar el tiempo que tarda un PC cama las que podemos tener en casa en descubrir una contraseña.

Ripper son aplicaciones clásicas capaces de descubrir contraseñas .

Existen en Internet multitud de programas dedicadas a descubrir las contraseñas haciendo uso del método de fuerza bruta, que consiste en ir probando todas y cada una de las posibles contraseñas . Brutus o John the

Coma se puede ver en la Tabla 1.1 las contraseñas en las que sólo se utilizan caracteres en minúsculas (la misma ocurriría si solamente se hace usa de las letras mayúsculas) san mucha más vulnerables ante este tipo de pragramas .

~_'n~'_-""""',"_~~~_""'"_--.o......-_,...",,,,,,'

r~

,

"

~: M~scülas, l1Ji~Ú5~1:!!é5 y car~pe.slales •

3

Menos de 1 segundo

Un suspiro

4

Menos de 2 minutos

Un suspiro y medio

5

Alrededor de 2 horas

10 segundos

6

Alrededor de unos 9 días

5 minutos

7

Entre 2 y 3 años

Alrededor de 2 horas

S

Alrededor de 2 siglos

Menos de 3 días

9

Unos veinte mil años

Alrededor de 2 meses

Tabla 1. l . Tiempos que tardan en defectar las contraseñas.

Caso p'ráctica 2

9

¿Qué problemas pueden surgir cuando se introduce un virus que formatea equipos en una empresa que vende productos por lnlernel? Vamos a pensar en las per¡uicios ocasionados a una empresa que ha visto afectados sus equipos informáticos por un virus que se ha transmitido por la red. El virus estaba diseñado para formatear los equipos a las 13.30 horas. las páginas web de lo empresa donde comercializaba sus productos de¡an de funcionar. Esto provoca una gran pérdida económica debido a la falta de ventas durante el tiempo en el que no están disponibles. A ello se suma la pérdida de confianza por parte de los clientes al conocer la vulnerabilidad de sus sislemas infarmáticos, y la pérdida de confianza por porte de los proveedores por la mismo razón . Además, si la empresa no ha realizado copias de seguridad de los datos de ventas, clientes, etc., perderá mucha información valiosa como cortera de clientes, pagos a proveedores a facturas.

9

Hacker. Intruso qu e se infiltra en los equipos informáticos como reto. En ningún co so buscan un beneficio eco nómico o dañar la estructura del sistema . Cracker. Intrusos que buscan un beneficio econ ó mico o dañar las estructuras del sistema .

En lo actualidad, los medios de co municació n han popularizado

la palabra hacke r poro ambas acepcio nes.

Caso práctico 3 ¿Qué problemas puede tener un interna uta que se conecta a Inlernet utilizando nuestro router Wifi, el cual no tiene ningún tipo de contraseña? Pensemos el caso extremo, un pederasta que utilizo nuestra conexión para descorgorse pornografía infantil.

9

la policía en una investigación nos señalaría como culpables de las descargas por ser nuestra IP la que de¡a el rastro.


~/ 1

Co nce ptos básicos de lo seguridod informática

------~---------~-----------

2. Objetivos de la seguridad informática

Si estudiamos las múltiples definiciones que de seguridad informática dan las distintas entidades, deduciremos los objetivos de la seguridad informática. Según la IS027002, "La seguridad de la informacián se puede caracterizar por la preservación de: •

Confidencialidad: asegura que el acceso a la informacián está adecuadamente autorizado.

Integridad: salvaguarda la precisión y completitud de la información y sus métodos de proceso

Disponibilidad: Asegura que los usuarios autorizados pueden acceder a la infarmación cuando la necesitam).

Otra de las definiciones de lo seguridad informática dada por INFOSEC Glossary 2000: " Seguridad Informática son las medidas y controles que aseguran la confidencialidad, integridad y disponibilidad de los activos de los sistemas de información, incluyendo hardware, software, firmware y aquella informacián que procesan, almacenan y comunicam>.

De estas definiciones podemos deducir que los principales objetivos de la seguridad informática son: •

Confidencialidad: consiste en la capacidad de garantizar que la información, almacenada en el sistema informático o transmitida por la red, solamente va a estar disponible para aquellas personas autorizadas a acceder a dicha información, es decir, que si los contenidos cayesen en manos ajenas, estas no podrían acceder a la información o a su interpretación.

Este es uno de los principales problemas a los que se enfrentan muchas empresas; en los últimos años se ha incrementado el robo de los portátiles con la consecuente pérdida de información confidencial, de clientes, líneas de negocio... En relación a este objetivo, en el último apartado de este tema, analizaremos la Ley de Protección de Datos de Carácter Personal. •

Disponibilidad: la definiremos como la capacidad de garantizar que tanto el sistema como los datos van a estar disponibles al usuario en todo momento.

Pensemos, por ejemplo, en la importancia que tiene este objetivo para una empresa encargada de impartir ciclos formativos a distancia. Constantemente está recibiendo consultas, descargas a su sitio web, etc., por lo que siempre deberá estar disponible para sus usuarios. •

Integridad: diremos que es la capacidad de garantizar que los datos no han sido modificados desde su creación sin autorización . La información que disponemos es válida y consistente.

Este objetivo es muy importante cuando estamos realizando trámites bancarios por Internet. Se deberá garantizar que ningún intruso pueda capturar y modificar los datos en tránsito.

~ Actividades 1. Asocia los mecanismos con los objetivos de la seguridad informática.

No repudio: este objetivo garantiza la participación de las partes en una comunicación. En toda comunicación, existe un emisor y un receptor, por lo que podemos distinguir dos tipos de no repudio: No repudio en origen: garantiza que la persona que envía el mensaje no puede negar que es el emisor del mismo, ya que el receptor tendrá pruebas del envío. No repudio en destino: El receptor no puede negar que recibió el mensaje, porque el emisor tiene pruebas de la recepción del mismo.


Conceptos básicos de la segu ridad informática

e 1

Este servicio es muy importante en los transacciones comerciales por Internet, ya que incrementa la confianza entre las partes en las comunicaciones.

Formas de autenticarse: • Por algo que el usuario sabe:

password, PIN ... • Por algo que el usuario posee:

tarjeta de claves, tarjeta ATM (tarjeta bancaria) ...

Confidencialidad

• Por algo que el usuario es: ca· racterísticas biométricas, hue· 110 dactilar, iris ...

Disponibilidad

No repudio

Fig. 1.1. Esquema de los objetivos de la seguridad informática.

Para conseguir los objetivos mostrados en la Figura 1.1 se utilizan los siguientes meca-

nismos: o

Autenticación, que permite identificar al emisar de un mensaje, al creadar de un documento o al equipo que se conecta a una red o a un servicio.

o

Autorización, que controla el acceso de los usuarios a zonas restringidas, a distintos equipos y servicios después de haber superado el proceso de autenticación.

o

Auditoría, que verifica el correcto funcionamiento de las políticas o medidas de seguridad tomadas.

o

Encriptación, que ayuda a ocultar la información transmitida por la red o almacenada en los equipos, para que cualquier persona ajena no autorizada, sin el algoritmo y clave de descifrado, pueda acceder a los datos que se quieren proteger.

o

Realización de copias de seguridad e imágenes de respaldo, para que en caso de fallos nos permita la recuperación de la información perdida o dañada.

o

Antivirus, como su nombre indica, consiste en un programa que permite estar protegido contra las amenazas de los virus.

o

Cortafuegos o firewall, programa que audita y evita los intentos de conexión no deseados en ambos sentidos, desde los equipos hacia la red y viceversa.

o

Servidores proxys, consiste en ordenadores con software especial, que hacen de intermediario entre la red interna de una empresa y una red externa, como pueda ser Internet. Estos servidores, entre otras acciones, auditan y autorizan los accesos de los usuarios a distintos tipos de servicios como el de FTP (transferencia de ficheros), o el Web (acceso a páginas de Internet).

o

Utilización firma electrónica o certificado digital, son mecanismos que garantizan la identidad de una persona o entidad evitando el no repudio en las comunicaciones o en la firma de documentos. También se utilizan mucho hoy en día para establecer comunicaciones seguras entre el PC del usuario y los servidores de Internet como las páginas web de los bancos.

o

Conjunto de leyes encaminadas a la protección de datos personales que obligan a las empresas a asegurar su confidencialidad.

I

l

\

ti, (/

¡

1


Conceplos básicos de lo seguridad infarmálico

Q

Caso práctico 4

Certificado digital en Internet Explorer 7 Observemos el certificado dig ital que utilizo G moil a la hora de autenticar o los usuari os mediante el nombre y contraseño del mismo. Poro realizar esto actividad se ha utilizado la aplicación Internet Explorer 7. En la Figuro 1.2, en la zona re servada para las direcciones. podemos observa r que el protocolo utilizado es HTTPS en lugar de HTTP, que suele ser más habitual. En este caso se está utilizando un protocolo de transferencia de hipertexto seguro.

__ __do_ _ _"'_

(;!"ajj _ . -

U_"'_... . . . .... .......... ..... . ...... ............ ..... ~,

,~

___ .. .... ...

ti ::,: :.o :;= ........... _ _ ........___ ..

= Q

~

........

~

~_ ~

Si hacemos e1ic sobre el co ndado, que se muestro en lo parte derecho de lo URl, veremos lo Fig uro 1.3, donde podemos verifica r que lo conexión estará cifrada usando un certificado digital de Google. Si hocemos e1ic sobre Ver Certificados de lo Figuro 1.4 nos muestro la información deta llada del mismo (Fig. 1.5).

~:==""------I :::::-.::.:::..

..-

_...........

...

_ . c,,-J<

" E:'.--;:"""'_. ,,--_... ._ ._ ..._-_ .. ~- . . .

... ... "" ~

Q

..."... _ .. "'.... .. _, .. __ ' .....'''' .......,_.. __ ......

:::~

::~;., .. _- ~ ,_ .........".. _

--,...... , .... -.-.... _.._ .. "-"lo,...,'.....

.,....... c.-n" .... _ [ ';"'--· 1

L::==== ....,.._ . . . . ...____ ~_

~

---·l

__

Fig . 1.2. Pantalla Google.

Fig . 1.3. Pantalla Goagle con certificado.

Ceftifitido

......

'---"'-'

Do..,.,

[ Rl

Certificado

.~

~"'''''''

Rl,¡ta de artifiu.cin

Mostrar:

Rl,¡1iI de

artiliald6n

I

e.....

Este Cbtiflc::¡¡¡do csbi destinado a los sig\JicJ1tcs Pnlpdslto: • A$eg\rlllll identidad de un ~ re!OOlo

o

v'"""

8t.Al;critmo ünero de~eriefrrna

01""76003"'<9"",7 ... ~

de,

=

shalRSA Thawte SGe CA, ThawteCons.,. sábado, 28 de ~ de 2009 •.. domingo, 28 de l!\l!nO de 201, ..

O"""" Ov,,",_ D vA!:do hasta

O""'In

M'M.goog!e,rom, Go~ lflc....

O da~_

-

RSA (102"lBils)

J;11 ..... ~~r4au..::

Emitido par \\'\'II'I.googIe.am

1,'

-1

<Todo:;>

Información del czrtificado

,,1 ... ~..t.Ie-,;.¡....r,.,.

30 91 99 02 91 91 DO d6 b9 el ad b9 61 Oh

19 a2 Ji 15 a6 e5 4a

Váido dHelc 28/03/2009 ham 28/03/2.010

[§03c=:idtlt'=~ a,~

2f 49 el 10 b9 92 de

d3 ea b9 59 17 6e b1

51 30 7f fe 42 De 64

20 57 7b 06 e6 60 bd

22 26 e3 b3 46 76 aO

45 97 c7 bf e7 9a 74

95 d9 00 91 66 e7 5a ef ce al 9c dO be ge 02 b9 22 el 5e 27 ce f9 7f 50 41 b2 50 9f

~

33 9a a1

f1 9b Oc 1f 3e 91

51 10 b9 96

de fe 5a 9d

fb 54 09 la

-

t :::if.:a: proped.l!des···l [Cop¡-;u en Gídt....3

rr.as nformación&efCZI de, ct'fhfirado~

1

Mas nformadón aarca de los d! l a·l!~ d..1cl!' b~,arlf)

I Fig. 1.4. Información general del certificado.

2

o

1f 4e b6 3e 09 3d ah e9 e3 2b b6 e9 a4 3.

Emitido por ihIIwte SGe CA

-""

I

1

Fig. 1.5. Detaffe del certificado.

-'"

1


Conceptos bósicos de la seguridad informótica

1

3. Clasificación de seguridad

Se pueden hacer diversas clasificaciones de la seguridad informática en función de distintos criterios. Según el activo a proteger, es decir, todos los recursos del sistema de información necesarios para el correcto funcionamiento de la actividad de la empresa, distinguiremos entre seguridad física y lógica; en dependencia del momento preciso de actuación, entre seguridad pasiva y activa, según se actúe antes de producirse el percance, de tal manera que se eviten los daños en el sistema, o después del percance, minimizando los efectos ocasionados por el mismo.

Cenlro de cálculo. Lugar se encuentran ubicados los recursos informáticos de una organización. Sinónimos de centro de cálculo: Centro de procesamiento de

datos (CPD), centro de datos y

centro de cómputo.

3.1. Seguridad física y lógica En este apartado distinguiremos los distintos tipos de seguridad en función del recurso a proteger.

o

Seguridad física

Habitualmente nos centromos en protegernos de posibles hackers, virus ... y nos olvidamos de un aspecto muy importante en la seguridad informática, la seguridad física. La seguridad física es aquella que trata de proteger el hardware (los equipos informáticos, el cableado ... ) de los posibles desastres naturales (terremotos, tifones ... ), de incendios, inundaciones, sobrecargas eléctricas, de robos y un sinfín de amenazas más. A continuación vamos a enumerar las principales amenazas y los mecanismos para salvaguardarnos de las mismas:

,,..

... . .

"m»1.'

I~~': I

s. ~ n

'.. . .. ....

, •• J

- .. ~ " . .. .. ... p

Fig. 1.6. Terremotos registrados por el Instituto GeográFico Nocional de España de los primeros diez días del mes de julio de 2009.

• El mobiliario de los centros de cálculo debe ser ignífugo. •

Evitar la localización del centro de procesamiento de datos cerca de zonas donde se manejen o almacenen sustancias

Deben existir sistemas antiincendios, detectores de humo, rociadores de gas, extintores ... para sofocar el incendio en el menor tiempo posible y así evitar que se propague ocasionado numerosas pérdidas materiales.

Evitar la ubicación de los centros de cálculo en las plantas bajas de los edificios para protegerse de la entrada de aguas superficiales.

inflamables o explosivos.

Incendios

Inundaciones

• Impermeabilizar las paredes y techos del CPD. Sellar las puertas poro evitar la entrada de agua proveniente de las plantas superiores.

Robos

Señales electromagnéticas

Apagones Sobrecargos eléctricas Desastres naturales Ta bla 1.2 .

Proteger los centros de cálculo mediante puertas con medidas biométricas, cámaras de seguridad, vigilantes jurados ... ; con todas estas medidas pretendemos evitar la entrada de personal no autorizado.

Evitar la ubicación de los centros de cálculo próximos a lugares con gran radiación de señales electromagnéticas, pues pueden interferir en el correcto funcionamiento de los equipos informáticos y del cableado de red.

En caso de no poder evitar la ubicación en zonas con grandes emisiones de este tipo de señales deberemos proteger el centro Frente de dichas emisiones mediante el uso de filtros o de cableado especial, o si es posible, utilizar fibra óptica, que no es sensible a este tipo de interferencias.

Para evitar los apagones colocaremos Sistemas de Alimentación Ininterrumpida, SAl, que' proporcionan corriente eléctrica durante un periodo de tiempo suficiente.

• Además de proporcionar alimentación, los SAl proFesionales incorporan filtros para evitar picos de tensión, es decir, estabilizan lo señal eléctrico. •

Estando en continuo contacto con el Instituto Geográfico Nocional y lo Agencio Estatal de Meteorología, organismos que informan sobre los movimientos sísmicos y meteorológicos en España.

Amenazas y mecanismos de defensa en seguridad Física. 13


Conceptos básicos de la seguridad informática

o

Seguridad lógica

La seguridad lógica complementa a la seguridad física, protegiendo el software de las equipas informáticas, es decir, las aplicaciones y las datas de usuaria, de rabas, de pérdida de datas, entrada de virus informáticos, modificaciones na autorizadas d e los datas, ataques desde la red, etc.

fir ......~ d. IV;""" .."

r...... _. ...... ............

,...M................"....""'''''... ''''.H•

...... '"'''''' ......""¡'" .., ... .......... . "...,, ......... ~., .,, '''

.<_ ... .,...."",.......,..".,.. ..•..-

a._ .. _ ... . _ ... . .. ~

(~'W"

".<t...,D

#'fPtttEíd

::=-.:::::.'_.__ "'-r.,... . _ ...... _ _ . ""' • • , _

~

..

~~

. . . . . . <&O<a ...

........(-,

...... ..

,

..... _ ." _ _..... ..,.,....... "'""'" .. ......... """......... . . ;:'.;:.:...........'''''''''''''.,...... .. ~ C' _( ....=.::= _................._...,..,. .. ............. ,........."........ _., ""',,...,.. ..... "' ... ..,. ............ . ..... " _

~ .,...

r: _

_ --""'~

"_ --

. . - 0 - ........ ......... _

.. :>T.>I

.. . ' _ . ,

"-~

.. _ J

~,

-

.."" •.•... _........ ,,.,<::;!;.u=

A continuación vamos a enumeror las principales amenazas y mecanismos para salvaguordarnos de las mismas:

• Cifrar la información almacenada en los soportes para que en caso de

robo no sea legible. Robos

• Utilizar contraseñas para evitar el acceso a lo información . • Sistemas biométricos (uso de huella dactilar, tarjetas identificadoras,

caligrafío ... ). • Realizar copias de seguridad para poder restaurar la información per-

dido. Pérdida de información

• Uso de sistemas tolerantes a fallos, elección del sistema de ficheros del sistema operativo adecuado. • Uso de conjunto de discos redundantes, protege contra la pérdida de datos y proporciona la recuperación de los datos en tiempo real.

• Uso de programas de chequeo del equipo, SiSoft Sandra 2000, TuneUp ... Pérdida de integridad en la información

• Mediante la firma digital en el envío de información a través de mensajes enviados por la red. • Uso de la instrucción del sistema operativo Windows¡ sfc (system file

checker). Entrada de virus

• Uso de antiviru s, que evite que se in fecten los equipos con programas malintencionados.

Ataques desde la red

• Firewall, autorizando y auditando los conexiones permitidas. • Program as de monitorización • Servidores Proxys, autorizando y auditando las conexiones permitidas.

Modificaciones no autorizadas

• Uso de contraseñas que no permitan el acceso a la información. • Uso de listas de control de acceso. • Cifrar documentos.

Tabla 1.3. Amenazas y mecanismos de defensa en seguridad lógico.


Conceptos básicos de la seguridad informática

Caso práctico 5

1

9

Verificación de la integridad de 105 ficheros del sistema en Windows Vista En algunas ocasiones, los virus modifican o dañan los ficheros del sistema. A continuación vamos a comprobar mediante el uso del comando sfc de Windows Vista la integridad de los mismos.

Para ejecutar muchos cornalnd,,. del sistema deberemos contar con privilegios de administrador.

Las acciones que debemos realizar son las siguientes: Hacemos dic en el botón Inicio. En el cuadro de búsqueda, escribimos Símbolo del sistema o cmd. Escribimos sfc/ verifyonly , y empiezo la comprobación del sistema (Fig . 1.7). Este proceso suele tardar alrededor de unos quince minutos. El resultado se puede ver en lo Figuro 1.8.

Fig. 1.7. Comando sfc.

Fig. 1.8. Final eiecución de sfc. Con el parámetro / scannow el comando examina inmediatamente todos los archivos del sistema protegidos y reemplaza las versiones incorrectas que encuentre por versiones correctas de los mismos.

En el caso de realizar el caso próctico en Windows XP la orden deberia ser: sfc/S CANNOW


y,

1

Conceplos básicos de la seguridad informática

3.2. Seguridad activa y pasiva Como se comentó al inicio del aportado 3, aquí el criterio de clasificación es el mamen· to en el que se ponen en marcho las medidos oportunas.

o

Seguridad activa

La seguridad activa la podemos definir como el conjunto de medidas que previenen e intentan evitar los doñas en los sistemas informóticos. A continuación, vamos o enumerar los principales técnicas de seguridad activa: .

,

previene? t:"GJ!ue. .

.".'~~

'. . "',

Uso de contraseñas

Previene el acceso a recursos por parle de personas no autorizadas.

listas de control de acceso

Previene el acceso a los Ficheros por parle de personal no autorizado.

Encriptación

Evita que personas sin autorización puedan interpretar la información.

Uso de software de seguridad informática

Firmas y certiFicados digitales Sistemas de Ficheros con tolerancia

a fallos Fig. 1.9. Tarieta inteligente.

'

Cuotas de disco

Previene de virus informáticos y de entrados indeseadas sistema informático.

01

Permite comprobar la procedencia¡ autenticidad e integridad de los mensajes. Previene fallos de integridad en caso de apagones de sincronización o comunicación. Previene que ciertos usuarios hagan un uso indebido de la

capaddad de disco.

Tabla 1.4. Técnicas de seguridad activa.

En las Figuras 1.9 y 1.10 podemos ver dos ejemplos de seguridad activa y pasiva. Las tarjetas inteligentes, ejemplo de seguridad activo, impiden el acceso a personas no autorizadas a los recursos, y los SAl Isistemas de alimentación ininterrumpida) permiten mantener los equipos encendidos el tiempo necesario para guardar lo información una vez que se ha praducido el desastre lel apagón de luz).

o

Seguridad pasiva

La seguridad pasiva complemento O la seguridad activo y se encargo de minimizar los efectos que hoyo ocasionado algún percance. Fig. 1.10. SAl.

A continuación enumeramos los técnicos más importantes de seguridad pasivo:

Conjunto de discos redundantes

Podemos restaurar información que no es válida ni consistente.

SAl

Una vez que la corriente se pierde las bateríos del SAl se ponen en funcionamiento proporcionando la corriente necesaria para el correcto funcionamiento.

Realización de copias de

A partir de las copias realizadas, podemos información en

seguridad

caso de pérdida de dolos.

Tabla 1.5. Técnicas de seguridad pasivo.

6


Conceptos básicos de la seguridad informática

1

4. Amenazas y fraudes en los sistemas de la información

Durante los primeros meses de 2009, en España hemos vivido una época de crisis financiera, lo que ocasionó numerosos despidos en las empresas. la situación produjo un aumento en los casos de robos de información confidencial por parte de los empleados despedidos, y puso en evidencia la falta de seguridad informática en dichas empresas. El objetivo final de la seguridad es proteger lo que la empresa posee. Todo aquello que es propiedad de la empresa se denomina activo. Un activo es tanto el mobiliario de la oficina (sillas, mesas, estanterías), como los equipos informáticos (servidores, ordenadores de escritorio, impresoras), como los datos que se manejan (datos de clientes, facturas, personal) . Cualquier daño que se produzca sobre estos activos tendrá un impacto en la empresa (Fig. 1.11).

Aclivos ' )

!

'ff

la seguridad de un sistema real

nunca será completa, pero el

uso de buenas politicas de seguridad es imprescindible poro evitar

y minimizar los daños.

,

Daño

===~»

G <II~t====

,-_V _U_In_e_ ra_bi_lid_a_de_s___

4Riesgos

Plan de acluación

Fig. 1.11 . Posos poro lo meioro de lo seguridad.

Actividades 2. Analiza si aumenta o disminuye el riesgo en caso de que el daño sufrido por SiTour sea, además de la pérdida de datos de los clientes, la pérdida de facturas y datos de proveedores. Identifica previamente activos, daños, impactos y vulnerabilidades.

3. Analiza si aumenta o disminuye el riesgo en caso de que se instale un cortafuegos y se mantenga un antivirus actualizado en el portátil del director de SiTour.

Caso práctico 6 Especificar los activos, daños e impacto que sufre la agencia de viajes SiTour que almaceno los datos de los clientes únicamente en un portátil que utiliza el director En un descuido se le cae el portátil al suela y este se estropea. los datos del disco no se recuperan hasta dos días deSPUéS del accidente.

l

En este caso, los activos son el portátil y los datos de los clientes, el daño es la rotura del portátil y el impacto es la pérdida de negocio durante 48 horas y la necesidad de

9' 9

adquirir un nueva equipo. En el nuevo portótil se graban las datas recuperados de los clientes, siendo de nuevo la única copia existente de los mismos la que hay en el disco duro. Se instalan ademós los programas necesarios para la gestión de SiTour pero no se considera la necesidad de instalar un antivirus y un Firewall , por lo que se estó haciendo vulnerable el equipo. Una vulnerabilidad es cualquier fallo que compromete la seguridad del sistema.


Conceptos básicos de la seguridad informática

q

Coso práctico 7

Especificar los activos, doñas, impacto y vulnerabilidad que sufre la agencia de viajes SiTour El director ha recibido un correo de un remitente desconocido con un fichero od· junto que resulto ser un virus, y dado que no hoy un ontivirus funcionando en el portátil, este se infecto y el virus borro el contenido del disco duro de formo irrecu· perable. En este coso los activos son el portátil y los datos; el daño es lo pérdida de datos, el impacto es lo pérdida de negocio de lo empresa , y lo vulnerabilidad se genero por lo falto de ontivirus. El impacto es de muy alto nivel porque, como recordarás, no hoy otra copio de los datos de los clientes . Un riesgo es lo posibilidad de que se produzco un impacto negativo para lo em· preso aprovechando alguno de sus vulnerabilidades (Fig . 1.10). Por ejemplo, en el coso anterior el riesgo es que, o través de lo vulnerabilidad que supone no tener un antivirus se produzco lo pérdida de clientes e incluso lo quiebro de lo empresa.

4.1. Actuaciones para mejorar la seguridad

.. .

.

Los posos o seguir para mejorar lo seguridad son los siguientes: •

Identificar los activos, es decir, los elementos que lo empresa quiere proteger.

Un problema que suele encono trarse o la hora de diseñar estos

Formoc ián de los trabajadores de los empresas en cuanto o materias de seguridad.

actuaciones es que los gerentes de las empresas no ven la

Concienciac ión de lo importancia de lo seguridad informático para los trabajadores de lo empresa. .

Evaluar los riesgos, considerando el impacto que pueden tener los daños que se produzcan sobre los activos y los vulnerabilidades del sistema.

Diseñar el plan de actuación, que debe incluir:

necesidad de invertir personal, esfuerzo y dinero en seguridad informática .

Los medidos que troten de minimizar el impacto de los daños ya producidos. Es lo que hemos estudiado referido o la seguridad pasivo. Las medidos que traten de prevenir los daños minimizando la existencia de vul· nerabilidades. Se trata de la seguridad activa. •

Revisar periódicamente las medidos de seguridad adoptados.

~ Actividades 4. Supón que en el ordenador portátil con cámara web integrado que tienes en tu habitación, no tiene cortafuegos activo, no hay instalado un antivirus y lo tienes siempre conectado o Internet. Un desconocido tomo el control de tu portátil y te dos cuento porque te encuentras lo cámara we b encendido y tú no lo has conectado. Analizo activos, vulnerabilidades y riesgos, y detallo cuales podrían ser los daños producidos y el impacto de los mismos. 5. Imagina ahora que lo persono que ha tomado el control de tu ordenador no hoce nado en tu ordenador y tú no te dos cuenta de esta situación. Un día te dejas conectado tu DNI electrónico en el lector del ordenador. Analizo los posibles riesgos y el impacto de los mismos. 18


1

Conceptos básicos de lo seguridad inFormática

Caso práctico 8

9

Descubrir qué equipos están conectados en la red de SiTour, qué servicios tienen instalados y descubrir qué programa y versión está detrás de un servidor Web

3. Investiga vulnerabilidades que puedan tener los protocolos activos Ahora que ya conocemos que programa está utilizando e[ equipo SERVER para ofrecer e[ servicio Web y la ver1. Analiza la red en busca de equipos y servicios sión del mismo, podemos buscar en Internet sus vulneraExisten muchos analizadores de red, nosotros para este bilidades conocidas. caso vamos a utilizar nmap y su interfaz gráfico Zen· Una página en la que podemos encontrar esta informap (http://nmap.org), un programa que se puede eiemacián es http://securityfocus.com. También puedes cutar sobre Windows o GNU/Linux. encontrar las vulnerabilidades en las páginas oficiales, Como se puede ver en la Figura 1.12 (resultado de un es decir, en este caso en www.apache.org. análisis rápido, quick scan) nmap ha detectado dentro Recuerda que un servidor Web tiene por abietiva servir de la red de SiTour tres equipos, el equipo SERVER, el aplicaciones de tipa Web, es decir, programas consrauter y nuestro propio equipo. Para el equipo SERVER, truidos con las lenguaies HTML, iavaScript y PHP entre que es el que está seleccionado en la figura, ha detecotros. Estos programas también pueden tener fallos que tado varios servicios activos. Un atacante estudiaría podría utilizar un posible atacante. todos los servicios activos y las versiones de los proSi utilizamos aplicaciones propias de la empresa, tengramas que dan estos servicios para buscar una vulnedremos que descubrir y carregir nuestras propias vulnerabilidad en ellos. Nosotros en este caso práctico nos rabi[idades si par el contraria utilizamos aplicaciones vamos a centrar en el servicio http. más genéricas como por eiemplo WordPress, Joomla o Maodle, tendremos que seguir las noticias oficiales de seguridad de esas aplicaciones para que en casa de que se produzca un fallo, solucionarlo en cuanto este Seil.n 1001s E,rofile .l:ielp sea conocida por la empresa. I l ,>"V () f) Ü lb ~ o 1: • Estos pasos también se pueden simplificar a través New Sean Command wízard Save Sean Open Sean Report a bug Help de algún programa de detección de vulnerabi[idades 1 Quick Sean on 192.168.1.1/24 cama, par eiemp[a, nessus (www.nessus.org).

Para poder tomar medidas y proteger nuestra red, es bueno conocer los pasos que un atacante seguiría para intentar abordar nuestra equipo:

'A'

!vi

Target: ( 192.168.1.1/24

Profile:

IQuick Sean

H

I Hosts 1I Serviees I

OS

Ii' Ii' IU

I Host 192.168.1.2 192.168.1.3 192.168.1.203

Ports I Hosts

.,., .,.. .,

IPort 80

m 139 44S

'54

~map

Output IHost Details Iscan Details

I Protocol

"p "p "p "p "p

I State

1Sean I

I

Command: Inmap.T Aggressive.v.n 192.168.1.1/24

I SeNiee

open

http

open

msrpc

open

netbios·ssn

open

mierosoft·ds

open

n,p

I

I Version

Iools

Se.an

.e,rofile

.l:ielp

~

,>"V

lb

o

New Sean

Intense Sean on 192.168.1.1124

A'

Fig. 1.1 2. Equipos de Jo red.

@ Help

1:

Profile: Ilntense Sean

!vi

I Sean

Command: Inmap ·T Aggress ive.A.v 192.168.1.1{24

~I OS

2. Investiga los servicios que tiene activos el equipo que se quiere atacar Dentro del mismo programa, como se ve en la Figura 1.13, que muestra el resultado de aplicar un escaneo más profundo, se nos muestra el programa y [a versión que está detrás de dicho servicio. En el caso del servidor Web, puerto 80, el programa servidar es Apache httpd 2.2.11.

Q Report a bug

¡

!vi

Tll:rget: 1192.168.1.1/24 ~~

rf:J

Command Wizard Save Sean Open Sean

D Ii' /

Serviees

I Host

I Hosts Nmap Output IHost Details Isean Detaü;l I I Ports rnteresting po r ts on 192.168.1.203:

192.168.1.2 192.168.1.3 : 192.168.1 .203

Hol libol!!o' 1710 fittered ports VERSIOU PORT STATE SERVICE Apache httpd 2.2.11 80/tcp open http ((Win32) PHP/ 5.3. O) Ili c r oso ft willlJ ows RIlC 135/ t cp 0 rU! 1I ms rpc 139/ t c p opcn nc tLli os - ss ll '1<I5/ l c p a pclI II c tb i os - ss n 55'1/ l c [l a [l cn rt s p?

..

, _ ,"

Fig. 1.13. Detalle de Jos servicios.

" ................. -.,.4.0

B

I I


~/1

Conceptos básicos de la seguridad informática

4.2. Vulnerabilidades Las vulnerabilidades de un sistema san una puerta abierta para posibles ataques, de ahí que sea tan importante tenerlas en cuenta; en cualquier momento podrían ser apravechadas. Podemos diferenciar tres tipos de vulnerabilidades según cómo afectan a nuestra sistema:

• Mic:ro,;oft tiene su propia página sobre noticias de seguridad: http://www.microsoft.com/ spain/seguridad Poreiemplo, busca: "boletín MS09027», donde encontrarás infor· moción sobre una vulnerabilidad de Microsoft Office Word.

Vulnerabilidades ya canacidas sobre aplicaciones o sistemas instalados. Son vulnerabilidades de las que ya tienen conocimiento las empresas que desarrallan el programa al que afecta y para las cuales ya existe una solución, que se publica en forma de parche. Existen listas de correo relacionadas con las noticias oficiales de seguridad que informan de la detección de esas vulnerabilidades y las publicaciones de los parches a las que podemos suscribirnos.

Vulnerabilidades conocidas sobre aplicaciones no instaladas. Estas vulnerabilidades también son conocidas por las empresas desarrolladores de la aplicación, pero puesto que nosotras no tenemos dicha aplicación instalada no tendremos que actuar.

Vulnerabilidades aún no conocidas. Estas vulnerabilidades aún no han sido detectadas por la empresa que desarrolla el programa, por lo que si otra persona aiena a dicha empresa detectara alguna, podría utilizarla contra todos los equipos que tienen instalado este pragrama.

"

El técnico de seguridad, antes de instalar cualquier aplicación, debe

conocer sus vulnerabilidades. De esta manera podrá determinar

si es necesario la descarga de algún parche o bien desestimar su instalación.

Crítica

Para ello clasifica las vulnerabilidades en función de su gravedad, lo que nos da una idea de los efectos que pueden tener en los sistemas. En la siguiente tabla puedes ver dicha clasificación:

Vulnerabilidad que puede permitir la propagación de un gusano de Infernet sin la acción del usuario.

Importante

Moderado

Lograr que los sistemas y redes operen con seguridad resulta primordial para cualquier empresa y organismo. Esto ha llevado a que empresas como Microsoft dispongan de departamentos dedicados exclusivamente a la seguridad, como es Microsoft Security Response Center (MSRC). Sus funciones son, entre otras, evaluar los informes que los clientes proporcionan sobre posibles vulnerabilidades en sus productos, y preparar y divulgar revisiones y boletines de seguridad que respondan a estos informes.

Vulnerabilidad que puede poner en peligro lo confidencialidad, integridad o disponibilidad de los datos de los usuarios, o bien, la integridad o disponibilidad de los recursos de procesamiento. El impacto se puede reducir en gran medida a partir de factores como configuraciones predeterminadas, auditorías o la dificultad intrínseca en sacar partido a la vulnerabilidad.

Vulnerabilidad muy difícil de aprovechar o cuyo impacto es mínimo.

Baia

Tabla 1.6. Clasificación de gravedad de los vulnerabilidades Iwww.microsoft.coml.

~ Actividades 6. ¿Que clasificación de las que hemos estudiado en la Tabla 1.6 han dado a la vulnerabilidad que se comenta en el ¿Sabías que? de esta misma página? Z

Busca una de las últimas vulnerabilidades publicadas por Microsoft que afecte a uno de sus sistemas operativos. Haz un informe con los siguientes puntos: •

:0

la descripción de la vulnerabilidad,

a qué software afecta,

qué clasificación le ha dado Microsoft,

qué impacto podría tener, si en tu opinión afecta a nuestros sistemas (los de clase),

qué medidas tenemos que tomar para corregir esta vulnerabilidad .


Conceplos básicos de la seguridad inFormática

1

4.3. Tipos de amenazas Un sistema informático se ve expuesto a un gran númera de amenazas y ataques. En este apartado veremos una pequeña introducción a las clasificaciones más importantes, y trataremos este tema con más detalle en la Unidad 5: Seguridad activa en el sislema. Para identificar las amenazas a las que está expuesto un sistema informático realizaremos tres clasificaciones: la primera de los tipos de atacantes, la segunda de los tipos de ataques que puede sufrir y la tercera de cómo actúan estos ataques. la Tabla 1.7 recoge, en la primera columna, los nombres con los que se han denominado a las personas que llevan a cabo los ataques; en la segunda columna, verás una pequeña definición que los caracteriza.

En 2005 Creative distribuyó en Japón cerca de 3700 reproductores de mp3 infectados con virus. la

compañía

Creative

Labs

anunció que en 3700 de sus reproductores de MP3 vendidos en Japón se ha distribuido accidentalmente un virus que afecta al sistema operativo Windows, según informó el sitio británico

The Regisler. Hackers

Expertos informáticos con una gran curiosidad por descubrir las vulnerabilidades de los sistemas pero sin motivación económica o dañina.

Crackers

Un hacker que, cuando rompe la seguridad de un sistema, lo hace con intención maliciosa, bien para dañarlo o para obtener un beneFicio económico.

Phreakers

Crackers telefónicos, que sabotean las redes de telefonía para conseguir llamadas gratuitas.

Sniffers

Expertos en redes que analizan el tráfico para obtener información extrayéndola de los paquetes que se transmiten por la red.

lammers

Chicos jóvenes sin grandes conocimientos de informática pero que se consideran a sí mismos hackers y se vanaglorian de ello.

Newbie

Hacker novato.

Ciberterrorista

Expertos en informática e intrusiones en la red que trabajan para países y organizaciones como espías y saboteadores informáticos.

Programadores de virus

Expertos en programación, redes y sistemas que crean programas dañinos que producen efectos no deseados en los sistemas o aplicaciones,

Carders

Personas que se dedican al ataque de los sistemas de tarjetas, como los cajeros automáticos.

El virus que se coló en los MP3 player corresponde al gusano Wullik-B (también conocido como Rays-A), actualmente detectado por la mayoría de las software de seguridad y que según F-Secure sólo se activa si el usuario accede al archi-

vo infectado y hace doble clic sobre él. Fuente: www.cadenaser.com

Tab la 1.7. Tipos de atacantes.

En la Tabla 1.8 se recogen los principales ataques que puede sufrir un sistema si se apravechan sus vulnerabilidades.

Interrupción

Intercepción

Un recurso del sistema o la red deja de estar disponible debido a un ataque. Un intruso accede a la información de nuestro equipo o a la que enviamos por

la red.

Modificación

La información ha sido modificada sin autorización, por lo que ya no es válida.

Fabricación

Se crea un producto Ipor ejemplo una página Web) difícil de distinguir del auténtico y que puede utilizarse para hacerse, por ejemplo, con información confidencial del usuario.

Tabla 1.8. Tipos de alaques.


Conceptos básicos de la segu ridad informática

Los tipos de amenazas pueden clasificarse también en función de cómo actúan los ataques, siendo los principales los que se han incluido en la Tabla l.9 que aparece a continuación:

pe o algún doto del mismo Icama su dirección MAq

Spaafing

Suplanto lo identidad de un

Sniffing

Monitorizo y analizo el tráfico de la red para hacerse con información.

Conexión no autorizada

Se buscan agujeros de la seguridad de un equipo o un servidor, y cuando se descubren, se realiza una conexión no autorizada a los mismos.

Malware

Se introducen programas malintencionados (virus, troyanos o gusanos) en nuestro equipo, dañando el sistema de múltiples formas .

Keylaggers

Se utiliza una herramienta que permite conocer todo lo que el usuario escribe a través del teclado, e incluso pueden realizar capturas de pantallas.

Denegación de Servicio

Interrumpe el servicio que se está ofreciendo en servidores o redes de ordenado-

Ingeniería social

Se obtiene información confidencial de una persona u organismo para utilizarla con fines maliciosos. Los ejemplos más llamativos son el phishing y el spam.

Phishing

Se engaña al usuario para obtener su información confidencial suplantando la identidad de un organismo o página web de Internet.

res. También denominado DoS Idenial of Servicel.

Tabla 1.9. Formas de actuar de los ataques.

4.4. Pautas de protección para nuestro sistema Cualquier equipo conectado en red esiá expuesto a ser atacado. Como ya sabes, hay auténticos expertos informáticos que se dedican a buscar vulnerabilidades en los sistemas, dedicando mucho tiempo y esfuerzo a este fin. Para prateger tu sistema tendrás que ser más listo que ellos y dedicar también mucho tiempo y esfuerzo a esta tarea. Algunas de las pautas que debes seguir son: o

No instalar nada que no sea necesario en los servidores.

o

Actualizar todos los parches de seguridad. Muchos parches de seguridad corrigen vulnerabilidades de los programas por lo que es necesario mantener siempre actualizado el sistema.

o

Formar a los usuarios del sistema para que hagan uso de buenas prácticas.

o

Instalar un firewall. Esta herramienta permite controlar el tráfico entre una red privada y una pública.

o

Mantener copias de seguridad según las necesidades.

o

Gestionar y revisar los logs del sistema. Los logs reflejan toda la actividad desarrollada en el sistema, por la que su revisión periódica puede detectar a tiempo un posible ataque.

o

Sentido común y experiencia previa del administrador.

~ Actividades

8. Analiza el artículo del primer apartado de la unidad e identifica el tipo de atacante del que hablan y el tipo de ataque que realiza.

9. Analiza cuales de las pautas no cumple el sistema que tienes en tu casa. 22


Conceptos básicos de la seguridad informática

1

5. Leyes relacionadas con la seguridad de la información

En los siguientes apartados vamos a trotar las principales leyes relacionadas con la seguridad de la información: Ley de protección de datos de carácter personal y Ley de servicios de la información y el comercio electrónico.

5.1. Normativa que protege los datos personales Muy a menudo, en nuestro vida diaria, nuestros datos personales son solicitados para realizar diversos trámites en empresas o en organismos tanto públicos como privados; por e¡emplo, cuando cambiamos de número de móvil o contratamos un nuevo proveedor de servicios de Internet. Desde ese instante, nuestro nombre, apellidos, dirección, etc., pasan a formar parte de una serie de ficheros. Su gestión está regulada por la Ley de Protección de Datos de Carácter Personal (LO 15/1999), más conocida como LOPD, que se desarrolla en el RD 1720/2007, Y es supervisada por la Agencia Española de Protección de Datos. El ob¡etivo de esta leyes garantizar y proteger los derechos fundamentales y, especialmente, la intimidad de las personas físicas en relación con sus datos personales. Es decir, especifica para qué se pueden usar, cómo debe ser el procedimiento de recogida que se debe aplicar y los derechos que tienen las personas a las que se refieren, entre otros aspectos. Puede que nunca te hayas f¡¡ado, pero es habitual encontrar carteles donde se hace referencia a esta ley, por e¡emplo en las estaciones de RENFE o cuando rellenas tu matrícula.

11

AlHXOI

' lI'I'u;>t:O ;lO r.:uu<pr.

Comunidad de Madrid

Cuando LOPD habla de ros, se refiere a «conjunto organizado de datos de carácter

personal cualquiera que fuera la forma o modalidad de su crea· ción, almacenamiento, organiza· ción y accesQ». Es decir, no solo

se aplica a ficheros de datos en soporte informático, sino también a documentos impresos, vídeos, grabaciones de audio, etcétera.

9

En algunas de las comunida· des autónomas, como Madrid,

Cataluña, El País Vasco y Galicia, existen leyes y decretos que, basándose en la LOPD, regulan los ficheros de datos de carácter personal y la agencia de Protección de Datos de dicha comunidad.

"".dl¡¡dd.~ I6" . " .. ........ oll . nlclu m .. fond ... plblbn. Ck. .... FOI' ........ ... d. G...do .. .,¡) o

_ . 101.._

t«I:l:.

l:¡"..¡al' ..,.tJ....·...

~_..

IDmI-·,><:·.""doI l·"'·Go'C>'-

ICH'"' .,..' . ~ I <II. I

.........

.. "" .. ..... :~

...

"'" '" IL~ ... "". (0.'\;$ ' ,....." ... ..-~

D

.<"" ••".( ......

CO OOlf~ .. _

DOo.<I".. <1o

_~ ... .., .. ,...

0 "-."....,

<IO~ •

& ........ _....,

<"'""" •.,III I ~ . ;a.."'.........."'ail'o ¡'O,¡.,..... '''' ...... I',.~...

'l;..... .

I T.~b-.

1o

.... ent:aGl,....

Dc..' ~

Dc. .<I"G<lo~ • • & . . . . ... . "' ....._. . .. /ro:I: _

...,.,."'10 ,....h ••• "' • ••"........ ................ eo :s ."1:.

Los datos personales recogidos, serán tratados con su con-

<la"'_''''

sentimiento informado en los términos del artículo 5 de la Ley Orgánica 15/ 1999, y de conformidad con los principios dispuestos en la misma y en la Ley 8/2001, de la Comunidad de Madrid, pudiendo ejercer el derecho de acceso, rectificación,

I

=11 II:IIJ:""'. .. , .... "'.~ ... •0< . " 1Il~

... .. ...:E<'...

..

.. _~.,= ": CQ

~ . \.6rG~.,. <O ....

I>.c • .,. ....... ",,.. oCHa>

(. ;.~. 'aoIU:.....".r .... ", 'o..l

11Ft. PRE SIDENtE DEL CON!) EJO ESCOlAR oa CfNfltO

Fig. 1.14. Formulario de matriculación de lo Comunidad de Madrid.

'0""

V

cancelación y oposición ante el responsable del fichero. Para cualquier cuestión relacionada con esta materia, o si tiene usted alguna sug erencia que permita mejorar este impreso, puede dirigirse al teléfono de información administrativa 012.


Concep tos básicos de la seguridad informático

o

Protección de datos

La LOPD no solo la tenemos que conocer desde nuestra profesión como técnicos en sistemas microinformóticos y redes, sino también como particulares, ya que nuestros datos están almacenados en ficheros que deberán cumplir esta legislación.

q

Caso práctico 9

La agencia de viajes SiTour ha decidido hacer una ficha a cada cliente que solicite información sobre algún viaje, con el objetivo de enviarle sus nuevas ofertas y promociones Describe el proceso que tú, como técnico informático de la agencia, tendrás que realizar para poder almacenar y gestionar dichos datos de acuerdo a la narmativa vigente. En primer lugar, según la LOPD se debe solicitar a la Agencia de Protección de Datos la creación de dicho fichero. En esta solicitud habrá que especificar: Responsable del fichero: La agencia de viajes SiTour. Finalidad: El ob jetivo es comercial, es decir, el envío de ofertas y promociones. Tipo de datos de carácter personal que contiene: nombre y apellidos, DNI o NIE, teléfono, dirección postal y correo electrónico. Medidas de seguridad: nivel básico, según se especifica en la LOPD. Los datos que se deseen almacenar en el fichero tendrán que ajustarse a los objetivos, es decir no se puede solicitar al cliente sus ingresos anuales. Estos datos solo podrán ser utilizados para el objetivo para el que se han recogido y tendrán que ser cancelados una vez que no sean necesarios para este objetivo. La Agencia de Protección de Datos se pronunciará sobre la solicitud en un plazo de un mes y si no se entenderá que el fichero se ha inscrito correctamente. En el momento de la recogida de datos de carácter personal, hay que informar al cliente de: La incorporación de sus dotas a un fichero de datos de carácter personal. La finalidad de estos datos, que en este caso es el envío de ofertas y promociones . De su derecho de acceso, rectificación y cancelación, así como del procedimiento que el cliente debe seguir, ya dónde debe dirigirse para ejercitar dicho derecho. De la identidad y dirección del responsable del tratamiento de los datos, en este caso la agencia de viajes Sitour. Además, tanto la persona responsable del fichero como quienes intervengan sobre él tienen deber de secreto sobre los datos que contiene. El documento informativo que se proporcionará a los clientes, y del que la empresa guardará una copia firmada por este, podría ser el siguiente:

En cumplimiento de la establecido en la ley orgánica 15/ 1999 de Protección de Datos de Carácter Personal y en el Real Decreto 1720/2007, que aprueba su reglamento de desarrollo, los clientes quedan informados y prestan su consentimiento a la incorporación de sus datos a los ficheros existentes en SiTour y al tratamiento de los mismos. Los datos personales serán tratados exclusivamente con la finalidad de informar al cliente sobre nuevas ofertas y promociones. No se real izará ninguna cesión de estos datos. Según lo dispuesto en la misma ley, los clientes tienen derecho a consultar, modificar o cancelar los datos proparcionados a SiTour, dirigiéndose al departamento de informática de SiTour.

24

'"


Conceptos básicos de la seguridad informática

o

1

Medidas de seguridad

Como ya sabes, siempre que se vaya a crear un fichero de datos de carácter personal, es necesario solicitar la aprobación de la Agencia de Protección de Datos. Cuando se realiza esta solicitud es obligatorio especificar los datos que contendrá el fichero y el nivel de seguridad que se aplicará al fichero. Los niveles de seguridad son tres: básico, medio y alto. Los datos implicados en cada uno de ellos se muestran en la Tabla 1.1 o.

Todos los datos de carácter personal tienen que tener como mínimo este nivel. Referidos a inFracciones administrativas (o penales), a gestión tributaria, datos Fiscales y Financieros. Dalas que proporcionan inFormación sobre las características o personali-

Básico

Medio

dad de las afectados. Referidos a ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual.

Auditoría. Proceso que consiste en obtener y evaluar objetivamente los procesos de una empresa para comprobar que cumplen con las normas y criterios establecidos.

niv~

Las datos referentes a los de seguridad están especificados con más detalle en la LOPD y en el decreto 1720/2007.

Alto

Tabla 1.10. Correspondencia dotas - seguridad.

Actividades El nivel que debe aplicarse es el más alto que corresponda a los datos incluidos en el fichero, es decir, si solo contiene los datos personales (nombre, apellidos y NIF) el nivel es básico, pero si además se incluye la afiliación sindical, el nivel de seguridad del fichero será alto. Cada nivel tiene unas características de seguridad propias, como se ve en la Tabla 1.1l.

y obligaciones de cada usuario del fichero. El responsable del fichero debe mantener una lista de usuarios y sus accesos actualizada. Las contraseñas

Debe existir un documento de seguridad donde figuren las Funciones

de los usuarios (en caso de ser este el método de autenticación) serán cambiadas en un periodo no superior a un año. Básico

Es obligatorio crear un registro de las incidencias relacionadas con este fichero . Cualquier documento que contenga datos de carácter personal que se deseche tendrá que ser borrado o destruido. Habrá que realizar copias de seguridad como mínimo una vez a la semana. Al menos una vez cada dos años una auditoría verificará que los procedimientos de seguridad aplicados son los correctos.

Medio

Alto

Deben establecerse mecanismos para evitar el acceso reiterado no autorizado a los datos y sistemas de control de acceso a los lugares donde estén los equipos que almacenen los datos. Los datos deben ser cifrados para que no se manipulen cuando se realice su transporte, por ejemplo, cuando se almacenen los datos en un portátil. También deberán ciFrarse para realizar cualquier transmisión por redes públicas o inalámbricas. Las copias de seguridad deben almacenarse en un lugar Físico diFerente a los datos. Deberán registrarse los intentos de acceso a los datos de los dos últimos años como mínimo.

Tabla 1.11. Características de los niveles de seguridad.

9'

10. Dadas las siguientes situaciones, identifica el tipo de infraccián que SiTour está cometiendo. Para ello consulta el artículo 43 de la LOPD: o SiTour realiza el envío de ofertas y promociones sin solicitar la creación del fichero de datos de sus clientes. o SiTour no está realizando copias de seguridad del fichero de datos. o SiTour realiza la recogida de datos a sus clientes sin informarles de la finalidad del fichera.

11. Las infracciones de la actividad anterior tienen asignada una sanclon económica en el artículo 45 de la LOPD. Búscala e indica cuál es en cada caso.


Conceptos básicos de la seguridad informática

5.2. Normativa de los sistemas de información y comercio electrónico La regulación de los sistemas de información es un temo muy extenso y complejo, tanto que existe un organismo, lo Comisión del Mercado de las Telecomunicaciones (CMT). que establece las normas y procedimientos de los mercados nocionales de comunicacio· nes electrónicas y de servicios audiovisuales. Lo ley 34/2002 de servicios de lo información y el comercio electrónico regula el régi. men jurídico de las servicias de lo sociedad de la información y lo contratación por vía electrónica en las empresas que proporcionan estos servicios establecidos en España o en estados miembros de lo unión Europea. Algunos de los aspectos más importantes de esto ley son:

~

b·· ....? ¿Sa' ... Ias que

Los empresas o las que afecta están obligadas o nombre, domicilio, dirección de correo electrónico, información clara sobre el precio de las productos. la página web, la empresa estará cumpliendo con

Exculpa de responsabilidad, siempre que no tengan conocimiento efectivo de la información contenida en sus servidores, a empresas que se dedican al alojamiento o almacenamiento de datos o enlaces a datos incluidos por clientes.

Establece la validez de los contratos realizados por vía electrónica. Para demostrar la existencia de dicho contrato jurídicamente es suficiente con la presentación del documento en formato electrónico. Por ejemplo en el caso de los billetes de transpor· te adquiridas a través de Internet, el documento electrónico justifica dicho controto.

Si se detecla que un conlenido

o un enlace a un contenido no

cumple la normaliva Ipor ejem· plo, atenta conlra la dignidad de una persona o contra los

derechos de aulor). la empresa que lo aloja tiene que colaborar para suprimir o inutilizar el con-

lenido o el enlace.

proporcionar información sobre número de identificación fiscal e Si esta información se incluye en este requisito.

La aplicacián de estas leyes ha derivado en acciones judiciales, como la siguiente:

o-m ..

"

.

;

.

~tección de Datos multa a Telefónica con 60.000 euros . • La Agencia Españolo de Protección de Dolos IAEPD) ha impuesto a Telefónica una multa de 60 101 ,21 euros por haber revelado dolos de clientes a consecuencia de un problema técnico que sufrió el porlal de Terra. htlp://www.consumer.es/web/es/tecnolagia/2008/03/17/175496.php

... Un grupo de jóvenes insulto y veja en 2006 a un chico de 17 años con síndrame de dawn. Uno de ellos lo grabo y acabo colgado en Google Video, el servício de hospedaje de vídeos del gigante informótico que mós larde adquiriría Yautube. Lo escena llego o recibir 5.500 visitas en dos meses

y aparece entre los «vídeos más divertidos». ¿Quién es el res-

ponsable de lo dignidad del agredido, socavado en unas imógenes que alcanzaron uno audiencia global? Un juez en Milón lo juzgo desde hoy, cenlróndose en lo responsabilidad de cuatro directivos de Google. Los altos cargos, entre los que se encuentra un vicepresidente de la empreso, se enfrentan a una acusación penal por difamar a la víctima y a Vivi Dow n, una asociación de personas con síndrome de down. Ademós, la Fiscalía les consi-

dera responsables del incumplimienlo de la legislación ilaliana en materia de privacidad. 15/12/2009 Daniel Basleira • Diario Público


Conceptos básicos de la seguridad informática

1

Comprueba tu aprendizaje Identificar las necesidades de la seguridad informática 1. Analiza las perjuicios que puede ocasionarte la conexión a una red wifi que no pide ningún tipo de contraseña.

2. Analiza la seguridad que tendrían las claves farmadas exclusivamente por números.

3. Comprueba la seguridad de las contraseñas que habitualmente utilizas en el comprabadar de contraseñas de Microsoft: hHp://www.microsoft.com/latam/

athome/security/privacy/password_checker.mspx.

4. Escribe en un papel tu nombre, apellidos, númera de teléfono móvil, número fijo, fecha de nacimiento, dirección postal, nombre de familiares y mascotas y nombres de usuario para el equipa de tu casa, el correa electrónica y otros servicios a los que accedes por Internet. Intercambia tu papel con el de un compañero e intenta, haciendo combinaciones de estos datos, descubrir sus contraseñas.

5. En esta actividad vamos a trabajar con Chrame, navegador gratuito diseñado por la compañía Google. En caso de que no lo tengas descárgatelo de Internet. Vete a la página de Gmail, es decir al correo electrónico de Google, y busca en ella el certificado que utiliza Gmail.

f9

11. Infórmate en la página de Microsoft sobre la vulnerabilidad MS07-041 que afecta al servidor Web de Microsoft Internet Information Server.

12. Busca un boletín de seguridad de Microsoft en el que se publique una vulnerabilidad de Windows 7. Escribe en tu cuaderna un resumen, cómo ha sido clasificada, a qué sistemas afecta, si crees que nos afectaría y cómo pueden protegerse los equipos afectados de esta vulnerabilidad.

13. Accede a la página de Hispasec Sistemas hHp://www. hispasec.com/index_html y suscríbete a «Una al día» para recibir en tu correo electrónico una noticia cada día sobre problemas de seguridad que afecten a cualquier sistema. Elige una noticia que afecte a un sistema que conozcas y haz un resumen del problema de seguridad en tu cuaderno.

14. Busca información sobre las listas Robinson y averigua en qué consisten, cómo funcionan, quién puede entrar

a formar parte de ellas y cuál es el procedimiento para que una persona sea incluida en ellas.

Reconocer la legislación y normativa sobre la seguridod y protección de datos onalizando las repercusiones de su incumplimiento

15. En el Caso práctico 9 vimos el procedimiento que

seguridad sufre un ataque a través del servidor Web utilizando una vulnerabilidad conocida. ¿Que medidas tomarías?

seguido por SiTour para almacenar y gestionar los datos de sus clientes según la normativa vigente. Una vez que ha realizado todo este proceso, SiTour envía a SiCon, una empresa de construcción con la que tiene acuerdos comerciales, los datos de su fichero de clientes pero no informa a estos del envío. Responde a las siguientes preguntas: • ¿Cuál es el organismo que se ocupa de controlar y multar estas infracciones? • ¿En que ley se recogen las sanciones a aplicar? • ¿Cuál es la gravedad de la infracción que está cometiendo? • ¿Qué multa pueden tener? Nota: Es la primera vez que se sanciona a estas empresas y el volumen de datos afectadas no es muy alto, por lo que las sanciones a aplicar serán las mínimas pasibles.

9. Pon un ejemplo de sistema en el que los riesgos estén

16. Terminado este curso y con la formación adquirida,

6. Rellena la siguiente tabla:

Física

activa

7. Indica los pasos que debemos realizar para conseguir mejorar la seguridad informática.

8. Imagina que la empresa en la que eres responsable de

asociadas a impactos altos y otro ejemplo en el que estén asociados a mayor probabilidad de vulnerabilidades.

10. Busca una noticia en un periódico sobre seguridad informática e identifica los tipos de atacantes y los tipos de ataques. ¿Crees que el ataque se pudo llevar a cabo debido a una mala planificación de la seguridad?

decides montar una empresa en Internet que se va a dedicar a ofrecer un disco duro an-line. Necesitas de cada usuario: nombre, apellido, teléfono y dirección de correo electrónico. ¿En qué afectan estos datos a la formación de tu empresa? ¿Qué medidas de seguridad tendrás que tomar cuando almacenas esta información?


~/1

Conce ptos básicos de la seguridad informótica

Confidenciolidod Disponibilidod Integridod

Interrupción

No Repudio

Intercepción

Modificación

-C

Seguridad físico Fabricación

Seguridad lógica

pasiva

Spoofing Sniffing Conocidas sobre aplicaciones o sistemas instalados

Conexión no autorizada

Molwore

.. .. .

~

Conocidas sobre aplicaciones no inslaladas

Keyloggers

Aún no conocidas

Denegación de servicio Ingeniería social

Hackers Crackers

Phreakers Sniffers

..

Lammers

Newbie Ciberterrorisla Programadores

de virus

Carders

B

Ley 15/1999

{

de protección de dalos de carácter personal

Ley 34/2002 de servicios de la información y el comercio electrónico


lUJ n'il Dd<OJ dl

Seguridad pasiva. Hardware y almacenamiento

En esta unidad aprenderemos a: • Definir las características de la ubicación física y condiciones ambientales de los equipos y servidores, así como los protocolos de actuación frente a incidencias y alarmas en el subsistema físico. • Seleccionar y verificar los sistemas de alimentación ininterrumpido y dónde utilizarlos. • Describir las tecnologías de almacenamiento redundante y distribuido.

y estudiaremos: • Ubicación y protección física de los equipos y servidores. • Sistemas de alimentación ininterrumpido. • Almacenamiento de la información. • Almacenamiento redundante y distribuido: RAID, clusters, NAS y SAN.

• Clasificar y enumerar los distintos métodos de almacenamiento según su disponibilidad y accesibilidad a la información. • Identificar y utilizar medios de almacenamiento remotos y extraíbles.


Seguridad pasivo. Hardware

y alma cenamiento

l. Ubicación y protección física

El primer paso para establecer la seguridad de un servidor o un equipo es decidir adecuadamente dónde vamos a instalarlo. Esta decisión puede parecer superflua, pero nada más lejos de la realidad: resulta vital para el mantenimiento y protección de nuestros sistemas. Los planes de seguridad física se basan en proteger el hardware de los posibles desastres naturales, de incendios, inundaciones, sobrecargas eléctricas, robos y otra serie de amenazas.

Se trata, por tanto, de aplicar barreras físicas y procedimientos de control, como medidas de prevención y contra medidas para proteger las recursos y la información, tanta para mantener la seguridad dentro y alrededor del Centro de Cálculo como los medios de acceso remoto a él o desde él. Veremos algunos de los mecanismos de seguridad física de los que hemos hablado en la Unidad 1, que, cama recordarás, se recogen en la Tabla 1.2, relativa a amenazas y mecanismos de defensa de seguridad. Cada sistema informática es única. Par ejemplo, en la Figura 2.1 se puede ver la vista parcial de un CPD de una organización grande, pero en pequeñas empresas u organizaciones, ei CPD podría estar compuesta sala par una de esios módulos a par un servidor. Cuando hablemos del plan de seguridad física na podemos pensar que existe un plan de seguridad general aplicable a cualquier tipo de instalación.

~ Actividades

En esta unidad nos centraremos en las pautas de aplicación general, teniendo en cuenta que estas deben personalizarse para cada empresa y cada edifido. Además, no es lo mismo establecer las características de una sala técnica en una zona donde los terremotos son habitLJales, por ejemplo, a hacerlo para una zona donde apenas hay temblares apreciables.

\

Fig. 2 .1. Saja de servidores.

1. Realiza en equipo una tormenta de ideas para descubrir qué factores hay que tener en cuenta para elegir dónde situor los equipos que forman el CPD. Es esencial que tengóis siempre presente lo importante que son estos equipos y la información que manejan para cualquier organización. Fíjate en la Figura 2.1 para analizar estos factores, teniendo en cuenta los equipos y armarios donde se instalan, que puedes ver en la imagen, así como las características de este CPD.

1.1. Factores para elegir la ubicación Cuando hay que instalar un nuevo centra de cálculo es necesario fijarse en varios factares. En concreta, se elegirá la ubicación en función de la disponibilidad física y la facilidad para modificar aquellas aspectos que vayan a hacer que la instalación sea más segura. Existen una serie de factores que dependen de las instalaciones propiamente dichas, coma son: •

El edificio. Debemos evaluar aspectos como el espacio del que se dispone, cómo es el acceso de equipas y personal, y qué características tienen las instalaciones de suministro eléctrico, acondicionamiento térmico, etc. Igualmente, hemos de atender a cuestiones de índole física como la altura y anchura de los espacias disponibles para la instalación, si tienen columnas, cómo es el suelo, la iluminación, etc.

Tratamiento acústico. En general, se ha de tener en cuenta que habrá equipos, como las de aire condicionado, necesarios para refrigerar los servidores, que son bastante ruidosos. Deben instalarse en entornos donde el ruido y la vibración estén amortiguados.

Seguridad física del edificio. Se estudiará el sistema contra incendias, la protección contra inundaciones y otras peligros naturales que puedan afectar a la instalación.


Seguridad pasivo. Hardw are y almacenamiento

Suministro eléctrico propio del CPD. La alimentación de los equipos de un centro de procesamiento de datos tiene que tener unas condiciones especiales, ya que no puede estor sujeta a los fluctuaciones o picos de lo red eléctrico que pueda sufrir el resto del edificio. No suele ser posible disponer de toda una red de suministro eléctrico propio, como la que ves en la Figura 2.3, pero siempre es conveniente utilizar una sistema independiente del resto de la instalación y elementos de protección y seguridad específicos, como sistemas de alimentación ininterrumpida, a los que dedicaremos el Apartado 2 de la unidad: equipos electrógenos, baterías, etc.

Existen otra serie de factores inherentes a la localización, es decir, condiciones ambientales que rodean al local donde vayamos a instalar el CPD. Los principales son los factores naturales (frío, calor, inundaciones, incendios o terremotos); los servicios disponibles, especialmente de energía eléctrica y comunicaciones (antenas, líneas telefónicas, etc.), y otras instalaciones de la misma zona; y la seguridad del entorno, ya que la zona donde vaya situarse el CPD debe ser tranquila, pero no un sitio desolado. Otros factores que han de tenerse en consideración son el vandalismo, el sabotaje y el terrorismo.

o

2

Fig. 2.2. Sistema de refrigeración del centro de datos de Google en The Dalles, Oregón. Fuente: www.informationweek.com .

¿Dónde se debe instalar el CPD?

Atendiendo solo a estos factores ya podemos obtener las primeras conclusiones poro instalor el CPD en una ubicación de características idóneas. Así pues, siempre que podamos, tendremos en cuenta que: •

Deben evitarse áreas con fuentes de interferencia de radiofrecuencia, tales como transmisores de radio y estaciones de TY.

El CPD no debe estar contiguo a maquinaria pesada o almacenes con gas inflamable o nocivo.

El espacio deberá estar protegido ante entornos peligrosos, especialmente inundaciones. Se buscará descartar:

Fig. 2.3. Sistema de alimentación del compleja de Google en The Dalles, Oregón. Fuente: www.;nformationweek.com.

Zonas cercanas a paredes exteriores, planta baja o salas de espera, ya que son más propensas al vandalismo o los sabotajes . Sótanos, que pueden dar problemas de inundaciones debido a cañerías principales, sumideros o depósitos de agua . Última planta, evitando desastres aéreos, etc. Encima de garajes de vehículos de motor, donde el fuego se puede originar y extender más fácilmente. Según esto, la ubicación más conveniente se sitúa en las plantos intermedias de un edificio o en ubicaciones centrales en entornos empresariales.

Actividades " 2. Estudia las instalaciones de tu centro. Dadas las características del mismo, ¿dónde crees que podría instalarse un pequeño centro de cálculo?


Seguridad pa siva. Hardware

y almacenamiento

1.2. Control de acceso De modo complementario o la correcta elección de la ubicación del CPD es necesario un férreo control de acceso al mismo. Dependiendo del tipo de instalación y de la inversión económica que se realice se dispondró de distintos sistemas de seguridad, como los siguientes: o

Servicio de vigilancia, donde el acceso es controlado por personal de seguridad que comprueban la identificación de todo aquel que quiera acceder a una ubicación. En general, suele utilizarse en el control de acceso al edificio a al emplazamiento y se complementa can otros sistemas en el acceso directa al CPD.

Fig. 2.4. Control de acceso al complejo de Google en The Dalles, Oregón. Fuente: www.inFormationweek.com.

Q

o

Detectores de metales y escáneres de control de pertenencias, que permiten «revisar» a las personas, evitando su acceso a las instalaciones con instrumentas potencialmente peligrosas a armas.

o

Utilización de sistemas biamétricas, basados en identificar características únicas de las personas cuyo acceso esté autorizado, coma sus huellas digitalizadas a su iris, de los que hablaremos en la Unidad 5.

o

Protección electrónica, basada en el usa de sensores conectadas a centrales de alarma que reaccionan ante la emisión de distintas señales. Cuando un sensar detecta un riesgo, informa a la central que procesa la información y responde según proceda, par ejemplo emitiendo señales sonoras que alerten de la situación.

Caso Jlráctico 1

Estudio de la ubicación del CPO de SiCon SiCon, una importante empresa de construcción, ha decida trasladar sus oficinas a un nueva edificio. Una de los factares más impartantes para decidir entre las posibles ubicaciones, tres en total, es determinar cuál ofrece las mejores garantías para la instalación de su CPD. Es nuestra responsabilidad como técnicas informáticos presentar la propuesta de ubicación más conveniente.

l. Se trata de tres edificios situadas en diferentes zonas, consideradas todas ellas como seguras desde el punto de vista de robos y vandalismo, y que se sitúan en la misma área geográfica, donde no son habituales las inundaciones. Además se han seleccionado edificios con buenos sistemas contra incendios, etc. 2. El primero de ellos se sitúa en el centro de una gran ciudad, junto a otra serie de edificios principalmente de oficinas, aunque también hay alguno de viviendas; el segundo de los edificios se encuentra en un gran parque empresarial con múltiples oficinas, pero donde no hay fábricas; el tercero, en un polígono industrial, donde se concentran fábricas de metalurgia, factorías de vehículos, así como otra serie de fabricas de maquinaria pesada. 3. Los edificios tienen control de acceso mediante guardias y cámaras, que mantendrá una empresa externa. 4. La altura de los edificios, es decir, las plantas disponibles en cada edificio, es distinta. En el edificio céntrico disponemos de siete plantas en un edificio compartido con otra empresa, en el parque empresarial de un edificio de seis plantas y en el polígono industrial de un edificio de dos plantas, ambos de uso exclusivo de SiCon.

~ Actividades 3. Busca información sobre distintos sistemas de protección electrónico, sus aplicaciones y costes de implantación.

,

. c:

Las tres zonas están bien dotadas de servicios de comunicaciones y las instalaciones no presentan problemas eléctricos. (Continúa)


Seguridad pasiva. Hardware y almacenamiento

Caso I!ráctico 1

2

9

¡Continuación}

6. En el edificio situado en el centro de lo ciudad será necesario realizar ciertas reformas para amortiguar los sonidos de los equipos que se instalen, dada la cercanía de edificios de viviendas.

7. La empresa ha decidido realizar la inversión necesaria para instalar sistemas de control de acceso biométrico al CPD, para garantizar que sea la más seguro pasible, así como las sistemas de alimentación necesarias. 8. Una vez que conocemos estos datos, podemos realizar una tabla valorando las instalaciones en función de su conveniencia, donde morcaremos si se adecúa al factor de seguridad correspondiente. En uno situación real, el estudio sería más extenso y se deberían visitar los edificios para comprobar factores como la situación de tuberías (que no deben pasar por encima de la CPD), etc.

El edificio

./

./ ./

Tratamiento acústico

Seguridad física del edificio

./

./

Fadores naturales

./

./

Servicios e instalaciones cercanas

./

./

Seguridad del enlorno

./

./

Control de acceso

./

./

Tabla 2.1 . Va/oración de /0 ubicación. 9.

La valoración realizada indica que la ubicacián más apropiada es la del centra empresarial, donde además contamos con la venta¡a de poder instalar el CPD en la penúltima o antepenúltima planta, de las seis que disponemos. Aunque no se ha indicado, el hecho de que el edificio sea de uso exclusivo es otro factar venta¡oso ya que facilitará el control de acceso al mismo, como también lo será la consideración de si se trata de un emplazamiento en propiedad o alquilado.

Actividades

t'

4. Copio lo Tabla 2.1, y complétala con uno columna denominada Justificación, donde rozones por qué codo uno de las ubicaciones es adecuado o no respecto a coda factor de seguridad. E¡emplo: «lo ubicación del edificio en el polígono industrial no resulta adecuado por... mientras que el edificio céntrica y el parque empresarial sí porque ... ».

1.3. Sistemas de climatización y protección en el CPD Además de instalar el CPD en la me¡or localización posible, es imprescindible que se instalen en su interior, ¡unto con los equipos propios de procesamiento de datos, sistemas de climatización, de protección contra incendios (PCI) y sistemas de alarmo apropiados. Los equipos de un centro de praceso de datos disipan mucha energía calorífico y hoy que refrigerarlos adecuadamente poro mantener los condiciones interiores de temperatura y humedad estables, yo que altas temperaturas podrían dañar estos equipos. Lo decisión sobre qué sistemas de climatización han de instalarse depende de los característicos de codo CPD, pero hoy un hecho que siempre ha de tenerse en cuenta: no se trato de climatizar el cuarto sino de refrigerar el equipo. Por ello debemos situar el servidor o rock o lo altura adecuado paro que le alcance lo circulacián de aire, y de modo que el aire frío de lo máquina se diri¡a o lo porte del equipo que absorbe aire, no a lo que lo expulso .

9

Con un extractor doméstico de aseo puede renovarse 10 veces

por hora el aire de uno habilación de 2x2x2,5m. En un gara¡e, por e¡emplo, el aire se debe renovar según la normativa siete veces por hora.


Seguridad pasivo . Hardware

otros sistemas aún más

compleios, como el uso de pasillos fríos y pasillos calientes y la refrigeración líquida, utilizados en grandes CPD con múltiples racks.

y almacenamiento

Podemos, por ejemplo, utilizar un ventilador que expulsa el aire caliente al exterior para refrigerar un servidor como el que ves en la Figuro 2.5. Se trata de una opción bastante económica en la que debes tener en cuenta que haya recirculación del aire, es decir, que el aire debe atravesar el servidor. Para un CPD que tenga varios racks, podemos optar por el uso de equipos murales o equipos de techo. En la Figura 2.6 puedes ver este tipo de instalación, donde también se ha instalado un secuenciador en una zona de temperatura característica. Este secuenciador proporciona un sistema de seguridad adicional, ya que alterna el uso de cada uno de los splits instalados, y, en caso de que suba la temperatura, ambos equipos se pondrán en funcionamiento para enfriar el CPD.

23 oC Rejilla puerta

50 %

Fuera sala Fig. 2.5.

Aire frio

Sistema de climatizoción con ventilador.

Fig. 2.6. Sistema de climatización con Sp/its.

Los sistemas contra incendios son otro de los factores clave en un CPD. No es tu misión instalarlos, pero sí debes conocer su funcionamiento básico ya que de ello puede depender inclusa tu propia seguridad. Es habitual utilizar dos tipos: •

Sistema de detección, como el sistema de detección precoz, que realiza análisis continuos del aire, de modo que puede observar un cambio de composición en el mismo, detectando un incendio incluso antes de que se produzca el fuego yactivando el sistema de desplazamiento de oxígeno.

Sistema de desplazamiento de oxígeno. Este tipo de sistemas reduce la concentración de oxígeno, extinguiendo así el fuego, de modo que no se utiliza agua, que puede dañar los equipos electrónicos. Dado que se produce un desplazamiento de oxígeno, es muy importante que el personal humano siga las normas de evacuación de la ubicación, ya que su activación podría perjudicar su integridad física.

~ Actividades 5_ La agencia de viajes SiTour está considerando la necesidad de disponer de un centro de datos para gestionar y centralizar la información que maneja habitualmente. Estó situada en un local comercial bajo, que dispone de una sala central, donde se realiza casi toda la actividad comercial, de dos despachos, uno de ellos utilizado por el director de la agencia y de un pequeño almacén. La agencia se sitúa en un barrio de clase

media, donde no hay un índice especialmente alto de robos, junto a un edificio que está actualmente vacío. ¿Cuál crees que es la ubicación idónea para la instalación del CPD? 6. Investiga sobre distintos sistemas de climatización y contra incendios que podrían ser adecuados para el CPD de SiTour.

________________--J)


Seguridad pasiva. Hardware

y almacenamiento

1.4. Recuperación en caso de desastre Nuestro objetivo debe ser siempre evitar daños en el CPD, pero hay que ser realistas y tener preparado un plan de contingencia que debe ponerse en marcha en caso de desastre. Una opción que ha de tenerse en cuenta es tener un centro de backup independiente, de modo que aunque los equipos del CPD queden fuera de servicio por una avería muy grave, la organización podró seguir realizando su actividad con cierta normalidad. Dentro de los planes de contingencia debemos tener en cuenta la realización de sistemas redundantes, como los sistemas RAID que abordaremos en el Apartado 4 de la unidad y el uso de copias de seguridad, a lo que dedicaremos la Unidad 3. En caso de que se produzca un desastre, el primer paso es que se reúna el comité de crisis para evaluar los daños. Si se decide poner en marcha el plan de contingencia, es importante que los trabajos comiencen por recuperar las bases de datos y ficheros esenciales, así como desviar las comunicaciones más críticas al centro alternativo, desde donde se comenzará a operar en las áreas que sean prioritarias, ya que de no hacerlo las consecuencias podrían ser desastrosas.

2

Actividades ~ Z Existen muchas empresas que ofrecen soluciones de almacenamiento y centros de datos. Busca información en Internet sobre alguna de ellas y analiza las ventajas y desventajas que puede tener para una empresa utilizar sus servicios, tanto desde el punto de vista de la seguridad como desde el punto de vista económico.

2. Sistemas de alimentación ininterrumpida

Ningún equipo informático, por sofisticado que sea, está exento de sufrir un corte de luz y apagarse. Es por ello que es necesario, especialmente cuando se están procesando datos o dando servicios de alojamiento web u otros, utilizar sistemas auxiliares de alimentación.

2.1. Definición de SAl Un SAlo sistema de alimentación ininterrumpida es un dispositivo electrónico que permite proteger a los equipos frente a los picos o caídas de tensión. De esta manera se dispone de una mayor estabilidad frente a los cambios del suministro eléctrico y de una fuente de alimentación auxiliar cuando se produce un corte de luz. Este tipo de sistemas nacieron originalmente con el objetivo de proteger el trabajo que se estaba realizando en el momento en que se producía un apagón. La idea consistía en proporcionar al usuario del equipo el tiempo suficiente para guardar la información y apagar correctamente los equipos cuando se producía un corte en el suministro eléctrico, aunque posteriormente se le ha agregado capacidad para poder continuar trabajando cierto tiempo, aunque no se disponga de suministro.

UPS (Uninterruptible Power son los siglas inglesas de También se conoce como

No

break.

Las características de los SAl dependen de cada modelo en concreto, pero en la siguiente tabla tienes un resumen de sus funcionalidades.

Alimentación de ordenadores

Se pueden conectar de uno a varios equipos al mismo SAl.

Tiempo extra de trabajo

Permiten seguir trabajando con el ordenador de 15 a 270 minutos cuando se produce un corte en el suministro eléctrico.

Alimentación de otros equipos

No están diseñados para conectar dispositivos de alto consumo de energía (como grandes impresoras láser

o plottersl.

Regulador de voltaje

Integrado en algunos modelos para evitar que los picos de tensión que se producen en la línea afecten a la alimentación de los equipos.

Otros conectores

Algunos incorporan conectores para conectar el módem, router u otros dispositivos imprescindibles en la comunicación y protegerlos.

Tabla 2.2. Características de los SAl.


Seguridad pasiva. Hardware

y almacenamiento

2.2. Tipos de SAl En general, podemos identificar dos tipos de SAl, en función de su forma de trabajar:

Sistemas de alimentación en estado de espera o Stand-by Power Systems (SPS). Este tipo de SAl activa la alimentación desde baterías automáticamente cuando detecta un fallo en el suministro eléctrico.

SAl en línea (on-fine), que alimenta el ordenador de modo continuo, aunque no exista un prablema en el suministro eléctrico, y al mismo tiempo recarga su batería. Este dispositivo tiene la ventaja de que ofrece una tensión de alimentación constante, ya que filtra los picos de la señal eléctrica que pudiesen dañar el ordenador, si bien el tiempo extra de trabajo que ofrece es menor que el de los SPS.

---

"' ~ ""

I!Il O.Ba~...,

\O Ovc<l_ llEI ~ B~

Back·UPS

es

6

5

o

Fig. 2.7. Distintos modelos de SAl.

2.3. Modo de funcionamiento Como ya hemos dicho, un SAl es un dispositivo auxiliar que alimenta un ordenador, bien de modo continuo o bien quedando a la espera hasta que es necesario (cuando hay un corte de luz). Las Figuras 2.8 y 2.9 ilustran este funcionamiento. En la Figura 2.18 podemos ver una representación de un SAl en línea, en una situación normal donde hay suministra eléctrico. El SAl está conectado, por un lado, a un enchufe de la red, a través del cual recibe la corriente con la que va cargando sus baterías, y por otra se conecta al equipo o equipos a los que vaya a prateger. En la Figura 2.9 podemos ver cuál es la situación cuando se praduce un corte de luz, y la alimentación del ordenador depende únicamente de las baterías internas del SAl. Dispondremos de alimentación el tiempo que estas baterías tarden en descargarse .

• :..'

Fig. 2.8. SAl con alimentación eléctrica.

Fig. 2.9. SAl cuando hay un corte de alimentación eléctrica.


Seguridad pasiva. Hardware

y almacenamiento

3. Almacenamiento de la información

Otro de los factores clave de la seguridad de cualquier sistema es cómo y donde se almacena la información. En este punto hablaremos de los tres aspectos más importantes que debemos tener en cuenta cuando tratemos la seguridad física de la información: el rendimiento, la disponibilidad y la accesibilidad a la misma. Existen numerosas técnicas que se esperan proporcionen estas características, como son

los sistemas RAID, los clusters de servidores y las arquitecturas SAN y NAS, a los que dedicaremos el resto del tema. Pero, ¿qué entendemos por rendimiento, disponibilidad o accesibilidad a la información?

No hay que confundir acc:esible con seguro, un sistema con dificultad de acceso puede no ser seguro si una vez que se llega

al emplazamiento es posible hacerse con la información simplemente abriendo una puerta.

Pues bien, siempre que hablemos de rendimiento nos estaremos refiriendo a la capacidad de cálculo de información de un ordenador. El objetiva es obtener un rendimiento mayar, y esto se puede conseguir na solo can grandes y modernos ordenadores, sino utilizando arquitecturas que reciclan equipas que se han dejada de usar parque se encontraban anticuadas. El concepto de disponibilidad hará referencia a la capacidad de las sistemas de estar siempre en funcionamiento. Un sistema de alta disponibilidad está compuesto por sistemas redundantes o que trabajan en paralelo, de modo que cuando se praduzca un fallo en el sistema principal, se arranquen los sistemas secundarios automáticamente y el equipo no deje de funcionar en ningún momento.

Otra factor importante es la accesibilidad a la información; si nuestra información se encuentra duplicada y en lugar seguro, pera la accesibilidad a ella es mala, por ejemplo porque solo es posible acceder por carretera y se han almacenado las copias de seguridad a una distancia de varias horas de viaje, en caso de desastre el tiempo que se empleará en poner en marcha el plan de recuperación será mayor que con un sistema accesible.

Fig. 2.10. Racks de computadoras de un ePD ¡Will Weterings).

Actividades " 8. Busca en Internet información sobre distintos tipos de SAl disponibles en el mercado. Crea una tabla clasificándolos en función del tiempo de trabajo extra que ofrecen, del númera de equipos que pueden conectarse a ellos, si disponen de reguladores de tensión y de su precio. Algunos de los fabricantes más importantes que puedes consultar son Emerson, APC, Eaton, Socomec. 9. Como ya sabes, un SAl incorpora habitualmente mecanismos reguladores de tensión, pero su precia hace que no sea asequible a un usuario doméstico. En el mercado existen alternativas mucho más económicas para prateger los equ;-pos contra subidas y picos de tensión. Busca información sobre estos equipos en Internet, y selecciona el que te parezca más adecuado para tu ordenador personal; justifica el porqué de tu elección. Puedes consultar las páginas de los fabricantes de la Actividad 8.


i /2

Seguridad pasiva. Hardware y almacenamiento ----~--~------~----------------------

4. Almacenamiento redundante y distribuido RAIDQ

A1 A3

A2

A5

A6 A8

RAID consiste en un conjunto de técnicas hardware o software que utilizando varios discos proporcionan principalmente tolerancia a fallos, mayor capacidad y mayor fiabilidad en el almacenamiento. Se trato de un sistema de almacenamiento que utilizando varios discos y distribuyendo o replicando la información entre ellos consigue algunas de las siguientes características:

A4

A7

Mayor capacidad: es una forma económica de conseguir capacidades grandes de almacenamiento. Combinando varios discos más o menos económicos podemos conseguir una unidad de almacenamiento de una capacidad mucho mayor que la de los discos por separado.

o

Mayor tolerancia a fallos: en caso de producirse un error, con RAID el sistema será capaz en algunos casos de recuperar la información perdida y podrá seguir funcionando correctamente.

o

Mayor seguridad: debido a que el sistema es más tolerante con los fallos y mantiene cierta información duplicada, aumentaremos la disponibilidad y tendremos más garantías de la integridad de los datos.

o

Mayor velocidad: al tener en algunos casos cierta información repetida y distribuida, se podrán realizar varias operaciones simultáneamente, lo que pravocará mayor velocidad.

.....

...... Disco O

o

Disco 1

Fig. 2.11 . RAID O.

Este conjunto de técnicas están organizadas en niveles. Algunos de estos niveles son: o

RAID nivelO (RAID O): en este nivel los datos se distribuyen equilibrada mente (y de forma transparente para los usuarios) entre dos o más discos. Como podemos ver en la Figura 2.11 los bloques de la unidad A se almacenan de forma alternativa entre los discos O Y 1 de forma que los bloques impares de la unidad se almacenan en el disco O y los bloques pares en el disco l. Esta técnica favorece la velocidad debido a que cuando se lee o escribe un dato, si el dato está almacenado en dos discos diferentes, se podrá realizar lo operación simultáneamente. Para ello ambos discos tienen que estar gestionados por controladoras independientes. Hay que tener en cuenta que RAID O no incluye ninguna información redundante, por lo que en caso de producirse un fallo en cualquiera de los discos que componen la unidad provocaría la pérdida de información en dicha unidad.

o

RAID 1

""-

A1 A2 A3

A1 A2 A3

~

A4

RAID nivel 1 (RAID 1): a menudo se conoce también como espejo. Consiste en mantener una copia idéntica de la información de un disco en otro u otros discos, de forma que el usuario ve únicamente una unidad, pero físicamente esto unidad está siendo almacenada de forma idéntica en dos o más discos de forma simultánea. Como podemos ver en la Figura 2.12 todos los bloques de la unidad A se almacenan de forma idéntica en ambos discos.

