Descripción
Anuncio
Cómo se utiliza este libro Presentación de la unidad Unidad 2 Criptografía Aquí encontrarás los criterios de evaluación de la unidad. En esta unidad aprenderemos a: •Describirsistemasdeidentificación, comolafirmaelectrónica yelcertificadodigital,entreotros. •Utilizarsistemasdeidentificación, comolafirmaelectrónica yelcertificadodigital,entreotros. Además, te avanzamos los contenidos que se van a desarrollar. Y estudiaremos: •Lacriptografía. •Laidentificacióndigital: firmaelectrónica ycertificadodigital. •Lossistemasdeidentificación: firmaelectrónica,certificados digitalesyotros. Desarrollo de los contenidos CASOS PRÁCTICOS Aplican los conocimientos aprendidos a problemas y situaciones reales del entorno profesional. ACTIVIDADES Permiten trabajar los contenidos a medida que se van explicando, y aseguran un aprendizaje progresivo. Seguridad activa: control de redes Una exposición clara y concisa de la teoría, acompañada de recuadros que ayudan a la comprensión de los aspectos más importantes: ¿Sabías que…? Seguridad activa: control de redes tcpdump es una herramienta sencilla disponible en Linux que permite hacer un volcado de todo el tráfico que llega a una tarjeta de red. Captura todo el tráfico, no solo el tráfico TCP, como aparece en su nombre. Los paquetes leídos se muestran en pantalla o se pueden almacenar en un fichero del disco para ser tratados posteriormente por esta misma herramienta u otra más avanzada. Se necesitan privilegios para ejecutarla, porque necesitamos poner la tarjeta en modo promiscuo para que acepte todos los paquetes, no solo los destinados a suMAC, como ya vimos en la Unidad 6. La captura con tcpdump se puede hacer en uno de los extremos si la conversación que estamos estudiando ocurre entre una máquina Unix y otra máquina Unix/Windows/etc. (hay versiones de tcpdump para Windows, pero aquí es mejor WireShark). Aunque también lo utilizaremos muchas veces para capturar las conversaciones que atraviesan un router Linux. En la distribución representada en la Figura 7.15 podremos capturar las comunicaciones entre los ordenadores de las dos VLAN y todas las conexiones a Internet, aunque no podremos conocer qué hablan entre sí los ordenadores de una misma VLAN. Dificultad: Alta Objetivo. Aprender a configurar e interpretar interfaces monitorizadas. Material. Cuatro ordenadores (uno con Windows 7, tres con Linux Ubuntu), acceso a Internet, software SpiceWorks. 1. Vamos a instalar una red con un router Linux, un par de ordenadores de trabajo (llamados Ubuntu Server y Ubuntu Desktop) y un ordenador más, que será la estación de supervisión, donde corre el software de monitorización. Desde los ordenadores de trabajo generaremos tráfico de red sobre el router Linux y desde la estación de supervisión controlaremos todo el proceso. 2. Primero conectamos los ordenadores según el esquema de la Figura 7.1. El ordenador llamado Ubuntu Desktop puede ser una máquina virtual corriendo en la estación de supervisión. Necesitaremos conexión a Internet en la estación de supervisión para descargar el software asociado. Ten cuidado Internet Router wifi Ubuntu Server Router Linux 192.168.1.33 10.0.1.1 192.168.10.3 Estación 192.168.10.1 192.168.10.4 de supervisión Ubuntu Desktop Vocabulario Fig. 7.1. Esquema de monitorización. 3. El router Linux conecta dos subredes: la 10.0.1.0/24 y la 192.168.10.0/24. Hay una tercera subred, la 192.168.1.0/24, para la salida a Internet por el router ADSL. 4. Para facilitar la tarea, utilizaremos direcciones estáticas en todas las interfaces: a) 10.0.1.4 en Ubuntu Server. b) 10.0.1.1 y 192.168.10.1 en router Linux. c) 192.168.10.4 en Ubuntu Desktop. d) 19192.168.10.3 y 192.168.1.33 en la estación de supervisión. Web 7 1.1. tcpdump Duración: 1 hora 10.0.1.4 Importante 7 Caso práctico 1 Monitorización de tráfico 5. En la Figura 7.2 vemos la configuración de la interfaz Ethernet de la estación de supervisión. No necesitamos servidor DNS porque siempre trabajaremos directamente con las direcciones IP. Fig. 7.2. Configuración IP de la estación de supervisión. 