A4

Si se produjera un fallo en un disco la unidad podría seguir funcionando sobre un solo disco mientras sustituimos el disco dañado por otro y rehacemos el espejo.

'-Disco O

---

Fig. 2. 12. RAID 1.

.....

'Disco 1

El principal inconveniente es que el espacio de la unidad se reduce a la mitad del espacio disponible. Es decir, si disponemos de dos discos de 1 TB cada uno (2 TB entre los dos) y montamos una unidad en RAID 1, esta unidad tendrá un espacio total de 1 TB.


Seguridad pasiva. Hardware y almacenamiento

RAID nivel 5 (RAID 5): En RAID 5 los bloques de datas que se almacenan en la unidad, y la información redundante de dichos bloques se distribuye cíclicamente entre todos los discos que forman el volumen RAID 5. Por ejemplo si aplicamos RAID 5 sobre un conjunto de 4 discos, como vemos en la Figura 2.16, las bloques de datos se colocan en tres de los cuatro discos, dejando un hueco libre en cada línea que irá rotando de forma cíclica (una línea está formada por un bloque con el mismo número de orden de cada disco y estó representado en la Figura 2.16 con el mismo color). En este hueco se colocará un bloque de paridad. Con este sistema, el bloque de paridad (en la Figura 2.13, Ap, Bp ... ) se coloca cada vez en un disco. Como vemos en la Figura 2.13 el bloque de paridad de la línea A (Ap) está en el disco 3, el bloque de paridad de la línea B (Bp) está en el disco 2 yasí sucesivamente.

2

Disco O Disco 1 Disco 2 Disco 3 Fig. 2.13. RAID 5.

El bloque de paridad se calcula a partir de los bloques de datos de la misma línea, de forma que el primero será un 1, si hay un número impar de unos en el primer bit de los bloques de datos de la misma línea, y O si hay un número par de unos. Por ejemplo, en la Figura 2.13 en el bloque de paridad Ap el primer bit (el más significativo) será un 1 porque hay un número impar de unos en el primer bit de cada bloque de datos de esa línea (es decir los bit marcados en rojo). El espacio total disponible para un volumen RAID 5 que utiliza N discos es la suma del espacio de los N discos menos el espacio de uno.

Actividades

0~01 011

Linea B

1--...11111010

11110001

Linea

e

Cp

Linea D

1--...1110000C!.... Dp

Linea E

11111110

01111110

Linea F

11110000

00001110

Linea G

00101011 Disco O

--

f.... 0 50 11101

Bp

1--... 101

-----

Ap

00010101

f....1111011!...-

00001109.-

10001001

1111101~

f....1 01 01 01.9...

10101010

..:.-

f....

Gp Disco 1

Fp

Ep

01011101

10101010

00110110

Disco 2

Disco 3

Fig. 2.14. Conjunto de 4 discos.

11. Imagina que se perdiera el disco 1. Llega una petición de lectura de la línea F, ¿podría realizarse? ¿Qué información devolvería?

12. Cuando aún no se ha recuperado el disco, llega una petición de escritura para la línea F: hay que escribir el valor 1000llll OOOOlllO Ol Olll O. ¿Crees que se podrá realizar esta operación? Haz las modificaciones que sean necesarias.

13. Una vez que se ha conseguido un disco con las características adecuadas, se

l

En RAID 5 si se produce fal en dos discos la información es irrecuperable. Esto parece muy

calcula los bloques de paridad y completa la figura.

IDID0 11011

Home de Windows XP y Windows Vista.

9t

10. Dado el conjunto de 4 discos de la Figura 2.14 que monta un volumen RAID 5,

Linea A

Los discos dinámicas na están disponibles en las versiones

decide sustituir el disco dañado y recuperar el funcionamiento normal de la unidad utilizando los cuatro discos. Recupera la información de dicho disco utilizando solo la información de los discos O, 2 y 3.

improbable, pero o medida que se añaden más discos, la proba-

bilidad aumenta.


Seguridad pa siva . Hardware

y almacenamiento

4.1. RAID en Windows

~.

-""" , """""""-.....-....j

Se puede pasar un disco básico a dinámico sin perder informa~ ción, pero no al revés. Además cuando un disco se con~ vierte en dinámico solo podrá arrancar el sistema operativo que está activo en el momento de la conversión.

En Windows estamos acostumbrados a que una unidad física corresponda con una unidad lógica (o varias en caso de tener varias particiones). Este es el concepto clásico de Windows, los discos básicos. A partir de Windows 2000 comienza a aplicarse además de los discos básicos un nue· va tipo de almacenamiento llamado discos dinámicos. Al igual que en los discos básicos creábamos unidades lógicas, en las discos dinámicas creamos volúmenes dinámicas. Existen cinca tipas de volúmenes dinámicos: •

Simples: es un valumen que utiliza espacio de un solo disco física. Es el tipo de disco dinámica que se crea cuando transformamos una unidad lógica en un volumen dinámico.

Distribuidas: es un valumen que se crea ocupando espacia de varias discos. Se construye coma una concatenación de discos, sin existir una regla que especifique cómo tienen que almacenarse las datas en las discos (coma ocurre en RAID O). Permite crear unidades grandes a partir de varios discos. Los principales inconvenientes san que na supone ninguna meiara en la velocidad del acceso y que na incluye redundancia. También san conocidas cama JBOD.

Seccionadas: corresponde can el nivelO de RAID.

Refleiados: corresponde con el nivel 1 de RAID.

RAID 5: corresponde con el nivel 5 de RAID.

4.2. RAID en Windows Vista Dentro de la rama de sistemas operativos de Microsoft no orientados a servidores (Windows XP, Vista ... ) solo es posible crear los tres primeros tipos de volúmenes dinámicos: simples, distribuidos y seccionados.

q

Caso p'ráctico 2

Creación de volúmenes seccionados en Windows Vista Crear un volumen seccionado en Windows vista para acelerar el acceso a disco y meiarar así la experiencia de los usuarios mientras realizan operaciones de tiempo real.

1. Accedemos al administrador de equipos de Windows. Para ello accedemos a la sección de Sistema y mantenimiento del Panel de control, accedemos a Herramientas administrativas y posteriormente al Administrador de equipos. Una forma más rápida de acceder a esta ventana es hacer clic con el botón derecho del ratón sobre el acceso directo a equipo y seleccionar la opción

Administrar. 2. Una vez que nos encontramos en la consola de administración de equipos (Fig. 2.15), accedemos en la ventana de la izquierda (árbol de la consola) a Administración de discos, que se encuentra dentro de la sección Almacenamiento.

S u sc~r nu ev~>

Ver el

his t ori~ 1

Debemos comprobar en el administrador de discos que tenemos al menos dos discos más a parte del disco en el que tenemos el sistema operativo. soluciones de problemas

Información y herramientas Consultar la puntuadón total de I~ Usar herr~m i en t as p~ra

J:iJ11 Administrador de dii, oo.;iti,'o,1 ~ ~ Ver hardware y dispositivos

i I equipos ~ Administraci6n de impre1ión ~ Configurac1ón del sistema !EJ Directiva de seguridad local r§ Firewall de Windows con seguridad avan ... ~ Herra mi enta de diagnóstico de memoria ~ lniciador ¡SCSI (lI Monitor de confiabilidad y rendimiento ~ Orlgene1 de datos oose @ Programadordetareas 1&,Servidos eventos

Fig. 2.15. Acceso a Administración de equipos en Vista o través de Panel de control.

(Continúal


Seguridad pasiva, Hardware

y almacenamiento

Casa p'ráctica 2

9

(Continuación)

En la Figura 2.16 podemos ver cuatro discos, el disco O que es el volumen de sistema y de inicio y los discos 1, 2 Y 3 que de momento son discos con todo su espacio sin asignar.

Para poder continuar con los siguientes pasos de este caso práctico tenemos que tener al menos 2 discos del mismo tamaño y sin asignar (es decir, libres).

9 DiK" O OinlÍmk" 10,OOGB Enp lntlllll

""

10,00 GB NTFS Cenede (Sislema, Ananque, Archivo de pIgin. cifln, Ve lc.d ,,)

blI DbI;" 1 BlÍsieo 10'OOI;, ~e"~,----.!. En pi Nuevo VIl~mVl cftrtribuido_

:

~

Nuevo VOktnVl secd oru do_ Ccnvm i, VI disco dinimico_

ic

Cc n'rol;' VI di.aI GPT

10,00

E,p

Propiedades

U D B,hic Ayu da 10,OOI.... lOm .oo' " " " . - - - - - - ' En plnlall. No Is'gnado

.....:...."I..

Fig. 2.16. Administrador de equipos.

3. Para convertir los discos que tenemos libres en discos seccionados, pulsamos con el botón derecho sobre uno de los discos sin asignar, yen el menú desplegable que nos aparece seleccionamos la opción Nuevo volumen

-

- _ ... .....

~

.. IJ, I!I D.,.rlll • .Il

It .......

"" _

... , ......

c - ....... _ _ .. ...... ..

seccionado (Fig. 2.17). Nos aparecerá el Asistente para nuevo volumen seccionado (Fig. 2.18). Pulsamos en Siguiente para seguir con la configuración.

Asistente p.ilr.l nuevo volumen s.ccdonado

..,....,."...".....,II»=r.. ." ........ -==-nclo

4. Seleccionamos los discos que queremos utilizar para generar el volumen seccionado (Fig. 2.19). Los discos que seleccionemos almacenarán de forma repartida (tal y como se explica en el punto 3) los ficheros y direc-

_d_

121

l'uede~ b<h<:: l r .... """"""~docb:::op""'etI.ooUnen .

S<Iecoc:neIo.cb:cs_d ........

JcIes;ouesha;.ck:en~.

........

~

[] ~ I;";" ~Io..,

. ,.

=r.oornia:lo<bx:nt40(l.lB)-. Sfto:i::r.t lo Cdid.o~ d. ts¡l&:>:I (I.IB)

I

'

"

"

C

~

'

*

.

,

torios que coloquemos en el nuevo volumen seccionado. En la Figura 2.19 puedes ver que para el desarrollo de este caso práctico se han seleccionado los tres discos que estaban sin asignar en la Figura 2.16. 11uMr ........... ~ "fIIlIrldno do .... cJ.I o n.II. do ~ p." ctt ...... ..:cao tn.b 1""",,",0 . PIret!. U7W ...... 1oInr de Lrida;j DoQ do LndI~''''V"::itnon.

@r ~!alolnrdc<ri1a:l~. ,

;

10000MB

HIZJ81.1B

I <~todo.l

T5!Iñ>l.:tIrIdclvcUnon .... ~ab,\ .. (M~

.

Fig. 2. 18. Asistente para V"¡',,ncIAn seccionado,

Fig. 2.17. Nuevo volumen seccionado,

' ................ lUÓIINdO

.

.

.... r... _r~~ "'~ _ ·'" _ _ .... ...........

O M:rt.-., lo 09HrU cnU IfTFS Yacl.,

II ! e Ha ..qw ...... I.tr.Dl\Udo_dc...-.dad

]

lC3 Ó='

I

"", - .- ¡¡¡¡m-

~ ~I ~.>

I I c.nc:.u I

Fig. 2.19. Seleccionar discos a seccionar,

~1 SQ.>tne>

I I ""'" I

Fig. 2.20. Asignar letra a la nueva unidad.

(Continúo)


~/2 q

Seguridad pasivo. Hardware y almacenamiento ------~--~--------~--------------------------

Caso práctico

:2

(Continuación)

5. Eri el siguiente paso seleccionamos la letra de la unidad que queremos asignarle al nuevo volumen (tiene que ser una letra que no esté asignada a ninguna otra unidad). Si seleccionamos la opción Montar en (o siguiente carpeta NTFS vacío podemos integrar el espacio de este volumen dentro de una unidad ya existente eligiendo la carpeta en donde queremos añadir este volumen.

6. A continuación en la Figura 2.21 seleccionamos el sistema de archivos con el que se desea formatear el nuevo volumen (Windows recomienda NTFS) y la etiqueta que queremos asignar a la unidad. En el caso de la Figura 2.21 se ha seleccionado sistema de ficheros NTFS y como etiqueta del volumen «Datos usuariOS».

........

-~ Debe fo:m.!l!ear ~e vol.rnerlarlles de poder ~ dilo. en él.

Anallzadón del Asistente para nuevo volumen secdonado

~----------------------------" I .

I

{) No fOlllllllfW este voh.rnen @ Famaeil'" ale vob!Ien can La adop3Ci6n li¡.l.ier1e:

~em/l6e

~INTF~S~~~~§"I

arc:Nvc1: Ta-nñcl"'u..dad de~: ~emNdo ~a del vobnen:

.. 1

1, 1

Odas USUlIri::.

!'

D IWI...mSo~

O HabU. ~ de an;tyyg , Y ClfpeID'I

Fig. 2.22. Finalización asistente.

Fig. 2.21. Formolear volumen.

7.

Por último se nos muestro un resumen de las operaciones que se van a realizar, en donde debemos comprobar que corresponde con lo que deseábamos hacer inicialmente. Uno vez que pulsamos sobre Finalizar, se nos muestra una advertencia (Fig . 2.23) en la que se nos avisa

que los discos seleccionados se van a convertir en discos dinámicos y que después de esta operación no se podrá arrancar ningún sistema operativo instalado en ellos a excepción del sistema actual (Windows Vista). Podemos pulsar sí porque inicialmente los discos no estaban asignados (Fig. 2.19), así que no contienen ninguna informacián.

~A~d~m~i~ n i~n~~~c~io~·n~d~ .d~is~co~s~____________-~II~~_____________________~ f13l 13 ~\ 1

I

la operación elegida convertirá 105 discos básicos seleccionados en discos dinámicos. Si los discos se convierten en dinámicos, no podrá iniciar ningún sistema operativo instalado en los volúmenes de los mismos, a excepción del volumen de arranque actual. ¿Está seguro de que desea continuar?

No

Fig. 2.23. Aviso de arranque de atros 50.

8. Puedes comprobar que la unidad generada tiene un tamaño igual al tamaño de las tres unidades. En el caso concreto de este caso práctico, 30 GB. Si cada uno de los discos que forman este nuevo volu12

men tuviera una contraladora diferente aceleraríamos mucho los procesos de lectura/escritura en disco, ya que podrían realizarse 3 lecturas o escrituras al mismo tiempo.


Seguridad pasiva. Hardware

y almacenamiento

2

4.3. RAID en Windows 2008 Server

En la rama de sistemas operativos de servidor de Microsoft, podemos crear todos los tipos de volúmenes dinámicos estudiados en el Apartado 4.1. En concreto en el siguiente caso práctico crearemos un volumen reflejado utilizando Windows 2008 Server.

Caso p'ráctico 3

9

Reflejar en Windows 2008 el volumen de sistema y de inicio 1. Arrancamos Windows 2008 Server y entramos en el

Administrador de/servidor (Fig. 2.24). El administrador del servidor lo podemos encontrar en las Herramientas administrativas igual que el Administrador de equipo en Windows Vista. También podemos entrar pulsando el botón secundario del ratón sobre el acceso directo de equipo.

.

Microsoft también recomienda que los discos sean de las mismas características y estén manejados por controladoras diferentes. Así nos estaremos protegiendo ante un mayor número de tipos de fallos (si se produjera un fallo en la controladora de uno de los discos el otro seguiría funcionando).

3. Una vez comprobado esto, hacemos dic sobre el área asignada del volumen que queremos reflejar y seleccionamos la opción Agregar reflejo, tal y como podemos ver en la Figura 2.25. Si no aparece esta opción por lo general se debe a que el volumen que tenemos sin asignar no es del tamaño adecuado.

4. En la ventana Agregar reflejo seleccionamos el disco1 ,

..._,

,,=

IM OG!l frI_WI

I DS.

.!..l

que es sobre el que queremos reflejar el disco del sistema (disco O) y pulsamos sobre Agregar reflejo .

I

. 'b...~.aé: . ~

!~. C'lG!l I ",.~,do

.

=

.:.=n= ....

Fig. 2.24. Administrador de servidor.

L

2. Es fundamental que los discos que vayamos a utilizar para reflejarse sean del mismo tamaño. Puesto que uno de los discos, el del sistema (disco O en la Figura 2.24) ya está asignado y tiene un tamaño, tendremos que utilizar un disco de mayor o igual tamaño que este. En el caso de la Figura 2.24 se ha utilizado un disco de igual tamaño.

Agregar reflejo

Si agrega un reflejo a un volumen existente se podrá tener una redundancia de datos. ya que se conservarán múltiples copias de los datos de un volumen en diferentes discos. Seleccione una ublcadón para el reflejOde C:. Discos:

I ~regar reflejo I

1r.F5

rx

(

Cancelar

Fig. 2.26. Agregar rel/e;o.

..

~ ,~

~;r ... ..... ~ •. ~

Fig. 2.25. Agregar rel/e;o. Administrador de discos.

..

5. Windows muestra una alerta (Fig. 2.26) que advierte, igual que en el caso práctico anterior, de que los discos se van a transformar en dinámicos y por tanto solo podremos arrancar a partir de este momento Windows 2008 Server. A partir de este momento, el sistema replicará la información que contenga el volumen del sistema en el otro disco. Así, si se produce un fallo en un disco del sistema seguirá funcionando con el otro.


~~

Seguridad pasiva. Hardware y almacenamiento

------~--~--------~--------------------------

5. Clusters de servidores Un cluster de servidores en un conjunto de vorios servidores que se construyen e instalan para trobajor como si fuesen uno solo. Es decir, un cluster es un grupo de ordenadores que se unen mediante una red de alta velocidad, de tal forma que el conjunto se ve como un único ordenador, mucho más potente que los ordenadores comunes. Una de sus principales ventajas es que no es necesario que los equipos que lo integren sean iguales a nivel hardware ni que dispongan del mismo sistema operotivo, lo que permite reciclor equipos que se encontraban anticuados o en desuso y rentabilizor su uso mediante un cluster de servidores, como el que puedes ver en las Figuros 2.27 y 2.28. Fig. 2.27. Clusler casero con ordenadores diversos (vista delantera).

Con este tipo de sistemas se busca conseguir cuatro servicios principales, aunque, en generol, según el tipo de cluster que utilicemos, obtendremos una combinación de vorios de ellos: o

Alta disponibilidad.

o

Alto rendimiento.

o

Balanceo de carga.

o

Escalabilidad.

5.1. Clasificación de los clusters Fig. 2.28. Clusler casero con ordenadores diversos (vista trasera).

Como en tantas otras tecnologías, podemos realizor la clasificación de los clusters en función de varios conceptos, pero todos ellos relacionados con los servicios que ya hemos mencionado. Atendiendo a estas carocterísticas hablamos de tres tipos de clusters:

los clusters son sistemas tan fiables que organizaciones como Google y Microsoft los utilizan para poner en marcha sus por-

tales. Por ejemplo, en el año 2003, el cluster Google llegó a estar conformado por más

de 15 000 ordenadores personales.

o

Clusters de alto rendimiento (HC o Hjgh Performance C/usters). Este tipo de sistemas ejecutan tareas que requieren de una gran capacidad de cálculo o del uso de grandes cantidades de memoria (e incluso de ambas conjuntamente). Cuando están realizando este tipo de toreas, los recursos del cluster son utilizados casi en exclusiva duronte periodos de tiempo que pueden ser bastante largos.

o

Clusters de alta disponibilidad (HA o High Avai/abi/ity). Con estos clusters se busca dotar de disponibilidad y confiabilidad a los servicios que ofrecen. Poro ello se utiliza hordwore duplicado, de modo que al no tener un único punto de fallos (aunque se produzca una avería en un componente siempre habrá otro que pueda realizor el mismo trabaja), se garontiza la disponibilidad del sistema. Por otra parte, incorporan softwore de deteccián y recuperoción ante fallos, con objeto de hacer más confiable el sistema para su uso.

o

Clusters de alta eficiencia (HT o Hjgh Throughput). En estos sistemas el objetivo centrol de diseño es que se puedan ejecutor el mayor número de tareas en el menor tiempo posible, entendiendo que hablamos de tareas individuales cuyos datos na tienen dependencia entre sí.

Otro tipo de clasificación de los clusters de servidores viene dada por su ámbito de uso, donde hablaremos de dos tipos: o

Clusters de infraestructuros comerciales, que conjugan la alta disponibilidad con la alta eficiencia.

o

Clusters científicos, que en generol son sistemas de alto rendimiento.

Lo cierto es que muchas de las carocterísticas de las orquitecturas de hardwore y softwore son las mismas en todos estos tipos de clusters, aunque luego los requisitos de las. aplicaciones que funcionen sobre ellos sean muy distintos. Esto hace que un determinado tipo de cluster pueda también presentor coracterísticas de los otros.


Seguridad pasiva . Hardware y almacenamiento

5.2. Componentes de los clusters

Poro que un cluster funcione necesito de uno serie de componentes, que, como yo sobemos, pueden tener diversos orígenes; es decir, no tienen por qué ser de lo mismo morco, modelo o característicos físicos. Entre estos componentes están:

Nodos: es el nombre genérico que se dará a cualquier máquina que utilicemos para montar un cluster, como pueden ser ordenadores de sobremesa o servidores. Aún cuando podemos utilizar cualquier tipo de hardware para montar nuestro sistema, es siempre buena ideo que hoyo cierto parecido entre los capacidades de todos los nodos (en la Figura 2.29 puedes ver un cluster montado con ordenadores idénticos), ya que, en coso contrario, habrá siempre cierta tendencia o enviar el trabajo a realizar a aquel equipo que disponga de una mayor capacidad de procesamiento.

Sistema operativo: podemos utilizar cualquier sistema operativo que tenga dos característicos básicas: debe ser multiproceso y multiusuario. Es también conveniente que sea fácil acceder o él y usarlo, poro facilitar el trabajo sobre el mismo.

• Conexión de Red: es necesario que los distintos nodos de nuestra red estén conectados entre sí. Para ello podemos utilizar una conexión Ethernet (con las placas de red que incorporan los equipos e incluso con las integradas en los placas base) u otras sistemas de alta velocidad como Fast Ethernet, Gigabit Ethernet, Myrinet, Infiniband, SCI, etc.

Middleware: es el nombre que recibe el software que se encuentra entre el sistema operativo y las aplicaciones. Su objetivo es que el usuario del cluster tenga la sensación de estar frente a un único superordenador yo que provee de uno interfaz único de acceso 01 sistema. Mediante este software se consigue optimizar el uso del sistema y realizar operaciones de balanceo de carga, tolerancia de fallos, etc. Se ocupa, además, de detectar nuevos nodos que vayamos añadiendo al cluster, dotandolo de una gran posibilidad de escalabilidad.

Sistema de almacenamiento: cuando trabajamos con clusters podemos hacer uso de un sistema de almacenamiento interno en los equipos, utilizando los discos duros de manero similar a como lo hacemos en un PC, o bien recurrir o sistemas de almacenamiento más complejos, que proporcionarán una mayor eficiencia y disponibilidad de los datos, como san los dispositivos NAS (Nefwork Attoches Storoge) o las redes SAN (Storoge Areo Nefwork), de lo que hablaremos con mayor detalle en el siguiente apartado, dedicado al almacenamiento externo.

Fig. 2.29. Cluster montado con equipos idénticos.

Actividades ~ 14. Realizo un listado de sistemas operativos multiusuario y multiprocesador. Consulto en Internet si pueden utilizarse poro montar un cluster de servidores.

15. Busco información sobre los conexiones de alto velocidad mencionados en el Apartado 5.2. ¿Qué velocidades proporcionan? ¿Qué requisitos hardware necesitamos poro utilizarlos?


Seguridad pasiva. Hardware y almacenamiento

• NAS ,----------- -- - -----

6. Almacenamiento externo

En el apartado anterior hemos visto que con los clusters podemos procesar mucha más infarmacián que un ordenador independiente, pero ¿dánde guardamos esta informacián? Una posibilidad es utilizar las sistemas de almacenamiento de las nodos, sus discos duros, por ejemplo. Pero existen otras alternativas que nos permitirán un control y una gestión mucha mayores sobre los datos procesados, como las tecnologías NAS y SAN. El uso de cualquiera de estas tecnologías es independiente de la existencia de un cluster, aunque resulta idónea como método de almacenamiento cuando se dispone de uno, especialmente si las complementamos con utilidades para la realización de copias de seguridad como las que veremos en la Unidad 3.

6.1. Network Attached Storage Los dispositivos NAS (Nelwork Attached Storage) son dispositivos de almacenamiento específicas, a los cuales se accede utilizando protocolos de red, generalmente TCP/IP, como puedes ver en lo Figuro 2.30. Lo ideo consiste en que el usuario solicita al servidor un fichero completo y, cuando lo recibe, lo maneja localmente, lo cual hoce que este tipo de tecnología sea ideal para el uso con ficheros de pequeño tamaño, ofreciendo la posibilidad de manejar uno gran cantidad de ellos desde los equipos clientes.

[1

Disco

n:

- -- - --- -- - -- -- -- - __ , Fig. 2.30. Arquitectura NAS.

r

____ _

_

SAN

__ _____ ___ __ •

El uso de NAS permite, con bajo coste, realizar balanceo de carga y tolerancia a fallos, por lo que es codo vez más utilizado en servidores Web poro proveer servicios de almacenamiento, especialmente contenidos multimedia. Hay otro factor que debemos tener en cuenta, y es que los sistemas NAS suelen estar compuestos por uno o más dispositivos que se disponen en RAID, como hemos vistos en el Apartado 4 de lo unidad, lo qu!,! permite aumentar su capacidad, eficiencia y tolerancia ante fallos.

6.2. Storage Area Network Una red SAN (Storage Area Nelwork) o red con área de almacenamiento, está pensada paro conector servidores, discos de almacenamiento, etc., utilizando tecnologías de fibra (que alcanzan hasta 8 Gb/s), como ves en la Figura 2.31. El uso de conexiones de alto velocidad permite que sea posible conectar de manero rápida y segura los distintos elementos de esta red, independientemente de su ubicación físico. De modo general, un dispositivo de almacenamiento no es propiedad exclusiva de un servidor, lo que permite que varios servidores puedan acceder o los mismos recursos. El funcionamiento se basa en las peticiones de datos que realizan las aplicaciones 01 servidor, que se ocupo de obtener las datos del disco concreto donde estén almacenados. Dependiendo de lo cantidad de información manejado, podremos optar por el uso de una u otra tecnología. Poro grandes volúmenes, sería conveniente utilizar una red SAN, mientras que poro pequeñas compañías lo idóneo sería un dispositivo NAS. Esto no quiere decir que ambas tecnologías sean excluyentes; existe, de hecho, la posibilidad de combinarlas en sistemas cuyas características así lo riequieran.

,,- - - - - - - - ,

[1

- - - - - - -

Disco

-,,

11

"-------------- - - - -, Fig. 2.31. Arquitectura SAN. 16

~ Actividades 16. Compara las tecnologías NAS y SAN. ¿Qué ventajas y desventajas tiene el uso de cada una de ellas?


Seguridad pasiva. Hardware

y almacenamiento

2

Comprueba tu aprendizaje " Aplicar medidas de seguridad pasiva en sistemas informáticos describiendo características de entornos y relacionándolas con sus necesidades

Gestionar dispositivos de almacenamiento describiendo los procedimientos efectuados y aplicando técnicas para asegurar la integridad de la información

1. En la actualidad se están buscando alternativas para aprovechar el calor generado por los Centros de Datos en otros usos. Busca infarmacián y noticias de este tema, crea un pequeño documento con las más curiosas y añade algún posible uso alternativo que se te ocurra.

4. Comprueba en la documentación de tu placa base si

2. Busca información sobre el funcionamiento de los sistemas de detección precoz contra incendios, e ilústralo con casos reales de uso.

J. Últimamente están praduciéndose algunos picos de tensión y cortes intermitentes en la zona donde está situada la agencia de viajes SiTour, lo que les ha llevado a plantearse la posibilidad de instalar SAl que evite posibles daños en sus equipos y les proparciones el tiempo necesario para guardar los datos con los que estén trabajando en el momento del corte. ¿Qué equipo les recomendarías? ¿Por qué?

so parta algún tipo de RAID. Si lo soporta, localiza la opción en el menú de configuración de BIOS.

5. Genera un volumen seccionado en Windows utilizando tres discos.

6. La red de Supercomputación Española se compone de varios c1usters situados en diferentes puntos del país. Averigua qué sistemas la integran, cuál es su localización geográfica y cuál es la finalidad de uso principal de cada uno de ellos.

7. Las siguientes figuras representan redes donde se han utilizado alguno de los sistemas de almacenamiento vistos en la unidad: NAS y SAN. Identifica cuál corresponde a cada uno de ellos y explica por qué.

Puedes utilizar la tabla que desarrallaste en la Actividad 7 de la unidad, ya que debes tener en cuenta los mismos factores utilizados como referencia para realizar dicha actividad.

Array de discos

Fig. 2.32. Arquitectura 1.

Fig. 2.33. Arquitectura 2.


-=::y-

r

2

Seguridad pasiva. Hardware y almacenamiento

Edificio Espacio y movilidad Factores relativos

Tratamiento acústico

...._...:0:.;105 instalaciones

Seguridad física del edificio Suministro eléctrico propio del CPO

Factores naturales

Servicios disponibles

Otros factores

Seguridad del entorno

Control de acceso

Recuperación ante desastres

En estado de espera ISPS)

--

~- (

En línea

Almacenamiento

"-_...:.:: re::;:: du:::: nd;;:;:a~ nte~_,,

-f

RAID O RAID 1 RAID 5

C·", .~ ,í'• Almacenaml

Cluster de alto rendimiento

~ ~eíliil~nfo:rmamon

Cluster de servidores

Cluster de alta disponibilidad Cluster de alta eficiencia

Network Attached Storage

Slorage Area Network

.8


llJUllDdOJdJ

Seguridad pasiva. Recuperación de datos

En esto unidad aprenderemos a:

• Seleccionar estrategias para la realización de copias de seguridad. • Realizar copias con distintas estrategias. • Crear y restaurar imágenes de restauración de sistemas en funcionamiento.

• Aplicar técnicas de recuperación de datos. • Definir políticas de copias de seguridad.

y estudiaremos: • Copias de seguridad e imágenes de respaldo. • Medias de almacenamiento en copias de seguridad. • Políticas de copias de seguridad. • Software de copias de seguridad. • Recuperación de datos.

(

( .,

~,, ~t(


Seguridad pasiva. Recuperación de dolos

1. Introducción / ,

¿Sabías.q,!e•••?

Según un estudio realizado por la Universidad de Texas, solo el

6 % de

las empresas que tienen

pérdidas catastróficas de datos logran seguir su aclividad frente a un 43 % que nunca podrán reabrir su negocio; el resto tendrá que cerrar en dos años.

Hoy en día, tanta las empresas como los particulares guardamos gran cantidad de información en los soportes de almacenamiento de nuestros equipos informáticos. En un gran número de entidades y hogares dicha información se encuentra protegida contra amenazas lógicas, una vez que tenemos instalados programas específicos poro ello, como antivirus o firewall; sin embargo, son muchas menos las personas o entidades que realizan copias de seguridad; copias que permitirían restaurar la información en caso de pérdidas ocasionadas por desastres de diversa índole, coma incendios, inundaciones, apagones, terremotos ... Dichos desastres pueden suponer grandes pérdidas para las empresas en caso de no poder recuperar la información.

Según información publicada en The Guardian una empresa incapaz de acceder a sus datos durante diez días nunca se recu-

perará totalmente: el 43 % de ellas irá a la bancarrota, ya que una parada de tan solo cuatro

horas puede costarle hasta un 30 % de sus ingresos mensuales a una compañía de servicios de telecomunicaciones e infraestructura.

Recordemos algunos de los sucesos ocurridos en los últimos años, la caída de las Torres Gemelas o el grave incendio ocurrido en la Torre Windsor. En ambos casos se perdió

gran cantidad de información. En el caso del incendio en Madrid fallaron los deteclores de humo, las alarmas ... pero no fallaron, en cambio, los planes de protección de datos de las empresas Garrigues y Deloitte, que en poco más de 72 horas después del suceso, trabajaban con acceso pleno a cada una de sus aplicaciones y a la información. Gracias al plan de recuperación en caso de desastre, estas empresas pudieron en un breve espacio de tiempo volver a su actividad sin sufrir grandes pérdidas económicas. Estos desastres lograron que numerosas empresas que no tenían planes desarrollados de recuperación para casos de desastres tomaran consciencia de la necesidad de los mismos y empezaran

a realizar copias de seguridad, tanto de la configuración de los sistemas como de los datos.

Todos, tanto las grandes empresas multinacionales como el usuario de a pie, debemos guardar copias de seguridad de la información de nuestros equipos, porque Murphy puede aparecer en cualquier momento a hacernos una visita. Cuántas veces hemos dedicado horas a preparar un traba¡o para clase y en el último momento se ha ido la luz o ha entrado un virus, y es entonces que nos lamentamos de no haber hecho copias de seguridad cada cierto intervalo de tiempo. Como conclusión, las copias de seguridad garantizan dos de los ob¡etivos estudiados en la primera unidad, la integridad y disponibilidad de la información. Estas son útiles para restaurar el sistema operativo, las aplicaciones y los datos en caso de ocurrir algún desastre. Además, debemos tener presente lo que estudiamos en la primera unidad referido a la Agencia Española de Protección de Datos; recordemos las exigencias de dicha entidad a las empresas que almacenan datos personales de usuarios: estas deberán realizar copias de seguridad de los datos recogidos en sus equipos. Estas copias de seguridad se podrán realizar en multitud de soportes de almacenamiento, cintas, CD, DVD, en discos duros externos o en dispositivos de almacenamiento remotos.

Otro punto en el que deberíamos pensar es cómo destruir de manera segura los soportes donde hemos guardado los datos, ya que en numerosos casos se almacena información confidencial. Debemos evitar que, una vez que consideremos la máquina obsoleta para nuestra empresa y la tiremos o la reciclemos, vendiéndola a empresas o a particulares con menos necesidades que nosotros, estos puedan leer la información confidencial del disco. En el mercado existen diversos métodos que garantizan la destrucción de los datos.

~ Actividades 1. Visita las páginas http://www.blancco.com/en/frontpage/ y http://www.edrsolutions.com. Analiza los distintos tipos de mecanismos de destrucción de disco y ordenadores que poseen.

;0


Seguridad pasiva . Recuperación de dolos

2. Tipos de copias de seguridad

Dependiendo de la cantidad de ficheros que se almacenan en el momento de realizar la copia, podemos distinguir tres clases de copias de seguridad: •

Completa: como su nombre indica, realiza una copia de todos los archivos y directorios seleccionados_

Diferencial: se copian todos los archivos que se han creado a actualizado desde la última copia de seguridad completa realizada_ Por ejemplo, si hacemos una copia de seguridad completa todos los viernes a las 00:00 horas y una copia de seguridad diferencial el resta de las días, cada copia diferencial guardará los archivos que se hayan creado o modificada desde el viernes a las 00:00 horas hasta e l momento de realizar la nueva copia. Una de las ventajas de este tipo de copia frente a la anterior es que se requiere menos espacio y tiempo para el proceso de la copia . ./

./

./

f

Modificación 1....día 3

Copia diferencial día 3

Datos

día 1 Copla lolal

1....Modificación ./ dla 2

Copia diferencial

l

día 2

1....Modificación día2

1/

IL

1/

Fig_3. 1. Archivos modificados que se deben guardar en /a copia diferencial. •

Incremental: se copian los archivos que se han modificada desde la última copia de seguridad completa o diferencial realizada. Por ejemplo, si hacemos una copia completa los viernes a las 00:00 horas y copias de seguridad incremental el resto de los días a la misma hora, cada copia incremental solo guardará los archivos que se hayan modificado el día que se realiza la copia desde las 00:00 hasta las 23:59. Una de las ventajas de este tipo de copias de seguridad frente a la anteriar, es que el proceso de la copia es mós rópido y ocupan menos espacio; ahora bien, si hemos de restaurar los archivos por pérdida a causa de un desastre, necesitaremos la copia de seguridad completa, y todas las copias incrementales realizadas desde la copia integral. ;-

./

Modificación

1/

dla3 Datos día 1 Copia lolal

1....Modificación

Clfa 2

1/

I

Copia incremental día2

-

Copia incremental día 3

1....Modificación

1/

dla2

1/

1/

Fig. 3.2. Archivos modificodos que se deben guardor en Jo copio incrementol.

Actividades ~

2. Indica qué necesitamos cuando se realizan copias completas y diferenciales para restaurar la información.

3


Seguridad pasiva. Recuperación de datos

3. Copias de seguridad de los datos las copias de seguridad de las datos, como su nombre indica, son copias de la información que se almacenan en un lugar diferente al original. Aunque parezca mentira, se trata de un error muy habitual que tanto los administradores como los usuarios del sistema suelen cometer, al guardar las copias de los datas en la misma ubicación que los originales a muy cerca de los mismos. lo que suele hacerse por comodidad resulta un fallo garrafal: imaginemos que en una empresa se produce un incendio o una inundación en el centro de cálculo, donde además se guardan las copias de seguridad de los datos y las imágenes de los sistemas, ¿qué sucedería? El incendio arrasaría tanto los equipos con sus sistemas y datos como todas las copias e imágenes de respaldo de los sistemas, aplicaciones e información. la empresa habría perdido toda la información, por lo que perderían mucho tiempo y dinero hasta volver a recuperarlo todo. lo habitual, en las organizaciones con una buena seguridad, consiste en almacenar una copia de los datos en el propio centro de procesamiento de datos, y otra copia completa en un lugar diferente al centro de cálculo, que se encontrará protegido de la misma manera que los centros de procesamiento de datos. Otro de los problemas clásicos cuando las organizaciones realizan copias de seguridad resulta de la mala política de etiquetado de las copias. Debemos ser muy exhaustivos cuando etiquetamos las copias de respaldo, y al mismo tiempo, hemos de conseguir que los datos que etiquetemos no sean muy claros para los posibles intrusos. Se recomienda etiquetarlas mediante códigos impresos, códigos cuyo significado sea conocido exclusivamente por los técnicos que manejan las copias de seguridad.

o

¿De qué archivos debemos hacer copias de seguridad?

las copias de seguridad deben realizarse de todos los archivos que sean difíciles o imposibles de reemplazar (esquemas . de red, distribución de IP, listas de control de acceso, etc) .

o

¿Dónde debemos hacer las copias de seguridad?

Como hemos comentado anteriormente, una de los errores más habituales es utilizar el mismo soporte en el que se encuentran los datos para almacenar las copias o ubicarlas en el mismo lugar donde se encuentran los equipos de los que hemos realizado las copias. la finalidad de la copia de seguridad es poder recuperar los datos en caso de desastre. Si la copia se encuentra en el mismo disco o en una partición del mismo y se produce una avería física en él, no podremos recuperar los datos ni la copia de seguridad. las copias de seguridad se pueden hacer en distintos soportes, en discos duros externos, en discos compactos, en OVO, en cintas, en memorias flash, en discos SSO ... la realización de copias de seguridad en un sitio diferente a la ubicación original se denomina OFf-sile Dala Proleclion. Existen numerosas empresas especializadas en dichos servicios, como hHp://www.perfectbackup.es.

o

Soportes

A continuación vamos a analizar las ventajas y desventajas de los distintos soportes: •

Fig. 3.3. CD regrcbcble.

los discas CO y OVO regraba bies ofrecen un númera muy limitado de escrituras, a pesar de que la mayoría de los fabricantes aseguran que se pueden realizar unas mil grabaciones. la experiencia nos demuestra que después de varias decenas de escrituras, las grabaciones fallan, y aparecen mensajes del tipo «el soporte es de solo lecturo ». .


Seguridad pasiva . Recuperación de dolos

La cinta es una de los soportes más antiguos que se siguen utilizando en la actua· lidad. Sus características principales son el gran volumen de almacenamiento que permiten y su alta fiabilidad. Son más lentas que los discos duros convencionales, pues como sabemos, el acceso a las datos es secuencial (siempre debemos recorrer toda la cinta desde el principio hasta que encontremos el dato).

Los memorias de tipo flash (pendrive, microSD, compactFlash y similares) no son muy recomendables, ya que se suelen estropear con facilidad debido a los golpes y a los altos voltajes que reciben en ocasiones accidentalmente, y además hay que tomar en cuenta la capacidad tan escasa que tienen.

3

Fig. 3.4. Distintos modelos de almacenaje.

Los discos duros o discos rígidos usan métodos de grabación basados en la imanta· ción del soporte. Aunque han ido evolucionando ráridamente, esto sola ha supuesto un incremento en la capacidad de los mismos, en e tiempo de acceso a los sectores y en lo fiabilidad. Hoy que recordar que no hoce muchos años ero necesario opor· cor lo aguja del disco poro poder trasladarlo de un lugar o otro. Si lo aguja no se aporcaba, una vez que desconectábamos el disco esta se movía y podía golpear y rayar los discos que componían el disco duro. Hoy en día ya no es necesario aparo car la aguja, es una operación que los discos realizan automáticamente cada vez que se apagan.

Se está investigando en una nuevo tecnología basado en nanotubos que permitirá una

durabilidad de los discos duros muy

superior

a

la

actual.

Hablamos de unos 1000 años.

Fig. 3.5. Distintos modelos de discos duros.

En la actualidad se empiezan a realizar copias de seguridad en soportes SSO. La desventaja de este tipo de unidades es el precio, son muy caras, y su capacidad es limitada. Sin embargo, este tipo de tecnología SSD (Salid Slale Orive) tiene grandes venta jas frente a los discos duros convencionales porque no tienen elementos mecá· nicos, lo que los hace ser mucho más fiables frente a los discos duros tradicionales . El rendimiento de la tecnología SSD es mayor que el de los discos duros clásicos, y el tiempo de acceso de los SSD es bastante inferior a un milisegundo frente a las varias decenas de milisegundos habituales de los discos duros tradicionales. Es una de las opciones de futuro, dado que su precio actual hace impensable adquirir un disco de 500GB.

Actividades "

l

3. Realizar un estudio como parativo que recoja los distintos tipos de sopor· tes, con su capacidad máxima y precio medio par GB.


~/3

Seguridad pasiva. Recuperación de dalas

- - --

3.1. Copia de seguridad de datos en Windows Hay muchas herramientas que permiten hacer copias de seguridad de los datos en sistemas Windows. Vamos a estudiar en profundidad la herramienta Backup4all. Esta herramienta nos permite proteger los datos de los posibles pérdidas parciales o totales, automatiza el proceso de realización de copias de seguridad y permite, entre otras funciones, comprimir y cifrar las copias de seguridad.

q

Caso práctico 1

Crear copia de seguridad completa para poder recuperar 105 datos con facilidad en caso de desastre

garnos gratuitamente de la página www.backup4all.com/ download.php.

En esta práctica vamos a crear una copia de seguridad del directorio denominado "Seguridad Infarmática». En él se encuentran almacenados datos impartantes que na queremos perder. Para realizar el backup, vamos a utilizar la aplicación Backup4all Professional, que podremos descar-

1. Una vez instalada la aplicación, veremos una panta-

o ~~~..,.,.. .t:1 ·

!!:..-

It ,,~

~,,-

~m

,-

,QOlS11.QD

-

. ....... ]11

....

~ .", 1:: 1•,

... 1'"fui

U

U

¡~ a

~I

l

(9

lla similar a la de la Figura 3.6. En dicha pantalla se encuentran desactivadas los botones de Backup (copia de seguridad) y Restare (recuperación), debido a que aún no hemos realizado ninguna copia de seguridad. 1=1 8 J

( ) I¡ ..... e.:;kup W",¡n;\

a I

@ Name your backup Dld",pnlmo::

Where do you want lo saya your backup?

Fclder.

Advlncrdm~de

Fig. 3.6. Pantalla inicial Backup4all Prafe55ianal. 2. Hacemos dic sobre el icono New,! para realizar una nueva copia de seguridad. Como se trata de la primera copia de respaldo que vamos a realizar la haremos completa. 3. En la nueva pantalla (Fig. 3.7) escribimos el nombre y la ubicación donde vamos a guardar la copia de seguridad. Como vemos, la aplicación permite elegir dónde queremos realizar la copia de seguridad: local (en el propio disco, grabarla en un CD o DVD o bien en un disco duro externo), en la red, o bien mediante FTP. En esta primera práctica vamos a guardar la copia en la carpeta que par defecto nos indica la aplicación. 4. Para continuar, podemos hacer dic bien en el botón Nexl (Siguiente), bien en el botón Advanced made (moda avanzado). Al ser la primera vez que manejamos la aplicación, haremos dic en el botón Next para ir familiarizándonos con la herramienta. En la nueva ventana (Fig. 3.8) debemos elegir el directorio, fichero!s o

4

I

Fig. 3.7. lugar y nombre de la copia de seguridad. e

'"

"

Whal do you want to backup?

~!5el~",~·.;;"",of",fiIH",.",",,,,f.,,,,,,,,,"=======;~ ... 1 ~'::r1 (dnl.JI lo blCkup 111 File\Folder m 1iJ €!)

Si:e

III

e Hillerfil on Synem DI

01

=

G'l ~ (2)

Plgdile en 5ylltm TtmPCraryFilts'Ule

l

C~"'d;f!.¡";i.'51 ~, ,:¡':,";:'.=l l=:!, "=; ~:; :JI lO:~~: 1 [

Adv,nctd mode

I

I

P,eviOUl

1I

Nul

II

»Ve ~

II

Fig. 3.8. Directorio del que vamos a hacer la copia.

(Continúa)


Seguridad pasiva. Recuperaci ón de dolos

3

Casa práctico 1

9

(Continuación)

conjunto de directorios de los que vamos o realizar lo copio. En nuestro coso, queremos hacer lo copio del directorio llamado «Seguridad Informático» , por lo que tenemos que hacer dic en Add folder (añadir carpeta). En el coso de se quisieron hacer copias de seguridad de ficheros, deberíamos haber hecho dic sobre Add files (añadir ficheros). Después de seleccionar el directorio hocemos dic en Next.

o

5. En lo siguiente pantalla (Fig . 3.10) debemos elegir el tipo de copio; como es lo primero vez que guardamos los datos, haremos uno copio de seguridad completo, de modo que elegimos lo opción Make full (Realizar completo). En esto pantalla podemos optar también por cifrar lo copio . En este coso no lo cifroremos, por lo que dejamos marcado lo opción por defecto (No).

New Badrup WlL!rn

How do you want to backup?

·1

IMakefull Encrypt? O Yes

@ No

I le."! pil:;w.ord: Confirrn new pilssl".'ord:

Help How do you \11M! lo backup?

Advaneed mode

Previous

H

Next

II

SlIve ~

II

Cincel

Fig. 3.9. Tipo de copio.

6. En lo siguiente pantalla debemos especificar lo periodicidad de lo copio. En nuestro coso debemos seleccionar lo opción manualmente, yo que por el momento no queremos que se repito lo copio completo en un futuro. Después de dicho elección, hocemos dic sobre Save (Guardar) y seleccionamos la opción Save and run (Guardar y ejecutor). Inmediatamente después, lo aplicación se pone en funcionamiento y empiezo o almacenar lo información se-

leccionada en la nuevo ubicación. Tronscurridos varios minutos, lo copio de seguridad habrá terminado y podremos comprobar cómo los datos guardados en el directario Seguridad Informático se han copiado en un archivo comprimido (con extensión zip) dentro del directorio COPIA_SEGURIDAD (nombre del backup, Fig . 3.8) en el directorio My Backup4all que se encuentra en lo carpeta

Mis Documentos.

)

Lo mismo herramienta, Backupal14Professional, nos permite realizar copias de seguridad incrementales, como veremos en el siguiente coso práctico.

Actividades _ 4. Habitualmente los usuarios de o pie guardamos lo información bajo el directorio Mis Documentos. Os proponemos que realicéis uno copio de seguridad como pleta de dicho carpeta en un disco extraíble.


Seguridad pasiva. Recuperación de datas

¡q Para

comprobar el

funciona~

miento de la copia de seguridad diferencial es conveniente que modifiquéis la información alma~ cenada en el directorio donde vamos a realizar la nueva copia

diferencial.

Caso flráctico 2

Crear copio de seguridad diferencial para salvaguardar los archivos que se han creado o actualizado desde la última copia de seguridad completa realizada Poro realizar esta actividad, vamos a utilizar la misma aplicación que en el caso práctico anterior, Backupall4Professional.

1. En el caso práctico anterior, realizamos la copia de seguridad completa del directorio «Seguridad Informática» que guardamos con el nombre Copia_Seguridad (Fig. 3.10).

-

.. _-,- -..

,

Im~Kl.. o"

l>dh"..........

I""'~

1i:U>.=

l.~

... _

_ ..... ' n ....

....... - -

Fig. 3.10. Información de las copias de seguridad.

2. Paro hacer la copia diferencial de la copia realizada en el caso práctico anterior, debemos seleccionar la copia de seguridad realizada anteriormente, denoO minada «Copia_seguridad».

3. Hacer dic sobre el icono Properties

' ,,,mio

(Propiedades).

4. En la nueva ventana, modificaremos el tipo de copia seleccionando diferencial (dentro de Type, seleccionamos DifferentiaJ). Con ello, conseguiremos que se guarden los ficheros nuevos y aquellos que hayan sido modificados desde que se realizó la copia completa del directorio. Por último hocemos dic en Save and run (Guardar y ejecutar).

G~.'~I

~-~"

\.1

i.=l ~..rtI d"""

I

E.<: . rn, 1hMd d,....

I

CD.

~ Actividades 5. Anteriormente hemos realizado una copio completa del directorio Mis Documentos. Debido a que constantemente estamos actualizando los documentos ya creados o bien creando

I

ovo cr E~fOV

I

~m"",,~I.

I

Il tI",,,,k

I

FTl' .. "",r

I

So"rn.

I

......

1.CJ;i' ~_

....

I

R) I 'h.cI;flctl11li.I""o<l'

so

D W'h.clill,,01\l;.I .. , ....

!;¡¡

-

i6

I!

P, ........

I

:,'

d- ,. 01 htI ~.tkup '''' ~~

I

nuevos documentos¡ os pro~

ponemos que realicéis una copia de seguridad diferencial de dicha corpeta.

In,atl>~

keful ~

'Fig. 3.11. Definición de la copia diferencial.

,:'


Seg uridad pasiva . Recuperación de datas

3

Una buena solución sería automatizar este proceso para que la copia de seguridad se haga siempre a partir de una determinada hora.

Caso F!ráctico 3

9

Programar la realización de uno copio incremental todos días o los 22:00 horas En esta práctica vamos a programar una copia de seguridad del tipo incremental para que se realice de manera automática todos los días a las 22:00.

1. Abrimos la aplicación Backupal14 Professional y hacemos elic en Nuevo. 2. En la nueva pantalla hacemos elic en Advanced mode (Modo avanzado, Fig. 3.12).

l l amo your b<1ckup

Wh cro do you w<1nllo !)<1VO your b<1ckup? (il. ,,1

f ol~. c.

Fig. 3.12. Cuadro de diálogo de la nueva copia de seguridad.

3. En el panel izquierdo de la nueva pantalla hacemos clic sobre General. En el panel derecho escribimos el nombre de la copia, en nuestro caso Copia_incremental, y rellenamos el campo de descripción. El resto de los campos los dejamos como estaban.

Ph ""~"'''''''"''''I''>

"

<1>.DI'tI., .o.-"..

....,•

. . ...... t>o

""""

t .. ~.

1"""

j "'''....., i

.... ""' ...

Fig. 3.13. Pestaña General de la copia de seguridad.

4. En el panel izquierdo hocemos elic en Destination (Destino) y elegimos el soporte donde vamos a guardar la copia de seguridad. En nuestro caso vamos a seleccionar un disco duro externo. Inmediatamente después de realizar la nueva elección podemos observar cómo la bola verde, que anteriormente estaba situada junto a Local hard drive, ha cambiado de posición situándose al lado de External hard drive (Disco duro externo). Hacemos elic en el panel izquierdo sobre External hard drive, y elegimos el disco a utilizar haciendo elic en la pestaña para ver los disponibles. Hacemos elic en Browse (Explorar) para especificar la carpeta donde queremos guardar la nueva copia.

57


Segurid ad pasi va. Recuperació n de dolos

q

J

Casa práctico 3

I

(Continuación)

5. En el panel izquierdo hacemos clic sobre Sources (Fuente u origen) para definir qué datas queremos guardar en la copia de seguridad. Hacemos clic en Add folder (añadir carpeta) en el caso de querer añadir un directorio, o en Add file (Añadir fichero) para añadir archivos. Posteriormente buscamos la carpeta/s y/o fichero/s. I O ~·t.< ..... , , -,

,I:~~:::.::,. ~-Lá¡~1 '~""~.~~ -§'~.~~-~'~~~~~===~:J CO. !Ml.,.t.... <IJ

"''''''''''1.

=

~~'*-;~I ..... ~.~ f....r""'..

~

_. .

SeIea Itle fcIder to be &ddell In Itle SDU'=crbWul:

I

• 'il L:l I;o\u...,v.n...

Mis equipos '<irtuales My BIC~U¡>,bll r, ¡!j My Hcfmann ~ ] Ilrc gramll ~ J.. pUrllo r. ] SEGURlDADINFORMÁTICA ~

JJ

~.

,.

,~

M ...

.

J.l

::1

~..,,_

lOa

n • .."...,

1

L..!U

Brome Fer Fcld~r

"

,.!."

CMp:1ZI:

L. TElOE

I

m

e ,

-

SEGlRlDAO ll'a:oRMÁllCA

Ic.ur rueva I3J)eIZl I

~I~I

Fig. 3.15. Explorando.

Fig. 3 . 14 . Definición de la información a copiar.

6. En el panel izquierdo hacemos clic en Type (tipo) para determinar el tipo de copia que queremos realizar. En nuestro casa seleccionamos incremental.

lD<ol h. nl ~, .....

1.1

bl.m.1h.,~ Il).

<!t~

ovo '" ~1"'"1

R.movelll.

1I.",,,,,t

~ ~Ih<<I<f ..... ~"l.upl¡p<:

N _ (l Di/f.. "",.1 ",' In""""""

FfP ..... "

O ~ ... IimiI"....,h..

r:fr.le._

t:l V.... limó n""'b .. r:ft"kup

'"' 11.1

l.,C'.m,o'ol

I ¡

Io\;/ro,

,

·c, " :

Com~ , • .,.on

M;.nad

IL~ ~~' Fig. 3 . 16. Definición del lipo de copia a realizar.

7. Como vamos a guardar la copia de seguridad en un disco dura externo, a priori sin protección en el acceso a los datos, vamos a intentar asegurar la copia contra intrusos, cifrándola (concepto que veremos en profundidad en la siguiente unidad). El cifrado permitirá ocultar la información a personas ajenas. Cifraremos la unidad mediante el algoritmo AES (128 bits). A continuación escribimos la clave para cifrar. Esta contraseña debe ser de al menos 8 caracteres, y debe estar formada tanto por números como por letras en mayúsculas y minúsculas (Figs. 3.18 y 3.19). (Continúo)


Segurida d pa siva. Recuperación de datos

_ _~_ _ _ _ _ _ _ _ _ _ _ _ _ _ _-=C:::a::s;:; a..!:p'::.ra :::; · ctico

3

3

9

(Continuociónl 0' .... __ --...0 · ...... ,-.....

l~

Se:t password

'r=~--~---=~=----

I

EntEr cid pasEwc rd: D ....., ... , ' ..... ~ .." ..... .. "' .. , .. ,... D Lh .......... ,'.-. ..... .

._.

1 ' : : . ,' : "

Enter new eassword:

... ,,, ...,,......

~

•••••••••

.~

.,......,."",,

l'

::::=~~, ~ .

....... , ""',.. _ ...... '. ,• ...... ~~~ .. - , .... .... "" ... '.. ' ~ ,_......

1

.... ... _

Confirm new password:

l·········

~,

[j Show pllssword

·1

OK

1 1 C.""I

CE:JC§!J

Fig. 3. 17. Comprimir y cifrar copio.

Fig. 3.18 . Contraseño.

8. Progromamas la copia haciendo clic sobre Scheduler (Planificadorl. Hacemos clic en Add (Añadir). En la nueva ventana definimos el tipo de copia, el usuario y la clave del mismo,

:::::::::.. Ii•:;:.: -. ,,"'c,

C...-.:=

lo'

, '¡ •• -

1·::! ;::::-

1I 11

""'",,===3

~ ""u, 1"" !!:."'"..".., 1:10,,, ,,,,,,,01,,, ,,,,

~

.1

c ¡"" C T.~

..:::::::::"_._ ......-

b --.y l ~~:~.~_~-~ . ,,~'-'Fig. 3.19. Programador.

Fig. 3.20. Propiedades de lo programación,

9. Posteriormente se abre una nueva ventana en el que especificamos la periodicidad y la hora en la que se realizará la copia. En nuestro caso definimos que se realice todos los días a las 22.00 horas. . , ¡:¡

~ Alas llOO rwamen!e,comenW\doel l 1110/2009

Prcgramar t!<u:

H::nI d~ n.:i:I :

I ~~ ~ ~.___ ~ .. I 22.00

¡;j

I AVIMlla:lu u. I

I'regz:nMla ta.-ea a.u..!:tlenl e

Cada ~ d¡a(l)

Fig. 3.21. Definición de lo hora y periodicidad de la capia.

59


Seguridad pasiva . Recuperación de dolos

Como es lógico, lo herramienta nos permite, en caso de pérdida de datos, recuperar la información a partir de las copias de respaldo realizadas. Veamos un ejemplo en el siguiente caso próctico.

Q

Caso p'ráctico 4

Restaurar copia de seguridad para recuperar los dalas perdidos En esta próctica vamos a intentar recuperar los datos que guardamos en la copia de seguridad incremental realizada anteriormente con la aplicación Backup4all Professional. lo Hacemos elic sobre el ic ano

I,,¿ 1

para restaurar la copia.

20 En la nueva ventana defi nimos dónde queremos que se restaure la copia . En el caso de querer que se re staure en la misma ubicación, dejamos la opción por defecto, Use original loe alion; en caso contrario, marcamos la segunda opción, Choose another localion (Elegir otra ubicación). 30 Elegimas la que querem os restaurar entre las distintas opciones: restaurar las últimas versiones de tod os los ficheras, seleccionar los ficheros y restaurar la última versión de los mis mas, filtrar los ficheros y restaurar la última versión .. . En nuestro caso selecciona mas la primera opción, Restaurar las últimas versiones de todos los ficheros, y hacemos elic en Finish. O CC¡::;'.i~I · Rnlc,..W••• Whoro do you

Wiln 110 ros loro?

~u .... ~n.g;., .II"totic:n

o Chceu oncth.. lcuúon o D~ no' " .... d,c.o 1,

CC=========:=JI@

How do you wanll o rasloro? 'I!' l'.fit=th. t'I«t ""';"n O P.clcrc.H rol ....... O Chcc .... r~n."d tule,. \h. 1.1001 VftUcn e Che~dfo/l .. ro/n. nd' etc,,\ho l.otet ""';cn

() Chcc.dfoll .. r,rn ond, ..u;' .lnyvtnicn

El Rmcn: oc.Iudod ond del cttdrda D p....¡ .... rd..... "'. md d ..c.rd

- O-

tic......

Fig. 3.22. Cambia ndo las propiedades de una copia. 40 Como la copia incremen tal se había cifrado para protegerla de posibles intrusos, debemos introducir Ia elave. Ent~ r

Password

Enter pi!lssword for bIckup number 2 (fiI~ -C:\ Users\Ani!l\ Documl!nts\S.. AD INFORMÁl1CA\ tl!lT1a3\ tl!lTl

•••••••••

I Figo30230Clave de ciFrado.

~ Actividades 60 Restaura las copias de seguridad creadas en las Actividades 4 y 5 .


Seguridad pasiva. Recuperación de dolos

3

3.2. Copia de seguridad de datos en Linux

Hay muchas aplicaciones sobre Linux que nas permiten realizar copias de seguridad, desde las más básicas cama dump y restare hasta herramientas más avanzadas cama duplicity. En el siguiente caso práctico vamos a aprender a manejar dicha herramienta. Casa práctico 5 Crear copias de seguridad y restauración de las mismas con la herramienta duplicity en GNU/Linux 3. Cifra la información utilizando el archiconocido programa GnuPG.

Duplicity es un software libre que se utiliza en las distribuciones GNU/Linux para realizar copias de seguridad. Sus características principales son las siguientes:

4. Se utiliza mediante el uso de comandos, de modo que es muy sencillo realizar scripts para automatizar tareas.

1. Puede guardar la copia en un servidar FTP. Sugerimos

Antes de poder utilizarlo para realizar copias de seguridad y guardarlas en un servidor FTP necesitamos instalarlo, ya sea mediante el uso los comandos para instalar software de nuestra distribución, ya mediante el uso de alguna aplicación grófica como el Gestar de paquetes de Synaptic IFig. 3.24).

la aplicación quick and easy Ftp server, por ser muy sencila su configuración . 2. Comprime las copias para ocupar menos espacio y consumir un menor ancho de banda.

,

"',.

p' : 6rChivo fditar faqulte t.onnguración Al'-I da

1m

~

Recargar Marcar todas 111 actualizaciones

"

<P Aplicar

=

! :-

~ prop~ades ! Buscar - .¡versión instalad..

Todo

E

Paquete

duplicity

O

baclr;upninja

0.9.5· 2

fOJ

dupicity

0.4.10

!' I

ultima

I

¡I )

encrypted bandwldlh--efflcJent backup

1'1

i . 1 Duplicity backs directori u by producing encf)'Pted tar·formal

I

volumes

I I

S.eccianes

I I I

Origen

fstado

[íbos pef'5ooahados Besukadol da bú. queda

I and uploading them lo a remote or local file server. Because I dupWcity uses librsync. the incremental archives are space effici!nt I and onty record the parts of files tha! h....,. changed since the last I badrup. I Because duplicityUll1 GnuPG to encl)1ll and/or sign thuI ;¡¡rchives. they

.

¡2 pilquetes lisIados. 1122 Instalados. o rot05. 3 para inltalarfatlualizar. O para eliminar; se uSBrin 1

Fig. 3.24. Geslor Synaplic.

Es posible que nuestra distribución no tenga instalado el paquete G nuPG, en cuyo caso también tendríamos que instalar el paquete correspondiente. Una vez realizado todos los pasos anteriores, y por supuesto teniendo acceso a un servidor FTP, estamos en disposición de realizar copias de seguridad cifradas y comprimidas que se guardarán en el servidor remoto.

En esta práctica vamos a cifrar una carpeta de nombre '<recetas», que se encuentra en el escritorio del usuario Macarena. Para ello abriremos un Terminal y ejecutamos el comando que muestra la Figura 3.25. Como podemos observar, haremos una copia de la carpeta en un servidar FTP de nombre ftp.sitour.com, utilizando la cuenta que allí tendrá el usuario Macarena. Tras la o

~rchivo

Editar Y'er Terminal

~olapas

rw

AlUda

macarena@jupiter:-$ duplicity --short-filena.es Escritorio/recetas/ ftp://.acarena@ftp.sitour.com

Fig. 3.25. Comando duplicity. (Continúa)


~/3 q

Seguridad pasiva . Recuperación de datas

----

Caso práctico 5

(Continuación) ejecución del comando se nos pide que introduzcamos dos claves: la primera, la del usuaria Macarena en el servidor FTP, y la segunda, la que utilizará GnuPG para el cifrado de la informacián. ¡¡d~ ar

6rChiva

~.r

En nuestro caso hemos introd ucido «patata» e «i nesqueguapaes» (Fig. 3.26). A cantinuacián se nas muestro infarmacián sobre el resultada.

~d/l

rl rmlna! .solape.

.. c... nl@jupiter,·t i~p\idt~ · · 'hoH-Ht ,,, .. u !se.itado/recelosl ftp :// .. c.r.nl~ftp.,it.ur . c .. PIo~"""rd for 'ftp,sitour.ul' : GnuP<l plnph'UI : Relrp. tu contir.,

Fig. 3.26.

(n traducción

~..

C/u ""'"

lt'I'

J''''''''''''

de contraseñas.

~u.......

T

UI

'K••• nlpj""i~uplldt' · ·' .... n · lit"" ..., I!n ti to d. ./n cltl . ' flp " I ..c.r .... ~lIp . lito .. r . co. PIo ...... ,d fo. ' f1., . • ilour. u . ' , GnuIPG p.u .. II.... : Ro-1JPo lO confi .. , 'ID .ivnl'tu ... f"""d. Mulli", u fuU lote1up,

··-----------·1 Bukup 5ulinlu l · ···· ··· · ·····

,Ito"

5nnTi .. 1255337972 . !>1 Oct 1] lO:~ : S2 200!1I EndTi .. ~n . S5 tito .. Oct 11 IO:U, S:Z lOO'J ) ,.dTi .. 0.04 10 . D4 UCOncll)

a, ..

Sou retFilu , So'I rccFihSh. 16-410 11S .1 d)

lb1'ilu , /CIof'ih5iz. 1~ 116.1 IlDI

o.htedFU u o o. lnv.~FU.1

o

o.ln g.~FU .5iz. o. lng.~OoltI5h.

o 10 by tu l o 10 byt .. l

OoHIEntri .. 6 ~ltlSiZl 78 178 byt .. l TotolOortin.tionSiz.Chlng.

s.-~

(5-1, b,t nl

Errors o

Fig. 3.27. Información del resultado de ejecutar el comando duplicity.

La primera vez que utilizamos duplicity para realizar el backup de una carpeta la aplicación genera una copia de seguridad completa . A partir de ese momento, las copias de seg uridad sobre dicha carpeta serán de tipo incremen-

tal, es decir; se copiarán únicamente los archivos nuevos a modificadas desde que se hizo la copia anterior. Se puede forzar en cualquier momento la realizacián de la copia completa añadiendo el modificador «full» (Fig . 3.28).

•• , ...... ""' .....J .. ..... .

6rthivo

Ed~ ar

~r

I. rminal

s.a l~pu

~da

.. cl r.n.@ju~il. r ' .' cIu~licll, ,.,11 .. • Ioort - U h n.. u EI<r1urio,rlcdal' ft~"I ..nr.l\ltftp.sitour.co ..

Fig. 3.28. Copia de seguridad completa con duplici ty _

Si la que queremos es restaurar la copia de seguridad tendrem os que ejecutar el comando que muestra la Figura 3.29.

Si quisiéramos reponer un unlco fichero, par ejemplo el fichero paella de la carpeta «españolas», en el directorio del que hemos hecha la copia de seguridad «recetas», tendríamos que ejecutar un comanda cama el de la Figura 3.30.

e,rthivo Editar ~r Jem'lfl aJ s.olapas ~a n Clr.n.@jupit"r , ., dul'ticity • ·,hut · filen .." ftl" /f .. c ... nl,ltp . 5;,0 .. r .ce l ElcriteriD/ rccctu/ nc ... na@jupitor:., •

Fig. 3.29. Reslaurar copia de seguridad con duplicity

Fig. 3.30. Res/aurar un lichera de la copia de seguridad.

Cama vemos hemos utilizado el modificador - -fileto-restore, que toma tres argumentas: el primero, el fiche ra que queremos restaurar; el segunda, el lugar donde

se encuentra la copia de seguridad; y el tercera, el lugar en el cual la vamos a re staurar. )


,

3~I

_________________________S_e~g~u_ri_d_o_ d ~p_o_si_vo_._R_e_c_u~ pe_r_o_c_ ió_n_d_e_d_o_IO_S_______

4. Modos de recuperación frente a pérdidas en el sistema operativo A lo largo de lo unidad hemos estudiado los distintos formas de recuperar lo información (correos electrónicos, documentos de Word, Excel, bases de datos) perdida o causa de algún desastre. Al igual que los datos, el sistema operativo falla o funciona de manera imprevisible debido a alguna actualización incorrecta o al insertar una nueva aplicación, un nuevo controlador poro algún dispositivo, etc. Al igual que realizamos copias de seguridad de los datos, debemos realizar otras del sistema operotivo, para así restablecer su correcto funcionamiento lo más rápidamente posible y evitar la instalacián del mismo desde cero (esta última es la opción más drástico y la que más tiempo consumiría). En el caso de los sistemas operativos de la familia Microsoft podremos intentar restaurar el sistema del equipo al estado en el que se encontraba antes de realizar la acción que produjo la avería en el mismo. La restauración permite devolver los archivos del sistema a un momento anterior. Pero paro ello debemos crear y guardar puntos de restauración. El sistema operativo Windows Vista ofrece la posibilidad de guardar puntos de restauración de manera automático, para lo cual deberemos tener activada la prateccián del sistema. Coso práctico

6

9

Activar la protección del sistema en Windows Vista para que cree puntos de restauración automáticamente En esto práctica vamos o activar lo protección del sistema en Windows Vista para que sea el propio sistema operativo el que se encargue de generar puntos de restauración de forma automática. Gracias a dichos puntos de restauración podremos recuperar el sistema operativo en caso de fallo.

1. Abre el Panel de control.

2_ Hoz clic en Sistema. 3. En el panel izquierdo hoz clic en Protección del sistema.

4_ Selecciono lo casilla de verificación que aparece al lado del disco en el que quieras activar la protección automático, hoz clic en Aplicar y posteriormente en Aceptar. uu

Prcpiod.od .. d~ ;;,1=\.0 ,- ~ ....... n .......

-..-

I'r.::IIC:I6n 001 Il0l .....

t; :::...~:;o=~~~~= Re.taI. <111 ........ G)u:!a. rr.t .... Io • .-cI'rm a"'¡""", deI_niy c:m> etI ............

I FlalanrOlll....._ I

~Olft ........

--

Mc.dom:loo..rr.ó1l1JomiICa Cnt.FUtcsdo_~..c~.endoccs..,¡~·

>--, 0"" '""~.~~- .." .

El J. W"RE

O ",\Io:!a':·)~1

P. . .,.•

~

'''''"'

O!l11l!2!1C!902!D5

..,lU1:>do_~ . ~ ÓOI;luH ht;a de ... ~

_ _ '" ó=I J

do mtan<:ic!n _

1 ""' ,

.....".-. . ..,....

1-1 1"""'" 1 ~

Fig. 3.31. Prolección del sislemo.

Fig. 3.32. Activación de lo protección del sistema.

):

Restaurar el sistema no funciona si se utilizan discos inferiores a 1 GB.

'.

- . Impor:tant!'

1" \ •

En el caso de guardar punlos de restauración de manera automática debemos tener al menos

300MB de espacio disponible. Restaurar sistema puede llegar a ocupar hasla el 15 % del espacio de disco.


Seguridad pasiva. Recuperación de dalos

~ Actividades 7. Crea un punto de restauración manualmente.

En el caso de tener activada la protección automática del sistema, este creará los puntos de restauración todos los días y justo antes de detectar el comienzo de lo realización de cambios en el equipo. En el coso de no tener activada lo pratección automática, debemos crear los puntos de restauración manualmente, cuando pensemos que alguna de los acciones que vayamos o realizar (instalación de actualizaciones, instalación de cantraladares de nuevos dispositivos, etc.) pueda dejar al sistema operativo en un estado inestable. Q

caso

~rác tico

7

Crear punto d e restauración antes de una instalación de un cantrolador que puede dejar 01 siste ma operativo en un estado imprevisible Los puntos de restauración son creados por la restauración del sistema a intervalos específicos, cuando detecta el comienzo de la realización de cambios en el equipo o bien cuand o de manera manual se lo solicitamos. Para crear un punto de restauración manualmente debemos realizar los siguientes pasos:

1. Abrimos eI Panel de control.

2. Hacemos dic en Sistema. 3_ En el pan el izquierdo, hocemos dic sobre Protección del sistema. 4_ En la pesta ño Protección de l sistema hocemos dic sobre Crear (Fig. 3.33 ). 5_ Ponemos un nombre 01 punto de restau ración indica ndo el momento en el que se crea . En nuestra coso, «Antes de instalar tarjeta Wi-Fi» y hocemos d ic en Crear. (Fig . 3.35)

6_ Empiezo el proceso de creación del punto de restauración. Una vez creado el punto de restauración, podemos proceder a instalar la tarjeta Wi-Fi con lo seguridad de que si el proceso dejase 01 sistema operativo en un estado inestable, podríamos recuperarlo utilizando el punto de restauración creado anteriormente. PrcpOnlode,,,",w

,-

--~ d. '"..... ::..!n ~. . .s......... ~cr.bo en ....0l'Il . ,r.l!1.n!~ ~.- ."" :n a "!!, ' . ~ ......; lÍi ~~"::pone.

.

.....-.

Protección de l sistema

UU

Crea r un punto de restauración ~

Escriba U'I.!I desoipd6n para ayud&r a ~~b el pu11D de restallaOÓll. La fedla y hora adIJ~es se &Qre;6n '1I1Dm1tic.1mente.

..... ""..,.. .

-

d."" ..... d..

¡uto""-"""

I

Antes de iUWu tarjeta Will

I\n.ll a..rt ......

o..p.rI.. .s.rt

....

1I1

~ J, Wn"E 0E:. \.\Iuf;)(

'-

I "'M II ""'"'" I I ~I 1I

-

-

Fig. 3.34. Nombre de punID de restauración,

~ ..... oII<n

I::. c!oc=.

Fig. 3.33.

erear punto de restauración. Protección del sistema Creando un punto de restauradón. "

Fig. 3.35. Creando punto de restauración.


3~I

___________________________S_e~g_u_ri_d_a_d~p_a_s_iv_a_._R_e_cu~p_e_r_a_ci_ó_n_d_e__d_at_o_s_______

Cuando creamos puntos de restauración mediante la herramienta Restaurar sistema se guarda información del estado del sistema en el directorio X:\System Volume Information, donde X es la unidad en la que se encuentra instalado el sistema operativo (por lo general C). Esta información es una «instantónem> del estado del sistema, de su registro y de las aplicaciones y controladores instalados. La restauración a un punto anterior solo afecta a la configuración de los archivos del sistema, programas, orchivos ejecutables y el registro; no afecta a los documentos personales, par lo que con dicha operación na podemos intentar recuperar un archivo que hayamos eliminado. Caso práctico 8

9

Restaurar el sistema a un punto anterior creado para recuperar el correcto funcionamiento del sistemo operotivo

Supongamos que después de la instalación del controlador de lo nueva tarjeta Wi-Fi, el sistema operativo ha empezado a fallor. Gracias a que habíamos creado un punto de restauración antes de la instalación previendo el posible percance, podemos recuperar el correcto funcionamiento del sistema, restituyéndolo a su estado anterior a la instalación del controlador.

3. Se abre una nueva ventana en la que elegimos el punto de restauración, «Antes de instalar tarjeta wifÍ». Hacemos clic en Siguiente.

4. En la siguiente ventana nos pide confirmación de la restauración del sistema al punto seleccionado.

5. Se abre un nuevo aviso en el que nos informa de que no podremos interrumpir la operación de restauración. Hacemos clic en Sí y empieza el proceso de restauración.

1. Hacemos clic en Inicio, posteriormente clic en Herra-

mientas de sistema y por último en Restaurar sistema.

Una vez finalizado el proceso de restauración el sistema funcionará con normalidad. Se habrá desinstalado el controlador de la tarjeta Wi-Fi, pero no se perderá ninguno de los documentos posteriores a la creación del punto de restauración.

2. Se abre una nueva ventana, Restaurar archivos y configuración del sistema, en la que hacemos clic en Siguiente para restaurar el sistema.

Elegir un punto de restaunldón

Restaurar archivos y configuración del sistema

RestaLlMs.'stema noam!:i4rA ni e!:m:rarj ~ dOQmll!!1to y el proce:s.o es re~e.

Restlurlr SiStema puede ' yu:W a r~'er m II'QbIcmu que ¡)UecW1 p-ovoar que el e:;uitXI se ejea...te CD!Ile!1 clUd Q deJe de responder.

I1a9I de; en el p.,nto de restlur.OÓI'I que d~e L!SIII" y depul!:s haga óc: en sou;enll!. l e';"'" . ~ ~!!J~ !In Mio de 'Mt", .."c'_-\n?

Feala yhora

1-

Ol/1Df20090:2Il:::.5

I

CanczIar

I

----------=!!!!!~~'f

,~u rar siste m a

Un. ve:.:: iniciado, no H posib le interrumpir RUbur, r sirtema y no se pueden deshacer los cambios harta que se haya completado. ¿Está seguro de que duea continuar?

' l

11

No

SiS~:~

Preparándose para restaurar : 1 1

Fig. 3.38. Menso;e de aviso.

11 Sg.ier¡tIl > I

Fig. 3.37. Elección del punto de restauración.

Fig. 3.36. Pantalla inicial Restaurar sistema.

SI

< "'trb

Fig. 3.39. Restaurando el sistema.

,


y 3

Seguridad pasiva. Recuperación de datas

~~~~~~~~~~~~~~~~~~~--

q

Caso p'ráctico 9

Eliminar en Windows Vista los puntos de restauración más antiguos y dejar los más recientes En numerosos ocasiones hemos oído hablar de lo mucho que ocupa este sistema operativo. Gran parte del tamaño se debe a que incluye mucha información en los puntos de restauración (versiones anteriores e instantáneas). Como comentamos, los puntos de restauración pueden llegar a consumir el quince por ciento de la memoria del disco duro. Mediante el liberador de espacio en disco podemos eliminar todos los puntos de restauración excepto los más Opciones del Libeflldor de eSp'acio en d¡ICo ~

l -Jo

recientes. Antes de proceder, anotad el espacio disponible en disco.

1. Hacemos dic en el botón de Inicio de Windows Vista, Todos los programas, Accesorios, Herramientas del sistema y a continuación en Liberador de espacio en disco.

liberador de espacio en disco: sele<ción de uní ...

Elija los archivos que desea considerar para liberar espacio.

LJ!..J

Seleccione la unidad en donde deselllibe~ espacio. Unidades:

Sól~ mis archivos- -

,~ "

,:

~ Archivos de todos los usuarios en este equipo

Fig. 3.40. Opciones del Liberador de espacio en disco.

2. En el cuadro de diálogo Opciones del Liberador de espacio en disco, nos pregunta si al liberar espacio en disco queremos liberarlo solo de nuestras archivos o de todos los usuarios del equipo. Hacemos dic sobre Archivos de todos los usuarios en este equipo (Fig. 3.40). .-::. libf:rtdllf lit t11',cill en dl"o ~ ,. ViiI. ("1

I

Aceplor

Fig, 3.41. Selección de la unidad.

3. Seleccionamos la unidad donde queremos liberar espacio, en nuestro caso C: (Fig. 3.41). 4. En el nuevo cuadro de diálogo aparecen dos pestañas. Hacemos dic sobre la pestaña Más opciones (Fig. 3.42).

""'" I

~'yQl1l;ltfÍI!i:U

~

~Lb:'''''''tl¡)aooenda::ollq..d. b'~

I

lbera"_

I !,jDer~ a~ ~$pacio en d¡j§" --,

PcóiltttltmUes¡lIlác..,~liqAI1~11os pu'IIOI ~. "'lIa.n.c!o1. e:c:ef:I~ el /JIU ",cieo1e. En~¡;u'II1

Wcicr\t.de Wn:1lWl 'mI.o,eld:s<:e poóo¡,

in;loir l"ISIardnell ~ I!It:tIvcI e ~gonel ~I do

Ú'ipil1 de ~d de WI'ld:lYl1 Ccn1*Ie PC= plrtl! ele los lUltos de mlautloM . Esta rlcmuta:!n ~ te

¿Confirma que desea eliminar todo menos el punto de restauración más reciente?

t!tMInI .

I

lbmr_.

I

Si tiene varios puntos de r~auraci6n guardados, podría ya no nec!Sitar los mas antiguos. Si 105 eliminll, ahorrara espacio en disco.

I Fig. 3.42. Eliminar punto de restauración.

5. En Restaurar sistema e instantáneas, hacemos dic en el botón Liberar. A continuación se muestra un mensaje de aviso en el que nos informa que si tenemos varios puntos de restauración antiguos, podríamos no necesitarlos, de tal manera que si los eliminamos ganaríamos espacio en el disco. Hacemos dic en Eliminar (Fig. 3.43).

56

Eliminar

1I

(ancflar

I

Fig. 3.43. Mensaje de aviso.

6. Volvemos a la ventana anterior. Pulsamos en Aceptar y se nos abre un nuevo aviso informándonos de que dichos archivos se borrarán permanentemente. Hacemos dic en Eliminar archivos. Si comparamos el espacio ocupado en el disco antes y después de ejecutar los pasas anteriores, se puede apreciar que aumenta el espacio disponible después de eliminar los puntos de restauración antiguos.


Seguridad pasiva . Recuperación de datos

En el casa práctico ocho se pudo recuperar el sistema, pero hay ocasiones en la que la restauración del sistema no puede realizarse, bien porque no se hayan creado puntos de restauración o bien porque el sistema se encuentre demasiado degradado. En el caso de que no podamos iniciar Windows, pero sí se haya iniciado correctamente la última vez que se encendió el equipo, podremos utilizar como inicio la última configuración válida conocida. Cada vez que apagamos el arde nadar y el sistema operativo, Windows, se cierra correctamente, la configuración del sistema se guarda en el registro. Veamos en el siguiente caso práctico cómo podemos arrancar el sistema operativo con dicha opción.

Casa p'ráctico 10

9

Arrancar el equipo con la última configuración válida conocida

1. Hacemos clic en el botón de Inicio

, en la flecha situada junto al botón

Bloquear ya continuación en Reiniciar.

2. En el caso de que el equipo solo tenga un sistema operativo, al arrancar presionaremos la tecla de función F8. En caso de que el ordenador tenga más d e un sistema operativo instalado deberemos elegir el sistema operativo a arrancar y posteriormente la tecla F8.

3. En la nueva pantalla se muestran las opciones de arranque avanzadas. Debe-

I

4

mos seleccionar la opción La última configuración válida conocida, ya continuacián presionamos la tecla Entrar. Posteriormente el sistema operativo arrancará con normalidad.

En el caso en el que la última configuración válida no hubiese corregido el mal funcionamiento del sistema operativo intentaríamos restaurar el sistema desde el símbolo del sistema. Reiniciamos el equipo en modo segura con símbolo de sistema (es decir, el sistema operativo se arranca con un conjunto limitado de archivos y controladores, y se inicia Windows con una ventana de símbolo de sistema en lugar de la clásica interfaz del sistema). En la ventana de símbolo de sistema escribimos rstrui.exe; presionamos Entrar. En caso de que no pudiésemos iniciar el equipo con las opciones anteriores podemos probar con la Reparación de inicio de Windows. La Reparación de inicio es una herramienta de recuperación de Windows que permite solucionar algunos problemas, como la falta de archivos del sistema o bien archivos corruptos del mismo. Cuando ejecutamos dicha opción el sistema examina el equipo en busca del problema e intenta corregirlo. Para poner en práctica dicha opción debemos seguir los siguientes pasos:

1. Reiniciar el equipo. 2. Presionar la tecla F8 al arrancar el sistema operativo para acceder al menú de Opciones de inicio avanzadas.

3. Seleccionar la primera opción Reparar equipo y a continuación presionar la tecla Entrar. 4. Seleccionar la distribución del teclado y presionar Entrar.

5. Seleccionar el nombre de usuario y contraseña. 6. En el menÚ de opciones de recuperación del sistema hacer clic en Reparación de Inicio.

3


~3

Seguridad pasiva. Recuperación de datos

~ Caso práctico 11 Recuperación automótica del sistema en Windows XP Hay ocasiones en la que la restauración del sistema na se puede realizar pues este está tan degradado que no podemos arrancarlo ni siquiera en modo a prueba de errares; si nos hemos aplicado el refrán de hombre prevenido vale por dos, habremos realizado una copia de seguridad del mismo, ya sea mediante el uso de imágenes que más tarde describiremos, o mediante el método que aquí tratamos, conocido como ASR (Automated System Recovery). Para realizar una copia de seguridad del sistema utilizando ASR vamos a necesitar un medio en el cual guardar la copia, y un disquete que contendrá la información sobre el sistema.

1. Ejecutamos la herramienta de algunos sistemas de Microsoft conocida como utilidad de copia de seguridad, bien ejecutando la orden ntbackup en la consola de Ms Dos, bien a través del menú Inicio> Programas > Accesorios> Herramientas del sistema y por último Copia de seguridad (Fig. 3.44). Si no obtenemos una ventana como la que muestra la Figura 3.44 es porque se nos habrá iniciado la aplicación en modo asistente, y tendremos que hacer click en el enlace de modo avanzado para que aparezca la ventana mencionada. 2. Pulsamos el botón Asistente para recuperaclon automática del sistema. La aplicación muestra una nueva ventana que nos avisa de algo muy importante: si queremos hacer una copia de seguridad de nuestros datos debemos usar algún otro método, pues ASR no

I

BienwridD Copiadt~l ResIu'.y.tnirWtJ.1IIIIÓOI1 F'IqJ_lrabaPs

nos guardará los datos que estén en una partición distinta a la que contiene el sistema operativo. Pulsamos

Siguiente. 3. En la nueva ventana que nos muestra elegimos el medio en el que queremos guardar la copia y el nombre seleccionado para la misma. Pulsamos Siguiente y después Finalizar, tras lo que esta utilidad empezará a realizar la copia de respaldo de nuestro sistema. Al final del praceso nos pedirá que introduzcamos un disquete en blanco y formateado, que como se mencionó anteriormente utiliza para guardar ciertos datos. Por último guardaremos a buen recaudo el archivo que contiene la copia de respaldo de nuestra sistema y el disquete, para cuando los necesitemos. En caso de necesitar restaurar el sistema operativo a partir del archivo creado anteriormente, deberemos seguir los siguientes pasos:

1. Arrancamos el ordenador utilizando el CD original que contiene el sistema operativo, estando atentos a los primeros momentos de la instalación, en los que se nos avisará en la parte inferior de la pantalla de pulsar F2 (Fig. 3.45). Seguiremos los pasos que este proceso nos solicite, como introducir el disquete que creamos o comunicarle cuál es el fichera que contiene la copia del sistema. Cuando finalicemos el proceso tendremos el PC con la misma configuración y el mismo estado que cuando realizamos la copia de seguridad.

I

Utilidad de copia de seguridad en modo avanzado

......

Sibpre/ieo. ~C*JtiIr "~pa.us.-ccrfv,.-aciooes ~PIIJ.Ia~de ~ el

Fig. 3.44. Utilidad ntbackup.

Fig. 3.45. Pantalla inicio.


Seguridad pasiva . Recuperación de datos

3

5. Creación de imágenes del sistema

Hacer una copia de seguridad de los datos que tengamos en los equipos informóticos de la empresa de forma mós o menos regular es tarea obligatoria, si no queremos sufrir los quebraderos de cabeza que nos puede ocasionar la pérdida de los mismos. Aunque hacer una copia de seguridad del propio sistema no es tan importante o imprescindible como la copia de los datos, no es menos cierto que nos ahorrará mucho tiempo en caso de tener que reinstalarlo. Con el propásito de hacer copias de seguridad del sistema -y hacer así su reinstalación más cómoda, sencilla y en menos tiempo- existen aplicaciones como Symantec Ghost y Acronis True Image, entre otras. En el siguiente caso práctico aprenderemos a crear una copia de seguridad o imagen, como estas aplicaciones las llaman. La guardaremos en una partición oculta del mismo disco donde tengamos instalado el sistema, de modo que si más tarde necesitamos su restauracián, la haremos utilizando una utilidad que Acronis True Image instalará en nuestro disco.

Casa (lráctico 12

9

Creación de una imagen del disco en una partición oculto sobre el mismo para poder restaurar el sistema en caso de que en algún momento se quede en un estado inestable 1. Necesitamos el CD de inicio: para nuestro caso utilizamos un CD de inicio con la versión 10.0 de Acronis True Image Home.

2. Configuramos la BIOS del sistema con la opción de iniciar desde CD/DVD y después iniciamos el PC con el CD en su bandeja. Obtenemos una imagen como la siguiente: ,'!

Acpnlo Tru!llmu!lP Humll

_

TIIIII~

4

Weneg uAoonl1 Secu ' o Zon a

"Z

6C'_v o:oA:ton' l SI~!lUp RecoYl!ry Meneg ~ 1

~ Vahdele8~o,upAJth,.. iJ Show Lo!l

(!) Holp

Turn 0 " COn! ulel

¡nelude s drlVelS10/ USBjPC CeJd/SCSI hOId dll lts

I !~

lot:!!l Com utlr

Fig. 3.46. Pantalla inicial Acronis True Image.

Fig. 3.47. Pantalla principal Acronis True Image.

En caso de' querer iniciar desde el disco duro, seleccionamos la opción Windows. No es nuestro caso, en esta práctica elegiremos la primero opción, Acronis True Image Home (Fu" version), pues lo que queremos es iniciar esta aplicación para realizar la imagen de nuestro sistema. Tras esperar un par de minutos se nos muestra la pantalla principal de la aplicación (Fig. 3.47).

3. Creamos lo que esta herramienta llama una zona de seguridad de Acronis, que no es más que una partición oculta en nuestro disco duro que contiene el fichero de respaldo. Si quisiéramos podríamos guardar la copia en algún otro lugar como una carpeta compartida en red, un servidor de FTP u otro disco duro, incluyendo discos duros externos, pero para nuestra próctica hemos escogido guardarla en el propio disco duro del Pe. (Continúa)


~/3

Seguridad pasiva. Recuperación de datas

------~--~----~~-----------------------------

Q

Caso práctico 12

(Continuación)

La elección de esta opción, realizar la imagen en una partición creada en el propia disco, tiene la desventaja de ser una mala elección en casa de que se rompiese el disco; pero tiene lo ventaja de ser la elección mós útil en caso de que el disco duro no falle y sea el sistema el que lo haga. Para crear esta zona de seguridad elegimos la opción Manage Acronis Secure Zone de la pógina principal de la aplicación, obteniendo una ventana informativa. Le damos a Siguiente y mostraró una pantalla como esta (Fig. 3.49).

ahora la aplicación nos pide una contraseña para proteger la zona de seguridad de accesos indeseados (Fig. 3.50).

5. Rellenamos el farmulario y pulsamos Siguiente. 6. La herramienta nos da la oportunidad de activar Acronis Startup Recovery Manager en nuestro disco, una utilidad (en realidad es un gestor de orranque y la propia aplicación) que más tarde nos permitirá restaurar nuestro sistema sin necesitar de hacer uso del CD de inicio de Acronis. Nos avisa que va a sobrescribir el MBR (Master Boot Record) y que si tenemos algún gestor de arranque instalado, como pueden ser el LlLO o el GRUB de GNU/Linux, tengamos cuidado pues lo dejará inutilizado. En este caso elegimos instalar esta utilidad y pulsamos nuevamente Siguiente, llegando al último paso de esta parte. Aparece una nueva ventana informativa con las operaciones que la aplicación va a realizar. Leeremos atentamente por si nos hemos confundido y si estamos de acuerdo pulsamos el botón de Proceder (Proceed). Esperamos unos minutos, hasta que la operación de creación de la zona de seguridad concluya.

4. Elegimos la unidad de la cual Acronis va a robar un trozo para crear esta partición oculta o zona de seguridad. Seleccionamos en nuestro coso la partición C del primer disco, pues no tenemos más particiones ni discos. Pulsamos Siguiente. Obtenemos una pantalla que nos permite elegir el tamaño que tendrá esta zona de seguridad. Tras elegir el tamaño adecuado (en la partición tendrá que caber la imagen de nuestro sistema, que ocupará una determinada cantidad de giga bytes en función de las aplicaciones instaladas y datos que contenga), volvemos a pulsar Siguiente; ,,"n'l" ......

"0'. Su"",!,, 1n"n Wi,n¡~

CUI.'u AcIaN O!,.,ctI,,, ¡""u

~I

.

'"",t;nnO""'~""""""s.c.uZ_ u"'.J _""''""'~'''¡' r''''''''''' '''''

~I

~O" P~"b! 'O O"' '''''l ~'

Plu .. . , IIClIhI pricn. ID lIlb hllPIlC8 Jrcm. Th, <ha .." pOll.1'on. wilI b' 18';'l d ~ nl "'U"'Y1Il '11"'" Iha ' pIlC8ID Acmni. Slan 2cnl .

I 'o

Provida po.s5word and confirm it in the boxes below. Note that the password is ce.se-sensitive.

O Qo not use pe.ssward protection

PaItáon I 0111. 1

':;' NTFS(C¡

799GB

6.m GBNTFS

@ !.!se pe.ssword protection ,Enlerlhe po.ssword:

~I.~.~••~.~.~======~

Confirm !he pe.ssword: ~I.~.~~.~.~======o=! ,Secret question: IWho was your childhood hero?

••

8nswer. '.11"'*

1:>1 )

______=

~lpCJip~i=:ca~l~ zas ~la~rg~aOl'¡L__________________...J

(;oncI1

Fig. 3.48. Creación de la zona de seguridad de Acronis.

Fig. 3.49. Definición de contraseñas.

Monage Acronis SeCUra Zone Wizard Activoting Acronis Startup Recovery Manager

You cen odrvote Actonls Slor1up Recollery Mflnflger Thls monoger ollows you 10 restare your computer 01 boot Irme berare operotmg system stor1s

A

~i

Please choose whetheryou wantlo adillale Acronis Startup Recovery Manager. @ 8cWaleAcronisStartupRecolleryManager

o Do not adillate Acronis Startup Recovery Manager DeScriPtiOn

I

Whan activatad Acronis Startup Recovery Manager oJlowsyou lo run Acronis Trua Imaga Home befare slarting operating system by pressing Fl 1 al boottime.

Fig. 3.50. Activación de la zona de seguridad.

(Continúa)


Seguridad pasiva. Recuperación de datos

3

Caso práctico 12

9

(Continuación)

7. Ahora que yo hemos creado un hueca en nuestra disco duro paro guardar lo copio de nuestro sistema, vamos o crear la imagen. Para ello volvemos a lo ventana principal de lo aplicación (Fig. 3.47), pera en este caso elegimos la opción Backup (copia de seguridad), pasando o una ventano informativo en lo que pulsaremos Siguiente. Llegados o este punto veremos un cuadro de diálaga coma el que se muestra o continuación (Fig. 3.51):

copio completo, por ser lo primera que lo realizamos de nuestro sistema. Seleccionamos lo primera opción, Creote o new Full bockup archive (crear una nuevo copia de seguridad completo) y pulsamos siguiente.

10. Escribimos lo imagen en lo zona segura. Debida a que lo protegimos onteriarmente por contraseña, nos pedirá que lo introduzcamos. A continuación pulsamos Siguiente, dando paso a uno ventano en la que tendremos que elegir el grada de compresión de la copia de seguridad. Sabemos que cuanta más comprimamos la copia menos acuporá en disco pero más tiempo tardaremos en crearlo, y también en reponerla cuando nas hago falta. Elegiremos la opción de máxima compresión: na tenemos prisa, pero sí poco espacia en el disco. Marcamos la opción Maximun y pulsamos Siguiente. Aparece un cuadro de texto para que introduzcamos un comentario sobre la imagen que vamos a crear; se puede dejar en blanco, pero se recomiendo escribir alga como lo fecho y el contenida, a el PC del cual es lo imagen. Pulsamos Siguiente y cama en el cosa de lo creación de lo zona segura aparece una última ventano informándonos de los operaciones que se van o realizar. Pulsamos Proceder (Proceed) y tras esperar unos minutos nuestra copia de respaldo estará guardado en lo zona de seguridad.

CrBule Hockup Wllord Saled Bockup Typa You can selea type 01 dala your want lo beck up

( I!! 'I

-

r

~

Salad whOlyou wont 10 bock up:

@ !&::~.!!!P:!&l

o MyQolo DeScriPtiOn

L

VVhen you seled lhis oplion you can aeote on imoga oflhe entire disk 01 its partitions. Bocking up lhe anUre system disk (creoting o. disk imoge) tokas significant disk spoca. bul enobles yeu lo reslore lhe systam in minutes in case 01 severe doto domoges al hardware

_:,.

Fig. 3.51. Definición de los datos para la imagen.

Este contiene das opciones: la primera permite hacer uno copio de todo nuestro ordenador y la segunda permite hacer una copia de las carpetas especificados. Como en este coso queremos crear uno imagen del sistema completo elegimos lo primera de los opciones, My Computer (Mi ordenador), y pulsamos Siguiente.

Si en algún momento necesitamos restaurar nuestro sistema o partir de esto imagen tendremos que realizar los siguientes posos: arrancar el PC desde el CD de Acronis, o ejecutar Acronis pulsando FlI mientras se inicio el ordenador, aunque esto opción solo estará disponible si instalamos Acronis Startup Recovery Manager, coma se comentó más arribo. Ahora tendremos que elegir lo opción Recavery (recuperar) de la pantalla principal del programo y seguir el procesa guiado paro reconstruir nuestra imagen.

8. Aparece uno nuevo ventano en la que debemos indicar de qué particián, particiones o disco duro completo queremos realizar lo imagen. Tras elegir en nuestro coso la particián C, pulsamos Siguiente y nos aparece uno ventano informándonos de algo muy interesante: si yo hemos realizado onteriarmente una copia de seguridad del sistema podremos ahora crear uno copio diferencial o incremental con lo ideo de solamente agregar a lo copio ya existente lo que hayamos agregado o modificado desde su creacián. Tras pulsar OK nos aparecerá una nuevo pantalla en la que tendremos que elegir el lugar donde vamos a guardar lo imagen, que

X Delate fri e E:1 Cteete newl)

en nuestro caso, como ya sabemos, va a ser la zona

9

de seguridad, por tonto elegimos Acronis Secure Zone (Fig. 3.53) Y pulsamos Siguiente.

[ti

9. Aparece una ventano con tres opciones: lo primera para crear uno copio completa, lo segundo para realizar uno copia incremental y lo tercera paro realizar uno copio diferencial. Nosotros vamos a crear uno

C ~ I~

Bockup Archiva Locollon

Choose en e,llshng beckup lile lO back up only chonge s Ihol tcok ploce slnce Ihe bockup cleflllon 01enle, lite name lar 6 newlull bockup

My Computar Ac,on' s SecU/e Zone

~ 3.5 Aoppy (A:) [B,~ Local Disk (C)

[ti

ti #,J

Computers Neor Me

~

-w-

~ Acronis Secure lona

Free speca: 3.746 GB TolaJ size: 3.769 GH Acronis SeOJre Zone is e protected portition on yoUI hmd disk drive lhel is ineccessible to ordinOJY opplications.

FTPConnections We recornmend thotyou ereo.ta backup orchives in \he Acrnnis SSOJra Zone; \ha file nome is nol required in lhis

Fig. 3.52. Selección de la zona para guardar la copia de seguridad.


~~

Seguridad pasiva. Recuperación de datas

------~--~------~----------------------------

6. Copia de seguridad del registro Antes de entrar en el proceso de la copia de seguridad del registro, recordemos que el Registra de Windows es una base de datos que contiene información del hardware, de las aplicaciones que tenemos instaladas e información de los cuentas. Habitualmente na es necesaria que toquemos el registra, ya que san las aplicaciones las que suelen introducir los cambios directamente en él. Un cambia erróneo en el registra podría ocasionar que el equipa dejase de funcionar, par la tanta siempre que vayamos a hacer cambias en el misma se recomienda que hagamos copias de seguridad.

1. Iniciamos el equipo como administradores. 2. Abrimos el editor del registro escribiendo en la consola regedit. ---

L'..

F

t,;"

",

'jtUln"""

,1,1

("

IU'II",,¡,ll!.llIlll 7.llIlf, M,. ,'" ,,1\ C""I,,,,-,,t ,,,,,

11,· · ",'U ",,,

I .. ,t" .

1"

,1"1'''' lo"

. , On., ) ," '1' ,1,1

Fig. 3.53. Instrucción para e;ecutar el registro.

3. Buscamos la clave a subclave de la que queremos realizar la copia de seguridad y hacemos clic en ella. Como en nuestro caso queremos realizar la copia de todo el registro seleccionamos el equipo.

;..JJ

Tipo

Datos

HKEY_CLASSES_ROOT

t> .j,¡ HKEY_CURRENT_USER ~ -J.! HKEY_LOCAt_MACHINE ~ . Jj HKEY_USERS ~ .Jj HKEY_CURRENT_CONFIG

Fig. 3.54. Registra de Windaws.

4. Hacemos clic sobre Archivo y seleccionamos Exportar.

5. En el cuadro Guardar en, seleccionamos la ubicación donde deseamos guardar la copia de seguridad en el cuadro Nombre de archivo y por último hacemos clic en Guardar. e;;,¡ ' ' t~cm~

Jf"h. mod.fi,..;~"

Tipn

hm.~.

JI ...,tAUllS JJ l:l:dd JJ BlutloOlh

JI e"". d.In~I"V." ;h."· El M""do' _ JI O.....I•• d. Jl .lcm.n1".~rd"".r

JI FLAiH j¡ hlll''''''

J.. JnUlct ..

Jj In1<M'; ••

'-".••.

l'

Jl r.'.A~D.,,,,y ..

j¡ Mt.OL<Oovrnlo,d,

I't..""",,~ ~ , T<d:>

O Rr... ooIt:=-.ae.

Fig. 3.55. Guardar la copia de registra.

--"


Seguridad pasiva . Recuperaci ón de datos

3

7. Políticas de copias de seguridad

las políticas de copias de seguridad deben definir el tipa de copias y la periodicidad de las mismas, así como los soportes en las que se deben realizar y las ubicaciones de los centros de respaldo. los centros de respaldo son las ubicaciones donde se guardan las copias de seguridad. Estos en la mayoría de las empresas pequeñas se encuentran muy cerca del centro de cálculo o en la misma estancia, tanto por comodidad de los técnicos, que siempre tienen a mano el material, como por espacia, pero las empresas grandes que manejan grandes volúmenes de datos suelen ubicarlas lo suficientemente lejos como para que no se vean afectados par la misma catástrofe que provoque el percance en las instalaciones del centro de procesamiento. Estas ubicaciones deben estar protegidas de la misma manera que los centros de procesamiento de datos, es decir, estarán protegidos los accesos para que solo pueda entrar el personal autorizado. Deberán estar protegidos tanto frente a los distintos accidentes o catástrofes naturales (incendios, inundaciones, etc.) como ante los posibles ataques software que estudiaremos más adelante. Es frecuente encontrar las copias de seguridad almacenadas en armarios ignífugos como el que se muestra en la Figura 3.56. Gracias a este tipo de armarios podríamos proteger la información en caso de que se produzca un incendio.

Data-Safe

Como estudiamos en el primer epígrafe de la unidad, uno de los clásicos errares que se producen en las empresas y en las hogares en los que se realizan las copias de seguridad es el mal etiquetado de las mismas. Es muy habitual en los hogares españoles realizar copias de respaldo en los soportes ópticos (CD y DVD) y almacenarlas de manera desordenada y sin ningún etiquetado. Toda una locura cada vez que tengamos que buscar un archivo para restaurar, par lo que se recomienda diseñar una etiqueta y pegarla al soporte que guarde la copia con la infarmación que detallamos a continuación. Una etiqueta carrecta debería incluir la siguiente información: •

Identifícador de copia, mediante esta cadena alfanumérica identificamos de manera unívoca cada una de las copias de seguridad realizadas. Facilita la búsqueda de las mismas.

Tipo de copia, debemos definir si la copia es incremental, diferencial o completa.

Fecha en la que se realizó la copia, ya que en numerosas ocasiones debemos buscar las copias por fecha de realización de las mismas.

Contenido, siempre se incluirá el contenida en clave que almacena la copia de seguridad. En caso de querer recuperar un determinado archivo lo buscaremos sin necesidad de estar cargando cada una de las copias en el equipo. Hay que recordar que tanto el nombre de la copia como los datos almacenadas en ella deben ir en clave para que en caso de encontrarse al alcance de intrusos, estos no sean capaces de descifrar la información almacenada en los mismos. Por tanto la información escrita en la etiqueta como la almacenada en los soportes informáticos debería ir cifrada.

Responsable, debe figurar el técnico que realizó la copia de seguridad para poder pedide que facilite las consultas o las peticiones de actualización y restauración de la misma.

Fig. 3.56. Armario ignífugo para almacenamienlo de copias

de seguridad.

A continuación hemos diseñado una posible etiqueta para los soportes de las copias de seguridad (Tabla 3.1).


Seguridad pasiva. Recuperación de datos

lO

.,

Iden~licadar de la copia

o Completa Tipo de copia

o

o Datos

Incremental

o Sistema

o Diferencial lAño, mes, dio)

Fecha

Datas

Se deberá utilizar la nomenclatura específica de la empresa, de forma que facilite a localización de archivos concretos YI en caso de que sea confidencial, un posible intruso no seo capaz de conocer la información

grabada. Técnico

Nombre de la persona que realizó la copia de respaldo

Firma

Firmo del responsable que realizó la copia

Tabla 3.1 . Etiqueta para soporte de copia de seguridad.

Al igual que debemos etiquetar correctamente las copias de seguridad, se debe llevar un registro exhaustivo de las mismas y de las restauraciones realizadas. Este es otro de los graves errores que suelen cometer las empresas: realizan las copias de seguridad pero nadie se preocupa de comprobar si la copia se ha realizado correctamente ni de llevar un registro con la información de las mismas. A continuación, vamos a diseñar una posible hoja de registro. Esta, además de la información que se almacenaba en la etiqueta que adjuntamos al soporte (el identificador de la copia, el tipo de copia, la fecha, los datos almacenados en la misma, el nombre, los apellidos y la firma del técnico responsable de la copia) deberá incluir los siguientes campos: o

Identificadar de la etiqueta, un código que se incluye en la etiqueta para poder localizar de manera rápida la copia de seguridad, y que que coincide con ella cadena alfanumérica de la etiqueta.

o

Tipo de soporte, debemos especificar si la copia se ha realizado en una cinta, disco duro, unidad USB ...

o

Ubicación, en función del número de copias de seguridad y de la importancia de las mismas estarán ubicadas en unos u otros lugares, por lo que debemos indicar el sitio donde se encuentran almacenadas.

De la misma manera que se realiza el control de las copias de seguridad, se deberán registrar las restauraciones realizadas y los motivos que han ocasionado dicha recuperación. En las hojas de registra de las restauraciones se deben incluir los siguientes campas: o

Fecha de restauración en la que se realizó la recuperación de la copia.

o

Incidencia que ha motivado la restauración, causa que ocasiona la pérdida de información.

o

Ubicación, equipo en el que se realiza la restauración de la información perdida.

o

Técnico, responsable que lleva a cabo la actuación.


Seguridad pasiva. Recuperación de datos

En la siguiente tabla podemos ver la hoja de registro que utiliza la empresa SiTour para controlar las copias que se han realizado: • • • .

:..!

... ..... -. =

Identificador de etiqueta

D Completa D Datos Tipo de copia

o Incremental D Sistema

o Diferencial DCinta O Disco duro

Tipo de soporte

Fecha

D D D D

CDROM DVDROM Llave USB Otro:

lAño, mes, día)

Ubicación

Datos

Se deberá utilizar la nomenclatura específica de la empresa., de tal manera que los posibles intrusos no sean capaz de conocer la información grabada en caso de ser esta confidencial.

Técnico Firma del técnico

Tabla 3.2. Hoja de registro de copias de seguridad. En la siguiente figura podemos ver una hoja de registro de las restauraciones de la copias de seguridad.

Fecha restauradón

lAño, mes, dio)

Incidencia que ha motivado

la restauración ubicación

Equipo donde se ha realizado la restauración.

Técnico Responsable Tabla 3.3. Ho;a de registro de restauraciones de seguridad.

3


~/3

Seguridad pasiva. Recuperación de datas

----~--~------------------------------

Toda política de copias de seguridad debe contemplar los siguientes puntos: •

Determinar la persona o perso.nas responsables encargadas de realizar y mantener las copias de seguridad. Se aconseia que al menos dos personas estén pendientes de las alertas que puedan ocurrir mientras se realiza la copia de seguridad. Estas alertas serán enviadas mediante correo electrónico a los responsables.

Debemos analizar los datos susceptibles de ser salvaguardados en copias de seguridad. Al realizar el análisis, debemos tener en cuenta la frecuencia con la que se modifica o actualiza la información.

I ,:::::::- - - , _ . _ ,

;.:...

I~

~ ~:~.

bI: ,

~~':$ : ::~ ,..... . ."....... ..... ...,

,~

,

' .... '1

.. .ªª.

. ,' ,

~.,

, , ". '

I I

¡~~~.~

-

,---

,

•. l.

<....... . . " ...... . . NO___

'R _ _....... _ --;

•,

I

. i

- .' .~ ,

""<.'

en . , -,., , ~ ,

' ~ ' -'

1~ 'J

,.. -,

,.,

........ .

"" 0

0"" ..

..."'''''''' ,."... "''''... "'"...... l.", c_ ...... ,." ,,, ...,. ~,,""

. ...,

,n; ..

G ,~,

"",.,

............

e.."",

""" .. .. .

t ...",

''''.' <-....' ....

,_ .. "' ..........

""

<-... .... . " ' "

... .

"",

",. ,.... '.", ¡,...... ,• •

I , .. ,

l~ . -,

" , .. . . . . .

( .. d .

" '.'

r,,, .... ,,

, •• "

l~ . -'

'H J

"',"".,,,UU :~'lI:.lH" "" : O;' ~"'=JI

.•

'·.n' ''' '' ·~

: ~·'l':ln !lM..

:':''''!>'''''' ,... .. "~" ,, n

...

,,",....

",0,"""'-" ":"." " .... ":''"'''''",.,.,. 1 ~"~ _ ~,:>'" :~ , m ,, ;:' JJ

:<:' ;w .. " .,.... :~,YlW,=.

",.,.: " , ;:, u . . :~, ~:;""

u .

"'i'''''H..... ' ~ I \"'''.' ' :n

Fig. 3.57. Afertas de fa copia de seguridad de fa Universidad Antonia de Nebri;a. •

Debemos determinar el tipo de copia a realizar (completa, diferencial e incremental) en función de los datos a salvaguardar y de la periodicidad con la que se modifican. En el supuesto de que se modifiquen con mucha frecuencia, se incluirán en copias diferenciales o incrementales; en caso contrario, podríamos optar por incluirlos en las copias de seguridad completas, que se realizarán en intervalos más amplios de tiempo.

Debemos determinar la frecuencia con la que se realizarán las copias de seguridad . En este punto analizaremos la cantidad de información que estamos dispuestos a perder, es decir, los datos que han sido modificados o creados desde la última copia de seguridad.

Debemos determinar la ventana de backup (frania horaria en la que se deben realizar las copias de seguridad), teniendo en cuenta la duración que cada tipo de copia consumirá. Este punto está fuertemente relacionado con el tiempo que dedicaremos a realizar la copia, siendo especialmente relevante en sistemas 24/7 (por eiemplo, bases de datos de grandes corporaciones o de compañías aéreas), en los que no es posible realizar copias de seguridad completas que exigen la parada de la base de datos. En estos casos, se suelen utilizar alternativas como las snapshot (instantáneas) que permiten almacenar periódicamente el estado de la informacián.

Debemos determinar el tipo de soporte en el que se realizarán las copias de seguridad. Esta decisión estará condicionada tanto por volumen de datos a guardar como por la frecuencia con la que se realizarán.

Debemos determinar la ubicación de las copias de seguridad. Lo más aconseiable es almacenarlas en un centro ale iodo al de origen. De esta manera evitamos que las copias de respaldo y los datos se puedan ver afectados por el mismo percance. Estos centros deben estar protegidos de la misma forma que los centros de cálculo.


Seguridad pasi va . Recuperación de dolos

3

Comprueba tu aprendizaie ~ Gestionor dispositivos de almacenamiento describiendo los procedimientos efectuados y aplicando técnicas para asegurar la integridad de la información

1. Los ficheros que se almacenan en el equipo tienen asociados unos atributos: o Lectura: r o Oculto: h o Sistema: s o Archivo de almacenamiento: o o) Creo un archivo.

b) Compruebo los atributos que tiene establecidos bien haciendo uso del comando attrib en el intérprete de comandos o bien mediante los propiedades del archivo; en este último coso, recuerdo que paro ver el atributo de archivo de almacenamiento tendrás que acceder o los Opciones Avanzados. c) Realizo uno copio de seguridad del mismo.

d) ¿Tiene los mismos atributos establecidos o se ha desactivado alguno de ellos? 2. Debate con tus compañeros el tipo de copias de seguridad que recomendarías para uno pequeño empresa familiar dedicado o lo vento de delicatessen. Esto empresa tiene un sistema de información que gestiono los productos almacenados en lo tiendo, los ventas y los compras realizados o los proveedores . Como cabe suponer, el sistema de información contiene uno pequeño base de datos. En función de los tipos de copias elegidos, ¿qué soparte utilizarias poro los copias de seguridad? 3. Indico los ventajas y desventajas de los distintos tipos de copias de seguridad que se pueden realizar. 4. Descargo lo aplicación gratuito y portable Toucan de lo página web http://saurcefarge.net/prajects/ partableapps/files/ y realizo uno copio de seguridad diferencial del directorio Mis documentos de tu Pe. ¿Cómo es lo copio? ¿Qué se ha incluido en lo copio? 5. Creo un archivo en Mis documentos y con lo aplicación Toucan vuelve o crear uno copio de seguridad incremental. ¿De qué se ha realizado lo copio? 6. Creo otro archivo en Mis documentos y con lo aplicación Toucan vuelve o crear uno copio de seguridad incremental y otro diferencial, ¿cuál de los dos ocupo más? 7. Como hemos estudiado en lo unidad los etiquetas de los copias de seguridad deben llevar reflejado lo información de los datos guardados. Diseño unos códigos para etiquetar los datos que se han almacenado en la copia de seguridad.

8. Hay veces que desgraciadamente no hemos realizado copias de seguridad, o bien hemos borrado accidentalmente un fichero que no tenia mas almacenado en ningún otro lugar; para solventar esas situaciones en el mercado existen numerosas aplicaciones como Recovery Files, Recover My Files, Data Recovery Studio, Easy Recovery... a) Crea un archivo y bórralo.

b) Intenta recuperar el archivo con alguna de dichas aplicaciones. 9. Indica las ventajas y desventajas de los distintos soportes donde se pueden guardar las copias de seguridad. 10. Indica la importancia de utilizar trituradoras de discos duros antes de deshacernos de los equipos par considerarlos obsoletos.

11. Debido al espacio que ocupan las copias de seguridad, nos debemos plantear la necesidad de eliminar de forma periódica las copias de seguridad obsoletas, dejando espacio para las nuevas que realicemos. Debate con tus compañeros los posibles esquemas de rotación para las siguientes empresas: o Pequeño negocio familiar, dedicado a la venta de materiales de construcción. Esta empresa tiene un sistema de información en el que gestiona tanto el material del almacén como las ventas realizados. Realiza las copias de seguridad completas el primer día de cada mes y copias diferenciales todas los sóbados después de la hora de cierre del almacén en discos duros externos. o Una agencio de viajes, que tiene contratado el servicio de copias de seguridad a una empresa externo. Las copias de seguridad se realizan de forma remota. o Otra compañía de viajes, que realiza las copias de seguridad completa el primer domingo de cada mes y copias de seguridad incremental todos los días. 12. Relaciona mediante flechas los siguientes conceptos: o Copio todo

o Diferencial

o Realiza lo copio desde la última completa

o Completo

o Realiza la copia desde la última copia

o Incremental.

o Soporte

o Centro de respaldo

o Almacenamiento copias o Cinta o Puntos de restauración

o Recuperación del sistema


~/3

Segu ridad pasiva. Recu peració n de datas

----

Completa

Diferencial

Tipos

Incrementa l

.. . . -. ~

Soportes para copias

Políticas de copios seguridad

Puntos de restauración

Arranque con la última conFiguración vólida

Recuperación automáticas sistema

Creación y restauración imágenes

'8


I!I1 DdJad

Sistemas de identificación. Criptografía

En esta unidad aprenderemos a:

• Describir e identificar sistemas lógicos de identificación: firma electrónica, certificado digital ... • Utilizar sistemas de identificación lógica como la firma electrónica o el certificado digital.

y

estudiaremos:

• Métodos para asegurar la privacidad de la información transmitido. • Criptografía: - Cifrado de clave secreta (simétrica) - Cifrado de clave pública (asimétrica) - Funciones de mezcla o resumen (hash) • Sistemas de identificoción: - Firmo digitol - Certificado digital - Distribución de claves. PKI


Sistemas de identificación. Criptografía

l. i,Cómo aseguramos la privacidad de la información?

La frontera entre la Prehistoria y la Historia la marca la aparición de los primeros textos escritos.

Desde que el hombre es capaz de comunicarse por escrito, ha tenido la necesidad de preservar la privacidad de la información en la transmisión de mensajes confidenciales entre el emisor y el receptor. Esta necesidad en algunos casos se ha convertido en crucial, por ejemplo en las guerras; la intercepción de un mensaje de las tropas enemigas podría suponer la victoria. Hoy en día, esas guerras se desatan entre las empresas del mismo sector, que luchan por expandir su mercado. Estas suelen ser grondes multinacionales, con distintas sedes, que precisan intercambiar gron cantidad de información confidencial entre sus trabajadores. La intercepción de estos datos por compañías de la competencia les puede hacer perder cantidades ingentes de dinero y de tiempo. Desde el principio de la historia del hombre surge la necesidad de garantizar la confidencialidad de la información, por eso se han desarrollado diversas técnicas de enmascaramiento u ocultación de la información, siendo en la actualidad uno de los principales objetivos que persigue la seguridad informática.

2. Un poco de historia de la criptografía

Si analizamos la etimología del término criptografía, vemos que proviene de dos palabras del griego, cripta, que significa 'escondido', y grafía, que quiere decir 'escritura'. Por tanto podemos definir la criptografía como la ciencia que estudia la escritura oculta, es decir, aquella que enseña a diseñar códigos secretos y la operación inversa, a interpretar los mensajes cifrados. Los primeros mensajes cifrados datan del siglo v a.e.; ya entonces los espartanos usaban la escítala para ocultar las comunicaciones. El método consistía en enrollar una cinta sobre un bastón y posteriormente escribir el mensaje en forma longitudinal. Después la cinta se desenrollaba del bastón yero enviado mediante un mensajero; si éste ero atrapado por los enemigos, sólo obtendrían un conjunto de caracteres sin sentido. El receptor sólo podría interpretar el mensaje siempre y cuando tuviese un bastón similar al que se utilizó para ocultar el mensaje, es decir una vara con el mismo diámetro.

La frase «ostentar el bastón de mandm) se cree que proviene

del uso de la escitala, de la época de la antigua Grecia. Cuando los mandatarios se enviaban mensajes cifrados uti-

lizaban el método descrito. El poseedor del bastón ostentaba el poder.

EMCCSEROET I N L OPOPDTCROAIIDCDMEIOEEORNN

Fig. 4.1 . Escítala. Como podemos ver en la imagen, el mensaje es «es el primer método de encriptación conocido», pero en la cinta lo que se podría leer es «EMCCSEROETINLOPOPDTCROA IIDCDMEIOEEORNN».

~ Actividades 1. Te proponemos que pongas en práctica este primer método de encriptación. Paro ello debes utilizar algún instrumento de clase que te sirva de bastón, puede ser la pata de la silla, la de la mesa, un bolígrofo .... Enrolla un papel alrededor del instrumento utilizado como bastón y escribe el mensaje a tronsmitir según el método explicado anteriormente.

Envíale el texto a otro compañero y comprueba si ha sido capaz de descifrar el mensaje. Comprueba que si un tercer compañero (el intruso) intercepta el mensaje sin conocer el bastón utilizado para cifrar la información, no sería capaz de interpretar el mensaje.

)


Sistemas de identificación. Criptografía

4

A mediados del siglo 11 a.c., los griegos desarrollaron otro método conocido con el nombre de quien se cree que lo desarrolló, el historiador Polybios. El cifrado consistia en sustituir cada letra del mensaje original por el par de letras o números que indicaban la fila y columna en la cual se encontraba. Veamos un ejemplo:

Tabla 4.1. Tabla cifrador de Polybios.

El mensaje que queremos enviar es «el cifrador de Polybios es el primer cifrador por sustitución de caracteres», y el mensaje cifrado que enviaremos es «AECA ACBDBADBAAADCDDB ADAE CECDCAEDAB BDCDDC AEDC AECA CEDBBDCBAEDB ACBDBADBAAADCDDB CECDDB DCDEDCDDBDDDDEACBDCDCC ADAE ACAADBAAACDDAEDBAEDC» .

f-______________________C =a =s :::o:..l~ ráctico 1

9

Cómo cifrar can el cifrador de Polybios Como hemos estudiado anteriormente, el cifrador de Polybios sustituía cada carácter del mensaje original por un par de letras o números. En el ejemplo anterior hemos cifrado la información mediante un par de letras, ahora lo vamos a hacer mediante números (Tabla 4.2).

Tabla 4.2. Tabla cifrador de Polybios.

Recordamos el mensaje original: «el cifrador de Polybios es el primer cifrador por sustitución de caracteres».

El mensaje cifrado sería: 1531 1324214211143442 14153534315412243443 1543 1531 354224321542 1324214211143442 353442 4345434424444513243433 1415 13114211134415421543

Actividades " 2. Envía a un compañero un mensaje cifrado mediante el cifrador de Polybios. El mensaje deberá incluir una pregunta que el compañera deberá contestarte. Así podréis comprobar si el proceso ha funcionado correctamente. 81 '- .....;:.,. I

..

,:flf:..

J"'JT~;J


~

./

4

Sistemas de identificación. Criptografía ------------------~--------------------

En el sigla I a.e. los romanos desarrollan el cifrodor del César, cuyo método consistía en sustituir cada carácter por otro, resultado de desplazar tres posiciones hacia la derecha el carácter original del alfabeto utilizado. Veamos un eiemplo: Mensaie del César a Cleopatro: "sic amate ut sin ete iam viverem non posi!» (de tal manera te amo que sin ti no podría vivir). Para traducir el mensaie necesitamos los dos alfabetos el claro y el cifrado (Tabla 4.3). """"-_ , A

BCD

D

E

F

E

F

G

G

K

KLMNOPQ MNOPQRST

Tabla 4.3. Tabla con los olfobetos latinos del cifrador del Césor.

El alfabeto ariginal es similar al del castellano excepto en las letras: H, J, Ñ Y W. Si nos fijamos en el alfabeto cifrado el mensaie oculto debe corresponderse con el siguiente: VMF DPRXI YX VMQ IXI MDP ZMZIUIP QRQ SRVMX

-~¿Sabía5 que...?

Una de las vulnerabilidades que presenta el cifrador del César es la carrespondencia existente entre el alfabeto original y el del cifrado. No es difícil descifrar los secretos de los mensaies si analizamos la frecuencia de las letras. La letra más utilizada en los mensaies originales es la e, así la letra más utilizada en el mensaie cifrado debe corresponderse con la letra e del alfabeto ariginal.

"

En el cuento "El escarabajo de oro» de Edgar Allan Poe se

relata la resolución de un criptograma utilizando la técnica esto-

En el siglo xv Leán Battista Alberti escribiá un ensayo donde proponía utilizar dos o más alfabetos cifrados, alternando entre ellos durante la codificación. De esta manera solventa la vulnerabilidad ocasionada por el uso de un único alfabeto cifrado para codificar cada mensaie. Sin embargo, Alberti no logró desarrollar ninguna máquina que pusiera en práctica su idea, y será Blaise de Vigenere quien en el siglo XVI desarrolle la idea de Alberti. El cifrador de Vigenere utiliza veintiséis alfabetos cifrados, obteniéndose cada uno de ellos comenzando con la siguiente letra del anterior, es decir, el primer alfabeto cifrado se carresponde con el cifrador del César con un cambio de una posición, de la misma manera para el segundo alfabeto, cifrado con el cifrador del César de dos posiciones (Tabla 4.4).

dística basada en la distribución de los caracteres en el alfabeto inglés.

J

CDEFGH DEFGH EFGH F

G

G

H

H

J

K

M

N

O

W

KLMNOPQRST

X

Y

Z

A

UVWXYZAB

JKLMNOPQRSTUVWXYZABC J

KL

MNOP

QR

S

T

UV

WX

y

Z

A

BCD

KLMNOPQRSTUVWXYZABCDE

J

ZABCDEFGH ABCDEFGH BCDEFGH

K

MNOPQRSTUVWX

JKLMNOPQRSTUVWXY JKLMNOPQRSTUVWXYZ

Tabla 4.4. Cuadro de Vigen.re.

~ Actividades

3. Cifra

mediante el cifrador del César el siguiente mensaie: «el cifrador del César tiene muchas vulnerabilidades». El mensaie está escrito en castellano.

-


Sistemas de identificación. Criptografía

------- -- -- - - - - -- --

4

.,._ ¿SCL ""b'1c;!5,.. I q!,e._ ..?

De esta manera el emisor podría cifrar la primera letra can el quinto alfabeto, la segunda con el decimo alfabeto, la tercera con el decimoquinto alfabeto, y así sucesivamente. Para descifrar el mensaje, el receptor debe saber qué línea de la tabla de Vigenere ha sido utilizada para codificar cada letra, por lo que previamente se han tenida que poner de acuerdo. Esto se logra utilizando una palabra clave. Vamos a ver un ejemplo.

de objetos. Por ejemplo según

Queremos enviar el mensaje "LA IDEA ES DE ALBERTI» utilizando la palabra clave "CIFRADO».

se cree los griegos tatuaban los mensajes en [a cabeza del esclavo de mayor confianza y una

9

Desde tiempos inmemoriales se han ocultado mensajes dentro

vez que el pelo le había crecido

e l N

F

A N

R

A

D

O

e

D

E

A

E

SDEAlBE

R

T

U

E

D

S

UlJRlES

T

B

F

FRADOC

Este sistema se conoce como esteganografía.

N

Tabla 4.5. Resultado de cifrado. Para ocultar el mensaje utilizamos la palabra CIFRADO; el praceso consiste en hacer corresponder la primera letra en claro, "L», con la letra que le corresponde en el alfabeto cifrado que empieza por la letra "C», la segunda letra del mensaje en claro "A» se hace corresponder con su correspondiente en el alfabeto cifrado que empieza por la letra «1», y así sucesivamente.

La ventaja de este sistema es que no se puede descifrar el mensaje oculto analizando las frecuencias de las letras ya que una misma letra se corresponde con varias combinaciones distintas. Otra de las ventajas de este método es que se pueden utilizar innumerables claves. Todos estos métodos criptográficos se fueran perfeccionando y mejorando según avanzaba el tiempo. Es en la Segunda Guerra Mundial cuando se hace imprescindible el uso de máquinas que cifren los mensajes para así evitar que el enemigo interceptase información sensible para el desarrollo de las operaciones. Según los ejemplos vistos anteriormente podemos hacer una clasificación de los métodos de criptografía: •

Sistemas de transposición: como indica su nombre consiste en descolocar el orden de las letras, sílabas o conjunto de letras. En función del número de transposiciones podemos clasificar los sistemas de transposición en: Sistemas de transposición simples: cuando el texto en claro solo es sometido a una transposición. Sistemas de transposición doble o múltiple, cuando se realiza una segunda transposición sobre texto que ya había sido cifrado mediante transposición simple. Con este método se consigue una mayor seguridad.

Sistemas de sustitución: como su nombre indica se reemplazan algunas letras del alfabeto por otras o por un conjunto de ellas según el método. Según el tipo de sustitución se clasifica en: Literal, se sustituyen letras por letras. Numéricas, se sustituyen por números.

Esteganográfica, se sustituyen por signos o se oculta el mensaje tras una imagen, sonido, etc.

Actividades

lo enviaban con [a instrucción

de que le raparan la cabeza.

9)

4_ Clasifica todos los métodos de cifrada estudiados en el Apartado 2, "Un poco de historia de la criptagrafím), según las categorías especificadas anteriormente.


~/4

Sistemas de identificación . Criptografía --~------------~~--------------------

3. Criptografía simétrica y asimétrica

~

Las claves nunca deben estar

apuntadas en papel ni en ningún documenta que pueda estar al alcance de intrusos.

Hoy en día se utilizan fundamentalmente dos métodos de cifrados, el primero de ellos conocido como cifrado simétrico o de clave privada, el cual utiliza la misma clave para el cifrado y el descifrado. El segundo, conocido como cifrado asimétrico o de clave público, utiliza una pareja de claves para el proceso de cifrado y descifrado.

3.1. Criptografía simétrica

Este método se basa en un secreto compartido entre la entidad que cifra el mensaje y la que lo quiere descifrar, es decir, utiliza la misma clave en el proceso de cifrado que en el de descifrado. Si analizamos los métodos utilizados para salvaguardar la confidencialidad de los mensajes desde los primeros tiempos de la criptografía hasta mediados de los setenta (prácticamente hasta nuestros días), veremos que sálo se hacía uso de métodos simétricos, que exigían necesariamente que el emisor y el receptor se pusieran previamente de acuerdo en la clave que iban a utilizar. El método de Vigenere es un claro ejemplo de lo dicho.

En la documentación de criptografía es muy usual utilizar la figura de una llave para representar la clave. El término key significa 'llave o clave'.

Supongamos que Virginia y Macarena quieren intercambiar informacián confidencial. Antes de hacerlo, han de ponerse de acuerdo sobre la clave a utilizar, pues si la receptora no la conociera, le sería imposible leer el mensaje. Texto claro

Texto claro

Encriptación

Texto cifrado

Desencriptación

Fig. 4.2. Cifrado con clave privada.

Este método tiene dos desventajas: la primera, como podemos deducir de lo explicado, es la que conlleva el intercambio de claves, ya que si las personas se conocen y están físicamente en contacto es más o menos fácil comunicarse la clave a utilizar (Virginia y Macarena pueden quedar e.. intercambiarse las claves que utilizarán), pero si Virginia y Macarena se encuentran separadas por miles de kilámetros, o incluso no se conocen, ¿cámo se intercambiarían la clave? Mediante un correo electrónico, correo ordinario, una llamada telefánica, pero todos ellos son medios de comunicacián inseguros; cualquier intruso podría capturar la clave elegida, e incluso podría suceder que Virginia comunicase por error la clave a otra persona que no fuese Macarena, sino que se hiciera pasar por ella.

~ Actividades 5. Calcula cuántas claves necesitan intercambiar un grupo de cinco personas que se quieran mandar entre ellas correos electránicos cifrados.

l

a} ¿Cuántas claves son necesarias si el grupo lo conforman diez personas? b} ¿Qué sucedería si en vez de diez fuesen cien?

)


4

Sistemas de identificación. Criptografía

La segunda desventaja es la cantidad de claves que una persona debe memorizor; supongamos que Macarena intercambia información confidencial con cincuenta personas diferentes, con cada una de ellas utiliza una clave distinta y cada cierto tiempo modifica dichas claves por seguridad. ¿Cuántas claves debería memorizar Macarena? Innumerables.

mentación

para

el

estándar

OpenPGP Me55age, con el obje-

Vamos a ver cuántas claves son necesarias cuando cuatro personas intercambian información confidencial entre ellas utilizando cifrado simétrico. Como vemos en la Figura 4.3, son necesarias 6 claves diferentes. Cada una de las líneas representa la clave intercambiada entre las parejas. Gustavo

"

GPG viene de GNU Privacy Guard, proporciona una imple-

tivo de preservar la confiden-

cialidad de los datos del usuario tanto en el almacenamiento como en la comunicación de la información. Además supone una alternativa

Macarena

de libre distribución frente a PGP (Pretly Good Privacy) de P. limmerman perteneciente a una empresa que proporciona servicios de soporte para encriptación de datos y comunicaciones.

Virginia

Fernando

Fig. 4.3. Gráfico para calcular cuántas claves son necesarios.

9

Caso práctico 2 Cifrado simétrico con GnuPG sobre lo distribución GNU/Linux En esta práctica vamos o aprender a cifrar documentos con la herramienta GnuPG, utilizando clave privada para intentar asegurar la confidencial del documento cifrado.

1. Para familiarizarnos con las opciones de gpg, en primer lugar solicitamos la ayuda mediante el comando man gpg en la consola.

La ayuda nos informa de todas las opciones que podremos utilizar. Estas son numerosas, pero no os asustéis, para esta práctica debemos fijarnos solo en las siguientes opciones: - e: cifra utilizado clave privada; para ello nos solicitará una "frase de paso», passphrase, que se suele traducir como 'clave o contraseña'.

-a: guarda el documento cifrado con caracteres ASCII.

4. Al abrir el archivo cifrodo mediante el editor de texto, observamos que la herramienta nos ha convertida nuestro documento en un texto totalmente ilegible, con caracteres que no se corresponden con los de ASCII.

5. Para que la salida sea en ASCII, debemos añadir a la orden el parámetro -a. Ahora, tenemos un nuevo documento cifrado con el mismo nombre y en el mismo directorio en el que se encuentro el archivo a cifrar, al que le añade la extensión . ase (Fig. 4.6).

.

o.

!;)r,¡¡, ("'¡-"Elm!»

,

.

{,

Archivo Editar ~ .ll.Ulcar tielTillmlental QocumentOI Aluda

lb El

Nuevo Abrlr

.

Ji¡

El

Imprimir...

Gu~rda1

!tl Documento_5ec~to.gP9

[J

Desh~cC!l

r~tlMtr

@I

n

Co!l ol! cOp'al Pe-¡¡a1

I

1!Hl1!ll[[Il!IIlcelI!l".il' i!' ÉJ!]3.<nl!!l~IllI·OcA¡rnHftS.llll1\l!!lql!!lk

.

E YfiSSII!l!i2IIIJlAHU' hUift?i}hP11ID1ID' SIITIl~ . I09I1l1.U I OQMIID- nm"llITlt<p

u [!]![!]IIIlIIIl[!]I!!lIT!lIIIl. ,Mi ·(0

úg¿\[[!J[!]2.II!lA7TA(!l!l]lII!l~/yl!DllIIl!!]

\· t: ula~)

yO $[[!J(

2. Para cifrar el documento "Documento_Secreto» mediante un algoritmo simétrico, debemos utilizar la opción -e, por lo que ejecutamos la instrucción que se muestra en la Figura 4.4:

Flg. 4.5. Documento CIFrado.

lb El .

Nuevo Abrl1

El

Guarda!

Ji¡

Imprimir...

D~I.}(:~

Ilehace1

D Dccumento.5ecn:to.asc o 1 -

-

(1)11.! Copm !'eg.J<

• .. ·BEGIU PGP HESSAtiE .. ·•·

Fig. 4.4. Cifrando Documento_Secreto.

30 Una vez ejecutada la instrucción, la utilidad genera un documento en el mismo directorio donde se encuentra el archivo a cifrar, añadiendo la extensión .gpg al nombre de dicho documento (Fig. 4.5).

.

Version: GnuPG vl.4.9 (GllO/Linux) jAOEAIoflCV\Olr7JZhBVgyYjCEljSjdVcdztgtlOCPBOUc90H9pdtntWehllSKIISU q4d..w4A4KWz8nSAYdtOUR9IJWfn23\uKVrfAkzUIlHC2Fosou50n...urkpBwIl100R cdiPiwvz 1119Vtjo('(S lUkvI)(l F4Diw(kr-Mt2G230 eg\QEEvPs7VFTCOFB~3yj cSe Yd\\'02sqqniE.... • A~n¡

----.EIIO PGP HESSAGE--'"

Fig. 4.6. Documento cifrado en ASCII.

,


Si stema s de identificación. Criptografía

3.2. Criptografía asimétrica

A vez que Whitfield Diffie y Martin Hellman publicaron el nueva método se cree que inves-

tigadores que trabajaban paro agencias de inteligencia militar

también lo habían desarrollado pero por ser investigaciones secretas no salieron a la luz.

En 1976, dos criptógrofos, Whitfield Diffie y Martin Hellmon, publicaron un nuevo método criptográfico que solucionaba las desventajas de la criptografía simétrica (la difícil distribución de claves y el elevado número de claves necesarias). La genial idea de estos investigadores estadounidenses consiste en que cada una de las partes involucradas en una comunicación segura tienen una pareja de claves. Una de ellas, pública, que deberá intercambiar con cada una de las entidades con las que quiera comunicarse mensajes secretos, y otra de ellas privada, y que par tanta, jamás debe comunicar a nadie. Sí, has leído bien, una de las claves, la pública, se la comunicará a todo el mundo sin que cree ninguna vulnerabilidad en las comunicaciones, porque con ella nunca podría un intruso descifrar el mensaje. Para cifrar un mensaje, el emisar utilizaró la clave pública del receptar, y a su vez, el receptar descifrará este mensaje haciendo uso de su clave privada . Veamos el procesa mediante el siguiente ejemplo: supongamos que Fernando y Macarena quieren intercambiarse información confidencial haciendo uso de la criptografía de clave pública. El primer paso es que cada uno de ellos obtenga una pareja de claves, es decir, Fernando tendrá dos claves y Macarena otras dos (uno de ellas pública y otra privada). Cada uno de ellos comunica la clave pública al otro utilizando el método que más sencillo le sea, pues como hemos dicho anteriormente, no pasaría absolutamente nada si algún intruso la obtuviese. Cuando Fernando quiera transmitir un mensaje a Macarena, utilizará la clave pública de esta para cifrarlo y cuando Macarena lo reciba, deberá descifrarlo utilizando su propia clave privada. Como se puede ver, se han solventado las desventajas de la criptografía de clave privada.

La criptografía asimétrica se utilizará para firmar documentos de

manero digital.

Como es lógico pensar, estas claves se generan a la vez y se encuentran relacionadas matemáticamente entre sí mediante funciones de un solo sentido; resulta prácticamente imposible descubrir la clave privada a partir de la pública. Veamos un ejemplo: enviamos un mensaje cifrado con una clave pública basada en el praducto de dos números primos grandes. Cuando el receptor recibe el mensaje debe descifrarlo, y para ello deberá hacer uso de la clave privada, basada en uno de los números primos que forman el producto que recoge la clave pública . En caso de no conocer alguno de los números primos que conforman la clave pública sería extremadamente difícil descifrar el mensaje. Clave privada

Clave pública

y

y

'A\lA\JA' 'A\I~\JA' Texto claro

Encriptación

Texto claro

Texto cifrado

Desencriptación

Fig. 4.7. Cifrado con clave pública.

Como observamos en la imagen anterior, la clave pública es conocida por numerosas personas, mientras que la clave privada debe ser guardada por el receptor con celo para no comprometer la confidencialidad de los mensajes.

86


Sistemas de identificación. Criptografía

4

Caso práctico 3

9

Generación de un par de claves para usa de cifrado asimétrico

3. Una vez seleccionado el tipo de clave a generar, debe-

Esta práctica la desarrollaremos mediante la herramienta gpg en la distribucián GNU/Linux Ubuntu.

mos seleccionar el tamaño de la misma. Cuanto mayor sea la clave, más segura será contra ataques de fuerza bruta, pero más lento será el proceso de cifrado y descifrado, además de incrementar la longitud de la firma digital. La herramienta nos permite seleccionar entre 1024 y 4096 bits. Elegimos el tamaño que nos indica por defecto escribiendo 2048.

1. Ejecutamos la instruccián gpg can el parámetro -genkey.

2. Al ejecutar la instruccián la herramienta nas pide que seleccionemos el tipo de clave deseada. Nos ofrece tres opciones; la primera DSA y EIGamal que generará las claves tanto para encriptar como para firmar; la segunda opcián DSA y la tercera, RSA, generarán un par de claves para firmar. Seleccionamos la opción 1, que es la opción por defecto que nos propone la herramienta.

4. Por último, debemos especificar el tiempo de validez de la clave. En nuestra práctica vamos a generar una clave con un periodo de duración de un mes (escribimos 1mi. En caso de necesitar más tiempo podríamos aplazar la fecha de caducidad.

!rthlvo EdItar Mer ~rmrnal AY.uda adrnin1strador@Jupiter:-$ gpg .. gen:k~ 1 'r- - - - - - - - -,ol gpg (GnuPG) 1.4.9. Copyright (e) 200B Free !:l. ,¡are Foundation, Inc, This is free software: you are f ree to change and redistribute it. There is tlD WARRANTY. to the extent permitted by law, Por favor seleccione tipo de clave deseado: (1) OSA Y ElGaoal (por defecto) (2) OSA (sólo firmar) (5) RSA (sólo '- "rJ ¿SU elección?: 1 2 El par de claves D~" tendrá 1024 bits. las claves ElG-E pueden tener entre 1024 y 40 0" hits de longitud. ¿De que tamaño quiere la clave? (2048) 20<l0 3 El tamaño requerido es de 2048 bits Por favor, especifique el periodo de validez de la clave. o ., la clave nunca caduca en> la clave caduca en n dias <nloW .. la clave caduca en n semanas <nlora '11 la clave caduca en n /teses <nloy .. la clave caduca (' años ¿Validez de la clave (O)? 1m 4 la clave caduca mar 20 oct 200~ ~..: d:16:41 CEST ¿Es correcto (s/n)? s lO

Fig. 4.8. Generación de la pareja de claves, cia de la elección de una buena clave. Debemos tener especial cuidado a la hora de seleccionar la contraseña, ya que si algún intruso consigue la clave privada, podría mediante algún método descubrir la contraseña y tener acceso a todos nuestras documentos y mensajes cifrados. En las contraseñas no debemos utilizar palabras ni en castellano ni en ningún otro idioma, debemos mezclar tanto números como letras mayúsculas y minúsculas, debemos intercalar símbolos, como paréntesis, dólar, etc. Una buena contraseña es crucial para el uso de gpg.

5. Además de los parámetros de la clave, la herramienta nos solicita información sobre nosotros. Debemos indicarle nuestro nombre, correo electrónico y algún comentario.

6. Una vez que se introduzca la información del usuario, se crean las claves. En ese momento la aplicación nos informa que es necesario generar muchos bytes aleatorios por lo que es conveniente que mientras se crea la clave movamos el ratón o trabajemos en otra ventana, etc.

7. gpg necesita una contraseña para proteger las claves, por lo que nos solicita que introduzcamos una frase. Sí, nos solicita una frase para hacer hincapié en la impartan-

B.

Para finalizar listamos las claves mediante la instrucción gpg con el parámetro -k.

pub 1024D/15D922Be 2009·89-22 uid Fernando Delgago (Tecnico de 5eguridad informatica de la presa SiTour) <f.delgad~mai1.com> sub 204Bg/C1555A7B 2009-09-Z2

Fig. 4.9. lisIado de claves de Fernando.


----; / 4 Sistemas de identificación. Criptografía ------------------~--------------------

Q

Casa práctico 4

Generar un certificado de revocación con lo herramienta gpg poro informar a 105 usuarios que lo clave pública no debe ser usada nunca más Se recomiendo que inmediatamente después de generar los claves, el usuario cree un certificado de revocación para lo clave público. De esto manero si el usuario olvidara lo contraseño o perdiese o viese vulnerado su clave privado por algún intruso podría publicar en algún servidor de Internet como el HTTP://PGPkeys.mit. edu: 11371 el certificado de revocación poro informar 01 resto de usuarios que no debe ser usado nunca más. Uno clave público revocado puede ser usado para verificar firmas hechos por el usuario en un posado, pero nunca podrá ser usado paro cifrar datos. Paro esto práctico utilizaremos lo herramienta gpg con los siguientes parámetros: - k: listo todos los claves. -gen-rev oke : genera el certificado de revocacián poro la clave especificado. Debemos utilizar el siguiente formato: gpg -gen-revoke identificador _ clave, siendo el identificador_clave el númera que identifico lo clave o el nombre o el apellido del usuario o el correo o cualquiera de los palabras del comentario.

1. Antes de revocar lo clave, debemos conocer su identificación; poro ello listamos los claves mediante lo instrucción gpg con el parámetro -k. 2. Generamos el certificado de revocación mediante lo instrucción gpg con el parámetro -gen-revoke. En nuestro coso utilizamos el número que identifico lo clave poro crear un certificado de revocación poro lo mismo. 3. Respondemos afirmativamente o lo pregunto. 4. Posteriormente debemos indicar lo rozón por lo que se creo el certificado de revocación . Debido o que lo estamos generando inmediatamente después de creor lo clave, lo razón de lo revocación no es ninguno de los que nos propone, por lo que seleccionamos la primera opción ¡introducimos un cero). Después escribimos nuestra decisión: " Este certificado se creó inmediatamente después de crear la clave. Hoy puede ser que esté comprometido o bien no vuelva a ser usado». 5. Por último, introducimos lo contraseña de lo clave. 6. El certificado de revocación ha sido creado y nos lo muestro en pantalla, advirtiéndonos que lo podemos imprimir y después debemos guordarlo en algún lugar seguro, ya que si alguien se apodera del mismo, podría utilizarlo para inutilizar la clave. Todo este proceso lo podemos ver en lo Figura 4.10:

B

1 p~b

lPZ(P¡ U'E8Z11 l009· M·20 IIcaduca: 2009-111-26 11

llac."n, Sub lil

\lId lub

i P (1) '~I II'"

.cblnhlt.dorOJuplter:- , gpg ··gen . ruoLe I fl;

lit ¡"11th ) Clurfn~ll.{o~

2G.1'g/J.O!06DHf 2009-09-:10 " '.¿Uf. : 1009·10·2011 lM~UF

2

IOZ'Pf'JHnn 11)(19·01·]1 Mitarfn. 5cl>til (p",'et or. ¿ e Ingt h l a.ou'en'J9

.... n.u....

¡(ru . un ee rUfütl!D de ' IVOC.tU" ~Irl u ta Clav.l'

'D' f nor .UJ. un. ru6n plrl h .tvo¡¡cHn: D • No Ir 1110 nl"llUl'I rl16n

I

3

,

I ~ ~ ,hv. h. I I ~o co::prO!'etid. 1 • I I chv. 11. sido ...... phud •. 1 • II ch_. y. no nI' en UIO

IP~O;'~~~~~:; Q~.rll

Illmionlr 1 aqui) 4 duht6 M O ' ntroduZCI un. dttcrlpcl6n opcional; lC'bt\a con una

5~

~ \i~·· · "ac1a,

:/~~: ~:;!1~!~:~~~I~~e: !~:~d~~t~~:~~: ~e:~~t~I~~'~r." 5

clm.

I

Hoy puede 1 ;

Fig. 4 .10. Proceso de creación de certiFicado de revocación.

l8


Sistemas de identificación. Criptografía

Casa p'ráctico 5

4

9

Intercambiar claves mediante la herramienta gpg Para poder comunicarnos de manera segura, debemos intercambiar las claves públicas con todos aquellos usuarios con los que queramos establecer una comu-

nicación. Antes de poder enviar la clave pública a otro usuario debemos exportarla. Para ello debemos utilizar la herramienta gpg con el parámetro -export seguido del identificador de la clave (como vimos en el caso práctico anterior como identificador, podemos utilizar el nombre, cualquier palabra del comentario, el correo ... ). En nuestro caso, Fernando quiere comunicarse con Macarena, por lo que debe exportar su certificado (guardar la clave pública en el archivo fernando.gpg).

lB Archivo fditar :ier rermlnal fernandO@Jupiter:-s gpg ·k

Ayuda

G

~~~~~~~~~~~~~~:: ~~~~~:~~~~:~~: ~~~

I

pUb 1924D/1SD9228E 2999-09-22 u1d Fernando Delgago (Tecnico de seguridad informatica de la ero presa SiTour) <f.delgadO@grna i l.com> sub 2848g/ClS55A78 2899-89-22 fernandO@Jup l ter:-s 2pg -·output fernando . gpg --export Fernando fernandO@Juplter:-s I

Fig. 4 .11. Exportación de las claves de Fernando.

Una vez que ha exportado la clave, Fernando debe hacérsela llegar a Macarena para que esta la guarde en su anillo de claves, lugar donde se almacenan todas las claves públicas que se poseen. Suponemos que Macarena ha recibido la clave pública de Fernando. El archivo fernando.gpg lo ha almacenado en su carpeta personal como podemos ver en la Figura 4.12. A continuacián Macarena debe importar la clave de Fernando a su anillo de claves mediante la herramienta gpg con el parámetro -import y el nombre del archivo a importar, como se muestra en la Figura 4.12 . . <:.~ •

Archivo fditar :ier Ji!nnlnal Ayuda macarena@Jupiter:-s 15 G Docur.:entos examples.desktop II:1lÍgcncs Plant illa s Videos Escritorio fcrnando . gpg ¡'¡ lisica Público macarena@Jupiter:-S gpg - -import fernando. gpg ¡ gpg : clave lSD9228E: clave pública "Fernando oetgago (Tecnico de seguridad i ntor matica de la empresa 5iTour) <f . delgadO@gmail.com>" importada gpg: Cantidad total procesada : 1 i!!!portadas : 1 gpg:

I I

Fig. 4.12. Importación de la clave de Fernando al anillo de Macarena.

Actividades

En la Figura 4.13 vemos que ahora Macarena posee la clave pública de Fernando.

6_ La ArchIvo fdltar yer rermlnal

Ayuda

r:1acarena@Jupiter:-s gpg ·k Ihome/rnacarena/ . gnupg/pubring. gpg

~

............. . .............. _----

pub 1024D/61C2F898 2099·99- 22 (( caduca: 2099 ·10- 22]] uid Macarena Subtil (Seguridad Informatica SiTour) ail.com> sub 29489/941888CO 2909 -99· 22 (( caduca: 2999 -19- 2211

<IIlacare n a~gm,

1

pub 19240/1SD9228E 2999·99·22 1 uid Fernando Oelgago (Tecn i co de seguridad informatica de la ern presa 51Tourl <f . delgadO@gmail.com> sub 2948g/Cl555A78 2999·09-22

I

Fig. 4. 13. Listado de claves de Macareno .

9'

herramienta gpg, mediante el parámetro -output, permite grabar el certificado de revocacián en un archivo. Vuelve a generar un certificado de revocación para la subclave que se guarde en el escritorio con el nombre de cert_

revocado.asc.


Sistemas de identificación . Criptografía

3.3. Criptografía híbrida La desventaja de la criptografía de clave pública es la lentitud del proceso de cifrado y descifrado, que obedece tanto a la comple¡idad de los métodos utilizados como a la longitud de las claves. Pensemos que una longitud típica de una clave utilizada en criptografía simétrica es de 128 bits frente a los clásicos 2048 bits que se suelen utilizar para el tamaño de las claves en criptografía de claves asimétricas. Otra de las desventajas es el mayor tamaño de la información cifrada con clave pública frente al tamaño de la misma cuando se cifra con clave privada. Todo esto nos hace pensar que lo ideal sería utilizar criptografía de clave privada para intercambiar mensajes, pues estos son más pequeños y además el proceso es rápido, y utilizar criptografía de clave pública para el intercambio de las claves privadas. Veamos el siguiente ejemplo: Gustavo quiere intercambiar información con Virginia utilizando como clave privada "CIFRADO". Para ello, antes de nada, Gustavo mandará un mensaje cifrado con la clave pública de Virginia, en el que informa de la clave que utilizarán ("CIFRADO,,), así solo Virginia podrá descifrar el mensaje y conocer la clave que utilizarán para la posterior comunicación.

4. Algoritmos Los algoritmos son los métodos que se utilizan para transformar el texto claro en el texto cifrado. Para aclarar esta definición, vamos a analizar el cifrado por sustitución del César. El algoritmo consiste en sustituir cada letra del texto sin cifrar por otra letra del mismo alfabeto que se encuentra situada en el orden del diccionario N puestos por delante. N es el valor de la clave, que como podemos ver, junto con el algoritmo, determinará exactamente la letra que sustituirá a la original.

I principio Kerckhoff es la base de la mayor parte de los sistemas actuales de seguridad, en los que la seguridad recae en algo que el usuario sabe

(una clave), algo que el usuario posee (una tarjeta de identificación) o algo que pertenezca a

la naturaleza del usuario luna huella digital).

El principio de Kerckhoff establece que la fortaleza de un sistema de cifrado debe recaer en la clave y no en el algoritmo, lo cual quiere decir que aunque el algoritmo sea de dominio público (y este es el caso de la mayoría de ellos en la actualidad), si no conocemos la clave, no seremos capaces de descifrar los mensajes. Como podemos imaginar, hoy en día se utilizan diferentes algoritmos, algunos válidos para criptografía de clave privada y otras para criptografía de clave pública. DES, 3DES, RC4, IDEA Y AES son nombres de algoritmos de clave privada y DH, EIGamal, RSA de clave pública, entre otros. Los algoritmos de cifrado se clasifican en dos tipos: •

De bloque: llamados así porque dividen el documento en bloques de bits, que por lo general son del mismo tamaño, y cifran cada uno de estos de manera independiente, para posteriormente construir el documento cifrado. Cuando se envía un documento cifrado utilizando un algoritmo de bloque, primero se cifra completamente el archivo a enviar y luego se realiza su transmisión.

De flujo: se diferencian de los anteriores en que se cifra bit a bit, byte a byte o carácter a carácter, en vez de grupos completos de bits; son muy útiles cuando tenemos que transmitir información cifrada según se va creando, es decir, se cifra sobre la marcha. El algoritmo de nombre AS que se utiliza en la telefonía móvil es de este tipo, pues según se van generando los bits que hay que transmitir, se van cifrando uno a uno y poniendo inmediatamente en el aire.

~ Actividades 7.

90

Indica cuál es el algoritmo en el cifrado de la escítala y cuál es la clave.


Sistemas de identificación. Criptografía

4

5. Función Resumen También se conocen por su nombre inglés hash; son funciones que asocian a cada documento un número y que tienen la propiedad de que conocido el valor numérico, no se puede obtener el documento. Estas son conocidas por el nombre de funciones de un solo sentido. El tamaño de un documento en bits podría ser una función resumen; también podría serlo, por ejemplo, la función que a cada documento le asocia su fecha de creación. Y aunque es verdad que estas dos funciones son funciones resúmenes, serían muy pocos útiles en el mundo de la criptografía, porque no cumplen los dos requisitos fundamentales: el primero de ellos, debe ser muy difícil que dos documentos distintos tengan el mismo resumen, y el segundo, que debe ser muy difícil, por no decir imposible, crear un documento a partir del valor de su resumen. Como vemos, si nos fijamos en el primer ejemplo de la función tamaño en bits de un documento, no cumple ninguno de estos requisitos, pues es fácil que dos documentos tengan el mismo tamaño, y aún mas fócil es crear un documento que tenga un tamaño dado. Esto nos hace pensar que la manero de obtener el valor resumen de un documento empleará algoritmos complejos matemáticamente, para que así pueda cumplir las dos especificaciones de la función resumen. Algunos de estos algoritmos son el MD5 y el SHA. El aspecto que tiene el valor hash o función resumen de un documento utilizando el algoritmo MD5 es lDE928978E2BF219F76ElC5C2A9CCB1A; como podemos ver, un número escrito en hexadecimal de 32 dígitos, o lo que es lo mismo de 128 bits. El resultado de aplicar este algoritmo a un documento siempre genera un número de 128 bits. Sabemos que en Linux las contraseñas de los usuarios se encuentro n en el fichero /etc/ passwd o en versiones más actuales en el fichero /etc/shadow. Como imaginamos, estas contraseñas no se encuentran en texto claro, sino que se almacenan en estos ficheros utilizando funciones resumen; los algoritmos que más se utilizan son el MD5 y el SHA512. Se recomienda utilizar este último pues se considera el MD5 mucho más inseguro. En el siguiente texto se muestran las contraseñas de dos usuarios, el primero de nombre Macarena, con contraseña SHA-512, y el segundo Fernando, con contraseña MD5. A continuación se muestra un extracto del fichero shadow donde se guardan las contraseñas cifradas de los usuarios de las últimas distribuciones de Ubuntu. macarena:$6$R977XEKW$TPt4CYwdX3 85zM4BkaOXBS51V4GES 1n R04PxBOoHys/ qx/BXeEOH6wGW2vID.GRaeUfKhlvIUpg uD/7imHeNu 1: 14595:0:99999:7::: fernando:$l $U9Cre44W$V2mwkCU1 uH117zqWaqc7L/: 14595:0:99999:7::: Como se puede observar en las líneas anteriores, la contraseña de Macarena, que utiliza el algoritmo SHA-512, es mucho más larga y por tanto será menos vulnerable que la de Fernando, que ha utilizado el algoritmo MD5 para ocultarla.

Actividades

9t

8. Bájate de la página http://www.blisstonia.com/softwore/WinMD5/#download la aplicación WinMD5, que calcula el valor resumen de un documento utilizando el algoritmo MD5. a) Crea varios documentos de texto.

b) Calcula mediante la aplicación sus valores hash. c) ¿Son muy parecidos los valores resumen de los documentos?

d) ¿Cómo son los valores hash obtenidos de dos documentos iguales que difieren exclusivamente en una letra?

En muchas páginas web te pue· des descargar además de un archivo su valor resumen para así comprobar si alguien ha

modificado el archivo original

y

por tanto su valor no coincide con el que debería tener.


Sistemas de identificación. Criptografía

6. Firma digital Cuando estampamos nuestra firma manuscrita en un documento, [e estamos dando a[ mismo veracidad y aceptando nuestra respansabi[idad sobre [a que en é[ se diga. Por eiemp[o, cuando firmamos un contrata de trabaia estamos aceptando [as condiciones que en este se establecen y por tanta responsabi[izándanas de [as mismas. Cuando firmamos una declaracián de [a renta, estamos admitiendo que ese es e[ dinero que nos deben deva[ver a e[ que (esperemos que na) tenemos que entregar nosotras a [a Agencia Tributaria. La firma digital viene a sustituir a [a manuscrita en e[ mundo de [a informática. Es decir, si firmamos de forma digital un documenta, [e estaremos dando veracidad y como sucede con [a firma manuscrita, no podremos decir que no [o hemos firmado nosotras; por [o tanto, seremos responsables de [o que en é[ se diga. La descripción del mecanismo de firma electrónica es e[ siguiente: •

Se calcula un valor resumen del documento, utilizando algún algoritmo como e[ SHA.

Este valor resumen se cifra uti[izanda [a clave privada de nuestra pareja de claves púb[ica-privoda (sí, has leído bien, resulta que no sólo se puede cifrar con [a clave pública, también algunos algoritmos de cifrado asimétrica permiten cifrar con [a clave privada, en especial [os que se utilizan para firmo digital. Esto permite asegurar que [a única persona que ha podido firmar e[ documenta soy yo, e[ único que conoce [a clave privada).

E[ resultado de este valor es e[ que se conoce como firma digital del documento.

Texto claro

~

Clave pnvada utilizada para firmar

1 =,.,.&:;=".,,'P~.:.;¡ ~ =' ' ~'P~.:. Función hash

I

Resumen del mensaje

I

j

Resumen firmado con clave privada

Texto claro + firma

Fig. 4. 14. Esquema del proceso de firmar digitalmente.

Como se deriva del pracesa recién exp[icado, [a firma digital nada tiene que ver con e[ cifrado del documento en sí. En ningún momento hemos cifrado e[ archivo, y es que si pensamos en e[ praceso de [a firma manuscrita sucede que nunca cuando firmamos un papel [o estamos cifrando. Esto no quiere decir que no se pueda, también, cifrar y además firmar e[ documento. También podemos deducir que dos documentas distintos firmados digitalmente por una misma persona tendrán firmas digitales distintas, pues [os va[ores resumen del documento nunca serán iguales, y por tanto esto diferencia a este tipo de firma electrónica de [a firma clásica, pues esta última siempre es [a misma para [a misma persona firmante.

~ Caso ,,-rédico 6 Firma digital de un documento para asegurar la autenticidad del autor y la integridad del dacumento enviado Vamos o utilizar [o herramienta gpg con [os parámetros:

• •

-clearsign: e[ contenido del documento o firmar no es cifrado, por [o que es legible para cuo[quier usuario sin ningún software especial. Solo será necesaria [a op[icación gpg para verificar [o autenticidad de [o firma. -s: firma con [a clave privada del usuario. E[ resultado es un fichero comprimido (binario) ilegible. - b: se utiliza cuando se desea que [a firma aparezca en un fichero separado; cuando se quiere firmar un

archivo binario, como ficheros comprimidos, ejecutob[es ... En esto práctica vamos o ver [os distintas opciones que podemos utilizar para [a firma de un documento.

1. Ejecutamos [a instrucción gpg - -clearsign Documento

secreto.

2. Introducimos [a contraseña de [a clave privada con [a que vamos a cifrar e[ documento. (Continúa)


Sistemas de identificación. Criptografía

4

Casa práctico 6

9

(Continuación)

3. Al finalizar el proceso, obtenemos un fichero con el

Vamos a cifrar el mismo documento utilizando el parómetro -s; para ello debemos ejecutar la instrucción gpg -s Documento sec reto.

mismo nombre que el archivo a firmar con extensión asc (en nuestro caso Documento_secreto.asc). Como podemos ver en la Figura 4.15, en primer lugar aparece el texto en claro del documento firmado y posteriormente la firma.

El resultado es un fichero binario ilegible. Para poder abrirlo con el editor de textos le añadimos a la orden anteriar el parámetro -a, obteniendo el siguiente resultado.

Archivo fditar yer Buscar Herramientas D.ocumentos Ayuda

[b EJ v

Nuevo Abrir

@ Documento)iecreto.ase

····BEGIII PGP SIGtIED HESSAGE··· · · Ha5h: SHAl Docur:ento secreto Que se enviará a lIacarena fincado. De esta r:anera nos as egura:os la aut enticidad y la integri dad del

El i

Guardar

IJ

~

1

Imprimir...

Desh;:¡Cel Hch<lccr

I c~¡¡r

copiur Pegar

I

I-----BEGIN PGP HESSAGE----Version: GnuPG v1.4.9 (mlU/Linux) n51:O.

·· ···BEGIU PGP SIGIIATURf····· ve rsion: GnuPG v1.4. 9 (GUu/Unux] iEYEA/lECAAYFAkq+jGYA(gkOhB sEcxXZloSuMA(gqzKJRl~6o(lJGTnDdq)(rl/ rz

/ UwAnj uyYYULD8oH3f upxKhP7Kb9a3GK "SIo'Il E ·-·- · ElIO PGP SIGIIAT\JRE-----

Fig . 4 .15. Documento firmado con opción - -clearsign.

Por último vamos a analizar la salida que produce la ejecución de la instrucción gpg -b -a Documen to_ secreto. Como hemos comentado anteriormente se suele utilizar cuando se firman documentos en binario, como los ejecutables, ficheros comprimidos ... La salida es la firma del documento separada del mismo, como se puede ver en la Figura 4.17

j A9EAwtlCVW3L r7 JZhBVgyY j CEl j Sj dVCdZfgtl eCPBoUc9BM9pdtnt ltjohhSKWSrl q4dwW4MHWZBnBAYdtDUR9UWfn231uKVrfAkztiBHCZFosousDnwOrkpaVW8IOBR cdipiI'Nz lZI9VtJwYslUkvIXI F4DiWC kmHt2G230eg 1OEEv Ps7VFTCO FBS3y j cSe YdW02sqqniEw =AgTN -----END PGP HE5SAGE-----

Fig. 4.16. Documento firmado con opción -s.

I~

Archivo fditar yer Buscar !:Ierramientas Qocumentos

N~O ~r .., Gu~<!r I (mp~ir... luDocumento secreto.ase I

I

Deshacer fle!lacer

..

Aluda

1lID !

Cort ar Copiar Pegar

IJ

-----BEGIfj PGP SIGtjATURE· .. •• Version: GnuPG v1.4 . 9 (GtjU/Unux) iEYEABECAAYFAkq+1WEAcgkQhaSEc)(XZI06gggcgzNqPrsrEH'r14RYpHbWLEjAAEY pygAOIg6SROBJVmUWJextaBficGyD5Nl =tlH3j -----EtlD PGP SIGNATURE· ....

Fig. 4 .17. Firma del documento con opción -b.

Describamos ahora el proceso de comprobación de una firma digital, que a diferencia de la comprobacián visual de la firma manuscrita, se tendrá que realizar mediante algún método informático. El que se utiliza es el siguiente: •

La firma se descifra utilizando la clave pública del firmante (has vuelto a leer bien, pues algunos algoritmos de cifrado asimétrico y en particular los que se emplean para la firma digital descifran con la clave pública lo que se ha cifrado con la clave privada), y con ello, como se deduce del método de firmado, se obtiene el valor resumen del documento.

Se obtiene el valor resumen del documento utilizando el mismo algoritmo que en el proceso de cifrado, por ejemplo el SHA.

Por último se comparan los dos valores resúmenes obtenidos en los dos procesos anteriores y si estos coinciden entonces la firma es válida; si estos son distintos la firma será nula.

Actividades ~ 9. Comprueba la validez de las firmas digitales creadas anteriormente. Paro ello deberás utilizar el parámetro -ve r ify de la herramienta gpg.

Como puedes observar, dado el proceso de comprobacián de la firma, cualquier persona que quisiera comprobar tu firma de un documento necesitaró tener nuestra clave pública.

93 - -

,

,

-

..

, '(

.}W

tb:'


Sistemas de identificación. Criptografía

7. Certificados digitales El certificada digital es un documento que contiene fundamentalmente información sobre una persona o entidad, guarda su nombre, su dirección, email. .. , y una clave pública y una firma digital de un arganismo de confianza (autoridad certificadora) que rubrica que la clave pública que contiene el certificado pertenece al propietario del mismo. Esta última firma podriamos decir que es la más impartante del certificado, así como la firma del director de un colegio es lo más importante del certificado académico, pues sin ella este no tendría validez. Como podemos ver en el ejemplo, no sirve la firma de cualquier persona, sino que debe ser la del director del centro, por ser la persona en la que se confía paro dar validez a dicho certificado. Lo mismo ocurre con la firma digital, que lleva un certificado creado por algún arganismo de confianza; en España es La Casa de la Moneda y Timbre la que firma los certificados digitales de los usuarios. Estos certificados nos facilitan muchos de los trámites que debemos realizar con las administraciones públicas, podemos entregar la declaración de la renta, consultar nuestra vida laboral y otras muchas gestiones. Todo ello gracias a que el certificado digital establece la identidad del usuario en la red. Nombre: Inés Fernández Subtil. D~a:

4496430-H

Dirección: La estrella 10 Clave publica: AB56FE77 E9898FE ......... A8899808FAD55 EC8A45FBB45 ..

Fig. 4.18. Firma manuscrita. Certificado

?~

:•

I

General DetaUes Ruta C'e certificación

Mostrar:

I

I<To_dos>

El

Como podemos ver en la siguiente figura el certificado almaceno los siguientes campos:

V3

jueves, 23 de septiembre de 2 .. . Macarena Subtil Marugan, Divi .. . RSA (512 B~s) CN = SiTourCA

OU c::: Division de certificados 0= SITOUR.5A. L = Fuentemilanos 5= Segovia C=ES E = macarena@sitour.com

Motfificar propiedades...

Al igual que existen multitud de formatos para guardar una imagen (jpg, bmp, png ... ) también existen multitud de formatos para los archivos que alrnacenan los certificados digitales. El más extendido y usado en Internet es el estándar conocido como X.509

I

Copiar en archivo...

I

Versión, número de serie.

o

Algoritmo de firma (identifica el algoritmo utilizado para firmar el paquete X.509).

o

La autoridad certificadora (en la figura emisor).

o

El periodo de validez (válido desde y válido hasta).

o

El propietario de la clave (asunto.

o

La clave pública.

o

La firma digital de la autoridad certificadora.

o

Huella digital.

o

Uso de la clave.

o

Dirección web donde se pueden consultar las prácticas de certificación.

Aceptar

Fig. 4.19. Campos de un certificado.


Sistemas de identificación. Criptografía

8. PKI PKI son los siglas de Public Key {nfrastructure (infraestructura de clave pública), o lo que es lo misma, todo lo necesario, tanta de hardware como de software, para las comunicaciones seguras mediante el uso de certificadas digitales y firmas digitales. De esta manera se alcanzan los cuatro objetivos de la seguridad informática que estudiamos en la primera unidad: autenticidad, confidencialidad, integridad y no repudio. Las PKI están compuestas de: •

La autoridad de certificación, también conocida por sus siglas CA (Certifica te Authority), es la entidad de confianza encargada de emitir y revocar los certificados digitales.

La autoridad de registro, también conocida por sus siglas RA (Registration Authority), es la encargada de controlar la generación de certificados. Primera procesa las peticiones que hacen los usuarios, posteriormente comprueba la identidad de los usuarios exigiéndoles que les presenten la documentación oportuna que permita verificar la identidad de los mismos y por último solicita a la autoridad de certificación la expedición del certificado digital.

Las autoridades de los repositorios donde se almacenan los certificados emitidos y aquellos que han sido revocados por cualquier motivo (haber sido comprometidas las firmas) y han dejado de ser válidos.

Todo el software necesario para poder utilizar los certificados digitales.

Política de seguridad definida para las comunicaciones.

En España para realizar numerosos trámites con las administraciones públicas por Internet nos exigen el uso de un certificado digital que asegure nuestra identidad. Dicho certificado es emitido por la Fábrica de la Moneda y Timbre, autoridad de certificación, que haciendo uso de numerosas oficinas de la administración pública (tesorerías de la Seguridad Social, oficinas de la Agencia Tributaria) como autoridades de registro verifican que la persona que solicita el certificado es quien dice ser al presentar el documento nacional de identidad en dichas oficinas.

Caso práctico 7

9

Instalación de una entidad emisora de certificados En esta práctica vamos a instalar un servidor de certificados en un host, que tiene como sistema anfitrión un Windows 2000 Server. Con esto conseguiremos que los empleados de nuestra compañía obtengan certificados digitales, tras solicitárselos a este host. Más tarde los podrán usar para el envío de correo electrónico seguro y/o para la firma digital de documentos.

-

o !JI S..ooo do CootlaIo s.......

'i'l 'J'SOl'YiciodoIrOooS.....

~~: ~

D::IS..ooodo~_.

1.7101S

.J

'~"'R .:J

1. Instalamos en nuestro servidor, Jupiter, el liS, para ello accedemos al panel de cantrol. Hacemos doble c1ic en el icono Agregar o quitar programas y dentro de éste, hacemos c1ic sobre Agregar a quitar componentes de Windows. En la lista de componentes marcamos las opciones que se ven en la Figura 4.20.

E_loIII ondo<o-,,>: E...-z,<k¡xrijooncb:a

rulUl 705JJIIoIB

Fig. 4.20. Agregamos componentes de Window5.

(Continúa)

4


Sistemas de identificación. Criptografía

~ Casa práctica 7 (Continuación)

2. Instalamos el servidor de certificados. Volvemos a Agregar o quitor componentes de Windows de la misma manera que en el paso anterior y morcamos la opción que aparece en la siguiente figura.