6. No debemos olvidar activar el enrutamiento de paquetes en el router Linux para que de verdad actúe como un router. Basta con introducir un 1 en el fichero ip _ forward. ¿Sabías que…? tcpdump es un analizador de paquetes. Es útil para protocolos no orientados a conexión, como IP, UDP, DHCP, DNS e ICMP. Pero no ayuda mucho en los protocolos orientados a conexión, como HTTP y SMTP, donde interesa identificar fácilmente todos los paquetes de una conexión. # echo 1 > /proc/sys/net/ipv4/ip _ forward 7. Terminada la configuración de direcciones, empezamos con los generadores de tráfico. En el router Linux vamos a poner un servidor FTP y desde los ordenadores de trabajo (Ubuntu Server y Ubuntu Desktop) efectuaremos descargas de ficheros continuamente. 8. Como servidor FTP podemos utilizar vsftpd. Lo instalaremos con apt-get install vsftpd y dejaremos la configuración por defecto. La descarga la haremos con el usuario anonymous; por tanto, los ficheros que vamos a descargar debemos ponerlos en el directorio particular del usuario FTP (será /home/ftp). Ahí crearemos un fichero de 10 KB con el comando: VLAN soporte Switch planta 2 Router Linux Switch internet Switch planta 1 Routers # dd if=/dev/zero of=/home/ftp/10k bs=1024 count=10 9. Ahora vamos a los dos ordenadores de trabajo para crear los generadores de tráfico. Utilizaremos un script llamado generador.sh: Internet # cat generador.sh N=$1 E=$2 while `expr $N > 0` do echo intento $N $N=`expr $N – 1` ftp 192.168.10.1 <<EOF get 10k bye EOF sleep $E done VLAN marketing Fig. 7.15. Captura con router Linux. Actividades 4. Investiga qué son los filtros de tcpdump y prueba algunos de ellos. 5. Prueba a decodificar una conversación ping, FTP o HTTP mediante tcpdump –X. 6. Prueba a conectar dos o tres routers Linux en cascada y efectúa captura en todas las interfaces para comprobar cómo cruzan los paquetes de un extremo a otro. 7. Utiliza tcpdump para comprobar que los paquetes destinados a la misma subred llevan la IP y la MAC del ordenador destino, mientras que los paquetes destinados a ordenadores de otra subred llevan la IP del ordenador destino pero la MAC de la puerta de enlace. El primer parámetro es el número de ejecuciones, y el segundo, el tiempo entre cada ejecución. Podemos probar con diez ejecuciones y un segundo entre cada una. 8. ¿Cuándo podemos utilizar tcpdump con la opción -n, y qué nos aporta? (Continúa) 171 Cierre de la unidad Seguridad activa: sistema operativo y aplicaciones Seguridad activa: sistema operativo y aplicaciones Test de repaso Sínt esis Evitar que abra la caja. Hay que encaminar al usuario hasta la autenticación del sistema operativo Evitar que arranque desde un dispositivo externo (CD, USB). Evitar que modifique la configuración de la BIOS. Evitar que edite la configuración del gestor de arranque. Cifrar el contenido del disco por si falla alguna medida anterior. Usuario/password Fácil de recordar por nosotros, difícil para cualquier otro. Establecer límites de longitud mínima, antigüedad, etc. Complementan el usuario/password. Tarjetas Autenticación en el sistema operativo Fáciles de manejar (tornos de entrada y otros). Reconocen características físicas de la persona (huella dactilar, retina, voz, etc.). Biometría Elevación de privilegios Permite realizar puntualmente tareas de administrador sin estar presentado como administrador. En Linux, mediante sudo; en Windows, mediante UAC a partir de Windows Vista. Permiten controlar el uso de los recursos por parte de los usuarios. Generalmente se refieren al disco. Cuotas Se pueden aplicar a todos los usuarios o a un grupo de ellos. Se puede configurar que solo avise al administrador o que también evite que exceda el límite impuesto. Actualizaciones y parches Las herramientas suelen automatizar la búsqueda, descarga y aplicación de sus parches. Utilizan Internet. Generalmente conviene aplicarlos. Antivirus Es importante instalarlo y, sobre todo, tenerlo actualizado. No basta con instalar mecanismos de seguridad: hay que asegurarse de que están funcionando. Monitorización También hay que supervisar los equipos y servicios para detectar nuevas necesidades de seguridad. Las tareas rutinarias hay que automatizarlas mediante herramientas de inventario y monitorización. Aplicaciones web El trabajo de vigilancia se complica: los servidores pueden estar en un proveedor externo, los usuarios utilizan sus propios navegadores y la comunicación puede ser intervenida. Hay que redactar con cuidado el SLA con los proveedores. Mismos temores que con las aplicaciones web, aumentados porque hay más tecnologías, no solo HTTP. Cloud computing 140 6 Síntesis: esquema-resumen de los contenidos estudiados en la unidad. 