_

......... _---"

".. _ ..-...,_ ......... .-,,--.u.o... _............. ;::...:.. ........... ..,P..-

,,~

:m.tll P-*'

.:J

:::"...'!:.:W':=:0I0a::::~.c=--

( _ _ ..,_~

E..................

.

lJ~

r.ttU1II

_ .._ -- - -- --- --_ .Fjg. 4.21. Instalación servidor de certiFicados.

3. Después de pulsar en Siguiente, le indicamos a la aplicación que queremos instalar una entidad emisora de certificados del tipo Entidad emisora raíz independiente (Fig. 4.22).

'...(,,,,_Il>00'' "' ................ "'-__ ''''_ r r"'4>.1,....,..~

~ ~

... .. _

po Eróidod ......... ...........

....:.J

rln1illod ....... ..-.............

,.~r- ... __.,,--f:--p-.,-_-=. =='::::':'~O::-~l:_-:-"'-'Io""'"

ro.m-_

Fig. 4.22. Instalación entidad emisora de certificados.

4. Al hacer clic en Siguiente, se abre un nuevo cuadro de diálogo, en el que debemos especificar el nombre de la entidad emisora, la organización, la ubicación de la misma, etc. (Fig. 4.23).

_.

~-

IJo1""'"

...-

15I'tuUA.

u.idoiI ...........

¡O;;;;;;;;oIo'-:-'

-1_.--- ,11"';'

~-

~"Io_ ,~-

.

"01........

¡u---

f -•••• -

1.... __ ""· ..... -.010 ... _ l' 1- 0!l~[Zi1111;m11131

Fig. 4.23. Datos de la entidad emisora.

••I

,.

(Continúa)

J


Sistemas de identificación. Criptografía

Caso p'ráctico 7

4

9

(Continuación)

5. En la siguiente pantalla, se nos permite modificar los directorios que se van a utilizar para guardar los datos referentes a este servidor de certificados. En nuestro caso, dejaremos los que propone, por lo que hocemos elic en Siguiente.

Fi'

6. Por último nos muestro un mensaje en el que nos informa que es necesario detener el servidor de páginas web liS. Hemos creado una entidad emisora de certificados. A partir de este momento, si entramos en herramientas administrativas vemos una nueva consola llamado Entidad emisora de certificados. cno¡dps

d~

Cerllfic<lte Servu de Mlcrolofl

---=Ó>"'_"" ... _l>,,~

""cr.>oU"'._'

I Fíg. 4.24. Directorios donde se guardan 105 datos del servidor de certiFicados.

=============---~. x

Fig. 4.25. Menso;e de aviso sobre fa creación del servidor de certificados.

Caso práctico 8

9

Petición y retirada de certificados de una entidad emisora En esta práctica vamos a aprender cámo debemos solicitar un certificado digital desde un ordenador de la empresa a la entidad emisora de certificados, que configuramos en el caso práctico anterior.

1. Abrimos el navegador, en nuestra caso Internet Explorer. Escribimos la URL http://jupiter/certsrv; Jupiter es el nombre del servidor de certificados. También podríamos haber utilizado la direccián IP del servidor en lugar de su nombre. Seleccionamos la segunda opcián, Solicitar un certificado, ya que es lo que nos hemos propuesto inicialmente. 1~ . I,jIO'''""i '" f ..... too

iN

J.... f'::,'l """" ......

"' 1Ifi~ ru- fbo~_ ífJ ~

.. ¡) .._

\\'9 DSA~do_"",,_

a Senlaosdo""'-'tc.tha_

BIenvenIdo Use eSle sitio web para solicitar un celtJ~cado para su explorador web, su chellle de coneo eledrónico u 0\10 programa seguro Una vez. que tUlya adqutrido un certificado, pedr;! Identificarse de una forma segura hada otras personas en elweb, firmar SuS mensajes de torTeO eleCllóllico. cifrar sus mensajes de correo electrónico, y m~s dependiendo del Ilpo de certificado que haya solialado.

Selllcclonar un. tarea: r Recupere el certlflcado CA o la lista de revocación de ceruficados 10 Soocitar un certificado (" Comprobar un certificado pendiente

~, ~ I

rrOOD Ci'!1 Hr..t1oul

~ 1 'I¡. 11D'to

.=.J ~

Fig. 4.26. Solicitud del certificado. (Continúo)

97


Sistemas de identificación. Criptografía

-1

~casop~ ra~ ·c~t~ iC= O~8~______________~__________________________

l'• -

' .••., ¿Sb· O losque

(Continuación)

Cuando creamos un certificado

2. En la nueva pantalla debemos seleccionar el tipo de solicitud; seleccionamos Certificado de protección de correo electrónico, ya que lo vamos a utilizar para

que está comprometido debe-

enviar correo electrónico.

mos revocarlo.

-_

lo podemos hacer mediante la línea de comandos_ Debemos escribir en el símbolo del siste-

~ .. I Itl ¡''''Ii).do<:"" " ,!,-"~,,-~ .•,,,

.... --,_ lto. ~ c.o",.. -

ma:

certutil -revoke serie Código_motivo.

CJoI.. ~

~ _niwrooI_ íD ~- ... ~.,.~ ~ os..~"_digl:. "

NQ EIIglrtlpo de leUtltud

los códigos de motivos válidos

Eija el Vpo de sc~ otud que le gl5tarla hat~

son los que se especifican en la

lO

siguiente tabla:

So~ atlld

1

de (eruf¡cadO de usuarin

~I!\"e .. o~ . "rJ".~,,\\·.~

.- iJ2 . 14 1. 1 Jj .

Sin especificar

.....

,--~

...~

:.:J B0 F:t ~

,..

O

So~ cilUd

J

.

;;.

avanzada

:So;-M. ~ r

Compromiso de clave

.:J

¡;;-;'~

Compromiso de CA

2

Afiliación modificada

3

Reemplazo

4

Cese de operación

5

Certificado retenido

6

Fig. 4.27. Selección del tipo de solicitud.

3.

Nos pide la información de la persona que solicita el certificado digital, su nombre, e-mail. ..

Relene la slguenle mloonaaón de ¡delllJfl(aoón que ud en su certJ~cadc 110mb. jF,man;,

Fig. 4 .28. Identificación de la persona que solicita el certificado.

4. Nos muestra un mensaje de alerta similar al que vemos en la Figura 4.29. Respondemos afirmativamente a la pregunta que contiene el mensaje de alerta, ya que en otra caso no solicitaríamos el certificado. Peligro potencial para la secuencia de comandos

- _

Este silo web est.S soklando Ln ooevo certflc.wo en su nombre. Sólo los si:Ios web de coriIanta deberÍ5l soIct.et certft:ados en SlJ nombre. lDesea soiI:iM tri cerficado?

~

11

No

Fig. 4.29. Mensaie de alerta sobre la solicitud del certificado. (Continúal


Sistemas de identificación. Criptografía

Caso práctico 8

4

9

(Continuación) En la última pantalla se nas indica que nuestra certificada se encuentro pendiente, deberemos esperor unas días hasta que un administradar acepte la solicitud después de comprobar que las datas enviadas san correctos . Una vez que sea admitido el certificado, el usuario que lo solicitó deberá recogerlo en el mismo PC en el que se solicitó el certificado. , .r

C.rtIfI=..do p.ndl.nt.

Se h.l reobido SU '" ¡ji t1l, "'4!ndMtt

S ' ~elrbar¡¡o cebe esper¡¡r mQIH U'1 O Clrnnoll¡a~or err~e ~ cerllfJ<:adO(¡,.te

' 01010

Vue fa a éste S1bO ... eb lientro ele l>'I!l o CW e:J l lIJra rea.;¡eral Su cel'\Jfi(,dQ

11." ,\:", \<1. "

'011 ' ''''''' ._:/,,. ,.,~. _.0 ~ ,"'ro " le ~. ,,00.'0"" '" "

r!l.:u:.

Fig. 4.30. Certificada pendiente.

5. En el mismo equipo, en el solicitamos el certificado, debemos retirorlo. Escribimos la dirección http://jupiter.certsrvyseleccionamos la tercera opción, Com-

probar un certificado pendiente.

, ..

~.

i ;.tl..

e.

i

¡; ;; l E .

I I .h,I..\1

E'#J

e"nv. nldo

wt'

UlI 'st' 5100 p,va I~ClIoIi U'1 etrt&CIOco Oira su ~pIoraaor IOfb. l u ~er:I' CIt ( oneo &cuónoco 11 0:;0 orl9"ama s~ UIIoI m q.>! 1U)·a ac:ranCl:l1nCM;~Ca&.l . poor&ldefllftaorst Of 161a 10'lIIa UQ".J"i hao. Clill pe<'lOllolS en d .. elI. ftmur IIIS mensa¡es oe CCOleo IIKDÓlICO. a lfar ~ n'II'I'IU¡f:1 oe coneo eIeaIónco ,m.li Cepencllen:lO celtrpo ere Clm!ftc.ao Q'Je 1\01}'3 S~Cl.ldo 50I.cclon., UIII tano : ,. R~e ~ CelIJbCi(ID CA o la Ista de r!"iOClOeoo ce cerofiClOol:l$ ,. Sai e lar .... ceftJfi caao ro Ccvn;:lobar U1 ceftJI,cadoptnd<'nle

· ¿Sb'''· -~ a las que •••• Fig. 4.31 . Solicitud para retirar certificado pendiente.

fI

Paro leer lo información que

6.

Elegimos el certificado, que queremos comprobar si ya ha sido admitido.

_---

DNI electrónico necesitas un lec-

~~~~~~~~~~~~~~--------------------~~~

v.t

-~

i'9 _ il

.. .

I f,oo ~ c-o .... _ "" ... .. _~_

O§5e

! i IAI

'00

tll-a;--1 I

tor de DN I; algunos teclados lo

p .

!!..! ~...--"' el---- ~ """""'cIo""'''''.R

contienen los certificadas del

ID---.. . .·

incorporan.

81 43

..1I!!!i!f1l ":'

Comp robar tln' s ollcltud d. cettln ca do pondlente

· 1' ·· 11"'''.

. Fig. 4.32. Solicitud para retirar certificado pendiente.

~. '''''

. (Continúa)

Fig. 4.33. Leclar de DNJ electrónico.


Sistemas de identificación. Criptografía

Q

Caso práctico 8

(Continuación)

7. Nos dará algunos avisos sobre la instalacián y nos mostrará la opción de instalar el certificado.

Clrtm""do ImlUdo

Fig. 4 .34. Emisión del certilicado.

8. Instalamos el certificado haciendo elic sobre Instalar este certificado. 9. Respondemos afirmativamente al permiso que nos solicita para agregar los certificados.

Este stIQ 'MIlI eot6 ~ I n ) o n>6s ~ I aste 1IqJpa. PerJrD- qua un 1Ilo 'MIlI <JIII no es d.. con'w.z8 fICtwIce RI5 catfbdcs ~ un lIo$gO por. '-~. El dIQ l'I'eb portIi lnItaIar ClI!tflc.-!os en los qJII no caiIa, lo <JIII poa,' ,1:SlI:1Ir en <JIII P1I'7...a5 qJe no sm d.. arIIan:a se ~ en este lICJ.IIIlo v lCaIdesen a RI5 detos. lDMM pennb> QW aste P"OQI'IIfIII ~ los a.tfIca:Ios1 Haoa de en S JI arilo en ...te 1Ilo...b. Haoa de en No si no a:t& en ,y.

Fig. 4.35. Aceptamos añadir el certiFicado.

10. Nos muestra una pantalla en la que nos informa de que el certificado ha sido instalado. I empleadas se conectan desde su casa a la red corporativa haciendo uso de tarjetas inteligentes que contienen la información necesaria para el acceso.

Por último, comprobamos que el certificado ha sido bien instalado. Abrimos Internet Explorer y hacemos elic en Herramientas, opciones de Internet. Hacemos elic en la pestaña Contenido y hacemos elic en Certificados.

~I""""I .... " ' - I

=

~

lnfonnadón del certlficado

Este [~rtlflcado está destinado a 105 siguientes propósitos: oProtegll

m rnensajel; di! r;orraa dectr6nico

EmItido por!iTcuCA

Válido desde 22/09/2009 hasta 22/09/2010

7> TIene trlad.sve privada witspOilkiLe a estll =tr~.

...., ""'_=. d;d:"'_""':O¡' Fig. 4 .36. Certilicada de Fernando.

100


Sistemas de identificación. Criptografía

Caso flráctico 9

9

Mandar correo electrónico haciendo uso de un certificado digital utilizando como gestor de correo Outlook Express

Se supone que el usuario tiene configurada una cuenta de correo en Outlook Express.

1. Debemos asociar nuestro certificado de usuario a nuestra cuenta de correo. Para ello en el menú de herramientas del Outlook Express seleccionamos opción cuentas y hacemos ciic sobre Propiedades. Internet

. ,....."

Cualquiera di,p...

Cerrar Fig. 4.37. Menú herramientas de Out/ook Express.

2. Hacemos ciic sobre la pestaña de seguridad.

'ª

Propiedades de Sitour

. '

?

IX

G.".,O/ I~ I~I Segy¡idad O~ 0.",,0<1..

Cuenta de ceneo Escriba el nombre que prefiera para referirse a 10$ @¡ ...." servidOfe$. Por ejemplo, "Trabajo" o ''Servidor de correo de Microsoft",

¡siloUl Infonnoci6n do tnIJlIrio

IMaca~ena Subtil Marugan

Nombre: Drgarización:

Dirección de correo e\eclrórice: Ditec:dón de re$puesla:

Imacarena@~jtour.e$

M IncIui le cuenta al recibir correo e1eclrónico o sincronizar

Aceptar

Fig. 4.38. Selección pestaña de seguridad.

(Continúa)

4


Sistemas de identificación. Criptografía

Q

Caso p'ráctico 9

(Continuación)

3. En la ventana de Seguridad, hacemos clic sobre el botón Seleccionar del Certificado de firma sobre el certificado expedido a nuestro nombre. Si no apareciese nuestro certificado en esta ventana debe ser porque cuando rellenamos la instancia al solicitar el certificado pusimos uno correo electrónico diferente al que estamos utilizando.

Fig . 4.39. Selección del certificado.

4. Cuando queramos enviar correo firmado debemos marcar la opción firmar digitalmente que se encuentra dentro del menú Herramientas a bien hacienda clie sobre el icono adecuado. ÜlI (ompra de billetes -

Archivo

..

--------

- --

Edldón

Ver

Insertar

111 Para: II! CC:

JFernando<ventas)

Asunto:

lcompra de billetes

Formato

I R.

»

Arlal

La compra de los 10000 billetes de avión encargados por el director.. .

.. Fig. 4.40. Envío de correo firmado digitalmente.

La única farma que tiene el destinataria de comprobar la autenticidad de la firma es mediante el certificado digital del remitente, pues este se ha mandado con el correo electrónico, por lo que puede comprobar la veracidad de la firma. Además al tener el certificado del remitente podrá hacer usa de su clave pública para mandarle correo cifrado can lo que nos aseguramos el na repudio, la confidencialidad e integridad de la información.


Sistemas de identificación. Criptografía

4

Comprueba tu a~rendizaie ~ Aplicar mecanismos de seguridad activa describiendo sus características y relacionándolas con las necesidades de uso del sistema informático 1. Inventa un método de cifrado simétrico para comunicarte de manera segura con un compañera. Describe sus características. 2. Describe las características del morse como método de cifrado. 3. Durante la Segunda Guerra Mundial se desarrollaron numerosas métodos de cifrado para ocultar la información al ejército enemigo. Realiza una investigación que recoja los métodos de cifrado utilizados durante dicha época. 4. Descubre el resultado de cifrar mediante Vigenere la siguiente frase: La máquina Enigma fue utilizada por los alemanes utilizando como palabra clave «secreta». 5. Cifra mediante el algoritmo del César la frase: "El gran avance de la criptografía tuvo lugar durante el siglo xx» utilizando el alfabeto castellano. Realiza el cifrado de la frase anterior utilizando el mismo algoritmo con el alfabeto inglés. ¿Has observado alguna diferencia o por el contrario el alfabeto no influye? 6. Relaciona mediante flechas: MD5 Escítala César Esteganografía Vigenére IDEA A5 EIGamal 7.

Sistema de sustitución Algoritmo clave privada Función resumen Polialfabético Sistemas de sustitución Sistema de transposición Algoritmo clave pública Algoritmo de flujo

Indica el método que se utiliza en el cifrada de la palabra computación:

nóicatupmoc ocpmtucaóin

0315131621200103091514 8. Descubre la rima de Gustavo Adolfo Bécquer que se encuentra oculta en el siguiente párrafo: ehvd ha dxud txh jlph eodqgdphqwh odv ohyhv rqgdv txh mxjdqgr ulcd; ha vro ehvd d od qxeh hq rfflghqwh b gh sausxud b rur od pdwlcd; od oodpd hq ghuuhgru gho wurqfr duglhqwh sru ehvdu d rwud oodpd vh ghvolcd;

b kdv.wd ha vdxfh, Iqfolq<;:qgrvh d vx shvr, do uOr txh oh ehvd, yxhoyh xq ehvr. Asegurar la privacidad de la información transmitida en redes informáticas describiendo vulnerabilidades e instalando software específico 9. Instala la aplicación gratuita pgp que podrás descargar de la página hllp://www.inicioo.com/descarga/win/ seguridad/pgp.htm. 10. Crea las parejas de claves que te permitan realizar cifrado asimétrico mediante la aplicación gratuita pgp. 11. Cifra un documento utilizando la aplicación del ejercicio anterior.

12. Mediante la aplicación anterior envía mensajes cifrados a tu compañero y descifra los recibidos. 13. Como hemos comentado en el apartado de certificados, estos nos facilitan muchos trámites por Internet. Solicita un certificado a la Casa de la Moneda y Timbre accediendo a la página de www.cert.fnmt.es. Posteriormente deberás pasar por la oficina de registro para identificarte y retirarlo según las instrucciones que aparecen en la propia página. 14. Consulta los puntos del carnet de conducir con el certificado digital solicitado en el ejercicio anterior. Solicita el certificado de empadronamiento. 15. Indica qué otros trámites puedes realizar con el certificado digital. 16. Consigue un certificado digital de un compañero y mándale un mensaje cifrado a través de Outlook Express a su cuenta de correo personal; tu compañero deberá descifrarlo utilizando también Outlook Express. 17. Investiga lo que contiene en su chip el DNI electrónico, para ello entra en la página web del Portal Oficial sobre el DNI electrónico: hllp://www.dnielectronico. es/Guia_Basica/descrip_fisica.html. 18. Haz uso de la esteganografía para ocultar un mensaje tras una fotografía. 19. Enumera los componentes de una infraestructura de clave pública y explica sus funciones. 20. En las últimas versiones de la distribución de Ubuntu las contraseñas de los usuarios se guardan cifradas utilizando el algoritmo SHA512 en el fichero /etc/shadow. Contesta a las siguientes preguntas: a) ¿Qué pasos hay que seguir para almacenar las contraseñas cifradas utilizando el algoritmo MD5?

b) ¿Qué comando hay que utilizar para que las contraseñas de los usuarios se guarden en el fichero que utilizaban las distribuciones antiguas?

J


1 /4

Sistemas de identificación. Criptografía

~~==~====~~~-------------

Esdtala Palybias Historia

César Vigenere

Clasificación métodos criptográficos

--C

"--~_.:.......::._--

Sustitución

Criptografía simétrica

Criptografía asimétrica

Criptografía híbrida

-C

Algoritmos

Función resumen

Firma

Certifícadas digitales

PKI

Transposición

Bloque Flujo


l\J~ udlOJcdl

Seguridad activa en el sistema

En esta unidad aprenderemos o:

• Instalar, probar y actualizar aplicaciones específicas para la detección y eliminación de software malicioso. • Clasificar y detectar las principales incidencias y amenazas lógicas de un subsistema lógico. • Aplicar técnicas de monitorización de accesos y actividad identificando situaciones anómalas. • Valorar las ventajas que supone la utilización de sistemas biométricos.

y estudiaremos: • La seguridad en el arranque y en particiones. • Las actualizaciones y parches de seguridad en el sistema y en las aplicaciones. • La autenticación de usuarios. • listas de control de occeso. • Lo monitorizoción del sistema.

• El software que vulnera la seguridad del sistema.


1 /5

Seguridad activa en el sistema

----~----------------------------------

l. Introducción a la seguridad del sistema El título del tema hace referencia a un concepto que vimos en la primero unidad, la seguridad activa, definido como el conjunto de medidas que previenen o intentan evitar los daños en el sistema infarmático. Se trata de estudiar qué mecanismos de protección podemos utilizar en nuestro equipo infarmática para evitar accesos indeseados de intrusos (personas a programas informáticos). Aprenderemos a mejorar la seguridad en el acceso al ordenador mediante el uso de contraseñas en la BiaS y en el gestor de arranque. También aprenderemos a impedir la carga de un sistema operativo desde dispositivos extraíbles, memoria externa USB, CD/DVD ... , a configurar las contraseñas en las cuentas, a mejarar la seguridad ante los ataques definiendo políticas de contraseñas y mecanismos de autenticación, y par último, auditaremos todas las acciones anteriores.

2. Seguridad en el acceso al ordenador Para evitar cualquier acceso indeseado a nuestra equipo debemos asegurar el arranque del mismo mediante el uso de contraseñas. Si analizamos el procesa de encendida del ordenador, recordaremos la importancia que tiene la BiaS en el mismo; es la encargada de localizar y cargar el sistema operativa o gestor de arranque.

2.1. ¿Cómo evitamos que personas ajenas modifiquen la BIOS? El uso de contraseñas para acceder a la BIOS evitará que personal na autorizado realice modificaciones indeseadas en la configuración de la misma, así como cambios en la secuencia de arranque, lo que permitiría la puesta en marcha del equipa desde medias extraíbles y el acceso a los datos almacenados en el mismo, vulnerando la confidencialidad de estos.

Q Debida a los numerosos fabricantes de BiaS que hay en el mercado, recomendamos consul-

tar el manual de la placa base

Caso pr::r.;: á:.;: c!::;ic"'o:...:. l _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _'"--! Definimos lo clave de supervisor para proteger el acceso a la BI05

Can esta práctica vamos a proteger el acceso a la BIOS contra personas na autorizadas y así dificultar el acceso al equipa a dicha personal.

para ver las instrucciones específicas.

1. Al entrar a la BIOS

l¿oglCU DI!lbltte A: J.evICY Dlistlllle B: • Pr IJ\olry lI.l!lter

• Pr INry SluC! • SCCllIlcary nu ter1

• Secundlry Slaue • kybo.trd

Para entrar en la BiaS debemos pulsar la tecla Sup o F2 al iniciar

(I ,Wl .25 111 [lIMbl . .

,,."",

!lAIY¡re Ulrtua l [ ~rt1

11.,,.,,

Ulrtul l

Fea t ll~

Stp tetl IbIory : ütlendl!d IItRorlF

<1Ab> . Clhlfl-fab>. or <Eatm-> selet1.l rie l• .

accedemos a la pantalla principal (Fig. 5.1). Nos desplazamos por el menú hasta la opción Security que se muestra en la parte superior de la imagen (Fig.S.2).

640 IIB

2!i1l20 Ka Bool - lI lIIl OlillllllJ:lUC Scn:cn : lD l .... 11IiJ

el ordenador, aunque esto real-

mente depende de la BiaS del equipo. En el libro se ha hecho uso de la BiaS de VMWare.

Fig. 5.1. Menú principal BiaS.

(Continúa)


Seguridad activa en el sistema

5

________ Caso práctico 1

9

(Continuación) Ita Speclftc Help Superu lsor PasS&IOrd Is : Cleal' User PasS&IOrd ls : Cleal'

A Supen¡ lsor PUSIIIJl'1I

Se l User PaSS&lOrd "

LEll lerJ

GIl!

"

Passuord on Il001 :

B

controls atce5!S to the setup utlllq,.

La Figura 5.2 muestra las opciones de seguridad que po· demos configurar y el estado de las mismas. A

tD1 Stlbled J

Como podemos ver en dicha figura, la contraseña de Supervisor está vacía (e/ear); con esta opcián permiti· mas la modificación de la BIOS a cualquier persona. Así, un intruso podría acceder a la BIOS y modificar la secuencia de arranque del equipo (Primero desde CD, segundo desde LAN, tercera desde HD).

El intruso podría reiniciar el ordenador con un CD pra· visto de software malintencionado que le permitiría descubrir a los usuarios y las contraseñas del equipo. Con la informacián conseguida, tendría acceso a los datos confidenciales de todos los usuarios del sistema. • Fig. 5.2. Menú Seguridad. tt,lin

IldUdlUt:¡J

I'IIIIImIIlllUU,t:p Secur ltg _PUUJ'f _ utllltot !!!!! Ituut

lJ.lt

StJperu lsor PaSS&.lOrd fs : Clear User Passuord fs : Clear

Con el fin de evitar los posibles intentos de modificacián de la BIOS, definimos una nueva contraseña para el Supervisor.

2. Pulsamos Enter en la opción Sel Supervisor Password (Definir clave del Supervisor).

3. Se abre un nuevo cuadra de diálogo (Fig. 5.3) en el que escribimos la contraseña para el Supervisor y posteriormente la verificamos escribiéndola nuevamente en el campo de confirmación. A continuación nos avisará de que los cambios se han realizado· con éxito. Como vemos en la Figura 5.4 la contraseña de Supervisor figura como asignada (Sel). A partir de este momento siempre que queramos acceder a la BIOS nos exigirá que escribamos la contraseña de Supervisor, en caso contrario denegará el acceso.

Fig. 5.3. Introducción de contraseña. n ,llll

4. Otra medida de seguridad adicional que podemos

Ildu,IIlCl'd

Ita Speclflc Help Superulsor I'assuord fs : Seh User Password ls : Clcar

Set lJser Passuord Se1 Superulsor Passuord

[[nterJ

Enables pesuord entry on boot

[[nter]

configurar en la BIOS: evitar que personal no autorizado acceda al sistema introduciendo la clave de Supervisor en el momento de arrancar el equipo. Para ello activaremos la opción de Password on bool (contraseña en el arranque). Es decir, la contraseña que definimos en la BIOS será solicitada al usuario tanto en el acceso a la BIOS como en el acceso al sistema operativo o gestor de arranque. En resumen, con estas medidas hemos evitado que personas no autorizadas puedan modificar la configuración de la BIOS permitiendo, por ejemplo, el arranque del sistema mediante dispositivos extraíbles, y acceder así a los datos almacenados en el equipo vulnerando la confidencialidad de estos.

Fig . 5.4. Contraseña Supervisor en arranque de la BIOS.


~/5

Seguridad activa en el sistema

----~----------------------------------

2.2. ¿Cómo proteger el GRUB con contraseña? Si se te olvida la contraseña de

la BIOS, tendrás que abrir el pe y quitar durante un rata la pila de la placa base. Después volvemos a instalarla

y ya

tenemos

reseteada la BIOS can la configuración del fabricante.

Para evitar que personas no autarizadas tengan acceso a la edición de las opciones de arranque de los distintos sistemas operativos que controla el GRUB, estableceremos una contraseña.

q

Caso "rédico 2:..-_ _ _ _ _ __

Definición de contraseñas en el GRUB en modo texto Durante este proceso, vamos a modificar el fichero que almacena la configuración del gestor de arranque (GRUB), por lo que es recomendable realizar una copia de seguridad del mismo, para poder restaurarla en caso de que se produjese algún error en el arranque como consecuencia de las modificaciones realizadas.

~ ACtiVidades.

1. Para ello, abrimos un nuevo terminal y tecleamos las instrucciones que aparecen en la Figura 5.5. Estas instrucciones realizan una copia de seguridad del fichero

1. Un técnico de seguridad

menu.lst y la edición del mismo.

informática inexperto tiene protegido el acceso a la BIOS mediante la contraseña de Supervisor. Cuando otras usuarios pretenden entrar en la BIOS de los ordenadares les solicita la clave del Supervisor. Este no quiere

comunicar

root@Jupiter:/home/administrador# sudo cp /boot/grub/menu,lst Iboottgrub/copiamenu.lst root@Jupi t er:/home~ministrador# sudo gedit Iboot/g rub/menu.lst

Fig. 5.5.

esta

Instrucción para edifor menu .1st.

2. Buscamos la línea #password topsecret.

contraseña a los usuarios de los equipos e idea una solución para solventar el prablema: definir la

3. Borramos la almohadilla, es decir le quitamos el comentario y cambiamos la contraseña topsecret por la que nosotros queramos; en nuestro ejemplo hemos elegido «patato» (Fig. 5.6). Se guardan los cambios en el fichera menu.lst y se reinicia la máquina para prabar la modificación realizada.

contraseña de usuario en

la BIOS. Indica los pasos que debe realizar.

2. Desactiva la opción de la

l

~

BIOS, en caso de tenerla activada, que sirve para encender el equipo de forma remota a través de la red.

~

Imprimir... I Deshacer Rehacer

!

~

~

r

Cortar Copiar Pegar

swo rd [ ' -- md5 ' 1 passwd

in the first section of a menu file, disab1e a11 interactive and entries protected by the

Windows 95/98/NT/2GGG (hd8,8¡

El gestor de arranque GRUB (Grand Unirier Boatloader) per-

Fig. 5.6 . Modificación del parámetro password en el archivo menu . 1st.

mite seleccionar entre los distintos sistemas operativos que ten-

gamos instalados en el equipo. Este gestor es el que habitualmente instalan por defecto las nuevas distribuciones de siste-

mas GNU/Linux.

l

Para finalizar reiniciamos el equipo y comprobamos, simulando ser un usuario que no conoce la contraseña, que no podremos modificar las opciones de arranque que nos muestra el gestor de arranque.

)


Seguridad activa en el sistema

5

_ _ _.:: C!:! as~o~IRráctico 3 Definición de contraseñas cifradas en el GRUB en modo texto

Las contraseñas para acceder a los sistemas operativos gestiona-

1. Debemos abrir un nuevo terminal y escribir grub.

dos por el gestor de arranque

deben cifrarse. Si nos descubren la clave que permite acceder a

2. A continuoción, como podemos ver en la Figura 5.7, escribimos el subcomando rndScrypt que nos permitirá encriptar la contraseña que queramos poner.

lo edición del GRUB verían lo

contraseña y por tanto accede-

3. Escribimos la clave a codificar y el programa nos muestra el password codificado.

rían al sistema. Si por el contra-

rio la clave se encuentra cifrada verían una cadena de caracteres sin sentido.

4. Par último, para salir del grub debemos escribir quit (salir).

suppo rted. wo rd .

TAB

poss i ble

For

command

completions . Anywhere else TAB l i sts t he possi ble completions of a devi ce/fi lename. ]

grub> md5c rypt Password : ***********

Encrypted: SlSgR24C/S rgwwCuiYnkfl4osBpe4mO. grub> quit

Fig. 5.7. Encriptación de la contraseña.

5. Una vez encriptada la contraseña, deberemos copiarla en el fichero rnenu.lst, como podemos ver en la Figura 5.8. Fíjate que la línea no es similar a la de la práctica anteriar, ya que se ha añadido la opción --rndS, que indica que la contraseña está encriptada. .' iñf Archivo !;ditar Ver .Il.uscar Herram ientas .Qocumentos Aluda

rE¡

lb

Nuevo Abrir

v

la l

Guardar

~

Imprim ir...

l

~

Deshacer Rehacer

Podemos abrir un nuevo terminal de diversas maneras: pulsando ALT + F2, que nos abrirá uno ventano en lo que debe-

~

I Cortar ~

mos escribir gnorne-terrninal

~

~

Copiar Pegar

IFig. 5.91 o bien haciendo elic

I

sobre Aplicaciones, Accesorios y Terminal.

v

~ ¡;¡l

.,

1## passwo rd [ ' - -md5 ' 1 passwd I~_;!,used in t he fi rst secti on of a menu file, di sable all i nteracti ve

I:U~~~~~Ol (menu entry edi to r command ' lock ' lit e.g. passvlO rd topsec r et

and command -linel

and entries protected by t he

( #, .,".~asswo rd - -md5 SlSgLhUO/Sal'178kHK1QfV3P2b2znUoe/ -- md5 Sl$gR24C/$rgwwcuiYnkfl4osBpe4mO.

In'....

fo 1; examples 1# title 1# root

1#

Windows 95/98/NT/ 20ee

11

(hde,el

l onome- ttrml ~ 1

makeactive 1>

Fig. 5.8. Contraseña de acceso a GRUB cifrada.

1::]

o Ejuuta r en!Jna wmlMI IEjecutarton el arthi vo..·1 r.1 ostrllr la ll sUl de ¡¡plltadones co nodd15

( Iiil''','' I

b:

I Q ,¡;ancelar 1 le

~C:.:" _ rI

Fig. 5.9. Arranque Terminal.

109


Seguridad activa en e! sistema

Q

Caso R :.:r"'á""ct"ic'"'0'-4..:.._ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _--t

Establecer contraseñas al arranque de 105 sistemas operativos controlados por el GRUB Con esta práctica evitaremos el acceso a los sistemas operativos gestionados por el GRUB a personal no autorizado.

1. Editamos el fichero de configuracián del GRUB, menu.lst y al final del mismo buscamos las líneas donde se define el título del sistema operativo (title) ya con· tinuación escribiremos password --mdS y la contraseña .

.

:"

,

Q, ' "

Archivo .Editar ~ .a.uscar__ ..!!:.~!Tllenta~ocumentos Aluda _ _ _ _ __ _ _ 1

N~O ~r v Guardar I Imp~ir... I Deshacer

r ehacer

I c!

r c! ar 1': ;;1

v I;

01

~ menu.lst

## ## End Default Optians ##

title Ubuntu 9.94, kernel 2.6.28·11·generic password patata uuid 66d4a68S·9Bde·4B7c·b4d4· 7237cb47799b kernel /boat/vmUnuz· 2. 6. 2s-11-generic roat::UUID::66d4aSBS -BBde-4B7c' b4d4-7237cb47799b ro quiet splash initrd /boat/ ini t rd. irng- 2.6. 28-11-generic quiet title Ubuntu 9.84, kernel 2.6.28·11·generic (recovery made) password ··rnd5 SlSAgZW7/SSl35rvzlRkP!ChgW9pUU9/ uuid 66d4aSB5 ·Bsde·4S7c· b4d4· 7237cb47799b kernel /boattvmlinuz· 2.6.28 -ll-generic raot=UUID=66d4a885 -8ade-487cb4d4-7237cb47799b ro single ini trd !boot!ini trd. img -2.6. 28-11-generic .,·, it; tl",' -_ _- 'lIhIUltJ..L...9.-B4

m e n te~tR "'. '_

_ _ _ _ _ _ _ _ _ _ _ _ _...Jl..J

Fig. 5.10. Contraseña de acceso al sistema Ubuntu cifrada.

~caso"~r~á~ct~ic~0~5~--------------------------------_ _--, Establecer contraseña del gestor de arranque mediante lo aplicación startupmanager en LINUX, distribución Ubuntu 9.04, para evitar el acceso a 105 sistemas operativos ges·

tionados por el GRUB o personal no autorizado utilizando uno aplicación visual

1. En primer lugar debemos instalar la aplicación en Ubuntu mediante el gestor de paquetes Synaptic, como podemos ver en las Figuras 5.11 y 5.12.

Archivo .Editar f¡lquete tonfiguraclón AYlIda

Re~rgar

Marcartodas

I~ctuallzaclones El

lbdD

'H

startupmanager

lIp1i GIr

prop~ades I

I Paquete startupmanager

I Versión Instalada I Última

:~

1.9.12-

Instalando software lOs cambios marcados se estan aplicando ahora . Esto puede llevar algo de tiempo. Por favor, espere.

1- 1 Grub and Splash screen conflgurntlon

I~.~I~~~~~~~~[)J IObtener captura de pantalla I .5.ecclones ~tado

Origen filtros per.;onaUzadas Besultados de búsqueda

Ejecutando disparador post·instalación doc-bqse

StartUp-Manager configures sorne settings for grub and splash screens (Currently only Usplash). It provides an easy to use interface. lt Is origlnally a Ubuntu project. adapted for Debi an.

I

....=.., __

l!.E.!.quetes listados, 1179 Instalados, o rotos. Oeara Instalar/actualizar, Opara desInstalar

O Cerrar esta ventana automáticamente tras aplicarse los cambios con éxito 1> Detalles

I

[

~ ~enor I

El

I

Fig. 5.12. Instalación starfupmanager. Fig. 5.11. Gestor 5ynoptic. 110

(Continúa)


Seguridad activa en el sistema

5

_ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _.....;C ::::a:::s:.::a:..lflráctico 5 (Continuación)

3. Hacemos clic sobre la pestaña de seguridad, activamos la opción de Proteger con contraseño e( cargador de arranque y escribimos la clave elegida como podemos ver en la Figuro 5.14. Para finalizar reiniciamos la máquina y comprobamos cámo afecta el cambio a la configuración del arranque.

2. Una vez instalado, ejecutamos el programa accediendo a Sistema> Administración> Administrador de Arranque (Fig. 5.13).

'fE

9

ªfIl

Acerca de GNOM E

01' Acerca de Ubuntu

COntroladores de hardware

-1t. creador de discos de arranque USB

Fig. 5.13. Administrador de Arranque.

.,

-

Administrador de Arranque

¡opciones de arranque

e x

IAspecto Iseguridad IAvanzadol

Opciones de protección ~

Proteger con contraseña el cargador de arranque

O Proteger con contraseña el modo de rescate O Proteger con contraseña las opciones antiguas de arranque Cambiar Contraseña COntraseña:

1:·

l······ l······ I

COnfirmar contraseña:

I I

IActualizar contraseña lA

l'

liij;

Q

COntraseña modificada

~

1

I ~ Aceptar I I ~ AYlld· 1

I ~ Qlrrar I

Fig. 5.1 4. Configurando contraseña en sfarfupmanoger.

Actividades ~ 3. Haz el Caso práctico 5 ejecutando el programa directamente en el terminal. Recuerda que deberás tener privilegios de administrodar para poder realizarlo.

4. Comprueba si el programa startupmanager escribe las contraseñas en el archivo menu.lst del GRUB cifradas o en texto clara.


Seguridad activa en el sistema

2.3. Cifrado de particiones

En este apartado vamos a estudiar cómo proteger la confidencialidad de los datos almacenados en los distintos volúmenes del equipo mediante el cifrado de particiones. Cualquier software de encriptación de disco proteg", la información contra el acceso de personas no autorizadas.

~ Casa práctica 6 Ci rar una partición en Windows

Para instalar esta aplicación sólo necesita mos 10 MB de espacio en disco duro y Microsoft Windows

Con esta práctica conseguiremos proteger una partición de Windows, la información no será accesible para aqueIlas personas que no conozcan la clave.

l. Nos descargamos DiskCryptor 0.7, lo de scomprimimos y hacemos doble clic sobre el archivo dcrypt que se encuentra en la carpeta i386 (Fig. 5.15); a continuación respondemos afirmativamente a la pre gunta sobre la instalación del controlador DiskCryptor.

Para realizar esta actividad vamos a utilizar un programa de código abierto, gratuito, DiskCryptor (hHp://www.diskcryptor.de/en/downloads/). ~

I Nombre

Tipo

I Fecha modificación

~ de_lsf.sys ~ de.pi.dll ~ deeon

-

I§ii: derypt

Archivo de sistema Extensión de la apl ... Aplicación Aplicación Archivo de sistema Aplicación

31/05/200914:50 31/05/200914:51 31/05/200914:50 31/05/200914:50 31/05/200914:50 31/05/200914:50

~ derypt.sys ~ diskspeed

Etiquetas

Tamaño 17 KB 140 KB 47 KB 123 KB 136 KB 12 KB

~

L~-""'J

Confirm

rO I

Insl.1I DiskCryptor driver?

I¡I¡:!

I

sr

I

No

Fig. 5.15. Inslalación del conlrolador DiskCryplor.

2.

Una vez instalado ejecutamos la aplicación dcrypt.

,

I!ii: DiskCryptor 0.7.435.90 Fil e Vo lume!;

Tool5

.

.

H ome~

He1e

I Disk Orives

I

f>lount

I (3

r

l o l@)1 13

Size I

TOSHIBA MKl637GSX 13 yolumel

1.46 gb E) ¡;,: 143gb E) Q,: 1.63 gb "" HI.-DT-ST D\'IlAAM GSA-T2llN Obytes oiJ .: IL"" HI.-DT-ST DVORAM GSA·T2llN G!J E: Obytes

I

L.b~l~ WinRE Vistzl Nuevo vol

NlFS NlFS NlFS

Status

I

I boot

oyo

~ncr ypt

QeClypt

MountAD

!::!nrnount AH

I

Ij I I! I

I

Fig. 5.16. Programa DiskCryplor. (Conlinúa)

112


Seguridad activa en el sistema

5

Caso práctico 6

~I 9

(Continuación)

3. La seleccionamos y hacemos clic sobre el botón Encrypt (cifrar). Posteriormente deberemos seleccionar entre los distintos algoritmos de encriptación (A ES, Twofish, Serpent, AES-Twofish, Serpent-AES, AES-Twofish-Serpent ... ) y hacer clic en el botón Next (siguiente).

Como hemos visto en la Figura 5.16 la aplicación visualiza las unidades de disco que puedes encriptar. En nuestro caso, lo que queremos encriptar es la D:, unidad dedicada a datos.

Illi: OiskC'}'Ptor 0.7.435.90

,

File

Volumes

To o l ~

Ji~

~

1= I@] I

-

..

Hel ~

H o mep a~e

!Disk Orivos g

Size

TOSHIBA MK1637GSX 13 yo/umel ~:

g

I I I I I

rllount

I ' " Q.: I = ",.nT~

-

!

1.<6 gb 143101b 1. 63 101b

labell...:r=l 'f1nRE Vista Nuevo vol

statu, 1

1

boot

NTFS NTFS NTFS

oY'

",crypt º-ecrypt

Mount AlI

U;U

\Device\HarddiskVolume3

I

13

U,nrnount Al!

¡

Encryption SeWngs

A1lO1oritnm: Vf¡pe Mode:

IAES-Twofish-Serpent INone

3

!

..=J

'.

Fig. 5.17. Selección del algoritmo de encripfación.

4. En la siguiente pantalla, deberemos escribir la contraseña de encriptación. Además, en este paso la aplicación nos infarma de la vulnerabilidad de nuestra contraseña según un gráfico. La contraseña que hemos

escrito es $1 Nab74c$b!@12 y es considerada de dificultad Media. Pulsamos OK y después de unos minutos tendremos cifrada la unidad y fuera del alcance de personas que no conozcan la clave de cifrado.

e

~

\Device\HarddiskVolume3

I

Volume Password

password:lzzzzzzzzzzzzzc confirm:lzcxzzzzzzzzzzz

I I

I

StabJs: Correct

§.how Password

!;.eyfiles

I

1:'

Use Keyñles

l' 1

::::1

Layout: QWERTY

I

-

Digits CapsLatin Medium

I !;.ancel

5mall Latin

I

Fig. 5. 18. Configuración de la contraseña.

5pecial 5ymbols

§.ad<

" l'

Password Rating

I OK

I


Seguridad activa en el sistema

q

Casa rédica 7

Cifrar una partición en Linux Vamos a aprender o encriptar una unidad USB en Linux con el programa TrueCrypt, aplicación gratuita que nos podemos descargar de la página hHp://www.truecrypt.org. Con ello conseguimos que aquellas personas que no conozcan la elave no puedan acceder a la informacián almacenada en la unidad USB.

1. Para instalar TrueCrypt, debemos descargarnos la versián para la distribución de GNU/Linux del programa (en nuestro caso Ubuntu) de dicha página, descomprimirlo y ejecutar el programa de instalación. 2. Tras instalarlo, ejecutamos la aplicación y veremos una ventana similar a la Figura 5.19.

". "'....,

~, ~,

~, ~,

~. ~, ~,

~. ~.

~" ~"

¡ ... u

l' "11" I lo .S!¡ II II ;a [1~;;;;~~===~~~~I I _ _

..

\o1I1um.

1

:1

ilI t::! ....uulV.hlllury

MOUl'll

~Ium. Ibol,,,.

I I!IIIO.Mount O.-.im I 1

0111110II1II-"1

5.1.«&1. ...

s.lnl Ctvie.".

I!

I I¡

,,.

Fig. 5.19. Ventana principal TrueCrypt.

En la Figura 5.19 vemos una lista de todas las unidades de TrueCrypt. Como acabamos de instalarlo, no tiene ninguna de ellas asignada. 3. Para cifrar la unidad de USB, debemos hacer elic en el botón ereate Volume (crear unidad). A continuación, se abriró una ventana, en la que se muestran dos opciones:

• ereate an encrypted file container (crear una carpeta cifrada).

La primera de ellas es la que el programa recomienda para el personal inexperto. En este caso na es necesario formatear la unidad, solo crea una carpeta donde su contenido será cifrado. 4. La segunda opcián será la que seleccionaremos para alcanzar nuestro objetivo. La aplicación nos advierte que al realizar esta elección se formateará la unidad y cifrará la partición. A continuación, deberemos ver una nueva pantalla similar a la Figura 5.20 .

• ereate a volumen within a parlilion/drive (crear una unidad para una partición a dispositivo).

Volurnc Type <J 111andl,d bu lCm>I ::!!.!!ci!!J 111..,,111, 1p1llft ~ Y'~ "0/1111 n ..11 • Mlmll.,.,oc~

1'C1um.,

o HI.IId.n ltU'Cl'l'Il1 .... 1\Jm1 • nuy h.,~.ft Ih.

)'OY "" '~" od by

.,mola""lo r.....' " ...

..

~~~':':~~:::~::=~'::~~::::~7 L!~=~.

duo! " 1>I""tnl.1/m1 1 ..·u! .d h<!:IM...un. tI~)'OY l• • ~t.<o . ,..¡, . lulllOf\I l0lII00 .. 'lIVIaUt9 ti.. pnrr.td 10 r-

w ......

'-____________________________F_ig_._5_._20_._S_e_k_c_c_0_n_d_e_t_~_o_d_e__un_i_d_ad_._________________________________ (Continú~ )


r

5

Seguridad activa en el sistema

...._ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _--'C~a.5o práctico 7

9

(Continuación)

5. Seleccionamos la primera opción Standard TrueCrypt volumen (crear una unidad TrueCryprt narmal) y hace·

6. En la siguiente pantalla (Fig. 5.21), debemos seleccionar la unidad a formatear. Hacemos clic en el botón Select Device (seleccionar dispositivo).

mos clic sobre el botón Next.

Volume Location

~------------------~I~·I ~~~ !ill Heversilve hlstery

A devlc:e-hcsted 1lueQypt vclume can be created wlthln a hard disk panltlon, sol!d-state drive, USB memory stick, and other stomge device5. WARNING: Note that the panltionJdevice wil! be rorrnatted and al! data currently stered en it wlll be lest.

Fíg. 5.21 . Selección de dispositivo.

Z

Aparece una pantalla (Fig. 5.22) con todos los dispositivos de almacenamiento que tenemos conectados al ordenador. Seleccionamos el dispositivo USB reconocido en nuestro caso como /dev/sdb 1 de 483 MB. Dependiendo de la distribución de Linux y de los distintos dispositivos conectados en el equipo puede ser reconocida con otro nombre .

8. Posteriormente, como podemos ver en la imagen (Fig. 5.23), debemos seleccionar el algoritmo de encriptación. Las opciones son numerosas, AES, Blowfish, Serpent, Twofish, AES-Twofish-Serpent ... En nuestro ejemplo hemos seleccionado el algoritmo AES-TwofishSerpent RIPEMD-160 para generar la clave. A continuación hacemos clic sobre el botón Next.

y

... ., . Oevlce .... {dev/sda: Idev/sda1 {dev/sda5 Idevfsda6

Slze Meunt Olrectcry 10,0 GB

Encryption Options

--

EncryptienAlgerithm - -

3,7 GS { 4,7 GS (heme

~IAE .::':...Two =",:..h.;:;",,~:::'":..'__________--'-':11

1,6 GS

Int

Threa ciphors in iiI cascado operating in XTS meda. Ellch bloc\:: is .... /dev/sdb: {dev/Sdb1

first encrypted with Serpent !2S6-bit kay), thao wilh l'wcfi$h (2S6.bit kayl. and finallywith AES (2S6·bit key). Ellth cipher usos its OWI\ key. AlI key5 are mutually ¡m/apandent.

494 MB

4!B MS /media/disk

Moro jnfpUVªt!90

Hash Algcrithm

~!~¡¡pEEM~D;¡:.16¡¡O===:..JJ:¡ Infpuva!jgo po bp!b BIgQri!bmt

IO &anceJar l

Fig. 5.22 . Selección de partición.

~

IQ

AlIl da

I

I <frev

1I tloxt>

I

IO &oncelarl

Fig. 5.23. Elección del algoritmo de cifrado.

9. Aparece una nueva pantalla (Fig. 5.24) en la que introduciremos la contraseña. En este punto, la aplicación nos advierte de la importancia de elegir una buena contraseña; que no sean palabras que podamos encontrar en diccionarios o combinaciones de varias. La clave no debe tener información personal como nombre o fecha de nacimiento. Una buena contraseña debe ser una

combinación de letras mayúsculas, minúsculas, números y caracteres especiales, $,+,-@, ... Recomienda que el tamaño de la misma sea de más de 20 caracteres. Cuanto mayor sea el número, menos vulnerable será la contraseña.

TrueCrypt admite contraseñas de hasta 64 caracteres. (Continúa)

I


~/5

Seguridad activa en el sistema ~--~----------------------------

~caSOp. ~r~ á~ ct~ ic~ O~7 ~

______________~______________________~________________________--,

(Continuación)

10. Si activamos la opción Disp(ay password (visualizar clave), podemos ver los caracteres de la contraseña. Escribimos la elave y hacemos elic en el botón Next.

:~:"~ ~Pll.'l'iword ':.":~:~~"~'~==~~:E~ f~~::::~:~u~"~'Volumc ~~~~~·~~~~~··~~·5

,."......"i!; ...... .. .. .. .. .. .. e.mm FOI,,,,,r<I: l!:..••••••••••••••••••••••• D~e!!.'3: o u¡.I..,.N..

_¡" .....

•¡,,,..,_... ... lhot,,,"d,. .......... F.. ....,,¡·.,.."' .... ; """,..._<rlt.Wv¡I • ..,.,¡lhot ..,Ib. _u.....,~

,_

'1( .... <_.,,IoI~J . .,.wt~\OOI'd,I ,

~

... , ... .., "'7".,...... , ..... oINt~ .• ..nool:lIlOC.' "'Y

..'''''oI~p"o.nd ...... ",. loto." . ..m......... ,.,,;01 tIIoru'tn. , ..." ••• • , • .,. ... • .. Q. . . F........-d .......... ""'''~n

~

•• + 01"", ,.. o"",,,,'" <h .. ,~. po ..... '" """""'11 01 rmn _10 ' _... (1ho'""1"."'.¡,,~ .. ). n,.m ....... po .. tl. Io~" .... <.,.",,, • .,.

Fig. 5. 24. Definición de contraseña.

11. A continuación, debemos elegir el tipo de sistema de ficheros que utilizaremos en nuestro USB. Debemos tener en cuenta dónde vamos a utilizar el dispositivo; si solo lo fuésemos a utilizar en Linux, lo formatearíamos en EXT3, pero si ademós quisiésemos utilizarlo en Windows, deberíamos formatearlo en FAT. Como nosotros lo vamos a utilizar indistintamente en Linux y en Windows, lo formateamos con el sistema de archivos FAT. Antes de formatear la aplicación nos recomiendan que hagamos movimientos con el ratón. Estos calcularón los valores aleatorios que se utilizarón para crear la elave de cifrado. Si estós seguro de que no tienes ningún dato importante que pudieses perder en el USB puedes

seguir con el proceso dando formato al dispositivo. El proceso ha finalizado, la unidad ya estó preparada poro que todos los datos que introduzcamos en ella sean cifrados automáticamente, es decir que trabaje de forma transparente para el usuario.

12. Antes de utilizar la unidad USB debemos montarla con la aplicación TrueCrypt, para ello debemos volver a la pantalla inicial de dicha aplicación (Fig 5.19) Y hacer elic sobre Se(eet Deviee (seleccionar dispositivo). Se abrirá una ventana similar a la de la Figura 5.22, donde elegiremos la unidad que hemos cifrado. A continuación la aplicación solicitará la contraseña. Una vez que introducimos la contraseña, la unidad se monta como truecryptl (Fig. 5.25).

1 Sistema f!¡@ O

Lugares

([C) Carpeta personal

!,

¡¡;¡ Escritorio

1:

O Documentos O Música ID Imágenes El Vídeos

I!

I

l'

~ Equipo

W Ubuntu 9.04 i386 {;d

Disquete

~ Soporte de 507,5 MiS

IQ t~CryPtl

1' =

¡;m DQd

I

tnuecryPtll

Fig. 5.25. Unidad montada.

-


5

Seguridad activa en el sistema

2.4. Cuotas de disco

La mayoría de las sistemas operativos poseen meconismos pora impedir que ciertos usuarios hagan un uso indebido de la capacidad del disco, y así evitar la ralentización del equipo por saturación del sistema de ficheras y el perjuicio al resto de los usuarios al limitarles el espacio en el disco. Las cuotas de disco se pueden configurar en función de varios criterios, según usuarios, grupos o por volúmenes.

Herramientas CAD. Son aplicaciones de Diseño Asistido por

Ordenador.

Veamos esto último con ejemplos: •

Supongamos una familia de tres miembros, Macarena, Fernando y Gustavo. Podríamos establecer una cuota de disco para Gustavo de 2GB, para Macarena de 2GB y para Fernando que suele manejar planos que ocupan mucho espacio, le permitimos una cuota de 20 GB. Es decir, cada usuario puede tener una cuota distinta en función de sus necesidades; no tienen por qué tener todos la misma.

o

Las cuotas de disco en Windows solo se pueden utilizar sobre volúmenes con sistemas de fiche-

ros NTFS.

Supongamos la empresa de construcción SiCom, en la que los usuarios se encuentran clasificados por grupos, Contabilidad, Arquitectos y Dirección. Repartiremos el sistema de ficheros entre los diversos grupos en función de las necesidades de los mismos. El grupo de Contabilidad suele trabajar con archivos Excel y Word, de pequeño tamaño, al igual que el grupo de dirección. Sin embargo, el grupo de Arquitectos necesitan mucho espacio, ya que suelen trabajar con herramientas CAD. En función de las necesidades anteriores y el número de usuarios adscritos a esos grupos se definen las cuotas, 20 GB para el grupo de contabilidad, 8 GB para el grupo de dirección y 1 TB para el grupo de arquitectos.

... . ~

Supongamos que en un PC hay dos particiones, una de las particiones podría tener cuotas de usuario muy restrictivas y en la otra partición tener otras cuotas menos limitadas o incluso ni siquiera tenerlas.

Cuidado con ser excesivamente restrictivo con la cuota. Podríamos impedir incluso el inicio de sesión de un usuario, por no tener suficiente espacio para crear su carpeta en Documents

and Settings.

Activación y uso de cuotas de disco en Windows

Para activar las cuotas de disco en una partición en Windows debemos seguir los siguientes pasos: Debemos hacer clic en el botón derecho sobre la partición donde queremos establecer las cuotas y elegir la opción Pro-

piedades. Habilitamos la administración de la cuota seleccionando la casilla (Fig. 5.26). Si solo queremos hacer un seguimiento del uso del sistema de ficheros por parte de los usuarios y grupos no seleccionaremos la siguiente opción que muestra la Figura 5.27, Denegar espacio de disco a usuarios que excedan el límite de cuota. """. ,_ 'n'"

¡¡ .."'.

~

'~

...<t.

.."'.

I

Estado: Las cuotas de disco estén deshabilitadas q{labilital laadministrllción de cuota

~ enegar e:pacio de dl:CO a u:uali01: Que e:.:ced"n et límite de cuota Seleccionar el limite de cuota predetermlrllldo p<:ra !1 ue vo~ u ~ u wio;

.v-. '-... \........

'.........

¡¡ .."". Iil.,,,,.

'¡¡.,"'. ~ """.

, il ., ....

.

c...... j ,.;:., ... ." "

..

ll" '"

""", ~" " 1~1" '" .,..,,,, n ,~ HI

u... , ,, ,....

", '" ¡"""" ........,

trl

e:te VG t~lm e rl:

• 1,10 Fmi\aru:o de di:co Llm:tar e:;ncio de di:co a

I s u~ lirrr.te

E~t¡,btecer el nivel di; éidvl!llenc.a en IS1!1 lírnlte

........

~ I_ ." _

General Heuamienlas Hardware I Compartir Cuota ' -_ _ _ _ _ __ - ,

Se li?cci on ii ~ 1 3 ~ OP CiOll !!~

o Regl:tr.;,r

I ~I=~vl I LI_ ' - ' .vJI

de registro de cuola pera e:le volumen

~ UCC:D cUOindo un u:uario e ~ce da ~ u 11m:te de cuola

O Aeg::lrar :U :t::O cU:'lido un u:ualio eMced::. ~ u nivel de adyerlenci¡¡

¡" """

s:.."""

[ Valores da cuota ..

. ¡;

Fig. 5.26. Cuotos.

.

-,,¡

Aceptal

Cancellll

I

I,p!:car


Seguridad activo en el sistema

Si por el contrario queremos limitar el espacio del sistema de fi cheros a los usuarios, debemos definir lo capacidad de disco de lo que van a disponer cada uno de ellas, así como del nivel de advertencia y activar la opción de Denegar espacia de disco a usuarios que excedan el límite de cuota.

Para ejecutar el visor de sucesos podemos escribir evenfvwr. msc en la consola o en el menú

ejecutar de Inicio, o ir a Panel de Control> Herramientas

L1l~

Propiedades de Disco IDeal (e:)

Administrativas > Visor de Sucesos.

Estada: lM ewtas de mctl edán deshabitada:

o Habitar la admristración de cuota o Denegar espacio de lisctl a lmlare: que excedan ellrmie de cuot., SeIecc:ions ellrttie de cuolapedetenmaoo par., lIJeVOS usuarios enWe vobnen:

O No 5rMet UUI de disco 0l.ri<>.,...;ode_. Est"¡¡¡ecet el rive! de

~ Actividades

l' 11 GB vi ~tencia en 1~900;;;==~1 ~tM~B=='~~I

Seleccionar las opciones de r~tro de cuota para este volumen:

O Aegi$trar suceso cuando Ir!lmlaño exceda su I(mite de CI..IOla O Aes;wet suceso cuando Ir! ~ ~ tu rivel de .advertencia

5. Piensa de qué forma un administrador de un servidor de correo electrónico podría asignar 100 MB de espacio en disco o usuorias de paga y 5MB 01 resto de usuarios regi stradas. 6. Creo un usuaria y osígno le uno cuota de ton solo 1 MB. ¿Puedes arrancar una nuevo sesión con este usuario? Justifico lo respuesto.

l

Vm e: de cuala...

Fig. 5.27. Limitación de espacios .

Si se marcan los dos opciones que aparecen al final de la Figura 5.27, el sistema opera tivo registraría los eventos, haber superado el nivel de advertencia o haber superado el límite de cuota, en el visor de sucesos. El usuario puede ver mediante el visor de sucesos dicha información (Figs. 5.28 y 5.29).

11 Visor de sucesos -- -

[)@]l:8}

-- -

------ Propfedades de Suceso Suceso

InfDrmadYI

16/0712009

16/07/2009 '6/07/2009 16/07/2009 '6/07/2009 16/07/2009

17.56:36 17:55:59 17:55:52 17:5:52 17:55:4i 17:55:44

rtfs SeM:e Cottrol Manaoer Setvi::e eooool M.wger

SeM:e (<<tro! Manager _""'01",,-

-""'"""-

Disco

.......

....... ....... ....... .......

-

---r:1l~

I

Fecha: Hora: Tipo: Usuario: Equipo:

n :ti l"'~I I IS

17:56:36 Información

---.!J

Qligen: Nlfs Calegorfe: Disco Id. suceso: 36

~ ~

ANA3\Pedro

ANA3

Desc,~

Un uwario ha alcanzado su umbJaI de cuota en el volumen C:. Para obtener más información. vea el Centso de ayuda}' soporte téMCO en http://oo.microsolt.com/lwlinkJevents.asp. I

~.

Datos:

I~

0

Bytes

O YJord

0000 : 06 00 44 00 az 00 9Z DO 000 8: az 00 00 00 Z4 00 04 40

•••• f; •• [J

0010: 00 00 0 0 00 00 00 00 00

. ... .. ..

~

A~eplaJ

Fig. 5.28. Visor de sucesos.

Fig . 5.29. Propiedodes de suceso. 118

§I

__ D ... O.

i

[ Cancela¡

:Yl

I

[

Ap ~c ar

I


Seguridad activa en el sistema

o

5

Cuotos de usuorio en UBUNTU

Para gestionar las cuotas de discos en Linux vamos a utilizar la herramienta de configuración del sistema conocida como Webmin. Esta herramienta no viene instalada por defecto con el sistema operativo, así que tendremos que instalarla utilizando el gestor de paquetes Synaptic o utilizando el comando apt-get.

~.

'.

" ff

En caso de no tener instalado el paquete quota ¡permite definir las cuotas de disco en Linux) usa· remos la orden apt-get install guota.

En este caso, vamos a realizarlo utilizando la orden apt-get. Debemos seguir los po· sos que se detallan a continuación. Para que el comando apt-get funcione e instale correctamente esta herramienta, debemos añadir el repositorio http://download.webmin.com/download/repository sarge con· trib al final del fichero sources.list mediante la orden gedit, como vemos en la Figura 5.30.

root@ana root@ana-desktop:-# gedit letc/apt/sources.list root@ana-desktop:-# cd Iroot root@ana-desktop:/root# wget http.llwww.webmin.com/jcameron-key .asc ··2999-07-20 13:97:59-- http://http.//www.webmin.com/jcameron-key.asc Resolviendo http .... falló: Nombre ó servicio desconocido. wget: no se puede resolver la dirección del equipo ahttp.n root@ana-desktop:/root# wget http://www.webmin.com/jcameron-key.asc ·-2909-07-20 13:98:39-- http://\~.webmin.com/jcameron-key.asc Resolviendo www.webmin.com ... 216.34.181.97 Conectando a www.webmin . com I216.34.1S1.971:S0 ... conectado. Petición HTTP enviada, esperando respuesta ... 2000K Longitud : 1329 (l,3K) [text/plain] Guardando: ajcameron-key.ascn >] 1.329

la8%[ 2889-a7-28 13,88,43 114,a Ha/51

--.-K/s

en 9s

'jcameron-key.asc' guardado [1329/1329)

root@ana-desktop:/root#

Fig. 5.30. Comondos. A continuación, debemos ejecutar los siguientes tres comandos que aparecen en la Figura 5.30 para añadir la clave pública, pareja de la privada, con la que se ha firmado el repositorio. Por último, actualizamos e instalamos la herramienta webmin, mediante la ejecución de los siguientes comandos (Figs. 5.31 y 5.32). iJlliij ••

1111 Archivo .Editar yer !ermlnal

AY.IIda

root@Jupiter:/hor::e/adr.linistradorl apt-get update Obj http://es.archive.ubuntu.com jaunty Re\ease.gpg Obj http://security.ubuntu.coCl jaunty·security Release.gpg Ign http://securi ty. ubuntu. coc! j aunty· security/m~in Translation·es Ign http://securi ty. ubuntu. COel j aunty· security/restricted Translation-es Ign http://securi ty. ubuntu. coc! j aunty· security/universe Translation·es 19n http://securi ty. ubuntu. COel j aunty· securi ty/llml tiverse Translation-es Des: 1 http://es.archive.ubuntu.co!:! j aunty/main Translation·es [606k61 Obj http://security.ubuntu.coC! jaunty·security Release OOj http://securi ty. ubuntu. cor.! j aunty· security/main Packages Obj http://download ....ebmin.coCl sarge Release.gpg 19n http://down\oad ....eor.lin.col1 s~rge/contrib Translation·es Obj http://security . ubuntu. cor.! j aunty· security/restricted Packages OOj http://security.ubuntu.coCl jaunty·security/mdn Sources OOj http://security . ubuntu. COI1 j aunty· security/restricted Sources Obj http://securi ty. uOuntu. COCl j aunty· security/universe Packages Obj http://security.ubuntu.col':l jaunty·security/universe Sources ~ Obj http://security . ubuntu. COI':I j aunty· security/mul tivef5e packa!f!s Obj http://securi ty. ubuntu. coc! j aunty· security/~ul tivene Sources Obj http://download ....ebr.lin.colll sarge Relea5e 19n http://download.webmin.col':l sarge/contrib Packages Obj http://download ....eblllin.cor.l sarge/contrib Packages r;-1 16\ 11 Translation-es 114035/60SkB 16\1 12.3kB/s 405 ~

6J'Chlvo .l;ditar yer ~rmlnal AyJ,ida , -_ _ _~_ _ _ _ _ _ ; adl':linistrado~Jupiter:·S apt-get instan weomin El

.

Fig. 5.31. Orden apt-get update.

Fig . 5.32. Instalación webmin.


Seguridad activa en el sistema

Para ejecutar la aplicación tendremos que abrir un navegador web, en nuestro caso Firefox, e ir a la siguiente dirección https://localhost:10000. Es muy probable que al acceder a dicha dirección el sistema nos devuelva un error como el que se muestra en la Figura 5.33.

localhost:l0000 usa un certificado de seguridad no válido. No se confía en el certificado porque está firmado por sí mismo. (Código de error: sec_error_untrustedjssuer)

Fig. 5.33. Error del certificado.

Para solucionar dicho error debemos crear una excepción. A continuación aparecerá una página como la que se muestra en la Figura 5.34.

archivo f-ditar

~

" re

~er

O

Hiz.torial

ti§

Marcadores

Herramien¡as AY.I.I.da

1" I

I!§] https:fl10calhost:lOOOO/

f;jj Más visitadosv . Getting Started Login

ti)

~ l.atest

WehOiIn

{

~v lGoogl e "'l.

Headlinesv

-

I

You must enter a usemame and pas5word to login to the Webmin server on localhost. Username lroot Password

I~.~.~.=:.=:.=:.:¡:I===~

O Remember login permanently7

~ I clearl

localhost:l0000

Terminado

~

Fig. 5.34. Formulario de conexión a lo aplicación Webmin.

Introducimos como usuario al administrador root y la contraseña del mismo. A continuación veremos una nueva ventana como la que se muestra en la Figura 5.35. Si no tienes una partición inde-

,

. lo •."'"

pendiente para /home, puedes crear una nueva partición y realizar el caso práctico sobre esa partición.

".1

,.""..""

~webmin

" .... !<ro>

".,..."" "o....... u",....

u,..,_ ...

•.."m ....'"..".

",~

" " " .... g ...

u " ",..

'_.n... '...

...."",..""',........ .....,. ,.

CPU ," O<l_,.., • •

tJ. " .... ,.~ .-. L. "

(' <,' ''"' ... ~"''.... :: ' . ~.,h ... ~' ., o "" ...

_.

l'

'.m

"').J" ""~ ,,,.='"

1,'

...... ,··"·"'I"""' ... ~..

l'

'n'U """'.""""'.".",,"'"',,

"',"""' ..... 1" ~' ... "'.j " •. ,. . .. " ..1. " ..... "'.,

'-",...."'.p...

I

1,'

li

A , ••• ....,. . . . ..",.., ... ''''' .... .. ' ' ...... 001. ...... ' _ UW. "'" <" ~ ""...".,.,. ...... 01

""' " . p.e> ~ ' ....... j ro

1-01,-""",- 1

_.- --

... ...,.",""""u

Fig. 5.35. Pantalla inicial webmin.

Como podemos ver, este programa es una aplicación web que se puede utilizar para configurar multitud de opciones del sistema. 120


Seguridad activa en el sistema

5

Como vemos en la Figuro 5.35, la página de entroda tiene un marco a la izquierda con un menú. Escogemos la opción Sys/em (sistema) y dentro de esta la opción Disk and Ne/work Filesys/ems (Disco y Sistemas de archivos en red). Una vez realizada la selección, el marco de la derecha se actualiza visualizando todos los sistemas de archivos de nuestro equipo (Fig. 5.36).

-e o Ii! MIiI ... . iu do. -

o ~

[§l hllp. ~floco~oll,¡O OOOI

:' "C'='_-____

Oo G.ttin~ 5tart.d Q u tl'! H..

lO')"" rool D llllbmin e S)"ll m E100IU~ .nd Shutclo·" " Ch.ng o p."wo,d. O"'OuOI~'

M,dul. Co"¡ig

=====:: :,¡!j:I

MaUllllld.-.

typa

I (Roc! ,*,,~t.ml

K omo¡ f~ .. ystom

FoI .. y".m Boc'u~

,horno

logf"" Rot.t,on r·!:ME T)'p l P"'g,am,

\Ilrtu~M . 'T>0'Y

VlrtullMomol)'l , WlIp)

¡m. d.a¡,d,cmO ¡ml d.:o¡fIoFPYO

IluM",gP,.,. " .. Sch.dulod Comm.nd.

sch"dul , d (,on lob.

sch ....,. P"'~.g .. 5)":om OoCum Onl"li," sysl om leg' U•• " .nd Group. [) Slrw ..

o oth. .. O

Iprod

Unu.<N.tive f ....Y'I.m l..tl ) Unu. l i " ;"'" f'",y" . m I b 'JI

PAAt"uth .nt"~llon

Nl tworlring ~ _

5" ,,01, Does ..

Disk and Network Fllesystems

I Add moun!. IT)"pl' 1~"."~"~'~""~,,'~.m;;;Ji,"~.~1

.m,

'o".andr~ "wo'" fJ.'Y.!t.m~

o

4\1

1- ) IICH "

Idov¡,hm

/d"'/pt. ... . 2l.g on.",/VOI.I<I . ",)'IJi<.m.~ •• ,unty !homl/omilio/.q.fo

UD f.1 50~660

UnmownT)"p . S"l5fS RAM Di. \: II m p l.1 fW.l Oi, k II mpl. , RAM o;,\: IImplol fW.l o.. k II mpl.)

."

lD~.tlall

Und

Pl n nian w:th 10 ~g~ ctsb l· ¡ dgf•• 5<7·98 17· 16 . 99c ¡ . ¡¡51 p~ n~io n wrth ID 5:¡dl l c47· caa7·477 2·b l ¡¡·¡coce d.. lI. o Pa n nion -...th 10 50 lc 7 C2 0·71b~ ·4B7r. 6 ¡4 1 ·od l47b 90 dc 7f / doWICdO floppy d-.\: o

.~

"~

., .,., ~

v.rio ck

"'~ ' ~>m

PT5 fd"Y'I. m 1<I~I1¡ fW.l Di,\: IImpl.1

SECUMYf5 FU5 E.GVFS·fU5E ·OA.EM OtJ

,~

devpl s

""

,~

ncutll)"h '1.f•• fuII.d • • m on

I ,o.dd mollnt IT)"p .: I""pi. fd..yollm (ti.)

..

"'

In Ulft' S..... d' ,,, ,,, ,

'" ,,'

,., '" ,,, '" ,,, '"

., .'", .,

,

'" ,,, '" ,., " ,"

,,,

'"

,,,

'" ,., ,,, ';'

:l

e u " ·v, od .h d ,!" hllp. ~~aC a~o":¡ DOOO/IYIQuntJ . r!.1_mQ "n\.< !ti'ind._2

Ioc llha.! :ICOCO

U

Fig. 5.36. Disk and Nelwork Fi/esys/ems.

De todos ellos nos vamos a centrar en el directorio /home, que está montado en una partición independiente y es la idónea paro activar las cuotas de usuario, por ser en ella donde se guardarán todos los archivos de los mismos. En el marco de la derecha de la página, seleccionamos con el rotón la opcián /home, que nos llevará a una nueva pantalla (Fig. 5.37).

~I ~ t-IlO •

..,;.hdo.- . G, Ung SI.,"d

DI..al ••I HU.r.no .-

~

lO;"""", [J w.bm"

Edlt Mount

O Sy>lom B"I"" ."dSh~1d""",,

Ch. n"P,,,.r.;d. c,,~ Quo'~'

¡¡¡ ~ ...... rul mounl at boct

5 .... Mounl l

F' ''Y'um,

Mounl no .. ' ID e h lCl< nt .. ylI, m a l bool1 O Un"" II.U... fU ...,...I, m

F.r"y>"ma"h~

'og • .r, Rou "on

"""m.

'""ME Ty.>, ..

IQ

l!homo

D"'.n~II.I,,",¡k

P~ " ~ e>1h".I,:>'''"

""""n, P'o <o" .. S,h,dul, d Ccmm . n~. Sd"dul,dC"n),b.

,",01Oll

51nU3GlI/ fr uU31lB

O s ...... 0 00(\' ......

O Unmount

r~ ,

O oth •• drlli,.

soh" o Pa< ";"

S,.""" D.,"m,"'."'" ~Y"'""·9·

Un "

. nd~,..,"",

A110 .... &,u\lon 01 ~tn~rl c.,

0 5 ...... " 0 01" . ..

O U.,,,,, run 9 U H. nI"oro O C.... I..

UV"""" "" ü .

Somh: 1

A •• _ . ...... , _ , __ TOrmino do

Mo .. " .. r. 'o \\lounl 11<1.

o y" O

®

I~o

n. (i "o

~Q

Aut on Dn 8fTO'

11IIIIIIII R, .. rvo 'P O< . lo. Uro up

O h. (!I I "

Fig. 5.37. Edil Mounl.

En esta nueva página, tendremos que poner la opción Use Qua/as? (¿usar cuotas?) con el valor User only (sólo usuario), pues vamos a aplicar las cuotas de disco por usuario y no por grupos. El siguiente paso consistirá en establecer las cuotas que queramos a cada uno de los usuarios del sistema. Para ello elegiremos en el marco de la derecha la opción Sys/em (Sistema) y en ella la opción disk qua/as (cuotas de disco), como podemos ver en la Figura 5.38.

121


Seguridad activa en el sistema

----------- ----------------------

.eo ~ M"

Tii'i\'

"<.1

& ] http'J¡localho.t :IOOOO/

lIÍ.ilado.- Oo Gltting slanld Sll Llt .. t H.. d~nn"

tos,n,r".t el Wl bmin

Help .• r.lodul o Co,.(,g

Disk Quotas

o Sysum eootup

~nd

Fl!lIlvslem

S¡'utdo",n

(h~ng ~ I'ao<w""" D"~Ouotaª e i.k and ttot"'",.

MOUl1ll1d Fram Panition with ID 52 d( lc4 7·0aa7 ·4772·b.l l·lc ec6daa lfu

I Edil Uu rQu.lu : 1[1====JIQ

F~"Y'tem , ',I~ .y.tem

l\IPII

statu.

AclJan

u n r ouotas Active

e¡. ~bl .

Quet..

!

Ent., or 011"1 I unr. Ind c~(k Ihi, bUlton lo lIÍ"whi. quol .. on aH fd.'Y'tom • .

83Ckup

filt IIct~ti.n r·I!ME Type Program. PAMAuthonll<at<cn Running Prcc . ..u htlp'1¡1ocl!hc.t:IOOOO/quctoJ L<lg

Fig. 5.38 . Cuotas de disco. En esta nueva pantalla aparecen los sistemas de ficheros poro los que se hayan estable· cido cuotas de disco, que como se ve, solo se ha realizado en la partición /home. Si morcamos con el ratón la opción /home, iremos a una nueva pantalla que contiene una línea por cada usuario del sistema (Fig. 5.39).

e.rchivo

¡¡d~ .r

~.

~ M"lIÍlhdo . ·

Hiltorill /:I1" l do,", Hlmomiontls

~da

(JIo GltI1ngSlanod IDLIIluIHud!in .. -

'"

LC\j1n:rc ct

Cl Wlbmin

/·\o¿ul. l"de< Help ..

Fllesystem Quotas

El Syst l m

Al User Quotas on I hol:le

OoclUp ~nd Shutde,.", change Pauwo,d,

C 113u~t

Un, 11.1

Em~ 1n~ti (OC.llon,

quelo,

I

C". Ou~l3<

C". "nO tt.tv.'crx

Fd lSjf>tem. Fd uy .tem 8.'.up Log F~. Retotr~n ~I;I~E Typ . P,o~ .. m. PAM Al.<\h.r.t,calron n"nmn~

p'Oto .... Sch.d"l.d Ccmma~d,

34.65 MB

O pope

~;lr-1!3

O ~n a

1 6 ~a

Un~m~ l d

,un!:miUd "'

."'

Unlimit.d

,no

Un f.m~.d

so lee' ~ l . l lnvo 't •• loct ron. 1ed;t gfa, . trmo. I eh". I updat, S, I"I.d UII ... I

Schod"lod C,onJob. SO~WOfe

o rocl

Unt:m~.d

unJ;mt.d

ur.!mdt d

unlan:tld ul'!!:mit.d

u<>lm:t. d

qu~la.

Pa:kao.,

Ttrmin l do

locllho.I,IOOOO

Ü

Fig. 5.39. Cuotas de los usuarios.

Por último, sólo nos quedo seleccionar los usuarios o los que queremos asignarles cuotas de disco y establecer las mismas. Para ello se seleccionará el usuario elegido, apare· ciendo uno nueva pantalla como la que se muestra en la Figura 5.40.

e.rchivo ¡¡dilo,

~r

-e

H!.1lorial t:!1" adc,.. HI""miln¡81 "rIIoa

(3 S' (§l ht¡p.~~ocathost:IOOOOI

!l:J Má.lIÍ.nado.· CJo o IUi1l; Stand Eil Lltnl H..dl:n .. •

"'

Login, .oel !I w.bmin [l Sysl lm Boclup ond Shutd,,,,,

ehan;. Pa"wor~. Ci'\:Ouetn. Di . \: ,"drlotw",\:

~Iodulllnd ••

QUDln fa n r"p. on J h ... 50ft kltobyt .. llmll Kllobytos used

F.I "y,r. m. Filo'y,r em nat!:up lag Fd . llotaloon t.I:M~ Type Pro~"m' PAM ;"l.<\he"toc.toon Runn : n~

5011 m . llmll FU.. u ll d

O Ur.!,rTÚt.d \i)

~~

5.7] M8

@ Ur.!'m~.d

O

171

r==::J

~

Ha,d Idlobyto IImlt

O Un!,m,'u d lIiI

Av.. lI .. ble spa, . O" dllk

1.85 GB 1011111 .65 G8 Jr..

O

r==::J

Ha,d 111 . Ilmll

@I untm;l l d

A\l3113blo ni .. on dis k

122400Iolll/ 121947fr ..

I Updlto I

P'm .....

s,h. du rod eemm.nd. s , h.dul . d (renJ ob, Scftw3r.

Edlt User Quota

Hl lp..

P"b~ • •

Sl"'tom Cecume nr.t.:n

I U,t All o".t .. 1

(1".lhi. b"lI en lo d"pl.y a ti.1 cI.nJ,lu)'1t.m. on...t.thlhi. " .. r hll d.. k quet ... ..,th ~.nk. \0 .d~ Ih om .

.. Ro¡urnteu,.rL<t

llInrin~do

lo,"tho.I:IOOOO

U

Fig. 5.40. Asignación de cuota a usuario.

Uno vez definidas las cuotas, hacemos dic sobre el botón Update (actualizar). Si quisié· sernas poner cuotas a otro usuario, repetiríamos el proceso anterior. 122


Seguridad activa en el sistema

5

3. Autenticación de los usuarios Según la Real Academia Española, autenticar se define cama "dar seguridad de que alguien a alga es la que representa a parece». Los métodos de autenticación, en nuestro caso, son los mecanismos que una máquina tiene para comprobar que el usuario que intenta acceder es quien dice ser.

Actividades

9J

7. Define una política de

Estos métodos se pueden clasificar en tres grupos, en función de los medios que se vayan a utilizar para identificarse:

contraseñas para la red del aula. Dicha política deberá incluir los siguientes apartados:

Algo que el usuario sobe y que el resto de las personas desconocen: es lo más

• Objetivo del documento.

utilizado. Lo usamos poro acceder a nuestra cuenta de correo electrónico, para conectarnos a Tuenti. .. (utilizamos un nombre de usuario y una contraseña que solo

• Ámbito de la aplicación (a qué usuarios influye).

conocemos nosotros).

• Formato de las contrase-

• •

Algo que el usuario posee, por ejemplo, una tarjeta de identidad. Alguna característica propia del usuario, rasgos físicos o comportamientos. Ejemplos: la huella dactilar, característica utilizada en el DNI para identificarnos; la retina, la manera de teclear... A este tipo de medidas se le conoce como mecanismos biométricos.

Hay sistemas de autenticación que combinan distintos métodos para alcanzar un mayar grado de seguridad; pensemos cuando vamos a sacar dinero de un cajero automático, que primero debemos insertar nuestra tarjeta de crédito (algo que poseo) y luego solicita el número de identificación, PIN (algo que conozco).

ñas.

• Longitud de las contraseñas.

• Tiempo de vida de la contraseña. • Forzar el historial de contraseñas.

• Indica tras cuántos intentos se bloqueará la cuenta.

,.

3.1. Políticas de contraseñas En la mayaría de los equipos infarmáticos, la autenticación de los usuarios se realiza introduciendo un nombre y una contraseña. Cada usuario tiene asignado un' identificador y una clave, que permitirán comprobar la identidad del mismo en el momento de la autenticación.

Como es lógico pensar, la seguridad del sistema va a estar fuertemente relacionada con la buena elección de la contraseña y la confidencialidad de la misma. Par este motivo, las empresas suelen tener definidas políticas de contraseñas donde se establece la longitud mínima de la misma, su formato, el tiempo que será válida, etc. A continuación, vamos a estudiar las características que debe cumplir una buena contraseña:

No deben estar formadas por palabras que encontremos en diccionarios, ni en español ni en ningún otro idioma, ya que cualquier programa de fuerza bruta lo descubriría con facilidad.

No deben usarse sólo letras mayúsculas o minúsculas, porque se reducirían las combinaciones en un alto grado; ejemplos rechazables: ANA, avestruz, abcdef.

No deben estar formadas exclusivamente por números, por el mismo motivo que en el caso anterior. Ejemplos: 273456, 373009.

No debemos utilizar información personal: nombre de nuestros familiares, fecha de nacimiento, número de teléfono ... ya que cualquier persona cercana a nosotros podría descubrirla. Ejemplos: cp28007, 06/06/1965. Este fallo es muy habitual en las preguntas que te realizan determinadas páginas (correos electrónicos) cuando no recuerdas la contraseña.

No debemos invertir palabras reconocibles, como atatap, zurtseva. Cualquier programa creado para este fin lo descubriria en un corto espacio de tiempo.

No debemos repetir los mismos caracteres en la misma contraseña.


~/

5

Seguridad activa en el sistema

o

No debemos escribir lo contraseño en ningún sitio, ni en papel ni en documentos electrónicos que no hayan sido encriptodos.

o

No debemos enviarlo en ningún correo electrónico que nos la solicite.

o

No debemos comunicarla a nadie por teléfono.

o

Debemos limitar el número de intentos fallidos. Si excede el número máximo de intentos permitidos, el usuario debe quedar bloqueado, par lo que tendrá que ponerse en contacto con el técnico de seguridad. Es lo que ocurre en los cajeros automáticos, si te equivocas tres veces al introducir la clave, el cajero se queda con la tarjeta. Con ello evitamos que se puedan seguir haciendo intentos indefinidamente y al final se descubra el número secreto.

o

Debemos cambiar las contraseñas de acceso, dadas por defecto por los fabricantes de routers y otros periféricos, que nos permiten el acceso a la red.

o

No debemos utilizar la misma contraseña en las distintas máquinas o sistemas, ya que si nos la descubren, haríamos vulnerables el resto de equipos a los que tenemos acceso.

o

Las contraseñas deben caducar y exigir que se cambien cada cierto tiempo, al menos una vez al año.

o

No debemos permitir que las aplicaciones recuerden las contraseñas.

Por lo tanto, las contraseñas deben ser cadenas de caracteres que incluyan tanto letras mayúsculas, minúsculas, números y caracteres especiales sin ningún tipo de lógica aparente. La longitud de la misma debe ser superior a ocho caracteres, aunque lo más recomendable es que supere los quince. Algunos consejos para poder recordar la contraseña, ya que como hemos comentado anteriormente no podremos escribirla en ningún sitio, sería elegir palabras sin sentido pero que sean pronunciables, o bien elegir la primera letra de una frose que recordemos por ser parte de una canción que nos gusta, o de algún recuerdo, por ejemplo: «Nací el 6 de junio del 65 en Madrid cerca de las 6 de la madrugada», Ne6dJd6eMcdl6dlm; para complicarla, se puede poner algún símbolo especial en una posición que podamos recordar. Si cumplimos con todas las recomendaciones expuestas anteriormente, haremos que cualquier intruso que intente descubrir la clave de acceso mediante programas de fuerza bruta, como John the Ripper o similares, tenga que perder mucho tiempo y desista del proceso. Recordad, una controseña mal elegida o mal protegida puede suponer un importante agujero en la seguridad del sistema. Para aquellos de vosotros que no tengáis mucha imaginación para crear claves, hay multitud de programas que os permiten generar contraseñas con las características que vosotros queráis. Ejemplos de esos programas son Max Password y Password Generator.

~ Actividades 8. Descargaos la aplicación John the Ripper (www.openwall.com) y comprobad los tiempos que tarda en descubrir contraseñas: o Formadas por una palabra que podéis encontrar en el diccionario, por ejemplo patata. o Formadas solo por números 373009. o Formadas por palabras invertidas, por ejemplo patata al revés, atatap. o Formadas por palabras en otros idiomas, computer. o Formada por un conjunto de caracteres sin sentido: $lAh%4Unb89{3.

24


Seguridad activa en el sistema

5

3.2. Sistemas biométricos Los sistemas biométricos, se utilizan para autenticar a los usuarios a través de sus rasgos físicos o conductas. Estos sistemas se están popularizando en la actualidad; podemos encontrar portátiles que nos obligan a autenticarnos para acceder a su sistema operativo a través de la detección de la huella digital. Otro caso similar nos lo encontramos en Disney World, la identificación de los usuarios que paseen entrada válida para varios días, se realiza mediante sistemas biométricos; de esta manera, se evita que un grupo de amigos saquen entradas para varios días aprovechando el descuento y que posteriormente accedan al parque en distintas días repartidos en pequeños grupos.

o

¿Cómo funciona un sistema biométrico?

El funcionamiento del sistema biométrico se compone de dos módulos, el de inscripción y el de identificación (Fig. 5.41 l. El primero de ellos, mediante sensores, lee y extrae la característica que identifica al usuario, almacenando el patrón en una base de datos. El módulo de identificación lee y extrae la característica que reconoce al usuario. Ese patrón es comparado con los que se tienen almacenados en la base de datos y se devuelve la decisión sobre la identidad del usuario.

., - -

I

Rasgos

- - - - - - - - - -- - -. - - - - - - - - - - - - - - - - - - - -- - -- - - - - - - -- - - - - - - _. - - - - - - - - - - -

Extracción patrón

Lectura sensores

I -H.~

'-- ----- ---- ---- -----1

Módulo de inscripción

--n

, _. - -- - --- -- -- -- -- -~~

j - - - - - - --- - - - -- - - - - - - - . - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -[

Rasgos

I

~ :

: .

u

-

u

~

Lectura sensores

-

.

.. --

-

--

-

u

u

I

Extrac~lón patron

~

Módulo de identificación

.

-.

Comparación patron

I~I~

-U : :

1-- ----- --- --- .--- .-~

Fig. 5.41. Funcionamiento de un sis/ema biométrico . Fig. 5.42. Sistemas biométricos.

Los tipos de sistemas biométricos más populares son: o

Verificaciones anatómicas: - Mano: huellas dactilares, geometría, venas. - Rostro: geometría. - Patrones oculares: retina, iris.

o

Verificación del comportamiento: - Timbre de la voz. - Escritura: uso del teclado, escritura manual de un texto predefinido, firma del usuario. - Longitud y cadencia del paso.


y

5

Seguridad activa en el sistema

----~----------------------------------

3.3. listas de control de acceso Las listas de control de acceso, también conocidas por su sigla en inglés ACL, mejoran la seguridad de los archivos de nuestro sistema. En dichas listas, se definen los privilegios que tiene un usuorio de forma individual sobre un determinado fichero, es decir, permiten o limitan el acceso a los archivos de manera individual sin tener en cuento el grupo al que pertenece el usuario.

Q

Caso práctico 8

Definir listas de control de acceso en Ubuntu 9.04 para res' tringir el acceso a los archivos

la palabro elave «ael» en las opciones de montaje de dicho fichero.

1. Para poder hacer uso de las listas de control de acceso

2. En nuestro caso, además de las particiones de root y swap, tenemos una tercera dedicada al almacenamiento de datos; en esta última, vamos a configurar la lista de control de acceso; para ello modificamos el fichero fstab (Fig. 5.43), añadiendo la línea correspondiente a dicha partición (Fig. 5.44.)

debemos comunicarle al sistema en qué particiones vamos a querer usarlas. Para ello, necesitamos configurar el fichera /etc/fstab. Los sistemas de ficheros montados con ACL, tendrán

r:11

,archivo ¡;:ditar Yer Jl!rm ....I"C"';:.I..:A "' ,, üd""_ _ _ _ _ _ _ _ _ _ _ _ _ _

aiiiiliifst rador@Jupiter:: 5

Contraseña: root@Jupiter:/hor.:etadr.linistradorll gedi t /etc/fstab

Para comprobar que la distribución de LINUX sobre la que vas a trabajar soporta ACL, debes

Fig. 5.43. Edición de fichero fstab.

utilizar el comando grep, como se muestra en la imagen.

_...

r.~ ~

..

,",,, .,, '''''''"''''-~- .,

El

[()

"g::::;':.;:,,,::-;:,"".' ",,,,,,,,,,,., "",,, .m,,,, " ."". ""_,

Nuevo Abrir

"",,,,,,,,,,,,,,,,,,,,'1

Gl fstab

¡::::-!,;,:,_!e.¡:,~~.,

. " .i\i)j!3)o¡¡¡3IT1l

0 0 ...• -

Archivo ,Editar

",,--

1E¡r~rm'~l:'~t·

su

v

= @i

yo< fluscar Qocumentos Aluda

~ . ... I Deshacer Gua~ar I Imprimir

M

Re t:acer

I Cortar ""

~

I@ I

v

[1,

Copiar Pegar

01

11 letc/fstab: static file systern information.

•11 Use

' vol id --uuid' to print the universally unique identifier tor a

11 device; this rnay be used with UUID= as a more robust way to name devices 11 that works even if disks are added and removed . See fstab(5).

Fig. 5.46. Comprobación ACL.

•11 <file system;:. <tnount poinb

<type;:. <options;:. proc defaults Iproc 11 / was on ¡dev/s dal during installation UUID=3d399d92 -e635 -43eb -9f4d -a1787971 ffle / relatime,errors=remount-ro 9 1 # /home was on Idev/sda5 during installation UUID=97f379ae-93aS-4668 -b949 -ded3a139cce7 /home relatime 2 11 swap was on ¡dev/sda6 during installation UUID=2e99a71 f -5dfa -491 f -897b-d74d9161a35d none proc

,<dur.lp;:, ,<pass;:. ext3

,

Para configurar las listas de con-

'"

trol de acceso (ACl) debemos realizarlo bajo el perfil de admi-

¡dev/scd9 Idev/fd9

/dev/sda5

,

exO

,

/media/cdrom9 Ir.ledia/floppye Ir.:edia/datos

swap

udf,iso9669 user,noauto,exec , utf8 9 rw,user,noauto,exec,utf86 auto auto rw,user,auto,exec,ac19

, ,,

nistrador.

I Texto plano" 11 Ancho de la tabulación:

B" 1 I..n 17, eol1

INS

Fig. 5.44. Fichero fstab.

3. A continuación, procederemos a montar la partición nuevamente (Fig. 5.45).

~ Actividades 9. ¿Qué

diferencias hay entre el uso de las ACL y el de la orden chmod?

• • 1,

.Brehivo

.Editar yer Terminal

~j

• J • _•

• - • •t

Ayyda

root@Uupiter:/ home/administrador# mount -o remount,acl /dev/sdaS root@Jupiter:/home/administrador#

Fig. 5.45 . Remon/or unidad. (Continúa)


Seguridad activa en el sistema

5

Casa práctico 8

=. archivo Editar yer Iermlnal Ayuda root@Jupiter:¡hot.le¡adminlstrador# ls -1 total 348 drwxr-xr·x 2 administrador administrador drwxr·xr·x 2 administrador administrador ·rw-r··r·· 1 administrador administrador ·rwx····-· 1 administrador administrador -I"W)("'--- 1 administrador administrador drwxr-xr-x 2 administrador administrador -rwx"'--- 1 administrador administrador ros . png -rwx- - - - - - 1 adr.'linistrador administ rador drwxr-xr-x 2 administrador administrador ·rwx----·· 1 administrador administrador .rwJ(-- •••• 1 administrador administrador drwxr·xr·x 2 administrador administrador -!"\J·r··r·· 1 root root dl"l/xr·xr·x 2 administrador administrador -rwx······ 1 administrador administrador drwxr-xr-x 2 administrador administrador root@Jupiter:¡heme/administrador#

9

(Continuación) G

4896 2099-87-31 22 35 4096 2009-09-82 23 41 3572089-07-312233 94677 2089-87-22 18 41 3B868 2889-87-22 18 52 4896 2089-87-31 22 35 72664 2089-87-22 10 50

DocUr.Jcnto 5 Escritorio examples.desktop gedit . png getfacl.pn[l Ir.Ja[lenes listado de fiche

lB157 2889· 87 - 22 Hl: 47 4896 2889·87-31 22:35 19165 2889·67·22 18:32 18383 2069·67·22 18:38 4096 2809-07·31 22:35 332809-09·02 23:53 4896 2089-87·31 22:35 33834 2889-07-22 10:56 48962889-87-3122:35

r.Jontaj c _png r-hisica pantallazol.png pilntaltazo . png Plantillas prueba Público sctfacl.png Videos

Para realizar el ejemplo, root ha creado un fichero llamado prueba.

1 1

I ~

Fig. 5.47. Ficheros de un directorio.

11:1 An:hivo "ditar yer TermInal Ayuda r oot@Jupiter:/hor.le¡adr:1inistrador# getfacl # file: prueba # owner: root # group: roet user:: rugroup:: ro. other:: r--

4. A continuación, mediante el comando getfacl, vamos a ver la información que almacena la lista de control de acceso del fichero prueba y del directorio actual.

p·~,"",;¡;b,;;--------------r.l l

Nos informa del nombre del fichero, del propieta· rio, del grupo y lo que más nos interesa, los permi· sos del propietario (user::rw·), del grupo (group::r..) y del mundo (other::r..). Lo mismo para el directorio actual (Fig. 5.48).

reot@Jupiter:/heme/administrador# getfacl # file: . # owner: administrador # group: administrador user:: rwx group:: r-x other: : r-x roo t@Jupiter:/home¡administrador#

Fig. 5.48. Resullada comando getfacl.

5. A continuación, vamos a darle permisos a Fernando, para que pueda leer y modificar el fichero prueba. Paro ello, debemos utilizar el comando setfacl con la opción «·m», que nos permite modificar la ACL, y por último, comprobamos que . se ha realizado la modificación solicitada (Fig. 5.

an:hivo Editar yer Terminal AYlJ.da root@Jupiter:/home/administrador# setfacl -m user: fernando: rw- prueba root@Jupiter:/home/administrador# getfacl prueba # file: prueba # owner: root # 9 roup: root user:: Nuser: fernando: n.ogroup::r-· r:msk:: 1"1/' other:: r-'

root@Jupiter: ¡heme/administrador#

L

49). ~'~

'------------------~~~~~~~II Fig. 5.49. Resullado comando setfacl.


Seguridad activa en el sislema

q

Casa ~ráctico 9 Definir listas de control de acceso en Windows utilizando el comando cacls para evitar el acceso a los ficheros a usuarios no autorizados

l . . Para la realización de esta actividad debemos tener creados al menos dos usuarios: Usuario 1 y Usuari02. 2. En la carpeta Mis Documentos del Usuariol, crearemos otros dos directorios: Confidencial y Datos compartidos. 3. El Usuario 1 quiere permitir que Usuari02 pueda leer documentos que hay almacenados en Datos compartidos. En estos momentos eso es imposible, el Usuari02 no tiene permisos para acceder a Datos compartidos. ¿Qué podemos hacer? Modificar la lista de control de acceso para permitirle entror a la carpeta Datos compartidos. Además, debemos permitir el acceso a la carpeta Usuario 1 de Documents and Settings y al directorio Mis Documentos. Paro ello debemos ejecutar la instrucción cacls, cuya sintaxis es: Cacls fichero /parámetros Los parámetros son:

11.- Cambia

las ACLS de los archivos especificados en el directorio actual yen todos sus subdirectorios. le.- Modifica la ACL en vez de reemplazarla. Este parámetro es muy importante, supongamos que queremos darle permisos al Usuari02 y no utilizamos este modificador; entonces se reemplaza la ACL antigua por la nueva, no permitiendo al Usuario 1 acceder a su información. Ic.- Fuerza la modificación aunque encuentre errores. Ig usuario:permisos; R (lectura); E (escritura); C (cambiar), y F (control total).Concede derechos de acceso al usuario. IR usuario.- Suspende los derechos al usuario. Ip usuario:perm.- Sustituye los derechos del usuario especificado. Id usuario.- Deniega el acceso al usuario especificado. La instrucción cacls permite modificar las listas de control de acceso a los ficheros. Según la sintaxis anterior, debemos ejecutar el comando que aparece en la Figura 5.50.

Fig. 5.50. Modificación ACL del directorio actual y subdirectorios.

El resultado es que el Usuari02 puede entror a todos los directorios y ficheros que cuelguen del directorio Usuariol, o lo que es lo mismo, puede visualizar cualquier documento de dicho usuario. Como toda la información del Usuario 1 está almacenada en dos carpetas, Confidencial y Datos Compartidos, para que no tenga acceso el Usuari02 al directorio Confidencial del Usuariol, debemos ejecutar la orden de la Figura 5.51.

" C: ' D'U. llm·nl . "mi , 1\' In í! : N

_ [J

~;,'lllll'l

' " :: ll,'¡'!ul )" " l . "Mi :.. ,lu¡;"rU'nlw.'( oIlJ ¡!Iclle!.,I" / c / 11

Fig. 5.51. Denegación de acceso a carpeta confidencial.

x

11:"1111:1


Seguridad acliva en el sislema

5'-...CI

-----------------------------------

4. Vulnerabilidades del sistema

Los sistemas operalivos son pragramados y sometidos a numerosas pruebas anles de ser lanzados al mercado, pero no se descubren sus verdaderas vulnerabilidades hasta que los «expertas en seguridad" (hackers, crackers, virus.. .), lo someten a sus duras pruebas. Entonces, esos agujeros son corregidos con la mayor celeridad posible por los programadores del sistema . Por el lo, siempre debemos mantener el sistema aclual izado.

Windows publica las actua li zaciones los segundos martes de coda mes, conocido como Patch Tuesday (martes de correccio·

nes), a no ser que sea una adua· ]¡zación crítica , en ese caso se publica seg ún se termine.

4.1. Evitar vulnerabilidades en Windows Poro evitar los vulnerabilidades en Wi ndow s, debemos mantener el sistema aclualizado con los últimos parches. Esto lo podemos realizar de distintas maneras: Windows praporciona un servicio de aclualizaciones automáticas a lravés de la Web, denominado Windows Update, ubicado en windowsupdate.microsolt.com. Si nos coneclamos a esta página, el servicio analiza el sistema operativo y determina las aclualizaciones que es necesario descargar. Olra manera es configurar el sistema operalivo paro que realice las descargas de las aclualizaciones automáticamente. Para ello debemos pulsar el balón Inicio de Wir,dows Vista, hacer clic sobre el Panel de Control y seleccionar la opcián de Windows Update (Fig . 5.52).

---

........-

'i>

[i) ~.

...,...

o,ac.... ... ~

.~

~

...

~,~

l!!f:J ... i]J

"'-_ SoL

~

1_ . -=t

~ ~

~

...

_.- -

,_,:Mf ...... ,~

-- -

,q

w_ -."

I~

...... ........... ,

""'~

~

l-~

..,~

0 , - . ..

p~

_.~

v.-........

~

<&

~

,-

~

~ ".,,-

w_ ~

Fig. 5.52. Panel de control.

A continuación, se abre una nueva ventana similar a la que se mueslra en la Figura 5 .53 .

\'linrlaw> Upd.te

[@0esa '9M~ ¡l\st.lI.lI.1OU.)l ju¿o""'p.lJ'3dequipo

. ,,"""'.....-.... .......

:.::!.=::::u:.::.!!·~:~n: " l[i~!!> ,~~ ";¡;;;;;JI

-_ ... - -..... ....¡..... _ _ ,.-..w_

~

_ ~

I

~

_ _ ... _

s .~w _

_

~;

_ .... ...,,-.,....oie"

~

Joto, . InlG! 1ioy . I<> Ul . ~

_ _.. ....:ten.ld.",... oa-_

Fig. 5.53. Windows Updote en Windows Visto.

", ,, ,, ~,,

~ .

...... , .... UO! .. ~ )

_

,


~/5

Seguridad activa en el sistema

----~----------------------------------

En esa ventana podemos buscar actualizaciones, cambiar la configuración, consultar el historial de actualizaciones, restaurar actualizaciones ocultas y ver las preguntas frecuentes sobre el proceso de actualizar el sistema. Como estamos intentando configurar las actualizaciones automóticamente, debemos hacer dic en la opción Cambiar configuración, que se muestra en el marco izquierdo de la Figura 5.53.

00 ~ ..

Wi!ldaws Upd.!!! • úmbiar configuf.ciOn

Elija la forma en que Windows puede instalar las actualizaciones (ulndo ti equipo HU cantct.do, Windaws puede comprobar lutom'tic.mente In adu.liucicnH e imt.llIlu I/undo uu ccnfigu,',ión. Cuando utén dilponiblu nuevll .dll. liucienes, plltde instabtlu .ntH de ap'g,r ti equipo. Informa cién soln!! ActuJIi::Jdont5 lutom alicJs de Window! ri:ll, @ InsUlar.ICt!WIDdonesluwm!t1umente(recomendado)

V

[mUlu nuevu .ctulli:.tciones.:

1101l051011llU

.I,ln ~

CI Busca! . du.liuciones, pero ptrmítirme elegir si desto descargarlu t instllllln rL'JII

W

e No bUSC4r 'du,linciona (1\0 recomendadD) El equipo str' misvulntllblt •• menua¡ dt seguridad y problunas de rendimiento sin Ju IctualÍIadcnes más redmtes.

Actuali",cicnes recomendadas O lnduir lu actuaJi::adonu recomendadu cad. ve..: que se descar!luen o instalen actualizadones, g clda vu que recib. un. nclifi"ción ,obre tJln. Nota; u posible que Windcws Update se actulli,e lulom'liclmenle antu de que busque ctras actualÍIldones. Lea la d~c!",.ci6n de nnv3cid . d ~n I'nu .

0 Aceptu

II

C.ncetn

I

Fig. 5.54 . Configuración Actualizaciones.

En la nueva ventana (Fig. 5.54), seleccionamos la primera opción, Instalar actualizaciones automáticamente (recomendado), definiendo cuándo queremos que se instalen las nuevas actualizaciones. Como sabemos que Windows suele publicar las actualizaciones los martes, lo podemos configurar para que se instalen los viernes a las 20:00 horas, de esta manera, nos aseguramos que no han dado problemas los parches publicados. Otra opción que podemos seleccionar en la misma ventana es Descargar actualizaciones, pero permitirme elegir si deseo instalarlas; como su nombre indica se descargan las actualizaciones, pero no son instaladas hasta que no demos la oportuna orden. Otra selección posible es Buscar las actualizaciones, pero permitirme elegir si deseo descargarlas e instalarlas; de esta manera, no se descargan las actualizaciones, ocupando espacio en el disco duro hasta el momento en que las instalamos. Por último, podemos optar por no buscar las actualizaciones; en ese caso somos los responsables de acceder a la página de Windows Update y determinar las actualizaciones que necesitamos para mantener nuestro equipo sin vulnerabilidades. De la misma manera que mantenemos actualizado el sistema operativo, debemos mantener actualizado los programas que tenemos instalados y, por supuesto, el firmware de los distintos periféricos que conectamos al equipo: router, switch, etc. Como perderíamos mucho tiempo consultando la página de cada fabricante para ver si han publicado nuevas actualizaciones de las aplicaciones instaladas, podemos utilizar algunos de los numerosos programas gratuitos que existen. Estos se conectan a Internet y nos informan de si hay nuevas actualizaciones publicadas que aún no tengamos instaladas. Algunos ejemplos de dichos programas son APPGET, SUMO, LOGICIEIMAC.COM, APPFRESH, UPDATE NOTIFIER (http://cleansofts_org), etc.


Seguridad activa en el sistema

5. Monitorización del sistema

Con lo monitorización del sistema vamos a poder auditar los eventos que se han producido en nuestro equipo.

5.1. Monitorización en Windows Como ya estudiamos, podemos abrir el visor de sucesos mediante la orden evenlvwr. msc. En la Figura 5.55, podemos ver que guarda información de los sucesos de aplicación, seguridad y sistema. -

-----IJ Visor de sucesos

.""""". [il111!@ I r,1""""'60 AaJ6n

fl¡JI L

"

.

Vo<

~

~

-

-

-

-

-

--

Irl~~

I I

Ayud.

@

IV= de """'" (loc"l

<0. .

Nombre

\1 Seguridad !¡ S"tstemo!l

Iill Apl<odón Iill Seguridod Iill"''''''''

I 1100 Regl ... Regi ... Regl ...

I

I TarMio Registros de error de aplicac ... Registro de audiroria de seg ... Registros de error del sistema

~

~

~

~

"

Fig. 5.55. Visor de sucesos Windows.

Esta información es guardada en los archivos AppEvent.Evt, SecEvent.Evt y SysEvent.Evt, ubicados todos ellos en el directorio %SystemRoot%\system32\config. Es muy impartante configurar correctamente el tamaño y el acceso a los mismos. El tamaño debe ser lo suficientemente grande para albergar los sucesos producidos en el sistema hasta que lo auditemos. Y como es lógico, para evitar que 105 intrusos borren sus huellas sólo deberán tener permisos de control total el técnico o técnicos ,?ncargados de la seguridad del sistema.

5.2. Monitorización en Linux Linux tiene un complejo visor de sucesos (Fig. 5.56) que podemos arrancar desde Sistema > Administración> Visor de archivos de sucesos. - .... ~ .Archivo fditar ~jsta ~

Xorg.O.log Xorg.20.log V"

~

auth.log miércoles, 2 sep jueves. 3sep auth.log.O boot

bootstrap.log ~ ~ ~ ~

daemon.log daemon.log.O

' ~ Q~I '

."

-

(-j · 15~·N-.,t!Ml~

Ayyda

~'ª

. Se- -p 3 oo;;;;¡i Jupiter SU[18114]: +·;~;/i';dmi~i~~~ad~;; r~lll Sep 300:22 :11 Jupiter su[18114]: pam unix( su:s ession): se Sep Sep - Sep Sep Sep Se p Sep =Se p - Sep Sep

300,22 ,11 Jupiter dbus -da emon, Rejected send message' l

v

'"

300: 27:11 Jupi ter 300:27:17 Jupi ter 300: 27: 28 Jupiter 300:27: 28 Jupiter 3 00 :27: 2B Jupiter 3 00 :27 :35 Jupiter 3 00 :27 :35 Jupiter 3 00: 27 :35 Jupiter 3 00: 27: 35 Jupiter Sep 3 00 :27 :36 Jupi ter Sep 3 00:27 :36 Jupite r Sep 3 00:27:36 Jupiter Sep 3 00:27:36 Jupi ter Sep 3 00:27:36 Jupiter Se p 3 00 :27:36 Jupi te r Sep 3 00 :27:36 Jupi te r

debug debug.O dmesg dmesg.O

dpkg.log

(

303 lineas (78,4 KiB) - última actualización: lllu Sep 301:

Fig. 5.56_ Visor de sucesos Linux.

su[18114]: pam_unix(su :session) : se ~ gdm[27 59]: pam unix(gdm :session): s gdm[2759]: pam-unix(gdm:session): s gdm{2759]: pam-ck connecto r(gdm:ses gnome -keyring -daemon[ 18441 ] : adding dbus -daemon: Rejected send message, dbus -daemon: Rejected send message, dbu s-daemon: Rejected send message, dbus -daemon: Rejected send message , dbus-daemon : Rejected send message , dbus -daemon: Rejected send message, dbus-d aemon: Rejected send message, I dbu s-daemon: Rejected send message, dbus -daemon: Rejected send message, dbus -daemon : Rejected send message, dbus -da emon: Rejected send message.

El

~

:022009

IIL

5


~/5

Seguridad activa en el sistema ------~---------------------------------------Para simplificar lo auditoría, Linux tiene un conjunto de comandos, que se especializan en el registro de los distintos eventos. Poro auditor los entrados 01 sistema utilizaremos el comando last (Fig. 5.581, poro auditor los accesos fallidos usaremos el comando lastb (Fig. 5.591 Y poro los conexiones 01 sistema por red utilizaremos el comando lastlog (Fig. 5.601. Los ficheras donde se guarda la información se encuentran ubicados en el directorio

/var/log (Fig. 5.571.

~

Vocabulario

Lag. Es el registro de un evento que se produce en el sistema.

administradon@Uupiter:/var/log$ 15 di5t~upgrade

apparmo r i1pt

dmesg

auth.log

dmesg.e

auth . log.e auth . log . l.gz

dmesg.1.gz dmesg.2.gz

auth .tog .2.gz

dmesg.3 .gz

boot bootstrap.log btmp

dmesg. 4 . gz dpkg.log dpkg .10g.1 exi m4 fa11109 fontconfig.log

syslog . 5. gz udev lpr.log unattcndcd-upgrade s mail.err user .log ma11.1nfo user.log.o mai1.109 user .10g.1. gz llIail.warn user.log . 2. gz messages wpa supp11cant . log messages.9 \</pa: s upplictlnt . lag . l . gz messages.l . gz wpa_s upplicant.log.2.gz messages . 2 .gz wpa_s upplicant.log. 3.gz ne liS wpa_s upplicant.log . 4 . gz

daemon.log

fsck

pycent ralo log wtmp

daeman. tog . a daemon . log . l . gz daeman. lag. 2 .gz

gdm insttltter jockey.log

samba syslog syslog . e syslog . l .gz systog . 2 .gz syslog.3.gz syslog.4 . gz

btmp.l Con soleKit cup s

debug jockey.log.l debug . e kern.tog debug . l . gz kern.tog . a debug.2.gz kern.tog.l . gz administ rado r@Jupiter:/var/10g$

kern .log . 2. gz lastlog

wtmp.l Xorg.9.1og Xorg.9 .1og.o1d Xorg.29.1og

viene de weB lOG. Fig. 5.57. Ubicación /ogs de Linux. A continuación, vamos a ver unos ejemplos de los comandos vistos anteriormente. ~

Archivo bfitar ')[er Jenninal Ayyda root@Jupiter:-# last fernando pts/2 192.168.1.35 fernando ptS/ 2 192.168.1.35 root ptS!l jupiter administ pt5/9 :9.9 administ ptS/5 jupiter.locat administ pt5/4 jupiter.locat :0.0 administ ptS/3 administ pt5/2 jupiter administ pt5/1 jupiter administ pts/o :0. 0

lhu Thu Thu Thu Thu Thu Thu Thu Thu Thu

Sep Sep Sep Sep Sep Sep Sep Sep sep sep

3 00:52 3 00:46

3 00:45 3 00:43 3 00:38 3 00:37 3 00:31 3 90:30 3 00:30 3 00:29

. . . . .

5titl togged in 00:47 (00 :00) stitt togged in 5t1tt togged in 09:38 (00:00) 09:38 (00:91) eO:38 (00:07) 00:38 (00:97) 00:38 (00:08) 00:38 (00:08)

. El

I

Fig. 5.58. Resu/lado comando lasto .'

Archívo

.;:ditar

Ver

Jermínal

.

...

(;;;,¡

Ayyda

ana@ana-desktop :-$ lastb fernando fernando tty7 :0

Thu Ju\ 23 13:49 . 13 : 49

btmp begins Thu Jul 23 13 :49:28 2989 ana@ana-desktop : -$ lastb

Fig. 5.59. So/ido comando lastb.

Archivo .Editar root@Jupiter:-# Nombre fernando root@Jupiter:-#

')[er Jenninal Ay.uda lastlog · u fernando Puerto De pts/2 192.168.1.35

Fig. 5.60. Resu/lado comando lastlog. 132

Último jue sep 3 09:46:59 +9290 2099

(66:66)


Seguridad activa en el sistema

5

6. Software que vulnera la seguridad del sistema En este apartado vamos a estudiar tanto las aplicaciones (virus, gusanos, snifadores ... ) como el tipo de intrusos que mediante el uso de las mismas amenazan la seguridad del sistema.

6.1. Clasificación de los atacantes Los atacantes se pueden clasificar según el tipo de ataque: •

Hackers: son personas con grandes conocimientos informáticos y telemáticos (expertos programadores). Por su infinita curiosidad dedican un gran esfuerzo a investigar los sistemas operativos y los sistemas de seguridad para descubrir todas sus vulnerabilidades. La principal motivacián de los hackers es seguir aprendiendo y mostrar las vulnerabilidades de los sistemas al mundo. En ningún caso buscan un beneficio econámico o dañar la estructura del sistema. Podríamos hacer un símil con una persona que ha sido capaz de acceder al interior de una caja fuerte, pero no se ha llevado nada, simplemente ha dejado una nota informativa diciendo que ha estado allí, para informar de la vulnerabilidad de la misma. También son conocidos como hackers de sombrero blanco. Crackers o hackers de sombrero negro: el término hacker fue utilizado por los medios de comunicación de forma genérica, para referirse a cualquier intruso en un sistema, sin tener en cuenta la finalidad del ataque. Por este motivo, los propios hackers inventaron una nueva palabra para designar a aquellas personas que rompían las barreras de seguridad de los sistemas con fines maliciosos, bien porque buscaban un beneficio económico o bien porque por venganza dañaban las estruc.turas de los sistemas, etc. La palabra cracker proviene de CRiminal hACKER, es decir hackers criminales, hackers cuyas intenciones son maliciosas.

Phreakers: son expertos en telefonía. Son conocidos como los phone crackers, los crackers de la telefonía, buscan un beneficio económico saboteando las redes telefónicas para realizar llamadas gratuitas.

Ciberterroristas: san expertos en informática y en intrusismo en la red, que ponen sus conocimientos al servicio de países y organizaciones para el espionaje o sabotaje informático.

Programadores de virus: son expertos en programación, en sistemas y en redes, que crean pequeños programas dañinos, que por uno u otro motivo llegan a la red y se distribuyen con rapidez ocasionando daños en los sistemas o en la información almacenada en los mismos.

Carders: atacan los sistemas de tarjetas, especialmente los cajeros automáticos.

Sniffers: lo podríamos traducir como colilla, son las personas que se dedican a escuchar el tráfico de la red, para intentar recomponer y descifrar los mensajes que circulan por la misma.

lammers: también conocidos como wannabes o script-kiddies o c1ick-kiddies, son chicos jóvenes que sin grandes conocimientos informáticos, se creen verdaderos hackers y se lo hacen creer a los miembros de sus pandillas. Estos sólo se han descargado herramientas o programas de Internet para realizar ataques informáticos y los han puesto en marcha sin saber cómo funcionan. Los verdaderos hackers muestran una gran repulsa hacia los lammers.

Newbie: son los hackers novatos, empiezan a aprender y van superando los primeros retos para llegar a ser verdaderos hackers.

Luser es el término que utilizan Jos atacantes para referirse al usuario que va a ser atacado. Es la abreviatura de Local USER.

La palabra hacker ha sido

i-

zada erróneamente por la prensa para referirse a aquellas personas involucradas en cualquier

acto que ataque la seguridad informática, sin tener en cuenta

el fin del misma.


Seguridad activa en el sistema

6.2. Tipos de ataques Podemos hacer una primera clasificación de los tipos de ataques según los objetivos de seguridad que vulneran.

Interrupción, este tipo de ataque vulnera la disponibilidad de un recurso del sistema o de la red. El recurso no podrá ser utilizado. Ejemplos, denegación del servicio, el apagado manual de cualquier recurso (equipo, servidor, impresoras)' el rabo de un disco duro, cortar una línea de comunicación, deshabilitación de un sistema de ficheras (umount).

r Interrupción

Fig. 5.61. Interrupción.

Intercepción, ataca la confidencialidad. Un intruso accede a información almacenada en nuestro sistema o al que hemos trasmitido por la red, es decir, la información ha caído en manos de personal no autorizado. Ejemplos, captura de información en la red o copia de archivos no autorizada.

Intercepción

Fig. 5 .62. Intercepción.

Modificación, ataca el objetivo de integridad. Los datos han sido manipulados por personal no autorizado en algún momento entre su creación y su llegada al destinatario. La información que se dispone después de un ataque de estas características no es vólida ni consistente. Ejemplos, las modificaciones de programas para que realicen acciones diferentes a las prapuestas originalmente, modificar un mensaje transmitido por la red, DNS spoofing, ...

Modificación

Fig. 5.63 . Modificación .

Fabricación, este tipo de ataque vulnera la autenticidad. Se trata de modificaciones destinadas a conseguir que el praducto final sea similar al atacado de forma que sea difícil distinguirlo del original. Por ejemplo, el phising .

ot:.JI'J-----l

O

=F=abrica=ción=

\ Fig. 5.64. Fabricación.


Seguridad activa en el sistema

5

Otro tipo de clasificación se puede realizar en función de la forma de actuar de los ataques: •

Spoofing o suplantación de la identidad: la técnica de spoofing (engaño o falseamiento) se usa en redes ethernet conmutadas, es decir, en redes que hacen uso de switch como elemento de interconexión entre los diferentes Pe. Este ataque consiste en falsear algún dato de un PC atacado. Existen distintos tipos de spoofing, como puede ser el arp spoofing o arp poisoning, que consiste en engañar a la tabla arp que los equipos guardan en memoria, tabla que simplemente asocia una dirección física o mac de una tarieta de red con su IP (Fig. 5.65).

El comando ARP pe rmite ver o modificar lo s entradas de la tabla de IP-MAC.

Fig. 5.65. Tabla ARP de PC atacado antes de realizar ARP Spoofing. Con esta técnica de engaño podemos hacer creer a un PC atacada que la dirección física de otro PC, también atacado de la red, es la del PC del atacante, consiguiendo con ello que todo el trófico de red entre los dos PC atacados pase por el PC del atacante (Fig. 5.65); es lo que se conoce como man in the middle (hombre en medio): En la Figura 5.66 podemos ver como la MAC de la dirección del PC atacado (192 .168.0.134) ha sido modificada con la dirección física (00-Of-ea-16-8e-59) que es la dirección física del atacante.

Fig. 5.66. Toblo ARP del PC otocodo tros el ARP Spoofing. Otra versión de este tipo de ataques es el DNS spoofing o engaño de DNS, que consiste en falsear la respuesta del servidor DNS sobre una petición y darle una dirección IP diferente a la real. Es decir, que cuando un PC atacado pide por eiemplo la IP de www. mibanco.es a su servidor DNS, el equipo atacante falseará el paquete de datos de los DNS con la respuesta y le puede engañar dándole la IP de otra equipo cualquiera. Así en vez de conectarse a su banco se conectaría a otra PC diferente pudiendo falsear la pagina de entrada de su banca electrónica y capturando sus claves de acceso a la misma. Veamos estas dos técnicas mediante una próctica realizada con el programa CAIN que te puedes descargar de la página http://www_oxld.it/cain_html.


Seguridad activo en el sistema

~ Caso práctico 10

ARP spoofing y DNS spoofing En esta práctica, vamos a hocer que cuando un usuorio desde un PC atacodo resuelvo lo IP asociada al nombre www.google.com. en vez de contestarle con la dirección real, obtendrá como repuesta la IP de un equipo de nuestra red. Antes de hacer el DNS spoofing tendremos que realizar un envenenamiento de la tabla ARP, para osi cambiar las tablas Ip·MAC del PC atacado y del router y redirigir todo el tráfico que va desde el PC atacado hacia el router a través del PC del atacante. Como vemos en la Figura 5.67 antes del ataque, el DNS resuelve la dirección de Google can su direccián IP real (209.85.229.147) .

Fig. 5.67. Ping a la dirección www.google.com. Después del atoque, el atacante modifica la dirección devuelta par el DNS por una dirección que el atacante configura a través de la aplicación CAIN. Para realizar esta práctica debemos seguir dos sencillos pasos:

1. El primero, crear una entrada de envenenamiento ARP (Fig . 5.68). Con esto con· seguiremos que todo el tráfico entre PC atacada y el router sea redireccionado al PC del atacante .

Fig. 5.68. Entrada de envenenamiento.

2. El segundo paso, consiste en introducir una entrada de DNS spoofing (Fig. 5.69) consiguiendo que cuando el atacado se quiera conectar a Google realmente se conectará al equipo con la IP 192.168.0.134. (Continúa)

I


Seguridad activa en el sistema

_ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _,¡: c:::; o.:;; so::..práctico

5~

109 MAC. Media Access Control,

(Continuación)

es un número de 48 bits que generalmente se expresa como

12 digitas hexadecimales, y que identifica de forma única a cada

tarieta de red ethernet.

,

192.1l1li.0.134

~6

l'J'R-tMAPS(O) APR-ltW'5(O) j\ffi-SIPS(O)

Fig. 5.69. Entrada de DNS spaafing. Como se puede ver en la siguiente imagen, cuando hacemos un ping a Google desde el equipo atacado devuelve la dirección que ha configurada el atacante

(192.268.0.134).

Fig. 5.70. Resultada de la entrada de DNS spooting. Como es lógico pensar, esta técnica se puede utilizar para cometer fraudes en intranets o redes corporativas reenviando al atacado a una pógina muy similar a la original, pero falsa, por lo que el intruso podrá ver sus claves. Contra este tipo de ataques podemos luchar creando las tablas ARP de los equipos expuestos de forma estática mediante el comando ARP.

Sniffing o análisis de tráfico: como hemos comentado en el epígrafe de tipos de atacan· tes, este tipo de ataques consiste en escuchar el tráfico de la red. En las redes de área local que utilizan el HUB como medio de interconexión entre los equipos, esta técnica se convierte en un juego de niños; como sabemos, los hubs o concentradores repiten toda la infarmación recibida por cada uno de sus puertos. Para dificultar el uso de esta técnica, debemos sustituir los concentradores por switchs o conmutadores, ya que estos últimos al tener definidas las tablas de direccionamiento (CA M Control Addressable Memory) sólo mandan la información recibida por el puerto adecuado. Pero es tan fácil como utilizar una técnica de MAC flooding, que consiste en saturar la memoria de los conmutadores para que pierdan la tabla de direccionamiento y terminen funcionando como concentradores, es decir, que reenvían la información recibida por todos los puertos por no saber por cuál de ellos debe enviarla.


i /5

Seguridad activa en el sistema

~--~----------------------------------

q

Caso práct.:: ic:::o:.,.l:..l=---_ _ _ _ _ _ _ __

Comprometer uno sesión telnet entre dos equipos atacados Para la realización de esta práctica hemos utilizado tres equipos conectados a la misma red mediante un switch. Volveremos a utilizar la misma aplicación que en el caso próctico anterior, CAIN, con la que envenenaremos mediante la técnica del ARP spoofing el trófico generado entre los dos PC atacados consiguiendo visualizar el contenido de la sesión telnet entre los mismos.

1. Como puedes ver en la siguiente imagen (Fig. 5.71), se está envenenando el trófico entre dos PC; uno con la dirección IP 192.168.0.134, que será el que inicie la sesión telnet, y otro con dirección IP 192.168.0.136 que es quien tiene en ejecución un servidor telnet.

2. En el siguiente paso, vamos a ver como el sniffer escu· cha el tráfico generado entre los dos PC atacados durante una sesión de acceso remoto. En primer lugar Emilio inicia una sesión telnet autenticándo· se mediante su nombre y usando como contraseña patata (Fig. 5.72).

Fig. 5.71. Envenenamiento del tráFico entre dos PC

En la siguiente imagen, vemos como el sniffer mediante la aplicación CAIN ha sido capaz de comprometer nuestra sesión telnet (Fig. 5.73). El intruso ve el nombre de usuario y la contraseña utilizados para la conexión y posteriormente la ejecución del comando dir realizada durante la sesión por el atacado.

Fig. 5.72. Inicio sesión fe/neto

: [7: lota [7: lefa [10: ah (10: af u o[10: 9fama [10: 101'11 D[10:Ufll a[la: 12fl1l1 a [lo: l11'oa [lO: 14 f 0 (3:31'

[7: 3. fdlda [7: ] 5fri a (7; 36fr D[7: ] 7f

Fig. 5.73. Te/ne! comprometido.


5

Seguridad activa en el sistema

Conexión no autorizada a equipos y servidores: este tipo de ataque consiste en descubrir distintos agujeros en la seguridad de un sistema informático y establecer con el mismo una conexión no autorizada. Ya sea porque hemos descubierto las controseñas de algunos usuarios, como en el caso práctico anterior, o bien utilizando aplicaciones malware que aprovechan las puertas traseras o agujeros para permitir el acceso al equipo desde el exterior.

Intraducción en el sistema de malware. Virus, troyanos y gusanos: los virus, troyanos o gusanos son conocidos como malware, programas malintencionados, que infectan nuestro equipo dañando de múltiples formas nuestro sistema.

Puedes descargarte una versión

demo de 30 días del antivirus ESET en http://demos.eset.es/. En el sitio podrás elegir entre ESET NOD32 Antivirus o ESET Smart Security. Puedes solicitar más información a tu profesor.

- Los virus son programas que se propagan entre los equipas. Su código se adjunta al de otro programa existente en el sistema para facilitar la propagación del mismo y causar los daños para los que han sido diseñados por el creador. La característica principal es que su código ha sido escrito con la intención de que se vaya replicando para así infectar el mayor número de equipos posibles. Ejemplos famosos de virus son Barrotes, Viernes 13 ... - Las gusanos son diseñadas con el mismo fin que los virus, que se propaguen por la red. Se diferencian en que éstos no necesitan la intervención del usuario, ya que no se adjuntan a ningún otro programa, sino que son distribuidos de manera completa par la red consumiendo en la gran mayoría de los casos un gran ancha de banda de la red o pueden llegar a bloquear el equipo infectado. Algunos ejemplos famosos de este tipo de programas son Sasser y Blaster. - Las troyanos son aplicaciones aparentemente inofensivas que facilitan en la mayoría de los casos el acceso remoto a los equipos infectados. Estas aplicaciones se pueden esconder en archivos adjuntas en los mensajes que enviamos por la red.

.. . 'J' Debes cambiar las contraseñas

que ponen por defecto los fabricantes a los distintos periféricos que nos permiten la conexión a Internet paro evitar conexiones no autorizadas a los mismos.

Estas daños varían desde aquellas que no realizan ningún perjuicio al equipo infectado hasta otros que realizan verdaderos destrozos irreversibles en nuestro sistema. Para evitar el ataque de este tipo de programas se han comercializado aplicaciones denominadas antivirus que mantienen actualizadas sus ficheros de firmas parci detectar y eliminar los programas con código malicioso. Ejemplos de antivirus son Panda, Norton, AVG, etc. Todos ellos tienen antivirus on-fine (en línea) que en la mayoría de los casos sólo permiten detectar si nuestra máquina está infectada. Es aconsejable tener instalado un antivirus, teniendo en cuenta que todos ellos ralentizan tonto el arranque como el normal funcionamiento del equipo por consumir recursos del equipo.

Algunos virus famosos:

• El virus FORM hace sonar los días 18 de cada mes un pitido por cada tecla pulsada. Esto simplemente se puede considerar una broma más o menos incómoda.

• El virus VIERNES 13 borra los programas utilizados en dicho día afectando exclusivamente a los archivos ej ecutables. • Generic Backdoor, permite a los intrusos acceder de manero remoto al ordenador

actlv e scan 2-0 ""',"""""' '''...... ,,,,..

afectado, por lo que compromete la confidencialidad de la información almacenada en el

................",'"".. """"""'_....,."'''' ........

...."....., ...... ..,.. ... '-w""' ••,,,, __ ... . _ •., ....'."n"" ••

""'......

..',,,,.., ....""""

=-c"""'.., . ~..""

''''''''''0:.'''. '',,,,,,,,,,

..-. ""' ~

equipo . • Sasser, es un gusano qu e aprovechando una vulnerabi-

lidad de Windows, apagaba el equipo . • Elk Cloner, programado por Rich Skrenta a los quin ce años de edad, es considerado el primer virus d esarrolla-

Fig. 5.74. Anfivirus online de Panda.

do y expandido por la red . Afectaba a los equipos con sistemas MAC instalado.


~/5

Seguridad activa en el sistema

~--~----------------------------------

Q

Caso próctico ::...,:1.:: 2_ _

Configurar el análisis en busca de virus y otras amenazas del Antivirus Panda Como hemos comentada anteriormente, los antivirus ralentizan el arranque de los equipos debido al análisis en busca de malware que realizan en cada uno de los arranques. l.eJ.ID.!.JLJ'

Por ello vamos a cambiar lo configuración del análisis paro que no se realice en todos los arranques sino sólo los viernes.

1. Una vez arrancado el antivirus debemos hacer e1ic sobre la pestaña Analizar (Fig 5.75) .

Internet SecurltYJ 0 ' -

I

Amillsrs en busca de virus y otras amenazas

Anánsls programados

O

Actualmente estID definidos los slgulentes anatisis programados.

<0

...... n... 10lla mlPC

@ ~r • .,.....r 1, o¡'cuDd" d •

I=),@] ~l

C3 Programar la ejecución de análisis

~

I

~ Aná!r!:is al nao de WJI'Ido.'1S

Nuevo enálsls, ..

fl.lIi,,,

ConfIourar análisis .. ,

~

ANlbu r t l to", o

~

AIIaliu t otro •• I_

o.

_.Ilor.

De tectilr vulnerablll dedes

11

Aceptor 1I Cancel"

Fig. 5.76. Progromar análisis.

Fig. 5.75. Anólisis Panda.

2. En el marco derecho de la Figura 5.76 hacemos e1ie en Programar la eiecución de anólisis. Aparece una nuevo

3. En la siguiente pantalla (Fig . 5.77) hacemos e1ic sobre el botón Planificación.

ventana (Fig 5.77) en la que se nos muestran dos balones; el primero de ellos permite generar un nuevo análisis y el segundo permile modificar la configuración del análisis programado. En nuestro coso queremos modificar la periodicidad del análisis, por lo debemos hacer e1ic en el botón Configurar anólisis .. .

4. Aparece una nueva ventana en la que podemos definir cuándo queremos que se haga el análisis. Como queremos que se realice todos los viernes debemos hacer e1ic sobre lo último opción, seleccionando en el desplegable el día (en nuestro caso Viernes), en el que queremos que se haga la comprobación (Fig . 5.78).

uu

o ConfigunI::ión del W fosit .¡ Inicio de Wirul oWJ

:3' Configu rar análisis ~

Editar elementos a analizar

An'hIs I AccIone5 ! Alertas PrO\ll"lIII'IIIdot ' -_ _ _ __ An A!;si~al lni do ---

fJ>

Pulsa en Editar para seleccionar los ~ementos que serán aM~ZZldo5.

_ __

IrdtII Cll!1 que perioOOdad qo,RrH

(¡\Ir;

O Ctd&

~ .,.enc¡ue:¡;

Conflguradón del análisis

OCtd&

~

..cJ

0 ""

l v~

Pulsa on eontigtnción para modificar las prcpiedodos del anOtisls, si no se aplicará la configuración por defl!:do.

I ConfiQuractón...

_ _ _ __

se ef«b:ie el an.fuis 61 iOOa .

O ......

Editar ...

~

6es

H

1

Configuración de la programadón

tf!jJ

Pulsa en planificación para moáficar la programaOón d~ análisis.

I 8Ceptar

Fig. 5.77. Configuror análisis.

1

Plantftcact6n .. . 1

1

~ancetar

1

Fig. 5.78 . Configuración de la periodicidad del análisis.

_

,


Seguridad activa en el sistema

Keyloggers: la traducción literal de esta palabra, registrador (Iogger) de teclas (keys), nos da una idea del tipo de ataque que va a realizar. Se utiliza como herramienta maliciosa para conocer todo lo que un usuario escribe a través del teclado, incluso a veces registran capturas de pantalla del equipo. Para alcanzar estos objetivos existen herramientas hardware y software. Los periféricos diseñados para tal fin pueden ir desde un teclado en apariencia idéntico a uno normal pera que contiene una memoria no volátil donde almacena la información escrita o bien mediante un pequeño dispositivo que se conecta entre el puerto del ordenador (USB o PS2) y un teclado.

Denegación del servicio: este tipa de ataque también es conocido par sus siglas: DoS (Denial Of Service). Se ejecuta contra servidores o redes de ordenadores con el propósito de interrumpir el servicio que están ofreciendo. Es conocido el ataque DoS que realizaron piratas informáticos de la antigua Unián Soviética y que paralizá el acceso a Internet de los estonios, tras la decisián del gobierno del país báltico de retirar una estatua que conmemoraba a los muertos soviéticos durante la Segunda Guerra Mundial. También son conocidos los ataques de este tipo lanzados contra los servidores raíz del sistema de nombres distribuido DNS, con el fin de dejar Internet paralizada al no poder disponer los usuarios del servicio de resolucián de nombres. Entre los múltiples tipos de ataque DoS se pueden destacar los siguientes:

.'

5

Vocabulario

9

Zombie. Ordenador en el que un hacker de sombrero negro ha conseguido instalar software malicioso para hacerse con el control del mismo. Spam. También conocido como correo basura. Correo habitualmente de publicidad que no ha sido solicitada.

- La mayoría de los ataques de denegación de servicios son realizados al unísono desde múltiples máquinas que han sido convertidas en zombies por crackers de la red, llamándose en este caso DDoS, ataque de Denegacián de Servicio Distribuido. - Ping de la muerte, consiste en enviar multitud de pings a un ordenador con un tamaño de bytes muy grande, lo que bloqueaba las conexiones en los antiguos sistemas operativos; en los actuales este tipo de ataque está subsanado y por tanto se puede considerar como historia. •

Inundación de peticiones SYN: más conocido por SYN Flood, consiste en hacer una peticián de establecimiento de conexián a un servidor y no responder a su aceptación de conexián, bien sea porque se falseó el paquete de petición con una IP falsa o por alguna otra causa. Este tipo de ataque provoca una saturación en las conexiones abiertas del servidor, de tal forma que si estas son muy elevadas pueden llegar a producir un colapso del servicio ofrecido con la consiguiente denegación de servicio. Mediante el simple uso del comando netstat (comando que nos permite ver el estado de las conexiones) se puede ver si estamos siendo víctimas de un ataque de este tipo y para combatirlo se recomienda el uso de filtros en los routers que paren el tráfico de IP que puedan ser falseadas.

Dialers: también conocidos como marcadores telefónicos, se hicieron muy famosos a principios de los años noventa cuando la mayoría de la gente se conectaba a Internet mediante módem. Son programas de conexión a Internet mediante módem, que realizan una llamada a un teléfono con tarificación especial, como aquellos que empezaban por 905. Estos pragramas actuaban sin la intervención y sin el consentimiento del usuario provocando una factura telefánica desorbitada. Hoy en día con las conexiones ADSL los dialers casi han desaparecido en la mayoría de los hogares.

Ingeniería social: es un ataque que afecta al objetivo de confidencialidad de la seguridad informática. Esta técnica consiste en obtener información secreta de una persona u organismo para utilizarla posteriormente con fines maliciosos. Habitualmente los ingenieros sociales utilizan el correo electrónico, páginas Webs falsas, el correo ordinario o el teléfono para llevar a cabo sus planes. Los ejemplos más llamativos de estos ataques son el phising y el uso de una máquina atacada para la envío de spam. 141


Seguridad activa en el sistema

~ Actividades 10. El navegador Internet Explorer a partir de la versión 7 incluye la funcionalidad Filtro de suplantación de identidad. Paro configurarlo debemos acceder a las Opciones avanzadas del menú de Herramientas (Opcio-

nes de Internet). En la ficha de Opciones avanzadas podremos activar la comprobacián automática de sitios web en el apartado de seguridad. De esta manera siempre que accedamos a una página comprobará su autenticidad inmediatamente.

, . , GOII [ UIO

tWJ

O[UI».I.II

I

;&

Phishing: es una técnica de engaño al usuario, que intenta adquirir información confidencial del mismo suplantando la identidad de otros personas, organismos o páginas WEB de Internet. Uno de los métodos de Phishing más utilizados hoy en día consiste en colgar en Internet una página que es copia idéntica de alguna otro, como puede ser la de alguna entidad financiero o banco. El engaño consiste en que si alguien confunde esta página falsa con la original e introduce en ella sus datos personales como puedan ser el número de tarjeta o el PIN de la misma, estos números se les manda directamente a los creadores de la estafa, que consiguen así tener en su poder información que puede comprometernos. La manero de no caer en estas estafas es tener en cuenta que nunca los bancos ni organismos oficiales piden a través de correos electrónicos datos confidenciales. También debemos mirar con cautela las direcciones URL de las páginas visitadas, pues sucede a menudo que si la dirección real es por ejemplo www.mibanca.es. la dirección que utilizan este tipo de delincuentes para diseccionar la página será algo así como www.mibanco.es o www.misbanca.es. Es decir, la URL tiene una pequeña diferencia que a primero vista no se notará pero que obligatoriamente ha de tener. Hasta hace poco tiempo, este tipo de ataques solo afectaba a entidades financieros, pero actualmente estos ataques han afectado a otros organismos, como el INEM, Cámaras de Comercios de diferentes ciudades y últimamente a la Agencia Tributaria (Fig. 5.78). En este último caso, el ataque consiste en la remisión de un correo electrónico que informa que el receptor del mensaje tiene derecho a un reembolso de impuestos inexistentes. Pero para poder disponer del dinero, el receptor debe enviar los números de cuentas bancarias y tarjetas de crédito.

Pc!lil;ll

Agencia Tributaria D RSS

I:ngii~lica

I Mapa Web I Accesib i!il:llld I Ayuda

la Agencia Trlbutarla

-seleccione portal-

...

I

I

Ir al portal

(1q~ On,Io' Virtual

)

Inldo :. La Agenda Tributaria ) Sala de prensa

Notas de prensa

o El Ministerio de Economia y Hacienda a.dyierte de un intento de fraude a través de Internet que utiliza su nombre y su imagen 15.jullo.2009. Gabinete de Prensa

Agencia Tnbutaria

Acceda directamente

~ AUnCJiC

I Calend~rio

del ccntnbuyente

CaM de Servicies

El engaño hace referencia a un reembolso de impuestos inexistente.

CertirJC8dcs Eledr6niCcs

14 de julio de 2009. El Ministerio de Economia y Hacienda ha detectado hoy un importante envio de comunicaciones por correo electrónico en el que se utiliza fraudulentamente su nombre y su imagen.

Descargll de prcgrllffi3s de ayuda

En el envio se hace referencia a un reembolso de impuestos inexistente en la que el receptor del e-mail sale supuestamente beneficiado . Para poder disponer del dinero hay que aportar datos de cuentas bancarias y ta~etas de credito.

UCrm.:!wn y cri!eri:ls intcl1lrellltivcs

El Ministerio de Economia y Hacienda, a Iraves de la Agencia Tributaria. ha tomado las medidas necesarias para perseguir este intento de fraude y recuerda que la mejor medida es la prevención de los usuarios ante comunicaciones sospechosas que incluyan la petición de datos bancarios . Ni el Ministerio de Economía y Hacienda ni la Agencia Tributaria solicitan información confidencial, ni mimeros de cuenta, ni numeras de ta~eta de los contribuyentes. por correo electrónico.

Fig. 5.79. Configuración momento análisis.

142

Modelos y IcrmuillrloS

Preguntas Tli:ulllrUs (.¡FORMA)

la

I~ Enlace s relllcionDdos I,Iinislelio de Eccnorr6 y H~ciendft [8


Seg uridad activo en el sistema

5

Comprueba tu aprendizaje " Aplicar mecanismos de seguridad activa describiendo sus características y relacionándolas con las necesidades de uso del sistema informático

6. En un pequeño colegio es necesa rio que los alumnos compartan los equipos de un aula de informática. Los perfiles de los alumnos que comparten el aula son:

1. En multitud de noticias podemos leer que el despecho de los empleados dispara el robo de información en los empresas. El 28% de lo sustracción de información se produce o través de los memorias externas USB. Paro evitar dichos robos podemos deshabilitar estos o través de la BIOS. Accede a la BIOS y desactiva los dispositivos USB. Otra forma de protegernos contra dichos robos es desactivando dichos dispositivos USB a través del sistema operativo. Enumera los pasos que has realizado para desactivar dichos dispositivos a través del Sistema Operativo.

• Alumnos de gestión administrativa. Estos utilizan los equipos para aprender mecanografía y el paquete ofimática de Microsoft.

2. Spoof Guard es una herramienta que nos ayuda a discernir si estamos siendo víctimas de un ataque malintencionado de spoofing o de phising. Esta aplicación añade un semáforo en la barra de herramientas del navegador que nos indica la peligrosidad de la página . Descarga el programa de la página http://crypto. stanford.edu/SpoofGuard/, instálalo y comprueba que dependiendo de la luz del semáfaro lo página que visitas no ha sido atacada o por el contrario es una posible página web fraudulenta. 3. Modifica el fichero de configuración del gestor de arranque (GRUB), rnenu_lst, para que bloquee el arranque del test de memoria . Indica los pasos que has realizado para alcanzar el objetivo. 4. Descarga la demo de la aplicación Biopassword de http://smortadvisors.net/biapassword/demo.php, instálala, configúrala y comprueba que si escribe otra persona diferente o la que ha realizado el mádulo de inscripción lo reconoce y produce un error diciendo que tu forma de escribir no se corresponde con el patrón registrado. 5. Descarga el antivirus AVG de http://free.avg.com/, instálalo y haz una comprobación del estado de tus dispositivos de almacenamiento. Aseguror la privacidad de la información transmitida en redes informáticas describiendo vulnerabilidades e instalando software específico

• Alumnos de construcción que utilizan Autocad paro la realización de planos y PRESTO para el cálculo de presupuestos. • Alumnos de un curso de JAVA, los cuales utilizan un compilador de dicho programa. Se ha observado que los alumnos del curso de JAVA se dedican a instalar juegos en los equipos de manera indiscriminada, por lo que se están viendo perjudicados sus compañeros. ¿Cómo podemos solventar la situación? ¿Qué medidas tomarías? 7. Esta actividad se deberá realizar en grupo. Descarga de la página web http://www.effetech.cam/download/ el programa MSN sniffer e instálalo en uno de los equipos de la red. Otros dos compañeros deben hacer uso del Messenger manteniendo una conversación entre ellos. ¿Puedes ver la conversación mantenida desde tu equipo? En caso de que la respuesta sea negativa ¿Por qué no puedes visualizarla? ¿Cómo podrías llegar a visualizar la conversación? 8. Descarga EffeTech HTTP Sniffer de la página Web http://www.effetech.com/download/ e instálalo en uno de los equipos de la red . Otro compañero debe visitar distintas páginas Web. ¿Puedes ver las póginas que visita tu compañero? En caso de que la respuesta sea negativa , ¿por qué no puedes visualizarlas? ¿Cómo podrías llega r a visualizar las páginas que visita tu compañero? 9. Captura las contraseñas de inicio de sesión de otros usuarios de tu red y envíalas al crackeador de contraseñas para más tarde intentar averiguarlas. ¿Qué método utilizas para averiguarlas? ¿Fuerza bruta, diccionario o Rainbow tables?


Seguridad activa en el sistema

--------------------------

Evitar acceso a BIOS

--Seguridad en el acceso al ordenador

-( Proteger el gestor

de arranque GRUB

Cifrado de las particiones

Cuotas de disco

Políticas de contraseñas Autenticación de los usuarios

-( Sistemas biométricos

Monitorización del sistema

Tipos de atacantes

Tipos de ataques

Software para evitar ataques

144


lLD ri1 U~ (9] cdJ

Seguridad activa en redes

En esta unidad aprenderemos a:

• Minimizar el valumen de tráfico na deseada utilizando sistemas de seguridad. • Aplicar medidas para evitar la monitorización de redes cableadas. • Clasificar y valorar las propiedades de seguridad de las protocolas usadas en redes inalámbricas. • Identificar la necesidad de inventariar y controlar las servicias de red.

y

estudiaremos:

• Seguridad en la conexión a Internet. • Protocolas seguros. • Seguridad en accesos en red. • Seguridad perimetral. • Monitorización en redes cableadas. • Seguridad en redes inalámbricas.

I

,

:utb~

;~tl.4!/,


r

~/

7 6

Seguridad activa en redes

l. Seguridad en la conexión a redes no fiables Cada vez que nos conectamos a Internet se produce un intercambia de información entre nuestro equipa y la red. Este intercambia es necesaria paro que podamos acceder a la información y servicias de Internet, pera si na tenemos garantías de seguridad es necesario limitar la información que es enviada, ya que en otro caso podría ser utilizada sin nuestro consentimiento.

Pensemos en la infarmación que se transmite cuando navegamos por la Web -estamos enviando la dirección IP de nuestra máquina y la página Web desde donde hemos llegada- a cuando participamos en servicias de noticias y foros, donde enviamos nuestra dirección de correo electrónica, par e¡empla. Si alguien se hace can esta información podríamos vernos afectadas par grandes volúmenes de tráfico no deseado y ser victimas de un ataque de denegación de servicia. Ningún dispositiva, par sencilla que sea, está libre de sufrir un ataque, par la que es muy importante minimizar las pasibilidades de que esta ocurra. Existen diversas herramientas que nas permitirán proteger los equipos de la red, como los cortafuegos y los proxys, que veremos en las Unidades 7 y 8, Y las técnicas y herramientas que abordaremos en las siguientes apartadas de esta unidad.

TwiHer se cae víctima de un 'ataque malicioso' Facebook también ha sufrido problemas similares, aunque más limitados El popular sitio de 'microblogging' Twitter ha anunciado que ha sido víctima de un «ataque malicioso», concretamente un

ataque de denegación de servicio (DoS), algo que ha dejado sin acceso al servicio a millones de usuarios durante un espacio de tiempo de al menos dos horas a lo largo de la tarde. En un breve comunicado en http://status. twitter.com, la compañía ha anunciado que se están "defendiendo de un ataque de denegación de servicim>, y anuncian que el sitio ya funciona, aunque advierten que siguen defendiéndose del ataque y tratar de recuperar la normalidad. La otra gran red social, Facebook, también ha sufrido problemas similares, aunque más limitados. Los usuarios de la página vieron retrasos al registrarse y al actualizar sus perfiles. Un portavoz de

Facebaok ha indicada que la Web había sufrido al comienza del día "problemas de red vinculadas a un aparente ataque de denegación de servicim>. Desde aproximadamente las 15.00, hora española, Twitter ha estada inaccesible o can serias dificultades para el acceso de sus millones de usuarios en toda el mundo durante varias haras. La noticia de la caída de Twitter ha dado enseguida la vuelta por la blagosfera en toda el mundo. [... ] Se llama ataque de denegación de servicio a la manera de sobrecargar de peticiones a un servidor, de manera que el alud de solicitudes llega a un punto en el que el servidor na puede atenderlos y deja de dar servicio a los usuarios. MADRID,

7

DE AGOSTO DE

2009

(elmundo.es)


Seguridad activa en redes

6

1.1. Spyware en tu ordenador Navegar por Internet, recibir correas can archivos adjuntas a inclusa instalar algún programa con licencia Freeware sin leer sus condiciones de uso pueden traer un invitada inesperado a nuestro equipa, un spyware. Pera, ¿qué es un spyware? Su nombre, formada por lo conjunción de las palabras spy y software, viene del de las clósicos espías, cuya misión era la de recopilar información y enviarla a sus contactas para que estos pudiesen beneficiarse de ella. Un spyware es, en definitiva, un pequeña programa que se instala ' en nuestro equipa can el objetivo de espiar nuestros movimientos par la red y robar nuestras datas, de moda que a través de él puede obtenerse información como nuestro correo electrónico y contraseña, la dirección IP de nuestro equipo, nuestro teléfono, páginas buscadas y visitadas, así coma cuánto tiempo se pasa en ellas, u otros datos igualmente importantes como las descargas realizadas, las compras que hacemos por Internet e incluso el número de tu tarjeta. A medida que recopilan esta información la envian a empresas de publicidad de Internet para comercializar con nuestros datos. Este tipa de software se instala sin que tengamos conocimiento de ella y trabaja en segundo plano, de moda que no nos damos cuenta de su presencia, aunque existen una serie de indicios que pueden alertarnos de que están ahí: •

Cambian las póginas de inicio o búsqueda del navegador.

Se abren pop-ups por todos lados, incluso aunque no estemos conectados ni tengamos abierto nuestra navegador, llenando la pantalla, como puedes ver en la Figura 6.1 .

Actividades

9'

1. Busca información sobre diferentes herramientas que permitan bloquear spyware u otro código malicioso en nuestro equipo.

2. Instala y estudia el funcionamiento de la herramienta SpywareBlaster, que puedes descargar desde: www.infospyware. como

Otra herramienta alternativa que puedes analizar SuperAntiSpyware, que puedes descargar desde http://www.superantispy wa re .com.

• , . .... 't ..

Fig. 6.1. Pop·ups. •

Aparecen barras de búsquedas de sitias como Hatbar, etc., que na podemos eliminar.

Falsos mensajes de alerta en la barra de Windows (al lado del reloj) de supuestas infecciones que no podemos eliminar. Este tipo concreto de malware se denomina rogueware o fakeav (de «FAKEAntiVirus»), y se aprovecha de la falta de formacián de los usuarios para tratar de instalar un programa de dudosa finalidad.

Cuando navegamos por Internet hay veces que no se llega a mostrar la pagina Web que queremos abrir, ya que el tráfico de red va cada vez más lento.

Malware. Es la abreviatura de Mal;cius Software. Es el término que engloba todo tipo de programa cuya finalidad es dañar o causar un mal funcionamiento de un sistema informático.


,

~/6 q

Seguridad activa en redes

----~----------------------------------

Caso prácti."'co" -'l__________~_ _ _ _ _ _ _ _ __

Detección de Spyware/Malware y Virus con HijackThis HijackThis es una herramienta gratuita para Win d ows que nos permite detectar y eliminar intrusos de nuestro equipo. HijackThis no distingue entre las entradas seguras e inse· guros en sus resultados, pero nos permitirá seleccionar y quitar manualmente las entradas indeseadas del sistema. Cuenta con un foro de ayuda para usuarios inexpertos don· de, si subimos el log proporcionado por la herramienta, se nos informará de cuales son las referencias de los elementos causantes de los problemas de nuestra equipo y cámo eli· minarlas, en ocasiones utilizando herramientas adicionales.

1. Descarga HijackThis desde su página oficial, www. infosyware.com, e instálalo en tu equipo. En esta misma página puedes encontrar el manual de la herramienta y el foro de ayuda.

2. La instalación apenas dura unos segundos y aparecerá el menú de inicio de la aplicación, que puedes ver en la Figura 6.2. Selecciona la primera opcián Do a system scan on/y, para analizar tu equipo. 1= ![3.'RE3

I!

I

Para hacernos con una primera idea de qué nos indica cada una podemos seleccionarla y pulsar Info on selected Item ... 1 •

tI. ,

.,

,,

.. , ~!

:,

,~;.;;;;:~" : , 2j~;= "

,

"

:i.,fu ~ -"'=-.J - - I ~.~ I ~~==~~~ -._~ I Fig. 6.3. Resultado del análisis de Hijack This.

Nos mostrará una ventana similar a la de la Figura 6.4, donde se indica que la entrada Rl corresponde a las páginas de inicio y el asistente de búsqueda del lE. Como vemos, la información aparece en inglés, pero si tienes alguna duda puedes consultar el manual, donde encontrarás la información en castellano.

011liltd ¡nlolmlticn cm itlm 111,

Da l'PI.m Kln ,lid AVI llogfiIe

Da, ~tRm Kan only

A RC9iJlryy. luf thU huI/un I;l"1.Ud Ind 11 nal plllllnl in. dtflult Windll'W' ¡nshll no/ lIudcd, pOllibly rU\l~¡ng in. eh,ng,dtE Sil/eh PI;" 5tlrt Pli" 5urc:h BI. Plg. cr5nrc:h AniJllnt.

(Adicn tlk,,,, Rfg;Jlry y. lul j, o;I.I".d)

Opm 0","1 HijldlThls Qulck5tart

Fig. 6.4. Información de la entrada R1.

5. Una alternativa más aconsejable si somos usuarios

Fig. 6.2. Menú de HijackThis.

3. En unos instantes se habrá generado un registro en la

inexpertos es consultar el foro de ayuda, como hemos hecho en este caso. Las entradas que nos indican que debemos corregir son las que aparecen ya seleccionadas en la Figura 6.3. Pulsamos FixChecked (marcado con un 2 en la misma figura) para limpiar el equipo y aceptamos que los registros se borren permanentemente. Así nuestro equipo quedará libre de malware.

siguiente pantalla de la herramienta (Fig . 6.3).

4. Cuando empezamos a trabajar con esta herramienta el problema resid~ en detectar qué entradas son las que hay que corregir.

~ Actividades

lI~.

Analiza el significado de los registros eliminados en el Caso práctico 1, que puedes ver ella Figura 6.3.


Seguridad activo en redes

2. Protocolos seguros

En ocasiones, cuando nos conectamos a determinados servidores, podemos ver que la dirección Web que aparece en nuestro navegador comienza con https, en lugar de con el habitual http. Esto se debe a que nos acabamos de conectar a un servidor seguro, que encriptará los mensajes que nos envíe por la red para que salo nuestro equipo pueda interpretarlos.

2.1. Protocolo HTTPS El protocolo HITPS es la alternativa segura al uso de HITP. Sus siglas corresponden a Hyper/ex/ TronsFer Pr%ca/ Secure, es decir, protocolo seguro de transferencia de hiper. texto y se emplea para conexiones a páginas Web en las que hay que proteger los datos que se intercambian con los servidores. El objetivo de HTTPS es proporcionar una conexión segura sobre un canal inseguro. Se basa en el intercambio de claves y el uso de certificados válidos, verificados por una autoridad de certificación que garantiza que el titular del mismo es quien dice ser, de modo que un atacante no pueda hacerse pasar por, por ejemplo, nuestro banco. Podemos verlo de manera habitual cuando accedemos a las páginas Web de tiendas en línea, servicios donde sea necesario enviar datos personales o contraseñas o entidades bancarias, como se muestra en la Figura 6.5. l ·

:::':"ff.:-::~:': - =::==

__ -_ o'-'

_-

..._.._..- ....-.... --"_.._M __ ,_

'-~-_ . '--'.-"" .'­ ._._~ --

_~-.-l

es>

=-_=,:;--

""-;::"="''''.,,. Q =::-.:.,..-._._. p

... _--_._._ -_.-_.... ... _._------_.. .....---- -_. -.-._- ~ --­

Fig. 6.5. Accesos mediante hltps.

Actividades " 4. El protocolo https es también utilizado por los servidores de correo electrónico, como gmail, pero no siempre está activado. Investiga cómo configurar una cuenta de correo de gmail para activar https, protegiendo así nuestros datos.

l

6

5. Un navegador no siempre identifica un certificado como. válido para acceder a un servidor usando https, en general debemos rechazar dicho certificado pero hay veces que estamos seguros de la confianza del sitio Web. Conéctate a moa· dle.dit.upm.es utilizando firefox y realiza los pasos necesarios para agregar una excepción para este certificado.

HTTP trabaja por defecto el puerto TeP 80 Y HTTPS lo hace en el puerto TeP 443.


Seguridad activa en redes

2.2. Protocolo SSH

I

otros protocolos seguros

como SSL (Secure Socket Layer), que se usa principalmente para trasferencia de hipertexto pero

ofrece la posibilidad de usarlo como alternativa segura en otros

protocolos.

El protacolo Secure Shell (intérprete de órdenes seguro, SSHI nos permite acceder a equipos rematas o través de una red y copiar dotas que residen en ellos de formo segu· ra, utilizándose cama alternativo al uso de Telnet. Cualquier equipo puede configurarse como servidar ssh, incluso nuestro PC doméstico, tanto si utilizamos coma sistema apeo rativa Windaws cama si usamos Linux, instalando una pequeña aplicación y configurán· dolo adecuadamente. Su formo de trobaiar es similar a la de Telnet, pera incorpora técnicas de cifrada que protegen la información que viaia par la red, de moda que un snifler na pueda hacerse con el usuaria y la contraseña usados en la conexión, ni otras datas que se intercambian.

~ Caso práctico 2 Instalación de un servidor SSH en Windows XP

@ OpenSSH for Windows 3.8.1pl-l Setup

En este coso próctico veremos cómo realizar uno instala· ción básico de un servidor ssh sobre un sistema Windaws, de moda que podamos conectarnos con él de forma rema· ta y seguro.

1. Descargamos OpenSSH poro Windows desde http:// sshwindows.sourceforge.net/. El archiva descargada tiene formato .zip, así que extraemos el eiecutable que contiene y hocemos doble clic sobre él poro comenzar lo instalación.

."."""'"

Please wait wh!e 0penSSH for WndcrNS 3.8. 411-1 Is being instaeed.

@

OpenSSH for Windows 3.a,lpl-l Setup

A V

Before starting the OpenSSH service you MUST edit the C:\OpenSSH\etc\passwd file. Ifyou don't do this. you will not be able to log in through the SSH server. Please rud the readme,txt or quickstart.txt file for information regarding proper setup of the. pa5swd

file.

2. El asistente de instalación nos guiará en los posos que hemos de realizar paro llevar o coba lo instaloción . Aceptamos la licencio e instalamos todos los campo· nentes del paquete en C:\OpenSSH. 3. Durante el proceso de instalación nos aparecerá uno advertencia como lo que ves en lo Figura 6.6, que nos indica que debemos modificar el archivo passwd poro poder conectarnos posteriormente 01 servidor y donde encontrar lo información necesaria paro realizar dichos cambios, en el paso 6 veremos como hacerlo. Acepto· mas y finolizará lo instalación. 4. A continuación es necesario añadir los grupos de usua· rios de la máquina y crear los usuarios que van o tener acceso o lo información contenido en el servidor, poro lo que debemos trabaiar desde lo línea de comandos de Windows. Vete 01 botón de inicio, y en eiecutar escribe cmd y utilizo el comando cd paro situarte en el directorio C:\OpenSSH\ bin .

"

e: '

OIle n S SII ' h in

> FIJ<lJd~ ~ \Id

-1 -1

» __ 'c tc '

Fig. 6.6. Advertencia de /a insta/ación de SSH.

5. Podemos añadir grupos locales (con lo opción -11 o de dominio (con lo opción - dI, según lo instalación de nuestra red, de modo que se adecue el uso de esta herramienta (típicamente de Unixl o sistemas de Microsolt. En nuestro coso utilizamos los grupos locales, que añadimos 01 fichero de configuración utilizando lo pri· mera orden que ves en lo Figuro 6.7. 6. A continuación añadimos 01 fichero C:\OpenSSH\etc\ posswd los usuarios que vayan a tener acceso 01 ser· vidor, como nos indicaba el aviso de instalación (Fig . 6.61. los usuarios pueden ser locales (-11 o de dominio (-dI, como los grupos.

:. l~ ..~_.

C:\WINDOWS\system32\cmd.exe

C: ,OllcnSSIl,hin)~)<~fl'OltP

Aceptllr

!P'()U))

El

) > • • ' e t e ' 11<\ :;:. \Id

Fig. 6.7. Advertencia de /a instalación de SSH.

(Continúa) )


Seguridad activa en redes

_ _ _~_ _ _ __________......:C :::!,aso Práctica 2

6

9

(Continuación)

7. Como último paso modificamos la carpeta a la que nuestro usuaria acce· derá por defeda. Para ella abrimos utilizando el bloc de notas el archivo C:\ OpenSSH\etc\passwd, donde vemos la siguiente línea: Admini strador:unused _ by _ nt/2000/xp:500:513:U-JUPITER\Admi nistrador, S-1-5-21-322932897 0-15 409659 53-255827466 5-50O :/home/ Adminis trador:/bin/switch /home/Administrator señala a la carpeta por defedo de Windows para el usuario administrador (C:\Dacuments and Sellings\administradar). En nuestro casa, queremos que se acceda a la carpeta C:\DatasServidor. Para acceder al disco C: hemos de usar una nota ción un tanto especial, propia de OpenSSH /cygdrive/c/, de moda que modificando la línea quedaría : Administrador:unused _ by _ nt/2000/xp:500:513:U-JUPITER\Ad ministrador,S -1-5- 21-322932 8970 -154096 59 53-255827466 5-50 0:/ cygdrive/c/DatosServidor :/bin/switch

8. Sólo queda arrancar el servicio. Podemos arrancarlo desde la opción Servicios de Herramientas Administrativas (panel de control) o utilizando la orden net start opensshd desde la línea de comandos y el servidor SSH comenzará funcionar (Fig . 6.8).

Fig. 6.8. Arranque del servidor SSH. 9. Podemos comprobar que el acceso es correcta testeando desde el mismo servi· dor, recuerda que en la instalación uno de los componentes era el cliente ssh. Para ello abre otra consola de línea de comandos y escribe ssh administrador@jupiter, que corresponden al usuario y al nombre del equipo, tras lo que te mostrará la advertencia de uso del servicio. A continuación te pedirá la contraseña del usuario (Fig. 6.9). Escríbela y accederás a la carpeta del servidor SSH que definimos en el punto 7. Para salir basta con que escribas exit.

Actividades " 6. Realiza el proceso de instalación de un servi· dor SSH sobre un equipo con un sistema operativo Linux. Puedes utilizar el mismo paquete que para Windows en su versión correspond iente. Encan· trarás los archivos y la documentación necesaria en hllp://www.openssh. com/ 151


Seguridad activa en redes

3. Seguridad en redes cableadas Tradicionalmente los redes cableadas se han considerado más seguros que las redes inalámbricos, de las que hablaremos en el Apartado 4. Pensemos simplemente en la red local de uno oficina, una red aislado y confinado en un edificio, cerrar la puerto y denegar el acceso 01 reci nto bastaría paro protegerla de intrusiones.

Desgrociodomente esto no es ton sencillo: el uso de Internet y la evolución de las comunicaciones han hecho que los emplazamientos de los equipos de uno mismo red no sean únicos, sino que puedan situarse o miles de kilómetros de distancio, pero sigue siendo necesario mantener la conectividad entre ellos. Lo necesidad de proteger los redes, tanto cableados como inalámbricos, es indudable, pero, ¿cámo lograrlo? En esto unidad abordaremos cámo protegernos de las intrusiones externos o nuestro red mediante el uno de redes privados virtuales (VPNI y como detector y contrarrestar los intrusiones internos.

3.1. Red privada virtual (VPN) Es el acrónimo de Virtual Private Network, red privada virtual.

Comunicar equipos remotos de modo directo es imprescindible en muchos organizaciones, independientemente de donde se encuentren físicamente, y esto necesidad crece cada día más. Los redes privados virtuales permiten, mediante el uso de Internet, establecer esto conexión realizando una inversión econámico bastante moderada . Además, como utilizan protocolos de seguridad, el acceso o los recursos tiene carácter privado, por lo que uno persono podría acceder o los datos de la empresa en la que trabajo con la misma tranquilidad que si se encontrase en su oficina .

o Muchas grandes empresas estón

apastando por el te letra bajo. Sus empleados rea lizan las mismas funciones que harían en la ofici·

na pera desde sus propios domicilios, conectándose a los servi·

dores de la empresa mediante redes privada virtuales.

¿Qué es una VPN?

Uno VPN o red privado virtual es, básicamente, uno red virtual que se creo dentro de otro red, habitualmente Internet. Paro un cliente VPN se trato de uno conexión que se establece entre su equipo y el servidor de su organizacián, pero lo manera en que se realizo esta conexión es transparente paro él, simplemente los datos le son enviados de lo mismo manera que si llegaran o través de lo LAN o la que se conecto.

o

¿Cómo funciono una VPN?

Los VPN se basan en establecer un túnel entre los dos extremos de lo conexián y usar sistemas de encriptoción y autenticación para asegurar la confidencialidad e integridad de los datos que se transmiten. Lo autenticación en redes virtuales es parecido 01 sistema de inicio de sesián (utilizo un usuario y su contraseño" pero es necesario tener especial cuidado con lo seguridad de estos datos, por lo que lo mayoría de los VPN usan sistemas de autenticación basados en el uso de claves compartidos. Uno vez establecido lo conexión, los paquetes de datos se envían encriptados o través del túnel virtual (que se establece sobre Internetl. Poro encriptor los datos se suelen utilizar claves secretos que son solo válidos mientras dure para lo sesión.

o

Instalación y configuración de una VPN

Cuando implementemos una VPN, será necesario realizar lo instalación y configuración de dos portes bien diferenciados, el servidor y el cliente.


Seguridad activo en redes

6

los sistemas operativos Windows, por ejemplo, incorporan una utilidad para establecer redes privadas virtuales de un modo sencillo y guiado, mediante la configuración de una conexión de red avanzada. Existen muchas aplicaciones software que nos permiten crear VPN, que ofrecen diferentes niveles de seguridad y posibilidades distintas para lo configuración. Es el caso de Hamachi logMeln, que puede utilizarse aunque tu equipo esté detrás de un proxy o utilices un router NAT para conectarte a Internet. Caso p'ráctico 3

9

Creación de una red privada virtual Como ya hemos visto, el uso de redes privadas virtuales permite estoblecer canales de comunicación seguras entre equipos remotos. logMeln Hamachi es una herramienta que nos permitirá configurar nuestra propia VPN, tanto en el lado del servidor como del cliente, y establecer una lAN virtual con hasta 16 equipos de modo gratuito. En este caso práctico realizaremos la instalación del servidar y crearemos una nueva red a la que posteriormente se conectarán los clientes. Configuracián del Servidor Windows 1. Entra en la página Web de logMeln, http://secureJogmein.com/US/home_ospx, y en Products selecciona logMelnHamachi. 2_ Descarga la herramienta para empezar a trabajar. Es conveniente que te registres antes; es gratuito y podrás centralizar lo gestión de tu red utilizando tu cuenta, que se asociará a la aplicación. la aplicación que debes descargar se denomina Hamachi.msi, la encontrarás siguiendo las instrucciones de uso alternativas. 3_ Haz doble clie sobre Hamochi.msi y ejecútala para comenzar la instalacián . Selecciona el lenguaje correspondiente en la primera pantalla (Fig. 6.10) Y pulsa siguiente hasta que aparezcan los términos de la licencia . léela 'y acepta, si estás de acuerdo. 4_ En la siguiente pantalla te indica que para facilitar la gestión, se asocia la instalación a la cuenta con la que te has registrado (Fig. 6.11).

Lengullge Selection

Asocillr el diente

11

una cuenta de logMeln

' •• I.... Io~ ....... blliorCHdol..OO"lo"'I\ImId'II .. PIIOdcn_

.""'.....udol..OO"lo/n.

.......

5I .. tnudo""'I'IslaIoá:!n ...... ~do""'~do"'<ierte""

....cLIdI:>, .. ~_'nt

....

ICt.t>

I I

c..aI

Io~_.dolo\t"e!n'

I

Fig. 6.10. Insfalación de LogMeln Hamachi.

Fig. 6. 11. Cuenta asociada.

5. Con posterioridad veremos que es posible modificar los datos asociados a la instalacián, y asociar, si no se había hecho ya, una cuenta de carreo electránico, así que pulsamos en Siguiente. Aparecerá uno pantalla donde seleccionar la carpeta en que se realizará la instalación. Dejamos la carpeta por defecto C\Archivos de Programa\ logMeln Hamachi\ o C\Program Files\logMeln Hamachi. También seleccionamos Crear un acceso directo en el escritorio y procedemos a instalar. Una vez que concluya la instalación, seleccionamos en la última pantalla Ejecutar Homochiy pulsamos

Terminar. (Con finú o)

153


~/6

Seguridad activa en redes

- -- -- ---------- -- -- -- -- - - -- - - - - -- - - - - ---

q

Caso práctico 3

(Continuación)

6. La aplicación se ha instalado correctamente. Para que se le asigne una IP virtual, es necesario pulsar el botón de encendido. En este caso la dirección asignada es 5.125.76.223 (Fig. 6.12). El resto de equipos que formen parte de la red virtual se conectará a esta dirección IP. Si ahora pulsamos en el menú Sistema en Preferencias se abrirá una pantalla como la que muestra la Figura 6.13, correspondiente a la opción Estado. El menú de la derecha nos permite realizar modificaciones en la configuración que se ha establecido por defecto, como el nombre del equipo (Jupiter).

Z

ff) loqMrTn Ht1Il1C1ChP _, 1'110'

n

g

~~

J

- )(

StalU. and Conflnuratlon

-

~

Softw~

~,,, ll

Clerte VPN de ~ HetMchI, versión 2.0,1.62

IS.125.76.223 !1PV~llJd I

DIente

lupHer

ID de dente:

09Z.Q97-759

Ncicnb'1I: Cuenta de

~

cambiar ...

~fJIseouidad.ccm

'-1m

Fig. 6.12. Pantalla

~:

protocolo MlIvo do li5lI8di

Di"ea:I6n:

77.212.193.229:12975

Fig. 6.13'. Pantalla de Estado.

de conexión. 8. Pulsamos ahora en Seguridad. En esta pantalla se localiza la clave pública RSA del servidor, que servirá para realizar la autenticación (Fig. 6.14). En esta lista se irán añadiendo las claves públicas de los equipos con los que conectemos.

9. Si no deseamos utilizar una clave pública en la configuración avanzada de Configuración podemos cambiar la opción de autenticación y utilizar una contraseña (Fig. 6.15), aunque no es recomendable. Para ello basta con hacer clic sobre Autenticación y seleccionar como valor contraseña, tras ello hacemos doble clic sobre Contraseña y escribimos la clave elegida. En la pestaña de configuración podemos configurar otras opciones como ocultar a los miembros de la red que no estén conectados.

Fig . 6.1 4. Pantalla de Seguridad.

Fig . 6.15. Pantalla de Configuración.

(Continúa)


-

Seguridad activa e n redes

Casa flráctico 3

9

(Continuación)

10. El siguiente pasa es crear la red a la que se unirán las clientes, para ella pulsa· mos en Red, Crear una nueva red de malla, como se muestra en la Figura 6 .16.