5 Hay que decidir si los servicios informáticos con el exterior (correo, chat, redes sociales) los seguimos implementando con recursos propios (máquinas, personal de soporte) o los subcontratamos. 1. Caja del ordenador: a) No se puede proteger porque no tiene software donde poner usuario y contraseña. b) Podemos protegerla metiéndola dentro de una caja fuerte. c) Podemos utilizar un candado para dificultar el acceso a los componentes, sobre todo al disco duro. 2. BIOS del ordenador: a) No hace falta protegerla si tenemos protegida la caja. b) No tiene nada que proteger. La función de la BIOS es otra. c) Debemos fijar el orden de arranque para arrancar siempre desde el disco duro. 3. Contraseñas de las BIOS: a) Siempre hay que activarlas todas: usuario, supervisor, cifrado de disco, etc. b) Como mínimo, activaremos la contraseña de supervisor para impedir modificaciones de la configuración. c) La BIOS no tiene contraseñas. 4. En el boot manager: a) No hay nada que temer: cuando arranque el sistema operativo ya le pedirá el usuario y la contraseña. b) No hay nada que hacer: es un software muy simple. c) Podemos poner contraseñas a la configuración y a cada una de las opciones de arranque. 5. El cifrado de particiones: a) Solo tiene sentido para la partición del sistema operativo. b) Solo tiene sentido para las particiones de datos. c) Es necesario generar un disco de arranque para recuperar el sistema en caso de desastre. 6. La contraseña de nuestro usuario: a) Debe ser fácil de recordar para nosotros pero difícil de adivinar para cualquier otra persona. b) Es mejor dejarla en blanco: así no tenemos que recordarla. c) Le ponemos la marca de nuestro coche, para recordarla fácilmente. 7. El acceso mediante tarjeta: a) Es más seguro si lo combinamos con la introducción de una contraseña («algo que tienes, algo que sabes»). b) Si la tarjeta tiene un chip, es inteligente y ya no necesitamos contraseña. c) Es molesto porque las tarjetas llevan chips y necesitan cargar las baterías. 8. El acceso mediante biometría: a) Es más seguro si lo combinamos con la introducción de una contraseña («algo que eres, algo que sabes»). b) Es más seguro si lo combinamos con la introducción de una contraseña y la lectura de una tarjeta («algo que eres, algo que sabes, algo que tienes»). c) Solo está disponible para los servicios secretos y la policía. 9. Cuotas de disco: a) No son necesarias: cada usuario controla muy bien cuánto ocupa. b) Solo tienen sentido para usuarios administradores. c) Son necesarias para evitar afectar el rendimiento del sistema. Test: ayuda a detectar cualquier laguna de conocimientos. 10. Actualizaciones de software: a) Siempre hay que aplicarlas, porque algo bueno harán. b) En algunos casos habrá que revisarlas por si afectan a determinados servicios que ofrece nuestra máquina. c) No son necesarias porque mi sistema operativo es original. 11. Antivirus: a) Solo hace falta activarlo para escanear el programa de instalación de la aplicación que vamos a instalar. b) No conviene arrancarlo, porque degrada el rendimiento de la máquina. c) Debe estar activo siempre. 12. Registros del sistema: a) No merece la pena revisarlos: no entenderemos nada. b) Solo los utilizan los programadores, para depurar problemas. c) Tenemos que revisarlos regularmente y, a ser posible, de manera automatizada. 13. Computación en la nube: a) Nos permite olvidarnos de la seguridad, porque lo hace otro. b) Nos permite olvidarnos de la seguridad, porque en Internet nunca pasa nada. c) Tenemos que confiar en que el proveedor de la nube aplica las medidas de seguridad apropiadas. Soluciones: 1 c, 2 c, 3 b, 4 c, 5 c, 6 a, 7 a, 8 b, 9 c, 10 b, 11 c, 12 c, 13 c. 5 141 Comprueba tu aprendizaje: actividades finales agrupadas por criterios de evaluación. 175