11. Se abrirá una pantalla (Fig . 6 .17 ), donde daremos nombre a la red (que no puede estar ya siendo usado), y la protegeremos con una contraseña, que deberemos proparcianar a aquellos clientes que queramos formen parte de nuestra VLAN.

(reate a n~ cUent-owned (ll network

Network name

S:::I.=bcl:::,_

II

_

-,-_-,--,--=c-_.,..--,--,=--,--J

IntroduzaJ un nombre p&.! ~ red,oEste nombre lo utiiz.ván

0' ---- -- - - - - - - -- -- - - - l og in to (reate a new managed (ll network

Fig. 6. 16. Crear una nuevo red.

Fig. 6.17. Datos de la nueva red.

12. La red se mostrará ahara en la pantalla principal de LogMelN Hamachi (Fig . 6.18). En estos momentos el equipa jupiter, el servidar, es el único equipo que está conectado a la VPN . A medida que se unan nuevos miembros a nuestra red, irán apareciendo sus nombres debajo de Sl.bcle, hasta un máximo de 16, que es el máxima de miembras en la versión gratuita de esta aplicación. La versión de pago permite ampliar el número de usuarios conectados, haciendo que su uso para empresas sea viable.

fJI LogMeln H~ma(hi' S,:\o-rn,

1m!

a

I\~

-

X

¡:. ,uu~

5.125.76.223 lupiter

;;;:==

IleQ] 5IJIdO _~~==. liJI

Fig. 6.18. Red SI.bele.

6

,


~/6

Seguridad activa en redes

----~----------------------------------

Como ya hemos visto antes, en toda VPN la conexión tiene dos extremos, uno que podemos denominar servidor, donde hemos creado la red virtual y al que han de conectarse el resto de equipos, situados en el extremo del cliente. la configuración de un cliente es más sencilla que la de un servidor, ya que únicamente ha de crear la conexión y especificar la red con la que esta se realiza. logMeln Hamachi puede ser utilizado tanto en equipos Windows como en equipos Linux, aunque en este sistema operativo aún se está en versión beta y se trabaja desde el terminal.

~ Casa práctica 4 Instalación y configuración de un cliente para una red VPN En las organizaciones se trobaja con distintos sistemas operativos, por lo que es habitual que haya necesidad de interconectar equipos funcionando con Windows y Linux. Aprovechando la red que hemos creado en el caso práctico anterior, nos conectaremos a ella desde un equipo con Ubuntu, a través de una VPN creada con logMeln Hamachi.

1. Descarga el paquete de instalación desde http://files.hamachi.cc/ linux! En este caso práctico vamos a realizar la instalación del paquete hamachi-0.9.9.9-20Inx.tar.gz. Guárdalo en la carpeta donde vayas a realizar la instalación, en este caso /root. Recuerda que debes de ser el administrador del equipo. 2. Descomprímelo utilizando la orden de la Figura 6.19, se generarán las carpetas y archivos de instalación en el directorio hamachi-0.9.9.9-20-lnx, donde debemos situarnos con cd.

r.gz namacnl·a .9.9.9-20-tnxl hamachi-O. 9.9.9 -20-tnx/Hakefile hamachi -O. 9.9 . 9-20-tnx/lICENSE hamachi-e.9.9 . 9-26-1nx/REAOME hamachi-B .9.9.9- 2o-tnx/LICENSE . tunctg hamachi -0.9.9.9' 20 -1nx/ LICErlSE. openssh

hamachi-e.9.9 .9- 20-tnx/LICENSE.opensst

hamachi-O.9.9 .9-29-1nx/hamachi hamachi-e .9.9.9 -20-tnx/tuncfg¡ hamachi-e. 9.9 .9-20 -1nx/tuncfg/Hakefile hamachi-e.9.9.9-20-tnx/tuncfg/tuncfg.c hamachi-6.9.9.9-20-1nx/tuncfg/tuncfg hamachi-e . 9.9 .9 -2o-tnx/CHANGES

root@jupiter:-# cd hamachi-B.9.9.9-29-lnx

Fig _6.19. Descomprimimos Hamachi.

3. Instalamos el cliente con la orden make install, tal y como puedes ve en la Figuro 6.20. Hamachi para Linux está listo paro funcionar.

copying hamachi into l usr/bin .. creating hamachi-init symlink .. Compiling tuncfg . . Copying tuncfg into Isbin .. Hamachi is installed. See REAOME tor what to do next . root@jupiter:-/hamachi-9.9.9.9-29-lnx#

Fig. 6 .20. Inslalamas Hamaehi. (Conlinúa)

156


Seguridad activa en redes

Casa práctico 4

'---

9

(Continuación) 4. El cliente empieza a funcionar cuando ejecutamos el comando tuncfg (que está en el directorio del mismo nombre); para ellos debemos escribir las árdenes de la Figura 6.21. ArthIvo Editar ~ ~rmlnal AVüda root@júpl ter : -/h~~chl·0. 9.9. 9·20-lnxI cd tuncfg/ root@juplur: -/ha~chl-0. 9. 9. 9-20-lnx/tuncfgl ./tund!! tuncfg : a1.relldy running root@Jup1ter:- /haltach1-0.9.9.9-10-lnx/tunc f o'

---

Fig. 6.21. Arrancamos el cliente.

5. Las siguientes árdenes que veremos nos permitirán crear el perfil de un nuevo usuario y unirnos a la red Sl.bcle, que creamos en el servidor Windows en el Caso práctico 3. En la Figura 6.22 vemos la orden que hemos de ejecutar para informacián de la cuenta . • •• m

!l'

• • Gi [i'j

tID{JilJ'ji!1iEI!

lClf

AlUlivo ~djtllr ~ ~rmlnal A)'llda root@jupite r: -/ha~achi -0.9.9. 9- 20-ln~/tuncfg' har.Jachl· lnl t Inlt1I1Uzlng H8t:1l1chl conflgufatlon (froot/.hllmachil. Please wait __ generatl ng 2048·bit RSA keypair .. ok aaking ¡ rootl.ha:aachl directory .. ok saving Hoot! .hal=.ach1tcUent .pub .. ok saving ¡ root/.haDilchi/c Uent.pri .. ok s~ving /root/.h~mach1/snte .. ok Authentication infornaUon hils been created . Hamachi can now be started with 'ha~achl surt ' cor::nand IInd then brought onUne with 'haruchi login'. root@juplter :-/hamachl-0.9. 9 .9·10-1ml! tuncfg'

I

Fig. 6.22. Creación de Información de la cuenta.

6. En la Figura 6.23 ves como debemos arrancar el demonio (servicio) Hamachi con el comando start. Para detenerlo bastará con sustituir slart por slop. Afd¡ivo EdItar Y.er ]l!rmlnal Ay¡.¡da root@Jupite r:- /ha3ilchi -O.9. 9 .9 -28-1nx/tuncfgl hcmachi stllrt Starting HMachi hacachi-lnx -O_9.9 .9·20 . . ok root@jupite r:-/haDilchi·O.9 . 9.9-20-1nx¡tuncfgl I

Fig. 6.23. Arrancamos el servicio.

7. Como es la primera vez que nos conectamos, nuestro máquina no tiene ningún nombre. Podemos dejar que tome uno por defecto pera es conveniente asignárselo mediante la orden de la Figura 6.24.

root@Jup1ter:-/haraachi-0.9. 9. 9-20-1n~ttuncfg' Setting nicknar.e .. ok root@jupiter:-/ha1lilchi-O.9.9.9-20-1nx/tuncfg'

ha~chi

set · nick jupi terLinux

I

Fig. 6.24. Asignamos un nombre 01 equipo.

8. Ejecutamos la arden hamachi login antes de realizar la conexión con la red de destino, para poder ser identificados y nos unimos a la red, mediante el comando join seguido del ID que tiene asignado dicha red, en nuestro coso Sl.bcle (Fig. 6.25). ,,--ro ArchiYO

fditar

-

~

I

Y.eJ :rmnlnal Ayuda

rootOjupi ter:-/!la;::achi -O. 9. 9. 9-20- tnx/tuncfg l haoachi joln SI.bcle Password: Join1ng SI.bcle .. ok root@jup1ter:-/haroachi-O.9.9.9-20-1nx/tuncfgl I

Fig. 6.25. Nos unimos a lo red.

(Continúa)

6


~/6

Seguridad a ctiva en redes

----~-- --------------------------------

q

Casa práctica 4_____________~___~_____I

¡Conlinuación} 9. Por defecto, codo vez que nos conectemos o este servicio lo haremos en el mismo estado en que lo abandonamos la última vez, es decir, si cuando ejecutamos la orden stop estábamos en línea, la siguiente vez que ejecutemos la orden start directamente estaremos en línea. Como es la primera vez que vamos a unirnos a la red, por defecto aparecemos como no conectados, así que debemos utilizar el comando go-online (Fig. 6.26) . Cuando queramos desconectarnos, sin cerrar lo aplicación, usaremos go -off line.

Going ontine in SI . bcle , _ ok root@jupiter :- / hamachi ·e . 9.9 . 9-29-1nx/ tuncfg#

Fig. 6.26. Clienle en línea .

10. Por último, vemos si en la red hay más miembros conectados. En este caso jupiter (el servidor) está en línea, como ves con la orden list (Fig . 6.27).

[SLbelet '" 5 . 125.76.223 5 . 126 . 2e6.176

192.16B.l.33 :1e36

jupiter jupiter2

root@jupiter:- ¡ hamachi-e.9.9 . 9-29-1nx/tuncfg#

Fig. 6.27. LisIo de usuarios de lo red.

11. En la Figura 6.28 del equipo jupiter vemos que hay un nuevo usuario conectado en la red .

. ~

:

lonMpIn H"rn"t( hi'

.~~.,

m

,.,

_

-

x

,1>

5.126.76.223

1upiler

Io SLbde

-1

o j;.Jp.(erZ lO'

jo..pter\.hDI:-5.2.15.132. - ¡

Fig. 6.28. Equipos coneelodas o lo red SI.bele.

~ Actividades

~

Hamachi es usado en muchos

servidores de ju e gos para conectar a diferentes jugadores.

7. En la Figu ra 6.28 puedes ver que se ha unido a la red otro equipo llamado jupiter2. Configura un cliente Windows con este nombre y realiza los pasos necesarios para que se una a Sl.bcle. 8. Busca información sobre otros paquetes software que permitan crear redes privadas virtuales y compara sus características con LogMeln Hamachi.


Seguridad activa en redes

6

3.2. Detección de intrusos Como hemos visto, podemos evitar los intrusiones externas utilizando redes privada virtuales, pera ¿qué hacer cuando las intrusas ya están en nuestra red? Detectar intrusiones es una tarea muy compleja para la que se ha ido desarrollando un software específico denominado sistema de detección de intrusiones, IDS.

lOS. Es el acrónimo de

"IIIU51(m

Detection Systems,

sistemas de detección de intrusiones

Estas aplicaciones suelen ser propietarias y muy complejas de utilizar, por lo que su uso suele limitarse a grandes redes que requieren una seguridad muy concreta. Aunque existen sistemas que utilizan conceptos tan ava nzados como la inteligencia artificial, la mayoría se basan en el uso de bibliotecas de normas, que describen las condiciones del tráfico para técnicas de ataque o intrusiones ya conocidas. Los IDS son un paso adelante en las funciones que implementan los cartafuegos, a los que dedicaremos la unidad siguiente, y algunas de sus funcionalidades suelen integrarse en ellos, aunque a un nivel mucho más bajo.

Puedes conseguir una versión evaluación de Tripwire a través

de su Web: http://www.tripwire.com

Existen varias herramientas interesantes de detección de intrusos pera su uso es bastante complejo, algunos ejemplos más representativos son Tripwire Enterprise y Snort: •

Tripwire Enterprise, que permite detectar los acciones en la red que no se ajustan a la política de seguridad de la empresa, e informar de aquellos que necesitan especial atención. Ofrece soporte para Windows y Linux, además de para entornos virtuales, como las creados con VMWare, pero es una aplicación propietaria, pensada para grandes redes con un tráfico y un número de usuarios muy elevado.

to Snort puedes encontrarla en:

http://www.snort.org

Snort, que es una aplicación de código abierto que permite tanto la detección de intrusión como su prevención. Existen versiones para sistemas Windows, aunque el grueso del proyecto se desarrolla para entornos Linux. En cualquier caso, será necesario instalar algunos paquetes adicionales que garanticen el funcionamiento de la aplicación, en el caso de las distribuciones Linux, par ejemplo, se instalarán Libpcap, PCRE, Libnet y Barnyar, que también son de código abierto. Este IDS escucha el tráfico de la red en tiempo real y lo relaciona con una serie de normas ya predefinidas, que pueden descargarse desde Internet. Cuando encuentra alguna coincidencia alerta sobre ella, hace un lag de dicho tráfico o lo ignora, según se haya indicado en la norma.

3.3. Arranque de servicios Un servicio de un sistema operativo es una pequeña aplicación que corre en segundo plano y da soporte a este, para permitirnos tener funcionalidades como, por ejemplo, el uso del protocolo SSH, que ya conoces.

El número de servicios que se pueden instalar y utilizar en un equipo es innumerable, pero debemos de tener en cuenta que, cuantas más acciones queramos que haga automáticamente nuestro sistema operativo, peor será el rendimiento del equipo. Y no solo eso, sino que es posible que también estemas poniendo en peligro su segu ridad .

o

Toda la información del proyec·

Servicios en Windows Vista

En su búsqueda por evitar que se ejecuten automáticamente servicios no deseados, Windows Vista incarpora el UAC, control de cuentas de usuario. Si bien es una herramienta útil para usuarios inexpertos, ya que refuerza la seguridad del sistema evitando que se ejecuten programas innecesarios o dañinos, como pueden ser los virus, resulta bastante molesta en ocasiones, especialmente cuando se van añadir nuevos programas al sistema. Con la utilidad UAC activada será necesario autorizar específicamente cada acción o ca mbio de configuracián que realicemos, como activar el firewall de Windows (Fig. 6.29).

Actividades ~ 9. Busca otros paquetes IDS en Internet y realiza una tabla con su nombre, su fabricante (o grupo de trabajo) y sus característi· cas básicas.


Se guridad acti va en redes

Cc:iirttOl de cucntu de usu,rio

~

Windows necesita su permiso para continuar

Si usted inide en, uc.ióo. puede c.ontinuar.

Configuración de Flrew,U de Windows Microsoft Windows

I

'ontinu.f

1I

Cancelar

I

El Control de cuentas dI! usuario le a)'\lda a impedir cualquier cambio no autorizado en el equipo.

Fig. 6.29. Con/rol de cuen ta de W indows Vis/a.

En el caso de que tengamos ciertos conocimientos y herramientas adicionales para proteger tu equipo, o mientras estemas realizando instalaciones programadas de programas, como reconfigurar los servicios de Windows, podemos desactivarlo desde el Panel de control > Centro de Seguridad. La opcián correspondiente se localiza dentro de las Opciones de Configuración Adicional. Para acceder a los servicios instalados en el sistema operativo debemos abrir, en el panel de control, las herramientas administrativas. El ob¡etivo que debemos tener en mente es uno que ya hemos tratado a lo largo del libro, no tener nada instalado o en funcionamiento, que no vayamos a necesitar. La lista de servicios de Windows Vista es mayor que la que ofrecía Windows XP y se prevé muy similar a la de Windows 7, ya que varios de ellas se han divida para dotarnos de mayor control (Fig. 6.30) . Si hacemos clic con el ratón sobre el nombre del servicia vemos también una pequeña descripción del mismo.

.

-_.,,-

4o .. !0

r:¡ 1IY!! a ~ l ' .

n "

''' ' '- ¡11=.-_ I'---=--::::.

---__ _

..._. .. ... ...:.---.. _........_,. .......... -

';:

t:. _ _ ..

I~=:;: _ _ .. _

.. . _ .. -

~

~_

':- 1 -~_5=~ . --~-- :::::: -

~....::~"!".. .

1

..

~_ (

'.......... - -

"...

.......

Q_

.. -...... .. ,,_

row

__ _

__

<l _ .. _ . .... ClO _ ... _ .. ".... . _ <l _ ....... _ _

o ............ ....... _

.. _~ CNO oClO __ _

-'- --

_ o...

_

.. t:,. _ .... _ -_. .._.. _.. t:. _ t:. _

.. _ .. ,, _

:: ~ . .

~.,. '-" .....

:: ~

';: ~_

.. _

-

Q ........ .. ..'<:O <-. ~....

.::_ ca....- .... .-..... _ .. _

_ ....

~_

....... ...."-",,, ::_ ....... ::_ .. _ c::u.

:: _

.. _ . .. .......

_

.. _ ,-

_

_ _ .-0- _

l'

_

', -___ -

.......... . _ _

:¡ ........ . - - ..- :;: a - . - .

Fig. 6.30. Servicios de Windows Vis/o .

~ Actividades

Dentro de estos servicios encontramos algunos que pueden suponer un riesgo paro la seguridad de nuestro equipo si no se inician en un entorno controlado, u otros servicios peligrosos, por lo que puede ser conveniente desactivarlos. La dificultad suele encontrarse en determinar qué servicios son peligrosos, y distinguirlos de aquellos que hemos instalado nosotros. Buscaremos: •

Servicios que no llevan descripción (los del sistema operativo la incluyen), aunque los que hayamos añadido al sistema no tienen por qué incluirla .

Servicios cuya descripción está en un idioma distinto al de instalación de nuestro sistema operativo.

Servicios que se arrancan con cuentas no utilizadas para propósitos de administración.

Servicios cu ya ruta de acceso al e¡ecutable sea Window s.

Servicios con un nombre extraño.

10. Busca información sobre las servicios que arranca automáticamente Windows Vista y decide si conviene deshabilitarlos para me¡orar el rendimiento de tu equipo.


Seguridad activo en redes

9

Caso p'ráctico 5 Desactivar un servicio en Windows Vista

El servicio de Administración conexión de acceso re moto es necesario si en tu equipo vos

En ocasiones debemos desinstalar alguno de los servicios de Windows, bien parque queramos mejarar el rendimiento de nuestro equipo o porque seo un servicio potencialmente peligroso. En este coso vamos o desinstalar el servicio Telnet, para evitar que puedan conectarse o este equipo de formo remoto no segura.

a establecer una red privada virtual. En otro caso es conve·

niente deshabilitarlo para evi· tar accesos no autorizados que

1. Abre la lista de servicios de Windows y localizo el servicio Telnet. En este coso el

pudiesen hacerse con el control del equipo.

servicio ya está iniciado, ya que se lanzo automáticamente can el inicio de sistema operativo (Fig. 6.31) . .......... ....... v.. ..,.. .c-q !@l El n ~ l fl r,n I

C. 5a>U:1 (IoaIuJ

• • u

It

.:,j - . - . C\IdoIO

:==0 ,...,.. do .. ~

.

-~ J ,

Fig. 6.31. Seleccionamos el servicio Te/n et.

2. Hocemos doble clic sobre el servicio y se obre su ventano de propiedades. Desplegamos los opciones de tipo de inicio y seleccionamos Deshabilitado.

"""" -....,

--,

Ibltnd! .......,.,:

FU.o~~oI

"""

r-~"'_-"noe"""" "'oI ~ r:->J.¡.,:..u~.,

....

_

~

qcU:Ie:

c;W"rd:rn~lZ'~.-

1

TlPQden::i:l :

I

Eu:!oc!tl""""":-~ 1

11

~

"'-

II

p-

I I "'"'''''' I

Puedo ege:lcz-b ~m..... c!o_o;....~....c,

4. En coso de que desees volver o activar el servicio, o habilitarlo paro que se active de modo automático, tienes que realizar este mismo proceso pero seleccionando el tipo de inicio que desees y pulsando

o

~ O"" .. dII!

IbIin~~ T'"

3. El servicio seleccionado yo estaba iniciado, por lo que es conveniente que lo detengamos de inmediato. Paro ello pulsamos sobre Detener, que aparece en el menú de lo izquierdo que corre spondiente al servicio (Fig . 6.30).

Iniciar.

.,.".

Telnct p,.,,¡:iedadosr...... ¡¡o baIJ

... nc.

"~des:Io-=1J; .

F~.dr"""

.-J

L-

1-- 1 I '"""" I C- J Fig. 6.32. Deshabilitamos.

Servicios en Ubunlu

El manejo de servicios en Linux, denominados habitualmente demonios, es parte esencial de la administración de este tipo de sistemas. Ubuntu 9.04 ha minimizado,el tiempo de arranque del sistema operativo, en parte cargando un menor númera de servicios al inicio, lo que, además, facilita la administración . Podemos acceder a los servicios instalados desde el entorno gráfico del sistema operativo, pulsando sobre Sistema y seleccionado Administración, donde está la opción servicios que ves en la Figura 6.33. Desde aquí podemos activar y desactivar servicios con un solo clic.

~

r

...

__

.............

~ ·-~-=·~"·~··'-' o 0 GnUolft ....-pad6n' ....-r 101

CnUoIn ...

! 'lt 101

1 101

le ;l

dIo""........ __

GnU6n'" -

·1

I~

... jaqold)

~ GcsU6n ......... ¡."",1It

@GcIl:"'..... """....... ¡1wttfJt ~ GcIUoln U~ "pIGo l

1_ ¡;iL!a

ele

..

1""!u7""nl"t(p]

~"'.:~~:'!.:.~!."-;ri:IICD I~I

~

Fig. 6.33. Servicios en Ubuntu.

6

~J


1 /6

Seguridad acliva en redes

----~----------------------------------

I

á

Ejemplos

En el Caso práctico 4 hicimos uso de alguno de los comandos

Los verdaderos posibilidades paro controlar los servicios estón en el uso de lo línea de comandos. Los servicios instalados en el sistema se encuentran en lo carpeta /etc/ init.d pueden arrancarse, pararse, etc., con el uso de cuatro modificadores: •

sta rt : arranCamOs el servicio.

cio hamachi. En la Figura 6.34 podemos ver cual es la orden que hemos de escribir parar esle

stop: paramos el servicio.

resta rt: reiniciamos el servicio.

mismo servicio.

status: nos informo del estado del servicio.

anteriores para manejar el servi-

_

uooovoo _

.....

.....1..""'·"_ ... ·····1·"' ...,........ _ .., ,,.. ::::::::J:;;.i~,

.. ,....·\. ."... '.. 1

Fig. 6.34. Parada de un proceso.

4. Seguridad en redes inalámbricas En los últimos años, los necesidades de comunicación en los empresas y en los hogares han cambiado mucho, y no solo en la velocidad de los conexiones o Internet. El uso de ordenadores portótiles y otros dispositivos móviles como por ejemplo teléfonos móviles, consolas portables o PDA se ha disparado en los últimos tiempos . Este tipo de equipamiento exige conexiones inalómbricas que permitan la movilidad. Los ventajas y las inconvenientes que proporcionan los redes inalómbricas son: o

Según el Inslilulo Nacional de Esladíslica, desde el año 2006 se observa un estancamiento

en el uso de los ordenadores de sobremesa, mientras que los

porlátiles han crecido un 4% de 2006 a 2007 y un 6% de 2007 a 2008, siendo en este último año de un 40 %. El uso de banda ancha en los hogares en el año 2006 ero de un 30 %, en el año 2007 de un 40 y en el año 2008 de un 45 %.

Fig. 6.35. Wi·Fi con antena.

Movilidad: nos permite conectarnos desde

cualquier punlo ¡dentro del alcance de la red inalámbrico). Escalabilidad: podemos añadir equipos fácil· mente y con un coste reducido. Flexibilidad: permile colocar un equipo en c ualquier punto Ino es necesaria una toma de red). .

Menor rendimiento: el ancho de banda es

mucho menor. Seguridad: cualquiera que esté en el alcance

de lo red puede aprovechar una vulnerabilidad pora colarse en la red o descifrar los mensajes. Interferencias: la red es mucho más sensible a interferencias.

Tabla 6.1. Ventajas e inconvenientes de los redes inalámbricas .

Existen varios tipos de conexiones inalómbricas: Bluetooth, Wi-Fi (puedes ver uno adaptador Wi-Fi en la Fig. 6.35), 3G (puedes ver un adaptador 3G en lo Fig . 6.36). Nos vamos a centrar en las redes Wi-Fi, por ser las que proporcionan el acceso o una red de órea local.

Fig. 6.36. Módem 3G USB.


'~""d"d "";~""

"do"

6'-C-'

------------------------~-------------

4.1. Tecnologías Wi-Fi El estándar IEEE 802.11 define los dos primeros niveles de la capa OSI para las redes de área local inalámbricas (WLAN). Los protocolos estándar que permiten la comunicación inalámbrica son:

54 Mbit!s

Sufre menos interferencias porque no es la banda de los teléfonos móviles y otros electrodomésticos, sin embargo es mucho más sensible a los obstáculos.

100 metros

11 Mbit/s

La frecuencia de 2,4 es menos sensible a los obstáculos, pero en esta frecuencia trabajan muchos electrodomésticos que provocan interferencias.

100 metros

54Mbit!s

Las interferencias sufridas son las mismas que en 802.11 b.

802.11a

5GHz

50

802.11 b

2,4GHz

802.119

2,4GHz

802.11 n

2,4GHz y5GHz

metros

Aunque el estándar se publicá de forma definitiva en septiembre de 2009, 100 metros

600 Mbps

ya existían anteriormente dispositivos que cumplían un borrador del estándar

llamado 802.11 draft n. Los dispositivos de este tipo son compatibles con todos

105

protocolos anteriores.

Tabla 6.2. Protocolos inalámbricos estándar.

Es importante tener en cuenta que los dispositivas electrónicos Wi-Fi que interactúan entre sí pueden seguir diferentes estándares, y tendrán que ser compatibles entre ellos para poder comunicarse. Algunos dispositivos Wi-Fi son compatibles con varios de estas estándares. Cuando un punto de acceso permite por ejemplo los protocolos 802.11b y 802.11g, si lo configuramos correctamente podemos conseguir que se conecten a él estaciones con dispositivos 802.11b y 802.11g . Existen otros protocolos na estándar como por ejemplo 802.11 g+ que aumentan la velocidad de comunicación con las estaciones que soportan estos protocolos.

Actividades

9t

11. Una pequeña empresa como SiTour comienza con 2 empleados. Tiene la esperanza de triplicar el personal en el próximo año. Han alquilado un local en el que no hay instalación de red. Analiza las ventajas y desventajas de la red inalámbrica para este caso.

12. Analiza el uso que haces tú en tu vida diaria de algún tipo de comunicación inalámbrica. Intenta identificar que tipo de comunicación inalámbrica se está produciendo.

13. Consulta en alguna tienda online cual sería el coste de un router inalámbrico y tres adaptadores Wi-Fi, dos para portátil y uno para el ardenador del aula.

14. Revisa la solución que propusiste para la actividad anterior y averigua si todos los elementos que seleccionaste son compatibles. Si no lo son, escribe por qué.

15. ¿Qué protocolos estándar permiten los dispositivos <dntel Wi-Fi Link 5100" y «Linksys WUSB600N,,?

16. ¿Qué protocolos permiten las puntos de acceso SMCWEB-N y WRT54GX4?

17. Son compatibles los interfaces de la Actividad 15 con los puntos de acceso de la actividad 16?

18. ¿Qué diferencia en coste hay entre montar una red con tres equipos 802.11 g y 802.11 n? 163 ,

, ,-

·,!,t1JA:L


~6

Seguridad oclivo en redes

------~----------------------------------------

4.2. Conceptos de redes Wi-Fi

~hOC.

~

•• ,'

Voc<lb.ulono

-

~.

-'o

" . ':.

Es uno lopologio de red

Wi~Fi en [a que la comunicación

se produce directamente entre dos equipos, sin un punto de

acceso.

Aunque, como ya estudiaste en el módulo «Redes locales» también existe la topología ad-hoc, lo más habitual es la topología infraestructura (Fig. 6.37) en la que existe un punto de acceso que es el encargado de gestionar el proceso de comunicación entre todas las estaciones Wi-Fi. En primer lugar para que un cliente pueda comunicarse can la red tiene que estar asociado al punto de acceso y para poderse asociar tiene que pasar un proceso de autenticación. Una vez pasada este proceso, la estación quedará asociada al punto de acceso y podrá comunicarse con este y a través de él con otros equipos.

w

,

AP

Estación 2

Es recomendable no utilizar una conexión Wi-fi para configurar

Estación 1

el rouler, debido a que cuando cambiemos la configuración podremos perder la conexión.

PDA

Fig. 6.37. Estructura de una red Wi-Fi.

~ Caso práctica 6

Red Wi-Fi obierta Montar una red inalámbrica abierta para dar salida a Internet a todos los equipos que quieran conectarse a ella .

1. Accedemos a la configuración del punto de acceso (o router ADSL Wi-Fi) a través del navegador, poniendo su dirección IP. En el caso de la Figura 6.38 la dirección del punto de acceso es 192.168.1.2. También puedes acceder a un simulador de algún router. Te proponemos el router linksys WRT54GX4 (http://uiJinksys.com/files/WRT54GX4/1.00.09/Wireless.htm) o puedes buscar otro de linkSys en http://uiJinksys.com/_

~I';"';," ;:::: 1v~I ____~ 1J...mER ~ ~==;;- ..J I Aula Jv I

Wrele-'..s tktwOI'k Mode :

- .-........

__

Wrele:¡:¡ NdwOI'k N.lme (SSD) :

.....eless Chllmd:

o

" " " ". "~'

,"'."..

,......

Fig. 6.38. ConFiguración básica Comtrend.

(Auto .....eless SS[) Broadc;¡sI: :

tl-

®

!vi

Enable

O

Dlsable

Fig. 6.39. Configuración básico LinkSYS.

(Continúo)


Seguridad activa en redes

Casa ¡:>ráctica 6

6

9

(Continuación)

2. Accedemos a la sección de configuración Wi-Fi básica. Aquí hay que tener en cuenta que cada fabricante utiliza una aplicación de configuración diferente (Figs. 6.38 y 6.39), por lo que tendremos que buscar las opciones e incluso disponer del manual del punto de acceso. Dentro de la configuración básica ponemos el SSID (Service Set Identifier), que es el nombre que tendrá la red Wi-Fi.

3. Por último accedemos a la sección de Seguridad Wi-Fi y ponemos autenticación abierta y seguridad deshabilitada (Figs. 6.40 y 6.41) para los routers inalámbricos Comtrend y linkSys . Do . leo

.- . - , ..""... ... ",,.,,.,,,, ..... . ...... ,,, ..,, ... .,,, .." """'"',, ,. .. .. "," c".. ·~"' ,.." .. '"1" . .. . '''" ,... .. .. ",.",, "'

"',",,, h ,. ,. """ . . ..... ,.",,,.,,, ,., . .. ,,,,j,,,I,

..

w.

"

\\1 , .. ...

o....

~ '" . ,. " ,.,

. ..

" ~"" . " ,,

II . ..... . . ,... , .. ,¡"

\\Ir .. ...

IIo . ~

--

..... _ 'd ~

.. .., w.

ti ..... "" .

Fig. 6.40. Seguridad Camtrend deshabilitada.

Sectdy

r.tod~ :

Fig. 6.4 1. Seguridad LinkSYS deshabilitada.

4. Conectamos uno de los conectores RJ45 del punto de acceso a la red cableada habitual de clase y ya podemos conectar un ordenador por Wi-Fi al punto de acceso. Ten en cuenta que el estándar 802.11 no modifica el nivellP, así que usaremos la misma configuración IP de siempre. Como puedes comprobar nos podemos conectar a la red que hemos creado sin utilizar contraseña.

4.3. Seguridad Wi-Fi En el caso práctico anterior hemos configurado un punto de acceso para permitir el acceso sin seguridad a la red. Como has podido comprobar cualquier cliente que tenga una tarjeta de red inalámbrica compatible con el punto de acceso, podrá conectarse a la red. Esta no es la situación deseada. Lo que habitualmente queremos es contra lar quien se conecta a nuestra red. Para ello podemos aplicar varias medidas de seguridad, que se pueden agrupar según el nivel en el que aplican: •

Nivel físico: en este nivel podemos intentar controlar la señal producida por los puntos de acceso y las interferencias recibidas. A través de la utilización de diferentes antenas podemos intentar conseguir que la señal salga lo menos posible de los límites deseados.

Nivel de enlace: en el nivel de enlace hay mucha variedad de medidas que podemos tomar para conseguir este objetivo:

Aunque pueda parecer sorprendente/ inicialmente los proveedores de servicios de Internet/ cuando instalaban un router ina-

lámbrico, dejaban la red Wi-Fi abierta.

Controlar el acceso a través de una contraseña común para todos los clientes. Controlar el acceso a través de una caracteristica del clien te, como par ejemplo la dirección MAC o un nombre de usuario y contraseña.

Actividades ~ 19. ¿Hay alguna forma de obligar a un punto de acceso a que utilice un estándar 802.11 determinado si es compatible con varios? Describe el procedimiento a seguir en el de clase.

165


~/6

Seguridad activa en redes

------~----------------------------------------

5. Seguridad WEP CRC es un código de comprobación que se calcula a partir de

las datas y se añade al paquete para que en el destina se pueda comprobar que na ha habido variación de los datos durante la transmisión.

WEP (Wired Equivalen! Privocy) es el sistema de cifrado estóndar que se utilizó inicialmente para el cifrada del protocola 802.11. Intenta dar a los redes inolómbricos la seguridad que se tiene en los redes cableadas. La principal diferencio entre la s redes cableadas e inolómbricos es que en los redes inalámbricos puede intentar entrar en lo red cualquier persono dentro del alcance, aunque seo fuero de lo empresa, mientras que en uno red cableada hoy que tener acceso físico a dicha red, es decir, hoy que estar dentro de la empresa. Cuando se utiliza WEP, el punta de acceso y las estaciones de trabaja tienen que compartir una clave (clave WEP). Esta clave puede ser según el estándar, de longitud 104 bits (13 caracteres) a 40 bits (5 caracteres).

I Cabecera

Datos

I GRC

¡ Se suele hablar de WEP 128 o WEP 64, pero realmente estos 128 o 64 bits son el tamaño de la contraseña WEP y el vector

Clave WEP

~8

Vec. lnj (IV)

~8

inicialización.

~8

¡

de inicialización juntos.

Por ejemplo se habla de WEP 128 porque es uno clave de 104 bits más los 24 bits del vector de

Cabecera

I

í Datos

IV

CRG

Fig. 6.42. Funcionamiento WEP.

W EP util iza un algoritmo llamada RC4 para a partir de lo clave WEP y de un vector de inicialización de 24 bits (también llamada IV), generar una secuencio aleatorio, llamada semilla, lo cual utilizaró para cifrar lo comunicación can el punta de acceso. Puedes ver un esquema del algoritmo en la figuro 6.42. El resultada es una trama en la que la cabecera y el vector de inicialización va n sin cifrar y tonta las datas cama el CRC van cifradas.

q

Caso p'ráctico 7

Seguridad WEP en el punto de acceso Configurar el punta de acceso para utilizar una clave WEP de 128 bits y proteger así el punta de acceso.

l. Abre en el navegador la página de configuración del

del rauter para poder restaurarla pasteriarmente y dejar toda cama estaba.

4. Selecciona WEP cama moda de seguridad (figs. 6.43 Y6.44).

_. ...._.,

rauter.

:::.:'',':•••::. .... ::::~7:::...''':::;'.:: ..... _.....•.:;;' M'........ ................_. .. .... _"....._. o.,

~,:~

2. Configura tal y cama se describió en el cosa práctica

~

:;:,~~'':: '::.~:::.:; :.~~"

, ... ·• ••v .. ..

anterior el nombre de lo red.

3. Accede a la sección de seguridad inalámbrico . La

__ ,_ ' •• _ . ,....

-~-.-

encontraras tal y cama la dejamos en el cosa práctica anterior, es decir, cama la ves en las figuras 6.40 y 6.41. Es recomendable que hagas estas casas prácticas can varias puntas de acceso (par ejemplo, el del au la y el de tu casa) parque las herramientas de configuración san diferentes. Si realizas esta tarea en tu casa, haz primera una copia de seg uridad de la configuración

-. . ~

""

........ ~

~

.·." ... ...·,.. ~l ; .....~ ...-;g

Fig. 6.43. WEP en Rou/er Com/rend.

(Con/inúal


Seguridad activa en redes

6

Caso "rádico 7

9

(Continuación) !O<oa.al,,-,

I\\I!P

- ' -:

~

Oot""'''''''''': ve~ :

,... 1

o,

Q 4

I Ubh!QI>o.~ .

... 1

<J ,

O l

K .. ' :

5. Seleccionamos como encriptación WEP, 128 bits, e introducimos la clave WEP que queremos poner (por e¡emplo, ,,$1 Nab74c$b!@l») en alguna de las casillas llamadas clave (Figs. 6.45 y 6.46). Si la controseña la ponemos en la casilla llamada clave 1 (key 1) es importante poner que la contraseña que tiene que usar por defecto es la clave 1.

" .. 3 :

KI,.' Fig. 6.44. WEP en Router linksys. VIlr t! tss Sttll nDS' Encr)p1lcn Utl"" Enl., 13 A:'C I!

o h ~I.~ttn.

Ol::!(l h •• ¡d.clm.! digil1101 l::!O·b ll

t ncrypllon h.l'1.

5ecaKy trlode:

1-

Anoclllllon Mode :

IA~O

DeflNll Trllllsml Key:

ve> EnctypUon :

Iv I

!vi

® 1 O 2 O l O ..

I128 bh26 hex digls Iv I

I Generllle I

IJ.l:¡ojook I\.y3:

K.y:

I [±J I :'.vtfApply I

Fig . 6.45. Clave WEP en Comtrend.

I<cy 1 : I(cy 2: Kcy 3: Key":

Fig. 6.46. Clave WEP en linbys.

En algunos router dependiendo de la longitud de la cadena que pongas como contraseña puede entenderse que lo estás escribiendo en hexadecimal o en ASCII. Por e¡emplo la contraseña que hemos puesto es de 104 bits, que son 13 carocteres ASCII, pero que en hexadecimal son 26 dígitos.

Ten cuidado de escribir correctamente la controseña. 6. Guardamos los cambios y ya podemos conectar un cliente al punto de acceso JUPITER utilizando seguridad WEP de 128 bits.

____________________~J

Existen dos métodos a trovés de los cuales un usuario puede autenticarse con un punto de acceso WEP: •

Abierta (open): la estación puede autenticarse sin necesidad de utilizar la clave WEP, simplemente con solicitar la asociación, el punto de acceso dará por asociada a la estación. Después de este proceso de autenticación la estación solo podró comunicarse con el punto de acceso si conoce la clave WEP utilizada para encriptar la comunicación. Clave compartida (shared key): cuando una estación envía una solicitud de asociación al punto de acceso, este envía un texto sin cifrar a la estación, llamado "desafío». El punto de acceso solo asociará a las estaciones que devuelvan correctamente cifrodo con la clave WEP dicho texto.

Modo monitor en un di I de red; es el que nos permite

coger todos los paquetes que circulan por la red a la que estamos conectados aunque no vayan dirigidos a nosotros. En este modo ponemos la tarjeta cuando utilizamos Wireshark.

Aunque pueda porecer más seguro shared key, no lo es, porque cualquier estación inalámbrica podría atrapar tanto el paquete de desafío como el mismo paquete cifrado y con esta informacián asociarse correctamente con el punto de acceso e iniciar un ataque a nuestro punto de acceso. Se recomienda el método de autenticación abierto.

Actividades ~ 20. Configura el punto de acceso para que utilice seguridad WEP 64 y la contraseña que tú el;¡as.

167


~~ s_e~g_Ur_id_a_d_a_c_ti_v_a_e_n_r_e_de_S _______

__________________________________

q Este proceso basado en Linux

para

sacar

las

contraseñas

Wi-Fi se ha hecho muy famoso en los últimos años y se han creado distribuciones espe-

cíficamente desarrolladas para auditorio de redes inalámbricas

como WifiSlax o WifiWay.

Caso flráctico 8

Comprobación de seguridod Wi-Fi Utilizando una distribución Ubuntu sacar la contraseña de una red inalámbrica con seguridad WEP 64. 1. Instalar sobre Ubuntu el paquete aircrack-ng ejecutando el comando aptitude install aircrack-ng (para el desarrollo de este caso práctico se ha utilizado Ubuntu 8.10, the Intrepid Ibex).

2_ Ponemos el interfaz inalámbrico en modo monitor utilizando el comando airmon: airmon-ng start wlanO. Start indica que se quiere arrancar el modo monitor (stop para parar) y wlanO es el nombre del interfaz inalámbrico. Si esto no funciona, es probable que tu interfaz no sea capaz de trabajar en modo monitor. Puedes investigar en hl1p://www.aircrack-ng.org/doku.php?id=compotibilily_drivers sobre la compatibilidad de la tarjeta Wi-Fi.

Archivo

Editar Ver Terminal

Solapas Aluda

root@jupiter:/# airmon-ng start wlan0 Interface

Chipset

Driver

wlan0

Realtek 8I87L

rU8I87 - [phy0] (monitor mode enabled on mon0)

root@jupiter:/#

I

.--~--~-----===~====-=-==~~ Fíg. 6.47. E;ecución de airmon-ng. Si todo funcionó correctamente, ahora tendrás un nuevo interfaz con el nombre que te ha indicado el resultada de airmon-ng (Fig. 6.47). Puedes comprobar que tienes ese nuevo interfaz ejecutando el comanda ifconfig. 3. Utilizamos ahora el comando airodump-ng para detectar los puntos de acceso que tenemos a nuestro alcance (Fig. 6.48): Airodump-ng monO

BS:IA:2B:19:8B:EA

188

99:93:C9:E6:9A:2B 211 BSSID

STATION

3 11

e 1

PWR

#/5

eH

~lB

ENe

CIPHER AUTH ESSID

a a

11 8

54 54

\'/EP \'/EP

~/EP

JAZZTEL

\1JEP

JUPITER-

Rate

Lost

Packets

Probes

Fig. 6.48. Resultado de lo ejecución de airodump. 4. En el resultado de la ejecución anterior ya tenemos toda la información necesaria para poder escuchar todos las paquetes que genera la red Jupiter. Para ello utilizamos el comando airodump, pero indicándole: • BSSID: dirección MAC del punto de acceso, según la Figura 6.48 el punto de acceso JUPITER tiene la MAC OO:03:C9:E6:9A:2B. •

El fichero en el que queremos que salve los datas capturadas. Lo llamaremos jupiter. (Continúa)


Seguridad activa en redes

------------------------~

6

Caso práctico 8 " (Continuación)

Puedes encontrar muy buenos

También le indicaremos el canal en el que tiene que escuchar. En nuestro caso y según la Figura 6.48 es el canal 8 (está indicado en la columna CH).

Además indicaremos que guarde solo los vectores de inicialización, que son los que nos permitirán descifrar la contraseña . Eso lo haremos con el parámetro --ivs.

y el interfaz por el que queremos que escuche los paquetes: monO

El comando a ejecutar será: airodump-ng

- -channel

8

--ivs

vídeo-tutoriales sobre esfe proceso en lo página de Wi-FiSlax Ihttp://www.wi-Fislax.com/ manuales/videos.phpl

--bssid

00:03:C9:E6:9A:2B --w jupiter monO. arc.hivo ¡¡ditar eH

8

1(

~er

Ierminal

Elapsed: 19 mins

~olap Els

1(

Atyda

2009-99-28 09:04

aSSIO

PWR. 1\)(0

aeacons

OO:Ol:C9:E6:9A:28

219 100

6269

8SSIO

STATION

PWR.

Rate

lost

Packets

00:03:C9:E6:9A:2a

00:OE:ls:68:95:99

209

54-54

o

81397

l/Data, #/s 83744

eH

Ha

ENC

eIPHER AUTH ESSIO

a

54

WEP

WEP

155

OPlI

JUPITER

Probes

Fig. 6.49. Resultado oirodump-ng poro JUPITER. Para acelerar este proceso puedes conectar otros equipos a la red JUPITER y descargarte en cada uno algún fichero grande de Internet. En la Figura 6.49 puedes ver el resultado después de 10 minutos ejecutando airodump-ng. Ha capturado 83744 paquetes válidos para descubrir la clave (155 paquetes válidos por segundo). También puedes ver en esta figura que la autenticación (columna AUTH) es abierta (OPN, open) . . 5. Cuando hayamos capturado unos 10000 paquetes de tipo IVS, intentamos sacar la clave con el comando aircrack-ng al que le pasaremos: • BSSID: dirección MAC del punto de acceso. •

El tamaño de la contraseña WEP, en nuestro caso 64.

Y el fichero en el que están almacenados los datos. Los ficheros almacenados son jupiter-Ol.ivs, jupiter02.ivs ...

El comando a ejecutar será: a ircrack- ng -b 00:03:C9:E6:9A:2B -n 64 jupiter*.ivs archivo ¡;,ditar

~er

Terminal

~olapas

Atyda Airerack-ng 1.0 rel

(OO:OO:OOJ Tested 595773 keys (got 8729 IVs) KB 9 1 2 3 4

depth 9/ 33 2/ 7 01 6 10/ 13 1/ 15

byte(vote) 4A(11529) 76(11520) 55 (13856) 9A( 11056) 59(14336) es(12800) 98 (11264) 24 (11808) 54(12544) 6C(12288)

C8(11520) 08(12288) AO(12544) 18 (11088) Fl(12032)

01(11520) 69(12288) 05(11776) 70 (11008) 05(11776)

KEY FOUNOI ( 4A:55 :50:49:54 Oecrypted correctly: 100%

1

EF(11520) 90 (12032) OE(11776) AA (11008) 51(11776)

Actividades " 21. Aprovechando los vídeotutoriales de la página de Wi-Fislax, investiga que otro tipo de ataques se pueden realizar sobre WEP. 22. Elige un tipo de ataque de los anteriores y haz tu mismo un tutorial de cómo utilizando el ataque que has elegido se puede averiguar la contraseña.

F2(11520) SC (11776) 1E(11776) F7 (11008) 58(11776)

(ASCII : JUPIT I

Fig. 6.50. Resultado oircrack-ng para JUPITER. Como se puede observar en la Figura 6.50 después de 10 minutos capturando paquetes hemos sido capaces de encontrar la contraseña (JUPIT). En el caso de haber utilizado una contraseña de 128 bits, hubiéramos necesitado un poco mós de tiempo, pero el proceso es el mismo.

.

"4 q. '/./

23. Repite el proceso utilizando seguridad WEP 128 y mientras tanto prueba el ataque que seleccionaste en la actividad 22 .

l

169


Seguridad activa en redes

6. Seguridad WPA K",LJIIJ~. Es una tecnología están~ dar que permite basar el acceso a la red en la autenticación a través de usuario y contraseña.

Debido a los problemas de seguridad descubiertos en el estóndar WEP, el comité de estandarización 802.11 i comienza a investigar una nueva solución. Después de una publicación no definitiva del trabajo de este comité, y dado que se retrasaba la definitiva, el grupo The Wi-Fi Alliance creó WPA como una solución intermedia entre WEP y el definitivo 802.11 i. Basándose en el 802.11 i definitivo Wi-Fi Alliance publicó WPA2. Los estándares WPA y WPA2 se centro n en asegurar el proceso de autenticación y el cifrado de las comunicaciones. En ambos estándares se proponen dos soluciones para la autenticación, una empresarial y otra para pequeñas empresas y hogares. •

WPA Empresarial: requiere de la utilización de un servidor RADIUS independiente para gestionar la autenticación de los usuarios a través de un nombre de usuario y contraseña.

WPA Personal: utiliza un método de autenticación que requiere compartir una clave entre todas las estaciones de la red. Es más apropiado para pequeñas empresas y hogares porque no requiere de la utilización de un servidor RADIUS.

6.1. Seguridad WPA personal

WPA Personal utiliza PSK (Pre-Shared Key) o clave precompartida para el proceso de autenticación. Con este sistema, el administrador asigna una contraseña de entre 8 y 63 caracteres en el punto de acceso. Esta contraseña también tiene que introducirse en la configuroción de las estaciones inalámbricas que quiero n utilizar la red. Durante el proceso de autenticación se negocia entre las estaciones y el punto de acceso la sucesión de claves que se van a utilizar para cifrar la comunicación posterior. Cada estación negocia su propia clave, por lo que las claves utilizadas por cada estación son diferentes, y además cambian cada cierto tiempo. De esta forma solo durante el proceso de asociación se utiliza la clave compartida. Posteriormente, duronte el intercambio de información, no se utiliza para cifrar la comunicación, sino que se utiliza la clave que han negociado entre el punto de acceso y cada estación, y además la contraseña utilizada para ello cambia cada cierto tiempo de forma automática. Existen dos tipos de encriptación en WPA:

~ Actividades 24. Comprueba en la documentación técnica del dispositivo Intel Wi-Fi Link 5100 que es compatible con WPA2 y con el método de encriptación AES.

TKIP (Protocolo de integridad de clave temporal): es un protocolo que partiendo de una clave (que no es la pre-compartida) compartida entre el punto de acceso y todas las estaciones, genera nuevas claves diferentes por cada cliente y renovables cada cierto tiempo. Para ello mezcla la clave original con la dirección MAC y con un vector de inicialización. De esta forma cada estación utiliza una clave independiente para encriptar la comunicación.

AES (cifrado avanzada estándar): es un algoritmo más robusto y complejo que TKIP. Es preferible utilizar AES que TKIP, por ser este mas avanzado y seguro. Como inconveniente requiere hardware más potente.

No todos los dispositivos Wi-Fi son compatibles con todos los estándares. Antes de configurar el punto de acceso para trabajar, por ejemplo, con WPA2-personal, hay que comprobar que las estaciones que se van a conectar son compatibles con dichos estándares. El tipo de ataque que de momento se sabe que se puede llevar a cabo contra un punto de acceso que implemente este tipo de seguridad es el de fuerza bruta, utilizando un diccionario contra los paquetes que se intercambian durante la autenticación. Son especialmente sensibles los puntos de acceso que incluyen contraseñas cortas y contraseñas formadas por palabras o combinaciones de estas.


Seguridad activa en redes

_ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _.:.C~ aso práctico 9

9

Seguridad WPA Personal Configuración del punto de acceso de SiTour para utilizar la seguridad WPA-Personal teniendo en cuenta que hay dos portátiles en la empresa: uno tiene la tarjeta Intel Wi-Fi Link 5100 y el otra la Intel Pro/Wireless 2200BG.

1. Revisar en la documentación de ambas tarjetas inalámbricas con qué estándares son compatibles. La tarjeta que menos compatible es la 2200BG, que solo es compatible con WPA y con el algoritmo de encriptación TKIP (no admite AES). Por este motivo la configuración que tendremos que utilizar el el punto de acceso, si queremos que ambas tarjetas accedan a la red, es WPA-TKIP. 2. Abre en el navegador la página de configuración del router. 3. Configura tal y como se describió en el Caso práctico 6 el nombre de la red. 4. Accede a la sección de seguridad inalámbrica. 5. Para activar la seguridad WPA personal en puntos de acceso diferentes, hay que seguir pracedimientos muy diferentes. En general en todos ellos y dependiendo de las versiones de los firmware, habrá que activar una opción que pondrá una de las siguientes frases: WPA personal, WPA2 personal o WPA-PSK. El procedimiento en los router Wi-Fi Comtrend y LinkSys es como se indica en las Figuras 6.51 y 6.52. "'1 Ir.1. . ~

·· S 'OUlIt~

Thl. pago . 1I ...... y" " 1. , ."fi~u , . .. ,u,it(I..lu, .. . r'h • .,.;" r... L.A" Inl .~ • •• H u c an ' Ulhonli . , li,n molh.d... lo. Un ; d I!' . n'l'Jpll, n• • p oolly nh.lIl1 " n,vo."' k.yl. rtq" 1r "';111,,, n. t.-., '" .nd. p., If( lh •• n' 'Ypli on .lrtn ; th CII ,k "Appl!" l o ,onU; " ,. l h. n i.. I ... ' " u' it¡ .pllo",.

IwpA.PSK!vI \'/ PA P"·~h " . d li .y;

1.... •........... ..

WPA Cro U? R,I.ty In,,,... I'

Il~oo Seartv rAode:

WPA En,rf pli.n :

I"'' +AES!vI

lIiEP En' lyp U. n

I Oisabled j.... 1

Enay¡tIan AJgorlhns :

I ntP

1.... 1

Per~Kev :

Grcql KeV Renewlll:

Fig. 6.51. WPA en Comtrend.

13600

l aeconds

Fig. 6.52. WPA en LinkSys.

Teniendo en cuenta que nuestra tarjeta 2200BG solo es compatible con WPA, tendremos que deshabilitar la opción WPA2 Personal (poner disable en el desplegable) y activar la opción WPA Personal. 6. Escribimos la contraseña pre.compartida en la casilla contraseña tal y como se ve en las Figuras 6.51 y 6.52. Par ejemplo, «$1 Nab74c$b!@1», aunque en un entorno real es muy recomendable utilizar una contraseña mucho más larga. 7.

Activamos como método de encriptación TKIP (Figs. 6.51 y 6.52); si activamos TKIP+AES, estarán ambos disponibles y será también compatible con ambas tarjetas.

8. Por último, podemos modificar cada cuanto tiempo se renovará la contraseña que utilizará cada estación para encriptar la información transmitida al punto de acceso. Esta opción aparece como WPA Graup Rekey interval en Comtrend y Graup key Renewal en LinkSys. Con el valor por defecto de una hora será suficiente.

6


Seguridad activa en redes

6.2. Seguridad WPA empresarial

Si para generar una contraseña

utilizamos 65 caracteres ASCII (255 caracteres) habrá 65255 pasibilidades diferentes. Tu red inalámbrica WPA-PSK

E[ principal inconveniente para todos [os sistemas de seguridad inalámbricos anteriores es que es necesario que todas [as estaciones de trabajo conozcan [a contraseña. Esto es un problema porque cuanta más gente conozca [a contraseña más riesgo hay de que esta contraseña acabe [legando a manos no deseadas. A[gunos de [os riesgos son [os siguientes: •

Pérdida de equipos: si uno de [as estaciones de trabajo que habitualmente se conecta a [a red inalámbrica (por ejemplo un portátil o una PDA) se perdiera sería muy sencillo que otra persona pudiera descubrir [a contraseña que tiene configurado e[ sistema operativo con programas como por ejemplo Wire[essKeyView.

Ingeniería social: [os propios usuarios podrían facilitar esa informacián siendo víctimas de ingeniería social, por ejemplo a través de una [[amada te[efánica. También es posible que [a faciliten a un conocido (conscientes de [o que están haciendo).

Dificu[tad de cambio de contraseña: puesto que [a contraseña es utilizada por muchos equipos, no se puede cambiar con cierta frecuencia ya que habría también que reconfigurar estos equipos.

será segura siempre que utilices una contraseño muy largo y esto

no incluya palabras de diccionario.

Estos inconvenientes son derivados del hecho de que en [as anteriores configuraciones todas [as estaciones comparten [a contraseña Wi-Fi (ya sea WEP o WPA). La estructura necesaria para poder utilizar [a arquitectura WPA empresarial es [a que se muestra en [a Figura 6.53.

LAN Aouter Wi~Fi

(Autentificador) Servidor Aadius (Servidor de autenticación)

Internet

Estación (Peticionario)

Fig. 6.53. Esquema WPA empresarial. E[ estándar B02.1x es un estándar que se diseñá para proporcionar autentificación en e[ nivel de enlace. Por tanto no es algo específico de seguridad Wi-Fi, también puede utilizarse en redes cableadas. Según especifica e[ estándar B02.1x se definen tres e[ementos:

E[ peticionario: es [a estación de trabajo, que está intentando acceder a [a red (en nuestro caso Wi-Fi).

E[ autenticador: es e[ elemento encargado de permitir e[ acceso o no a un peticionario. En nuestro caso es e[ punto de acceso.

E[ servidor de autenticación: es e[ encargado de comprobar [a identidad del peticionario y permitir o negar e[ acceso, informando a[ autenticador.

. . Actividades 25. Descárgate e[ programa Wire[essKeyView y ejecúta[a en [a estación de trabajo que has conectado a[ punto de acceso, para conseguir [a contraseña.


Seguridad activa en redes

_ _ _ _ _ _ _ _ _ _,..:,C~ aso ¡:»ráctico 10

pi

Seguridad WPA empresarial Instalar un servidor Radius, configurar el punto de acceso para que utilice WPA empresarial y configurar un cliente para utilizar la red Wi-Fi. Como ya hemos visto en la Figura 6.53, tenemos que tener los siguientes elementos: •

Un servidor Radius que estará conectado a la red cableada, que en nuestro caso será un Ubuntu sobre el que instalaremos la aplicación freeradius.

Un punto de acceso que configuraremos para utilizar WPA empresarial.

y una estación inalámbrica, para lo que utilizaremos un equipo con Windows 7 instalado (también puedes utilizar Windows XP o Windows Vista).

Comenzoremos instalando el servidor Radius

1. Conexiones físicas necesarias. Lo más habitual es tener conectado el servidar Radius a la red cableada en la que está conectado el punto de acceso. Si estamos utilizando un router inalámbrico (Fig. 6.54) conectamos el equipo que utilizaremos como servidor Radius directamente al router. También conectamos la red de clase en el router para que podamos tener salida a Internet a través de la red del instituto.

Router inalámbrico 192.168.1.100

Radius 192.168.1.10

Estación 192.168.1.101

Router instituto 192.168.1.1

Internet

Fig. 6.54. Esquema WPA empresarial y Radius en el aula.

2. Configuraciones IP. Todos los equipos tendrán que estar en la misma red IP. Es recomendable que para seguir este caso práctico repitas el esquema de la Figura 6.54 en tu cuaderno poniendo las direcciones IP de tu Aula.

3. Instalacián de Freeradius. Freeradius es un software que incluye un servidor Radius gratuito. Instalamos Freeradius en nuestra servidor Radius de clase (debe tener instalado Ubuntu) dando doble c1ic sobre el paquete software de Debian que nos praporcionará el profesor.

4. Configuración de los usuarios de Radius: Los usuarios que utilizando una estación inalámbrica quieran conectarse a la red, tendrán que tener un usuario configurado en el servidar Radius, y si no, no podrán acceder. Los usuarios en el servidor Radius se configuran en el fichera /etc/freeradius/ users. Es un fichero de texto plano que podemos editar por ejemplo con gedit (sudo gedit /etc/freeradius/users). Dentra observaras que hay cuatro usuarios ya definidos, que son macarena, virginia, fernando y gustavo. Para definir nuevos usuarios tendrás que seguir el siguiente formato:

NombreUsuario Cleartext-Password := «ContraseñaUsuario». (Cantinúa)

6


Seguri dad activa en redes

-------------------------------

q

Casa p.t::r.::á:::; ct:::ic:::a:..l.:.:0::...._ _ _ _ _ _ _ _ _ _ _ _ _~_ _ _ _ _____j

(Continuación)

5. Configuración de los clientes del servidor Radius. Los clientes del servidor Radius son los elementos de la red que solicitan a los usuarios que se autentiquen. Es decir en nuestro caso un cliente del servidor Radius es nuestro punto de acceso. Cada cliente tendrá que conocer una clave que también tiene que conocer el servidor Radius para poder comunicarse con este. Los clientes del servidor Radius se configuran en el fichero /etc/freeradius/ clients.conf. También es un fichero de texto así que podemos abrirlo con gedit (sudo gedit /etc/freeradius/clients.conf). En este fichero ya hay definido un cliente que es de la IP 192.168.1.100 (siguiendo el esquema de la Fig. 6.54). Modifica la IP 192.168.1.1 00 par la que tenga el punto de acceso en tu esquema. Como ves la contraseña es «SiTouD>.

6. Cuando hayamos terminado la configuración de Radius, iniciamos el servicio con el comando /etc/init.d/freeradius start. Configuración del punto de acceso:

7. Accedemos a través del navegador a la configuración de seguridad inalámbrica del punto de acceso. V"" ,,, ,, SoW"'t 1hi, •• ; .... "", • • ," <lnfi l "" .. ' "noy h""" • • '"" ... .. '.u LA."'n" d. .. Y. ""n " ,, ~"

n. ...... ,.Ih. nti, ' ~ ' n "' ...... " ,,,,,., ' ot, .n ""' . n. ".<of, ...,.Ut"• no ...... " " .u'".nti .." .... ,... "".. n....... n"'."ly lh • •"""';...... n.1h c ,;' .·~ P f'

l.

... ' . .. n~;""th ..." '... .. ' "nly . Flj. "'

1I. ......... Ih. "" • • U• • •

\·"P" G,, "p~ '''y'n'

......'

AAO,u. ~.I:?, , p .. .." ..

1 WPAMflA2

l""""' lvl

WPA2 Enlerprlsll

1 Oisllble

fncrypUon AlgorlM\$ :

1TKI'

j......

[n::1P

1

1... 1

1Dil abl ed l.... 1

Fig. 6.55 . Comtrend WPA empresarial.

1"

1

1'" 1

l. ~ . ~ .§:::]

RAOIUS 5erver Atklfess :11 92

I ,ul~

WPAEn , ,.,..U . n

Enlerprl::1I ¡"

Sea. l y r.1ode: WPA Enlerpris e

,, ~ ., .. .

RADIl/SPOft :

11 812 1

Enlerpfi:e Ile y : Key Renewlll li'neoul :

l!oo

@lslT~.~~~j:::? 1 ceconds

Fig. 6.56. UnkSys WPA empresarial.

8. Seleccionamos la seguridad WPA empresarial. 9. Ponemos la dirección IP de nuestro servidar Radius (según la Fig. 6.54 es 192.168.1.10), el puerta (1812) y la clave que hemos puesto para el punto de acceso en el servidor RADIUS (SiTour) para los router inalámbricos Comtrend y linkSYS (Figs. 6.55 y 6.56). Configuración del cliente:

__ -_..-...... .....

.. <::::..~.'''- '' ,-.. , - .. -

......

l~

0 '5

~

...

,-~-

)(

Q

. _.-... - -- - - - ..- __ :::;::-..:::=::::: ,:"'_ .. _ - - ....... .........

_ . _ --~;;;-.;.."' -= ._ =~~ .

~

( _ . ~-,, _

.,.,

Fig. 6.57. Redes y recursos en Windows 7.

__

lQo

l

_

¡¡¡

me':

1Iíií ·'--,, · ~· _ n. .

~

.rid _ _ _ _

.....

~

_

(~

...... oode>on ol _

I'ndododoodolodctocb

:! .

.. m j----. ,-~

1"I>o<<Ior-II

W.QI.!J

~

... -1~)

"" _ _

C......

. ~

do_....................

f)

Fig. 6 .58. Administrar redes inalámbricas W7.

(Continúo)

J


Seguridad activa en redes

Caso práctico 10

9

IContinuación) 10. Dentro del Centro de redes y recursos compartidos seleccionamos en el menú de la izquierda la opción Administrar redes inalámbricas (Fig. 6.57) yen la ventana Administrar redes inalámbricas pulsamos sobre Agregar para añadir una nueva red inalámbrica (Fig. 6.58).

11. Seleccionamos la opción Crear un perfil de red manualmente (Fig. 6.59) para poder elegir la configuración de la red inalámbrica a la que nos conectaremos. En la siguiente pantalla (Fig. 6.60) introduciremos los datos de la red Wi-Fi a la que queremos conectarnos: • Nombre de la red: JUPITER. • Tipo de seguridad: WPA empresarial. • Tipo de cifrado: TKIP (como puedes ver en las Figs. 6.55 y 6.56) . Después pulsamos Siguiente y en la ventana que aparece seleccionamos la opción Cambiar la configuración de la conexión para poder personalizar el resto de los parámetros de la conexión.

~--_

_..

tfI <- _ · _ .... -

...

-.... ........

_---,

...•.. c..._ r.. _ _ ...... ...... ... _ , . .. _ _ ..... _ . _

r (....-.. __ 10I00I ... _

Fig. 6.59. Asistente nueva red inalómbrico W7.

... _

""'""- . 11> ~ r"*"",,, ,orIo.,.lo";"di""'I.Me,

'-----

-

,

Fig. 6.60. Conectar manuolmente.

12. En la ventana Propiedades de la red inalómbrica (Fig. 6.61) seleccionamos la pestaña Seguridad. Los datos de configuración que aparecen en esta ventana son los que introdujimos antes, por lo que deberían estar todos correctos. Una vez comprabado esto pulsamos sobre el botón Configuración.

--1

.

"' .. ..-

1_

O!J

1JoI""''''

1""

O!J

, _..

..- 0!J 1IE5C:]

g----_ -.. _- . ._ ..

r

_ •• >'.0"' ......

·~ ~OO .. -~c

a _ _ ", a .. mQlo!INI a _ ___ a __ _ _ _ a .. ........

"'

J

C _ c . t _ _ ........

" _.__1'11 .. r ~_,

1....._ fJ

••

-'

.....

~_,_

( ...... _

,f' :.;"

a u;¡¡:¡¡;:::¡

Fig . 6.63. Prop EAP MSCHAPv2 W7.

_II. __ . . .. .

r _ _ .. _ ._

r-.. __ ..

Fig. .61. Propieda es de Red W7.

M@!ffi§!f§J,ji4Li·ltj r.ii '

1

....!_"..... _ !J"I.'I) ",

..

)--, r ......."'_ .. __

.. - l~.-I

Flg. 6.62. Propledodes

EAP W7.

(Continúa)

'-------------------------------~

6


Seguridad activa en redes

~ Caso "ráctico 1O {Continuación}

13. En la ventana Propiedades de EAP protegido (Fig . 6.62) deseleccianamos la opción Validar un certificado de servidor. Esta opción es la que permite al cliente validar un certificado del servidor antes de conectarse con él para comprabar la identidad del servidor. Para poder utilizar esta opción habría que instalar en esta estación inalámbrica el certificado del servidor, que se encuentra en /etc/freeradius/certs del disco del servidor.

14. En la misma ventana (Fig. 6.62) pulsamos sobre el batán Configurar que aparece ollado del protocolo EAP-MSCHAP-v2, que es el método de autenticacián que se usará entre el servidor Radius y este equipo.

15. En la ventana propiedades EAP Mschapv2 (Fig. 6 .63) deseleccionamos la opción para que no utilice los usuarios de Windows, sino que solicite un usuario y contraseño al conectarse. Como en la ven tano Propiedades de la red ina{ómbrica teníamos configurado que recuerde las credenciales, una vez que introduzcamos unas credenciales válidas, na nos las solicitará más.

16. Aceptamos todas las ventanas, y en breve el sistema nos solicitará una credencial, es decir, un nombre de usuario y contraseña vá lidos en el servidor (Fig. 6.64). Introduciremos uno de los usuarios que están configurados en el fichera <<users» del servidor Radius y ya tenemos conexián a la red inalámbrica. Seguridad de WlndDWS

x

Autentlcacl6n dI! red Escriba sus aedendales dI!! usuMio

B.

Fig. 6.64. Aulenlicación de Red.

Si tuviéramos un dominio en el que estuvieran incluidos todos

los equipos de la red, tendríamos la autenticación centralizada (todos los usuarios y contraseñas estarían en el directorio activo).

De este modo podríamos con-

figurar el servidor Radius para que utilizara estos usuarios y así los usuarios no tendrían que utilizar un nombre de usuario y contraseña¡ sino que el sistema operativo lo gestionaría de

forma transparente con las credenciales del inicio de sesión.

76

Utilizando la seguridad WPA empresarial se aumenta la seguridad y la flexibilidad, ya que podemos modificar la contraseña de un usuario o cancelarlo sin que esto afecte al resto. Esto supone una notable mejora con respecto a WPA-PSK en redes con muchos usuarios, como por ejemplo podría ser tu instituto (si compartiera una red inalámbrica para todos) o en una universidad.

~ Actividades 26. Configura el servidor RADIUS paro que utilice además de los usuarios vi rginia, macarena, Fernando y gustavo otros dos usuarios que tú elijas. Comprueba que lo has hecho correctamente conectando a la red inalámbrica con esos usuarios.

27. Conecta un equipo con Linux a la red inalámbrica . 28. ¿Podría una PDA con Windows Mobile 6 Profesional conectarse a una red WPA empresarial?

29. ¿Qué tipo de seguridad pondrías en una red inalámbrica para una empresa como SiTour, descrita en la Actividad 11, en la que hay Ires trabajadores?


Seguridad activa en redes

6~

Comllrueba tu a¡:>rendizaje " Asegurar la privacidad de la información transmitida en redes informáticas describiendo vulnerabilidades e instalando software específico

Aplicar mecanismos de seguridad activa describiendo sus característicos y relacionándolas con los necesidades de uso del sistema informático

1. Busca información sobre otros protocolos seguros y rea-

8. Entre los servicios de Windows existe uno que ofrece almacenamiento protegido para información confidencial. Para aumentar la seguridad de tu equipo configúralo para que se inicie automáticamente al arrancar el equipo.

liza una tabla donde incluyas el nombre del protocolo, su uso y el puerto en el que trabaja, incluye también los protocolos HTTPS y SSH. 2. Para conectarnos a un servidar SSH necesitamos utilizar un cliente ssh. Existen numerosos programas que nos permiten realizar esta conexión, muchos de los cuales tienen versiones portables. Busca información sobre diferentes clientes para conectarte con un servidor ssh y sus características. 3. SiCon está a punto de firmar un contrato que le reportará importantes beneficios económicos con una conocida multinacional de la Construcción; se celebra una reunión en un hotel del centro, a cierta distancia de las oficinas de ambas empresas. A última hora y como condición previa a la firma, la multinacional solicita ver las cuentas de SiCon del último año. Estas cuentas están almacenadas en un servidor ssh en la sede de SiCon y eres una de las pocas personas que tiene acceso a él. Indica qué procedimiento seguirías para acceder al servidor si únicamente dispones de un portátil y la conexión Wi-Fi del hotel. 4. SiCon ha decidido ofrecer a uno de sus empleados la opción de trabajar desde casa (teletrabajo). Para realizar las primeras pruebas hasta que establezcan un sistema de conexión remota definitiva van a establecer una VPN utilizando el sistema operativo Windows. Indica los pasos para configurar la VPN en tu equipo para conectarte con el servidor de SiCon, cuya dirección IP es 72.123.0.l. 5. Hamachi nos permite, como sabes, crear VPN entre equipos Windows y Linux. Utilizando un equipo Linux crea una nueva red, que llamarás SiCon, cuya contraseña es redSiCon. 6. Conecta un equipo Windows a la nueva red SiCon creada y comprueba que hay conectividad entre ambos equipos. 7.

Trabajando por parejas, realiza una lista con las ventajas y desventajas que tendría para SiCon crear su VPN con el servicio de Windows o utilizar software específico, si lo que desea es promover el teletrabajo, de modo que el número de empleados que trabaja desde sus domicilios aumente progresivamente.

9. Configura una red inalámbrica para tu clase con seguridad WPA-PSK. Elige una contraseña segura tú mismo. Analiza los riesgos que corre tu red al comunicar a los usuarios (tus compañeros) la contraseña que has elegido. 10. ¿Qué tipo de red Wi-Fi recomendarías al hotel de la Actividad 3 del Comprueba tu aprendizaje, si el hotel te dice que muchas empresas tienen reuniones importantes en sus salas? 11. La empresa SiCon quiere desplegar una red 802.llg con seguridad WPA-personal en sus oficinas, que tienen una dimensión de 200 m'. Se ha comprobado que con un solo punto de acceso no es suficiente, así que colocarán dos puntos de acceso. ¿Qué configuración tendrán que tener los puntos de acceso para que las estaciones inalámbricas puedan cambiar de un punto de acceso a otro de forma transparente? 12. Poneros de acuerdo dos grupos (con dos puntos de acceso entre los dos grupos) en la configuración del apartado anterior y llevarla a cabo en vuestros puntos de acceso. Comprobad el resultado. 13. La empresa SiMotor se ha trasladado a una nave industrial que no dispone de instalación de red. Para desempeñar su trabajo tienen portátiles repartidos a lo largo de la nave, que tienen que estar conectados en red para que pueda funcionar la aplicación que utilizan. Necesitan que cada usuario tenga una cuenta de conexión Wi-Fi diferente porque tienen una ratación de personal alta. Construye una red inalámbrica de demostración con dos usuarios y configura dos equipos que utilicen la red con dichos usuarios. 14. En la nave de SiMotor parece que la señal no llega a todos los equipos. Prapones utilizar dos puntos de acceso estratégicamente colocados pero que ambos sean la misma red inalámbrica y por supuesto utilicen el mismo servidor Radius. El gerente de SiMotor no acaba de creer que todo vaya a funcionar, así que pide una nueva demostración. Junto a otro grupo de la clase (juntando dos puntos de acceso) haced la demostración de que todo funciona correctamente. 15. Investiga sobre los hotspot. ¿Crees que sería útil poro el hotel de las Actividades 3 y 8? Haz un gráfico de cómo quedaría la red.


,

~~""潞~~~.d~ad~a~cI~iva~e~n~red~e~s ~

Segun

=========

____________

HTIPS

.. -,-{-~

. . .. -

. - - , - -------:-.

SSH

r-!

r~

-......

.

.. .. .......~ ~

-'

Red privada virtual

Sistemas de defecci贸n de intrusos

-

J

J

Arranque de servicios

802.11 0

802.11b

802.11 g

802.11 n

WEP

. ... WPA

;-[

Personal

Empresarial


lUl ~ fid(隆)J(d

Seguridad de alto nivel en redes: cortafuegos

En esta unidad aprenderemas a:

y

estudiaremos:

o Las funciones principales de los cortafuegos. o Los tipos de cortafuegos que .existen. o Las arquitecturas de cortafuegos. o El filtrado de paquetes y reglas de filtrado. o La instalaci贸n y utilizaci贸n de cortafuegos. o

Los lag s y registros de actividad.

o

Instalar un cortafuegos en un equipa a servidor.

o

Configurar las reglas de seguridad a aplicar en un cortafuegos.

o

Identificar la necesidad de inventariar y controlar los servicios de red.


7

Seguridad de alto nivel en redes: cortafuegos

1. Seguridad de alto nivel Zona desmilitarizada (DMZI. Red a islada que posee aplicaciones disponibles desde el exterior. Actúa como zona de seguridad

intermedia entre la red local y la red externa.

Durante este curso hemos hablado en varias ocasiones sobre los objetivos principales que se buscan con la seguridad informática, especialmente de la integridad, la confidencialidad, la disponibilidad y el no repudio de la información. Hasta ahora, nos hemos centrado en cómo podemos proteger nuestros equipos y mejorar la seguridad de la información que contienen. En las dos próximas unidades iremos un poco más lejos, y habláremos de dos mecanismos de seguridad de alto nivel: los proxys, a los que dedicaremos la siguiente unidad, y los cortafuegos, que trataremos en esta.

La seguridad de alto nivel persigue reducir al mínimo posible los elementos que pueden amenazar la confidencialidad, integridad y disponibilidad de la información. Para ello, se centra en actuar en un menor número de elementos sobre los que se mantiene un control más estricto, es decir, manteniendo un equipo intermedio que gestione ciertos parámetros de seguridad, nos será posible establecer unas medidas algo más suaves en los equipos que constituyen la red de una empresa, entre los cuales se desarrolla el trabajo. La seguridad de alto nivel está orientada al trabajo con servidores y redes de comunicaciones, especialmente Internet, que es, en definitiva, la red más insegura de cuantas podamos utilizar. Es fundamental tomar las decisiones técnicas que más convengan a las necesidades de la red con la que estemos trabajando, tanto a nivel de hardware como de software, así como establecer distintos niveles de seguridad, principalmente centrados en quién y cuándo podrá acceder a un servicio concreto, pero hay dos elementos imprescindibles que han combinarse, que son, como ya se ha mencionado, los cortafuegos y los proxys. Una estructura típica que mantienen un gran número de empresas es la que ves en la Figura 7.1, donde se reflejan estos dos mecanismos, que sirven como barrera ante posibles intrusos. La configuración de una red doméstica, como la que habitualmente tienes en casa, es mucho más simple, como puedes ver en la Figura 7.2, donde el router ejerce como cortafuegos.

Modem-router

Internet

,----,=,----d Rcuter

~I

Servidor Web

Fig. 7.1. Estructura de red empresarial.

Red doméstica

Modem-Router

Internet

Firewal1

Fig. 7.2. Estructura básica de

una

red con cortafuegos.


Seguridad de alto nivel en redes: cortafuegos

7

2. Cortafuegos: qué son y para qué sirven Los cortafuegos, también conocidos por su nombre en inglés Firewafl (literalmente «mura de fuego»), son uno de los principales mecanismos empleados para mantener la seguridad de alto nivel. El término original hace referencia a los muras a prueba de fuego, utilizados para evitar que se extienda un incendio. En el mundo de la seguridad informática, el fuego será cualquier amenaza que pueda provenir del exterior de nuestra red o trate de salir del interior de ella. Como recordarás, en la primera unidad del libro definíamos un cortafuegos como un sistema que audita y evita los intentos de conexián no deseados tanto desde los equipos hacia la red como desde la red hacia los equipos. Concretando un poco más, conviene aclarar que un cortafuegos puede ser tanto un dispositivo hardware como software, es decir, podemos tener una máquina diseñada específicamente paro esta funcián o utilizar una aplicación que se instala en uno de los equipos conectados a la red. En la Figura 7.3 puedes ver la estructura de una red básica donde se ha instalado un equipo que actúa como cortafuegos, ocupándose de filtrar todo aquello que sale y entra a la red de área local.

Servidores de la organización accesibles desde el exterior

Internet Equipos de la Red Local

Fig. 7.3 . Arquitectura Screened Roufer.

El cortafuego se ocupa de filtrar los paquetes a partir de unas reglas, generalmente definidas por el administrador de la red, teniendo en cuenta las direcciones IP origen o destino y el servicio de red con el que tienen relacián. A lo largo del tema veremos cómo se realiza este filtrado de paquetes y el procedimiento para establecer las reglas para realizarlo. La función primaria de un cortafuegos es delimitar zonas con distintos niveles de seguridad. En su implementación más sencilla (screened router) se pueden identificar dos zonas, una zona segura, situada tras el cortafuegos,

y una zona no segura, que corres-

ponden a Internet, tal como vemos en la Figura 7.2, donde el módem actúa como delimitador entre zonas. Los módems que los ISP proporcionan a los usuarios que controtan con ellos la conexión a Internet incluyen actualmente los elementos necesarios para bloquear, por ejemplo, las conexiones entrantes a través de determinados puertos, aunque es posible establecer niveles mós detallados, como el que se muestra en la Figura 7.3. En esta figura vemos que los servidores de la organización que son accesibles desde el exterior no pertenecen a ninguna de estas dos zonas, sino que se sitúan en una zona

propia, denominada zona desmilitarizada, que se gestiona con unas reglas diferentes a las que se aplican para los equipos de la LAN.

Actividades ~ 1. Estudia la instalación de la red local disponible en tu clase e identifica los

di~

rentes equipos (PC, routers, etc.). Realiza un esquema detallado de la misma utilizando una herramienta de diseño como Packet Tracer.

2. Realiza una tabla con las principales diferencias entre los cortafuegos hardware y software.

Bastión. Máquina dotada sistemas de seguridad pero vulnerable a ataques ya que está abierta a Internet, actúa como

punto de contacto de la red interna con el exterior.


~/7

Seguridad de a lto nivel en redes: cortafuegos

----~----------------~----------------

~ Caso práctico 1 Activoción del Cortafuegos integrado en Windaws Vista 1. Accede a l pa nel de con trol pulsa ndo sobre la tecla de Inicio de Windows y selecc iona el cen tro de seguridad, que a parece señalado con un círculo en rojo en la Figu ra 7.4.

Siempre que usamos un equipo debemos dotarlo de todas las medidas de seguridad posibles, como un cortafuegos, bien sea el q ue integra el sistema operativo u otro que deseemos utiliza r.

...... bl 19

fi

..!;\l

~.~'"

h. td.o ".

d. ~.

~ <_o ~ ~ .f _

il """".. (Ji!

h"n .... y

.;,...,

• 1It<l<d",

e_DJo

" .~.d

~~~ ® ~~~

~

¡ ...."".. ...

8.,. . .....,....y ....... loIicio

~ <-

~

( ....u.de

.....;.

O

C....".d .

q¡ cm"1"" ut.. d.hl:ko; PC

~.,

~.

~ d.

~-

"''1°

1A

I1É!J f ...... 1 ..... •

...........

, .. _&lid.

fu"" ..

"~-

~

11m• ....."...

. dtnOniw . ..... .

Fig. 7.4. Panel de control: centro de seguridad.

2. En el centro de seguridad d ispones de una serie de mecan ismos que te facilita rán proteger tu equ ipo, entre ellos el cortafuegos integrado en el sistema operativo. Accede 01Firewall de W indow s a través del menú que verás en el lateral izquierdo, se mostrará una pantalla similar a la que puedes ver en la Fig ura 7.5.

3. Proc ede a activar el cortafuegos pulsa ndo sobre ca mbia r la configu ra cián, te a pa recerá una panta lla como la que muestra en la Figura 7.6, donde debes activarlo. Después p ulsa Aplicar y Acepta r y comprueba que el cor tafuegos aparece como activado.

Nota: También puedes acceder directamente al cortafuegos desde el pa nel de control (Fig. 7.4) . íI Conf.gunlci6n de Firew::,;;"""' ;;:;¡Wi¡;.""""' :=: - - - - - Firewall de Windows r;,...,..1I de WindllW:l putdc OYU'¡1l • prevenir que p;" ln inlcrmllicgi o ,Qftwl fC m.Jinttfl cionl do cbtrng.n 1« ..0 1I .quipo . I' ... ~ de Inlfmo1 O l. rrd. Fi'ewal de \'f~ aVlda .. ¡rDIrgor .... ~ aI~ lJlt UIUlIflcs sin

El tquipo no Ini prote gido: aC1Jn firl l'llll d, Wmdowl

F"onw.ll d. Wind"""nc~ l.wldn.

I

Ub iu ciCn d.

&

1m

~

aulnfU..oon o SOftwllf t IntnnetDdeln'l , ed .

$ (')

~ RItd pUlI' ,.

'RWIU de vr...d....... no es1iu\.I",:lo ',

;C.fI".l.... ' l.

c.llfogu" ci¿n ,« cmmdl.d, pi" pctcgtl ti

<cnfin" ,,,¡Ón th ~rg

Adhr.Ido

maIn~ Dbl2n¡¡llf'l aazso al ~

a través de

(~m~dol

Esta anfr"uadlin no permi~ lJlt ~ crigI:n tlItc:rnD se CDrIHU:

al eq.ipo, t:m:p1U1Iq.II!b ~en I.1Iidu ~

Sdta:JDnt .,.1a -*In WIInb lO! mnec:~.l 1n'I red ni IbiraOOnts_M'(¡O&'&S. Se crril:r. . tad.lrslMu~ y "'~¡'~.I..s;rawrdo"ew,.dt\"""""~b

"'1,,1,,0. ,("" .. , l. ' r.nfmy •• ciCn ' Prcm . nrlo ;!_Z

~

@

OH;o~do (no ~cnda601 E\'i~U$i'If e ta (Dl~1I<IÓf\. SI~.l Fí'twlll de \'fnlclws, e~ ~ _á lMs \'-"'erllble lIac:t.tsoS l'DautIlriLxIDs D a SOftwllft !Nlro~.

Fig. 7.5. Firewafl de Windaws.

Fig. 7.6. Activación de Cortafuegos. (Continú a)

82


_ _ _7~ ~

_

_

Seguridad de alta nivel en redes: cortafuegos

_

Casa práctico 1

9

(Continuación)

4. Para personalizar tu cortafuegos puedes acceder a su configuración como hemos visto en el punto 3 o otro· vés del firewall de Windows con configuración avan-

zada que encontrarás en Panel de control> Herramientas administrativas, que puedes ver en la Figura 7.7. Allí podrás configurar más opciones .

. Ii Fi rewaU de

~da

Wnd:lI'rI.

WndcnCOl'1 ~5d av~teda~l.nam8'¡'Ol'",~d

Firewan de Window. con .egu ... ""'

~J

II-;====================E ~ Inlradut ciún

Poñl\ do domInio

'?J

Imp tlrtar directiva ...

E:xportardirectiva". RCll i urar predderminado!

v"

~!IJ di! WnóoWlI a5lii l!ctiV~o .

@

6) '" """"'"" ....,"'~ m· _;dM= ,"" ,,;. ~,., """"odM.1 I;:J @ ~~es <lJl!noccncidanconln1rerjaer.inpfllml.idal.

Actual i,ar

PIIJpiedade¡

~ Ayuda

Perfil privado

g

FrewaJ de Wnóo ..\"U:I~ ohI:sadiVado.

El porfil público IISt,; activo.

@ FreYraJ di! Wndoll"1 a'llá d~ado . ~

Propie:!ad~ de Fire'NaU de \·/indo-....li

'"

Fig . 7.7. Firewall de Window5 con seguridad avanzada.

Además del filtrado de paquetes, el uso del cortafuegos nos ofrece una serie de servicios adicionales muy útiles par prateger el buen uso de nuestra red y nuestras servidores, que tienes en la Tabla 7.l.

Bloqueo de tráfico no

Restringe servicios de Internet, bloqueando páginas Web o el trá-

autorizado

fico proveniente de un rango de direcciones IP.

Ocultación de equipos de lo lAN

Oculta equipos para que no sean detectados por posibles ata~ cantes.

Registro del tráfico

Dado que el cortafuegos se instala en la frontera entre la red interna y la externa, detecta todo el tráfico que entra y sale de la red, por lo que se puede almacenar su actividad.

Redirección de tráfico entrante

Redirige el tráfico entrante a la organización a la zona DMZ, evi~

tondo que llegue a los equipos locales. Limitación de ancho de banda

Limita el ancho de banda utilizado por un protocolo o un tipo de tráfico

Seguimiento de tráfico y

Genera estadísticas con datos sobre el ancho de banda consu~ mido, permitiendo detectar, por ejemplo, si desde un determinado equipo se está descargando un alto volumen de datos proceden~

monitorización de ataques

tes de Internet. Monitoriza los ataques desde el exterior para tomar medidas como el bloqueo del análisis de puertos para evitar los ataques

más habituales. Tabla 7.1 . Otras funciones de un cortafuegos.


~/ J L_

_ _ _ __

Seguridad de alfo nivel en redes: cortafuegos

3. Tipos de cortafuegos Existen dos criterios de clasificación principales de los cortafuegos, uno basado en la tecnología implementada y otro en su ubicación dentro del sistema.

e

3.1. Según su ubicación

La ubicación de los cortafuegos va intrínsecamente relacionada con el sistema que se quiere proteger. Podemos distinguir entre dos tipos de cortafuegos en función de donde se localicen: •

Cortafuegos de sistema o personales.

Cortafuegos de subredes. Rodlazo dI! I¡Mico no autorizado

''9it

,~_ _~ .. . 1

" ll~~~~

~

1

Trafico aulorilac/o

1

-~

Fig. 7.8. Cortafuegos persono/.

Fig. 7.9. Cortafuegos de Subred.

Los cortafuegos de sistema o personales restringen la comunicación no autorizada can un equipo, actuando como un sistema de defensa perimetral, mientras que los cortafue· gas de subredes protegen toda una subred en conjunto (actuando como único punto de entrada).

o

Cortafuegos personales

Actualmente se han extendido mucho las conexiones de banda ancha en los hogares y quienes las utilizan también necesitan proteger sus equipos y datos. Los cortafuegos personales surgen como respuesta a la necesidad de proteger los equi· pos pertenecientes a redes privadas porticulares, por ejemplo, las que se instalan en nuestros domicilios para permitirnos conectarnos a Internet. Este tipo de cortafuegos se instala en el equipo del usuario y proporciona cinco funcio· nes principales:

Los sistemas Windows Server también incorporan un cortafuegos con una estética y fun-

cionalidades similares a los de

Windows XP o Vista. Poro que sea eficaz debes mantener siempre tanto el sistema operativo como el propio cortafuegos actualizados.

Permite supervisar todas las conexiones con el exterior, incluyendo los accesos a servicios de Internet.

Permiten monitorizar los programas locales que tratan de acceder a Internet para que el usuario pueda decidir si permite que lo hagan o no, como vamos a hacer en el Caso práctico 2.

Proporciona mecanismos para bloquear los posibles intentos de intrusión al equipo u otros ataques (como el ataque de denegación de servicio) .realizados desde Internet.

Realiza un registro de todas las conexiones realizadas desde el equipo.

Algunos de ellos incorporan filtros anti·spam, así como detección de virus u otros códigos que pueden ser perjudiciales para el equipo.

Este tipo de cortafuegos podían adquirirse como programas individuales cuando comen· zaron su andadura, como ZoneAlarm, aunque en la actualidad lo más habitual es que se integren en un paquete de seguridad, que incluya funcionalidades de antivirus, como los proporcionados por Panda o McAfee, o integrados en los propios sistemas operati· vos, como es el caso del cortafuegos que incorpora Windows XP o Windows Vista, con el que hemos realizado el Caso práctico l.


Seguridad de alto nivel en redes: cortafuegos

7

Casa práctico 2

9

Permitir el acceso a Internet de una aplicación a través del cortafuegos de Windows Vista En ocasiones instalamos aplicaciones o través de los cuales vamos o proceder o recibir paquetes de datos, como los clientes FTP, y poro su correcto funcionamiento es necesario autorizar el intercambio. En este caso vamos a proceder a autorizar al cliente FTP FileZilla, que es de libre distribución.

1. Instala FileZilla en tu equipo, puedes descargarlo desde

http://filezilla-project.org/.

2. Accede al panel cortafuegos de Windows, tal y como hiciste en el Caso próctico 1. El cortafuegos debe estar activado paro poder configurar las excepciones de seguridad, como, en el caso que nos ocupa, permitir el acceso de una aplicación a Internet. 3. Pulsa en la opción Permitir un programa a través del firewall de Windows 1 que aparece en el menú de la izquierda o directamente en Cambiar lo configuración 2 , (Fig. 7.10). Ic::rl l!l li!iQ!l '

Firewall de Windows F"~ ..... ,II

deWindaw> pu~. oyud.u i ptevenil qu e pi,.!~, info,.","ico, o ,oltw.,. m. lintcncion.ldo obtrng l n . tcaO II lI"<¡uipo. ''''''6 d.lntcmeto ~ r~. ¡ t emo me ~,b un lit,wlll .. P"tc9f' , I . ,l\'~

<1 FilhOaD de \'(lIIdows es t~ ~d.w:lo

ol

proteger el equipo

L. , con";""es d. cntr.d. que no 1ie"I... nirogun. =cp<:ión ",Lin bl"'lu ... dn. Mo,I,., unl notifi c. ción <UlndO un P,09 " ml ",t~ bloquc.do:

SI Red publk.

Fig. 7.10. ConFiguración del Firewoll de Windows Vis/a.

4. Se obre una nueva ventana con tres pestañas. En la pestaña Excepciones, que se muestra en la Figura 7.11, podemos abrir los puertos concretos de una aplicación o autorizar las conexiones de un progroma, como haremos en este caso, pulsando en Agregar programa ...

5. Selecciona el programa poro el cual queremos autorizar el poso de paquetes, y pulso Aceptar.

Pn>o7 ...... l1JOI"to .,.m".....t.I 0""*" .,....;.,,....,\.1 "" ""..... dt\llncl..,. O .......... .,....,.;"r"""\.1 dt~~. do.....­ o _.....;.,...,..,\.1dt_ O_.,....,.;" ...... \.1dot.r ... _ .....

o ..........

O~a:DI=»\.1do\\'»doM

g:::::::=~:=fohor

1 :1 ~~~;;;;;;;;:;¡¡;;;;;;;;;;:;;;:;;;:;=¡¡;:~:=: ~ I_~. I

Oku,¡, _lJDdo \\........ 0 .........,. ...... \.1 Oc..ctw; doI..-..md<kvm; O~!.J",

1I ~ . .t7.-... I' ~_Il>.·· 1I

Prapcd.odo:s

~ I r..oo.-"IO... 1

'1

Fig. 7. 11 . Agregor programa al Firewol/ de Windows.

I


~7

Seguridad de alto nivel en redes : cortafuegos

o Interfaz. Conexión física y fun· cional entre dos aparatos o sistemas independientes.

Cortafuegos de subredes

los cortafuegos de subredes tienen como objetivo aplicar uno política de seguridad a un grupo de sistemas desde un único punto. Para ello lo primero que debe hacerse es agrupar los sistemas en zonas de seguridad, de modo que se aplique las mismas regla s a los equipos que forman parte de cada zona, y puedan aplicarse distintas reglas a distintas zonas. los cortafuegos se ubican en los interfaces entre zonas, de modo que siempre debe de haber un cortafuegos entre una zona y otro, ya que son los que aplican las reglas de seguridad. En el caso de los cortafuegos de subredes sus principales funciones son:

Si un atacante co nsigue robar tu sesión puede realizar operaciones en tu nombre como, por ejemplo, cambiar tu contraseña de correo.

o

Autarización de servicios (entrantes y salientes).

o

Control de acceso o los servicios basándose en lo identidad del usuario o equipo.

o

Registro y monitorización de accesos o lo red .

El uso de los carta fuegos de subred permite establecer uno protección global, lo que nos permite relajarnos en la protección individual de codo equipo, estableciendo un único punto de implantación de lo política de seguridad. Esto facilita su adminislración y, dado que los ataques se producen sobre un único sitio, hoce más sencilla su vigilancia.

3.2. Según su tecnología Según lo tecnología que utilizan se distinguen cuatro tipos de cortafuegos: cortafuegos a nivel de paquete de dotas, cortafuegos o nivel de circuito, cortafuegos a nivel de apli. cación y cortafuegos transparentes: o

Nivel de aplicación Servi cios de red a aplicaciones

Cortafuegos que actúan a nivel de paquetes de dotas. Este tipo de cortafuegos trabajo a nivel de red de lo pilo de protocolos OSI (Fig . 7.12) y para determinar que paquetes IP debe dejar posar mira tonto las di recciones origen y destino de los mismo como los puertos que se utilizan. Este tipo de cortafuegos es el más sencillo y utilizado, ya que ofrece muy buenos prestaciones y un boja consumo de recursos y ancho de banda. o

Cortafuegos que actúan o nivel de circuitos. Actúa en el nivel de sesión, además de tener en cuento los direcciones IP y los puertos, también miro lo información relativo o lo sesión y los números de secuencio de los paquetes enviados . Se sobe, por tonto, qué paquete se espera recibir en coda instante, por lo que se pueden prevenir ataques como el robo de la sesión.

o

Cortafuegos que actúan como pasarelas de aplicación, en el nivel de aplicación de la pilo de protocolos. Estos cortafuegos analizan todos los paquetes de datos de un determinado servicio en su conjunto, no como paquetes independientes, por lo que son exc lusivos para un servicio. Es necesario uno pasarela de aplicación o gateway por

Nivel de presentación R epresentación de datos

Nivel de sesión Comunicación entre dispositivos de la red

NIvel de transporte Con exión extremo-extremo y fi abilidad de da tos

1, 1:

Nivel de red D eterminación de ru ta e 1P (Direccionamiento lógico)

Nivel de enlace de datos Direccionamiento ffsico (MAC y LLC)

cada servicio, así que consumen más recursos

') o , ,

y

suelen necesitar un

software específico en los equipos de los usuarios. Cortafuegos transparentes. Actúan a nivel de enloce, determinando qué paquetes posan o no en función del resultado de evaluar una serie de reglas. Son indetectables para los atacantes yo que no tienen uno dirección IP.

Nivel tísico Señal y transmisión binaria

Fig. 7.12. Modelo 051.


Seguridad de

0110

nive l en redes : cortafueg os

7

4. Filtrado de paquetes No todos los paquetes de dotas que se envían de un equipo a otro son una amenaza, pera tampoco es necesario que todos ellos lleguen 01 sistema de destino. Esto implica que hay que decidir qué paquetes deben alcanzar su destino y cuáles han de ser descartados. El filtrado de paquetes es la técnica más usada para establecer un cortafuegos y es por ello por lo que le vamos a dedicar una especial atención.

Impoi;\ónt.e

~

Es usual que usar un cortaFuegos ofrezca mayor sensación

de seguridad en una red, pero nunca debe sustituir a otras medidas sino co mplementarlas. Usar un cortafuegos no implica que no sea necesario ocuparse

4.1. Parámetros utilizados para filtrar paquetes Cada paquete IP proporciona en su cabecera informacián que puede utilizarse para determinar qué paquetes pasaran y cuáles serán descartados, como las direcciones origen y destina, a los puertos origen y destino, al protocolo, al tipo de mensaje ICMP y al tamaño del paquete. Un router, por ejemplo, puede comprobar no solo estos campos sino parte del contenido de los datas del paquete, de modo que puede saber la página Web desde la que procede o si el paquete tiene realmente el tamaño que se indica en su cabecera. Un router que permita el filtrado de paquetes podrá ser configurado de uno de las tres siguientes maneras para manejar los paquetes que salen y entran a través de sus interfaces: •

Bloquear todas las conexiones externas, excepto las conexiones SMTP para permitir que el equipo reciba correo electrónico.

Bloquear las conexiones de sistemas considerados no seguros.

Permitir conexiones de correo electrónico, FTP, etc. Pero bloquear otros servicios ¡como TFTP) que se consideren peligrosos.

de mantener la integridad y seguridad en las máquinas de la red interna, ya que si un ata-

cante lograse llegar a acceder a la red automáticamente tendría

el control de dichas máquinas sin necesidad de realizar más acciones.

Para poder llevar a cabo cualquiera de estas tres acciones es necesario tener configuradas una serie de reglas, que se irán consultando, en orden, paro determinar qué paquetes pasan o no.

- - - - - - ~_ _ _ _ _ _ _ _ _ _ _ _...:: C= a s:.:o::.J:;. Rráctico 3

9

Configurar el cortofuegos de Windows Vista paro que permita hacer un ping al equipo El uso del comando ping para determinar si se tiene conectividad con otro equipo es bastante usual, y para que funcione correctamente es necesario permitir las mensajes ICMP ¡¡nternet Control Message Protoco/) de echo. Para ello debemos configurar las políticas de seguridad en la con figuración avanzada del firewall de Windows Vista en el equipo a cuya dirección IP va mos a hacer ping o

L

Realizamos un ping a la dirección IP del equipo de nuestro compañero de la izquierda, y observamos en la Figura 7.13 que el tiempo de espera para la recepción de paquetes se agota. Esto se produce ya que la configuración por defecto del cortafuegos de Windows no responde a las peticiones de los mensajes de control.

Fig. 7. 13. Ping con petición echo no habilitado.

2. El receptor del ping debe modificar la configuración de su cortafuegos. Accedemos a la configuración avanzada del cortafuegos; si no recuerdas cómo, vuelve

al Caso práctico 1, para definir la regla de entrada correspondiente o la recepción de echo ICMP. IContinúa)


Seguridad de alto ni vel en redes: cortafuegos

Q Caso práctico 3 (Continuación) 3. En el menú de la izquierda hacemos doble dic sobre reglas de entrada . Se abrirá un listado donde buscamos Archivos e impresoras compartidas (petición de

echo: ICMPv4 de entroda). .

,

~

4. Hacemos dic sobre ella con el botón derecho del ratón y habilitamos la regla, como puedes ver en la Figura 7.14. El icono de la derecha de la regla cambiaró y aparecerá en verde .

.c- _ _ - .-

,. .~ .

du"Ua;!, )

"'......., d.tfIlt.~,l

. cy-:¡

Fig. 7. 14. Habilitación de lo petición ICMP echo.

5.

Realizamos un nueva ping al equipo de nuestro compañero de la izquierda (la misma dirección IP del paso 1), en esta ocasión veremos que los paquetes si son

recibidos correctamente, tal y como se muestra en la Figura 7.15.

Fig. 7.15. Ping correcto.

4.2. Reglas de filtrado

~ Actividades 3. Al instalar en un pe una aplicación P2P no siempre funciona correctamente, no permitiendo la descarga de paquetes al equipo. ¿A qué se debe? ¿Qué debes hacer y cómo para permitir la recepción de los paquetes a tu equipo?

Los parámetros de los que hemos hablado han de organizarse para que el cortafuegos pueda consultarlos, en la que se denominan reglas de filtrado. Las reglas de filtrado nos permitirán establecer políticas de seguridad para nuestro sistema, evitando los accesos no autorizados sin crear inconvenientes a los accesos que sí queramos permitir. Estas reglas se suelen expresar como una tabla de condiciones y acciones que se consulta hasta que se encuentra con la regla que permita tomar una decisión, lo cual hace especialmente importante que las reglas se establezcan en orden de prioridad de actuación y que los administradores las revisen periódicamente. La estructura real de estas tablas dependerá siempre del sistema con el que estemos traba ja ndo, pero si comprendes su funcionamiento general podrás aplicarlas a la estructura de tu sistema consultando la documentación del mismo sin mayor complicación. Un ejemplo de una tabla teórica es el que puedes ver en la Tabla 7.2, donde tienes una serie de reglas definidas en función de las direcciones IP origen y destino y de los puertos origen y destino, donde se indica si se permitirán los paquetes provenientes de esas direcciones.


Seguridad de alto nivel en redes: cortafuegos

7

•• 2

192.168.1.2

1533

192.168.128.2

21

Permitir

192.168.10.3

1400

192.168.128.2

21

Permitir

3

Tabla 7.2. Eiemplo de reglas de filtrado.

Actividades

9'

En el ejemplo se han establecido dos reglas correspondientes a los paquetes que llegan desde las direcciones IP 192.168.1.2 Y 192.168.10.3, desde las puertas origen 1533 y 1400 respectivamente, para permitir el paso de los paquetes que van al equipo con dirección IP 192.168.128.2 Y puerto 21, que es el puerto reservado para el control del protocolo FTP.

4. Fijándote en las reglas de la Tabla 7.3, determina qué efecto tendría que el orden de las reglas 4 y 5 se intercambiase.

Las reglas pueden agruparse en tres tipos:

S_ Analiza si existe algún problema si al cortafuegos llega un paquete desde la dirección IP 154.44.0.1 con destino a la dirección IP 194.22.10.2. ¿Llegaría el paquete a su destino? Justifica tu respuesta.

Autopratección del cortafuegos: no se permitirá ningún datagrama dirigido directamente al firewall.

Reglas de salida, que pueden ser permisivas o restrictivas. Si son permisivas, se prohíben las excepciones y el resto se autoriza; si son restrictivas, se prohíbe todo excepto las excepciones permitidas.

Reglas de entrada: está todo prohibido excepto aquellas excepciones que específicamente hayan sido autorizadas.

J-_____________________~________~___..::C:::a:::sa~ práctico 4

9

Análisis de las reglas de filtrado de una tabla teórica 3. Si llega un paquete con dirección origen 154.44.10.2 y dirección destino a la red 192.168.128.0, se permitirá que pase, independientemente de los puertos utilizados.

En el siguiente caso práctico vamos a analizar con un poco más de detalle el efecto de las reglas establecidas en la Tabla 73, donde se definen una serie de acciones de respuesta ante los paquetes recibidos desde determinadas direcciones.

4. Si llega un paquete con dirección destino 193.55.0.2 y puerto destino 21 (FTP), se denegará el paso, es decir, el equipa destino no está autorizado para utilizar el protocolo FTP.

1. Cuando en la tabla aparece un asterisco u otro símbolo similar debes interpretar siempre que puede ser cualquier valor. Además, en el momento en que se encuentra una coincidencia, se ejecuta la acción corres-

pondiente y termina, es decir, no evalúa las siguientes reglas.

S. Todos los paquetes que llegan con dirección IP destino 194.22.10.1 tienen permitido el transito, en función de la regla número 4.

2. Si al cortafuegos donde se implementan estas reglas llega un paquete desde la red 154.44.0.0 se permitiría su pasa hacia cualquier red de destino.

6. Pero el resto de equipos de la misma red (194.22.10.0) no recibirán tráfico, ya que la regla 5 deniega el transita de paquetes. o• .

154.44.0.0

Permitir

2

154.44.10.2

192.168.128.0

Permitir

3

• •

193.55.0.2

21

4

• •

194.22.10.1

Permitir

5

194.22.10.0

Denegar

Denegar

Toblo 7.3. Reglas de filtrado.

.

, /,

-

" I}

"

189

~.

.~"".4t...,


~/7

Seguridad de alta nivel en redes: cortafuegos

----~----------------~----------------

. .. . .

El eiemplo más claro de reglas de filtrado podemos verla en el sistema de redes Netfilter de Linux, que se gestiona a través de una utilidad que se denomina iptables, la cual se maneia desde el terminal. La estructura básica de este comanda es la siguiente:

NAT (Network Address Trans/alian). Protocola que modifica la dirección IP de un paquete que pasa par un dispositiva de red.

# iptables -table [COMMAND] chain rule-specification [aptions]

Permite enmascarar las direccio-

Donde:

nes IP privadas de una subred detrás de la dirección IP pública en un router, de modo que todas

o

table permite filtrar paquetes (filter), implementar NAT (nat) a enmascarar direcciones IP (mangle), lo que recordarás son funciones básicas de los cortafuegos, entre otras opciones.

o

COMMAND

las peticiones vayan dirigidas a una fuente en vez de a muchas.

indica que acción se va a realizar (-A para añadir una orden, -D para

borrar, etc.) o

chain indica una regla ya definida en alguna de las tablas.

o

rule-specification hace referencia a la regla de filtrado que vayamos a definir, si permitimos o denegamos el trafico, entre otros.

o

options permite depurar la regla indicando aspectos como el protocolo, el puerto, etc. Usaremos alguna de estas opciones en el Caso práctico 5.

Las opciones del serVICIO ipta-

bies se detallan en la ayuda de linux, a la que puedes acceder utilizando la orden: man ipta-

bles.

q

Es importonte g umck! ,. las configuraciones de cortafuegos que defina mos con esta orden ya que solo son válidas mientras el equipo está encendido y se perderian al apagarlo. Si queremos que las reglas se apliquen cuando se inicie el equipo, debemos almacenarlas en el archivo /etc/iptables.rules.

Caso p'ráctico 5

Herramienta iptables de Linux Vamos a utilizar los comandos que nos permitirán configurar la herramienta iptables, integrada en las distribuciones linux para la configuración de cortafuegos, estableciendo varias reglas de filtrado que nos permitirán proteger nuestro equipo. En cada una de las imágenes siguientes irás viendo los comandos que debes eiecutar para conseguir la configuración que se indica en cada punto del caso práctico.

Archivo

Editar

Ver

1. Abrimosla consola de GNU/Linux. Recuerda que necesitarás tener permisos de administrador para configurar las reglas del cortafuegos.

2. Comprobamos las reglas que ya puedan existir usando la orden iptables y la opción -L o --listo Como es la primera vez que vamos a eiecutarlo no debería haber ninguna, como aparece en la Figura 7.16.

Terminal

root@jupiter:-# iptables -L Chain INPUT (policy ACCEPT¡ target prot opt source

destination

Chain FORI1ARD (policy ACCEPT) target prot opt source

destination

Chain OUTPUT (policy ACCEPTJ target prot opt source root@jupiter:-#

destination

Fig. 7.16. Reglas ya deFinidas.

3. El comando básico para trabaiar (iptables) tiene numerosas opciones. En la Figura 7.17 puedes ver el comando utilizado para denegar cua:quier intento de conexión a la red externa (asociado a OUTPUT). Una

vez que eiecutes el comando utiliza el navegador para conectarte a cualquier página de Internet, como www. google.com, verás que no es posible.

(Continúa)

----"


Seguridad de alto nivel en redes: cortafuegos

7

Caso práctico 5

9

(Continuación) Utilizamos lo opcián -P para asociar la arden a la entrada o salida ya que estamos definiendo una opción que afectará a todo el trafico en uno u otro sentido, dependiendo de las reglas concretas que definamos. 4. En la Figura 7.19 puedes ver el comando utilizado para aceptar trafico entrante (asociado a INPUT) y tráfico saliente (asociado a OUTPUT). 5_ Habitualmente lo que queremos no es bloquear todo el tráfico, sino permitir algunos servicios, como por ejemplo

el tráfico desde el puerto 22, que corresponde al protocolo ssh . En la Figura 7.20 puedes ver lo orden necesaria para añadir (usando la opcián -A) esta regla . 6. La dirección IP 192 .168.1.33/24 estará autorizada para enviar y recibir todo el tráfico de la red, paro ello debes definir las árdenes que ves en la Figura 7.21. 7.

Una vez que hemos definido las reglas, es muy probable que deseemos guardarlas para utilizarlas en futuras sesiones, tal y como puedes ver en la Figura 7.22.

ID

".

¡¡dilar ~er Terminal ,Solapas AlUda raat@jllpiter:-,\Iiptables - p OUTP¡;;U:¡: T "'DR';D~P~:::'------'-------- -~ root@jupiter:-,\I archive

8

~er

Brchrvo ¡¡dltar

Ierminal

!J

ia l ~pns

AlUda _ __ _

'--'-"~C-

r aat@jupite r:-II iptables -A IIlPUT ' p tcp -- dport ssh - j ACCEPT roat@jupite r:-#

Fig. 7 .17. Deniega trófica saliente. Fig. 7.20. Trafico del puerto 22 permitido.

erth ~

',. ftlrta~

~

u!

jJ¡

Hi¡tanal I::!;rtadarn

-e o

9

';;t

¡fj)

Herramient a,

IJ. ¡hIW¡""""" gaagluom/

- .. ~

"",d.

1:::1 !ICHo "..

'\1

IJ Mh ...,.itada"" Qo Gettin~ Started g U test Hndl,nes ....

!

I

.

Servidor no encontrado w;!! '

Fire fox no puede encontrar e l servidor en \"I\'Iw .google .com. • Comp11Jebe que la dlre~cUm no tiene errores de escritura del tipo ww.ejemp!o.com en tugllr de www.ejemplo.com • SI no puede cllrgllf nlngunll p&ginll, comp11Jebe 18 cone¡(lón de red de su ordenador. · l~ su

oro.ena,oor o r.~o _eS.l~~ pro egl 05 por un COrt~ ueg~~.o a proxy, asegúrese de que Flre fo¡( tiene permiso p8r8 Ilcceder a laweb.

,

1

1m:

arth;.,o Edila. ~ Jerman ..1 Sol¡¡pn ~tI.. -------¡~ I ~lter : -' l ptobles--:¡-WPuT "sourte 1'12.1I1B.1.]] - j ACCÉPTEl roat(ljupit~r:-' lptobles -A OUTPUT " desUnatian 192.168.1.33 .J ACCEPT raotOj upiter:-' . ~

I.l

Fig. 7.21 . Tráfico desde y hacio uno dirección IP autorizado.

~

I f\e,nt ent ar I Ttrrnlnodo

Fig. 7.18. Conexión denegada.

mnr:

S' ' !g¡Ij T· Ll¡}r._

Edita r ver Te rminal ,Sl1lap¡u A~da root@jupite r :-# i ptab les -P IUP UT ACCEPT root@jupiter:-II iptilbles -P DUTPUT ACCEPT root@juplte r :-II archIVO

- - -'8

e.,¡hivo Ed,ta r root OJuplter :-' roo tOJupite r :-/t

~r

Terminal

i pt~b les - save

I

=

l!!Tr. AlUd¡¡ .. l et c/iptables .rules

Sgl~p;s

11 El

Fig. 7.19. Acepta trófico entrante y saliente (seg ún futuras reglas) .

. L

6. Escribe las árdenes mediante iptables para: • Permitir todo el tráfico web de entrada en el equ ipo. En el punto 5 del Caso práctico 5 permitimos eltrófico correspondiente al protocolo ssh (puerto 22). pero ahora deseamos bloquearlo ¿cómo podemos hacerlo?

Fig. 7.22. Reglas guardadas en el fichero iptables.rules.

Actividades " • Guarda los cambios en el fichero iptables.rules y visualizalo poro comprobar que las reglas se han añadido correctamente.


/

J/2----=--~~~~Seguridad de alto nivel en redes: cortafuegos

5. Uso de cortafuegos

Uf)erl~~U es un sistema operati-

vo de código abierto basado en UNIX que centra su desarrollo en la seguridad prooctivo y la integración de lo criptografía. Puedes encontrar loda la información sobre este proyecto en:

En todo sistema es conveniente tener instalado y funcionando un cortafuegos, ya sea en un ordenador personal donde utilicemos el cortafuegos integrado en el sistema ope· rativo, o en una red de una empresa, donde necesitaremos herramientas algo mós sofisticadas. En este apartado daremos unas pautas a seguir para elegir correctamente el cortafuegos que cubra tus necesidades y veremos un cortafuegos comercial, Kerio WinRoute Firewall, que se utiliza en servidores Windows pero que dispone de clientes para Windows, Mac y las últimas versiones de linux Ubuntu y Debian, por lo que puede trabajarse en remoto desde diversos equipos.

www.openbsd.org.

5.1. Criterios para elegir un cortafuegos Antes de instalar un cortafuegos es necesario tener en cuenta una serie de factores que nos permitirón elegir o configurarlo del modo mós acertado para nuestro sistemas, y que se recogen en la Tabla 7.4.

Política de seguridad del sistema o la empresa

Nivel de monitorización

Económico

Localización

y control

La configuración según ellrófico o servicios a bloquear. Hay que decidir cómo se va implementar (que se permitirá que se denegará).

y

En función del valor de lo que vamos a proteger será necesario un desembolso mayor o menor.

Existen diversas arquitecturas de red que podemos elegir o

utilizar cortafuegos personales en los equipos.

Elementos Físicos

Equipos necesarios, uso de bastión, routers, etc.

Sistema operativo

Sistema operativo del bastión o del equipo sobre el que se instala el cortafuegos.

Tabla 7.4. Criterios de elección de cortafuegos.

5.2. Instalación y configuración de un cortafuegos comercial

Existen numerosos cortafuegos que podemos elegir para instalar en nuestros sistemas. En este apartado hablaremos de Kerio Winroute Firewall, trabajaremos con la versión 6 del mismo en un servidor Windows, y veremos cómo es posible el acceso a este servidor desde Internet en un equipo Linux que tiene instalado Kerio VNP Client.

~ Actividades 7. SiTour va a instalar un cortafuegos en su red de ordenadores para que su personal no pueda acceder a servicios de Internet, como la descarga de películas,

y debe decidir si desea definir reglas de salida o reglas de entrada. Indico cuól de las opciones sería la mós conveniente para este fin y por qué.

8. Antes de instalar nuevo software en tu ordenador es imprescindible comproblar que el equipo cumple con los requisitos para realizar la instalación. Busca infor· moción sobre cuóles son los requisitos recomendados si deseamos instalar Kerio WinRoute Firewall.


Seguridad de 0110 nivel en redes: corla fuegos

7

Caso práctico 6

9

Instalación de Kerio WinRaute Firewall en un servidor Windaws En el siguiente caso próctico vamos a insta lar el cortafuegos Kerio W inroute. Utilizoremos el asistente de con fig uración para ponerlo en funcionam iento y dotar a nuestro equipo de una mayor seguridad.

4. Kerio b loquea todo eltró fico de Internet a ntes de realizar la configuración inicial. Dado que se va a instalar en local, esto no seró un problema, así que pulsa Siguiente y, a continuación, Instalar.

1. Desca rga Kerio Winroute Fi rewal l Server desd e la

5. Una vez que hemos instalado la a plicación es necesario configurarla. Abre un navegador de Internet, verás que ahora no te es posible visualizar ninguna Web ya que el cortafuegos está rechazando todas las conexiones.

página Web de su fa bricante: www.keria.com. 2. Antes de comenzar con la insta lación, desactiva el praxy para evitar futuros problemas . Ejecuta el archivo y acepta los términos de la licencia, después de leerl as. Sigue las instrucciones del asistente de insta lación pa ra insta lar la versión co mpleta del firewa ll en la carpeta por defecto C:\Program Files\Kerio o C:\Arch ivos de Programa\Kerio. Si el prog rama deteela algún confl ielo con otro servicio del sistema, deshabilítalo como se muestra en la Figura 723. 3. A continuación nos pide que definamos los datos de la cuenta de ad ministración del cortafuegos, tal y como ves en la Figura 724. ft)

... ~

Kerio WinRou~ ñl'CW.lII·In.L>US~d Wi!.lrd

D~l®l

5 Yltem Servke Confbct SeIu<le~..,CIltIbClO~dS2r-::u.

lPl

7.

La primera vez que nos conectamos aparece un asistente de configuración . En primer lugar identificamos el ti po de conexión. Nuestro servidor se conecta d irectamente a Internet, así que elegimos la opción Un único

enlace de Internet· Persistente. tJ leMa WinRouL! Fi""".1l1·lluuttS";~d W,t,lId

¡",¡;¡,,¡

LI Qlellt . de ildmlnh tr3ddn

""!3!r@i)

Coo~~uCll1.scr:esoor.d~t:la~.ao&I.

~~~IO.WIOYCDlIr~$et~p.v~"a:ent.l~~J~~c~iI~

i':en:I~t:lfirevl.ll~tl<!llcml\a¡)a:01V~_d.-:I ~lleII\.I. Se~

~.Iodjn.

""""""'o...!I

6. Para comenzar a configurar el cortafuegos accedemos a la consola de administración que incorpora dando doble dic en el icono que apa rece a la derecha de la barra de tareas, don de se pedirá el usuario y contraseña administrador que defin imos en la instalación, como puedes ver en la Figura 7.25.

Co,..,,,l ón comp3 .tld~" Inlemet (ICS) 8 ~'UI \~ =--Ú '::rlU!ll :"':1> a rl~ ~ M~ ~~').J.' .

Al ~~tv Ls mt.\LsQj¡n, este 1AI<Ioi~ pveda utllw LI CMS:b d~ a.mns:r.sa31 ¡W~

CDleaJr a Llwontll YCDl~p"... e~.

j:, D!!leccl dn SSD P 0Ddubo1LlrlllStlllt!l"ViOGdd.tl~

{t<I'r.!n4~~: Jlr!;,m:r~

j:, Dhpollllvo h.utd~ UPnJI !;<In1T.l$eiIJ : 1.. ....

@ Ddub:1t..- ~ ~dt:I!bt=s

~fnn.!CDl::-~'

~;oo5nd= " mt.lL>cWoc••,:b.v'¡ QlrI~;oo5nd<!_~y

de!N!>lt.d a¡~. Do!~1as ap:lOrIe ~tublud.l" no Io.Ibo!b q..ets.::e".

1r1:~,~

~,,~,~

1

<"'...

11

~be:O

11

'"""'"

..;:s Kerio Admin;¡tr,, ¡M,n Ca n~L~ Ar<hvo EóLr 'kr

,....,

p

@I

"'º'"

~~

. t.4l~ """"",

...,

[ .,u; ~~'/ftIQu~fmoI.Il I~

G

B

rbttnd=l$1JIia: l~iT;o:b

Crlnl:".uer\t,

"

Iv

w.n-~t.u A~

"'1 NI.ocva Q)n~dn

1

1......1

1

1

<Alroh

11

~te>

11

'"""'"

1

Fig. 7.24. Cuenta de Administración.

Fig. 7.23. Deshabilitar seuicios en conflicto.

!l. ~4QlO

,

I... ~.

.."., N.1u::.c::eQlrlIr.tRñtva<Íl.~ClI1Ir.no\ld="_~CH~es.

1

c;¡"

~ A~;ltent.o de ~l>¡ de.e:l

P<*b.:I wisIte • pJ.;N i di! 1 ~ drrvd "'_ d=.J~d _.1In"'""'tdebs~de Ls I.Nl:

_.

O """"=-doOC:l!s:l~ t:W,obs~(..,Int~) i(l

P=IIilrd~,d¡.bs19=lteJHNId~,:

"el

..

.. .. """' .. """'..

Puetb d. """"" """'

"'""' = .,~= = "'''' Ea ro> !:.'fTl'

=1<"

POPl 1"0'

la Td1t:: = ro> """'

W\q!rl

Pufr"md.4...

=

~,

........ """",

U II

""'-,

n

,,",-o

....... ".,.,

I """'" II..... ~·· I I '"""" I i2I

~nQc~Ú'l¡rote<)(l3$

Fig. 7.25. Acceso Consola de Administración .

I

.....ltJI

Il

~be:O 1 1

""""

Fig. 7.26. Servicios a los que se do permiso.

1

IContinúol


-Y7 Q

Seguridad de alto nivel en redes: cortafuegos

Caso p'ráctico 6

(Continuación) 8. Tras elegir la conexión can Internet, podremos permitir el acceso a todas los servicias (ilimitada) a a una lista de servicias. Seleccionamos la lista de servicios por seguridad, como puedes ver en la Figura 7.26, ya que con la primera opción no tendremos constancia de a que servicios daríamos acceso, un gran error desde el punto de vista de la seguridad.

~

I.!d Asistente de reglits de red Po!illca entrante ~ ~gina 6 de 7

SI hay servidores ejeaJtár'tdose en su LAN que: ~a qu.! estén disponbles desde: Int.eme:t,

espedñque!os a continuación. Si no, o no ~, salte esta pág,na.

I "". - IP

~

s",,~o

'"'"'

9. En el siguiente paso seleccionamos las opciones para crear reglas usando los servicios de Kerio.

,

10. En el Caso próctico 8 instalaremos un cliente VPN en Linux para acceder desde Internet a nuestro firewall, de modo que permitimos que este sea accesible, como muestra la Figura 7.27. Este es el último paso del asistente, el cual generará las reglas básicas correspondientes a esta información cuando pulsemos finalizar. 11. Abre un navegador y comprueba que puedes acceder a Internet desde tu servidor, dado que la regla correspondiente se ha generado.

Q

'! l' Agregar .. ,

1

11

ErliIM,,,

<1<'''''

11

1

1

<Atrás

1

I - le>

1

1, Ca,,,,,",

1

Fig. 7.27. Firewall con acceso desde Internet.

Caso p'ráctico 7

Configuroción de Kerio WinRoute Firewall en un servidor Windows Configuramos ahora alguna de las funcionalidades del cortafuegos, lo que nos permitirá tener una visión de cómo se trabaja con este tipo de software y de las normas básicas para proteger el equipo.

.. -

te aparece un resumen de las reglas que hay definidas en este momento en el cortafuegos, que deben ser como las que ves en la Figura 7.28 .

~

. :;-,c_

•¡¡¡:;J,............ §..... '§:",= - = ::j """ ~

~ :::."" ~~ t2 ........ ""' .

~tu~,,='~=a=d'="~fi~'ro==;;:==;;:=;;:;;;;;::=====:;-

,.. ~~'t7:¡,-~,;'===1 ~~~~~:~-~=~"~~~=~"~ F :'1 -".. ., I .lB

__

1111_._ .....

. '_

1.1 _

1" - '"

1Ii _ :;, .,.,

.'lo "''' -

!!l ""~

.!l.'._ .. _ " ~ ~--._ ,,"gH

~

I

, ~

1lI"__ '"""'"

Ú._"," !!I _ .. _

~ :J "'~~H

~

1. En la opción Política de TráFico del menú de la consola

_

"d_._

,

El ...... ...

e )$......

. _

'¡L~ ..

't ""..

~ ~ ,­

~~ -

.-,= :;, _

~::.

.,

1:'

I

;

10" __ • :< I I

Fig. 7.28. Políticas de TróFico.

2. Agregaremos nuestra LAN al cortafuegos, para así determinar qué queremos permitir o prohibir en los equipos. En el menú de la izquierda seleccionamos la opción Servidor DHCP. La configuración dependerá de si nuestros equipos tienen IP estática (que es

lo esperado), en cuyo ca~o no habilitamos el Servidor DHCP. En la pestaña Ambito agregaremos nuestra red: 192.168.1.0, como se muestra en la Figura 7.29. La dirección IP asignada al servidor es la primera: 192.168.1.1. (Continúo)

/


,

Seguridad de alto nive l e n redes: cortafuegos

- - - - - -- -- - - - - -- - - --

7

9

Caso práctico 7 (Continuación)

3. Habilitamos el reenvío DNS hacia nuestros servido· res DNS, que dependerán del proveedor de Internet, para lo que en la opcián DNS seleccionamos el reenvío

-

~ Ámbito de dire«i6"

-

, 1.....

Dem:c;;;, de árrbito Pmlcrll dreaión:

1192.168. 1.3

Mascara de red:

1255.255.255,0

EJ ToeJIllOde~:

EJI ",r,)

"""""

~ Puerta de

I 1

!1l

¡,Q DNS ru;...,,;,

o H&iililr

Ser.idor de l'1CII1"b"e de dorrénio:

Nootte de domno:

I

1192. 158. 1, 1

I

I I

I

~

1C3 Ag"!l" "~", ",",~I~d,

de rowmo [1'15

=

ResoU:ión [1'15

I

erke predeterninada: 1192.158. 1. 1

Habittar Ci!CfIe para ~tanw rápida dec:cnsu

~ Ulllizar reemi:J ~

I

I

Den ...

~ Pern¡n~Iiz.Jr DNS de leerMe

TtlO de cmsUla [M @ Uorra".. Cl:lfn.ita D'4!;

I (", n

d'! I

O ~lItamUtarf.lS

~idor(e:!)

rlotrbre 1l'IS,1ted

I

ONS

l'

SI el norrbre c:nsUtado ctIi""ocide:

l· ~ pemite'1 CB~esa>moÓi'1

_.

Si IJ drero:in lP d~ l5 =Jtil

I

IM'-··· I

I

-

lo'Gl

O

[] 5e!vidI:r de l1CfI'b-e WlNS;

O

I tJtina cfreajón; 1192. 168. 1.254 I I 1- ···1 @.3 , EJiJ

personalizado y los agregamos como ves en la Figura

730, donde se utilizan las direcciones 80.58.61.250 y 80.58.61.254.

o:::n::ide 0Jn 13 red/rr.""=~

1/ 1

I

O Noemw

I

I

_'" i 1 """"'" 1

@ odan¡., ~ em'Íll"

anoU la alfa bs 2I"oidor(e!lJ D'lS :

i~ ,!"-:!ffí-.o, ·k81IFf'# UIúzN IUlm y ctm1I

' ,

Fig. 7.29. Agregación de /AN.

1-··· 11

Edti::f ...

1

(;

I

1 p.ya ~Ilt 1:11IT!!da!I ~es.

Q,J!t;¡r

1

_...

11 ""'"" I

Fig. 7.30. Agregación de DNS.

¡-

Caso práctico 8 Instalación de Kerio VPN Client en Ubuntu En las organizaciones no es habitual trabajar directamente sobre los servidores, sino conectarse a ellos en remoto. Kerio permite que lo hagamos incluso desde fuera de la red y desde distintos sistemas operativos, como Windows, Mac o Ubuntu, siempre que tengamos privilegios de admi· nistrador. El cliente para Linux aún está en fase beta pero su insta· loción resulta muy interesante para darnos una idea de la facilidad para utilizar este servicio que se busca conseguir.

detalladamente los pasos que se han de realizar para es· tablecer la conexión. 1. Descarga el cliente de Kerio para Ubuntu desde su web www.kerio.com, que se compone de dos paquetes: o kerio.kvc o kerio.kvc.source

Guárdalos en /root.

2. Antes de comenzar la instalación es necesario tener ins·

Para realizar una configuración completa se recomienda utilizar el cliente VPN de Windows, cuyo manual explica ~ >:i

~ 8rchivo

gditar Y'er Terminal

~olapa s

9

talados varios paquetes, e jecuta la orden de la apl·gel como se muestra en la Figura 7.3l.

~1i@lI~

Ayuda A

root@jupiter:-# apt·get install bzip2 module·assistant debhelper openssl. Fig. 7.31. Instalación de paquetes necesarios.

-

(Continúa)

195


Seguridad de allo nivel en redes: cortafuegos

q

Casa práctico 8

(Continuación)

3. En primer lugar es necesaria construir el modula para el kernel e instalarla, can las órdenes que te aparecen marcadas en raia en la Figura 7.32.

5. Par última, instalamos el paquete correspondiente al demonio, cama ves en la Figura 7.35, tras la cual se iniciará automáticamente.

4. Durante la instalación del modula nas apareceró un asistente de configuración donde debemos indicar el nombre del servidor, indicamos que detecte automáticamente su huella, el usuaria y su contraseña, cama ves en las Figuras 7.33 y 7.34.

6_ También puedes iniciar, parar a reiniciar el cliente manualmente can la arden # /etc/init.d/keriokvc {start Istop Irestart}, respectivamente.

!r.I! 1 BcIwo Edh. aa

~.

11 1 H'~.

Jerminal s.olapa. -1

enll-

n "r" ~a

"o;-~lIIIrc c

"

. e

d

~~~;~~:~~d:a~~ ::q~ ::~k~ ~~ " .k",c.sIIUr(c pmlilCefl le 110 se ettillnad a. 1029B f1t.herlls y directorios i nSllllldos actua lctntc. 1 lIeu-..pa:¡ue tandll Iu! ri,,·h c-satl'(C Ide kcrlll ·kvC-$our ce 6.1.0-6161·1 atLdeb) . Confl gu rand" kl! rlll-kvc-s ource 16.7. 0· 6161 -11 ... ~ ro"ttlll!pl te r:~. ~du¡e- asusfan l aUlo-lnH ¡u ¡ ke rl o-kvc . sllurcc !

Actualizad. ¡ "S ficheras i nfos de l u paq uetes 1 Ilbtcnl.mdo las fuentes de la ve rsi on de l núcleo: 2.6.27·7·gene rlc EncabuadDs del núclfo disponibles en lusrlsrc/llnux-hnders·2.6.27 ·7 ·gene r i c Crcando enlace sir::b ólicD ... apt·get i ns tall bulld -e5sentlill Ley end a list" de paqu etn ... Hecha Creanda á.bol de dcpcndcncJas l eye ndo la Jnforr.acJÓ n de estada . .. Hecho buHd·ess entlal ya está en su versió n c.is r eeJenlo. I! actualizados. 11 se instalará n. 11 para eUr.llnar y 3 ~O no ac t ualizados.

,1

IH echol unpack Extrattlng the package tarball. IUH/sr C/ k ~ rio - kYC.U r .bz2. pl ease wait ... · lusrlsh~ re/ ... odass/pack ages/ del ault. JII · bui \d KVEflS: 2. e.27-1 · gene r lc KSRC_/usrls rC/Unux KDRE ...·2.6.27·7.14 kdlst_ i~aoe B

Fig. 7.32. Instalación del cliente.

Kerio VPN client Please enter host name of your Kerio VPN server.

Kerio VPN client Enter a user name.

Kerio VPN server:

User name:

Juplter

tmin!"'iu;t;r.rm <Aceptar>

<Aceptar>

<Cancelar>

Fig. 7.34. Configuración del cliente VPN de Kerio.

<Cancelar>

Fig. 7.35. Configuración del cliente VPN de Kerio.

Fig. 7.33. Instolación del demonio .

~ Actividades 9.

Desde la consola de odministración del servidor configurar las transferencias FTP para que los usuarias no puedan descargar archivas avi a mpg.

10. Instala en cliente VPN para Windows y realiza un manual que describa su procesa de instalación.

11. Ejecuta el cliente VPN en Windows y realiza un pequeña manual en las posiblilidades que te ofrece. 12. Busca cortafuegos para servidores Linux y realiza un cuadra con sus características principales.

--------------~-----------~

6


Seguridad de alto ni vel en redes: cortafuegos

7

6. Arquitecturas de red con cortafuegos La arquitectura más sencilla consiste en utilizar un firewall de fillrado de paquetes que permita o bloquee el paso de los paquetes mediante las listas de control de acceso, como es el caso de la arquitectura screened router (Fig. 7.3). Pero para una organiza· ción con muchos equipos es muy difícil establecer las reglas de filtrado correctamente para satisfacer las necesidades de la red. Por este motivo hay arquitecturas de red que combinando hardware y software ofrecen mejores niveles de seguridad.

En cualquier firewall es recomen-

dable bloquear lodos los servicios que no se utilicen desde

el exlerior, especialmente NIS, NFS, X-Windows y TFTP.

6.1. Dual-Homed Host La arquitectura dual·homed host se basa en el uso de equipos con dos o más tarjetas de red. Una de estas tarjetas se conecta a la red interna que se quiere proteger y la otra a una red exter· na, normalmente a Internet, como puedes ver en la Figura 7.36. Los equipos de la red interna verán al bastión a través de una de las tarjetas de red y los equipos externos a través de la otra, pero el tráfico entre ambas redes estará aislado. Todo el tráfico debe pasar a través del firewall instalado en el bastión y si queremos permitir algún servicio (como ver páginas web) habrá que usar un proxy en el baso tión, lo que es un inconveniente, ya que no todos los protocolos admiten su uso. Además, si un ata· cante se hace con el bastión, tendrá acceso a la red interna de la organización.

Red interna

I

.!!!!!!!!!!!!!!!!~

Fig. 7.36. Arquitectura dual·hamed has/.

6.2. Screened Host La arquitectura screened-host combina el uso de un router con un bastión, de modo que el fillrado de paquetes se produce en primer lugar en el router. El bastión es el único sistema al que se puede acceder desde el exterior, como puedes ver en la Figura 7.37. Cuando un equipo de la red interna quiera acceder a Internet habrá dos opciones de configuración: •

El router permitirá la salida de algunos servicios, como la navegación Web, a las máquinas de la red interna filtrando los paquetes por lo que sus regios de fillrado pueden ser complejas.

El router prohíbe todo el tráfico de la red interna con Internet y si se desea acceder a algún servicio hay que hacerlo a través de la máquina bastión, igual que en la arquitectura dual-homed hos!.

Se pueden combinar ambas opciones, de modo que haya servicios controlados por el router y otras a los que se acceda a través del bastión .

• Un equipo con dos puede actuar como un router,

enrutando los paquetes que recibe a Iravés de una de ellas hacia la otra. • Algunos routers incluyen fun-

ciones básicas de filtrado de paquetes, lo que añade seguridad a la red ya que pueden eliminar parle del tráfico no deseado antes de que actúe el cor tafuegos. A estos routers se les lIoma screening rou/ers.

Actividades" 13. Los rauters Cisca son muy utilizados en las empresas

14. ¿Cuál crees que es el principal inconveniente de usar

por su fiabilidad . Busca información sobre los problemas de seguridad que puede presentar lOS (sistema operativa propio de estos rauters) y comparálos con los habituales en un sistema operativo.

la segunda opción de configuración de la arquitectura screened·host?


Seguridad de alto nivel en redes: cortafuegos

Internet Bastión

Recuerda

mantener

siempre

actualizado el sistema operativo del equipo bastión y no instales nada que no sea necesario en él. Es también conveniente que tenga instalado un cortafuegos personal, como ZoneAlarm.

Fig. 7.37. Arquitectura screened-host.

Esta arquitectura es cada vez menas utilizada ya que si un atacante consiguiese hacerse con el contral del bastión o del rauter, de cualquiera de los dos, tendría acceso a la red interna.

6.3. Screened subnet El bastión se aísla en una red perimétrica, la zona DMZ (De-Militarize Zone), que se sitúa entre la red externa y la red interna, limitada par dos routers, como ves en la Figura 7.38 que muestra un esquema típico de una arquitectura con zona desmilitarizada. El router externo filtra la entrada de trafico desde la red externa y la salida hacia la misma, mientras que el router interno se ocupa de filtrar el tráfico generado y dirigido por y hacia los equipos de la red interna.

~\\i""--------~;¡';~

Router externo

Internet

Zona desmilitarizada (DMZ)

I

Red interna

Fig. 7.38 . Arquitectura screened-subnet.

Es una arquitectura más compleja pero también mucho más segura que las anteriares. Utilizándola hemos eliminado el principal problema que presentaban las dos anteriores, ya que, como recordarás, cuando un atacante conseguía controlar el bastián, tenía acceso a los equipos de la red interna. Ahora, para llegar al bastión, tiene que superar primero las medidas de seguridad del carta fuegos externo, y aunque lo consiga y se haga con el control de esta máquina, la red interna seguirá protegida.

~ Actividades 15. Razona qué tráfico estará permitido o no en cada zona de la arquitectura screened-subnet (por ejemplo, especifica si el trófico desde la red externa a la zona DMZ estará permitido o prohibido).

16. Otra implementacián de la arquitectura screened-subnet consiste en usar un solo router con tres o más interfaces de red. Dibuja su esquema y analiza si ofrece el mismo nivel de seguridad que el esquema de la Figura 7.38. Identifica que tráfico está permitido y cuál restringido según esta estructura.


Seguridad de alto nivel en redes: cortafuegos

7

Z Monitorización y 1095 Los registros de actividad de un sistema, que habitualmente se conocen como logs, permiten detectar incidentes y comportamientos no habituales. Esta información, especialmente cuando los logs corresponden a un servidor o un equipo de red, resulta sumamente útil para localizar fallos en las configuraciones de los programas o cambios que se hayan hecho sobre dicha configuración. Permite también detectar si se ha desconectado al dispositivo del sistema y controlar el uso de recursos par parte de los usuarios. Además de proporcionan información sobre el rendimiento del sistema, que puede resultar útil para detectar cuándo un equipo está empezando a fallar.

Cuando se monitorice la red es necesario informar a los usuarios de que se está haciendo, ya que de no ser así podríamos

incumplir la ley de protección de datos, al registrarse información

confidencial, tal y como ya estudiamos en la Unidad l.

Z 1. Registro de actividad de los sistemas operativos Los sistemas operativos incorporan lag s donde registran información sobre qué usuarios y en qué momento abren o cierran una sesión, qué procesos están en ejecución dentro del sistema, las aplicaciones que son ejecutadas por los usuarios, el uso de los recursos que hacen (impresoras, escaners, etc.) así como los posibles problemas de seguridad. En los sistemas operativos Windows se utiliza el visor de eventos para analizar los lag s del sistema, como ves en las Figuras 7.39 y 7.40, donde tienes el visor correspondiente a Windows Vista y Ubuntu 9.04 respectivamente.

Puedes acceder al visor de even·

tos de Windows en las herramientas administrativas incluidas

en el Panel de Control y al visor de Sucesos desde un terminal con el comando:

$ gnome-system-lag &

t.! YIP:< ... .,......"

;:¡ ~B OÍill~~-

. . Te,,,,,,,,,,..,..,.., ...... . -,.. . ......._

I~

~",

1.. " .. . _

~,-tL ¡:-

""., (~.

_ . -~

...,..,..~".,

Q""""''''''

m .... ; ..

IJ ""'..... "' ....." .. 1,,'.,.

u .. ,.I09

.....,,,',...e...... ,.' .."""ll,-,l'_ I".,..,.~.'

Sop S. p Sop Sop Sop Sep S. p s.,p Sl p

duman .lo;

.........".j..

T'" ,~,,1"'''''''''' '

sy. lo ~

~o r9 · 0.l 0 9

(~~QI > ( ... u. m". > lo" mor ",1, .. , "" db ", m 1 , ] 4 5' , o ,0 ,', 5 :~ :: : :

r~~l : ~ :::~ lO 15 n

l'

SSH lin.OI [SSl .2 Kla)·

u~ im .

ID 05 :53:311 ¡up, ur.y. lo ga 1.5. ~2Ubu ntull : ruu rt. ¡ 1005 :53:311 ¡ Upl u r anac , pn(411<1 2): .Job · cron. a .. l y· 1005:53:38 ¡uplter anac, on (4842): tJo, ,,,,,l ! " t (¡ jet 1005:0 1:515 ¡ uplt or kern. l: ( :2005.0502421 p. ll<lu' .' í 1005:0 1: 57 j up, t . r ke rn ol: ( ¡>()05 . S5D1COl P'II<Iu". ~ 10 OC5:0;¡ :42 ¡"P' to' n",.s yn ''''-U ltl ng. : so>l uU S 1000:03 :42 ¡ Up ' U "J. I...., r1<,...n . g. r: <¡n f o~ 501 u nq ,\ 10 ' 00 : 03: 42 ¡ UP'!!' n",· dupa tchor •• c ucn: n",_dlSpnd! 1000 :03: 42 j upl u rn",. d • • pa t che , •• cu cn : S<:n pl ' , . r

Sep 10 OIl : ml : ll ¡ up.tor . ..... : cn.man.g . r (SO<'iD) : IIm JIIG1 ~p 10 0Il :OS : 1I¡up.tor •· .... l on . ""'n.q.' (SOOO) : 1I.tRI[ tG ~ Se p 100ll :OS : 13jup.u , bonobo . act! va nc n • • o,ve r [g.J'UV '1

s. ~

U

10 0!l :0tl :14 ¡ up. u r . cp, d: ch . nt connlc t e d ,,""

(¡JO: ,

:;;-'!....¡n M :M :I,; "..,'t_.r. I'~_··_t ·~!"~l "l . ntl."""""'"".!ff=i

I L~~_~~...J &.\.. ,11

Fig. 7.39. Visor de eventos de Vista.

G

.". 10/C'il/C'il

......

';

llLimPiarl

a<lu.li, .'¡6n: Thu 5. p 10 07 ,OB :S7 ¡OO g

Fig. 7.40. Visor de eventos de Ubuntu.

En el menú de la izquierda de la Figura 739 puedes ver los registros sobre los que esta herramienta proporciona información: •

Registros de Windows: muestra información de errores, advertencias o información del sistema operativo y sus aplicaciones, así como información de seguridad, donde muestra los registros de éxito y de fracaso de los servicios auditados, por ejemplo, si un usuario ha podido iniciar la sesión. Registros de aplicaciones y servicios, cuyo contenido puede variar ya que incluyen registros independientes para los programas que se ejecutan en el equipo, así como registros más detallados relacionados con servicios específicos de Windows.

Todos los ficheros logs de linux pueden ser editados manualmente para su consulta. En el

caso de Ubuntu se guardan en los directorias que cuelgan de /var/log.

Haciendo doble clic sobre un suceso o evento se abrirá una ventana con información detallada que permite interpretar el tipo de error producido.

Actividades ~ 17. En el visor de eventos de Windows selecciona un error, como el 5002, y averigua por qué se ha producido. 19


Seguridad de

0110

nivel en redes: cortafuegos

De igual modo, los sistemas linux incluyen aplicaciones para poder visualizar los logs, como es la herramienta System Lag (sucesos del sistema) en Ubuntu, al que puedes acceder a través del menú Sistema, dentro del grupo Administración. Este visor gráfico incluye, entre otras funcionalidades, un calendario y utilidades de filtrado, como puedes ver en la Figura 7.40.

Puedes encontrar más informa-

ción sobre el proyecto syslog en www.syslog.org.

Además de los registros de sucesos del sistema operativo, existen programas independientes que permiten gestionarlos, como la herramienta syslog, pensada para centralizar todos los registros en un servidor y analizarlos ¡untos.

Z2. Registros de actividad del cortafuegos Los cortafuegos incorporan sus propios registros de actividad, especialmente útiles para analizar los bloqueos de accesos no autorizados que se hayan detectado y las actividades anormales que puedan haberse producido en el sistema.

Q

Caso práctico 9

Registros de Kerio Winroute Firewoll En este caso práctico vamos a localizar y analizar el registro de actividad del cortafuegos Kerio en el servidor, lo que nos permitirá tener una información más precisa de lo que ha ocurrido en el sistema y ha sido detectado por este.

1. Accedemos a la consola de configuración del cortafuegos siguiendo los mismos pasos que vimos en el punto 6 del Caso práctico 7, solicitará el usuario y contraseña. 2. En el menú de la izquierda del cortafuegos aparece una opción denominada registros que contiene los informes de actividad guardados por el cortafuegos.

Existen distintos tipos, como puedes ver en la Figura 7.41. 3. Seleccionamos el registro denominado Web, que nos permitirá analizar las páginas Web visitadas desde los equipos de la red, mostrando información como la que aparece en la Figura 7.42. 4. Al analizar este registro, el administrador descubre que desde la dirección IP 192.168.1.34 se ha estado accediendo a wsinos online, y que el usuario de la máquina 192.168.1.5 ha estado buscando casas rurales para sus vacaciones.

[pi Registros

0 Iml "'" ~" ~ ¡g¡ ....

"'aI1"Ii-9

-

~

-

D &J...

@)

[tJ

-

l2J h'.

""

~

,~.

[ij

""'"

Fig. 7.4 1. Tipos de Registros de Kerio Winroute Firewoll .

,

.".... "'''' ..... ec9 ~bbv1:

i i

,

. 'P'"'

~ ¡::

W I!;; Esbdo

)- lJ) e!ert

, ,,

e¡ conlio¡! l:j Olt'f'lr:tion

I

'.

,

1:1 ¡:¡ ...

!~!~:c",,,-+,'';~

· ~ Rter [S htl;!

:::~~

1!) rca.nty :i) ",""

i'í .....

:::

, ., 00"

Fig. 7.42. Registro Web.

lO

,. ,. ~

..

!

,

ellI'ogarnaru!~!f·~ ellI'ogarnal'Ud.!f·~

:~~.

,

,,

..

""'" ,.. ~.

,, , .

.

.· · E ..

Q e<T1I'

.

,,

, .!l! '

a ............. 111"'' '

."~ ,


Seguridad de alto nivel en redes: cortafuegos

7

Comprueba tu a~rendizaie ~ Aplicar mecanismos de seguridad activo describiendo sus característicos y relacionándolos con los necesidades de uso del sistema informático

10. Realizo una tabla teórica de filtrado, como la vista en la unidad, para la red 192.168.0.0, que cumpla las siguientes condiciones:

1. Los cortafuegos nos ofrecen muchos ventajas pero tam-

• Todos los equipos de la red podrán ver páginas Web por el puerto 80.

bién presentan limitociones_ Realizo uno pequeño tabla con los ventajas del uso de los cortafuegos y sus limitaciones, puedes servirte de Internet para buscar información sobre estos temas. 2_ Existen uno gran cantidad de cortafuegos comerciales en lo actualidad . Busco información de vorios de ellos en Internet y realizo uno tabla comparando sus principales característicos, incluyendo dotas como su fabri-

cante, precio, etc. 3. Usando el esquema que realizaste en lo Actividad 1 de lo unidad, analizo si en lo red local de tu clase hoy establecidos distintos áreas de seguridad e identifíco los. En coso de que lo red no tuviese cortafuegos en tu esquema, ¿en qué equipol s sería más adecuado instalarlo? ¿es necesario que se dispongo de uno zona desmilitarizado o DMZ? Asegurar lo privacidad de lo información transmitido en redes informáticos describiendo vulnerabilidades e instalando software específico 4_ Abre el puerto TCP 7225 en el cortafuegos de Windows. 5_ Repite lo operación con el puerto UDP 4661. 6_ El registro de seguridad del firewall de Windows, tanto XP como Vista, está desactivado por defecto. Actívala poro que puedan registrarse los intentos de conexión (paquetes recibidos y enviados) e interpreto el contenido que aparece tras recibir un ping desde el equipo de un compañero. 7.

Realizo la instalación del cortafuegos personal ZoneAlorm en tu equipo (no olvides desactivar cualquier otro cortafuegos). Tras la instalación aparecerán globos de información poro que permitas o deniegues la conexión de los programas instaladas en tu equipo, toma la decisión que consideres adecuada y justifícalo.

8_ Autoriza un programo de los instalados en tu equipo, como Office, para que pueda acceder a Internet. 9_ Realiza un Telnet al equipo de tu compañero de 01 lado. ¿Puedes comunicarte con su ordenador? En caso negativa añade su dirección IP o la zona de confianza de ZoneAlarm, ¿qué ocurre 01 ejecutor Telnet?

• Los equipos 192.168.0.3 y 192.168.0.4 podrán enviar paquetes al puerto de FTP de la máquina 193 .55.0.2. • La dirección IP 192.168.0.25 se utiliza para equipos visitantes, de modo que no se le permite enviar tráfico de ningún tipo. • Desde lo red 194.2.10.0 se han sufrido varios intentos de intrusión, por lo que todo el tráfico tanto de entrada como de salida hacia esto red no se permite. Recuerdo que debes ordenar las reglas de modo que no se produzcan incongruencias con el enunciado (empiezo con lo más restrictiva hasta la más general). 11. Utilizando iptables genera las reglas del ejercicio anterior con las opciones que sean necesarias. Recuerda que en lo ayuda de Linux tienes todos los posibilidades

(man iptables). 12_ En función de las reglas de filtrado generadas en la Actividad 10, ¿crees que llegará a tu equipo un paquete' proveniente de la dirección IP 194.2.1O.13? ¿Se podrán enviar paquetes a la dirección IP 194.12.10.13 desde la dirección IP 192.168.0.3? 13_ Configura Kerio Winroute Firewoll para que el equipo 192.168.1.5 de tu red esté restringido. En caso de que esta dirección na corresponda con ninguno de los equipos de la red local de tu clase utiliza la de un equipo de la red. 14. Prohíbe el acceso a la pagina Web www_iuegos. com, u otra similar, en Kerio Winroute Firewall, poro cualquier usuario. Nota: si estas usando la versión de evaluación, que no incluye el filtro Web, no podrás comprobarlo en el navegador pero si verás la regla configurada. Identificar lo necesidad de inventariar y controlar los servicios de red 15_ Kerio Winroute Firewoll permite limitor el ancho de banda para la redes P2P. Configura el límite de descarga en 100 Kb/s (download) y el de carga en 25 Kb/ s (upload). 16_ Analiza e interpreta la información del registro http generado por Kerio Winroute Firewall en el servidor.


Seguridad de 0110 nivel en redes: cortaFuegos

¡~~_~.;!.~.~.~.~_~.~.~~J--c '"

______

c_o_rtofUegOS _ _ _

~~

Proxy

_.. .S; .e2;:;g ;ún;. . s; u:;, i; m;,]p~l.e;;:; m:;. .e: n:;:ta.: .c: j:;ó;n.:.-~.,,--(

Cortafuegos software

.....

Cortafuegos hordware

......._

Según su ubicación ....;:;.;

--(

Cortafuegos personales

Cortafuegos de subredes

Actúan a nivel de paquetes de datos

Actúan a nivel de circuitos Según su tecnología Actúan como pasarelas de aplicación

Transparentes

De autoprotección del cortafuegos

Salida Entrado

router

Dual-Homed Host

--......;;Screened Hosl -.-..._-"

Screened Subnet


=

Qj H'il ndCOlCd

Seguridad de alto nivel en redes: proxy

En esta unidad aprenderemos a: o

Identificar la necesidad de inventariar y controlar los servicios de red.

o Instalar un proxy. o Configurar un proxy aiustándose o unas necesidades dadas.

y estudiaremos: o

Características y funcionamiento de las Proxy.

o

Instalación y configuración de un proxy.

o Filtrar acceso y tráfico en el proxy. o Métodos de autenticación en un proxy. o Monitorización del proxy.


Seguridad de a llo nivel en redes: proxy

1. Introducción Internet

En la unidad anterior hemos estudiada que la función principal de un cortafuegos es añadir seguridad a la empresa cuando esta hace de proveedora de servicios, es decir, controla y regula los accesos a la red interna desde el exterior. El uso principal del proxy, en cambio, es controlar el acceso que desde la red interna se hace de Internet: añade seguridad a la empresa cuando esta hace de consumidora de servicios, como por eiemplo, cuando desde dentra de la red de la empresa se lee el correo electrónico de Gmail o se consultan páginas Web.

Red interna

~J

Fig. 8.1 . Esquema de red con Proxy.

Un proxy desde un punto de vista general es un equipo que hace de intermediario, es decir; se encarga de realizar acciones en representación de otros. Dicho 'en términos informáticos, es un equipo de la red que se encarga de recibir peticiones de recursos de red de los equipos clientes y gestionarlas por ellas, respondiéndoles a sus peticiones cuando hayan terminado dicha gestión.

Aunque como ya hemos dicho un proxy es un concepto más general, habitualmente y sobre todo desde el punto de vista de la seguridad hace de elemento de la red por el que pasa todo el tráfico entre la red interna y la externa (Internet), encargándose de realizar las peticiones externas en nombre de los equipos de la red interna y descartando aquellas peticiones que na cumplen las reglas establecidas por el administrador.

~ Actividades l. ¿Qué es la navegación anónima par Internet? ¿Qué ventaias tiene?

q

Caso práctico 1

Funcionalidad del Praxy En este caso práctica vamos a comprobar la funcionalidad de un Praxy como herramienta de seguridad, pera también cama herramienta que utilizan los hackers. \

Existen numerosos servicios de praxys gratuitos en Internet que te permiten navegar sin deiar tu dirección IP registrada.

,

... ,•\ ...

yl

1. Para comprobarlo vamos a acceder a www.myip.es. que nos dirá cual es nues-

!5t bet,

tra dirección IP. Cama puedes comprobar, todos los que estamos en la misma clase navegamos desde la misma dirección IP pública, e incluso nos dice cuál es nuestra localización aproximada .

Add lo : I blinklisl I del

@ CUAL es mi ip?

2. Ahara vamos a acceder a esta página, pera a través de un praxy web gratuito. 193.200.150.82 "'-"<l

Entra en ww w.anonymouse.org, selecciona el idioma inglés y escribe en esta página la dirección www.myip.es. Verás que la dirección IP que nos está poniendo es diferente (ahora parece que nos indica que pertenece a las Islas Seychelles) . Esto es porque la petición a myip.es no la estamos realizando nosotros directamente, sino que la está realizando anonymouse.org y después nos está mandando el resultado.

Mi tlircccjoll jp : IP País: ~ Seychelles IP estado : Beau V all an IP ciudad: Vict oria IP latitud: -4 .6167 IP longitud : 55.4500 Provee dor: Anonymous SA Organizació n: Anonymous SA C,bl./DSL Netspeed:

Fig. 8.2. Mylp con Proxy.

Hay expertas que tratarán de localizar un praxy como el tuyo, que por despiste esté abierto y les permita acceder a otros lugares de Internet con tu dirección IP (en lugar de la suya).

\.


Seguridad de 0110 nivel en redes: proxy

2. Características del proxy

Sus características más importantes san: •

Permite definir los permisos que tienen los usuarios de la red interna sobre los servicias, dominios y direcciones IP externas. Por ejemplo, permite definir que el usuario Fernando tiene acceso a Gmail, pera Macarena no.

Todas los usuarios de la red interna comparten una única dirección IP (a un conjunta de direcciones), de forma que desde el exterior (Internet) na se puede diferenciar a unas de otros.

Puesta que toda el tráfico que circula de la red interna hacia Internet y viceversa pasa por el proxy, se puede auditar el usa que se hace de Internel. Podemos por ejemplo ver qué páginas se consultan can mayar frecuencia, qué usuarias hacen mayar consumo de ancha de banda, etc.

una página que ya tiene almacenada en su caché, te devolverá esa que él conserva, por lo que puede que no sea la última ver-

Permite almacenar las páginas recientemente consultadas en una caché para aumentar el rendimiento de la red. Es decir, cuando se consulta una página se almacena en la caché del praxy para que si posteriormente se vuelve a consultar se pueda servir más rápidamente.

la página en el navegador (pulsando F5).

Caso p'ráctico 2

9

Utilizar el complemento SwitchProxy Configurar el navegador Firefox para que, utilizando el complementa SwitchPraxy, modifique el proxy a través del que navegamos cada cierto tiempo. Can esta conseguiremos ser un paca más invisibles en Internet y comprobaremos cama la segunda característica de las praxys (todas las usuarias de la red interna comparten una única direccián IP) puede ser utilizada para aumentar la seguridad a cama herramienta hacker. 1. Descarga el complemento SwitchProxy de la página de complementos para Firefox (hHps://oddons.mozillo.org/es-ES/firefox/) e instálalo. 2. Busca en Internet una lista de proxys gratuitos. Puedes encontrar una en http:// www.proxys.com.or/ a en hHp://www.webproxy.com.es. 3. Copia en un fichero de texto diez proxys con su dirección IP (o nombre de dominio) y su puerto. Tienes que poner un proxy (dirección a dominio:puerto y sin espacios) por línea. 4. En la nueva barra de herramientas (Switch Proxy Toolbar) pulsa sobre el botón Add. Selecciona la opción Anónjma (Ananimous) y pulsa sobre el botón Continuar (Next). 5. Ponemos una etiqueta al proxy (Proxy label), por ejemplo invisible 1, e indicamos la ruta del fichera de texto (en File) que acabamos de crear; después pulsamos sobre el botón Cargar (Load). 6. También podemos especificar cada cuánta tiempo queremos que cambie el praxy que se está utilizando (Change Proxy Every) indicando un valor en segundos. Pondremos 60 segundos.

7. Salvamos los cambios. De nuevo en el navegador, seleccionamos la lista de proxys que acabamos de crear (invisible 1) Y pulsamos sobre el botón Aplicar (Apply). Comprueba de nuevo accediendo a www.myip.es que la localización que está detectando es diferente a la real y además está cambiando cada 60 segundas, lo que hace que sean más difíciles de seguir tus pasos en Internel.

I

Esto tiene como principales inconvenientes que puede ser bastante lento (por ser un servicio gratuito y tener muchas clientes) y que puede que veas las páginas que visites tal cual son (par ejemplo, las verás sin imágenes) .

Si utilizas un praxy y

i

sión de dicha página. Esto se

puede solucionar actualizando


Ya ;~","od

d•• ,. "'."" cod ••• m.,

----------------------~------------------------

3. Funcionamiento del proxy Los equipos que pertenecen a una red que tiene instalada un proxy, cuando se comunican con el exterior a través de uno de los protocolos activos en el proxy, en realidad están intercambiando paquetes con el proxy, y es el proxy el que intercambia paquetes con los equipos del exterior, de forma que cuando este recibe respuesta, a su vez contesta a los equipos internos.

It:JlI

Servidor www.eacnur.org

pe Fernando

~~====d ---@I ====ProXy <J b ======~ ~====~; =I@= I=====--

Red interna Fig. 8.3. Esquema IP can Praxy Sitour.

~ Actividades 2. ¿A qué direccián IP respondería el servidor web

l

www.eACNUR.com. a la direccián de PCFernando o a la direccián del proxy?

Siguiendo los pasos de la Figura 8.3 que representa el esquema IP de SiTour, el equipo PCFernando solicita la página www.eACNUR.com. Esta solicitud llega al proxy, y este tras comprobar que cumple las reglas establecidas, envía la petición a www.eACNUR. com en su nombre, es decir, como si fuera él mismo el que estuviera interesado en esta informacián. Además anota qué equipo le solicitá la página para después poderle contestar. Cuando la información es· enviada por www.eACNUR.com al proxy, este contesta al PCFernando con la información solicitada. Hay que tener en cuenta que www.eACNUR.com en ningún momento llega a «conversar» con PCFernando, sino que siempre lo hará a través del proxy. Para comprender un poco más en detalle el funcionamiento de una red cuando utilizamos un proxy vamos a centrarnos en una petición sencilla de un equipo de la red a google.com. Cuando un usuario solicita una página Web, como por ejemplo en la Figura 8.4 www. google.com, construye un paquete en el que el origen es su dirección IP y el puerto es uno aleatorio y libre asignado por el sistema operativo (por ejemplo, IP 192.168.1.72 Y puerto 5230). Como destino puesto que está utilizando un proxy pone la dirección y el puerto del proxy 182.168.1.1 y puerto 80.

Internet

192.168.1.1

Red local

80.38.1 .106

192.168.1.72 Solicitud Origen

192.168.1.72 Puerto: 5230

Origen

Destino

192.168.1.1 Puerto: 80

Destino

Fig. 8.4. Esquema proxy solicitud.

80.38.1.106

Puerto: 3000 209.85.229.105 Puerto: 80

www.google.com


Seguridad de alta nivel en redes: proxy

Cuando la solicitud llega al proxy, este genero un paquete como si fuero él mismo el que realiza la consulta, es decir, genera su propio puerto cliente aleatorio y pone su propia IP como origen (IP 80.38.1.106 Y puerto 3000). Con respecto al destino, pone la IP que corresponde con la petición del cliente, es decir, wwwogoogleocom, 209.85.224.105, y el puerto correspondiente al servicio Web 80. De esta manera cuando la solicitud llega a Gaogle, en el paquete sala hay referencias al proxy, es decir, a la dirección IP 80.38.1.106. Cuando Gaogle responde a la solicitud (Fig. 8.5), responde a la dirección y el puerto que recibió como origen en la solicitud: la IP 80.38.1.106 y puerto 3000. Cuando llega la respuesta al proxy, este tiene que modificar de nuevo la cabecera con el destino que le corresponda y se pone él mismo como origen. Internet

192.168.1.1

80.38.1.106

j

209.85p9.105 92.168.1.72 ! ~ ~~~~~ ------~~~~~~~~~~ .es Respuesta

~I

Origen Destino

192.168.1.1 Puerto: 80 192.168.1.72

Puerto: 5230

Origen

209.85.229.105

Destino

80.38.1.106 Puerto: 3000

Puerto:BO

www.google.com

Fig. 8.5. Esquema proxy respuesta.

Pero, ¿cómo sabe qué destino le corresponde? . •

1 •

192.168.1.72:5230

80.38.1.106:3000

192.168.1.50:6350

80.38.1.106:3001

Tabla 8. l. Tabla de estado del proxy.

La Tabla 8.1 es una tabla de estado que crea el proxy para saber a qué equipo de la red interna le corresponde cada paquete que le llega de la red externa. Por ejemplo el paquete de respuesta que llega de Google al puerto 3000 del interfaz 80.38.1.106 del proxy, tendrá que enviárselo al equipo 192.168.1.72, porque así está anotado en la primera fila de la tabla de estado del proxy. Esta tabla la va construyendo el proxy según va recibiendo solicitudes (es decir, cuando los equipos de la red interna acceden a servicios de la red externa.)

Actividades ~ 30 Teniendo en cuenta la configuración física de tu aula de prácticas, si tuvieras que colocar un proxy para controlar el acceso a internet desde tu aula, ¿dónde lo harías? ¿Necesitarías algún material adicional?

40 ¿Tiene la compañía Microsoft algún proxy? ¿Cómo se llama? ¿Cuáles son los requisitos del sistema para poder instalarlo?

50 Haz dos gráficos similares a los de las Figuras 8.4 y 8.5 representando la forma de acceder a Internet en el instituto desde el ordenador de clase. Supón que en el instituto tenéis un proxy.

60 Continuando con la actividad anterior desarrolla la tabla de estado del proxy que le correspondería.


Seguridad de alto nivel en redes: proxy

-------------------------------

4. WinGate WinGate es un software de la compañía QBIK bastante conocido que hace las fun· ciones de proxy en una red sobre un sistema operativo Windows. La versión utilizada durante el desarrollo de este libro ha sido la 6.6.

4.1. Instalación Un aspecto importante de la instalación de un nuevo proxy en la red es su localización físico. Lo ideal es que el proxy esté situado físicamente en el único punto de unión de la red interna y la externa (Fig. 8.3), de esta forma los equipos conectados a la red interna no podrán salir al exterior sin pasar por el proxy. Para comenzar con la instalación primero descárgote el programa de la página

http://

www.wingate.com/(después lo activaremos para tener 30 días de evaluación). Descár· gate también la documentación del programa y la documentación de instalación.

Q

Caso práctico 3

Preparación de la red de close para la instalación de un proxy Vamos a reproducir esta situación en el aula utilizando un equipo con dos tarjetas de red (o una máquina virtual con dos interfaces de red), un cable cruzado y otro equipo (Fig. 8.6).

1. El equipo que tiene dos tarjetas de

Internet

red lo vamos a utilizar como servidor proxy y el otro equipo como cliente. Una de las tarjetas de red del proxy la conectamos a la red de clase.

2. La otra tarjeta de red la conectamos

Equipo que hace de Praxy

utilizando el cable de red cruzado al cliente.

3. El interfaz del proxy que está conec· todo a la red de clase lo montendre· mas con la configuración IP habitual de clase. Ponemos el nombre «Red2 Solida Interne!» para identificarlo más fácilmente.

Configuración habitual

O

IP: 192.168.50.1 Máscara: 255.255.255.0

4. Para la otra red, que estará formada por un interfaz del proxy y el inter· faz del cliente, elegiremos la red 192.168.50.0/24, por lo que pondre· mas al proxy la IP 192.168.50.1 Y la máscara 255.255.255.0 (sin puerta de enlace y sin DNS). Al igual que antes cambiamos el nombre de este interfaz, lo llamaremos «Red1 - Red Local". La figura 8.7 muestra el resul· todo de ejecutar el comando ipeon· fig después de la configuración del proxy.

Fig. 8.6. Esquema clase con proxy.

5. Para la interfaz del cliente pondremos que se configure por DHCP.

Fig. 8.7. Configuración IP proxy.

Equipo que hace de cliente


Seguridad de alto nivel en redes: proxy

Iniciamos lo instalación de WinGate en el equipo que hará de proxy (debes tener configurados los interfaces antes como se ha visto en el Caso práctico 3), y lo primero que nos preguntará es si queremos instalar el servidor o el cliente; seleccionamos instalar WinGote Server.

ENS InstaJlaJion

Nos informará del lugar del disco donde se instalará (si es necesario modificarlo en tu sistema, indica en este paso una carpeta alternativa para la instalación). También nos informa de la posibilidad de manejar los usuarios ya creados en la arquitectura NT. No seleccionamos esta opción porque crearemos nuestros propios usuarios. Más adelante nos preguntará si queremos instalar ENS (Fig. 8.8). Lo instalaremos, porque este complemento nos permitirá utilizar NAT. Seleccionaremos también la opción que aparece más abajo como Protect Server on bootup ... , porque hará el arranque de WinGate más seguro.

Fig. 8.8. Instalación ENS.

Activaremos también la auto-actualización para mantener el proxy actualizado con los últimos parches de seguridad.

_........ . ._-,g_ ............... .....- . . . ....,............. . . .......__ . . . . -'"Actil'aJirrn Requircd

"

.....

~

~

En la siguiente pantalla nos pide que activemos el programa (Fig. 8.9). Es muy importante que no pases de esta pantalla sin activarlo, así que pulsa sobre el botón Activole y sigue los pasos.

;!) - - - ....... . _ . _ _ . .... ,,_ .. ..._

"' _

::w -t. . ..

... . ... JII ... "'" ,-- ~

...... ....... _..-.

101._ ,. -'... _ .. _ _ ... ...

..., _ - .. ,.. .............. '. '''''''''d.... _ ... ~.-

4.2. Configuración inicial Lo primero que tenemos que hacer después de la instalación (después de reiniciar) es comprobar que la instalación se ha hecha carrectamente. WinGate genera un nuevo servicia llamada QBIK WinGate Engine que llevará a cabo toda la funcionalidad de WinGate. Habrá que comprobar que el servicia está activa y que se inicia de forma automática.

F·Ig. 89 .. .. A c t·¡vac/on,

Para controlar este servicia podemos utilizar la consola de servicios de Windows services.msc (en esta consola la encontraremos cama QBIK WinGate Engine) a un icono que nos aparece en el área de notificación llamada WinGate engine ~ , que nos permite si pulsamos el botón derecha iniciar el servicio (slorl engine) o parar el servicio (slop

engine). Después iniciaremos GateKeeper, que es el centro de gestión de nuestro servidor proxy (Inicio> Todos los programas> WinGale > GoleKeeper). El usuario que nos crea por defecto para poder conectarnos al servidor recién instalado es «administrado,,>, sin contraseño. Por tonto, dejamos los datos que nos aparecen por defecto (tal y como ves en la Fig. 8.10) Y pulsamos sobre el botón OK. Nos pedirá que modifiquemos lo contraseña por seguridad.

,.. '" """" ....¡;¡ IGo~ ~~¡~ ~ "'~" '. ~.JVe

Control

" "í(JQIBJ

gos de Windows del equipo que hoce de servidor proxy, aunque uno vez probado y funcionando deberíamos activarlo de nuevo e incluir excepciones para los se rvicios y puertos que finalmente dejemos activos.

é

I':J ~ I)S"

:..J

AcaIunl deld3: U:emame ]Acmni:ttalor PII;:woId

Para evitar problemas a la hora de conectarse los clientes a los servicios de nuestro proxy, vamos a desactivar el cortafue-

I

r

U: e ClIlenl \ll1I1dow11ogll

Wr-.Gale~ion

5.. '<1"

,..

1""""

roo-

p I lag ro lo LO!2lnucl'li1e

r

~

FotHe!p, pr ~sF I

GateKeeper permite lo admi-

U;e lhele del!il; nelllline lo Iogil d.i~1y

1

nistración remota del proxy, de

c.... I

forma que teniendo GateKeeper en un equipo de lo red podemos administrar de Al

Fig. 8. 10. Conectar GateKeeper con nuestra instalación de WinGate,

forma

remota

varios proxy WinGote diferentes.


Seguridad de alto nivel en redes: proxy

Para terminar can la configuración de nuestro proxy, debemos indicar a WinGate qué interfaz tenemos conectada o la red local y qué interfaz tenemos conectada al exterior. Para ello vamos a la pestaña redes (networks), Figura 8.11, pulsamos con botón derecho sobre el interfaz conectado 01 cliente (interfaz de red local) y seleccionamos Propieda-

des. JD GeteKeeper - connected lo WlnGate on localhost

'1.

s... GOP Setvice

misSe/vice Remole Control SeMce

80B

POP3 Serve.

110

25

SMTP Setver

143

lAN or tiQh-Speed Internet: lAN or HiQh-Speed lnternet lAN or Hioh-Speed Internet rAN nr KiI1h_<;n",.ri Intl\rnl'.t

En ab!~d

En abl~d

EnabJed N,.tw ..... k r.v.1ooi I

Fig. 8.11. Configuración de Interfaces en WinGate. Dentro de las propiedades seleccionamos la opción Red interna protegida (internal protected network), que le indica o W inGate que ésta es la red interna (Fig. 8.12). Paro el otro interfaz seleccionamos la opción Red externo no seguro (external untrusted network), coma vemos en la Figura 8.13. x

-1- Redl - Red Locel Status

,-.

Enllbled

1.0Gbps

r r r. r

AA intema! prolecled network AA exlelnel oolrwted network (e.!jI. !he Internet]

A secu:ed eKlernal network {OM2]

~-

Sen! -

Por defecto y según lo instalación que hemos realizado de WinGate, el proxy está ges-

WMllype of nelwolk doe: this adaptel CO!VloeCl to?

Auto delect

Pocket::

1071

Ii

oK

Auto detect AA intelnel prol ected nelwork AA eKlelnal U"IlMled network (e.!jI. the Internet) A :ecured eKletnal nelwork IDMZl

Received

2107

1I

Fig. 8.12. Propiedades Interfaz local.

x

_.

1.0Gbp: W'hallype 01 nelwork does lhi, ad apt er comecl lo?

r r. r r

..L Red2 - SaMa Inte rnet Status

c..oc.l

Sen!. -

Packel:;

1831

~I

Received

OK

1631

c..oc.l

Fig. 8.13. Propiedades Interfaz externo.

tionando las peticiones a tra-

vés de NAT (Network Address Translation

o

traducción

de

direcciones de red) y no del servicio de proxy. Veremos esto con

más detalle en el Apartado 4.4.

Para comprobar que todo lo que hemos hecho funciona correctamente, arrancamos el cliente que teníamos configurado con DHCP y comprobamos que recibe uno dirección IP de forma automática y correcta. Ya podemos comenzar a navegar con el cliente y comprobar con GateKeeper en la pestaña Actividad que el equipo cliente aparece (Fig. 8.14).


Seguridad de alto nivel en redes: proxy

P

GateKeeper - connected to WinGate 00 localhost ,~

Actividades

7. ¿Qué características de

®

Pluglns

~ Winsock Redirector S...

t'

- (Administrator - Authenticated WinGate login: Register for everything

l

las que hemos expuesto en el Apartado 1 cumple el praxy tal y como lo tenemos ahora?

~ GDP Service ~ DNS Service ~ Remole Conlrol Service ~ POP3 Server ~ SMTP Server ~ IMAP4 SelVe,

f9J Email

t-JAT: NAT: NAT: NAT: NAT: NAT: NAT:

TCP Connectlon to TCP Connection to TCP Connection to TCP Connection to TCP Connection to TCP Connection to TCP Connection to

209.85.227.113:80 74.125.43.101 :80 74.125.43.101 :60 74.125.43.102:80 74.125.43.102:80 74.125.43.102:80 74.125.43.102:60

368

la Caching /iIiI Schedule,

53

808

@lDiale,

110

~ Extended NetwOIking

25 143

For Help, press Fl

Fig. 8.14. Comprobación actividad WinGale.

Extended Nelworking

4.3. Servicios de WinGate Cuando instalamos WinGate, no solo estamos instalando un proxy, estamos instalando un conjunto de servicios que habitualmente son utilizados en el equipo que hace de proxy. WinGate divide los servicios en dos tipos: de usuario y de sistema.

Fig. 8. 15 . Servicios del sistema.

Los servicios de los usuarios son los servicios propios de proxy que WinGate ofrece a los usuarios. Los más importantes son Proxy Web y Proxy FTP IFig. 8.14). Los servicios del sistema son los servicios que utiliza el sistema para funcionar IFig. 8.15). Los más importantes son: • •

• •

o

Servicio DHCP: permite que los equipos que están en la misma red IP reciban una configuración IP apropiada para la red de forma automática. Servicio DNS: el proxy hace de servidor DNS para los equipos de la red, es decir, cuando los clientes de la red soliciten una resolución de nombre de dominio, la consultarán a este servicio. Extended Networking: este es el servicio que durante la instalación nos consultó si la instalaba ENS IFig. 8.8). Este servicio incluye NAT y cortafuegos. Caching: es un servicio de WinGate que permite almacenar algunas de los contenidas solicitados al proxy ltípicamente páginas Web) en una caché Icaché de disco), de forma que si posteriormente otro usuario lo solicitara tardaría menos en servirla.

Parada y arranque de los servicios

Para parar un servicio de WinGate, tan solo tenemos que pulsar botón derecho sobre el servicio que queremos parar y seleccionar la opción Stop IFig. 8.16). Para arrancar un servicio igual pero seleccionando la opción Staft.

21

FTPP/oxyse/ver

<@ logfile SeNer <i!> POP3 Proxy server <t!> RTSP Slreaming Media Proxy <@ SOCKS Proxy server <@ Telnet Proxy server .;....-Start Stop New service Clone Service Delete

~opertles

Fig. 8.16. Servicios de usuario.

8010 8110 554 1080

23 7000 8000


Seguridad de 0110 nivel en redes: proxy

o

Configuración de los servicios

Cuando seleccionamos lo opción propiedades o hocemos doble clic sobre el nombre de un servicio, se nos obre lo ventano de configuración de dicho servicio. Algunos propiedades que se pueden configurar paro lo mayor parte de los servicios son: •

General: incluye los opciones para el arranque de dicho servicia. Los opciones mós utilizados son Manual start / stop para arrancar y parar manualmente cuando sea necesaria y Service will start automatically para que el servicio arranque de forma automática siempre.

Enlaces (Bindings): indica a WinGate en qué interfaces debe ofrecer el servicia. Por ejemplo, es lógico que el servicio DHCP sólo se ofrezca en el interfaz que conecta a la red interna. Se configura una de las siguientes opciones: Any internal adapter para que salo se enlace con interfaces internas, Any external adapter para enlazar con interfaces externos, a Any adapter para enlazar con cualquier interfaz. Si recuerdas, ya indicamos a WinGate qué interfaces son internos y cuáles externos en la instalación Ifigs. 8.12 y 8.13).

Políticas (policies): indico o WinGate qué usuarios pueden acceder, parar, arrancar o modificar dicho servicia. Si seleccionamos el permiso de acceso en el desplegable permiso (right), veremos en el cuadro inferior los usuarios o grupas que tienen dicho permiso. Cuando na hay especificados permisos, aplicarán las políticos por defecto que se hayan especificada en la pestaña de usuarios (en system policies).

Registro (Iogging): Indica los eventos de este servicio que se registrarán en las ficheras de registro (lag) de WinGate.

de los servIcIos que

instalado por defecto nos simplificado la configuraclan de los clientes, como son

DHCP y DNS.

4.4. Tipos de proxy Un praxy puede manejar las peticiones a través de diferentes servicios y diferentes métodos. Según estos combinaciones se forman los diferentes tipos de proxy: •

Proxy: es la idea más tradicional de un proxy. Los usuarios tienen configurados sus programas (por ejemplo, el navegador para que hagan sus peticiones a un puerto determinado del proxy). Para poder navegar los usuarios tendrán que configurar su navegador con lo dirección IP del praxy y su puerta. En lo Figura 8.17, el usuaria vir-Iaptop está configurado para trabajar can proxy.

.'

~

l."" ¡¡ http://www.frikipedia.es/friki/ASDF @fernando C~ NAT: TCP Connection to 208.43.202.7:80 :--C~ NAT: TCP Connection to 174.36.30.66:'143 ;·"" C~ NAT: TCP Connection to 174.36.30.66:443

Fig. 8. 17. Clienles NAT y proxy.

~ Actividades 8. ¿San las servicios DHCP y DNS necesarios para el funcionamiento del proxy? Desactívalas y hoz que el cliente sigo navegando par Internet. 9.

¿Can qué interfaces están enlazados los servicios ENS (el que incluye NAT) y WWWproxy?

JO. ¿Qué eventos se están incorporando al servicio de lag de EN S? 11. ¿Qué usuarios pueden acceder WWWproxy? 212

01

servicio ENS? ¿Cuáles pueden acceder al


Seguri dad de alto nivel en redes : proxy

Caso "ráctico 4

9

Utilizar un proxy en el cliente Configurar el navegador Firefox para utilizar un proxy en el cliente y comprobar en la ficha de actividad de GateKeeper que WinGate lo gestiona a través del servicio proxy y no a través de NAT.

lO] Prnq,1.oI

Ci Ccnl."" "'iJ

Pes!~

ro

PrCQrotM<

~on'q..1I<

@' Pr ivl>tid~

a ,l ~J

Se9""id~

con' ........... crie'pat.eI acc= a lrtemet -

AWld~\""tM

I",,~ .... _·I I

Pro.yt!HP:

I l~...h...· 1

rr,",, ~¡I':

Pro.

501: 1 Mlda"'l'aoo pat .IH.m;

o A........""'<l un '1\.1:>.""",. gu"'Mr d.to. pato"", , n , ......a.

1E~,epó:lne< _ 1

ii-:

;=y~,

Los si¡¡uo:nte. Pol:l' .. eb llenen dOltos ~d.w. pat. el uso en moda..,

~5OQ!

c..... ..sn,

I

IL=-!

~ ~,!o:

I ]92 ,169. 50.1

1

eo l$~

o u .... el rrismopro!y par. lodo

Ardw odc de medo.., cene. a. 1

- - ----,

o Sin ...cx:¡:

"v"""~

o con'..... ación d.! "'''''Y p.n ... ta ,O<! o úriiopación monuol del ...oxy

tórno F.efc~ . e cone<t~ ~ Inte",<t

UsMIl..:.a

tana.

¡:¡

Gene...,1~ I A,!UllkzIl< ! CJ,1tOO

r'~'"

1. Si Firefox está instalado sobre Windows XP pulsamos en Herramientas> Opciones, sobre Linux Edición> Preferencias. Ambos caminos nos llevan a la misma ven-

~ Pu:tt~; ~ 50,] I Puettll: ~ Ili.l' ~I I Punto. ~ 111 l' 501 I f\Jt1t~· ~

1'7:\

5OQ.5""

l'

/:!O"",,. ... ory p.... ,

~.sr.;

~1b:~ ...§.~.~m~.".~".•~~==:J E)emc*l'

o LRLw.L!a cooh:pación

.~.OIg, .~,ru

~OIJI6tic. delPlOXY'

I Ac~Of l lc"",.w I ~

Fig. 8.18. Configuroción Red en Firefox.

2. Pulsamos en el menú superiar sobre Avanzado y seleccionamos la pestaña Red (Fig. 8.18).

3. Dentro del apartado de conexión pulsamos sobre el botón Configuración (Fig 8.18) . 4. Seleccionamos la opción Configuración manual del proxy y escribimos la dirección IP del proxy (192.168.50.1) y el puerto del proxy (por defecto en WinGate 80). Además seleccionamos la opcián Usar el misma proxy para toda (Fig. 8.19).

Fig. 8. 19. ConFiguración proxy FireFox.

5. Reiniciamos el navegador para que asuma la configuración y accedemos a alguna página para poder comprobar su actividad.

6. Acced~mos a GateKeeper en el servidor proxy y comprobamos que la actividad del cliente ahora se refleja con otro icono. Ahara el proxy está gestionando las peticiones a través del servicio de proxy y no de NAT (Fig 8.17, equipo vir-Laptop).

o

Proxy NAT: es una combinación de NAT y proxy. Es un programa que recibe peticiones en cualquier puerto y utilizando la traducción de direcciones NAT las envía a Internet. Este es el método que en nuestra instalación por defecto utiliza WinGate. Son muy utilizados cuando no se quiere controlar el acceso a los contenidos, sino solo registrar la actividad. El usuario no tiene que tener configurado el navegador. En la Figura 8.18 el usuario Fernando está haciendo peticiones a través de NAT.

o

Proxy transparente: Es un proxy en el que todas las peticiones que se envían con un puerto destino son interceptadas por el proxy (aunque no fueran dirigidas a él) y tramitadas como si el cliente le hubiera hecho la petición al propio proxy. No es necesario que el usuario configure su navegador y además tiene toda la funcionalidad de un proxy (utilizaremos este tipo de configuración más adelante).

Actividades ~ 12. Configura el navegador Internet Explorer para navegar a través de nuestro proxy (si no tienes Internet Explorer utiliza cualquiera que no sea Firefox).

l____

13. Configura el navegador Firefox para no utilizar proxy. Comprueba en el servidor que estás manteniendo conexiones a través de NAT y a través de WWW proxy. 213


Seguridad de 0110 nivel en redes: praxy

4.5. Creación de usuarios WinGate reconoce tres niveles de usuario diFerente:

Unknawn (desconocidos): son usuarios sobre los que WinGate no tiene ningún conocimiento.

Assumed (asumidos) : WinGate ha asumido lo identidad del usuorio o portir de su dirección IP o el nombre del equipo. Como sobes, estos son dotas que Fácilmente se pueden Falsear, por lo que WinGate no garantizo que lo identidad de este usuario sea correcta.

Authenticoted (autenticados): WinGate puede asegurar lo identidad del usuorio porque ha posado un proceso de autenticación.

En los Figuras 8.21 , 8.22 Y 8.23 podemos ver como muestro gráFicamente WinGate o los usuarios de codo uno de estos niveles. Gllle

Ilper · cannecle lo

n ale on DCi! o

File V_ OptIons Hdp

Ei

m

C) CEent ~ef

USers

n Adrnl'listrator n Fernando n Gues t n VirQ'nlll

ID Groups

'r6D: "

Databllse opUon s

GJ

A5sumcd Users Systcm Po\ic.ies MuItI'U5cr M"ch:nes

~

Vir-laptop

I

~.~~_~","-_ _ _ _ _ _ _ _ _-,

~ JUPITER(

Fig. 8.21. Usuario Unknown .

~ Vir-Laptop - (virginia - Assumed [Assumed] )

~A

Fig . 8.22. Usuario Assumed.

L ¿¡:J WinGlI

-iji"Hi

Ncl'l Group Import Uscrs

~ Vir-Laptop - (virginia - Authenticated [WinGate] )

--'--"'"'

Fig. 8.23. Usuario Au/hen/ica/ed.

Exporl Users

Como podemos ver, WinGote pone en primer lugar el nombre de red del equipo desde el que se está conectando, separado por guión y entre paréntesis pone el usuorio WinGote que se ha reconocido y en que nivel (ossumed o Authenticated).

Fig. 8.20. Nuevo usuario.

q

Caso práctico 5

Nuevo usuorio «Asumido» en WinGote Creor un usuario y hacer que WinGate relacione una máquina con dicho usuorio.

1. Abrimos en el panel de control lo pestaña usuorios (si no te aparece el panel

~ Actividades 14. Creo dos grupos, Aula 1 y Au102, y añade 01 grupo Aula 1 el usuario que acabos de crear. 15. Creo otro usuorio y oñádel o 01 grupo Au102. 16. Analizo qué ocurre en el proxy si el diente modiFico lo dirección IP de su equipo en codo coso. 17. Discute con tu compañero cuál es el tipo de usuoria menos útil en tu instituto orgumentando tu posición.

de control: Menu > View> Control Panel o Ctrl+shiFt+C) , pulsamos con el botón derecho sobre el Fondo del panel y seleccionamos la opción Nuevo usuario (como se ve en la Figura 8.24). 2. En la pestaña inFormación del usuorio User Info rellenamos los datos que nos solicita y pulsamos Aceptar. 3. Poro vincular un equipo de lo red al usuorio que hemos creado, lo vamos a hacer o través de lo opción Usuarios asumidos (Assumed users) que nos aparece en esa misma pestaña . Hocemos doble dic sobre esta opción y en la ventana que nos aparece, dentro de lo pestaña por nombre By Name seleccionamos añadir y ponemos en primer lugor el nombre de red del equipo; en el desplegable seleccionamos el usuario que acabamos de crear. Podemos comprobar que reconoce el usuoria (en el nivel asumido) cuando la máquina que hemos asignado se conecte al proxy.

Existen vorios métodos de autenticación en WinGate, es decir, diversas Formas de hacer que los usuorios, poro conseguir acceso a Internet, tengan que poner su nombre de usuario y contraseño. De esta Forma WinGate los reconoceró como usuorios autenticadas y así podremos estar seguros de que realmente se troto de ellos . Algunos de estos métodos de autenticación son:


Seguridad de alto nivel en redes: proxy

Autenticación Windows: WinGate puede utilizar los usuarios ya definidos en el equipo local o bien utilizar los usuarios definidos en el dominio (en caso de existir). El principal problema de este sistema es que todos los equipos tienen que utilizar Windows, pero se tiene mucho control sobre los usuarios, porque podemos conseguir de una forma cómoda y transparente para el usuario que todos sean de nivel autenticado.

WinGate Internet Client: consiste en instalar una aplicación de WinGate llamada WGIC.msi en el cliente, de forma que cuando el usuario accede por primera vez a un servicio del proxy le sale una ventana para que ponga su nombre de usuario y su contraseña. Esta aplicación sólo existe para Windows, así que todos los clientes tendrán que ser Windows.

WinGate Java logon applet: con este método, cuando el usuario quiere acceder a través del proxy a un servicio que requiere autenticación, le muestra una ventana en el propio navegador para que ponga su nombre de usuario y contraseña. Es necesario que tenga instalado java en el navegador (es muy probable que lo tenga). Esta solución es multiplataforma, así que el proxy podrá tener clientes Windows, Linux y Mac sin ningún problema.

Actividades " 18. Discute con tu compañero argumentando tu respuesta que tipo de autenticación es más útil para tu instituto.

Caso práctico 6 Nuevo usuario «autenticado» en Wingate

9

2. Normalmente WGIC detecta automáticamente la direc-

Configurar un cliente para que se pueda autenticar con WinGate Internet Client.

1. Copiamos el fichero WGIC.msi del directorio de instalación del proxy (en concreto está en C:\Archivos de programa\WinGate\Client\WGIC.msi) y lo instalamos en el cliente.

ción del servidor, pero en algunos casos es necesario ponerlo de forma manual. Después de la instalación, en el cliente, abrimos el panel de control y vemos que hay un nuevo incono para la aplicación que acabamos de instalar. Entramos en el panel de control de WGIC y en la pestaña servidores WinGate (Wingate Servers) miramos si ha detectado el nuestro automáticamente; si no, lo añadimos (Fig. 8.24).

General Blndings Sessions Central Conflg PoIides

loggng

Use/ Appficalions Gene/al

I

I

S,lIslem Appfications Advanced WinGale Se/ve/s

Recipienl Ilocalion] Time ] Ban h l] Advanced] r- fver,llOne

~ped1,l1 user 01 glOup IEveryane

r.

Automalical[v ~elect which selVe/ lo use

r

r

Use se/ve/

User J Gr~ AdministIalor m AdministIalor: Guesl U:er:

IJUPI TE R AddreS"$ 192.168.50.1

Se/ver

I!!

POlI 2080

n m f} Vgoinia

Descrmlion BUlll en accnunl for adminislerin. .. Member: can adrninider Ihis se... Buill in accounl for guesl acce~.. . DrdinarJl me/:

r r

u ser maJl be ynknown UsermaJlbe-ª$surned r- jü sermusl be aul~enlicaled

Add

Help

Remove

App!!'

I

Ed,1

11

Relresh

OK

Fig. 8.21. Configuroción WGIC.

I

Cancel

Fig. 8.22. Forzar autenticación.

(Continúo)


Seguridad de a lto nivel en redes: proxy

~casa~ ~ r~ á~ ct ~ iC = O ~6 ~

____

~

______________________________________

~

______________________

~

(Continuación)

3. De nuevo en el servidor, dentro de la pestaña System del panel de control nas encontramos un servicio llamada Winsack Redirectar Service, que es el que se encarga de comunicarse con WGIC en el cliente. Vamos a modificar el servicia para que sala puedan acceder usuarias autenticadas. Hacemos dable clic sobre el nombre del servicia, y dentro de la configuración seleccionamos Políticas (po/icíes) (Fig. 8.26). Añadimos una nueva política seleccionando la opción Los usuarios tienen que estar autenticados (users must be authenticated) (Fig. 8.25). Después seleccionamos

en Permisos por defecto (Default Rights) que estas sean ignaradas (are ignored), para que solo tenga en cuenta los permisos que acabamos de darle y no los permisos par defecto (Fig. 8.26). Ya podemos comprobar que cuando el usuario se conecta a Internet a través, por ejemplo, de Internet Explorer le sale una ventana de WinGate para solicitarle nombre de usuaria y contraseña (Fig. 8.27). También puedes comprobar en la pestaña actividad de Wingate que el usuario es reconocida como usuario autenticado (Fig 8.28).

,

1"

I.:!!J

S IlttnSefVice. Ca>'igualJcn

~ DflCPSeI"",e

O G.n'fol ~­

@.

~ GDPS.,vic. ~ DUS

s.,,,,,.

~m.n;¡s

QSmions ~ CenlfolCorio;l

~ Remole C""'rol ~ FOPJSer"", ~ SM1P S.,ver ~ IMAP~ S.,ver

R. .

Il_,

R· t:

1!1,_

aEm~

li3 Ca:hng .I!..rau!:,i;#:ISY:'.mpckie:1 ~ l fji4¡: · .! ji ! j.

8!lSchedtk! ,f¡jDlalel

iiii33

1J~ -~sYllttn l~S ~________~______~~==~==~==~

Fig. 8.23 . Políticos poro Winsock. e~ Cr:en! attiv~y

~ ~

~ lUPITER[Adminlstrador] - (Adm:nistrator . Authenticated [ WinG~te log:n: Mod,Fy user Virg;nill

·WinGate requiles you to authenticate yourself before alJowing access to this selvice. Please enter your WinGate username and password (these are case·sensitive).

ª

/i!J

Vif-laptop[virg!nill] • (virg:nla • Authenticated [WinGate]) I ~ WRP Control Se~5jon' Fir.fox.exe http://www.google.es/irnages

!!J

~ http://l'lWW·gooo!. · . 5fim~ges/icons/5ettillnized_ui/play_c

. ~ http:/{dentsL.gooQ!e.es/completelsearch

~ httP :/{I'IWW.goo~¡e. e sfimages ~ http://I'lWl'l.goo~!•• es{jmages

Username: Passward:

rr-

1virginia

~====~I OK

II

gj! Sy:lem lntern~1 aetivily

Cancel C) Aclivity

Fig. 8.24. Acceso WGIC.

~ Netwolk ~ Ma.~ Queue

C9 Hi~loty !.ID Sy~le

Fig. 8.25. Virginia autenticada.

~ Actividades 19. ¿Puede un usuario navegar sin tener instalado WGIC en su equipo?

20. El servicio Logfile server en el puerto 8010 es un servicia que permite acceder desde un navegador en cualquier equipa de la red a los lag de WinGate. Puedes probarlo poniendo en tu navegador

192.168.50.1:8010, es decir, la IP del servidor WinGate y el puerto de este servicia. Configura el servicia para que solo puedan acceder los usuarios de tipo

authenticated. 21. Crea un nuevo usuaria adminJag y configura el servicia Lagfile Server para que sola él pueda acceder.


Seguridad de alto nivel en redes: proxy

5. PureSight PureSight es un plugin de la misma empresa que WinGate que proporciona una clasificación de sitias Web y un software que apoyado en WinGate permite o deniega el acceso a sitios clasificados según unas categarías.

Caso práctico 7

9

Instalar PureSight para utilizarla iunto con WinGate.

PureSight realiza la rlllm;t;i,-nc';nn de los sitios Web por dos métodos:

1. Descórgate el programa de la pógina de WinGate (hHp://www.wingate.com/).

• Una base de datos de los sitios

La versión utilizada durante el desarrollo de este libro ha sido PureSight 3.0.

ya clasificados previamente .

2. Eiecútalo y acepta la licencia. Se detendró WinGate para poder realizar la

• Un sistema de reconocimiento automático de contenidos que permite la clasificación de sitios de nueva aparición.

Instalar PureSight

instalación (hay que tener en cuenta que PureSight es un plugin de WinGate).

3. Nos muestra la ventana de activación. De nuevo, al igual que en WinGate, es muy importante que no pasemos esta pantalla sin activar el programa. Para activar el programa seleccionamos la opción activar prueba gratuita (activate free trial) (Fig. 8.29).

Activiltilln re quir ed

Thh Pl:ooucl requJ ~ i1clivation

In otdel lo fundon, PureSighllrx lÑlI'lGate mu:l be aclivaled You ma}J ac liv~le ~ {lee trial, 01a}JOU have a putcha:ed liceme, }JIlU can activale lhal hete now. 0 ~clival e flea

llial

O Act ivale a purcha:ed liceme

Para

activar o desactivar el

plugin de PureSight hay que

o Latel, You may aclivate a

~ial

acceder a la configuración de

ol liceme u:ing Eceme managemenl in WinGate

plug-ins de las propiedades del servicio www proxy y seleccio-

( ga~J.

J

11

tle~l )

I

nar (para activar) o deseleccionar (para desactivar) el plugin PureSight for WinGate.

L~~

Fig. 8.26. Activación PureSight.

4. Pulsamos siguiente, se descarga la licencia de prueba y termina la instalación, iniciando de nuevo de farma automática Wingate con el plugin de PureSight ya cargado.

I 5. L

Comprobamos que se ha instalado correctamente abriendo GateKeeper y viendo que aparece en el menú Opciones, Plug-ins.

Al instalar PureSight, automáticamente se nos activa el plug-in en el servicio WWW proxy, por lo que cualquier usuario que acceda a Internet a través del proxy estará utilizando dicha clasificación.

Actividades ~ 22. Activa el plug-in PureSight y comprueba que el cliente cuando está configurado para salir a Internet a través del servicio de proxy no puede acceder a Gmail. com, y cuando está configurado para salir a través de NAT sí.

Los usuarios que están ,nl;pnrln a Internet a través del serVICIO

NAT no se verán afectados por esta clasificación. En la Figura

8.29, el equipo vir-Iaptop está saliendo a Internet a través de

proxy y no de NAT.


Seguridad de alto nivel en redes : proxy

Podemos evitar que los clientes puedan salir o Internet o través de NAT soltándose así el servicio proxy, convirtiendo nuestro servidor proxy-NAT (actualmente implemento ambos servicios) en un servidor proxy transparente. De esto manero todos los peticiones que los clientes hagan 01 servicio 80, aunque no vayan dirigidos 01 proxy, serán interceptados par esto y posadas por el servicio WWW proxy. Paro hacer esto, hocemos doble clic sobre el servicio WWW proxy y en la sección Sesiones (sessions) seleccionamos lo opción Interceptar las conexiones hechas a través de ENS (intercept connections made vio ENS) y añadimos el puerto 80. Para configurar exactamente qué sitios queremos que PureSight bloquee, tenemos que acceder a Option > plug-ins > Puresight for WinGate, y dentro del panel izquierdo seleccionar la opción Cotegorías filtradas (Filtered categories). En esto ventana, PureSight nos muestro todas las categorías disponibles, simplemente seleccionándolos a trovés del cuadro de selección todos los sitios de esta categoría quedarán bloqueados en el cliente.

~ Actividades 23. Configura el proxy para prohibir el acceso o todas las categorías excepto Noticias, Mail y Deportes. Comprueba que el cliente no puede acceder o estos categorías de contenidos. 24. Despues de un tiempo funcionando WinGate con PureSight en SiTour detectas (analizando los lag) que los usuarios pasan bastante tiempo en lo página www. minijuegas.com. Debería estar bloqueado, pero no es así. Utilizando la opción Manual Clasification de PureSight prohíbe el acceso a esta página clasificán· dolo como de juego. 25. Personaliza el mensaje de prohibición que se muestra a los usuarios cuando acceden a un contenido de tipo juega en la opción Custom Response de Pureo Sight. Deberá mostrar algo como "Por política de empresa está prohibida esta página».

6. Control de 109 en WinGate

Tendrás que planificarte como una tarea periódica de tu tra-

bajo la revisión de los ficheros de lag, porque esta informa-

Para poder controlar el carrecto funcionamiento de los servicios y la utilización de los mismos, es necesario comprobar con cierta frecuencia los lag. WinGate genera dos tipos de lag: •

Lag de usuario: son ficheros en los que WinGate almacena información sobre los usuarios y su actividad. Estos ficheros se almacenan dentro del directario de instalación de WinGate, dentro de la carpeta audit, en un directorio con el nombre del usuario. Para activar la auditoría para un usuario, pulsamos botón derecho con el ratón sobre el usuario, seleccionamos la opción Propiedades, y seleccionamos la pestaña de Auditoría (auditing). Una vez ahí tenemos que marcar la opción Auditar 105 siguientes eventos (audit these events) y seleccionar los eventos que nos interesa registrar en el fichero de lag.

Lag de servicios: son ficheros en los que se almacena información sobre el fun· cionamiento de los servicios de WinGate. Se almacenan dentro del directorio de instalación de WinGate en un directorio llamado Logs y dentro de un directorio con el nombre del servicio.

ción crece muy rápido y pronto se convertirá en un problema

demasiado grande para abordarlo.

~ Actividades 26. Configura WinGate para que registre en los ficheros de lag cuándo se conecta el usuario administrador, cuóndo se desconecta y su actividad . :18


Seguridad de alto nivel en redes: proxy

7. Squid Squid (Fig. 8.30) es uno de los proxy mós utilizados debido sobre todo a su potencia y estabilidad. Ha sido muy utilizado por los praveedores de acceso a Internet como proxy caché transparente para disminuir el tráfico de Internet hacia sus clientes.

7.1. Instalación de Squid Para poner en marcha Squid en el aula, vamos a seguir la misma configuración física que seguimos con WinGate, es decir, la que se explicó en el apartado 4.1 y se representa en la Figura 8.6.

Fig. 8.27. Logotipo Squid.

Para instalar Squid podemos hacerlo a través de los tres caminos habituales: •

Compilando el pragrama a partir de los fuentes.

Instalándolo directamente a partir de los binarios que podemos descargar de hltp:// wiki.squid-cache.org/SquidFaq/BinaryPackages para nuestra distribución.

Para la realización de esta instalación y el siguiente proceso de configuración se ha utilizado

A partir de los repositorios oficiales de nuestra distribución.

la distribución Ubuntu 8.10 (Ihe Inlrepid Ibex) y la versión 3.0 de squid. Squid por defecto se instala como proxy (ni proxy NAT ni proxy Transparente).

Nosotras lo vamos a hacer a través de los repositorios oficiales ejecutando el comando aplilude inslall squid3. Una vez instalado Squid en el equipo servidor y configurados los interfaces de ambos equipos, podemos probar el funcionamiento configurando el navegador del equipo cliente (como se explicó en el Caso práctico 4) para utilizar el praxy que acabamos de instalar. Comprobaremos que está accediendo al praxy porque nos genera un error en el que al final hace referencia a Squid (Fig. 8.31). Para poder config urarlo, tenemos que cono-

cer donde se encuentran los ficheros de configuración y log. Las principales ubicaciones son:

.c-.. . .

@D - e :¡¡ .... ....-

y.

ur

Ll.i l!!!> I~ '~-

_ ,, ~ _

co-_

ERROR The ...equested URL could not be retrieved \','h j l~

t ryl n] to

r~t rl e '",

the

~L

b,m " .,,,,,,, .,

• /I ce" .. Denle d. Acre •• conlrol c::>r.fI Q'--'"~ti"" "e,en l, ~~ req...oE~t I,om bewq ~lI o .... ~d ~t thl& t¡me . P l e~ ~~ con t""t you .e,,'I( ~ pro.lóer tr yeu I~el thi, Is w=re<:t.

Ge<"I(:,<'!W1Hon . ?J

~"7?OO9 09 3-1 .:-0 G'1T by Ix~lro<! ¡!qud/J o ST,l,Bl.fn

Fig. 8.28. Error Acceso Internet con Squid.

/elc/init.d/squid3

Script paro iniciar parar o reiniciar e[ servicio Squid

/elc/squid3/squid.conf

Fichero de configuración de Squid

/var/spool/squid3/

Directorio que tiene [os ficheros de [a cache del proxy

/vor/log/squid3/ /usr/lib/squid3/

='

Directorio en e[ que se encuentran los lag del programa: access.log,

cache. lag y store.log Directorio en el que se almacenan los complementos de Squid

Tabla 8.2. Localización de los ficheros y directorios de Squid3.

Actividades " 27. Imagina el beneficio que tiene en el tráfico de un proveedor de servicios de Internet (ISP) si todo el tráfico de sus clientes pasara por una enorme caché. Anota en tu cuaderno cuáles serían las ventajas. 28. Examina los directorios que se describen en la Tabla 8.2 y observa qué tipo de información contienen. 21


Seguridad de allo nivel en redes : proxy

7.2. Configuración inicial

fichero es propiedad del superusuario y para el resto solo tiene permisos de lectura, así que tendremos que acceder como usuario root o utilizar el comando sudo.

La configuración del Proxy Squid la te nemas que realizar a través de un fichero de configuración, como es habitual en sistemas GNU/ Linux, llamado /elc/squid3/squid.conf (Tabla 8.2). Como vamos a estar modificándolo, y por seguridad, haremos una copia de la versión original:

sudo cp /etc/sguid3/s guid.conf /etc/sguid3/sguid.conf.bak Este fichera de configuración tiene explicación sobre algunos parámetras, por lo que incluye muchas líneas comentadas (las que comienzan por #). Los parámetros para los que no se ha dado valar tienen un valor por defecto, que aplica y que se suele indicar (como por ejemplo es el caso de cache_dir). Las líneas que no están comentadas no deben tener espacios al comienzo. Todos los parámetros de configuración del fichero tienen el mismo forma to, en primer lugar aparece el nombre del parámetro y después los valores separados por espacios. A continuación vamos a ver algunos de los parámetros más importantes del fichero de configuración de Squid :

Es el puerto del servidor en el que el servicia Squid estará escuchando peticiones de los clientes. Habitualmente suelen ser el 3128, 8080 o en algunos casos el propio 80 (del servicio Web). Nosotros dejaremos el valor por defecto:

http _ port 3128

Es el directorio en el que Squid almacenará las pági nas que decida mantener en la cache. El valor por defecto de este parámetro es:

cache _ d ir ufs /var/ spool / sguid3 100 16 256 ufs es el sistema que va a utilizar paro almacenar la información. /var/spool/squid3/ es el directoria a partir del cual se almacenará la caché. El siguiente pa rámetro especifico la cantidad de espacia en MB que se ocupará para la caché (100MB par defecto). Los dos siguientes indican el número de directorios que se crearán dentro del directoria caché (16 por defecto) y los que se crearán dentro de cada uno de estas (256 por defecto). Cuanto más aumentemos el espacio de disco disponible para la caché, más páginas almacenará y menas tendrá que consultar Squid las páginas reales, por lo que menos tiempo y menas ancho de banda ocupará. Sin embargo, Squid necesita una cantidad de memoria proporcional para hacer la búsqueda en el disco. N o es más rápido más espacio en disco si no se dispone de más espacio en memoria.

~ Actividades 29. Abre el fichero de configuración con tu editor favorito. Para abrir el fichero como superusuario con gedit: sudo gedit/ e tc/sguid3/sguid.conf Busca en tu fichero los parámetras descritos y sus valores por defecto.

30. Abre tu explorador de archivos (Nautilus, por ejemplo) y navega por la carpeta en la que se almacena la caché, comprobarás que la estructura que se ha descrito está realmente creada en dicho directorio.

20


Seguridad de alto nivel en redes: proxy

o

cache_mem

Indica [a cantidad de memoria caché que se utilizará para Squid. Por defecto son 8MB. Esta memoria se utiliza fundamentalmente para almacenar objetos en tránsito, que son [os que en ese momento se están sirviendo a [os clientes y para almacenar [os objetos más utilizados. Par tanto, este espacio habría que aumentarlo cuando aumenta e[ número de clientes o aumenta e[ espacio dedicado a [a caché. Para nuestro caso nos sirve e[ valor por defecto.

Indica a Squid e[ correo del administrador, de forma que si dejara de funcionar, este recibiría un correo alertando de esta situacián.

o

accessJog, cacheJog y cache_storeJog

Indica e[ lugar en e[ que se almacenarán [os ficheros de [og de Squid. En e[ caso del accessJog, [o define en [a siguiente línea: access _lag /var/log/squid3/access .log squid Esta línea indica que e[ fichero será /var/[og/squid3/access.[og y que e[ formato del fichero será squid (este formato [o puedes consultar en e[ propio fichero de configuración en [o línea donde pone logforrnat squid ... ).

o

cache_effective_user y cache_effective_group

Puedes comprobar que este es el

Indican, respectivamente, e[ nombre del usuario y grupo que ejecutará e[ proxy.

nombre del usuario ejecutando

el comando: ps

-c

squid3 -o pid,ruser,

cornrn que te mostrará el pid del proceso, el usuario que lo ejecu*

Poro [os conexiones anonlmas FTP es una costumbre muy habitual utilizar e[ correo electrónico como nombre de usuario, así e[ administrador del FTP podrá contactarnos en caso de necesitarlo. Como ahora puede ser e[ proxy e[ que se conecta en lugar del cliente, [a cuenta de correo que aparecerá será [a del proxy, así que es necesario configurarla. Si un cliente de nuestro proxy hiciera algo indebido en un servidar FTP, sería conveniente que e[ administrador de dicho FTP pudiera ponerse en contacto con nosotros para comunicárnoslo.

o

ta y el programa que ejecuta el proceso. Una vez terminada la configura* ción habrá que reiniciar el servi*

cio de squid ejecutando sudo/ etc/init.d/sguid3 tart.

res-

error_directory

Indica e[ directorio en e[ que se encuentran [os mensajes de error que e[ proxy mostrará a [os clientes (por ejemplo cuando accedan a un dominio no permitido). Para que [os mensajes aparezcan a [os clientes en castellano, tendremos que modificar este parámetro a /usr/share/squid3/errors/Spanish_

Actividades " 31. Accede a[ directorio en e[ que se encuentran [os ficheros de error en castellano y modifica todos [os mensajes para incluir e[ nombre de [a empresa, en este caso SiTour.

32. ¿En qué formato están [os mensajes de error? ~Podrías incluir una imagen en estos ficheros, como por ejemplo e[ logotipo de la empresa?

22

.- -

'

".~.


Seguridad de allo nivel en redes: proxy

Z3. Control de acceso en Squid En este punto nos vamos a referir a todas aquellas parámetros que nos permiten controlar el acceso dependiendo, por ejemplo, de quién haga o cuál sea la petición.

o

acl

A través de este parámetro definimos las listas de acceso, es decir, definimos grupos de equipos, de IP, de dominios, de horarios, etc., a los que luego permitiremos o denegaremos el acceso. El formato general del parámetro ael es: acl aclname acl t ype valores oc/nome es el nombre que se le quiera dar a la lista, teniendo en cuenta que na pueden repetirse. Ac/type es el tipa de lista ael que se va a formar.

las tipos de ael más utilizados san src, dst, dstdomain, urLregex y time. Vamos a comenzar viendo el tipo src y como se permite o deniega el acceso con hUp_access. Después continuaremos viendo el resto de tipos de ael.

o

aclsrc

Define a través de sus direcciones IP un conjunto de equipos de origen. Por ejemplo podemos definir como origen el aula mediante la siguiente lista: acl aula src 192.168.50.0/24 También podríamos formar una lista de acceso para cada aula del centro siempre que se diferencie por sus direcciones IP. acl aula1 src 192. 168.l. 0/ 24 acl aula3 src 192 .168.3.0/ 24 En el caso por ejemplo de SiTour, podríamos generar una lista de acceso para los vendedores (2 personas) y otra para el empleado del departamento de contabilidad. ac l v e ndedores src 192.168.50.5 192 .168.50 .6 acl contabilidad src 192.168.50.20

o

hHp_access

A través de este parámetro permitimos o denegamos el acceso a las listas de acceso que tengamos definidas.

la sintaxis general de este parámetro es: http_access allowldeny [!] aclname ol/ow permite y deny niega el acceso a la ael que se indique después.

Para determinar si da a na da acceso a una petición, Squid lee la sección hUp_access de arriba hacia abajo y cuando encuentra una línea con la que concuerda permite a deniega el acceso según lo que diga dicha hUp_access. Debido a que si no hay coincidencia continúa leyendo, para evitar prablemas se debe terminar la lista con un hllp_occess deny 01/.

Gt

Actividades

33. Recuerda qué es una lista de contral de acceso buscando en los temas anteriores su definición . ¿Dónde más hemos hablado de ael?

34. ¿Cómo definirías las listas de acceso para tu aula? ¿Y para tu instituto? 22


Seguridad de allo nivel en redes: proxy

_ _ _ _ _ _ _ _ _-'C=oso práctico 8 Aplicación de las reglas de acceso

9

access (http_access allow aula 1) encontrará coincidencia, así que como es un allow permitirá el acceso. No continúa leyendo el resto de http_access.

Determinar si hay acceso o no en los siguientes casos para

la lista de ael y http_access: ac1 all src 0.0.0.0/0.0.0.0 ac1 au1a1 src 192.168.1. 0/24 ac1 au1a2 src 192.168.2.0/24 http access allow au1a1 http_access deny !au1a1 http _ access deny a11

1. Llega una petición de la dirección 192.168.1.5 hacia www.google.com. La dirección 192.168.1.5 pertenece a la red 192.168.1.0/24, que coincide con lo que la segunda acl ha llamado aula l. Cuando llegue la petición, Squid leerá la lista de http_ access desde arriba hacia abajo. En la primera http_

2. Llega una petición de la dirección 192.168.2.5 hacia www.goagle.com. La dirección 192.168.2.5 pertenece a la red 192.168.2.0/24, que se ha definido en la tercera ael como aula2. Cuando llega la petición, Squid, de nuevo lee de arriba a abajo. La primera http_access (http_access allow aulal) no coincide con la dirección de la petición, así que no hace nada y pasa a leer la siguiente. La segunda (http_access deny !aula 1) afecta a todas las peticiones que no vengan del aulal, así que coincide con la petición y por tanto la aplica. Como es un deny, niega el acceso mostrando un mensaje de error ,en el I navegador. No continúa leyendo más http_acces ~

Dentro de nuestro fichero squid.conf, la sección de http_access está preconfigurada, de forma que poro no cometer errores innecesarios debemos escribir dentro de la sección que se nos indica. Justo debajo de la línea # INSERT YOUR OWN RULE(S) HERE ... , sin modificar el resto de la sección.

_ _ _ _ _ _ _ _ _ _ Caso (lráctico 9

9

Permitir acceso desde lo red Configurar Squid para permitir el acceso a los equipos de nuestra red. 1. Buscamos la sección en la que se definen las ael.

2. Dejamos la sección ael tal y como está y tan solo quitamos el carácter # una de las líneas en donde se define localnet (red local) (para que la línea deje de estar comentada) y la adaptamos a nuestras necesidades: ac1 10ca1net src 192.168.50.0/24

3. Bajamos a la sección http_access y descomentamos la línea que permite acceso desde nuestra red local: http access allow 10ca1net

4. Reiniciamos el servicio y probamos en el cliente que tenemos acceso a cualquier página de Internet.

La seguridad del proxy depende por tanto de como construyamos la sección de http_acces y las listas de acceso (ael). Cuando la red a controlar es grande, incrementa la longitud de estas secciones y dificulta su modificación. Las elaves para mantener la seguridad con éxito en un proxy squid, son: •

Mantener estructurada y organizada la sección http_access.

Conocer y utilizar adecuadamente los diferentes tipos de ael.

223 .

~_-' -

r

, ,>.Ji1 ~..

~~


Seguridad de olla nivel en redes: proxy

o Para averiguar la IP de un dominio sol o ti enes que hace r ping

Utilizando este parámetro podemos generar una lista de acceso por direcciones IP de destino, es decir, generar una listo de direcciones IP que coincidirá con una peticián al proxy cuando la petición vaya dirigida a una de esas direcciones IP. La sintaxis general de este parámetro es:

al dominio y fijarte en la IP a la

acl aclname dst d irección-IP - destino red -IP-destino

que deFinitivamente esta hacien·

do pingo

AcI dst

oc/nome es igual que antes el nombre que queremos dar a la listo, dirección-IP-destino es la dirección IP de destino que queremos incluir en la lista y red-IP-destino es lo red IP que contiene las direcciones IP que queremos incluir en la listo. Por ejemplo, en el caso anterior podemos generar la lista prensaDepor poniendo las direcciones IP de Morco y de As, que son respectivamente 193.110.128.199 y 194.169. 201.186. acl prensaDepor dst 193.110.128.199 1 94.169.201.186. http_access deny prensaDepor Esto tiene un inconveniente: si los servidores que tienen esas direcciones IP son servidores compartidos: que contienen más páginas web de otros empresas, estas también serán bloqueadas: Por ejemplo, la dirección 193.110.128.199 es la de un servidor en el que el grupo Unidad Editorial aloja varias páginas, como marca .com o Elmundo.es; bloqueando el acceso a esta dirección IP bloqueamos el acceso a todas estas páginas.

o

AcI dstdomain

Permite generar la lista de destinatarios a partir de dominios. La sintaxis general de este parámetro es:

acl aclname dstdomain .dominiol .dominio2 .dominiol y .domini02 son los dominios que se incluirán en la listo de acceso. Los dominios siempre tienen que empezar por el simbolo «.». Por ejemplo, podríamos agrupar los dominios de prensa deportiva para prohibir el acceso a los trabajadores de uno empresa a dichos dominios desde su puesto de trabajo:

acl prensaDepor dstdomain .marca.com .as.com http_access d eny prensaDepor Como ya se ha comentado anteriormente las líneas oel van en

la sección ael y las hUp_access en la sección htlp_ access, respe·

tondo las líneas que por defecto y por seguridad se crean en el fichero squid.conf.

o

urLregex

Permite utilizar expresiones regulares para definir una listo de url de acceso. Cuando se reciba una petición a una dirección url, por ejemplo www.tucasino.es. se comprobará si se produce coincidencia con la expresión regular definido. Puedes utilizarlo paro incluir todas las url que incluyan la palabra casino:

acl casinos url regex casino Esto tiene varias inconvenientes: •

Si uno página relacionado con cualquier otro tema llevara la palabra casino en la dirección (por ejemplo, porque en otro idioma significara otra cosa) tampoco se podría acceder.

Si un casino online no lleva la palabra casino en su dirección, no se bloqueará.

~ Actividades 35. Prohíbe el acceso a través de tu proxy a las direcciones IP de Marca y As. 36. Prohíbe el acceso a Morca y As utilizando el parámetro dstdomain.

24


Seguridad de alto nivel en redes: proxy

o

time

Permite generar una lista de acceso con ciertos horarios, de forma que luego podamos permitir el acceso o negarlo durante dichos horarios. El formato general de time es:

acl aclname time

[días]

[horas]

M

Mondoy

En días hay que indicar una abreviatura de las días de la semana según la Tabla 8.3. En horas una franja horaria en el formato hora_inicia-hora_fin, e~presadas ambos en formato hh:mm, es decir, horas y minutos separados por <C,».

T

Tuesday

W

Wednesday

Si queremos definir el horario laboral en una acl, quedaría de la siguiente manera:

H

Thursday

F

Friday

A

SOlurday

S

Sunday

acl horarioLaboral time MTWHF 9: 00 -19:30 Para prohibir el acceso a páginas de prensa deportiva durante el horario laboral:

http _ access deny prensaDepor hor arioLaboral Las peticiones que lleguen al proxy solicitando alguna página de las definidas en la lista prensaDepor durante el intervalo definido en horarioLaboral serán rechazadas.

Tabla 8.3 . Abreviaturas de días para Squid.

Como puedes observar, en el caso anterior se han incluimos dos listas de acceso (acl) en una definición http_acess. Para que se aplique la regla permitir/negar definida en el http_access, la petición tiene que coincidir en ambas listas. De forma general, cuando en una regla http_access se incluyen varias acl, para que dicha regla permitir/negar acceso se aplique, la petición tiene que estar incluida en todas las listas de acceso. Para que se vea mejor como utilizar http_access con varias listas de acceso en Squid vamos a poner un ejemplo:

acl descanso-Mañana time MTWHF 11:00-11: 30 acl descanso-Tarde time MTWHF 5:00-5:30 acl contabilidad src 192.168.1. 0/ 24 a cl correos dstdomain .gmail.com .hotmail . com acl prensa dstdomain .as.com .elpais.com http _ access allow contabilidad descanso-Mañana correos http _ access allow contabilidad descanso -Tarde prensa La primera regla http_access solo se aplicará cuando llegue una petición con las siguientes características: •

Que venga de contabilidad, es decir de la red 192.168.1.10/24.

Que llegue en el horario de 11 :00 a 11 :30 (de lunes a viernes).

y que su destino sea uno de los dominios .gmail.com o .hotmail.com.

La segunda regla http_access solo se aplicará cuando llegue una petición con las siguientes características: •

Que venta de contabilidad, es decir de la red 192.168.1.10/24.

Que llegue en el horario de 5:00 a 5:30 (de lunes a viernes).

y que su destino sea uno de los dominios as.com .el pais .com.

Actividades ~ 37. En la empresa SiTour hacen un descanso de 12:00 a 12:30 para tomar café y se quiere permitir el acceso a todos los contenidos durante este horario. ¿Qué información habría que incluir en el fichero de configuración de Squid? 38. Continuando con la actividad anterior, durante el resto de horario se quiere prohibir el acceso a páginas de

prensa rosa y juegos, que son las principales páginas visitadas por los empleados durante el horario de trabajo. 39. Además, en SiTour se quiere prohibir el acceso en horario laboral, excepto en el descanso, a los blogs de Google, excepto al jefe, que tiene la dirección IP 192.168.50.3.


Seguridad de alto nivel en redes: proxy

Z4. Autenticación Hasta el momento el único camino que tenemos para identificar un cliente es par la IP que tiene asignada. En este apartado vamos a estudiar una forma de configurar Squid para que los usuarios tengan que escribir usuario y contraseña para identificarse. Cuando los usuarios se han identificado en el sistema a través de un nombre de usuario y una contraseña, podemos tener la certeza de que son ellos y por tanto reclamarles responsabilidades sobre sus acciones. Squid incluye varios módulos que permiten realizar la autenticación de los usuarios utilizando diferentes métodos como integrar los usuarios de Internet (praxy) con Windows, o incluso con una gestión de cuentas centralizada, como por ejemplo con Windows 2008 Server. Estos módulos se encuentran en el directorio /usr/lib/squid3 (Tabla 8.2). En este apartado vamos a estudiar la autenticación utilizando el módulo ncsa_auth. Utilizando este método, el servidor proxy solicitaró a los clientes un nombre de usuario y una contraseña y comprobará si dicho usuario y contraseña existe en un fichero de claves que se encuentra en el servidor proxy.

q

Casa p'r-.;r",á;.;:ct;.;.ic~o;....:.lO =-_ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _~~_~_...,

Preparación de un fichero de claves Generar un fichera /etc/squid3/claves que contenga las contraseñas de los usuarios Virginia y Fernando, respectivamente, patata y cebolla.

1. Para poder manejar el fichero de claves vamos a utilizar el comando htpasswd. Este comando lo instalamos en un paquete que se llama apache2-utils.

2. Utilizando este comando generamos el fichero claves con un usuario llamado Virginia. Una vez ejecutado el comando nos pedirá la contraseña, escribiremos Ipatata': htpassswd -c /etc/squid3/claves virginia La opción 'oc' se utiliza la primera vez porque no existe el fichera y queremos que lo cree.

3. Repetimos el mismo proceso para el usuario Fernando con la contraseña 'cebolla'.

I directorio /etc/squid3 es del usuario reot y no tendrás acceso de escritura. Deberás ejecutar este comando como root.

En segundo lugar activaremos el módulo ncsa_auth y configuraremos Squid para que lo utilice en los casos que nos interese.

M Actividades ~. SiTour tiene la siguiente configuración en el proxy: acl ventas src 192.168.50.5 192.168.50.6 acl contabilidad src 192.168.50.20 acl horarioLaboral time MTWHF 8:00 - 21:00 http_access deny ventas horarioLaboral http_access al low contabilidad http_access deny ¿Qué ocurre si un empleado del departamento de ventas se cambia su dirección IP a la 192.168.50.20?

!26


Seguridad de alto nivel en redes: proxy

Al final de la sección auth_ param del fichero squid.conf, se nos recomiendo uno configuración básica para cada tipo de autenticación. Basándonos en estas líneas, la configuración recomendada para nuestro caso sería: auth param basic squid3!claves auth_param basic a uth param basic auth_param bas ic

program !usr!lib!squid3!ncsa_auth !etc! children 5 realm Proxy Si tour credenti a ls ttl 2 hours

En la primera línea, indicamos el módulo que vamos a utilizar para la autenticación ! u sr!lib!squid3!ncsa _ auth y el fichero de claves !etc!squid3!clave s que acabamos de generar. El parámetro children indica el número de procesos que se generarán para llevar a cabo la autenticación. Realm consiste en el mensaje que se incluirá en el cuadra que se mues· tre en el cliente para que introduzca su nombre de usuario y contraseña. Credentialsttl indica el tiempo que durarán las credenciales una vez obtenidas, es decir, una vez que el usuario ha pasado positivamente la autenticación el tiempo que le durará hasta que tenga que volver a hacerla. Por última, añadiremos esta lista de acceso de forma que solo pertenezcan las peticiones de los usuarios que sean validas para el sistema utilizando alguno de los métodos de autenticación configurados (en nuestro caso ncsa) acl validado proxy_auth REQUIRED A cualquier regla http_access que añadamos la acl validado, le mostrará al usuario la ventana de validación (Fig . 8.32) Y comprobará que este usuario corresponde con cualquiera de los listados en el fichero /etc/squid3/claves.

Hiitorlal

x

Marcadores

Herramientas

AY!.I.da

W ~~______________~===-

(&l Más visitados "" Comenzar a usar ef ...

________I

f&J Últinas: noticias

El proxy 192, 168 ,0, 1:3128 est.§ sokitando I.m nombre

de usuario y una contr~ña, El sitio dice:

"Proxy SiTour" Nomtlle de lISUaflo:

contraseña:

Ivi"ginia

~l.=.=••=.= . ====================i Aceptar

I Cancelar

Fig. 8.29. Autenticación NCSA Squid. Muchas empresas actualmente utilizan redes Microsoft, es decir, tienen la autenticación de los usuarios centralizada. Esto significa que cuando las usuarios arrancan el ordenador pasan un proceso de login, después del cual los usuarios ya son conocidos dentro de la red Microsoft. De esta forma los usuarios, cuando intentan acceder a un recurso, este acceso se gestiona automáticamente y de forma transparente entre el sistema operativo y el servidor de dominio.

Una de las principales I de las soluciones Microsoft (por ejemplo, el proxy de Microsoft)

No sería lógico que para poder acceder a Internet el usuario tuviero que poner de nuevo su nombre de usuaria y contraseña.

te y de forma automática dentro del dominio. Sin embargo, esta

Por este motivo, en redes de tipo Microsoft debemos configurar Squid para que utilice los usuarios ya definidos en el dominio.

vado.

es que se integran perfectamen-

solución tiene un coste más ele-


Seguridad de 0110 nivel en redes: proxy ----~------------~~------------------

Q

Caso ráctico 11

Configurar reglas de acceso básicos SiTour

Configurar Squ id para que en la empresa SiTour se cumplan las siguientes narmas: •

Ningún trabajador podrá acceder a Gmail o Hotmail excepto los jefes: 'virginia' y 'fernando' (con contraseñas 'patata' y 'cebolla').

Los trabajadares de contabilidad que tienen el rango IP 192.168.50.2-192.168.50.127 podrán acceder o todas las páginas excepto las mencionadas en el apartado anterior.

Los trabajadores de ventas que tienen el rango IP 192.168.50.128-192.168.50.255 no podrán acceder a Internet excepto a lo página del ministerio de industria y turismo (hltp://www_mityc_es).

1_ Generamos el fichero de claves correspondiente: ht pa sswd - c / etc / squid3/ claves vi rginia htpasswd / etc/ squid3/ clav es f e rnando Escribimos para ambos las contraseñas cuando nos las solicita. 2_ Configuramos Squid para trabajar con el mádulo ncsa_auth. Incluimos al final de la seccián auth_param del fichero squid .conf las siguientes líneas: auth_p aram aut h_param aut h_param auth _ param

basic basic basic b a sic

program / usr/ lib/ squid3 / nc s a _auth /etc/ squid3 / clave s children 5 realm proxy Si tour credentialsttl 2 hou r s

3_ Configuramos las listas de acceso que nos harán falta en Squid: acl ac l ac l acl acl

Conta src 1 92 . 16 8 .5 0 .2-1 92 . 168 .50 . 127 Ventas src 192.168.50 . 128-192. 16 8 . 50 . 2 55 Ministeri o _Tur i s mo dstdomain .mityc.es Ges t or e s Correo dstdomain .hotmail.com .gmail.com Jefe s proxy _ auth REQUIRED

4_ Configuramos las reglas de acceso poro cumplir todas las condiciones:

L

http_acces s http_ acce s s http_acce s s http_ a c cess

a l l ow Gestores

Correo Jefe s

al low Ventas Ministe r i o Turismo allow Canta !Gestore s Correo

deny All

____________________________________________- J

~ Actividades 41. Haz que todos los usuarios del aula puedan navegar desde el ordenador cliente que está conectado a tu proxy, pero que ningún usuario que no se autentique pueda navegar. 42. Utilizando el siguiente tipo de acl: Ac l profes or es proxy au th mac are na f e r nando http _ acces s a llow profesor es La línea http_ acc ess solo coincidirá cuando los usuarios autenticados sean macarena y fernando .

228

Configura el proxy para generar los grupos de tu clase (profesores y alumnos). Haz que los alumnos solo tengan acceso a la página de tu instituto. Los profesores tendrán acceso a todo.

43_ En la empresa SiMotor, un concesionario de motos, tienen un ordenador con la direccián 192.168.50.100 para que sus clientes puedan acceder a las páginas de Honda y Suzuki. En el resto de la empresa para poder navegar desde cualquier ordenador hay que autenticarse. Los usuarios son Virginia, Macarena, Fernando y Gustavo, y podrán acceder a cualquier página.


Seguridad de alta nivel en redes : praxy

7.5. Clasificación de sitios en Squid Como ya has podido observar el control del acceso en un proxy es una tarea muy tediosa debido a que el número de sitios de Internet es muy grande y además cambian constantemente (se generan nuevos sitios todos los días y desaparecen algunos que existían).

Caso ~ráctico 12 " Estudio de las posibilidades para restringir el acceso a los sitios de noticias En SiTour han detectado que los empleados dedican los primeros 5 minutos a leer el periódico por Internet. Quieren terminar con esta costumbre y deciden prohibir el acceso a los periódicos.

1. Aplicando lo que ya hemos aprendido en esta unidad podríamos limitar el acceso a ciertos dominios o direcciones IP, como por ejemplo los de El País, El Mundo, La Razón, ABe o Diaria 16. Sin embargo, los trabajadares todavía podrían conectarse a sitios de periódicos menos mayaritarios, como por ejemplo Adn, Metro o el diario de la zona. 2. Podríamos esforzarnos un poquito más y conseguir un listado de la mayoría de los periódicos y configurar sus dominios como prohibidos. 3. Sin embargo, aún podrían conectarse a periódicos no españoles, como por ejemplo The Daily Telegraph, The Guardian, The New York Times.

4. Podríamos prohibir el acceso a los principales periódicos en otras lenguas, pero podrían seguir leyendo los periódicos minoritarios de otros países. Como puedes ver, este es un trabajo muy tedioso, que quita mucho tiempo y resulta poco gratificante para un administrador de red, pero al final conseguiríamos una lista muy grande en la que estarían muchos de los dominios de periódicos on-line. También podemos aprovechar alguna de las listas que ya existen en Internet con clasificaciones de sitios ya completadas y que además se actualizan con cierta frecuencia.

~,------------------------------Para descargar una de las listas de sitios disponibles en Internet accede a la sección de descargas (download) de la página http://urlblacklist.com y descarga el fichero bigblacklist.tar.gz. Descomprime dentro del directorio /etc/squid3/ el contenido del fichero bigblacklisUar (para descomprimirlo usa el comando tar -xvzf bigblacklist.tar.gz cuando estés dentro del directorio squid3).

Otros sitios donde puedes encan· trar clasificaciones de sitios son:

http://www.shallalist.de http://squidguard.mesd.k12. or.us/blacklists.tgz

Ahora tendrás un directorio nuevo dentro de /etc/squid3/ que se llamará blacklist, dentro del cual habrá una carpeta por cada categoría de sitios de Internet, por ejemplo news, webmail o weather y dentro del cual habrá al menos uno de los siguiente ficheros: o

Domains: contiene los dominios que están incluidos en dicha categoría. Por ejemplo, dentro de /etc/squid3/blacklists/news/domains hay una línea «elpais.es» que indica que este dominio es un dominio de noticias. Este fichero lo utilizaremos para generar una lista de acceso (acl) utilizando el tipo dstdomain.

o

Uds: incluyen URL con contenidos de dicha categoría. Las url que están incluidas en el fichero /etc/squid3/blacklists/news/urls contienen según esta clasificación noticias. Nos permite generar listas de acceso de tipo dst.

o

Expressions: contiene expresiones que típicamente tienen los sitios de esta categoría en la dirección. Generaremos listas de acceso utilizando el tipo url _regex. 229


Seguridad de alto nivel en redes: proxy

~ Casa práctica 13

Utilizar una lista de dominios para controlar el acceso a las noticias Continuando con el coso práctico anterior de la empresa SiTour, vamos a construir una regla en el proxy para prohibir el acceso a los periodicos a sitios de noticias on-line utilizando la clasificación que nos hemos descargado. L

Fí¡ate en el formato de los dominios del fichero /etc/ squid3/blacklists/news/domains aparecen correctamente uno en cada línea, pero no comienzan por el símbolo «.l>. Si recuerdas el tipo de acl dstdomain los dominios tienen que comenzar por «.l>, así que tendremos que añadir un punto al principio de cada línea. Esto se puede hacer de forma automática en Linux utilizando el comanda awk '{printf("_%s\n",$l)}' dornains > dornains punto _ Ahora el fichero

domains_punto contiene los dominios pero comenzando por punto (tal y como lo necesitamos en squid) . 2_ A continuación modificaremos la configuración de squid creando una nueva acl que incluya los dominios de noticias: ac l notic ias dstdomain "/etc/squid3/ black lists/news/ domains _punt o" y añadiremos una regla http_access al principio de nuestra lista que prohíba el acceso a estos dominios a todos los trabajadores: http_access deny notici as Ya solo nos queda comprobar que las clientes no pueden acceder a las dominios, para ello solo tenemos que consultar desde el navegadar de un cliente algunas de los dominios que aparecen en el fichero damains_punto.

~ Actividades 44_Prohíbe el acceso en tu proxy a los sitios de blog y hacking, excepto a los usuarias autenticados. Comprueba que lo has hecho correctamente. 45. Prohíbe el acceso a los sitios de juegos a los usuarios Macarena y Virginia.

)

7.6. Gestión del proxy con Webmin. Control de log Tendrás que tener instalado Webmin . Si no lo tienes, visita

la página oficial (http://www_ webmin_com/), descárgalo e instálalo. La versión utilizada para este

libro ha sido Webmin 1.49.

Webmin es una aplicación de administración que utilizando un interfaz Web permite administrar la mayoría de los servicios disponibles en un equipo GNU/linux.

o

Insto lar y configurar Webmin para Squid

Para poder utilizar Webmin para interactuar con el Proxy tenemos que instalar el módulo de Webmin llamado Squid y configurar dicho módulo. Antes vamos a instalar dos paquetes del repositorio que necesita Webmin para interactuar con Squid: calamaris y squidclient. Para instalarlos ejecutamos el comando aptitude

install ca/amaris squidclient.

En Webmin lo primera vez que accedes a un módulo lo encontrarás en Un-used modules (módulos sin usor). A portir del momento en que lo utilices por primera vez aparecerá en la categoría que le correspondo. En nuestro coso en la categoría Servidores.

Volviendo a la instalación del módulo Squid, entramos en Webmin (hHp://localhost:l0000) y en la configuración de Webmin (en el menú del marco de la izquierda Webmin > Configuración Webmin) seleccionamos la opción Módulos Webmin. En esta pantalla instalaremos Squid buscándolo entre los módulos estándar de www.webmin.com. Una vez instalados nos pedirá ciertos datos de Squid para poder funcionar correctamente. Dentro de la sección Configuración del sistema habrá que indicar dónde están los ficheros principales de Squid que ya se comentaron en la Tabla 8.2. Algunos de estos valares son el comando para ejecutar Squid y el directario en el que se encuentran los lag de Squid. Salvamos los cambios, y reiniciamos Webmin (Webmin > configuración webmin, y pulsar el botón reiniciar) y ya podremos util izar el módulo Squid de Webmin.


Seguridad de alto nivel e n redes: proxy

o

Utilización de Webmin

Utilizando Webmin podemos modificar algunas de las opciones que ya conocemos, como por e¡emplo dentro de Control de acceso (Fig . 8.33) en Webmin podemos configurar las listos de acceso y las reglas http_access. También puedes modificar la autenticación del praxy, añadir, modificar a eliminar usuarias, etc . Wa!lrru.l'.WIiIDGilI '

ll!lUilln!!JiUtI1II.ll.l

J~;:Ii1tü:i

an:hMO Edu. !<'Ir t<iJ¡,.""l .I:! •• t.d".. t<1 ....",¡I "lU "'nId.

1..0;'0' ''''' O W.b_ Os." .... D s ..... , ... .

""'" '",fo;II",, 'od.ml,l.

u""ro d. C.".....

U'JI"'"

~ . ",," . ,CV$

!s0Ui~~

D a....

",. o '''''w,,' U

e,.",.

Servidor ProKy Squid $,.I;.","Ó.' •

~

. ...n .. "l."'oJ • • • R. d

~ .. rt~

I ", ,, ,,,,, •••1, " 1.0;. 1:'1 ~""",,,f,,,,,,,,,,,

: :¡ .,f"'."'i"',,

0 1..0;,"

i::? lB 0"""""0<1'. '''''' ~..

~,r" ".,

,

11::.

ifJ

00','•"•••C''''~''' I ,~."'d

n"""~'"J/f''.'' '

I

U.. 4....m .. ' •

\l.".... d. Co:M

n u." .. ~ , . ,.," ..

,

6

''''i''''''' d,_",d.

c.=d i. ",,..0

o.""".. ~."......

•••;".,.,i••",,,V',,,".

'o.,.d,."""

ilil

C'ntrol ~,"'".o d, C.blt""

o

~

.u.n..

eodil."";•••' O"""".n,,,,,,,,," ••

R,¡'..

:#.,

e..... ' ..... ¡" . .... .....

1"" óu, lo eo,*".,,,"n I I D."ner5.~ I

• " .1... ,oh . ....

~"'n

....

ot .....

lo

,.nI.......... ,,"'01d. 5 0""

......... "lo< •• d. botin .... h' .... . ' ....... .. . .." ,. . . n ....~",n. Uno • •• • •

'_io '"

<~ .... ,

O. , ,.

~

no •• d, ..

loo,.,

Fig. 8.30. Webmin Squid.

Sin embargo, la mayor parte del tiempo que dedicamos a la administración de Squid en una empresa como por e¡emplo SiTour, una vez que Squid ya está instalado, configurado y funcionando, se dedica al seguimiento de los lag que genera Squid. las tareas de configuracián se pueden realizar sin mucha dificultad directamente sobre los ficheros, pero para analizar los lag de Squid es recomendable utilizar alguna herramienta más visual. . Por todas estos motivos, nos vamos a centrar ahora en la opción Análisis de histárico de

calamaris.

o

Anólisis dellog de Squid con Webmin

Tenemos varias opciones para con trolar las lag de Squid de forma gráfica, una de ellas es utilizando el programa calamaris, que se integra dentro del módulo de Webmin . Si pulsamos en la opción Análisis de histórico de ca/amaris, veremos un informe de la actividad que ha tenido Squid. Este informe contiene mucha información, pero nosotros nos vamos a centrar en dos tablas:

Byte

:.,.I_::..m~i~ni~iu~e~g~os~.~co~m;;==" ~_....;7",4~~1....;3::.;9;,'7;.8;:1---:2~.~70JI "I-~.m~i=n=iju;=e=g=o=s.::gr_at--=i5=.c=o=m2: :1r--,2;-:4~ :lr12~'..;9~0+I-;;occ·O;:=}~I

I

1 hit-%

18759611 10. 7 0JI

0.60

10 662 6 ¡-TOS 1 O. OO I-·googte.com 1 121 6.451 0.00 1 139641[Q.B01 0. 00 :'::16;4.~1.2~S~.2~2~2=._~=-· ~1-~9~~1~4.~8~4·~1-o~. ~ooll 1246161 7.101 0. 00 I-·mochibot.com 1 9'1 4.841 0.0011 148871 rl_.a-nt:-e-v-e-ni:-o-.c-o-m--J-,ilr---:8c'I---C4:-.3::-:0~: il---C0:-.~ =i00 1 56321

1

%

0. 85'1 0.00 0.321 0.00

I- .publicidad.ne!:

1

8,1 4.30 1 0.00 1 15771 ["OTo1 71741J I4T9I

0.00 0. 00

I-·advertising.com

11

71

51696 112.951

0.00

171_.=d;;=ou--:b-:"le~c-;;lic-;k-.n-e!:-:----;J :--1----:;7"lc---:;3-:.7;-;:6+1-;;:0-;;.0:;;;011 3.761

0.0011

Fig. 8.32. Ca/amaris, dominios 2. o nivel accedidos.

¡;;(~min!llCP.reqUl!m by ha, t

I

h Dst

Ir~qul!5t ~lsl!(/rl!q ~(hii'=% (kB/S I!(

1192. 1fiO.5().1'lD~r;:¡7~[2"2'iJSíJ.79~

Isum

~[6.i7¡-ii:'il~í3.7i~

Fig. 8.31. Peticiones por host.


Seguridod de alto nivel en redes: proxy

~~~:,i¿~~~~Hjn

Generador de

DOtumefltos ..

Informes de Análisis de Squid 1:)

~

ori~en de H'Slóncoy De~tino de Informe

~

Opdonos de Informe

~

E$\~o

de Informl!

Genera,ión de Informe pI3n'I!ca do

1Ge nerar Informo Ahora I Puln est e botó n para yenerar

'-=====-'-' Inmed,atam ente un Informe 5 ..ry en /var / """"/5'lu l d · ~ep Drt'i ut,I,:ando.la confl gurac,ón ilctUill.

Fig. 8.33. 50r9 en Webmin.

Request·destinotions by 2nd-level-domoin nos informo de los peticiones que ha habido o los dominios de segundo nivel (Fig. 8.36). Par ejemplo podemos observar que 01 dominio .minijuegos.com se han hecho 74 peticiones, es decir es el dominio mós consultado por los usuarios del proxy.

Incoming TCP.requests by host nos muestra infarmoción sobre los peticiones que ha hecho codo equipo de lo red (Fig. 8.35). En nuestro coso solo tenemos un cliente, según lo Figuro 8.35, tiene lo IP 192.168.50.140 que ha hecho 15 peticiones.

Sin embargo, colomoris no nos estó ofreciendo información sobre qué usuarios occe· den o qué dominios (siempre tenemos lo opción de consultarlo en el fichero access.log directamente), por lo que vamos a instalar otro paquete del repositorio llamado Sarg (aplilude inslall sarg) y el módulo de Webmin que permite gestionarlo, también llamado Sargo Los pasos para la insta lación de Sarg en Webmin son los mismos que se explica· ron para el módulo Squid de Webmin. Una vez instalado, vamos a configurarlo directamente a partir de su fichero de configu. ración editando el fichero / etc/ squid/sarg.conf. Modificamos dos paró metros language -pondremos «Spanish»- y access_log -pondremos la ruta al fichero access.log de Squid (ya la vimos en la Tabla 8.2 es /var/ log/squid3/ access.log) . Una vez configurado accedemos a Webmin y entramos en Servidores> Generador de informes Squid (Fig. 8.36). Con la configuroción por defecto del módulo será suficiente, por lo que podemos generar un informe pinchando sobre el batán Generar informe ahora. Ahora si pulsamos sobre Ver Informe Generado, podremos ver el informe que acabamos de generar. Dentro de Webmin, en Opciones de informe podemos seleccionar varios tipos de infor· me; si seleccionas la opción Todos los informes, Sarg generaró todos los informes para las que haya información.

~ Actividades 46. Sigue las siguientes pasas: 1. Configura Squid para que se prohíba el acceso a las noticias, se prahíba el acceso a cuentas de correo excepto a los jefes y haya dos departamentos, ventas y contabilidad con diferentes permisos. 2.

Vacía los ficheros de lag de squ id:

3. echo 4. echo 5. echo

uu uu

> /var//og/squid3/access.log > /var/log/squid3/cache.log

> / var/log/squid3/slore.log 6. En el ordenador del cliente navega desde diferentes departamentos y dife· rentes usuarios y tanto a páginas a las que se tiene acceso como a páginas a las que no. Intenta autenticarte como uno de los jefes (en algún caso no escribas bien la contraseña).

7.

uu

Genera un informe completo en Sarg de Webmin en el que se incluya páginas accedidas por cada usuario, listado de sitios mós visitados, denegaciones de acceso y fallos en la autenticación.

y responde a las siguientes cuestiones: a)

¿Quiénes son los usuarios que han intentado acceder a póginas para las que no tienen acceso?

b) ¿Hay usuarios que hayan intentado autenticarse muchas veces en poco tiempo? (pueden esta r intentando descubrir una clave de usuario). e)

Comprueba las páginas que ha visitado cada usuario ¿Son páginas correc· tos para un trabajador de SiTour?

d) ¿Cuóles son las páginas mós visitadas? 232

---------)


Seguridod de olto nivel en redes: proxy

Comprueba tu a"rendizaie~ Aplicar mecanismos de seguridad activa describiendo sus características y relacionándolas con las necesidades de uso del sistema informático Asegurar la privacidad de la informacián transmitida en redes informáticas describiendo vulnerabilidades e instalando software específico

1. Instala WinGate, pera durante el procesa de instalación responde que no a la instalación de ENS (Extended Network System) . ¿Qué diferencias observas en el funcionamiento del proxy? 2. Configura el servicio Remate Control Service para que te permita acceder a GateKeeper desde cualquier equipa de la red. 3. La empresa SiTaur quiere cantrolor el acceso o Internet de sus empleados. En lo empresa hoy: - Un jefe, Fernando que tiene que tener acceso o todo. - Dos empleados de ventas, Macarena y Gustavo, que no tendrán acceso a Internet excepto de 10:00 o 10:30, que es el hororio de descanso. - Un empleado de contabilidad, Virginia, que necesito tener acceso o lo página de lo agencio tributaria (www.aeat.es) y al correo de lo empresa (www. gmail.com). - Configura WinGate poro conseguir que en lo empresa SiTour se cumplan estos requisitos. 4. La empresa SiCon, que se dedica a la construcción, tiene 10 empleados en su oficina y otros 50 empleados que habitualmente no están pero que de vez en cuando trabo ion una moñona allí. Configura WinGate paro que permito un acceso aceptable o las 10 empleados que estón en lo oficina habitualmente y un acceso mínimo o los usuorios que de vez en cuando están allí. 5. En lo empresa SiCon se ha detectado que se estó accediendo o alguno pógina de juegas y opuestos online. Tiene que ser uno de los diez empleadas que habitualmente está en la empresa, parque el resto no tienen acceso a este tipo de contenidos. Realizo lo auditoría necesaria en WinGate para detectar quién es lo persona que está realizando estos accesos. 6. En Squid, accede a la carpeta de mensajes de error, hoz una copia de dicho carpeta y después modifico los ficheros de mensajes para que aparezca el logotipo de SiTour (genera tu propio logotipo con tu herramienta favarita, por ejemplo, Paint).

7.

En la empresa SiCon hay 4 departamentos que deben tener los siguientes accesos:

Contabilidad

192.168.50.10192.168.50.20

Tendrón acceso al correo, páginas de bancos y www.aeat. es

Gerencia

192.168.50.21 192.168.50.30

A todo

Proyectos

192.168.50.31 192.168.50.40

Ava nzado: todo menos juegos

RRHH

192.168.50.41 192.168.50.50

Correo y sindicatos Iwww.ugt.es)

Configura Squid para permitir y negar los accesos que se especifican en la tabla. 8. Basándonos en la configuración del coso próctico anterior y en parejas, uno hace el rol de usuario del proxy y el otro el de administrador. El alumno que hace de usuario pertenecerá al departamento de Proyectos y tratará de averiguar páginas para las que no debería tener acceso, pero que en realidad sí tiene. El alumno que hace de administrador revisará los lag para detector accesos indebidos e irá incluyendo esos dominios en los ficheros adecuados para prohibir el acceso a dichas páginas. 9. Modificar la Actividad 7 para que la s personas de los departamentos de Gerencia, Gustavo y Fernando, y de Recursos Humanos, Virginia y Macarena , tengan que autenticarse. 10. Configura Squid para que tu servidor proxy haga de Proxy para toda la clase. Reflexiona previamente sobre los contenidos que deberían bloquearse y qué tipo de autenticación sería necesaria. 11. Para poder aproximarnos más a una situacián real, uno de los equipos configurados en el ejercicio anterior se utilizará durante un por de días como proxy de lo clase . De esta forma generaremos unos ficheros de lag reales para un proxy de instituto. 12. Una vez pasados los dos días de funcionamiento del Proxy, todos los grupos se copiarán los ficheros de lag a su propio servidor y analizarán la informacián destacando: •

Datos relevantes: usos indebidos, intentos de acceso indebidos, cinco páginas más accedidas, usuarios con más tráfico, errores en la configuración.

Medidas a tomar: sobre la autenticación, sobre las clasificaciones, sobre el fichero de configuración.


Seguridad de alto nivel en redes: proxy

Diferentes permisos usuarios

..

Compartir una única dirección IP

. Auditoría deltrófico Cache de páginas consultadas

Proxy (tradicional) Proxy NAT Proxy transparente

Creación de usuarios

Autenticación de usuarios Wingate

PureSight

Gestión de logs

Control de acceso

Autenticación de usuarios S~uid

Clasificación de sitios

Gestión de logs

234


Anexo

Anexo: índice de términos

802.11 a, b, g, n

Página 163 Unidad 6

802.1x

Página 172 Unidad 6

ACL

Página 126 Unidad 5

Algoritmos

Página 90 Unidad 4

Algoritmos de bloque

Página 90 Unidad 4

Algoritmos de flujo

Página 90 Unidad 4

Amenazas

Página 21 Unidad 1

Antivirus

Página 11 Unidad 1 Página 139 Unidad 5

ARP

Página 136 Unidad 5

Arquitectura Dual-Homed Host

Página 197 Unidad 7

Arquitectura Screened Host

Página 197 Unidad 7

Arquitectura Screen Subnet

Página 198 Unidad 7

Arquitectura Screened Router

Página 181 Unidad 7

Atacantes

Página 133 Unidad 5

Auditoria

Páginas 11, 25 Unidad 1

Autenticación

Página 11 Unidad 1

Autenticación de los usuarios

Página 123 Unidad 5

Autoridad de certificación

Pági na 95 Unidad 4

Autoridad de registro

Página 95 Unidad 4

Autoridades de los repositorios

Página 95 Unidad 4

Autorización

Página 11 Unidad 1

Bastión

Página 181 Unidad 7

Borrar puntos de restauración

Página 65 Unidad 3

Carder

Página 133 Unidad 5

Centro de cálculo

Página 13 Unidad 1

Certificado de revocación

Página 88 Unidad 4

Certificado digital

Página 11 Unidad 1

Certificados digitales

Página 94 Unidad 4

Ciberterroristas

Página 133 Unidad 5

Cifrado clave asimétrica

Página 86 Unidad 4

Cifrado clave privada

Página 84 Unidad 4

Cifrado de particiones

Página 112 Unidad 5

Cifrador de Vigenére

Página 82 Unidad 4

Cifra dar del Cesar

Página 82 Unidad 4


Anexo

!36

Cifrador PoLybios

Página 81 Unidad 4

Clasificación de métodos de criptografia

Página 83 Unidad 4

Climatización

Página 33 Unidad 2

Cluster de servidores

Página 44 Unidad 2

ConfidenciaLidad

Página 10 Unidad 1

ControL de acceso

Página 32 Unidad 2

ControL de cuentas de usuario

Página 159 Unidad 6

Copia de registro

Página 72 Unidad 3

Copia de seguridad compLeta

Páginas 51, 54 Unidad 3

Copia de seguridad diferenciaL

Páginas 51, 56 Unidad 3

Copia de seguridad incrementaL

Páginas 51, 57 Unidad 3

Copias encriptadas

Página 60, 61 Unidad 3

Cortafuegos

Página 11 Unidad 1 Página 181 Unidad 7

Cortafuegos a niveL circuitos

Página 186 Unidad 7

Cortafuegos a niveL paquete

Página 186 Unidad 7

Cortafuegos de pasareLa de apLicación

Página 186 Unidad 7

Cortafuegos de subred

Página 186 Unidad 7

Cortafuegos personaLes

Página 184 Unidad 7

Cortafuegos transparentes

Página 186 Unidad 7

Cortafuegos Windows Vista

Página 182 Unidad 7

CPD, centro de procesamiento de datos

Página 31 Unidad 2

Cracker

Páginas 9, 21 Unidad 1 Página 133 Unidad 5

Criptografia

Página 80, Unidad 4

Criptografia híbrida

Página 90 Unidad 4

Criptografia simétrica

Página 84 Unidad 4

Cuotas de disco

Página 117 Unidad 5

Denegación de servicio

Página 141 Unidad 5

DiaLer

Página 141 Unidad 5

DisponibiLidad

Página 10 Unidad 1

DMZ

Página 180, 198 Unidad 7

DNS Spoofing

Página 136 Unidad 5

DupLicity

Página 61 Unidad 3

Encriptación

Página 11 Unidad 1

EscítaLa

Página 80 Unidad 4

Esteganografia

Página 83 Unidad 4

Etiqueta para soporte de copia de seguridad

Página 73 Unidad 3


Anexo

Fabricación

Página 134 Unidad 5

Filtrado de paquetes

Página 187 Unidad 7

Firewall

Página 181 Unidad 7

Firma

Página 11 Unidad 1

Firma digital

Páginas 92 Unidad 4

Función resumen

Página 91 Unidad 4

Gusanos

Página 139 Unidad 5

Hacker

Páginas 9, 21 Unidad 1 Página 133 Unidad 5

Hamachi LogMeIn

Página 158 Unidad 6

Hash

Página 91 Unidad 4

HickjackThis

Página 148 Unidad 6

Hoja de regist ro de copias de seguridad

Página 74 Unidad 3

Hoja de registro de restauración

Página 74 Unidad 3

HTIP

Página 149 Unidad 6

HTIPs

Página 149 Unidad 6

IDs

Página 159 Unidad 6

Imágenes

Página 69 Unidad 3

Ingenieña social

Página 141 Unidad 5

Integridad

Página 10 Unidad 1

Intercepción

Página 134 Unidad 5

Interfaz

Página 186 Unidad 7

Interrupción

Página 134 Unidad 5

Inundación de peticiones sYN

Página 141 Unidad 5

Iptables

Página 190 Unidad 7

Kerckhoff

Página 90 Unidad 4

Kerio WinRoute

Páginas 192, 200 Unidad 7

Keylogger

Página 141 Unidad 5

Lammer

Página 21 Unidad 1 Página 133 Unidad 5

Ley orgánica de prot ección de datos

Página 23 Unidad 1

Listas de control de acceso

Página 126 Unidad 5

Logs

Página 199 Unidad 7

LOPD

Página 23 Unidad 1

Malware

Página 139 Unidad 5 Página 147 Unidad 6

Modelos OSI

Página 186 Unidad 7

Modificación

Página 134 Unidad 5


/ Anexo

Monitorización de Windows

Página 131 Unidad 5

NAS

Página 46 Unidad 2

NAT

Página 190 Unidad 7

Newbie

Página 133 Unidad 5

No repudio

Página 10 Unidad 1

Objetivos de la seguridad informática

Página 10 Unidad 1

OpenBSD

Página 192 Unidad 7

OpenSSH

Página 150 Unidad 6

Phising

Página 142 Unidad 5

Phreaker

Página 133 Unidad 5

Ping

Página 187 Unidad 7

PKI

Página 95 Unidad 4

Políticas de contraseñas

Página 123 Unidad 5

POP-lIPS

Página 147 Unidad 6

Programación copia

Páginas 56 , 57 Unidad 3

Programadores de virus

Página 133 Unidad 5

Protección del sistema

Página 63 Unidad 3

Proxy

Página 180 Unidad 7 Página 204 Unidad 8

Proxy transparente

Página 213 Unidad 8

ProxyNAT

Página 213 Unidad8

Punto de acceso

Página 165 Unidad 6

Punto de restauración

Página 63, 64, 65 Unidad 3

Radius

Página 173 Unidad 6

RAID

Página 38 Unidad 2

Recuperación automática del sistema

Página 68 Unidad 3

Recuperación sistema operativo

Páginas 63 Unidad 3

Red privada virtual

Página 152 Unidad 6

Reglas de filtrado

Página 188 Unidad 7

Reparación de inicio

Página 67 Unidad 3

Restauración copia de seguridad

Página 61, 64 Unidad 3

Restaurar sistema

Página 65 Unidad 3

SAl on line

Página 36 Unidad 2

SAl, sistema de alimentación ininterrumpida

Página 35 Unidad 2

SAN

Página 46 Unidad 2

Seguridad activa

Página 16 Unidad 1

Seguridad física

Página 13 Unidad 1

Seguridad informática

Página 10 Unidad 1


Anexo

Seguridad lógica

Página 14 Unidad 1

Seguridad pasiva

Página 16 Unidad 1

Servicios

Página 159 Unidad 6

Servidores proxys

Página 11 Unidad 1

Sistema de alimentación en estado de espera

Página 36 Unidad 2

Sistemas biométricos

Página 125 Unidad 5

Sistemas de sustitución

Página 83 Unidad 4

Sistemas de transposición

Página 83 Unidad 4

Sniffer

Página 133 Unidad 5

Snort

Página 159 Unidad 6

Soporte de copias de seguridad

Página 53 Unidad 3

Spoofing

Página 135 Unidad 5

SPS, Stand by Power Systems

Página 36 Unidad 2

Spyware

Página 147 Unidad 6

SpywareBlaster

Página 147 Unidad 6

Squid

Página 219 Unidad 8

SSH

Página 150 Unidad 6

SSL

Página 150 Unidad 6

Telnet

Página 150 Unidad 6

Ti pos de ataques

Página 134 Unidad 5

Tripwire Enterprise

Página 159 Unidad 6

Troyanos

Página 139 Unidad 5

UAC

Página 159 Unidad 6

Ubicación

Página 30 Unidad 2

Última co nfiguración conocida

Página 67 Unidad 3

UPS

Página 35 Unidad 2

Virus

Página 139 Unidad 5

Vulnerabilidades del sistema

Página 20 Unidad 1 Página 129 Unidad 5

Wannabe

Página 133 Unidad 5

Webmin

Página 230 Unidad 8

WEP

Página 166 Unidad 6

Wi-Fi

Página 163 Unidad 6

WinGate

Página 208 Unidad 8

WPA

Página 170 Unidad 6

Zona desmilitarizada

Página 180 Unidad 7

ZoneAlarm

Pági na 184 Unidad 7


Turn static files into dynamic content formats.

Create a flipbook
Issuu converts static files into: digital portfolios, online yearbooks, online catalogs, digital photo albums and more. Sign up and create your flipbook.